MSB:s föreskrifter om informationssäkerhet

Skrivet av Guest User

MSB (Myndigheten för samhällsskydd och beredskap) som har som uppgift att samordna det svenska samhällets informationssäkerhet, har gett ut föreskrifter om informationssäkerhet som alla svenska statliga myndigheter måste efterfölja. Föreskrifterna handlar om informationssäkerhet, IT-säkerhet och incidentrapportering.

Här presenteras en sammanfattning av den första av dessa föreskrifter som har det fullständiga namnet:

Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter. (MSBFS 2020:6)

Med informationssäkerhet avses här säkerheten för all typ av information hos myndigheten: sifferdata, text, ljud, bilder eller film. Informationen kan lagras och bearbetas på papper eller i datorfiler och kan kommuniceras via exempelvis e-post eller mänskligt tal.

Informationssäkerhet definieras som bevarande av konfidentialitet, riktighet och tillgänglighet hos informationen.

Grunden för detta är att myndigheten ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Det betyder att informationssäkerhetsarbetet ska utformas utifrån de risker och behov som myndigheten identifierar. Och det ska omfatta all behandling av information som myndigheten ansvarar för.

Hur man utformar informationssäkerhetsarbetet

När man utformar informationssäkerhetsarbetet ska man tänka på:

  • Informationssäkerhetspolicy. Av denna ska myndighetens målsättning och inriktning för säkerhetsarbetet klart framgå.

  • Ansvarsfördelning. Denna ska tydliggöras och de ansvariga ska ges de befogenheter och resurser som krävs för informationssäkerhetsarbetet.

  • Regelverk. Myndigheten ska upprätthålla de interna regler som gäller och utforma arbetssättet och ge det stöd som behövs.

  • Dokumentation. Utformningen av informationssäkerhetsarbetet ska dokumenteras av myndigheten.

Hur man bedriver säkerhetsarbetet

Myndigheten ska säkerställa att informationssäkerhetsarbetet är systematiskt och riskbaserat genom:

  • Informationsklassning. Informationen ska klassas med avseende på konfidentialitet, riktighet och tillgänglighet i olika nivåer som graderar konsekvenserna av ett bristande skydd.

  • Riskbedömning. Identifiera, analysera och värdera risker för den egna informationen.

  • Ändamålsenliga säkerhetsåtgärder. Införa ändamålsenliga säkerhetsåtgärder utifrån informationsklassning och riskbedömning.

  • Utvärdering. Man utvärderar säkerhetsåtgärderna och anpassar skyddet av informationen.

  • Dokumentation. Man dokumenterar informationssäkerhetsarbetet och de införda säkerhetsåtgärderna.

Under punkten Utvärdering kan det vara lämpligt att göra en gapanalys. Det innebär att man gör en analys av skillnaden (gapet) mellan införda säkerhetsåtgärder och identifierat behov av säkerhetsåtgärder.

 Annan statlig myndighet eller extern aktör

När någon annan än myndigheten själv involveras i säkerhetsarbetet krävs extra försiktighet. Då är det viktigt att komma överens om och dokumentera vad respektive myndighet ansvarar för. När de gäller externa aktörer ska myndigheten ställa krav i avtal om vilka säkerhetsåtgärder den externa aktören ska vidta.

Åtgärder kring personal

  • Bakgrundskontroller av egen och inhyrd personal.

  • Informera personal om regler och arbetssätt.

  • Säkerställa kompetens.

Åtgärder kring lokaler

  • Skalskydd och tillträdesbegränsning.

  • Tekniska system för att larma vid obehörigt tillträde.

  • Dela in lokaler i fysiskt separerade zoner.

Åtgärder för att hantera incidenter och avvikelser

Myndigheten ska ha förmåga att:

  • Snabbt upptäcka incidenter och avvikelser.

  • Återställa information,

  • Bedöma om inträffad incident ska rapporteras externt.

  • Identifiera grundorsaker och vidta åtgärder för att motverka att liknande incidenter ska inträffa på nytt.

  • Upprätthålla kontinuitet under incidenter och kriser.

Uppföljning av informationssäkerhetsarbetet

Minst en gång per år ska myndigheten följa upp att informationssäkerhetsarbetet svarar mot ledningens målsättning genom att sammanställa och analysera de genomförda undersökningarna.

Den fullständiga versionen av dessa föreskrifter (MSBFS 2020:6) kan laddas ned från MSB:s webbplats www.msb.se

Guest User
Föregående

Cybersäkerhetsincidenter drabbar svenska verksamheter - Se över era it-miljöer
Nästa

”Vi har inga alternativ”