S3 – Beakta informationens skyddsvärde i hela kedjan

Från dpbl
Hoppa till: navigering, sök

E-delegationens beskrivning

Informationsägaren tillhandahåller information som ska förädlas och/eller exponeras i tjänster för medborgarna. Informationskedjan sträcker sig hela vägen från det att informationen skapas, via förmedling och förädling mellan olika aktörer till dess att informationen gallras ut och försvinner.

Tjänsteproducenten ska upprätta och upprätthålla nödvändiga skyddsnivåer, baserade på informationens skyddsvärde och fastställda av informationsägaren.

Informationens skyddsvärde ska baseras på gjord informationssäkerhetsklassning. Skyddsnivåerna ska utformas med hänsyn tagen till krav på konfidentialitet, riktighet, tillgänglighet och spårbarhet.

Kraven på skydd ska uppfyllas även hos eventuella underleverantörer.

Det kan vara nödvändigt med förnyad informationsklassning om nya kombinationer av information skapas vid digital samverkan. Skyddet ska bestå av en kombination av organisatoriska, tekniska och fysiska åtgärder, se nedan.

Motivering

Skyddsvärdet måste beaktas i hela kedjan för att säkerställa att informationen inte kommer i orätta händer eller att den förvanskas på vägen. Uppfylls inte detta kan det leda till svåra konsekvenser för den enskilde eller för de aktörer som direkt berörs av informationen. Det kan också innebära att den aktör som ska tillhandahålla informationen väljer att inte längre göra det och påverkar också tilliten negativt mellan de aktörer som berörs.

Konsekvens

Informationsägarens ansvar är att se till att hela informationskedjan förblir säkerhetsmässigt intakt, denne måste därför analysera vilka svaga delar som kan finnas och vilka skyddsåtgärder som krävs.

Organisatoriskt skydd innefattar bl.a. roller och ansvar, policys, rutiner och instruktioner. Varje organisation som ansvarar för en del av informationskedjan måste säkerställa att roller och ansvar tydliggörs, samt att nödvändiga rutiner och instruktioner finns för att organisationens medarbetare ska kunna fullgöra sitt ansvar.

Tekniskt skydd innefattar bl.a. behörighetssystem, identifiering, signering, loggning och spårning. Producerande aktörer måste säkerställa att loggning görs samt att mottagande aktörer har rätt behörighet att ta emot informationen. Detta behöver också fastställas i en överenskommelse. Ansvaret för behörighetskontroll på individnivå ligger däremot vanligtvis på den mottagande aktören, dvs. den part som begär åtkomst har ansvar för att administrera behörigheten för sina användare. Varje aktör har ansvar för att upprätthålla informationens skyddsvärde inom den egna organisationen.

För tjänster mot medborgare ska Svensk e-legitimation[1] tillämpas som grundalternativ för identifiering och signering.

Fysiskt skydd innefattar bl.a. skalskydd och kryptering, vilka ska utformas utgående från gjord informationssäkerhetsklassning. Kryptering ska övervägas vid kommunikation över Internet, i databaser och av mobila enheter.

Användning av det säkra myndighetsnätverket SGSI (Swedish Government Secure Intranet) bör övervägas.

I dPBL vill vi...

Attention niels epting .png   Sidan är under uppbyggnad och dess innehåll är inte fullständigt.



=> Tillbaks till Principer för digital samverkan
=> Till första sidan om E-delegationen

Kugghjul.png Fotnot
  1. Svensk e-legitimation är en identitetsfederation baserad på intygshantering och har olika nivåer för identifiering


Lägg till din kommentar
dpbl välkomnar alla kommentarer. Om du inte vill vara anonym kan du registrera eller logga in. Det är gratis.