Del 1: Vilka bestämmelser är det som är styrande?

Krisberedskap och Totalförsvar , Nyhet
fredag 28 februari 2020

I den första delen tittar vi närmare på vilka bestämmelser som är styrande när man skall hantera säkerhetsskyddsklassificerade uppgifter i ett IT system.

Det är många som vet om vad lagtexter och paragrafer säger men det kan vara svårare att omsätta det i praktik. Där såg vi ett stort behov av att förstå vilka åtgärder som behövs för att skydda säkerhetsskyddsklassificerade uppgifter i IT-system. För att underlätta detta arbete har jag gjort en sammanställning för vilka åtgärder som är nödvändiga för att se till att säkerhetsskyddsklassificerade uppgifter skyddas på rätt sätt. Detta täcks av ett antal viktiga punkter att ta hänsyn till.

Nedan finns en sammanställning av skyddsåtgärder som behövs för de olika säkerhetsskyddsklasserna:

Del 1: Vilka bestämmelser är det som är styrande?

Figur 1, Matris över skyddsåtgärder för olika säkerhetsskyddsklasser.

Vilka bestämmelser är det som är styrande?

Grunden för indelning i säkerhetsskyddsklasser är Säkerhetsskyddslagen (2018:585) och Säkerhetsskyddsförordningen (2018:658). Till grund ligger också en SSA (Säkerhetsskydds analys). Den måste varje enskild aktör genomföra för att inventera för att bedöma om man hanterar/skall hantera säkerhetsskyddsklassificerade uppgifter i sin organisation samt i vilken omfattning.

För de aktörer som inte tillhör det militära försvaret har Säkerhetspolisen givit ut föreskrifter. Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2) är vägledande på området. Säkerhetspolisen har också i juni 2019 givit ut ”Vägledning i säkerhetsskydd – Informationssäkerhet” som kompletterar och förklarar lag, förordning och föreskrift.

Vad gäller signalskydd av säkerhetsskyddsklassificerade uppgifter är det i första hand Försvarets Författningssamling (FFS2019:9)[1] som gäller avseende hantering, handhavande och förvaltning av kryptografisk utrustning, signalskyddssystem med mera.

Det kan också vara värdefullt att studera förarbetena till säkerhetsskyddslagen där resonemang förs om hur utredaren har kommit fram till förslagen som sedan har blivit lag och förordning. Utredningens betänkande har beteckningen ”En ny säkerhetsskyddslag” (SOU 2015:25).

Kraven gällande säkerhetsskyddsklassificerade uppgifter är generella och lika för det militära och det civila försvaret. Skillnaden är att det är MUST och inte Säkerhetspolisen som reglerar området inom det militära försvaret. Försvarsmakten har under många år arbetat med system för säkerhetsskyddsklassificerade uppgifter i IT-system. Det kan därför vara av värde att studera vad som är reglerat på området inom Försvarsmakten.

Gällande NIS-direktivet kan nämnas att enligt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster §3, 1:a och 2:a stycket står det i korthet att lagen gäller för leverantörer av samhällsviktiga tjänster.

Den gäller dock inte för verksamhet som omfattas av säkerhetsskyddslagen enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster §8. I nästa del av artikelserien tittar vi närmare på vad varje punkt innebär lite mer i detalj.

Följ oss och missa inte detta!

[1] FFS2019:9 har sedan 2020-01-01 trätt i kraft och ersatte därmed FFS2016:3

Del 1: Vilka bestämmelser är det som är styrande?

Basalt har under mer än 10 år arbetat med att designa, utveckla, implementera och förvalta IT-system och tillhörande systemdokumentation kopplat till säkerhetsskyddklassad information åt en rad kunder, både privata och offentliga. De erfarenheter som vi dragit av detta arbete har vi omsatt i en strukturerad metodik och arkitektur för att på ett effektivt sätt kunna hjälpa nya kunder som är intresserade av att ha hög grad av kontroll och kvalitet, och därmed säkerhet över tid, i sina IT-system och sin IT-infrastruktur.

Skribent

Måns Lagehäll
Konsult Säkerhetsskydd

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning

Del 1: Vilka bestämmelser är det som är styrande?

Vilka bestämmelser är det som är styrande?

Skribent

More news