Egenskaper Informationssäkerhet

Informationssäkerhetsklassificering ska genomföras utifrån följande egenskaper:

• Konfidentialitet - att informationens åtkomst kan begränsas
• Riktighet - att informationen ska vara tillförlitlig, korrekt och fullständig
• Tillgänglighet - att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet
• Spårbarhet - att informationen är spårbar, både gällande tillgång, manipulering samt radering, används främst för att se att övriga tre egenskaper efterföljs.

För bedömningen av informationssäkerhet för information utgår vi primärt från konfidentialitet. Vid behov kan informationen klassificeras även utifrån de övriga egenskaperna, men de används primärt för informationsresursen som hanterar informationen, samt för extra känslig information.

Konfidentialitet – Klass

Fördelningen mellan nivåerna och benämningarna ser ut enligt nedan.
 

Tabell 1: Konfidentialitetsnivå 4, som berör rikets säkerhet, bedöms endast finnas i ytterst låg omfattning inom kommunkoncernen.

Dataskydd

För ovan nivåer hanteras:

”Vanliga” personuppgifter inom Publik (enstaka uppgifter om offentliga personer), Öppen eller Känslig.

”Extra skyddsvärda” och ”Känsliga” personuppgifter kräver en högre skydd och medför således att de hanteras inom Konfidentiell.

Publik

Information med klassificering där spridning i många fall är önskvärd och begränsas inte av några krav på förvaring, distribution eller förstöring. Eventuell oavsiktlig spridning av information med denna klassificering skulle medföra försumbar skada för företaget eller enskild person. Inget ökat krav på skydd utöver det grundläggande som används inom kommunkoncernen. Allmän handling utan sekretess, Information som ska spridas, till exempel externwebb, anslås publikt. Vanliga personuppgifter, enstaka uppgifter om offentliga personer.

Öppen

Information med klassificering där spridning, obehörig användning eller ändring av den skulle medföra måttlig skada för företaget eller någon person. Kan vara föremål för utlämning enligt OSL, sekretessprövning ska dock genomföras innan utlämnandet. Allmän handling som kan lyda under sekretess, arbetsmaterial, information som på sikt ska spridas, interna dokument. Sekretessprövning innan utlämning till exempel intranät, protokoll, handlingar som ej är klara. Vanliga personuppgifter.

Fysisk förvaring

Får förvaras öppet inom kommunkoncernens lokaler men skyddas mot obehöriga. Utanför kommunkoncernen ska informationen hållas under uppsikt eller förvaras i låst utrymme.

Elektronisk förvaring

Ska ske kontrollerat så att endast behörig personal kan ta del av informationen. Placering sker i informationsresurs som uppfyller kraven i ”Rutin för klassificering av informationsresurser”.

Distribution

Får distribueras inom kommunkoncernen. Extern distribution är tillåten om mottagaren är behörig.

Destruktion

Hanteras på kommunkoncernen inom ordinarie pappersåtervinningssystem. Utanför kommunkoncernen ska informationen destrueras så att obehörig spridning inte sker.

Elektronisk destruktion

För lagringsmedia där radering inte är möjlig, ska fysisk destruktion göras.

Känslig

Information med klassificering som skulle kunna användas för informationshämtning inför ex. ett sabotage, angrepp, stöld av företagskänsliga data eller utrustning. Detta inkluderar även bilder på tekniska installationer och utrustning inom kommunkoncernen.

Teknisk dokumentation klassificeras som ”Känslig”. Undantag finns där även klassen öppen kan användas (se ovan). Om det krävs starkare skydd klassificeras dokumentationen som konfidentiell eller säkerhetsskydd (se nedan).

Information som kan vara eller är sekretessbelagd, sekretessgrund enligt OSL, t.ex.

Svag sekretess - offentlighet gäller i första hand och uppgiften får endast sekretessbeläggas om det kan antas att visst men eller viss skada kan uppstå.

Fysisk förvaring

Får förvaras öppet inom kommunkoncernens lokaler men skyddas mot obehöriga, vilket även kan innefatta/utesluta andra verksamheter inom kommunkoncernen samt egen personal inom kommunkoncernen. Utanför kommunkoncernen ska informationen förvaras på ett betryggande sätt inom låst utrymme som skyddar mot obehörig åtkomst. Server ska placeras i utrymme med ”Skyddsnivå 2” enligt MSB. Samt efterleva övriga av kommunkoncernens krav på serverns placering, se ”Rutin för klassificering av informationsresurser”.

Elektronisk förvaring

Externt krävs att kommunkoncernen har möjlighet att göra revision av verksamhetens IT-miljö med avseende på informations- och IT-säkerhet. Placering sker i informationsresurs som uppfyller kraven i ”Rutin för klassificering av informationsresurser”.

Fysisk distribution

Får distribueras inom kommunkoncernen. Extern distribution är tillåten om mottagaren är behörig.

Fysiska dokument/information ska skickas som ”Rekommenderat Brev, Rek Inrikes/Utrikes” med mottagningsbevis/mottagningskvittens, enligt PostNord Sverige AB:s villkor.

Elektronisk distribution

Extern distribution måste ske krypterat. Kommunkoncernen tillhandahåller fyra olika lösningar:

• krypterad e-postlösning
• Sefos
• krypterad filservertjänst
• på, av kommunkoncernen godkänt, fysisk media, ex. krypterat USB/minneskort, regler för fysisk distribution enligt ovan ska tillämpas.

Destruktion

Hanteras på kommunkoncernen inom ordinarie pappersåtervinningssystem. Utanför kommunkoncernen ska informationen destrueras i dokumentförstörare med Cross Cut-funktion.

Elektronisk destruktion

För lagringsmedia där radering med automatisk överskrivning inte är möjlig, ska fysisk destruktion göras.

Konfidentiell

Information med denna nivå på klassificering ger företaget en klar fördel framför sina konkurrenter och vars avslöjande, spridning, användning eller ändring skulle kunna medföra skador på företaget, dess anseende eller någon person. Konfidentiell information omfattar även uppgifter med betydelse för samhällsviktigt kritiska funktioner samt kan påverka rikets säkerhet (lokal påverkan). Information som är sekretessbelagd med sekretessgrund enligt OSL, eller annan lag. Extra skyddsvärda personuppgifter, information om brukare, elever, kunder som är eller kan lyda under OSL. Känsliga personuppgifter, patientinformation, rehabinformation, känsliga ärenden.

Stark sekretess (OSL), sekretesskydd gäller i första hand och uppgiften får endast lämnas ut om det står klart att så kan ske utan att visst men eller viss skada uppkommer.

Extra skyddsåtgärder behöver vidtas.
Beakta vilket land som behandlingen sker inom, eller i vilket land, ägandet av bolaget finns. Den information som vi klassificerar som konfidentiell är av hög känslighet och har koppling till OSL med Absolut sekretess, till exempel upphandlingar fram till tilldelningsbeslut. 

Molntjänster får normalt sett inte användas, och även för andra former av utkontraktering ska noggrann riskanalys göras, samt skriftligt tillstånd inhämtas från Säkerhetschef och Säkerhetsskyddschef.

Fysisk förvaring

Ska förvaras i säkerhetsskåp, inbrottsskyddat datamediaskåp, värdeskåp som är klassat enligt inbrottsklass i SS 3492 eller inbrottsskyddat arkiv. Server ska placeras i utrymme med ”Skyddsnivå 3” enligt MSB. Samt efterleva övriga av kommunkoncernens krav på serverplacering, se ”Rutin för klassificering av informationsresurser”.

Elektronisk förvaring

Hanteras i separat säkerhetsnät som är väl avgränsat från övriga IT-system. Åtkomst till applikation ska ske via flerfaktorsautentisering (MFA) med stark autentisering LoA3. Utskrift är tillåten till skrivare som kräver personlig identifiering innan start av utskrift. Kommunkoncernen ska göra revision av nätet som ska godkännas på beslutsmöte ISIK. Placering sker i informationsresurs som uppfyller kraven i ”Rutin för klassificering av informationsresurser”.

Fysisk distribution

Får skickas via kommunkoncernens internpost med följande krav:

• Informationen förseglas i ett adresserat kuvert.
• Kuvertet stoppas sedan i ett cirkulationskuvert.
• Avsändaren ska förvissa sig om att mottagaren är på plats innan försändelsen skickas
• och informera om att försändelsen är på väg.
• Avsändaren ska dokumentera mottagarens namn, avsändardatum och informationens registreringsnummer eller motsvarande. Informationen sparas tills avsändaren försäkrat sig om att informationen nått mottagaren.
• Mottagaren ska bekräfta att informationen kommit fram.

Om inte kvittens på skickad information har erhållits hos avsändaren inom en vecka ska detta anmälas till informationssäkerhetsansvarig/informationsägaren inom respektive verksamhet, som gör en bedömning avseende skada.

Extern distribution är tillåten om mottagaren är behörig. Informationen ska skickas som ”Rekommenderat Brev, Rek Inrikes/Utrikes” med mottagningsbevis/mottagningskvittens, enligt PostNord Sverige AB:s villkor.

Delgivning till mottagare som inte finns på ursprunglig distributionslista, ska godkännas av informationssäkerhetsansvarig och informationsägaren.

Elektronisk distribution

• Internt på kommunkoncernen sker distribution i första hand via applikation benämnd Sefos.
• End-to-end Krypterad samarbets-/meddelandelösning
• Krypterad filservertjänst
• Distribution får ske på av kommunkoncernen godkänt fysisk, digital, media, ex. Krypterat USB/Minneskort, regler för fysisk distribution enligt ovan ska tillämpas.
• Informationen bör inte diskuteras på telefon.

Destruktion

Destrueras i dokumentförstörare med Cross Cut-funktion.

Elektronisk destruktion

För lagringsmedia där radering inte är möjlig, ska fysisk destruktion göras. Radering ska ske med automatisk överskrivning, för att informationen ej ska kunna återskapas.

Säkerhetsskydd

Molntjänster får normalt sett inte användas, och även för andra former av utkontraktering ska noggrann riskanalys göras, samt skriftligt tillstånd inhämtas från Säkerhetschef och Säkerhetsskyddschef.