Vägledning för informationsklassning och lagrum

Vägledning för klassificering vägleder hur du kan resonera kring vilken nivå du väljer för de tre perspektiven och tar bland annat upp hur olika lagar påverkar val av konsekvensnivåer.

Säkerhetsaspekter i KLASSA

Tabell 1 - Olika definitioner av säkerhetsaspekter i KLASSA
Säkerhetsaspekt Definition i SIS Handbok 550 Definition i SS-ISO/IEC 27000:2018
Konfidentialitet Skyddsmål att innehållet i informationsobjekt (eller ibland dess existens) inte får göras tillgängligt eller avslöjas för obehöriga Egenskap som innebär att information inte tillgängliggörs eller avslöjas för obehöriga individer, objekt, eller processer
Riktighet Skyddsmål att information inte förändras, vare sig obehörigen, av misstag eller på grund av funktionsstörning Egenskap som innebär att vara korrekt och fullständig (ANM Enligt svensk terminologi för informationssäkerhet (SIS-TR 50) definieras riktighet som "skydd mot oönskad förändring"
Tillgänglighet Skyddsmål där informationstillgångar ska kunna utnyttjas i förväntad utsträckning och inom önskad tid Egenskapen att vara åtkomlig och användbar vid begäran från ett behörigt objekt

Andra aspekter kan givetvis förekomma i en organisations klassningsarbete, såsom spårbarhet och oavvislighet, men dessa hanteras inte i KLASSA efter samråd med MSB.

Beskrivning av konsekvensnivåerna i KLASSA

Konsekvensnivåerna i KLASSA följer i huvudsak SIS/MSBs modell för klassificering av information (0040-09), se bilaga 1 (längst ned på sidan) och Myndigheten för samhällsskydd och beredskaps (MSB) metodstöd för systematiskt informationssäkerhetsarbete: https://www.informationssakerhet.se/metodstodet/analysera/#informationstillg%C3%A5ngar-%C2%AD%E2%80%93-den-information-som-ska-skyddas

Definitionen av betydelse för Sveriges säkerhet (nivå 4) definierades inte i arbetet av SIS/MSB. I takt med den ökade hotbilden i omvärlden såg SKR och flera av dess medlemmar ett ökande behov av att uppmärksamma dessa informationstillgångar varför den infördes redan år 2013 i KLASSA version 1 under benämningen synnerligen allvarlig skada (nivå 4) som en indikation på att informationstillgången berörs av säkerhetsskyddslagen (2018:585).

Av betydelse för Sveriges säkerhet (4) - tidigare benämnd Synnerligen allvarlig skada

Informationstillgångar som är av betydelse för Sveriges säkerhet (nivå 4) är en indikator att informationstillgången omfattas av säkerhetsskyddslagen (2018:585).

KLASSA används idag inte för att klassa informationstillgångar eller verksamheter som regleras av säkerhetsskyddslagstiftningen. KLASSA innehåller därför inte några förslag till skyddsåtgärder för dessa uppgifter eller verksamheter. Dessa informationstillgångar och verksamheter klassas enligt det regelverk som gäller för dem.

En säkerhetsskyddanalys är det instrument som används för att identifiera om och i vilken utsträckning verksamheten är av betydelse för Sveriges säkerhet eller hanterar information som omfattas av säkerhetsskyddslagen. Säkerhetsskyddsanalysen ska utreda behovet av säkerhetsskydd. Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetskyddsklassificerade uppgifter och övriga omständigheter.  Säkerhetsskyddsåtgärderna delas in i tre delar, informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Se vidare https://www.sakerhetspolisen.se/sakerhetsskydd.html

Det pågår ett arbete med att utveckla KLASSA för att också vara ett stöd för klassning enligt säkerhetsskyddslagen. Det kan komma att implementeras i framtida versioner.

Allvarlig skada (3)

Konsekvensnivån allvarlig skada (nivå 3) innebär exempelvis att

  • Enskilda personers liv och fysiska eller psykiska hälsa äventyras på ett sätt som är oåterkalleligt eller som inte kan övervinnas av den enskilda eller får mycket stora ekonomiska konsekvenser, (exempelvis genom att känsliga personuppgifter sprids till en stor krets obehöriga, skyddade personuppgifter tillgängliggörs eller enskilda riskerar att drabbas av personlig konkurs),
  • samhällsviktiga funktioner i egen eller annan organisation påverkas,
  • det är stora svårigheter för organisationens verksamhet att fullfölja uppdragen, eller
  • minskat förtroende exempelvis genom ihållande drev i rikstäckande medier eller av organiserade grupperingar i sociala medier. Inte endast enskilda personer i organisationen pekas ut, utan även organisationens grundläggande kultur.

Betydande skada (2)

Konsekvensnivån betydande skada (nivå 2) innebär exempelvis att

  • Enskilda personer kan uppleva konsekvenser, såsom stora fysiska eller psykiska besvär eller stor ekonomisk påverkan som de bör kunna övervinna även om det måste ske med reella och allvarliga svårigheter, (exempelvis obehörig spridning av personuppgifter i stor omfattning),
  • andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder), samhällsviktiga funktioner i egen eller annan organisation påverkas i liten utsträckning,
  • verksamheten kan med besvär fullfölja sina uppdrag, eller
  • minskat förtroende genom nyheter i både riks- och lokalmedia och i organiserade grupperingar i sociala medier, (missnöjet är dock begränsat till enskilda händelser eller enskilda personers agerande).

Måttlig skada (1)

Konsekvensnivån måttlig skada (nivå 1) innebär exempelvis att

  • Enskilda personer kan drabbas av betydande besvär men som bör kunna övervinnas trots vissa svårigheter, (exempelvis enstaka personuppgifter som inte är känsliga kan spridas),
  • andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär med endast mindre  påverkan,
  • endast försumbar påverkan på samhällsviktiga funktioner vid egen eller annan organisation,
  • verksamheten har inte några större svårigheter att nå målen, eller
  • enstaka missnöjda individer som uttalar sig i sociala medier, eller en notis i lokalmedia.

Försumbar skada (0)

Konsekvensnivån försumbar skada (nivå 0) innebär exempelvis

  • Enskilda personer påverkas inte eller kan uppleva få besvärligheter som de bör kunna övervinna utan problem,
  • ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation,
  • inga svårigheter för verksamheten att nå målen, ingen eller mycket begränsad ekonomisk förlust, eller
  • lite negativ uppmärksamhet.

Vägledning för val av konsekvensnivå

Vad som räknas som informationstillgångar är de som verksamheten identifierar som sådana. Det innebär att två organisationer kan göra olika bedömningar om vad som ska klassificeras. Klassificeringen har två ingångsvärden: krav och klassificeringsmodell.

Kraven kan i sin tur delas upp i två delar: de som kommer från avtal, lagar, förordningar och andra författningar, (externa krav) och krav som verksamheten ställer för att kunna uppnå sina mål (interna krav).

Klassificeringsmodellen kan förändras beroende på organisation, huvuduppgifter, antal anställda m.m. Det betyder att innebörden av begreppen försumbar, måttlig, betydande, allvarlig och synnerligen allvarlig i praktiken kan vara olika.

Observera att modellen inte ger svar på hur den klassificerade tillgången ska hanteras. Klassificeringen är endast ett stöd för den som hanterar informationstillgången hur informationen värderas och på så sätt ger en vägledning på vilka hanteringskrav som ska appliceras. Dessa krav kan t.ex. handla om (men är inte begränsade till) tekniska åtgärder såsom brandväggar, krypteringsfunktioner och antivirus och organisatoriska åtgärder såsom säkerhetsarbetets organisation och rutiner, instruktioner och uppföljning.

Nedan följer ett antal exempel grundat i regulatoriska krav som kan vara till hjälp i arbetet med klassning.

Vägledning för informationsklassning och lagrum (NIS)

Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-lagen)

NIS-lagen är tillämplig på leverantörer som tillhandahåller samhällsviktiga eller digitala tjänster. Samhällsviktiga tjänster är tjänster inom vissa utpekade sektorer som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. Om ett företag eller organisation tillhandahåller en samhällsviktig tjänst enligt lagen följer krav på säkerhetsåtgärder för de nätverk och informationssystem som används för att tillhandahålla tjänsten. Samhällsviktiga tjänster enligt NIS-lagen finns i sektorerna: 

  • Energi (el, olja och gas),
  • Transport,
  • Bankverksamhet,
  • Finansmarknadsinfrastruktur,
  • Hälso- och sjukvård,
  • Leverans och distribution av dricksvatten. och
  • Digital infrastruktur. 

Lagen gäller för leverantörer som är etablerade i Sverige och där tillhandahållandet av tjänsten är beroende av nätverk och informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten.

Myndigheten för samhällsskydd och beredskap (MSB) har preciserat kriterierna för när en verksamhet omfattas av NIS-lagen, genom Myndigheten för samhällsskydd och beredskaps föreskrifter (MSBFS 2021:9) om anmälan och identifiering av leverantörer av samhällsviktiga tjänster.

Nedan följer kriterierna för ett urval av sektorerna. För aktuella kriterier, se vid var tid gällande föreskrifter från MSB.

Energisektorn (3 kap. MSBFS 2021:9)

 El ( 1 §)

Med samhällsviktiga tjänster rörande el där incidenter skulle medföra en betydande störning vid tillhandahållandet av tjänsten avses

  1. elöverföring som tillhandahålls av certifierat transmissionsnätsföretag enligt lagen (2011:710) om certifiering av transmissionsnätsföretag för el,
  2. elöverföring i regionnät enligt definitionen i 2 § 14 p. Energimarknadsinspektionens föreskrifter (EIFS 2020:2) om ändring i Energimarknadsinspektionens föreskrifter och allmänna råd (EIFS 2012:4) om redovisning av nätverksamhet,
  3. eldistribution till elanvändare med styrel prioritetsklass 1–5 enligt 5 § förordningen (2011:931) om planering för prioritering av samhällsviktiga elanvändare,
  4. elproduktion som är direkt, eller via produktionsnät, ansluten till stam- eller regionnät med undantag för industrimottryck eller annan elproduktion direkt ansluten till industri, om
    1. installerad effekt i en sammanhållen produktionsanläggning överstiger 30 MW, eller
    2. avtalet om leverans även omfattar produktion med balansrisk eller med stödtjänst för nätstabilitet, eller
  5. elhandel som bedrivs av den som åtagit sig balansansvar i enlighet med ellagen (1997:857).

Vindkrafts- och/eller solelsparker där flera leverantörer har produktionsanläggningar som delar anslutningspunkt mot överliggande nät, ska betraktas som en produktionsanläggning vid beräkning av installerad effekt eller vid produktion med balansrisk eller stödtjänster.

Olja (2 §)

Med samhällsviktiga tjänster rörande olja i form av flytande petroleumbaserade och förnybara drivmedel och bränslen där incidenter skulle medföra en betydande störning vid tillhandahållandet av tjänsten avses

  1. 1. tjänsterna import, export, produktion, raffinering, bearbetning eller försäljning som hanterar minst
    1. 500 000 ton/år för petroleumbaserade drivmedel och bränslen, eller
    2. 50 000 ton/år för biodrivmedel och biobränslen,
  2. 2. tillhandahållande av drivmedelslager och depåer med sammanlagd kapacitet på minst
    1. 100 000 m3,
    2. 20 000 m3 och med avgörande betydelse för regional försörjning, eller
    3. 10 000 m3 för jetbränsle,
  3. 3. överföringstjänst i ledningar, egen överföring eller logistik för flytande drivmedel och bränslen med kapacitet för
    1. 50 000 ton/år, eller
    2. 25 000 ton/år för jetbränsle.

En tjänst enligt första stycket om den utförs för eget bruk inom ett industriområde omfattas inte.

Depåområden där flera leverantörer har cisterner med gemensam lastnings- eller lossningsutrustning ska betraktas som ett drivmedelslager vid beräkning av volym.

Gas (3 §)

Med samhällsviktiga tjänster rörande gas där incidenter skulle medföra en betydande störning vid tillhandahållandet av tjänsten avses

  1. systemansvarstjänst för transmission (TSO),
  2. systembalansansvarstjänst,
  3. systemansvarstjänst för distributionssystem (DSO), eller
  4. gasleverantörer med balansansvarstjänst.

Hälso- och sjukvård (7 kap.)

Med samhällsviktiga tjänster rörande hälso- och sjukvård där incidenter skulle medföra en betydande störning vid tillhandahållandet av tjänsten avses

  1. hälso- och sjukvård som bedrivs av en vårdgivare och som omfattas av hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125) eller detaljhandel med läkemedel enligt lagen (2009:366) om handel med läkemedel,
    1. där antalet anställd legitimerad vårdpersonal eller på annat sätt anlitad legitimerad vårdpersonal överstiger 50 årsarbetskrafter, eller
    2. där minst 20 000 expedieringar av receptbelagda läkemedel utförs per år.

Leverans och distribution av dricksvatten (8 kap.)

Med samhällsviktiga tjänster avseende leverans och distribution av dricksvatten där incidenter skulle medföra en betydande störning vid tillhandahållandet av tjänsten avses

  1. produktion och distribution av dricksvatten som tillhandahålls enligt lagen (2006:412) om allmänna vattentjänster till
    1. minst 20 000 personer, eller
    2. akutsjukhus.

Vilka system och informationstillgångar gäller lagens krav för?

Enligt 12 § NIS-lagen ska ändamålsenliga och proportionella tekniska och organisatoriska åtgärder vidtas för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Det är alltså endast sådana nätverk och informationssystem som används för att tillhandahålla den samhällsviktiga tjänsten som omfattas av lagens krav. För en kommun som producerar och distribuerar dricksvatten till sina 40 000 invånare kommer t.ex. OT-system som används för distribuera vattnet att omfattas, men inte kommunens plattform för förskoleverksamhet.

Nätverk och informationssystem definieras i NIS-lagen som: 

  1. ett elektroniskt kommunikationsnät enligt 1 kap. 7 § lagen (2022:482) om elektronisk kommunikation,
  2. en enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter, eller
  3. digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av 1 och 2 för att de ska kunna driftas, användas, skyddas och underhållas.

I de allra flesta fall kommer informationstillgångar som omfattas av NIS-lagen att klassificeras i klassen betydande eller allvarlig för samtliga säkerhetsaspekter dels eftersom tjänsterna är samhällsviktiga dels eftersom konsekvensnivåerna är så tydligt definierade i föreskrifterna

Närmare krav i tillsynsmyndigheternas säkerhetsföreskrifter

För tillsyn av efterlevnad av NIS-lagen har varje sektor en tillsynsmyndighet. Samtliga tillsynsmyndigheter har mandat att meddela föreskrifter om säkerhetsåtgärder enligt 12 - 14 §§ i NIS-lagen, förutom Inspektionen för vård och omsorg. Det är istället Socialstyrelsen som föreskriftsmandat för säkerhetsåtgärder för sektorn hälso- och sjukvård. För närvarande har samtliga myndigheter, utöver Socialstyrelsen och Finansinspektionen meddelat sådana föreskrifter.

I tabellen nedan finns länkar till respektive myndighets webbsida för säkerhetsföreskrifter.
Energi Statens energimyndighet Statens energimyndighet (STEMFS 2021:3)
Transport Transportstyrelsen Transportstyrelsen (TSFS 2022:14)
Bankverksamhet och finansmarknadsinfrastruktur Finansinspektionen Finansinspektionen
Hälso- och sjukvård Inspektionen för vård och omsorg Socialstyrelsen
Leverans och distribution av dricksvatten Livsmedelsverket Livsmedelsverket (LIVSFS 2022:2)
Digital infrastruktur Post- och telestyrelsen Post- och telestyrelsen (PTSFS 2021:3)

Krav från Statens energimyndighets och Livsmedelsverkets föreskrifter finns inarbetad i kravkatalogen. För att säkerställa efterlevnad av föreskrifterna bör organisationer dock inte enbart förlita sig på KLASSA, utan även gå igenom föreskrifterna.

Skyldighet att anmäla sig till tillsynsmyndigheten och att incidentrapportera

Utöver skyldigheten att vidta säkerhetsåtgärder för de nätverk och informationssystem som omfattas av NIS-lagen finns även en skyldighet att anmäla sig till tillsynsmyndigheten samt rapportera betydande störningar. Kriterierna för vad som utgör betydande störningar för varje sektor framgår av Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd (MSBFS 2018:9) om rapportering av incidenter för leverantörer av samhällsviktiga tjänster.

Mer information om hur incidenter ska rapporteras finns på MSB:s hemsida: Incidentrapportering för leverantörer av samhällsviktiga tjänster.

Mer information om anmälan finns på respektive tillsynsmyndighets hemsida (se länkar i kolumnen Tillsynsmyndighet i tabellen ovan).

EU:s Dataskyddsförordning (GDPR)

Dataskyddsförordningen syftar till att skydda levande, fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Enligt dataskyddsförordningen ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

Personuppgifter är alla uppgifter som avser en identifierad eller identifierbar fysisk person. Med identifierbar menas att även indirekta uppgifter omfattas av dataskyddsförordningens tillämpningsområde. Personuppgifter kan behöva olika skyddsåtgärder beroende på vilken typ av uppgift det rör sig om eller i vilket sammanhang den förekommer. Vanligt förekommande personuppgifter kan till exempel behöva ett högt skydd om de handlar om skyddade personuppgifter eller om det handlar om mycket omfattande personuppgifter. Utöver detta har Integritetsmyndigheten identifierat vissa kategorier av personuppgifter som kräver extra skydd.

Extra skyddsvärda personuppgifter - personnummer

Personnummer är enligt Integritetsskyddsmyndigheten en extra skyddsvärd uppgift som bör behandlas i så liten utsträckning som möjligt.

Särskilt skyddsvärda personuppgifter - integritetskänsliga personuppgifter

Integritetsskyddsmyndigheten har identifierat vissa typer av uppgifter som myndigheten anser är särskilt skyddsvärda. Exempel på sådana uppgifter är löneuppgifter, uppgifter om lagöverträdelser, värderande uppgifter från utvecklingssamtal, resultat från personlighetstester, information som rör någons privata sfär och uppgifter om sociala förhållanden, uppgifter om ekonomisk hjälp eller insatser inom socialtjänsten. Dessa uppgifter hanteras normalt enligt en högre säkerhetsnivå än mindre känsliga uppgifter.  

Känsliga personuppgifter

Dataskyddsförordningen identifierar särskilt vissa kategorier av personuppgifter som känsliga och som av den anledningen kräver en högre säkerhetsnivå. Dessa uppgifter är

  • ras eller etniskt ursprung. I svenska lagar använder vi inte längre ordet ras. I dataskyddsförordningen används däremot ordet, men det står också att det inte innebär att EU godtar teorier om att det skulle finnas skilda människoraser.
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • hälsa eller sexualliv, och
  • genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person

Några punkter beakta i arbetet med att klassificera informationen är bland annat om det behandlas

  • uppgifter om personer med skyddade personuppgifter,
  • uppgifter om enskildas sociala eller ekonomiska förhållanden,
  • personuppgifter om ett stort antal personer,
  • personnummer eller samordningsnummer, eller
  • en stor mängd personuppgifter om varje person.

Enligt dataskyddsförordningen är en personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats?. Det innebär att personuppgifter måste hanteras på ett korrekt sätt gällande alla säkerhetsaspekter, inte bara konfidentialitet, även aspekten tillgänglighet måste vägas in, liksom riktighet.  

Med sannolikhet hamnar vanliga personuppgifter i klassificeringenbetydandeför samtliga säkerhetsaspekter. I sammanhang där särskilda kategorier (känsliga personuppgifter och integritetskänsliga personuppgifter) behandlas är klassificeringenallvarlig för säkerhetsaspekten konfidentialitet och i vissa fall även riktighet.

Personuppgifter inom hälso- och sjukvården

Patientdatalagen (2008:355) (PDL) tillämpas på vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) finns krav om att överföring av personuppgifter i öppna nät ska göras på ett sådant sätt att ingen obehörig kan ta del av uppgifterna och att åtkomst till uppgifterna ska föregås av stark autentisering.  Vårdgivaren ska säkerställa att uppgifter i en patientjournal inte kan ändras eller utplånas annat än med stöd av PDL.

Patientdata utgör generellt sett känsliga personuppgifter och normalt klassificeras dessa i konsekvensnivån allvarlig för säkerhetsaspekten konfidentialitet.  I sammanhang med mycket höga krav på riktighet, exempelvis ordinationer, är klassificeringen allvarlig för säkerhetsaspekten riktighet.

Sekretessreglerade uppgifter

En handling är en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt. En handling innehåller därmed vissa uppgifter.

En handling är allmän, om den förvaras hos en myndighet och är inkommen till eller upprättad hos en myndighet.

En allmän handling är antingen offentlig eller omfattas helt eller delvis av sekretess.

Sekretess innebär ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av allmän handling eller på något annat sätt. Sekretessbelagda uppgifter kan vara uppgifter i allmänna handlingar men kan också vara uppgifter som inte ingår i en allmän handling, till exempel uppgifter som finns i en handling som ännu inte upprättats hos en myndighet. 

Det finns tre typer av sekretess, absolut, stark och svag.

  • Absolut sekretessbetyder att inga uppgifter under några förutsättningar får lämnas ut till andra än de anställda som behöver uppgifterna för att kunna utföra sitt arbete. Detta gäller t ex för uppgifter i ännu inte avslutade upphandlingsärenden och uppgifter inom kommunal familjerådgivning för uppgift som enskild lämnar i förtroende eller som inhämtats i förtroende.
  • Stark sekretessbetyder att sekretess är huvudregeln och uppgiften får endast lämnas ut om det står klart att så kan ske utan att visst men eller viss skada uppkommer.
  • Svag sekretessbetyder att offentlighet är huvudregeln och uppgiften omfattas av sekretess om det kan antas att visst men eller viss skada kan uppstå.

Konfidentialitet medför inte automatiskt sekretess, även om det kan finnas en koppling. Sålunda ska de två begreppen (konfidentialitet och sekretess) hållas åtskilda. Det kan därför innebära att allmänna handlingar som är offentliga och som skulle lämnas ut till en enskild vid begäran om utlämnande av allmän handling trots detta inte bör ges den lägsta konsekvensnivån (”ingen eller försumbar”) när det gäller konfidentialitet.

Omständigheter att beakta vid klassning av sekretessreglerade uppgifter är vilken skada som kan uppstå om uppgifterna röjs för obehörig samt om det gått lång tid sedan uppgifterna sekretessbelades och det är kort tid kvar på den skyddstid för vilken sekretessen gäller. Sekretessreglerade uppgifter påverkar endast skyddsnivån konfidentialitet. Skyddsmålen för riktighet och tillgänglighet regleras inte i offentlighets- och sekretesslagen (2009:400).

Arkiv

Av arkivlagen (1990:782) framgår bland annat att i arkivvården ingår att myndigheten ska organisera arkivet så att rätten att ta del av allmänna handlingar underlättas samt skydda arkivet mot förstörelse, skada, tillgrepp och obehörig åtkomst. I skydd mot förstörelse ingår såväl krav på tillgänglighet men också att ingen obehörigen ändrar i en arkiverad handling. Kravet på skydd mot obehörig åtkomst tar sikte på skyddsmålet konfidentialitet. Arkivmaterial kan bestå av en mängd olika uppgifter vilket innebär att hela skalan av klassningsnivåer måste kunna tillämpas på de arkiverade informationstillgångarna vad gäller samtliga skyddsmål.

Krav på oavvislighet

Med oavvislighet menas att en uppgifts ursprung går att härleda t.ex. till en person, system eller organisation. Oavvislighet kan vara en del av ett krav kring riktighet, men det omvända förhållandet (att riktighet kräver oavvislighet) har inte samma samband/sammanhang.

Ofta klassas information med oavvislighetskrav i nivån måttlig eller betydande för samtliga säkerhetsaspekter utom tillgänglighet. För journalanteckningar som - om det inte är obehövligt eller finns något synnerligt hinder - ska signeras av den som är ansvarig för uppgiften klassas dessa uppgifter på nivån betydande eller allvarlig när det gäller konfidentialitet och riktighet.

För system som hanterar rättigheter (antingen i sitt eget system eller för andra system) måste det gå i efterhand att se vem som tilldelat vem vilken behörighet och/eller identitet samt att denna information inte ska gå att ändra i efterhand. Den sannolika klassificeringen för sådana system blir ofta betydande eller allvarlig när det gäller konfidentialitet och riktighet.

Bilaga 1 - SIS/MSB:s modell för klassificering av information (0040–09)

Modellen definierades av SIS/MSB maj 2009. I modellen klassificeras information utifrån de konsekvenser som oönskad påverkan på informationens kvalitet bedöms leda till. Konsekvenserna värderas i termer av oönskad påverkan på verksamheten eller annan part till följd av otillräcklig konfidentialitet, riktighet eller tillgänglighet. Om exempelvis organisationen lider allvarlig skada av att viktig information för verksamheten blir tillgänglig för obehöriga, ska informationen placeras i en klass med hög konsekvensnivå avseende konfidentialitet.

Tabell 1 - Definitioner och förklaringar av konsekvensnivåer enligt modell från SIS/MSB
Konsekvensnivå Definition Förklaring
Allvarlig Förlust av konfidentialitet, riktighet eller tillgänglighet hos information som innebär allvarlig eller katastrofal negativ påverkan på egen eller annan verksamhet och dess tillgångar, eller på enskild individ.

Med allvarlig/katastrofal negativ påverkan avses t ex förlust av konfidentialitet, riktighet eller tillgänglighet som för egen eller annan verksamhet kan:

  • orsaka en allvarlig begränsning i förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamheten inte kan fullgöra en eller flera av sina primära uppgifter;
  • resultera i omfattande skador på verksamhetens tillgångar;
  • resultera i stora ekonomiska förluster, eller
  • förorsakar allvarligt negativ påverkan på enskild individs rättigheter eller liv och hälsa.
Betydande Förlust av konfidentialitet, riktighet eller tillgänglighet hos information som innebär betydande negativ påverkan på egen eller annan verksamhet och dess tillgångar, eller på enskild individ.

Med betydande negativ påverkan avses t ex förlust av konfidentialitet, riktighet eller tillgänglighet som för egen eller annan verksamhet kan:

  • Orsaka en signifikant minskning i förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamhetens primära uppgifter kan fullföljas, men att effektiviteten är påtagligt reducerad;
  • resultera i betydande skador på verksamhetens tillgångar;
  • resultera i betydande ekonomiska förluster, eller
  • förorsakar betydande negativ påverkan på enskild individs rättigheter eller hälsa.
Måttlig Förlust av konfidentialitet, riktighet eller tillgänglighet hos information som innebär måttlig negativ påverkan på egen eller annan verksamhet och dess tillgångar, eller på enskild individ.

Med måttlig negativ påverkan avses t ex förlust av konfidentialitet, riktighet eller tillgänglighet som för egen eller annan verksamhet kan:

  • Orsaka en minskning i förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamhetens primära uppgifter kan fullföljas, men att effektiviteten är påvisbart reducerad;
  • resultera i mindre skador på verksamhetens tillgångar;
  • resultera i smärre ekonomiska förluster;
  • förorsaka begränsad negativ påverkan på enskild individs rättigheter eller hälsa.

Det bör noteras att konsekvenser som uppstår externt, utanför den egna organisationen (”annan verksamhet”) ska tas med vid bedömningen. Detta är särskilt aktuellt för information som är kritisk för olika typer av samhällsviktiga funktioner. I bedömningen ska också konsekvenser hos enskilda personer (den personliga integriteten) tas med, där olika sociala och ekonomiska konsekvenser ska beaktas.

 

  • Senast ändrad: 2024-01-11 15:39