Verktygslåda för systematiskt informationssäkerhetsarbete i kommuner

Verktygslåda för systematiskt informationssäkerhetsarbete i kommuner

Utgiven av: Myndigheten för samhällsskydd och beredskap (MSB) Kontaktpersoner: Kjell Kalmelid Robert Lundberg Michael Patrickson Layout: Advant Produktionsbyrå AB Tryck: DanagårdLiTHO Publ.nr MSB434 - augusti 2012 ISBN 978-91-7383-256-4

Innehåll Inledning...7 Om denna skrift...7 Varför är god informationssäkerhet viktigt?... 8 Geografiskt områdesansvar...9 Kommunernas geografiska områdesansvar...9 Länsstyrelsers geografiska områdesansvar...10 Informationssäkerhet.se... 10 Metodstöd för införande av ett LIS... 13 Vägledningar... 17 Film riktad till kommunledningen...17 Risk- och sårbarhetsanalyser...17 Modell för informationsklassificering... 19 Upphandling av IT-tjänster... 19 Statliga ramavtal...19 Säkerhetsskyddad upphandling... 20 Robust elektronisk kommunikation... 20 Service Level Agreement mall för kommunalt it-stöd...21 Molntjänster...21 Säkerhet och personuppgiftslagen... 22 Hantering av information inom vård och omsorg... 23 Säkerhetsskydd... 24 Säkerhet i industriella styrsystem (SCADA)... 24 Surfplattor och smarta telefoner... 25 IPv6...26 Utbildningar...29 SIS Informationssäkerhetsakademi...29 Dataföreningen Kompetens...30

E-utbildningar i IPv6... 31 DISA... 32 ISA Informationssäkerhetsskolan... 32 Informationssäkerhetskonferens... 33 Resurser...37 CERT-SE... 37 Säker domän (DNSSEC)...38 Krypto för Skyddsvärda Uppgifter... 39 KIS-nätverket... 41 Svensk e-legitimation... 41 Ineras infrastrukturtjänster...42 Gemensam lägesuppfattning GLU... 43

Inledning Om denna skrift Syftet med denna skrift är att stödja kommuner, och indirekt länsstyrelser, i sitt informationssäkerhetsarbete genom att tydliggöra de ramar som gäller för det arbetet på lokal och regional nivå samt att, samlat på ett ställe, presentera de olika former av stöd som myndigheter och andra utvecklat under de senaste åren. Detta stöd är, med något undantag, lika användbart för centrala myndigheter och i viss utsträckning även för privata aktörer i samhället. Denna skrift riktar sig i första hand till de som är ansvariga för samordning av arbetet med verksamhetens informationssäkerhet. Det samlade stödet i arbetet för ökad informationssäkerhet, syftar ytterst till att aktörerna ska få hjälp att införa och förvalta ett Ledningssystem för informationssäkerhet ( LIS ). För det ändamålet tillhandahåller MSB först och främst Metodstöd för införande av ett LIS. Till hjälp i arbetet med att införa ett LIS och att bedriva ett systematiskt informationssäkerhetsarbete, tillhandahåller MSB och andra myndigheter dessutom tre former av kompletterande stöd: Vägledningar, Utbildningar och Resurser. Vägledningar är informationsmaterial, guider, riktlinjer och mallar som finns tillgängliga i tryckt form, t.ex. faktablad och broschyrer, eller elektroniskt format. De behandlar närmare hur delar av ett LIS kan införas. Utbildningar är kurser eller webbaserade utbildningar med syftet att under lätta inlärning eller kunskapsinhämtning. Resurser är olika former av direkt stöd som aktörerna kan få tillgång till i form av t.ex. rådgivning, analysstöd, teknik och professionella nätverk. Denna skrift är en första utgåva och kommer att uppdateras regelbundet. Richard Oehme Enhetschef Enheten för samhällets informationssäkerhet

Varför är god informationssäkerhet viktigt? Verksamhetsansvaret och ansvarsprincipen är utgångspunkten för kommunernas och länsstyrelsernas uppgifter i samhällets krishanteringssystem. Det innebär att ansvaret för olika samhällsviktiga uppgifter under normala förhållanden också gäller under extraordinära händelser. I takt med att informations tekniken blir en alltmer integrerad del av olika verksamheter och i många fall en nödvändig komponent för att verksamheter överhuvudtaget ska fungera, får informationssäkerhetsfrågor allt ökande betydelse. Informationssäkerhet handlar om att ge kommunens information rätt skydd, det vill säga att informationen är tillgänglig när den behövs, att den är korrekt och inte ändras av eller avslöjas för någon obehörig. Eftersom stora delar av informationen hanteras i IT-system så handlar informationssäkerhet delvis om teknik. Men det är viktigt att komma ihåg att informationssäkerhet rör hela kommunens verksamhet och all information oavsett om den finns i datorer, i ett telefonsamtal eller på ett papper. Den snabba tekniska utvecklingen i kombination med krav på rationalisering och kostnadseffektivitet bidrar till att alltfler kommuner outsourcar delar av sin it-verksamhet och/eller köper s.k. molntjänster. Detta ställer ökade krav på kommunerna och andra aktörer att tillse att informationssäkerhet regleras i avtalet med leverantören i samband med upphandlingar av sådana tjänster. Kommunernas ansvar och uppgifter regleras i samma lagar och verksamheten i en kommun skiljer sig därmed inte avsevärt från en annan när det gäller de grundläggande uppgifterna. Arbetet med att styra informationssäkerhet är en sådan uppgift och den kan uppfattas som mer komplex och resurskrävande än den faktiskt är. Även om kommunerna skiljer sig åt i fråga om geografisk storlek, befolkningsmängd och tillgängliga resurser krävs förhållandevis små insatser för att väsentligen öka informationssäkerheten inom en kommun. Genom att arbeta systematiskt med informationssäkerhet med hjälp av metodstödet, tillsammans med de andra vägledningar, verktyg och resurser som presen teras i denna broschyr, får kommunen bland annat följande fördelar: Kommunen får en god informationssäkerhet som är anpassad efter verksamhetens förutsättningar och behov. Det innebär att kommunen får en bra säkerhetsekonomi där nyttan överväger kostnaderna. 8 Systematiskt Informationssäkerhetsarbete i kommuner

Genom säkerhet i informationshanteringen kan omvärlden och invånarnas förtroende för kommunen bibehållas och öka. Kommunen säkerställer att rättsliga krav efterlevs och revisioner klaras bättre. Det kan gälla exempelvis skydd av personuppgifter i enlighet med personuppgiftslagen och krav på internkontroll. Kommunledningen får möjlighet att styra och följa upp informations säker - heten så att man kan bevaka att säkerheten är effektiv och ända måls enlig. Kommunen ansluter sig till ett vedertaget sätt att arbeta med informationssäkerhet och anammar en gemensam terminologi. Därigenom blir det lättare att kommunicera och samarbeta om gemensamma informationssäkerhetsfrågor med kollegor i andra kommuner och organisationer. Metodstödet ger kommunen en hjälp att införa ett ledningssystem för informationssäkerhet (LIS) som följer de internationella standarderna. Det vill säga ett system för att leda och styra informationssäkerhetsarbetet. Geografiskt områdesansvar Grunden för vikten av god informationssäkerhetsstyrning inom kommuner och länsstyrelser hänger samman med det geografiska områdesansvaret för samhällets krishantering. Detta ansvar återfinns på tre nivåer lokalt, regionalt och nationellt. Områdesansvaret innebär att det inom ett geografiskt område finns ett organ som verkar för inriktning, prioritering och samordning av tvärsektoriella åtgärder inför, under och efter en kris. Kommunernas geografiska områdesansvar Kommunernas ansvar för krisberedskap följer av lagen (2006:544) om kommuner och landsting åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap (LEH). Sammanfattningsvis innebär kommunens geografiska områdesansvar att kommunen bland annat ska: göra en samlad analys av sådana risker och sårbarheter i kommunens geografiska område som kan leda till en extraordinär händelse och göra den känd för berörda inledning 9

kunna lämna en samlad information till länsstyrelsen om läget i kommunen i fråga om risker och sårbarheter och om de krisaktörernas förberedelser för hantering en av en extraordinär händelse kunna ge länsstyrelsen en samlad rapport om läget i kommunen vid extraordinär händelse om de lokala krisaktörernas vidtagna och planerade åtgärder med anledning av händelsen. Länsstyrelsers geografiska områdesansvar Enligt 9 förordning (2006:942) om krisberedskap och höjd beredskap ska länsstyrelsen analysera om det finns sådan sårbarhet eller sådana hot och risker inom myndighetens ansvarsområde som synnerligen allvarligt kan försämra verksamheten inom området. Detta innebär att länsstyrelsen ansvarar för att sammanställa regionala risk- och sårbarhetsanalyser som bl.a. baseras på landstingens och kommunernas risk- och sårbarhetsanalyser. Länsstyrelsen ska enligt förordning (2007:825) med länsstyrelseinstruktion även följa upp kommunernas tillämpning av LEH. Det innefattar kommunernas arbete med risk- och sårbarhetsanalyser. Slutligen har länsstyrelserna en skyldighet enligt 30a förordning (2006:942) om krisberedskap för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. Med stöd av denna förordning, har MSB utfärdat föreskriften MSBFS 2009:10 om statliga myndigheters informationssäkerhet som närmare anger hur bestämmelsen i 30a ska tillämpas. Informationssäkerhet.se Informationssäkerhet.se är en webbplats som ska ge praktiskt stöd för långsiktigt och systematiskt arbete med informationssäkerhet. Målet med webbplatsen är att ta fram verklighetsnära produkter med bred förankring. Det långsiktiga målet med Informationsäkerhet.se är att skapa en informationssäkerhetsportal och att samla samhällets vägledning för systematiskt informationssäkerhetsarbete. Informationssäkerhet.se erbjuder rekommendationer, vägledningar och annat material som ska underlätta och stödja verksamheters informationssäkerhetsarbete. 10 Systematiskt Informationssäkerhetsarbete i kommuner

Metodstöd för införande av ett LIS För att kunna säkerställa en tillräcklig nivå av informationssäkerhet i en kommuns olika förvaltningar och bolag är det viktigt att informationssäkerhetsarbetet bedrivs systematiskt och långsiktigt. På webbplatsen www.informationssäkerhet.se har MSB, tillsammans med ett antal andra myndigheter, sammanställt metodstöd (se bild nedan) för sådant systematiskt arbete. Metodstödet bygger på rekommendationerna i ett antal internationella standarder på informationssäkerhetsområdet. FÖRBEREDA ANALYSERA UTFORMA INFÖRA FÖLJA UPP FÖRBÄTTRA Introduktion Verksamhet Åtgärder Planera genomförande Övervaka Utveckla LIS och skyddet Ledningens engagemang Risk Processer Konstruera och anskaffa Granska Kommunicera förbättringar Projektplanering GAP Styrdokument Inför Ledningens genomgång Fortsatt arbete KUNSKAPSBANK Bilden beskriver de olika stegen som en organisation behöver gå igenom för att införa ett Ledningssystem för informationssäkerhet ( LIS ). Till varje steg finns ett dokument kopplat som beskriver just det arbetet, i vissa fall finns även bilagor med tilläggsinformation. Dokumenten får man upp genom att klicka på respektive grå ruta, exempelvis riskanalys. Fokus bör riktas mot de steg i processen som främst är kopplade till det praktiska arbetet i kommunen med att få ledningssystemet på plats, det vill säga förberedelsearbetet samt processtegen som är kopplade till analys av verksamheten, utforma nödvändiga styrdokument och rutiner samt införa LIS. Det som beskrivs i metodstödet på www.informationssäkerhet.se är ett etablerat sätt att arbeta som, inom de givna ramarna, ger goda möjligheter att anpassa arbetet till den egna organisationens förutsättningar och behov. Det finns Metodstöd För Införande Av Ett Lis 13

givet vis andra sätt att arbeta på och det står också fritt för kommunen att välja bara delar av metodstödet eller endast hämta allmän inspiration till sitt informationssäkerhetsarbete. Många kommuner har arbetat med Krisberedskapsmyndighetens rekommendationer och verktyg BITS och BITS Plus (BITS = Basnivå för Informationssäkerhet). MSB lyfter nu istället fram de internationella standarderna och metod stödet på www.informationssäkerhet.se. Redan vidtagna åtgärder enligt BITS kan i de flesta fall användas som en viktig utgångspunkt i det vidare arbetet, exempelvis utformning av skydd för specifika informationssystem och tidigare inventering av kritiska informationstillgångar. Många gånger finns också styrande dokument framtagna enligt BITS-konceptet som ex. informationssäkerhets policy. Det kan då vara bra att utgå från dessa dokument och se om det finns behov av uppdatering. Notera att även om kommunen redan har arbetat med ledningssystem för andra områden, ex. kvalitet och miljö, innebär inte arbetet med LIS att man skapar ett ytterligare och annorlunda sätt att styra verksamheten. Kommunens ledning styr kommunens verksamhet på ett enda sammanhållet sätt. Ledningssystemet ger dock stöd för ledningen att göra den styrningen effektiv genom att se till att de nödvändiga styrdokument och rutiner som behövs och passar för respektive område kommer på plats. Det är viktigt att olika ledningssystemen integreras med varandra. Ta del av metodstödet och dess dokument på www.informationssäkerhet.se. 14 Systematiskt Informationssäkerhetsarbete i kommuner

Vägledningar Film riktad till kommunledningen Ledningen har det övergripande ansvaret för informationssäkerheten inom kommunen och är ytterst ansvarig vid incidenter. Att inte ta informations säkerheten på allvar kan medföra negativa konsekvenser för kommunens verksamhet och ekonomi, och drabba invånarna. Det är därför viktigt att kommunens ledning kan se såväl vinsterna med ett systematiskt informationssäkerhetsarbete som vilka risker det finns med avsaknaden av det. En ledning som är engagerad och införstådd med verksamhetsnyttan med ett systematiskt informationssäkerhetsarbete skapar förutsättningar för en hög säkerhetsmedvetenhet i hela kommunen. MSB har tagit fram en film som riktar sig mot ledningen inom en kommun och som betonar vikten av ett bra informationssäkerhetsarbete och vilket nytta det ger. Filmen är på 10 minuter och går igenom de väsentligaste delarna av ett bra informationssäkerhetsarbete. Filmen lämpar sig bäst för att ses i plenum då flera personer ur ledningen är samlad. Genom att i samband med att filmen visas föra en strukturerad diskussion kan ytterligare effekter uppnås. Filmen finns för visning på www.informationssäkerhet.se. Risk- och sårbarhetsanalyser Den s.k. kommunöverenskommelsen som tecknades år 2004 mellan staten och Kommunförbundet anger att kommunerna ska genomföra en risk- och sårbarhetsanalys. Senare tecknades även ett avtal med landstingen. Huvuddelarna i överenskommelserna lades därefter fast i LEH. Kommunen ska enligt LEH förebygga och förbereda sig inför olika extraordinära händelser genom sitt riskoch sårbarhetsreducerande arbete. Syftet med risk- och sårbarhetsanalysarbetet är att öka medvetenheten och kunskapen hos beslutsfattare och verksamhetsansvariga om hot, risker och sårbarheter inom det egna verksamhetsområdet samt att skapa ett underlag VäGLEDNINGAR 17

för egen planering. Underlaget utgör dessutom en viktig källa för information till medborgare och anställda. De offentliga aktörernas risk- och sårbarhetsanalyser bidrar även till att ge en bild av de risker och sårbarheter som finns i samhället i stort. Det finns således två perspektiv som risk- och sårbarhetsanalyserna måste tillgodose, dels egennyttan för den egna organisationen eller verksamheten och dels att tillgodose behovet av att kunna ge en samlad riskbild för hela samhället. Utöver de riskanalyser som följer av lagstiftningen så bedrivs även säkerhetsarbete som inte regleras i författningar. Det gäller exempelvis internt skydd och kommunernas arbete med informationssäkerhet. I syfte att ta ett helhetsgrepp om säkerhetsarbetet är det en god idé att samordna även denna typ av säkerhetsarbete i arbetet med risk- och sårbarhetsanalyser. Den stora effektivitetsvinsten finns framför allt i riskidentifieringsfasen, i och med att riskanalyser kan samordnas utifrån olika lagstiftningar och riskperspektiv. Enligt MSB:s föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser, MSBFS 2010:6, ska krisberedskapsförmåga bedömas utifrån delförmågorna krishanteringsförmåga och förmåga i samhällsviktig verksamhet att motstå allvarliga störningar. Dessa delförmågor ska bedömas med hjälp av ett antal indikatorer, bland vilka även informationssäkerhet ingår. Förmåga avseende informationssäkerhet beskrivs där som att Det finns tillräcklig förmåga hos kommunen eller landstinget att upprätthålla informationstillgångarnas konfidentialitet, riktighet och tillgänglighet. MSB har publicerat en vägledning om risk- och sårbarhetsanalyser och utgör ett stöd för centrala myndigheter, länsstyrelser, kommuner och landsting i deras arbete med risk- och sårbarhetsanalyser och ger förslag på hur den analytiska processen kan bedrivas. Dokumentet Vägledning för Risk- och sårbarhetsanalyser kan laddas ned från MSB:s webbplats: www.msb.se. 18 Systematiskt Informationssäkerhetsarbete i kommuner

Modell för informationsklassificering Klassificering av information är en grundläggande aktivitet för att information och resurser ges nödvändigt skydd. Det är informationen som är skyddsobjektet, dvs. det som ska skyddas. MSB har tagit fram en modell för hur information kan klassificeras. I modellen klassificeras information utifrån de konsekvenser som oönskad påverkan på informationens kvalitet bedöms leda till. Konsekvenserna värderas i termer av oönskad påverkan på verksamheten eller annan part till följd av otillräcklig konfidentialitet, riktighet eller tillgänglighet. Dokumentet Modell för informationsklassificering kan laddas ned från www.informationssäkerhet.se. Upphandling av IT-tjänster Statliga ramavtal Webbplatsen avropa.se tjänar som en portal för Statens inköpscentral vid Kammar kollegiet för att ge information om de upphandlingar av statliga ramavtal som genomförs av Statens inköpscentral. Webbplatsen ska vara ett verktyg för upphandlare och inköpare inom offentlig sektor i sitt arbete med att anskaffa varor och tjänster inom de områden som Statens inköpscentral upphandlar statliga ramavtal. Statliga myndigheter får avropa från de statliga ramavtalen, men kommuner och landsting har efter särskild anmälan möjlighet att utnyttja de ramavtal som Statens inköpscentral tecknar för information och telekommunikation. Hanteringen av fullmakt för kommun och landsting sker som tidigare via inbjudan inför respektive upphandling. Exempel på ramavtal med anknytning till informationssäkerhet är: E-förvaltningsstödjande tjänster 2010 Elektronisk identifiering (eid) 2008 VäGLEDNINGAR 19

IT-Driftstjänster IT-konsulttjänster För mer information se Statens inköpscentrals ramavtalsdatabas: www.avropa.se. Säkerhetsskyddad upphandling När en myndighet (staten, kommun eller landsting) avser att begära in ett anbud eller träffa avtal om upphandling där det förekommer hemliga uppgifter, ska myndigheten enligt 8 säkerhetsskyddslagen träffa ett skriftligt säkerhetsskyddsavtal med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet. Syftet med denna vägledning är att beskriva handläggningen av säkerhetsskyddsarbetet vid en säkerhetsskyddad upphandling. Den vänder sig i första hand till de myndigheter över vilka Säkerhetspolisen har ett tillsynsansvar. Säkerhetsskyddad upphandling en vägledning kan laddas ned från Säkerhetspolisens webbplats: www.sakerhetspolisen.se. Robust elektronisk kommunikation PTS har tagit fram en vägledning Robust elektronisk kommunikation vägledning för användare vid anskaffning som förbereder inför upphandling av elektronisk kommuni kation, till exempel telefoni eller internetanslutning. Vägledningen beskriver vad man bör känna till och tänka på när vid upphandling av olika typer av elektronisk kommunikation. Det gäller att kunna ställa rätt krav vid köpet, men också i den dagliga verksamheten, så att kommuni kationen blir säker och robust krav som utgår från verksamhetens behov och genomförd riskanalys. 20 Systematiskt Informationssäkerhetsarbete i kommuner

Vägledningen ska underlätta för personer på bl.a. kommuner som har ansvar för anskaffning och upprätthållande av elektronisk kommunikation. I vägledningen finns information om olika slags elektronisk kommunikation och hur den fungerar. Vägledningen tar upp frågor som t.ex. hur man tar reda på och bedömer risker för verksamheten för att på så vis kunna ange rätt krav vid upphandling och avtalstecknande. Robust elektronisk kommunikation vägledning för användare vid anskaffning har rapportnummer PTS-ER-2011:16 och finns att ladda ner från PTS webbplats på adressen www.pts.se. Service Level Agreement mall för kommunalt it-stöd Ett SLA kan användas som kontrakt eller som prisöverenskommelse mellan två parter, men ännu viktigare som kommunikationsplattform för viktiga frågor kring informationssäkerhet. Det är den senare delen som denna SLA-mall fokuserar på. Denna mall består av ett ramverk med de olika delar som ett bra SLA bör innehålla. SLA-mallen kan användas som checklista för att uppdatera befintliga SLA och mallens struktur kan också användas som grundstruktur för att skriva nya SLA-avtal. Mallen finns för nedladdning på Informationssäkerhet.se. Molntjänster Cloud Sweden är Sveriges största oberoende kompetensnätverk kring frågor som rör Cloud Computing. Nätverket består av över 1900 intressenter som tar ett nationellt grepp kring frågorna och bygger upp ett kompetenscenter kring molnfrågor med rekommendationer baserat på kvalificerade analyser av ett flertal experter på området. Föreningen verkar för kvalitativ kompetens och samverkan över gränserna. Cloud Computing rör både teknik, affärer och juridik vilket gör det viktigt att samla kompetenser inom flera områden. VäGLEDNINGAR 21

Cloud Sweden:s olika arbetsgrupper har tagit fram ett antal dokument som kan vara till hjälp vid införandet av molntjänster. Materialet omfattar såväl tekniska, juridiska, affärsmässiga som säkerhetsmässiga aspekter och har validerats av flera experter på respektive område. Cloud Sweden har bland annat tagit fram en riktlinje benämnd Områden och problem att beakta inom informationssäkerhet och digitalt bevarande vid anskaffning och användning av molntjänster. Man har dessutom tagit fram riktlinjer kring olika delområden som t.ex. affärsnytta, juridik, infrastruktur samt integration. Alla riktlinjer kan laddas ned från Cloud Sweden:s webbplats: www.cloudsweden.se. Säkerhet och personuppgiftslagen För alla som hanterar och bearbetar personuppgifter är det viktigt att säkerställa att personuppgifterna skyddas på ett bra sätt. Enligt personuppgiftslagen ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Till tekniska åtgärder räknas exempelvis brandväggar, krypteringsfunktioner och antivirus, medan organisatoriska åtgärder handlar om säkerhetsarbetets organisation, rutiner, instruktioner och policyer. Generellt gäller att ju känsligare personuppgifterna är eller ju fler personuppgifter som hanteras, desto mer omfattande bör säkerhetsåtgärderna vara. Vid sidan av lagar och förordningar samt de föreskrifter som Datainspektionen utarbetat, ger de även ut allmänna råd med rekommendationer i olika frågor. De allmänna råden är inte bindande men de är rekommendationer om hur de bindande kraven i lagarna kan uppnås. Mot denna bakgrund har Datainspektionen gett ut allmänna råd som preciserar personuppgiftslagens (1998:204) krav på säkerhet vid behandling av personuppgifter. 22 Systematiskt Informationssäkerhetsarbete i kommuner

Datainspektionen har även publicerat ett flertal vägledningar för hur säkerheten ska beaktas vid olika former av behandling av personuppgifter, t.ex. Säkerhet för personuppgifter i e-post, IT-säkerhet och myndigheters e-tjänster samt en skrift om molntjänster och personuppgiftslagen. Alla allmänna råd med rekommendationer samt övrigt informationsmaterial om säkerhet och behandling av personuppgifter finns att ladda ned från Datainspektionens webbplats: www.datainspektionen.se. Hantering av information inom vård och omsorg Den viktigaste aspekten på informationshantering inom vård och omsorg är att tillgodose vård- och omsorgstagarens säkerhet och integritet. Vård- och omsorgs tagarens integritet stöds av åtgärder för att uppnå konfidentialitet i informationshanteringen. Åtgärder för att uppnå riktighet och tillgänglighet i informationen stöder målet att uppnå säkerhet, det vill säga att individen (vårdoch omsorgstagaren) inte ska skadas eller utsättas för felaktig hantering. Med rätt utgångspunkter och med stöd av strukturerad information, som den nationella informationsstrukturen beskriver, kan individens säkerhet och integritet tillgodoses. Socialstyrelsen har gett ut en rapport med titeln Informationssäkerhet Vägledning för hantering av information inom vård och omsorg. Denna rapport belyser viktiga områden och principer för informationssäkerhet. Rapporten vänder sig till dem som behöver få en bredare inblick i informationssäkerhetsområdet och vad som måste beaktas i samband med informationshantering inom vård och omsorg. Rapporten Informationssäkerhet Vägledning för hantering av information inom vård och omsorg kan laddas ned från Socialstyrelsens webbplats: www.socialstyrelsen.se. VäGLEDNINGAR 23

Säkerhetsskydd Med säkerhetsskydd avses: 1. Skydd mot brott som kan hota rikets säkerhet 2. Skydd av hemliga uppgifter som rör rikets säkerhet 3. Skydd mot terrorism. Säkerhetsskydd innebär alltså att myndigheter och andra som säkerhetsskydds lagstiftningen gäller för ska vidta förebyggande åtgärder för att skydda mot brott som kan hota rikets säkerhet, såsom spioneri och sabotage. Hemliga uppgifter som rör rikets säkerhet ska också skyddas. Eftersom offentlighetsoch sekretesslagen inte ger anvisningar om hur hemliga uppgifter som rör rikets säkerhet ska hanteras, regleras detta i säkerhetsskyddslagstiftningen. Verksamhet som omfattas av säkerhetsskyddslagstiftningen ska ha det säkerhetsskydd som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter. Skyddsvärda resurser ska regelbundet inventeras i en säkerhetsanalys, kopplade till hot, risk och sårbarhet. Säkerhetspolisen har publicerat en vägledning kring säkerhetsskydd. Syftet med denna vägledning är att den ska användas vid tillämpningen av säkerhetsskyddslagstiftningen. Den vänder sig i första hand till de myndigheter över vilka Säkerhetspolisen har ett tillsynsansvar. Olika personalkategorier vid myndig heterna kan ha nytta av att använda denna vägledning. Läsaren kan exempelvis vara säkerhetsskyddschef, handläggare eller IT-säkerhetsansvarig. Säkerhetsskydd en vägledning kan laddas ned från Säkerhetspolisens hemsida: www.sakerhetspolisen.se. Säkerhet i industriella styrsystem (SCADA) Datoriseringen av de system som förser samhället med bränsle, el, värme, vatten och transporter, sker i snabb takt. Olika it-system integreras så att verksamheter kan göras effektivare. Digitaliseringen underlättar också kommunikationen mellan system och användare. Industriella informations- och styrsystem, även kallade Supervisory, Control, and Data Acquisition (SCADA), har 24 Systematiskt Informationssäkerhetsarbete i kommuner

traditionellt sett varit fysiskt isolerade och byggt på specialutvecklad teknik. Gränserna mellan administrativa it-system och industriella styrsystem håller på att suddas ut i och med en ökad integrering mellan olika system. För att uppnå hög flexibilitet och effektivitet görs industriella styrsystem även i allt högre grad tillgängliga via internet och andra publika nätverk. Dagens industriella styrsystem bygger dessutom allt mer på tillgängliga standardprodukter och drabbas därmed av samma säkerhetsproblem som adminis trativa it-system. Resultatet av denna utveckling är en radikalt förändrad riskbild i samhället. Ett första steg i arbetet med att öka säkerheten i industriella styrsystem är att följa dessa grundläggande rekommendationer: Öka medvetenheten i hela organisationen om behovet av säkerhet i industriella styrsystem. Genomför grundläggande utbildning om säkerhet i industriella styrsystem. Håll industriella styrsystem separerade från administrativa it-system i så hög grad som möjligt. Ställ säkerhetskrav i all upphandling av industriella styrsystem och i serviceavtal. Vägledning till ökad säkerhet i industriella kontrollsystem kan laddas ned från MSB:s webbplats: www.msb.se. Surfplattor och smarta telefoner Användandet av mobila enheter som till exempel surfplattor och smarta mobiltelefoner har ökat starkt de senaste åren och förutspås fortsätta att öka. Men det finns fortfarande en viss osäkerhet hur sådana enheter ska hanteras i organisationen och vilka säkerhetsåtgärder som bör vidtas. En vägledning för smarta telefoner, surfplattor och andra mobila enheter har publicerats av MSB. Vägledningen ska ge stöd till organisationer och dess anställda för säkrare hantering och användning av mobila enheter. VäGLEDNINGAR 25

Vägledningen innehåller tre verktyg för säkrare användning: stöd till att utforma organisationens policy på ett ändamålsenligt sätt hanteringsregler för användarna olika tekniska lösningar som kan implementeras för att öka säkerheten. Dokumentet Vägledning för smarta telefoner, surfplattor och andra mobila enheter kan laddas ned från MSB:s webbplats: www.msb.se. IPv6 Många verksamheter i samhället blir allt mer beroende av att kommunicera via internet. Men nu håller internets adresser på att ta slut. Snart kommer det inte att finnas fler adresser att dela ut av IPv4, som är den adresserings-standard som används i dag. IPv6 är den senaste versionen av ip-adresser. Antalet IPv6- adresser är enormt mycket större än antalet IPv4-adresser. De olika standarderna IPv6 och IPv4 kan inte kommunicera med varandra. När IPv4-adresserna tar slut samtidigt som allt fler människor börjar använda inter net, så kommer det finnas användare som bara har IPv6-adresser. Att införa IPv6 vid sidan av IPv4 är därför en förutsättning för en organisation att behålla och förbättra sin förmåga att kommunicera via internet. Vid införande av IPv6 är det viktigt med ett ständigt säkerhets- och tillgänglighetsarbete. Tänk på att införa IPv6 på ett kontrollerat sätt och se till att driften av IPv6 sker med hög kvalitet. PTS har på regeringens uppdrag tagit fram en vägledning om hur en organisation kan införa IPv6. För att införa IPv6 bör man läsa hela PTS vägledning. Rapporten Att införa IPv6 internetprotokoll version 6 En praktisk vägledning med nummer PTS-ER-2011:18, kan laddas ned från PTS webbplats: www.pts.se. 26 Systematiskt Informationssäkerhetsarbete i kommuner