Kategoriarkiv: Säkerhetsskydd

Nya krav på företagens säkerhetsskydd

Säkerhetsskyddets pentagram. Företagens skyldigheter och myndigheters uppgifter för företagens säkerhetsskydd, när företagen till någon del i den egna verksamheten bedriver verksamhet som är av betydelse för Sveriges säkerhet. Siffrorna hänvisar till den beskrivande texten nedan. (Stor bild. Bilden är ritad i Omnigraffle.)

Företag omfattas redan i dag av den nu gällande säkerhetsskyddslagen (1996:627), om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. I den nya säkerhetsskyddslagen (2019:585) som börjar gälla den 1 april 2019 är företagens skyldigheter fler och tydligare.

Fortsätt läsa

1 kommentar

Publicerad i Säkerhetsskydd

KSF – The Dark Side

I ett tidigare blogginlägg gav jag en lättare introduktion till godkända säkerhetsfunktioner med fokus på några assuransfrågor. Nu kommer fortsättningen. Hur bra är KSF 3.1 och vilka svårigheter finns att uppfylla kraven?

Fortsätt läsa

1 kommentar

Publicerad i IT-säkerhet, Säkerhetsskydd

Nedräkning för nya säkerhetsskyddslagen

I dag är det 310 dagar kvar till den 1 april 2019 då nya säkerhetsskyddslagen börjar gälla. Du kan följa utvecklingen på min nya webbplats https://säkerhetsskydd.mrpoyz.net. Jag kommer att uppdatera den med status och länkar till dokument när de publiceras.

Lämna en kommentar

Publicerad i Säkerhetsskydd

Inte brottsligt e-posta hemlig information till Ryssland

En polischef som jobbar hemma behöver skriva ut en Excel-fil med information om 474 polisanställda inom den särskilda polistaktiken (SPT) i södra Sverige. Terrorattentatet på Drottninggatan hade inträffat, så det var mycket bråttom att skriva ut filen för att kunna inventera vilken personal som skulle kunna tjänstgöra. För att kunna skriva ut filen e-postar polischefen filen till sin frus e-postadress. Hon skriver ut Excel-filen på en skrivare i bostaden och raderar sedan e-postet.

E-postadressen går till det ryska internetföretaget Mail.Ru.

Fortsätt läsa

1 kommentar

Publicerad i Brott mot Sveriges säkerhet, Säkerhetsskydd

Krav på godkända säkerhetsfunktioner i IT-system

För att uppnå rätt säkerhet för ett IT-system behöver man på något sätt ställa säkerhetskrav på systemet, men även systemets omgivning och hur systemet ska hanteras när det är i drift. Det finns inga gemensamma detaljerade krav på IT-säkerhet för svenska myndigheter. Alla uppfinner hjulet på nytt även om det går att läsa ut gemensamma drag, t ex i vilka analyser som görs och vilka säkerhetsfunktioner som finns i systemen.

Hur ser det då ut för IT-system som ska hantera hemlig information som rör rikets säkerhet? Både Säkerhetspolisen och Försvarsmakten har i sina föreskrifter om säkerhetsskydd regler om IT-säkerhet. Reglerna säger bl a att IT-system ska vara försedda med sju säkerhetsfunktioner. De sju säkerhetsfunktionerna ska tillsammans skydda ett IT-system mot hot i och utanför systemet.

180408 sapo fm sakerhetsfunktioner

De sju säkerhetsfunktionerna för IT-system som ska hantera hemlig information. Översikt över Säkerhetspolisens och Försvarsmaktens krav i föreskrifter om säkerhetsskydd.

Fortsätt läsa

3 kommentarer

Publicerad i IT-säkerhet, Säkerhetsskydd

Men och skada – same same but different

Begreppet men används i dag när information ska klassificeras i nivåer efter hur betydelsefull informationen är för rikets säkerhet. Begreppet men används också i straffbestämmelser för brott mot Sveriges säkerhet. Men begreppet men är problematiskt och med den nya säkerhetsskyddslagen kommer begreppet att överges. Eller?

Men eller skada?

Fortsätt läsa

2 kommentarer

Publicerad i Brott mot Sveriges säkerhet, Offentlighet och sekretess, Säkerhetsskydd

När har man kontroll över ett nätverk?

Kryptering är en teknik som används för att skydda information mot insyn och förvanskning, t ex när information överförs eller lagras. Information som omfattas av sekretess och som rör rikets säkerhet måste skyddas mot andra staters signalspaning. Det är fråga om utländska statliga organisationer med mycket stor förmåga att inhämta signaler och få fram underrättelseinformation. Information som kan skada Sveriges intressen i fred och ytterst landets förmåga att i krig försvara sig mot andra stater.

Fortsätt läsa

2 kommentarer

Publicerad i IT-säkerhet, Kryptering, Säkerhetsskydd

Transportstyrelsen och informationen

Vilken slags information som Transportstyrelsen hanterar och som berörs av myndighetens outsourcing är i dag inte fullt ut klarlagt offentligt. Säkerhetspolisens förundersökning fokuserar på ett fåtal typer av uppgifter. Gärningsbeskrivningen i förhörsprotokollet med den tidigare generaldirektören tar endast upp sekretessen i 18 kap 5 § OSL, som handlar om skydd för kvalificerade skyddsidentiteter. Att Transportstyrelsen har till uppgift att förse kvalificerade skyddsidentiteter med körkort framgår av lagstiftningen. Det är offentliga uppgifter.

Fortsätt läsa

8 kommentarer

Publicerad i Brott mot Sveriges säkerhet, Offentlighet och sekretess, Säkerhetskultur, Säkerhetsskydd

Outsourcingen och Sveriges säkerhet

Utdrag från strafföreläggandet. Hämtad från DN.

Transportstyrelsens tidigare generaldirektör har erkänt sig skyldig till brottet vårdslöshet med hemlig uppgift, ett av brotten mot Sveriges säkerhet. Brottsrubriceringen innebär att det är fråga om sekretessbelagd information som om den uppenbaras för främmande makt kan medföra men för Sveriges säkerhet.

Fortsätt läsa

1 kommentar

Publicerad i Brott mot Sveriges säkerhet, Säkerhetsskydd

Förslag på arbetssätt för informationssäkerhet i Försvarsmakten

I ett projekt har jag tagit fram en modell över tänkt arbetssätt för informationssäkerhetsarbete i Försvarsmakten. Modellen består av tre delar; förebygga, hantera och förbättra. Varje del är i sin tur indelad i fyra områden. Modellen som är anpassad för Försvarsmakten är baserad på SS-ISO/IEC 27001:2014 och Natos modell för indelning av IT-säkerhetsförmågor. I modellen används verb för att uttrycka att den uppmuntrar mänskliga handlingar i arbetet.

Fortsätt läsa

Lämna en kommentar

Publicerad i Säkerhetskultur, Säkerhetsledning, Säkerhetsskydd