Nu ska det blir ordning på it-säkerheten hos myndigheter

MSB konstaterar att det finns ett stort behov av att kunna tillhandahålla säkra och moderna it-lösningar snabbt och effektivt inom svensk offentlig förvaltning.

Samtidigt ser de att det finns en brist på tekniskt stöd för hanterandet av information som är skyddsvärd och/eller sekretessbelagd, men som inte rör rikets säkerhet. Nu ska ett nytt MSB-lett projekt undersöka möjliga åtgärder för detta.

MSB har i dagsläget en föreskrift som reglerar att statliga myndigheter ska jobba med ledningssystem för informationssäkerhet, LIS.

Detta leder till att myndigheterna i dag bedriver ett systematiskt arbete med att till exempel ta fram informationssäkerhetspolicyer, klassificera sina informationstillgångar och införa tekniska och administrativa skyddsåtgärder.

MSB ger metodstöd vid införandet av ett ledningssystem för informationssäkerhet. För att klassificeringen i praktiken ska kunna omsättas till tekniska skyddsåtgärder för elektronisk information, exempelvis kryptering av kommunikation, bedömer MSB att det behövs ett liknande metodstöd för anpassade och säkra krypto- och it-säkerhetslösningar för information som är skyddsvärd och/eller sekretessbelagd.

Detta är något som till stor del saknas i dag.

Genom det nya projektet utreder MSB hur ett sådant stöd skulle kunna tas fram och etableras. Stödet ska omfatta förslag på tekniska skyddsåtgärder som ska leda till en hög säkerhet för alla system som lagrar eller överför information som är skyddsvärd och/eller som omfattas av sekretess men som inte rör rikets säkerhet.

Tanken är att projektet ska leverera en samling dokument med instruktioner om uppsättning, konfiguration och drift av en it-lösning, så kallade säkerhetsarkitekturer. Detta kompletteras med en lista över certifierade och godkända kommersiella it-produkter och en lista med godkända integratörer.

Målet är att detta samlade stöd i framtiden ska hjälpa svenska myndigheter att anskaffa och implementera säkrare it-system för sin informationshantering.

Modellen i sig förväntas kunna vara överförbar till svenska förhållanden, men detta behöver först undersökas i praktiken, enligt MSB. Därför genomförs nu en pilot.

Genom piloten ska MSB få en bild av hur det nya konceptet kan förbättra säkerheten i en verksamhets it-system, samtidigt som man kan undersöka vilka resurskrav och kompetensbehov som kan uppstå kopplat till lösningens införande.

Piloten planeras vara klar under våren 2018 varefter en utvärdering ska göras. Först därefter kan det visa sig om det nya konceptet kan leverera det MSB vill ha i form av en fungerande, säker, effektiv och modern it-lösning.