Överger MSB 27001?

MSB tar bort den hårda kopplingen till standarderna SS-ISO/IEC 27001:2006 och SS-ISO/IEC 27002:2005 i förslaget till nya föreskrifter om statliga myndigheters informationssäkerhet. Betyder det att MSB överger standarderna? Hur ska det då gå för myndigheternas informationssäkerhet?

I de nu gällande föreskrifterna (MSBFS 2009:10) om statliga myndigheters informationssäkerhet finns kravet att ett ledningssystem för informationssäkerhet ska användas. Delar av myndigheternas arbete ska också bedrivas i former enligt standarderna SS-ISO/IEC 27001:2006 och SS-ISO/IEC 27002:2005. Standarder som handlar om ett sådant ledningssystem och vanliga skyddsåtgärder för informationssäkerhet.

I MSB remissförslag har den hårda kopplingen mot standarderna tagits bort från föreskriften. I stället har MSB föreslagit flera nya krav (se jämförelse över ändringarna i den PDF-filen). En uppenbar fördel är att det blir tydligare för någon som enbart läser författningen vilka de övergripande kraven är. Onekligen är det fler som kommer att läsa författningen än standarderna. Det är rimligt att den som omfattas av författningen ska förstå vilka de övergripande kraven är utan att ha tillgång till standarderna. Jag tycker att det är problematiskt att myndigheternas informationssäkerhetsarbete i dag indirekt kravställs genom standarder som inte är allmänt tillgängliga. Det försvårar förståelsen och kommunikationen kring hur informationssäkerhetsarbetet ska genomföras, något som är nog så svårt.

Har hänvisningen till 27001 gett kass informationssäkerhet?

Den nuvarande hänvisningen till standarderna kan också vara en delförklaring till varför det ser ut som det gör i myndigheternas informationssäkerhetsarbete. Den kartläggning som MSB genomförde 2014 visade bl a att:

  • 53 statliga myndigheter inte hade någon informationssäkerhetspolicy.
  • 117 statliga myndigheter inte kontrollerade att de styrande dokumenten efterlevs.
  • 133 statliga myndigheter saknade regler för vad riskanalys ska omfatta eller när det ska ske, saknade uttalat ansvar för vem som ska initiera analyserna samt gjorde inte någon sammanställning av de mest väsentliga analyserna (siffran är en sammanvägning av ).
  • 217 statliga myndigheter inte hade någon kontinuitetsplan.

Informationssäkerhet är ett mångfacetterat område. Styrmedel i olika former har betydelse för att t ex värdera informationstillgångars skyddsvärden, acceptera risker och utforma skyddsåtgärder. Styrmedel är centralt för informationssäkerheten – i synnerhet hos statliga myndigheter. Min erfarenhet är att bristfälligt utformade styrmedel ger kass informationssäkerhet.

MSB har genom att bygga ut föreskrifterna om statliga myndigheters informationssäkerhet lyft in några krav som finns i standarderna, t ex krav på säkerhetsåtgärder för kontinuitetshantering och utbildning. Behovet av att direkt peka på standarderna har därför enligt MSB minskat. Att den hårda kopplingen föreslås tas bort innebär också att en myndighet kan använda något annat ledningssystem som inte följer SS-ISO/IEC 27001, så länge som kraven i MSB föreskrift följs. Ett sådant arbete torde vara onödigt, givet att det redan finns en svensk etablerad standard på området som baseras på internationell god praxis och som har utvecklats under lång tid. Jag tycker myndigheterna i mycket större utsträckning bör se standarderna i 27000-serien som en tillgång i arbetet, och om det behövs våga använda dessa i regelarbeten.

Som stöd för ett systematiskt informationssäkerhetsarbete är standarderna enligt MSB fortfarande av stor betydelse. En hänvisning till standarderna är medtagen i förslaget till allmänna råd för föreskrifterna. MSB överger inte standarderna.

Utdrag ur förslag till allmänt råd till förslaget till 5 § MSB föreskrifter om statliga myndigheters informationssäkerhet.

Utdrag ur förslag till allmänt råd till förslaget till 5 § MSB föreskrifter om statliga myndigheters informationssäkerhet.

Får en myndighet använda standarder i sina regler?

Myndigheternas regelgivning måste kunna relatera till standarder. Den handbok i författningsskrivning som Regeringskansliet tagit fram för statliga förvaltningsmyndigheter beskriver hur det kan göras. I handboken framgår att en standard måste ”införlivas” i en författning för att kraven i en standard ska bli bindande. Detta kan ske genom att transformera standarden eller delar av den till författningstext eller inkorporera standarden. Vid transformering förs innehållet i standarden över men skrivs om enligt det språkbruk och teknik som används för regelgivning i Sverige. Vid inkorporering förs texten över ordagrant rakt av och återges i författningen. Handboken tar även upp möjligheten att kombinera transformering och inkorporering.

Enligt Regeringskansliets handbok är det även möjligt att hänvisa till en standard. En exklusiv hänvisning till en standard är när en myndighet föreskriver att standarden helt eller delvis måste följas. Då får standarden eller de utpekade delarna samma rättsliga ställning som om myndigheten själv hade beslutat standardens innehåll. Om en myndighet ger exempel på standarder som om de följs innebär att myndighetens föreskrifter uppfylls är det fråga om exemplifierande hänvisning till standarder. Jag tolkar handboken som att det inte finns några hinder för MSB att hänvisa till SS-ISO/IEC 27001 och 27002.

Riksarkivets krav på 27001 och 27002

För bevarande av elektroniska handlingar har Riksarkivet meddelat föreskrifter som bl a innehåller krav på informationssäkerhet. Av föreskrifterna framgår att åtgärder för att skydda handlingarna ska ske med utgångspunkt ur SS-ISO/IEC 27001:2006 och med stöd av SS-ISO/IEC 27002:2005. Även om MSB tar bort den hårda kopplingen till standarderna kan en myndighets informationssäkerhetsarbete ändå komma att påverkas av standarderna.

Utdrag ur 6 kap 1 § Riksarkivets föreskrifter (RA-FS 2009:1) och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling).

Utdrag ur 6 kap 1 § Riksarkivets föreskrifter (RA-FS 2009:1) och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling).

≈ ≈ ≈

Källor:

/Kim Hakkarainen

1 kommentar

Publicerad i Säkerhetsledning

En kommentar till Överger MSB 27001?

  1. Peter Franzén

    Personligen uppskattar jag att MSB tonar ner ISO 27000… Många anser standarden är bra, och sant är att den har många poänger, men jag upplever att många verksamheter behöver en annan typ av stöd i sitt säkerhetsarbete. En standard som kräver en policy och ett antal processer är iofs generiskt applicerbar, men jag vill hävda att det är möjligt att följa standarden utan att åstadkomma rätt säkerhet. Svårigheterna med att åstadkomma en objektiv hållbar riskanalys är också lite för stora – jag tror främst att det handlar om en ansvarsförskjutning och att det här med fina diagram och matematiska formler är ett onödig komplicering. Det finns även en betydande risk att organisationer som satsar på ISO 27000 åstadkommer ”mer papper än säkerhet”. Om MSB röjer upp i detta och anger tydliga skyddsmål så tycker jag att det är ett berömvärt steg i rätt riktning.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *