Frågor och svar

Lösningen för KLASSA on-prem kommer att realiseras under Q2 2024, detta förutsatt att KLASSA får tillräcklig volym anslutande medlemmar. Vi återkommer med besked om kravbilden för KLASSA on-prem. I detta läge är det två piloter som testar KLASSA on-prem. 

• Öppen källkod enligt GNU-AGPL 3
  • användare kan använda, modifiera och återdistribuera mjukvaran fritt utan restriktioner men licensvillkoren medföljer den vidareutvecklade eller återdistribuerade versionen av mjukvaran.

• Licens med specifika avtalsvillkoren för tillgång till kravkatalogen
  • årligt abonnemang på kontroll- och kravkatalogerna
  • kravkatalogerna förutsätter att organisationen har nyttjanderätt av ISO 27001 och ISO 27002

Driften av KLASSA sker i den driftsmiljö som har högst säkerhetskrav på sig.

SKR arbetar också hela tiden med sin driftsleverantör för att utveckla och säkerställa att kraven efterlevs. 
Informationssäkerhetsarbetet för KLASSA sker också med stöd i KLASSA, där SKR hämtar kraven på driftsmiljön för KLASSA.

Hur har KLASSA klassats?

KLASSA lever upp till alla krav som ställs utifrån KLASSA upp till nivå 2-2-2 (betydande skada).

KLASSA version 4 finns tillgängligt redan nu och kan användas skarpt.  

Ni behöver skicka följande uppgifter för att vi ska kunna lägga upp er som användare:

Utse administratör för organisationen (kan ändras och fler kan läggas till)
Skicka e-post till klassa@skr.se med följande information: 

•    Namn på huvudorganisationen (juridiska namnet) 
•    Organisationsnummer (som pekar på det juridiska namnet) 
•    Namn på behörig beställare och kontaktuppgifter
•    Namn (för och efternamn på administratören) 
•    E-post (till administratören) 
•    Telefonnummer (administratörens telefonnummer som kan ta emot SMS för autentisering) 

Ni får organisera er som ni vill. Ni kan t.ex. ha flertalet juridiska organisationer under samma organisationsträd i KLASSA eller bli upplagda som egna organisationer.

Några olika exempel:

• Det kommunala förbundet är huvudorganisation i KLASSAv4 och kommunerna är upplagda som underorganisationer i KLASSA.
• Kommunen är huvudorganisation och kommunalägda bolagen är underorganisationer.
• Kommunalägda bolaget är huvudorganisation och därmed upplagd som en helt egen organisation i KLASSA.

Några av nyheterna i KLASSA version 4:

• Nya kravkataloger
  • Alla krav har förtydligas och exemplifierats
  • Samtliga ISO/IEC 27001 normativa krav har inkluderats
  • Alla upphandlingskrav har reviderats 
• Nytt lagrum: Arkivlag (1990:782)
• Filtrering av krav
• Informationscentriskt
• Ny behörighetsstyrning
• Nytt grafisk gränssnitt
• Möjlighet att skapa kravmallar
• Utökad målgrupp - Myndigheter

Nya klassningar skapas i den nya versionen. Våra erfarenheter att jobba så har varit goda i de andra verktygen utifrån att krav förändras, tillkommer och tas bort löpande baserat på erfarenheter och nya förutsättningar.

I nuläget är KLASSA enbart tillgängligt för kommuner, kommunala bolag, regioner, regionala bolag, kommunala förbund och statliga myndigheter.

När lanseras riskmodulen?

Riskmodulen är något försenad och planeras att lanseras under Q3 2024. Riskmodulen kommer endast att vara tillgänglig för de organisationer som använder on-prem versionen detta för att minska mängden skyddsvärd information på SKR:s servrar.  

Vilken riskmatris kommer att användas?

För schablonmässig riskbedömning används en riskmatris (dvs för att komma fram till ett visst riskvärde) som utgår från 27005 och som därefter modifierats en aning, främst genom att ersätta/förtydliga ursprungliga faktorn ”ease of exploation” med ”Sårbarhetsnivå”.

När vi i ett senare läge kan börja arbeta med anpassad riskbedömning blir riskvärde inte intressant på samma sätt eftersom vi då kommer att fokusera mer på vilka storleken på acceptabla eller ej acceptabla kostnader/förluster/skadekonsekvenser (d.v.s. sett ur ekonomiskt perspektiv). När det gäller denna typ av riskbedömning är det mycket mer fokus på FAIR.

ISO/IEC 27002:2022 är tillgängligt på svenska redan nu. Det kommer en uppdatering av KLASSAs kravkatalog i samråd med expertgruppen (en sammanslagning av sakkunniga inom offentlig sektor). Kravkatalogen är genomarbetad och arbete sker nu med att jobba in den i verktyget. Den uppdaterade kravkatalogen finns på plats under Q1 2024.

Vad innebär detta för befintliga informationsklassningar och handlingsplaner?

Det kommer inte påverka befintliga informationsklassningar och handlingsplaner direkt. Däremot kommer nya handlingsplaner att utgå ifrån den nya kravkatalogen så snart den finns tillgänglig.

KLASSA 3.5 kommer att avvecklas den 31/8 och SKR ser nu över en lösning som i praktiken kommer innebära att handlingsplaner från KLASSA 3.5 förs över till en filyta under er organisation i KLASSAv4.

Läs mer här kring registrering av organisation i KLASSAv4: https://klassa.skr.se/sidor/kom-igang 

Det är kostnadsfritt fram till att SKR har landat in i en finansieringsmodell som funkar för dagens användargrupper (kommuner, regioner, kommunala bolag, statliga bolag, statliga myndigheter och kommunala förbund)

För myndigheter och andra organisationer som inte är medlemmar i SKR pågår en dialog med möjliga samarbetspartners för att säkerställa avropsmöjlighet. 

SKR har ett avtal och personuppgiftsbiträdesavtal med en driftpartner, och det är hos denna som KLASSA driftas på egna servrar (servrarna finns i Stockholm) vilket inkluderar tillhandahållande av webbapplikationen samt lagring av data.

30xx KLASSA 3.5 - Självvärderingskrav som uttrycks som "Användare är informerade..."
35xx KLASSA 3.5 - Upphandlingskrav "Leverantörens administratörer ska..."

40xx KLASSA v.4 - Självvärderingskrav som uttrycks som "Användare är informerade..."
50xx KLASSA v.4 - Upphandlingskrav "Leverantörens administratörer ska..."

Numreringen är alltså kopplad till version av KLASSA och ifall det är självvärderingskrav eller upphandlingskrav. Ni kan ha fått alla varianter av dessa då det är en övergångsperiod mellan KLASSA 3.5 och KLASSA 4.

Idagsläget är det bara dessa fem lagrum som finns inlagda i KLASSA. De lagrum som väljs generar krav i självskattningsformuläret och blir en del av handlingsplanen.

Det går inte att lägga till egna lagrum, i dagens version av KLASSA. Denna utveckling ligger på önskelistan att införas, samtidigt kommer funktionalitet att lägga till egna kravkataloger också att inarbetas i KLASSA. Det är alltså inte bara att lägga till ett nytt lagrum, utan detta lagrum ska också genera krav till självskattningsformuläret.

KLASSA har tidigare utvecklats utifrån ett uppdrag från Samrådsgruppen för kommunala arkivfrågor (SKA) till konsulten Tom Sahlén (fd stadsarkivarie Sundsvall).
Det gäller både version 1.0 och 2.0. Därefter har Tom Sahlén gjort en egen uppdatering av KLASSA till 2.1 och även om det inte är utifrån ett uppdrag från SKA valde SKA att publicera 2.1-infon på sin webbplats. För kännedom: KLASSA 2.1 har flyttats och finns nu här: https://informationsforvaltning.com/om-klassa/klassificeringsschema/.

Som framgick i inspelningen utredar vi på SKR möjligheter för att sammanfoga KLASSA 2 och KLASSA 4. Såklart kommer vi då också att titta på KLASSA 2.1 inklusive alla detaljer och den mest svåra delen, en gemensam begreppsapparat. Tanken är att arbetet görs med stöd av bl.a. Riksarkivet och MSB.

Informationshantering och säkerhet, KLASSA 2 och KLASSA 4 Datum 1 dec 2022 - https://youtu.be/z3KtISEUSxg

Utse administratör för organisationen (kan ändras och fler kan läggas till) 
Skicka e-post till klassa@skr.se med följande information:  

•    Namn på huvudorganisationen (juridiska namnet)  
•    Organisationsnummer (som pekar på det juridiska namnet)  
•    Namn på behörig beställare och kontaktuppgifter 
•    Namn (för och efternamn på administratören)  
•    E-post (till administratören)  
•    Telefonnummer (administratörens telefonnummer som kan ta emot SMS för autentisering)  

Det är kostnadsfritt fram till att SKR har landat in i en finansieringsmodell som funkar för dagens användargrupper (kommuner, regioner, kommunala bolag och statliga myndigheter). 

För myndigheter och andra organisationer som inte är medlemmar i SKR pågår en dialog med möjliga samarbetspartners för att säkerställa avropsmöjlighet.

KLASSA verktyget finansieras i nuläget av SKR. 

Ambitionen är att verktyget ska vara hjälpsamt och effektivt att nyttja och därigenom att tid och pengar sparas i de organisationer som använder det.  

KLASSA webben kommer att utvecklas över tid med mer stödmaterial och vägledningsmaterial. Det gäller både användandet av verktyget KLASSA och informationssäkerhet.

Synpunkter och återkoppling på vilket typ av stöd som önskas är välkommet och kan skickas till klassa@skr.se  

Det finns konsultföretag och leverantörer som arbetar med KLASSA, exempelvis med utbildning eller med att hjälpa verksamheter att implementera skyddsåtgärder som KLASSA föreslår. 

Om du behöver stöd och hjälp med att jobba med KLASSA rekommenderar vi att du pratar med din informationssäkerhetsansvarig, eller säkerhetsansvarig, för att se vilka leverantörer ni arbetar med inom området. 

Om du inte har tillgång till några sådana leverantörer/konsultbolag, eller de ni arbetar med inte känner till KLASSA, kan ett tips vara att prata med någon av de kommuner som använder KLASSA för att utbyta erfarenheter eller samarbeta kring klassning. 

SKR certifierar inte eller rekommenderar enskilda leverantörer. 

Administratör:

• En administratör kan göra allt på den nivå som personen är administratör för (exempelvis organisation/underorganisation). Detta innefattar bland annat att lägga till/ta bort informationstillgång och system, lägga till/ta bort användare/ansvarig, klassa informationstillgång/system, fastställa klassning av grupperad informationstillgång, skapa handlingsplan m.m.

Användare:

• En användare som läggs till i en organisation/underorganisation har tittbehörighet för att se klassningsnivåerna för alla "system" och "informationstillgångar".
• För att en användare ska kunna klassa en "informationstillgång" behöver personen vara tillagd som ansvarig för "informationstillgången"
• För att en användaren ska kunna fastställa klassning för en "grupperad informationstillgång" behöver personen vara tillagd som ansvarig för den "grupperade tillgången". 
• För att kunna en skapa handlingsplan behöver användaren läggas till som användare för den grupperade informationstillgången. 

Kravmallen är en funktion som möjliggör för organisationer att fördefiniera svar på vanligt förekommande krav som alltid är samma. 

Kravmallen finner du under "Organisationens namn" högst upp i organisationsträdet och "Kravmallar"

Därefter följer du stegen nedan:

1. Skapa kravmall - Namn och beskrivning
2. Fördefiniera svaren i kravmallen
3. Publicera kravmallen.
4. Nästa steg är att ni klassar ett system/grupperad informationstillgång och längst ner i klassningssteget väljer ni den publicerade kravmallen. 

Kraven i KLASSA baseras sig på standarderna SS-ISO/IEC 27001:2017 och SS-ISO/IEC 27002:2017. 

Kraven har utformats utifrån två perspektiv:

• ÄR-krav, riktade mot den egna verksamheten och formulerade i presens, dvs att de beskriver ett önskat nuläge, exempelvis ”Användare är informerade om sitt ansvar”.
• SKA-krav, tänkta att använda som upphandlingskrav, dvs en önskad kravuppfyllnad för en framtida leverans.

Det ni behöver förhålla er till är följande: Är detta krav relevant för oss? om ja på vilket sätt, om nej på varför? Och därefter göra en egen bedömning per krav baserat på vilka risker som föreligger inom er verksamhet.

KLASSA version 4 möjliggör för organisationer att jobba mer informationscentriskt.

Detta skapar möjligheten att klassa enskilda informationstillgångar och gruppera informationstillgångar. Den grupperade informationstillgången ärver den högsta nivån av de enskilda informationstillgångarna utifrån informationsklassningen.

Detta arbetssätt förutsätter en högre mognadsnivå hos organisationen, exempelvis att ni jobbar enligt metoden som utgår från MSB och Riksarkivets Vägledning för processorienterad informationskartläggning - https://www.msb.se/sv/publikationer/vagledning-for-processorienterad-informationskartlaggning/ 

Klassningsprocess - Informationstillgång

1. Skapa informationstillgång
2. Klassa informationstillgång enligt K-R-T
3. Gruppera de skapade och klassade informationstillgångarna
4. Fastställ klassning för den grupperade informationstillgången
5. Skapa handlingsplan

Klassningsprocess - System

Är er organisation väl bekanta med KLASSA 3.5 så kommer ni att känna igen er i informationsklassning av system.

1.  Skapa system
2. Klassa system (K-R-T)
3. Skapa handlingsplan

Den generella rekommendation för organisationer som är nya i arbetet med KLASSA är att arbete ur "systemperspektivet". 

Under respektive organisation går det att lägga till en användare via inställningar därefter finns knappen "+Lägg till användare". 

Det går endast att lägga till personer som användare och som ansvariga.

Ni behöver endast motivera lagrummen som ni omfattas av.

Kravmallen är en funktion som möjliggör för organisationer att fördefiniera svar på vanligt förekommande krav som alltid är samma. Alternativt att i respektive kommentarsfält för varje krav skriva en kort vägledning till hur kravet ska tillämpas.

Detta är ett stort stöd och tidsbesparing för verksamheten som genomför sina klassningar.

Kravmallen är ”master” d.v.s. ifall det ändras i kravmallen med funktionerna "lås" eller "dölj" ett krav så förändras de handlingsplaner som utgår ifrån kravmallen.

All information finner ni under:

• Stödmaterialet - https://klassa.skr.se/sidor/stodmaterial
• Frågor och svar - https://klassa.skr.se/fragorochsvar
• Nyheter - https://klassa.skr.se/nyheter

Om det fortfarande återstår frågor eller funderingar så tveka inte att höra av er till klassa@skr.se

• Skapa en kravmall för organisationen
• Börja med era mest prioriterade system/informationstillgångar. 
• Ha med personer med rätt kompetens på era informationsklassningar
• Planera för minst två tillfällen
• Fastna inte på krav – Svara ”Vet ej” vid behov
• Lägg inte upp fler användare än nödvändigt! Alla deltagare i ett möte behöver inte ha tillgång till KLASSA. Resultatet går med fördel att exportera efter genomgången och kan då bearbetas bredare.
• Du kan bjuda in befintliga eller skapa ny användare. Om du inte hittar användare så skickar du en inbjudan.

1. Utse en, eller flera administratörer som ska hålla i arbetet. Det är ofta någon som har motsvarande rollen informationssäkerhetssamordnare.
2. Skapa upp er organisation – Tänk på att organisationen ska byggas uppifrån och ner d.v.s. kommun- eller regionnivå därefter på förvaltningsnivå. Det är även möjligt att ha ytterligare nivåer. Rekommendationen är att inte bygga för komplext träd, d.v.s. Kommun, förvaltning och avdelning är en bra start.
3. Bygg upp er organisation – lägg till fler administratörer om ni behöver och lägg till system. Tänk på att administratörer har behörighet att se all information inom den aktuella organisationen.    
4. När systemen/informationstillgångarna är skapade kan du bjuda in systemförvaltare/förvaltningsledare och eventuellt systemägare/objektsägare för respektive system/informationstillgång. Dessa roller ser enbart sina egna system.

Stödmaterialet information kring LOA: https://klassa.skr.se/sidor/stodmaterial/LoA

Det finns även mer utförligt skrivet och länkat på DIGG:s hemsida kring tillitsnivåer: https://www.digg.se/digitala-tjanster/e-legitimering/tillitsnivaer-for-e-legitimering 

Ja det är möjligt att utgå ifrån en tidigare handlingsplan när ni skapar en ny handlingsplan.

När ni är inne på ett system eller grupperad informationstillgång så finns knappen "+Ny handlingsplan". Efter att ni har klickat in er där så finner ni längst ner (5) rullistan med texten: "Du har möjlighet att återanvända svaren ifrån en tidigare handlingsplan genom att välja en handlingsplan i listan nedan. Lämna blankt för en ny tom handlingsplan."

Detta ger er en möjlighet att utgå ifrån tidigare svar oavsett om alla krav är besvarade eller ej. 

Fråga från leverantör:

Vi får regelbundet frågor från kommuner som sitter och går igenom KLASSA och skickar flertalet frågor vidare till oss som leverantör.

Är tanken att kunderna utifrån avtal och dokumentation själva ska besvara dessa frågor och att de ska svara ”vet ej” om de inte har informationen. Eller är själva syftet att vi ska gå igenom dessa frågorna med alla kunderna som arbetar med KLASSA?

Krav från 50xx-serien är vår tanke/tolkning att det kan nyttjas vid t.ex. avtalsförhandling eller upphandling, från kundens sida. De som är enligt ovan 40xx-serien tolkar vi det som att kunderna ska besvara själva, t.ex. de ovan.

I upphandlingar ser vi krav från KLASSA mer och mer, där är det tydligt att det är krav vi ska besvara att vi uppfyller/efterlever. Men under pågående avtal har det inte varit lika självklart för oss vad vår roll är i det hela, eftersom det inte kravställts vid själva upphandlingen.
Har ni någon form av guidning för oss som leverantör i ovanstående funderingar?

Svar från SKR:

Din tolkning är i stort sett korrekt.

Som du nämner är 50xx-serien främst avsedd för upphandlingssyften och utgör "SKA-krav" som tydligt ska uppfyllas under en upphandlingsprocess. Å andra sidan representerar 40xx-serien "ÄR-krav", som är mer kopplade till kundens egen självvärdering och även involverar krav relaterade till leverantörens pågående tjänsteleverans.

Under pågående avtal kan dessa frågor från era kunder vara svårare att förhålla sig till då dessa krav inte ställdes under upphandlingen. Däremot är dessa säkerhetsåtgärder oftast hygienfaktorer i säkerhetsarbetet exempelvis, säkerhetskopiering, åtkomsthantering och fysisk säkerhet. För att underlätta och effektivisera hanteringen av dessa frågor framöver rekommenderar vi att ni tar fram en säkerhetsbilaga eller liknande dokument där ni tillhandahåller relevant information som kunderna kan använda utan ert deltagande.

Exempelvis kan ni inkludera information som:

"Mjukvara i produktionsmiljö installeras och uppdateras endast av team infrastruktur av systemadministratörer hos leverantören (OS och databaser). Mjukvara i utvecklingsmiljöer och administrativa system installeras och uppdateras av respektive systemansvarig."

Genom att tillhandahålla denna typ av information i förväg kan ni effektivisera processen och minska behovet av att hantera dessa frågor individuellt med varje kund.

För att lägga till en ansvarig person behöver den personen vara upplagd som användare eller administratör för den specifika underorganisationen där systemet eller tillgången är placerad.

Det är inte tillräckligt att användaren är administratör för en överordnad organisation.

Vad kan konsekvenserna bli om någon (som är behörig) inte får tillgång till informationen (Tillgänglighet)?

Exempel på tidsaspekter för tillgänglighet vid informationsklassning är:

• Två timmar
• Två dagar
• Två veckor
• För alltid

Det viktiga är att ni genomgående är konsekventa med tidsaspekten vid informationsklassning samt att ni dokumenterar beslutet.

Ett exempel på hur beskrivningen vid klassning av tillgänglighet kan se ut:

"Vid två timmars nedtid blir skadan måttlig då detta inte är en verksamhetskritisk tjänst. Vid två dagars nedtid blir skadan betydande då detta skulle påverka många användare på kommunen och orsaka mycket merarbete." - I detta fall blir konsekvensnivån för tillgänglighet betydande skada.

Det är viktigt att notera att konsekvenserna varierar beroende på organisationens storlek, den typ av tjänster som tillhandahålls och överenskomna avtal med intressenter. Därför är det avgörande att genomföra en noggrann riskbedömning och fastställa lämpliga Recovery Time Objectives (RTO) och Recovery Point Objectives (RPO) för att hantera och minimera konsekvenserna när en tjänst blir otillgänglig. En effektiv katastrofåterställningsplan och tillräckliga säkerhetskopierings- och återställningsstrategier är avgörande för att minimera långvarig påverkan på verksamheten.

Det läggs till en händelsehantering för när man använt "Tilldela"-knappen på ett krav.

När en tilldelning förändrats; användare, deadline, prioritet så flaggas det kravet för notifiering.

Vid given tidpunkt på dygnet skickas sedan en samlad mailnotifikation till berörda användare om de är satta vid tilldelningen.

Ja det går att ta bort både nya och gamla klassningar i verktyget.

Viktigt medskick! Om en klassning tas bort så försvinner även tillhörande handlingsplaner. Detta då handlingsplaner skapas utifrån klassningar.

Alla "ÄR-krav" är skrivna som påståenden för att användas i en GAP-analys på nuläget exempelvis "Vid utveckling utförs testning av säkerhetsfunktionalitet innan beslut fattas om driftsättning exempelvis testning av indata och förväntad utdata".

Sedan kommer den viktiga frågan kring var kraven ska riktas. Det beror på tillämpningen, har ni t.ex. allting on-prem och endast får mjukvaran från leverantören så behöver ni vända kraven kring utveckling och utvecklingsmiljöer mot leverantören och övriga krav riktade mot den egna verksamheten (något förenklat). Om leverantören även hanterar driften av tjänsten så behöver ni även ta med krav på tillgänglighet (SLA), säkerhetskopiering m.m.

Ni kan se kraven som förslag på åtgärder som prioriteras utifrån risk och riktas mot relevant part både internt och externt.

TLS 1.2 tillsammans med TLS 1.3 är standard för dom flesta webbaserade tillämpningar (exempelvis HTTPS) och korrekt konfigurerat så används erforderlig kryptering. Med det sagt så stödjer TLS 1.2 fortfarande en del algoritmer som inte längre anses säkra, exempelvis RC4 & 3DES. Observera att TLS endast är ett protokoll för överenskommande av algoritm och nyckelutbyte och inte krypteringen av information i sig.

Det finns inga sådana planer i nuläget, men CIS Controls är något som vi kommer att se över till framtida releaser.

Vanligtvis kommer e-post från skr.se inom högst några minuter. Titta gärna i ditt skräpfilter i din epostlåda om du upplever att du inte fått någon e-post från oss.
Du kan också kolla med din it-avdelning om det fastnar e-post från oss redan i er epostserver.

Prova även att ta bort inbjudan och bjud in på nytt.