Information behandlas mer eller mindre i alla kommunens verksamheter. Inom varje verksamhet behandlas även många olika typer av information. En viss typ av information kan vara känslig, medan en annan typ kan vara viktig att alltid ha tillgång till. Oavsett vilken typ av information man behandlar så behöver den skyddas eftersom den är nödvändig för att verksamheten ska kunna uppnå sina mål.
All information kan inte skyddas på samma sätt och informationen har inte heller samma behov av skydd. Ett exempel på informationstyper med olika behov kan vara nyheter till medborgare på kommunens hemsida jämfört med en handling som omfattas av sekretess. Nyheterna på hemsidan behöver vara tillgängliga och handlingen som omfattas av sekretess måste skyddas från obehörig åtkomst. I det ena fallet behöver informationen vara tillgänglig och det andra fallet ska tillgången till informationen begränsas. Skyddsåtgärderna måste reflektera detta behov för att informationen ska få rätt skydd.
För att kunna fördela resurserna effektivt och ge informationen rätt skydd måste en bedömning av informationen genomföras. Kommunen har valt att arbeta med Sveriges kommuner och landstings (SKL) verktyg för klassning. SKL:s verktyg utgår ifrån Myndigheten för samhällsskydd och beredskaps (MSB) modell för klassning av information. Denna rutin kommer också att utgå från MSB:s modell, men i huvudsak följer den SKL:s vägledning. Informationens klassning beskriver behovet av skydd och ska vara en grundförutsättning för vidare analyser, åtgärder och beslut.
Resurser är alltid begränsade och de kommer aldrig vara tillräckliga för att eliminera alla risker. Klassning av informationen skapar förutsättningar för att fördela resurserna effektivt genom att identifiera informationen med större behov av skydd. Resultatet är en ökad nivå av informationssäkerhet för hela kommunen. Syftet med rutinen är att förenkla processen med att klassa information.
Huvudansvaret för verksamheternas hantering av information vilar på enhetschefen. Enhetschef delegerar normalt ut uppgifter till internt ansvariga för olika funktioner. Nyckelroller vid användning av klassificeringsmodellen är verksamhetsansvarig, informationsägare, funktionsföreträdare eller motsvarande, eftersom dessa normalt är ansvariga för att information inom deras verksamhetsansvar får en korrekt klassificering.
- Anställda
- Anställda vid kommunala bolag som har IT-tjänst från SML-IT
- Annan: Informationssäkerhetssamordnare & Systemadministratörer
Rutinen kan användas för att analysera en specifik typ av information, informationsmassa eller ett IT-system.
Rutinen förutsätter att all information som hanteras inom kommunen skall klassificeras. I praktiken är dock syftet inte att i varje situation klassificera varje enskilt informationsobjekt/dokument. En inledande identifiering/inventering av huvudtyper av information i verksamheten kan lämpligen utföras före klassning.
Av praktiska skäl kan tillgångarna (IT-system eller motsvarande) i dessa fall klassificeras istället.
När vi klassar information utgår vi ifrån de tre centrala informationssäkerhetsperspektiven:
Konfidentialitet innebär att begränsa åtkomst till informationen till de som är behöriga att få ta del av den.
Riktighet innebär att informationen alltid ska gå att lita på, att den är korrekt och inte är manipulerad eller förstörd.
Tillgänglighet innebär att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet.
Olika informationstyper har olika behov av skydd och detta utrycker sig i nivåer av perspektiven. Nivåerna är baserade på konsekvenser. Ju högre nivå av konfidentialitet, riktighet eller tillgänglighet, desto allvarligare konsekvens. Konsekvens kan påverka individ, verksamhet, annan organisation, med flera. Bedömningen av konsekvensen är central i klassningen och är vad som avgör till vilken grad klassningen stämmer överens med verkligheten.
Tabellen nedan är MSB:s klassningsmodell med en liten modifikation. Nivå 0 (ingen skyddsnivå) har exkluderats då utgångspunkten ska vara att all information i kommunen ska ha ett grundläggande skydd. Under tabellen beskrivs varje nivå för varje perspektiv.
Konfidentialitet (K) | Riktighet (R) | Tillgänglighet (T) | |||||
---|---|---|---|---|---|---|---|
3 | Allvarlig Hög skyddsnivå | K3 | R3 | T3 | |||
2 | Betydande |
|
|
| |||
1 | Måttlig | K1 |
| T1 |
K1
Röjande av informationen medför måttlig skada:
K2
Röjande av informationen medför betydande skada:
K3
Röjande av information medför allvarlig skada:
R1
Information som obehörigen, av misstag eller på grund av en funktionsstörning ändrats medför måttlig skada:
R2
Information som obehörigen, av misstag eller på grund av en funktionsstörning ändrats medför betydande skada:
R3
Information som obehörigen, av misstag eller på grund av en funktionsstörning ändrats medför allvarlig skada:
T1
Ett avbrott medför måttlig skada (avbrott i ett par veckor):
T2
Ett avbrott medför betydande skada (avbrott i ett par dagar):
T3
Ett avbrott medför allvarlig skada (avbrott är oacceptabla):
När ett IT-system ska klassas ska SKL:s verktyg KLASSA användas. Med hjälp av verktyget klassar man informationen i systemet och bedömer till vilken grad IT-systemet uppfyller informationssäkerhets- och lagkrav. Resultatet av en klassning i verktyget är en nulägesbild av IT-systemets skydd samt en åtgärdsplan för eventuella brister. Steg 1 i verktyget KLASSA är klassning av informationen i IT-systemet. Denna rutin ska endast användas för det steget.
Klassning
Inledningsvis ska lagkraven beaktas. De lagkrav som påverkar klassningen är:
I sammanhang där särskilda kategorier (känsliga personuppgifter) behandlas gäller klassningen K3 och i vissa fall även R3.
I sammanhang där särskilda kategorier (känsliga personuppgifter) behandlas gäller klassningen K3.
I sammanhang med mycket höga krav på riktighet, exempelvis ordinationer, gäller klassningen R3.
Om systemet hanterar rättigheter (antingen i sitt eget system eller för andra system) är den sannolika klassningen K2 och R2 eller K3 och R3.
Slutligen ska en bedömning göras på den enskilda verksamheten. Utgå ifrån MSB:s klassningsmodell och konsekvensbeskrivningarna (se ovan). Alla verksamheter är olika och en bedömning måste därför göras ifall de perspektiven utifrån lagkraven klassats till 2 behöver öka till nivå 3. I de fall där inga av ovanstående lagkrav gäller utgår hela klassningen från er bedömning utifrån MSB:s klassningsmodell. Notera att om klassningen bedömer till konsekvensnivå 4 omfattas informationen av säkerhetsskyddslagen. Det innebär att säkerhetsskyddschefen ska kontaktas för vidare bedömningar.
ResultatResultatet ska vara en dokumenterad nivå för varje perspektiv: