Säkerhet
Gärna molntjänster – men först en ordentlig informationsklassning
Allt fler systemlösningar tillhandahålls som molntjänster (SaaS – Software as a Service), där hela, eller delar av lösningen finns placerad i en extern leverans.
Fördelarna med molnbaserade tjänsteleveranser kan vara stora och finns oftast att hitta i:
- Kostnadseffektivitet
- Driftstabilitet
- Tempo i implementation och förändring
Nackdelarna kan oftast beskrivas i termerna:
- SaaS lösningar levereras ofta som standardsystem med små eller inga möjligheter till egna anpassningar eller anpassning mot interna system
- Osäkerhet i hur (ständiga) förändringar i SaaS-miljön kan påverka samverkan och integration med andra/interna system
- Osäkerhet kring hur legala krav på informationssäkerhet uppfylls
- Osäkerhet kring hur interna krav på informationssäkerhet uppfylls
Det här blogg-inlägget kommer att fokusera på de två nedersta punkterna.
Genom att visa på vikten av hur man skall hantera organisationens information så blir det tydligare vilka krav som behöver ställas vid införande av integrerade SaaS-lösningar i er IT-miljö.
Vikten av informationsklassificering
Observera att informationsklassificering inte är isolerad till beslut om att implementera moln-tjänster – det är ett arbete som skall göras även om informationen hanteras internt.
Det blir däremot mycket tydligare att informationen måste värderas i samband med att den läggs ut på externa system, vilket troligen sker hos flertalet företag redan idag, via e-post och sociala medier eller av misstag vid förlust/stöld av användardatorer, virus eller rena intrång.
Påbörja en klassning av information
Klassning av informationstillgångar är ett grundläggande arbete inom informationssäkerhet och ligger till grund för att skapa regelverk och riktlinjer för hur informationssäkerhetsarbetet skall genomföras och prioriteras utifrån värdet av den information som skall skyddas.
Klassningen ger också svar på vilka krav som måste ställas på skyddsnivåerna i en IT-lösning som hanterar informationen.
Det går att genomföra en klassning av informationen utifrån egna kriterier och metoder, men utgångspunkt för modell och förslag på klassning har LIS (d v s SS-ISO/IEC 27000-serien) som grund för metod och begrepp.
Klassningskriterier
De kriterier som tas upp i SS-ISO/IEC 27000-serien är:
- Värde
- Legala krav
- Känslighet
- Betydelse för verksamheten
Det kan finnas andra kriterier som är viktiga för den egna verksamheten, men dessa är grundkriterier.
Konsekvensnivåer
I modellen klassas informationen utifrån de konsekvenser som en oönskad påverkan på informationens kvalitet skapar.
Konsekvenserna värderas utifrån oönskad effekt på verksamheten eller annan part till följd av otillräcklig:
- Konfidentialitet
- Riktighet
- Tillgänglighet
Om exempelvis verksamheten lider allvarlig skada av att viktig information blir tillgänglig för obehöriga, ska informationen klassas med hög konsekvensnivå avseende konfidentialitet.
Process för arbetet
Beskrivningen överensstämmer med ledningssystem enligt SS-ISO/IEC 27001.
I planeringsfasen i PDCA-cykeln (figur 1) är ett av huvudstegen att hantera verksamhetens risker, vilket beskrivs översiktligt i SS-ISO/IEC 27001. I standarden för riskhantering (SS-ISO/IEC 27005) finns en något mer utförlig vägledning för identifiering och värdering av informationstillgångar, vilket är en viktig del i processen.
Figur 1 PDCA-cykel
Figur 2 beskriver var klassning av information återfinns i informationssäkerhetsprocessen enligt LIS.
Figur 2: Klassningen i Informationssäkerhetsprocessen
Klassningen kan fungera som ett stöd och beslutsunderlag vid motivering av investeringar och vägval/prioritering inom informationssäkerhet för en verksamhet.
Modell för klassning av information
Modellen ger en grund för att anpassa lämpliga säkerhetsåtgärder till respektive informations värde och ger förutsättning för att likvärdig information får ett likvärdigt skydd, oavsett var den förekommer.
Säkerhetsaspekter
Modellen omfattar de tre informationssäkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet. Definitioner av dessa aspekter beskrivs i tabellen nedan utifrån SS-ISO/IEC27001.
| Säkerhetsaspekt | SS-ISO/IEC 27001 |
|---|---|
| Konfidentialitet | Egenskapen att information inte tillgängliggörs eller
avslöjas till obehöriga individer, enheter, eller processer |
| Riktighet | Egenskapen att skydda exaktheten och fullständigheten gällande tillgångar |
| Tillgänglighet | Egenskapen att vara åtkomlig och användbar vid begäran av behörig enhet |
Andra aspekter kan förekomma i klassningsarbetet, såsom spårbarhet, oavvislighet mm.
Spårbarhet kan exempelvis ses både som en aspekt för klassning och som en åtgärd för att tillgodose krav på konfidentialitet och riktighet.
Konsekvensnivåer
Modellen bygger på att informationens värde anges genom den konsekvens som förlust av, otillåten spridning av eller annan skada på informationen, leder till. Varje säkerhetsaspekt värderas i en av tre nivåer av konsekvenser:
- Måttlig
- Betydande
- Allvarlig
Dessa nivåer, tillsammans med riskanalys som bedömer sannolikheten för olika hot, utgör de primära ingångsvärdena vid bedömningen av vilka krav som bör ställas på skyddet av information.
| Säkerhetsaspekt /Konsekvensnivå | Konfidentialitet | Riktighet | Tillgänglighet |
|---|---|---|---|
| Allvarlig | Information där förlust av konfidentialitet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. | Information där förlust av riktighet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. | Information där förlust av tillgänglighet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
| Betydande | Information där förlust av konfidentialitet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. | Information där förlust av riktighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. | Information där förlust av tillgänglighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
| Måttlig | Information där förlust av konfidentialitet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. | Information där förlust av riktighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. | Information där förlust av tillgänglighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Förklaring:
Med måttlig negativ påverkan avses t ex förlust som för egen eller annan verksamhet kan:
a) orsaka en minskning i förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamhetens primära uppgifter kan fullföljas, men att effektiviteten är påvisbart reducerad
b) resultera i mindre skador på verksamhetens tillgångar
c) resultera i smärre ekonomiska förluster
d) förorsaka begränsad negativ påverkan på enskild individs rättigheter eller hälsa
Med betydande negativ påverkan avses t ex förlust som för egen eller annan verksamhet kan:
a) orsaka en signifikant minskning i förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamhetens primära uppgifter kan fullföljas, men att effektiviteten är påtagligt reducerad
b) resultera i betydande skador på verksamhetens tillgångar
c) resultera i betydande ekonomiska förluster
d) förorsakar betydande negativ påverkan på enskild individs rättigheter eller hälsa.
Med allvarlig/katastrofal negativ påverkan avses t ex förlust som för egen eller annan verksamhet kan:
a) orsaka en allvarlig begränsning i förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamheten inte kan fullgöra en eller flera av sina primära uppgifter
b) resultera i omfattande skador på verksamhetens tillgångar
c) resultera i stora ekonomiska förluster
d) förorsakar allvarligt negativ påverkan på enskild individs rättigheter eller liv och hälsa
Att arbeta med modellen
Modellen innebär att verksamheten värderar sin information i de olika konsekvensnivåerna.
Varje typ av information ska klassas i en av konsekvensnivåerna för varje säkerhetsaspekt.
En viss informationstyp kan ges olika konsekvensnivå för respektive aspekt.
Exempel på värdering av en informationstillgång ”Tillgång A” utifrån konsekvens.
| Säkerhetsaspekt /Kriterier | Konfidentialitet | Riktighet | Tillgänglighet |
|---|---|---|---|
| Värde | Betydande | Allvarlig | Måttlig |
| Legala krav | Allvarlig | Allvarlig | Måttlig (oviktig) |
| Känslighet | Betydande | Betydande | Betydande |
| Betydelse för verksamheten | Betydande | Allvarlig | Allvarlig |
Det finns risk för att aggregering av information förändrar konsekvensnivåerna, särskilt med avseende på konfidentialitet.
Tillgänglighet är oftast ett verksamhetskrav. Normalt skapas tillgänglighet genom olika tekniska och/eller administrativa åtgärder baserade på extra kopior, redundant lagring etc. De övergripande verksamhetskraven på tillgänglighet leder senare till krav på specifika egenskaper hos de informationshanterande systemen.
Strävan är att åstadkomma en konsistent bedömning av en och samma informations värde – oavsett var informationen hanteras.
Det kan finnas andra faktorer som påverkar konsekvensnivåer, där tidsaspekter i form av kritiska datum eller fördröjningar kan skapa en högre värdering på en eller flera säkerhetsaspekter.
Ansvaret för den slutliga bedömningen av säkerhetsåtgärder och accepterade risker ligger alltid på den informationshanterande verksamheten.
Nyttan med informationsklassificering
Huvudansvaret för en verksamhets hantering av information ligger alltid ytterst hos företagsledaren. Denne eller denna delegerar normalt ut uppgifter till internt ansvariga för olika funktioner. Nyckelroller vid användning av klassningsmodellen är verksamhetsansvarig, informationsägare, förvaltningsledare, systemägare och motsvarande, eftersom dessa är ansvariga för att informationen inom deras verksamhetsområde får en korrekt klassning och därmed hanteras korrekt.
Att tillämpa modellen kan också vara ett verktyg för att öka förståelsen och medvetenheten hos olika aktörer i en verksamhet. Att förankra modellen med tillhörande riktlinjer, instruktioner och liknande hos medarbetare, är ett viktigt led i att nå en hög kvalitet i hantering av verksamhetens information.
whitepaper
Att införa Robotic Process Automation (RPA) syftar till att förenkla och automatisera flöden inom verksamheter Inledningsvis är det ändå en hel del extraarbete som måste göras innan man kan skörda…
Vad skall klassas
Modellen förutsätter att all information som hanteras inom organisationen skall klassas, men det betyder inte att varje enskilt informationsobjekt/dokument behöver klassas.
En inledande identifiering bör syfta till att identifiera de grupper eller huvudtyper av information som skall hanteras. Syftet är att undvika att man av misstag inte tar med vissa typer av information.
Modellen utgår från det är informationen som har det primära värdet för organisationen och det är detta värde, uttryckt som konsekvensnivå, som tillsammans med riskanalys skall styra i vilken grad och på vilket sätt informationen ska skyddas.
Legala krav
I enlighet med LIS är legala krav ett av flera ingångsvärden vid klassning av information. Legala krav kan styra krav på alla de tre säkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet.
Exempel:
- krav på konfidentialitet i 9 kap 7 § Lag (2007:1091) om offentlig upphandling,
- krav på riktighet i 6 § Arkivlagen (1990:782)
- krav på tillgänglighet i 2 kap 1 § Tryckfrihetsförordningen (1949:105)
Sammanfattning
Informationsklassificering är en viktig del i organisationens informationssäkerhetsarbete och ligger tillsammans med riskanalys till grund för att värdera informationen utifrån:
- Konfidentialitet
- Riktighet
- Tillgänglighet
Som stöd till detta arbete kan den beskrivna klassningsmodellen användas för att skapa en enhetlig och konsekvent värdering av informationstillgångarnas skyddsvärde, oavsett var de finns.
En god informationsklassning ger inte bara en tydlighet om vilka skyddsåtgärder som krävs för de olika informationstillgångarna, den ger även en grund inför till exempel beslut om att tillämpa molntjänster. Informationsklassningen tydliggör de krav som behöver ställas i samband med upphandling och värdering av en levererad systemlösning, oavsett om lösningen produceras internt eller i molnet som en SaaS-lösning.
Referenser
SIS ISO 27000 http://www.sis.se/tema/ISO27000/
Myndigheten för Samhällsskydd och Beredskap https://www.msb.se
Site för Informationssäkerhet https://www.informationssakerhet.se/
