Metod för klassning av IT-system och E-tjänster



Relevanta dokument
Modell för klassificering av information

Riktlinjer informationssäkerhetsklassning

Riktlinje för mobil användning av IT - remissvar

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Informationskartläggning och Säkerhetsklassning

Informationsklassning och systemsäkerhetsanalys en guide

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet inom. [kommun] 20XX-XX-XX Version 1.0. IT forum i samarbete med Lidingö

Strukturerad informationshantering

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Handbok Informationsklassificering

Informationssäkerhet är värdelöst. utan kontext

BESLUT. Instruktion för informationsklassificering

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Gemensamma anvisningar för informationsklassning. Motala kommun

Informationssäkerhetspolicy för Ånge kommun

Riktlinjer för dataskydd

Riktlinjer. Informationssäkerhetsklassning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Riktlinjer för informationsklassning

Finansinspektionens författningssamling

Bilaga 3 Säkerhet Dnr: /

Finansinspektionens författningssamling

SÅ HÄR GÖR VI I NACKA

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Riktlinje för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

1(6) Informationssäkerhetspolicy. Styrdokument

Juridik och informationssäkerhet

Informationssäkerhetspolicy

Finansinspektionens författningssamling

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy KS/2018:260

Handlingsplan för persondataskydd

Riktlinje för mobil användning av IT - remissvar

Riktlinjer för IT-säkerhet i Halmstads kommun

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

I n fo r m a ti o n ssä k e r h e t

Rikspolisstyrelsens författningssamling

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Informations- och IT-säkerhet i kommunal verksamhet

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Informationssäkerhetspolicy. Linköpings kommun

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinje för mobil användning av IT

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Riktlinje för användning av Internet, e-post och mobila enheter

Verksamhetsplan Informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Riktlinjer för informationssäkerhet

Informationsklassning

POLICY INFORMATIONSSÄKERHET

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Informationssäkerhetspolicy

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Policy och strategi för informationssäkerhet

Dnr

Informationssäkerhetspolicy för Nässjö kommun

Bilaga till rektorsbeslut RÖ28, (5)

IT-säkerhet Internt intrångstest

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan

IT-säkerhetsinstruktion Förvaltning

RISKHANTERING FÖR SCADA

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Remissutgåva. Program för informationssäkerhet

Informationssäkerhet - Instruktion för förvaltning

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Informationssäkerhetspolicy

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Säkerhet vid behandling av personuppgifter i forskning

1 Risk- och sårbarhetsanalys

Hantering av behörigheter och roller

Säker informationshantering utifrån ett processperspektiv

IT-konsekvensanalys dataskyddsförordning

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

VÄGLEDNING INFORMATIONSKLASSNING

SOLLENTUNA FÖRFATTNINGSSAMLING 1

POLICY FÖR E-ARKIV STOCKHOLM

Riskanalys och informationssäkerhet 7,5 hp

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Gallrings-/bevarandetider för loggar i landstingets IT-system

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Instruktion för informationssäkerhetsklassning

Informationsklassning , Jan-Olof Andersson

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Transkript:

Metod för klassning av IT-system och E-tjänster

IT-FORUM 2 (9) Innehållsförteckning 1 Inledning... 3 1.1 Revisionshistorik... 3 2 Klassning av system och E-tjänster... 3 2.1 Säkerhetsnivå 3... 3 2.1.1 Insynsskydd / åtkomstbegränsning / sekretess... 3 2.1.2 Spårbarhet... 3 2.1.3 Tillgänglighet... 3 2.1.4 Riktighet... 3 2.2 Säkerhetsnivå 2... 4 2.2.1 Insynsskydd / åtkomstbegränsning / sekretess... 4 2.2.2 Spårbarhet... 4 2.2.3 Tillgänglighet... 4 2.2.4 Riktighet... 4 2.3 Säkerhetsnivå 1... 4 2.3.1 Insynsskydd / åtkomstbegränsning / sekretess... 4 2.3.2 Spårbarhet... 5 2.3.3 Tillgänglighet... 5 2.3.4 Riktighet... 5 3 Tillämpning av modellen... 5 4 Vad ska klassificeras?... 6 4.1 Juridiska aspekter... 6 4.2 Tidsaspekten... 7 5 Ansvar... 7 5.1 Systemansvarig / Systemförvaltare... 7 5.2 Tekniskt systemansvarig... 7 5.3 Informationsägaren... 7

IT-FORUM 3 (9) 1 Inledning 1.1 REVISIONSHISTORIK Version Datum Beskrivning 0.1 2010-02-16 Ina Nordqvist Första draft 0.2 Calle Eckardt justering för första leverans 2 Klassning av system och E-tjänster Syfte: Att särskilja de system samt E-tjänster som på ett eller annat sätt ställer högre krav på säkerheten Alla IT-system och E-tjänster har ett skyddsbehov. Skyddsbehovet varierar beroende på typ av information som de bearbetar. Genom att klassificera (värdera) IT-systemen med avseende på åtkomstbegränsning, riktighet, tillgänglighet och spårbarhet erhålls en säkerhetsprofil. Denna avgör vilka säkerhetskrav som ställs på IT-systemet eller E- tjänsten. 2.1 SÄKERHETSNIVÅ 3 2.1.1 Insynsskydd / åtkomstbegränsning / sekretess Oönskad spridning av informationen medför endast ringa eller ingen för egen eller annan organisations verksamhet eller för enskild person. IT-systemet eller E-tjänsten innehåller enbart allmän offentlig information. E-tjänst med icke känsliga personuppgifter. E-tjänsten innehåller information som den enskilde kan anses ansvara för. E-tjänst med information som är tänkt att publiceras för en bred spridning. 2.1.2 Spårbarhet Avsaknaden av möjlighet att följa upp olika händelser medför endast ringa eller ingen för egen eller annan organisations verksamhet eller för enskild person. Finns inget behov av spårbarhet. 2.1.3 Tillgänglighet Avbrott i åtkomst till IT-systemet eller E-tjänsten medför endast ringa eller ingen för egen eller annan organisations verksamhet eller för enskild person. Ett IT-system där verksamhetsberoendet är lågt. En E-tjänst där avbrott upp till ett dygn är acceptabelt. 2.1.4 Riktighet Oriktig information medför endast ringa eller ingen för egen eller annan organisations verksamhet eller för enskild person. Data kan accepteras mer eller mindre utan kontroll. E-tjänst där avbrott upp till ett dygn är acceptabelt.

IT-FORUM 4 (9) 2.2 SÄKERHETSNIVÅ 2 2.2.1 Insynsskydd / åtkomstbegränsning / sekretess IT-systemet innehåller sådan information som om den kommer i orätta händer kan medföra. IT-systemet eller E-tjänsten innehåller känsliga personuppgifter enligt PUL. IT-systemet eller E-tjänsten innehåller information som kan bli föremål för sekretess enligt SekrL (dock ej det som berör rikets säkerhet och säkerhet för enskild). IT-systemet innehåller information avsedd för egen personal. E-tjänst där en kundrelation föreligger, t.ex. ansökan eller abonnemang. 2.2.2 Spårbarhet Avsaknaden av möjlighet att följa upp specificerade händelser kan medföra. Spårbarhetskrav finns på vissa specificerade händelser i IT-systemet eller E-tjänsten om vem som har skapat vad och tidpunkt. 2.2.3 Tillgänglighet IT-system som ingår i eller stödjer verksamhet där avbrott kan medföra för egen eller annan organisations verksamhet eller för enskild person. IT-systemet ingår i eller utgör ett stöd för myndighetsutövning och/eller kärnverksamheten. E-tjänst där en kundrelation föreligger mellan kommunen (myndigheten) och intressent 2.2.4 Riktighet Oriktig information kan medföra. IT-systemet omfattas av ett lagrum där riktighetskrav anges (t.ex. PUL, BFL). IT-systemet eller E-tjänsten ingår i myndighetsutövningen. Informationen har krav på spårbarhet eller oavvislighet (non repudiation). 2.3 SÄKERHETSNIVÅ 1 2.3.1 Insynsskydd / åtkomstbegränsning / sekretess IT-systemet innehåller sådan information som om den kommer i orätta händer kan medföra allvarlig för egen eller annan organisations verksamhet eller för enskild person. IT-systemet eller E-tjänsten innehåller sådan information som kan bli föremål för sekretess enligt SekrL delar av kap 15, 18, 19, 21. Sådant som berör rikets säkerhet, förebyggande av brott, enskilda personers personliga och ekonomiska förhållanden o. dyl. IT-systemet eller E-tjänsten innehåller sådan information som påverkas av lagkrav hänförbara till ett visst verksamhetsområde, t.ex. Patientjournallagen eller socialtjänsten. E-tjänst som innefattar en betalningsfunktion

IT-FORUM 5 (9) 2.3.2 Spårbarhet Avsaknaden av möjlighet att följa upp specificerade händelser kan medföra allvarlig för egen eller annan organisations verksamhet eller för enskild person. Det är stora krav på att entydigt kunna följa vem som har gjort vad, när detta har skett och liknande relaterat till revisionskraven och/eller lagar och förordningar. 2.3.3 Tillgänglighet Ett avbrott kan medföra Allvarlig för egen eller annan organisations verksamhet eller för enskild person. IT-systemet ingår i eller stödjer verksamhet där avbrott innebär att man inte kan upprätthålla nödvändig tillgänglighet och servicenivå i produktionen och det saknas alternativa (manuella) metoder och procedurer samt rutiner. För verksamheten ett mycket kritiskt IT-system. E-tjänst med krav på mycket hög servicenivå. 2.3.4 Riktighet Oriktig information kan medföra allvarlig för egen eller annan organisations verksamhet eller för enskild person. Mycket strikt kontroll av i princip all data. IT-system med särskilt höga krav på riktighet, t.ex. affärssystem. E-tjänst med särskilt höga krav på riktighet t.ex. uppdatering av verksamhetssystem IT-system eller E-tjänst där hantering av information styrs av specifika lagparagrafer t.ex. känsliga personuppgifter. IT-system eller E-tjänst för kritiska processer i verksamheten. 3 Tillämpning av modellen Tillämpning av modellen innebär att verksamheten placerar in sina IT-system och E- tjänster i de olika grupperna. Varje typ IT-system och E-tjänst ska klassificeras i en Säkerhetsnivå (1-3) för varje säkerhetsaspekt (sekretess/åtkomstbegränsning, riktighet, tillgänglighet och spårbarhet). Notera att varje IT-system skall klassificeras separat; ett visst IT-system eller E-tjänst kan alltså ges olika säkerhetsnivå för respektive aspekt. Möjlighet till, och risker vid, aggregering av information (i synnerhet när det gäller hänsyn till sekretess/åtkomstbegränsning) bör beaktas. Strävan är att åstadkomma en konsistent bedömning av varje IT-system och E-tjänst oavsett var, hos vilken organisation, eller vem som använder IT-systemet/E-tjänsten. Ansvaret för den slutliga bedömningen av säkerhetsåtgärder och accepterande av kvarstående risker ligger som alltid på den informationsägande organisationen. Tillgänglighet är normalt ett verksamhetskrav. Utan tillgång till för verksamheten nödvändiga IT-system kan organisationsuppgifterna inte fullgöras. Normalt skapas tillgänglighet genom olika tekniska och/eller administrativa åtgärder baserade på extra kopior, redundanta system etc.

IT-FORUM 6 (9) Förlust av tillgänglighet kan också uppstå genom fördröjning (där tidsgränser för ringa eller allvarlig är beroende av sammanhanget) eller genom att IT-systemet eller E-tjänsten försvinner. Det finns ofta behov av att ha spårbarhet i IT-system. Spårbarhetskrav finns oftast när IT-system innehåller konfidentiell information, men också lagar kräver detta. Ofta kan spårbarhet behövas när det finns krav på riktighet (oavvislighet) i IT-systemen eller E-tjänsterna. Liksom vad gäller tillgänglighet säkerställs spårbarhet normalt genom olika kontrollåtgärder i systemen, t ex genom loggning och signering, certifikat etc. 4 Vad ska klassificeras? Modellen förutsätter att alla IT-system och E-tjänster som hanteras inom myndigheten skall klassificeras. Syftet är att undvika att man av misstag inte tar med vissa typer av IT-system eller E-tjänster. Modellen utgår ifrån att IT-systemen är det primära skyddsobjektet och det som ska klassificeras. Systemen med dess information har ett värde för organisationen och det är detta värde, uttryckt som säkerhetsnivå, som tillsammans med riskanalysen skall styra i vilken grad och på vilket sätt informationssäkerhet ska införas. 4.1 JURIDISKA ASPEKTER Modellen är generell och definierar inte alla legala krav. Legala krav är ett av flera ingångsvärden vid klassificering av IT-system. Legala krav kan styra säkerhetsnivå på alla säkerhetsaspekterna sekretess/åtkomstbegränsning, spårbarhet, riktighet och tillgänglighet. Exempel: krav på sekretess/åtkomstbegränsning i 9 kap 7 Lag (2007:1091) om offentlig upphandling, krav på riktighet i 6 Arkivlagen (1990:782), och krav på tillgänglighet i 2 kap 1 Tryckfrihetsförordningen (1949:105) Säkerhetsnivån med avseende på sekretess/åtkomstbegränsning har inget annat syfte än att vara ingångsparameter vid bedömning av skyddsbehov. Det ska inte jämställas med ett beslut att sekretess gäller för en viss informationsmängd enligt sekretesslagen (SekrL). Sådan rättslig sekretessprövning skall alltid göras i samband med begäran om utlämning av informationen. Detta innebär dock inte att man kan bortse från sekretesslagens bestämmelser. Information som bedöms kunna komma att ges sekretesskydd enligt sekretesslagen bör hanteras i Säkerhetsnivå 2 eller 1 för att myndigheten inte skall riskera att bryta mot sekretesslagens krav på sekretess/åtkomstbegränsning om lagen senare visar sig vara tillämplig. Information som kan sekretessbeläggas enligt sekretesslagen har generellt sett ett högt skyddsvärde när den exempelvis rör rikets säkerhet, brottsbekämpning eller enskilds personliga förhållanden. Det kan även nämnas att allmänna handlingar som bedöms troligtvis vara offentliga vid begäran om utlämning trots detta inte automatiskt ges den lägsta konsekvensnivån ( ingen eller försumbar ) när det gäller sekretess/åtkomstbegränsning. Omständigheterna i det enskilda fallet kan göra att även till synes harmlös information kan komma att få sekretesskydd. 2 Det bör också

IT-FORUM 7 (9) noteras att Bl.a. Förordningen om intern styrning och kontroll (2007:603) ställer generella krav på en myndighet och dess förmåga att leva upp till sitt förvaltningsansvar. Dessa krav bör därför kunna relateras till de säkerhetsåtgärder som följer av nivån måttlig. 4.2 TIDSASPEKTEN Organisationen och dess omvärld förändras ständigt och organisationens information likaså. Nytt innehåll i eller ny prioritering av verksamheten kan få konsekvenser för värdering och klassificering av IT-system och E-tjänster. Detta ska ses som en ständig förbättringsprocess i likhet med allt säkerhetsarbete. Viss information är av sådan typ att den ska flyttas mellan olika säkerhetsnivåer i modellen över tiden, exempelvis upphandlingsinformation. Det är upp till ansvarig informations-, systemägare eller motsvarande att tillse att information är värderad på rätt sätt vid varje tidpunkt. 5 Ansvar 5.1 SYSTEMANSVARIG / SYSTEMFÖRVALTARE Respektive systemförvaltare ansvarar att det system eller E-tjänst som denne ansvarar för klassas i enlighet med dessa riktlinjer. Respektive systemägare ansvarar för att det finns förutsättningar att hantera informationen på ett korrekt sätt i de informationssystem som denne ansvarar för. 5.2 TEKNISKT SYSTEMANSVARIG Ansvarar för att systemet/e-tjänsten drivs i enlighet med vad som har kommit överrens med parterna. Detta är ofta IT-funktionen. 5.3 INFORMATIONSÄGAREN Den person som skapar eller tar emot information ansvarar för att handlingen hanteras på ett korrekt sätt i enlighet med aktuell lagstiftning och stadens riktlinjer.

IT-FORUM 8 (9) Nivå Sekretess Spårbarhet Tillgänglighet Riktighet Oönskad spridning medför endast ringa eller ingen 3 IT-systemet eller E- tjänsten innehåller enbart allmän offentlig information E-tjänsten är avsedd för bred spridning/ publicitet E-tjänst med icke känsliga personuppgifter Spårbarhet ej viktigt, finns inget behov av spårbarhet Ett avbrott medför endast ringa eller ingen. Verksamheten har ett lågt beroende av ITsystemet E-tjänsten kan ha avbrott upp till ett dygn. Oriktig information medför endast ringa eller ingen Information (data) kan vara mer eller mindre utan kontroll Den enskilde kan själv ansvara för uppgifterna Nivå Sekretess Spårbarhet Tillgänglighet Riktighet Oönskad spridning kan medföra. 2 IT-systemet innehåller information som kan blir föremål för sekretess enligt SekrL IT-systemet innehåller information avsedd för egen personal IT-systemet eller E- tjänsten innehåller känsliga personuppgifter enligt PUL. E-tjänsten innehåller en kundrelation, t.ex. ansökan, abonnemang Avsaknad av spårbarhet kan medföra Spårbarhet ska finnas på vissa specificerade händelser i systemet eller E- tjänsten Ett avbrott i ITsystemet eller E- tjänsten kan medföra. IT-systemet eller E- tjänsten ingår i myndighetsutövningen (Kärnverksamheten) E-tjänst där kundrelation föreligger mellan myndigheten och intressent. Oriktig information kan medföra. IT-systemet omfattas av ett lagrum där riktighetskrav anges (t.ex. PUL, BFL). Informationen har krav på oavvislighet

IT-FORUM 9 (9) Nivå Sekretess Spårbarhet Tillgänglighet Riktighet 1 Oönskad spridning kan medföra allvarlig. IT-systemet innehåller information som kan blir föremål för sekretess enligt SekrL, rikets säkerhet, enskilda personers ekonomi etc. IT-system eller E- tjänsten omfattas av ett lagrum hänförbar till visst område E-tjänst som innefattar betalningsfunktion Avsaknad av spårbarhet kan medföra allvarlig Revisionskrav, lagar eller förordningar ställer krav på spårbarhet och/eller oavvislighet. Ett avbrott kan medföra allvarlig. IT-systemet eller E- tjänsten är mycket kritisk för verksamheten och alternativt arbetssätt saknas. E-tjänsten har mycket höga krav på servicenivå Oriktig information kan medföra allvarlig Det behöver vara mycket strikt kontroll av i princip all data IT-system med särskilt höga krav på riktighet, t.ex. affärssystem IT-system eller E- tjänst där specifika lagar ställer krav på hanteringen, t.ex. känsliga personuppgifter.