SYSTEMSÄKERHETSANALYS 1(21) 2014-05-26 Sekr. OSL 18:8 Riskanalys genom informationsklassning [SYSTEMET] Sammanfattning Konsekvens Allvarlig Betydande Måttlig Försumbar Riktighet Tillgänglighet Konfidentialitet Spårbarhet Aspekt SYSTEMSÄKERHETSANALYS 2(21) 2014-05-26 Sekr. OSL 18:8 Innehållsförteckning Riskanalys genom informationsklassning ............................................................................ 1 PLATINA ......................................................................... Error! Bookmark not defined. Sammanfattning.................................................................................................................. 1 Allmän information om verksamheten, systemet eller tillämpningen ........................ 3 Verksamhetsanalys: Interna och legala krav på verksamheten, systemet eller tillämpningen ...................................................................................................................... 5 Informationsklassificering............................................................................................... 11 Bedömning av brister beträffande informationssäkerhet ...................................... 11 Klassificering av informationen - Riktighet ................................................................. 12 Klassificering av informationen - Tillgänglighet.......................................................... 14 Klassificering av informationen - Sekretess ................................................................. 16 Kommunikation ............................................................................................................... 19 Avbrottsplanering ............................................................................................................ 20 Deltagare vid informationsklassificeringen: ................................................................. 21 Informationsklassificeringstillfällen Inledande informationsklassificering inför projektstart Uppföljande informationsklassificering vid projektavslut Uppföljande informationsklassificering av system i produktion Fortsättning av informationsklassificering Avbrottsplanering för verksamheten Datum Signatur SYSTEMSÄKERHETSANALYS 2014-05-26 Sekr. OSL 18:8 Allmän information om verksamheten, systemet eller tillämpningen Benämning Projekt/förvaltningsobjekt eller tillämpningsnamn Ändamål/Nytta Beskriv ändamålet med systemet/tillämpningen Utgå från användningen av informationstillgången och beskriv vilken nytta verksamheten har av den Ansvar Systemägare = verksamhetsansvar Systemförvaltare = systemansvar IT-kontaktperson/er = utvecklingsansvar/driftansvar Användare Till vilka målgrupper vänder sig systemet/tillämpningen? Hur många användare? Drift Driftplats internt, externt (ange i så fall var) Samband Från vilka andra system hämtas indata? Till vilka andra system lämnas utdata? 3(21) SYSTEMSÄKERHETSANALYS 2014-05-26 Sekr. OSL 18:8 Informations- Vilka mängder/typer informationsmängder/informationstyper används i systemet Dokumentation Ange sökväg till systemdokumentationen. 4(21) SYSTEMSÄKERHETSANALYS 5(21) 2014-05-26 Sekr. OSL 18:8 Verksamhetsanalys: Interna och legala krav på verksamheten, systemet eller tillämpningen Interna krav Beskriv Konsekvens vid bortfall av tillgänglighet Beskriv konsekvensen för verksamheten om informationen inte är tillgänglig för behöriga användare Vad händer om (sekretessbelagd) information felaktigt lämnas ut till massmedier? Andra myndigheter? Allmänheten? Personalen? Hur påverkas organisationens ”goodwill”? Finns det särskilda behörighetskrav beträffande användningen av/tillgängligheten till uppgifterna som skall ingå i systemet? Hur drabbar det den som sekretessen ska skydda? Vad blir konsekvensen om en obehörig person eller process Beskriv konsekvensen för förändrar informationen? verksamheten om informationstillgången är felaktig eller Vad blir konsekvensen om verksamheten inte upptäcker Konsekvens Beskriv konsekvensen om vid bortfall av informationen röjs för obehöriga konfidentialitet Konsekvens vid bortfall av riktighet Stödfrågor Vad blir konsekvensen om tillgången inte alls kan användas? Vad blir konsekvensen om tillgången endast kan användas i begränsad utsträckning eller med vissa svårigheter? Finns det kritiska tidpunkter för att lämna/hämta information? Ex: Sista tidpunkt för ansökan eller för rapportering. Ange eventuella krav på öppettider. Vilken typ av support behövs? Vem/vilka ger support? Svar SYSTEMSÄKERHETSANALYS 6(21) 2014-05-26 Sekr. OSL 18:8 Legala krav Offentlighet och sekretess inaktuell Lag/Princip/Förordning Offentlighets- och sekretesslag (2009:400) * reglerna för registrering av allmänna handlingar (kapitel 5) * god offentlighetsstuktur (kapitel 4) * sekretessreglering, sekretessmarkering och prövning och utlämnande av allmänna handlingar Tryckfrihetsförordningen (1949:105) – kapitel 2 * definition av allmän handling och grundläggande regelverk för prövning och utlämnande Förvaltningslagen (1986:223) * utökad reglering av begreppet inkommen handling * tjänsteanteckning * överklaganden Arkivlagen (1990:782) * krav på långsiktig tillgänglighet * reglering av gallring av allmänna handlingar detta? Förtydligande av lagtext eller förordning Bl.a. följande sekretessbestämmelser i OSL kan vara tillämpliga: – affärssekretess, – upphandlingssekretess, – sekretess för hotade arter, – förföljda personer, – behandling i strid med PUL, – personaladministrativ verksamhet, – statistik, – tillsynssekretess, – uppdragssekretess Tillämplig (ev. med motivation varför) SYSTEMSÄKERHETSANALYS 7(21) 2014-05-26 Sekr. OSL 18:8 Personuppgifte Personuppgiftlagen (1998:204) * behandling av personuppgifter r * publicering på internet PUL innehåller bl.a. grundläggande krav på behandling av personuppgifter, 9 §: – personuppgifter får bara behandlas om det är lagligt, – personuppgifter ska behandlas på ett korrekt sätt och i enlighet med god sed, – personuppgifter får samlas in bara för särskilda uttryckligt angivna och berättigade ändamål, – de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet, – fler personuppgifter än nödvändigt får inte behandlas, – de personuppgifter som behandlas ska vara riktiga och om nödvändigt aktuella, – alla rimliga åtgärder ska vidtas för att rätta eller utplåna personuppgifter som är felaktiga, – personuppgifter ska inte bevaras längre tid än nödvändigt. När behandling är tillåten, 10 §: behandling av personuppgifter är tillåten om den registrerade har lämnat sitt samtycke eller om behandlingen är nödvändig för att: – ett avtal med den registrerade ska kunna fullgöras, – Länsstyrelsen ska kunna fullgöra en rättslig skyldighet, – vitala intressen för den registrerade ska kunna skyddas, – en arbetsuppgift av allmänt intresse ska kunna utföras, – Länsstyrelsen eller annan ska kunna utföra arbetsuppgift i samband med myndighetsutövning, – ett ändamål som rör ett berättigat intresse hos SYSTEMSÄKERHETSANALYS 8(21) 2014-05-26 Sekr. OSL 18:8 Länsstyrelsen eller den till vilken personuppgifterna lämnas ut, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Känsliga personuppgifter, 13 §: det är förbjudet att behandla personuppgifter som avslöjar etniskt ursprung, politiska åsikter, religion, medlemskap i fackförening, hälsa eller sexualliv. Personnummer, 22 §: uppgifter om personnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till vikten av en säker identifiering eller något annat beaktansvärt skäl. Information som ska lämnas självmant till den registrerade, 23-25 §§: om uppgifter om en person samlas in från personen själv, ska den registrerade lämnas information om behandlingen av uppgifterna. Om personuppgifter har samlats in från någon annan källa än den registrerade, ska den registrerade lämnas information om behandlingen av uppgifterna. Information som ska lämnas efter ansökan, 26 §: skyldighet att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. SYSTEMSÄKERHETSANALYS 9(21) 2014-05-26 Sekr. OSL 18:8 Används cookies? Arkivfrågor Arkivering och gallring Arkivvård Elektronisk arkivering Länsstyrelsen ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter som behandlas, 31 §. Enligt 6 kap. 18 § lagen (2003:389) om elektronisk kommunikation får uppgifter lagras i eller hämtas från en abonnents eller användares terminalutrustning (cookies/kakor) endast om denne får tillgång till information om ändamålet med behandlingen och samtycker till den. Enligt 3 § arkivlagen (1990:782) bildas en myndighets arkiv av de allmänna handlingarna från myndighetens verksamhet. Myndighetsarkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser: – rätten att ta del av allmänna handlingar, – behovet av information för rättskipning och förvaltning, – forskningens behov. I arkivvården ingår enligt 6 § arkivlagen att myndigheten ska – organisera arkivet på ett sådant sätt att rätten att ta del av allmänna handlingar underlättas, – skydda arkivet mot förstörelse, skada, tillgrepp och obehörig åtkomst, – avgränsa arkivet genom att fastställa vilka handlingar som ska vara arkivhandlingar, – verkställa föreskriven gallring. SYSTEMSÄKERHETSANALYS 2014-05-26 Sekr. OSL 18:8 10(21) SYSTEMSÄKERHETSANALYS 2014-05-26 Sekr. OSL 18:8 Informationsklassificering För att bevara informationssäkerheten ska konsekvenserna av brister inom följande områden beaktas: riktighet - informationen ska vara korrekt, aktuell och begriplig tillgänglighet -informationen ska vara tillgänglig för behöriga användare i beslutad omfattning på definierade tider konfidentialitet/ sekretess - information och program ska vara skyddade så att de inte avsiktligt görs tillgängliga eller avslöjas för obehöriga eller utnyttjas på ett otillåtet sätt spårbarhet -funktioner som gör det möjligt att härleda utförda operationer till enskilda individer/ program. I system innehållande ekonomiska transaktioner ska verifieringskedjan utgöras av hänvisningar och identifieringstecken som gör det möjligt att följa bokföringsposter från ett ärendes start (t ex ansökan om ett stöd) till ett ärendes slut (utbetalning av stöd). behandlingshistorik göra det möjligt att ta reda på vilka behandlingsregler som har tillämpats för enskilda poster, vilka behandlingsregler gällde vid en viss tidpunkt, vem som gjort vad mm. Bedömning av brister beträffande informationssäkerhet Klassningen bedömer konsekvenserna av att informationen skulle bli föremål för brister i något av ovanstående område. För varje område beskrivs händelser i verksamheten som på något sätt kan medföra informationssäkerhetsbrister. Varje sådan händelse beskrivs kortfattat vid klassningstillfället. Gemensamt görs sedan en bedömning av sannolikheten för och konsekvensen av varje beskriven händelse. I följande matriser lämnas exempel på försumbara, måttliga, betydande och allvarliga konsekvenser för varje område. Det lämnas exempel på möjliga åtgärder för att bevara informationssäkerheten. 11(21) SYSTEMSÄKERHETSANALYS 12(21) 2014-05-26 Sekr. OSL 18:8 Klassificering av informationen - Riktighet Riktighet - förutsätter att informationen ska vara korrekt, aktuell och begriplig Konsekvens Riktighet Allvarlig Betydande Måttlig – information där förlust av riktighet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. T. ex stopp för utbetalningar eller för enskilds verksamhet. – information där förlust av riktighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. T.ex. felaktiga utbetalningar, risk för ekonomiska förluster eller för störning av enskilds verksamhet. Vår verksamhet hindras. – information där förlust av Beskriv händelse och konsekvens i aktuell ruta nedan Exempel på möjliga åtgärder Tekniska/ administrativa krav SYSTEMSÄKERHETSANALYS 13(21) 2014-05-26 Sekr. OSL 18:8 Ingen/ försumbar riktighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. T. ex ta hand om brev som kommit tillbaka pga. felaktig adress – information där det inte föreligger krav på riktighet, eller där förlust av riktighet inte medför någon eller endast försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. (Mycket sällsynt klassning) Låg Medel Hög Sannolikh Förslag på åtgärd(er): SYSTEMSÄKERHETSANALYS 14(21) 2014-05-26 Sekr. OSL 18:8 Klassificering av informationen - Tillgänglighet Tillgänglighet - säkerställande av att behöriga användare vid behov har tillgång till information och tillhörande tillgångar Konsekvens Tillgänglighet Allvarlig Betydande – Information där förlust av tillgänglighet innebär allvarlig/ katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. T ex stora övertidsinsatser kan krävas, stora ekonomiska konsekvenser, externa intressenter drabbas, tidskritiska aktiviteter kan ej genomföras, väsentliga deadlines missas – Information där förlust av tillgänglighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. T. ex, visst övertidsarbete kan krävas, ekonomiska konsekvenser, tidsberoende aktiviteter kan ej Beskriv händelse och konsekvens i aktuell ruta nedan Exempel på möjliga åtgärder Tekniska/ administrativa krav SYSTEMSÄKERHETSANALYS 15(21) 2014-05-26 Sekr. OSL 18:8 Måttlig genomföras – Information där förlust av tillgänglighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. T. ex lindriga störningar för verksamheten, måttliga ekonomiska konsekvenser, litet tidsberoende för aktiviteten Ingen/ försumbar – information där det inte föreligger krav på tillgänglighet, eller där förlust av tillgänglighet inte medför någon eller endast försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild. (Mycket sällsynt klassning) Låg Förslag på åtgärd(er): Medel Hög SYSTEMSÄKERHETSANALYS 16(21) 2014-05-26 Sekr. OSL 18:8 Klassificering av informationen - Sekretess Sekretess - information och program ska vara skyddade så att de inte avsiktligt görs tillgängliga eller avslöjas för obehöriga eller utnyttjas på ett otillåtet sätt Konsekvens Sekretess Allvarlig Betydande – Information där förlust av konfidentialitet innebär allvarlig/ katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. T.ex. myndighetens säkerhet äventyras, myndigheten kan inte fullgöra sitt myndighetsåtagande. – Information där förlust av konfidentialitet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. T.ex. betydande ekonomisk eller annan skada. – till denna grupp hör all information som enligt sekretesslagen är sekretessbelagd. Här återfinns information som endast delges behörig personal och som, om den hamnar i Beskriv händelse och konsekvens i aktuell ruta nedan Exempel på möjliga åtgärder Tekniska/ administrativa krav SYSTEMSÄKERHETSANALYS 17(21) 2014-05-26 Sekr. OSL 18:8 Måttlig Ingen/ försumbar orätta händer, kan skada myndigheten eller tredje man. – Information där förlust av konfidentialitet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. T.ex. intern information som ej är avsedd för utomstående men ändå når ut (arbetsmaterial som ännu ej är offentlig handling). – information där det inte föreligger krav på konfidentialitet, eller där förlust av konfidentialitet inte medför någon eller endast försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Låg Förslag på åtgärd(er): Medel Hög SYSTEMSÄKERHETSANALYS 18(21) 2014-05-26 Sekr. OSL 18:8 Spårbarhet -funktioner som gör det möjligt att härleda utförda operationer till enskilda individer/ program. Konsekvens Bristande spårbarhet kan medföra Allvarlig Betydande Måttlig Beskriv händelse och konsekvens i aktuell ruta nedan – mycket allvarligt brott kan medföra att vi inte kan övervaka myndighetens säkerhet – allvarligt brott mot bokföringslagen eller ackrediteringsreglerna – lindriga konsekvenser Låg Förslag på åtgärd(er): Medel Hög Exempel på möjliga åtgärder Tekniska/ administrativa krav SYSTEMSÄKERHETSANALYS 19(21) 2014-05-26 Sekr. OSL 18:8 Kommunikation Allmänna uppgifter för kommunikation Ange typ av kommunikation T.ex. Internettjänst/internt inom myndigheten/handdator/annan mobil tjänst Inloggning, beskrivning T.ex. Via separat behörighetskontrollsystem i applikation/ operativsystem/ databas/ webbserver, /central kontohantering med användar-id och lösenord Val av säkerhetstjänst för kommunikation Säkerhets tjänst Beskrivning av tjänstens innehåll. Markera Beskriv verksamhetens om behov av säkerhetstjänst tjänsten för kommunikation ska användas Ja/Nej e-signatur Signering av dokument som ersätter en traditionell underskrift på papper. Exempel på möjliga åtgärder SYSTEMSÄKERHETSANALYS 20(21) 2014-05-26 Sekr. OSL 18:8 Identifiering av användaren. Identifiering Autentisering Kryptering Standard skydd Verifiering av att användare och mottagare är de som de utger sig att vara. Information som ingen obehörig får ta del av eller som blir förvanskad under överföringen. Information som är offentlig och som kan spridas utan förbehåll. Avbrottsplanering Om konsekvenserna för verksamheten inte är försumbar ska avbrottsplanering ske. Kryssa för valt alternativ och fyll i följdfrågorna. Alternativ 1 Verksamheten är helt beroende av att IT-stödet fungerar <Avbrottstid anges i timmar alt. dagar> Ange acceptabel avbrottstid, dvs. den längsta avbrottstid som endast orsakar en måttlig sänkning av servicenivån. Ange maximal tillåten avbrottstid, dvs. den längsta avbrottstid som kan tillåtas innan ett reservsystem måste tas i drift Alternativ 2 <Avbrottstid anges i timmar alt. dagar> SYSTEMSÄKERHETSANALYS 21(21) 2014-05-26 Sekr. OSL 18:8 X Avbrottsplan för verksamheten med manuella rutiner Ange acceptabel avbrottstid, dvs. den längsta avbrottstid som endast orsakar en måttlig sänkning av servicenivån 10 dagar Ange maximal tillåten avbrottstid, dvs. den längsta avbrottstid som kan tillåtas innan ett reservsystem (manuellt eller datoriserat) ska tas i drift 20 dagar Deltagare vid informationsklassificeringen: Datum Namn Roll/funktion