Vad gäller för de olika säkerhetsskyddsklasserna?

DSC_4686

Inledningsvis är det viktigt att konstatera att det inte finns någon exakt lista eller fullständiga detaljregler för vad som gäller för indelning i säkerhetsskyddsklasser och exakt vilka åtgärder som ska vidtas för att skydda säkerhetsskyddsklassificerade uppgifter. Det som är avgörande för varje aktör som hanterar säkerhetsskyddsklassificerade uppgifter är att aktören för ett logiskt resonemang om skyddsåtgärder och att tillsynsmyndigheten godkänner åtgärderna.

När nya system införs fastställer den verksamhetsansvariga myndigheten, efter godkännande av tillsynsmyndigheten, vidtagna åtgärder genom beslut om godkännande eller ackreditering.

De viktigaste kraven som finns i säkerhetsskyddslagen (2018:585), säkerhetsskyddsförordningen (2021:955) och Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1) tas upp nedan1. Dessa punkter ger information hur man skall hantera säkerhetsskyddsklassificerade uppgifter i informationssystem. Varje punkt har en referens till lagtext eller liknande i slutet av denna artikel.

Försvarsmakten (FM) och Försvarets materielverk (FMV) omfattas endast av vissa delar i PMFS 2022:1. FM och FMV har även egna föreskrifter.

Fysisk och logisk separation av information 2

  • Begränsat hemlig och konfidentiell information skall separeras logiskt från system eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd.
  • Hemlig eller kvalificerat hemlig information skall separeras fysiskt från system eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd. Denna information får dessutom bara importeras eller exporteras genom envägskommunikation.

Av Försvarsmakten godkänt krypto 3

  • Säkerhetsskyddsklassificerade uppgifter som behöver kommuniceras till system utanför utövarens kontroll ska skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.
  • Med begreppet kontroll menas att utövaren ska ha både administrativ och fysisk kontroll över förbindelsen så att obehörig åtkomst för avlyssning eller annan påverkan omöjliggörs.
  • Signalskyddssystem innehåller:

1. kryptoalgoritmer:

– Matematiska funktioner i ett signalskyddssystem för skydd av information mot,
röjande och förvanskning,
– identifiering och autentisering,
– generering av signalskyddsnycklar.

2. signalskyddssystem:

– Kryptoapparat, komponent, utrustning eller programvara som innehåller, eller avses innehålla, kryptoalgoritmer och som ingår, eller avses ingå, i ett signalskyddssystem.
– Annan signalskyddsspecifik materiel eller programvara.

3. Utbildning:

– Endast personal med godkänd utbildning i signalskyddstjänst är behörig att nyttja signalskyddssystem.

2 4 kap. 15-16 §§ PMFS 2022:1
3 3 kap. 5 § säkerhetsskyddförordningen (2021:955). Försvarsmaktens föreskrifter om signalskyddstjänsten FFS2019:9.

Behörighetskontroll för informationssystem 4

  • Behörighetskontroll är nödvändig för att säkerställa att endast behöriga får åtkomst till systemet.
  • En teknisk funktion som styr användarnas åtkomst i ett informationssystem, eller mellan informationssystem, benämns behörighetskontrollsystem. Ett sådant system baseras ofta på olika roller som kan tilldelas användarna.
  • Ett centralt behörighetskontrollsystem ska ges ett säkerhetsskydd som svarar upp mot det säkerhetsskydd som de anslutna informationssystemen ska ha.
  • Detta gäller för samtliga säkerhetsskyddsklasser BH, K, H och KH, men i olika nivåer.

Säkerhetsloggning 5

  • Med säkerhetsloggning avses att samla in information om aktiviteter som kan påverka säkerheten i ett informationssystem.
  • Loggning är ett bra hjälpmedel vid utredning av som har hänt i ett informationssystem vid ett givet tillfälle.
  • Säkerhetsloggar ska sparas i minst tio (10) år.
  • I fackspråk används ofta begreppet spårbarhet, där loggning är en förutsättning för att en verksamhetsutövare ska kunna uppnå spårbarhet.
  • Spårbarhet är i sin tur en viktig del för att kunna leda i bevis vem som har gjort vad i ett informationssystem vid ett givet tillfälle.
  • Loggning gäller för samtliga säkerhetsskyddsklasser BH, K, H och KH, men i olika nivåer.

Skydd mot röjande signaler 6

  • Med röjande signaler (RÖS) menas icke önskvärda elektromagnetiska eller akustiska signaler som alstras i informationsbehandlade utrustningar och som, om de kan tydas av obehörig, kan bidra till att information röjs.
  • Skydd mot RÖS kan uppnås genom:
    • Säkerhetsavstånd,
    • EMP-skydd (typ Faradays bur, så kallat RÖS-rum),
    • Fysisk separation av el och andra tekniska skyddsmekanismer såsom för ändamålet särskilt tillverkad utrustning (routrar, switchar, klienter, printerhuvar, USB-lådor och servrar med mera),
    • Fysisk anpassning av rummet genom att ta hänsyn till, och kontrollera möbler etc. samt placering av rummet i förhållande till okontrollerade områden, och
    • Tillse att det finns vågfällor för in- och utgående kablage vid till exempel RÖS-rum.
  • Krav på skydd mot RÖS gäller för säkerhetsskyddsklasserna K, H och KH.
  • Inom EU och NATO används ett annat system som bygger på zon-indelning i större utsträckning, kallat TEMPEST.

4 4.7.3 Central funktion för identifiering eller behörighetskontroll. Säkerhetspolisen, Vägledning i säkerhetsskydd, informationssäkerhet, version Oktober 2023.
5 3 kap. 4 § säkerhetsskyddsförordningen (2021:955). 4 kap. 25-29 §§ PMFS (2022:1).
6 3 kap. 4 § säkerhetsskyddsförordningen (2021:955). KSF, FM2014-5302:1, v3.1. FFS

 

More news

Alla nyheter
DSC_4686

Vad gäller för de olika säkerhetsskyddsklasserna?

Sanktionsavgifter enligt säkerhetsskyddslagen kan höjas rejält

Sanktionsavgifter enligt säkerhetsskyddslagen kan höjas rejält