Informationsklassning och handlingsplan

Vägledning för klassificering

Konsekvensnivåerna i KLASSA följer i huvudsak SIS/MSBs modell för klassificering av information (0040-09) maj 2009 och metodstödet på www.informationssakerhet.se. Definitionen synnerligen allvarlig (nivå 4) definierades inte i arbetet av SIS/MSB. I takt med den ökade hotbilden i omvärlden så såg SKL och flera av dess medlemmar ett ökande behov av denna konsekvensnivå varför den infördes redan i KLASSA version 1.

Modell för klassificering av information (0040-09)

Modellen definierades av SIS/MSB maj 2009. I modellen klassificeras information utifrån de konsekvenser som oönskad påverkan på informationens kvalitet bedöms leda till. Konsekvenserna värderas i termer av oönskad påverkan på verksamheten eller annan part till följd av otillräcklig konfidentialitet, riktighet eller tillgänglighet. Om exempelvis organisationen lider allvarlig skada av att viktig information för verksamheten blir tillgänglig för obehöriga, ska informationen placeras i en klass med hög konsekvensnivå avseende konfidentialitet.

 

Konsekvensnivå

Definition

Förklaring

Allvarlig

Förlust av konfidentialitet, riktighet eller tillgänglighet hos information som innebär allvarlig eller katastrofal negativ påverkan på egen eller annan verksamhet och dess tillgångar, eller på enskild individ.

Med allvarlig/katastrofal negativ påverkan avses t ex förlust av konfidentialitet, riktighet eller tillgänglighet som för egen eller annan verksamhet kan

a) orsaka en allvarlig begränsning i förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamheten inte kan fullgöra en eller flera av sina primära uppgifter;

b) resultera i omfattande skador på verksamhetens tillgångar;

c) resultera i stora ekonomiska förluster, eller

d) förorsakar allvarligt negativ påverkan på enskild individs rättigheter eller liv och hälsa.

Betydande

Förlust av konfidentialitet, riktighet eller tillgänglighet hos information som innebär betydande negativ påverkan på egen eller annan verksamhet och dess tillgångar, eller på enskild individ.

Med betydande negativ påverkan avses t ex förlust av konfidentialitet, riktighet eller tillgänglighet som för egen eller annan verksamhet kan

a) orsaka en signifikant minskning i förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamhetens primära uppgifter kan fullföljas, men att effektiviteten är påtagligt reducerad;

b) resultera i betydande skador på verksamhetens tillgångar;

c) resultera i betydande ekonomiska förluster, eller

d) förorsakar betydande negativ påverkan på enskild individs rättigheter eller hälsa.

Måttlig

Förlust av konfidentialitet, riktighet eller tillgänglighet hos information som innebär måttlig negativ påverkan på egen eller annan verksamhet och dess tillgångar, eller på enskild individ.

Med måttlig negativ påverkan avses t ex förlust av konfidentialitet, riktighet eller tillgänglighet som för egen eller annan verksamhet kan

a) orsaka en minskning i förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamhetens primära uppgifter kan fullföljas, men att effektiviteten är påvisbart reducerad;

b) resultera i mindre skador på verksamhetens tillgångar;

c) resultera i smärre ekonomiska förluster;

d) förorsaka begränsad negativ påverkan på enskild individs rättigheter eller hälsa.

Det bör noteras att konsekvenser som uppstår externt, utanför den egna organisationen (”annan verksamhet”) ska tas med vid bedömningen. Detta är särskilt aktuellt för information som är kritisk för olika typer av samhällsviktiga funktioner. I bedömningen ska också konsekvenser hos enskilda personer tas med, där olika sociala och ekonomiska konsekvenser ska beaktas.

Se vidare Modell för klassificering av information.

 

Beskrivning av konsekvensnivåerna i KLASSA

Synnerligen allvarlig skada (4)

Systemet behandlar information som omfattas av sekretess och rör Sveriges säkerhet (hemliga uppgifter) där röjande av information, felaktig information eller otillgänglig information kan ge oöverskådliga konsekvenser där t ex omfattande fara för liv och hälsa föreligger. Säkerhetsskyddet inriktar sig på skydd mot antagonistiska hot, vilket betyder att den ska förebygga spioneri, sabotage och andra brott som kan hota rikets säkerhet samt terroristbrott, även om brotten inte hotar rikets säkerhet.

Vid hantering av hemliga uppgifter ska Säkerhetsskyddslagstiftningen och Säkerhetsskyddsförordningen beaktas.   De tekniska och organisatoriska skyddsåtgärderna är mer långtgående än vad de högsta kraven i KLASSA uttrycker. Inte sällan hanteras hemliga uppgifter i handlingar som är i analog form, dvs. pappersdokument. Den vägledning som redan finns tillgänglig för hantering av hemliga handlingar och uppgifter ska följas. Se exempelvis:

I januari 2019 väntas en ny Säkerhetsskyddslag. I denna lag omfattas även säkerhetsaspekterna riktighet och tillgänglighet i större grad (skydd för att ”…uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs”). Vidare ändras benämningarna tillträdesbegränsning till fysisk säkerhet och säkerhetsprövning till personalsäkerhet samt att hemliga uppgifter ändras till säkerhetsskyddsklassificerade uppgifter. Se vidare: 

Allvarlig skada (3)

  • Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen.
  • Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt.
  • Individers liv och hälsa äventyras.

Betydande skada (2)

  • Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder).
  • Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte.
  • Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen.

Måttlig skada (1)

  • Inga märkbara större svårigheter för verksamheten att nå målen.
  • Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation.
  • Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan.

Försumbar skada (0)

  • Inga svårigheter för verksamheten att nå målen.
  • Ingen eller endast försumbar påverkan på samhällsviktiga funktioner vid egen eller annan organisation.

Säkerhetsaspekter i KLASSA

 

 

Säkerhetsaspekt

Definition i SIS Handbok 550

Definition i SS-ISO/IEC 27001

Konfidentialitet

Skyddsmål att innehållet i informationsobjekt (eller ibland dess existens) inte får göras tillgängligt eller avslöjas för obehöriga

Egenskapen att information inte tillgängliggörs eller avslöjas till obehöriga individer, enheter, eller processer

Riktighet

Skyddsmål att information inte förändras, vare sig obehörigen, av misstag eller på grund av funktionsstörning

Egenskapen att skydda exaktheten och fullständigheten gällande tillgångar

Tillgänglighet

Skyddsmål där informationstillgångar ska kunna utnyttjas i förväntad utsträckning och inom önskad tid

Egenskapen att vara åtkomlig och användbar vid begäran av behörig enhet

Andra aspekter kan givetvis förekomma i en organisations klassningsarbete, såsom spårbarhet och oavvislighet.

 

Vägledning för val av konsekvensnivå

Vad som räknas som informationstillgångar är de som verksamheten identifierar som sådana. Det innebär att två organisationer kan få olika resultat i sin analys för vilka tillgångar som ska klassificeras. Klassificeringen har två ingångsvärden: krav och klassificeringsmodell. Kraven kan i sin tur delas upp i två delar: de som kommer från avtal, lagar, förordningar och andra författningar, (externa krav) och krav som verksamheten ställer för att kunna uppnå sina mål (interna krav).

Beroende på organisation, huvuduppgifter, antal anställda osv. så kommer tolkningen av värderingen av begreppen försumbar, måttlig, betydande, allvarlig och synnerligen allvarlig vara olika. Observera att för lagkrav (t.ex. GDPR, NIS, PDL, OSL, arkivlagen osv) är kraven absoluta och öppnar inte för tolkningar.

Klassificeringsmodellen är baserad på den modell som Myndigheten för samhällsskydd och beredskap, MSB, har tagit fram för att användas som stöd i arbetet. Observera att modellen inte ger svar på hur den klassificerade tillgången sedan ska hanteras. Klassificeringen ger bara ett stöd för den som hanterar informationstillgången hur informationen värderas och på så sätt ger en vägledning på vilka hanteringskrav som ska appliceras. Dessa krav kan t.ex. handla om (men är inte begränsade till) tekniska åtgärder såsom brandväggar, krypteringsfunktioner och antivirus och organisatoriska åtgärder såsom säkerhetsarbetets organisation och rutiner, instruktioner och uppföljning.

Nedan följer ett antal vägledningar som kan vara till hjälp i arbetet med klassificering

Säkerhetsskyddslagstiftningen

Vid hantering av hemliga handlingar och uppgifter ska Säkerhetsskyddslagstiftningen och Säkerhetsskyddsfördningen beaktas. Inte sällan hanteras hemliga handlingar i analog form och de tekniska och organisatoriska skyddsåtgärderna är mer långtgående än vad de högsta kraven i KLASSA uttrycker. Den vägledning som redan finns tillgänglig för hantering av hemliga handlingar och uppgifter ska följas. Se exempelvis:

April 2019 väntas en ny Säkerhetsskyddslag som i större utsträckning harmoniseras med ISO/IEC 27000 standarden. Exempelvis omfattas säkerhetsaspekterna riktighet och tillgänglighet i större grad. Vidare ändras benämningarna tillträdesbegränsning till fysisk säkerhet och säkerhetsprövning till personalsäkerhet. Se vidare: 

Med sannolikhet hamnar hanteringen av hemliga handlingar och uppgifter i klassificeringen synnerligen allvarlig för samtliga säkerhetsaspekter. 

Lag om informationssäkerhet för vissa tillhandahållare av samhällsviktiga tjänster och digitala tjänster (NIS-direktivet)

Lagen pekar ut sju särskilda samhällssektorer där tjänster som är viktiga ur ett samhälleligt eller ekonomiskt perspektiv ska arbeta förebyggande mot incidenter som kan få betydande påverkan. Mer information om detta finns att läsa här:

http://www.regeringen.se/495f60/contentassets/c5fe6f621563417095f2b8fb4c62d18c/informationssakerhet-for-samhallsviktiga-och-digitala-tjanster-prop.-201718205

Med sannolikhet hamnar tjänster/system som omfattas av lagen i klassificeringen allvarlig för samtliga säkerhetsaspekter. Finns det skäl att tro att klassificeringen är synnerligen allvarlig är det inte självklart att det är NIS-direktivet som är normerande utan snarare kan verksamheten då omfattas av Säkerhetsskyddslagstiftningen.

Information som faller under Dataskyddsförordningen (GDPR)

Personuppgifter finns i olika former. Enligt Dataskyddsförordningen ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna i relation till dess skyddsvärde.

Personuppgifter som kanske inte ses som integritetskänsliga såsom adress eller telefonnummer kan bli känsliga beroende på i vilket sammanhang de förekommer eller hur stor omfattning (antal registrerade) de behandlas. Integritetskänsliga personuppgifter är t.ex. uppgifter om ekonomisk hjälp eller insatser inom socialtjänsten och ska normalt hanteras på samma sätt som om de vore känsliga. Särskilda kategorier (tidigare benämns som känsliga personuppgifter) är :

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • hälsa eller sexualliv
  • genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person

Några punkter man kan ta in i arbetet med att klassificera informationen kan baseras bl.a. på:

  • Finns uppgifter om personer med skyddade personuppgifter?
  • Finns uppgifter som behandlar sociala eller ekonomiska förhållanden?
  • Behandlas personuppgifter om många personer?
  • Behandlas personnummer eller samordningsnummer?
  • Behandlas en stor mängd personuppgifter om varje person?

Ju fler av dessa frågor som man svarar ”Ja” på, desto mer omfattande bör säkerhetsåtgärderna vara vilket ska leda till att klassificeringen ska bli högre.

I Dataskyddsförordningen kommer fler krav att ställas vid behandling av personuppgifter, t.ex. införs begreppet personuppgiftsincident vilket betyder ”en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats”. Det innebär att personuppgifter måste hanteras på ett korrekt sätt gällande alla säkerhetsaspekter, inte bara konfidentialitet, dvs. även aspekten tillgänglighet (läs: backup) måste vägas in, liksom riktighet.  

Med sannolikhet hamnar harmlösa personuppgifter i klassificeringen betydande för samtliga säkerhetsaspekter. I sammanhang där särskilda kategorier (känsliga personuppgifter) behandlas är klassificeringen allvarlig för säkerhetsaspekten konfidentialitet och i vissa fall även riktighet.

Information som faller under PDL och kompletterande föreskrifter

I HSLF-FS 2016:40 finns tillämpbara krav och allmänna rådsom baseras på lag och förordning. HSLF-FS 2016:40 har samma tillämpningsområde som PDL. Enligt 1 kap. 1 § PDL tillämpas lagen vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Dessa krav omfattar t.ex. att överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna, och att åtkomst till patientuppgifter föregås av stark autentisering (konfidentialitet). Likaså får inte informationen förändras eller utplånas (riktighet och tillgänglighet) annat än med stöd av bestämmelserna i patientdatalagen.

Med sannolikhet hamnar patientdata i klassificeringen betydande för samtliga säkerhetsaspekter. I sammanhang där särskilda kategorier (känsliga personuppgifter) behandlas är klassificeringen allvarlig för säkerhetsaspekten konfidentialitet.  I sammahang med mycket höga krav på riktighet, exempelvis ordinationer, är klassificeringen allvarlig för säkerhetsaspekten riktighet

Information som faller under OSL

Det finns tre typer av sekretess, absolut, stark och svag. 

  • Absolut sekretess betyder att inga uppgifter under några förutsättningar får lämnas ut till andra än de anställda som behöver uppgifterna för att kunna utföra sitt arbete. Detta gäller t ex för uppgifter i ännu inte avslutade upphandlingsärenden.
  • Stark sekretess betyder att sekretesskydd gäller i första hand och uppgiften får endast lämnas ut om det står klart att så kan ske utan att visst men eller viss skada uppkommer.
  • Svag sekretess betyder att offentlighet gäller i första hand och uppgiften får endast sekretessbeläggas om det kan antas att visst men eller viss skada kan uppstå.

Finns det inte stöd för att belägga en handling med sekretess är en handlingen offentlig. En handling kan både innehålla sekretessbelagd information och information som är öppen.

Konfidentialitet medför inte automatiskt sekretess, även om det kan finnas en koppling. Sålunda ska de två begreppen (konfidentialitet och sekretess) hållas åtskilda. Sekretess är enbart en benämning på den del av informationen som hamnar under OSL. Det ska även anmärkas att allmänna handlingar som bedöms troligtvis vara offentliga vid begäran om utlämning trots detta inte bör ges den lägsta konsekvensnivån (”ingen eller försumbar”) när det gäller konfidentialitet.

Med sannolikhet hamnar information som är sekretessklassad enligt OSL i klassificeringen betydande eller allvarlig när det gäller konfidentialitet. 

Krav på oavvislighet

Med oavvislighet menas att en uppgifts ursprung går att härleda t.ex. till en person, system eller organisation. Oavvislighet kan vara en del av ett krav kring riktighet, men det omvända förhållandet (att riktighet kräver oavvislighet) har inte samma samband/sammanhang.

Med sannolikhet hamnar information med oavvislighetskrav i klassificeringen måttlig eller betydande för samtliga säkerhetsaspekter utom tillgänglighet. För information som hamnar under PDL 3 kapitel 10 § så är sannolikt klassificeringen betydande eller allvarlig när det gäller konfidentialitet och riktighet.

För system som hanterar rättigheter (antingen i sitt eget system eller för andra system) måste det gå i efterhand att se vem som tilldelat vem vilken behörighet och/eller identitet samt att denna information inte ska gå att ändra i efterhand. Den sannolika klassificeringen för sådana system blir nog betydande eller allvarlig när det gäller konfidentialitet och riktighet.

 

Sveriges Kommuner och Landsting
Sveriges Kommuner och Landsting
Besöksadress: Hornsgatan 20, 118 82 Stockholm
Telefon växel: 08-452 70 00
E-post: klassa@skl.se
Om kakor
Om webbplatsen

En webbplats från Sveriges Kommuner och Landsting