Rutiner för riskhantering - informationssäkerhet

1 Inledning

Detta dokument beskriver hur man identifierar, bedömer och behandlar säkerhetsrisker i informationssystem, lagringsmedia som t ex USB-minne eller extern hårddisk eller analog information, t ex anteckningar på papper.

Dokumentet utgör en del av universitetets övergripande rutiner för informationssäkerhet (UFV 2017/93), som baseras på Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).

2 Definitioner

Informationstillgångar
Omfattar information och informationsbehandlande resurser av värde för universitetet. Begreppet innefattar all elektronisk, pappersbaserad, muntlig eller på annat sätt lagrad eller kommunicerad information samt de informationssystem (hård- och mjukvara) och kommunikationslösningar som hanterar informationen.

Informationssystem
Omfattar applikationer, tjänster, lagringslösningar, molntjänster eller andra komponenter som hanterar information. I begreppet ingår nätverk och infrastruktur.

Hot
Är en möjlig oönskad händelse med negativa konsekvenser för verksamheten. Sannolikhet är ett mått på hur troligt det är att ett hot realiseras i en negativ händelse.

Konsekvens
Är resultatet av att ett hot realiseras i en negativ händelse. Kan vara ekonomisk, dåligt anseende eller t ex legal påverkan.

Risk
Är sannolikheten och konsekvensen av att ett hot realiseras i en negativ händelse.

Gapanalys
Innebär identifiering av skillnaden mellan införda säkerhetsåtgärder och identifierat behov av säkerhetsåtgärder.

3 Syfte

Rutinerna avser att ge ett praktiskt och verksamhetsanpassat stöd för kontinuerlig riskhantering av universitetets informationstillgångar, med avseende på konfidentialitet, riktighet och tillgänglighet.

4 Mål

Att universitetets informationstillgångar är skyddade i enlighet med vid universitetet gällande rutiner för informationssäkerhet (UFV 2017/93).

5 Riskhanteringsprocessen

Riskhanteringsprocessen i sin helhet genomförs i nedan beskrivna steg. De enskilda momenten kan även utföras separat eller i en kombination.

Notera att resultatet från informationsklassificeringen alltid är en förutsättning för att kunna göra de efterföljande momenten.

  1. Avgränsning
  2. Konsekvensanalys (med avseende på avbrott)
  3. Informationsklassificering
  4. Kravanalys
  5. Riskanalys
  6. Hantering av identifierade säkerhetsbrister

6 Arbetsform

Rekommenderad arbetsform är en eller flera workshops med representation från berörd personal eller arbetsgrupp, gärna med en processledare från universitetets säkerhetsavdelning.

7 Genomförande

7.1 Avgränsning

Innan informationsklassificering och efterföljande arbetsmoment kan påbörjas måste omfattningen definieras, t ex per system eller forskningsprojekt.

7.2 Informationsklassificering

Grunden för en säker hantering av information läggs genom att genomföra en informationsklassificering. Det är en aktivitet där informationens skyddsvärde avgörs med utgångspunkt från aspekterna konfidentialitet, riktighet och tillgänglighet.


Konfidentialitet

Informationen ska inte göras tillgänglig eller avslöjas för obehöriga personer, system eller processer.

Riktighet

Informationen ska inte förändras eller förstöras, varken obehörigen, av misstag eller på grund av funktionsstörningar.

Tillgänglighet

Informationen ska vara åtkomlig och användbar på förväntat sätt och inom önskad tid.

Informationsklassificeringen genomförs av den som äger informationen, informationsägaren. Exempel på informationsägare är prefekt/motsvarande, e-områdesansvarig mfl.

Skyddsbehovet gällande säkerhetsaspekterna som är angivna ovan ska klassificeras i någon av nivåerna 0-3. Klassificeringsvärdet för en informationstillgång uttrycks, baserat på förekommande nivåer, i en treställig sifferkombination, exempelvis 321, där den inledande siffran avser bedömningen för aspekten konfidentialitet, den andra för aspekten riktighet och den tredje för aspekten tillgänglighet.

Använd Bilaga Instruktion för genomförande av informationsklassificering Pdf, 300 kB. som stöd vid informationsklassificeringen.

Använd Bilaga Mall för genomförande av informationsklassificering Word, 19 kB. som verktyg för genomförande och dokumentation av klassningsresultatet.

7.3 Kravanalys

Kravanalysen hör ihop med momentet informationsklassificering då denna riktas mot ett enskilt eller en gruppering av system.

I momentet kravanalys mappas resultatet från genomförd informationsklassificering mot det eller de system som är aktuella i sammanhanget.

Klassningsvärden för aktuella informationstillgångar överförs initialt i detta moment från Bilaga Word, 19 kB.Mall för genomförande av informationsklassificering Word, 19 kB. till Bilaga Mall för genomförande av kravanalys Excel, 124 kB..

Det högsta klassningsvärdet för respektive aspekt (konfidentialitet, riktighet och tillgänglighet) som påträffas bland de informationstillgångar som systemet hanterar används för att filtrera fram korrekt uppsättning av krav att rikta mot systemet.

Exempel: Ett system hanterar informationstillgångarna A, B och C som klassificerats enligt följande:

  • Informationstillgång A: 132
  • Informationstillgång B: 331
  • Informationstillgång C: 222

Det aktuella systemet som analyseras behöver i detta exempel leva upp till krav motsvarande 332.

Använd Bilaga Mall för genomförande av kravanalys Excel, 124 kB. för att filtrera fram relevanta krav ur den totala kravlistan.

I kravanalysen granskas efterlevnadnivån av universitetets rutiner för informationssäkerhet (UFV 2017/93).

Följande säkerhetsområden omfattas av riktlinjerna och målen för säkerhetsarbetet (skyddsmålen) inom dessa områden:


Riktlinjer

Universitetets riktlinjer för informationssäkerhet är kända inom organisationen.

Organisation och ansvar

Ansvar och ansvarsområden för informationssäkerhetsarbetet är uttalat inom organisationen.

Personalsäkerhet

Anställda och övriga berörda parter är medvetna om det egna ansvaret för informationssäkerhet.

Hantering av tillgångar

Informationstillgångarna skyddas på ett lämpligt sätt.

Styrning av åtkomst

Endast behöriga användare har åtkomst till informationstillgångarna.

Kryptering

Känslig information skyddas genom kryptering.

Fysisk och miljörelaterad säkerhet

Berörda lokaler och utrustning är skyddade mot obehörigt tillträde, skador och störningar.

Driftsäkerhet

Driften av de IT-system som hanterar informationstillgångarna sker på ett korrekt och säkert sätt.

Kommunikationssäkerhet

Dataöverföring till/från IT-system som hanterar informationstillgångarna skyddas på ett lämpligt sätt.

Anskaffning, utveckling och underhåll av system

Informationssäkerhet hanteras som en integrerad del av IT- systemets hela livscykel.

Leverantörsrelationer

Informationssäkerhetskrav enligt universitetets riktlinjer är reglerade i avtal med externa leverantörer.

Incidenthantering

Rutiner för hantering av informationssäkerhetsincidenter är kända inom organisationen.

Kontinuitetshantering

Organisationen har en dokumenterad och verifierad plan för tillgång till informationen i en kris eller katastrofsituation.

Efterlevnad

Organisationen följer författningsenliga och avtalsmässiga informationssäkerhetskrav och skyldigheter.

7.4 Riskanalys – en metod för riskbedömning

I riskanalysen bedöms de hot som universitetet exponeras för på grund av sedan tidigare kända eller misstänkta säkerhetsbrister eller de brister som detekterats vid genomförande av kravanalysen. För varje identifierat hot bedöms vilka konsekvenser det aktuella hotet skulle få för universitetets verksamhet om det realiseras i en negativ händelse samt sannolikheten att hotet realiseras.

För varje identifierat hot beräknas en riskfaktor fram som en sammanvägning av konsekvens och sannolikhet. Riskfaktorn kategoriserar risken i någon av grupperna nedan som indikerar hur risken ska hanteras i det specifika sammanhanget.


Försumbar risk

Acceptera

Låg risk

Bevaka

Medel risk


Planera för att implementera en riskreducerande åtgärd för införande vid lämpligt tillfälle, t.ex. versionsbyte eller motsv.

Hög risk

Omedelbar åtgärd krävs.

Använd Bilaga Excel, 52 kB.Mall för genomförande av riskanalys Excel, 52 kB. som stöd för riskanalysen.

7.5 Hantering av identifierade säkerhetsbrister

I ett läge då säkerhetsbrister identifierats i samband med att en kravanalys genomförts finns en tydlig indikation på att det analyserade systemet inte lever upp till en nödvändig nivå av säkerhet. Varje identifierad brist behöver därför analyseras och bedömas genom att en gapanalys genomförs. Resultatet från genomförd gapanalys ger underlag för lämpliga riskreducerande åtgärder.

8 Hantering av incidenter

Alla incidenter ska rapporteras till Incidentmanager på universitetsgemensam IT, it- incident@uu.se. Detta gäller för samtliga incidenttyper som beskrivs nedan.

En incident som:

  • Påverkat riktigheten, tillgängligheten eller konfidentialiteten hos den information som bedömts ha behov av utökat skydd,
  • Inneburit att informationssystem som behandlar information som bedömts ha behov av utökat skydd inte kunnat upprätthålla avsedd funktionalitet,
  • Påverkat myndighetens förmåga att utföra sitt uppdrag
  • I övrigt allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation.
  • Påverkat sekretessen, integriteten eller tillgängligheten till

En incident har inträffat om personuppgifter har förstörts, oavsiktligt eller olagligt, gått förlorade eller ändrats eller röjts till någon obehörig.

Incidentmanager har rutiner för samverkan runt bedömningen om vad som ska rapporteras vidare till MSB alternativt till IMY (Integritetsskyddsmyndigheten).

Notera att även incidenter som inte rapporteras vidare ändå är viktiga att samla in för att kunna avhjälpa problem och störningar, samt minska riskerna för dataförluster, cyberattacker med mera.

Rapportering till MSB och/eller IMY ska ske i enlighet med gällande föreskrifter.

FÖLJ UPPSALA UNIVERSITET PÅ

facebook
instagram
twitter
youtube
linkedin