Myndigheternas informationssäkerhet

Informationssäkerhet och ett systematiskt informationssäkerhets- arbete är grunden för att kunna avgöra vilken typ av uppgifter som hanteras i verksamheten och vilket skydd som uppgiftshanteringen kräver. Begreppet informationssäkerhet definieras som bevarande av konfidentialitet, riktighet och tillgänglighet hos information. Med

konfidentialitet aves att endast behöriga personer kan ta del av infor-

mationen, med riktighet menas att man kan lita på att informationen är korrekt och inte manipulerad och med tillgänglighet avses att informationen finns tillgänglig för behöriga användare när den behövs. MSB meddelade i september 2020 nya föreskrifter om informa- tionssäkerhet för statliga myndigheter med tillhörande allmänna råd (MSBFS 2020:6). De nya föreskrifterna började gälla den 1 oktober 2020. Den största förändringen gentemot tidigare gällande före- skrifter är betoningen på behandling av information liksom på risker.

SOU 2021:1 Kartläggning av statliga myndigheters it-drift

Av MSB:s föreskrifter framgår att myndigheter ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett antal angivna standarder. Informationssäkerhetsarbetet ska utformas utifrån de risker och behov som myndigheten definierar. Det ska omfatta all behandling av information som myndigheten ansvarar för och integreras med myndighetens befintliga sätt att leda och styra sin organisation. I föreskrifterna anges hur informations- säkerhetsarbetet ska utformas och bedrivas, bl.a. avseende informa- tionsklassning, riskbedömning och vidtagande av säkerhetsåtgärder (se vidare avsnitt 6.3.2).

Hälften av myndigheterna har delar av

informationssäkerhetsarbetet på plats, men arbete återstår

I enkäten fick myndigheterna uppskatta hur långt de kommit i sitt informationssäkerhetsarbete. Detta utifrån en skala från 1–6, där nivå 1 innebär att myndigheten inte påbörjat något systematiskt infor- mationssäkerhetsarbete och nivå 6 innebär att det finns ett systematiskt och dokumenterat informationssäkerhetsarbete i hela organisationen. Skalan utgick från de då gällande föreskrifterna och allmänna råden för myndigheters informationssäkerhetsarbete (MSBFS 2016:1).

Av tabell 4.7 nedan framgår att medianen ligger på nivå 4. Flest antal myndigheter (43 av 158 svarande) har uppskattat att de ligger på nivå 4. Det finns därefter en övervikt för nivå 2 och 3 (totalt 64 av 158 myndigheter), dvs. den något lägre nivån. 13 myndigheter har angett att de ligger på nivå 1, och 12 myndigheter att de ligger på nivå 6.

En central del i ett informationssäkerhetsarbete är att få kontroll på vilken typ av information som hanteras i verksamheten och klassa informationen utifrån behovet av skyddsnivå utifrån olika regelverk (se tidigare avsnitt). Informationsklassning ingår som en del i infor- mationssäkerhetsarbetet enligt kategori 4 i enkäten. Knappt hälften av myndigheterna har angett att de ligger på nivå 1–3. Enligt svaren har hälften av myndigheterna alltså inte genomfört en informations- klassning. Samtidigt har ändå de flesta av myndigheterna kunnat svara på enkätfrågorna om vilken typ av uppgifter som de hanterar i verksamheten.

Tidigare kartläggningar om myndigheters it-kostnader och it- mognad (se kapitel 3) har också omfattat frågor om informations- säkerhet och hur långt myndigheterna bedömt att de kommit i sitt

Kartläggning av statliga myndigheters it-drift SOU 2021:1

72

informationssäkerhetsarbete. Myndigheten för digital förvaltning (Digg) redovisar i sin rapport Myndigheters digitala mognad och it-

kostnader (2019) resultatet av en enkät till statliga myndigheter.

14 procent av de myndigheter som ingick i enkätundersökningen hade en väl fungerande informationssäkerhetsstrategi på plats som var införd och tillämpades fullt ut på myndigheten. 25 procent av myndigheterna hade implementerat en informationssäkerhetsstrategi i verksamheten som skulle utvärderas och utvecklas. Ungefär lika stor andel hade påbörjat implementeringen av en strategi, medan 30 pro- cent antingen hade påbörjat ett arbete med att ta fram en strategi eller beslutat om en strategi. Knappt tio procent av myndigheterna uppgav att de endast påbörjat en diskussion om att göra något på området. Även om svarsalternativen i Digg:s enkät skiljer sig åt jäm- fört med våra är de ändå någorlunda jämförbara. Vissa myndigheter har kommit långt i sitt informationssäkerhetsarbete, medan andra avser att påbörja arbetet inom kort eller arbetar med frågorna. En mindre andel myndigheter har inte gjort något alls på området. Digg:s enkät ger dock en något mer positiv bild av hur långt myndig- heterna kommit i sitt arbete jämfört med vår enkät. I Digg:s enkät har myndigheterna även fått uppskatta hur arbetet med informa- tionssäkerhet kommer att se ut på myndigheten år 2021 jämfört med 2019. Drygt 70 procent av myndigheterna bedömer att de år 2021 kommer att ha implementerat en informationssäkerhetsstrategi eller ha en väl fungerande informationssäkerhetsstrategi som tillämpas fullt ut på myndigheten. Det innebär alltså nästan en dubblering jämfört med läget år 2019.

SOU 2021:1 Kartläggning av statliga myndigheters it-drift

Tabell 4.7 Hur långt har myndigheterna kommit i arbetet med

informationssäkerhet – enligt myndigheternas egen uppskattning

Svar per kategori

Antal svar

1. Vi har inte påbörjat ett systematiskt informationssäkerhetsarbete

enligt MSBFS 2016:1. 13

2. Vi har påbörjat arbetet genom att ha utsett en ansvarig att leda arbetet

och börja analysera hur föreskrifterna MSBFS 2016:1 ska införas i myndigheten. 35 3. Vi har tagit fram en informationssäkerhetspolicy och påbörjat arbetet med

styrande interna regelverk. Ledningen har beslutat om informationssäkerhets- policyn och vi har beslutade styrande interna regelverk för allt informations-

säkerhetsarbete enligt MSBFS 2016:1. 29 4. Vi har förutom av ledningen beslutad informationssäkerhetspolicy och styrande

interna regelverk, arbetssätt i delar av organisationen som säkerställer att vi genomför informationsklassning och riskbedömning samt inför säkerhetsåtgärder

utifrån dessa underlag. 43

5. Vi har förutom av ledningen beslutad informationssäkerhetspolicy och styrande interna regelverk, arbetssätt i hela organisationen som säkerställer att vi genomför informationsklassning och riskbedömning samt inför säkerhetsåtgärder utifrån

dessa underlag. 26

6. Allt informationssäkerhetsarbete i hela organisationen sker systematiskt enligt framtaget arbetssätt dokumenterat i interna regler och stöd. Arbetet och

de interna regelverken och stöden utvärderas och vidareutvecklas regelbundet. 12

Totalt antal svarande: 158

Källa: Enkätundersökning.

I vår enkät ställde vi också frågan om myndigheterna utgår från någon standard eller modell som stöd för ett systematiskt informations- säkerhetsarbete. 77 procent av myndigheterna har svarat att de utgår från en standard som stöd för ett systematiskt informationssäker- hetsarbete. Bland dessa utgår alla myndigheter utom en från ISO 27001. Det är en av de standarder som rekommenderas i de nya före- skrifterna från MSB. Knappt 20 procent av myndigheterna anger att de inte utgår från någon standard och sex myndigheter (4 procent) har svarat att de inte vet om de gör det.

Kartläggning av statliga myndigheters it-drift SOU 2021:1

74

Detsamma gäller för informationssäkerhet vid it-upphandling

MSB har gett ut en särskild vägledning om att upphandla informa- tionssäkert (MSB1177). I vägledningen beskrivs bl.a. aktiviteter för att uppnå informationssäkerhet i upphandlingens tre steg – förbereda, upphandla och realisera.

I enkäten fick myndigheterna besvara ett antal frågor om infor- mationssäkerhet vid it-upphandling där utgångspunkt tagits i väg- ledningen. Myndigheterna har fått uppskatta var de står på en tre- gradig skala, där den lägsta nivån innebär att man inte reflekterat över frågan på myndigheten och den högsta att myndigheten har ett etablerat arbetssätt på plats. Svaren på de fyra frågorna visar i sig myndigheternas mognadsgrad i olika steg i upphandlingsprocessen.

Tabell 4.8 Har myndigheten en kravkatalog med säkerhetskrav

vid it-upphandling?

Antal svar per kategori

Antal svar

Vi har inte reflekterat över frågan på myndigheten 16 Vi har påbörjat en diskussion om att vi behöver en kravkatalog

med säkerhetskrav att utgå ifrån 83

Vi har en säkerhetskravkatalog som vi använder oss av vid upphandling 46

Totalt antal svarande: 154

Källa: Enkätundersökning.

Tabell 4.9 Har myndigheten ett etablerat arbetssätt för att verifiera säkerhetskrav i anbudssvar vid it-upphandling?

Antal svar per kategori

Antal svar

Vi har inte reflekterat över frågan på myndigheten 41 Vi har ett påbörjat arbetssätt att verifiera säkerhetskraven i anbudssvar 85 Vi har ett etablerat arbetssätt att verifiera säkerhetskraven i anbudssvar 30

Totalt antal svarande: 156

SOU 2021:1 Kartläggning av statliga myndigheters it-drift

Tabell 4.10 Har myndigheten ett etablerat arbetssätt att verifiera säkerhetskraven i leverans/acceptanstest/driftsättning (eller motsvarande)?

Antal svar per kategori

Antal svar

Vi har inte reflekterat över frågan på myndigheten 40 Vi har ett påbörjat arbetssätt att verifiera säkerhetskraven

i leverans/ acceptanstest/driftsättning (eller motsvarande) 92 Vi har ett etablerat arbetssätt att verifiera säkerhetskraven

i leverans/acceptanstest/driftsättning (eller motsvarande) 25

Totalt antal svarande: 157

Källa: Enkätundersökning.

Tabell 4.11 Har myndigheten ett etablerat arbetssätt att verifiera säkerhetskraven under avtalets/kontraktets giltighetstid?

Antal svar per kategori

Antal svar

Vi har inte reflekterat över frågan på myndigheten 45 Vi har ett påbörjat arbetssätt att verifiera säkerhetskraven

under avtalets/kontraktets giltighetstid 90 Vi har ett etablerat arbetssätt att verifiera säkerhetskraven

under avtalets/kontraktets giltighetstid 20

Totalt antal svarande: 155

Källa: Enkätundersökning.

Av svaren framgår att en majoritet av myndigheterna har påbörjat en diskussion om kravkatalog eller har en kravkatalog med säkerhets- krav på plats som används vid upphandling och för att värdera an- budssvar. Myndigheterna tycks inte ha kommit lika långt när det gäller att verifiera säkerhetskrav vid leverans och driftsättning eller att verifiera kraven under avtalets giltighetstid.