MSBFS 2020:6
Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter;
beslutade den 1 september 2020.
Myndigheten för samhällsskydd och beredskap föreskriver följande med stöd av 21 § förordningen (2015:1052)1 om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap och beslutar följande allmänna råd2.
Tillämpningsområde
1 §
Dessa föreskrifter innehåller bestämmelser om sådana säkerhetskrav som avses i 19 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.
2 §
Om en annan författning innehåller en bestämmelse som ställer högre krav än kraven i dessa föreskrifter tillämpas den bestämmelsen.
Begreppsförklaring
3 §
I dessa föreskrifter avses med
- behandling
- En åtgärd eller kombination av åtgärder beträffande information, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
- gapanalys
- Identifiering av skillnaden mellan införda säkerhetsåtgärder och identifierat behov av säkerhetsåtgärder.
- informationssäkerhet
- Bevarande av konfidentialitet, riktighet och tillgänglighet hos information.
- ledningssystem för informationssäkerhet
- Del av myndighetens övergripande ledningssystem, baserat på en metodik för verksamhetsrisk, som syftar till att upprätta, införa, driva, övervaka, granska, underhålla och utveckla organisationens informationssäkerhet.
Systematiskt och riskbaserat informationssäkerhetsarbete
4 §
Myndigheten ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av standarderna SS-EN ISO/IEC 27001:2017 Informationsteknik - Säkerhetstekniker - Ledningssystem för informationssäkerhet - Krav och SS-EN ISO/IEC 27002:2017 Informationsteknik - Säkerhetstekniker - Riktlinjer för informationssäkerhetsåtgärder eller motsvarande.
Allmänna råd till 4 §
Om myndigheten väljer att använda en annan standard bör myndigheten analysera och dokumentera de likheter och skillnader som finns mellan ISO-standarden och vald standard för att säkerställa att vald standard ger tillräckligt stöd i det systematiska och riskbaserade informationssäkerhetsarbetet.
Hur informationssäkerhetsarbetet ska utformas
5 §
Informationssäkerhetsarbetet ska utformas utifrån de risker och behov myndigheten identifierar. Det ska omfatta all behandling av information som myndigheten ansvarar för och integreras med myndighetens befintliga sätt att leda och styra sin organisation.
När myndigheten utformar informationssäkerhetsarbetet ska den
- säkerställa att det finns en informationssäkerhetspolicy där ledningens målsättning med och inriktning för informationssäkerhetsarbetet framgår,
- tydliggöra myndighetsledningens och den övriga organisationens ansvar, inklusive den eller de som utses att leda och samordna informationssäkerhetsarbetet, och ge dessa befattningar de befogenheter som behövs,
- säkerställa att informationssäkerhetsarbetet tilldelas nödvändiga resurser,
- upprätta de interna regler, arbetssätt och stöd som behövs, och
- säkerställa att innehållet i myndighetens interna regler, arbetssätt och stöd utvärderas samt vid behov anpassas.
Utformningen av informationssäkerhetsarbetet ska dokumenteras.
Allmänna råd till 5 §
Myndigheten bör tydliggöra vilka befattningar som är ansvariga för att säkerställa att information skyddas på avsett sätt (informationsägare).
Den eller de som utses att leda och samordna informationssäkerhetsarbetet bör ges en oberoende, kravställande och granskande roll.
Myndigheten bör utvärdera hur interna regler, arbetssätt och stöd svarar mot identifierade risker och behov. Utvärdering bör ske regelbundet och vid behov, såsom i samband med verksamhetsuppföljning, omorganisation, förändrade rättsliga krav och inför beslut att låta myndighetens information behandlas av en annan statlig myndighet eller en extern aktör.
Utvärderingen bör ske genom interna kontroller, granskningar, interna och externa revisioner eller motsvarande. Interna regler och arbetssätt bör tydliggöra hur och när utvärdering ska ske.
Hur informationssäkerhetsarbetet ska bedrivas
6 §
Myndigheten ska säkerställa att informationssäkerhetsarbetet är systematiskt och riskbaserat genom att
- klassa sin information avseende konfidentialitet, riktighet och tillgänglighet i olika nivåer utifrån vilka konsekvenser ett bristande skydd kan få (informationsklassning),
- identifiera, analysera och värdera risker för sin information (riskbedömning),
- utifrån genomförd informationsklassning och riskbedömning identifiera behov av och införa ändamålsenliga och proportionella säkerhetsåtgärder, och
- utvärdera säkerhetsåtgärderna och vid behov anpassa skyddet av informationen. I arbetet ingår att genomföra en gapanalys.
Informationssäkerhetsarbetet och införda säkerhetsåtgärder ska dokumenteras.
Allmänna råd till 6 §
Myndigheten bör som stöd för arbetet med informationsklassning och riskbedömning fastställa
- vilka befattningar som ansvarar för att informationsklassning och riskbedömning genomförs,
- när och i vilka situationer informationsklassning och riskbedömning ska genomföras, och
- kriterier och nivåer för bedömning av konsekvens.
Myndigheten bör använda samma kriterier och nivåer för bedömning av konsekvens vid informationsklassning och riskbedömning. Kriterierna och nivåerna bör utformas så att bedömningarna ger resultat som kan jämföras över tid.
Myndighetens behov av spårbarhet samt autenticitet hos informationen liksom informationens behov av bevarande över tid bör beaktas vid informationsklassning.
Myndigheten bör bedöma vilka risker det medför när information som myndigheten ansvarar för ackumuleras eller aggregeras.
Vid val av ändamålsenliga och proportionella säkerhetsåtgärder bör myndigheten kombinera organisatoriska, administrativa, fysiska och tekniska åtgärder.
För att underlätta informationssäkerhetsarbetet bör myndigheten gruppera beslutade säkerhetsåtgärder i skyddsnivåer och koppla dem till informationsklassningens konsekvensnivåer. Förmågan att med beslutade skyddsåtgärder upprätthålla tillräckligt skydd på respektive skyddsnivå bör regelbundet utvärderas och vid behov utvecklas och anpassas.
När annan statlig myndighet eller en extern aktör behandlar myndighetens information
7 §
I de fall myndigheten överlåter åt en annan statlig myndighet att fullgöra uppgifter som regleras i dessa föreskrifter ska myndigheterna komma överens om och dokumentera vad respektive myndighet ansvarar för samt hantera de risker överlåtelsen innebär.
Myndighetens ansvar för att klassa sin information enligt 6 § p.1 kan inte överlåtas.
8 §
Myndigheten ska, innan den låter en extern aktör behandla information, utifrån informationsklassning och riskbedömning, hantera de risker en sådan behandling innebär. Myndigheten ska i avtal ställa krav på vilka säkerhetsåtgärder den externa aktören ska vidta och hur myndigheten följer upp dessa krav.
Allmänna råd till 8 §
Avtalet mellan myndigheten och den externa aktören bör reglera
- att den externa aktören ska ha tillräcklig kompetens avseende informationssäkerhet,
- hur den externa aktören ska överlämna information till myndigheten om misstänkta eller inträffade incidenter, avvikelser och sårbarheter,
- hur den externa aktören ska följa upp sitt egna och eventuella underleverantörers systematiska och riskbaserade informationssäkerhetsarbete, och
- hur myndighetens information ska återlämnas när avtalet upphör.
Säkerhetsåtgärder avseende behandling av information
Åtgärder för att säkerställa att personal behandlar information på ett säkert sätt
9 §
Myndigheten ska
- anpassa bakgrundskontroller av egen och inhyrd personal utifrån vilken information personalen ska få åtkomst till,
- hålla egen och inhyrd personal informerad om relevanta interna regler, arbetssätt och stöd,
- utvärdera att interna regler, arbetssätt och stöd används på avsett sätt,
- säkerställa att egen och inhyrd personal med utpekade roller i informationssäkerhetsarbetet har tillräcklig kompetens för att kunna utföra sina arbetsuppgifter, och
- utveckla och upprätthålla kompetens hos egen personal avseende informationssäkerhet genom utbildning, informationsinsatser och övning.
Allmänna råd till 9 §
Bakgrundskontroller bör ske genom intervju, kontakt med referenser samt verifiering av akademiska, yrkesmässiga och övriga kvalifikationer.
Åtgärder för att försvåra obehörig tillgång till information i myndighetens lokaler
10 §
Myndigheten ska identifiera och hantera behovet av
- skalskydd och tillträdesbegränsning för sina lokaler,
- tekniska system för att larma vid obehörigt tillträde till sina lokaler, och
- att dela in sina lokaler i fysiskt separerade zoner.
Åtgärder för att hantera incidenter och avvikelser
11 §
Myndigheten ska ha förmåga att
- skyndsamt upptäcka och bedöma incidenter och avvikelser,
- återställa manipulerad eller förlorad information, och
- bedöma om inträffad incident ska rapporteras externt.
12 §
Om en incident eller avvikelse inträffat ska myndigheten identifiera grundorsaker till incidenten eller avvikelsen och vidta åtgärder för att motverka att liknande incidenter och avvikelser inträffar på nytt.
Allmänna råd till 11–12 §§
Inträffade incidenter och avvikelser bör föranleda översyn av det systematiska och riskbaserade informationssäkerhetsarbetet inklusive införda säkerhetsåtgärder. I syfte att utveckla skyddet av information bör den eller de som utsetts att leda och samordna informationssäkerhetsarbetet hos myndigheten ha åtkomst till information om inträffade incidenter och avvikelser.
Åtgärder för att upprätthålla kontinuitet under incidenter och kriser
13 §
Myndigheten ska,
- identifiera och hantera behovet av kontinuitet för behandling av information, och
- öva förmåga att upprätthålla identifierat behov av kontinuitet.
Allmänna råd till 13 §
Myndigheten bör i sitt kontinuitetsarbete
- omhänderta tillgänglighetskraven från genomförd informationsklassning,
- identifiera myndighetens behov av uthållighet över tid,
- beakta behovet av att tillämpa alternativa arbetssätt, och
- tydliggöra hur beslut om att tillämpa alternativa arbetssätt respektive beslut om att återgå till normal verksamhet fattas.
Kontinuitetsarbetet bör utvärderas
- efter genomförda övningar,
- vid organisationsförändringar,
- när information överlämnas till annan statlig myndighet eller extern aktör,
- vid förändring av rättslig reglering eller verksamhetskrav, och
- om brister upptäcks i samband med att alternativa arbetssätt används.
Uppföljning av informationssäkerhetsarbetet
14 §
Myndigheten ska minst en gång per år följa upp att informationssäkerhetsarbetet svarar mot myndighetsledningens målsättning och inriktning, genom att sammanställa och analysera resultatet av genomförda
- utvärderingar av interna regler, arbetssätt och stöd enligt 5 § p. 5,
- informationsklassningar enligt 6 § p. 1,
- riskbedömningar enligt 6 § p. 2,
- utvärderingar av säkerhetsåtgärder enligt 6 § p. 4, och
- utvärderingar av att interna regler, arbetssätt och stöd används på avsett sätt enligt 9 § p. 3.
Allmänna råd till 14 §
Uppföljningen av myndighetens informationssäkerhetsarbete bör hållas samman av den eller de som utsetts att leda och samordna informationssäkerhetsarbetet vid myndigheten.
15 §
Myndighetsledningen ska informera sig om
- i vilken utsträckning införda säkerhetsåtgärder motsvarar myndighetens behov,
- allvarliga risker som inte åtgärdats, och
- övriga hinder för att uppnå ledningens målsättning med och inriktning för informationssäkerhetsarbetet.
Allmänna råd till 15 §
Bedömningen av övriga hinder bör inkludera brister avseende tilldelning av ansvar, resurser, mandat och befogenheter samt brister avseende interna regler och arbetssätt.
Undantag
16 §
Myndigheten för samhällsskydd och beredskap får i enskilda fall och om det finns särskilda skäl medge undantag från tillämpningen av dessa föreskrifter.