Embed Size (px)
Citation preview
1
Klassning av informationstillgångar
Denna vägledning ger stöd i arbetet med att klassa organisationens
informationstillgångar. Klassningen ska baseras på er organisations
klassningsmodell, som ni skapat med stöd av metodstödets del Utforma
klassningsmodell.
Kort om klassning av informationstillgångar Att klassa informationstillgångar innebär att ni genom konsekvensanalyser
identifierar skyddsbehov för organisationens information och resurser som hanterar
information. Klassningen görs utifrån interna och externa krav på konfidentialitet,
riktighet och tillgänglighet i enlighet med den organisationsövergripande
klassningsmodellen (se Utforma Klassningsmodell).
Genom att klassa informationstillgångar i olika nivåer utifrån de konsekvenser som
otillräckligt skydd kan medföra kan ni identifiera känslig och kritisk information, och
därefter vidta åtgärder för att uppnå tillräckligt skydd. Ni kan även undvika att
information får onödigt överskydd med höga kostnader som följd.
Klassning av informationstillgångar har två syften 1) att förstå och fastställa
skyddsbehovet för information och resurser och för att 2) öka medvetenheten om
vilka negativa konsekvenser som kan drabba er organisation om konfidentialitet,
riktighet och tillgänglighet försämras.
Genomförda analyser och klassningsmodellen är ingångsvärden Ingångsvärden till er klassning är resultaten från arbeten som ni har gjort i faserna
Analysera och Identifiera och Utforma. Särskilt viktiga ingångsvärden är:
Kritiska informationstillgångar och interna krav från Analysera
Verksamhet
2
Rättsliga krav och andra externa krav från Analysera Omvärld
Organisationens gemensamma klassningsmodell från Utforma
Klassningsmodell
Styrdokument som rör klassning Utforma Styrdokument
Roller och ansvar för informationssäkerhet i Utforma Organisation
Vad som ska klassas Det som ska klassas är alltså informationstillgångar, utgörande av både information
och de resurser som hanterar informationen. Ofta är dessa itIT-resurser av olika slag,
som till exempeldatorer, it-system och databaser. Utgångspunkten vid klassning är
dock informationen, som bör ses som de primära informationstillgångarna, medan IT
och andra resurser är sekundära informationstillgångar.
De informationstillgångar som ni ska klassa vid ett specifikt tillfälle kallas
klassningsobjekt. Ett klassningsobjekt bör utgöras av en meningsfull del i
organisationen där information finns och hanteras, exempelvis en enhet eller
avdelning, en process, en tjänst, eller ett it-system.
Ett klassningsobjekt kan innefatta endast information, eller information och resurser,
som exempelvis informationen i ett ekonomisystem.
En informationstyp är ett visst slag av information. En informationstyp kan finnas
lokalt i en verksamhet eller vara spridd över hela organisationen, som exempelvis
personuppgifter. Informationstyper som finns på många ställen i er organisation kan
gärna klassas centralt, för att undvika att olika verksamheter klassar samma
informationstyp på olika sätt (se Roller och ansvar nedan).
En informationsmängd är en gruppering av information, exempelvis i form av
dokument, en databas eller liknande, som innehåller flera informationstyper. Ett
klassningsobjekt innehåller normalt ett flertal informationsmängder.
3
Ni kan välja på vilken detaljeringsnivå ni väljer att klassa. Bilden ovan beskriver
nivåerna.
Särskilt om klassning och säkerhetsskyddslagen
Säkerhetsskyddsklassificerade uppgifter som rör säkerhetskänslig verksamhet i
enlighet med säkerhetsskyddslagstiftningen ska klassas i fyra säkerhetsskyddsklasser.
Om ni identifierar information som misstänks vara säkerhetsskyddsklassificerade
uppgifter bör ni kontakta organisationens säkerhetsskyddschef.
4
När klassning ska ske Klassning av informationstillgångar bör vara en kontinuerlig process som är en del av
det systematiska informationssäkerhetsarbetet. Lämpligt är därför att klassning
genomförs eller ses över årligen som en del av organisationens årshjul för
informationssäkerhetsarbete.
Vid utveckling, större förändringar eller anskaffning av nya it-system eller andra
resurser bör klassning ske initialt så att resultatet kan användas som en naturlig del i
kravställningen.
Att börja med Om er organisation inte tidigare har arbetat med klassning så står ni inför valet av
vad som ska klassas först. Rekommendationen är då att ni gör en prioritering av
verksamheter som resulterar i en övergripande plan för klassningar. Kritiska
verksamheter bör prioriteras, det vill säga, de som är fundamentala för att
organisationens ska kunna bedriva sin verksamhet, och där brister i konfidentialitet,
riktighet och tillgänglighet (KRT) kan innebära allvarliga konsekvenser. Som grund
för detta kan ni använda den förteckning över informationstillgångar som tagits fram
i Analysera Verksamhet.
Den första klassningen kan lämpligen ske i form av ett pilotprojekt. Då kan
klassningsmodellen och arbetssättet för klassningen prövas, och arbetet blir lärande
och kan användas som referens till den övriga organisationen. Kriterier för val av
pilot är att den bör vara en kritisk verksamhet enligt ovan, men också att
verksamheten är intresserad och att den inte är för komplex. Risken är annars att
arbetet fastnar i pilotprojektet och att man inte kommer vidare.
Det kan också vara lämpligt att tidigt klassa organisationsövergripande
informationstyper, som till exempelkänsliga personuppgifter. Dessa bör klassas på en
central nivå och inte av en lokal verksamhet (se nedan Roller och ansvar).
5
Roller och ansvar Ansvaret för informationssäkerhet ligger på verksamhetsansvariga och innefattar att
ställa rätt krav på informationssäkerhet (se Utforma Organisation). Klassning av
informationstillgångar är ett viktigt stöd för verksamheter att kunna ställa rätt krav.
Verksamhetsansvariga, i form av linjechefer, processägare, projektägare eller
informationsägare samt systemägare om sådana är utsedda, ansvarar för sin
information och för at den har tillräckligt skydd. Verksamhetsansvarigas ansvar och
rutiner för klassning bör tydligt regleras i era styrdokument för informationssäkerhet
(se Utforma Styrdokument).
Som CISO är din roll att driva, stödja och hålla samman arbetet med klassning. Du
bör ha en aktiv roll initialt, och är kanske den som leder inledande workshops,
exempelvis i en eller flera piloter (se ovan). Efterhand kan vägledningar och
lathundar tas fram som möjliggör att verksamheter själva kan genomföra
klassningar.
När klassningar har kommit igång i er organisation bör ni hålla ordning på vad som
klassats och hur. Ni bör därför skapa rutiner för att godkänna/besluta och att
dokumentera klassade informationstillgångar i en förteckning (se exempel i Figur 1).
Vissa informationstillgångar bör som nämnts tidigare klassas centralt medan andra
bör klassas lokalt i olika verksamheter. De lokala verksamheterna bör kunna se om
och hur informationstillgångar är klassade på andra håll i organisationen i syfte att
nå en enhetlig klassning. De klassningar som görs lokalt bör godkännas på en central
nivå.
Beslutade klassade
informations-tillgångar
Beslut
Klassade informations-tillgångar
Info om klassade informations-tillgångar
Lokal klassning
Centralt klassnings-arbete
Beslut
Klassade informations-tillgångar
Underhåll
6
Figur 1: Central och lokal klassning.
Den centrala klassningen av organisationsövergripande informationstillgångar och
godkännande/beslut av lokala klassningar kan göras av ett informationssäkerhetsråd
eller motsvarande (se Utforma Organisation).
Centralt i organisationen kan ni låta en nivå vara förvald för de informations-
tillgångar som (ännu) inte är klassade (till exempelklassningsprofilen K1-R1-T1, se
avsnittet Klassa information nedan). Ifall ni gör så krävs det en aktiv klassning för att
inte erhålla ett grundskydd. Exempelvis kan till synes öppen information (K-0) först
kräva ett aktivt beslut för att publiceras offentligt. Organisationens rutiner för
publicering och utlämning av offentlig handling och extern kommunikation ska alltid
följas. Om informationstillgångar ska delas med andra organisationer, kan det vara
en fördel om de ingående verksamheterna har samsyn när det gäller klassning och
klassningsmodell.
Arbetssätt vid klassning
I det här avsnittet beskrivs ett arbetssätt som ni kan använda i er organisation.
Processflödet illustreras i Figur 2. Arbetet bedrivs i workshopform, och kan antingen
handla om klassning av informationstillgångar i lokala verksamheter eller på central
organisationsövergripande nivå. Arbetssättet utgår från att det i organisationen finns
en beslutad klassningsmodell.
Figur 2: Ett processflöde för klassning.
Följande avsnitt ger vägledning för respektive aktivitet i processen.
4. Klassa information
2. Förbered workshop
5. Klassa systemstöd
3. Inventera information
1. Definiera klassnings-objekt
6. Dokumentera
Workshop
7
1. Definiera klassningsobjekt Klassningsobjektet är det som är föremål för klassning vid ett visst tillfälle. Ett
klassningsobjekt bör utgöras av en meningsfull del i organisationen där information
finns och hanteras, exempelvis en enhet eller avdelning, en process, en tjänst, eller ett
it-system. Det kan exempelvis vara ett lokalkontor, en bygglovsprocess i en kommun,
en tentamen på ett universitet, en upphandlingsprocess eller en
tillverkningsavdelning. Klassningsobjektet kan också vara en viss informationstyp,
som exempelvis känsliga personuppgifter, vilken om den är
organisationsövergripande, med fördel kan klassas på central nivå.
Det är viktigt att tydligt definiera och avgränsa vad som ska inrymmas i klassningen,
så att det inte råder oklarheter om detta. Det bör vara helt klart var
klassningsobjektet börjar och var det slutar för att kunna avgöra vad som ingår och
vad som är input och output.
2. Förbered Workshop
När klassningsobjektet är definierat ska själva workshopen förberedas. Beroende på
omfattning och komplexitet hos klassningsobjektet kan klassningen ta olika lång tid,
från ett par timmar till flera dagar.
Genom att förbereda workshopen noga så kan arbetet starta direkt och tid behöver
inte läggas på att informera om klassning i stort och hur workshopen ska genomföras.
Ni bör därför informera deltagare i god tid om vad som ska göras, vad klassningen i
stort går ut på, hur klassningsobjektet är definierat och vad som förväntar sig av
respektive deltagare. De kan behöva ta del av, läsa på eller leta rätt på dokumentation
av tidigare klassningar eller analyser, informationsinventeringar,
processbeskrivningar, rättsliga krav, systemdokumentationer och liknande. Den som
ansvarar för verksamheten som ska klassas, det vill säga, klassningsobjektet, bör stå
som avsändare av inbjudan.
8
Det är viktigt att workshopen genomförs av rätt deltagare. Det finns fyra typer av
specifika kompetenser som behövs vid klassningen:
1. Workshopledare med kunskap om modell och arbetssätt för klassning av
informationstillgångar och även om informationssäkerhet generellt. Initialt är det
lämpligen CISO som har denna roll. Workshopledaren kan gärna assisteras av en
sekreterare som för anteckningar.
2. Chefer, vilka är ansvariga för det aktuella klassningsobjektet och deras
medarbetare– de deltagande verksamhetsexperterna bör tillsammans besitta
kunskap om vilken information som finns i klassningsobjektet och vilka
konsekvenser som brister i konfidentialitet, riktighet och tillgänglighet (KRT) kan
innebära.
3. Jurister eller andra personer med kunskap om rättsliga krav på klassningsobjektet
4. Om klassningsobjektet innefattar IT-stöd bör systemförvaltare,
förvaltningsledare, it-personal eller andra roller som har kunskap om IT-stödet
medverka.
Andra funktioner och kompetenser som kan behöva delta är representanter från
liknande verksamheter där klassning skett tidigare, externa leverantörer för aktuellt
IT-stöd och representanter för funktioner som har nära samverkan eller
systemintegrationer med klassningsobjektet.
3. Inventera information Det första steget i workshopen är att inventera informationen i klassningsobjektet
och att dela upp informationen i meningsfulla mängder. Ibland kan det vara svårt att
veta vilken detaljeringsgrad man behöver ha när man definierar
informationsmängder. Grundregeln är då att det som ska utgöra en
informationsmängd är den minsta sammansatta grupperingen av information som
hanteras i klassningsobjektet.
Exempel: Om ett system skapar en PDF-fil med ett visst innehåll, som aldrig delas
upp i mindre informationsmängder, så kan PDF-filen betraktas som en
informationsmängd.
9
För att underlätta inventeringen kan man också tänka i termer av var
organisationens, verksamhetens eller ett it-systems information hanteras, till
exempel i form av input, bearbetning, lagring och output.
Informationen i klassningsobjektet kan vara i digital form i it-system, i pappersform
eller endast i muntlig form. Ofta kan samma informationsmängd anta en eller flera
former, exempelvis kan en Word-fil skrivas ut, och informationen kan läsas av och
kommuniceras muntligt.
Om det redan finns inventeringar och kartläggningar är det naturligtvis bra att ni
utnyttjar dessa. Det går även att använda skriftligt stöd under workshopen, till
exempel MSB:s och Riksarkivets ”Vägledning för processorienterad
informationskartläggning”.
Skriv in den inventerade informationen i kolumnerna Informationsmängd och
Beskrivning/innehåll i metodstödets tillhörande Verktyg Använda
informationsklassning.
4. Klassa information Att klassa informationsmängder innebär att man gör en konsekvensbedömning för
vad som kan hända om informationens konfidentialitet, riktighet och tillgänglighet
inte upprätthålls i den utsträckning verksamheten behöver. Exempel på frågor ni kan
ställa er:
Konfidentialitet: Vad kan konsekvenserna bli ifall informationen läcker ut
till obehöriga?
Riktighet: Vad kan konsekvenserna bli ifall informationen är felaktig eller
inaktuell?
Tillgänglighet: Vad kan konsekvenserna bli ifall någon (som är behörig) inte
får tillgång till informationen?
Använd er specifikation av de olika konsekvensnivåerna som ni angivit i er
klassningsmodell som stöd vid konsekvensbedömningen. Se utifrån samtliga
konsekvenskategorier ni beslutat att använda er av.
10
Inventera nu externa och interna krav för varje inventerad informationsmängd.
Ibland kan man härleda en del av konsekvensbedömningen till specifika interna
och/eller externa krav. Det kan vara exempelvis lagar, föreskrifter, avtal, kundkrav,
krav i produktionskedjan och liknande. Kraven kan gälla endast för den specifika
informationsmängden, för hela klassningsobjektet, eller hela organisationen. Därför
är det vanligt att ett och samma krav återkommer för olika informationsmängder.
Kontrollera också om informationsmängder innehåller informationstyper som redan
är klassade centralt eller på andra håll i organisationen.
Skriv in de interna och externa kraven under respektive kolumn för varje
informationsmängd. För detta kan ni med fördel använda metodstödets tillhörande
Verktyg Använda Informationsklassning.
När ni klassar informationsmängder får de en viss klassningsprofil. En viss
informationsmängd kan exempelvis vara känslig när det gäller konfidentialitet och
riktighet men mindre kritisk när det tillgänglighet. En sådan informationsmängd kan
då få klassningsprofilen K2-R2-T1. Klassningen av varje informationsmängd för varje
aspekt kan anges i respektive kolumn i Verktyg Använda
Informationsklassning.
5. Klassa systemstöd Om klassningsobjektet innehåller ett eller flera it-system eller annat stöd så kan
dessa klassas utifrån hur den ingående informationen klassats. Grunden är att it-
system lägst kan klassas som de ingående informationsmängdernas högsta klassning.
Stöd för detta ges under fliken Systemöversikt i Verktyg Använda
Informationsklassning. Den klassade informationen i fliken
Informationsklassning genererar då automatiskt en klassning för systemet. Ni bör
dock tänka på att ett system kan behöva klassas högre än den ingående
informationen. Orsaker till det kan vara om:
Stora mängder information lagras i systemet (ackumulering).
Flera olika informationsmängder när de sammanförs skapar känslig
information (aggregering).
Systemet är integrerat med andra system av högre klass.
11
Vid klassning av it-system måste deltagare medverka som har kunskap om it-
systemet, både från verksamhetens sida och från IT-verksamhetens sida (som kan
vara intern eller extern). Om ni i organisationen har en förvaltningsorganisation så
ska dessa roller vara utsedda för de aktuella systemen.
I vissa fall kan ett och samma systemstöd användas av många verksamheter i
organisationen, som exempelvis ett ärendehanteringssystem. Då bör ni prioritera
klassning i de verksamheter som ni tror har mest skyddsvärd information och klassa
systemet därefter.
6. Dokumentera Resultatet av klassning kan med fördel dokumenteras under workshopens gång.
Därför kan det vara bra att ni har en utsedd sekreterare under arbetet.
Dokumentationen kan göras i Verktyg Använda Informationsklassning eller i
andra program eller verktyg. Klassning av system bör dokumenteras i de eventuella
rutiner ni har sedan tidigare i organisationen för systemdokumentation eller
systemförvaltning.
Med detta steg är själva arbetet klart med klassningen av ett specifikt
klassningsobjekt. I nästa avsnitt ges vägledning för hur resultatet på olika sätt kan
användas.
Användning av klassningsresultatet Resultatet av en klassning är likställt med dess syfte: en förståelse för och
fastställande av skyddsbehovet hos informationstillgångar och en ökad medvetenhet
om vilka negativa konsekvenser som kan inträffa om konfidentialitet, riktighet och
tillgänglighet försämras. De som medverkar i arbetet med klassningen får en ökad
insikt om informationstillgångars värde och vilka konsekvenser det innebär ifall
informationen i fråga skulle läcka ut till obehöriga, förändras utom kontroll eller vara
otillgängliga. Denna insikt är i sig en bra grund för att öka informationssäkerheten i
en verksamhet där klassningen genomförts. En lyckad klassning i en verksamhet, till
exempel i form av en pilot, kan också fungera som ett föredömligt exempel för er
övriga organisation.
12
Krav på säkerhetsåtgärder De skyddsbehov som framkommit vid klassning av informationstillgångar ska
kommuniceras till de roller som på olika sätt behandlar informationen och/eller
resurserna som hanterar informationen. Det innefattar användare och andra roller i
den specifika verksamheten, andra funktioner i organisationen som till exempel it-
avdelning, och externa aktörer som hanterar informationen eller levererar system och
andra It-resurser.
Administrativa, tekniska och fysiska säkerhetsåtgärder ska finnas på plats för att
uppfylla de skyddsbehov som finns för informationstillgångarna. Vilka
säkerhetsåtgärder som krävs för informationstillgångar i de olika klasserna kan ni i er
organisation ange i klassningsmodellen (se Utforma Klassningsmodell). Detta
bör vara reglerat i era styrdokument för informationssäkerhet, som gärna kan vara
målgruppsindelade (se Utforma Styrdokument).
På detta sätt blir det tydligt för olika roller i organisationen vilka krav som ställs
utifrån hur information och resurser är klassade.
Varje klassningsobjekt kan dock ha specifika förutsättningar för det sammanhang
som just den informationen eller det systemet används i. Vissa verksamhetsspecifika
säkerhetsåtgärder, som till exempelvissa rutiner, kan behöva införas eftersom
organisationsövergripande säkerhetsåtgärder kan vara av alltför allmän karaktär. Ni
kan här behöva göra ta stöd av en lokal riskanalys, där ni avgör om säkerhets-
åtgärderna kopplade till klassningsmodellen är tillämpliga, tillräckliga eller t.o.m.
överflödiga (till exempelför att exponeringen är låg eller för att de täcks av andra
säkerhetsåtgärder i den specifika miljön).
Säkerhetsåtgärder hos andra funktioner i organisationen Att införa säkerhetsåtgärder ligger till stor del hos olika stödfunktioner i
organisationen, exempelvis personalavdelning (till exempel bakgrundskontroller vid
nyanställning) och fastighetsavdelning (till exempel fysiska behörigheter). Många
säkerhetsåtgärder ska självklart införas av den interna it-driften, om en sådan finns.
13
Det handlar då om säkerhetsåtgärder som exempelvis säkerhetskopiering, kryptering
och stark autentisering för att motsvara skyddsbehovet för klassade it-system.
Om er organisation har en övergripande it-infrastruktur så stödjer denna normalt
alla it-system, oavsett hur dessa är klassade. It-infrastrukturen, inklusive nätverk,
datarum m.m., som är gemensam för organisationen, måste därför ha en
säkerhetsnivå som är tillräcklig för de högsta klasserna som förekommer i
organisationen.
Krav på externa aktörer
Krav mot externa leverantörer bör ni styra genom att koppla säkerhetsåtgärder till
upphandlingar och krav som ställs vid samverkan av olika slag som till exempel
gemensamma projekt. Ni kan med fördel skapa en kravkatalog där ni samlar de
säkerhetskrav som på motsvarande sätt är kopplade till klassningsmodellen. Denna
kan ni sedan använda vid upphandling och/eller inköp av it-relaterade produkter och
tjänster. Här är det viktigt att samverka med upphandlings- eller inköpsavdelningen
för att skapa rutiner eller en process för detta.
