Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

Relevanta dokument
Myndigheten för samhällsskydd och beredskaps författningssamling

Stöd för ifyllnad av formuläret för itincidentrapportering

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Årsrapport Itincidentrapportering

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Informationssäkerhet utifrån nya krav i förordningen och NIS-direktivet, vilket stöd finns för kommunerna

Myndigheten för samhällsskydd och beredskaps författningssamling

Svensk författningssamling

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Myndigheten för samhällsskydd och beredskaps författningssamling

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Myndigheten för samhällsskydd och beredskaps författningssamling

Nationellt system för itincidentrapportering

Gräns för utkontraktering av skyddsvärd information

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Svensk författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Årsrapport it-incidentrapportering

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Anslutningsavtal. inom infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för utfärdare av Svensk e-legitimation

Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation

Att säkerställa informationssäkerhet vid upphandling

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Årsrapport it-incidentrapportering. En sammanställning och analys av de statliga myndigheternas it-incidentrapportering

Justitiedepartementet Stockholm

Regelverk för identitetsfederationer för Svensk e-legitimation

Myndigheten för samhällsskydd och beredskaps författningssamling

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

(5)

YTTRANDE 1 (5) Riskarkivets föreskrifter anger att överenskommelse eller avtal ska upprättas när handlingar hanteras av annan än myndigheten.

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd om ledning av kommunala räddningsinsatser

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhet för samhällsviktiga och digitala tjänster

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Anmälda personuppgiftsincidenter 2018

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Kurir för it-incident rapportering Hanteringsregler. Myndigheten för samhällsskydd och beredskap PM 1 (7)

Informationssäkerhetspolicy för Ånge kommun

Policy för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Svensk författningssamling

Svensk författningssamling

Finansinspektionens författningssamling

Informationssäkerhetspolicy inom Stockholms läns landsting

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Riktlinjer för informationssäkerhet

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Anmälan av personuppgiftsincident

Sjunet standardregelverk för informationssäkerhet

Finansinspektionens författningssamling

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

Bilaga till rektorsbeslut RÖ28, (5)

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy

Personuppgiftsbiträdesavtal

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Synpunkter föreskrifter och allmänna råd Kapitel Punkt Synpunkter Förslag till ändring Övriga kommentarer

Nya krav på systematiskt informationssäkerhets arbete

Konsekvensutredning rörande reviderade föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet

PERSONUPPGIFTSBITRÄDESAVTAL

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Policy för informations- säkerhet och personuppgiftshantering

Programmet för säkerhet i industriella informations- och styrsystem

Svensk författningssamling

Personuppgiftspolicy. Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse Version datum:

Finansinspektionens författningssamling

Informationssäkerhetspolicy för Umeå universitet

Bilaga 3 Säkerhet Dnr: /

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

RIKTLINJE. Lex Sarah. Vård- och omsorgsnämnden. Antaget Tills vidare, dock längst fyra år

Finansinspektionens författningssamling

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Säkerhetspolicy för Västerviks kommunkoncern

Skärpt kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet. (Ju 2017/07544/L4)

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

WHITE PAPER. Dataskyddsförordningen

Personuppgiftsbiträdesavtal

Svensk författningssamling

Tillsyn över dokumentation av informationsbehandlingstillgångar

Transkript:

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1 Myndigheten för samhällsskydd och beredskap föreskriver följande med stöd av 21 förordningen (2015:xxx) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Inledande bestämmelse 1 Denna författning innehåller föreskrifter om hur statliga myndigheter ska rapportera it-incidenter som inträffat i myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller till en annan organisation, enligt 20 förordningen (2015:xxx) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Författningen gäller för statliga myndigheter under regeringen med undantag för Regeringskansliet, kommittéväsendet, Säkerhetspolisen, Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt och Totalförsvarets forskningsinstitut. För utlandsmyndigheterna tillämpas bestämmelserna endast i den utsträckning som bestäms i föreskrifter som meddelas av Regeringskansliet (Utrikesdepartementet). Kontaktuppgifter 2 Varje myndighet ska meddela aktuella kontaktuppgifter till den funktion som ska motta återkoppling från Myndigheten för samhällsskydd och beredskap. Rapporteringspliktiga it-incidenter 3 I 20 förordningen (2015:xxx) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap finns grundläggande bestämmelser om vilka it-incidenter som ska rapporteras till Myndigheten för samhällsskydd och beredskap. 1 Allmänna råd som ansluter till föreskrifterna finns på sid 4. 1

It-incidenten kan bestå i 1. störning i mjuk- eller hårdvara, såsom fel i system, komponent eller programvara samt oväntad funktion i system eller komponent eller systemkrasch, 2. störning i driftmiljö, såsom haveri i tekniskt system eller komponent, förlust av tillgänglighet i system, eller 3. dataförlust eller dataläckage, såsom förlust av tillgänglighet till eller läckage av information i myndighetens informationssystem, felaktig avyttring av teknisk utrustning som innehåller information som inte ska vara allmänt tillgänglig, eller otillåtet offentliggörande av sådan information. It-incidenten kan ha orsakats av 1. säkerhetsbrist i en produkt, såsom säkerhetslucka eller annan sårbarhet i tekniskt hjälpmedel som används av myndigheten, 2. extern attack, såsom överbelastningsattack, införande av skadlig kod, intrång i informationssystem (s.k. hackning), olovligt nyttjande eller annat missbruk av lösenord, olovlig åtkomst till information genom skadliga program och obehörig användning av informationssystem, 3. mänskligt fel vid användning, såsom internt felaktigt bruk eller felaktig implementering av tekniskt system eller komponent, 4. intern händelse, såsom elektriskt fel, vattenskada eller störning i funktioner för avbrottsfri kraftförsörjning, säkerhetskopiering, kylning eller ventilation, eller 5. extern händelse, såsom avbrott i elektronisk kommunikation, strömavbrott, brand, explosion eller naturhändelse. När rapportering ska ske 4 Varje myndighet ska rapportera en it-incident senast 24 timmar efter det att myndigheten upptäckt incidenten. Hur rapportering ska ske 5 Rapporterna ska lämnas till Myndigheten för samhällsskydd och beredskap via anvisade kontaktvägar. 6 En rapport ska innehålla 1. myndighetens namn, 2. en beskrivning av it-incidenten, 3. den exakta eller uppskattade tidpunkten för när it-incidenten inträffade, 4. när myndigheten upptäckte it-incidenten och om den alltjämt pågår eller är avslutad, 2

5. till vilken eller vilka kategorier enligt 3 som it-incidenten hör, samt 6. myndighetens preliminära bedömning av it-incidentens omfattning och konsekvenser. MSBFS 7 På begäran av Myndigheten för samhällsskydd och beredskap ska en rapporterande myndighet komplettera inlämnade uppgifter om en it-incident med de uppgifter som behövs för att klarlägga hur it-incidenten kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Kompletterande uppgifter ska lämnas snarast, dock senast inom två veckor, om inget annat överenskommits med Myndigheten för samhällsskydd och beredskap. Preliminär rapport om en it-incident 8 En myndighet som inte kan lämna en fullständig rapport får i samråd med Myndigheten för samhällsskydd och beredskap lämna en preliminär rapport. Den preliminära rapporten ska innehålla den information som finns att tillgå vid inrapporteringstillfället. Myndigheten ska snarast, dock senast inom två veckor, från att it-incidenten upptäcktes lämna en fullständig rapport enligt 6. Utkontraktering 9 Ansvaret för att rapportera it-incidenter gäller oavsett om informationsbehandlingen sker inom myndigheten eller är utkontrakterad till annan än statlig myndighet. Ansvaret i första stycket gäller inte för sådan informationsbehandling som är utkontrakterad om åtgärden skulle strida mot avtal som ingåtts före denna författnings ikraftträdande. Polisanmälda it-incidenter 10 I det fall en myndighet har polisanmält en it-incident behöver myndigheten inte lämna en rapport enligt 6 utan endast en kopia på polisanmälan. Denna författning träder i kraft den 4 april 2016. 3

Myndigheten för samhällsskydd och beredskaps allmänna råd om statliga myndigheters rapportering av it-incidenter Dessa allmänna råd ansluter till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av itincidenter. Termer och uttryck som används i föreskrifterna används med samma betydelse i dessa allmänna råd. Allmänna råd har en annan juridisk status än föreskrifter. Allmänna råd är inte tvingande. Deras funktion är att förtydliga innebörden i lag, förordning eller myndighetsföreskrifter och att ge generella rekommendationer om deras tillämpning. Allmänna råd är markerade med grå bakgrund. 4

Författningens syfte och tillämpningsområde (1-2 ) Bakgrund Föreskrifterna om it-incidentrapporteringen syftar till att skapa en systematisk, bred och samlad rapportering av it-incidenter. En sådan rapportering ökar möjligheten att hantera och begränsa följderna av itincidenter. De myndigheter som inte omfattas av kravet på obligatorisk itincidentrapportering är de myndigheter som framgår av 3 i förordningen (2015:xxx) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. MSBFS It-incidenthantering Varje myndighet ansvarar för att ta fram de processer och rutiner som myndigheten behöver för att kunna uppfylla kraven på itincidentrapportering enligt denna författning. Enligt Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet ska en myndighet ha rutiner för att identifiera, rapportera, bedöma, hantera och dokumentera incidenter som kan påverka säkerheten i den informationshantering som myndigheten svarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Myndigheten ska även ha processer för att lära av sådana inträffade incidenter och utförda åtgärder. It-incident Begreppet it bör tolkas som teknik för insamling, lagring, bearbetning, produktion, återfinnande samt kommunikation och presentation av information (data, text, ljud, bild). Med it-incident bör förstås som en oönskad och oplanerad it-relaterad händelse som kan påverka säkerheten i organisationens eller samhällets informationshantering och som kan innebära en störning i organisationens förmåga att bedriva sin verksamhet. Begreppet it-incident rymmer både tekniskt orienterade säkerhetsincidenter och informationssäkerhetsaspekter. Definitionen harmonierar med svenska och internationella standarder inom ISO/IEC 27000-serien och de begrepp som används internationellt. En it-incident kan således vara en händelse som påverkar eller stör data, telekommunikation, hård- eller mjukvara. Orsaken kan vara bristande kompetens, mänskliga misstag, tekniska sammanbrott eller naturhändelser. 5

Kontaktuppgifter Kontaktuppgifter till den funktion vid myndigheten som ska ta emot återkoppling bör inkludera telefonnummer, e-postadresser och postadress samt uppgifter om bemanning. Förändrade kontaktuppgifter bör snarast rapporteras till Myndigheten för samhällsskydd och beredskap. Rapporteringspliktig it-incident (3 ) Det har blivit allt vanligare att myndigheter, parallellt med att kommersiella it-relaterade tjänster upphandlas, även samverkar sinsemellan och med kommuner kring olika typer av it-relaterade lösningar. Sådana samarbeten kan till exempel vara gemensamma system, gemensamma driftmiljöer, gemensamma kommunikationslösningar eller molntjänster. Störningar i denna typ av lösningar kan leda till att verksamheten hos ett flertal myndigheter påverkas negativt. Det är därför viktigt att de rapporteras. För bedömning av allvarlighetsgraden hos en it-incident bör myndigheten ta del av information som tillhandahålls på Myndigheten för samhällsskydd och beredskaps webbplats www.cert.se. Dataförlust eller dataläckage Tillgänglighetsförluster kan vara permanenta eller temporära. Exempelvis är en informationsförlust orsakad av brand i serverhall ofta permanent, medan systemfel eller en omfattande överbelastningsattack kan leda till temporär tillgänglighetsförlust. Dataläckage innebär att myndighetens information inte gått förlorad men att någon på obehörigt sätt skaffat sig tillgång till den. Vid dataläckage kan det vara svårt att bedöma hur stor spridning informationen fått eller om läckaget inneburit att aktören som skaffat sig tillgång till informationen behållit den för eget bruk. Osäkerhet kring hur stor spridning informationen fått bör beaktas vid bedömningen av hur allvarlig incidenten är. Extern attack Det kan ofta vara svårt att i ett initialt skede avgöra varifrån en attack kommer eller om det faktiskt rör sig om en attack. Som extern attack räknas även attacker som möjliggjorts eller genomförts av egen personal eller personer som på motsvarande sätt har en anknytning till den drabbade myndigheten, exempelvis inhyrd personal. 6

Intern händelse En intern händelse har sitt ursprung i något som inträffar i myndighetens lokaler, hos annan som myndigheten har utkontrakterat sin informationsbehandling till, eller på annan plats som myndigheten helt eller delvis har kontroll över. Rapportering av it-incidenter (4-10 ) Tidsram När drabbade myndigheter rapporterar inom 24 timmar från upptäckt får Myndigheten för samhällsskydd och beredskap på ett tidigt stadium indikationer på om till exempel flera myndigheter eller organisationer samtidigt drabbats. Sådana incidenter kan kräva omedelbara åtgärder, såväl av den rapporterande aktören som på en samhällsnivå. Fler aktörer än de som direkt är berörda kan då få en tidig återkoppling. Myndigheten anses ha upptäckt it-incidenten när information om den hanteras i utpekad intern process för hantering av it-incidenter eller när säkerhetsansvarig eller motsvarande fått kännedom om incidenten. Anvisade kontaktvägar Myndigheten för samhällsskydd och beredskap anvisar ett tekniskt gränssnitt för inrapportering av it-incidenter, samt tillhandahåller den information som behövs för att använda gränssnittet. Av olika skäl kan det finnas behov av att använda alternativa kontaktvägar, såsom e-post eller telefon. Information om anvisade kontaktvägar för obligatorisk it-incidentrapportering finns på Myndigheten för samhällsskydd och beredskaps webbplats www.cert.se där teknisk information av betydelse för itincidenthantering publiceras. Rapport om en it-incident En beskrivning av it-incidenten bör innehålla en övergripande redovisning av händelseförlopp och vidtagna åtgärder. Konsekvenser bör beskrivas med stöd av den kategorisering som Myndigheten för samhällsskydd och beredskap tillhandahåller på webbplatsen www.cert.se. 7

Kompletterande uppgifter Om det finns misstankar om att inrapporterade it-incidenter kan få snabb spridning eller omfattande konsekvenser för samhället kan en fördjupad analys behövas. Då kan rapporterande myndigheter uppmanas att komplettera sina uppgifter. Kompletterande uppgifter kan också komma att begäras in för att avgöra om it-incidenter som olika myndigheter har rapporterat in har något samband med varandra eller om de exempelvis har orsakats av samma säkerhetsbrist i en produkt. Syftet med att komplettera uppgifter är att förbättra möjligheterna att bidra i arbetet med att begränsa skada och förebygga liknande it-incidenter i samhället. I dialog med Myndigheten för samhällsskydd och beredskap avgörs vilken information som den rapporterande myndigheten bör komplettera med och hur den ska hanteras. Preliminär rapport En preliminär rapport bör innehålla uppgift om när myndigheten upptäckte it-incidenten, om den fortfarande pågår eller är avslutad, samt vilken trolig kategori i författningens 3 som incidenten hänför sig till. En myndighet som saknar underlag för rapport enligt 6 bör senast åtta timmar innan tidsfristen går ut, ta kontakt med Myndigheten för samhällsskydd och beredskap för samrådsdiskussion om att lämna en preliminär rapport. En preliminär rapport bör endast lämnas i undantagsfall. Utkontrakterad informationsbehandling Myndigheten bör i avtal om utkontraktering säkerställa att skyldigheter enligt dessa föreskrifter kan uppfyllas. 8

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss