Vad gäller för de olika säkerhetsskyddsklasserna?

Del 2: Vad gäller för de olika säkerhetsskyddsklasserna?

Vi har gått igenom vilka bestämmelser som är styrande när man skall hantera säkerhetsskyddsklassificerade uppgifter i ett IT system i del ett av denna artikelserie. I andra delen kikar vi vidare på mer i detalj hur det skall gå till att skydda informationen och därmed vilka åtgärder som behövs.

Inledningsvis är det viktigt att konstatera att det inte finns någon exakt lista eller fullständiga detaljregler för vad som gäller för indelning i säkerhetsskyddsklasser och exakt vilka åtgärder som ska vidtas för att skydda säkerhetsskyddsklassificerade uppgifter. Det som är avgörande för varje aktör som hanterar säkerhetsskyddsklassificerade uppgifter är att aktören för ett logiskt resonemang om skyddsåtgärder och att tillsynsmyndigheten godkänner åtgärderna.

När nya system införs fastställer den verksamhetsansvariga myndigheten, efter godkännande av tillsynsmyndigheten, vidtagna åtgärder genom beslut om godkännande eller ackreditering.

De viktigaste kraven som finns i säkerhetsskyddslagen, säkerhetsskyddsförordningen och Säkerhetspolisens föreskrifter tas upp nedan.[1] Dessa punkter ger information hur man skall hantera säkerhetsskyddsklassificerade uppgifter i informationssystem. Varje punkt har en referens till lagtext eller liknande i slutet av denna artikel.

Fysisk och logisk separation av information 1

  • Begränsat hemlig och konfidentiell information skall separeras logiskt från system eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd.
  • Hemlig eller kvalificerat hemlig information skall separeras fysiskt från system eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd. Denna information får dessutom bara importeras eller exporteras genom envägskommunikation.

Av Försvarsmakten godkänt krypto 2

  • Säkerhetsskyddsklassificerade uppgifter som behöver kommuniceras till system utanför utövarens kontroll ska skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.
  • Med begreppet kontroll menas att utövaren ska ha både administrativ och fysisk kontroll över förbindelsen så att obehörig åtkomst för avlyssning eller annan påverkan omöjliggörs.
  • Signalskydd som indelas i två delar.

1. kryptoalgoritmer (matematiska funktioner i ett system för):

– att skydda information mot insyn och förvanskning, vid överföring och lagring med hjälp av kryptering,
– identifiering och autentisering,
– signering och verifiering av information och
– generering av signalskyddsnycklar.

2. signalskyddssystem:

– system med kryptoalgoritmer som är godkänt av Försvarsmaktens högkvarter för skydd av uppgifter enligt bilaga 1 till (FFS2019:9)[2], eller
– system för skydd mot obehörig insyn i och påverkan av telekommunikations- och IT-system som är godkänt av Försvarsmaktens högkvarter.

Behörighetskontroll 3

  • Behörighetskontroll är nödvändig för att säkerställa att endast behöriga får åtkomst till systemen. Behörighetskontroll innefattar många delar, allt från ID-kontroll för att verifiera identiteten på en person som ska tilldelas ett användarkonto i ett informationssystem, att se till att det finns adekvata inloggningsmekanismer, till att följa upp och säkerställa att en användare har rätt behörigheter över tid.
  • Detta gäller för samtliga säkerhetsskyddsklasser BH, K, H och KH, men i olika nivåer.

Säkerhetsloggning 4

  • Med säkerhetsloggning menas att samla information om en händelse och om när händelsen inträffat i ett informationssystem. Loggar är därför ett bra hjälpmedel för att kunna veta vad som har hänt i ett informationssystem vid ett givet tillfälle. I fackspråk används ofta begreppet spårbarhet, där logga är en förutsättning för att en verksamhetsutövare ska kunna uppnå spårbarhet till olika händelser som inträffar i ett informationssystem. Spårbarhet är i sin tur en förutsättning för att en verksamhetsutövare ska kunna leda i bevis vem som har gjort vad i ett informationssystem vid ett givet tillfälle, exempelvis vem som haft åtkomst till säkerhetsskyddsklassificerade uppgifter och när.
  • Detta gäller för samtliga säkerhetsskyddsklasser BH, K, H och KH, men i olika nivåer.

Skydd mot röjande signaler 5 (RÖS)

  • Med röjande signaler menas ej önskvärda elektromagnetiska och eller akustiska signaler som alstras i informationsbehandlade utrustningar och som, om de kan tydas av obehörig, kan bidra till att känsliga eller hemliga uppgifter röjs.
  • Både avstånd, EMP-skydd (typ Faradays bur, s.k. RÖS-rum), fysisk separation av el och andra tekniska skyddsmekanismer såsom för ändamålet särskilt tillverkad utrustning (Routrar, switchar, klienter, printerhuvar, USB-lådor och servrar m.m.) används för att skydda mot RÖS.
  • Hänsyn tas även till att kontrollera möbler, placering av rummet i förhållande till okontrollerat område och tillse att det finns vågfällor för in- och utgående kablage om det är aktuellt med RÖS-rum.
  • Detta gäller för de högre säkerhetsskyddsklasserna konfidentiell, hemlig och kvalificerat hemlig.
  • Inom EU och NATO används ett annat system som bygger på zon-indelning i större utsträckning, kallat TEMPEST. Detta kommer inte behandlas vidare i denna artikel.

I den tredje och avslutande delen kommer vi att fortsätta titta på mer i detalj vad varje åtgärd betyder i praktiken.

Del 3: Vilka åtgärder krävs för att skydda informationen?

Fotnoter (referenser till lagtexter del II)

1)
4 kap. 20-21 §§ i PMFS2019:2

20 §: Verksamhetsutövaren ska se till att informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig eller konfidentiell, logiskt separeras från informationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd.

21 §: Verksamhetsutövaren ska se till att informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig, fysiskt separeras från informationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd. Informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig, ska tillåta endast envägskommunikation vid import respektive export av data.

2)
Av bestämmelserna i 3 kap. 5 § i säkerhetsskyddförordningen (2018:658) framgår att:

5 §: Innan säkerhetsskyddsklassificerade uppgifter behandlas i ett informationssystem utanför verksamhetsutövarens kontroll ska denne försäkra sig om att säkerhetsskyddet för uppgifterna i systemet är tillräckligt. Om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll ska uppgifterna skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.

3)
Av bestämmelserna i 2 kap. 17 § i PMFS2019:2 framgår att:

17 §: Verksamhetsutövaren ska ha rutiner för tilldelning och förändring av behörigheter, fysiska eller elektroniska nycklar eller annat som ger åtkomst till säkerhetskänslig verksamhet. Verksamhetsutövaren ska kunna följa upp vilken åtkomst den som deltar i säkerhetskänslig verksamhet har till verksamheten, och regelbundet, minst en gång per år, ompröva sådana åtkomster.

Av bestämmelserna i 4 kap. 12-13 §§ i PMFS2019:2 framgår att:

12 §: Alla utställda identiteter i ett informationssystem som har betydelse för säkerhetskänslig verksamhet ska vara unika över tid. Åtkomsten ska vara spårbar till individ, system eller resurs.

13 §: Verksamhetsutövaren ska tilldela sådana behörigheter som ger systemadministrativ åtkomst eller annan särskild tillgång till informationssystem som har betydelse för säkerhetskänslig verksamhet restriktivt. Behörigheterna ska vara tidsbegränsade och följas upp särskilt. Tilldelning av behörigheter enligt första stycket som inte direkt kan kopplas till någon fysisk individ ska ske särskilt restriktivt och beslutas av säkerhetsskyddschefen eller den han eller hon bestämmer.

4)
Av bestämmelserna i 3 kap. 4 § säkerhetsskyddsförordningen framgår att:

4 §: En verksamhetsutövare som ansvarar för ett informationssystem som ska användas i säkerhetskänsligverksamhet ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informationssystemet samt obehörig avlyssning av, åtkomst till och nyttjande av informationssystemet. Verksamhetsutövarenska också se till att spårbarhet finns för händelser som är av betydelse för säkerheten i systemet.

 Av bestämmelserna i 4 kap. 31-35 §§ i PMFS 2019:2 framgår att:

31 §: Verksamhetsutövaren ska logga händelser som kan påverka säkerheten i informationssystem som har betydelse för säkerhetskänslig verksamhet (säkerhetsloggning).

32 §: Verksamhetsutövaren ska ha rutiner för loggning av händelser som kan påverka säkerheten i informationssystem som har betydelse för säkerhetskänslig verksamhet. Rutinerna ska omfatta hur verksamhetsutövaren ska kunna upptäcka skadlig eller obehörig åtkomst eller påverkan samt funktionsstörningar. Rutinerna ska även omfatta vad som behövs i övrigt samt vilka åtgärder som ska vidtas vid upptäckta händelser.

33 §: ”För informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter ska rutinerna omfatta loggning av användning och ändring av behörigheter med systemadministrativ åtkomst och av roller med särskild behörighet i informationssystemet.”

34 §: Verksamhetsutövaren ska bevara säkerhetsloggar i minst 10 år. För informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen kvalificerat hemlig ska säkerhetsloggar bevaras i minst 25 år.

35 §: Verksamhetsutövaren ska vidta åtgärder för att skydda säkerhetsloggar mot obehörig åtkomst, ändring eller förstöring.

5)
Av bestämmelserna i 4 kap. 18 § i PMFS 2019:2 framgår att:

18 § I 3 kap. 4 § andra stycket säkerhetsskyddsförordningen (2018:658)

finns bestämmelser om skyddsåtgärder mot röjande signaler. Verksamhetsutövaren ska besluta om sådana åtgärder.

Av bestämmelserna i 3 kap. 4 § andra stycket säkerhetsskyddsförordningen (2018:658) framgår att:

En verksamhetsutövare som ansvarar för ett informationssystem enligt första stycket ska beakta risken för röjande signaler och vidta lämpliga skyddsåtgärder för systemet om

  1. informationssystemet avses behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
  2. obehörig åtkomst till informationssystemet kan medföra en skada för Sveriges säkerhet som inte är obetydlig.

 

[1] Detta är en utveckling av den matris över skyddsåtgärder som återfinns i artikel del 1, under figur 1.

[2] FFS2019:9 träder i kraft 2020-01-01 och ersätter då FFS2016:3