Informations-klassning

Informationstillgångarna i en organisation måste skyddas från skador och förluster. Behovet av säkerhetsåtgärder skiljer sig för olika typer av information. Skyddsbehovet styrs bland annat av interna och externa krav och av vilka konsekvenser det blir för organisationen och dess samarbetspartners om informationen sprids till obehöriga eller om den förändras eller görs otillgänglig.

Informationsklassning

För att göra detta på ett effektivt sätt kan vi klassa informationen efter dess sårbarhet ur olika säkerhetsaspekter. Den information som är viktigast och vars förlust eller skador skulle medföra de största konsekvenserna måste ha det starkaste skyddet. Informationstillgångar som är mindre viktiga och inte särskilt sårbara kan ha ett enklare och billigare skydd eller kanske till och med kan vara utan skydd.

Säkerhetsaspekter

Behovet av säkerhetsåtgärder för olika informationstillgångar betraktas utifrån ett antal olika säkerhetsaspekter.

Fyra grundläggande säkerhetsaspekter:

  • Konfidentialitet: Innehållet får inte avslöjas eller göras tillgängligt för obehöriga

  • Riktighet: Informationen får inte förändras annat än i avsett syfte av behörig personal. Information får inte förändras av obehörig eller på grund av misstag eller driftstörning.

  • Tillgänglighet: Informationen ska kunna utnyttjas i förväntad utsträckning och inom rimlig tid.

  • Spårbarhet: Information och informationsförändringar ska kunna spåras.

Konsekvensnivåer

Utifrån var och en av dessa säkerhetsaspekter värderas varje informationstillgång efter vilka konsekvenser ett otillräckligt skydd skulle kunna få. Vad händer till exempel om en viss typ av information skulle avslöjas för obehörig. Hur allvarligt skulle det vara på en skala? Eller hur allvarligt är det om en informationstillgång inte kan nås inom en bestämd tidsrymd. Hur stora skulle då konsekvenserna bli?  

En skala med tre olika konsekvensnivåer eller skyddsnivåer kan se ut så här enligt Myndigheten för Samhällsskydd och Beredskap (MSB):

  1. Måttliga konsekvenser: Minskning i förmågan att lösa uppgifter. Mindre skador på tillgångar. Smärre ekonomiska förluster. Begränsad negativ påverkan på individs rättigheter. 

  2. Betydande konsekvenser: Signifikant minskning i förmågan att lösa uppgifter. Betydande skador på verksamhetens tillgångar. Betydande ekonomiska förluster. Betydande negativ påverkan på individs rättigheter.

  3. Allvarliga konsekvenser: Allvarlig begränsning i förmågan att lösa uppgifter. Omfattande skador på verksamhetens tillgångar. Stora ekonomiska förluster. Allvarligt negativ påverkan på individs rättigheter.

Klassningen enligt ovan avgör vilken typ av skydd som bör ges till respektive informationstillgång.

Alternativt kan man göra en enklare klassning med två olika konsekvensnivåer, till exempel måttliga och allvarliga konsekvenser. Man kan också ha en klass som heter noll (0), inga eller försumbara konsekvenser.

Klassificeringsmodell i matrisform

Utifrån de olika säkerhetsaspekterna konfidentalitet, riktighet, tillgänglighet och spårbarhet och de olika konsekvensnivåerna måttlig, betydande och allvarlig kan man göra en matris med säkerhetsaspekterna på den horisontella x-axeln och konsekvensnivåerna på den vertikala y-axeln. Då får man ett rutmönster med olika boxar där varje informationstillgång som skall klassas, placeras in i den box som bör gälla för informationen.

Om exempelvis organisationen lider allvarlig skada av att viktig information blir tillgänglig för obehöriga, ska informationen placeras in i en klass (box i matrisen) med hög konsekvensnivå när det gäller konfidentialitet.

Modellen med matrisformen finns beskriven i MSB:s publikation

”Modell för klassificering av information” som kan laddas ned från internet. Enklast är att googla på publikationens namn.

Riskanalys

När man delar in informationsskador eller förluster i konsekvensnivåer ser man i huvudsak på vilka konsekvenser som kan uppstå av en skada. När man sedan skall avgöra vilket skydd en viss information ska ha måste man också införa en riskanalys som tar hänsyn till sannolikheten för att en skada ska inträffa.

Uppdatera

Precis som i allt annat säkerhetsarbete är det viktigt att hålla informationsklassningen ständigt aktuell. Ny information och nya prioriteringar måste placeras och uppdateras i rätt konsekvensnivå för de olika säkerhetsaspekterna.

Har du behov av hjälp med IT- eller informationssäkerhet? Läs mer om våra tjänster!