Informationsklassificering

Grundläggande för informations- och it-säkerhet är att man behöver veta vad som är skyddsvärt dvs man behöver bestämma sig för vilket skyddsvärde ens information har.

Eller, med andra ord, ”Vilka är organisationens Guldägg”?
Vad är det som är en överlevnadsfråga och/eller skulle kunna få sådana konsekvenser om det förstörs, förvanskas eller kommer i orätta händer att vi för allt i världen INTE vill att det ska hända?
MSB har publicerat Modell för klassificering av information vilket är en både utmärkt och hyfsat kortfattad guide. Den rekommenderas!
När man klassar informationens skyddsvärde använder man normalt begreppen Konfidentialitet, Riktighet och Tillgänglighet samt Konsekvens/Allvarlighetsgrad.
I en hel del texter stöter man på de engelska begreppen Confidentiality, Integrity och Availability och deras förkortningar C, I och A. Det handlar dock om samma sak dvs,

Konfidentialitet Riktighet Tillgänglighet
SS-ISO/IEC 27001: Egenskapen att information inte tillgängligörs eller avslöjas till obehöriga individer, enheter eller processer. SIS Handbok 550 Skyddsmål att innehållet i informationsobjektet (eller ibland dess existens) inte får göras tillgängligt eller avslöjas för obehöriga. SS-ISO/IEC 27001 Egenskapen att skydda exaktheten och fullständigheten gällande tillgångar. SIS Handbok 550 Skyddsmål att information inte förändras, vare sig obehörigen, av misstag eller på grund av funktionsstörning. SS-ISO/IEC 27001 Egenskapen att vara åtkomlig och användbar vid begäran av behörig enhet. SIS Handbok 550 Skyddsmål där informationstillgångar skall kunna utnyttjas i förväntad utsträckning och inom önskad tid.

 
Konsekvens/Allvarlighetsgrad:

Konfidentialitet Riktighet Tillgänglighet
Allvarlig/Katastrofal Information där förlust av konfidentialitet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av riktighet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av tillgänglighet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ.
Betydande Information där förlust av konfidentialitet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av riktighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av tillgänglighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ.
Måttlig Information där förlust av konfidentialitet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av riktighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av tillgänglighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ.
Ingen eller försumbar Information där det inte föreligger krav på konfidentialitet, eller där förlust av konfidentialitet inte medför någon eller endast försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där det inte föreligger krav på riktighet, eller där förlust av riktighet inte medför någon eller endast försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. (Denna klassning kan förväntas vara mycket sällsynt.) Information där det inte föreligger krav på tillgänglighet, eller där förlust av tillgänglighet inte medför någon eller endast försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. (Denna klassning kan förväntas vara mycket sällsynt.)

 
Exempel:

Typ av information Exempel Konfidentialitet Riktighet Tillgänglighet
Aktiebolags finansiella ställning Kvartalsrapport, Årsbokslut etc Betydande Allvarlig/Katastrofal Måttlig
Anställd – löneinformation Lön, förmåner etc Betydande Måttlig Måttlig
Extern information, press release, publik information Årsbokslut, pressreleaser, kvartalsrapport, produktlansering etc Ingen/Försumbar Allvarlig/Katastrofal Betydande
Information om anställd Adress, närmast anhörig etc Betydande Måttlig Måttlig
Kontrakt eller överenskommelse med kund Avtal som lagras i elektronisk form Betydande Allvarlig/Katastrofal Måttlig
Kund – kontaktuppgifter Hur kunden kan kontaktas, inställningar i produkt som kund har Måttlig Måttlig Betydande
Kund – kontaktuppgifter vid skyddad identitet Allvarlig/Katastrofal Måttlig Måttlig
Kund – offert/upphandling Detaljerad information om erbjudande, avtal, förhandlingsförslag, produktspecifkation, pris etc Inte minst avseende svar på offentliga upphandlingar. Betydande Betydande Måttlig
Kundfaktura Betydande Betydande Måttlig
Kundinformation Kundens identitet, adress, positioineringsdata Allvarlig/Katastrofal Betydande Betydande
Kundorder Kundorder, bokning, information om köp till underleverantör(er) Betydande Betydande Måttlig
Kunds korrespondens med organisationen Mejl, brev, fax etc Försumbar Försumbar Försumbar
Loggar/säkehetsrelaterade loggar Betydande Betydande Måttlig

 

Nästa steg… IT och organisationsanalys samt GAP-analys

När man bestämt informationens skyddsvärde kan man ta nästa steg dvs jämföra det principiella behovet av skydd med hur det verkligen ser ut i organisationen just nu, och hur det borde vara.
Ex. Konfidentialitet med skyddsvärde Allvarlig/Katastrofal innebär att informationen måste förvaras extremt väl skyddad samt på ett sådant sätt så att spårbarhet föreligger avseende vad och/eller vem som haft tillgång till informationen.
I ett datorsystem innebär detta t.ex. att informationen måste vara krypterad med en vedertagen krypteringsmetod samt att loggning, som ej kan påverkas av inkräktare, användare eller systemadministratörer, måste finnas. Nyckelhantering måste ske på ett vedertaget sätt.
Principen är egentligen oberoende av teknik, det skulle lika gärna kunna vara så att informationen måste förvaras i en pärm i ett säkerhetsskåp där det krävs två av varandra oberoende personer för att låsa upp skåpet samt att deras tillgång till det rum där skåpet står registreras av oberoende part.
Kontentan är att när du vet skyddsvärdet för den information som din organisation hanterar kan du också börja titta på hur det ser ut just nu och huruvida något behöver ändras (vilket det nästan alltid gör… 😉
Alltså! Skyddar vi informationen på rätt sätt?
Finns det information som skyddas för mycket? Kan vi spara in kostnader?
Finns det information som har högt skyddsvärde men inte skyddas på det sätt som den behöver vara skyddad? Riskerar vi att drabbas av kostnader? Eller, hemska tanke, riskerar vi t.o.m. organisationens överlevnad?

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *