Klassningsmodell

Vad är informationsklassning?

Informationsklassning innebär att man på ett enhetligt sätt värderar organisationens information utifrån vilka konsekvenser ett otillräckligt skydd skulle kunna få (se Använda Klassning av information).

Vad är en klassningsmodell?

En klassningsmodell består av en klassningsmatris och stödmaterial för att kunna genomföra informationsklassning.

Klassningsmodellen används för att värdera organisationens information på ett enhetligt sätt utifrån aspekterna konfidentialitet, riktighet och tillgänglighet. Värderingen av information görs utifrån vilka konsekvenser otillräckligt skydd av informationen skulle kunna få för organisationen.  

Klassningsmodellen hjälper organisationen att värdera sin information så att de kan välja tillräckliga säkerhetsåtgärder så att informationen inte får ett för lågt skydd. Värderingen bidrar också till att information inte överskyddas, vilket kan bli både kostsamt och göra hanteringen av informationen onödigt krånglig. Värderingen görs utifrån ett antal konsekvensnivåer och aspekterna konfidentialitet, riktighet och tillgänglighet.

I standarden SS-EN ISO/IEC 27000:2020 definieras dessa begrepp:

• Konfidentialitet: egenskap som innebär att information inte tillgängliggörs eller avslöjas för obehöriga individer, objekt eller processer (Svensk ANM. I Terminologi för informationssäkerhet (SIS-TR 50) definieras ”konfidentialitet” som ’skydd mot obehörig insyn’).
• Riktighet: egenskap som innebär att vara korrekt och fullständig (Svensk ANM. Enligt svensk terminologi för informationssäkerhet (SIS-TR 50) definieras ”riktighet” som ’skydd mot oönskad förändring’).
• Tillgänglighet: egenskapen att vara åtkomlig och användbar på begäran av ett behörigt objekt (Svensk ANM. I Terminologi för informationssäkerhet (SIS-TR 50) definieras ”tillgänglighet” som ’åtkomst för behörig person vid rätt tillfälle’).

Den klassningsmodell som organisationen tar fram används i första hand av dem med ett utpekat ansvar för en viss verksamhet och den information som hanteras där. Ansvariga roller är exempelvis verksamhets­ansvariga, processägare, objektägare (information och it-system) och projektägare. Dessa ansvarar alla för att den information som hanteras i respektive verksamhet har tillräckligt skydd. Däremot är det inte så att det bara är dessa roller som ansvarar för att informationen hanteras korrekt. Alla, även medarbetare utan utpekat ansvar för information, behöver följa de regelverk som finns för hur information ska hanteras och kan också komma att behöva klassa information med hjälp av organisationens klassningsmodell.

Hur används resultatet från klassningen?

Informationsklassningen, som görs utifrån organisationens klassningsmodell, ska bidra till att informationen skyddas så att endast behöriga personer och system får ta del av informationen (krav på konfidentialitet), att vi kan lita på att den inte är manipulerad eller felaktigt förändrad (krav på riktighet) och att den finns när behöriga efterfrågar den (krav på tillgänglighet).

Behovet av skydd för informationen uppfylls sedan genom att man inför säkerhetsåtgärder. Valet av säkerhetsåtgärder utgår från klassningsresultatet och de risker man identifierat i riskbedömningen. För att få en effektiv förvaltning kan man koppla säkerhetsåtgärder till klassningsmatrisens konsekvensnivåer och därmed skapa så kallade skyddsnivåer. Detta beskrivs i vägledningarna Utforma Välj säkerhetsåtgärder och skapa skyddsnivåer och Använda Klassning av information.

Ingångsvärden

Om organisationen har en modell för att bedöma risker med kriterier och nivåer utgå från dessa. Om modellen för riskbedömning behöver utvecklas eller inte finns, tar du utgångspunkt i de analyser som gjorts i analysfasen för att identifiera kriterier och nivåer för att klassa er information. Det finns ett stort värde i att ha överensstämmelse i kriterier och nivåer mellan organisationens modeller för risk och informationsklassning. Om de inte stämmer överens så bör du arbeta för att de ska göra det så långt som det är möjligt.

Om det finns modeller för att klassa inom andra områden i organisationen, till exempel arkiv och säkerhetsskydd, behöver ni se till att er modell och era arbetssätt gällande informationsklassning kan hantera detta. Kontakta dem i din organisation som ansvarar för dessa modeller och bjud in dem till att delta i utvecklingen av klassningsmodellen och att samverka kring era respektive områden. 

Särskilt om klassning och säkerhetsskyddslagen

Säkerhetsskyddslagen gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige internationellt åtagande om säkerhetsskydd, i lagtexten benämnda som säkerhetskänslig verksamhet. Lagen ställer krav på att den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd och göra en säkerhetsskyddsanalys. Verksamhetsutövare som lyder under säkerhetsskyddslagen ska klassificera information i enlighet med de fastställda nivåerna i säkerhetsskyddslagen.

Mer information om säkerhetsskyddslagen och aktuella föreskrifter och vägledningar finner du på Försvarsmaktens och Säkerhetspolisens hemsidor.

Utformning av klassningsmodellen

Det är viktigt att klassningsmodellen utformas på ett sätt som uppfyller organisationens behov, men också så att den är enkel att använda. Den tid du lägger på att utforma modellen får du igen senare i hela det systematiska informationssäkerhetsarbetet.

Det du behöver ta fram är:

• Kriterier indelade i för organisationen lämpligt antal konsekvensnivåer som bedömningen ska ske utifrån.
• En klassningsmatris med konsekvensnivåer (rader) och aspekterna konfidentialitet, riktighet och tillgänglighet (kolumner).
• Stödmaterial som hjälper organisationen att använda klassningsmodellen och genomföra klassning av information.

Börja med att identifiera förutsättningar som påverkar utformningen av er klassningsmodell

Om din organisation har en modell för att bedöma risker med fastställda konsekvenskategorier och nivåer bör du i första hand utgå från dessa när du skapar klassningsmodellen. Om organisationen saknar en modell för bedömning av risk att utgå från behöver ni ta fram konsekvenskategorier och nivåer för klassningen. Samverka gärna med ansvarig för organisationens riskhantering, om en sådan finns, för att utforma modellerna så att de överensstämmer med varandra avseende kriterier och nivåer.

För att skapa kriterier och nivåer, börja med att samla ihop vad du vet om verksamhetens behov utifrån de analyser som gjorts så som omvärldsanalys, verksamhetsanalys, riskanalys (se Identifiera och analysera) och säkerhetsskyddsanalys.

Nedan beskriver vi hur du tar fram konsekvenskategorier, nivåer och  skapar din klassningsmodell.

Definiera konsekvenskategorier

När du definierar konsekvenskategorier utgår du från värden som är viktiga för din organisation att upprätthålla eller undvika. Vilka kategorier som är viktiga i din organisation kan du till exempel finna i visionsdokument, verksamhetsidéer och värdegrunder. Utgå också från de externa och interna krav som finns på din organisation och som du identifierade i analysfasen (se Identifiera och analysera Verksamhetsanalys, Omvärldsanalys).

Nedan finner du några exempel på sådana konsekvenskategorier:

• Ekonomisk förlust (exempelvis: minskade intäkter, ökade kostnader, skada på tillgångar)
• Negativ påverkan på, eller avbrott i, verksamheten
• Överträdelse/bristande efterlevnad av rättsliga krav
• Skadat varumärke/minskat förtroende
• Skada på annan organisation/omgivande samhället
• Personskada
• Miljöskada

Kategorierna ovan ska ses som exempel och inte en fullständig lista.

Konsekvenskategorierna kan ha beroenden till varandra, till exempel kan minskat förtroende leda till minskade intäkter och därmed ekonomisk förlust. Det går att skapa kategorier på olika sätt, det viktiga är att de är relevanta för den egna organisationen och att de är tydligt formulerade.

Förutom organisationens egen värdering behöver ni också titta på vilka rättsliga krav samt andra externa och interna krav som organisationen omfattas av utifrån vilka konsekvenser de kan få för er (se Identifiera och analysera Verksamhetsanalys, Omvärldsanalys). Till exempel kan det finnas rättsliga och externa krav på att viss typ av information ska skyddas särskilt och/eller skadestånd kopplat till undermåligt skydd. Om ni har avtal med externa parter som ställer krav på att viss information ska skyddas på ett visst sätt behöver det också vägas in. De interna kraven kommer från verksamheten, exempelvis från bedömningar av hur kritisk viss verksamhet är och därmed den information som behövs där (se Identifiera och analysera Verksamhetsanalys).

Definiera konsekvenskriterier

För varje konsekvenskategori behöver ni hitta tydliga kriterier för er organisation. Till exempel kan det i en organisation vara helt oacceptabelt med en ekonomisk förlust på över 2 miljoner kronor, eller en avvikelse på över 20% av budget. Då blir detta den högsta nivån.

På samma sätt definierar du för varje konsekvenskategori vad som är en nivå som är acceptabel. Till exempel kan en förlust på upp till 100 000 kronor eller 5% av budget (vilket skulle kunna vara den summa som får beslutas av första linjens chef) vara acceptabelt.

Vad gör skillnad mellan det lägsta och det högsta värdet i organisationen? Se om du kan hitta mönster som kan hjälpa dig att avgöra lämpliga nivåindelningar. Till exempel gällande ekonomisk förlust: mellan 100 000 och 500 000 kronor eller 10% av budget (vilket skulle kunna vara den summa som får beslutas av andra linjens chef) utgör den näst lägsta nivån. Om den högsta nivån då är 2 miljoner kronor och uppåt eller 20% av budget så förstår man att det behövs någon eller några nivåer däremellan för att få en bra gradering. Till exempel skulle fyra nivåer kunna vara lämpligt gällande ekonomisk förlust men för att veta om fyra nivåer är lagom för er matris behöver du titta vidare på alla konsekvenskategorier och hitta mönster i dem. I andra konsekvenskategorier kanske du kommer fram till fler eller färre nivåer.

Välj och harmonisera konsekvensnivåer

Er klassningsmodell ska innehålla ett lämpligt antal konsekvensnivåer. För få nivåer gör det svårt att få en tillräckligt nyanserad bild, men för många nivåer gör klassningen onödigt komplicerad.

Utgå från de kriterier och nivåer ni har hittat i de olika konsekvenskategorierna. Har ni lika många nivåer för alla så har ni troligen hittat konsekvensnivåerna för er matris. Om ni däremot har olika många nivåer behöver ni harmonisera antalet genom att justera konsekvenskriterierna i de olika kategorierna till ni hittar det antal nivåer som passar i er organisation.

Innan ni fastställer era konsekvensnivåer behöver ni också kontrollera att rättsliga krav och krav från externa aktörer inte tappats bort.

När ni har fastställt ett lämpligt antal nivåer för organisationen behöver, ger ni nivåerna lämpliga namn, nummer och/eller färger, till exempel försumbar, måttlig, betydande och allvarlig eller 1, 2, 3 och 4 eller grön, gul, orange, röd.

Nedan visas ett exempel på tre olika konsekvenskategorier och fyra olika nivåer för bedömning av risk, hämtat ur metodstödets del Identifiera och analysera Riskanalys. 

Utvärdera kriterier och nivåer

Nu har ni tagit fram ett antal konsekvenskategorier, kriterier och nivåer. För att se att de fungerar för att värdera informationen i er organisation behöver ni utvärdera. Är det lagom många nivåer för er information? Är konsekvenskategorierna begripliga?

Detta bör ske i samverkan med personer som kan identifiera och värdera olika typer av konsekvenser som brister i, eller förlust av, konfidentialitet, riktighet och tillgänglighet kan medföra. Representanter från organisationens olika verksamheter bör delta i utvärderingen.

Utvärderingen kan göras på olika sätt. Nedan beskriver vi hur arbetet kan göras under en workshop.

Workshopen kan lämpligen ledas av dig som är CISO, eller motsvarande. Förbered gärna diskussionsfrågor, till exempel

• Vad hanterar vi för information?
• Hur klarar vi oss om vi inte kommer åt den här informationen, om vi inte kan lita på att den här informationen är korrekt, eller om någon obehörig fått tillgång till den?
• Är kategorierna och nivåerna tillräckliga för den information vi hanterar?

Från Verksamhetsanalysen kan ni hämta uppgifter om vilken information ni hanterar, exempelvis personuppgifter, kunduppgifter, ekonomisk data, journaler eller olika rapporter. Där kan ni också hämta uppgifter om vilka krav verksamheten har på informationen.

När ni testar modellen utgå ifrån olika informationstyper och informationsmängder (se Använda: Klassning av information för definitioner) och utvärdera hur konsekvenskategorier, kriterier och nivåer fungerar för den information ni hanterar.

För varje informationsmängd som ni använder för att testa modellen, fråga er vad skulle hända om:

• Om obehörig kommer åt informationen?
• Om informationen är felaktig?
• Om informationen inte är tillgänglig?

När ni testat matrisen utvärderar ni vad ni kommit fram till och hur klassningsmatrisen fungerade för verksamhetens behov. Om det visar sig att flera informationsmängder hamnar ”mellan” nivåer behöver nivåerna justeras utifrån det, om någon nivå inte används alls kan den kanske tas bort (och övriga kanske döpas om), om väldigt mycket information hamnar på samma nivå kanske den behöver delas upp i flera nivåer. Under utvärderingen kan ni också identifiera information som med fördel kan klassas organisationsgemensamt (se Använda Klassning av information).

Dokumentera er klassningsmatris

När ni utvärderat och kommit fram till att de konsekvenskategorier, nivåer och kriterier ni valt är lämpliga för den information er organisation hanterar så ska ni dokumentera dessa i en klassningsmatris. Er klassningsmatris kan skapas i Verktyget Utforma Klassningsmodell.

Eftersom en klassningsmatris kan utformas på olika sätt har vi tagit fram flera olika exempel som presenteras nedan. Det är viktigt att dessa matriser ses som just exempel. Ni ska alltid utforma er egen matris utifrån de interna och externa krav som finns på er organisations information så att den fungerar i er verksamhet.

Nivån med den särskilda hanteringen för säkerhetsskyddsklassificerade uppgifter som vi lagt längst upp i denna matris kan naturligtvis adderas till vilken annan matris som helst. Nivån används under informationsklassning när man stöter på information som man är osäker på om den berörs av säkerhetsskyddslagstiftningen. Det blir en tydlighet i att man ska kontakta säkerhetsskyddschefen för vidare utredning och hantering. I samarbete med säkerhetsskyddschefen kan man även intregrera klassning som görs utifrån säkerhetsskyddet i matrisen.

Utforma stödmaterial

För att klassningsmodellen ska få effekt behöver den också användas i organisationen. Stödmaterialet underlättar för organisationens medarbetare att använda den framtagna matrisen och klassa sin information.

Vad som behövs för att genomföra klassning

För att kunna klassa information behöver man förstå varför klassning ska genomföras, vad klassning innebär, vem som ska genomföra den och hur den ska genomföras.

Vad som behövs för att klassa information:   

• Klassningsmatrisen och beskrivningar av innebörden av konsekvensnivåerna.
• Instruktioner för hur klassningen genomförs.

Förutom den klassningmatris som ni utformat behöver ni stödmaterial i form av instruktioner och mallar. I stödmaterialet behöver också framgå hur märkning av klassad information ska göras, och en sammanställning av organisationsgemensamt klassad information (om sådan har gjorts, se Använda Klassning av information).  Om ni använder er av skyddsnivåer behövs också en beskrivning av kopplingen mellan klassningsmodellen och skyddsnivåerna (se Utforma Välj säkerhetsåtgärder och skapa skyddsnivåer).

Beslut och införande av klassningsmodellen

Eftersom klassningsmodellen har en central roll i det systematiska informationssäkerhetsarbetet och påverkar hela organisationen bör den beslutas och finnas med i de interna regelverken (se Utforma Styrdokument).

I styrdokumenten bör det framgå:

• Att all information ska klassas (informationssäkerhetspolicy).
• Vem som ansvarar för att klassning sker (riktlinjer, ansvar och roller).
• Hur och när klassning ska genomföras (klassningsmodellen och tillhörande stödmaterial).

När modellen är beslutad behöver den införas i organisationen och kommer då att påverka informationssäkerhetsarbetet i stort. Ni kan exempelvis behöva se över befintligt utbildningsmaterial och ta fram utbildningsmaterial för de målgrupper som behöver känna till mer om klassning, till exempel de som ansvarar för att information klassas, de som genomför informationsklassningen och de som deltar i klassningsarbetet.

Om du som CISO får stöd av andra personer med att klassa informationen hos olika verksamheter behöver du ägna tid åt att utbilda dem. Som en del av utbildningen kan de vara med när du genomför klassningar och du kan vara med eller finnas tillgänglig för frågor om de behöver stöd de första gångerna de själva genomför klassning med verksamheten.

Lägg upp en plan för hur du ska utvärdera att modellen och stödet fungerar. Be de som hjälper dig med det operativa klassningsarbetet att dokumentera svårigheter de upplever när de stödjer verksamheten med klassning. Låt dem bidra med förbättringar. Var lyhörd.