KLASSA – Gemensamma kravkataloger
Projektbeskrivning
I detta strategiska projekt kommer SKR som projektkoordinator att tillsammans med en rad samverkansorganisationer arbeta fram nästa generations kravkataloger som ännu bättre kan möta såväl dagens som morgondagens utmaningar i syfte att stärka samhällets robusthet mot cyberattacker.
Sveriges Kommuner och Regioners (SKR) metodstöd KLASSA har visat att det är möjligt att hitta en väg fram baserat på den bredd av krav som följer av ett ledningssystem för informationssäkerhet (LIS). Nu finns det ett behov av att förfina och förtydliga kravställningar inom snabba utvecklingsområden så som exempelvis Internet of Things, IoT.
bo.baudin@skr.se
Upplägg och genomförande
Det strategiska projektet bedrivs i fyra faser där varje fas är en lärande fas som leder vidare till nästa fas. I projektet finns en bred representation av kommuner, regioner och myndigheter som lär av varandra och delar varandras erfarenheter på området. I den slutgiltiga fasen verifieras resultatet av en än bredare grupp, tillika målgruppen för resultatet.
Syftet är att lärandet fortsätter i takt med den allt bredare användningen och att SKR fortsatt förvaltar och förfinar resultatet på samma sätt som SKR har gjort hittills vilket innebär att lärandet och utbytet inte slutar när det strategiska projektet avslutas.
Fas 1
I den första fasen ska ett arbete genomföras för att undersöka:
1. Hur informationsklassning med dagens konsekvensnivåer som utformats av SIS, MSB och SKR, som idag är avgränsat från säkerhetsskydd, bäst harmoniseras med säkerhetsskyddsbestämmelserna konsekvensnivåer. Eventuell överlappning ska identifieras och konkreta förslag till konsekvensnivåer ska utformas som tydligt kopplas till exempel på hur olika informationsmängder kopplas till olika konsekvensnivåer.
2. Om och hur ISO 27000-familjen ska utgöra en fortsatt grund till kravkataloger och vilka de tänkbara alternativen utreds i denna fas. Detta arbete ska ge konkreta förslag och exempel på hur kravkataloger kan utvecklas och underhållas över tid samt hur kostnadsbilden och eventuella immateriella rättigheter ska hanteras.
3. Hur krav bäst utformas och formuleras för att fungera som en mognadsmätare och en kravställare på den egna organisationen, e-tjänster och i samband med upphandlingar. Detta arbete ska ge konkreta förslag på utformning och formulering av övergripande krav, men också för mer detaljerade krav. I detta arbete ingår också att undersöka behovet av mer domänspecifika krav som IoT, AI och moln, som också uttrycks i bakgrunden, bäst utformas och införlivas för att nå målbilden som uttryckts.
I den första fasen har SKR:s expertgruppering, med informations-och cybersäkerhetsexperter från SKR:s medlemmar, en central roll och samverkan ska ske med de organisationer som omnämns i detta uppdragsdirektiv.
Fas 2
Med utgångspunkt från första fasen ska sedan en eller flera nya kravkataloger utvecklas och krav formuleras. Även här har SKR:s expertgruppering en central roll och även här ska samverkan ske med de organisationer som omnämns i detta uppdragsdirektiv.
Fas 3
Parallellt med den andra fasen ska KLASSA vidareutvecklas för att införliva resultatet från första fasen som sedermera fastställts av SKR. Det kan påbörjas så snart formerna för kravkatalogerna och formerna för kraven i den andra fasen fastställs av SKR. Arbetet ska tillse att så väl centrala kravkataloger som distribuerade kravkataloger för exempelvis KLASSA on prem realiseras.
Fas 4
När samtliga tre faser har levererat sina resultat ska samtliga bidragande organisationer genomföra exempelklassificeringar med ett par informationstillgångar vardera för att bygga en kunskapsbank för att säkerställa att användandet av kravkatalogerna får en flygande start. Inom ramen för arbetet ska också typiska leverantörer till SKR:s medlemmar uppmuntras att tillsammans med någon referenskund genomföra exempelklassningar för att ytterligare bidra till en bred kunskapsbank. Exempelklassificeringarna ska publiceras publikt på KLASSA:s hemsida.