För att säkerställa samhällsviktiga funktioner under normala och ansträngda förhållanden krävs att viktig information och system skyddas så att de kan användas som det var tänkt, där och när de behövs. Systematiskt informations- och cybersäkerhetsarbete ger organisationen förutsättningar att upprätthålla rätt nivå av skydd över tid och förmåga att hantera uppkomna situationer.
Det handlar om att skydda information och de system som hanterar den. Arbetet omfattar att skydda viktig information och system för att
- obehöriga inte ska komma åt dem,
- de inte kan manipuleras och
- säkerställa att de kan användas som det är tänkt och är tillgängliga där och när de behövs.
Planeringsinriktningen för civil beredskap anger därför att det systematiska informations- och cybersäkerhetsarbetet behöver stärkas särskilt rörande den information och de system som krävs för att upprätthålla verksamheten. Organisatoriska, administrativa, fysiska och tekniska säkerhetsåtgärder behöver införas och löpande anpassas. Till exempel behövs organisation och rutiner för att säkerställa att system uppdateras och säkerhetsövervakas, samt för att åtgärda identifierade sårbarheter och incidenter.
Systematiskt informations- och cybersäkerhetsarbete
Genom att arbeta systematiskt med informationssäkerhet får organisationen en förmåga att anpassa skyddet utifrån aktuella förutsättningar.
Systematiskt informationssäkerhetsarbete i en organisation kännetecknas av:
- att det finns arbetssätt för att leda och styra informationssäkerhetsarbetet för hela organisationen
- att ansvar och mandat för det systematiska informationssäkerhetsarbetet är definierat
- att ägarskap för organisationens information har klarlagts
- att arbetet för informationssäkerhet är samordnat med övriga arbetssätt organisationen
- att informationen är klassad utifrån konfidentialitet, riktighet och tillgänglighet
- att risker identifieras och tillräckliga säkerhetsåtgärder införs för att skydda informationen
- att varje medarbetares kunskap, kompetens och medvetenhet om informationssäkerhet motsvarar vad arbetsuppgifterna kräver
- att arbetet anpassas efter nya hot och risker samt nyttjar nya möjligheter.
- att incidenter förebyggs och hanteras på ett effektivt sätt
- att hantering av incidenter övas
De arbetssätt som krävs för ett systematiskt informations- och cybersäkerhetsarbete finns i föreskrifterna om informationssäkerhet för statliga myndigheter (MSBFS 2020:06) som utgår ifrån standarden SS- ISO/IEC 27001 och SS- ISO/IEC 27002.
Läs mer i MSB:s metodstöd
Kontinuitet för information och system
I och med det försämrade säkerhetspolitiska läget behöver insatser göras för att säkerställa verksamheternas kontinuitet på alla konfliktnivåer. Vilken information och vilka system kan verksamheten inte kan klara sig utan. I första hand är målet förstås att säkerställa just tillgången till tillförlitlig information och fungerande system och i andra hand handlar det om att ha en plan B för att kunna bedriva verksamheten om information och system inte kan fungera som det var tänkt.
Det finns flera skäl till att planera och genomföra arbetet systematiskt. Alla statliga myndigheter har krav på sig att bedriva ett systematiskt informationssäkerhetsarbete, vilket innebär att en del av informationen redan är identifierad och skyddad. CISO, informationssäkerhetssamordnare och andra som arbetar med informationssäkerhet i myndigheten har också färdiga arbetssätt och metoder för att värdera, riskbedöma och skydda information och system. Om informationssäkerhetsarbetet inte har kommit så långt är det hög tid att öka takten på det för att kunna utnyttja goda exempel som finns att hämta där för att säkra också beredskapskraven.
Målet i det här avseendet kommer att handla om att säkerställa att arbetet med beredskap synkas med det pågående informationssäkerhetsarbetet så att de krav som beredskapen ställer på informationssäkerheten omhändertas och följs upp gemensamt.
Läs mer om föreskrifter om informationssäkerhet för statliga myndigheter
Gemensam planering och förberedelse
Beredskapsarbetet behöver synkas med informationssäkerhetsarbetet i olika tidsperspektiv. Alltifrån att de strategiska inriktningarna på de båda områdena påverkar varandra hela vägen ner till hur myndigheten ska agera om en samhällsstörande informationssäkerhetsincident inträffar.
- strategiskt-inriktande (år i förväg),
- systematiskt-förebyggande (år i förväg),
- förebyggande-åtgärder (månader i förväg),
- tidskritiska-åtgärder (dagar-timmar i förväg),
- akut-incidenthantering (minuter-timmar-dagar efter),
- incidenthantering-återställande (timmar-dagar-veckor-månader efter),
- reflekterande-lärande (veckor-månader efter)
Målet är att säkerställa att informationssäkerhetsarbetet fångar beredskapsperspektivet i alla tidsperspektiv.
Mäta nuläge och utveckling
För att ta reda på hur långt myndigheten har nått i implementeringen av sitt informationssäkerhetsarbete och vad som behöver utvecklas för att omhänderta kraven från beredskapsarbetet kan Infosäkkollen användas. Det finns en direkt koppling mellan nivåerna i planeringsinriktningen och resultaten i Infosäkkollen som kan ge en tydlig indikation på var myndigheten befinner sig i beredskapsutvecklingen. Många myndigheter genomförde Infosäkkollen redan 2021 och mätningen kommer att erbjudas igen under 2023.
Det finns också stöd för att genomföra en Mognadsdialog som hjälper ledning och inblandade roller i myndigheten att få en gemensam förståelse för arbetets status och identifiera en gemensam väg framåt.
Länk till Infosäkkollen
Länk till Mognadsdialogen