Riktlinjer Informationssäkerhetsklassning
Innehållsförteckning Dokumentinformation... 3 Versionshantering... 3 Bilagor till riktlinjer... 3 Riktlinjer för informationssäkerhetsklassning... 4 Målgrupp... 4 Perspektiv i informationssäkerhetsklassningen... 4 Process för informationssäkerhetsklassning... 5 Steg 1 Identifiera informationstillgångar... 5 Steg 2 Klassificera informationstillgångar... 5 Steg 3 Riskanalys... 5 Steg 4 Åtgärder... 6 Praktiskt stöd vid genomförande av klassning... 7 Steg 1 Identifiera informationstillgångar... 7 Insamling av tidigare dokumentation... 7 Genomför workshop... 7 Steg 2 Klassificera informationstillgångar... 8 Rekommenderade kompetenser som deltagare i workshop... 8 Genomför workshop... 8 Löpande klassificering över tid... 9 Steg 3 och 4 Riskanalys och åtgärder... 10 Rekommenderade kompetenser som deltagare i workshop... 10 Genomför workshop... 10 Sammanställning av kompetenser för workshops... 12
Dokumentinformation Titel Dokumenttyp Skapat av Riktlinje informationssäkerhetsklassning Riktlinje Jari Koponen, Koncernstaben Datum 2017-05-10 Senast ändrad 2018-01-15 Godkänt av TF IT-direktör, Linda Gustafsson Version 1.1 Versionshantering Version Datum Ändrad av Kommentar 1.0 2017-08-17 Petronella Enström Beslutad av TF IT-direktör under styrgruppsmöte HIT fas 1 1.1 2018-01-15 Jari Koponen Beslut om ny version fattad av Linda Gustafsson under styrgruppsmöte HIT fas 2. Förenkling av riktlinjer, utökning av praktiskt stöd och skapat mallar för dokumentation. Bilagor till riktlinjer Bilaga Matris för informationssäkerhetsklassning Vägledning, lagkrav på informationstillgång Mall för Informationssäkerhetsklassning Mall för riskanalys Beskrivning Ett stödmaterial i form av en matris som hjälper till för bedömningar vid klassificering av informationstillgångar. En vägledning som ger stöd vid identifiering av lagkrav på informationstillgång. En mall för dokumentation av informationssäkerhetsklassning, denna mall blir i slutändan det primära dokumentet som beskriver och håller ihop en informationstillgångs informationssäkerhetsklassning. En mall för dokumentation av riskanalys.
Riktlinjer för informationssäkerhetsklassning En del i arbetet med att ha en kvalificerad, säker och långsiktig informationsförvaltning är att informationssäkerhetsklassa informationen. Dessa riktlinjer syftar till att hjälpa dig att genomföra en informationssäkerhetsklassning av en informationsmängd, i syfte att kunna ställa krav på rätt hantering av och säkerhet på informationsmängden. Resultatet av en informationssäkerhetsklassning är ett bra underlag till en kontinuitetsplanering för verksamheten, i syfte att kunna upprätthålla sin verksamhet vid en informationssäkerhetsincident. Resultatet kan även användas för att ställa relevanta krav på det IT-stöd som hanterar informationen samt de leverantörer som levererar IT-stödets funktion. Målgrupp Dessa riktlinjer ska stötta dig som informationsägare, informationsförvaltare, systemägare av ett IT-stöd och/eller verksamhetsansvarig i arbetet att informationssäkerhetsklassa informationen. Perspektiv i informationssäkerhetsklassningen Informationssäkerhetsklassning görs utifrån 4 perspektiv: Konfidentialitet vikten av åtkomstbegränsning Riktighet vikten av tillförlitlig, korrekt, fullständig information Tillgänglighet vikten av tillgång till informationen inom önskad tid Spårbarhet vikten av att kunna spåra olika händelser Utifrån denna klassning får ni reda på vilken typ av information som hanteras inom IT-stödet och därmed vilka krav ni skall ställa på den leverantör som ska tillhandahålla drift av ITstödet.
Process för informationssäkerhetsklassning Informationssäkerhetsklassning genomförs i fyra steg; informationsidentifiering, informationsklassificering, riskanalys och åtgärder. Det är viktigt att personer med verksamhetskompetens deltar i samtliga steg, de har de verksamhetskunskaper som gör att processen är möjlig att genomföra. Figur 1 - Det praktiska arbetet sker i fyra steg Steg 1 Identifiera informationstillgångar Arbetet startar med en inventering av de tillgångar som finns inom ett verksamhetsområde. Det är framför allt viktigt att identifiera de tillgångar som är mest kritiska, men även sekundära tillgångar bör noteras för att hanteras i nästa skede. Resultatet av steg 1 är en lista över informationstillgångar för aktuellt objekt. Tips! Har du redan identifierat informationstillgången och vill informationssäkerhetsklassa den specifika tillgången så kan du hoppa direkt till steg 2. Detta kan exempelvis vara att man utgår från ett specifikt verksamhetssystem (IT-stöd). Steg 2 Klassificera informationstillgångar Nästa steg är att klassificera identifierade tillgångar. Klassningen görs utifrån de fyra perspektiven; Konfidentialitet, Riktighet, Tillgänglighet och Spårbarhet. Använd Matris för informationssäkerhetsklassning (se bilaga) som stöd vid klassificering samt dokumentera resultatet i Mall för informationssäkerhetsklassning (se bilaga).. Resultatet av steg 2 är att varje informationstillgång från steg 1 har en klassning utifrån perspektiven. Tips! Om steg 1 genomförts övergripande för en verksamhet så bör steg 2 genomföras per enskild informationstillgång för att inte uppgiften ska bli övermäktig. Det blir även bättre resultat genom att fokusera på en informationstillgång i taget i detta steg. Steg 3 Riskanalys I det tredje steget analyseras identifierad informationstillgång i syfte att hitta de hot som kan riktas mot tillgången. Resultatet av riskanalys kan användas för att utforma ett säkert och kostnadseffektivt skydd utifrån behov. Först identifieras hoten mot den aktuella tillgången, sedan görs en bedömning av vilken klassificering hotet riktas mot (Konfidentialitet, Tillgänglighet, Riktighet, Spårbarhet) samt sannolikhet och påverkan. Slutligen beskrivs hur hotet kommer att påverka verksamheten om det skulle inträffa och vilka konsekvenser det skulle få.
En riskanalys skall alltid genomföras om en informationstillgång har klassificering 3 eller 4. Men det är även rekommenderat att genomföra för klassificering 2. Informationstillgångar med klassificering 1 behöver inte genomföra en riskanalys. Resultatet av steg 3 är en dokumentation av de hot som identifierats gentemot informationstillgångarna. Steg 4 Åtgärder I sista delen identifieras de åtgärder som bör tas för att hantera identifierade hot. Riskanalysen tillsammans med åtgärder är en mycket god grund för planering av det fortsatta säkerhetsarbetet i syfte att skapa en korrekt informationssäkerhetsnivå för identifierade tillgångar. Det är rekommenderat att använda riskanalysen med dokumenterade åtgärder som en handlingsplan för kommande periods förvaltning av informationstillgången. Verktyget KLASSA från SKL kan också användas för att skapa en handlingsplan med åtgärder för informationstillgången. Då utgår inte handlingsplanen enbart från en Riskanalys utan istället får verksamheten svara på ett antal frågor som genererar en generell och mycket detaljerad handlingsplan. Resultatet av steg 4 är en dokumentation över de åtgärder som behöver tas för att hantera de hot som identifierats i steg 3 (om inte SKL KLASSA används, då utgår inte handlingsplanen från en riskanalys). Tips! KLASSA är ett väldigt detaljerat verktyg men med vikt mot teknisk säkerhet, den är väldigt lämplig för att identifiera krav på IT-stöd som finns i okänd miljö (t ex en molntjänst). Om IT-stödet omfattas av det generella säkerhetsskyddet inom koncernens interna drifttjänster så medföljer samtidigt en stor del skydd som KLASSA ställer krav på via de rutiner och skydd som ingår i de interna drifttjänsterna.
Praktiskt stöd vid genomförande av klassning Nedan finns ett praktiskt stöd för genomförande av ovanstående process för informationssäkerhetsklassning. Det praktiska stödet innefattar allt från hur arbetet kan struktureras och genomföras till mallar som kan användas för att dokumentera resultatet. Stödet innefattar också en del tips som kan stötta dig på vägen. Steg 1 Identifiera informationstillgångar Insamling av tidigare dokumentation Börja alltid med att göra en genomgång om det finns tidigare kartläggningar som arbetet kan utgå från, det kan exempelvis finnas som resultat av ett arbete med e-arkiv. Finns en tidigare kartläggning ska den dock inte antas för att vara en sanning, den kan ha gjorts med ett annat syfte eller så kan förändringar ha skett. Använd det tidigare resultatet som input. I nästa läge bör man se över om det finns tidigare genomföra processkartläggningar, en beskrivning av process kan vara ett bra verktyg för att identifiera informationstillgångar som användas eller genereras inom processen. Se exempel nedan på en allmän process för betygsättning och vilka informationsmängder som identifierats att de krävs i den processen (de gråa rutorna). Genomför workshop När eventuell tidigare dokumentation är samlad så genomför du en workshop med verksamhetsföreträdare och personer med kännedom över den eller de IT-stöd som är involverade i behandlingen av informationsmängderna. Ett förslag på upplägg på workshop: Inled med presentation av workshop och syfte Informera om en tydlig avgränsning för vilket objekt eller vilken process som workshopen rör o En avgränsning kan t ex vara teknisk, organisatorisk, juridisk etc
Genomför en strukturerad form av brainstorming där deltagarna får i uppdrag att identifiera informationstillgångarna i aktuellt objekt och/eller process o Detta kan exempelvis ske i form av en övning där deltagarna skriver ned tillgångarna på post-it lappar. o Har processbeskrivningarna identifierats i förarbetet kan man använda dessa för att identifiera alla informationstillgångar inom processen Analysledaren samlar ihop resultatet av brainstormingen och en dialog kring resultatet förs öppet i gruppen o T ex genom att sätta alla post-it lappar på väggen och diskutera allt eftersom, detta brukar vara ett bra sätt att hitta informationstillgångarna som inte tidigare hittats eller för att hjälpas åt att definiera en informationstillgång. Dokumentera de informationstillgångar som hittats under workshopen i mallen för informationssäkerhetsklassning (se bilaga 3) Steg 2 Klassificera informationstillgångar Genomför nu en klassificering av den identifierade informationstillgången, i klassificeringen så utgår man alltid från rena krav som ställs på informationstillgången (t ex lagar eller förordningar) samt Matris för informationssäkerhetsklassning (se bilaga). Rekommenderade kompetenser som deltagare i workshop Workshopledare Den person som leder workshopen, bör ha kompetens inom informationssäkerhetsklassning. Ägare av informationstillgång Ägaren av informationstillgång/objektet, normalt även den som är beställare av informationssäkerhetsklassning. Teknisk kunnig rörande systemet Teknisk kunskap och kompetens rörande systemet och dess drift. Verksamhetskompetens Kompetenser som kan de verksamhetsprocesser som informationstillgången berör. Dokumentationsansvarig En som ansvarar för att dokumentera workshopen i mallarna för riktlinjerna. Genomför workshop Klassificeringen utförs även den bäst i workshopform. Ett förslag på upplägg på workshop:
Inled med presentation av workshop och syfte Identifiera vilka lagkrav som påverkar identifierad informationstillgång o Vilka lagar gäller för aktuell informationsmängd? Använd bilaga 2 Vägledning, lagkrav på informationstillgång som stöd i bedömningen över vilka krav som ställs på informationstillgången utifrån olika lagar. Klassa informationstillgång o Vilken klassificering har informationstillgången? Använd bilaga 1 Matris för informationssäkerhetsklassning som stöd i bedömningen av vilken klassificering informationstillgången ska ha utefter de fyra perspektiven; Konfidentialitet, Riktighet, Tillgänglighet och Spårbarhet Dokumentera resultat o Dokumentera resultatet från varje del i bilaga 3 Mall_Informationssäkerhetsklassning. Löpande klassificering över tid Både verksamheter och omvärlden förändras ständigt. En klassificering gäller inte för evigt eftersom information tillkommer, försvinner, förändras, får förändrad status, slås samman med annan information och så vidare. Därför behövs rutiner för hur förändringen ska hanteras i verksamheten. Alla informationsägare har ansvar för att deras informationstillgång är korrekt klassificerad, och det är viktigt att de har resurser och kunskap för att klara av detta. Ett mycket tydligt exempel på att en informationstillgångs klassificering kan ändra värde är exempelvis upphandlingsinformation. När en upphandling är avgjord så kan anbuden (självklart efter prövning) göras tillgängliga, men att innan beslutet är taget så ska de hanteras med absolut sekretess enligt OSL vilket leder till att den ska klassas högt i enlighet med aspekten konfidentialitet. Ett bra sätt att planera löpande klassificeringar är att använda sig av informationsförvaltningsmodellen i Sundsvalls kommun som stöd i förvaltandet av informationstillgången.
Steg 3 och 4 Riskanalys och åtgärder En riskanalys används för att anpassa skyddet så att det passar verksamhetens informationstillgångar. Om man inte känner till vilka risker som finns är det svårt att utforma ett säkert och kostnadseffektivt skydd. Vid genomförande av Riskanalys är det oftast smidigt att genomföra framtagande av åtgärder samtidigt, det vill säga att både steg 3 och 4 genomförs under samma workshop. När nedanstående är genomfört kommer det finnas ett dokument som beskriver Riskanalysen i form av hot, dess sannolikhet och konsekvenser samt vilka åtgärder som krävs för att hantera det. Rekommenderade kompetenser som deltagare i workshop Workshopledare Den person som leder workshopen, bör ha kompetens inom informationssäkerhetsklassning. Ägare av informationstillgång Ägaren av informationstillgång/objektet, normalt även den som är beställare av informationssäkerhetsklassning. Teknisk kunnig rörande systemet Teknisk kunskap och kompetens rörande systemet och dess drift. Verksamhetskompetens Kompetenser som kan de verksamhetsprocesser som informationstillgången berör. Dokumentationsansvarig En som ansvarar för att dokumentera workshopen i mallarna för riktlinjerna. Genomför workshop Riskanalysen utförs även den bäst i workshopform. Ett förslag på upplägg på workshop: Inled med presentation av workshop och syfte Presentera tidigare genomförd klassificering av informationstillgång genom en gemensam genomgång av ifylld mall för Informationssäkerhetsklassning Identifiera och gruppera hot o Deltagarna tar fram, diskuterar och dokumenterar alla hot de ser mot respektive analysobjekt genom att besvara frågorna: Vilka är hoten mot informationstillgångarna?
Vad kan inträffa? o Identifiering av hot sker ofta bäst i form av gemensam brainstorming, t ex genom en post-it övning där alla får identifiera hot och sätta upp dessa på väggen med post-it lappar och sedan diskutera gemensamt kring dessa. o Gör en gruppering av hoten för att identifiera dubbletter och få en konsoliderad bild av identifierade hot. Beskriv identifierade hot o Nu ska varje identifierat hot beskrivas i bilaga 4 Mall_Riskanalys. I mallen för Riskanalys finns en tabell som ska fyllas i för varje hot. Bedöm konsekvens och sannolikhet för varje hot o Nu ska konsekvens och sannolikhet för ett inträffat hot bedömas och dokumenteras i samma mall som användes för att dokumentera hotet. Sannolikheten anger hur troligt det är att hotet kommer att inträffa enligt följande kategorier: mycket sällan en gång på 100 år sällan en gång på 10 år regelbundet - årligen ofta mer än en gång per år Konsekvensen är ett mått på hur mycket verksamheten skadas om hotet blir verklighet. Påverkan kan exempelvis vara direkt eller indirekt, ekonomisk eller medmänsklig. Modellen innehåller följande fyra nivåer: försumbar skada måttlig skada betydande skada allvarlig skada Definitionerna av konsekvens och sannolikhet är ett riktmärke och kan förändras, och det är viktigt att gruppen går igenom definitionerna och ändrar det som behövs. Eventuella förändringar av definitioner ska dokumenteras och tas med i dokumentet. Ta fram åtgärder för varje hot
o Nu ska gruppen ta fram förslag på hur varje hot ska hanteras. Diskutera och ta fram förslag på åtgärder som dokumenteras direkt i samma mall som hoten. o Åtgärder som identifieras och rör ett IT-stöd är mycket god input till systemförvaltningsplanen för IT-stödet. Avsluta med en övergripande genomgång av dokumentet för Riskanalysen med gruppen Sammanställning av kompetenser för workshops