Grundläggande för informations- och it-säkerhet är att man behöver veta vad som är skyddsvärt dvs man behöver bestämma sig för vilket skyddsvärde ens information har.
Eller, med andra ord, ”Vilka är organisationens Guldägg”?
Vad är det som är en överlevnadsfråga och/eller skulle kunna få sådana konsekvenser om det förstörs, förvanskas eller kommer i orätta händer att vi för allt i världen INTE vill att det ska hända?
MSB har publicerat Modell för klassificering av information vilket är en både utmärkt och hyfsat kortfattad guide. Den rekommenderas!
När man klassar informationens skyddsvärde använder man normalt begreppen Konfidentialitet, Riktighet och Tillgänglighet samt Konsekvens/Allvarlighetsgrad.
I en hel del texter stöter man på de engelska begreppen Confidentiality, Integrity och Availability och deras förkortningar C, I och A. Det handlar dock om samma sak dvs,
Konfidentialitet | Riktighet | Tillgänglighet |
SS-ISO/IEC 27001: Egenskapen att information inte tillgängligörs eller avslöjas till obehöriga individer, enheter eller processer. SIS Handbok 550 Skyddsmål att innehållet i informationsobjektet (eller ibland dess existens) inte får göras tillgängligt eller avslöjas för obehöriga. | SS-ISO/IEC 27001 Egenskapen att skydda exaktheten och fullständigheten gällande tillgångar. SIS Handbok 550 Skyddsmål att information inte förändras, vare sig obehörigen, av misstag eller på grund av funktionsstörning. | SS-ISO/IEC 27001 Egenskapen att vara åtkomlig och användbar vid begäran av behörig enhet. SIS Handbok 550 Skyddsmål där informationstillgångar skall kunna utnyttjas i förväntad utsträckning och inom önskad tid. |
Konsekvens/Allvarlighetsgrad:
Konfidentialitet | Riktighet | Tillgänglighet | |
Allvarlig/Katastrofal | Information där förlust av konfidentialitet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. | Information där förlust av riktighet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. | Information där förlust av tillgänglighet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Betydande | Information där förlust av konfidentialitet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. | Information där förlust av riktighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. | Information där förlust av tillgänglighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Måttlig | Information där förlust av konfidentialitet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. | Information där förlust av riktighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. | Information där förlust av tillgänglighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Ingen eller försumbar | Information där det inte föreligger krav på konfidentialitet, eller där förlust av konfidentialitet inte medför någon eller endast försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. | Information där det inte föreligger krav på riktighet, eller där förlust av riktighet inte medför någon eller endast försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. (Denna klassning kan förväntas vara mycket sällsynt.) | Information där det inte föreligger krav på tillgänglighet, eller där förlust av tillgänglighet inte medför någon eller endast försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. (Denna klassning kan förväntas vara mycket sällsynt.) |
Exempel:
Typ av information | Exempel | Konfidentialitet | Riktighet | Tillgänglighet |
Aktiebolags finansiella ställning | Kvartalsrapport, Årsbokslut etc | Betydande | Allvarlig/Katastrofal | Måttlig |
Anställd – löneinformation | Lön, förmåner etc | Betydande | Måttlig | Måttlig |
Extern information, press release, publik information | Årsbokslut, pressreleaser, kvartalsrapport, produktlansering etc | Ingen/Försumbar | Allvarlig/Katastrofal | Betydande |
Information om anställd | Adress, närmast anhörig etc | Betydande | Måttlig | Måttlig |
Kontrakt eller överenskommelse med kund | Avtal som lagras i elektronisk form | Betydande | Allvarlig/Katastrofal | Måttlig |
Kund – kontaktuppgifter | Hur kunden kan kontaktas, inställningar i produkt som kund har | Måttlig | Måttlig | Betydande |
Kund – kontaktuppgifter vid skyddad identitet | Allvarlig/Katastrofal | Måttlig | Måttlig | |
Kund – offert/upphandling | Detaljerad information om erbjudande, avtal, förhandlingsförslag, produktspecifkation, pris etc Inte minst avseende svar på offentliga upphandlingar. | Betydande | Betydande | Måttlig |
Kundfaktura | Betydande | Betydande | Måttlig | |
Kundinformation | Kundens identitet, adress, positioineringsdata | Allvarlig/Katastrofal | Betydande | Betydande |
Kundorder | Kundorder, bokning, information om köp till underleverantör(er) | Betydande | Betydande | Måttlig |
Kunds korrespondens med organisationen | Mejl, brev, fax etc | Försumbar | Försumbar | Försumbar |
Loggar/säkehetsrelaterade loggar | Betydande | Betydande | Måttlig |
Nästa steg… IT och organisationsanalys samt GAP-analys
När man bestämt informationens skyddsvärde kan man ta nästa steg dvs jämföra det principiella behovet av skydd med hur det verkligen ser ut i organisationen just nu, och hur det borde vara.
Ex. Konfidentialitet med skyddsvärde Allvarlig/Katastrofal innebär att informationen måste förvaras extremt väl skyddad samt på ett sådant sätt så att spårbarhet föreligger avseende vad och/eller vem som haft tillgång till informationen.
I ett datorsystem innebär detta t.ex. att informationen måste vara krypterad med en vedertagen krypteringsmetod samt att loggning, som ej kan påverkas av inkräktare, användare eller systemadministratörer, måste finnas. Nyckelhantering måste ske på ett vedertaget sätt.
Principen är egentligen oberoende av teknik, det skulle lika gärna kunna vara så att informationen måste förvaras i en pärm i ett säkerhetsskåp där det krävs två av varandra oberoende personer för att låsa upp skåpet samt att deras tillgång till det rum där skåpet står registreras av oberoende part.
Kontentan är att när du vet skyddsvärdet för den information som din organisation hanterar kan du också börja titta på hur det ser ut just nu och huruvida något behöver ändras (vilket det nästan alltid gör… 😉
Alltså! Skyddar vi informationen på rätt sätt?
Finns det information som skyddas för mycket? Kan vi spara in kostnader?
Finns det information som har högt skyddsvärde men inte skyddas på det sätt som den behöver vara skyddad? Riskerar vi att drabbas av kostnader? Eller, hemska tanke, riskerar vi t.o.m. organisationens överlevnad?