Genom en informationskartläggning kan specifika skyddsvärda informationstillgångar identifieras. Exempel på parametrar som bör beaktas i en informationsanalys är:
Vilka parametrar är viktiga i din verksamhet?
Att klassa eller värdera information syftar till att välja rätt skyddsåtgärder för informationen. Utgångspunkten är att klassningen av information ska resultera i ett antal olika skyddsåtgärder. Säkerhetsskyddsklassificerade uppgifter ska delas in säkerhetsskyddsklasserna:
Observera att för säkerhetsskyddsklassificerade uppgifter finns hanteringsregler i säkerhetsskyddslagstiftningen som inte kan frångås.
Personalsäkerhet består av två delar:
Säkerhetsprövning
Utbildning i säkerhetsskydd
Personalsäkerhet ska förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i säkerhetskänslig verksamhet. Personalsäkerhet ska också säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskyddet.
En verksamhetsutövare som utvecklar ett informationssystem som har betydelse för säkerhetskänslig verksamhet är ansvarig för att säkerhetsskyddet kring ett sådant informationssystem utformas så att författningarna avseende säkerhetsskydd efterlevs.
Inget skriftligt samråd med säkerhetspolisen behövs om informationssystemet förutses komma att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen BEGRÄNSAT HEMLIG.
Att utveckla ett informationssystem som har betydelse för säkerhetskänslig verksamhet kräver en tydlig kravbild utifrån den särskilda säkerhetsskyddsbedömningen. Det kräver även ett strukturerat arbetssätt och kompetens om de risker och sårbarheter som kan kopplas till utvecklingen av systemet.
Verksamhetsutövaren behöver ta stöd i en strukturerad process för hur utvecklingen av ett system ska genomföras.
Innan ett informationssystem tas i drift behöver verksamhetsutövaren säkerställa att systemet är färdigställt och kan användas i den säkerhetskänsliga verksamheten. Detta görs genom att bl.a:
Under informationssystemets livstid behöver man hantera olika driftrelaterade problem men även se till att säkerheten i systemet upprätthålls över tid.
Driften kan styras utifrån olika ramverk men syftet är alltid att uppnå kostnadseffektivitet och kontroll i arbetet med drift och förvaltning.
TEXT SAKNAS
Verksamhetsutövaren måste planera för drift och förvaltning av informationssystemet och fastställa vilka resurser och kompetenser som behövs på ett tidigt stadium så att eventuella utbildningsinsatser eller nyrekryteringar kan göras i god tid.
Det är flera olika myndigheter inblandade i arbetet med att stötta en ny eller redan etablerad verksamhet som är i behov av signalskydd. Myndigheterna har olika ansvar och uppgifter och hjälper till på olika sätt.
Försvarsmakten, (FM) har regeringens uppdrag att leda och samordna signalskyddstjänsten inom Totalförsvaret. Inom Försvarsmakten är det i huvudsak avdelningen för krypto och IT-säkerhet (SÄKT) som bereder och verkställer signalskyddstjänstens ledning och samordning.
Myndigheten för samhällsskydd och beredskap, (MSB) har uppgiften att inrikta och samordna civila myndigheter, statligt ägda bolag samt samhällsviktiga företag vad gäller signalskyddsverksamhet. Utöver detta kan MSB ingå avtal med de kommuner, organisationer eller andra företag som hanterar signalskydd.
Försvarets Radioanstalt, (FRA) ger tekniskt stöd till avseende signalskyddsverksamheten till statliga myndigheter, statligt ägda bolag samt samhällsviktiga företag. FRA har uppdraget att vara statens resurs inom teknisk informationssäkerhet och signalskydd. De stödjer civila myndigheter och organisationer inom både offentlig och privat sektor med utrustning för säker elektronisk kommunikation i form av nationellt godkända signalskyddssystem.
Totalförsvarets signalskyddsskola (TSS) bedriver utbildning inom signalskydd och informationssäkerhetsområdet. Utbildningen riktar sig både till nystartade signalskyddsorganisationer, till organisationer och myndigheter som behöver kompetensutveckling inom området. TSS har sin huvudsakliga verksamhet i Enköping men bedriver även utbildning i Karlskrona och Halmstad.
[TRE NAVIGATIONSPILGREJER]
Om det efter genomförandet av säkerhetsskyddsanalys framkommer att verksamheten hanterar säkerhetsskyddsklassificerade uppgifter och att vissa av dessa uppgifter behöver kommuniceras elektroniskt inom verksamheten eller externt till andra verksamheter behöver en detaljerad behovsanalys genomföras.
I behovsanalysen kartläggs inte bara vilken information som ska kommuniceras utan även till vem, var och när. Olika informationstyper kräver olika typer av signalskyddssystem för säker kommunikation. Resultatet blir att verksamheten arbetar fram en kommunikationsplan.
För att få till en säker kommunikation för de skyddsvärda informationstillgångarna behövs det nationellt godkända signalskyddssystem.
Ett planeringsmöte med FRA genomförs för guidning och utredning av vilken utrustning, signalskyddsnycklar, certifikat, utbildning m.m. som verksamheten behöver.
Checklista med vad verksamheten behöver göra under processen för att bli en signalskyddsorganisation skickas ut inför mötet.
Exempel på innehåll kan vara: kommunikationsbehov, systembehov, organisation, säkerhetsskydd, tidplan m.m.
I första hand är det myndigheter, regioner, kommuner, företag samt organisationer som har behov av att kunna förhindra obehörig insyn i och påverkan av elektroniska kommunikationsnät och informationssystem som hanterar säkerhetsskyddsklassificerade uppgifter.
Till sin hjälp behövs en signalskyddsorganisation som leds av en Signalskyddschef med tillhörande signalskyddssystem och annan signalskyddsspecifik materiel eller programvara.
En förutsättning för att signalskyddet ska fungera i en verksamhet är att det finns en fungerande säkerhetsskyddsorganisation kopplat till verksamheten då signalskyddet är en del av denna verksamhet.
Att påbörja arbetet med att etablera verksamhetens säkerhetsskydd och se över vad organisationen behöver i form av säkerhetsskåp, dokumentförstörare, larm m.m är en bra början
Anmälan till utbildningar i rollen som Signalskyddschef, Systemoperatör på specifikt signalskyddsystem eller Kortadministratör görs till TSS på anvisad blankett.
Utbildningen till Signalskyddschef, Systemoperatör och Kortadministratör genomförs vid TSS. Utbildningen behöver ske i god tid innan användningen av systemen ska ske. Information om utbildningarna finns på www.informationssakerhet.se, TSS-kurskatalog.
Utbildning av övriga roller i signalskyddsorganisationen sker kontinuerligt över tiden. Det är bra att ha en långsiktig planering för utbildning.
Endast den som med godkänt resultat har genomgått nödvändig utbildning i signalskydd får placeras i signalskyddsbefattning, använda, betjäna eller på annat sätt hantera signalskyddsmateriel, signalskyddsnycklar eller aktiva kort.
Till signalskyddsmateriel räknas kryptoapparat, komponenter eller utrustning som innehåller kryptomodul eller krypteringsfunktion samt annan signalskyddsspecifik materiel eller signalskyddsspecifik programvara som används eller avses användas i ett signalskyddssystem.
Varje område har flera olika typer av signalskyddssystem och systemen kan hantera information i olika säkerhetsskyddsklasser.
Den beställda signalskyddsmaterielen levereras från FRA.
Tänk på att endast behörig person kan ta emot leveranser, i annat fall krävs fullmakt.
Den som tar emot en försändelse med signalskyddsmateriel måste kontrollera att materielen, emballaget, låsanordningar och att innehållet i övrigt stämmer överens med uppgifterna på följesedeln och att det inte finns några skador på leveransen.
Mottagaren anmäler omedelbart till Signalskyddschef när materiel har mottagits.
Om signalskyddsmaterielen vid mottagning har en skada eller bruten plombering/ låsanordning ska detta rapporteras till säkerhetsskyddschefen. Vid sådan incident är signalskyddsmaterielen att betrakta som hemlig och incidenten ska hanteras skyndsamt.
