Säkerhetsskydd
Säkerhetsskyddsåtgärder inom informationssäkerhet handlar om skyddet mot att säkerhetsskyddsklassificerade uppgifter inte röjs, ändras, görs otillgängliga eller förstörs. Informationssäkerhet ska också förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
För att kunna identifiera de nödvändiga säkerhetsåtgärderna behöver informationen analyseras utifrån;
- Konfidentialitet - Vad kan konsekvenserna bli om informationen kommer obehöriga till del?
- Riktighet - Vad kan konsekvenserna bli om informationen är manipulerad eller förstörd?
- Tillgänglighet Vad kan konsekvenserna bli om någon (som är behörig) inte får tillgång till informationen?
Säkerhetskrav för informationssystem som används i säkerhetskänslig verksamhet
Innan ett informationssystem som kan komma att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre tas i drift, eller förändras, ska verksamhetsutövaren skriftligen samråda med Säkerhetspolisen.
En verksamhetsutövare som ansvarar för ett informationssystem som ska användas i säkerhetskänslig verksamhet ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informationssystemet samt obehörig avlyssning av, åtkomst till och nyttjande av informationssystemet.
Verksamhetsutövaren ska också se till att spårbarhet finns för händelser som är av betydelse för säkerheten i systemet. En verksamhetsutövare som ansvarar för ett informationssystem ska beakta förekomsten av röjande signaler och vidta lämpliga skyddsåtgärder för systemet om informationssystemet avses behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre.
-
Säkerhetsskyddsklassificerade uppgifter
Säkerhetsskyddsklassificerade uppgifter ska delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen i säkerhetsskyddsklasser ska göras enligt följande:
- kvalificerat hemlig
- hemlig
- konfidentiell
- begränsat hemlig
Säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt åtagande om säkerhetsskydd ska på motsvarande sätt delas in i säkerhetsskyddsklass, om de inte redan har klassificerats av en annan stat eller en mellanfolklig organisation. Indelningen i säkerhets-skyddsklass ska i sådant fall göras utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till annan stat eller mellanfolklig organisation.
Signalskydd
Signalskydd ska förhindra att obehöriga kommer åt eller har möjlighet att påverka säkerhetsskyddsklassificerade uppgifter som skickas via elektroniska kommunikationsmedel. Signalskyddstjänst är den verksamhet som ska förhindra obehörig insyn i, och påverkan på telekommunikations- och IT-system. Det sker med hjälp av kryptografiska metoder och övriga signalskyddsåtgärder.
Signalskyddet regleras i Försvarsmaktens föreskrift om signalskyddstjänsten (FFS 2021:1). Den gäller alla verksamhetsutövare som använder kryptografiska funktioner för att kommunicera säkerhetsskyddsklassificerade uppgifter till ett informationssystem utanför verksamhetsutövarens kontroll.
Verksamhetsutövare som har behov av att på ett säkert och tillförlitligt sätt kunna samverka och utbyta säkerhetsskyddsklassificerade uppgifter eller har behov av att skydda säkerhetskänslig verksamhet i övrigt – kan bli tilldelade signalskyddssystem. Myndigheten för samhällsskydd och beredskap (MSB) inriktar och samordnar civila verksamhetsutövares signalskyddsverksamhet samt beslutar om vilka civila verksamhetsutövare som ska tilldelas signalskyddssystem för såväl extern som intern samverkan.
Signalskydd - en introduktion (webbkurs) (msb.se)
Faktablad, Cybersäkerhet och säkra kommunikationer (msb.se)
I övrigt säkerhetskänslig verksamhet
I övrigt säkerhetskänslig verksamhet är verksamhet som är av betydelse för Sveriges säkerhet av en annan anledning än att den innehåller säkerhetsskydds-klassificerade uppgifter eller omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
