Myndigheten för Samhällsskydd och Beredskap (MSB) gav nyligen ut två förslag till nya föreskrifter:
föreskrifter om informationssäkerhet för statliga myndigheter
föreskrifter om it-säkerhet för statliga myndigheter.
I förslaget om nya föreskrifter om informationssäkerhet betonar MSB att myndigheters arbete med informationssäkerhet ska drivas systematiskt och riskbaserat. Detta ligger i linje med bäst praxis för informationssäkerhetsarbete, och föreskriften hänvisar också till de internationellt välrenommerade informationssäkerhetsstandarderna ISO/IEC 27001:2017 och ISO/IEC 27002:2017.
ISO 27001 är just riskbaserad och organisationer som följer standarden ska själva bedöma risker mot sin verksamhet. Olika funktioner inom organisationen behöver därför värderas, bland annat utifrån hur viktiga dessa funktioner är för organisationens huvudsakliga uppdrag – och hur stor påverkan en risk kan ha på organisationen som helhet. Bland verksamhetsfunktionerna finns olika it-system som stöttar och – i varierande grad – är avgörande för organisationens uppdrag. Sammanfattningsvis finns två aspekter att ta hänsyn till för att fatta meningsfulla och kostnadseffektiva beslut kring vilka skyddsåtgärder som behövs:
att säkerhetsarbetet bedrivs riskbaserat,
att säkerhetsarbetet tillåts ta hänsyn till hur pass viktiga olika funktioner och it-system anses vara för organisationens förmåga att uppfylla sitt uppdrag.
I förslaget till föreskrifter om it-säkerhet verkar det dock som om alla it-system är likställda och ska ges samma skydd, och borta är det riskbaserade synsätt som präglar föreskrifterna om informationssäkerhet. Dessutom innehåller it-föreskrifterna en mängd krav på detaljnivå. Några problem som föreskrifterna om it-säkerhet därför riskerar att medföra är exempelvis att:
de it-system som är mest kritiska inte ges prioritet i åtgärdsarbetet,
ineffektiva/fel typer av åtgärder prioriteras,
de stora kostnader som it-säkerhetskraven medför inte vägs upp av motsvarande nytta,
it-säkerhetskraven i takt med teknikutveckling, paradigmskiften, etc. inte blir hållbara över tid.
En annan brist hos föreskrifterna om it-säkerhet är det föreslagna datumet för ikraftträdande: 1 juli 2020. Utifrån det breda tillämpningsområdet och den stora mängden detaljkrav är det svårt att se att myndigheterna som träffas av föreskrifterna kommer (hinna) leva upp till bestämmelserna redan då. Frågan bör därför ställas om hur rimligt det är att många av Sveriges myndigheter riskerar att bryta mot föreskrifternas bestämmelser från och med ikraftträdandet den 1 juli?
Avslutningsvis bör därför relationen mellan de båda föreskrifterna ses över. Det finns flera alternativ, där ett är att bestämmelserna i föreskrifterna om it-säkerhet placeras i allmänna råd. Ett annat är att föreskrifterna om it-säkerhet sorteras in under de om informationssäkerhet, så att dess tillämpning styrs av de avvägningar och riskbedömningar som organisationer ska göra enligt föreskrifterna om informationssäkerhet. På så vis tillåts myndigheterna att prioritera vilka, framför allt kritiska, it-system som it-säkerhetskraven först och främst ska appliceras på.