Del 3: Vilka åtgärder krävs för att skydda informationen?

セキュリティイメージ

I den tredje och avslutande delen fortsätter vi att se mer i detalj hur det skall gå till att skydda informationen och därmed vilka åtgärder som behövs.

Skydd mot obehörig avlyssning 6

  • För att skydda säkerhetsskyddsklassificerade uppgifter mot obehörig avlyssning använder man sig bland annat av specialbyggda lokaler, administrativa åtgärder såsom specialanpassad access till utrymmen i form av till exempel passerkort och kod (för spårbarhet). Även hur och vem som hanterar utrustning och krav på utbildning av personal för att hantera utrustning är exempel på åtgärder som ger ett bra skydd.
  • Detta är krav på de högre säkerhetsskyddsklasserna hemlig och kvalificerat hemlig, men bör även införas på den lägre säkerhetsskyddsklassen konfidentiell men då kan en lägre skyddsnivå accepteras.

Intrångsdetektering/Intrångsskydd 7

  • I Säkerhetspolisens föreskrifter (PMFS 2019:2) beskrivs intrångsdetektering som administrativa eller tekniska åtgärder som vidtas för att detektera intrång eller försök eller förberedelse till intrång i informationssystem.
  • Detta gäller för säkerhetsskyddsklasser K, H och KH, men i olika nivåer.

Skydd mot skadlig kod 8

  • Skadlig kod är ett samlingsnamn för olika typer av programvaror som orsakar avsiktlig störning eller skada. I begreppet skadlig kod ingår bland annat virus, maskar, trojaner, exploits och rootkits. Skydd mot skadlig kod syftar till att skydda informationssystemet mot programkod som är tänkt att användas för att otillbörligt ändra, röja, exfiltrera, förstöra eller avlyssna uppgifter, filer eller programvara som lagras eller kommuniceras till/från ett informationssystem.
  • Effektivt skydd mot skadlig kod kan bland annat bestå av
    • programexekveringskontroll (så kallad vitlistning) så att enbart godkända program kan exekveras,
    • behörighetsstyrning,
    • begränsning av att kunna exekvera scriptkod,
    • brandväggar för att hindra skadlig programvara från att sprida sig till andra system,
    • funktioner som försvårar att exploatera sårbarheter, exempelvis buffertöverskridning och
    • antivirusprogramvara
  • Detta gäller för samtliga säkerhetsskyddsklasser BH, K, H och KH, men i olika nivåer.

Säkerhet i förvaltning 9

  • För att skydda säkerhetsskyddsklassificerade uppgifter behövs också säkerhet i förvaltningsledet under systemets hela livscykel.
  • Exempel på detta kan vara att i allt ifrån utvecklingsteam till driftorganisationer genom införande till avveckling tillse att det sker en systematisk och kontinuerlig säkerhets-, bemannings-, kompetens- och övningsverksamhet.
  • Detta gäller för samtliga säkerhetsskyddsklasser BH, K, H och KH, men i olika nivåer.

Dokumentation 10

  • Systemdokumentationen är viktig att den är uttömmande och aktuell. Den behöver vara ”levande” och ständigt uppdateras av alla inom drift, förvaltning och utveckling för att kunna upprätthålla säkerhet och kontroll.
  • Dokumentationen är också ett viktigt inslag i daglig och återkommande säkerhet i systemets drift.
  • Vid eventuell revision är också dokumentationen en omfattande och viktig informationskälla för att kunna påvisa säkerhet i systemet.
  • Dokumentation och information måste förses med en anteckning om vilken säkerhetsskyddsklass uppgifterna i handlingen har.
  • Detta gäller för samtliga säkerhetsskyddsklasser BH, K, H och KH.

Assurans 11

  • Assurans innebär att man ska kunna påvisa förtroende för att säkerhetsfunktioner inte ska kunna kringgås.
  • Man ska kunna påvisa och redogöra hur man har kontroll över systemets komponenter, gränsytor och dataflöden.
  • Man ska kunna påvisa förtroende för hur drift och förvaltning av systemet upprätthålls.
  • Man ska kunna påvisa förtroende för hur en säker utveckling/vidareutveckling av systemet sker.
  • I assurans ingår även oberoende tester och granskning av systemet för att säkerställa att systemet uppvisar ett fullgott skydd för den säkerhetsskyddsklass som systemet är byggt för att hantera.
  • Detta gäller för samtliga säkerhetsskyddsklasser BH, K, H och KH.

In- och utförsel av data (IMPEX) 12

  • Med IMPEX menas att man genom administrativa åtgärder och/eller teknisk apparatur säkrar upp systemet samt får en spårbarhet i informationsflödet som sker genom in- och utförsel i systemet.
  • Vid utskrifter ska spårbarhet erhållas genom exempelvis s.k. säker utskrift, alltså att utskrift sker genom en printserver som hanterar autentisering av användare.
  • Detta gäller för säkerhetsskyddsklasser K, H och KH.

Utvecklings- och testmiljö 13

  • Utvecklings- och testmiljö ska spegla det skarpa systemet men ska inte innehålla skarp data. Systemen kan eventuellt populeras med oklassificerat testdata för att kunna göra simuleringar m.m.
  • Det finns tillfällen då det kan motiveras att ett system i utvecklings- och testmiljö kan behöva nedklassificeras. Det skall endast ske i undantagsfall samt om det kan motiveras och säkerställas genom att systemet inte innehåller någon information av en högre säkerhetsskyddsklass.
  • I övrigt lyder systemen under samma regelverk och kravmassa som skarpa system.

Publika molntjänster 14

  • Publika molntjänster tillåts inte för säkerhetsskyddsklassificerade uppgifter rörande Sveriges säkerhet. Detta för att det ej går att säkerställa att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs.
  • Däremot kan Multiprotocol Label Switching (MPLS) m.fl. utnyttjas i form av bärare av information. MPLS benämns ofta som MPLS moln eller MPLS domän. MPLS är i korthet ett protokoll för snabbare dirigering av IP-kommunikation i delar av nät. Denna typ av kommunikation förbättrar bland annat redundans i nätverk. Observera att information skall vara krypterad innan informationen lämnar kontrollerat område för att nyttja MPLS som bärartjänst.

Penetrationstester

  • Penetrationstester bör utföras av en oberoende granskare för att säkerställa att de säkerhetsåtgärder som man har genomfört på IT-systemet verkligen uppfyller det som utlovas och heller inte kringgås.
  • Penetrationstester är även en viktig komponent för att försäkra sig om att assuransen uppfylls i systemet.

En tillkommande punkt som bör tas hänsyn till är s.k. ”Data spillage” 15

  • Data spillage innebär att säkerhetsskyddsklassad information överförs till icke godkända eller till otillåtna system, personer, applikationer eller medium, medvetet eller omedvetet. Data spillage är som mest allvarligt när det sker från en högre säkerhetsskyddsklass till en lägre. Data kan vara kan vara skarpa data, kvarvarande data (gömd data) eller metadata. Data spillage kan vara ett resultat av felaktigt hanterad eller konfigurerad separation, behörighetsstyrning, privat data eller proprietärinformation.
  • På grund av större efterfrågan för informationsdelning försvagas ofta skyddsmekanismer och därmed ges till exempel användare som normalt sett inte har ett behov av informationen för sin tjänst, tillgång till en mindre eller större mängd säkerhetsskyddsklassade uppgifter.
  • Ett sätt att avhjälpa att data spillage sker är att fysiskt separera nätverk och system av en lägre klassning från de nätverk eller system som har en högre klassning. Ett annat sätt är att utbilda personal till att inte flytta högre säkerhetsskyddsklassificerade uppgifter till ett system med en lägre säkerhetsskyddsklass.

Fotnoter (referenser till lagtexter del III)

6) Av bestämmelserna i 4 kap. 1 §säkerhetsskyddsförordningen (2018:658) framgår att:

Områden, byggnader och andra anläggningar eller objekt där säkerhetsskyddsklassificerade uppgifter förvaras eller annars behandlas, eller där säkerhetskänslig verksamhet i övrigt bedrivs, ska vara försedda med funktioner för att upptäcka, försvåra och hantera obehörigt tillträde och skadlig inverkan utifrån ett identifierat säkerhetsskyddsbehov.

 

7) Av bestämmelserna i 4 kap. 29-30 §§ i PMFS2019:2 framgår att:

29 §: Verksamhetsutövaren ska förse ett informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre och som kommunicerar med andra informationssystem, med funktioner för intrångsdetektering och intrångsskydd.

 

30 §: Verksamhetsutövaren ska förse ett informationssystem där en incident kan medföra mer än ringa skada för Sveriges säkerhet och som kommunicerar med andra informationssystem, med funktioner för intrångsdetektering och intrångsskydd.

 

8) Av bestämmelserna i 3 kap 4§ säkerhetsskyddsförordningen (2018:658) samt 4 kap. 27 § i PMFS2019:2 framgår att:

27 §: Verksamhetsutövaren ska för informationssystem som har betydelse för säkerhetskänslig verksamhet analysera behovet av och i förekommande fall besluta att använda de funktioner för skydd mot skadlig kod som är nödvändiga från säkerhetsskyddssynpunkt.

 

9, 10, 11, 12, 13) Av KSF Krav på IT-säkerhetsförmågor hos IT-system v3.1, Försvarsmaktens beteckning:

FM2014-5302:1 framtagna krav hantering av säkerhetsskyddsklassificerade uppgifter placerade i informationssäkerhetsklass Begränsat Hemlig, Konfidentiell, Hemlig och Kvalificerat Hemlig.

 

14) Av bestämmelserna i 2 kap. 2 § i säkerhetsskyddslagen (2018:585) framgår att:

Informationssäkerhet ska
1. förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
2. förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

 

15) Securing Data and Handling Spillage Events

http://www.nsa.gov

 

Basalt har under mer än 10 år arbetat med att designa, utveckla, implementera och förvalta IT-system och tillhörande systemdokumentation kopplat till säkerhetsskyddklassad information åt en rad kunder, både privata och offentliga. De erfarenheter som vi dragit av detta arbete har vi omsatt i en strukturerad metodik och arkitektur för att på ett effektivt sätt kunna hjälpa nya kunder som är intresserade av att ha hög grad av kontroll och kvalitet, och därmed säkerhet över tid, i sina IT-system och sin IT-infrastruktur. 

mans_lagehall_web

Skribent

  • Måns är konsult på Basalt inom IT-säkerhetsskydd. Han har närmast varit verksam inom Försvarsmakten och har därigenom en gedigen erfarenhet av säkerhetsarbete, förvaltning och arkitektur i såväl internationell som nationell miljö. Han ser uppbyggandet av ett starkt totalförsvar som prioritet. Genom sin bakgrund vill han sprida kunskap om säkra IT-system samt bidra till en ökad medvetenhet kring säkerhetsfrågor.