Konfidentialitet, riktighet och tillgänglighet – Tre grundpelare inom informationssäkerhet

Att klassificera information är en viktig del av hur en organisation kan värdesätta sin information. Detta är något som vi utgår från i vår tjänst informationsklassning.

Myndigheten för samhällsskydd och beredskap (MSB) har skapat en arbetsmodell för hur en organisation kan klassificera sin information enligt hur stor negativ påverkan en felaktig hantering av informationen skulle innebära. Modellen fokuserar på de tre säkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet och kan tillämpas för att uppnå den väletablerade standarden för informationssäkerhet ISO 27001.

 

Konfidentialitet:

Konfidentialitet är egenskapen av att information inte tillgängliggörs för obehöriga parter.

Det handlar alltså om att kunna säkerställa att behöriga, och endast dessa, får åtkomst till informationen. Viktiga faktorer blir då verifiering av inloggningsuppgifter och en säker hantering i teknisk synpunkt av den aktuella informationen.

 

Riktighet:

Riktighet är egenskapen att lagrad information är korrekt och fullständig. För att kunna säkerställa riktighet blir det viktigt att kunna se till att endast behöriga individer ges möjlighet att uppdatera information. Riktigheten kan alltså äventyras om brister skulle finnas inom konfidentialiteten. Att tillämpa versionshantering och backup-filer blir således viktigt för att kunna återställa information i händelse av en felaktig förändring.

 

Tillgänglighet:

Tillgänglighet behandlar huruvida informationen kan göras åtkomlig för en behörig part. Detta erhålls bäst genom att hålla både den tekniska utrustningen och den tillämpade mjukvaran som krävs välskött. Precis som för riktighet är det även viktigt att backup-filer finns tillgängliga.

 

Hur klassificeras informationen?

För att klassificera information enligt MSB:s modell uppskattas vilken konsekvens som en oönskad påverkan av den aktuella informationen skulle innebära. Denna konsekvens värderas sedan efter hur stor skada den skulle innebära för organisationen eller annan part vid otillräcklig konfidentialitet, riktighet eller tillgänglighet. Konsekvenserna värderas till tre olika nivåer; måttlig, betydande eller allvarlig skada. När värderingen görs bör man utgå från att se till a) skadan som sker på organisationens förmåga att utföra sina verksamhetsuppgifter, b) skador på verksamhetens tillgångar, c) ekonomiska skador och d) på skador av enskilda individers rättigheter och hälsa.

 

Hur tillämpas modellen?

När modellen tillämpas bör man börja med att göra en fullständig utvärdering av vilken information som hanteras. Sedan kan denna information grupperas i olika typer av liknande information. När sedan klassificeringen görs ska varje typ av information utvärderas och tilldelas en konsekvensnivå för varje säkerhetsaspekt (konfidentialitet, riktighet och tillgänglighet). En enskild informationstyp kan alltså tilldelas olika konsekvensnivå för olika säkerhetsaspekter.

 

När man gjort sina uppskattningar av värdet på varje konsekvens kan man även illustrera detta i matrisformat för att på ett snabbt och enkelt sätt få en överblick över var de största utmaningarna ligger. Ett exempel för hur detta kan se ut är:

 

Denna modell är alltså en typ av informationsklassning som kan tillämpas för att öka informationssäkerheten och uppnå ISO 27001. Mer information om modellen finns här:

Kontakta oss för mer information

Behöver er organisation genomföra informationsklassning? Secure State Cyber planerar och genomför informationsklassning utifrån analys av skyddsvärde, krav på riktighet och tillgänglighet. Kontakta oss för mer information!

 

Epost: info@securestate.se

 

NorrköpingStockholm
Knäppingborgsgatan 13BKungsgatan 60, 1 tr
602 26 Norrköping111 22 Stockholm
Tel 011 – 12 25 40Tel 08 – 412 00 39

juni 26, 2018