Kravställning på e-arkiv från informationssäkerhetsperspektiv Författare: Delprojektgruppen informationssäkerhet Årtal: 2014
Författare: Delprojektgruppen informationssäkerhet Sammanfattning Inom ramen för e-utvecklingsrådet har det beslutats att ett arbete runt fokusområdet e-arkiv ska utföras för att utreda möjligheten att utforma ett regionalt e-arkiv för länets alla kommuner. Ett av delprojekten i fokusområdet har tittat på informationssäkerheten för upphandling av ett gemensamt e-arkiv i länet. Projektgruppen har under omvärldsbevakningen upptäckt att flera som utrett frågan om e- arkiv har kommit fram till att det är viktigt med informationssäkerhet i e-arkivsystemet likväl som i den organisation som skapas runt e-arkiveringen. Däremot har det inte gjorts några grundliga analyser av hur informationssäkerheten ska säkras, vare sig tekniskt eller mänskligt. Under tiden som delprojektet samlat information och granskat synpunkter och råd har följande tre punkter sammanställts: Det behövs en gemensam förståelse för behovet av ett ledningssystem för informationssäkerhet (LIS) som fungerar tillsammans med övriga ledningssystem i länets kommuner. Någon form av stödorganisation för alla aspekter inom e-arkivering, där informationssäkerhet är en del, som samtliga kommuner i länet kan få hjälp av och som även tillser att informationssäkerheten behandlas på ett likartat sätt oavsett kommun. Det måste göras en gemensam riskbedömning av ett system för bevarande och en granskning av resultatet för att undersöka vilka krav som kan tydliggöras i en förnyad konkurrensutsättning.
Innehållsförteckning 1. Bakgrund... 1 2. Syfte och mål... 1 3. Metod... 1 4. Diskussion... 1 5. Slutsats... 4 6. Referenser... 5 Ev. bilagor... Fel! Bokmärket är inte definierat.
1. Bakgrund Efter en förstudie om e-arkiv som gjordes av projektgrupp e-arkiv inom E-utvecklingsrådet beslutade kommuncheferna om en genomförandeplan för e-arkiv i Jönköpings län. Delprojekt 2 i genomförandeplanen omfattar kravställning för informationssäkerhet. I arbetet ska ingå att analysera de risker som kan finnas med att ha ett länsgemensamt e-arkiv. Med detta som bas ingick i uppdraget att definiera en checklista för informationssäkerhet. 2. Syfte och mål Syftet är att utreda vilka informationssäkerhetskrav som måste ställas på ett regionalt e-arkiv som funktion. För att göra begreppet e-arkiv tydligare kommer vi att använda benämningen system för bevarande i dokumentationen. Målet med denna utredning är att klargöra på vilket sätt samverkan om funktionen system för bevarande ska bedrivas inom informationssäkerhetsområdet för att tillgodose att informationstillgångarna bevaras intakta. För att de ska vara intakta ska de uppfylla kraven på tillgänglighet, riktighet, konfidentialitet och spårbarhet. 3. Metod Projektgruppen har deltagit i Arkivforum där det gavs tillfälle att lyssna på experter och goda exempel samt få kontakt med ansvariga myndigheter. Kontakt har tagits med andra kommuner och myndigheter för att få veta vad de kommit fram till i fråga om analysarbete för informationssäkerhet. Studier av den information som getts ut i ämnet har också varit en del i arbetet. De skrifter som getts ut av Myndigheten för samhällsskydd och beredskap (MSB) har legat som grund för arbetet. 4. Diskussion Informationssäkerhet handlar om att ge kommunens information rätt skydd, det vill säga att informationen är tillgänglig när den behövs, att den är korrekt och inte ändras av eller avslöjas för någon obehörig. Eftersom stora delar av informationen hanteras i IT-system så handlar informationssäkerhet delvis om teknik. Men det är viktigt att komma ihåg att informationssäkerhet rör hela kommunens verksamhet och all information oavsett om den finns i datorer, i ett telefonsamtal eller på ett papper. Informationssäkerhet bygger på de fyra hörnstenarna tillgänglighet, riktighet, konfidentialitet och spårbarhet. Med dessa begrepp avses: Tillgänglighet: Att information är tillgänglig i förväntad utsträckning och inom önskad tid Riktighet: Att den skyddas mot oönskad och obehörig förändring eller förstörelse Konfidentialitet: Att den inte i strid med lagkrav eller lokala överenskommelser/riktlinjer tillgängliggörs eller delges obehörig Spårbarhet: Att i efterhand entydigt kunna härleda specifika aktiviteter eller händelser till ett identifierat objekt eller användare (vem, vad, när) 1
Det är av största vikt att verksamheter skyddar de tillgångar som finns i den information som samlas men att även skydda de informationstillgångar som består av olika datasystem. För att tillgodose behovet av informationssäkerhet i ett e-arkiv ska varje hörnsten beaktas och tillämpas. De viktigaste kraven för upphandling av e-arkiv ska stödja dessa hörnstenar. För att lyckas är det viktigt att identifiera de viktigaste informationstillgångarna. När man väl vet vad som ska skyddas identifieras vilka krav som ställs på respektive tillgång. Varje informationstillgång analyseras mot de identifierade kraven (både de interna och de externa) för att se vilken konsekvensen förväntas bli vid förlust av konfidentialitet, riktighet, tillgänglighet och spårbarhet. Denna klassning av informationstillgångar ska inte förväxlas med klassificering av dokument och filer, vilket ofta är kopplat till hanteringsregler för hur en viss typ av dokument får hanteras. Klassificering av information är en grundläggande aktivitet för att information och resurser ges nödvändigt skydd. Det är informationen som är skyddsobjektet, dvs. det som ska skyddas. För att kunna genomföra en klassificering måste det finnas en klassificeringsstruktur (jmf Samrådsgruppen) som är gemensam för samtliga kommuner. Med denna som grund är det möjligt att kartlägga verksamhetens arbetsflöden (processer) och den information som skapas eller tas emot i de olika arbetsflödena. För att de kartlagda informationsprocesserna ska kunna tillämpas måste det finnas en länsgemensam processmodell. Resultatet av verksamhetsanalysen är en strukturerad förteckning över informationstillgångarna där också verksamhetens och legala säkerhetskrav dokumenterats. I förteckningen är varje informationstillgång klassificerad utifrån konfidentialitet, riktighet, tillgänglighet och spårbarhet. Därefter genomförs en riskanalys för att identifiera och senare hantera de risker som kan påverka verksamhetens informationssäkerhet. Riskernas sannolikhet och konsekvens bedöms av nyckelpersoner från verksamheten. Huvudresultatet av en riskanalys är en förteckning över risker, deras potentiella skadeverkning, och tänkbara sätt att hantera riskerna på. När detta är gjort vet vi vad som ska skyddas, varför, och mot vad. För att skydda informationstillgångarna ska lämpliga säkerhetsåtgärder väljas. Dessa presenteras i en lista där åtgärder beskrivs för varje betydande risk. Den samlade informationen i länet kräver troligen större insatser än vad en kommun normalt anser att det finns behov för. Därför är det av stor vikt att tillsammans skapa modeller och verktyg av generell karaktär för att tillgodose behoven att omhänderta de väsentliga tillgångar som samlas i kommunens informationssystem. En viktig uppgift med många kopplingar till informationssäkerhet är att över tid säkra riktigheten hos och skapa tillgänglighet till allmänna handlingar. Arkivering ställer särskilda krav, särskilt när det gäller elektronisk information. För att tillgodose kraven på tillgänglighet ska ett e-arkiv kunna anpassas för att verksamheterna ska ha tillgång till den information där ansvaret inte lämnats över till arkivmyndigheten. De informationstillgångar som arkivmyndigheten tagit över ansvaret för ska endast de som ansvarar för arkivverksamheten ha tillgång till. 2
Under informationens hela livscykel ska riktigheten bevaras. Detta inbegriper i synnerhet den information som ska bevaras som organisationens minne under lång tid framöver. Den information som lagras i ett e-arkiv måste behålla spårbarheten för att det ska kunna fastställas hur informationen har använts och i vissa fall av vem den använts. Eftersom mycket information i kommunerna är av olika konfidentialitet är det viktigt att kunna bevara denna hörnsten i systemet för bevarande. Mindre kommuner, med begränsade resurser, väljer ofta att samarbeta med andra kommuner kring informationssäkerhetsarbetet. Det bör i varje kommun finnas en tjänst med utpekat ansvar för informationssäkerheten och tillräckliga mandat för arbetet. Det är viktigt att denna person har god kunskap om informationssäkerhet och får tillräcklig tid och resurser för att utföra sitt arbete. Erfarenheter visar att de organisationer som har detta på plats får en bättre kontroll över risker och organisationens skydd vilket i förlängningen leder till minskade risker, att omvärldens förtroende för organisationen ökar och oväntade kostnader kan förhindras. Informationssäkerhet handlar om hela kommunen som organisation och denna tjänst bör därför organisatoriskt placeras så att samarbete med och stöd från bland annat jurister, HR, kommunikation och IT kan bedrivas på bästa sätt. En aktiv ledning som tar initiativ i informationssäkerhetsfrågan och tydliggör ansvaret, skapar goda förutsättningar för att styrningen av kommunens informationssäkerhet blir effektiv. Ledningen bör också minst årligen följa upp och utvärdera informationssäkerhetsarbetet och besluta om dess framtida inriktning. Det behöver också finnas styrande dokument för processerna runt ett e-arkiv. Policyn och de tillhörande styrande dokumenten är viktiga styrmedel i säkerhetsarbetet. De är grunden för att säkerhetsarbetet genomförs på ett strukturerat sätt och utgör en viktig utgångspunkt för granskning av informationssäkerhetsarbetet. En annan grund för att informationssäkerhetsarbetet med systemet för bevarande ska fungera är att det blir ett nav i kommunernas informationsförvaltning tillsammans med klassificering, processbasering, ledningssystem för informationssäkerhet (LIS) och förvaltningsmodell. För att underlätta informationsförvaltningen är det av stort värde att en gemensam förvaltningsmodell används i samtliga kommuner som ingår i den länsgemensamma lösningen för systemet för bevarande. Det kommer att underlätta förvaltningsorganisationens uppdrag och vilka förvaltningsuppdrag respektive kommun ska ansvara för. Styrningen av förvaltningsarbetet blir också tydligt och enhetligt med en gemensam förvaltningsmodell. Bemanningen av förvaltningsorganisationen kommer då att ha en bas som de ingående parterna är överens om och som förhindrar obalans i uppdragen mellan olika yrkeskategorier. Eftersom flera kommuner ska enas om ett gemensamt system för bevarande är det viktigt att arbetet med informationssäkerhet följer ledningssystem för informationssäkerhet och därmed också vedertagna standarder. 3
5. Slutsats För att kravställningen på informationssäkerhet ska fylla en funktion i systemet för bevarande ska inte bara själva systemet utan även organisationen runt e-arkivet ingå i ledningssystemet för informationssäkerhet. Det metodstöd som utarbetats av MSB ska ligga som en grund i det arbetet. När det gäller förhållandet mellan informationstillgången system för bevarande och de fyra hörnstenarna inom informationssäkerheten är det tydligt att det måste ställas krav på att information som omfattas av sekretess ska kunna bevara sin klassning även när ansvaret för informationen flyttas över från verksamheten till e-arkivet. Det ska inte vara möjligt för obehöriga att få tillgång till konfidentiell information eller att den blir allmänt tillgängliggjord oavsett om det är verksamheten eller e-arkivet som har ansvar för informationen. Konsekvenserna om inte sekretessreglerna och konfidentialiteten kan bibehållas blir väldigt stora och kan medföra förlust av tillit och förtroende liksom tilldömda skadestånd. Riktigheten ska också säkerställas genom att informationen inte ska vara möjlig att manipulera. Även om informationen inte presenteras på samma sätt som i det källsystem där informationen tillkom får den inte presenteras på ett sätt som förvränger förståelsen av densamma. Det är av största vikt att informationen i systemet för bevarande fortsätter att vara spårbar. Vid överföring av information till systemet för bevarande ska inte bara spårbarheten från källsystemet bevaras utan det ska även finnas spårbarhet i systemet för bevarande för att kunna härleda händelser och aktiviteter i systemet. Kraven på hur snabbt informationen är tillgänglig är inte lika hög som i ett källsystem men den ska vara lätt att ta fram på ett enkelt sätt. Detta inbegriper att det ska finnas en god struktur i systemet för bevarande att kunna tillgängliggöra informationen enligt de behov som verksamheten, allmänheten, rättskipningen och forskningen kan ha. För att bedöma riskerna i användningen av ett system för bevarande är det nödvändigt att respektive kommuns högsta ansvarige för arkivverksamheten deltar i en riskanalys för att ta reda på vad som ska skyddas, mot vad det ska skyddas och hur det ska skyddas. Vid upphandling av system för bevarande som tjänst finns det i upphandlingsförfrågan från SKI två ska-krav när det gäller informationssäkerhet. 1) Anbudsgivaren ska tydligt definiera ansvarsfördelningen för informationssäkerheten i sin driftorganisation och ansvaret ska fördelas i utpekade och dokumenterade roller. Särskilt ska ansvaret för hantering av ledningssystemet vara utpekat. 2) Anbudsgivaren ska tillse att de roller som är definierade upprätthålls av personer hos anbudsgivaren som har tillräcklig kompetens, är lämpliga för sina roller och att de förstår sitt ansvar för de roller som de tilldelats. Om kommunerna ska drifta ett gemensamt e-arkiv måste e-arkivorganisationen uppnå de här kraven. Det måste också inom den här organisationen finnas kompetens för att stödja kommunerna med hela deras informationsförvaltning, antingen genom centralt placerad personal eller ett nätverk av personer från samtliga kommuner. När en sådan organisation är etablerad är det möjligt att göra den verksamhetsanalys som krävs för att ta fram risker, konsekvenser och relevanta åtgärder för systemet för bevarande. 4
6. Referenser https://www.msb.se/ribdata/filer/pdf/26420.pdf https://www.msb.se/ribdata/filer/pdf/26589.pdf https://www.msb.se/ribdata/filer/pdf/26265.pdf 5