Gemensamma skyddsnivåer för säkerhetsskydd och annan informationssäkerhet

Kan det finnas definierade skyddsnivåer som gäller både för säkerhetsskyddet och annan informationssäkerhet? Jag menar att det är möjligt, men inte för all information och inte för alla skyddsåtgärder.

Beskrivning

Utrymme för gemensamma skyddsnivåer för säkerhetsskydd och annan informationssäkerhet. Klicka på bilden för att se den i full storlek.

Säkerhetsskyddet är inte ett statiskt skydd

Skyddsåtgärder för uppgifter som omfattas av sekretess och som rör rikets säkerhet (hemliga uppgifter) är anpassade efter uppgifternas antagna skyddsvärde. Uppgifter som vid ett röjande medför ett synnerligt men för rikets säkerhet ges ett avsevärt starkare säkerhetsskydd än uppgifter som endast ger ett ringa men. Ett exempel på att det finns olika nivåer på skyddsåtgärder är förvaring av hemliga handlingar och lagringsmedier. I Försvarsmakten, och de försvarsnära myndigheterna, får hemliga uppgifter som endast kan antas ge ett ringa men (informationssäkerhetsklass HEMLIG/RESTRICTED) förvaras i en låst skrivbordshurts. Många kan uppfatta det som kontraintuitivt om uppgifterna omfattas av försvarssekretess. På andra sidan av spektrat finns hemliga uppgifter som kan antas ge ett synnerligt men (informationssäkerhetsklass HEMLIG/TOP SECRET). Sådana ska förvaras i valv eller larmat säkerhetsskåp.

Spännvidden på uppgifternas betydelse är stor och det avspeglas i skyddsåtgärderna. Säkerhetsskyddet anpassas även efter den miljö där uppgifterna hanteras, vilka sårbarheter som finns och de säkerhetshot som riktas mot uppgifterna.

Försvarsmakten och Säkerhetspolisen har definierat sju säkerhetsfunktioner för IT-system som är avsedda för behandling av hemliga uppgifter. Vilka säkerhetsfunktioner som ska användas är beroende av klassificering och om IT-systemet ska användas av en eller flera användare. Hos de myndigheter som omfattas av Säkerhetspolisens föreskrifter ska vissa av säkerhetsfunktionerna även finnas i IT-system som särskilt behöver skyddas mot terrorism.

Vilka säkerhetsfunktioner som ska finnas i ett IT-system i Försvarsmakten beror på vilka uppgifter som ska hanteras i IT-systemet samt om IT-systemet är avsett att användas av en eller flera personer. SK i bilden avser sekretessklassificerade uppgifter, d.v.s. uppgifter som omfattas av sekretess enligt OSL men som inte ska omfattas av ett säkerhetsskydd. ES (ej sekretess) i bilden avser uppgifter som inte omfattas av sekretess enligt OSL. Bilden är en kopia av bild 13:3 på sidan 240 i H SÄK Infosäk. Klicka på bilden för att se den i full storlek.

För Försvarsmakten har MUST tagit fram krav på godkända säkerhetsfunktioner (KSF) i IT-system. KSF gäller för Försvarsmaktens IT-system oavsett vilka uppgifter som behandlas i systemen och är alltså inte begränsad till uppgifter som rör rikets säkerhet. KSF innebär att krav på IT-säkerhetsförmågor anpassas efter uppgifternas skyddsvärde (konsekvensnivå vid informationsförlust) och hur exponerat ett IT-system är för aktörer som kan påverka systemet. I KSF finns tre kravnivåer (grund, utökad och hög) där den kravnivå som ska gälla bestäms av konsekvensnivå och exponeringsnivå.

Kravnivåer för funktionella säkerhetskrav och assuranskrav i KSF. Beskrivningarna för konsekvenser vid förlust av sekretessklassificerade uppgifter (SK) är sammanfattningar av beskrivningarna i KSF och H SÄK Grunder.

För uppgifter som är placerade i informationssäkerhetsklass finns i KSF en tydlig koppling för att avgöra vilken kravnivå som ska gälla. För sekretessklassificerade uppgifter (SK) (dvs uppgifter i Försvarsmakten som omfattas av sekretess enligt OSL men som inte ska omfattas av ett säkerhetsskydd) bestäms kravnivån av den konsekvens som bedöms uppstå vid förlust av uppgifterna. Beskrivningarna av konsekvenserna vid förlust av sekretessklassificerade uppgifter är hämtad från Handbok för Försvarsmaktens säkerhetstjänst – Grunder (H SÄK Grunder) och är således allmänt giltig i Försvarsmakten och inte unika för KSF. Beskrivningarna i handboken används även för att bestämma kravnivå på uppgifter som inte omfattas av någon sekretess enligt OSL.

Försvarsmakten har, åtminstone vad gäller krav på IT-säkerhetsförmåga, likställt säkerhetsskyddet med IT-säkerhet för uppgifter som inte omfattas av säkerhetsskydd. Skyddsnivåer för IT-säkerhet kan, enligt Försvarsmakten, vara gemensamma för säkerhetsskydd som för annan informationssäkerhet.

Bra men nog fel…

Synsättet att alla skyddsnivåer för skydd av uppgifter om Sveriges mest skyddsvärda intressen kan vara gemensamma för andra intressen, är sannolikt felaktigt. Den högsta informationssäkerhetsklassen avser en synnerlig allvarlig skada för Sveriges säkerhet. Konsekvenserna vid ett röjande av en sådan uppgift befaras utgöra ett synnerligen allvarligt hot mot de särskilda skyddsintressen som omfattas av säkerhetsskyddslagen. Ett sådant skyddsvärde, gemensamt för hela nationen, kan inte enligt min mening likställas med ett skyddsvärde för något annat mindre intresse. Skyddet för den högsta informationssäkerhetsklassen måste vara mycket omfattande. Ett sådant mycket högt skydd är sannolikt ett överskydd för uppgifter som inte är hemliga. För den högsta informationssäkerhetsklassen kan det därför inte finnas någon gemensam skyddsnivå. Det finns även en risk att säkerhetsskyddet urholkas om kravnivåerna i alltför stor utsträckning är gemensamma.

För uppgifter som inte är hemliga kan det finnas lägre skyddsnivåer som inte kan ge hemliga uppgifter ett tillräckligt säkerhetsskydd. Inte ens för sådana hemliga uppgifter som får förvaras i en låst skrivbordshurts. Sådana skyddsnivåer skulle ge de hemliga uppgifterna ett underskydd.

Gemensamma skyddsnivåer torde vara möjliga – främst för IT-säkerhet. Var gränsen går för sådana nivåer är inte klart. Kanske ska skyddsnivåerna för de två högsta informationssäkerhetsklasserna vara exklusiva för säkerhetsskyddet? Ytterligare en fråga är om kraven på assurans (tillit till att säkerhetsfunktioner uppfyller specificerade säkerhetskrav) behöver vara olika? Djävulen sitter i detaljerna.

Gemensamma begrepp för informationsklassificering

Begrepp för informationsklassificering kan inte vara gemensamma även om det skulle finnas gemensamma skyddsnivåer, åtminstone inte avseende konfidentialitetsaspekten. Klassificeringsbegrepp, som de föreslagna informationssäkerhetsklasserna i SOU 2015:25, är endast avsedda för säkerhetsskyddet. Registerkontroll, signalskydd, rapportering vid röjande och IT-incidentrapportering har särskilda regleringar varför klassificeringsbegreppen måste vara exklusiva för säkerhetsskyddet.

Informationssäkerhetsklasserna (i nuvarande FFS 2015:2 och i förslaget till ny säkerhetsskyddslagen i SOU 2015:25) kan inte användas som begrepp för informationsklassificering av uppgifter som inte är hemliga eller säkerhetsskyddsklassificerade. Klicka på bilden för att se den i full storlek.

I förslaget till ny säkerhetsskyddslag finns inget förslag på hur uppgifter ska klassificeras med avseende på riktighets- och tillgänglighetsaspekterna. Ett skäl som anges är att riktighets- och tillgänglighetskrav är svårare att indela i nivåer än när det gäller konfidentialitetskrav. Den förklaring som ges är att kraven kan vara mycket varierande i olika verksamheter och system och svårare att uttrycka i generella termer.

Avsaknaden av legaldefinierade nivåer för klassificering av riktighets- och tillgänglighetsaspekterna möjliggör gemensamma klassificeringsbegrepp. Eventuellt kan myndigheterna med föreskriftsrätt inom säkerhetsskyddsområdet komma att föreskriva om klassificeringsbegrepp för riktighets- och tillgänglighetsaspekterna. I sådana fall måste olika klassificeringsbegrepp användas för säkerhetsskyddsklassificerade uppgifter respektive andra uppgifter.

≈ ≈ ≈

Gemensamma skyddsnivåer för säkerhetsskyddet och annan informationssäkerhet kan var ett sätt att förbättra informationssäkerheten, såväl inom en myndighet som hos myndigheterna i stort. Då säkerhetsskydd hos civila och privata aktörer inte är på topp kan gemensamma skyddsnivåer driva utvecklingen i rätt riktning. En sådan utveckling är inte enkelriktad. Även säkerhetsskyddsarbetet behöver utvecklas – t ex vad gäller krav som finns i annan informationssäkerhet.

≈ ≈ ≈

Källor:

  • 5 § första stycket säkerhetsskyddslagen (1996:627), sidorna 22-23 i Handbok för Försvarsmaktens säkerhetstjänst – Grunder (H SÄK Grunder) (PDF) och sidorna 12-14 i Säkerhetsskydd – en vägledning, utgiven av Säkerhetspolisen (PDF).
  • 1 kap 3 § 4 Försvarsmaktens interna bestämmelser (FIB 2015:1) om skydd för utrikes- och sekretessklassificerade uppgifter (PDF).
  • 7 kap 10, 11, 13, 14 och 15 §§ Försvarsmaktens föreskrifter (FFS 2015:2) om säkerhetsskydd (PDF).
  • 6 kap. 3 §, 7 kap. 1 §, 9 kap. 1 § och 10 kap. 1 § Försvarsmaktens interna bestämmelser (FIB 2006:2) om IT-säkerhet.
  • Bild 13:3 på sidan 240 i H SÄK Infosäk (PDF).
  • 4 kap 14, 16, 19, 21 och 22 §§ Säkerhetspolisens föreskrifter (PMFS 2015:3) och allmänna råd om säkerhetsskydd (PDF).
  • Sidorna 18-20 och 24 i bilaga 1 till ”Beslut om krav på godkända säkerhetsfunktioner version 3.1 (KSF v3.1)”, FM2014-5302:1. KSF 3.1 verkar inte vara utlagd på internet. Beskrivningen av konsekvens- och exponeringsnivåer finns dock i rapporten ”Harmonisering mellan FMV ISD-process och FM KSF 3.1” från FMV (PDF).
  • Sidorna 48-50 i Handbok för Försvarsmaktens säkerhetstjänst – Grunder (H SÄK Grunder) (PDF).
  • Sidorna 336 och 346 i betänkandet ”En ny säkerhetsskyddslag” (SOU 2015:25) (PDF).

/Kim Hakkarainen

Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.