Utformning av krav i KLASSA

En beskrivning av kontrollkatalogen samt lagrum.

Grundläggande krav

De grundläggande informations- och it-säkerhetskraven i KLASSA baserar sig på standarderna SS-ISO/IEC 27001:2017 och SS-ISO/IEC 27002:2017.

Kraven har utformats utifrån två perspektiv:

  • ÄR-krav, riktade mot den egna verksamheten och formulerade i presens, dvs att de beskriver ett önskat nuläge, exempelvis ”Användare är informerade om sitt ansvar”.
  • SKA-krav, tänkta att använda som upphandlingskrav, dvs en önskad kravuppfyllnad för en framtida leverans

KLASSA täcker inte hela ISO/IEC 27000 utan fokuserar på kravområdena i SS-ISO/IEC 27001 och SS-ISO/IEC 27002. SS-EN ISO/IEC 27002 innehåller åtgärder för att stärka och bibehålla informationssäkerheten i en organisation.

I KLASSAv4  har det definierats en kolumn med benämningen “hur”, där finns möjlighet för verksamheten att komplettera med information om hur respektive krav har implementerats hos den egna organisationen. Exempelvis i vår organisation så betyder autentisering på tillitsnivå 3 att vi ställer krav på autentiseringar med någon av följande e-legitimationer: SITHS eID, Freja eID plus, Skatteverkets e-legitimation eller BankID.

Kravkatalogerna har referenser till MSB:s föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7)

Hur KLASSA förhåller sig till lagrum

KLASSA förhåller sig till lagrum i huvudsak på tre sätt:

  1. Dels som något att ta hänsyn till när val av konsekvensnivåer genomförs. I stödmaterialet får du vägledning om hur olika lagrum kan påverka kraven på skyddsåtgärder.

  2. Dels via lagrumsfliken. Om informationstillgången innehåller information som faller under ett visst lagrum markeras det lagrummet och ett antal krav, specifika för det lagrummet faller ut i handlingsplanen.

  3. De lagrumskrav som träffas av kraven i ISO 27002 kopplas samman med respektive ISO 27002 krav i handlingsplanen.

Regulatoriska krav är sannolikt det som påverkar en informationstillgång mest vad gäller klassificeringen av den. I vägledningsmaterialet för val av konsekvensnivå får du vägledning om hur olika lagrum kan påverka på val av konsekvensnivå som i sin tur påverkar vilka förslag på skyddsåtgärder som rekommenderas.

Därutöver finns möjligheten att komplettera med krav som följer av:

  • Dataskyddsförordningen (GDPR)
    Dataskyddsförordningen gäller i princip för all automatiserad behandling av personuppgifter och i vissa fall även manuell behandling av personuppgifter. Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person.
  • Patientdatalagen (PDL), genom Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40)
    Patientdatalagen innehåller uppgifter om vem som är skyldig att föra journalhandlingar, vad en patientjournal ska innehålla och vilka rättigheter och skyldigheter patienter och sjukvården har rörande patientjournaler. Både privat och offentlig sjukvård omfattas av patientdatalagen.
  • Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (2018:1174) ("NIS-lagen"), genom MSB:s föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster (2018:8)  
    Tjänster som omfattas av NIS-direktivet delas in i samhällsviktiga tjänster och digitala tjänster. Samhällsviktiga tjänster är tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. De är indelade i sju sektorer: 
    • Bankverksamhet 
    • Digital infrastruktur 
    • Energi 
    • Finansmarknadsinfrastruktur 
    • Hälso- och sjukvård 
    • Leverans och distribution av dricksvatten 
    • Transport
  • Arkivlag (1990:782) 
    Arkivlagen säger att alla myndigheters arkiv skall bevaras, hållas ordnade och vårdas så att de tillgodoser: 
    1. rätten för medborgarna att ta del av allmänna handlingar, 
    2. behovet av information för rättskipningen och förvaltningen, och 
    3. forskningens behov. 
  • Offentlighets- och sekretesslag (2009:400) 
    Offentlighets- och sekretesslagen innehåller bestämmelser för hur myndigheter ska registrera, lämna ut och hantera allmänna handlingar. Här finns också regler om tystnadsplikt och förbud att lämna ut allmänna handlingar. 
  • Säkerhetsskyddslagen (2018:585)
    KLASSA har sedan starten avgränsat från säkerhetsskyddslagen (2018:585). Detta kan ändras framgent, men tills dess gäller att information som berörs av säkerhetsskyddslagstiftningen inte ska hanteras i KLASSA.

Krav som följer av lagrum

Det informationssäkerhetsrelaterade krav som följer av ett lagrum och som inte fångats av KLASSA grundläggande kravkataloger synliggörs genom dessa särskilda kravkataloger för respektive lagrum.

Det är också bra att vara medveten om att kraven från de lagrummen som tas upp kan ibland vara omfattande. Det är på grund av lagens krav, inte KLASSA, som kraven blir många. KLASSA lägger inte till något utöver det som finns i dessa lagrum.

Det är också viktigt att vara extra medveten om att även om en informationstillgång omfattas av ett specifikt lagrum (t.ex. dataskyddsförordningen) så är det inte säkert att alla kraven gäller. Då markerar man ”Ej relevant” för dessa krav när man tar ställning till kraven. Ett exempel på detta är kraven som handlar om samtycke som kanske inte tillämpas som det lagliga stödet för en personuppgiftsbehandling.

Kompletterande bedömningar måste ändå göras om vilka andra rutiner och skyddsåtgärder som måste vidtas.

I KLASSAv4 ingår krav utifrån OSL, PDL, Arkivlagen, GDPR, NIS och MSBFS 2018:8 föreskrifter (för NIS). Urvalet av lagrumskrav har främst skett med utgångspunkt i informationssäkerhetsrelaterade krav som återfinns i lagrummen.

Nyttjanderätt av SS-ISO/IEC 27001:2017 och SS-ISO/IEC 27002:2017

Det är viktigt att organisationen har rätt att använda standarderna SS-ISO/IEC 27001:2017 och SS-ISO/IEC 27002:2017 när du använder KLASSA. Sveriges kommuner och regioner (ej bolag) har tillgång till en sådan licens kostnadsfritt genom att ta kontakt med MSB, informationssakerhet@informationssakerhet.se. För övriga organisationer behöver man uppvisa att man innehar en licens för SS-ISO/IEC 27001:2017 och SS-ISO/IEC 27002:2017 att använda KLASSA. Notera att MSB endast hanterar frågor kring licensen för SS-ISO/IEC 27001:2017 och 27002:2017. Frågor relaterade till KLASSA hanteras av klassa@skr.se.

Det är viktigt att vara medveten om att KLASSA-krav inte är att anse som heltäckande eller uttömmande, eller på något sätt gör att man blir godkänd eller ”compliant” gentemot ett lagrum.

  • Senast ändrad: 2022-11-02 18:01