Så säger lagen om informationssäkerheten

Vem är det som säger att vi måste lägga en massa tid och pengar på informationssäkerhet? Den som svänger sig med kanslisvenska skulle svara “fisken”. Här följer en kort genomgång för alla oss andra.

“Fisken” är byråkratslang för förordning (2007:603) om intern styrning och kontroll och det är där resan genom regeltexterna tar sin början: från denna förordning beslutad av regeringen via MSB:s mer detaljerade föreskrifter fram till egna regler, riktlinjer och principer som universitetet sedan formulerar anpassade till sin verksamhet.

“Fisken” är en kort förordning på bara sju paragrafer, men den kräver bland annat att alla förvaltningsmyndigheter ska göra riskanalyser och därefter vidta åtgärder “som är nödvändiga för att myndigheten med rimlig säkerhet ska kunna fullgöra sina uppgifter”.

I en revisionsrapport från 2012 konstaterar sedan Riksrevisionen att “intern styrning och kontroll förutsätter god informationssäkerhet”. De slår också fast att intern styrning och kontroll å ena sidan, och informationssäkerhet å den andra, står i ett ömsesidigt beroende till varandra.

Det är de breda penseldragen. Hur det här ska ske är därefter beskrivet på detaljnivå i ett paket av föreskrifter från Myndigheten för samhällsskydd och beredskap (MSB):

  • Föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6)
  • Föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7)
  • Föreskrifter om rapportering av IT-incidenter för statliga myndigheter (MSBFS 2020:8)

I den förstnämnda slås exempelvis fast att myndighetens informationssäkerhetsarbete ska vara “systematiskt och riskbaserat” och att det ska följa vissa ISO-standarder. Det är också därifrån kraven om informationsklassning kommer, det vill säga att vår information ska sorteras “avseende konfidentialitet, riktighet och tillgänglighet i olika nivåer utifrån vilka konsekvenser ett bristande skydd kan få”. Där står det också att det krävs en informationssäkerhetspolicy och att informationssäkerhetsarbetet måste tilldelas nödvändiga resurser. Detta arbetssätt är gängse och etablerat i andra sektorer i samhället även utan lagkrav från MSB.

Föreskrifter om säkerhetsåtgärder i informationssystem innehåller mycket konkreta krav och riktlinjer från MSB, för hur vi ska hantera IT-miljöer. Här finns skrivningar om exempelvis kryptering, säkerhetskopiering och hur nätverkstrafiken ska filtreras.

Av föreskrifterna om rapportering av IT-incidenter framgår bland annat att myndigheten senast sex timmar från det att man upptäckt en IT-incident, som omfattas av rapporteringsskyldighet, måste höra av sig till MSB och kort beskriva vad som hänt. Där finns förstås också kriterier för vilka incidenter som omfattas.

MSB:s föreskrifter och ISO-standarderna talar om vilket arbete som måste göras och hur det ska göras, men det finns också andra lagar som ställer direkta eller indirekta krav på att universitetet har ett fungerande arbetssätt för informationssäkerhetsområdet och ett sätta att bedöma och hantera risker kopplade till information och data, till exempel dataskyddsförordningen, säkerhetsskyddslagen, offentlighets- och sekretesslagen samt arkivlagen.

Utöver dem tillkommer 20-talet andra lagrum.

oktober 11, 2021

Inlägget postades i

Okategoriserade

Write a comment

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *