Riktlinjer. Informationssäkerhetsklassning

Relevanta dokument
UTKAST. Riktlinjer vid val av molntjänst

Riktlinjer informationssäkerhetsklassning

VÄGLEDNING INFORMATIONSKLASSNING

Metodstöd 2

Riskanalys. Version 0.3

Informationssäkerhetspolicy för Ystads kommun F 17:01

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Långsiktig teknisk målbild Socialtjänsten

Handbok för arbete med kvalificerad, säker och långsiktig Informationsförvaltning

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Informationssäkerhetspolicy inom Stockholms läns landsting

Dnr

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Informationsklassning och systemsäkerhetsanalys en guide

POLICY INFORMATIONSSÄKERHET

IT-stöd Barn- och utbildningsförvaltning

RUTIN FÖR RISKANALYS

Analys av RFI. IT-stöd Socialtjänsten. Sammanfattning:

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Riktlinjer för dataskydd

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Strategi för långsiktig informationsförvaltning och införande av e-arkiv

Administrativ säkerhet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Metod för klassning av IT-system och E-tjänster

Informationssäkerhetspolicy

I n fo r m a ti o n ssä k e r h e t

Riktlinjer för informationssäkerhet

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Koncernkontoret Enheten för säkerhet och intern miljöledning

Ärende Beslut eller åtgärd. 1 Fastställande av dagordning Inga ärenden anmäldes till Övrigt.

Kompletteringsuppgift: Verksamhetsanalys och riskanalys

Ramverket för informationssäkerhet 2

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Ånge kommun

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy

1(6) Informationssäkerhetspolicy. Styrdokument

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Utforma säkerhetsprocesser

Stadsledningskontorets system för intern kontroll

Policy och strategi för informationssäkerhet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

RISKHANTERING FÖR SCADA

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Finansinspektionens författningssamling

VÄLKOMMEN TILL TRIFFIQS VERKSAMHETSSYSTEM - TVS!

Strukturerad omvärldsbevakning. Version

Tillväxtverkets riktlinjer för intern styrning och kontroll

Riktlinjer för informationssäkerhet

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhetspolicy

BESLUT. Instruktion för informationsklassificering

IT-plansprocessen. Titel: IT-plansprocessen Version: 2.0 Godkänd av: Joakim Jenhagen Chef IT-stab Datum:

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Information om dataskyddsförordningen

Finansinspektionens författningssamling

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Teknisk målbild. Skola på webben

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Riktlinje för riskhantering

Riktlinje för Systemförvaltning

Fortsättning av MSB:s metodstöd

Informationssäkerhetspolicy

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Avbrott i bredbandstelefonitjänst

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Ansvar och roller för ägande och förvaltande av informationssystem

Finansinspektionens författningssamling

Riktlinjer för intern kontroll

Modell för klassificering av information

Rutiner för säker roll och behörighet SLUTRAPPORT Version 1,0. Kalmar, Sakkunnig, Stephen Dorch. Projektledare, Ulrika Adolfsson

POLICY FÖR E-ARKIV STOCKHOLM

Myndigheten för samhällsskydd och beredskaps författningssamling

Regler och instruktioner för verksamheten

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Kommunledning. Ärendenr: 2016/61 Fastställd: KS Reviderad: KS RIKTLINJE. Intern kontroll

Välkommen till enkäten!

Vetenskapsrådets informationssäkerhetspolicy

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

SÅ HÄR GÖR VI I NACKA

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Processpecifikation för Process Utveckla process

Bilaga Från standard till komponent

Lokala regler och anvisningar för intern kontroll

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Gruppövning undersöka organisatorisk och social arbetsmiljö

Svar på revisionsskrivelse informationssäkerhet

Mina Meddelanden - Risk- och Sårbarhetsanalys för anslutande kommuner

Riktlinjer vid utveckling av IT-stöd

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetspolicy för Umeå universitet

Anvisningar för intern styrning och kontroll vid Karolinska Institutet

Transkript:

Riktlinjer Informationssäkerhetsklassning

Innehållsförteckning Dokumentinformation... 3 Versionshantering... 3 Bilagor till riktlinjer... 3 Riktlinjer för informationssäkerhetsklassning... 4 Målgrupp... 4 Perspektiv i informationssäkerhetsklassningen... 4 Process för informationssäkerhetsklassning... 5 Steg 1 Identifiera informationstillgångar... 5 Steg 2 Klassificera informationstillgångar... 5 Steg 3 Riskanalys... 5 Steg 4 Åtgärder... 6 Praktiskt stöd vid genomförande av klassning... 7 Steg 1 Identifiera informationstillgångar... 7 Insamling av tidigare dokumentation... 7 Genomför workshop... 7 Steg 2 Klassificera informationstillgångar... 8 Rekommenderade kompetenser som deltagare i workshop... 8 Genomför workshop... 8 Löpande klassificering över tid... 9 Steg 3 och 4 Riskanalys och åtgärder... 10 Rekommenderade kompetenser som deltagare i workshop... 10 Genomför workshop... 10 Sammanställning av kompetenser för workshops... 12

Dokumentinformation Titel Dokumenttyp Skapat av Riktlinje informationssäkerhetsklassning Riktlinje Jari Koponen, Koncernstaben Datum 2017-05-10 Senast ändrad 2018-01-15 Godkänt av TF IT-direktör, Linda Gustafsson Version 1.1 Versionshantering Version Datum Ändrad av Kommentar 1.0 2017-08-17 Petronella Enström Beslutad av TF IT-direktör under styrgruppsmöte HIT fas 1 1.1 2018-01-15 Jari Koponen Beslut om ny version fattad av Linda Gustafsson under styrgruppsmöte HIT fas 2. Förenkling av riktlinjer, utökning av praktiskt stöd och skapat mallar för dokumentation. Bilagor till riktlinjer Bilaga Matris för informationssäkerhetsklassning Vägledning, lagkrav på informationstillgång Mall för Informationssäkerhetsklassning Mall för riskanalys Beskrivning Ett stödmaterial i form av en matris som hjälper till för bedömningar vid klassificering av informationstillgångar. En vägledning som ger stöd vid identifiering av lagkrav på informationstillgång. En mall för dokumentation av informationssäkerhetsklassning, denna mall blir i slutändan det primära dokumentet som beskriver och håller ihop en informationstillgångs informationssäkerhetsklassning. En mall för dokumentation av riskanalys.

Riktlinjer för informationssäkerhetsklassning En del i arbetet med att ha en kvalificerad, säker och långsiktig informationsförvaltning är att informationssäkerhetsklassa informationen. Dessa riktlinjer syftar till att hjälpa dig att genomföra en informationssäkerhetsklassning av en informationsmängd, i syfte att kunna ställa krav på rätt hantering av och säkerhet på informationsmängden. Resultatet av en informationssäkerhetsklassning är ett bra underlag till en kontinuitetsplanering för verksamheten, i syfte att kunna upprätthålla sin verksamhet vid en informationssäkerhetsincident. Resultatet kan även användas för att ställa relevanta krav på det IT-stöd som hanterar informationen samt de leverantörer som levererar IT-stödets funktion. Målgrupp Dessa riktlinjer ska stötta dig som informationsägare, informationsförvaltare, systemägare av ett IT-stöd och/eller verksamhetsansvarig i arbetet att informationssäkerhetsklassa informationen. Perspektiv i informationssäkerhetsklassningen Informationssäkerhetsklassning görs utifrån 4 perspektiv: Konfidentialitet vikten av åtkomstbegränsning Riktighet vikten av tillförlitlig, korrekt, fullständig information Tillgänglighet vikten av tillgång till informationen inom önskad tid Spårbarhet vikten av att kunna spåra olika händelser Utifrån denna klassning får ni reda på vilken typ av information som hanteras inom IT-stödet och därmed vilka krav ni skall ställa på den leverantör som ska tillhandahålla drift av ITstödet.

Process för informationssäkerhetsklassning Informationssäkerhetsklassning genomförs i fyra steg; informationsidentifiering, informationsklassificering, riskanalys och åtgärder. Det är viktigt att personer med verksamhetskompetens deltar i samtliga steg, de har de verksamhetskunskaper som gör att processen är möjlig att genomföra. Figur 1 - Det praktiska arbetet sker i fyra steg Steg 1 Identifiera informationstillgångar Arbetet startar med en inventering av de tillgångar som finns inom ett verksamhetsområde. Det är framför allt viktigt att identifiera de tillgångar som är mest kritiska, men även sekundära tillgångar bör noteras för att hanteras i nästa skede. Resultatet av steg 1 är en lista över informationstillgångar för aktuellt objekt. Tips! Har du redan identifierat informationstillgången och vill informationssäkerhetsklassa den specifika tillgången så kan du hoppa direkt till steg 2. Detta kan exempelvis vara att man utgår från ett specifikt verksamhetssystem (IT-stöd). Steg 2 Klassificera informationstillgångar Nästa steg är att klassificera identifierade tillgångar. Klassningen görs utifrån de fyra perspektiven; Konfidentialitet, Riktighet, Tillgänglighet och Spårbarhet. Använd Matris för informationssäkerhetsklassning (se bilaga) som stöd vid klassificering samt dokumentera resultatet i Mall för informationssäkerhetsklassning (se bilaga).. Resultatet av steg 2 är att varje informationstillgång från steg 1 har en klassning utifrån perspektiven. Tips! Om steg 1 genomförts övergripande för en verksamhet så bör steg 2 genomföras per enskild informationstillgång för att inte uppgiften ska bli övermäktig. Det blir även bättre resultat genom att fokusera på en informationstillgång i taget i detta steg. Steg 3 Riskanalys I det tredje steget analyseras identifierad informationstillgång i syfte att hitta de hot som kan riktas mot tillgången. Resultatet av riskanalys kan användas för att utforma ett säkert och kostnadseffektivt skydd utifrån behov. Först identifieras hoten mot den aktuella tillgången, sedan görs en bedömning av vilken klassificering hotet riktas mot (Konfidentialitet, Tillgänglighet, Riktighet, Spårbarhet) samt sannolikhet och påverkan. Slutligen beskrivs hur hotet kommer att påverka verksamheten om det skulle inträffa och vilka konsekvenser det skulle få.

En riskanalys skall alltid genomföras om en informationstillgång har klassificering 3 eller 4. Men det är även rekommenderat att genomföra för klassificering 2. Informationstillgångar med klassificering 1 behöver inte genomföra en riskanalys. Resultatet av steg 3 är en dokumentation av de hot som identifierats gentemot informationstillgångarna. Steg 4 Åtgärder I sista delen identifieras de åtgärder som bör tas för att hantera identifierade hot. Riskanalysen tillsammans med åtgärder är en mycket god grund för planering av det fortsatta säkerhetsarbetet i syfte att skapa en korrekt informationssäkerhetsnivå för identifierade tillgångar. Det är rekommenderat att använda riskanalysen med dokumenterade åtgärder som en handlingsplan för kommande periods förvaltning av informationstillgången. Verktyget KLASSA från SKL kan också användas för att skapa en handlingsplan med åtgärder för informationstillgången. Då utgår inte handlingsplanen enbart från en Riskanalys utan istället får verksamheten svara på ett antal frågor som genererar en generell och mycket detaljerad handlingsplan. Resultatet av steg 4 är en dokumentation över de åtgärder som behöver tas för att hantera de hot som identifierats i steg 3 (om inte SKL KLASSA används, då utgår inte handlingsplanen från en riskanalys). Tips! KLASSA är ett väldigt detaljerat verktyg men med vikt mot teknisk säkerhet, den är väldigt lämplig för att identifiera krav på IT-stöd som finns i okänd miljö (t ex en molntjänst). Om IT-stödet omfattas av det generella säkerhetsskyddet inom koncernens interna drifttjänster så medföljer samtidigt en stor del skydd som KLASSA ställer krav på via de rutiner och skydd som ingår i de interna drifttjänsterna.

Praktiskt stöd vid genomförande av klassning Nedan finns ett praktiskt stöd för genomförande av ovanstående process för informationssäkerhetsklassning. Det praktiska stödet innefattar allt från hur arbetet kan struktureras och genomföras till mallar som kan användas för att dokumentera resultatet. Stödet innefattar också en del tips som kan stötta dig på vägen. Steg 1 Identifiera informationstillgångar Insamling av tidigare dokumentation Börja alltid med att göra en genomgång om det finns tidigare kartläggningar som arbetet kan utgå från, det kan exempelvis finnas som resultat av ett arbete med e-arkiv. Finns en tidigare kartläggning ska den dock inte antas för att vara en sanning, den kan ha gjorts med ett annat syfte eller så kan förändringar ha skett. Använd det tidigare resultatet som input. I nästa läge bör man se över om det finns tidigare genomföra processkartläggningar, en beskrivning av process kan vara ett bra verktyg för att identifiera informationstillgångar som användas eller genereras inom processen. Se exempel nedan på en allmän process för betygsättning och vilka informationsmängder som identifierats att de krävs i den processen (de gråa rutorna). Genomför workshop När eventuell tidigare dokumentation är samlad så genomför du en workshop med verksamhetsföreträdare och personer med kännedom över den eller de IT-stöd som är involverade i behandlingen av informationsmängderna. Ett förslag på upplägg på workshop: Inled med presentation av workshop och syfte Informera om en tydlig avgränsning för vilket objekt eller vilken process som workshopen rör o En avgränsning kan t ex vara teknisk, organisatorisk, juridisk etc

Genomför en strukturerad form av brainstorming där deltagarna får i uppdrag att identifiera informationstillgångarna i aktuellt objekt och/eller process o Detta kan exempelvis ske i form av en övning där deltagarna skriver ned tillgångarna på post-it lappar. o Har processbeskrivningarna identifierats i förarbetet kan man använda dessa för att identifiera alla informationstillgångar inom processen Analysledaren samlar ihop resultatet av brainstormingen och en dialog kring resultatet förs öppet i gruppen o T ex genom att sätta alla post-it lappar på väggen och diskutera allt eftersom, detta brukar vara ett bra sätt att hitta informationstillgångarna som inte tidigare hittats eller för att hjälpas åt att definiera en informationstillgång. Dokumentera de informationstillgångar som hittats under workshopen i mallen för informationssäkerhetsklassning (se bilaga 3) Steg 2 Klassificera informationstillgångar Genomför nu en klassificering av den identifierade informationstillgången, i klassificeringen så utgår man alltid från rena krav som ställs på informationstillgången (t ex lagar eller förordningar) samt Matris för informationssäkerhetsklassning (se bilaga). Rekommenderade kompetenser som deltagare i workshop Workshopledare Den person som leder workshopen, bör ha kompetens inom informationssäkerhetsklassning. Ägare av informationstillgång Ägaren av informationstillgång/objektet, normalt även den som är beställare av informationssäkerhetsklassning. Teknisk kunnig rörande systemet Teknisk kunskap och kompetens rörande systemet och dess drift. Verksamhetskompetens Kompetenser som kan de verksamhetsprocesser som informationstillgången berör. Dokumentationsansvarig En som ansvarar för att dokumentera workshopen i mallarna för riktlinjerna. Genomför workshop Klassificeringen utförs även den bäst i workshopform. Ett förslag på upplägg på workshop:

Inled med presentation av workshop och syfte Identifiera vilka lagkrav som påverkar identifierad informationstillgång o Vilka lagar gäller för aktuell informationsmängd? Använd bilaga 2 Vägledning, lagkrav på informationstillgång som stöd i bedömningen över vilka krav som ställs på informationstillgången utifrån olika lagar. Klassa informationstillgång o Vilken klassificering har informationstillgången? Använd bilaga 1 Matris för informationssäkerhetsklassning som stöd i bedömningen av vilken klassificering informationstillgången ska ha utefter de fyra perspektiven; Konfidentialitet, Riktighet, Tillgänglighet och Spårbarhet Dokumentera resultat o Dokumentera resultatet från varje del i bilaga 3 Mall_Informationssäkerhetsklassning. Löpande klassificering över tid Både verksamheter och omvärlden förändras ständigt. En klassificering gäller inte för evigt eftersom information tillkommer, försvinner, förändras, får förändrad status, slås samman med annan information och så vidare. Därför behövs rutiner för hur förändringen ska hanteras i verksamheten. Alla informationsägare har ansvar för att deras informationstillgång är korrekt klassificerad, och det är viktigt att de har resurser och kunskap för att klara av detta. Ett mycket tydligt exempel på att en informationstillgångs klassificering kan ändra värde är exempelvis upphandlingsinformation. När en upphandling är avgjord så kan anbuden (självklart efter prövning) göras tillgängliga, men att innan beslutet är taget så ska de hanteras med absolut sekretess enligt OSL vilket leder till att den ska klassas högt i enlighet med aspekten konfidentialitet. Ett bra sätt att planera löpande klassificeringar är att använda sig av informationsförvaltningsmodellen i Sundsvalls kommun som stöd i förvaltandet av informationstillgången.

Steg 3 och 4 Riskanalys och åtgärder En riskanalys används för att anpassa skyddet så att det passar verksamhetens informationstillgångar. Om man inte känner till vilka risker som finns är det svårt att utforma ett säkert och kostnadseffektivt skydd. Vid genomförande av Riskanalys är det oftast smidigt att genomföra framtagande av åtgärder samtidigt, det vill säga att både steg 3 och 4 genomförs under samma workshop. När nedanstående är genomfört kommer det finnas ett dokument som beskriver Riskanalysen i form av hot, dess sannolikhet och konsekvenser samt vilka åtgärder som krävs för att hantera det. Rekommenderade kompetenser som deltagare i workshop Workshopledare Den person som leder workshopen, bör ha kompetens inom informationssäkerhetsklassning. Ägare av informationstillgång Ägaren av informationstillgång/objektet, normalt även den som är beställare av informationssäkerhetsklassning. Teknisk kunnig rörande systemet Teknisk kunskap och kompetens rörande systemet och dess drift. Verksamhetskompetens Kompetenser som kan de verksamhetsprocesser som informationstillgången berör. Dokumentationsansvarig En som ansvarar för att dokumentera workshopen i mallarna för riktlinjerna. Genomför workshop Riskanalysen utförs även den bäst i workshopform. Ett förslag på upplägg på workshop: Inled med presentation av workshop och syfte Presentera tidigare genomförd klassificering av informationstillgång genom en gemensam genomgång av ifylld mall för Informationssäkerhetsklassning Identifiera och gruppera hot o Deltagarna tar fram, diskuterar och dokumenterar alla hot de ser mot respektive analysobjekt genom att besvara frågorna: Vilka är hoten mot informationstillgångarna?

Vad kan inträffa? o Identifiering av hot sker ofta bäst i form av gemensam brainstorming, t ex genom en post-it övning där alla får identifiera hot och sätta upp dessa på väggen med post-it lappar och sedan diskutera gemensamt kring dessa. o Gör en gruppering av hoten för att identifiera dubbletter och få en konsoliderad bild av identifierade hot. Beskriv identifierade hot o Nu ska varje identifierat hot beskrivas i bilaga 4 Mall_Riskanalys. I mallen för Riskanalys finns en tabell som ska fyllas i för varje hot. Bedöm konsekvens och sannolikhet för varje hot o Nu ska konsekvens och sannolikhet för ett inträffat hot bedömas och dokumenteras i samma mall som användes för att dokumentera hotet. Sannolikheten anger hur troligt det är att hotet kommer att inträffa enligt följande kategorier: mycket sällan en gång på 100 år sällan en gång på 10 år regelbundet - årligen ofta mer än en gång per år Konsekvensen är ett mått på hur mycket verksamheten skadas om hotet blir verklighet. Påverkan kan exempelvis vara direkt eller indirekt, ekonomisk eller medmänsklig. Modellen innehåller följande fyra nivåer: försumbar skada måttlig skada betydande skada allvarlig skada Definitionerna av konsekvens och sannolikhet är ett riktmärke och kan förändras, och det är viktigt att gruppen går igenom definitionerna och ändrar det som behövs. Eventuella förändringar av definitioner ska dokumenteras och tas med i dokumentet. Ta fram åtgärder för varje hot

o Nu ska gruppen ta fram förslag på hur varje hot ska hanteras. Diskutera och ta fram förslag på åtgärder som dokumenteras direkt i samma mall som hoten. o Åtgärder som identifieras och rör ett IT-stöd är mycket god input till systemförvaltningsplanen för IT-stödet. Avsluta med en övergripande genomgång av dokumentet för Riskanalysen med gruppen Sammanställning av kompetenser för workshops

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss