Vi har gått igenom vilka bestämmelser som är styrande när man skall hantera säkerhetsskyddsklassificerade uppgifter i ett IT system i del ett av denna artikelserie. I andra delen kikar vi vidare på mer i detalj hur det skall gå till att skydda informationen och därmed vilka åtgärder som behövs.
Inledningsvis är det viktigt att konstatera att det inte finns någon exakt lista eller fullständiga detaljregler för vad som gäller för indelning i säkerhetsskyddsklasser och exakt vilka åtgärder som ska vidtas för att skydda säkerhetsskyddsklassificerade uppgifter. Det som är avgörande för varje aktör som hanterar säkerhetsskyddsklassificerade uppgifter är att aktören för ett logiskt resonemang om skyddsåtgärder och att tillsynsmyndigheten godkänner åtgärderna.
När nya system införs fastställer den verksamhetsansvariga myndigheten, efter godkännande av tillsynsmyndigheten, vidtagna åtgärder genom beslut om godkännande eller ackreditering.
De viktigaste kraven som finns i säkerhetsskyddslagen, säkerhetsskyddsförordningen och Säkerhetspolisens föreskrifter tas upp nedan.[1] Dessa punkter ger information hur man skall hantera säkerhetsskyddsklassificerade uppgifter i informationssystem. Varje punkt har en referens till lagtext eller liknande i slutet av denna artikel.
1. kryptoalgoritmer (matematiska funktioner i ett system för):
– att skydda information mot insyn och förvanskning, vid överföring och lagring med hjälp av kryptering,
– identifiering och autentisering,
– signering och verifiering av information och
– generering av signalskyddsnycklar.
2. signalskyddssystem:
– system med kryptoalgoritmer som är godkänt av Försvarsmaktens högkvarter för skydd av uppgifter enligt bilaga 1 till (FFS2019:9)[2], eller
– system för skydd mot obehörig insyn i och påverkan av telekommunikations- och IT-system som är godkänt av Försvarsmaktens högkvarter.
I den tredje och avslutande delen kommer vi att fortsätta titta på mer i detalj vad varje åtgärd betyder i praktiken.
1)
4 kap. 20-21 §§ i PMFS2019:2
20 §: Verksamhetsutövaren ska se till att informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig eller konfidentiell, logiskt separeras från informationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd.
21 §: Verksamhetsutövaren ska se till att informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig, fysiskt separeras från informationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd. Informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig, ska tillåta endast envägskommunikation vid import respektive export av data.
2)
Av bestämmelserna i 3 kap. 5 § i säkerhetsskyddförordningen (2018:658) framgår att:
5 §: Innan säkerhetsskyddsklassificerade uppgifter behandlas i ett informationssystem utanför verksamhetsutövarens kontroll ska denne försäkra sig om att säkerhetsskyddet för uppgifterna i systemet är tillräckligt. Om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll ska uppgifterna skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.
3)
Av bestämmelserna i 2 kap. 17 § i PMFS2019:2 framgår att:
17 §: Verksamhetsutövaren ska ha rutiner för tilldelning och förändring av behörigheter, fysiska eller elektroniska nycklar eller annat som ger åtkomst till säkerhetskänslig verksamhet. Verksamhetsutövaren ska kunna följa upp vilken åtkomst den som deltar i säkerhetskänslig verksamhet har till verksamheten, och regelbundet, minst en gång per år, ompröva sådana åtkomster.
Av bestämmelserna i 4 kap. 12-13 §§ i PMFS2019:2 framgår att:
12 §: Alla utställda identiteter i ett informationssystem som har betydelse för säkerhetskänslig verksamhet ska vara unika över tid. Åtkomsten ska vara spårbar till individ, system eller resurs.
13 §: Verksamhetsutövaren ska tilldela sådana behörigheter som ger systemadministrativ åtkomst eller annan särskild tillgång till informationssystem som har betydelse för säkerhetskänslig verksamhet restriktivt. Behörigheterna ska vara tidsbegränsade och följas upp särskilt. Tilldelning av behörigheter enligt första stycket som inte direkt kan kopplas till någon fysisk individ ska ske särskilt restriktivt och beslutas av säkerhetsskyddschefen eller den han eller hon bestämmer.
4)
Av bestämmelserna i 3 kap. 4 § säkerhetsskyddsförordningen framgår att:
4 §: En verksamhetsutövare som ansvarar för ett informationssystem som ska användas i säkerhetskänsligverksamhet ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informationssystemet samt obehörig avlyssning av, åtkomst till och nyttjande av informationssystemet. Verksamhetsutövarenska också se till att spårbarhet finns för händelser som är av betydelse för säkerheten i systemet.
Av bestämmelserna i 4 kap. 31-35 §§ i PMFS 2019:2 framgår att:
31 §: Verksamhetsutövaren ska logga händelser som kan påverka säkerheten i informationssystem som har betydelse för säkerhetskänslig verksamhet (säkerhetsloggning).
32 §: Verksamhetsutövaren ska ha rutiner för loggning av händelser som kan påverka säkerheten i informationssystem som har betydelse för säkerhetskänslig verksamhet. Rutinerna ska omfatta hur verksamhetsutövaren ska kunna upptäcka skadlig eller obehörig åtkomst eller påverkan samt funktionsstörningar. Rutinerna ska även omfatta vad som behövs i övrigt samt vilka åtgärder som ska vidtas vid upptäckta händelser.
33 §: ”För informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter ska rutinerna omfatta loggning av användning och ändring av behörigheter med systemadministrativ åtkomst och av roller med särskild behörighet i informationssystemet.”
34 §: Verksamhetsutövaren ska bevara säkerhetsloggar i minst 10 år. För informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen kvalificerat hemlig ska säkerhetsloggar bevaras i minst 25 år.
35 §: Verksamhetsutövaren ska vidta åtgärder för att skydda säkerhetsloggar mot obehörig åtkomst, ändring eller förstöring.
5)
Av bestämmelserna i 4 kap. 18 § i PMFS 2019:2 framgår att:
18 § I 3 kap. 4 § andra stycket säkerhetsskyddsförordningen (2018:658)
finns bestämmelser om skyddsåtgärder mot röjande signaler. Verksamhetsutövaren ska besluta om sådana åtgärder.
Av bestämmelserna i 3 kap. 4 § andra stycket säkerhetsskyddsförordningen (2018:658) framgår att:
En verksamhetsutövare som ansvarar för ett informationssystem enligt första stycket ska beakta risken för röjande signaler och vidta lämpliga skyddsåtgärder för systemet om
[1] Detta är en utveckling av den matris över skyddsåtgärder som återfinns i artikel del 1, under figur 1.
[2] FFS2019:9 träder i kraft 2020-01-01 och ersätter då FFS2016:3
Sök på sidan
Sök efter sidor eller nyheter
Kaka | Varaktighet | Beskrivning |
---|---|---|
cookielawinfo-checbox-analytics | 11 months | Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics". |
cookielawinfo-checbox-functional | 11 months | Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell". |
cookielawinfo-checbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-advertisement | 1 year | Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons". |
cookielawinfo-checkbox-necessary | 11 months | Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt". |
cookielawinfo-checkbox-performance | 11 months | Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda". |
viewed_cookie_policy | 11 months | Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter. |
Kaka | Varaktighet | Beskrivning |
---|---|---|
bcookie | 2 years | LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID. |
bscookie | 2 years | LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen. |
lang | session | LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning. |
lidc | 1 day | LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter. |
Kaka | Varaktighet | Beskrivning |
---|---|---|
_ga | 2 years | _ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare. |
_ga_756JKDQ1KE | 2 years | Denna cookie installeras av Google Analytics. |
_gat_gtag_UA_55739322_1 | 1 minute | Inställd av Google för att särskilja användare. |
_gat_UA-55739322-1 | 1 minute | En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till. |
_gid | 1 day | Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt. |
_hjAbsoluteSessionInProgress | 30 minutes | Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien. |
_hjFirstSeen | 30 minutes | Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren. |
_hjIncludedInPageviewSample | 2 minutes | Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns. |
_hjIncludedInSessionSample | 2 minutes | Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns. |
_hjTLDTest | session | För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas. |
CONSENT | 2 years | YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data. |
Google_Tag_Manager | 1 year | |
nQ_cookieId | 1 year | Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning. |
UserMatchHistory | 1 month | LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID. |
Kaka | Varaktighet | Beskrivning |
---|---|---|
VISITOR_INFO1_LIVE | 5 months 27 days | En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet. |
YSC | session | YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor. |
yt-remote-connected-devices | never | YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video. |
yt-remote-device-id | never | YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video. |
Kaka | Varaktighet | Beskrivning |
---|---|---|
_hjSession_2668272 | 30 minutes | Ingen beskrivning |
_hjSessionUser_2668272 | 1 year | Ingen beskrivning |
AnalyticsSyncHistory | 1 month | Ingen beskrivning |
li_gc | 2 years | Ingen beskrivning |
nQ_userVisitId | 30 minutes | Ingen beskrivning |
Kaka | Varaktighet | Beskrivning |
---|---|---|
cookielawinfo-checbox-analytics | 11 months | Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics". |
cookielawinfo-checbox-functional | 11 months | Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell". |
cookielawinfo-checbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-advertisement | 1 year | Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons". |
cookielawinfo-checkbox-necessary | 11 months | Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt". |
cookielawinfo-checkbox-performance | 11 months | Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda". |
viewed_cookie_policy | 11 months | Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter. |
Kaka | Varaktighet | Beskrivning |
---|---|---|
bcookie | 2 years | LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID. |
bscookie | 2 years | LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen. |
lang | session | LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning. |
lidc | 1 day | LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter. |
Kaka | Varaktighet | Beskrivning |
---|---|---|
_ga | 2 years | _ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare. |
_ga_756JKDQ1KE | 2 years | Denna cookie installeras av Google Analytics. |
_gat_gtag_UA_55739322_1 | 1 minute | Inställd av Google för att särskilja användare. |
_gat_UA-55739322-1 | 1 minute | En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till. |
_gid | 1 day | Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt. |
_hjAbsoluteSessionInProgress | 30 minutes | Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien. |
_hjFirstSeen | 30 minutes | Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren. |
_hjIncludedInPageviewSample | 2 minutes | Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns. |
_hjIncludedInSessionSample | 2 minutes | Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns. |
_hjTLDTest | session | För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas. |
CONSENT | 2 years | YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data. |
Google_Tag_Manager | 1 year | |
nQ_cookieId | 1 year | Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning. |
UserMatchHistory | 1 month | LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID. |
Kaka | Varaktighet | Beskrivning |
---|---|---|
VISITOR_INFO1_LIVE | 5 months 27 days | En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet. |
YSC | session | YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor. |
yt-remote-connected-devices | never | YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video. |
yt-remote-device-id | never | YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video. |
Kaka | Varaktighet | Beskrivning |
---|---|---|
_hjSession_2668272 | 30 minutes | Ingen beskrivning |
_hjSessionUser_2668272 | 1 year | Ingen beskrivning |
AnalyticsSyncHistory | 1 month | Ingen beskrivning |
li_gc | 2 years | Ingen beskrivning |
nQ_userVisitId | 30 minutes | Ingen beskrivning |