Del 3: Vilka åtgärder krävs för att skydda informationen?

Krisberedskap och Totalförsvar , Nyhet
fredag 13 mars 2020

I del ett gick vi igenom vilka bestämmelser som är styrande när man skall hantera säkerhetsskyddsklassificerade uppgifter i ett IT system. I andra delen kikade vi vidare på mer i detalj hur det skall gå till att skydda informationen och därmed vilka åtgärder som behövs. I den tredje och avslutande delen fortsätter vi att se mer i detalj hur det skall gå till att skydda informationen och därmed vilka åtgärder som behövs.

Skydd mot obehörig avlyssning ⁶

För att skydda säkerhetsskyddsklassificerade uppgifter mot obehörig avlyssning använder man sig bland annat av specialbyggda lokaler, administrativa åtgärder såsom specialanpassad access till utrymmen i form av till exempel passerkort och kod (för spårbarhet). Även hur och vem som hanterar utrustning och krav på utbildning av personal för att hantera utrustning är exempel på åtgärder som ger ett bra skydd.
Detta är krav på de högre säkerhetsskyddsklasserna hemlig och kvalificerat hemlig, men bör även införas på den lägre säkerhetsskyddsklassen konfidentiell men då kan en lägre skyddsnivå accepteras.

Intrångsdetektering/Intrångsskydd ⁷

I Säkerhetspolisens föreskrifter (PMFS 2019:2) beskrivs intrångsdetektering som administrativa eller tekniska åtgärder som vidtas för att detektera intrång eller försök eller förberedelse till intrång i informationssystem.
Detta gäller för säkerhetsskyddsklasser K, H och KH, men i olika nivåer.

Skydd mot skadlig kod ⁸

Skadlig kod är ett samlingsnamn för olika typer av programvaror som orsakar avsiktlig störning eller skada. I begreppet skadlig kod ingår bland annat virus, maskar, trojaner, exploits och rootkits. Skydd mot skadlig kod syftar till att skydda informationssystemet mot programkod som är tänkt att användas för att otillbörligt ändra, röja, exfiltrera, förstöra eller avlyssna uppgifter, filer eller programvara som lagras eller kommuniceras till/från ett informationssystem.
Effektivt skydd mot skadlig kod kan bland annat bestå av
- programexekveringskontroll (så kallad vitlistning) så att enbart godkända program kan exekveras,
- behörighetsstyrning,
- begränsning av att kunna exekvera scriptkod,
- brandväggar för att hindra skadlig programvara från att sprida sig till andra system,
- funktioner som försvårar att exploatera sårbarheter, exempelvis buffertöverskridning och
- antivirusprogramvara
Detta gäller för samtliga säkerhetsskyddsklasser BH, K, H och KH, men i olika nivåer.

Säkerhet i förvaltning ⁹

För att skydda säkerhetsskyddsklassificerade uppgifter behövs också säkerhet i förvaltningsledet under systemets hela livscykel.
Exempel på detta kan vara att i allt ifrån utvecklingsteam till driftorganisationer genom införande till avveckling tillse att det sker en systematisk och kontinuerlig säkerhets-, bemannings-, kompetens- och övningsverksamhet.
Detta gäller för samtliga säkerhetsskyddsklasser BH, K, H och KH, men i olika nivåer.

Dokumentation ¹⁰

Systemdokumentationen är viktig att den är uttömmande och aktuell. Den behöver vara ”levande” och ständigt uppdateras av alla inom drift, förvaltning och utveckling för att kunna upprätthålla säkerhet och kontroll.
Dokumentationen är också ett viktigt inslag i daglig och återkommande säkerhet i systemets drift.
Vid eventuell revision är också dokumentationen en omfattande och viktig informationskälla för att kunna påvisa säkerhet i systemet.
Dokumentation och information måste förses med en anteckning om vilken säkerhetsskyddsklass uppgifterna i handlingen har.
Detta gäller för samtliga säkerhetsskyddsklasser BH, K, H och KH.

Assurans ¹¹

Assurans innebär att man ska kunna påvisa förtroende för att säkerhetsfunktioner inte ska kunna kringgås.
Man ska kunna påvisa och redogöra hur man har kontroll över systemets komponenter, gränsytor och dataflöden.
Man ska kunna påvisa förtroende för hur drift och förvaltning av systemet upprätthålls.
Man ska kunna påvisa förtroende för hur en säker utveckling/vidareutveckling av systemet sker.
I assurans ingår även oberoende tester och granskning av systemet för att säkerställa att systemet uppvisar ett fullgott skydd för den säkerhetsskyddsklass som systemet är byggt för att hantera.
Detta gäller för samtliga säkerhetsskyddsklasser BH, K, H och KH.

In- och utförsel av data (IMPEX) ¹²

Med IMPEX menas att man genom administrativa åtgärder och/eller teknisk apparatur säkrar upp systemet samt får en spårbarhet i informationsflödet som sker genom in- och utförsel i systemet.
Vid utskrifter ska spårbarhet erhållas genom exempelvis s.k. säker utskrift, alltså att utskrift sker genom en printserver som hanterar autentisering av användare.
Detta gäller för säkerhetsskyddsklasser K, H och KH.

Utvecklings- och testmiljö ¹³

Utvecklings- och testmiljö ska spegla det skarpa systemet men ska inte innehålla skarp data. Systemen kan eventuellt populeras med oklassificerat testdata för att kunna göra simuleringar m.m.
Det finns tillfällen då det kan motiveras att ett system i utvecklings- och testmiljö kan behöva nedklassificeras. Det skall endast ske i undantagsfall samt om det kan motiveras och säkerställas genom att systemet inte innehåller någon information av en högre säkerhetsskyddsklass.
I övrigt lyder systemen under samma regelverk och kravmassa som skarpa system.

Publika molntjänster ¹⁴

Publika molntjänster tillåts inte för säkerhetsskyddsklassificerade uppgifter rörande Sveriges säkerhet. Detta för att det ej går att säkerställa att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs.
Däremot kan Multiprotocol Label Switching (MPLS) m.fl. utnyttjas i form av bärare av information. MPLS benämns ofta som MPLS moln eller MPLS domän. MPLS är i korthet ett protokoll för snabbare dirigering av IP-kommunikation i delar av nät. Denna typ av kommunikation förbättrar bland annat redundans i nätverk. Observera att information skall vara krypterad innan informationen lämnar kontrollerat område för att nyttja MPLS som bärartjänst.

Penetrationstester

Penetrationstester bör utföras av en oberoende granskare för att säkerställa att de säkerhetsåtgärder som man har genomfört på IT-systemet verkligen uppfyller det som utlovas och heller inte kringgås.
Penetrationstester är även en viktig komponent för att försäkra sig om att assuransen uppfylls i systemet.

En tillkommande punkt som bör tas hänsyn till är s.k. ”Data spillage” ¹⁵

Data spillage innebär att säkerhetsskyddsklassad information överförs till icke godkända eller till otillåtna system, personer, applikationer eller medium, medvetet eller omedvetet. Data spillage är som mest allvarligt när det sker från en högre säkerhetsskyddsklass till en lägre. Data kan vara kan vara skarpa data, kvarvarande data (gömd data) eller metadata. Data spillage kan vara ett resultat av felaktigt hanterad eller konfigurerad separation, behörighetsstyrning, privat data eller proprietärinformation.
På grund av större efterfrågan för informationsdelning försvagas ofta skyddsmekanismer och därmed ges till exempel användare som normalt sett inte har ett behov av informationen för sin tjänst, tillgång till en mindre eller större mängd säkerhetsskyddsklassade uppgifter.
Ett sätt att avhjälpa att data spillage sker är att fysiskt separera nätverk och system av en lägre klassning från de nätverk eller system som har en högre klassning. Ett annat sätt är att utbilda personal till att inte flytta högre säkerhetsskyddsklassificerade uppgifter till ett system med en lägre säkerhetsskyddsklass.

Del 3: Vilka åtgärder krävs för att skydda informationen?

Fotnoter (referenser till lagtexter del III)

⁶⁾Av bestämmelserna i 4 kap. 1 §säkerhetsskyddsförordningen (2018:658) framgår att:

Områden, byggnader och andra anläggningar eller objekt där säkerhetsskyddsklassificerade uppgifter förvaras eller annars behandlas, eller där säkerhetskänslig verksamhet i övrigt bedrivs, ska vara försedda med funktioner för att upptäcka, försvåra och hantera obehörigt tillträde och skadlig inverkan utifrån ett identifierat säkerhetsskyddsbehov.

⁷⁾Av bestämmelserna i 4 kap. 29-30 §§ i PMFS2019:2 framgår att:

29 §: Verksamhetsutövaren ska förse ett informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre och som kommunicerar med andra informationssystem, med funktioner för intrångsdetektering och intrångsskydd.

30 §: Verksamhetsutövaren ska förse ett informationssystem där en incident kan medföra mer än ringa skada för Sveriges säkerhet och som kommunicerar med andra informationssystem, med funktioner för intrångsdetektering och intrångsskydd.

⁸⁾Av bestämmelserna i 3 kap 4§ säkerhetsskyddsförordningen (2018:658) samt 4 kap. 27 § i PMFS2019:2 framgår att:

27 §: Verksamhetsutövaren ska för informationssystem som har betydelse för säkerhetskänslig verksamhet analysera behovet av och i förekommande fall besluta att använda de funktioner för skydd mot skadlig kod som är nödvändiga från säkerhetsskyddssynpunkt.

^{9, 10, 11, 12, 13}⁾Av KSF Krav på IT-säkerhetsförmågor hos IT-system v3.1, Försvarsmaktens beteckning:

FM2014-5302:1 framtagna krav hantering av säkerhetsskyddsklassificerade uppgifter placerade i informationssäkerhetsklass Begränsat Hemlig, Konfidentiell, Hemlig och Kvalificerat Hemlig.

¹⁴⁾Av bestämmelserna i 2 kap. 2 § i säkerhetsskyddslagen (2018:585) framgår att:

Informationssäkerhet ska
1. förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
2. förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

¹⁵⁾Securing Data and Handling Spillage Events

http://www.nsa.gov

Basalt har under mer än 10 år arbetat med att designa, utveckla, implementera och förvalta IT-system och tillhörande systemdokumentation kopplat till säkerhetsskyddklassad information åt en rad kunder, både privata och offentliga. De erfarenheter som vi dragit av detta arbete har vi omsatt i en strukturerad metodik och arkitektur för att på ett effektivt sätt kunna hjälpa nya kunder som är intresserade av att ha hög grad av kontroll och kvalitet, och därmed säkerhet över tid, i sina IT-system och sin IT-infrastruktur.

Skribent

Martin Jinnestrand
Senior Security Specialist

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning

Del 3: Vilka åtgärder krävs för att skydda informationen?

Skydd mot obehörig avlyssning 6

Intrångsdetektering/Intrångsskydd 7

Skydd mot skadlig kod 8

Säkerhet i förvaltning 9

Dokumentation 10

Assurans 11

In- och utförsel av data (IMPEX) 12

Utvecklings- och testmiljö 13

Publika molntjänster 14

Penetrationstester

En tillkommande punkt som bör tas hänsyn till är s.k. ”Data spillage” 15

Skribent

More news

Skydd mot obehörig avlyssning ⁶

Intrångsdetektering/Intrångsskydd ⁷

Skydd mot skadlig kod ⁸

Säkerhet i förvaltning ⁹

Dokumentation ¹⁰

Assurans ¹¹

In- och utförsel av data (IMPEX) ¹²

Utvecklings- och testmiljö ¹³

Publika molntjänster ¹⁴

En tillkommande punkt som bör tas hänsyn till är s.k. ”Data spillage” ¹⁵