Informationssäkerhet

Informationssäkerhet ska förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

Informationssäkerhet skapas genom en kombination av tekniska, fysiska, organisatoriska och administrativa åtgärder utifrån följande perspektiv:

  • Konfidentialitet: att endast behöriga personer får ta del av informationen.
  • Riktighet: att innehållet i informationen är korrekt och att inte kan förändras av obehöriga.
  • Tillgänglighet: att informationen ska vara nåbar när den behövs.

I säkerhetsskyddsförordningen (2021:955) och Säkerhetspolisens föreskrifter (PMFS 2022:1) om säkerhetsskydd finns detaljerade krav på säkerhetsskyddsåtgärder för behandling av säkerhetsskyddsklassificerade uppgifter och handlingar samt för informationssäkerhet i informationssystem. Åtgärderna kan delas in utifrån

  • säkerhetsskyddsklassificerade uppgifter
  • informationssystem med säkerhetsskyddsklassificerade uppgifter eller
  • informationssystem som är av betydelse för Sveriges säkerhet.

Säkerhetsskyddsklassificerade uppgifter

Säkerhetsskyddsklassificerade uppgifter är uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen, eller som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig. Det innebär att även enskilda verksamhetsutövare, som i regel inte omfattas av offentlighetsprincipen, ska skydda sådana uppgifter. Nivån av skydd ska vara densamma oavsett var, hur eller av vem verksamheten bedrivs. Säkerhetsskyddsklassificerade uppgifter kan också vara uppgifter som omfattas av ett internationellt åtagande om säkerhetsskydd.

Säkerhetsskyddsklasserna är

  • kvalificerat hemlig
  • hemlig
  • konfidentiell
  • begränsat hemlig.

Säkerhetskänsliga informationssystem

Verksamhetsutövaren ansvarar för att informationssystem som har betydelse för säkerhetskänslig verksamhet ska ha ett säkerhetsskydd som är utformat så att kraven avseende säkerhetsskydd efterlevs. Ett informationssystem som ska användas i säkerhetskänslig verksamhet får inte tas i drift förrän det har godkänts från säkerhetsskyddssynpunkt av er som verksamhetsutövare. Godkännandet ska dokumenteras. Detta gäller både befintliga och nya informationssystem.

Har Säkerhetspolisen tillhandahållit en DAF (en beskrivning av dimensionerande antagonistiska förmågor) ska ni dimensionera vissa specifika säkerhetsskyddsåtgärder utifrån den.

Samråd avseende driftsättning av informationssystem

Inför driftsättning eller en större förändring av ett informationssystem som är avsett att behandla uppgifter i säkerhetsskyddsklass konfidentiell eller högre ska verksamhetsutövaren samråda med Säkerhetspolisen i enlighet med 3 kap 2 § säkerhetsskyddsförordningen (2021:955).

Samrådsskyldigheten gäller även i fråga om andra informationssystem, om obehörig åtkomst bedöms kunna medföra skada för Sveriges säkerhet som inte är obetydlig, är i konsekvensnivå C eller högre.

Samrådet ska ske skriftligen på Säkerhetspolisens blankett Samråd inför driftsättning av informationssystem. En särskild säkerhetsskyddsbedömning (SSB) ska bifogas ansökan.

Den särskilda säkerhetsskyddsbedömningen ska visa

  • att alla tillämpliga säkerhetskrav som följer av säkerhetsskyddslagstiftningen har omhändertagits,
  • att alla andra säkerhetskrav som verksamhetsutövaren tagit ställning till motiveras från säkerhetssskyddssynpunkt,
  • hur verksamhetsutövaren omhändertagit säkerhetskraven med säkerhetsskyddsåtgärder.

Ett samråd avslutas alltid med ett skriftligt yttrande från Säkerhetspolisen. En kopia på yttrandet skickas till verksamhetsutövarens tillsynsmyndighet.

Signalskydd

Den som innehar och använder kryptografiska funktioner anses bedriva säkerhetskänslig verksamhet.

Signalskydd ska förhindra att obehöriga kommer åt eller har möjlighet att påverka säkerhetsskyddsklassificerade uppgifter som skickas via elektroniska kommunikationsmedel. Signalskyddstjänst är den verksamhet som ska förhindra obehörig insyn i, och påverkan på telekommunikations- och IT-system. Det sker med hjälp av kryptografiska metoder och övriga signalskyddstjänster.

Signalskyddet regleras i Försvarsmaktens föreskrifter (FFS 2021:1) om signalskyddstjänsten. Den gäller alla verksamhetsutövare som använder kryptografiska funktioner för att kommunicera säkerhetsskyddsklassificerade uppgifter till ett informationssystem utanför verksamhetsutövarens kontroll.

Strålsäkerhetsmyndigheten är tillsynsmyndighet för signalskyddet inom område kärnteknisk verksamhet.

Anmäl signalskyddschef

Anmäl till Strålsäkerhetsmyndigheten vem som är signalskyddschef och eventuellt biträdande signalskyddschef. Blanketten Anmälan om signalskyddschef/biträdande signalskyddschef används även för att anmäla byte av signalskyddschef.