I matrisen klassificeras information utifrån de konsekvenser som oönskad påverkan på informationens kvalitet bedöms leda till. Konsekvenserna värderas i termer av oönskad påverkan på verksamheten eller annan part till följd av otillräcklig konfidentialitet, riktighet eller tillgänglighet. Om exempelvis organisationen lider allvarlig skada av att viktig information för verksamheten blir tillgänglig för obehöriga, ska informationen placeras i en klass med hög konsekvensnivå avseende konfidentialitet.
Definitionen Synnerligen allvarlig (nivå 4) finns inte med i MSB:s matris. I takt med den ökade hotbilden i omvärlden så såg SKR och flera av dess medlemmar ett behov av denna konsekvensnivå för att visa "den översta nivån" och att tydliggöra att den inte hanteras inom kravkatalogerna varför den infördes redan i KLASSA version 1.
MSB:s metodsstöd
Klassningsmodellens roll är att skapa en organisationsgemensam ram så att klassning sker på ett enhetligt sätt i hela organisationen och att samma skyddsnivå ges till likvärdiga informationstillgångar. I en klassningsmodell ingår följande delar
En beskrivning över hur en organisations klassningsmodell tas fram finns i metodstödet på www.informationssakerhet.se.
För att nå syftet med klassningen, att styra så att informationstillgångar ges rätt skydd, ska ni koppla säkerhetsåtgärder till klassningsresultatet. Det är detta som är den huvudsakliga meningen med KLASSA, d.v.s. ett it-stöd (verktyg) i att koppla samman säkerhetsåtgärder och dess nivåer mot klassningsresultatet. I detta sammanhang ska ”nivå på säkerhetsåtgärd” tolkas som ”styrkan av en säkerhetsåtgärd”; ej att blanda samman med ”nivå av konsekvens”. Vissa säkerhetsåtgärder inom bl.a. SS-EN ISO/IEC 27001 bilaga A går inte att indela i olika nivåer. Ett exempel är att organisationen ska ha en informationssäkerhetspolicy; antingen finns den eller så finns den inte. Andra säkerhetsåtgärder går att ha i olika nivåer till exempel autentisering (enbart användarnamn och lösenord jämfört med flerfaktorsautentisering), hur kryptonycklar ska hanteras och lagras samt vilka uppgifter som ska samlas in till loggsystemet.
Det finns sålunda två sätt att öka skyddsnivån för informationstillgångarna: att klassa tillgångarna högre, eller att justera nivån på de säkerhetsåtgärder som faller ut som ett resultat på klassningen.
Listan på säkerhetsåtgärder som KLASSA genererar behöver justeras utifrån ett antal perspektiv som av olika anledningar inte kan omhändertas i den specifika klassningen. Varje klassningsobjekt kan ha specifika förutsättningar för det sammanhang som just den informationen eller det systemet används i. Då kan det behövas göras en precisering. Det görs genom en ”lokal riskanalys”, där det avgörs om de säkerhetsåtgärder som framkommit i KLASSA är lämpliga för klassningsobjektet i fråga, sett utifrån riskanalysens resultat. Det kan också vara beroende på att vissa krav ställs, såsom specifik lagstiftning, ingångna avtal eller verksamhetens krav. Även branschpraxis kan vara styrande.
Skyddet av informationstillgången kan också behöva höjas eftersom informationen är
Andra förhållanden kan göra att utvalda säkerhetsåtgärder är otillräckliga, överskyddande, eller på annat sätt olämpliga. Ibland kan man upptäcka att föreslagna säkerhetsåtgärder är onödiga.
Nedan visas de konsekvensnivåer som beskrivs i MSB:s klassningsmatris.
Säkerhetsaspekt Konsekvensnivå Skyddsbehov |
Konfidentialitet |
Riktighet |
Tillgänglighet |
---|---|---|---|
Allvarlig
Hög skyddsnivå |
K3 Information där förlust av konfidentialitet innebär allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
R3 Information där förlust av riktighet innebär allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
T3 Information där förlust av tillgänglighet innebär allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Betydande
Utökad skyddsnivå |
K2 Information där förlust av konfidentialitet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
R2 Information där förlust av riktighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
T2 Information där förlust av tillgänglighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Måttlig
Grundläggande skyddsnivå |
K1 Information där förlust av konfidentialitet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
R1 Information där förlust av riktighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
T1 Information där förlust av tillgänglighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Ingen
Ingen skyddsnivå |
K0 Information där förlust av konfidentialitet inte medför någon negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
R0 Information där förlust av riktighet inte medför någon negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
T0 Information där förlust av riktighet inte medför någon negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. |
Konsekvenser vid bristande konfidentialitet, riktighet eller tillgänglighet kan vara av olika kategorier. Här är en lista med exempel på några olika konsekvenskategorier:
Kategorierna ovan ska ses som exempel och inte en fullödig lista. Konsekvenstyperna kan också ha olika typer av samband, till exempel minskat förtroende kan leda till minskade intäkter och därmed ekonomisk förlust. Det går att skapa kategorier på olika sätt, det viktigaste är att de känns relevanta för den egna organisationen.
De konsekvenskategorier man väljer att klassa utifrån, kan visualiseras genom att göra klassningsmatrisen till en 3D-form. Bilden nedan visar ett exempel på hur en klassning kan visas för perspektiven samhället, organisationens ekonomi och verksamhet samt den enskilda individen.
Det bör noteras att konsekvenser som uppstår externt, utanför den egna organisationen (”annan verksamhet”) ska tas med vid bedömningen. Detta är särskilt aktuellt för information som är kritisk för olika typer av samhällsviktiga funktioner. I bedömningen ska också konsekvenser hos enskilda personer tas med, där olika sociala och ekonomiska konsekvenser ska beaktas.
Följande referensmaterial har tillsänts arbetsgruppen för KLASSA på SKR, dels som inspiration till arbetet med KLASSA, dels för mappning av konsekvensnivåer. Arbetsgruppen för KLASSA tar gärna emot mer material som eventuellt kan lyftas här som exempel på olika alternativ.
Konsekvensnivå SIS/MSB/KLASSA |
Konsekvensnivå Skatteverkets definition |
Samhällets finansiering och funktionalitet (medborgare, företag, myndigheter, samverkande länder, nationell suveränitet, demokrati och rättssäkerhet) |
Individ (mänskliga fri och rättigheter, människors liv och hälsa) |
Skatteverkets förtroende (negativ uppmärksamhet hos medborgare, företag och andra samverkansparter, samhällets vilja att göra rätt minskar) |
Skatteverkets verksamhet (möjlighet att genomföra uppdrag och valda strategier, produktionsbortfall, omprioriteringar) |
---|---|---|---|---|---|
Synnerligen allvarlig |
|||||
Allvarlig |
Mycket allvarlig |
Mycket allvarlig negativ påverkan |
Mycket allvarlig negativ påverkan |
Mycket allvarlig negativ påverkan |
Mycket allvarlig negativ påverkan |
Betydande |
Allvarlig |
Allvarlig negativ påverkan |
Allvarlig negativ påverkan |
Allvarlig negativ påverkan |
Allvarlig negativ påverkan |
Måttlig |
Måttlig |
Måttlig negativ påverkan |
Måttlig negativ påverkan |
Måttlig negativ påverkan |
Måttlig negativ påverkan |
Konsekvensnivå SIS/MSB/KLASSA |
Konsekvensnivå Karlstads kommuns defintion |
Beskrivning |
Konfidentialitet |
Riktighet |
Tillgänglighet |
Spårbarhet |
---|---|---|---|---|---|---|
Synnerligen allvarlig |
3 Mycket höga krav |
”HEMLIG” information som om den sprids till obehöriga, kan medföra mycket allvarliga konsekvenser för samhället. |
Hemlig information som, om den sprids till obehöriga, kan medföra mycket allvarliga konsekvenser för samhället och individer Exempel: |
Kritisk information som, om den ej är riktig och fullständig, kan medföra mycket allvarliga konsekvenser för samhället och individer. Exempel: |
Kritisk information som, om den ej är tillgänglig, kan medföra mycket allvarliga konsekvenser för samhället och individer. Exempel: |
Kritisk information som, om förändringar och åtkomst ej är spårbar, kan medföra mycket allvarliga konsekvenser för samhället och individer. Exempel: - Intrångsdetektering inom ramen för Säkerhetsskyddslagen |
Allvarlig |
2 Höga krav |
”KÄNSLIG” information som, om den sprids till obehöriga, kan medföra allvarliga konsekvenser för Karlstads kommun, externa aktörer eller för individer. |
Känslig information som, om den sprids till obehöriga, kan medföra allvarliga konsekvenser för Karlstads kommun, externa aktörer eller för individer. Exempel: |
Viktig Information som, om den ej är riktig och fullständig, kan medföra allvarliga konsekvenser för Karlstads kommun, externa aktörer eller för individer. Exempel: |
Viktig Information som, om den ej är tillgänglig, kan medföra allvarliga konsekvenser för Karlstads kommun, externa aktörer eller för individer. Exempel: |
Viktig Information som, om förändringar och åtkomst ej är spårbara, kan medföra allvarliga konsekvenser för Karlstads kommun, externa aktörer eller individer. Exempel: - Beslut med stor påverkan |
Måttlig |
1 Normala krav |
”INTERN” information som, om den sprids till obehöriga, |
Intern information som, om den sprids till obehöriga, kan medföra måttlig negativ påverkan på Karlstads kommun, externa aktörer eller på individer. Exempel: |
Information som, om den ej är riktig och fullständig, kan medföra måttlig negativ påverkan på Karlstads kommun, externa aktörer eller på individer. Exempel: |
Information som, om den ej är tillgänglig, kan medföra måttlig negativ påverkan på Karlstads kommun, externa aktörer eller på individer. Exempel: |
Information som, om förändringar och åtkomst ej är spårbara, kan medföra måttligt negativa konsekvenser för Karlstads kommun, externa aktörer eller på individer. Exempel: - System- och händelseloggar |