12 Handlingar som omfattas av sekretess kräver skydd
I detta kapitel beskrivs
- Riksarkivets regelverk för skydd av elektronisk information
- vad som gäller på Försäkringskassan vid skydd av elektronisk information.
- Skydd av information regleras även av andra myndigheter än Riksarkivet, t.ex. Myndigheten för samhällsskydd och beredskap. Försäkringskassan har dessutom utarbetat egna riktlinjer för hur myndigheten ska agera i dessa frågor, Riktlinjer (2018:13) Säkerhetsregler.
Konsekvenserna av dataintrång och ofrivillig utplåning blir ofta större när det gäller elektroniskt lagrad information. Det är också svårare att bevara informationens logiska kvalitet jämfört med när informationen finns i form i pappershandlingar.
Medarbetare som ansvarar för kravställning, utveckling, drift eller avveckling av system och applikationer måste bl.a. ta ställning till vilket skydd systemet eller applikationen kräver och säkerställa att informationen kan göras tillgänglig över tid.
12.1 Riskanalys
Vid kravställning och utveckling av system ska man alltid ta ställning till vilken sorts information som systemet ska hantera. Vilken nivå skyddet får ska sedan spegla den information systemet hanterar.
För varje system som hanterar allmänna handlingar på Försäkringskassan ska det finnas en plan för handlingarnas skydd och bevarande innan driftsättning. Vad som ska ingå i en sådan plan framgår av RA-FS 2009:1 (senast ändrad 2018:7). Planen ska diarieföras tillsammans med övriga projekthandlingar i genomförandeprojektet.
Förvaltningen för systemet ska efter driftsstart och projektgodkännande ta över ansvaret för informationssäkerhetsplanen och regelbundet kontrollera att planen följs samt vid behov uppdatera den. Förvaltningen ansvarar även för att planen diarieförs när större förändringar i den har skett. VSÖ Informationsförvaltning kan hjälpa till med råd och stöd i detta.
Läs mer om riskbedömning och riskhantering i Riktlinjer (2018:13) Säkerhetsregler.
12.1.1 Föreskrivna skydd för elektroniska handlingar
Elektroniska handlingar kräver behörighetssystem, loggsystem samt skydd mot skadlig kod om det inte är uppenbart obehövligt (6 kap. 4 § RA-FS 2009:1 senast ändrad 2018:7).
Läs mer om skydd för information i Försäkringskassans riktlinjer (2018:13) Säkerhetsregler.
12.1.2 Behörighetssystem, loggsystem, skadlig kod
Många av Försäkringskassans elektroniska handlingar är sekretessbelagda och kräver därför både behörighetssystem, loggsystem samt skydd mot skadlig kod. Nivån på skyddet ska anpassas efter informationen. Vid kravställning och utveckling av system ska man alltid ta ställning till vilken sorts information som systemet ska hantera. Behörighetssystem, loggsystem och skydd mot skadlig kod ska anpassas efter informationen.
12.1.3 Säkerhetskopior
Säkerhetskopior av de elektroniska handlingarna ska framställas regelbundet. Säkerhetskopiorna ska omfatta samtliga allmänna handlingar som finns på myndigheten. Kopieringen ska ske på ett sådant sätt och med sådan periodicitet att handlingarna kan återställas. Rutinerna för säkerhetskopiering och för eventuell återställning av elektroniska handlingar ska dokumenteras i informationssäkerhets-planen för systemet. Säkerhetskopiorna ska förvaras geografiskt åtskilt från de kopierade elektroniska handlingarna (6 kap. 5 § RA-FS 2009:1 senast ändrad 2018:7). En myndighet är också skyldig att säkerställa tillgången till sådan utrustning och programvara som behövs för att kunna återställa de elektroniska handlingarna. Utrustningen och programvaran ska förvaras geografiskt skilt från själva handlingarna (6 kap. 6 § RA-FS 2009:1 senast ändrad 2018:7).
12.1.4 Säkerhetskopiering
Information och program som innehåller allmänna handlingar ska säkerhetskopieras regelbundet, i enlighet med fastställt regelverk och gällande SLA: er, service-level agreement. För att garantera informationens fortlevnad ska Försäkringskassan även ta säkerhetskopior som förvaras geografiskt åtskilt från de kopierade elektroniska handlingarna. De återställningsrutiner som tas fram vid kravställningen av systemet ska dokumenteras i systemets informationssäkerhetsplan.
Försäkringskassan måste även se till den utrustning och den programvara som behövs för att kunna återställa handlingarna förvaras geografiskt skilt från själva handlingarna. Eventuella incidenter och efterföljande åtgärder ska dokumenteras i informationssäkerhetsplanen. Systemets förvaltningsorganisation är ansvarig för att detta sker.