Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Relevanta dokument
Informationssäkerhet, säker identifikation och KLASSA. Webbseminarium

Informationsklassning och systemsäkerhetsanalys en guide

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Strukturerat informationssäkerhetsarbete

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Riktlinjer för dataskydd

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Ledningens informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Koncernkontoret Enheten för säkerhet och intern miljöledning

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Policy för informations- säkerhet och personuppgiftshantering

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Riktlinjer för IT och informationssäkerhet - förvaltning

Verksamhetsplan Informationssäkerhet

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Myndigheten för samhällsskydd och beredskaps författningssamling

Administrativ säkerhet

Riktlinje för informationssäkerhet

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Policy för informationssäkerhet

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Riktlinjer för IT-säkerhet i Halmstads kommun

Utbildningsdag om informationssäkerhet

Hur värnar kommuner digital säkerhet?

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

I n fo r m a ti o n ssä k e r h e t

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Riktlinjer informationssäkerhetsklassning

ISO/IEC och Nyheter

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

I Central förvaltning Administrativ enhet

Nya krav på systematiskt informationssäkerhets arbete

1(6) Informationssäkerhetspolicy. Styrdokument

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Informationsklassning , Jan-Olof Andersson

Bilaga 3 Säkerhet Dnr: /

Policy för informationssäkerhet

POLICY FÖR E-ARKIV STOCKHOLM

Informationskartläggning och Säkerhetsklassning

Informationssäkerhetspolicy för Umeå universitet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Säker informationshantering utifrån ett processperspektiv

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Ett eller flera dataskyddsombud?

Juridik och informationssäkerhet

Svensk Standard SS ISO/IEC SS

Informationssäkerhet - Informationssäkerhetspolicy

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Verktygsstöd för Informationssäkerhet KLASSA

Säkerhetsskydd en översikt. Thomas Palfelt

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

SÅ HÄR GÖR VI I NACKA

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

INFORMATIONSSÄKERHET OCH DATASKYDD

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Så här behandlar vi dina personuppgifter

POLICY INFORMATIONSSÄKERHET

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Fortsättning av MSB:s metodstöd

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Så här behandlar vi dina personuppgifter

Informationsblad om vissa juridiska aspekter på systematisk uppföljning i socialtjänsten och EU:s dataskyddsförordning

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Modell för klassificering av information

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Informationssäkerhetspolicy. Linköpings kommun

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

EBITS Energibranschens IT-säkerhetsforum

Strukturerad informationshantering

Informations- och IT-säkerhet i kommunal verksamhet

POLICY FÖR E-ARKIV STOCKHOLM

Ledningssystem för IT-tjänster

Transkript:

Informationssäkerhet och SKLs verktyg KLASSA Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Vad är informationssäkerhet? Information som är viktig för verksamheten Finns något som kan hota den? Skydda den Mål som är viktiga för verksamheten Finns något som kan hindra måluppfyllnad? Undvik hindren och nå målen Informationssäkerhet Kvalitet

Lagkrav på informationssäkerhet? LSS Säkerhetsskydd Patientdata GDPR Dataskydd NIS OSL

Informationssäkerhet SIS-standard ISO 27000-serien En organisationsresa från datahallen till ledningsrummet Informations -säkerhet Flytta fokus från IT till verksamhet! Administrativ säkerhet Teknisk säkerhet Rutiner Riktlinjer Uppföljning Ansvar Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikationssäkerhet

Informationssäkerhet på alla nivåer Ledningssystem för informationssäkerhet, LIS Styrdokument Strategisk kommunnivå Anpassade rutiner Klassning Instruktioner medarbetare Socialtjänst Skola m.m. IT-säkerhet Säkerhetsnivåer Krav på leverantörer IT-drift Leverantörer Leverantör Kommunikation m.m.

Vad är målet med informationssäkerhetsarbetet? Lagkrav Bevara tillit Kvalitet Undvika negativa händelser Verksamhetens behov

MSB:s Metodstöd för systematiskt informationssäkerhetsarbete

Verktyget KLASSA SKL tillhandahåller verktyget KLASSA för sina medlemmar, dvs kommuner, landsting och regioner, samt deras bolag Verktyget: Utgör ett it-stöd för informationssäkerhet Har ett systemförvaltarperspektiv, dvs gränsytan verksamhet och teknik Erbjuder en metod för informationsklassificering enligt MSB:s metodstöd för informationssäkerhet (www.informationssäkerhet.se) Ger, genom självskattning, en kontroll av regelefterlevnad (compliance) för Informationssäkerhet informationsskydd, ju högre klassningsnivåer desto fler krav Följande lagrum ingår som valbara moduler GDPR för aktuellt system, 21 frågor om dataskydd enligt EUs Dataskyddsförordning PDL Patientdatalagen och krav för informationsskydd NIS-direktivet för samhällsviktig verksamhet Ej valbar ingår alltid: OSL Offentlighets och sekretesslagen: skydd av information som omfattas sekretess

Steg 2 i en Klassa-workshop innebär en självskattning av skyddsåtgärder för informationen och rör både organisatoriska och tekniska frågor, en s.k. compliance-genomgång för informationssäkerhet.

Så genomför vi en informationsklassning Resultatet av informationsklassningen i detta exempel är: K2R1T3 Verksamhetens krav är högst för tillgänglighet, sedan för konfidentialitet och lägst för informationens riktighet Källa: informationssäkerhet.se

Källa: klassa-info.skl.se Konfidentialitet att informationen åtkomstbegränsas Nivå 0 ingen eller försumbar skada Nivå 1 måttlig skada Nivå 2 betydande skada Nivå 3 allvarlig skada (Nivå 4 rör endast säkerhetsskydd) Synnerligen allvarlig skada Ingen eller försumbar skada Måttlig skada - ex minskad förmåga att genomföra verksamhetens uppdrag, effektiviteten är påvisbart reducerad Betydande skada - ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, eller förlust av skapat förtroende Allvarlig skada - ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, eller fara för liv och hälsa Skada för rikets säkerhet som inte endast är ringa. Röjande av informationen medför ingen eller försumbar skada. Inga svårigheter för verksamheten att nå målen. Ingen eller endast försumbar påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Röjande av informationen medför måttlig skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan. Röjande av informationen medför betydande skada. Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen. Röjande av information medför allvarlig skada. Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt. Allvarlig kränkning av den personliga integriteten. Röjande av informationen medför skada för rikets säkerhet som inte endast är ringa. Systemet behandlar information som omfattas av sekretess och rör rikets säkerhet (hemliga uppgifter) där röjande av information kan ge oöverskådliga konsekvenser där t ex omfattande fara för liv och hälsa föreligger. Informationen omfattas av t ex säkerhetsskyddslagstiftningen.

Riktighet att informationen ska vara tillförlitlig, korrekt och fullständig Nivå 0 ingen eller försumbar skada Nivå 1 måttlig skada Ingen eller försumbar skada Måttlig skada - ex minskad förmåga att genomföra verksamhetens uppdrag, effektiviteten är påvisbart reducerad Information som obehörigen, av misstag eller på grund av en funktionsstörning ändrats medför ingen eller försumbar skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Röjande av informationen medför måttlig skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan. Nivå 2 betydande skada Betydande skada - ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, eller förlust av skapat förtroende Röjande av informationen medför betydande skada. Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen. Nivå 3 allvarlig skada Allvarlig skada - ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, eller fara för liv och hälsa Röjande av information medför allvarlig skada. Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt. Individers liv och hälsa äventyras. (Nivå 4 rör endast säkerhetsskydd) Synnerligen allvarlig skada Skada för rikets säkerhet som inte endast är ringa. Röjande av informationen medför skada för rikets säkerhet som inte endast är ringa. Systemet behandlar information som omfattas av sekretess och rör rikets säkerhet (hemliga uppgifter) där röjande av information kan ge oöverskådliga konsekvenser där t ex omfattande fara för liv och hälsa föreligger. Informationen omfattas av t ex säkerhetsskyddslagstiftningen. Källa: klassa-info.skl.se

Tillgänglighet att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet Nivå 0 ingen eller försumbar skada Nivå 1 måttlig skada Nivå 2 betydande skada Nivå 3 allvarlig skada (Nivå 4 rör endast säkerhetsskydd) Synnerligen allvarlig skada Ingen eller försumbar skada Måttlig skada - ex minskad förmåga att genomföra verksamhetens uppdrag, effektiviteten är påvisbart reducerad Betydande skada - ex tillgänglighetsstörninga r, brott mot regelverk, rättsliga krav och avtal, eller förlust av skapat förtroende Allvarlig skada - ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, eller fara för liv och hälsa Skada för rikets säkerhet som inte endast är ringa. Ett avbrott medför ingen eller försumbar skada. Inga eller försumbara svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas inte eller i försumbar omfattning av otillgänglighet till systemet. Ett avbrott medför måttlig skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation Externa individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan. Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas endast i begränsad omfattning av otillgänglighet till systemet. Ett avbrott medför betydande skada. Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Samhällsviktiga funktioner vid egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen. Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas i en betydande omfattning av otillgänglighet till systemet. Ett avbrott medför allvarlig skada. Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt. Individers liv och hälsa äventyras. Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas i en allvarlig/katastrofal omfattning av otillgänglighet i systemet. Ett avbrott som medför skada för rikets säkerhet som inte endast är ringa. Systemet behandlar information som omfattas av sekretess och rör rikets säkerhet (hemliga uppgifter) där otillgänglighet kan ge oöverskådliga konsekvenser där t ex omfattande fara för liv och hälsa föreligger. Informationen omfattas av t ex säkerhetsskyddslagstiftningen. Källa: klassa-info.skl.se

Exempel på skyddsåtgärder i handlingsplanen Notis: aktuellt system har klassats som K2 R2 T2, varför siffran 2 syns i tabellen till höger # Krav ISO kapitel ISO kravområde Kon. Rik. Til. 3011 Behörigheter i systemet baseras på ett dokumenterat regelverk där legala krav och verksamhetskrav har beaktats. Regelverkets efterlevnad följs upp regelbundet eller i enlighet med legala krav. A.9.1 Verksamhetskrav för styrning av åtkomst Säkerhetsåtgärder begränsar tillgång till det nätverk, eller den nätverkstjänst, A.9.1 Verksamhetskrav för 3012 som systemet använder. styrning av åtkomst 3013 Det finns en dokumenterad och formell process för hur användaridentiteter hanteras. De digitala identiteterna är personliga och unika över tid. Se vägledningen för tillitsnivå 2 (LoA2) för detaljer. Processen för ändringhantering är dokumenterad. Alla förändringar av 3029 systemet följer processen. 3030 Systemets resursanvändning och prestanda övervakas. Alla större ändringar utvärderas i en testmiljö innan de installeras i 3031 produktionsmiljön. Informationen i systemet skyddas mot skadlig kod genom 3032 säkerhetsuppdateringar. Skyddet mot skadlig kod uppdateras kontinuerligt. Loggar från användare med högre behörigheter i systemet (priviligierade) 3036 bevaras, skyddas mot obehörig åtkomst och förändring, samt granskas vid behov. Systemet och kringliggande infrastruktur använder den svenska nationella 3037 tidsskalan UTC(SP) som källa för tid. Systemförvaltare för systemet ansvarar för att hålla sig uppdaterad kring 3038 tekniska sårbarheter. Det finns rutiner för hur tekniska sårbarheter ska hanteras. Åtgärder vidtas för att minska risken att sårbarheter kan utnyttjas. A.9.2 Hantering av användaråtkomst A.12.1 Driftsrutiner och ansvar A.12.1 Driftsrutiner och ansvar A.12.1 Driftsrutiner och ansvar A.12.2 Skydd mot skadlig kod A.12.4 Loggning och övervakning A.12.4 Loggning och övervakning A.12.6 Hantering av tekniska sårbarheter A.9.1.1 Regler för styrning av åtkomst A.9.1.2 Tillgång till nätverk och nätverkstjänster A.9.2.1 Registrering och avregistrering av användare 2 2 2 2 2 2 A.12.1.2 Ändringshantering 2 A.12.1.3 Kapacitetshantering 2 A.12.1.4 Separation av utvecklings-, test och driftmiljöer A.12.2.1 Säkerhetsåtgärder mot skadlig kod A.12.4.3 Administratörs- och operatörsloggar 2 2 2 2 2 2 A.12.4.4 Synkronisering av tid 2 A.12.6.1 Hantering av tekniska sårbarheter 2 2 2

Exempel på upphandlingskrav (avtalsbilagor) # Krav ISO kapitel ISO kravområde Kon. Rik. Til. Leverantören ska för de delar av verksamheten som berörs i A.6.1.1 3501 leveransen ha ett ledningssystem för informationssäkerhet (LIS) som baseras på SS-EN ISO/IEC27001:2017 eller motsvarande. A.6.1 Intern organisation Informationssäkerhetsroller och ansvar 2 2 2 Leverantören ska ha tillsett att ansvar och arbetsuppgifter som står i A.6.1.2 Uppdelning av 3502 A.6.1 Intern organisation konflikt med varandra och kan leda till missbruk är åtskilda. arbetsuppgifter 2 2 2 Leverantören ska ha upprättat kontakter med de myndigheter som 3503 berörs av leveransen A.6.1 Intern organisation A.6.1.3 Kontakt med myndigheter 2 2 2 Leverantören ska ha en policy som beskriver hur de anställda får A.6.2 Mobila enheter och 3504 arbeta på distans avseende drift, förvaltning och support av de A.6.2.2 Distansarbete distansarbete levererade tjänsterna. 2 2 Leverantören ska ha processer och rutiner på plats för relevant 3505 bakgrundskontroll av personal. A.7.1 Före anställning A.7.1.1 Bakgrundskontroll 2 2 Leverantören ska ha avtal om tystnadsplikt med sina anställda. Tystnadsplikten ska omfatta information om leverantörens kunder. Via 3506 avtal ska leverantören även säkerställa tystnadsplikt för A.7.1 Före anställning A.7.1.2 Anställningsvillkor 2 underleverantörer. Leverantören ska för sin personal regelbundet genomföra utbildningar 3507 för ökad medvetenhet kring informationssäkerhet samt hålla sig A.7.2 Under anställning A.7.2.2 Medvetenhet, utbildning och fortbildning vad gäller 2 2 2 uppdaterad kring beställarens policys, regler och rutiner. informationssäkerhet Leverantören ska ha tydliga och kommunicerade åtgärder för 3508 överträdelse av informationssäkerhetsregler. A.7.2 Under anställning A.7.2.3 Disciplinär process 2 2 2 Leverantören ska till personalen ha kommunicerat de ansvar och skyldigheter som förblir gällande efter ändring eller avslut av A.7.3 Avslut eller ändring A.7.3.1 Avslut eller ändring av 3509 anställning. Personalen ska ha skrivit under en ansvarsförbindelse av anställning anställds ansvar 2 2 2 avseende detta. Leverantören ska ha dokumenterade regler, rutiner och roller som A.8.1 Ansvar för A.8.1.3 Tillåten användning av 3510 beskriver tillåten användning av de resurser som ingår i leveransen. tillgångar tillgångar 2 Leverantören ska ha rutiner och funktioner för att permanent radera A.8.1 Ansvar för A.8.1.4 Återlämnande av 3511 information som är relaterade till leveransen. tillgångar tillgångar 2 Leverantören ska under kontraktstiden, dock minst vart tredje år, ha genomfört en riskbedömning för systemet. Identifierade brister ska A.8.2 3512 åtgärdas enligt en dokumenterad plan och kunna redovisas för Informationsklassning A.8.2.1 Klassning av information 2 2 2 beställaren.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss