Ny handbok om informationssäkerhet

Inte förrän nu har det funnits en dedicerad handbok om informationssäkerhet i Försvarsmakten. Nya Handbok för Försvarsmaktens säkerhetstjänst, Informationssäkerhet (H SÄK Infosäk) är unik i Sverige. Ingen annan myndighet har tagit fram något liknande som motsvarar handbokens bredd och djup.

H SÄK Infosäk, som börjar gälla den 2 september, är en sammanslagning av tidigare handböcker om den administrativa informationssäkerheten (främst hanteringen av hemliga handlingar) och IT-säkerhet.

Ungefär 2/3 av innehållet i H SÄK Infosäk bygger på tidigare handböcker. 1/3 av H SÄK Infosäk är ny materia. Även om innehåll har tagits från en befintlig handbok eller skrivelse har text och bilder bedömts, uppdaterats, kompletterats eller tagits bort.

Handboken tar upp skydd av informationstillgångar enligt Försvarsmaktens informationsklassificeringsmodell, dvs även för uppgifter som omfattas av sekretess men som inte rör rikets säkerhet. Från 2010 finns det bestämmelser för hur sådana uppgifter ska skyddas i Försvarsmakten. Fokus ligger naturligt på den informationssäkerhet som avser uppgifter som omfattas av sekretess och som rör rikets säkerhet. Skyddet är mer omfattande för sådana uppgifter.

Handboken har tagits fram av en arbetsgrupp på fyra personer. Jag har från Kanada distansarbetat som redaktör och ämnesexpert. Många fler har bidragit i arbetet, inte minst i remisser inom Försvarsmakten och till andra myndigheter. I remissarbetet har drygt 600 synpunkter från ett 30-tal remissinstanser bearbetats.

Mitt arbete som redaktör har bl a bestått i att bedöma sakriktighet för innehållet, sammanfoga delarna och hitta kopplingar mellan dessa. Ett exempel på det sistnämnda är kapitlet om behörighet som har starka samband med såväl hanteringen av handlingar som behörighetskontroll i IT-system. Det är också jag som varit ansvarig för versionshantering. Som ämnesexpert har jag varit huvudsaklig författare till bl a delarna om:

  • ledning av informationssäkerhet,
  • informationsklassificering,
  • behörighet,
  • hantering av handlingar,
  • åtgärder vid förlust och röjande av uppgift eller handling,
  • lagringsmedier,
  • säkerhetskopiering samt
  • förordet.

I remissversionen fanns även kapitel om skydd för landskapsinformation samt förklarande text om säkerhetsskydd som jag skrivit. Dessa har tillsammans med ett kapitel om personuppgifter flyttats till Handbok för Försvarsmaktens säkerhetstjänst, Grunder (H SÄK Grunder).

Handboken innehåller 56 bilder av vilka jag har ritat 40.

Handboken är utformad som kommentarer till de föreskrifter som reglerar informationssäkerheten i Försvarsmaktens. På drygt 360 sidor kan handboken uppfattas vara svårtillgänglig. Men den är främst till för säkerhets- och IT-säkerhetschefer, dvs de som redan är experter på området. Andras anställdas informationsbehov är tänkt att lösas med andra medel, t ex lathundar.

För att inte tappa bort något i arbetet har jag arbetat efter en rutin där varje arbetsuppgift (min eller någon av mina kollegers) oavsett arbetsuppgiftens omfattning registrerats i programmet OmniFocus.

Indata till att registrera en arbetsuppgift i OmniFocus kan vara en e-post, ett telefonsamtal eller en rad i en lista med remissynpunkter som arbetsgruppen har bearbetat. När en arbetsuppgift har lösts har jag klarmarkerat den. Fördelen med denna teknik är att jag inte har behövt komma ihåg alla ändringar som ska genomföras. Bilden nedan visar principen för denna registrering. Varje arbetsuppgift har märkts med en unik identifiering för att ge spårbarhet och underlätta undersökning av statusen på ändringar. Ca 480 arbetsuppgifter har på detta sätt registrerats i OmniFocus och följts upp av mig.

Ordning och reda. Bilden visar hur ändringsbehov av handboken har hanterats. Oavsett varifrån ett ändringsbehov uppstår har den registrerats i OmniFocus. Varje ändring har fått en unik identitet (exempelvis ”A4” i de röda ringarna i bilden). Klicka på bilden för att se den i full storlek.

Handboken kan laddas ner som PDF från Försvarsmaktens webbplats.

I informationssäkerhetsarbetet gör jag hela tiden nya erfarenheter. T ex hur bestämmelser har tolkats fel eller överdrivits. Sådana erfarenheter är inarbetade i handboken med avsikten att erfarenheterna inte ska återupprepas. Det är en erfarenhetsbaserad återkoppling.

Handboken ser jag som ett steg i arbetet att komma bort från förra århundradets ensidiga fokus på sekretessaspekten för rikets säkerhet. Men det finns mycket mer att göra. FOI-rapporten Behov av stöd vid genomförande av hot-, risk- och sårbarhetsanalyser för IT-system inom Försvarsmakten pekar på flera problem med analyser för IT-säkerhet. Handboken är tydligare med vad analyserna syftar till och det förväntade resultatet. Arbetet med IT-säkerhet involverar dock flera aktörer varför t ex metodfrågor är svårare att påverka.

Ord som börjar på ”cyber” finns inte i handboken.

/Kim Hakkarainen

Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.