I den första delen tittar vi närmare på vilka bestämmelser som är styrande när man skall hantera säkerhetsskyddsklassificerade uppgifter i ett IT system.
Det är många som vet om vad lagtexter och paragrafer säger men det kan vara svårare att omsätta det i praktik. Där såg vi ett stort behov av att förstå vilka åtgärder som behövs för att skydda säkerhetsskyddsklassificerade uppgifter i IT-system. För att underlätta detta arbete har jag gjort en sammanställning för vilka åtgärder som är nödvändiga för att se till att säkerhetsskyddsklassificerade uppgifter skyddas på rätt sätt. Detta täcks av ett antal viktiga punkter att ta hänsyn till.
Nedan finns en sammanställning av skyddsåtgärder som behövs för de olika säkerhetsskyddsklasserna:
Figur 1, Matris över skyddsåtgärder för olika säkerhetsskyddsklasser.
Vilka bestämmelser är det som är styrande?
Grunden för indelning i säkerhetsskyddsklasser är Säkerhetsskyddslagen (2018:585) och Säkerhetsskyddsförordningen (2018:658). Till grund ligger också en SSA (Säkerhetsskydds analys). Den måste varje enskild aktör genomföra för att inventera för att bedöma om man hanterar/skall hantera säkerhetsskyddsklassificerade uppgifter i sin organisation samt i vilken omfattning.
För de aktörer som inte tillhör det militära försvaret har Säkerhetspolisen givit ut föreskrifter. Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2) är vägledande på området. Säkerhetspolisen har också i juni 2019 givit ut ”Vägledning i säkerhetsskydd – Informationssäkerhet” som kompletterar och förklarar lag, förordning och föreskrift.
Vad gäller signalskydd av säkerhetsskyddsklassificerade uppgifter är det i första hand Försvarets Författningssamling (FFS2019:9)[1] som gäller avseende hantering, handhavande och förvaltning av kryptografisk utrustning, signalskyddssystem med mera.
Det kan också vara värdefullt att studera förarbetena till säkerhetsskyddslagen där resonemang förs om hur utredaren har kommit fram till förslagen som sedan har blivit lag och förordning. Utredningens betänkande har beteckningen ”En ny säkerhetsskyddslag” (SOU 2015:25).
Kraven gällande säkerhetsskyddsklassificerade uppgifter är generella och lika för det militära och det civila försvaret. Skillnaden är att det är MUST och inte Säkerhetspolisen som reglerar området inom det militära försvaret. Försvarsmakten har under många år arbetat med system för säkerhetsskyddsklassificerade uppgifter i IT-system. Det kan därför vara av värde att studera vad som är reglerat på området inom Försvarsmakten.
Gällande NIS-direktivet kan nämnas att enligt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster §3, 1:a och 2:a stycket står det i korthet att lagen gäller för leverantörer av samhällsviktiga tjänster.
Den gäller dock inte för verksamhet som omfattas av säkerhetsskyddslagen enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster §8. I nästa del av artikelserien tittar vi närmare på vad varje punkt innebär lite mer i detalj.
Följ oss och missa inte detta!
[1] FFS2019:9 har sedan 2020-01-01 trätt i kraft och ersatte därmed FFS2016:3
Basalt har under mer än 10 år arbetat med att designa, utveckla, implementera och förvalta IT-system och tillhörande systemdokumentation kopplat till säkerhetsskyddklassad information åt en rad kunder, både privata och offentliga. De erfarenheter som vi dragit av detta arbete har vi omsatt i en strukturerad metodik och arkitektur för att på ett effektivt sätt kunna hjälpa nya kunder som är intresserade av att ha hög grad av kontroll och kvalitet, och därmed säkerhet över tid, i sina IT-system och sin IT-infrastruktur.