Värdering och klassificering av informationstillgångar Aspekter på Värdering och klassificering av informationstillgångar Utformning av en gemensam modell för klassificering av information Per Oscarson Myndigheten för samhällsskydd och beredskap – MSB

Per Oscarson Handläggare på MSB:s Informationssäkerhetsenhet Handlingsplan för samhällets informationssäkerhet Strategi för samhällets informationssäkerhet (pågående) Forskare (post doc) vid Svenska Handelshögskolan på Örebro universitet (värdering av informationstillgångar) Medlem i SIS tekniska kommitté 318 och ISO/IEC JTC 1 SC 27 – (främst 27004, revision av 27001 och 27002) Fil lic och fil dr på Linköpings universitet Informationssäkerhet i verksamheter (2001) Actual and Perceived Information Systems Security (2007) Har tidigare varit universitetsadjunkt och konsult

Innehåll Myndigheten för samhällsskydd och beredskap – MSB En gemensam modell för klassificering av information Vad är informationstillgångar? Informationstillgångars betydelse för säkerheten Informationstillgångar och processen enligt LIS Utveckling av modellen Vad ska klassificeras? Grunder för värdering Informationssäkerhetsaspekter Konsekvensnivåer Tillämpning av modellen Fortsatt arbete: metod för hantering av informationstillgångar

Myndigheten för samhällsskydd och beredskap (MSB) Bildades 2009-01-01 Ersätter KBM, Räddningsverket och Styrelsen för psykologiskt försvar Ca 800 anställda Verksamhet i Stockholm, Karlstad, Sandö och Revingehed Informationssäkerhetsenheten 18 personer MSB:s mandat inom informationssäkerhet liknande som KBM:s men med ytterligare kraft: Har föreskriftsrätt inom informationssäkerhet Verva lades ned 2009-01-01

Gemensam modell för klassificering av information Åtgärdsförslag nr 13 i handlingsplanen för samhällets informationssäkerhet Projektet Grundläggande informationssäkerhet genomför åtgärdsförslag som riktar sig mot informationssäkerhet hos myndigheter och andra organisationer Främst Kapitel 5 – Informationssäkerhet i verksamheter I första hand material som stödjer myndigheters tillämpning av SS-ISO/IEC 27000-serien (Vervas föreskrift)* Rekommendation, ej krav på tillämpning * Föreskriften väntas föras över till MSB eftersom Verva har upphört

Kapitel 5. Informationssäkerhet i verksamheter Myndighetsledningars formella ansvarstagande för hantering av informationssäkerhetsrisker Förtydligande av informationssäkerhet i vägledningar för risk- och sårbarhetsanalyser Rekommendationer för kravställning vid upphandlingar Informationsmaterial till myndighetsledningar Rekommendationer för tillämpning av LIS Stödmaterial för införande av LIS Utveckling och införande av ett värderingssystem Gemensam modell för klassificering Grundläggande nivå för informationssäkerhet

Projektet Grundläggande informationssäkerhet Projektgrupp: Per Oscarson, MSB (projektledare) Helena Andersson, MSB Bengt Janulf, KBM Roger Karlsson, KBM Bertil Lindberg, KBM Wiggo Öberg, MSB Jan-Olov Andersson, SIS TK 318/Läkemedelsverket Bengt Rydstedt, SIS TK 318 Mats Ohlin, FMV Dag Ströman, FMV Dan Larsson, FRA Fredrik Karlsson, Örebro universitet Konsulter: Lars Söderlund, Ulf Ekengren, Göran Hägnemark

Referensgrupper MSB:s informationssäkerhetsråd Samverkansrådet för informationssäkerhet (SAMFI) FM, FMV, FRA, MSB, PTS, RKP/Säpo SNITS SIS TK 318

Motiv för en gemensam modell Från myndigheter och andra har det framförts att man har problem med informationsklassificering Starkt stöd vid framtagningen av handlingsplanen Att tillämpa en modell för klassificering av information är ett krav i SS-ISO/IEC 27001 Men stödet för detta är svagt i standarder och andra ramverk En gemensam modell underlättar kommunikation mellan organisationer En gemensam modell kan fungera som underlag för framtida vägledningar och regleringar

Utgångspunkter för en nationell modell Anpassad till SS-ISO/IEC 27000-serien Generisk – vara tillämpar för alla typer av organisationer Enkel att tillämpa All typ av information Neutral vad gäller legala krav

Vad är informationstillgångar? Information och resurser för att hantera information Skyddsobjektet inom informationssäkerhet! Informationssäkerhetsarbete innebär att uppnå önskad nivå av konfidentialitet, riktighet och tillgänglighet hos informationstillgångar Säkerhet hos informationstillgångar påverkar inte sällan andra tillgångar som personal, maskiner, omvärldens förtroende m m. 11

Två grundkategorier Informationstillgångar Informations-hanterande resurser Information Om exempelvis Personal, ekonomi, kunder, produkter… Hanterar Understödjande tillgångar (SS-ISO/IEC 27005) Primära tillgångar (SS-ISO/IEC 27005) 12

Informationstillgångars betydelse för säkerheten Hot(källa) Skydd Informations-tillgång Tre objekt påverkar säkerheten/risken* D v s att en incident inträffar och de konsekvenser denna medför Befintliga hot(-källor); förmåga, kraft, intention osv. Skydd; På vilket sätt tillgångarna är skyddade Tekniska, administrativa, kunskapsbaserade Men även tillgångarna i sig påverkar! * Oscarson (2007) Actual and Perceived Information Systems Security 13

Informationstillgångars betydelse för säkerheten Hot(-källa) Skydd Informations-tillgång Informationstillgångar påverkar säkerheten/risken Dess värde för organisationen eller annan part påverkar konsekvensen Dess attraktivitet för hotkällor påverkar sannolikheten Dess exponering för hotkällor påverkar sannolikheten 14

Informationstillgångar och processen enligt LIS Informationstillgångarna styr riskerna Viktig del i riskidentifieringen (avs. 4.2.1 i 27001) Svagt stöd hur detta går till i 27001 Ny standard 2008: ISO/IEC 27005:2008 Information Security Risk Management Annex B innehåller kategorisering som stöd för identifiering, samt viss stöd för värdering och klassificering Ansvar för tillgångar samt klassificering av information utifrån en antagen klassificeringsmodell är dessutom krav i 27001, med vägledning i 27002 SS-ISO/IEC 27001: Bilaga A: A.7 Hantering av tillgångar SS-ISO/IEC 27002: Kapitel 7 Hantering av tillgångar 15

Krav enligt SS-ISO/IEC 27001:2006 A.7.1 Ansvar för tillgångar Mål: Att uppnå och upprätthålla lämpligt skydd för organisationens tillgångar A.7.1.1 Förteckning över tillgångar Alla tillgångar ska tydligt markeras och en förteckning omfattande alla viktiga tillgångar ska upprättas och underhållas A.7.1.2 Ägarskap för tillgångar All information och tillgångar tillhörandes informationsbehandlingsresurserna ska ”ägas” av en utsedd organisationsenhet A.7.1.3 Godtagbar användning av tillgångar Regler för hur information och tillgångar tillhörandes informationsbehandlingsresurser får användas ska utformas, dokumenteras och införas 16

Krav enligt SS-ISO/IEC 27001:2006 A.7.2 Klassificering av information Mål: Att säkerställa att information erhåller en lämplig skyddsnivå A.7.2.1 Riktlinjer för klassificering Information ska klassificeras i termer av dess värde, legala krav, känslighet och betydelse för organisationen A.7.2.2 Märkning och hantering av information En lämplig uppsättning rutiner för märkning och hantering av information ska utvecklas och införas i enlighet med det klassificeringssystem som antagits av organisationen 17

Principer vid utformning av klassificeringsmodell Information och/eller resurser? Ska t ex system klassas, eller informationen? Vilka aspekter ska finnas med? Konfidentialitet, riktighet, tillgänglighet, spårbarhet…? Hur ska dessa definieras? Vilken typ av nivåer ska finnas? Skyddsvärde, informationsvärde, konsekvensnivå? Antal konsekvensnivåer? Ska t ex en ”nollnivå” finnas med? Hantering av juridiska regleringar 18

Dokumentet Klassificering av information Kortfattat om klassificering av information i informationssäkerhetsarbetet Koppling till SS-ISO/IEC 27001, 27002 och 27005 Modell för klassificering av information Definitioner av säkerhetsaspekter och konsekvensnivåer Tillämpning av modellen Mottagare till modellen Vad ska klassificeras? Juridiska aspekter Tidsaspekten

Tillämpning av modellen Informationsklassificering fundamentalt för säkerheten En grundsten riskhanteringsprocessen Styr behörigheter, skyddsnivåer etc. Gör det enkelt för användarna – onödigt komplexa klassificeringssystem är sällan effektiva Skapa mallar som informationsägare (el. motsv.) kan använda Klassningen är inte statisk Information kan ”vandra” mellan klasser Krav kan variera över tid, och variera geografiskt Undvik överklassificering Kan innebära onödiga kostnader En liten känslig informationsmängd kan ställa höga krav på ett helt stort system 20

Identifiering av informationstillgångar Konsulter bäst på hot och skydd Experterna på informationstillgångar finns i verksamheten! Utgå från verksamheten och dess ansvariga Marknad, produktion, personal, IT etc. Informationsägare, systemägare, processägare eller motsvarande Använd befintliga förteckningar Kvalitets- dokumentationssystem, andra förteckningar, t ex över IT-system, i samband med försäkringar etc. Skapa mallar och lathundar för som stöd till informationsägare el motsv. Externa informationstillgångar Verksamheter är ofta beroende av extern information och andra resurser 21

Hur värdera konsekvenser? Marknadsvärde/ersättningskostnad Även bikostnader, t ex arbetskostnader, väntetider, produktionsstörningar, strul… Externa krav Kunder, leverantörer, partners, medborgare/allmänhet Legala krav Böter, Förtroendebrister Andra värden som inte är monetära T ex etik, tradition/identitet, förtroende Ackumuleringseffekter Stor mängd icke-känslig information kan sammantaget bli känslig Svårt att veta totala kostnaden i förväg! Bikostnader och indirekta kostnader som t ex förlust av förtroendekapital är svåra att förutse 22

Fortsatt arbete Publicering av klassificeringsmodellen i maj Nystart av projektet Grundläggande informationssäkerhet Roadmap för övriga åtgärder i handlingsplanen kopplade till informationssäkerhet i verksamheter Metod för identifiering och värdering av informationstillgångar – Örebro universitet