Frågor och svar

KLASSA

När kan vi använda KLASSA on-prem?

Lösningen för KLASSA on-prem kommer att realiseras under senare halvan av 2022, detta förutsatt att KLASSA får tillräcklig volym anslutande medlemmar. Vi återkommer med besked om kravbilden för KLASSA on-prem. 

Hur säker är driften av KLASSA?

Driften av KLASSA sker i den driftsmiljö som har högst säkerhetskrav på sig.

SKR arbetar också hela tiden med sin driftsleverantör för att utveckla och säkerställa att kraven efterlevs. 
Informationssäkerhetsarbetet för KLASSA sker också med stöd i KLASSA, där SKR hämtar kraven på driftsmiljön för KLASSA.

Hur har KLASSA klassats?

KLASSA lever upp till alla krav som ställs utifrån KLASSA upp till nivå 2-2-2 (betydande skada).

När lanseras KLASSA version 4?

KLASSA version 4 finns tillgängligt redan nu och kan användas skarpt.  

Ni behöver skicka följande uppgifter för att vi ska kunna lägga upp er som användare:

Utse administratör för organisationen (kan ändras och fler kan läggas till)
Skicka e-post till klassa@skr.se med följande information: 

•    Namn på huvudorganisationen (juridiska namnet) 
•    Organisationsnummer (som pekar på det juridiska namnet) 
•    Namn på behörig beställare och kontaktuppgifter
•    Namn (för och efternamn på administratören) 
•    E-post (till administratören) 
•    Telefonnummer (administratörens telefonnummer som kan ta emot SMS för autentisering) 

Hur får vi organisera oss i KLASSA?

Ni får organisera er som ni vill. Ni kan t.ex. ha flertalet juridiska organisationer under samma organisationsträd i KLASSA eller bli upplagda som egna organisationer.

Några olika exempel:

  • Det kommunala förbundet är huvudorganisation i KLASSAv4 och kommunerna är upplagda som underorganisationer i KLASSA.
  • Kommunen är huvudorganisation och kommunalägda bolagen är underorganisationer.
  • Kommunalägda bolaget är huvudorganisation och därmed upplagd som en helt egen organisation i KLASSA.

Viktigt att komma ihåg är att oavsett så får varje organisation betala licensavgift enligt licensmodellen nedan:

  • Kommuner och regioner betalar 0,35 SEK per år och invånare i kommunen eller regionen.
  • Myndigheter och bolag betalar 200 SEK per år och anställd.
  • Max 6 prisbasbelopp per år (år 2022 291.600 SEK/år)

Vad händer med KLASSA 3.5?

Just nu finns både KLASSA 3.5 och KLASSA version 4 tillgängligt.

KLASSA 3.5 kommer dock att avvecklas vid halvårsskiftet 2023 - https://klassa-info.skr.se/

Därefter kommer endast KLASSA version 4 att finnas tillgänglig - https://klassa.skr.se/ 

Vad är nytt med KLASSA version 4?

Några av nyheterna i KLASSA version 4:

  • Nya kravkataloger
    • Alla krav har förtydligas och exemplifierats
    • Samtliga ISO/IEC 27001 normativa krav har inkluderats
    • Alla upphandlingskrav har reviderats 
  • Nytt lagrum: Arkivlag (1990:782)
  • Filtrering av krav
  • Informationscentriskt
  • Ny behörighetsstyrning
  • Nytt grafisk gränssnitt
  • Möjlighet att skapa kravmallar
  • Utökad målgrupp - Myndigheter

Kan vi föra över våra gamla handlingsplaner till KLASSAv4?

Handlingsplanerna går tyvärr inte att föra över till KLASSAv4. Man kan inte heller föra över gamla klassningar till den nya versionen eftersom det inte finns en 1:1 mappning av gamla och nya krav.

Nya klassningar skapas i den nya versionen. Våra erfarenheter att jobba så har varit goda i de andra verktygen utifrån att krav förändras, tillkommer och tas bort löpande baserat på erfarenheter och nya förutsättningar.

Vilka kan använda KLASSA?

I nuläget är KLASSA enbart tillgängligt för kommuner, kommunala bolag, regioner, kommunala förbund (kostnad tillfaller respektive kommun som nyttjar KLASSA) och statliga myndigheter.

När planerar ni att släppa riskmodulen i KLASSA och vilken riskmatris kommer att användas?

När lanseras riskmodulen?

Riskmodulen är planerad att lanseras under Q1 2023.

Vilken riskmatris kommer att användas?

För schablonmässig riskbedömning används en riskmatris (dvs för att komma fram till ett visst riskvärde) som utgår från 27005 och som därefter modifierats en aning, främst genom att ersätta/förtydliga ursprungliga faktorn ”ease of exploation” med ”Sårbarhetsnivå”.

När vi i ett senare läge kan börja arbeta med anpassad riskbedömning blir riskvärde inte intressant på samma sätt eftersom vi då kommer att fokusera mer på vilka storleken på acceptabla eller ej acceptabla kostnader/förluster/skadekonsekvenser (d.v.s. sett ur ekonomiskt perspektiv). När det gäller denna typ av riskbedömning är det mycket mer fokus på FAIR.

Kommer att kravkatalogen i KLASSA att uppdateras i enlighet med ISO/IEC 27002:2022?

ISO/IEC 27002:2022 är tillgängligt på svenska redan nu. Det kommer en uppdatering av KLASSAs kravkatalog i samråd med expertgruppen (en sammanslagning av sakkunniga inom offentlig sektor). Planen att den uppdaterade kravkatalogen finns på plats under Q1 2023.

 

Vad innebär detta för befintliga informationsklassningar och handlingsplaner?

Det kommer inte påverka befintliga informationsklassningar och handlingsplaner direkt. Däremot kommer nya handlingsplaner att utgå ifrån den nya kravkatalogen så snart den finns tillgänglig.

Hur uppdaterar man sin Klassa 3.5 till 4.0?

Handlingsplanerna går tyvärr inte att föra över till KLASSAv4. Man kan inte heller föra över gamla klassningar till den nya versionen eftersom det inte finns en 1:1 mappning av gamla och nya krav.

Nya klassningar skapas i den nya versionen. Våra erfarenheter att jobba så har varit goda i de andra verktygen utifrån att krav förändras, tillkommer och tas bort löpande baserat på erfarenheter och nya förutsättningar.

Läs mer här kring registrering av organisation i KLASSAv4: https://klassa.skr.se/sidor/kom-igang

Varför finns upplägget med licensavgift?

SKR har under året arbetat med finansieringen av KLASSA. För 2022 har medel säkrats som gör att kommuner och regioner kan använda verktyget kostnadsfritt. Arbetet fortsätter för att finna lösningar för 2023. Målet är att om möjligt fortsatt tillhandahålla verktyget kostnadsfritt för SKR:s medlemmar, om vi inte når hela vägen är avsikten att hålla kostnaden till lägsta möjliga och göra avropsförfarandet enklast möjliga. 

Var lagring av data i Klassa sker? Har SKR egna servrar eller avtal med underleverantör? Är denna baserad inom EU?

SKR har ett avtal och personuppgiftsbiträdesavtal med en driftpartner, och det är hos denna som KLASSA driftas på egna servrar (servrarna finns i Stockholm). Under 2022 kommer också KLASSA i en on-premversion, som möjliggöra för användande organisation att drifta verktyget i sina egna lokaler.

Registrering

Hur registrerar vi vår organisation i KLASSA?

Utse administratör för organisationen (kan ändras och fler kan läggas till) 
Skicka e-post till klassa@skr.se med följande information:  

•    Namn på huvudorganisationen (juridiska namnet)  
•    Organisationsnummer (som pekar på det juridiska namnet)  
•    Namn på behörig beställare och kontaktuppgifter 
•    Namn (för och efternamn på administratören)  
•    E-post (till administratören)  
•    Telefonnummer (administratörens telefonnummer som kan ta emot SMS för autentisering)  

Hur ser licensmodellen ut?

Information kring kostnader (licensmodell) och förutsättningar för användandet av KLASSA: 
•    Kommuner och regioner betalar 0,35 SEK per år och invånare i kommunen eller regionen. 
•    Myndigheter och bolag betalar 200 SEK per år och anställd. 
•    Max 6 prisbasbelopp per år (år 2022 291.600 SEK/år) 

KLASSA baserar sig på standarden SS-ISO/IEC 27001:2017 och 27002:2022.  Det är viktigt att du har rätt att använda ISO standarden när du använder KLASSA.  

MSB tillhandahåller via SIS standarderna SS-ISO/IEC 27002:2022 - SS-ISO/IEC 27001:2017 kostnadsfritt till kommuner, kommunalförbund, kommunala bolag och regioner för att underlätta det systematiska informationssäkerhetsarbetet. För mer information om licenserna kontakta informationssakerhet@informationssakerhet.se. Notera att MSB endast hanterar frågor kring licensen för SS-ISO/IEC 27001:2017 och 27002:2022. Frågor relaterade till KLASSA hanteras av klassa@skr.se.

När och hur kommer betalningen att ske?

SKR har under året arbetat med finansieringen av KLASSA. För 2022 har medel säkrats som gör att kommuner och regioner kan använda verktyget kostnadsfritt. Arbetet fortsätter för att finna lösningar för 2023. Målet är att om möjligt fortsatt tillhandahålla verktyget kostnadsfritt för SKR:s medlemmar, om vi inte når hela vägen är avsikten att hålla kostnaden till lägsta möjliga och göra avropsförfarandet enklast möjliga. 


För myndigheter och andra organisationer som inte är medlemmar i SKR pågår en dialog med möjliga samarbetspartners för att säkerställa avropsmöjlighet. 

 

Hur finansieras KLASSA?

KLASSA verktyget finansieras inte på något annat sätt än av de som använder det, dvs till självkostnadspris som fördelas solidariskt så att mindre organisationer betalar en lägre licenskostnad och större organisationer mer.  


Ambitionen är att verktyget ska vara hjälpsamt och effektivt att nyttja och därigenom att tid och pengar sparas i de organisationer som använder det.  

Stöd

Vilket stöd kan vi få som organisation för att jobba med KLASSAv4?

KLASSA webben kommer att utvecklas över tid med mer stödmaterial och vägledningsmaterial. Det gäller både användandet av verktyget KLASSA och informationssäkerhet.

Synpunkter och återkoppling på vilket typ av stöd som önskas är välkommet och kan skickas till klassa@skr.se  

Hur får man stöd i arbetet med KLASSA?

Det finns konsultföretag och leverantörer som arbetar med KLASSA, exempelvis med utbildning eller med att hjälpa verksamheter att implementera skyddsåtgärder som KLASSA föreslår. 

Om du behöver stöd och hjälp med att jobba med KLASSA rekommenderar vi att du pratar med din informationssäkerhetsansvarig, eller säkerhetsansvarig, för att se vilka leverantörer ni arbetar med inom området. 

Om du inte har tillgång till några sådana leverantörer/konsultbolag, eller de ni arbetar med inte känner till KLASSA, kan ett tips vara att prata med någon av de kommuner som använder KLASSA för att utbyta erfarenheter eller samarbeta kring klassning. 

SKR certifierar inte eller rekommenderar enskilda leverantörer. 

Hur fungerar behörighetsstrukturen?

Administratör:

  • En administratör kan göra allt på den nivå som personen är administratör för (exempelvis organisation/underorganisation). Detta innefattar bland annat att lägga till/ta bort informationstillgång och system, lägga till/ta bort användare/ansvarig, klassa informationstillgång/system, fastställa klassning av grupperad informationstillgång, skapa handlingsplan m.m.

Användare:

  • En användare som läggs till i en organisation/underorganisation har tittbehörighet för att se klassningsnivåerna för alla "system" och "informationstillgångar".
  • För att en användare ska kunna klassa en "informationstillgång" behöver personen vara tillagd som ansvarig för "informationstillgången"
  • För att en användaren ska kunna fastställa klassning för en "grupperad informationstillgång" behöver personen vara tillagd som ansvarig för den "grupperade tillgången". 
  • För att kunna en skapa handlingsplan behöver användaren läggas till som användare för den grupperade informationstillgången. 

Hur fungerar kravmallen?

Kravmallen är en funktion som möjliggör för organisationer att fördefiniera svar på vanligt förekommande krav som alltid är samma. 

Kravmallen finner du under "Organisationens namn" högst upp i organisationsträdet och "Kravmallar"

Därefter följer du stegen nedan:

  1. Skapa kravmall - Namn och beskrivning
  2. Fördefiniera svaren i kravmallen
  3. Publicera kravmallen.
  4. Nästa steg är att ni klassar ett system/grupperad informationstillgång och längst ner i klassningssteget väljer ni den publicerade kravmallen. 

Hur ska vi förhålla oss till kraven i KLASSA?

Kraven i KLASSA baseras sig på standarderna SS-ISO/IEC 27001:2017 och SS-ISO/IEC 27002:2017. 

Kraven har utformats utifrån två perspektiv:

  • ÄR-krav, riktade mot den egna verksamheten och formulerade i presens, dvs att de beskriver ett önskat nuläge, exempelvis ”Användare är informerade om sitt ansvar”.
  • SKA-krav, tänkta att använda som upphandlingskrav, dvs en önskad kravuppfyllnad för en framtida leverans.

Det ni behöver förhålla er till är följande: Är detta krav relevant för oss? om ja på vilket sätt, om nej på varför? Och därefter göra en egen bedömning per krav baserat på vilka risker som föreligger inom er verksamhet.

Ska vi jobba med informationstillgångar och grupperade informationstillgångar eller system?

KLASSA version 4 möjliggör för organisationer att jobba mer informationscentriskt.

Detta skapar möjligheten att klassa enskilda informationstillgångar och gruppera informationstillgångar. Den grupperade informationstillgången ärver den högsta nivån av de enskilda informationstillgångarna utifrån informationsklassningen.

Detta arbetssätt förutsätter en högre mognadsnivå hos organisationen, exempelvis att ni jobbar enligt metoden som utgår från MSB och Riksarkivets Vägledning för processorienterad informationskartläggning - https://www.msb.se/sv/publikationer/vagledning-for-processorienterad-informationskartlaggning/ 

 

Klassningsprocess - Informationstillgång

  1. Skapa informationstillgång
  2. Klassa informationstillgång enligt K-R-T
  3. Gruppera de skapade och klassade informationstillgångarna
  4. Fastställ klassning för den grupperade informationstillgången
  5. Skapa handlingsplan

Klassningsprocess - System

Är er organisation väl bekanta med KLASSA 3.5 så kommer ni att känna igen er i informationsklassning av system.

  1.  Skapa system
  2. Klassa system (K-R-T)
  3. Skapa handlingsplan

 

Den generella rekommendation för organisationer som är nya i arbetet med KLASSA är att arbete ur "systemperspektivet". 

Hur lägger jag till en användare?

Under respektive organisation går det att lägga till en användare via inställningar därefter finns knappen "+Lägg till användare". 

Kan man lägga en befattning istället för person som ansvarig?

Det går endast att lägga till personer som användare och som ansvariga.

Behöver man motivera lagrummen?

Ni behöver endast motivera lagrummen som ni omfattas av.

Varför ska man skapa en egen kravmall?

Kravmallen är en funktion som möjliggör för organisationer att fördefiniera svar på vanligt förekommande krav som alltid är samma. Alternativt att i respektive kommentarsfält för varje krav skriva en kort vägledning till hur kravet ska tillämpas.

Detta är ett stort stöd och tidsbesparing för verksamheten som genomför sina klassningar.

Om man valt en kravmall till en handlingsplan och den kravmallen sen uppdateras (efter den är kopplad mot en handlingsplan). Uppdateras den då också i de handlingsplaner som den redan är vald till?

Kravmallen är ”master” d.v.s. att ifall det ändras i kravmallen så förändras de handlingsplaner som utgår ifrån kravmallen.

Jag hittar inte svaret på min fråga, vem kan jag kontakta?

All information finner ni under:

  • Stödmaterialet - https://klassa.skr.se/sidor/stodmaterial
  • Frågor och svar - https://klassa.skr.se/fragorochsvar
  • Nyheter - https://klassa.skr.se/nyheter

Om det fortfarande återstår frågor eller funderingar så tveka inte att höra av er till klassa@skr.se

Har ni några tips för hur vi startar arbetet på bäst sätt?

  • Skapa en kravmall för organisationen
  • Börja med era mest prioriterade system
  • Ha med personer med rätt kompetens på era informationsklassningar
  • Planera för minst två tillfällen
  • Fastna inte på krav – Svara ”Vet ej” vid behov
  • Lägg inte upp fler användare än nödvändigt! Alla deltagare i ett möte behöver inte ha tillgång till KLASSA. Resultatet går med fördel att exportera efter genomgången och kan då bearbetas bredare.
  • Du kan bjuda in befintliga eller skapa ny användare. Om du inte hittar användare så skickar du en inbjudan.

Hur ska vi bygga upp vår organisation?

  1. Utse en, eller flera administratörer som ska hålla i arbetet. Det är ofta någon som har motsvarande rollen informationssäkerhetssamordnare.
  2. Skapa upp er organisation – Tänk på att organisationen ska byggas uppifrån och ner d.v.s. kommun- eller regionnivå därefter på förvaltningsnivå. Det är även möjligt att ha ytterligare nivåer. Rekommendationen är att inte bygga för komplext träd, d.v.s. Kommun, förvaltning och avdelning är en bra start.
  3. Bygg upp er organisation – lägg till fler administratörer om ni behöver och lägg till system. Tänk på att administratörer har behörighet att se all information inom den aktuella organisationen.    
  4. När systemen/informationstillgångarna är skapade kan du bjuda in systemförvaltare/förvaltningsledare och eventuellt systemägare/objektsägare för respektive system/informationstillgång. Dessa roller ser enbart sina egna system.

Övrigt

Är TLS 1.2 tillräcklig nivå på kryptering?

TLS 1.2 tillsammans med TLS 1.3 är standard för dom flesta webbaserade tillämpningar (exempelvis HTTPS) och korrekt konfigurerat så används erforderlig kryptering. Med det sagt så stödjer TLS 1.2 fortfarande en del algoritmer som inte längre anses säkra, exempelvis RC4 & 3DES. Observera att TLS endast är ett protokoll för överenskommande av algoritm och nyckelutbyte och inte krypteringen av information i sig.

Finns det några planer på att inför fler kravkataloger exempelvis CIS Controls?

Det finns inga sådana planer i nuläget, men CIS Controls är något som vi kommer att se över till framtida releaser.

Hittar du inte mailet med inbjudan?

Vanligtvis kommer e-post från skr.se inom högst några minuter. Titta gärna i ditt skräpfilter i din epostlåda om du upplever att du inte fått någon e-post från oss.
Du kan också kolla med din it-avdelning om det fastnar e-post från oss redan i er epostserver.