Metod för klassning av IT-system och E-tjänster
IT-FORUM 2 (9) Innehållsförteckning 1 Inledning... 3 1.1 Revisionshistorik... 3 2 Klassning av system och E-tjänster... 3 2.1 Säkerhetsnivå 3... 3 2.1.1 Insynsskydd / åtkomstbegränsning / sekretess... 3 2.1.2 Spårbarhet... 3 2.1.3 Tillgänglighet... 3 2.1.4 Riktighet... 3 2.2 Säkerhetsnivå 2... 4 2.2.1 Insynsskydd / åtkomstbegränsning / sekretess... 4 2.2.2 Spårbarhet... 4 2.2.3 Tillgänglighet... 4 2.2.4 Riktighet... 4 2.3 Säkerhetsnivå 1... 4 2.3.1 Insynsskydd / åtkomstbegränsning / sekretess... 4 2.3.2 Spårbarhet... 5 2.3.3 Tillgänglighet... 5 2.3.4 Riktighet... 5 3 Tillämpning av modellen... 5 4 Vad ska klassificeras?... 6 4.1 Juridiska aspekter... 6 4.2 Tidsaspekten... 7 5 Ansvar... 7 5.1 Systemansvarig / Systemförvaltare... 7 5.2 Tekniskt systemansvarig... 7 5.3 Informationsägaren... 7
IT-FORUM 3 (9) 1 Inledning 1.1 REVISIONSHISTORIK Version Datum Beskrivning 0.1 2010-02-16 Ina Nordqvist Första draft 0.2 Calle Eckardt justering för första leverans 2 Klassning av system och E-tjänster Syfte: Att särskilja de system samt E-tjänster som på ett eller annat sätt ställer högre krav på säkerheten Alla IT-system och E-tjänster har ett skyddsbehov. Skyddsbehovet varierar beroende på typ av information som de bearbetar. Genom att klassificera (värdera) IT-systemen med avseende på åtkomstbegränsning, riktighet, tillgänglighet och spårbarhet erhålls en säkerhetsprofil. Denna avgör vilka säkerhetskrav som ställs på IT-systemet eller E- tjänsten. 2.1 SÄKERHETSNIVÅ 3 2.1.1 Insynsskydd / åtkomstbegränsning / sekretess Oönskad spridning av informationen medför endast ringa eller ingen för egen eller annan organisations verksamhet eller för enskild person. IT-systemet eller E-tjänsten innehåller enbart allmän offentlig information. E-tjänst med icke känsliga personuppgifter. E-tjänsten innehåller information som den enskilde kan anses ansvara för. E-tjänst med information som är tänkt att publiceras för en bred spridning. 2.1.2 Spårbarhet Avsaknaden av möjlighet att följa upp olika händelser medför endast ringa eller ingen för egen eller annan organisations verksamhet eller för enskild person. Finns inget behov av spårbarhet. 2.1.3 Tillgänglighet Avbrott i åtkomst till IT-systemet eller E-tjänsten medför endast ringa eller ingen för egen eller annan organisations verksamhet eller för enskild person. Ett IT-system där verksamhetsberoendet är lågt. En E-tjänst där avbrott upp till ett dygn är acceptabelt. 2.1.4 Riktighet Oriktig information medför endast ringa eller ingen för egen eller annan organisations verksamhet eller för enskild person. Data kan accepteras mer eller mindre utan kontroll. E-tjänst där avbrott upp till ett dygn är acceptabelt.
IT-FORUM 4 (9) 2.2 SÄKERHETSNIVÅ 2 2.2.1 Insynsskydd / åtkomstbegränsning / sekretess IT-systemet innehåller sådan information som om den kommer i orätta händer kan medföra. IT-systemet eller E-tjänsten innehåller känsliga personuppgifter enligt PUL. IT-systemet eller E-tjänsten innehåller information som kan bli föremål för sekretess enligt SekrL (dock ej det som berör rikets säkerhet och säkerhet för enskild). IT-systemet innehåller information avsedd för egen personal. E-tjänst där en kundrelation föreligger, t.ex. ansökan eller abonnemang. 2.2.2 Spårbarhet Avsaknaden av möjlighet att följa upp specificerade händelser kan medföra. Spårbarhetskrav finns på vissa specificerade händelser i IT-systemet eller E-tjänsten om vem som har skapat vad och tidpunkt. 2.2.3 Tillgänglighet IT-system som ingår i eller stödjer verksamhet där avbrott kan medföra för egen eller annan organisations verksamhet eller för enskild person. IT-systemet ingår i eller utgör ett stöd för myndighetsutövning och/eller kärnverksamheten. E-tjänst där en kundrelation föreligger mellan kommunen (myndigheten) och intressent 2.2.4 Riktighet Oriktig information kan medföra. IT-systemet omfattas av ett lagrum där riktighetskrav anges (t.ex. PUL, BFL). IT-systemet eller E-tjänsten ingår i myndighetsutövningen. Informationen har krav på spårbarhet eller oavvislighet (non repudiation). 2.3 SÄKERHETSNIVÅ 1 2.3.1 Insynsskydd / åtkomstbegränsning / sekretess IT-systemet innehåller sådan information som om den kommer i orätta händer kan medföra allvarlig för egen eller annan organisations verksamhet eller för enskild person. IT-systemet eller E-tjänsten innehåller sådan information som kan bli föremål för sekretess enligt SekrL delar av kap 15, 18, 19, 21. Sådant som berör rikets säkerhet, förebyggande av brott, enskilda personers personliga och ekonomiska förhållanden o. dyl. IT-systemet eller E-tjänsten innehåller sådan information som påverkas av lagkrav hänförbara till ett visst verksamhetsområde, t.ex. Patientjournallagen eller socialtjänsten. E-tjänst som innefattar en betalningsfunktion
IT-FORUM 5 (9) 2.3.2 Spårbarhet Avsaknaden av möjlighet att följa upp specificerade händelser kan medföra allvarlig för egen eller annan organisations verksamhet eller för enskild person. Det är stora krav på att entydigt kunna följa vem som har gjort vad, när detta har skett och liknande relaterat till revisionskraven och/eller lagar och förordningar. 2.3.3 Tillgänglighet Ett avbrott kan medföra Allvarlig för egen eller annan organisations verksamhet eller för enskild person. IT-systemet ingår i eller stödjer verksamhet där avbrott innebär att man inte kan upprätthålla nödvändig tillgänglighet och servicenivå i produktionen och det saknas alternativa (manuella) metoder och procedurer samt rutiner. För verksamheten ett mycket kritiskt IT-system. E-tjänst med krav på mycket hög servicenivå. 2.3.4 Riktighet Oriktig information kan medföra allvarlig för egen eller annan organisations verksamhet eller för enskild person. Mycket strikt kontroll av i princip all data. IT-system med särskilt höga krav på riktighet, t.ex. affärssystem. E-tjänst med särskilt höga krav på riktighet t.ex. uppdatering av verksamhetssystem IT-system eller E-tjänst där hantering av information styrs av specifika lagparagrafer t.ex. känsliga personuppgifter. IT-system eller E-tjänst för kritiska processer i verksamheten. 3 Tillämpning av modellen Tillämpning av modellen innebär att verksamheten placerar in sina IT-system och E- tjänster i de olika grupperna. Varje typ IT-system och E-tjänst ska klassificeras i en Säkerhetsnivå (1-3) för varje säkerhetsaspekt (sekretess/åtkomstbegränsning, riktighet, tillgänglighet och spårbarhet). Notera att varje IT-system skall klassificeras separat; ett visst IT-system eller E-tjänst kan alltså ges olika säkerhetsnivå för respektive aspekt. Möjlighet till, och risker vid, aggregering av information (i synnerhet när det gäller hänsyn till sekretess/åtkomstbegränsning) bör beaktas. Strävan är att åstadkomma en konsistent bedömning av varje IT-system och E-tjänst oavsett var, hos vilken organisation, eller vem som använder IT-systemet/E-tjänsten. Ansvaret för den slutliga bedömningen av säkerhetsåtgärder och accepterande av kvarstående risker ligger som alltid på den informationsägande organisationen. Tillgänglighet är normalt ett verksamhetskrav. Utan tillgång till för verksamheten nödvändiga IT-system kan organisationsuppgifterna inte fullgöras. Normalt skapas tillgänglighet genom olika tekniska och/eller administrativa åtgärder baserade på extra kopior, redundanta system etc.
IT-FORUM 6 (9) Förlust av tillgänglighet kan också uppstå genom fördröjning (där tidsgränser för ringa eller allvarlig är beroende av sammanhanget) eller genom att IT-systemet eller E-tjänsten försvinner. Det finns ofta behov av att ha spårbarhet i IT-system. Spårbarhetskrav finns oftast när IT-system innehåller konfidentiell information, men också lagar kräver detta. Ofta kan spårbarhet behövas när det finns krav på riktighet (oavvislighet) i IT-systemen eller E-tjänsterna. Liksom vad gäller tillgänglighet säkerställs spårbarhet normalt genom olika kontrollåtgärder i systemen, t ex genom loggning och signering, certifikat etc. 4 Vad ska klassificeras? Modellen förutsätter att alla IT-system och E-tjänster som hanteras inom myndigheten skall klassificeras. Syftet är att undvika att man av misstag inte tar med vissa typer av IT-system eller E-tjänster. Modellen utgår ifrån att IT-systemen är det primära skyddsobjektet och det som ska klassificeras. Systemen med dess information har ett värde för organisationen och det är detta värde, uttryckt som säkerhetsnivå, som tillsammans med riskanalysen skall styra i vilken grad och på vilket sätt informationssäkerhet ska införas. 4.1 JURIDISKA ASPEKTER Modellen är generell och definierar inte alla legala krav. Legala krav är ett av flera ingångsvärden vid klassificering av IT-system. Legala krav kan styra säkerhetsnivå på alla säkerhetsaspekterna sekretess/åtkomstbegränsning, spårbarhet, riktighet och tillgänglighet. Exempel: krav på sekretess/åtkomstbegränsning i 9 kap 7 Lag (2007:1091) om offentlig upphandling, krav på riktighet i 6 Arkivlagen (1990:782), och krav på tillgänglighet i 2 kap 1 Tryckfrihetsförordningen (1949:105) Säkerhetsnivån med avseende på sekretess/åtkomstbegränsning har inget annat syfte än att vara ingångsparameter vid bedömning av skyddsbehov. Det ska inte jämställas med ett beslut att sekretess gäller för en viss informationsmängd enligt sekretesslagen (SekrL). Sådan rättslig sekretessprövning skall alltid göras i samband med begäran om utlämning av informationen. Detta innebär dock inte att man kan bortse från sekretesslagens bestämmelser. Information som bedöms kunna komma att ges sekretesskydd enligt sekretesslagen bör hanteras i Säkerhetsnivå 2 eller 1 för att myndigheten inte skall riskera att bryta mot sekretesslagens krav på sekretess/åtkomstbegränsning om lagen senare visar sig vara tillämplig. Information som kan sekretessbeläggas enligt sekretesslagen har generellt sett ett högt skyddsvärde när den exempelvis rör rikets säkerhet, brottsbekämpning eller enskilds personliga förhållanden. Det kan även nämnas att allmänna handlingar som bedöms troligtvis vara offentliga vid begäran om utlämning trots detta inte automatiskt ges den lägsta konsekvensnivån ( ingen eller försumbar ) när det gäller sekretess/åtkomstbegränsning. Omständigheterna i det enskilda fallet kan göra att även till synes harmlös information kan komma att få sekretesskydd. 2 Det bör också
IT-FORUM 7 (9) noteras att Bl.a. Förordningen om intern styrning och kontroll (2007:603) ställer generella krav på en myndighet och dess förmåga att leva upp till sitt förvaltningsansvar. Dessa krav bör därför kunna relateras till de säkerhetsåtgärder som följer av nivån måttlig. 4.2 TIDSASPEKTEN Organisationen och dess omvärld förändras ständigt och organisationens information likaså. Nytt innehåll i eller ny prioritering av verksamheten kan få konsekvenser för värdering och klassificering av IT-system och E-tjänster. Detta ska ses som en ständig förbättringsprocess i likhet med allt säkerhetsarbete. Viss information är av sådan typ att den ska flyttas mellan olika säkerhetsnivåer i modellen över tiden, exempelvis upphandlingsinformation. Det är upp till ansvarig informations-, systemägare eller motsvarande att tillse att information är värderad på rätt sätt vid varje tidpunkt. 5 Ansvar 5.1 SYSTEMANSVARIG / SYSTEMFÖRVALTARE Respektive systemförvaltare ansvarar att det system eller E-tjänst som denne ansvarar för klassas i enlighet med dessa riktlinjer. Respektive systemägare ansvarar för att det finns förutsättningar att hantera informationen på ett korrekt sätt i de informationssystem som denne ansvarar för. 5.2 TEKNISKT SYSTEMANSVARIG Ansvarar för att systemet/e-tjänsten drivs i enlighet med vad som har kommit överrens med parterna. Detta är ofta IT-funktionen. 5.3 INFORMATIONSÄGAREN Den person som skapar eller tar emot information ansvarar för att handlingen hanteras på ett korrekt sätt i enlighet med aktuell lagstiftning och stadens riktlinjer.
IT-FORUM 8 (9) Nivå Sekretess Spårbarhet Tillgänglighet Riktighet Oönskad spridning medför endast ringa eller ingen 3 IT-systemet eller E- tjänsten innehåller enbart allmän offentlig information E-tjänsten är avsedd för bred spridning/ publicitet E-tjänst med icke känsliga personuppgifter Spårbarhet ej viktigt, finns inget behov av spårbarhet Ett avbrott medför endast ringa eller ingen. Verksamheten har ett lågt beroende av ITsystemet E-tjänsten kan ha avbrott upp till ett dygn. Oriktig information medför endast ringa eller ingen Information (data) kan vara mer eller mindre utan kontroll Den enskilde kan själv ansvara för uppgifterna Nivå Sekretess Spårbarhet Tillgänglighet Riktighet Oönskad spridning kan medföra. 2 IT-systemet innehåller information som kan blir föremål för sekretess enligt SekrL IT-systemet innehåller information avsedd för egen personal IT-systemet eller E- tjänsten innehåller känsliga personuppgifter enligt PUL. E-tjänsten innehåller en kundrelation, t.ex. ansökan, abonnemang Avsaknad av spårbarhet kan medföra Spårbarhet ska finnas på vissa specificerade händelser i systemet eller E- tjänsten Ett avbrott i ITsystemet eller E- tjänsten kan medföra. IT-systemet eller E- tjänsten ingår i myndighetsutövningen (Kärnverksamheten) E-tjänst där kundrelation föreligger mellan myndigheten och intressent. Oriktig information kan medföra. IT-systemet omfattas av ett lagrum där riktighetskrav anges (t.ex. PUL, BFL). Informationen har krav på oavvislighet
IT-FORUM 9 (9) Nivå Sekretess Spårbarhet Tillgänglighet Riktighet 1 Oönskad spridning kan medföra allvarlig. IT-systemet innehåller information som kan blir föremål för sekretess enligt SekrL, rikets säkerhet, enskilda personers ekonomi etc. IT-system eller E- tjänsten omfattas av ett lagrum hänförbar till visst område E-tjänst som innefattar betalningsfunktion Avsaknad av spårbarhet kan medföra allvarlig Revisionskrav, lagar eller förordningar ställer krav på spårbarhet och/eller oavvislighet. Ett avbrott kan medföra allvarlig. IT-systemet eller E- tjänsten är mycket kritisk för verksamheten och alternativt arbetssätt saknas. E-tjänsten har mycket höga krav på servicenivå Oriktig information kan medföra allvarlig Det behöver vara mycket strikt kontroll av i princip all data IT-system med särskilt höga krav på riktighet, t.ex. affärssystem IT-system eller E- tjänst där specifika lagar ställer krav på hanteringen, t.ex. känsliga personuppgifter.