Informationssäkerhetsklassning

Från Sydarkiveras Wiki

Gräva.png

Denna sida är under konstruktion!
Denna sida kan innehålla fel, dåliga formuleringar eller sakna material.
Våra duktiga wikiredaktörer arbetar med att slutföra materialet så fort som möjligt!

Att informationssäkerhetsklassa sin information är en viktig del av informationssäkerhetsarbetet. Detta arbete görs för att organisationen ska få en bild av vilken information myndigheterna hanterar, hur känslig den är och hur den bör hanteras och förvaltas. Samtliga förvaltningar och kommunala bolag ska klassificera den information som hanteras inom respektive verksamhet, både digital och analog. Det yttersta målet är att samtliga informationstillgångar ska klassificeras. I det arbetet behövs instruktioner för vad klassningen baseras på, hur den ska utföras och vad den ska användas till.

Ansvar

Det är informationsägaren som ansvarar för att informationen säkerhetsklassas. Ägaren är ofta den verksamhetsansvarige vars verksamhet har skapat informationen, fattat beslut om den alternativt tagit över ansvaret för den. I en kommun innebär det att varje nämnd och kommunalt bolags styrelse är ytterst ansvarig för sin information. I förvaltningen eller bolaget finns en utsedd arkivansvarig som har det operativa ansvaret.

Klassningsmatris

För att kunna genomföra informationssäkerhetsklassningen av information så behövs ett verktyg; klassningsmatrisen. Sydarkiveras klassningsmatris är baserat den SKR:s KLASSA. Den baseras på fyra olika aspekter, där risk och konsekvens för varje informations-/handlingstyp värderas enligt en fyragradig skala. Följande aspekter värderas:

  • Konfidentialitet innebär att information inte får göras tillgänglig eller avslöjas för obehöriga.
  • Riktighet innebär att information inte får obehörigt ändras eller modifieras, varken obehörigen, av misstag eller på grund av funktionsstörning. Informationen ska vara tillförlitlig, korrekt och fullständig, både i närtid och i ett längre tidsperspektiv.
  • Tillgänglighet innebär att informationstillgångarna ska kunna utnyttjas i förväntad utsträckning och inom önskad tid. Tillgänglighet kan delas upp i två aspekter – kortsiktig och långsiktig. Den långsiktiga tillgängligheten är bland annat relevant då man talar om handlingar som skall bevaras för framtiden.
  • Spårbarhet innebär att det ska vara möjligt att i efterhand härleda hur uppgifter har behandlats och av vem.

Att informationssäkerhetsklassa en handlingstyp innebär att man gör en konsekvensanalys av om dessa olika aspekter inte uppfylls. Man värderar vilken skada det innebär för myndigheten, med-borgarna och samhället i stort om informationen inte är tillgänglig, röjs för obehöriga eller manipuleras. Siffrorna 1-4 används och en låg siffra innebär en liten konsekvens och en fyra innebär att det råder fara för rikets säkerhet och/eller centrala samhällsfunktioner om säkerhetskategorierna ovan inte uppfylls. Utifrån denna värdering kan man sedan gradera vilket skyddsvärde varje enskild handlingstyp har. Dessa siffror kan sedan agera som riktvärde för var handlingen ska förvaras och hur den ska hanteras. Vilka hanteringskrav som ska gälla kan handla om förvaringsplats, brandväggar, kryptering, anti-virusprogram, eller om ansvarsområden, rutiner kring hantering, förflyttning och utlämnande.

Att inte försäkra sig om att förvaring och hantering uppnår rätt säkerhetsnivå utifrån informationens säkerhetsklass kan ha allvarliga konsekvenser för verksamheten, allmänheten eller rikets säkerhet. Man bör samtidigt ha i åtanke att ett onödigt högt skydd på information som har en lägre klassning kan innebär onödiga kostnader, besvärlig administration eller begränsad tillgänglighet för personal och allmänhet.

IT-stöd

Systemklassning (risk- och konsekvensanalys)

Befintliga IT-stöd behöver analyseras utifrån en standard, till exempel KLASSA, så att man vet vilken information som kan lagras i dem. Systemet ska klassas efter den högsta nivå i matrisen som det kan hantera. Vid införande av ett nytt system ska en risk- och konsekvensanalys göras, där man tydligt går igenom vilken klassning information som ska lagras i systemet har och vilka risker som kan finnas med att lagra informationen i tänkt system. I kravställningen inför upphandlingen måste detta tas i beaktande så att rätt krav kan ställas på systemleverantören. Några av de viktigaste aspekterna är att myndigheten/förvaltningen måste ha kännedom om vem eller vilka leverantörer som kommer att hantera informationen, hur och av vem den kommer att hanteras och var informationen kommer att lagras geografiskt.


Kom ihåg!

En ny systemklassning eller uppdatering av en tidigare klassning ska göras:

  • vid upphandling av nytt system eller tjänst (säkerhetskrav ska ingå i förfrågningsunderlaget).
  • vid väsentlig uppgradering/förändring av befintligt system.
  • av befintligt system som saknar klassning.

Förvaring av analog information

Viktigt att komma ihåg är att informationssäkerhetsklassningen inte bara indikerar var de digitala handlingarna ska/kan förvaras, utan även var den analoga informationen ska förvaras. Ju högre säkerhetsklass, ju färre ska ha tillgång till informationen och den måste därför skyddas i närarkiv, eller i ett låst arkivskåp. Tänk också på att nycklarna/koden måste till arkivet/skåpet måste förvaras säkert. Informationen måste också skyddas från yttre åverkan, såsom översvämning eller brand. Ska handlingen bevaras bör förvaringen, efter att den inte längre används i verksamheten, uppfylla kriterierna för en godkänd arkivlokal enligt Riksarkivets författningssamling, RA-FS 2013:4. Åtkomsten för handlingar med högre säkerhetsklass ska inte bara begränsas, utan också säkras, vad gäller de personer som måste ha tillgång till informationen.

Förändring över tid

Informationssäkerhetsklassningen är inte beständig över tid. Informationens betydelse för verksamheten och dess känslighet kan förändras och säkerhetsklassningen behöver därför hållas uppdaterad. En förnyad informationsklassificering ska ske löpande genom ett IT-systems eller e-tjänsts hela livscykel. I samband med att informationshanteringsplanen uppdateras bör även informationssäkerhetsklassningen ses över. Om det bedöms att klassningen bör revideras tidigare än så, kan man ange det planerade revideringsdatumet på mallen för klassningen.

Roller och ansvar

Klassningen av information kan med fördel göras avdelningsvis. Det är viktigt att få med de medarbetare som vet vilken information som skapas och hanteras inom avdelningen. Följande roller bör delta i arbetet med informationssäkerhetsklassningen:

  • Systemägare och/eller budgetansvarig/arkivansvarig
  • Systemförvaltare
  • IT-säkerhetsansvarig/IT-strateg/Informationssäkerhetsansvarig/Systemansvarig
  • Arkivombud/-redogörare/registrator

Systemägaren, budgetansvarig eller systemförvaltaren kan i förekommande fall utse ytterligare resurser som medverkar i arbetet med klassificering.

Att komma igång

Verktyg

Lagrum

En kontroll av vilka lagrum som styr hur informationen får lagras och hanteras bör göras på varje handlingstyp. De kan handla om att identifiera sekretessbelagda uppgifter enligt offentlighets- och sekretesslagen, /känsliga/ personuppgifter enligt dataskyddsförordningen (GDPR), bevarande/gallring enligt arkivlagen, socialtjänstlagen eller andra lagar som reglerar åtkomst, krav på bevarande/gallring eller krav på registrering/diarieföring. Denna information är nödvändig för att du ska kunna ge rätt klassning på varje handlingstyp, men kan också påverka lagringsytan ut-anför klassningen. Exempelvis kan information enligt socialtjänstlagen ha en tvingande gallring enligt lagen, vilket medför att man förutom konfidentialitetsaspekten måste ta gallringsaspekten i beaktande också när man kontrollerar lagringsytan.

Mallar

Organisationens mall för informationssäkerhetsklassning ska fyllas i av varje förvaltning och bolag. Denna mall ska bevaras och fungera som underlag för arbetet med förvaringsytor för den information där verksamheten är informationsägare. Detta gäller samtliga handlingar, oavsett om de förvaras hos verksamheten, på kommunens gemensamma lagringsytor, på extern server eller i molnet.

Klassningsmatris
Mall för informationskartläggning

Informationshanteringsplanen

Myndigheten ska ha uppdaterad informationshanteringsplan, som tar upp och klassificerar alla typer av handlingar som hanteras i verksamheten. Om du använder mallen ”VerkSAM Plan”, som förvaltas av Sydarkivera finns en kolumn som innehåller informationssäkerhetsklassning. De siffror som framkommer vid klassningen ska föras in där. När verksamheten undersöker vilka förvaringsytor som är lämpliga för de olika handlingarna måste de ta denna klassning i beaktande.

Var förvarar jag mina handlingar? Utgå från den högsta siffran som framkommer i informationssäkerhetsklassningen, i kombination med information om huruvida handlingen kan gallras eller om den ska bevaras. Kontrollera vilken plats som är tillåten för att lagra handlingen. Även systemklassning av verksamhetssystem kan behövas för att avgöra vilken förvaringsplats som är lämplig.


Kom ihåg! Lagringsytor som gemensam server, intranät och Microsoft 365 är är inte godkända för alla handlingstyper. Många verksamhetssystem kan förvara handlingar till och med nivå 3, med rätt inställningar för behörigheter. Är handlingen analog kan den kanske inte förvaras i en skrivbordslåda, men i ett arkivskåp med begränsad åtkomst kanske uppfyller kraven.

Tips på tillvägagångssätt

Uppstart

  • Samla de personer som ska ingå i gruppen som klassar informationen
  • Öppna mallen för informationssäkerhetsklassning. Fyll i den process (gärna enligt en verksamhetsbaserad informationshanteringsplan) som ni ska klassa, i mallen kallad ”Klassningsobjekt”. Skriv vilka som ingår i gruppen och det datum klassningen görs. Mallen kan också användas för att klassificera den information som ingår i ett speciellt projekt, men tillförs då projektets handlingar och skrivs inte in i informationshanteringsplanen.
  • Fyll i de handlingstyper som förekommer i denna process i den gula kolumnen, se informationshanteringsplanen. Fattas det handlingstyper kan dessa med fördel läggas till, uppdatera då även informationshanteringsplanen (OBS! Kontrollera först att handlingen inte egentligen ligger eller borde ligga på en annan process). Tänk på att informationssäkerhetsklassningen innefattar alla kommunens handlingar, även de som inte är allmänna.
  • Tänk på att många handlingar förändras över tid och så också deras skyddsgrad. Håll koll på om skyddsgraden väsentligt förändras över en kort tid och om detta påverkar hanteringen av handlingen.

Klassa

  • Information klassificeras utifrån vilka konsekvenser, dvs skada, som oönskad påverkan på informationen bedöms kunna leda till utifrån konfidentialitet, riktighet, tillgänglighet och spårbarhet. Konsekvensens, dvs den eventuella skadans, storlek leder till klass 1, 2, 3 eller 4. En låg siffra innebär en liten skada/konsekvens och en fyra innebär att det råder fara för rikets säkerhet och/eller centrala samhällsfunktioner om informationen röjs, manipuleras eller inte är tillgänglig exempelvis.
  • Gör en bedömning per informationstyp av vilken konsekvens det skulle innebära för myndigheten, den enskilde eller samhället om konfidentialiteten förlorades. Använd din klassningsmatris för att bedöma klassningsnivån. För in siffran i tabellen i den gröna kolumnen.
  • Motsvarande bedömning görs för informationstypen gällande riktighet, tillgänglighet och spårbarhet.
  • I den blå kolumnen fyller du i om handlingen innehåller personuppgifter enligt GDPR och/eller vilka andra lagrum som är relevanta för handlingstypen.
  • I den sista kolumnen fyller du i kommentarer till klassningen.


Kom ihåg! Det finns handlingar som är sekretessbelagda en begränsad tid, men sedan blir offentliga. Det kan också vara vissa handlingar som har ett högre skyddsvärde medan de är under arbete, men som efter färdigställande är offentliga. I dessa fall kan det vara relevant att ha med båda stadierna av handlingstyperna i klassningen.

Analys av resultat

En handlingstyp kan få en hög siffra på tillgänglighet och lägre på konfidentialitet, vilket innebär att skyddet mot obehörig åtkomst inte behöver vara så högt, men att systemet måste vara driftsäkert, tillgängligt, säkerhetskopieringen god eller arkivlokalen skyddad mot yttre åverkan. En annan handling kan behöva skyddas från åtkomst, men inte ha lika hög nivå på tillgängligheten, vilket innebär att den skulle kunna förvaras i en väldigt säker, men svåråtkomlig miljö.

Ett annat exempel på en handling som kan behöva en komplex analys är ett avtal enligt jordabalken, som inte är konfidentiellt, men som uppnår höga nivåer på riktighet, spårbarhet och tillgänglighet över tid. Här behöver man inte begränsa behörigheterna utifrån sekretess, men däremot säkerställa att handlingen inte kan manipuleras eller gallras av misstag.

Ta dessa komplexa aspekter i beaktande när du avgör hur du ska förvara och hantera handlingen.

Gallra eller bevara

Tänk också på att gallringsreglerna för handlingstyperna bestämmer var du ska lagra informationen. På information som ska bevaras kan ställas högre krav på lagringsyta, än för information som kan gallras efter kortare eller längre tid.

Handboken

Verksamhetsområden

Arkivorganisation

Arkivleveranser

Arkivredovisning

Arkivinspektion / Tillsyn

Dataskydd

Digitisering och digitalisering

Hålla ordning

Hantera och förvara

Hemliga handlingar

Insyn och åtkomst

Systemförvaltning

Verktyg och mjukvara

External testbed / Extern testbädd

VerkSAM Arkivredovisning