Ny handbok om informationssäkerhet

Omslag_H_SAK_InfosakInte förrän nu har det funnits en dedicerad handbok om informationssäkerhet i Försvarsmakten. Nya Handbok för Försvarsmaktens säkerhetstjänst, Informationssäkerhet (H SÄK Infosäk) är unik i Sverige. Ingen annan myndighet har tagit fram något liknande som motsvarar handbokens bredd och djup.

H SÄK Infosäk, som börjar gälla den 2 september, är en sammanslagning av tidigare handböcker om den administrativa informationssäkerheten (främst hanteringen av hemliga handlingar) och IT-säkerhet.

Ungefär 2/3 av innehållet i H SÄK Infosäk bygger på tidigare handböcker. 1/3 av H SÄK Infosäk är ny materia. Även om innehåll har tagits från en befintlig handbok eller skrivelse har text och bilder bedömts, uppdaterats, kompletterats eller tagits bort.

Handboken tar upp skydd av informationstillgångar enligt Försvarsmaktens informationsklassificeringsmodell, dvs även för uppgifter som omfattas av sekretess men som inte rör rikets säkerhet. Från 2010 finns det bestämmelser för hur sådana uppgifter ska skyddas i Försvarsmakten. Fokus ligger naturligt på den informationssäkerhet som avser uppgifter som omfattas av sekretess och som rör rikets säkerhet. Skyddet är mer omfattande för sådana uppgifter.

Handboken har tagits fram av en arbetsgrupp på fyra personer. Jag har från Kanada distansarbetat som redaktör och ämnesexpert. Många fler har bidragit i arbetet, inte minst i remisser inom Försvarsmakten och till andra myndigheter. I remissarbetet har drygt 600 synpunkter från ett 30-tal remissinstanser bearbetats.

Mitt arbete som redaktör har bl a bestått i att bedöma sakriktighet för innehållet, sammanfoga delarna och hitta kopplingar mellan dessa. Ett exempel på det sistnämnda är kapitlet om behörighet som har starka samband med såväl hanteringen av handlingar som behörighetskontroll i IT-system. Det är också jag som varit ansvarig för versionshantering. Som ämnesexpert har jag varit huvudsaklig författare till bl a delarna om:

  • ledning av informationssäkerhet,
  • informationsklassificering,
  • behörighet,
  • hantering av handlingar,
  • åtgärder vid förlust och röjande av uppgift eller handling,
  • lagringsmedier,
  • säkerhetskopiering samt
  • förordet.

I remissversionen fanns även kapitel om skydd för landskapsinformation samt förklarande text om säkerhetsskydd som jag skrivit. Dessa har tillsammans med ett kapitel om personuppgifter flyttats till Handbok för Försvarsmaktens säkerhetstjänst, Grunder (H SÄK Grunder).

Handboken innehåller 56 bilder av vilka jag har ritat 40.

Handboken är utformad som kommentarer till de föreskrifter som reglerar informationssäkerheten i Försvarsmaktens. På drygt 360 sidor kan handboken uppfattas vara svårtillgänglig. Men den är främst till för säkerhets- och IT-säkerhetschefer, dvs de som redan är experter på området. Andras anställdas informationsbehov är tänkt att lösas med andra medel, t ex lathundar.

För att inte tappa bort något i arbetet har jag arbetat efter en rutin där varje arbetsuppgift (min eller någon av mina kollegers) oavsett arbetsuppgiftens omfattning registrerats i programmet OmniFocus.

Indata till att registrera en arbetsuppgift i OmniFocus kan vara en e-post, ett telefonsamtal eller en rad i en lista med remissynpunkter som arbetsgruppen har bearbetat. När en arbetsuppgift har lösts har jag klarmarkerat den. Fördelen med denna teknik är att jag inte har behövt komma ihåg alla ändringar som ska genomföras. Bilden nedan visar principen för denna registrering. Varje arbetsuppgift har märkts med en unik identifiering för att ge spårbarhet och underlätta undersökning av statusen på ändringar. Ca 480 arbetsuppgifter har på detta sätt registrerats i OmniFocus och följts upp av mig.

Ordning och reda. Bilden visar hur ändringsbehov av handboken har hanterats. Oavsett varifrån ett ändringsbehov uppstår har den registrerats i OmniFocus. Varje ändring har fått en unik identitet (exempelvis ”A4” i de röda ringarna i bilden).

Ordning och reda. Bilden visar hur ändringsbehov av handboken har hanterats. Oavsett varifrån ett ändringsbehov uppstår har den registrerats i OmniFocus. Varje ändring har fått en unik identitet (exempelvis ”A4” i de röda ringarna i bilden).

Handboken kan laddas ner som PDF från Försvarsmaktens webbplats. Handboken kan laddas ner som PDF från Försvarsmaktens nya myndighetswebbplats. Tyvärr är inte handboken publicerad på Försvarsmaktens webbplats. Jag är övertygad att handboken skulle göra större nytta om den var publikt tillgänglig. Andra myndigheter, SUA-företag och konsulter skulle lättare kunna använda den. Det skulle helt enkelt gynna samhällets informationssäkerhet om handboken var tillgänglig för alla. Handboken kan laddas ner som PDF från Försvarsmaktens myndighetswebbplats.

I informationssäkerhetsarbetet gör jag hela tiden nya erfarenheter. T ex hur bestämmelser har tolkats fel eller överdrivits. Sådana erfarenheter är inarbetade i handboken med avsikten att erfarenheterna inte ska återupprepas. Det är en erfarenhetsbaserad återkoppling.

Handboken ser jag som ett steg i arbetet att komma bort från förra århundradets ensidiga fokus på sekretessaspekten för rikets säkerhet. Men det finns mycket mer att göra. FOI-rapporten Behov av stöd vid genomförande av hot-, risk- och sårbarhetsanalyser för IT-system inom Försvarsmakten pekar på flera problem med analyser för IT-säkerhet. Handboken är tydligare med vad analyserna syftar till och det förväntade resultatet. Arbetet med IT-säkerhet involverar dock flera aktörer varför t ex metodfrågor är svårare att påverka.

Ord som börjar på ”cyber” finns inte i handboken.

Uppdaterad 2013-09-02

Ändringar införda då handboken går att ladda ner som PDF från Försvarsmaktens webbplats.

Uppdaterad 2013-09-06

Ändringar införda då handboken har tagits bort från Försvarsmaktens webbplats.

Uppdaterad 2013-09-18

Ändringar införda då handboken går att ladda ner som PDF från Försvarsmaktens nya myndighetswebbplats.

Uppdaterad 2013-09-26

Ändringar införda då handboken har tagits bort från Försvarsmaktens myndighetswebbplats.

Uppdaterad 2013-10-22

Ändringar införda då handboken är tillbaka som PDF på Försvarsmaktens myndighetswebbplats.

Uppdaterad 2014-06-18

Uppdaterat länken till handboken som PDF då handboken kommit ut i en ny version.

Uppdaterad 2014-08-27

Ny länk till PDF-filen då Försvarsmakten har ändrat katalognamn.

/Kim Hakkarainen

10 kommentarer

Publicerad i Information och utbildning

10 kommentarer till Ny handbok om informationssäkerhet

  1. Glenn Bergman

    Kim har, som vanligt, ”alla paddlarna i vattnet” gällande detta ämne. Håller med om att H Säk Infosäk borde vara publikt tillgänglig. Mycket att lära för många i denna handbok.
    Jag har mitt eget ex, lyckliga jag.

  2. Vi som inte är lika lyckligt lottade, var kan vi få tag i ett eller flera ex?

    • I avvaktan på grafisk produktion finns handboken nu som PDF. När den finns i tryckt form antar jag att den kommer att kunna beställas från Försvarets bok- och blankettförråd. Då handboken är en allmän handling går det att begära ut den från t ex Högkvarteret.

      • Björn Gustafson

        Tack för svar.

        Hälsningar
        Björn Gustafson
        Informationssäkerhetschef
        Stockholms stad

  3. Andreas

    Och redan har den tagits bort från FM:s hemsida…

  4. Andreas

    Har ögnat igenom den en första gång, och inser att det kommer ta sin tid att gå igenom det omfattande underlaget. Ser fram emot den tryckta utgåvan!

  5. Finns den att köpa ? Har tidigare varianter från FM. antisvinn.se

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *