Vad gäller för de olika säkerhetsskyddsklasserna?

Krisberedskap och Totalförsvar , Nyhet
fredag 6 mars 2020

Vi har gått igenom vilka bestämmelser som är styrande när man skall hantera säkerhetsskyddsklassificerade uppgifter i ett IT system i del ett av denna artikelserie. I andra delen kikar vi vidare på mer i detalj hur det skall gå till att skydda informationen och därmed vilka åtgärder som behövs.

Inledningsvis är det viktigt att konstatera att det inte finns någon exakt lista eller fullständiga detaljregler för vad som gäller för indelning i säkerhetsskyddsklasser och exakt vilka åtgärder som ska vidtas för att skydda säkerhetsskyddsklassificerade uppgifter. Det som är avgörande för varje aktör som hanterar säkerhetsskyddsklassificerade uppgifter är att aktören för ett logiskt resonemang om skyddsåtgärder och att tillsynsmyndigheten godkänner åtgärderna.

När nya system införs fastställer den verksamhetsansvariga myndigheten, efter godkännande av tillsynsmyndigheten, vidtagna åtgärder genom beslut om godkännande eller ackreditering.

De viktigaste kraven som finns i säkerhetsskyddslagen, säkerhetsskyddsförordningen och Säkerhetspolisens föreskrifter tas upp nedan.[1] Dessa punkter ger information hur man skall hantera säkerhetsskyddsklassificerade uppgifter i informationssystem. Varje punkt har en referens till lagtext eller liknande i slutet av denna artikel.

Fysisk och logisk separation av information ¹

Begränsat hemlig och konfidentiell information skall separeras logiskt från system eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd.
Hemlig eller kvalificerat hemlig information skall separeras fysiskt från system eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd. Denna information får dessutom bara importeras eller exporteras genom envägskommunikation.

Av Försvarsmakten godkänt krypto ²

Säkerhetsskyddsklassificerade uppgifter som behöver kommuniceras till system utanför utövarens kontroll ska skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.
Med begreppet kontroll menas att utövaren ska ha både administrativ och fysisk kontroll över förbindelsen så att obehörig åtkomst för avlyssning eller annan påverkan omöjliggörs.
Signalskydd som indelas i två delar.

1. kryptoalgoritmer (matematiska funktioner i ett system för):

– att skydda information mot insyn och förvanskning, vid överföring och lagring med hjälp av kryptering,
– identifiering och autentisering,
– signering och verifiering av information och
– generering av signalskyddsnycklar.

2. signalskyddssystem:

– system med kryptoalgoritmer som är godkänt av Försvarsmaktens högkvarter för skydd av uppgifter enligt bilaga 1 till (FFS2019:9)[2], eller
– system för skydd mot obehörig insyn i och påverkan av telekommunikations- och IT-system som är godkänt av Försvarsmaktens högkvarter.

Behörighetskontroll ³

Behörighetskontroll är nödvändig för att säkerställa att endast behöriga får åtkomst till systemen. Behörighetskontroll innefattar många delar, allt från ID-kontroll för att verifiera identiteten på en person som ska tilldelas ett användarkonto i ett informationssystem, att se till att det finns adekvata inloggningsmekanismer, till att följa upp och säkerställa att en användare har rätt behörigheter över tid.
Detta gäller för samtliga säkerhetsskyddsklasser BH, K, H och KH, men i olika nivåer.

Säkerhetsloggning ⁴

Med säkerhetsloggning menas att samla information om en händelse och om när händelsen inträffat i ett informationssystem. Loggar är därför ett bra hjälpmedel för att kunna veta vad som har hänt i ett informationssystem vid ett givet tillfälle. I fackspråk används ofta begreppet spårbarhet, där logga är en förutsättning för att en verksamhetsutövare ska kunna uppnå spårbarhet till olika händelser som inträffar i ett informationssystem. Spårbarhet är i sin tur en förutsättning för att en verksamhetsutövare ska kunna leda i bevis vem som har gjort vad i ett informationssystem vid ett givet tillfälle, exempelvis vem som haft åtkomst till säkerhetsskyddsklassificerade uppgifter och när.
Detta gäller för samtliga säkerhetsskyddsklasser BH, K, H och KH, men i olika nivåer.

Skydd mot röjande signaler ⁵ (RÖS)

Med röjande signaler menas ej önskvärda elektromagnetiska och eller akustiska signaler som alstras i informationsbehandlade utrustningar och som, om de kan tydas av obehörig, kan bidra till att känsliga eller hemliga uppgifter röjs.
Både avstånd, EMP-skydd (typ Faradays bur, s.k. RÖS-rum), fysisk separation av el och andra tekniska skyddsmekanismer såsom för ändamålet särskilt tillverkad utrustning (Routrar, switchar, klienter, printerhuvar, USB-lådor och servrar m.m.) används för att skydda mot RÖS.
Hänsyn tas även till att kontrollera möbler, placering av rummet i förhållande till okontrollerat område och tillse att det finns vågfällor för in- och utgående kablage om det är aktuellt med RÖS-rum.
Detta gäller för de högre säkerhetsskyddsklasserna konfidentiell, hemlig och kvalificerat hemlig.
Inom EU och NATO används ett annat system som bygger på zon-indelning i större utsträckning, kallat TEMPEST. Detta kommer inte behandlas vidare i denna artikel.

I den tredje och avslutande delen kommer vi att fortsätta titta på mer i detalj vad varje åtgärd betyder i praktiken.

Fotnoter (referenser till lagtexter del II)

¹⁾4 kap. 20-21 §§ i PMFS2019:2

20 §: Verksamhetsutövaren ska se till att informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig eller konfidentiell, logiskt separeras från informationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd.

21 §: Verksamhetsutövaren ska se till att informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig, fysiskt separeras från informationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd. Informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig, ska tillåta endast envägskommunikation vid import respektive export av data.

²⁾Av bestämmelserna i 3 kap. 5 § i säkerhetsskyddförordningen (2018:658) framgår att:

5 §: Innan säkerhetsskyddsklassificerade uppgifter behandlas i ett informationssystem utanför verksamhetsutövarens kontroll ska denne försäkra sig om att säkerhetsskyddet för uppgifterna i systemet är tillräckligt. Om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll ska uppgifterna skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.

³⁾Av bestämmelserna i 2 kap. 17 § i PMFS2019:2 framgår att:

17 §: Verksamhetsutövaren ska ha rutiner för tilldelning och förändring av behörigheter, fysiska eller elektroniska nycklar eller annat som ger åtkomst till säkerhetskänslig verksamhet. Verksamhetsutövaren ska kunna följa upp vilken åtkomst den som deltar i säkerhetskänslig verksamhet har till verksamheten, och regelbundet, minst en gång per år, ompröva sådana åtkomster.

Av bestämmelserna i 4 kap. 12-13 §§ i PMFS2019:2 framgår att:

12 §: Alla utställda identiteter i ett informationssystem som har betydelse för säkerhetskänslig verksamhet ska vara unika över tid. Åtkomsten ska vara spårbar till individ, system eller resurs.

13 §: Verksamhetsutövaren ska tilldela sådana behörigheter som ger systemadministrativ åtkomst eller annan särskild tillgång till informationssystem som har betydelse för säkerhetskänslig verksamhet restriktivt. Behörigheterna ska vara tidsbegränsade och följas upp särskilt. Tilldelning av behörigheter enligt första stycket som inte direkt kan kopplas till någon fysisk individ ska ske särskilt restriktivt och beslutas av säkerhetsskyddschefen eller den han eller hon bestämmer.

⁴⁾Av bestämmelserna i 3 kap. 4 § säkerhetsskyddsförordningen framgår att:

4 §: En verksamhetsutövare som ansvarar för ett informationssystem som ska användas i säkerhetskänsligverksamhet ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informationssystemet samt obehörig avlyssning av, åtkomst till och nyttjande av informationssystemet. Verksamhetsutövarenska också se till att spårbarhet finns för händelser som är av betydelse för säkerheten i systemet.

Av bestämmelserna i 4 kap. 31-35 §§ i PMFS 2019:2 framgår att:

31 §: Verksamhetsutövaren ska logga händelser som kan påverka säkerheten i informationssystem som har betydelse för säkerhetskänslig verksamhet (säkerhetsloggning).

32 §: Verksamhetsutövaren ska ha rutiner för loggning av händelser som kan påverka säkerheten i informationssystem som har betydelse för säkerhetskänslig verksamhet. Rutinerna ska omfatta hur verksamhetsutövaren ska kunna upptäcka skadlig eller obehörig åtkomst eller påverkan samt funktionsstörningar. Rutinerna ska även omfatta vad som behövs i övrigt samt vilka åtgärder som ska vidtas vid upptäckta händelser.

33 §: ”För informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter ska rutinerna omfatta loggning av användning och ändring av behörigheter med systemadministrativ åtkomst och av roller med särskild behörighet i informationssystemet.”

34 §: Verksamhetsutövaren ska bevara säkerhetsloggar i minst 10 år. För informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen kvalificerat hemlig ska säkerhetsloggar bevaras i minst 25 år.

35 §: Verksamhetsutövaren ska vidta åtgärder för att skydda säkerhetsloggar mot obehörig åtkomst, ändring eller förstöring.

⁵⁾Av bestämmelserna i 4 kap. 18 § i PMFS 2019:2 framgår att:

18 § I 3 kap. 4 § andra stycket säkerhetsskyddsförordningen (2018:658)

finns bestämmelser om skyddsåtgärder mot röjande signaler. Verksamhetsutövaren ska besluta om sådana åtgärder.

Av bestämmelserna i 3 kap. 4 § andra stycket säkerhetsskyddsförordningen (2018:658) framgår att:

En verksamhetsutövare som ansvarar för ett informationssystem enligt första stycket ska beakta risken för röjande signaler och vidta lämpliga skyddsåtgärder för systemet om

informationssystemet avses behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
obehörig åtkomst till informationssystemet kan medföra en skada för Sveriges säkerhet som inte är obetydlig.

[1] Detta är en utveckling av den matris över skyddsåtgärder som återfinns i artikel del 1, under figur 1.

[2] FFS2019:9 träder i kraft 2020-01-01 och ersätter då FFS2016:3

Skribent

Martin Jinnestrand
Senior Security Specialist

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning

Vad gäller för de olika säkerhetsskyddsklasserna?

Fysisk och logisk separation av information 1

Av Försvarsmakten godkänt krypto 2

Behörighetskontroll 3

Säkerhetsloggning 4

Skydd mot röjande signaler 5 (RÖS)