Myndigheten för samhällsskydd och beredskaps författningssamling

Relevanta dokument
Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

Stöd för ifyllnad av formuläret för itincidentrapportering

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Årsrapport Itincidentrapportering

Myndigheten för samhällsskydd och beredskaps författningssamling

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Myndigheten för samhällsskydd och beredskaps författningssamling

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Informationssäkerhet utifrån nya krav i förordningen och NIS-direktivet, vilket stöd finns för kommunerna

Myndigheten för samhällsskydd och beredskaps författningssamling

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Årsrapport it-incidentrapportering

Myndigheten för samhällsskydd och beredskaps författningssamling

Svensk författningssamling

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser;

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Anmälan av personuppgiftsincident

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Anslutningsavtal. inom infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för utfärdare av Svensk e-legitimation

Nationellt system för itincidentrapportering

Justitiedepartementet Stockholm

Årsrapport it-incidentrapportering. En sammanställning och analys av de statliga myndigheternas it-incidentrapportering

Informationssäkerhet för samhällsviktiga och digitala tjänster

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Rikspolisstyrelsens författningssamling

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

Att säkerställa informationssäkerhet vid upphandling

Anmälda personuppgiftsincidenter 2018

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Regelverk för identitetsfederationer för Svensk e-legitimation

PERSONUPPGIFTSBITRÄDESAVTAL

Utredningen om genomförande av NIS-direktivet

YTTRANDE 1 (5) Riskarkivets föreskrifter anger att överenskommelse eller avtal ska upprättas när handlingar hanteras av annan än myndigheten.

Statens räddningsverks författningssamling

Finansinspektionens författningssamling

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation

Statens energimyndighets författningssamling

Yttrande avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om vårdgivares systematiska patientsäkerhetsarbete, dnr 4.1.

Finansinspektionens författningssamling

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

Riksarkivets författningssamling

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Gräns för utkontraktering av skyddsvärd information

Socialstyrelsens föreskrifter och allmänna råd om lex Maria;

(5)

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

Svensk författningssamling

IT-säkerhet Externt och internt intrångstest

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Finansinspektionens författningssamling

Svensk författningssamling

Vägledning om skyldigheten att rapportera integritetsincidenter

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Nya krav på systematiskt informationssäkerhets arbete

Statens räddningsverks författningssamling

Bilaga 3 Säkerhet Dnr: /

Personuppgiftsbiträdesavtal

Programmet för säkerhet i industriella informations- och styrsystem

Bilaga 1a Personuppgiftsbiträdesavtal

Synpunkter föreskrifter och allmänna råd Kapitel Punkt Synpunkter Förslag till ändring Övriga kommentarer

Policy för informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

REGEL FÖR KRISHANTERING

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Statens räddningsverks författningssamling

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Myndigheten för samhällsskydd och beredskaps författningssamling

PERSONUPPGIFTSBITRÄDESAVTAL

Informationssäkerhetspolicy för Ånge kommun

Svensk författningssamling

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

Anmälan av personuppgiftsincident

SOSFS 2011:5 (S) Föreskrifter och allmänna råd. Lex Sarah. Socialstyrelsens författningssamling

Kriminalvårdens administrativa föreskrifter

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Tillägg om Zervants behandling av personuppgifter

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Policy för informations- säkerhet och personuppgiftshantering

Transkript:

Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten för samhällsskydd och beredskaps föreskrifter 1 om statliga myndigheters rapportering av it-incidenter; beslutade den 1 mars 2016. Myndigheten för samhällsskydd och beredskap föreskriver följande med stöd av 21 förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Inledande bestämmelse 1 Denna författning innehåller föreskrifter om hur statliga myndigheter till Myndigheten för samhällsskydd och beredskap ska rapportera itincidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten levererar till en annan organisation, enligt 20 förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Kontaktuppgifter 2 Varje myndighet ska meddela aktuella kontaktuppgifter för den funktion vid myndigheten som ska ta emot information om it-incidenter från Myndigheten för samhällsskydd och beredskap. Rapporteringspliktiga it-incidenter 3 I 20 förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap finns grundläggande bestämmelser om vilka it-incidenter som ska rapporteras till Myndigheten för samhällsskydd och beredskap. 1 Allmänna råd som ansluter till föreskrifterna finns på sid 5. 1

De rapporteringspliktiga it-incidenterna kan utgöras av kategorierna 1. störning i mjuk- eller hårdvara, 2. störning i driftmiljö, 3. informationsförlust eller informationsläckage, 4. informationsförvanskning, 5. hindrad tillgång till information, 6. säkerhetsbrist i en produkt, 7. angrepp, 8. handhavandefel, 9. oönskad eller oplanerad störning i kritisk infrastruktur, eller 10. annan plötslig oförutsedd händelse som lett till skada. När rapportering ska ske 4 Varje myndighet ska rapportera en it-incident senast 24 timmar efter det att myndigheten upptäckt den rapporteringspliktiga incidenten. Hur rapportering ska ske 5 Rapporterna ska lämnas till Myndigheten för samhällsskydd och beredskap via anvisade kontaktvägar. 6 En rapport ska innehålla 1. myndighetens namn, 2. en beskrivning av it-incidenten som även inkluderar en övergripande redovisning av händelseförlopp och vidtagna åtgärder, 3. den exakta eller uppskattade tidpunkten för när it-incidenten inträffade, 4. när myndigheten upptäckte it-incidenten och om den alltjämt pågår eller är avslutad, 5. till vilken eller vilka kategorier enligt 3 som it-incidenten hör, samt 6. myndighetens initiala bedömning av it-incidentens omfattning och konsekvenser, både faktiska och potentiella. I rapporten ska om möjligt även anges bedömd sekretess för den information som rapporteras in. Om den rapporterande myndigheten vid sin interna incidentutredning konstaterar att inrapporterade uppgifter om kategorier, omfattning och konsekvenser varit missvisande eller felaktiga ska myndigheten komplettera eller korrigera sin rapport så snart som möjligt. 7 På begäran av Myndigheten för samhällsskydd och beredskap ska en rapporterande myndighet lämna uppgifter som kompletterar rapporteringen enligt 6. 2

Sådana uppgifter ska lämnas snarast, om inget annat överenskommits med Myndigheten för samhällsskydd och beredskap. 8 En myndighet som inte kan lämna en rapport enligt 6 får i samråd med Myndigheten för samhällsskydd och beredskap lämna en preliminär rapport. Samråd ska ske innan tidsfristen för rapportering enligt 4 går ut. Rapporten ska innehålla den information som finns att tillgå vid inrapporteringstillfället samt när myndigheten upptäckte it-incidenten, om den fortfarande pågår eller är avslutad, samt vilken eller vilka kategorier i 3 som orsakat incidenten. Den fullständiga rapporten enligt 6 ska i ett sådant fall lämnas senast två veckor från det att it-incidenten upptäcktes. MSBFS Utkontraktering 9 Om en myndighet överlåter en del av sin informationshantering till en icke statlig aktör ska myndigheten i överlåtelseavtalet se till att motparten åtar sig att rapportera it-incidenter i berörda system till myndigheten på ett sätt som motsvarar kraven enligt denna författning. Myndigheten ska utan dröjsmål vidarebefordra en sådan rapport till Myndigheten för samhällsskydd och beredskap. Skyldigheten enligt första stycket gäller med avseende på avtal som träffas efter denna författnings ikraftträdande. Polisanmälda it-incidenter 10 I det fall en myndighet har polisanmält en it-incident behöver myndigheten inte lämna en rapport enligt 6 utan endast en kopia på polisanmälan. Denna författning träder i kraft den 4 april 2016. Myndigheten för samhällsskydd och beredskap HELENA LINDBERG Ingela Darhammar Hellström (Avdelningen för utveckling av samhällsskydd) 3

4

Myndigheten för samhällsskydd och beredskaps allmänna råd om statliga myndigheters rapportering av it-incidenter MSBFS Dessa allmänna råd ansluter till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av itincidenter. Termer och uttryck som används i föreskrifterna används med samma betydelse i dessa allmänna råd. Allmänna råd har en annan juridisk status än föreskrifter. Allmänna råd är inte tvingande. Deras funktion är att förtydliga innebörden i lag, förordning eller myndighetsföreskrifter och att ge generella rekommendationer om deras tillämpning. Allmänna råd är markerade med grå bakgrund. Myndigheten för samhällsskydd och beredskap CECILIA NYSTRÖM Ingela Darhammar Hellström (Avdelningen för utveckling av samhällsskydd) 5

Författningens syfte och tillämpningsområde (1-2 ) Bakgrund Föreskrifterna om it-incidentrapportering syftar till att skapa en systematisk, bred och samlad rapportering av allvarliga it-incidenter. Rapporteringen ökar möjligheten att hantera och begränsa konsekvenserna av sådana itincidenter och på det sättet bidra till att öka samhällets informationssäkerhet. It-incidenthantering Varje myndighet ansvarar för att ta fram de processer och rutiner som myndigheten behöver för att kunna uppfylla kraven på it-incidentrapportering enligt denna författning. Av Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1) framgår vilka krav som ställs på en myndighet. Myndigheten ska ha interna rutiner för att identifiera, rapportera, bedöma, hantera och dokumentera incidenter som kan påverka säkerheten i den informationshantering som myndigheten svarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Myndigheten ska även ha processer för att lära av sådana inträffade incidenter och utförda åtgärder. It-incident Begreppet it (informationsteknik) bör tolkas som teknik för insamling, lagring, bearbetning, produktion, återfinnande, utplåning samt kommunikation och presentation av information (data, text, ljud, bild). Med it-incident bör förstås en oönskad och oplanerad it-relaterad händelse som kan påverka säkerheten i organisationens eller samhällets informationshantering och som kan innebära en störning i organisationens förmåga att bedriva sin verksamhet. Begreppet it-incident rymmer både tekniskt orienterade säkerhetsincidenter och informationssäkerhetsaspekter. Definitionen harmonierar med svenska och internationella standarder inom ISO/IEC 27000-serien och de begrepp som används internationellt. En it-incident kan således vara en händelse som påverkar eller stör data, telekommunikation, hård- eller mjukvara. Orsaken kan vara bristande kompetens, mänskliga misstag, tekniska sammanbrott eller naturhändelser. 6

Kontaktuppgifter Kontaktuppgifter för den funktion vid myndigheten som ska ta emot information med koppling till it-incidenter bör inkludera telefonnummer, e-postadresser och postadress samt uppgift om bemanning. MSBFS Eventuella sekretessbelagda uppgifter som lämnas till MSB hanteras enligt gällande bestämmelser. Rapporteringspliktig it-incident (3 ) Varje myndighet gör en självständig bedömning av vilka it-incidenter som omfattas av rapporteringsskyldigheten i 20. Det har blivit allt vanligare att myndigheter, parallellt med att kommersiella it-relaterade tjänster upphandlas, även samverkar sinsemellan och med kommuner kring olika typer av it-relaterade lösningar. Sådana samarbeten kan till exempel vara gemensamma system, gemensamma driftmiljöer, gemensamma kommunikationslösningar eller molntjänster. Störningar i denna typ av lösningar kan leda till att verksamhet hos ett flertal myndigheter och i förlängningen samhället påverkas negativt. Det är därför viktigt att itincidenter som allvarligt påverkar säkerheten rapporteras. För bedömning av allvarlighetsgraden hos en it-incident kan myndigheten ta del av information som tillhandahålls på Myndigheten för samhällsskydd och beredskaps webbplats www.cert.se. Som ledning för den bedömning som en rapporterande myndighet ska göra avseende vilken eller vilka kategorier en it-incident hänför sig till kan följande exempel och beskrivningar användas. Störning i mjuk- och hårdvara Kan exempelvis innefatta fel i system, komponent eller programvara samt oväntad funktion i system eller komponent eller systemkrasch. Störning i driftmiljö Kan exempelvis bestå i haveri i tekniskt system eller komponent, eller förlust av tillgänglighet i system. Hit räknas även störningar i system med säkerhetsfunktioner, exempelvis säkerhetskopiering. Informationsförlust eller informationsläckage Tillgänglighetsförluster kan vara permanenta eller temporära. Exempelvis är en informationsförlust orsakad av brand i serverhall ofta permanent, medan systemfel eller en omfattande överbelastningsattack kan leda till temporär tillgänglighetsförlust. Kategorin förlust av tillgänglighet till, eller läckage av 7

information i myndighetens informationssystem, kan inkludera felaktig avyttring av teknisk utrustning som innehåller information som inte ska vara allmänt tillgänglig, eller otillåtet offentliggörande av sådan information. Informationsläckage innebär att myndighetens information inte gått förlorad men att någon på obehörigt sätt skaffat sig tillgång till den. Vid informationsläckage kan det vara svårt att bedöma hur stor spridning informationen fått eller om läckaget inneburit att den aktör som skaffat sig tillgång till informationen behållit den för eget bruk. Osäkerhet om hur stor spridning informationen fått bör beaktas vid bedömning av hur allvarlig incidenten är. Informationsförvanskning eller hindrad tillgång till information Förvanskning av information kan leda till att informationen helt eller delvis har blivit korrumperad eller att det inte går att säkerställa dess riktighet. Hindrad tillgång till information kan exempelvis innebära att informationen eller ett system där informationen finns inte kan användas på avsett sätt. Säkerhetsbrist i en produkt Kategorin kan exempelvis innefatta it-incidenter orsakade av säkerhetsluckor eller annan sårbarhet i tekniskt hjälpmedel som används av myndigheten. Angrepp I ett initialt skede kan det vara svårt att avgöra varifrån ett angrepp kommer eller om det faktiskt rör sig om ett angrepp. Till kategorin räknas exempelvis överbelastningsattack, införande av skadlig kod, intrång i informationssystem (s.k. hackning), olovligt nyttjande eller annat missbruk av lösenord, olovlig åtkomst till information genom skadliga program och obehörig användning av informationssystem. Som angrepp räknas även angrepp som möjliggjorts eller genomförts av egen personal eller personer som på motsvarande sätt har en anknytning till den drabbade myndigheten, exempelvis inhyrd personal. Handhavandefel Kategorin omfattar exempelvis it-incidenter som orsakas av internt felaktigt bruk eller felaktig implementering av tekniskt system eller komponent. Oönskad eller oplanerad störning i kritisk infrastruktur Funktionen hos myndighetens informationssystem är ofta starkt beroende av tillgång till extern försörjning av el och kommunikationstjänster, men även 8

interna system för att trygga funktionen i kritisk infrastruktur. Till kategorin bör därför räknas it-incidenter som orsakas av exempelvis elektriskt fel, vattenskada eller störning i funktioner för avbrottsfri kraftförsörjning, kylning eller ventilation. MSBFS Annan plötslig oförutsedd händelse som lett till skada Till kategorin kan räknas it-incidenter som orsakats av annan händelse än de som omfattas av kategorierna som nämnts ovan men som av rapporterande myndighet inte bedöms kunna sorteras in i någon av dessa kategorier. Rapportering av it-incidenter (4-10 ) Tidsram I och med att myndigheterna ska rapportera it-incidenten senast 24 timmar från upptäckt får Myndigheten för samhällsskydd och beredskap på ett tidigt stadium indikationer på om till exempel flera myndigheter eller organisationer samtidigt drabbats. Sådana incidenter kan kräva omedelbara åtgärder av fler aktörer än den rapporterande myndigheten. Fler aktörer än de som direkt är berörda kan på så sätt få en tidig information och varning. Detta innebär en möjlighet att begränsa konsekvenserna och spridningen av en inträffad it-incident. Myndigheten anses ha upptäckt it-incidenten när information om den hanteras i utpekad intern process för hantering av it-incidenter eller när säkerhetsansvarig eller motsvarande fått kännedom om incidenten. Anvisade kontaktvägar Myndigheten för samhällsskydd och beredskap anvisar ett tekniskt gränssnitt för inrapportering av it-incidenter, samt tillhandahåller den information som behövs för att använda gränssnittet. Av olika skäl kan det finnas behov av att använda alternativa av MSB anvisade kontaktvägar såsom kommunikation för e-post eller telefon. Information om anvisade kontaktvägar för obligatorisk it-incidentrapportering finns på Myndigheten för samhällsskydd och beredskaps webbplats www.cert.se där information av betydelse för it-incidenthantering publiceras. 9

Rapport om en it-incident En rapport enligt 6 bör inte innehålla personuppgifter. Konsekvenser bör beskrivas med stöd av den kategorisering som Myndigheten för samhällsskydd och beredskap tillhandahåller. Kompletterande uppgifter Om det finns misstankar om att de it-incidenter som har rapporterats kan få snabb spridning eller omfattande konsekvenser för samhället kan en fördjupad analys behövas. På begäran av Myndigheten för samhällsskydd och beredskap ska den rapporterande myndigheten lämna kompletterande uppgifter till rapporteringen enligt 6. Kompletterande uppgifter kan också komma att begäras in för att avgöra om it-incidenter som olika myndigheter har rapporterat in har något samband med varandra eller om de exempelvis har orsakats av samma säkerhetsbrist i en produkt. Syftet med kompletteringen är att bidra i arbetet med att begränsa skadan och förebygga att liknande it-incidenter inträffar i samhället. Vilken information som den rapporterande myndigheten bör komplettera med och hur den ska hanteras avgörs i samråd med Myndigheten för samhällsskydd och beredskap. Information om hur de kompletterande uppgifterna och övrig information hanteras hos Myndigheten för samhällsskydd och beredskap finns på www.cert.se. Om personuppgifter lämnas till Myndigheten för samhällsskydd och beredskap vid en begäran enligt 7 ska behandlingen vid behov regleras genom särskild överenskommelse. Preliminär rapport En preliminär rapport bör endast lämnas i undantagsfall. 10

11

Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Telefon: 08-598 191 90, www.wolterskluwer.se E-post: kundservice@wolterskluwer.se 12

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss