Säkerhetsskydd - När Säkert inte är säkert nog

Säkerhetsskydd handlar om att skydda verksamheter eller information som är av betydelse för Sveriges säkerhet.

Vad är säkerhetsskydd

Information som är av betydelse för Sveriges säkerhet benämns säkerhetsskyddsklassificerade uppgifter och verksamhet som är av betydelse för Sveriges säkerhet benämns säkerhetskänslig verksamhet. När man hanterar sådan information eller verksamhet räcker det inte längre med att bara följa branschstandarder och best practices utan då måste man även följa säkerhetsskyddslagen. Målet för detta är att uppnå ett skydd mot spioneri, sabotage, terroristbrott och en del andra antagonistiska hot.

För att avgöra ifall det föreligger ett behov av säkerhetsskydd måste en verksamhetsutövare genomföra en säkerhetsskyddsanalys. Säkerhetsskyddsanalysen behöver ge svar på vad som skall skyddas, mot vad det skall skyddas och inte minst hur det skall skyddas. Skulle säkerhetsskyddsanalysen konstatera behov av säkerhetsskydd, det vill säga att säkerhetsskyddsklassificerade uppgifter förekommer eller att säkerhetskänslig verksamhet bedrivs, måste detta även anmälas till respektive tillsynsmyndighet.

Tre domäner av säkerhetsskydd

Ett heltäckande säkerhetsskydd består av skydd i tre domäner, fysisk säkerhet, personalsäkerhet och informationssäkerhet. Alla de tre domänerna måste samverka.

Fysisk säkerhet

Den fysiska säkerheten ska förebygga och förhindra intrång eller skadlig inverkan på anläggningar eller områden där säkerhetskänslig verksamhet bedrivs eller där man försvarar säkerhetsskyddsklassificerade uppgifter. Det fysiska skyddet skall ha förmågor för att upptäcka, försvåra och hantera eventuella angrepp. Det fysiska skyddet måste dimensioneras för att möta de hot man identifierat mot verksamheten.

Personalsäkerhet

Personalsäkerhet utgörs främst av två områden; utbildning och säkerhetsprövning. Utbildningen är till för att säkerställa att all personal som deltar i den säkerhetskänsliga verksamheten eller hanterar uppgifter av betydelse för Sveriges säkerhet har tillräckliga kunskaper i säkerhetsskydd. Säkerhetsprövningen ska säkerställa att personalen är lojal mot de intressen som ska skyddas enligt säkerhetsskyddslagen och är pålitlig ur säkerhetssynpunkt. Säkerhetsprövningen består av grundutredning med bland annat säkerhetsprövningsintervju och referenstagning, särskild personutredning och registerkontroll av säkerhetspolisen.

Informationssäkerhet

Informationssäkerhet har tre aspekter eller perspektiv; konfidentialitet, riktighet och tillgänglighet.

• Konfidentialitet: att förhindra att uppgifter röjs till obehöriga
• Riktighet: att uppgifterna är riktiga eller korrekta och inte har manipulerats.
• Tillgänglighet: att säkerställa att uppgifterna alltid är tillgängliga när de behövs.

Säkerhetsskyddsklassificerade uppgifter måste nästan alltid vara alla tre. Därför ställs högre krav på informationssystem som behandlar dessa uppgifter. Här blir säkerhetsskyddsåtgärderna i informationssystemet viktiga att dimensionera utifrån det hot som faktiskt föreligger.

Dessutom måste de samspela med säkerhetskyddsåtgärderna inom fysisk säkerhet och personalsäkerhet – detta för att uppnå ett heltäckande säkerhetsskydd. När det kommer till informationssystem som är av betydelse för säkerhetskänslig verksamhet är det inte alltid nödvändigtvis alla tre perspektiv som väger lika tungt eller har något avgörande roll för Sveriges säkerhet.

Exempelvis kan ett informationssystem vara säkerhetskänsligt ur endast ett tillgänglighets- eller riktighetsperspektiv. Det vill säga, att systemet bara är tillgängligt och att tjänsten som tillhandahålls levererar korrekt data, men det som tillhandahålls i sig är inte konfidentiellt. Detta måste vara definierat i säkerhetsskyddsanalysen och säkerhetsskyddsåtgärderna måste såldes anpassas efter varje specifikt fall.

Våra tjänster inom säkerhetsskydd

På CGI har vi lång erfarenhet av säkerhetsskydd och en beprövad metod för att uppnå ett säkerhetsskydd anpassat efter de behov som finns. Vi arbetar proaktivt med systematiska metoder som säkerställer att säkerhetsskyddet alltid håller en jämn och tillräckligt hög nivå, även över tid. Inom säkerhetsskydd sätter Sverige före andra intressen – alltid.

Kontakta mig

Vill du stärka säkerheten i din verksamhet? På CGI använder vi vår gedigna erfarenhet och beprövade metoder för att skapa säkerhetsskydd som håller hög kvalitet över tid. Kontakta mig så berättar jag mer om hur vi kan hjälpa dig!