Industrisäkerhetsskyddsmanual ISM - FMV€¦ · Denna industrisäkerhetsskyddsmanual, ISM, gäller för företag som utför uppdrag där det förekommer hemlig uppgift, s.k. SUA

Industrisäkerhetsskyddsmanual

ISM

2013

Sida 2 (34) Industrisäkerhetsskyddsmanual 13FMV4466-1:1 2013-05-07 Utgåva 1.1

Industrisäkerhetsskyddsmanual, ISM

UInnehåll:

2T12T 2TUALLMÄNTU2T ....................................................................................................................................... 5

2TU1.1U2T 2TUGILTIGHETU2T ..................................................................................................................................... 5 2TU1.2U2T 2TUSYFTEU2T .............................................................................................................................................. 5 2TU1.3U2T 2TUDEFINITIONERU2T ................................................................................................................................ 6 2TU1.4U2T 2TUFÖRKORTNINGARU2T ........................................................................................................................ 10

2T22T 2TUANSVARU2 T ......................................................................................................................................... 11

2TU2.1U2T 2TUINLEDNINGU2T.................................................................................................................................... 11 2TU2.2U2T 2TUANSVAR FÖR SÄKERHETSSKYDD VID SUAU2T ................................................................................. 11 2TU2.2.1U2T 2TUFMV ANSVARU2T ............................................................................................................................. 11 2TU2.2.2U2T 2TUHUVUDLEVERANTÖRS ANSVARU2T.................................................................................................. 11 2TU2.2.3U2T 2TUUNDERLEVERANTÖRS ANSVARU2T .................................................................................................. 12 2TU2.3U2T 2TUALLMÄNTU2T ..................................................................................................................................... 12 2TU2.3.1U2T 2TUSÄKERHETSSKYDDSORGANISATIONU2T ........................................................................................... 12 2TU2.3.2U2T 2TURAPPORTERING AV SEKRETESSFÖRLUSTU2T .................................................................................... 13 2TU2.3.3U2T 2TUKONTAKTER MED MEDIAU2T ............................................................................................................ 13

2T32T 2TUINFORMATIONSSÄKERHETSKLASSERU2T .............................................................................. 14

2TU3.1U2T 2TUINLEDNINGU2T.................................................................................................................................... 14 2TU3.2U2T 2TUHEMLIGBETECKNINGARU2T ............................................................................................................. 14 2TU3.2.1U2T 2TUKVALIFICERAT HEMLIG ELLER HEMLIG/TOP SECRETU2T ................................................... 14 2TU3.2.2U2T 2TUHEMLIGU2T .................................................................................................................................... 14 2TU3.2.3U2T 2TUHEMLIG/SECRETU2T .................................................................................................................... 14 2TU3.2.4U2T 2TUHEMLIG/CONFIDENTIALU2T ...................................................................................................... 14 2TU3.2.5U2T 2TUHEMLIG/RESTRICTEDU2T ........................................................................................................... 14 2TU3.3U2T 2TUINFORMATIONSKLASSIFICERINGU2T ................................................................................................ 14 2TU3.4U2T 2TUFÖRÄNDRING AV INFORMATIONSSÄKERHETSKLASSU2T ................................................................. 15

2T42T 2TUINFORMATIONSSÄKERHETU2T ................................................................................................... 16

2TU4.1U2T 2TUDELGIVNING AV HEMLIG UPPGIFTU2T.............................................................................................. 16 2TU4.2U2T 2TUFRAMSTÄLLNING AV HEMLIG HANDLINGU2T .................................................................................. 16 2TU4.3U2T 2TUKOPIERING AV HEMLIG HANDLINGU2 T ............................................................................................ 17


2TU4.4U2T 2TUREGISTRERINGU2T ............................................................................................................................. 17 2TU4.5U2T 2TUKVITTERINGU2T ................................................................................................................................. 17 2TU4.6U2T 2TUFÖRVARINGU2T .................................................................................................................................. 17 2TU4.7U2T 2TUINVENTERINGU 2T ............................................................................................................................... 19 2TU4.8U2T 2TUDESTRUKTIONU2T .............................................................................................................................. 19 2TU4.9U2T 2TUBEFORDRAN AV HEMLIG HANDLING ELLER HEMLIG MATERIELU2T .............................................. 19 2TU4.9.1U2T 2TUALLMÄNTU2T ................................................................................................................................... 19 2TU4.9.2U2T 2TUBEFORDRAN AV HEMLIG UPPGIFT INOM SVERIGEU2T .................................................................... 20 2TU4.9.3U2T 2TUBEFORDRAN AV HEMLIG UPPGIFT UTOM SVERIGEU2T ................................................................... 21 2TU4.9.4U2T 2TUTRANSPORT INOM/UTOM SVERIGEU2T ............................................................................................. 21 2TU4.10U2T 2TUMEDFÖRANDE AV HEMLIG HANDLING UTANFÖR VERKSAMHETSSTÄLLETS LOKALERU2T ........ 21 2TU4.10.1U2T 2TUALLMÄNTU2T ................................................................................................................................. 21 2TU4.10.2U2T 2TUMEDFÖRANDE INOM SVERIGEU2T ................................................................................................ 22 2TU4.10.3U2T 2TUMEDFÖRANDE UTOM SVERIGEU2T ............................................................................................... 22 2TU4.11U2T 2TUIT-SÄKERHETSSKYDDU2T ............................................................................................................... 22 2TU4.11.1U2T 2TUIT SYSTEM INNEHÅLLANDE HEMLIG UPPGIFT-FRISTÅENDE DATORU2T ......................................... 22 2TU4.11.2U2T 2TUIT SYSTEM INNEHÅLLANDE HEMLIG UPPGIFT-FLERANVÄNDARSYSTEMU2T ................................. 23 2TU4.12U2T 2TUSIGNALSKYDDU2T ............................................................................................................................ 23 2TU4.13U2T 2TUSEKRETESSFÖRLUSTHANTERINGU2T .............................................................................................. 23

2T52T 2TUTILLTRÄDESBEGRÄNSNINGU2T .................................................................................................. 24

2TU5.1U2T 2TUINLEDNINGU2T.................................................................................................................................... 24 2TU5.2U2T 2TUMEKANISKT SKYDD OCH INBROTTSLARMU2T.................................................................................. 24 2TU5.3U2T 2TUPASSERKONTROLLSYSTEMU2T ......................................................................................................... 24 2TU5.4U2T 2TUBESÖKSHANTERINGU2T ..................................................................................................................... 25 2TU5.5U2T 2TUHANTERING AV LÅSKODER OCH NYCKLARU2T ................................................................................ 25

2T62T 2TUSÄKERHETSPRÖVNINGU2T ........................................................................................................... 27

2TU6.1U2T 2TUINLEDNINGU2T.................................................................................................................................... 27 2TU6.2U2T 2TUSÄKERHETSPRÖVNING VID ANSTÄLLNINGU2T ................................................................................. 27 2TU6.3U2T 2TUREGISTERKONTROLLU 2T .................................................................................................................. 27 2TU6.4U2T 2TUSEKRETESSBEVISU2T ......................................................................................................................... 27

2T72T 2TUPROJEKTSÄKERHETSSKYDDU2T ................................................................................................ 28

2TU7.1U2T 2TUINLEDNINGU2T.................................................................................................................................... 28 2TU7.2U2T 2TUSÄKERHETSSKYDDSPLANU2T ............................................................................................................ 28 2TU7.3U2T 2TUUTÖKAT SKYDDU2T ............................................................................................................................ 28

2T82T 2TUINTERNATIONELLT SAMARBETEU2T ........................................................................................ 30

2TU8.1U2T 2TUINLEDNINGU2T.................................................................................................................................... 30 2TU8.2U2T 2TUREGERINGSBESLUTU2T ...................................................................................................................... 30 2TU8.3U2T 2TUFMV ROLLU2T ................................................................................................................................... 31 2TU8.4U2T 2TUSVENSKT FÖRETAGS ANSVARU2T ...................................................................................................... 31 2TU8.5U2T 2TUAVTALU2T ........................................................................................................................................... 32 2TU8.5.1U2T 2TUBI-/MULTILATERALA SÄKERHETSSKYDDSAVTALU2T ...................................................................... 32 2TU8.5.2U2T 2TUMYNDIGHETSAVTAL (AVTAL MELLAN FMV OCH UTLÄNDSK MYNDIGHET)U2T ............................. 32


2TU8.5.3U2T 2TUFÖRETAGSAVTAL (UTLÄNDSKT FÖRETAG)U2T ................................................................................ 32 2TU8.5.4U2T 2TUFÖRETAGSAVTAL (SVENSKT FÖRETAG)U2T ..................................................................................... 32 2TU8.6U2T 2TUSAMARBETE/GEMENSAM UTVECKLINGU2T ...................................................................................... 32 2TU8.7U2T 2TUEXPORTU2T ......................................................................................................................................... 33 2TU8.8U2T 2TUFÖRFRÅGNINGSUNDERLAG/UPPHANDLINGSKONTRAKTU2T .......................................................... 33 2TU8.9U2T 2TUBESÖKU2T ........................................................................................................................................... 33

2T92T 2TUUTBILDNINGU2T ................................................................................................................................ 34

2TU10U2T 2TUKONTROLLU2T .................................................................................................................................. 34

2TU11U2T 2TURAPPORTERING/INCIDENTU2T .................................................................................................... 34

UBilagor: Bilaga 1 ISM - Upprättande av Säkerhetsskyddsavtal Bilaga 2 ISM - Översikt säkerhetsskyddskrav Bilaga 3 ISM - IT-säkerhetsskyddskrav Bilaga 4 ISM - Hemligbeteckningar Bilaga 5 ISM - Transportnivåer Bilaga 6 ISM - Normer för destruktion av hemlig uppgift Bilaga 7 ISM - Klausuler Säkerhetsskydd/Security Clauses för SUA-upphandling Bilaga 8 ISM - Mallar och blanketter

8.1 Underlag för säkerhetsskydd / säkerhetsskyddsplan 8.2 Mall för säkerhetsskyddsrevision 8.3 Mall för dokumenterad personbedömning 8.4 Sekretessbevis för SUA-företag 8.5 Kvittens (Receipt)


1 Allmänt 1.1 Giltighet Denna industrisäkerhetsskyddsmanual, ISM, gäller för företag som utför uppdrag där det förekommer hemlig uppgift, s.k. SUA arbete,P

Pi enlighet med vad som föreskrivs i 8 §

säkerhetsskyddslagen (1996:627). Genom ett säkerhetsskyddsavtal förbinder sig företaget att iaktta sekretess och skydda hemlig uppgift som i samband med uppdraget anförtrotts företaget. Sekretess innebär förbud att röja hemlig uppgift, muntligt (tystnadsplikt) eller genom att hemlig handling lämnas ut. Enligt 15 kap 2 § offentlighets- och sekretesslagen (2009:400) gäller sekretess för uppgift som berör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Sådan sekretess utgör s.k. försvarssekretess. Andra bestämmelser i offentlighets- och sekretesslagen gäller uppgifter som har eller kan ha betydelse för rikets säkerhet vilket omfattar s.k. utrikessekretess (15 kap 1 §), förundersökningar m.m. (18 kap 1 §), sekretess för säkerhets- och bevakningsåtgärder (18 kap 8 §) och sekretess för chiffer, koder o d (18 kap 9 §). För sådana uppgifter appliceras den reglering och det skydd som gäller för försvarssekretess. Uppgift som omfattas av sekretess enligt ovan benämns i det följande hemlig uppgift. 1.2 Syfte Syftet med denna industrisäkerhetsskyddsmanual, är att reglera och förklara de åtgärder som krävs för att under SUA-arbetet säkerställa en obruten säkerhetsskyddskedja för de hemliga uppgifter och den hemliga materiel som omfattas av säkerhetsskyddsavtalet. Med säkerhetsskydd avses: • skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, så kallad

försvarssekretess (offentlighets- och sekretesslagen 15 kap 2 §), • skydd i andra fall av uppgifter som omfattas av sekretess enligt offentlighets- och

sekretesslagen som rör rikets säkerhet (15 kap 1 §, 18 kap 1, 8 och 9 §), • skydd mot brott som innebär våld, hot om våld för politiska syften (terrorism), även om

brotten inte hotar rikets säkerhet. Säkerhetsskyddet skall förebygga: • att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs,

ändras eller förstörs (informationssäkerhet), • att obehöriga får tillträde till platser där de kan få tillgång till uppgifter som omfattas av

sekretess med hänsyn till rikets säkerhet eller där verksamhet som har betydelse för rikets säkerhet bedrivs (tillträdesbegränsning),

• att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet (säkerhetsprövning),

• terrorism. Implementering av ISM för aktuell informationssäkerhetsklass HEMLIG/SECRET (och HEMLIG), HEMLIG/CONFIDENTIAL eller HEMLIG/RESTRICTED skall skriftligen bekräftas till FMV innan verksamhet innehållande hemlig uppgift får påbörjas. För arbete med hemlig uppgift klassad KVALIFICERAT HEMLIG eller HEMLIG/TOP SECRET ställer FMV krav på utökat skydd vilket skall regleras i separat kompletterande överenskommelse mellan FMV och företaget innan verksamhet får påbörjas.


1.3 Definitioner Behörig Behörig att ta del av hemlig uppgift är endast den som

• bedöms pålitlig från säkerhetsskyddssynpunkt

• har tillräckliga kunskaper om säkerhetsskydd

• behöver uppgifterna för sitt arbete i den verksamhet där de hemliga uppgifterna förekommer.

Alla andra är obehöriga att ta del av hemlig uppgift.

Beställare Den som utsänder förfrågningsunderlag, tilldelar upphandlingskontrakt eller sluter avtal om internationellt samarbete inom försvarsmaterielområdet innefattande arbete med hemliga uppgifter.

Bilateralt avtal Överenskommelse mellan två stater.

FMV Säkerhetsskydd

Med FMV Säkerhetsskydd avses del av FMV som företräder staten i säkerhetsskyddsfrågor.

Företag Juridisk person/organisation som skall/har teckna(t) ett säkerhetsskyddsavtal med FMV för att kunna genomföra uppdrag innefattande hemliga uppgifter från beställaren.

Grundnivå för säkerhetsskydd

Den nivå på säkerhetsskyddet som ett företag har när Industrisäkerhetsskyddsmanualen är implementerad och säkerhetsskyddsavtalet är påtecknat.

General Security Agreement, GSA

Övergripande bi-/multilateralt säkerhetsskyddsavtal (Government to Government).

Hemlig handling En hemlig handling är en handling som innehåller hemlig uppgift.

Hemlig uppgift Med hemlig uppgift avses uppgift som är belagt med sekretess med någon av informationssäkerhetsklasserna KVALIFICERAT HEMLIG, HEMLIG/TOP SECRET, HEMLIG, HEMLIG/SECRET, HEMLIG/CONFIDENTIAL eller HEMLIG/RESTRICTED.

Hemlig uppgift kan framgå av handlingar, data-/minnesmedium, visst förhållande, anläggning, föremål eller muntlig uppgift.


Industrisäkerhets-skyddsmanual, ISM

Manual beskrivande krav och åtgärder som företag skall genomföra för att kunna teckna ett Säkerhetsskyddsavtal Nivå 1 med FMV

Informations-säkerhetsklass

Indelningsgrund för uppgifter med avseende på dessas grad av sekretess. Följande informationssäkerhetsklasser behandlas i denna ISM:

KVALIFICERAT HEMLIG, HEMLIG/TOP SECRET, HEMLIG, HEMLIG/SECRET, HEMLIG/CONFIDENTIAL samt HEMLIG/RESTRICTED.

Materielsäkerhets-specifikation

Handling som utvisar vilken informationssäkerhetsklass uppgifter och materiel i ett projekt har (benämningen "MATSÄK-spec" kan även förekomma. Engelsk benämning Security Classification Guide, SCG).

Multilateralt avtal Överenskommelse mellan flera stater (jfr Bilateralt avtal)

Projektsäkerhets-instruktion, Project Security Instruction, PSI

Beställarens direktiv rörande säkerhetsskyddet i ett uppdrag av stor omfattning eller där internationell medverkan förekommer.

Registerkontroll Säkerhetspolisen genomför registerkontroller efter ansökan från FMV. Registerkontroller genomförs för placering i säkerhetsklass eller till skydd mot terrorism.

Skyddad transport Med skyddad transport avses i denna manual en transport där ett särskilt skydd för de transporterade hemliga handlingarna eller den hemliga materielen erfordras enligt genomförd säkerhetsanalys eller enligt föreskrifter från uppdragsgivaren.

Skyddade transporter indelas i transportnivå 1, 2, 3 eller 4 enligt definition i bilaga till denna manual där nivå 4 innebär den högsta skyddsnivån.

Säkerhetsskyddsavtal med bilaga Nivå x

Bilaga Nivå 1

Bilaga Nivå 2

Bilaga Nivå 3

Industrisäkerhets- skyddsmanual, ISM


SUA Säkerhetsskyddad Upphandling med säkerhetsskyddsAvtal. När en myndighet avser att begära in ett anbud eller träffa avtal om upphandling där det förekommer hemliga uppgifter, ska myndigheten enligt 8 § säkerhetsskyddslagen träffa ett skriftligt säkerhetsskyddsavtal med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet, i detta sammanhang ett uppdrag som ställer krav på ett säkerhetsskyddsavtal mellan FMV och Företaget.

SUA-arbete Upphandling eller arbete som med hänsyn till rikets säkerhet skall hållas hemlig och/eller upphandling eller arbete då staten står som garant för att utländsk hemlig uppgift ges erforderligt skydd.

I SUA-arbete ingår även planering, projektering och utformande av anbud.

Säkerhetsklass 1. I stor omfattning får del av uppgifter som omfattas av sekretess och är av synnerlig betydelse för rikets säkerhet (säkerhetsklass 1),

2. i en omfattning som inte är obetydligt får del av sådana uppgifter som avses i 1 (säkerhetsklass 2), eller

3. i övrigt får del av uppgifter som omfattas av sekretess och som är av betydelse för rikets säkerhet, om ett röjande av uppgifterna kan antas medföra men för rikets säkerhet som inte endast är ringa (säkerhetsklass 3).

Säkerhetsskydds-avtal Nivå 1

Säkerhetsskyddsavtal mellan FMV och ett företag innebärande att företaget i egna lokaler/verksamhetsställen kan bedriva verksamhet innehållande arbete med hemlig uppgift.


Säkerhetsskyddsavtal mellan FMV och ett företag innebärande att företaget hos FMV eller hos annat företag med Säkerhetsskyddsavtal på Nivå 1 kan bedriva verksamhet innehållande arbete med hemlig uppgift.


Säkerhetsskyddsavtal mellan FMV och ett företag innebärande att företaget kan verka på verksamhetsställen där det förekommer hemliga uppgifter men där företaget inte avses ta del av dessa.


Säkerhetsanalys Klarläggande av vilka uppgifter rörande verksamhet, anläggning, personal och materiel som kräver säkerhetsskydd: ”Myndigheter och andra som förordningen gäller för skall undersöka vilka uppgifter i deras verksamhet som skall hållas hemliga med hänsyn till rikets säkerhet och vilka anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism. Resultatet av denna undersökning (säkerhetsanalys) skall dokumenteras.” (Säkerhetsskyddsförordningen (1996:633)).

Säkerhetsplan Dokument från Försvarsmakten eller annan myndighet som reglerar säkerhetsskyddet för uppdraget.

Säkerhetsskydds-nivå

Säkerhetsskyddskrav för respektive informationssäkerhetsklass.

Säkerhetsskydds-plan

Dokument som reglerar krav på och former för säkerhetsskyddet inom verksamheter som hanterar hemliga uppgifter eller annars är av betydelse för rikets säkerhet. (Jfr. Security Aspects Letter, SAL).

Transportnivå Nivåindelning av skyddade transporter. Transportnivå 1 – 4 definieras i bilaga till denna ISM.

Uppdrag Ett särskilt förfrågningsunderlag/upphandlingskontrakt eller avtal om internationellt samarbete inom försvarsmaterielområdet som ges till ett företag.


1.4 Förkortningar Förkortning Betydelse

CSO Cognizant Security Office (US DSA)

DSA Designated Security Authority

FSC/FIS Facility Security Clearance / Facility Information Sheet

FM Försvarsmakten

FMV Försvarets materielverk

GSA General Security Agreement

H/TS HEMLIG/TOP SECRET

H HEMLIG

H/S HEMLIG/SECRET

H/C HEMLIG/CONFIDENTIAL

H/R HEMLIG/RESTRICTED

ISM Industrisäkerhetsskyddsmanual/Industrial Security Manual

ISP Inspektionen för strategiska produkter

KH KVALIFICERAT HEMLIG

MUST Militära underrättelse- och säkerhetstjänsten (FM)

NCSA National Communication Security Authority

NSA National Security Authority

PSI Projektsäkerhetsinstruktion/Project Security Instruction

RFV Request for visit

RK Registerkontroll

RPS Rikspolisstyrelsen

SAL Security Aspects Letter (Jfr Säkerhetsskyddsplan)

SCG Security Classification Guide

SUA Säkerhetsskyddad upphandling med säkerhetsskyddsavtal


2 Ansvar 2.1 Inledning I detta avsnitt behandlas ansvarsfrågorna i ett beskrivande perspektiv. De juridiskt bindande formuleringarna återfinns i säkerhetsskyddsavtal som tecknas mellan FMV och det aktuella företaget. Säkerhetsskyddsavtalet ger förutsättningen för att hantera och arbeta med hemlig uppgift vid de angivna verksamhetsställena upp till en, för varje verksamhetsställe, angiven nivå. I säkerhetsskyddsavtalet åtar sig företaget att i sin verksamhet med hemlig uppgift implementera denna Industrisäkerhetsskyddsmanual, ISM. Företaget skall utan dröjsmål till FMV Säkerhetsskydd anmäla när ändring sker beträffande säkerhetsorganisation, post- eller besöksadress samt telefonnummer. Företaget skall till FMV Säkerhetsskydd anmäla ändring avseende firmanamn, organisationsnummer, ägandeförhållanden, VD och/eller styrelseordförande. Nytt företagsbevis för aktiebolag (registreringsbevis för övriga bolagsformer) bifogas anmälan. Företagsbevis (registreringsbevis) får vara högst tre månader gammalt. 2.2 Ansvar för säkerhetsskydd vid SUA 2.2.1 FMV ansvar Ytterst regleras ansvaret för rikets säkerhet och för skyddet mot terrorism av svensk lagstiftning. De primära lagtexterna utgörs av offentlighets- och sekretesslagen, säkerhetsskyddslagen samt säkerhetsskyddsförordningen. Dessutom finns bestämmelser i Försvarsmaktens författningssamling och interna bestämmelser inom FMV i relevanta Tjänsteföreskrifter. Då FMV erhåller ett uppdrag från annan myndighet innebärande utveckling och/eller anskaffning av viss materiel åtföljs uppdraget av en säkerhetsplan som anger vad som skall vara hemligt samt vilka krav som ställs på säkerhetsskyddet i detta uppdrag. FMV ansvarar för att de säkerhetsskyddskrav som erhållits från annan myndighet förs vidare till presumtiva företag när beslut fattats om upphandling som fordrar säkerhetsskydd. Dessa riktlinjer dokumenteras i säkerhetsskyddsplaner eller projektsäkerhetsinstruktioner. 2.2.2 Huvudleverantörs ansvar Företaget är skyldigt att, baserat på mellan beställaren och företaget överenskommen säkerhetsskyddsplan, analysera vilka uppgifter i dess verksamhet som skall hållas hemliga med hänsyn till rikets säkerhet och vilka verksamhetsställen som kräver säkerhetsskydd med hänsyn till rikets säkerhet eller skydd mot terrorism. Resultatet av denna undersökning (säkerhetsanalys) skall dokumenteras. Säkerhetsanalysen skall vid behov/ändrade förutsättningar revideras. Baserat på resultatet av säkerhetsanalysen, skall företaget dokumentera vad som är hemlig uppgift i uppdraget samt vidtagna och planerade säkerhetsskyddsåtgärder. Om förnyat uppdrag sker med referens till befintligt säkerhetsskyddsavtal skall en säkerhetsskyddsplan upprättas och överenskommas för varje sådant uppdrag. Företaget ansvarar för att säkerställa att den säkerhetsskyddsnivå som av beställaren angetts för uppdraget vidmakthålls. För varje uppdrag skall företaget kunna redovisa vilka hemliga handlingar eller vilken hemlig materiel av lägst 2Tinformationssäkerhetsklass2T HEMLIG/CONFIDENTIAL som företaget har tagit emot i uppdraget från FMV eller andra företag. Företaget skall tillse att de hemliga uppgifter och den hemliga materiel som uppstår i företaget vid uppdragets genomförande ges ett erforderligt säkerhetsskydd baserat på de riktlinjer som erhållits från beställaren och i enlighet med säkerhetsskyddsplanen för uppdraget. I det fall företaget behöver utnyttja underleverantör för att fullgöra uppdraget skall företaget säkerställa att:


1. Underleverantören med FMV har ett säkerhetsskyddsavtal vilket medger arbete med hemlig uppgift upp till och med den informationssäkerhetsklass som krävs för att genomföra det tilltänkta arbetet.

2. Den säkerhetsskyddsplan som företaget överenskommit med beställaren rörande säkerhetsskyddet i uppdraget, ligger till grund för den säkerhetsskyddsplan som skall överenskommas med aktuell underleverantör.

3. Hemlig handling och hemlig materiel som underleverantören behöver för sin verksamhet i uppdraget skall av företaget förses med referens till ursprungligt uppdrag. Företaget skall förteckna alla hemliga handlingar i uppdraget som överlämnas/delges till underleverantören.

4. Kopia på relevanta delar i det kommersiella avtalet (upphandlingskontrakt) samt kopia på överenskommen, fastställd säkerhetsskyddsplan för aktuellt uppdrag, insänds till FMV Säkerhetsskydd. Krav för underleverantör utanför Sverige, se kap. 8.

2.2.3 Underleverantörs ansvar Underleverantören skall vara ett av FMV godkänt SUA-företag och ha personal som är behörig att delta i den planerade verksamheten. Underleverantörens ansvar är att säkerställa att den säkerhetsskyddsnivå som av beställaren angetts för uppdraget enligt överenskommen säkerhetsskyddsplan vidmakthålls. Innan arbete med hemlig uppgift påbörjas eller hemlig handling eller hemlig materiel överförs/delges till underleverantören skall överenskommen säkerhetsskyddsplan för uppdraget vara godkänd av beställaren och underleverantören. 2.3 Allmänt 2.3.1 Säkerhetsskyddsorganisation 2.3.1.1 Säkerhetschef Säkerhetsskyddet inom företaget planläggs, leds och övervakas av säkerhetschefen. Säkerhetschefen, som skall vara fast anställd i företaget, skall i fråga om säkerhetstjänsten lyda direkt under företagets verkställande direktör (VD) eller motsvarande befattningshavare som ansvarar för den löpande förvaltningen av företaget. FMV kan, om särskilda skäl föreligger, och efter hemställan från företaget, acceptera att säkerhetschefen är anställd i annat bolag. Särskilda skäl kan vara att företaget ej har några anställda (bolag som skapats för särskilda försäljningsuppdrag etc.), personal från andra företag arbetar på uppdrag i företaget. Säkerhetschefen är kontaktperson gentemot FMV Säkerhetsskydd och skall: • vid befarad incident omgående göra polisanmälan om dröjsmål kan innebära att bevis går

förlorade eller utredning av en händelse äventyras • dokumentera förhållanden och åtgärder avseende säkerhetsskyddet • föra förteckning över vid företaget anställd, behörig personal. Säkerhetschefen skall utan dröjsmål till FMV anmäla: • incidenter i IT-miljö, vilka av företaget bedöms inverka på säkerhetsskyddet • då skadegörelse skett på försändelse med hemligt innehåll • då hemlig uppgift eller hemlig materiel förkommit eller saknas • brister i säkerhetsskyddet uppmärksammas inom företaget eller hos underleverantör • då obehörig söker skaffa upplysning om hemligt förhållande • misstanke om brott såsom spioneri, sabotage föreligger • inbrott, vilket av företaget bedöms inverka på säkerhetsskyddet, skett vid företaget eller

hos enskild anställd.


2.3.1.2 Lokalt säkerhetsansvarig Vid varje verksamhetsställe, där arbete med hemlig uppgift skall bedrivs, skall det finnas en av företaget utsedd person, lokalt ansvarig för säkerhetsskyddet, som skall vara direkt underställd företagets säkerhetschef. Lokalt ansvarig för säkerhetsskyddet vid respektive verksamhetsställe skall framgå av vid företaget framtagen förteckning. 2.3.1.3 Interna säkerhetsskyddsföreskrifter Vid företaget skall finnas en säkerhetsskyddsinstruktion. Denna kan utgöras av ett fristående dokument eller vara inarbetad i företagets ordinarie kvalitetsstyrningssystem. Säkerhetsskyddsinstruktionen skall reglera hanteringen av hemlig uppgift och övrig förebyggande säkerhetsskyddsverksamhet vid företaget. Säkerhetschefen ansvarar för att säkerhetsskyddsinstruktionen hålls uppdaterad och är i överensstämmelse med denna ISM. 2.3.2 Rapportering av sekretessförlust Vid en befarad eller konstaterad förlust av hemlig uppgift eller hemlig materiel åligger det företaget att Usnarast - vidta åtgärd så att skadan av (den befarade) sekretessförlusten minimeras - till FMV Säkerhetsskydd, i hemlig skrivelse, anmäla förhållandet. En befarad eller konstaterad förlust av signalskyddshandlingar skall av företaget i hemlig skrivelse UsnarastU anmälas till FMV Säkerhetsskydd. 2.3.3 Kontakter med media Innan uppgifter som omfattas av uppdraget genom företaget lämnas till massmedia eller för annan publicering (i broschyrer, tidskrifter, böcker, filmer, webbsidor eller liknande) skall företaget kontrollera att uppgifterna inte är att betrakta som hemlig uppgift. Vad här sagts skall gälla även vid marknadsföring, föredrag, utställning och förevisning, dit annan än från säkerhetsskyddssynpunkt behörig äger tillträde. I tveksamma fall skall företaget inhämta beställarens skriftliga godkännande.


3 Informationssäkerhetsklasser 3.1 Inledning Om inte annat anges i denna manual avses med hemlig uppgift sådan information som omfattas av någon av informationssäkerhetsklasserna: KVALIFICERAT HEMLIG (KH) eller HEMLIG/TOP SECRET (H/TS) HEMLIG (H) eller HEMLIG/SECRET (H/S) HEMLIG/CONFIDENTIAL (H/C) HEMLIG/RESTRICTED (H/R)

3.2 Hemligbeteckningar 3.2.1 KVALIFICERAT HEMLIG eller HEMLIG/TOP SECRET 1. Hemliga uppgifter vars röjande kan medföra synnerligt men för totalförsvaret eller

förhållandet till en annan stat eller en mellanfolklig organisation eller i annat fall för rikets säkerhet.

2. KVALIFICERAT HEMLIG handling som har försetts med beteckningen TOP SECRET eller motsvarande av en utländsk myndighet eller mellanfolklig organisation.

3.2.2 HEMLIG Den beteckning som före införandet av nuvarande informationssäkerhetsklasser H/S, H/C respektive H/R åsattes handlingar eller materiel innehållande hemliga uppgifter vars röjande innebar mindre än synnerligt men för rikets säkerhet. Eftersom det inte framgår av en HEMLIG-stämplad handling vilken informationssäkerhetsklass den skall tillhöra, skall samtliga handlingar betecknade HEMLIG hanteras som HEMLIG/SECRET. Detta gäller tills FMV, i varje enskilt fall, beslutat annat. 3.2.3 HEMLIG/SECRET 1. Hemliga uppgifter vars röjande kan medföra ett betydande men för totalförsvaret eller


2. Hemlig handling som har försetts med beteckningen HEMLIG/SECRET eller motsvarande av en utländsk myndighet eller mellanfolklig organisation.

3.2.4 HEMLIG/CONFIDENTIAL 1. Hemliga uppgifter vars röjande kan medföra ett icke obetydligt men för totalförsvaret eller


2. Hemlig handling som har försetts med beteckningen HEMLIG/CONFIDENTIAL eller motsvarande av en utländsk myndighet eller mellanfolklig organisation.

3.2.5 HEMLIG/RESTRICTED 1. Hemliga uppgifter vars röjande kan medföra ett ringa men för totalförsvaret eller


2. Hemlig handling som har försetts med beteckningen HEMLIG/RESTRICTED eller motsvarande av en utländsk myndighet eller mellanfolklig organisation.

3.3 Informationsklassificering Underlag innehållande hemlig uppgift som tillställs företaget från FMV har av FMV informationsklassificerats och placerats i informationssäkerhetsklass. Hemlig uppgift eller hemlig materiel som uppstår vid utförandet av uppdraget hos företaget skall informationsklassificeras, enligt direktiv i överenskommen säkerhetsskyddsplan, av företaget.


Det åligger beställaren att skriftligen meddela företaget vad som i uppdraget utgör hemlig uppgift. Detta görs genom de anvisningar (Säkerhetsskyddsplan, Materielsäkerhetsspecifikation, Projektsäkerhetsinstruktion,) som skall erhållas från beställaren i anslutning till förfrågningsunderlag för eller upphandlingskontrakt av uppdraget. Det åligger företaget att tillse att informationssäkerhetsklass åsätts de hemliga uppgifter som produceras i uppdraget. Vid tveksamhet om vad som är hemlig uppgift eller vilken informationssäkerhetsklass en hemlig uppgift tillhör skall företaget klargöra detta med beställaren. 3.4 Förändring av informationssäkerhetsklass Vid ändring av vad som utgör hemlig uppgift i ett uppdrag, skall beställaren skriftligen underrätta företaget. Önskar företaget ändra informationssäkerhetsklass på hemlig handling som erhållits från beställaren krävs tillstånd från FMV i varje enskilt fall. Företaget ställer hemställan till beställaren.


4 Informationssäkerhet 4.1 Delgivning av hemlig uppgift Hemlig uppgift får delges endast i företaget anställd person som är behörig från säkerhetsskyddssynpunkt. Företaget skall tillse att obehöriga personer inte har möjlighet att ta del av hemlig uppgift. Personal som delges hemlig uppgift omfattas av tystnadsplikt. All personal som skall delta i arbete där hemlig uppgift förekommer skall, innan detta påbörjas, informeras om innebörden och räckvidden av tystnadsplikten samt kvittera detta genom att underteckna ett sekretessbevis. Undertecknade sekretessbevis skall förvaras vid företaget, med undantag för sekretessbevis för företagets säkerhetschef som skall förvaras vid FMV. Hemlig uppgift, ingående i ett uppdrag eller förfrågningsunderlag/ upphandlingskontrakt, får endast efter FMV skriftliga medgivande inhämtas från eller delges annat svenskt företag/myndighet eller annan än vid företaget behörig anställd svensk medborgare. Utländsk myndighet/företag/organisation/medborgare får inte delges hemlig uppgift utan att FMV lämnat företaget skriftligt medgivande. Observera att detta även gäller företagets anställda svenska medborgare med dubbelt medborgarskap. Hemlig uppgift, som erhållits eller uppkommit under fullgörandet av uppdrag, skall även efter uppdragets slutförande och säkerhetsskyddsavtalets upphörande hemlighållas. 4.2 Framställning av hemlig handling Hemlig handling får framställas endast i det antal exemplar som nödvändigt för arbetet. För framställning av hemlig handling innehållande KVALIFICERAT HEMLIG uppgift gäller särskilda bestämmelser vilka av företaget i varje enskilt fall skall inhämtas från FMV Säkerhetsskydd i den mån de ej framgår av den med uppdraget erhållna säkerhetsskyddsplanen eller PSI:n. Om en handling i informationssäkerhetsklass HEMLIG/SECRET eller HEMLIG/CONFIDENTIAL upprättas skall denna hemligstämplas (se bilaga 4) och införas i register med angivande av datum. Om en handling upprättas i flera exemplar skall dessa numreras. Består handlingen av flera blad skall sidorna numreras i löpande följd och hopfästas. På första sidan skall anges antalet sidor, antalet exemplar, handlingens exemplarnummer och om bilagor medföljer deras antal. Utdrag ur hemlig handling innehållande hemlig uppgift skall hanteras enligt ovan. På utdraget skall antecknas från vilken handling utdraget gjorts. Hemlig handling i informationsklass HEMLIG/RESTRICTED skall hemligstämplas.


4.3 Kopiering av hemlig handling På kopia skall finnas noterat från vilken dokumentexemplar kopian tagits, kopians nummer samt hur många kopior som tagits. På originalet skall antecknas referens till beslut (enligt företagets rutin avseende kopieringsbeslut) om kopieringstillstånd samt hur många kopior som tagits och dessas exemplarnummer. För kopiering av hemlig handling innehållande KVALIFICERAT HEMLIG uppgift eller som av utgivaren åsatts beteckningen HEMLIG/TOP SECRET gäller särskilda bestämmelser vilka av företaget i varje enskilt fall skall inhämtas från FMV Säkerhetsskydd i den mån de ej framgår av den med uppdraget erhållna säkerhetsskyddsplanen eller PSI:n. Vid kopiering av hemlig handling i informationssäkerhetsklass HEMLIG/RESTRICTED erfordras inte åtgärder enligt första stycket. Kopiering av hemlig handling får endast ske på för aktuell informationssäkerhetsklass godkänd kopiator. 4.4 Registrering Hemlig handling införs av säkerhetschefen eller av behörig registrator i register. Av registret skall framgå: a) datum då handlingen mottagits eller avsänts, avsändare eller adressat samt i

förekommande fall postens inlämningsnummer, b) registreringsnummer i förekommande fall för såväl avsändare som mottagare, c) handlingens innehåll i korthet i form av ärendemening (ärendemening får inte innehålla

hemlig uppgift) samt antalet bilagor, d) hos vem handlingen förvaras, e) anteckning då kopia eller utdrag gjorts, f) datum då handling återsänts, förstörts, utbytts, saknats eller förkommit. Hemlig materiel skall registreras. För hemlig handling i informationssäkerhetsklass HEMLIG/RESTRICTED erfordras registrering enligt a, b och c enligt ovan. FMV kan, om särskilda skäl föreligger och efter hemställan från Nivå 1-företaget, godkänna att registratorsfunktionen utförs med extern personal. I detta fall skall säkerhetsskyddsavtal Nivå 2 tecknas mellan FMV och det företag som utför uppdraget. Arbetet gällande registrering skall utföras inom Nivå 1-företagets, av FMV godkända lokaler. 4.5 Kvittering Hemlig handling och hemlig materiel med informationssäkerhetsklass HEMLIG/CONFIDENTIAL eller högre skall kvitteras av mottagaren. Kvittering skall göras med namnteckning och namnförtydligande. Detta skall ske i register, liggare eller särskild kvittoblankett. Om särskild kvittoblankett används skall kvittot upprättas i minst två exemplar. Då handlingen eller materielen återlämnas skall kvitteringen förses med anteckning härom. Originalkvitto skall återlämnas och dubblettkvitto förses med anteckning om återlämnandet. Delgivning av hemlig handling med informationssäkerhetsklass HEMLIG/CONFIDENTIAL eller högre, genom läsning eller på annat sätt, skall bestyrkas på särskild lista (kvitto) med namnteckning och namnförtydligande. 4.6 Förvaring


Hemliga handlingar skall förvaras i utrymmen godkända av FMV Säkerhetsskydd. För hemlig handling klassad KVALIFICERAT HEMLIG, HEMLIG/TOP SECRET gäller särskilda förvaringsbestämmelser som skall överenskommas med FMV Säkerhetsskydd. Hemlig handling klassad HEMLIG, HEMLIG/SECRET eller HEMLIG/CONFIDENTIAL skall förvaras i godkänt säkerhetsskåp eller annan förvaringsenhet med motsvarande skyddsnivå som uppfyller fordringar enligt Standardiseringskommissionens normer (SIS), Svensk Standard (SS) 3492. Säkerhetsskåp/förvaringsenhet skall larmskyddas med seismiska detektorer i erforderlig omfattning. Som öppningsskydd skall magnetkontakt av förspänd modell användas. Säkerhetsskåp tillverkade före år 1989 skall ha motsvarande skyddsnivå som säkerhetsskåp godkända enligt SS 3492. Med motsvarande skyddsnivå avses:

- Omslutande delar skall bestå av minst 4 mm stålplåt. - Fogar skall ha minst samma motståndsförmåga mot inbrott som övriga omslutande

delar. - Låsenhetens regelverk skall ha kolvar i minst tre riktningar samt vara av s.k. avlastat

typ, vilket innebär att låsets spärrelement inte får belastas när regelverkets kolvar belastas i öppningsriktningen.

- Låsmekanismen skall vara borrskyddad. - En separat mekanism skall finnas som aktiveras vid inslagning eller sprängning mot

låset och varvid mekanismen skall spärra regelverket i låst läge. - Låsenhetens regelverk och bakkantsbeslagens ingrepp får inte vara mindre än 20 mm. - Nyckel skall kunna tas ur låset endast när regeln är fullt utlåst och förreglerad.

Hemlig handling klassad HEMLIG/RESTRICTED får förvaras i plåtskåp alternativt i låst, insynsskyddat rum motsvarande skyddsklass 1 (SSF 200). Alternativa skyddsåtgärder får, efter samråd med FMV, vidtas om de uppfyller motsvarande krav enligt resultatet av genomförd säkerhetsanalys. Behörig som kvitterat hemlig handling skall ha tillgång till en egen godkänd förvaringsenhet. Företagets säkerhetschef kan efter framställan i undantagsfall bevilja avsteg (s.k. samförvaring). Beslut om samförvaring skall dokumenteras. Kopia på samförvaringsbeslutet skall finnas anslaget på förvaringsenhetens insida. Vid samförvaring av handlingar klassade HEMLIG/RESTRICTED erfordras inte samförvaringsbeslut. Hemlig handling skall om möjligt förvaras åtskilda från ej sekretessbelagda handlingar. Förvaringsenhet för hemlig handling och materiel skall hållas låst under tider, då det inte står under omedelbar uppsikt av den som har ansvaret för detsamma. Under kortare frånvaro från tjänsterum får hemlig handling ligga framme, under förutsättning att rummet är låst och insynsskyddat så att obehörig inte kan ta del av handlingen. Hemlig materiel skall förvaras i samma skyddsnivå som hemlig handling, avsteg skall godkännas av FMV. Reservnyckel/-kod skall förvaras i samma skyddsnivå som gäller för den hemliga handling som förvaras i det utrymme/den enhet som koden eller nyckeln avser. Företagets säkerhetschef beslutar om användande av reservnyckel/-kod till förvaringsenhet där hemlig handling förvaras i det fall den som ansvarar för förvaringsenhet inte deltar. Förvaringsenhet får då endast öppnas i vittnes närvaro. Beslut om öppnande av


förvaringsenhet skall dokumenteras. Kopia på beslut delges den som ansvarar för aktuell förvaringsenhet. 4.7 Inventering Innehavet av hemliga handlingar med informationssäkerhetsklass HEMLIG/CONFIDENTIAL eller högre samt reservnycklar och anteckningar om koder som tilldelats behörig skall kontrolleras årligen av den anställde själv. Resultatet av denna UegenkontrollU skall dokumenteras. Se pkt 2.3.2 Rapportering av sekretessförlust vid en befarad eller konstaterad förlust av hemlig uppgift. UInventeringU av den enskildes innehav av hemlig handling klassad HEMLIG, HEMLIG/SECRET och HEMLIG/CONFIDENTIAL skall genomföras minst vart tredje år. Inventeringen skall dokumenteras. Vid inventering skall bedömas om handlingar kan återlämnas eller förstöras. Huvudregeln skall vara att endast de handlingar som erfordras för uppdragets fullgörande skall behållas av företaget. Inventering skall i övrigt genomföras då: • nyckel saknas, befaras ha kopierats eller om kod kommit till obehörigs kännedom • befattningshavare lämnat sitt förvaringsutrymme öppet under sådan tid och under sådana

förhållanden att obehörig kan ha tagit del av hemlig handling • byte sker av befattningshavare • efter fullgjort uppdrag. Hemligt arbetsmaterial såsom koncept, datamedium, karbonpapper, tryckmedia eller liknande som använts vid framställning av hemlig handling skall förstöras när de inte längre behövs. Senast i samband med slutredovisningen av uppdraget skall företaget, om annat inte överenskommits, återlämna av beställaren överlämnade hemliga handlingar. Inventering av hemlig handling med informationssäkerhetsklass KVALIFICERAT HEMLIG eller HEMLIG/TOP SECRET skall genomföras årligen enligt separat överenskommelse med FMV Säkerhetsskydd. Egenkontroll respektive inventering av hemlig handling klassad HEMLIG/RESTRICTED erfordras inte. 4.8 Destruktion Hemlig handling och hemlig materiel skall förstöras genom användande av: - för papper, destruktör där restprodukten utgörs av spån med en bredd av högst 1,2 mm

och en längd av högst 15 mm, alternativt 2x2 mm kvadratiska spån. - för datamedia: av FMV godkänd destruktör alternativt vid av FMV godkänd

destruktionsanläggning, - för hemlig materiel: enligt överenskommelse med FMV i särskild ordning i varje enskilt

fall. Förstöring av registrerad hemlig handling skall dokumenteras genom säkerhetschefs eller av denne utsedd säkerhetsansvarigs försorg. 4.9 Befordran av hemlig handling eller hemlig materiel 4.9.1 Allmänt


Hemlig handling och hemlig materiel skall distribueras på sådant sätt att obehörig hindras att ta del av innehållet. Detta gäller i hela befordringskedjan, hos avsändaren, under transporten och hos mottagaren. Vad som föreskrivs om befordran av hemlig uppgift i denna ISM avser rutinmässig befordran av enstaka hemliga handlingar eller mindre mängder hemlig materiel. För transport av större mängder hemliga handlingar eller hemlig materiel skall en speciell säkerhetsanalys genomföras enligt avsnitt 4.9.4 4.9.2 Befordran av hemlig uppgift INOM Sverige Anställd vid avsändande/mottagande SUA-företag, som är inplacerad i lägst säkerhetsklass 3, får anlitas som kurir (företagskurir) för befordran av hemlig handling eller hemlig materiel. Detsamma gäller för FMV-anställda placerade i lägst säkerhetsklass 3. Försändelse som innehåller handling klassad KVALIFICERAT HEMLIG eller HEMLIG/TOP SECRET skall sändas i enlighet med separat överenskommelse med FMV Säkerhetsskydd. Försändelse som innehåller handling klassad HEMLIG eller HEMLIG/SECRET skall sändas med: 1. företags-/myndighetskurir, eller 2. krypterad överföring enligt avsnitt 4.12, eller

om avsteg avseende försändelse klassad HEMLIG eller HEMLIG/SECRET beviljats av företagets säkerhetschef eller den denne utser, i varje enskilt fall, innebärande:

3. rekommenderad post (Rek)/VÄRDE-post, 4. av FMV Säkerhetsskydd godkänt kommersiellt kurirföretag. Försändelse som innehåller handling klassad HEMLIG/CONFIDENTIAL skall sändas med: 1. företags-/myndighetskurir, eller 2. krypterad överföring enligt avsnitt 4.12, eller 3. rekommenderad post (Rek)/VÄRDE-post, eller 4. av FMV Säkerhetsskydd godkänt kommersiellt kurirföretag. Försändelse som innehåller handling klassad HEMLIG/RESTRICTED skall sändas med: 1. företags-/myndighetskurir, eller 2. krypterad överföring enligt avsnitt 4.12, eller 3. rekommenderad post (Rek)/VÄRDE-post, eller 4. av FMV Säkerhetsskydd godkänt kommersiellt kurirföretag, eller 5. A-post.


4.9.3 Befordran av hemlig uppgift UTOM Sverige Hemlig uppgift klassad KVALIFICERAT HEMLIG eller HEMLIG/TOP SECRET får inte föras ut ur landet. För att en hemlig uppgift HEMLIG, HEMLIG/SECRET, HEMLIG/CONFIDENTIAL ELLER HEMLIG/RESTRICTED skall få delges främmande makt eller företag utanför Sverige krävs att: 1. Regeringstillstånd finns för överföring av sekretess till aktuellt land. 2. Säkerhetsskyddsöverenskommelse finns mellan Sverige och säkerhetsskyddsmyndighet i

det aktuella landet. 3. FMV har granskat samt beslutat att aktuella hemliga uppgifter får överlämnas.

För försändelse som innehåller handling klassad HEMLIG, HEMLIG/SECRET eller HEMLIG/CONFIDENTIAL, och om det är reglerat i bi-/multilateralt avtal, gäller: 1. Försändelsen skall som huvudregel, via FMV, sändas med Utrikesdepartementets

kurirförbindelser. 2. I undantagsfall kan metod för befordran enligt avsnitt 4.10.3 nyttjas. 3. I brådskande fall kan, efter skriftligt beslut av FMV i varje enskilt fall handling klassad

HEMLIG/CONFIDENTIAL sändas med av FMV godkänt kommersiellt kurirföretag, om det är överenskommet mellan parterna (informationsägare/-ägarna och avsändaren).

För försändelse som innehåller handling klassad HEMLIG/RESTRICTED gäller: 1. Försändelsen skall som huvudregel sändas med Utrikesdepartementets kurirförbindelser. 2. I undantagsfall kan metod för befordran enligt avsnitt 4.10.3 nyttjas. 3. Av FMV godkänt kommersiellt kurirföretag kan nyttjas för befordran om det är

överenskommet i bi-/multilateralt avtal. 4. I brådskande fall kan handlingen, efter överenskommelse med mottagaren, sändas med

vanlig post (A-post/Prioritaire). 4.9.4 Transport inom/utom Sverige Vid transport av hemliga handlingar i större mängder skall ökade skyddsåtgärder jämfört med rutinmässig befordran av enstaka handlingar vidtagas. Detsamma gäller vid transport av hemlig materiel. Vid dessa tillfällen skall säkerhetschefen tillse att en speciell säkerhetsanalys genomförs och dokumenteras. Därvid skall transportnivåer enligt bilaga 5 användas. Säkerhetschefen skall även tillse att en ansvarig transportledare utses för varje transport. Vid gränsöverskridande transport skall FMV Säkerhetsskydd kontaktas. 4.10 Medförande av hemlig handling utanför verksamhetsställets lokaler 4.10.1 Allmänt Hemlig handling (materiel), som medförs från företaget, skall hållas under omedelbar uppsikt eller förvaras under samma skydd som vid företaget. Vid medförande av handling/materiel klassad HEMLIG, HEMLIG/SECRET, HEMLIG/CONFIDENTIAL eller HEMLIG/RESTRICTED och som skall tas med tillbaka till företagets lokaler skall förteckning över medförda handlingar/materiel upprättas och förvaras i eget förvaringsutrymme (värdeskåp/säkerhetsskåp).


4.10.2 Medförande INOM Sverige Nedanstående gäller både då handling skall medföras för att överlämnas och då handling skall medföras och återföras till verksamhetsstället. Medförande av handling klassad KVALIFICERAT HEMLIG eller HEMLIG/TOP SECRET utanför det egna verksamhetsställets lokaler får endast ske enligt FMV skriftliga beslut. Medförande av handling/materiel klassad HEMLIG, HEMLIG/SECRET, eller HEMLIG/CONFIDENTIAL utanför det egna verksamhetsställets lokaler får ske enligt säkerhetschefens, eller den denne utser, skriftliga beslut. Medförande av handling klassad HEMLIG/RESTRICTED kräver inte ett särskilt beslut. 4.10.3 Medförande UTOM Sverige Handling klassad KVALIFICERAT HEMLIG får inte föras ut ur landet. Medförande (s.k. hand carriage) och överlämnande av hemlig handling klassad HEMLIG, HEMLIG/SECRET, HEMLIG/CONFIDENTIAL eller HEMLIG/RESTRICTED får ske efter att: 1. regeringstillstånd för utlämning till utländsk mottagare erhållits, 2. FMV beslut om överlämning av denna information har fattats, 3. FMV har beslutat att nyttja hand carriage, 4. FMV Säkerhetsskydd har överenskommit med mottagande lands säkerhetsskydds-

myndighet om nyttjande av hand carriage. Vid överlämning av handling klassad HEMLIG/SECRET enligt offentlighets- och sekretesslagen 15 kap 1 § (utrikessekretess) skall, förutom ovan tillstånd, även skriftligt tillstånd avseende nyttjande av hand carriage, av företaget, inhämtas från informationsägaren. 4.11 IT-Säkerhetsskydd Företaget ansvarar för att alla former av IT-system innehållande hemliga uppgifter ackrediteras (godkännes för drift från säkerhetsskyddssynpunkt) innan dessa tas i drift. En förutsättning för ackreditering är att samråd inhämtas från FMV. Företaget redovisar för FMV resultatet av lokal granskning (revision) där kravuppfyllnaden bekräftas av säkerhetschefen. All bakomliggande dokumentation skall på begäran presenteras för FMV. Dokumentationen skall hållas uppdaterad för att spegla aktuellt läge samt historik över förändringar i IT-systemen. Övrigt om kontroll se under avsnitt 10. Innan hemliga uppgifter klassade KVALIFICERAT HEMLIG och/eller HEMLIG/TOP SECRET får hanteras i IT-system skall företaget kontakta FMV Säkerhetsskydd. 4.11.1 IT System innehållande hemlig uppgift i form av fristående dator Fristående dator som används för att bearbeta hemliga uppgifter får ej ha någon extern kommunikation mot nätverk el. dyl. Den fristående datorns förmåga att kommunicera mot aktiv eller passiv utrustning skall alltid vara avstängd. Fristående dator skall ha löstagbar hårddisk, innehållande operativsystem, applikationer och hemlig data. Hårddisk innehållande hemlig uppgift skall, när den ej nyttjas, vara inlåst i godkänd förvaringsenhet. Fristående dator kan alternativt utgöras av bärbar dator som när den ej nyttjas skall vara inlåst i godkänd förvaringsenhet


4.11.2 IT System innehållande hemlig uppgift i form av fleranvändarsystem I bilaga 3 återfinns de säkerhetsfunktioner som skall implementeras och verifieras för att företaget skall kunna bekräfta att ett IT-system uppfyller skydd till avsedd nivå. Underlaget är uppställt i respektive informationssäkerhetsklass, säkerhetsfunktion och med samma rubriker avseende:

• Allmänt • Funktionella krav • Skydd av säkerhetsfunktionen • Förvaltning av säkerhetsfunktionen • Alternativa åtgärder • Assuranskrav

4.12 Signalskydd Hemlig uppgift som förmedlas genom telekommunikation (t.ex. tal, text, data) skall vara krypterad. Endast av FMV godkänd signalskyddsmateriel får användas. För att få tillgång till godkänd signalskyddsmateriel skall företaget ha tecknat separat avtal avseende signalskydd med FMV och utsett en signalskyddsansvarig. För att vara behörig att ta del av kryptonycklar och hantera signalskyddsmateriel krävs av/via FMV, eller genom lokalt ansvarig signalskyddschefs (motsv.) försorg, genomförd särskild signalskyddsutbildning. Om signalskyddsmateriel från utländsk part/myndighet avses att nyttjas på företaget skall anmälan göras till FMV. Anmälan skall omfatta: • Vilket land och myndighet som tillhandahåller signalskyddsmaterielen • Typ av signalskyddsmateriel • För vilken informationssäkerhetsklass signalskyddsmaterielen används • För vilket projekt signalskyddsmaterielen avses nyttjas • System som omfattas • Adress, plats för placering • Kontaktpersoner vid företag och myndigheter • Beskrivning av det administrativa ansvaret (fördelning av kryptonycklar, rutiner etc)

Anmälan utgör ett underlag i FMV Säkerhetsskydd tillsyn avseende annat lands sekretess enligt ingånget bilateralt säkerhetsskyddsavtal. 4.13 Sekretessförlusthantering Se pkt 2.3.2 Rapportering av sekretessförlust.


5 Tillträdesbegränsning 5.1 Inledning Krav som redovisas under denna rubrik avser endast lokaler inom verksamhetsstället där hemlig uppgift hanteras eller förvaras. Tillträdesbegränsning skall hindra obehörigt tillträde till område, anläggning inom, eller del av företaget där hemlig uppgift eller annat av betydelse för rikets säkerhet förvaras eller verksamhet av betydelse för rikets säkerhet bedrivs. Områdesskyddet skall förhindra obehörig att komma in på företagets område och/eller i dess lokaler. I områdesskyddet ingår skydd som stängsel, andra mekaniska skydd och larm. 5.2 Mekaniskt skydd och inbrottslarm Företaget skall tillse att relevant mekaniskt skydd och inbrottslarm finns för de verksamhetsställen där hemlig uppgift hanteras. Därvid kan de normer som utarbetats av SSF, Svenska Stöldskyddsföreningen, utnyttjas för att dimensionera mekaniskt inbrottsskydd och inbrottslarm. Insatstiden vid ett utlöst larm skall vara anpassad till motståndskraften i det mekaniska inbrottsskyddet och möjligheten att få en tidig larmindikering. Vid planering av områdesskyddet är det lämpligt att tillämpa ett "inifrån – ut" -tänkande. Detta innebär att utrymmet där hemlig handling förvaras och/eller hemlig verksamhet bedrivs ses som kärnan kring vilken lager efter lager av mekaniskt skydd och larm läggs med syfte att förhindra obehörig åtkomst av hemlig uppgift. Lokaler där arbete med hemlig uppgift med informationssäkerhetsklass HEMLIG, HEMLIG/SECRET och HEMLIG/CONFIDENTIAL förekommer eller som innehåller förvaringsenheter för hemlig uppgift eller förvaringsenheter för IT-system med hemlig uppgift enligt ovan, skall uppfylla fordringar enligt skyddsklass 2 (SSF 200) på det mekaniska inbrottsskyddet. Dessa lokaler skall även ha ett larmskydd som uppfyller fordringar enligt larmklass 2 (SSF 130), med tillägget att larmöverföringen till larmmottagningscentralen skall vara godkänd samt certifierad för larmklass 3 (SSF 130). Lokaler där arbete med hemlig uppgift med högst informationssäkerhetsklass HEMLIG/RESTRICTED förekommer skall uppfylla fordringar enligt skyddsklass 1 (SSF 200) på det mekaniska inbrottsskyddet och ha ett larmskydd som uppfyller fordringar enligt larmklass 1 (SSF 130). Det skall dock observeras att en stor mängd information klassificerad HEMLIG/RESTRICTED kan innebära att den totala mängden information klassas som HEMLIG/CONFIDENTIAL alt. HEMLIG/SECRET vilket innebär att lokalerna skall uppfylla fordringar enligt skyddsklass 2 (SSF 200) på det mekaniska inbrottsskyddet och ha ett larmskydd som uppfyller fordringar enligt larmklass 2 (SSF 130), med tillägget att larmöverföringen skall ha en övervakad förbindelse med larmmottagningscentralen och vara godkänd och certifierad för larmklass 3 (SSF 130). Alternativa skyddsåtgärder får, efter samråd med FMV, vidtas om de uppfyller motsvarande krav enligt resultatet av genomförd säkerhetsanalys. För utformning av skydd av hemlig uppgift klassade KVALIFICERAT HEMLIG och/eller HEMLIG/TOP SECRET skall företaget kontakta FMV Säkerhetsskydd för vidare åtgärd. 5.3 Passerkontrollsystem


Tillträde till lokaler där arbete med hemlig uppgift av lägst informationssäkerhetsklass HEMLIG/CONFIDENTIAL pågår skall registreras (loggas) Logg för passerkontrollsystem skall sparas i 10 år. 5.4 Besökshantering Besök i lokaler inom verksamhetsstället där förvaring eller arbete med hemlig uppgift av lägst informationssäkerhetsklass HEMLIG/CONFIDENTIAL förekommer skall dokumenteras. Besökare skall kunna styrka sin identitet med godkänd legitimation och skall under vistelsen synligt bära en besöksbricka (motsvarande) som kategoriserar personen som besökare. Vid besökets slut skall besöksbrickan återlämnas. Vid besök innefattande delgivning av hemlig uppgift skall besöksmottagaren säkerställa att besökaren är behörig (innehar erforderlig säkerhetsklarering, security clearance). Säkerhetsklarering/Security clearance för person anställd vid utländskt företag/myndighet styrks genom Request for Visit (RFV). RFV insänds genom besökares försorg i enlighet med bi-/multilaterala avtal om inte annat överenskommits. I en besöksjournal skall noteras besökarens namn, pass- eller legitimationsnummer, arbetsgivare (motsvarande), medborgarskap (med angivande av eventuellt dubbelt medborgarskap), syftet med besöket, besöksmottagare, tidpunkt för besökets början och slut. Besöksjournal, med i förekommande fall erforderlig säkerhetsklarering (security clearance), skall på anmodan redovisas för FMV Säkerhetsskydd och skall sparas i minst 10 år. Grundregeln är att besöksregistreringen skall utföras av det egna företaget. Det skall beaktas att besöksregistreringen i detta hänseende endast berör lokalytor där hemlig uppgift hanteras alt. förvaras och ej övriga delar av företagets lokaler. I det fall företaget internt ej kan hantera besöksregistreringen, skall avtal tecknas mellan företaget och den part/företag som utför uppdraget. Avtalet skall bl.a. reglera följande delar:

- Vilka besöksuppgifter som skall registreras för besökare till lokal i vilken hanteras alt. förvaras hemlig uppgift.

- Hur besöksloggar skall förvaras och arkiveras i syfte att säkerhetschefen på Nivå 1 företaget har åtkomst till dessa.

5.5 Hantering av låskoder och nycklar Vid inköp av förvaringsutrymme eller dörr till fast förvaringsutrymme skall nyckel levereras separat och direkt till företagets säkerhetschef eller den denne utser. Innan nyckel lämnas till den som skall ansvara för förvaringsutrymmet skall denna förvaras av säkerhetschefen eller av denne utsedd person. Sänds lås eller nyckel per post skall försändelsen sändas med rekommenderad försändelse (Rek)/VÄRDE-post. Säkerhetschefen eller av denne utsedd behörig skall föra förteckning över nycklar och koder till: • förvaringsutrymmen för hemlig handling eller hemlig materiel • rum där hemlig handling under kortare frånvaro får ligga framme, då rummet är

insynsskyddat och låst med separat lås • ytterdörrar till lokaler i vilka hemliga handlingar eller hemlig materiel förvaras. Av förteckningen skall framgå: • vem som levererat lås och nycklar (koder) • antal nycklar till varje förvaringsutrymme • till vem och när nyckel (kod) utdelats eller återlämnats • hur reservnyckel (kod) förvaras. Förteckning, nyckelkvittenser, reservnycklar och anteckningar om kod skall förvaras i för hemlig handling (hemlig handling klassad HEMLIG, HEMLIG/SECRET och


HEMLIG/CONFIDENTIAL) föreskriven ordning. Nyckel skall kvitteras samt förvaras så att obehörig inte kan använda eller kopiera den. Vid överlämning av förvaringsenhet skall nycklar återlämnas, vilket skriftligt noteras i nyckelförteckning. Omställning av koder och om möjligt lås, skall ske innan annan person får förvara hemlig handling eller materiel i samma förvaringsenhet. Reservnyckel (kod) får av annan behörig än innehavaren till förvaringsenhet användas endast i vittnes närvaro enl. punkt 4.6. Om nyckel saknas skall anmälan omedelbart göras till säkerhetschefen. Om det kan befaras att nyckel kopierats eller att kod kommit till obehörigs kännedom eller att nyckel eller kod obehörigen utnyttjats skall låset eller koden utan dröjsmål ändras samt åtgärd enligt punkt 2.3.2.


6 Säkerhetsprövning 6.1 Inledning Innan en person genom anställning eller på annat sätt deltar i verksamhet som har betydelse för rikets säkerhet skall en säkerhetsprövning äga rum. Säkerhetsprövningen skall klarlägga om personen kan antas vara lojal mot de intressen som skyddas enligt säkerhetsskyddslagen och säkerhetsskyddsförordningen och i övrigt är pålitlig från säkerhetsskyddssynpunkt. 6.2 Säkerhetsprövning vid anställning Företaget har ansvar för att säkerhetsprövning genomförs innan en person anställs för eller deltar i verksamhet som är av betydelse för rikets säkerhet. Säkerhetsprövningen skall grundas på personkännedom kompletterat med betyg, personbevis, kontroll av identitet, referenser samt dokumenterad personbedömning. För arbete med hemlig uppgift med krav på inplacering i säkerhetsklass skall, efter genomförd säkerhetsprövning, beslut om registerkontroll (RK) fattas. Beslutet, som skall tas av FMV efter framställan från företaget, skall grundas på de uppgifter som framkommit i säkerhetsprövningen. RK-ansökan (med eventuella bilagor) insänds av företaget tillsammans med kopia på den dokumenterade personbedömningen till FMV Säkerhetsskydd. Företaget skall till FMV utan dröjsmål anmäla när en person lämnar uppdrag som kräver inplacering i säkerhetsklass eller avslutar sin anställning vid företaget, innebärande att säkerhetsklassinplaceringen upphör. 6.3 Registerkontroll Registerkontrollens omfattning är beroende av säkerhetsklassinplacering (se punkt 1.3). Den som skall registerkontrolleras skall ha lämnat skriftligt samtycke innan registerkontroll får genomföras (se mall för dokumenterad personbedömning). Berörd personal skall av FMV vara skriftligen godkänd innan hemlig uppgift får delges. För verksamhet omfattande hemlig uppgift i högst informationssäkerhetsklass HEMLIG/RESTRICTED krävs inte registerkontroll. För verksamhet omfattande hemlig uppgift i informationssäkerhetsklass HEMLIG/CONFIDENTIAL eller HEMLIG/SECRET krävs registerkontroll med placering i lägst säkerhetsklass 3. För verksamhet omfattande hemlig uppgift i informationssäkerhetsklass KVALIFICERAT HEMLIG eller HEMLIG/TOP SECRET krävs registerkontroll med placering i lägst säkerhetsklass 2. Vid bedömt behov av inplacering i säkerhetsklass 1 (verksamhet med stor mängd KVALIFICERAT HEMLIG eller HEMLIG/TOP SECRET) kontaktar företaget FMV för vidare överenskommelse. Aktuella blanketter hämtas direkt från säkerhetspolisens hemsida via följande länk, 2TUBlanketter säkerhetsskyddU2T 6.4 Sekretessbevis Innan delgivning av hemlig uppgift får ske skall sekretessbevis undertecknas av anställd som beslutats vara behörig att ta del av hemlig uppgift. Den anställde skall upplysas om innebörden av tystnadsplikten. När en anställd varaktigt avslutar arbete med hemlig uppgift, eller anställningen upphör, skall personen upplysas om att tystnadsplikten gäller även fortsättningsvis. Samtliga sekretessbevis vid företaget skall förvaras centralt. Sekretessbevis för företagets säkerhetschef förvaras vid FMV.

http://www.sakerhetspolisen.se/sakerhetsskydd/blanketter.4.7671d7bb110e3dcb1fd800011282.html

http://www.sakerhetspolisen.se/sakerhetsskydd/blanketter.4.7671d7bb110e3dcb1fd800011282.html


7 Projektsäkerhetsskydd 7.1 Inledning Innan FMV initierar en upphandling inom ett projekt eller någon annan form av uppdrag som omfattar arbete med hemlig uppgift genomförs en säkerhetsanalys. Säkerhetsanalysen baseras på en av Försvarsmakten utarbetad säkerhetsplan för den materiel som skall utvecklas/upphandlas. FMV säkerhetsanalys resulterar i att FMV upprättar en säkerhetsskyddsplan, alternativt en projektsäkerhetsinstruktion, PSI, för det aktuella uppdraget. På motsvarande sätt ansvarar företaget för att i sina upphandlingar ta fram en säkerhetsskyddsplan eller PSI för aktuellt uppdrag. Säkerhetsskyddsplanen skall medfölja varje förfrågningsunderlag/upphandlingskontrakt i de fall verksamheten skall omfatta arbete med hemlig uppgift. Inför genomförandet av ett uppdrag skall säkerhetsskyddsplanen för aktuellt uppdrag genom säkerhetschefens försorg implementeras vid företaget. 7.2 Säkerhetsskyddsplan I sin enklaste form kan innehållet i en säkerhetsskyddsplan bestå av projektreferenser, samt en bilaga med förteckning över vilka uppgifter i projektet som skall vara hemliga och vilken informationssäkerhetsklass respektive hemlig uppgift tillhör (informationsklassificering, MATSÄK-spec), enligt pkt 1 och 9 nedan. Samtliga rubriker enligt nedan skall dock ha beaktats i den bakomliggande analysen. En säkerhetsskyddsplan används som regel då upphandlingar skall göras inom Sverige. Vid upphandling som innebär ett samarbete med utlandet upprättas motsvarande Security Aspects Letter (SAL) alternativt Program Security Instruction (PSI). Rubrikindelning för säkerhetsskyddsplan: 1. referenser till FMV projekt (motsv.) och beställning 2. ansvar och organisation för säkerhetsskyddet (hänvisning även till eventuella

underleverantörers säkerhetsskyddsplaner för detta projekt) 3. ev. behov av utökat skydd utöver grundnivå (se pkt 7.3) 4. behörig personal 5. åtgärder med avseende på

- informationssäkerhet - tillträdesbegränsning - säkerhetsprövning

6. utbildning 7. kontroll 8. rapportering av säkerhetshotande händelser 9. Bilaga: MATSÄK-spec/SCG 7.3 Utökat skydd Enskilda uppdrag kan föranleda att ett utökat skydd, utöver den grundnivå som företaget har implementerat, behöver tillämpas. Beställarens krav på utökat skydd skall anges i en säkerhetsskyddsplan. För informationssäkerhetsklass KVALIFICERAT HEMLIG eller HEMLIG/TOP SECRET skall skyddet i varje särskilt fall anpassas till de lokala förutsättningarna och verksamhetens karaktär. FMV Säkerhetsskydd medverkar i utformningen av skyddet i dessa fall.


Exempel på utökade skyddsåtgärder: • Informationssäkerhetsskydd

Uppdragets informationsbehandling sker i ett eget hemligt nätverk, skilt ifrån verksamhetsställets ordinarie hemliga IT-nät.

• Tillträdesbegränsning Verksamheten inom uppdraget koncentreras till ett område inom företaget där det finns möjligheter till sektionering och upprättande av ett inre skalskydd med begränsning av tillträdet till endast dem som arbetar i uppdraget.

• Säkerhetsprövning Uppgradering av personalen i uppdraget till en högre säkerhetsklassinplacering än vad som krävs i grundnivån.


8 Internationellt samarbete 8.1 Inledning I samband med internationellt samarbete kan behov av att delge svenska hemlig uppgift uppstå. För att skydda dessa uppgifter i utlandet krävs säkerhetsskyddsöverenskommelse med utländsk mottagare. Behov av säkerhetsskyddsöverenskommelse med annat lands myndigheter, svenskt eller utländskt företag, kan bero på att: • FMV:s eller svensk försvarsindustris upphandling från utländsk leverantör avseende

studier, utveckling, materiel eller samarbete samt svensk försvarsindustris marknadsföring, offerering, försäljning, då delgivning av svensk hemlig uppgift (offentlighets- och sekretesslagen 15 kap 2 §) är aktuell,

• annat lands myndighets eller försvarsindustris upphandling från svensk leverantör avseende studier, utveckling, materiel eller samarbete samt försvarsindustris marknadsföring, offerering, försäljning, då delgivning av hemlig uppgift (offentlighets- och sekretesslagen 15 kap 1 §) till svensk försvarsindustri är aktuell, eller

• samarbets-/samutvecklingsprojekt inom försvarsmaterielområdet där hemlig uppgift (offentlighets- och sekretesslagen 15 kap 1 § och/eller 15 kap 2 §) kan komma att uppstå och utväxlas.

Grundläggande förutsättningar för att svensk hemlig uppgift kan delges till annat land är att: • regeringens tillstånd inhämtats, samt • bilateral säkerhetsskyddsöverenskommelse träffats. 8.2 Regeringsbeslut Oavsett om det finns övergripande, samarbets- eller projektsäkerhetsavtal krävs regeringens tillstånd att delge svensk hemlig uppgift, och i de fall avtal skall tecknas med myndighet, ett bemyndigande att teckna avtal. Finns det inget övergripande säkerhetsskyddsavtal med landet i fråga, måste FMV i sin skrivelse till regeringen även hemställa om att få teckna ett projektspecifikt avtal med en myndighet som kan ansvara för implementering och kontroll av säkerhetsskyddet vid företaget. Skrivelse till regeringen initieras antingen av FMV eller av ett företag, och utformas av FMV. FMV inhämtar erforderliga samråd (inom myndigheten, FM och ISP) innan skrivelsen sänds till regeringen. Regeringen fattar beslut om att bevilja: • försvarsmaterielsamarbete • tillstånd att, efter FMV granskning, tillåta ett företag att delge svensk hemlig uppgift, och i de fall det krävs • bemyndigande att teckna avtal rörande samarbete och/eller säkerhetsskydd med utländsk

myndighet. Regeringsbeslutet är begränsat till ett visst projekt, information som skall delges, ändamålet för utlämning samt företag/myndigheter i land/länder. Ett nytt regeringsbeslut krävs exempelvis när ändamålet för utlämning ändras från marknadsföring/offertskede till försäljning, om informationsområdet utökas, andra företag/myndigheter, andra länder tillkommer. Först då FMV vidtagit erforderlig åtgärd kan hemlig uppgift delges.


8.3 FMV roll FMV skall före delgivning av svensk hemlig uppgift, granska och godkänna denna. Vidare är FMV, som Designated Security Authority (DSA), garant för att svensk försvarsindustri handhar utländsk hemlig uppgift enligt gällande avtal i enlighet med ev. direktiv från utländsk säkerhetsskyddsmyndighet (NSA/DSA). 8.4 Svenskt företags ansvar 8.4.1 URegeringstillstånd för delgivning Företaget skall, i god tid innan delgivning av svensk hemlig uppgift är aktuell, hemställa hos FMV om delgivning. I hemställan skall utkast till säkerhetsskyddsplan ingå. Företag skall informera presumtiva leverantörer, köpare och/eller samarbetspartners, att innan svensk hemlig uppgift kan delges vederbörande, erfordras säkerhetsskyddsöverenskommelse med svensk myndighet. Utöver ovan angivna grundförutsättningar vad gäller delgivning av hemlig information kan licensavtal, slutanvändaråtaganden eller andra restriktioner begränsa utlämning. 8.4.2 UDelgivning av sekretessbelagd information utomlands När de grundläggande förutsättningarna enligt kap 8.1 är uppfyllda kan företaget ansöka om att delge sekretessbelagd information. Förutom den fullständiga informationen/dokumenten som avses att delges skall företaget insända en formell hemställan om delgivning av sekretessbelagd information till utlandet. Hemställan skall innehålla:

• Fullständig titel samt registreringsbeteckning på den sekretessbelagda informationen, dokumenten, ritningarna eller motsvarande

• Datum för aktuell version

• Antal sidor, bilagor, disketter, CD-rom etc.

• Informationssäkerhetsklass för den information som avses att delges • Eventuellt följebrev till Sveriges ambassad i mottagarlandet samt till den utländska

industrin/myndigheten

• Kvittens (Receipt)


8.5 Avtal 8.5.1 Bi-/multilaterala säkerhetsskyddsavtal Övergripande bi-/multilaterala säkerhetsskyddsavtal tecknas av regeringen, eller den myndighet regeringen bemyndigar. Generella säkerhetsskyddsavtal (GSA) reglerar säkerhetsskyddet mellan länderna baserat på respektive lands nationella lagar och regler och reglerar även rutiner för industrisäkerhetsskyddssamarbete. 8.5.2 Myndighetsavtal (avtal mellan FMV och utländsk myndighet) Finns GSA regleras säkerhetsskyddet med hänvisning till detta i ett annex, projektsäkerhetsskyddsavtal, skriftväxling eller i annan form. Finns inget GSA tecknas ett projektsäkerhetsskyddsavtal myndigheter emellan, under förutsättning att bemyndigande finns från regeringen. 8.5.3 Företagsavtal (utländskt företag) FMV inhämtar säkerhetsklarering för utländskt företag från utländsk industrisäkerhetsskyddsansvarig myndighet (NSA/DSA). FMV översänder utdrag ur upphandlingskontrakt (säkerhetsklausuler och säkerhetsskyddsplan) till utländsk NSA/DSA. Utländsk NSA/DSA bevakar och kontrollerar att företaget lever upp till de svenska säkerhetsskyddskraven. 8.5.4 Företagsavtal (svenskt företag) Innan utländsk myndighet/företag lägger ett uppdrag vid svenskt företag, inhämtar utländsk NSA/DSA hos FMV besked om det svenska företaget är säkerhetsklarerat. Är företaget säkerhetsklarerat och FMV har säkerhetsskyddsavtal på erforderlig nivå, meddelas detta till utländsk NSA/DSA. Är företaget inte säkerhetsklarerat tecknar FMV säkerhetsskyddsavtal, enligt utländsk myndighets krav, med företaget. Vid upphandlingskontrakt skall svenskt företag få en säkerhetsskyddsplan från utländsk NSA/DSA, och i vissa fall utarbetad PSI. FMV skall i egenskap av DSA, utifrån av utländsk NSA/DSA erhållet underlag, tillse att företaget implementerar kraven från utländsk NSA/DSA. 8.6 Samarbete/gemensam utveckling Innan ett samarbete/utvecklingssamarbete mellan länderna påbörjas, skall en säkerhetsanalys genomföras för den planerade samverkan. Möjligheten att eventuell hemlig uppgift (offentlighets- och sekretesslagen15 kap 1 § och/eller 15 kap 2 §) kan uppkomma under projektets gång skall beaktas. Då samarbete/utvecklingssamarbete ofta sträcker sig under längre tid och innebär mer omfattande informationsutbyte än ett vanligt köp av en färdig produkt, ställs speciella krav på säkerhetsskyddsåtgärderna för denna typ av verksamhet. Förutom regeringsbeslut för eventuell utlämning av sekretess, kan det även krävas ett regeringsbeslut för att inleda ett utvecklingssamarbete. Regeringsbeslutet godkänner att denna typ av försvarsmateriel får utvecklas tillsammans med landet ifråga.


8.7 Export Export av försvarsmateriel kan omfatta flera olika former av försäljning; licensgivning, gemensam utveckling av försvarsmateriel eller traditionell export av materiel. I samtliga fall kan det bli aktuellt att delge presumtiv kund/samarbetspartner hemlig uppgift i samband med marknadsföring, offertarbete eller samarbetsförhandlingar varvid regeringsbeslut om utlämnande krävs. Då fler än ett svenskt företag har del av export skall ett av företagen utses som exportansvarig för aktuellt ärende. Detta företag skall samordna informationsöverföringen från övriga med- och underleverantörer till den utländska mottagaren. 8.8 Förfrågningsunderlag/Upphandlingskontrakt Förfrågningsunderlag/upphandlingskontrakt innefattande hemlig uppgift skall föregås av regeringens positiva beslut avseende utlämnande av sekretess samt säkerhetsklarering (FSC) av aktuellt företag från utländsk NSA/DSA. I öppet förfrågningsunderlag, vilket kan leda till upphandlingskontrakt innefattande hemlig uppgift, skall en säkerhetsklausul ”Security Clause” (generella grundkrav) ingå. I förfrågningsunderlag/upphandlingskontrakt innefattande hemlig uppgift skall en ”Security Clause” och en säkerhetsskyddsplan/Security Aspects Letter (SAL) ingå. Säkerhetsskyddsplanen skall av FMV kompletteras med landspecifika säkerhetsskyddsdirektiv. I större upphandlingskontrakt och samarbetsprojekt med utlandet skall en mer omfattande säkerhetsskyddsplan upprättas, en PSI. Denna utarbetas av beställaren i samråd med FMV projektledning och FMV Säkerhetsskydd, se kapitel 7. Innan hemlig uppgift överlämnas skall kopia av förfrågningsunderlag/upphandlingskontrakt eller ett utdrag ur de delar i upphandlingskontrakt som behandlar säkerhetsskydd och säkerhetsskyddsplan/Security Aspects Letter av företaget sändas till FMV Säkerhetsskydd. FMV anmäler till utländsk NSA/DSA att hemlig uppgift kommer att delges aktuellt företag. 8.9 Besök Besök UavU utländsk person/företag/myndighet skall regleras enligt punkt 5.4. Besök UhosU utländsk företag/myndighet regleras i bi-/multilaterala avtal. Generellt krävs besökstillstånd för besök vid • myndigheter, militära installationer • försvarsindustri då hemlig uppgift skall/kommer att delges. Besöksansökan (Request For Visit - RFV) insänds av företaget till FMV om ej annat meddelats företaget. RFV innehåller besökarens säkerhetsklarering (Security Clearance).


9 Utbildning I punkt 1.3 definieras behörighetsbegreppet. Behörig att ta del av hemlig uppgift är endast den som bl.a. har tillräckliga kunskaper om säkerhetsskydd. Det skall finnas en dokumenterad utbildningsplan för utbildningen i säkerhetsskydd vid företaget. Personal som skall delges hemlig uppgift skall innan uppdraget påbörjas och därefter fortlöpande ges erforderlig utbildning i säkerhetsskydd genom företagets försorg. Säkerhetschefen skall ha genomgått av FMV Säkerhetsskydd anordnad grundutbildning för säkerhetschefer. Företagets säkerhetschef skall efter kallelse deltaga vid av FMV Säkerhetsskydd anordnad vidareutbildning för säkerhetschefer. Säkerhetschefen ansvarar för den grundläggande säkerhetsskyddsutbildningen vid företaget samt för att behörig personal fortlöpande har tillräcklig kunskap rörande säkerhetsskyddet inom företaget. Genomförd utbildning skall dokumenteras avseende innehåll, deltagare och tidpunkt. Denna dokumentation skall förvaras vid företaget. 10 Kontroll Säkerhetschefen skall fortlöpande kontrollera att: • Säkerhetsnivån vid företaget anpassas efter aktuell verksamhet • Säkerhetsanalysen för företaget hålls uppdaterad • Säkerhetsskyddsplaner utarbetas för de uppdrag företaget erhåller och som kräver

säkerhetsskydd • Säkerhetsskyddsåtgärder vidtas vid aktuella verksamhetsställen i enlighet med gällande

säkerhetsskyddsplaner vad avser informationssäkerhetsskydd, tillträdesbegränsning och säkerhetsprövning

• Personal, som deltar i säkerhetsskyddad verksamhet erhåller regelbunden utbildning i säkerhetsskyddsfrågor.

Ovanstående kontrollverksamhet skall finnas dokumenterad i en årligen reviderad skriftlig kontrollplan. Genomförda kontroller skall dokumenteras vid företaget och på anmodan kunna redovisas för FMV Säkerhetsskydd. FMV Säkerhetsskydd har rätt att hos företaget kontrollera säkerhetsskyddet. Vid sådan kontroll kan, efter FMV Säkerhetsskydd beslut, även representant för annan myndighet delta. Vid FMV Säkerhetsskydd kontroll av företaget skall säkerhetschef tillse att kontrollen genomförs enligt FMV direktiv och att relevant dokumentation finns tillgänglig. Program för kontrollen upprättas av företagets säkerhetschef i samråd med FMV. Företaget skall på anmodan från FMV skriftligen redovisa vidtagna säkerhetsskyddsåtgärder enligt av FMV utsänt frågeunderlag. 11 Rapportering/Incident Förhållande som tyder på säkerhetshotande verksamhet skall snarast anmälas till FMV Säkerhetsskydd.

ISM 2013 BILAGA 1

ISM - Upprättande av Säkerhetsskyddsavtal Nivå 1

1. Inledning Denna beskrivning syftar till att ge en allmän orientering om den verksamhet som krävs, såväl från företagets som från FMV sida, för att ett säkerhetsskyddsavtal Nivå 1 (tidigare benämnt SUA-avtal) skall komma till stånd. Säkerhetsskyddsavtal Nivå 1 är en förutsättning för att företaget skall tillåtas hantera och förvara försvarssekretess (hemlig uppgift) i egna lokaler. VAD i uppdraget som är hemligt regleras separat i en Säkerhetsskyddsplan.

2. Genomförande Nedan beskrivs de moment som skall genomföras i kronologisk ordning. Genom att följa dessa anvisningar kan företaget förkorta handläggningstiden: Steg 1 1. Underlag tillställs FMV Säkerhetsskydd Ett säkerhetsskyddsavtal initieras genom att beställaren tillställer FMV Säkerhetsskydd underlag enligt nedan. Beställaren kan vara såväl FMV som ett av FMV anlitat företag:

1.1. Underlag för säkerhetsskydd / säkerhetsskyddsplan Underlag för säkerhetsskydd / säkerhetsskyddsplan (enligt bilaga 8.1) innehåller uppgifter om vilket företag som skall anlitas, vilket projekt/uppdrag beställningen gäller, aktuell informationssäkerhetsklass samt vilken tidsperiod som arbetet kommer att pågå. Säkerhetsskyddsplanen beskriver VAD i uppdraget som är hemligt. Beställaren ansvarar för att redan i förfrågningsunderlaget tillhandahålla ett utkast till Säkerhetsskyddsplan. I Säkerhetsskyddsplanen skall även eventuella krav på utökat skydd (skyddsåtgärder utöver grundkrav) eller andra kompletterande direktiv anges. Om tveksamhet råder avseende vad i verksamheten som är hemlig uppgift skall detta klargöras mellan beställaren och företaget.

1.2. Registreringsbevis För alla bolagsformer insänds Registreringsbevis. Observera att insänt underlag inte får vara äldre än tre månader.

Utifrån uppgifter i underlaget förbereder FMV Säkerhetsskydd upprättande av ett säkerhetsskyddsavtal. Steg 2 2. FMV genomför registerkontroll av styrelserepresentant

Genom FMV Säkerhetsskydd försorg genomförs en registerkontroll (RK) av företagets VD, om denne ingår i styrelsen. Annars genomförs RK av styrelseordföranden.

3. FMV tillställer företaget underlag inför tecknande av säkerhetsskyddsavtal Underlaget består av:

3.1. Missiv 3.2. Bilaga 1 till Industrisäkerhetsskyddsmanual

4. Företaget genomför Säkerhetsskyddsrevision,

Säkerhetsskyddsrevision genomförs med stöd av mall 8.2 i ISM.

0BBilaga 1 till Sida 1 (3) Industrisäkerhetsskyddsmanual 2013-05-07 Utgåva 1.1

Bilaga 1 till Sida 2 (3) Industrisäkerhetsskyddsmanual 2013-05-07 Utgåva 1.1

Notera att även krav som ställts i Säkerhetsskyddsplan/-er i aktuellt/-a uppdrag skall ingå i revisionen. Eventuella avvikelser skall speciellt belysas i revisionsunderlaget.

5. Företaget tar fram granskningsunderlag för IT-system, Eventuella avvikelser skall speciellt belysas i granskningsunderlaget.

6. Företaget påbörjar implementering av ISM

7. Företaget genomför säkerhetsprövning och förbereder registerkontroll (RK) av personal, Säkerhetsprövning med dokumenterad personbedömning kan påbörjas omgående. Blanketter för RK med tillhörande anvisningar återfinns i bilagorna till ISM:en.

8. Företaget tillser att säkerhetschefen erhåller utbildning, Vid tecknande av säkerhetsskyddsavtal skall säkerhetschefen genomgå en av FMV anordnad säkerhetschefsutbildning. Företaget anmäler behov av utbildning till FMV Säkerhetsskydd.

9. Företaget insänder revisionsunderlag, Dokumenterad Säkerhetsskyddsrevision samt granskningsunderlag för IT-system insänds till FMV Säkerhetsskydd

10. FMV granskning av revisionsunderlag Insänt underlag granskas av FMV Säkerhetsskydd. Om underlaget är ofullständigt utreds ärendet vidare i dialog med företaget. Om FMV Säkerhetsskydd bedömer att behov av ett besök vid företaget föreligger, genomförs ett s.k. förstagångsbesök.

Steg 3 11. FMV slutgranskning

FMV genomför slutlig granskning av: 11.1. Säkerhetsskyddsrevision och granskningsunderlag - IT 11.2. Vidtagna åtgärder efter ev. förstagångsbesökt

12. FMV godkännande av revision

FMV meddelar skriftligen företaget att punkter enligt ovan är godkända. Företaget får ett utskick med FMV förslag till säkerhetsskyddsavtal med bilaga Nivå 1 (två exemplar).

Steg 4

13. Företaget bekräftar implementering av ISM När företaget implementerat ISM, insänds följande dokument till FMV Säkerhetsskydd: 13.1. Skriftlig bekräftelse på att ISM är implementerad, 13.2. Undertecknat Säkerhetsskyddsavtal med bilaga i två exemplar

14. FMV slutliga godkännande

Efter FMV slutliga godkännande återsändes följande till företaget: 14.1. Ett exemplar av tecknat Säkerhetsskyddsavtal, undertecknat av båda parter, 14.2. Godkännande av registerkontrollerad styrelserepresentant

--------------------------------------- AVTAL KLART -------------------------------------------- Steg 5


15. Säkerhetsprövning av personal

Företaget insänder till FMV Säkerhetsskydd underlag för registerkontroll av aktuell personal bestående av: 15.1. Kopia av dokumenterad personbedömning 15.2. Framställan om registerkontroll (med ev. bilagor avseende säkerhetsklass 1

resp. 2)

FMV Säkerhetsskydd meddelar företaget resultat av genomförd RK.

Upplysningar Säkerhetsskyddsrevision och granskning av IT-system Säkerhetsskyddsrevision och granskning av IT-system kan genomföras av Företaget i egen regi. Kontakta gärna FMV Säkerhetsskydd för att diskutera eventuella frågeställningar. Säkerhetsskyddsinstruktion Vid företaget skall finnas en Säkerhetsskyddsinstruktion. Denna kan utgöras av ett fristående dokument eller vara inarbetad i företagets ordinarie kvalitetsstyrnings-/dokumenthanterings- system. Säkerhetsskyddsinstruktionen skall reglera hanteringen av hemliga uppgifter och övrig förebyggande säkerhetsskyddsverksamhet vid företaget. Säkerhetsprövning Företaget skall själv genomföra säkerhetsprövning på den personal som skall nyttjas i SUA-arbetet. Personen som skall kontrolleras, skall av företaget ha informerats om omfattningen i registerkontrollen samt lämnat sitt skriftliga godkännande. Skriftligt godkännande ges i den dokumenterade personbedömningen. Blankett för registerkontroll samt beskrivning för ifyllande av blankett finns på säkerhets- polisens hemsida, i syfte att erhålla personkännedom skall det genomföras en intervju som dokumenteras (blankett dokumenterade personbedömningen återfinns som bilaga 8.3.). Originalet förvaras vid företaget. Kopia på dokumenterad personbedömning skall bifogas blanketten ”Framställan om registerkontroll” till FMV säkerhetsskydd. Sekretessbevis för företagets säkerhetschef insänds av företaget till FMV och förvaras vid myndigheten.

ISM 2013 BILAGA 2

UISM – Översikt säkerhetsskyddskrav Nedan följer en kortfattad sammanfattning av de väsentligaste kraven på säkerhetsskydds-åtgärder uppdelat efter informationssäkerhetsklass. De fullständiga kraven framgår av texten i det angivna avsnittet i ISM. X = krav på åtgärd

SÄKERHETSSKYDDSÅTGÄRD INFORMATIONSKLASS Avsnitt

i ISM

KH H/TS

H H/S H/C H/R

Delgivning av hemlig uppgift Behörighet

X

X

X

X

4.1,1.3

Undertecknat sekretessbevis X X X X 6.4

Hantering av hemlig handling Tillstånd från FMV för framställning

X

-

-

-

4.2

Tillstånd från FMV för kopiering X - - - 4.3

Register för hemliga handlingar X X X X 4.4

Mottagarkvittering X X X - 4.5

Förvaring i värdeskåp + larm X - - - 4.6

Förvaring i säkerhetsskåp + larm FMV beslut

X X - 4.6

Förvaring i plåtskåp eller låst rum ej tillåtet ej tillåtet ej tillåtet X 4.6

Regelbunden inventering X X X - 4.7

Dokumenterad förstöring X X X - 4.8

Befordran inom Sverige:

1. Företags/myndighetskurir

2. Krypterad överföring

3. Rekommenderad post

4. FMV-godkänt kurirföretag

5. A-post

X

X

tillåtet m. spec. villk.

ej tillåtet

ej tillåtet

X

X



ej tillåtet

X

X

X

X

ej tillåtet

X

X

X

X

X

4.9.2



SÄKERHETSSKYDDSÅTGÄRD INFORMATIONSKLASS Avsnitt

i ISM

KH H/TS

H H/S H/C H/R

Befordran utom Sverige (endast efter att ett antal kriterier är uppfyllda):

1. UD kurir

2. Hand carriage (undantagsfall)

3. FMV-godkänt kurirföretag (brådskande, FMV skriftl. tillstånd)

4. A-post (brådskande, överenskom-melse med mottagaren)

ej tillåtet

X

X

X

ej tillåtet

X

X

X

ej tillåtet

X

X

X

X

4.9.3

4.10.3

IT-Säkerhetsskydd

Se separat bilaga

4.11

Tillträdesbegränsning

Mekaniskt skydd och inbrottslarm:

- SSF klass 2 - SSF klass 1 Övervakad larmöverföring

Speciella krav

X

X ej tillåtet

X

X ej tillåtet

X

- X

-

5.2

Passerkontrollsystem med loggning X X X - 5.3

Besöksregistrering X X X - 5.4

Säkerhetsprövning

Dokumenterad av företaget genomförd säkerhetsprövning

X

X

X

X

6.2

Registerkontroll säkerhetsklass 3



ej tillåtet

X

X

X

(X)

-

X

-

-

-

-

-

6.3

ISM 2013 BILAGA 3

HÖGKVARTERET Datum HKV beteckning

2004-12-20 10 750: 78976

Bilaga 1 Sida 1 (34)

(WES)

Postadress

107 85 STOCKHOLM Besöksadress

Lidingövägen 24 Telefon

08-788 75 00 Telex

19633 MSBSBC S Telefax

08-788 84 75

Sändlista

Ert tjänsteställe, handläggare Ert datum Er beteckning

Vårt tjänsteställe, handläggare Vårt föregående datum Vår föregående beteckning

MUST ITSA, Greger Westberg, 08-788 8509, MUST ITSA, Pasi Waattovaara, 08-788 8605

UKrav på säkerhetsfunktioner - Grunder

Detta dokument är en utveckling av tidigare ”Läsanvisningar för krav på säker-hetsfunktioner” som ingick som bilaga 1 i MUST Krav på godkända säkerhets-funktioner. Detta dokument är avsett att öka förståelsen dels för säkerhetsfunktioner generellt dels för hur krav på säkerhetsfunktioner (KSF) nyttjas vid framtagande och/eller granskning av IT-system. Dokumentet gäller som grunddokument för samtliga säkerhetsfunktioner för hem-liga uppgifter som har placerats i någon av följande informationssäkerhetsklasser: • • Hemligt/Restricted • Hemligt/Confidential • Hemligt/Secret. • Hemligt/Top Secret Med övriga uppgifter avses i denna handling uppgifter som inte omfattas av sek-retess enligt sekretesslagen (1980:100) och som inte heller rör rikets säkerhet, s k hemliga uppgifter. För IT-system som är avsedda för behandling av sådana övriga uppgifter finns krav på att även dessa system förses med vissa godkända säker-hetsfunktioner.


2004-12-20 10 750: 78976 Bilaga 1 Sida 2(34)

1 Bakgrund ____________________________________________________ 4 1.1 Allmänt ________________________________________________________ 4

1.2 Koppling till författningskrav _____________________________________ 4

1.3 Befintliga standarder ____________________________________________ 6 1.3.1 KSF ____________________________________________________________ 6 1.3.2 IT-säkerhet _______________________________________________________ 6 1.3.3 Integrerade säkerhetslösningar ________________________________________ 7 1.3.4 MUST slutsats ____________________________________________________ 8

1.4 Kostnadsaspekter _______________________________________________ 8

1.5 Arbetsgång _____________________________________________________ 9

2 Säkerhetsdomänen ___________________________________________ 10 2.1 Allmänt _______________________________________________________ 10

3 Säkerhetsfunktioner __________________________________________ 11 3.1 Allmänt _______________________________________________________ 11

3.2 Beskrivning av säkerhetsfunktioner _______________________________ 12 3.2.1 Behörighetskontroll _______________________________________________ 12 3.2.2 Säkerhetsloggning ________________________________________________ 13 3.2.3 Intrångsskydd ____________________________________________________ 14 3.2.4 Intrångsdetektering ________________________________________________ 15 3.2.5 Skydd mot skadlig kod _____________________________________________ 17 3.2.6 Skydd mot röjande signaler _________________________________________ 18 3.2.7 Skydd mot obehörig avlyssning ______________________________________ 19

3.3 IT-säkerhetsaspekter ___________________________________________ 21

3.4 Exempel ______________________________________________________ 22 3.4.1 IT-system av IT-system (med uppgifter placerade i olika informationssäkerhetsklasser) ______________________________________________ 22 3.4.2 Ett s k stand-alone IT-system med få användare _________________________ 23

4 Dokumentstruktur ____________________________________________ 24 4.1 Gemensamma krav _____________________________________________ 24

4.2 Specifika krav _________________________________________________ 24

4.3 Kravbeskrivning _______________________________________________ 25 4.3.1 Funktionella krav _________________________________________________ 25 4.3.2 Skyddskrav ______________________________________________________ 25 4.3.3 Förvaltningskrav __________________________________________________ 25 4.3.4 Alternativa åtgärder _______________________________________________ 25 4.3.5 Assuranskrav ____________________________________________________ 25

5 Användning av dokumenten ____________________________________ 26 6 Förvaltning _________________________________________________ 26

6.1 Allmänt _______________________________________________________ 26

6.2 Övergångsbestämmelser _________________________________________ 26


2004-12-20 10 750: 78976 Bilaga 1 Sida 3(34)

6.3 Utveckling av säkerhetsfunktioner ________________________________ 26

7 Särskilda situationer __________________________________________ 28 7.1 Internationell samverkan ________________________________________ 28

7.1.1 Situation 1 ______________________________________________________ 28 7.1.2 Situation 2 ______________________________________________________ 28 7.1.3 Situation 3 ______________________________________________________ 28 7.1.4 Situation 4 ______________________________________________________ 29

7.2 Interoperabilitet _______________________________________________ 30 7.2.1 Metodik ________________________________________________________ 30 7.2.2 Organisation _____________________________________________________ 30 7.2.3 Personal ________________________________________________________ 30 7.2.4 Teknik__________________________________________________________ 30 7.2.5 MUST slutsats ___________________________________________________ 31

7.3 System av system _______________________________________________ 31

8 Begrepp och ackronymer ______________________________________ 33


2004-12-20 10 750: 78976 Bilaga 1 Sida 4(34)

1 Bakgrund

1.1 Allmänt Den 20 oktober 2003 fattade överbefälhavaren beslut om att fastställa Försvars-maktens föreskrifter (FFS 2003:7) om säkerhetsskydd och Försvarsmaktens inter-na bestämmelser (FIB 2003:3) om IT-säkerhet. Författningarna trädde i kraft den 1 januari 2004.

Bakgrunden till de nya författningarna är bland annat Försvarsmaktens ökande internationella verksamhet och därmed även ett behov av ett mer tillämpbart re-gelverk för att nå ett mer balanserat säkerhetsskydd, beroende på förändringar i hotbild och verksamhetens krav, (se Bild 1) samt skydd i övrigt av Försvarsmak-tens IT-system.

Bild 1. Schematisk bild över förväntad informationsvolym kopplat till respektive informationssä-kerhetsklass och motsvarande skyddskrav. Bilden visar även att det finns krav på skydd för sådan information som ej är hemliga uppgifter.

1.2 Koppling till författningskrav I Försvarsmaktens föreskrifter om säkerhetsskydd finns föreskrifter om att ett IT-system som är avsett för behandling av hemliga uppgifter och som är avsett att användas av flera personer skall vara försett med av myndigheten godkända sä-kerhetsfunktioner för behörighetskontroll, säkerhetsloggning, skydd mot röjande signaler, skydd mot obehörig avlyssning, intrångsskydd, intrångsdetektering och skydd mot skadlig kod (se Bild 2).


2004-12-20 10 750: 78976 Bilaga 1 Sida 5(34)

Bild 2. Schematisk bild över vilka godkända säkerhetsfunktioner, enligt Försvarsmaktens före-skrifter (FFS 2003:7) om säkerhetsskydd, som måste finnas i ett IT-system beroende på om IT-systemet är avsett att hantera uppgifter som är placerade i en informationssäkerhetsklass eller inte. Nedre delen visar var i ett riskhanteringsperspektiv säkerhetsfunktionerna hanteras.

Det är, enligt Försvarsmaktens föreskrifter om säkerhetsskydd, inte nödvändigt att vidta åtgärder mot röjande signaler för IT-system som är avsedda för behandling av uppgifter som är placerade i informationssäkerhetsklassen HEM-LIG/RESTRICTED med hänsyn till den skada, dvs men, det skulle få om sådana aktiviteter förelåg. Det är inte heller nödvändigt att förse IT-system som är av-sedda för behandling av hemliga uppgifter som har placerats i informationssäker-hetsklassen HEMLIG/RESTRICTED med en säkerhetsfunktion som möjliggör intrångsdetektering.

Av Försvarsmaktens interna bestämmelser om IT-säkerhet framgår att det är den militära underrättelse- och säkerhetstjänsten i Högkvarteret som godkänner en säkerhetsfunktion.

IT-system som är avsedda att användas av flera personer men som inte är avsedda för behandling av hemliga uppgifter skall enligt Försvarsmaktens interna be-stämmelser om IT-säkerhet vara försedda med en godkänd säkerhetsfunktion för behörighetskontroll, säkerhetsloggning, intrångsskydd och skydd mot skadlig kod. För mer information hänvisas även till HKV skr 2004-04-07 10 700:66177 ”Kommentarer till Försvarsmaktens föreskrifter (FFS 2003:7) om säkerhetsskydd och Försvarsmaktens interna bestämmelser (FIB 2003:3) om IT-säkerhet”.

(H/TS)(H/TS)H/SH/SH/CH/CH/RH/RÖÖ

Behörighetskontroll

SäkerhetsloggningSkydd mot röjande signaler

Skydd mot obehörig avlyssningSkydd mot skadlig kod

IntrångsskyddIntrångsdetektering

////////////

Säkerhets-funktion

Krav påskydd

Säkerhets-mål

Säkerhets-mekanism

Informations-säkerhets-klassning

Hot-, risk-,sårbarhets

l-analys

”Acceptabel risknivå””Bedömd risknivå” ”Riskreducering”


2004-12-20 10 750: 78976 Bilaga 1 Sida 6(34)

IT-system som skall användas av en person skall dessutom, oavsett om IT-systemet är avsett att behandla hemliga uppgifter eller inte, vara försedda med en godkänd säkerhetsfunktion som skyddar mot skadlig kod.

Säkerhetsfunktionerna går mot generella hot mot sådan verksamhet som bedrivs med stöd av IT. Säkerhetsfunktion definieras i 7 kap. 1 § 4 Försvarsmaktens före-skrifter om säkerhetsskydd enligt följande: en eller flera funktioner i ett IT-system som upprätthåller säkerheten enligt regler om hur uppgifter i IT-systemet skall skyddas. Enligt Försvarsmaktens föreskrifter om säkerhetsskydd skall en säkerhetsfunktion anpassas till den högsta informationssäkerhetsklass som någon av uppgifterna i IT-systemet har placerats i. Försvarsmaktens militära underrättelse- och säker-hetstjänstens IT-säkerhetsavdelning i Högkvarteret (HKV MUST ITSA) har med hänsyn härtill tagit fram krav som ställs på respektive säkerhetsfunktion.

1.3 Befintliga standarder

1.3.1 KSF MUST framtagna KSF är neutrala i förhållande till idag befintliga standarder. Detta innebär att KSF i sig inte medför ett vägval sett till ett eventuellt framtida beslut om nyttjande av viss standard/standarder inom Försvarsmakten. Detta ställningstagande baseras dels på resonemanget nedan i detta avsnitt och dels på att det i dagsläget svårligen går att förutsäga vilka eventuella nya standarder som kan komma att byggas upp i framtiden. Genom att KSF är neutrala till standarder uppnås även en hög grad av flexibilitet där Försvarsmaktens behov sätts i centrum. Ett exempel på flexibiltet är de ”alter-nativa åtgärder” som rymms inom KSF och som möjliggör för t.ex. projekt att anpassa sina utvecklingskostnader sett till tekniska säkerhetsmekanismer. Detta sker genom att alternativa icke-tekniska, t.ex administrativa, delar kan föras in i tekniska lösningen på ett kontrollerat sätt inför ackreditering i motsats till lös-ningar som bygger på standarder där man ser sig nödsakad att ta helheten eller inget alls. I dagsläget finns det ett antal standarder som vardera kan användas i någon ut-sträckning inom IT-säkerhetsområdet, exempelvis för kravställning och utvärde-ring av olika säkerhetslösningar. En del standarder ska dock ses mer som (eng.) ”best practise” och utgör vare sig vedertagen nationell eller internationell stan-dard. Det ska också påpekas att det inte finns någon enskild standard som är spe-cifikt inriktad mot just IT-säkerhet, från ett systemperspektiv..

1.3.2 IT-säkerhet Exempel på standarder kopplat till krav på IT-säkerhet är Ledningssystem för Informationssäkerhet (LIS) ISO/IEC 17799, ISO/IEC 15408 (Common Criteria)


2004-12-20 10 750: 78976 Bilaga 1 Sida 7(34)

och ITSEC (Information Technology Security Evaluation Criteria). Standarden Common Criteria är främst avsedd för kravställning och utvärdering av säker-hetshöjande tekniska produkter som därefter kan användas i olika tillämpningar. Common Criteria bedöms sålunda inte vara tillräcklig för att MUST ska kunna anse ett IT-system är godtagbart från säkerhetssynpunkt. För detta ändamål skulle då istället ytterligare någon standard exempelvis LIS, kunna användas. LIS, som är ett ledningssystem för införande av informationssäkerhet i en verksamhet och omfattar mer än vad som ryms inom begreppet IT-säkerhet, skulle kunna använ-das för exempelvis kravställning på IT-system och då främst på en övergripande nivå. LIS omfattar dock inte några fastställda säkerhetsmässiga funktionella krav på just IT-system utan omfattar övergripande styrmedel och riktlinjer inom olika områden. I LIS återfinns därmed inte heller funktionella krav på tekniska säker-hetshöjande produkter. Att använda olika lämpliga standarder i kombination, ex-empelvis Common Criteria för kravställning och granskning av säkerhetshöjande tekniska produkter tillsammans med LIS för kravställning av IT-system på en övergripande nivå skulle kunna vara en framkomlig väg. Sammanfattningsvis är det dock viktigt att komma ihåg att det fortfarande är För-svarsmaktens ansvar att bestämma vilka krav på säkerhet som ska uppfyllas i ett IT-system för att det ska anses vara godkänt från säkerhetssynpunkt,oavsett vilka standarder som skulle kunna användas.

1.3.3 Integrerade säkerhetslösningar Vidare föreligger det alltmer ett behov av bättre integrerade säkerhetslösningar i Försvarsmaktens IT-system. Tekniska lösningar byggs mestadels ”komponentba-serat”, dvs olika säkerhetsmekanismer nyttjas för olika hot men där de sedan inte är givet att de olika säkerhetsmekanismerna fungerar tillsammans. Inga idag före-kommande standarder ställer heller krav på en sådan nödvändig integration mel-lan olika säkerhetsmekanismer. Exempelvis behöver inte en produkt framtagen och evaluerad enligt Common Criteria vara möjlig att integrera med andra pro-dukter framtagna med samma standard. Det är alltså upp till beställaren av en säkerhetsmekanism att utfärda sådana krav, men standarderna i sig erbjuder inte den hjälpen. MUST har gjort bedömningen att det är viktigt att arbeta fram en kravställning sett från perspektivet IT-system snarare än från perspektivet ”enskilda säkerhets-mekanismer”. En sådan kravställning måste bygga på säkerhetsmässig funktion-alitet, och tilltro till framtagna lösningar. Kraven bör vidare inte formuleras direkt för säkerhetsmekanismer eftersom det bör vara upp till produktägaren tillsam-mans med leverantören att komma överens om hur en säkerhetsfunktion ska reali-seras. Dessutom måste kraven vara möjliga att realisera på annat sätt än med tek-nik om så skulle anses vara nödvändigt. Vidare är det MUST bedömning att olika länder delvis har och fortlöpande kommer att ha unika behov beroende på exem-pelvis lagstiftning och hotbild tillsammans med olika behov av att känna förtro-


2004-12-20 10 750: 78976 Bilaga 1 Sida 8(34)

ende för vissa produkter och IT-system vilket bedöms göra det svårare att an-vända ”internationellt godkända lösningar”.

1.3.4 MUST slutsats MUST har mot bakgrund av ovanstående valt att applicera lämpliga delar av be-fintliga standarder och i vissa fall anpassa eller utöka dessa. KSF (Krav på Säker-hetsFunktioner) har tagits fram med fokus på Försvarsmaktens specika behov i syfte att definiera säkerhetsfunktionalitet och så kallad assurans jämförbart med exempelvis Common Criterias fördefinierade nivåer EAL2, EAL3 och EAL4. Syftet med att ta fram egna säkerhetskrav, vilka är neutrala i förhållande till be-fintliga standarder, har framförallt varit att möjliggöra en flexiblare tillämpning sett till såväl resursåtgång i tid och pengar för applicerande lösningar som flexibi-litet i förhållande till förvaltning och utveckling jämfört med exempelvis Com-mon Criteria. Genom att KSF konstruerats att vara neutrala medges att såväl specificering som evaluering av en viss säkerhetsmekanism (realiseringen av en säkerhetsfunktion) kan ske enligt för ändamålet lämplig standard. I de förekommande fall då en stan-dard används för framtagandet av en säkerhetsmekanism måste dock kraven för avsedd säkerhetsfunktion ”översättas” till aktuell standard så att syftet med säker-hetsfunktionen kvarstår. Om exempelvis Common Criteria ska användas översätts kraven på en säkerhetsfunktion till funktionella krav och assuranskrav i Common Criteria och om LIS används ställs kraven lämpligen upp som olika styrmedels krav inom ramen för tillämpliga riktlinjer och dokumenteras i ”statement of ap-plicability”.

1.4 Kostnadsaspekter I konsekvensutredning över förslag till Försvarsmaktens föreskrifter (FFS 2003:000) om säkerhetsskydd (HKV 2003-11-06 bet. 10 750:73495) anges att det från säkerhetssynpunkt finns skäl att besluta föreslagna föreskrifter om säkerhets-skydd. Chefen för controlleravdelningen vid grundorganisationsledningen (C GRO CONTR) har den 1 oktober 2003 på uppdrag av chefen för grundorganisat-ionsledningen (C GRO) tillstyrkt den genomförda konsekvensutredningen. Någon kostnadsanalys på KSF har ännu inte varit möjlig att genomföra då jäm-förbara kostnader ej varit möjliga att identifiera i tillräcklig omfattning. En rimlig bedömning är dock att assuranskraven inom KSF kommer att vara kostnadsdri-vande medan produktionskostnaden för aktuella säkerhetsfunktioner på sikt kommer att reduceras och därigenom även de totala projektkostnaderna. Bedöm-ningen bygger på förbättrade möjligheter att återvinna tidigare framtagna säker-hetsfunktioner, genom att nuvarande otydligheter och olikheter mellan projekt kan minska, då KSF ställer lika krav på alla projekt inom viss informationssäker-hetsklass. Flera IT-system kan dessutom komma att dela på vissa säkerhetsmek-anismer beroende på hur IT-systemen fysiskt och logisk sätts upp.


2004-12-20 10 750: 78976 Bilaga 1 Sida 9(34)

I sammanhanget bör även nämnas att erfarenheter från organisationer som valt att applicera eller försökt applicera en standard fullt ut, t.ex. Common Criteria eller Ledningssystem för Informationssäkerhet, genomgående pekar på att detta är enormt resurskrävande sett till såväl ekonomi som tid. En ytterligare aspekt är att standarder i regel lämpar sig för långsiktiga mål och för massproduktion där (eng.) pay-off-effekten är tydlig medan det nya insatsför-varet ställer krav på anpassningsbarhet, flexibilitet och korta reaktionstider. Här kan KSF ses som en framgångsfaktor för att bidra till ett framtida flexibelt insats-försvar med bibehållen erfoderlig säkerhetsnivå.

1.5 Arbetsgång PÄ/PA sänder in granskningsrapport och eventuella avvikelser från KSF till MUST. Eventuella avvikelser skall även kompletteras med förslag på alternativa åtgärder. MUST har ansvaret för att förvalta de alternativa åtgärderna och faststäl-ler därmed dessa. MUST yttrar sig över säkerheten i systemet medan PÄ har det yttersta ansvaret för säkerheten och fattar beslut om ackreditering (godkännande). En engelsk version av KSF kommer att finnas tillgänglig under senare delen av 2005.


2004-12-20 10 750: 78976 Bilaga 1 Sida 10(34)

2 Säkerhetsdomänen

2.1 Allmänt Alla IT-system bedöms ha en generell hotbild med anledning av den verksamhet som bedrivs med stöd av IT-systemet och den information som återfinns i IT-systemet. Om t.ex. uppgifterna i IT-systemet omfattas av sekretess enligt sekre-tesslagen (1980:100) och rör rikets säkerhet eller rör sekretess i övrigt, är hotbil-den sannolikt en annan och sannolikt mer omfattande än om uppgifterna inte om-fattas av sekretess och rör rikets säkerhet.

Beroende på den miljö som ett IT-system verkar i kan mängden hot samt hotens art och allvarlighet variera. Exempel på detta är: • Försvarsmaktens IT-system som används utanför riket av t ex utlandsstyrkan, • Försvarsmaktens IT-system som används i de svenska beskickningarna, eller • Försvarsmaktens IT-system som på annat sätt är ansluta till externa nät. IT-system i ovanstående exempel har sannolikt en annan hotbild i förhållande till om samma IT-system skulle användas i Sverige utan externa kopplingar till om-världen.

Ett IT-system som utbyter uppgifter med andra IT-system måste vara utformat så att det kan möta de relevanta hoten med hänsyn till kopplingen eller kopplingarna till andra IT-system. Ett IT-system måste förutom att möta de externa hoten även möta hot från insidan, den s.k. insiderproblematiken. Exempel på detta är illojal egen personal..

För att möta ovanstående hot har en generell hotbild tagits fram av MUST. Denna generella hotbild har sedan legat till grund för framtagandet av säkerhetsfunktion-erna med underliggande krav. Beroende på de miljöer som IT-system verkar i kan hotbilden variera mellan IT-system, vilket i sin tur kan medföra mer eller mindre omfattande krav på säkerhetsfunktioner. Detta är en viktig aspekt som måste tas i beaktande vid framtagande av säkerhetsmekanismer.

Med begreppet säkerhetsdomän avses det fysiska och logiska området vari det aktuella systemet verkar och där angivna säkerhetsfunktioner ska förhindra och/eller reducera bedömda hot såväl externt som internt.


2004-12-20 10 750: 78976 Bilaga 1 Sida 11(34)

3 Säkerhetsfunktioner

3.1 Allmänt De godkända säkerhetsfunktionerna är tänkta att verka som en helhet för att skydda IT-systemet mot de identifierade hoten (se Bild 3). Man kan beskriva sä-kerhetsfunktionerna som ”egenskaper hos ett IT-system”. Det är med andra ord inte tänkt att endast en säkerhetsfunktion kan utgöra skyddet för IT-systemet. Ett exempel kan vara att IT-systemet är fortifikatoriskt skyddat vilket, helt eller del-vis, tillsammans med ett inpasseringssystem kan verka som ett åtkomstskydd.

Bild 3. Schematisk beskrivning över säkerhetsdomänen, i vilken säkerhetsfunktionerna samverkar för att motverka hot och bibehålla säkerhetsdomänens integritet.

Säkerhetsfunktionerna realiseras med hjälp av säkerhetsmekanismer som används i IT-systemet. Det finns inget ett-till-ett förhållande mellan säkerhetsfunktion och säkerhetsmekanism. En säkerhetsfunktion kan realiseras med en eller flera säker-hetsmekanismer och en säkerhetsmekanism kan användas av flera säkerhetsfunkt-ioner. Vidare kan annat än enbart teknik användas för att uppnå en viss godkänd säkerhetsfunktionalitet, till exempel kan en kombination av fysiska, administra-tiva, organisatoriska och tekniska åtgärder användas. Det är också viktigt att på-peka att de säkerhetsmekanismer som realiserar de olika säkerhetsfunktionerna,


2004-12-20 10 750: 78976 Bilaga 1 Sida 12(34)

måste fungera integrerat och därmed tillsammans utgöra skyddet av den informat-ion som behandlas i IT-systemet.

3.2 Beskrivning av säkerhetsfunktioner

3.2.1 Behörighetskontroll 3.2.1.1 Författningskrav

Varje IT-system som är avsett för behandling av hemliga uppgifter och som är avsett att användas av flera personer skall vara försett med en av myndig-heten godkänd säkerhetsfunktion för behörighetskontroll. En sådan säker-hetsfunktion skall anpassas till den högsta informationssäkerhetsklass som någon av uppgifterna i IT-systemet har placerats i.

7 kap. 10 § Försvarsmaktens föreskrifter (FFS 2003:7) om säkerhetsskydd

I 7 kap. 10 § Försvarsmaktens föreskrifter (FFS 2003:7) om säkerhetsskydd föreskrivs att varje IT-system som är avsett för behandling av hemliga uppgif-ter och som är avsett att användas av flera personer skall vara försett med en av myndigheten godkänd säkerhetsfunktion för behörighetskontroll. Även övriga IT-system som är avsedda att användas av flera personer men som inte är avsedda för behandling av hemliga uppgifter skall vara försedda med en sådan godkänd säkerhetsfunktion. Med myndighet enligt första stycket avses militära underrättelse- och säker-hetstjänsten i Högkvarteret.

6 kap. 3 § Försvarsmaktens interna bestämmelser (FIB 2003:3) om IT-säkerhet

3.2.1.2 Egenskaper Säkerhetsfunktionen behörighetskontroll syftar till att identifiera och autenticera en användare att samt styra åtkomsten till de delar i IT-systemet som användaren har behörighet att ta del av. Säkerhetsfunktionen för behörighetskontroll kan im-plementeras genom användandet av olika policys eller kombinationer av dessa som grund.

För behörighetskontrollen kan en rollbaserad behörighetspolicy användasP0F

1P, vilket

innebär att en organisations olika roller i ett IT-system används för att tilldela behörigheter till enskilda användare. Dessa roller, som kan vara hierarkiskt upp-byggda, kan baseras på olika arbetsrelaterade funktioner i verksamheten eller IT-systemet. Fördelen med denna typ av behörighetstilldelning är att den är relativt

1 Andra alternativ kan tex bygga på organisatorisk- eller individuell basis


2004-12-20 10 750: 78976 Bilaga 1 Sida 13(34)

lätt att administrera samt att man kan tilldela behörigheter för roller istället för individer. Med hjälp av den rollbaserade behörighetspolicyn som grund kan rela-tivt avancerade system även inkluderande dynamiska roller implementeras.

En nackdel med att använda en rollbaserad behörighetspolicy är att informationen i systemet bör tillhöra samma informationssäkerhetsklass. Denna typ av policy stödjer inte ursprungligen ett flernivåsystem eftersom exempelvis processer, som i regel inte är tilldelade en roll, kan läsa information från objekt som innehar en högre informationsklassificering än vad behörigheten för den roll som utnyttjar processen innehar (eng. read-up). Vidare möjliggör en sådan policy att processer överför informationsobjekt till lägre informationsklassificeringar (eng. write-down). Om rollbaserad behörighetspolicy används för flernivåsystem måste sub-jekt definieras i termer av roller och därefter definieras de åtkomsträttigheter som subjekten skall ha.

3.2.2 Säkerhetsloggning 3.2.2.1 Författningskrav

Varje IT-system som är avsett för behandling av hemliga uppgifter och som är avsett att användas av flera personer skall vara försett med en av myndig-heten godkänd säkerhetsfunktion för säkerhetsloggning. En sådan säkerhets-funktion skall anpassas till den högsta informationssäkerhetsklass som någon av uppgifterna i IT-systemet har placerats i.


I 7 kap. 11 § Försvarsmaktens föreskrifter (FFS 2003:7) om säkerhetsskydd föreskrivs att varje IT-system som är avsett för behandling av hemliga uppgif-ter och som är avsett att användas av flera personer skall vara försett med en av myndigheten godkänd säkerhetsfunktion för säkerhetsloggning. Även öv-riga IT-system som är avsedda att användas av flera personer men som inte är avsedda för behandling av hemliga uppgifter skall vara försedda med en sådan godkänd säkerhetsfunktion. Med myndighet enligt första stycket avses militära underrättelse- och säker-hetstjänsten i Högkvarteret.


3.2.2.2 Egenskaper Syftet med säkerhetsfunktionen säkerhetsloggning är att man i efterhand skall kunna spåra händelser som är av betydelse för säkerheten i ett IT-system. Händel-ser som är av betydelse för säkerheten kan i denna kravspecifikation jämställas med säkerhetsrelevanta eller säkerhetskritiska händelser. Det skall särskilt påpe-


2004-12-20 10 750: 78976 Bilaga 1 Sida 14(34)

kas att säkerhetsfunktionen säkerhetsloggning hanterar alla sådana händelser som är av betydelse för säkerheten i IT-system, alltså även sådana händelser som kan uppstå i IT-systemets övriga säkerhetsfunktioner.

För att en säkerhetslogg skall vara till någon användning krävs det att ett visst analysarbete kan genomföras på säkerhetsloggen, att den innehåller en viss mängd data av intresse för den som skall genomföra analysen, vilka åtgärder som säkerhetsloggen skall kunna vidta automatiskt om vissa villkor är uppfyllda samt hur säkerhetsloggen skall skyddas. Av 7 kap. 3-4 §§ FIB (2003:3) framgår det vem som ansvarar för att loggar analyseras.

Skillnaden mellan att analysera respektive granska säkerhetsloggen i denna krav-specifikation är att analys används för att beskriva en upprepningsbar determinist-isk metod och granskning är en individs förmåga att läsa, studera och dra slutsat-ser från det som kan urskiljas ur en säkerhetslogg baserat på den individuella förmågan.

3.2.3 Intrångsskydd 3.2.3.1 Författningskrav

Varje IT-system som är avsett för behandling av hemliga uppgifter skall vara försett med av myndigheten godkända säkerhetsfunktioner som skyddar mot intrång och som möjliggör intrångsdetektering. Sådana säkerhetsfunktioner skall anpassas till den högsta informationssäkerhetsklass som någon av upp-gifterna i IT-systemet har placerats i.

7 kap. 14 § första stycket Försvarsmaktens före-skrifter (FFS 2003:7) om säkerhetsskydd

I 7 kap. 14 § Försvarsmaktens föreskrifter (FFS 2003:7) om säkerhetsskydd föreskrivs att varje IT-system som är avsett för behandling av hemliga uppgif-ter skall vara försett med en av myndigheten godkänd säkerhetsfunktion som skyddar mot intrång. Även övriga IT-system som är avsedda att användas av flera personer men som inte är avsedda för behandling av hemliga uppgifter skall vara försedda med en sådan godkänd säkerhetsfunktion. Med myndighet enligt första stycket avses militära underrättelse- och säker-hetstjänsten i Högkvarteret.

9 kap. 1 § första och andra styckena Försvarsmak-tens interna bestämmelser (FIB 2003:3) om IT-

säkerhet


2004-12-20 10 750: 78976 Bilaga 1 Sida 15(34)

3.2.3.2 Egenskaper Säkerhetsfunktionen intrångsskydd syftar till att på ett kontrollerat sätt ge åtkomst till olika tjänster i ett IT-system, både från insidan och från utsidan av det skyd-dade IT-systemet. Detta kontrollerade sätt kan åstadkommas genom att tillåta, neka och/eller genom att omdirigera informationsflödet genom intrångsskyddet.

Det finns i huvudsak två principiellt olika sätt att implementera intrångsskydd. Den första lösningen är att låta inkommande och utgående informationsflöde pas-sera genom någon form av filter som då baserat på regler avgör om informationen skall få passera igenom filtret eller inte. Beroende på hur filter implementeras kan intrångsskyddet det erbjuder variera i styrka.

Den andra lösningen är att använda krypto som genom att dekryptera inkom-mande informationsflöde kan avgöra om dekrypteringen gått rätt till och därmed tillåta informationen att passera in i IT-systemet. Det utgående informationsflödet krypteras på motsvarande sätt och för att kunna ta del av informationen måste sålunda den mottagande parten ha tillgång till rätt nyckel. Det finns inget som utesluter att båda lösningarna används i kombination, men denna kravspecifikation specificerar endast intrångsskydd av typen filter. För an-vändande av krypto som intrångsskydd hänvisas till kravspecifikationer för sig-nalskyddssystem utgivna av Totalförsvarets signalskyddssamordning vid HKV MUST.

3.2.4 Intrångsdetektering 3.2.4.1 Författningskrav

Varje IT-system som är avsett för behandling av hemliga uppgifter skall vara försett med av myndigheten godkända säkerhetsfunktioner som skyddar mot intrång och som möjliggör intrångsdetektering. Sådana säkerhetsfunktioner skall anpassas till den högsta informationssäkerhetsklass som någon av upp-gifterna i IT-systemet har placerats i. IT-system som är avsedda för behandling av uppgifter som har placerats i högst informationssäkerhetsklassen HEMLIG/RESTRICTED behöver dock inte förses med en säkerhetsfunktion som möjliggör intrångsdetektering.


I 7 kap. 14 § Försvarsmaktens föreskrifter (FFS 2003:7) om säkerhetsskydd föreskrivs att varje IT-system som är avsett för behandling av hemliga uppgif-ter skall vara försett med en av myndigheten godkänd säkerhetsfunktion som skyddar mot intrång. Även övriga IT-system som är avsedda att användas av flera personer men som inte är avsedda för behandling av hemliga uppgifter skall vara försedda med en sådan godkänd säkerhetsfunktion.


2004-12-20 10 750: 78976 Bilaga 1 Sida 16(34)

Med myndighet enligt första stycket avses militära underrättelse- och säker-hetstjänsten i Högkvarteret. Med myndighet som enligt 7 kap. 14 § Försvarsmaktens föreskrifter om sä-kerhetsskydd skall godkänna en säkerhetsfunktion som möjliggör intrångs-detektering avses militära underrättelse- och säkerhetstjänsten i Högkvarte-ret.


3.2.4.2 Egenskaper Syftet med säkerhetsfunktionen för intrångsdetektering är att övervaka och bear-beta sådana händelser som kan vara av betydelse för säkerheten i ett IT-system och som skulle kunna få negativa följder för IT-systemets resurser om de inträf-fade. Säkerhetsfunktionen för intrångsdetektering är dock inte i första hand tänkt att övervaka säkerhetsrelevanta händelser som sker inom det IT-system som sä-kerhetsfunktionen är avsedd att skydda. Det kan dock vara en fördel eller till och med en nödvändighet att övervaka händelser även inom IT-systemet för att er-hålla erfoderlig säkerhetsfunktionalitet.

Händelser som är av betydelse för säkerheten kan i denna kravspecifikation jäm-ställas med säkerhetsrelevanta eller säkerhetskritiska händelser.

För att säkerhetsfunktionen för intrångsdetektering skall vara till någon nytta krävs det att säkerhetsfunktionen kan samla in sådan information som rör IT-systemets aktiviteter och sårbarheter samt analysera informationen för att slutlig-en rapportera resultatet av sådana genomförda analyser.

Skillnaden mellan att analysera respektive granska säkerhetsloggen i denna krav-specifikation är att analys används för att beskriva en upprepningsbar determinist-isk metod och granskning är en individs förmåga att läsa, studera och dra slutsat-ser från det som kan urskiljas ur en säkerhetslogg baserat på den individuella förmågan.

Det finns huvudsakligen två olika strategier för intrångsdetektering; detektering av missbruk och anomalistisk detektering. Den förstnämnda bygger på analys mot kända mönster eller signaturer av sådana händelser som kan tänkas få negativa följder för IT-systemet. Den andra strategin bygger på att analysera och hitta anomalier (avvikelser) mot kända användningsprofiler i IT-systemet. Dessa an-vändningsprofiler kan utvecklas för individer, för grupper av individer och andra objekt som t.ex. datorer (IT-system).

För informationssäkerhetsklassen Hemlig/Confidential bygger kraven på strategin för detektering av missbruk.

För informationssäkerhetsklassen Hemlig/Secret bygger kraven på de bägge ovan nämnda strategierna för detektering av intrång.


2004-12-20 10 750: 78976 Bilaga 1 Sida 17(34)

3.2.5 Skydd mot skadlig kod 3.2.5.1 Författningskrav

Varje IT-system som är avsett för behandling av hemliga uppgifter skall vara försett med en av myndigheten godkänd säkerhetsfunktion som skyddar mot skadlig kod. En sådan säkerhetsfunktion skall anpassas till den högsta in-formationssäkerhetsklass som någon av uppgifterna i IT-systemet har place-rats i.


I 7 kap. 15 § Försvarsmaktens föreskrifter (FFS 2003:7) om säkerhetsskydd föreskrivs att varje IT-system som är avsett för behandling av hemliga uppgif-ter skall vara försett med en av myndigheten godkänd säkerhetsfunktion som skyddar mot skadlig kod. Även ett IT-system som inte är avsett för behandling av hemliga uppgifter skall vara försett med en sådan godkänd säkerhetsfunkt-ion. Med myndighet enligt första stycket avses militära underrättelse- och säker-hetstjänsten i Högkvarteret.


3.2.5.2 Egenskaper Säkerhetsfunktionen för skydd mot skadlig kod syftar till att skydda IT-system mot sådan exekverbar programkod som i någon form kan skada IT-systemets re-surser genom att röja, förändra eller förstöra de uppgifter filer och program som finns i IT-systemet.

Skyddet mot skadlig kod kan implementeras på olika sätt där det vanligaste skyd-det är att använda programvara för detektering av skadlig kod med hjälp av s.k. antivirusprogram. Det är dock inte det enda skyddet som kan implementeras i IT-system utan det går också att använda integritetskontroller för subjekt och objekt samt använda konfigurationsstyrning av mjukvara. Alternativ till att använda an-tivirusprogramvara är att endast tillåta sådan mjukvara som är trovärdig, dvs. där källan är känd och utvärderad, eller att endast tillåta signerad mjukvara. Den se-nare ställer stora krav på att veta vilka subjekt och objekt som verksamheten be-höver och därmed skall tillåtas samt att det finns ett förtroende för den part som signerar mjukvaran.


2004-12-20 10 750: 78976 Bilaga 1 Sida 18(34)

3.2.6 Skydd mot röjande signaler Följande text baseras, med undantag av mer aktuella hänvisningar till författning-ar samt MUST TSA krav på signalskyddssystem, på RÖS-strategi för Försvars-makten (HKV skr 1996-02-23 bet. 10 730:62232). 3.2.6.1 Författningskrav

Varje IT-system som är avsett för behandling av hemliga uppgifter skall vara försett med av myndigheten godkända säkerhetsfunktioner för skydd mot rö-jande signaler och obehörig avlyssning. Sådana säkerhetsfunktioner skall anpassas till den högsta informationssäkerhetsklass som någon av uppgifter-na i IT-systemet har placerats i. IT-system som är avsedda för behandling av uppgifter som har placerats i högst informationssäkerhetsklassen HEMLIG/RESTRICTED behöver dock inte förses med en säkerhetsfunktion för skydd mot röjande signaler.

7 kap. 13 § första och andra styckena Försvars-maktens föreskrifter (FFS 2003:7) om säkerhets-

skydd

Med myndighet som enligt 7 kap. 13 § Försvarsmaktens föreskrifter (FFS 2003:7) om säkerhetsskydd skall godkänna säkerhetsfunktioner för skydd mot röjande signaler och obehörig avlyssning avses militära underrättelse- och säkerhetstjänsten i Högkvarteret.


Organisationsenheter, som sänder hemliga uppgifter med hjälp av elektronisk kommunikation, är ansvariga för att ett fullgott säkerhetsskydd upprätthålls, t.ex. genom kryptering. Sådana bestämmelser finns i:

• Försvarsmaktens föreskrifter (FFS 1999:11) om signalskyddstjänsten inom Totalförsvaret

• HKV skrivelse 2004-03-05 bet. 12 830: 63928 ”Krav för signalskyddssystem avsedda för Totalförsvaret”

• HKV skrivelse 2004-03-17 bet. 10 750:65020, ”Krav för signalskyddssystem”

• Handbok Totalförsvarets signalskyddstjänst, grundläggande regler för signal-skyddstjänsten (H TST Grunder), 2001 års utgåva.

• HKV skrivelse 1996-02-23 bet. 10 730:62232, Försvarsmaktens RÖS-strategi (under omarbetning).


2004-12-20 10 750: 78976 Bilaga 1 Sida 19(34)

3.2.6.2 Egenskaper Endast utrustningar som kan hänföras till försvarssekretess eller annan sekretess enligt 2 och 5 kap. sekretesslagen (1980:100), kan omfattas av krav på RÖS-skydd.

Bearbetning av information som omfattas av sekretess enligt ovan skall ske i RÖS-skyddad utrustning eller inom RÖS-skyddad lokal i följande fall:

1. System som nyttjas utanför Sveriges gränser.

2. System som regelbundet bearbetar kvalificerat hemlig information.

3. Då förutsägbara (regelbundna) bearbetningar av stora mängder sekre-tessbelagd information genomförs på permanent plats utanför tillträ-desskyddat och kontrollerat område.

4. Då förutsägbara (regelbundna) bearbetningar av stora mängder sekre-tessbelagd information genomförs på permanent plats inom tillträ-desskyddat och kontrollerat område om avståndet till okontrollerat område i någon riktning understiger 30 meter.

5. System för överföring av identitets- och behörighetskoder och som omfattas av förutsättningar enligt punkt 4.

6. I kommunikationssystem, t ex LAN, där någon del av nätet också om-fattas av förutsättningar enligt punkt 4.

7. System för hantering av signalskyddsnycklar.

8. Signalskyddssystem.

3.2.7 Skydd mot obehörig avlyssning Följande text baseras, med undantag av mer aktuella hänvisningar till författning-ar samt MUST ITSA TSA krav på signalskyddssystem, på handbok för För-svarsmaktens Säkerhetstjänst, Informationsteknik (H SÄK IT), 2001 års utgåva. 3.2.7.1 Författningskrav

Varje IT-system som är avsett för behandling av hemliga uppgifter skall vara försett med av myndigheten godkända säkerhetsfunktioner för skydd mot rö-jande signaler och obehörig avlyssning. Sådana säkerhetsfunktioner skall anpassas till den högsta informationssäkerhetsklass som någon av uppgifter-na i IT-systemet har placerats i.

7 kap. 13 § första stycket Försvarsmaktens före-skrifter (FFS 2003:7) om säkerhetsskydd

Med myndighet som enligt 7 kap. 13 § Försvarsmaktens föreskrifter (FFS 2003:7) om säkerhetsskydd skall godkänna säkerhetsfunktioner för skydd mot


2004-12-20 10 750: 78976 Bilaga 1 Sida 20(34)

röjande signaler och obehörig avlyssning avses militära underrättelse- och säkerhetstjänsten i Högkvarteret.


Organisationsenheter, som sänder hemliga uppgifter med hjälp av elektronisk kommunikation, är ansvariga för att ett fullgott säkerhetsskydd upprätthålls, t.ex. genom kryptering. Sådana bestämmelser finns i:

• Försvarsmaktens föreskrifter (FFS 1999:11) om signalskyddstjänsten inom totalförsvaret

• HKV skrivelse 2004-03-05 bet. 12 830: 63928 ”UKrav för signalskyddssystem för Totalförsvaret”

• HKV skrivelse 2004-03-17 bet. 10 750:65020 ”Krav för signalskyddssystem”

• Handbok totalförsvarets signalskyddstjänst, grundläggande regler för signal-skyddstjänsten (H TST Grunder), 2001 års utgåva.

• Försvarsmaktens RÖS-strategi (HKV 1996-02-23 bet. 10 730:62232). 3.2.7.2 Egenskaper Syftet med kommunikation är att överföra information på ett säkert sätt från en fysisk eller logisk plats till en annan, vilket beroende på förutsättningar kan ske med hjälp av (OBS ! endast generella beskrivningar):

• UOkrypterad förbindelseU, exempelvis vid överföring av hemliga uppgifter från ett IT-system till ett annat, t.ex. från en dator till en skrivare

• UOptisk fiberkabelU, exempelvis kan överföring ske mellan byggnader inom ett inhägnat och bevakat område, mellan sådana områden eller till byggnad utan-för ett sådant område, under förutsättning att det bl a sker via optisk överfö-ring i fiberkabel, som är försedd med ett godkänt larm.

• UParskärmad terminalkabelU, exempelvis för förbindelse i en byggnad inom bevakat och inhägnat område kan godkänd terminalkabel användas under för-utsättning att bla kabeln förläggas så att den är inspekterbar i hela sin sträck-ning inom ett sektionerat område. Med sektionerat område menas ett område inom en byggnad, som är avgränsat genom ett särskilt inpasseringssystem och till vilket endast behörig personal äger tillträde

• USkärmad terminalkabelU, exempelvis inom ett sektionerat område, där all per-sonal har samma behörighet till hemliga uppgifter, kan i undantagsfall även skärmad terminalkabel användas.


2004-12-20 10 750: 78976 Bilaga 1 Sida 21(34)

3.3 IT-säkerhetsaspekter Ovan angivna säkerhetsfunktioner täcker in en eller flera av IT-säkerhetsaspekterna sekretess, tillgänglighet, riktighet och spårbarhet (se Bild 4).

Bild 4. Schematisk beskrivning över säkerhetsdomänen, i vilken säkerhetsfunktionerna samverkar för att motverka hot och bibehålla säkerhetsdomänens integritet.

Det skall dock noteras att de olika säkerhetsfunktionerna har olika fokus varför det ej är möjligt att ersätta en säkerhetsfunktion med en annan sett till vilka IT-säkerhetsaspekter som avses täckas in.

XXXSkydd m Skadlig kod

XXXIntrångsdetektering

XXXIntrångsskydd

XXXSäkerhetsloggning

XXXBehörighetskontroll

SpårbarhetRiktighetTillgängligh.SekretessSäkerhetsfunktion


2004-12-20 10 750: 78976 Bilaga 1 Sida 22(34)

3.4 Exempel

3.4.1 IT-system av IT-system (med uppgifter placerade i olika informations-säkerhetsklasser)

Vid framtagande av IT-system som är uppbyggda av flera IT-system som är av-sedda för behandling uppgifter som har placerats i olika informationssäkerhets-klasser skall man beakta att det viktiga är att säkerställa att uppgifter som är pla-cerade i de högre informationssäkerhetsklasserna inte överförs till IT-system som endast är avsedda att behandla lägre informationssäkerhetsklasser (se exempel Bild 5).

Bild 5. Exempel på IT-system av IT-system och intrångsskydd. *= Symboliserar enkelriktad kommunikation.

UExempel:

IT-system XYZ består av de fyra delsystemen X1, X2, Y och Z.

Delsystem Y är ett fleranvändarsystem som är avsett för behandling av hemliga uppgif-ter (information) som är placerad i informationssäkerhetsklassen HEMLIG/RESTRICTED.

Delsystemen X1 och X2 är fleranvändarsystem som är avsett för behandling av hemliga uppgifter (information) som är placerad i informationssäkerhetsklassen HEMLIG/CONFIDENTIAL.

*

*

*

System X1H/C

System YH/R

System ZH/S

System X2H/C

IS X

IS Y

IS Z


2004-12-20 10 750: 78976 Bilaga 1 Sida 23(34)

Delsystem Z är ett fleranvändarsystem som är avsett för behandling av hemliga uppgif-ter (information) som är placerad i informationssäkerhetsklassen HEMLIG/SECRET.

Ett av de funktionella kraven (HCIS-4-8) för intrångsskydd på nivån HEM-LIG/CONFIDENTIAL lyder:

”U Säkerhetsfunktionen för intrångsskydd skall säkerställa att uppgifter som tillhör in-formationssäkerhetsklassen HEMLIG/CONFIDENTIAL inte överförs till andra IT-system än sådana som kan hantera uppgifter enligt informationssäkerhetsklassen HEM-LIG/CONFIDENTIAL eller högre.”

Kravet innebär att en behörig användare i delsystem X1 genom intrångsskydd IS-X skall kunna få åtkomst till delsystem X2 samt genom intrånsskydd IS-Y till delsystem Y. Motsvarande krav på nivån HEMLIG/SECRET medför även att samma användare inte ges åtkomst till delsystem Z.

3.4.2 Ett s k stand-alone IT-system med få användare Vid framtagande av ett icke nätverksanslutet (eng. stand-alone) IT-system för bearbetning av hemliga uppgifter som är placerade i informationssäkerhetsklass HEMLIG/SECRET och som kommer att användas av ett fåtal användare där an-vändarna har liknande behörigheter, kan det tyckas onödigt att implementera be-hörighetskontrollsystem med stark autenticering (t.ex. TAKP1F

2P).

Som ersättning till behörighetskontroll med stark autenticiering skulle alternativa åtgärder (avsnitt 4.3.4 nedan) kunna tillämpas, om det till exempel kan förutsättas att: • IT-systemet kommer att vara skyddat rent fysiskt t.ex. genom att hårddiskarna

låses in i säkerhetsskåp efter användning, eller • att rummet där IT-systemet finns uppfyller de fysiska kraven enligt Försvars-

maktens interna bestämmelser om säkerhetsskydd och • att rummet är inpasseringskontrollerat med kort och kod, Ovanstående skulle kunna anses vara tillräckligt från säkerhetssynpunkt givet att det finns administrativa rutiner som medger att man kan vara säker på vilka per-soner som har tillgång till systemet och vid vilka tidpunkter.

2 TAK – Totalförsvarets Aktiva Kort


2004-12-20 10 750: 78976 Bilaga 1 Sida 24(34)

4 Dokumentstruktur Kraven på de godkända säkerhetsfunktionerna redovisas för respektive informat-ionssäkerhetsklass HEMLIG/RESTRICTED, HEMLIG/CONFIDENTIAL, HEMLIG/SECRET och HEMLIG/TOP SECRET.

Dessutom redovisas krav på godkända säkerhetsfunktioner för IT-system som är avsedda för behandling av övriga uppgifter, dvs ej hemliga uppgifter.

För att underlätta läsbarheten har, för ovanstående, de gemensamma kraven på säkerhetsfunktioner samlats i ett eget dokument (se Bild 6).

Bild 6. Dokumentstruktur KSF med uppdelning på gemensamma respektive specifika krav på säkerhetsfunktioner per informationssäkerhetsklass.

4.1 Gemensamma krav De gemensamma kraven gäller för samtliga säkerhetsfunktioner inom aktuell in-formationssäkerhetsklass. Dessa krav består av två kategorier: • Skyddskrav, och • assuranskrav Observera att vissa krav inom ovan nämda kategorier är specifika för viss säker-hetsfunktion och därmed återfinns under de respektive specifika kraven.

4.2 Specifika krav De specifika kraven gäller för respektive säkerhetsfunktion inom viss informat-ionssäkerhetsklass eller för övriga uppgifter och är uppdelade i fem kategorier:

• Funktionella krav, • skyddskrav, • förvaltningskrav,

• Koppling till författningskrav• Befintliga standarder• Beskrivning av säkerhetsfunktioner• Internationell samverkan• Interoperabilitet• System av system• Definitioner

Generella kravSkyddskravAlternativa åtgärderAssuranskrav

Specifika kravFunktionella kravSkyddskravFörvaltningskravAlternativa åtgärderAssuranskrav

H/SGenerella kravSkyddskravAlternativa åtgärderAssuranskrav


H/CGenerella kravSkyddskravAlternativa åtgärderAssuranskrav


H/R

KSF Grunddokument

Gemensamma kravSkyddskravAlternativa åtgärderAssuranskrav


Ö


2004-12-20 10 750: 78976 Bilaga 1 Sida 25(34)

• alternativa åtgärder, och • assuranskrav

4.3 Kravbeskrivning

4.3.1 Funktionella krav Generellt gäller att kraven på de godkända säkerhetsfunktionerna ”minst skall omfatta men inte begränsas” av de krav som återfinns i dokumentationen. Bero-ende på den specifika hotbild som identifieras för respektive IT-system och som säkerhetsfunktionerna skall skydda mot, kan ytterligare säkerhetsfunktionalitet (och mekanismer) behöva tillföras. De funktionella kraven kan i allmänhet tillgo-doses genom att en kombination av tekniska, administrativa, organisatoriska eller fysiska åtgärder vidtas.

4.3.2 Skyddskrav Beskriver vilka åtgärder som behöver vidtas för att säkerställa att säkerhetsfunkt-ionen skyddas på ett korrekt sätt så att säkerhetsfunktionens integritet bibehålls.

4.3.3 Förvaltningskrav Beskriver kraven för att säkerhetsfunktionen skall kunna förvaltas på ett korrekt sätt.

4.3.4 Alternativa åtgärder Funktionella krav som pekar på specifika lösningar (t.ex. aktiva kort med certifi-kat för behörighetskontroll) som av olika anledningar (teknisk, fysisk, organisato-risk, administrativ eller ekonomisk) inte kan anses vara rimliga eller möjliga att införa, kan hanteras genom att produktägaren ger förslag på alternativa åtgärder som ger sådan effekt att erfoderlig säkerhetsfunktionalitet nås, t.ex. genom en skärpt kontroll avseende vilka personer som tillåts hantera viss information och hur detta får ske, hur de fysiska utrymmena där systemet finns ska vara beskaf-fade samt vilka administrativa rutiner som kan nyttjas.

Eftersom MUST inom Försvarsmakten i och med denna skrivelse beslutat de godkända säkerhetsfunktionerna (med underliggande krav) rådfrågas MUST in-nan alternativa åtgärder tas fram.

4.3.5 Assuranskrav För att man skall kunna ha tilltro till implementeringen av en säkerhetsfunktionen måste det även finnas krav på assurans. Dessa krav beskriver vad som skall do-kumenteras och vilka tester som skall genomföras för att säkerställa assuransen.


2004-12-20 10 750: 78976 Bilaga 1 Sida 26(34)

5 Användning av dokumenten Dokumentationen över de godkända säkerhetsfunktionerna med underliggande kravska ses som separata dokument för respektive informationssäkerhetsklass och för övriga uppgifter samt för de system som har åsatts motsvarande klassning. Observera att klassning av information och system sker innan nyttjande av dessa krav.

Dokumentationen är tänkt att användas på följande sätt.

Vid utveckling och konstruktion är dokumenten styrande vid framtagning av kravspecifikation till leverantör eller konstruktör (eller båda) av ett IT-system, t.ex. Försvarets materielverk (FMV). Beroende på IT-systemets informationssä-kerhetsklassning, eller för övriga uppgifter, används motsvarande kravdokument.

Vid granskning är dokumenten avsedda att nyttjas som checklista dels för leve-rantören vid utveckling och framtagande av lösning men även på central nivå in-för t.ex. produktägares beslut om ackreditering.

6 Förvaltning

6.1 Allmänt Kravdokumenten skall betraktas som levande dokument varför kontinuerlig ut-veckling och versionshantering av kraven kommer att ske. Förslag till alternativa åtgärder kommer att införas vid behov genom MUST försorg, detta är i sin tur beroende av de förslag som succesivt arbetas fram i samband med tillämpning av KSF enligt avsnitt 5 ovan .

6.2 Övergångsbestämmelser Då kraven enligt ovan ska vara levande kommer övergångsbestämmelser att till-lämpas mellan de olika versionerna. Övergångsbestämmelserna grundar sig på samma synsätt som anges i Försvarsmaktens föreskrifter (FFS 2003:7) om säker-hetsskydd, dvs kopplingen till viss version av KSF avgörs av vid vilken tidpunkt som IT-systemetssäkerhetsmålsättning fastställdes.

6.3 Utveckling av säkerhetsfunktioner Utveckling av säkerhetsfunktioner baseras på bedömningen att alla IT-system har en generell hotbild med anledning av den verksamhet som bedrivs med stöd av IT-system och den information som återfinns i IT-systemen. Utgående från detta är det möjligt att formulera generella säkerhetsmål i syfte att möta aktuell hotbild. Utifrån säkerhetsmålen kan sedan generella säkerhetsfunktioner formuleras för att beskriva det skydd som bedöms vara nödvändigt för den verksamhet som bedrivs med stöd av IT-system. Dessa säkerhetsfunktioner är i Försvarsmaktens fall in-förda i Försvarsmaktens föreskrifter (FFS 2003:7) om säkerhetsskydd respektive


2004-12-20 10 750: 78976 Bilaga 1 Sida 27(34)

Försvarsmaktens interna bestämmelser (FIB 2003:3) om IT-säkerhet som en slags miniminivå på skyddet för ett IT-system beroende på vilken informationssäker-hetsklass uppgifterna som finns i IT-systemet omfattas av. Ytterligare säkerhetsfunktioner utöver miniminåvån kan föranledas av att det ,beroende på IT-system, förekommer större eller mindre avvikelser i den gene-rella hotbilden. Alternativt kan det vara fråga om ytterligare krav som en reali-sering av en befintlig säkerhetsfunktionen måste uppnå. Det är därmed möjligt för en produktägare att utöka antalet säkerhetsfunktioner under förutsättning att de föreskrivna säkerhetsfunktionerna realiseras. Det ska särskilt påpekas att det inte är möjligt att självsvåldigt avstå från föreskrivna, godkända säkerhetsfunktioner och ersätta dessa med andra godtyckliga säkerhetsfunktioner. I dessa situationer ska begäran om undantag tillsändas MUST som i sin tur föredrar ärendet vidare. Om utökade säkerhetsfunktioner som inte är föreskrivna förekommer ofta, kan regelverket förändras så att de utökade säkerhetsfunktionerna inarbetas i före-skrifterna och därmed kan krav på funktionalitet och assurans formaliseras genom MUST försorg. Särskilt viktigt när en produktägare tar fram utökade säkerhets-funktioner är att denne analyserar om det verkligen gäller nya säkerhetsfunktioner och inte bara en utökning av kravbilden för redan befintliga säkerhetsfunktioner. Identifiering kan exempelvis inte anses utgöra en säkerhetsfunktion utan snarare ett krav på t.ex. vad en realiserad säkerhetsfunktion för behörighetskontroll måste klara av. Det är också viktigt att notera att säkerhetsfunktionerna i sig själv inte realiserar skyddet utan att detta görs av de säkerhetsmekanismer som implementeras och därmed realiserar säkerhetsfunktionerna. Anledningen till att valet av ”rätt” sä-kerhetsmekanism för viss säkerhetsfunktion inte direkt föreskrivs i Försvarsmak-tens författningar är att det kan finnas flera olika alternativ att realisera en säker-hetsfunktion som inte direkt har med säkerhet att göra utan snarare beror på andra faktorer såsom ekonomi, tillgång till teknik och personal. Därmed är det upp till produktägare att välja på vilket sätt en säkerhetsfunktion ska realiseras, förutsatt att syftet och de fastställda krav som gäller för säkerhetsfunktionen uppfylls. Inriktningen är att Försvarsmakten efterhand ska utveckla eller införskaffa säker-hetsmekanismer som uppfyller säkerhetsfunktionernas krav så att valet av säker-hetsmekanismer för en produktägare underlättas istället för att varje produktägare utvecklar egna säkerhetsmekanismer. MUST bedömer att återanvändning av re-dan kända säkerhetslösningar, dvs framtagna säkerhetsmekanismer, utgör en stor fördel både ekonomiskt och ur ackrediteringssynpunkt, inom ramen för vad som är tillåtet med anledning av informationssäkerhetsklasserna. Återanvändning kommer även sannolikt att medföra att tidsåtgången för genom-förande av en auktorisation och ackreditering minskar avsevärt när olika IT-system kan använda likadana säkerhetsmekanismer


2004-12-20 10 750: 78976 Bilaga 1 Sida 28(34)

7 Särskilda situationer Då KSF är konstruerade för att möta generella hot innebär detta att det i vissa fall är nödvändigt att göra vissa anpassningar. Nedan beskrivs situationer där sådana anpassningar kan vara aktuella.

7.1 Internationell samverkan KSF utgår från de svenska informationssäkerhetsklasserna H/R, H/C, H/S respek-tive H/TS och övriga uppgifter. I de fall Försvarsmakten deltar i internationella sammanhang med andra nationer och därmed kan komma att hantera samver-kande enheters sekretess (från annat land eller mellanstatlig organisation) bedöms det att huvudsakligen fyra olika generella situationer kan komma att uppstå. Dessa situationer beskrivs kortfattat nedan tillsammans med MUST bedömning om hur situationerna bör hanteras. Situationerna anges utan inbördes prioritets-ordning.

7.1.1 Situation 1 Denna situation kan uppstå då information klassificerad enligt svenskt regelverk och som behandlas i ett av Försvarsmaktens IT-system, kan komma att hanteras av utländsk personal. MUST bedömmer att i de fall då denna situation uppstår gäller svenskt regelverk och sålunda Försvarsmaktens krav på hur informationen behandlas och skyddas. För mer detaljerad information bör kontakt tas med MUST. Detta fall kräver desutom ett beslut om att uppgifter som omfattas av sek-retess får överlämnas till den utländska personalen.

7.1.2 Situation 2 Denna situation kan uppstå då information klassificerad enligt samverkande part-ners regelverk och som behandlas i ett av partners IT-system, kan komma att han-teras av Försvarsmaktens personal. MUST bedömmer att i de fall denna situation uppstår gäller Försvarsmaktens regelverk samt den samverkande partnerns regel-verk (ofta uttryckt i en bilateral säkerhetsskyddsöverenskommelse). För mer de-taljerad information bör kontakt tas med MUST.

7.1.3 Situation 3 Denna situation kan uppstå då information klassificerad enligt samverkande part-ners regelverk, ska behandlas i ett av Försvarsmaktens IT-system. MUST be-dömmer att i de fall denna situation uppstår gäller Försvarsmaktens krav på hur informationen ska behandlas och skyddas utifrån den samverkande partnerns in-formationssäkerhetsklass (motsv). I denna situation kan sekretesslagens regler (2 kap. 1 §) rörande så kallad utrikessekretess bli tillämpliga. Även i detta fall om-fattas hanteringen vanligen av regler i en bilateral säkerhetsskyddsöverenskom-melse. För mer detaljerad information bör kontakt tas med MUST.


2004-12-20 10 750: 78976 Bilaga 1 Sida 29(34)

7.1.4 Situation 4 Denna situation kan uppstå då information klassificerad enligt svenskt regelverk kan komma att behandlas i den samverkande partnerns IT-system. MUST be-dömmer att i de fall denna situation uppstår så ska informationen behandlas och skyddas utifrån Försvarsmaktens angivna informationssäkerhetsklasser som grund, men att Försvarsmaktens krav på säkerhetsfunktioner inte är tillämpliga. En generell slutsats av ovan beskrivna situationer är att KSF endast är tillämpliga i de fall då Försvarsmaktens IT-system används. För mer detaljerad information bör kontakt tas med MUST. Vad som avses med ”Försvarsmaktens IT-system” kan vara en något mer kompli-cerad fråga som inte nödvändigtvis avgörs av det direkta ägarförhållandet på hårdvaran. Istället måste beaktas vem som bär ansvaret för informationens be-handling och skydd, det vill säga vem som är systemägare och produktägare (motsv). I vissa fall förekommer det att säkerhetsskyddsbestämmelser tas in i internation-ella avtal eller i säkerhetsskyddsavtal mellan två eller flera länder. Säkerhets-skyddsbestämmelser i sådana avtal påverkar tillämpningen av nationella bestäm-melser (här: KSF). Avvikelserna kan utgöras av såväl minskade som ökade krav på säkerhetsskydd för vissa uppgifter eller handlingar. I samtliga situationer enligt ovan kan det vara av vikt att samverkande partners ingår mer detaljerade säkerhetsskyddsöverenskommelser så att gemensamma sä-kerhetsmål och krav föreligger, eftersom respektive samverkande part kan ha olika uppfattning om vad som anses utgöra ett så kallat balanserat säkerhets-skydd. Med hänsyn till den stadigt ökande graden av internationell samverkan bedöms det bli vanligare med situationer där IT-system upplåts till andra myndigheter, andra länder eller mellanfolkliga organisationer. I dessa situationer är det viktigt att Försvarsmakten framställer sina säkerhetskrav, KSF, för upplåtandet i sam-band med att t.ex. en säkerhetsmålsättning tas fram och dokumenteras för det IT-system som skall upplåtas.


2004-12-20 10 750: 78976 Bilaga 1 Sida 30(34)

7.2 Interoperabilitet Interoperabilitet återfinns inom många olika områden, i flera nivåer och med helt skilda innebörder. Exempelvis kan interoperabilitetsbegreppet innebära någon av ”mognadsnivåerna” kompatibel, interoperabel, utbytbar och gemensam. MUST utgångspunkt är att det ur ett IT-säkerhetsperspektiv främst är viktigt att betrakta interoperabilitet ur ett metodiskt, organisatoriskt, personellt och tekniskt perspek-tiv, vilket är ett sätt att förklara inom vilka områden interoperabilitet bör vara le-dande. Vilken omfattning eller ”mognadsnivå” interoperabilitetsbegreppet ska tilldelas kvarstår att bedöma. Möjligen kan olika nivåer användas för olika områ-den.

7.2.1 Metodik Interoperabilitet ur metodperspektivet bedöms främst gälla vårt sätt att kravställa och granska säkerhetsprodukter samt godkänna IT-system från säkerhetssynpunkt (ackreditering). Försvarsmakten behöver inte nödvändigtvis använda samma me-toder som andra länder, men ett samförstånd kan underlättas om exempelvis en internationellt erkänd och av berörda parter accepterad standard används för än-damålet. Genom detta kan gemensamma begreppsmodeller används. I detta sam-manhang är det viktigt att de säkerhetskrav Försvarsmakten ställer harmonierar med/motsvarar de säkerhetskrav som berörda parter har. Om så inte är fallet kvar-står problematiken med att erhålla jämförbara lösningar oavsett vilken standard som används. Likaså kan möjligheterna till alternativa, icke-tekniska lösningar omöjliggöras.

7.2.2 Organisation Interoperabilitet ur ett organisatoriskt perspektiv bedöms främst gälla vårt sätt att organisera våra IT-säkerhetsorganisationer men skulle även kunna omfatta exem-pelvis nya krav på vad som avses med oberoende revisioner av IT-säkerheten vid våra förband. Troligen utgör en organisatorisk interoperabilitet ett mindre pro-blem att övervinna i förhållande till metodiken.

7.2.3 Personal Interoperabilitet ur ett personellt perspektiv bedöms omfatta vår personals kun-skap, erfarenhet och kompetens. Det skulle också kunna omfatta exempelvis inte-roperabla rollbeskrivningar och ansvar vilket också kan få konsekvenser för själva organisationen. Den personella interoperabiliteten bedöms som ett mindre pro-blem att övervinna.

7.2.4 Teknik Det tekniska perspektivet på interoperabilitet är mer komplicerat ur ett IT-säkerhetsperspektiv. MUST bedömning är att det kan sträcka sig från att efter-


2004-12-20 10 750: 78976 Bilaga 1 Sida 31(34)

sträva gemensamma krav på teknisk säkerhetsfunktionalitet till att omfatta infö-rande av tekniska säkerhetsmekanismer (produkter), framtagna av andra länders säkerhetstjänster eller industrier. Försvarsmaktens tilltro till sådana säkerhetspro-dukter bedöms till stor del bero på vilken tillgång till exempelvis dokumentation om konstruktion, testresultat och möjlighet till egna tester som ges. Alternativt måste samverkande länder gemensamt ta fram säkerhetsprodukter där varje land har full tillgång till såväl dokumentation som slutprodukt.

7.2.5 MUST slutsats Interoperabilitet kan förekomma i olika grader där varje nivå ger mer interopera-bilitet än den föregående nivån. När det gäller organisation och personal bedöms det vara enklare att nå en högre interoperabilitet än vad som är möjligt när det gäller ett metodiskt och tekniskt perspektiv. I väntan på Försvarsmaktens ställ-ningstagande avseende omfattning på avsedd interoperabilitet så bedöms det vara svårt att avgöra vilka åtgärder som utgör ”rätt nivå” vad gäller IT-säkerheten i våra IT-system. Det viktiga är att syftet med säkerhetsfunktionerna inte förfelas. MUST gör med anledning av ovanstående bedömningen att KSF varken motsäger eller omöjliggör interoperabilitet vad gäller metod, personal, organisation och teknik, oavsett val av nivå på interoperabilitet. Genom sin konstruktion bör KSF kunna utgöra ett stöd vid diskussioner kopplat till interoperabilitet. I detta sam-manhang bör även flexibiliteten samt anpassningsförmågan i KSF betraktas som en framgångsfaktor.

7.3 System av system Många gånger är det svårt att avgöra var gränsdragningarna för ett IT-system går. Beroende på valt perspektiv kan avgränsningarna exempelvis baseras på ett IT-systems geografiska lokalisering och den hårdvara som finns på denna plats. Ur ett annat perspektiv kan avgränsningarna baseras på andra faktorer som gör att en viss del att ett IT-system bör avgränsas från övriga delar, exempelvis stöd för ett annat verksamhetsområde. Om exempelvis två tydligt avgränsade och fysiskt åtskilda IT-system, kopplas till varandra via ett nätverk så kan det betraktas som om det är två mot varandra kopplade men avgränsade IT-system, eller ett större IT-system. Exempel på för-delar med att betrakta ett större IT-system som flera olika delsystem är att skap-andet av hållbara säkerhetsdomäner underlättas vilket i sin tur ökar möjligheterna att skapa förtroende för och mellan delsystemen. Oavsett från vilket perspektiv man betraktar ett IT-systems avgränsningar är syf-tet alltid att skydda informationen och övriga resurser ifrån de hot som föreligger. Avgränsningarna görs vanligvis baserat på aktuella säkerhetsfunktioners och sä-kerhetsmekanismers förmåga att fungera utan att kunna kringgås. Det är därför


2004-12-20 10 750: 78976 Bilaga 1 Sida 32(34)

viktigt att man innan implementering av säkerhetsmekanismer noga överväger var i IT-systemen detta ska ske, exempelvis genom att ta hänsyn till sådana hot som kan vara aktuella vid överföring av informationen mellan delsystemen i ett större IT-system. Betraktas IT-systemen från perspektivet delsystem av IT-system (system av sy-stem) och skyddet byggs upp kring varje delsystem, kan ett starkare skydd erhål-las om säkerhetsmekanismerna kan anses utgöra en flerskiktsprincip tillsammans (den s.k. lökprincipen). Det kan vara lämpligt i en sådan flerskiktsprincip att säkerhetsmekanimserna konstrueras olika för de olika delsystemen, samtidigt som de fortfarande uppfyller de framtagna gemensamma kraven för aktuell säkerhetsfunktion. Fördelen med att konstruera heterogena, och om möjligt ortogonala, lösningar är att även om en säkerhetsmekanism äventyras genom ett hot så innebär det inte att alla andra sä-kerhetsmekanismer äventyras, även om de härstammar från en och samma säker-hetsfunktion. Samtidigt ska också tidigare redovisade synergieffekter med att återanvända lösningar och säkerhetsmekanismer beaktas vid ett sådant förfarande. Det är i sammanhanget viktigt att påpeka att alla delsystemen samtidigt betraktas ur ett helhetsperspektiv så att alla delsystemens säkerhetsmekanismer fungerar tillsammans som en gemensam helhet vad gäller säkerhetsskyddet. Vidare kan en geografisk/logisk samlokalisering av olika IT-system innebära sy-nergieffekter då flera IT-system kan dela på vissa Säkerhetsfunktion-er/säkerhetsmekanismer. Förutsättningen är dock att informationen i alla de sam-lokaliserade IT-systemen tillhör samma informationssäkerhetsklass, annars måste en uppdelning i flera olika IT-system göras.


2004-12-20 10 750: 78976 Bilaga 1 Sida 33(34)

8 Begrepp och ackronymer Term Betydelse

Assurans Innebär att kunna påvisa att det går att hysa tillit/ha förtroende för att det som påstås och att detta verkligen infrias

Autenticering Validering av en identitets äkthet

Behörighetskontroll:

Administrativa eller tekniska åtgärder, eller både administrativa och tekniska åtgärder, som vidtas för att kontrollera en användares identi-tet, styra en användares behörighet att använda IT-systemet och dess resurser samt registrera användaren

Common Criteria Evalueringsstandard (ISO/IEC 15408)

EAL (n) Evaluation Assurance Level enligt Common Criteria , anges i nivåer 1-7.

Heuristisk Experimentell problemlösning eller ”trial-and-error”-försök.

Identifiering Verifiering av en användares eller subjekts identitet

Inspekterbart förlagd kabel Kabeln i hela sin sträckning är synlig och iden-tifierbar. Undantag får tillåtas om kabeln går i eget pansarrör under kortare sträcka.

Intrångsdetektering

Administrativa eller tekniska åtgärder, eller både administrativa och tekniska åtgärder, som vidtas för att detektera förberedelse eller försök till intrång samt intrång

Intrångsskydd

Administrativa eller tekniska åtgärder, eller både administrativa och tekniska åtgärder, som vidtas för att skydda IT-system mot obehörig åtkomst från datanät

Komponent Minsta beståndsdelen i säkerhetsfunktionen som enskilt kan uppfylla ett funktionellt säker-hetskrav.

LIS Ledningssystem för Informationssäkerhet (ISO/IEC 17799)

Oberoende instans

Den eller de personer vid en myndighet, orga-nisatorisk enhet eller företag som inte deltagit vid anskaffningen eller utvecklingen av säker-hetsfunktionen.

Objekt

Något som innehåller eller mottar information och som subjekt kan genomföra operationer på. Exempel kan vara filer, kataloger och enskilda data.

Operationer

Sådana handlingar som är möjliga att genom-föra på objekt. Exempel kan vara läsa, exekvera, skriva och ta bort.

Röjande signaler Inte önskvärda elektromagnetiska eller akus-tiska signaler som alstras i informationsbe-handlande utrustningar och som, om de kan


2004-12-20 10 750: 78976 Bilaga 1 Sida 34(34)

tydas av obehöriga, kan bidra till att informat-ion röjs

Skadlig kod Programkod som är till för att ändra, röja, förstöra eller avlyssna ett IT-systems funktion-er eller uppgifter.

Subjekt

Något som åstadkommer eller utför sådana operationer som kan utföras. Exempel kan vara processer, trådar och sess-ioner.

Säkerhetsattribut

Information som kan associeras med använ-dare, subjekt och objekt som används för till-lämpningen av en säkerhetspolicy. Exempel kan vara lösenord, unika identifierare, certifikat, behörighetsnivåer och använ-darID/processID.

Säkerhetsdomän Aktuellt system och dess miljö som skyddas av angivna säkerhetsfunktioner mot de hot som uppträder såväl utifrån som inifrån systemet.

Säkerhetsfunktion En eller flera funktioner i ett IT-system som upprätthåller säkerheten enligt regler om hur uppgifter i IT-systemet skall skyddas

Säkerhetsloggning

Manuell eller automatisk registrering, eller både manuell och automatisk registrering, av händelser som är av betydelse för säkerheten i eller kring ett IT-system

Säkert tillstånd

Fördefinierat tillstånd där IT-systemet fungerar på avsett vis under kontrollerade former. I det säkra tillståndet anges vilka subjekt, objekt och operationer på objekt som är tillåtna.

Tillförlitlig tid Säker tidsangivelse omfattande hela IT-systemet.

Unik referens

Unik identifiering av data och/eller information genom namn eller nummer vilket medger in-dexering för att skapa tillgång till önskad data/information. Detta kan ske genom att nyttja kombinationer av unika sidnummer, dokumentnummer, vers-ionsnummer, volymsnummer och datum.

10 750:78976

HÖGKVARTERET Datum Bilaga 3 2004-12-20

Sida 1

Krav på säkerhetsfunktion för HEMLIG/RESTRICTED

Underbilagor: • 3:1 Gemensamma krav på säkerhetsfunktioner för HEMLIG/RESTRICTED • 3:2 Specifika krav på säkerhetsfunktion för HEMLIG/RESTRICTED – Behörighetskontroll • 3:3 Specifika krav på säkerhetsfunktion för HEMLIG/RESTRICTED – Säkerhetsloggning • 3:4 Specifika krav på säkerhetsfunktion för HEMLIG/RESTRICTED – Intrångsskydd • 3:5 Specifika krav på säkerhetsfunktion för HEMLIG/RESTRICTED – Skydd mot Skadlig kod

10 750:78976

HÖGKVARTERET Datum Underbilaga 3:1 2004-12-20 HRG-2-0 Sida 1 (6)

(WES)

Gemensamma krav på säkerhetsfunktioner för HEMLIG/RESTRICTED

(HRG)

Revisionskommentar KSF version 2.0 Viss omstrukturering av kravmassan har skett i denna version jämfört med föregående version (1.0). Detta innebär att vissa krav, vilka är gemensamma för alla säkerhetsfunktioner inom respektive informationssäkerhetsklass samt för övriga uppgifter, samlas i ett eget dokument. I ett fåtal fall har även vissa krav tillkommit. För att underlätta spårbarhet anges, i förekommande fall, detta i kravdokumentens högra ko-lumn ”Anmärkning” med följande innebörd: • texten ”Flyttat till…” anger vart aktuellt krav från version 1 återfinns i version 2, • texten ”Tidigare…” anger vart aktuellt krav i version 2 återfanns i version 1, • texten ”Nytt krav” anger att kravet ej fanns upptaget i version 1. Hänvisningen ”Flyttat till KSF – Grunder” avser HKV 2004-12-16 10 750.78976 Bilaga 1 KSF Grunder.

HRG-1 Författningskrav Flyttat till KSF - Grunder

HRG-2 Allmänt Flyttat till KSF - Grunder

HRG-3 Definitioner Flyttat till KSF - Grunder

10 750: 78976 HÖGKVARTERET Datum Underbilaga 3:1 2004-12-20 HRG-2-0 Sida 2 (6)

HRG-4 Funktionella säkerhetskrav Säkerhetsfunktionen skall omfatta men inte begränsas till nedan följande krav.

(tom tabell) Krav id Kravbeskrivning Anmärkning (tom) (tom) (tom)


HRG-5 Skydd av säkerhetsfunktionen För att säkerhetsfunktionen skall kunna behålla sin integritet och därigenom fylla sitt syfte, måste säkerhetsfunktionen skyddas. Skyddskraven skall omfatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HRG-5-1 Säkerhetsfunktionen skall tillsammans med övriga säkerhets-

funktioner i IT-systemet upprätthålla en egen säkerhetsdomän som skyddar mot manipulering eller störningar både från såd-ana subjekt och från sådana användare som tillhör respektive inte tillhör denna domän.

Tidigare HRBK-5-1, HRSL-5-1, HRIS-5-3, HRSK-5-1

HRG-5-2 Säkerhetsfunktionen skall tillsammans med övriga säkerhets-funktioner i IT-systemet ha möjlighet att tillgodose tillförlitlig tid.


HRG-5-3 Säkerhetsfunktionen skall säkerställa att endast behörig admi-nistratör kan förvalta säkerhetsfunktionen och sköta dess sä-kerhetsinställningar.



HRG-6 Förvaltning av säkerhetsfunktionen Förvaltningen av säkerhetsfunktionen utgörs av sådana krav som i något avseende förändrar säkerhetsfunktionens egenskaper. Förvaltningskraven skall omfatta men inte begränsas till nedan följande krav.



HRG-7 Alternativa åtgärder - - -

Tom sida


HRG-8 Assuranskrav Tilltron till säkerhetsfunktionen bygger i huvudsak på tillgänglig dokumentation om säkerhetsfunktionen och genomförd testning av densamma.

Assuransen skall omfatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HRG-8-1 Säkerhetsfunktionen skall vara testad på ett strukturerat

tillvägagångssätt. Tidigare HRBK-8-1, HRSL-8-1, HRIS-8-1,HRSK-8-1

HRG-8-2 All dokumentation rörande säkerhetsfunktionen skall vara märkt med en unik referens.


HRG-8-3 Det skall finnas dokumentation som beskriver resultatet av den granskning som genomförts av en oberoende instans.


HRG-8-4 Det skall finnas dokumentation som på ett informellt sätt och på en övergripande nivå beskriver hur säkerhetsfunktionen är uppbyggd. Dokumentationen skall innehålla en beskrivning av all hårdvara och mjukvara som används för att uppnå erforder-lig säkerhetsfunktionalitet.


HRG-8-5 Det skall finnas dokumentation som på ett informellt sätt be-skriver hur de funktionella säkerhetskraven är implementerade i säkerhetsfunktionen.


HRG-8-6 Det skall finnas dokumentation som beskriver hur leverans och installation av säkerhetsfunktionen skall gå till.


HRG-8-7 Det skall finnas dokumentation som beskriver hur behörig administratör konfigurerar, administrerar och förvaltar säker-hetsfunktionen på ett korrekt sätt så att erforderlig säkerhets-nivå kan erhållas och bibehållas.


HRG-8-8 Det skall finnas dokumentation över vilka testfall med tillhö-rande utfall som genomförts.

Nytt krav

10 750: 78976

HÖGKVARTERET Datum Underbilaga 3:2 2004-12-20 HRBK-2-0 Sida 1 (7)

(WES)

Specifika krav på säkerhetsfunktion för HEMLIG/RESTRICTED – behörighetskontroll

(HRBK)


HRBK- 1 Författningskrav Flyttat till KSF – Grunder

HRBK- 2 Allmänt Flyttat till KSF – Grunder

HRBK- 3 Definitioner Flyttat till KSF – Grunder

10 750: 78976 HÖGKVARTERET Datum Underbilaga 3:2 2004-12-20 HRBK-2-0 Sida 2 (7)

HRBK- 4 Funktionella säkerhetskrav Säkerhetsfunktionen för behörighetskontroll skall omfatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HRBK-4-1 Säkerhetsfunktionen för behörighetskontroll skall förhindra

åtkomst till IT-systemets subjekt och objekt av användare och subjekt som inte har behörighet och åtkomsträttigheter till IT-systemet.

HRBK-4-2 Säkerhetsfunktionen för behörighetskontroll skall unikt identi-fiera och autenticera en användare innan åtkomst av någon funktionalitet eller tilldelning av åtkomsträttigheter får ske i det IT-system som skyddas av säkerhetsfunktionen.

HRBK-4-3 Säkerhetsfunktionen för behörighetskontroll skall autenticera en användare vid: • inloggning, • upphävande att tillfälligt åtkomstskydd, • byte av säkerhetsattribut för autenticering • när tiden för tidsbegränsad användning av IT-systemets

resurser har gått ut.

HRBK-4-4 Säkerhetsfunktionen för behörighetskontroll skall säkerställa en viss kvalité på det säkerhetsattribut, om det är lösenord, som används för autenticering genom att kontrollera att säker-hetsattributet ges: • en minsta giltighetstid, • ett minsta antal tillåtna tecken används för skapandet av

säkerhetsattributet • en längsta giltighetstid används för säkerhetsattributet.

HRBK-4-5 Säkerhetsfunktionen för behörighetskontroll skall säkerställa att alla användare kan göras individuellt ansvariga (dvs oav-vislighet) för sina vidtagna åtgärder i IT-systemet.

HRBK-4-6 Säkerhetsfunktionen för behörighetskontroll skall använda användares, subjekts och objekts säkerhetsattribut som kont-rollmekanism vid styrning av åtkomst.

HRBK-4-7 Säkerhetsfunktionen för behörighetskontroll skall använda lösenord eller motsvarande som kontrollmekanism och säker-hetsattribut för autenticering.

Tidigare HRBK-4-6

HRBK-4-8 Säkerhetsfunktionen för behörighetskontroll skall kunna vidta automatiska åtgärder vid autenticeringsfel. Sådana åtgärder skall omfatta nekande av åtkomst till IT-systemet samt låsning av berörd användares konto under en viss tid.

Tidigare HRBK-4-7

10 750: 78976 HÖGKVARTERET Datum Underbilaga 3:2 2004-12-20 HRBK-2-0 Sida 3 (7) Krav id Kravbeskrivning Anmärkning HRBK-4-9 Säkerhetsfunktionen för behörighetskontroll skall möjliggöra

olika definierade roller. Tidigare HRBK-4-8

HRBK-4-10 Säkerhetsfunktionen för behörighetskontroll skall säkerställa låsning av sådana säkerhetsattribut som kan anses vara röjda till sådana användare eller subjekt som inte har behörighet och åtkomsträttigheter till IT-systemet. Låsningen kan ske direkt eller vid nästa inloggning.

Tidigare HRBK-4-9


HRBK- 5 Skydd av säkerhetsfunktionen Flyttat till HRG-5


HRBK- 6 Förvaltning av säkerhetsfunktionen Förvaltningen av säkerhetsfunktionen utgörs av sådana krav som i något avseende förändrar säkerhetsfunktionens egenskaper. Förvaltningskraven skall därför om-fatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HRBK-6-1 Det skall gå att lägga till, ta bort eller på annat sätt förändra

vilka kontroller som skall utföras för att säkerställa säker-hetsattributens kvalité.

HRBK-6-2 Det skall gå att lägga till, ta bort eller på annat sätt förändra vilka åtkomsträttigheter som behöriga användare har till IT-systemets subjekt och objekt. Sådana åtkomsträttigheter skall omfatta: • skapa, • läsa, • skriva, • exekvera • ta bort.

HRBK-6-3 Det skall gå att lägga till, ta bort eller på annat sätt förändra vilka åtgärder som skall vidtas vid autenticeringsfel.

HRBK-6-4 Det skall gå att lägga till, ta bort eller på annat sätt förändra vid vilka tillfällen låsning av sådana säkerhetsattribut som kan anses vara röjda skall ske.


HRBK- 7 Alternativa åtgärder - - -

Tom sida


HRBK- 8 Assuranskrav Tilltron till säkerhetsfunktionen för behörighetskontroll bygger i huvudsak på till-gänglig dokumentation om säkerhetsfunktionen och genomförd testning av den-samma.


Krav id Kravbeskrivning Anmärkning HRBK-8-1 Flyttat till

HRG-8-1 HRBK-8-2 Flyttat till






HRG-8-7 HRBK-8-8 Det skall finnas dokumentation som ur ett användarperspektiv

beskriver hur säkerhetsfunktionen fungerar och som innehål-ler instruktioner och riktlinjer om hur man på ett säkert sätt använder säkerhetsfunktionen.

HRBK-8-9 Det skall finnas dokumentation över de testfall med tillhö-rande utfall som påvisar säkerhetsfunktionens funktionalitet. Testfallen skall inkludera både sådana tester som kontrollerar säkerhetsfunktionens funktionalitet och sådana tester som kontrollerar frånvaron av oönskade beteende inom säkerhets-funktionen.

10 750: 78976 HÖGKVARTERET Datum Underbilaga 3:3 2004-12-20 HRSL-2-0 Sida 1 (6)

(WES)

Specifika krav på säkerhetsfunktion för HEMLIG/RESTRICTED – säkerhetsloggning

(HRSL)


HRSL- 1 Författningskrav Flyttat till KSF – Grunder

HRSL- 2 Allmänt Flyttat till KSF – Grunder

HRSL- 3 Definitioner Flyttat till KSF – Grunder


HRSL- 4 Funktionella säkerhetskrav Säkerhetsfunktionen för säkerhetsloggning skall omfatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HRSL-4-1 Säkerhetsfunktionen för säkerhetsloggning skall i en säker-

hetslogg registrera sådana händelser som är av betydelse för säkerheten i IT-systemet.

HRSL-4-2 Säkerhetsfunktionen för säkerhetsloggning skall tillsammans med varje enskild registrerad händelse, även registrera datum och tid för händelsen samt användarens eller subjektets identi-tet.

HRSL-4-3 Säkerhetsfunktionen för säkerhetsloggning skall säkerställa att spårning av missbruk, och försök till missbruk av IT-systemet kan genomföras.

HRSL-4-4 Säkerhetsfunktionen för säkerhetsloggning skall säkerställa att alla registrerade händelser i säkerhetsloggen kan presenteras i läsbar form.

HRSL-4-5 Säkerhetsfunktionen för säkerhetsloggning skall möjliggöra verktygsbaserad granskning av registrerade händelser i säker-hetsloggen.

HRSL-4-6 Säkerhetsfunktionen för säkerhetsloggning skall möjliggöra säkerhetskopiering av säkerhetsloggen.

HRSL-4-7 Säkerhetsfunktionen för säkerhetsloggning skall säkerställa att registrerade händelser inte raderas, skrivs över eller på annat sätt förstörs som en följd av fel på säkerhetsfunktionen eller att säkerhetsloggen är full.


HRSL- 5 Skydd av säkerhetsfunktionen För att säkerhetsfunktionen skall kunna behålla sin integritet och därigenom fylla sitt syfte, måste säkerhetsfunktionen skyddas. Skyddskraven skall omfatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HRSL-5-1 Flyttat till

HRG-5-1 HRSL-5-2 Flyttat till


HRG-5-3


HRSL- 6 Förvaltning av säkerhetsfunktionen Förvaltningen av säkerhetsfunktionen utgörs av sådana krav som i något avseende förändrar säkerhetsfunktionens egenskaper. Förvaltningskraven skall därför om-fatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HRSL-6-1 Det skall gå att lägga till, ta bort eller på annat sätt förändra

vilka säkerhetsrelevanta händelser som skall registreras i sä-kerhetsloggen.


HRSL- 7 Alternativa åtgärder - - -

Tom sida


HRSL- 8 Assuranskrav Tilltron till säkerhetsfunktionen för säkerhetsloggning bygger i huvudsak på till-gänglig dokumentation om säkerhetsfunktionen och genomförd testning av den-samma.


Krav id Kravbeskrivning Anmärkning HRSL-8-1 Flyttat till







HRG-8-7

10 750: 78976 HÖGKVARTERET Datum Underbilaga 3:4 2004-12-20 HRIS-2-0 Sida 1 (6)

(WES)

Specifika krav på säkerhetsfunktion för HEMLIG/RESTRICTED – intrångsskydd

(HRIS)


HRIS- 1 Författningskrav Flyttat till KSF – Grunder

HRIS- 2 Allmänt Flyttat till KSF – Grunder

HRIS- 3 Definitioner Flyttat till KSF – Grunder


HRIS- 4 Funktionella säkerhetskrav Säkerhetsfunktionen för intrångsskydd skall omfatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HRIS-4-1 Säkerhetsfunktionen för intrångsskydd skall förhindra all åt-

komst till IT-systemets subjekt och objekt av sådana subjekt som inte har åtkomsträttigheter till IT-systemet.

HRIS-4-2 Säkerhetsfunktionen för intrångsskydd skall begränsa vilken information som får överföras genom säkerhetsfunktionen genom att kontrollera både inkommande och utgående in-formationsflöde.

HRIS-4-3 Säkerhetsfunktionen för intrångsskydd skall säkerställa att information inte överförs utan att säkerhetsfunktionens konfi-gurerade filter används.

HRIS-4-4 Säkerhetsfunktionen för intrångsskydd skall möjliggöra en konfiguration så att information endast kan flöda i en riktning genom säkerhetsfunktionen.

HRIS-4-5 Säkerhetsfunktionen för intrångsskydd skall säkerställa att uppgifter som tillhör informationssäkerhetsklassen RESTRICTED inte överförs till andra IT-system än sådana som kan hantera uppgifter enligt informationssäkerhetsklassen RESTRICTED eller högre.

HRIS-4-6 Säkerhetsfunktionen för intrångsskydd skall förhindra att icke identifierade subjekt kan använda, påverka eller på annat sätt manipulera säkerhetsfunktionen.

HRIS-4-7 Säkerhetsfunktionen för intrångsskydd skall säkerställa att det inte överförs sådan typ av nätverkstrafik som inte tillåts över-föras genom säkerhetsfunktionen.

HRIS-4-8 Säkerhetsfunktionen för intrångsskydd skall begränsa den information som en användare eller ett subjekt får som gen-svar vid nekande av åtkomst till säkerhetsfunktionen.


HRIS- 5 Skydd av säkerhetsfunktionen För att säkerhetsfunktionen skall kunna behålla sin integritet och därigenom fylla sitt syfte, måste säkerhetsfunktionen skyddas. Skyddskraven skall omfatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HRIS-5-1 Säkerhetsfunktionen för intrångsskydd skall genom självtester

genomföra riktighetskontroller: • vid uppstart, • när behörig administratör så påkallar • vid återgång till ordinarie drift från ett säkert tillstånd i syfte att demonstrera en korrekt funktionalitet av den under-liggande lösningen.

HRIS-5-2 Säkerhetsfunktionen för intrångsskydd skall kunna upprätt-hålla ett definierat säkert tillstånd när hela eller delar av den funktionalitet som begränsar vilken information som får över-föras genom säkerhetsfunktionen, är korrupt eller oåtkomlig.

HRIS-5-3 Flyttat till HRG-5-1




HRIS- 6 Förvaltning av säkerhetsfunktionen Förvaltningen av säkerhetsfunktionen utgörs av sådana krav som i något avseende förändrar säkerhetsfunktionens egenskaper. Förvaltningskraven skall därför om-fatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HRIS-6-1 Det skall gå att lägga till, ta bort eller på annat sätt förändra

vilka konfigurerade filter som säkerhetsfunktionen använder sig av.

HRIS-6-2 Det skall gå att lägga till, ta bort eller på annat sätt förändra ett filters konfiguration så att säkerhetsfunktionen endast tillåter information att flöda i en riktning.

HRIS-6-3 Det skall gå att lägga till, ta bort eller på annat sätt förändra vilken typ av nätverkstrafik som skall tillåtas överföras genom säkerhetsfunktionen samt vilken typ av nätverkstrafik som skall förhindras.


HRIS- 7 Alternativa åtgärder - - -

Tom sida


HRIS- 8 Assuranskrav Tilltron till säkerhetsfunktionen för intrångsskydd bygger i huvudsak på tillgäng-lig dokumentation och genomförd testning.


Krav id Kravbeskrivning Anmärkning HRIS-8-1 Flyttat till

HRG-8-1 HRIS-8-2 Flyttat till






HRG-8-7

10 750: 78976 HÖGKVARTERET Datum Underbilaga 3:5 2004-12-20 HRSK-2-0 Sida 1 (6)

(WES)

Specifika krav på säkerhetsfunktion för HEMLIG/RESTRICTED – skydd mot skadlig kod

(HRSK)


HRSK- 1 Författningskrav Flyttat till KSF – Grunder

HRSK- 2 Allmänt Flyttat till KSF – Grunder

HRSK- 3 Definitioner Flyttat till KSF – Grunder


HRSK- 4 Funktionella säkerhetskrav Säkerhetsfunktionen för skadlig kod skall omfatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HRSK-4-1 Säkerhetsfunktionen för skydd mot skadlig kod skall förhindra

all åtkomst till IT-systemets resurser av sådana objekt som innehåller skadlig kod.

HRSK-4-2 Säkerhetsfunktionen för skydd mot skadlig kod skall, med hjälp av kontrollmekanismen, säkerställa att ingen skadlig kod kan: • ändra, • förstöra • på annat sätt manipulera objekten, i det IT-system som skyddas av säkerhetsfunktionen.

HRSK-4-3 Säkerhetsfunktionen för skydd mot skadlig kod skall säker-ställa detektering av skadlig kod genom att kontrollera både inkommande och utgående informationsflöde.

HRSK-4-4 Säkerhetsfunktionen för skydd mot skadlig kod skall säker-ställa att information inte överförs till eller från IT-systemet utan att säkerhetsfunktionens kontrollmekanism används.

HRSK-4-5 Säkerhetsfunktionen för skydd mot skadlig kod skall, om de-tektering av skadlig kod sker, automatiskt kunna vidta åtgär-der. Sådana åtgärder skall omfatta placering av smittat subjekt eller objekt i karantän samt visa en varning för behörig admi-nistratör och den berörda användaren.

HRSK-4-6 Säkerhetsfunktionen för skydd mot skadlig kod skall använda definitionsfil som kontrollmekanism för de objekt i IT-systemet som skyddas av säkerhetsfunktionen.

HRSK-4-7 Säkerhetsfunktionen för Skydd mot skadlig kod skall genom-föra kontroller av subjekt och objekt: • under drift, • vid uppstart • när behörig administratör så påkallar.

HRSK-4-8 Säkerhetsfunktionen för skydd mot skadlig kod skall kunna uppdatera skyddet mot skadlig kod automatiskt under betryg-gande förhållanden.


HRSK- 5 Skydd av säkerhetsfunktionen För att säkerhetsfunktionen skall kunna behålla sin integritet och därigenom fylla sitt syfte, måste säkerhetsfunktionen skyddas. Skyddskraven skall omfatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HRSK-5-1 Flyttat till HRG-

5-1 HRSK-5-2 Flyttat till HRG-

5-2 HRSK-5-3 Flyttat till HRG-

5-3 HRSK-5-4 Säkerhetsfunktionen för skydd mot skadlig kod skall genom

självtester genomföra riktighetskontroller vid uppstart samt när behörig administratör så påkallar i syfte att demonstrera en korrekt funktionalitet av den underliggande lösningen.

Nytt krav


HRSK- 6 Förvaltning av säkerhetsfunktionen Förvaltningen av säkerhetsfunktionen utgörs av sådana krav som i något avseende förändrar säkerhetsfunktionens egenskaper. Förvaltningskraven skall därför om-fatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HRSK-6-1 Det skall gå att lägga till, ta bort eller på annat sätt förändra

vilka typer av skadlig kod som säkerhetsfunktionen skall skydda mot.

HRSK-6-2 Det skall gå att uppdatera den definitionsfil som används som kontrollmekanism.

HRSK-6-3 Det skall gå att lägga till, ta bort eller på annat sätt förändra de åtgärder som kan vidtas när skadlig kod detekteras.

HRSK-6-4 Det skall gå att lägga till, ta bort eller på annat sätt förändra på vilket eller vilka sätt kontroller av IT-systemet sker; • under drift • vid uppstart, • när behörig administratör så påkallar. Kontrollerna kan vara antingen fullständiga eller inkremen-tella.


HRSK- 7 Alternativa åtgärder - - -

Tom sida


HRSK- 8 Assuranskrav Tilltron till säkerhetsfunktionen för skydd mot skadlig kod bygger i huvudsak på tillgänglig dokumentation om säkerhetsfunktionen och genomförd testning av densamma.


Krav id Kravbeskrivning Anmärkning HRSK-8-1 Flyttat till

HRG-8-1 HRSK-8-2 Flyttat till






HRG-8-7

10 750:78976

HÖGKVARTERET Datum Bilaga 4 2004-12-20

Sida 1

Krav på säkerhetsfunktion för HEMLIG/CONFIDENTIAL

Underbilagor: • 4:1 Gemensamma krav på säkerhetsfunktioner för HEMLIG/CONFIDENTIAL • 4:2 Specifika krav på säkerhetsfunktion för HEMLIG/CONFIDENTIAL – Behörighetskontroll • 4:3 Specifika krav på säkerhetsfunktion för HEMLIG/CONFIDENTIAL – Säkerhetsloggning • 4:4 Specifika krav på säkerhetsfunktion för HEMLIG/CONFIDENTIAL – Intrångsskydd • 4:5 Specifika krav på säkerhetsfunktion för HEMLIG/CONFIDENTIAL – Intrångsdetektering • 4:6 Specifika krav på säkerhetsfunktion för HEMLIG/CONFIDENTIAL – Skydd mot Skadlig kod

10 750: 78976 HÖGKVARTERET Datum Underbilaga 4:1 2004-12-20 HCG-2-0 Sida 1 (7)

(WES)

Gemensamma krav på säkerhetsfunktioner för HEMLIG/CONFIDENTIAL

(HCG)


HCG-1 Författningskrav Flyttat till KSF – Grunder

HCG-2 Allmänt Flyttat till KSF - Grunder

HCG-3 Definitioner Flyttat till KSF - Grunder


HCG-4 Funktionella säkerhetskrav Säkerhetsfunktionen skall omfatta men inte begränsas till nedan följande krav.



HCG-5 Skydd av säkerhetsfunktionen För att säkerhetsfunktionen skall kunna behålla sin integritet och därigenom fylla sitt syfte, måste säkerhetsfunktionen skyddas. Skyddet av säkerhetsfunktionen skall omfatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HCG-5-1 Säkerhetsfunktionen för behörighetskontroll skall tillsammans

med övriga säkerhetsfunktioner i IT-systemet upprätthålla en säkerhetsdomän som skyddar mot manipulering eller stör-ningar både från sådana subjekt och från sådana användare som tillhör respektive inte tillhör denna domän.

Tidigare HCBK-5-1, HCSL-5-1, HCIS-5-4, HCID-5-1, HCSK-5-2

HCG-5-2 Säkerhetsfunktionen för behörighetskontroll skall tillsammans med övriga säkerhetsfunktioner i IT-systemet ha möjlighet att tillgodose tillförlitlig tid.


HCG-5-3 Säkerhetsfunktionen för behörighetskontroll skall säkerställa att endast behörig administratör kan förvalta säkerhetsfunkt-ionen och sköta dess säkerhetsinställningar.



HCG-6 Förvaltning av säkerhetsfunktionen Förvaltningen av säkerhetsfunktionen utgörs av sådana krav som i något avseende förändrar säkerhetsfunktionens egenskaper. Förvaltningskraven skall omfatta men inte begränsas till nedan följande krav.



HCG-7 Alternativa åtgärder - -

Tom sida


HCG-8 Assuranskrav Tilltron till säkerhetsfunktionen bygger i huvudsak på tillgänglig dokumentation om säkerhetsfunktionen och genomförd testning av densamma.


Krav id Kravbeskrivning Anmärkning HCG-8-1 Säkerhetsfunktionen skall vara metodiskt testad och kontrolle-

rad. Tidigare HCBK-8-2, HCSL-8-1, HCIS-8-1, HCID-8-1, HCSK-8-1

HCG-8-2 All dokumentation rörande säkerhetsfunktionen skall vara märkt med unik referens.


HCG-8-3 Det skall finnas dokumentation som beskriver resultatet av den granskning som genomförts av en oberoende instans.


HCG-8-4 Det skall finnas dokumentation som på ett informellt sätt och på en övergripande nivå beskriver hur säkerhetsfunktionen är uppbyggd. Dokumentationen skall innehålla en beskrivning av all hårdvara och mjukvara som används för att uppnå erforder-lig säkerhetsfunktionalitet..


HCG-8-5 Det skall finnas dokumentation som på ett informellt sätt be-skriver hur de funktionella säkerhetskraven är implementerade i säkerhetsfunktionen.


HCG-8-6 Det skall finnas dokumentation som beskriver hur säker leve-rans av säkerhetsfunktionen skall gå till.


HCG-8-7 Det skall finnas dokumentation som beskriver hur behörig administratör konfigurerar, administrerar och förvaltar säker-hetsfunktionen på ett korrekt sätt så att en erforderlig säker-hetsnivå kan erhållas och bibehållas.


HCG-8-8 Det skall finnas dokumentation över vilka testfall med tillhö-rande utfall som genomförts.


HCG-8-9 Det skall finnas dokumentation som påvisar hur testfallen korrelerar mot uppställda funktionella säkerhetskrav.

Tidigare HCBK-8-10, HCSL-8-9,

10 750: 78976 HÖGKVARTERET Datum Underbilaga 4:1 2004-12-20 HCG-2-0 Sida 7 (7) Krav id Kravbeskrivning Anmärkning

HCIS-8-9, HCID-8-9, HCSK-8-9

HCG-8-10 Testfallen skall inkludera både sådana tester som kontrollerar säkerhetsfunktionens funktionalitet och sådana tester som kontrollerar frånvaron av oönskade beteende inom säkerhets-funktionen.


HCG-8-11 Det skall finnas en dokumenterad analys som påvisar att all dokumentation rörande säkerhetsfunktionens användning är: • fullständig, • tydlig, • konsekvent • fri från missledande och orimliga riktlinjer eller åtgärder.


HCG-8-12 Det skall finnas dokumentation som beskriver hur en konfigu-rationsstyrning av säkerhetsfunktionen genomförs samt vilka delar eller komponenter av säkerhetsfunktionen som ingår i denna konfigurationsstyrning.

Nytt krav

10 750: 78976 HÖGKVARTERET Datum Underbilaga 4:2 2004-12-20 HCBK-2-0 Sida 1 (6)

(WES)

Specifika krav på säkerhetsfunktion för HEMLIG/CONFIDENTIAL – behörighetskontroll

(HCBK)


HCBK- 1 Författningskrav Flyttat till KSF – Grunder

HCBK- 2 Allmänt Flyttat till KSF – Grunder

HCBK- 3 Definitioner Flyttat till KSF – Grunder


HCBK- 4 Funktionella säkerhetskrav Säkerhetsfunktionen för behörighetskontroll skall omfatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HCBK-4-1 Säkerhetsfunktionen för behörighetskontroll skall förhindra

åtkomst till IT-systemets subjekt och objekt av användare och subjekt som inte har behörighet och åtkomsträttigheter till IT-systemet.

HCBK-4-2 Säkerhetsfunktionen för behörighetskontroll skall unikt identi-fiera och autenticera en användare innan åtkomst av någon funktionalitet eller tilldelning av åtkomsträttigheter får ske i det IT-system som skyddas av säkerhetsfunktionen.

HCBK-4-3 Säkerhetsfunktionen för behörighetskontroll skall autenticera en användare vid: • inloggning, • upphävande att tillfälligt åtkomstskydd, • byte av säkerhetsattribut för autenticering • när tiden för tidsbegränsad användning av IT-systemets

resurser har gått ut.

HCBK-4-4 Säkerhetsfunktionen för behörighetskontroll skall säkerställa att alla användare kan göras individuellt ansvariga (dvs oav-vislighet) för sina vidtagna åtgärder i IT-systemet.

HCBK-4-5 Säkerhetsfunktionen för behörighetskontroll skall uppfylla kraven för förstärkt autentisering enligt HKV MUST ITSA TSA krav för signalskyddssystem.

HCBK-4-6 Säkerhetsfunktionen för behörighetskontroll skall kunna vidta automatiska åtgärder vid autenticeringsfel. Sådana åtgärder skall omfatta nekande av åtkomst till IT-systemet samt låsning av berörd användares konto under en viss tid.

HCBK-4-7 Säkerhetsfunktionen för behörighetskontroll skall möjliggöra olika definierade roller.

HCBK-4-8 Säkerhetsfunktionen för behörighetskontroll skall säkerställa låsning av sådana säkerhetsattribut som kan anses vara röjda till sådana användare eller subjekt som inte har behörighet och åtkomsträttigheter till IT-systemet. Låsningen kan ske direkt eller vid nästa inloggning.


HCBK- 5 Skydd av säkerhetsfunktionen För att säkerhetsfunktionen skall kunna behålla sin integritet och därigenom fylla sitt syfte, måste säkerhetsfunktionen skyddas. Skyddskraven skall omfatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HCBK-5-1 Flyttad till

HCG-5-1 HCBK-5-2 Flyttad till

HCG-5-2 HCBK-5-3 Flyttad till

HCG-5-3 HCBK-5-4 Säkerhetsfunktionen för behörighetskontroll skall kunna upp-

rätthålla ett definierat säkert tillstånd när hela den funktion-alitet som innehåller data rörande; • tilldelade rättigheter för roller, • användare som tillhör en roll, • rollernas relationer och restriktioner, är korrupt eller oåtkomlig.


HCBK- 6 Förvaltning av säkerhetsfunktionen Förvaltningen av säkerhetsfunktionen utgörs av sådana krav som i något avseende förändrar säkerhetsfunktionens egenskaper. Förvaltningskraven skall därför om-fatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HCBK-6-1 Det skall gå att lägga till, ta bort eller på annat sätt förändra

vilka kontroller som skall utföras för att säkerställa säker-hetsattributens kvalité.

HCBK-6-2 Det skall gå att lägga till, ta bort eller på annat sätt förändra vilka åtkomsträttigheter som behöriga användare har till IT-systemets subjekt och objekt. Sådana åtkomsträttigheter skall omfatta: • skapa, • läsa, • skriva, • exekvera • ta bort.

HCBK-6-3 Det skall gå att lägga till, ta bort eller på annat sätt förändra vid vilka tillfällen en användare skall autenticera sin identitet.

HCBK-6-4 Det skall gå att lägga till, ta bort eller på annat sätt förändra vilka åtgärder som skall vidtas vid autenticeringsfel.

HCBK-6-5 Det skall gå att lägga till, ta bort eller på annat sätt förändra vid vilka tillfällen låsning av sådana säkerhetsattribut som kan anses vara röjda skall ske.


HCBK- 7 Alternativa åtgärder - -

Tom sida


HCBK- 8 Assuranskrav Tilltron till säkerhetsfunktionen för behörighetskontroll bygger i huvudsak på till-gänglig dokumentation om säkerhetsfunktionen och genomförd testning av den-samma.


Krav id Kravbeskrivning Anmärkning HCBK-8-1 Det skall finnas dokumentationen som beskriver vilket syfte

de olika gränssnitten som återfinns i säkerhetsfunktionen har, samt hur användning av dessa gränssnitt sker. Dokumentat-ionen skall också beskriva vilka av dessa gränssnitt som är externt synliga för en användare av säkerhetsfunktionen.

HCBK-8-2 Flyttad till HCG-8-1











10 750: 78976 HÖGKVARTERET Datum Underbilaga 4:3 2004-12-20 HCSL-2-0 Sida 1 (6)

(WES)

Specifika krav på säkerhetsfunktion för HEMLIG/CONFIDENTIAL – säkerhetsloggning

(HCSL)


HCSL- 1 Författningskrav Flyttat till KSF – Grunder

HCSL- 2 Allmänt Flyttat till KSF – Grunder

HCSL- 3 Definitioner Flyttat till KSF – Grunder


HCSL- 4 Funktionella säkerhetskrav Säkerhetsfunktionen för säkerhetsloggning skall omfatta men inte begränsas till nedan följande krav. Krav id Kravbeskrivning Anmärkning HCSL-4-1 Säkerhetsfunktionen för säkerhetsloggning skall i en säker-

hetslogg registrera sådana händelser som är av betydelse för säkerheten i IT-systemet.

HCSL-4-2 Säkerhetsfunktionen för säkerhetsloggning skall tillsammans med varje enskild registrerad händelse, även registrera datum och tid för händelsen, användarens eller subjektets identitet.

HCSL-4-3 Säkerhetsfunktionen för säkerhetsloggning skall säkerställa att spårning av missbruk och försök till missbruk av IT-systemet kan genomföras.

HCSL-4-4 Säkerhetsfunktionen för säkerhetsloggning skall säkerställa att alla registrerade händelser i säkerhetsloggen kan presenteras i läsbar form.

HCSL-4-5 Säkerhetsfunktionen för säkerhetsloggning skall möjliggöra verktygsbaserad granskning av registrerade händelser i säker-hetsloggen.

HCSL-4-6 Säkerhetsfunktionen för säkerhetsloggning skall möjliggöra säkerhetskopiering av säkerhetsloggen.

HCSL-4-7 Säkerhetsfunktionen för säkerhetsloggning skall säkerställa att registrerade händelser inte raderas, skrivs över eller på annat sätt förstörs som en följd av fel på säkerhetsfunktionen eller att säkerhetsloggen är full.


HCSL- 5 Skydd av säkerhetsfunktionen För att säkerhetsfunktionen skall kunna behålla sin integritet och därigenom fylla sitt syfte, måste säkerhetsfunktionen skyddas. Skyddskraven skall därför omfatta men inte begränsas till nedan följande krav. Krav id Kravbeskrivning Anmärkning HCSL-5-1 Flyttad till

HCG-5-1 HCSL-5-2 Flyttad till


HCG-5-3


HCSL- 6 Förvaltning av säkerhetsfunktionen Förvaltningen av säkerhetsfunktionen utgörs av sådana krav som i något avseende förändrar säkerhetsfunktionens egenskaper. Förvaltningskraven skall därför om-fatta men inte begränsas till nedan följande krav. Krav id Kravbeskrivning Anmärkning HCSL-6-1 Det skall gå att lägga till, ta bort eller på annat sätt förändra

vilka säkerhetsrelevanta händelser som skall registreras i sä-kerhetsloggen.

HCSL-6-2 Det skall gå att lägg till, ta bort eller på annat sätt förändra vilka övriga uppgifter som skall registreras tillsammans med varje enskild säkerhetsrelevant händelse.


HCSL- 7 Alternativa åtgärder - - -

Tom sida


HCSL- 8 Assuranskrav Tilltron till säkerhetsfunktionen för säkerhetsloggning bygger i huvudsak på till-gänglig dokumentation om säkerhetsfunktionen och genomförd testning av den-samma.


Krav id Kravbeskrivning Anmärkning HCSL-8-1 Flyttad till











HCG-8-11

10 750: 78976 HÖGKVARTERET Datum Underbilaga 4:4 2004-12-20 HCIS-2-0 Sida 1 (6)

(WES)

Specifika krav på säkerhetsfunktion för HEMLIG/CONFIDENTIAL – intrångsskydd

(HCIS)


HCIS- 1 Författningskrav Flyttat till KSF – Grunder

HCIS- 2 Allmänt Flyttat till KSF – Grunder

HCIS- 3 Definitioner Flyttat till KSF – Grunder


HCIS- 4 Funktionella säkerhetskrav Säkerhetsfunktionen för intrångsskydd skall omfatta men inte begränsas till nedan följande krav. Krav id Kravbeskrivning Anmärkning HCIS-4-1 Säkerhetsfunktionen för intrångsskydd skall förhindra all åt-

komst till IT-systemets subjekt och objekt av sådana subjekt som inte har åtkomsträttigheter i IT-systemet.

HCIS-4-2 Säkerhetsfunktionen för intrångsskydd skall begränsa vilken information som får överföras genom säkerhetsfunktionen genom att kontrollera både inkommande och utgående in-formationsflöde.

HCIS-4-3 Säkerhetsfunktionen för intrångsskydd skall säkerställa att information inte överförs utan att säkerhetsfunktionens konfi-gurerade filter används.

HCIS-4-4 Säkerhetsfunktionen för intrångsskydd skall vara så konstrue-rad att de filter som används i säkerhetsfunktionen motsvarar applikationsprotokollnivå och att det finns ett filter för respek-tive protokoll.

HCIS-4-5 Säkerhetsfunktionen för intrångsskydd skall identifiera och autenticera de subjekt som överför information genom säker-hetsfunktionen vid upprättandet av sådan kommunikation. Autenticeringen skall ske med två olika säkerhetsattribut.

HCIS-4-6 Säkerhetsfunktionen för intrångsskydd skall vid identifierings- och autenticeringsfel, neka åtkomst till och användning av säkerhetsfunktionen.

HCIS-4-7 Säkerhetsfunktionen för intrångsskydd skall möjliggöra en konfiguration så att information endast kan flöda i en riktning genom säkerhetsfunktionen.

HCIS-4-8 Säkerhetsfunktionen för intrångsskydd skall säkerställa att uppgifter som tillhör informationssäkerhetsklassen CONFI-DENTIAL inte överförs till andra IT-system än sådana som kan hantera uppgifter enligt informationssäkerhetsklassen CONFIDENTIAL eller högre.

HCIS-4-9 Säkerhetsfunktionen för intrångsskydd skall säkerställa att det inte överförs sådan typ av nätverkstrafik som inte tillåts över-föras genom säkerhetsfunktionen.

HCIS-4-10 Säkerhetsfunktionen för intrångsskydd skall begränsa den information som en användare eller ett subjekt får som gen-svar vid nekande av åtkomst till säkerhetsfunktionen.


HCIS- 5 Skydd av säkerhetsfunktionen För att säkerhetsfunktionen skall kunna behålla sin integritet och därigenom fylla sitt syfte, måste säkerhetsfunktionen skyddas. Skyddskraven skall därför omfatta men inte begränsas till nedan följande krav. Krav id Kravbeskrivning Anmärkning HCIS-5-1 Säkerhetsfunktionen för intrångsskydd skall genom självtester

genomföra riktighetskontroller; • vid uppstart, • när behörig administratör så påkallar • vid återgång till ordinarie drift från ett säkert tillstånd i syfte att demonstrera en korrekt funktionalitet av den under-liggande lösningen.

HCIS-5-2 Säkerhetsfunktionen för intrångsskydd skall kunna upprätt-hålla ett definierat säkert tillstånd när hela eller delar av den funktionalitet som begränsar vilken information som får över-föras genom säkerhetsfunktionen, är korrupt eller oåtkomlig.

HCIS-5-3 Efter ett felaktigt beteende från säkerhetsfunktionen eller efter ett serviceuppehåll skall säkerhetsfunktionen för intrångs-skydd återgå till ett definierat säkert tillstånd.

HCIS-5-4 Flyttad till HCG-5-1




HCIS- 6 Förvaltning av säkerhetsfunktionen Förvaltningen av säkerhetsfunktionen utgörs av sådana krav som i något avseende förändrar säkerhetsfunktionens egenskaper. Förvaltningskraven skall därför om-fatta men inte begränsas till nedan följande krav. Krav id Kravbeskrivning Anmärkning HCIS-6-1 Det skall gå att lägga till, ta bort eller på annat sätt förändra

vilka konfigurerade filter som säkerhetsfunktionen använder sig av.

HCIS-6-2 Det skall gå att lägga till, ta bort eller på annat sätt förändra ett filters konfiguration så att säkerhetsfunktionen endast tillåter information att flöda i en riktning.

HCIS-6-3 Det skall gå att lägga till, ta bort eller på annat sätt förändra vilken typ av nätverkstrafik som skall tillåtas överföras genom säkerhetsfunktionen samt vilken typ av nätverkstrafik som skall förhindras.


HCIS- 7 Alternativa åtgärder - - -

Tom sida


HCIS- 8 Assuranskrav Tilltron till säkerhetsfunktionen för intrångsskydd bygger i huvudsak på tillgäng-lig dokumentation och genomförd testning.


Krav id Kravbeskrivning Anmärkning HCIS-8-1 Flyttad till

HCG-8-1 HCIS-8-2 Flyttad till










HCG-8-11

10 750: 78976 HÖGKVARTERET Datum Underbilaga 4:5 2004-12-20 HCID-2-0 Sida 1 (6)

(WES)

Specifika krav på säkerhetsfunktion för HEMLIG/CONFIDENTIAL – intrångsdetektring

(HCID)


HCID- 1 Författningskrav Flyttat till KSF – Grunder

HCID- 2 Allmänt Flyttat till KSF – Grunder

HCID- 3 Definitioner Flyttat till KSF – Grunder


HCID- 4 Funktionella säkerhetskrav Säkerhetsfunktionen för intrångsdetektering skall omfatta men inte begränsas till nedan följande krav. Krav id Kravbeskrivning Anmärkning HCID-4-1 Säkerhetsfunktionen för intrångsdetektering skall möjliggöra

detektering av redan genomförda intrång samt pågående in-trång.

HCID-4-2 Säkerhetsfunktionen för intrångsdetektering skall tillsammans med varje enskild registrerad händelse, även registrera datum och tid för händelsen samt användarens eller subjektets identi-tet.

HCID-4-3 Säkerhetsfunktionen för intrångsdetektering skall säkerställa att alla registrerade händelser kan presenteras i en form som går att tolka för den som är behörig.

HCID-4-4 Säkerhetsfunktionen för intrångsdetektering skall möjliggöra verktygsbaserad granskning av registrerade händelser. Granskningen skall baseras på möjligheten att sortera samt utsöka registrerade händelser.

HCID-4-5 Säkerhetsfunktionen för intrångsdetektering skall säkerställa att spårning av missbruk samt försök till missbruk som skulle kunna äventyra säkerheten i IT-systemet, kan genomföras.

HCID-4-6 Säkerhetsfunktionen för intrångsdetektering skall säkerställa att registrerade händelser inte raderas, skrivs över eller på annat sätt förstörs som en följd av fel på säkerhetsfunktionen eller till följd av att händelseloggen är full.


HCID- 5 Skydd av säkerhetsfunktionen För att säkerhetsfunktionen skall kunna behålla sin integritet och därigenom fylla sitt syfte, måste säkerhetsfunktionen skyddas. Skyddskraven skall därför omfatta men inte begränsas till nedan följande krav. Krav id Kravbeskrivning Anmärkning HCID-5-1 Flyttad till

HCG-5-1 HCID-5-2 Flyttad till


HCG-5-3


HCID- 6 Förvaltning av säkerhetsfunktionen Förvaltningen av säkerhetsfunktionen utgörs av sådana krav som i något avseende förändrar säkerhetsfunktionens egenskaper. Förvaltningskraven skall därför om-fatta men inte begränsas till nedan följande krav. Krav id Kravbeskrivning Anmärkning HCID-6-1 Det skall gå att lägg till, ta bort eller på annat sätt förändra

vilka övriga uppgifter som skall registreras tillsammans med varje enskild händelse.

HCID-6-2 Det skall gå att lägga till, ta bort eller på annat sätt förändra vilka händelser som skall registreras och som möjliggör indi-kering av sårbarheter i eller missbruk av IT-systemets resurser samt är av betydelse för säkerheten i IT-systemet.

Nytt krav


HCID- 7 Alternativa åtgärder - -

Tom sida


HCID- 8 Assuranskrav Tilltron till säkerhetsfunktionen för intrångsdetektering bygger i huvudsak på till-gänglig dokumentation och genomförd testning.

Assuransen skall omfatta men inte begränsas till nedan följande krav. Krav id Kravbeskrivning Anmärkning HCID-8-1 Flyttad till











HCG-8-11

10 750: 78976 HÖGKVARTERET Datum Underbilaga 4:6 2004-12-20 HCSK-2-0 Sida 1 (6)

(WES)

Specifika krav på säkerhetsfunktion för HEMLIG/CONFIDENTIAL –

skydd mot skadlig kod

(HCSK)


HCSK- 1 Författningskrav Flyttat till KSF – Grunder

HCSK- 2 Allmänt Flyttat till KSF – Grunder

HCSK- 3 Definitioner Flyttat till KSF – Grunder


HCSK- 4 Funktionella säkerhetskrav Säkerhetsfunktionen för skydd mot skadlig kod skall omfatta men inte begränsas till nedan följande krav. Krav id Kravbeskrivning Anmärkning HCSK-4-1 Säkerhetsfunktionen för skydd mot skadlig kod skall förhindra

all åtkomst till IT-systemets resurser av sådana objekt som innehåller skadlig kod.

HCSK-4-2 Säkerhetsfunktionen för skydd mot skadlig kod skall säker-ställa att ingen skadlig kod kan: • ändra, • förstöra, • på annat sätt manipulera objekten, i det IT-system som skyddas av säkerhetsfunktionen.

HCSK-4-3 Säkerhetsfunktionen för skydd mot skadlig kod skall använda definitionsfil som kontrollmekanism för de objekt i IT-systemet som skyddas av säkerhetsfunktionen.

HCSK-4-4 Säkerhetsfunktionen för skydd mot skadlig kod skall säker-ställa detektering av skadlig kod genom kontroll av inkom-mande och utgående informationsflöde.

HCSK-4-5 Säkerhetsfunktionen för skydd mot skadlig kod skall säker-ställa att information inte överförs till eller från IT-systemet utan att kontrollmekanismen definitionsfil används.

HCSK-4-6 Säkerhetsfunktionen för skydd mot skadlig kod skall genom automatisk analys kunna detektera potentiell skadlig kod. Så-dan analys skall omfatta jämförelse mot definitionsfil för de objekt som skyddas av säkerhetsfunktionen.

HCSK-4-7 Säkerhetsfunktionen för skydd mot skadlig kod skall, om de-tektering av skadlig kod sker, automatiskt kunna vidta åtgär-der. Sådana åtgärder skall vad gäller kontrollmekanismen de-finitionsfil, omfatta placering av subjekt eller objekt i karantän samt notifiera behörig administratör och behörig användare.

HCSK-4-8 Säkerhetsfunktionen för skydd mot skadlig kod skall genom-föra kontroller av subjekt och objekt: • under drift, • vid uppstart, • när behörig administratör så påkallar.

HCSK-4-9 Säkerhetsfunktionen för skydd mot skadlig kod skall kunna uppdatera skyddet mot skadlig kod automatiskt under betryg-gande förhållanden.


HCSK- 5 Skydd av säkerhetsfunktionen För att säkerhetsfunktionen skall kunna behålla sin integritet och därigenom fylla sitt syfte, måste säkerhetsfunktionen skyddas. Skyddskraven skall omfatta men inte begränsas till nedan följande krav.

Krav id Kravbeskrivning Anmärkning HCSK-5-1 Säkerhetsfunktionen för skydd mot skadlig kod skall genom

självtester genomföra riktighetskontroller vid uppstart samt när behörig administratör så påkallar i syfte att demonstrera en korrekt funktionalitet av den underliggande lösningen.

HCSK-5-2 Flyttad till HCG-5-1




HCSK- 6 Förvaltning av säkerhetsfunktionen Förvaltningen av säkerhetsfunktionen utgörs av sådana krav som i något avseende förändrar säkerhetsfunktionens egenskaper. Förvaltningskraven skall därför om-fatta men inte begränsas till nedan följande krav. Krav id Kravbeskrivning Anmärkning HCSK-6-1 Det skall gå att lägga till, ta bort eller på annat sätt förändra

vilka typer av skadlig kod som säkerhetsfunktionen skall skydda mot.

HCSK-6-2 Det skall gå att lägga till, ta bort eller på annat sätt förändra vilka subjekt och objekt som skall omfattas av respektive kontrollmekanism i säkerhetsfunktionen.

HCSK-6-3 Det skall gå att uppdatera de kontrollmekanismer som an-vänds som skydd mot skadlig kod.

HCSK-6-4 Det skall gå att lägga till, ta bort eller på annat sätt förändra de åtgärder som kan vidtas när skadlig kod detekteras.

HCSK-6-5 Det skall gå att lägga till, ta bort eller på annat sätt förändra på vilket eller vilka sätt kontroller av IT-systemet sker under uppstart, drift och när behörig administratör så påkallar.


HCSK- 7 Alternativa åtgärder - - -

Tom sida


HCSK- 8 Assuranskrav Tilltron till säkerhetsfunktionen för skydd mot skadlig kod bygger i huvudsak på tillgänglig dokumentation om säkerhetsfunktionen och genomförd testning av densamma.

Assuransen skall omfatta men inte begränsas till nedan följande krav. Krav id Kravbeskrivning Anmärkning HCSK-8-1 Flyttad till

HCG-8-1 HCSK-8-2 Flyttad till










HCG-8-11

ISM 2013 BILAGA 4

ISM – Hemligbeteckningar En handling som innehåller hemlig uppgift skall hemligmärkas på första sidan. Hemligstämpel skall vara röd och innehålla beteckningen "HEMLIG", ”HEMLIG/SECRET”, ”HEMLIG/CONFIDENTIAL” samt uppgift om att den avser sekretess. Hemligstämpel för HEMLIG/RESTRICTED skall, om möjligt, vara röd samt innehålla uppgift om att den avser sekretess. Hemligstämpel på en handling skall ha en rektangulär ram. Ramen skall vara enkel för HEMLIG handling och dubbel för KVALIFICERAT HEMLIG eller HEMLIG/TOP SECRET handling. Upprättande nation anges i stämpeln för HEMLIG handling (country of origin). Om handlingen är belagd med delgivningsrestriktioner (t.ex. får endast delges behöriga i Sverige och Tyskland) skall detta noteras omedelbart under stämpeln. Exempel:

HEMLIG/CONFIDENTIAL Försvarssekretess

2004-04-23 Country of origin: ____________________________

Företaget AB

HEMLIG/TOP SECRET Försvarssekretess av synnerlig

betydelse för rikets säkerhet

2004-04-23

Företaget AB

Arbetshandling som är hemlig skall märkas med stämpel eller på annat sätt så att det klart framgår att den innehåller hemlig uppgift. Exempel:

K HH/S



Varje sida i en tryckt eller datautskriven HEMLIG handling skall vara försedd med en hemligbeteckning som kan ingå i dokumentmallen. Exempel:

HEMLIGSe sidan 1

HEMLIG/SECRETSe sidan 1

HEMLIG/CONFIDENTIAL

Se sidan 1

HEMLIG/RESTRICTED

Se sidan 1

ISM 2013 BILAGA 5

UISM – Transportnivåer

Transportnivå 1 Transportnivå 1 innebär att:

Transportutrymmet skall vara skyddat mot insyn.

Transportnivå 2 Transportnivå 2 innebär att: Transporten skall utföras med a) tillträdesskyddad container eller annat transportutrymme av motsvarande standard, b) vapenlåda med larm (dock endast med särskild insats), c) transportutrymme som är låst och skyddat mot insyn. Vägtransport skall ha följebil.

Transportnivå 3 Transportnivå 3 innebär att: Transporten skall utföras med a) tillträdesskyddad container som är utrustad med fjärröverfört larm eller ett annat transportutrymme av motsvarande standard som är utrustat med fjärröverfört larm, b) tillträdesskyddad container som åtföljs av en följebil eller ett annat transportutrymme av motsvarande standard som är utrustat med fjärröverfört larm, c) låst transportutrymme som är skyddat från insyn och åtföljt av en transportskyddsstyrka.

Transportnivå 4 Transportnivå 4 innebär att: Transporten skall utföras med a) tillträdesskyddad container som är utrustad med fjärröverfört larm eller ett annat transportutrymme av motsvarande standard som är utrustat med fjärröverfört larm, b) tillträdesskyddad container som åtföljs av en transportskyddsstyrka eller ett annat transportutrymme av motsvarande standard som åtföljs av en transportskyddsstyrka, c) låst transportutrymme som är skyddat från insyn och som åtföljs av polis. Transport enligt 4 a) eller 4 b) som utförs på väg skall åtföljas av följebil.


ISM 2013 BILAGA 6

ISM- Normer för destruktion av hemlig uppgift

1. Hemlig handling i pappersform Vid destruktion av en hemlig handling i pappersform skall en destruktör eller annan metod som uppfyller FMV krav användas. Används en mekanisk destruktör skall följande krav vara uppfyllda: - spånstorlek 15x1,2 mm alternativt 2x2 mm.

2. Datamedia Datamedia skall fysiskt förstöras vid av FMV godkänd destruktionsanläggning eller enligt FMV direktiv.

3. Hemlig materiel Enligt överenskommelse med FMV Säkerhetsskydd.


ISM 2013 BILAGA 7

SÄKERHETSSKYDD Säkerhetsskyddsavtal Nivå 1 Detta upphandlingskontrakt innebär att leverantören och dennes anställda kommer att få hantera och förvara svensk hemlig uppgift (handling/materiel) upp till och med nivå HEMLIG/....……………. Åtagandet enligt detta upphandlingskontrakt kommer att genomföras i leverantörens egna lokaler (verksamhetsställe) som skall vara godkända av FMV Säkerhetsskydd. Innan leverantörens personal får påbörja arbete med hemlig uppgift skall de personer som kommer att utföra arbetet vara säkerhetsprövade och godkända av FMV. Hänvisning till säkerhetsskyddsavtal av med registreringsbeteckning ………. tecknat mellan FMV och ………. Säkerhetsskyddskrav Informationsklassificering 1. Hemlig uppgift som framställs under genomförande av detta

upphandlingskontrakt skall informationsklassificeras i enlighet med vad som specificerats i säkerhetsskyddsplanen enligt bilaga ……….

2. Beställaren (FMV/leverantör/underleverantör) skall hålla

informationsklassificeringen aktuell och skall dessutom informera leverantör/underleverantör om eventuella förändringar.

3. Hemlig uppgift som tillhandahålls och/eller framställs enligt detta

upphandlingskontrakt skall skyddas enligt gällande säkerhetsskyddsavtal. Underleverantörskontrakt 4. I alla underliggande upphandlingskontrakt till detta upphandlingskontrakt,

som avser hantering av hemlig uppgift, skall leverantör/underleverantör säkerställa att kraven i dessa säkerhetsskyddsklausuler förs vidare i varje led.

5. Hemlig uppgift som tillhandahålls och/eller framställs i enlighet med detta

upphandlingskontrakt får delges underleverantör om: a. denne har sitt säte i Sverige och av FMV blivit godkänd för hantering

av hemlig uppgift för informationssäkerhetsklass på minst samma nivå som i detta upphandlingskontrakt, eller,

b. denne har sitt säte i utlandet och av det egna landets säkerhetsskyddsmyndighet (NSA/DSA), via FMV Säkerhetsskydd, blivit godkänd för hantering av hemlig uppgift för



informationssäkerhetsklass på minst samma nivå som i detta upphandlingskontrakt.

Hävning av upphandlingskontrakt 6. Villkor för säkerhetsskydd enligt dessa klausuler samt

säkerhetsskyddsavtalet utgör väsentliga avtalsvillkor. I det fall dessa villkor ej efterlevs utgör detta grund för hävning.

Vid hävt och/eller i övrigt avslutat upphandlingskontrakt skall, utan hänsyn till övriga krav, hemlig uppgift antingen förstöras av leverantören/underleverantören i enlighet med nationella lagar och regler, eller om så är överenskommet, återsändas till informationsägaren.


SECURITY This assignment requires that the Contractor and its employees will have access to Swedish classified information up to and including the level of HEMLIG/..................... The assignment will be carried out in the contractor’s own premises approved by their Security Authorities. Security Requirements Definitions The provisions of this clause is based upon the bilateral agreement concerning security measures between your country and Sweden and shall apply to the access to or the possession of information or materiel to which a security classification has been assigned by the Governments. The term “classified information and materiel” in this clause includes information, documents and materiel, which are subject to a security classification irrespective of whether it is transmitted orally, electronically, in writing or by handing over of material. For the purpose of this clause the word document means letter, note, minute, report, memorandum, signal/message, sketch, photograph, film, map, chart, plan, notebook, stencil, carbon, typewriter ribbon etc or other form of recorded information (e.g. tape recording, magnetic recording, punched card, tape). The “National Security Authority (NSA)”/“Designated Security Authority (DSA)”/”Cognizant Security Office (CSO)” is pointed out in the Security Aspects Letter (SAL). Security classification Classified information and materiel generated under this Contract shall be assigned a security classification as specified in the SAL. Classified information and materiel received shall be marked with the Originator's level of classification and denote the country of origin. Classified information and materiel furnished under this Contract will be remarked by the recipient with its government's equivalent security classification markings. The equivalent security classifications are specified in the SAL. The recipient shall afford the information and materiel a degree of protection equivalent to that afforded by the Originator. The Contractor shall comply with any security instructions issued by his NSA/DSA/CSO. The Contracting authority/company shall keep current all security classifications and shall inform the Contractor of any changes thereto. Restrictions on use All classified information and materiel furnished or generated pursuant to this Contract shall be protected as follows:


a. The Contractor shall not use the information and materiel for other than the purpose for which it was furnished, without the prior written consent of the Originator.

b. The Contractor shall not disclose classified information and materiel to any

person other than those whom it has been determined need to know and are employed or engaged on the Contract.

c. Access to classified information and materiel shall be granted only to persons who have a security clearance at least equal to the classification level of the information and an official need for access to the information in order to perform on the Contract.

d. The Contractor shall not release the information or materiel to a third country

government, person, or firm without the prior approval of the Originator. Sub-contract The recipient Contractor shall insert terms that substantially conform to the language of these clauses, including this clause, in all subcontracts under this Contract that involve access to classified information and materiel furnished or generated under this Contract. Classified information and materiel furnished or generated pursuant to this Contract shall not be further provided to another potential subcontractor unless: a. A potential subcontractor that is located in the Contractors own country has been

approved for access to classified information and materiel at the requisite level by its NSA/DSA/CSO; or,

b. A potential subcontractor that is located in Sweden or in a third country has been

approved for access to classified information and materiel at the requisite level by the Swedish DSA.

Transmission of classified matter Classified information and materiel furnished or generated pursuant to this Contract shall be transferred through government-to-government channels or other channels mutually approved between the countries. Visits Visits that include access to classified information require prior approval. Loss, compromise and contravention All cases in which it is known or there is reason to believe that classified information or materiel furnished or generated pursuant to this Contract has been subject to a security breach, compromised, lost, or disclosed to unauthorized persons shall be reported promptly and fully by the Contractor to its government’s NSA/DSA/CSO. Any contravention against security will be dealt under national laws.


Termination The Contracting authority/company shall have the right to terminate the Contract if in the opinion of either NSA/DSA/CSO the Contractor does not comply with this Contract security clause. Without prejudice to residual claims after completion or termination of the Contract, all classified information or materiel furnished or generated pursuant to the Contract shall either be destroyed by the Contractor in accordance with national rules and regulations or, if requested, returned to the Originator that furnished the information and materiel. The Contractors’ obligation under this security clause shall continue to apply after the completion or termination of the Contract.

ISM 2013 BILAGA 8

UISM – Mallar och blanketter Förteckning underbilagor: 8.1 Underlag för säkerhetsskydd / säkerhetsskyddsplan 8.2 Mall för säkerhetsskyddsrevision 8.3 Mall för dokumenterad personbedömning 8.4 Sekretessbevis för SUA-företag 8.5 Kvittens (Receipt)


Underlag för säkerhetsskydd/Säkerhetsskyddsplan

Datum

2013-06-26

Beställare Företag: Organisationsnr: Postadress: Säkerhetschef vid företaget: Mailadress SäkC: Tfn:

AI/LB Nr: 1. Beskrivning (Tydlig beskrivning av uppdraget, inga förkortningar) Uppdrag/projekt: Uppdragsbeskrivning:

Beräknas pågå fr o m: t o m:

2. Informationssäkerhetsklass:

HEMLIG/SECRET (H/S) HEMLIG/CONFIDENTIAL (H/C) HEMLIG/RESTRICTED (H/R) 3. Var kommer hemlig uppgift att hanteras? I leverantörens lokaler/Säkerhetsskyddsavtal Nivå 1 Avrop ramavtal: Beställningsmottagaren skall inte delges sekretess I beställarens lokaler/Säkerhetsskyddsavtal Nivå 2 utan anlita underleverantör i uppdraget

Arbetet innehåller inga hemliga uppgifter/Nivå 3 Dock kan företagets personal komma i kontakt med uppgifter som är av betydelse för rikets säkerhet.

4. Uppgifter om leverantör, Huvudkontor (HK)

Företag som avses anlitas: Organisationsnr: Postadress: Besöksadress: Säkerhetschef vid företaget: Mailadress SäkC: Tfn:

Underlag för säkerhetsskydd/Säkerhetsskyddsplan

Datum

2013-06-26 5. Verksamhetsställe som avses nyttjas (om annat än HK)

Postadress: Besöksadress: Tfn: 6. Företag som skall utföra uppdraget (underleverantör till beställningsmottagare/ramavtalsägare)

Företag som avses anlitas: Organisationsnr: Postadress: Besöksadress: Säkerhetschef vid företaget: Mailadress SäkC: Tfn: 7.1 För svenskt företag, Styrelskontroll/Företagsbevis Har VD/Firmatecknare godkänt att registerkontroll (RK) får genomföras på samtliga personer ingående i företagets styrelse. Blanketten för skriftligt godkännande bifogas. JA 7.2 För utländskt lev (Nivå 1 + 2) Regeringsbeslut om delgivning av sekretess, datum: 8. Klassningsguide: (Vad i uppdraget är hemligt och hur hemligt)

Pos: Benämning: Infokl: Anm

Datum

2013-06-26 9. Krav på utökat skydd:

10. Behörig personal: (Krav på inplacering i specifik säkerhetsklass med motivering)

11. Övrigt: (Var kommer arbetet att utföras)

Underskrift av beställare: --------------------------------------------------------------------------------

Datum

2013-06-26 Godkännande för registerkontroll Härmed godkännes att Försvarets materielverk (FMV) får genomföra registerkontroll på samtliga i styrelsen ingående personer. …………………………………………………. Namnförtydligande/Befattning

Dokumenterad personbedömning (del i säkerhetsprövningen) (underlag enligt Säkerhetsskyddslagen 1996:627) ”Den här handlingen förvaras hos vår säkerhetsavdelning alt. personalavdelningen och efter det att anställningsavtal slutits, i vår personalakt. Kopia sänds till FMV Säkerhetsskydd tillsammans med övriga blanketter och eventuellt tillhörande bilagor som underlag för den registerkontroll (RK) som FMV gör hos Säkerhetspolisen (SÄPO), om Dina arbetsuppgifter innehåller sekretessbelagd information. FMV behåller handlingen under tiden som RK pågår, varefter den förstörs. I blanketten angivna uppgifter är sekretessbelagda enligt Sekretesslagen.” Personalia .................................................................................................................................... Personnummer Samtliga förnamn (tilltalsnamn understr) Efternamn Ev tidigare efternamn ................................................................................................ Postadress .......................................................................................................... Tfn ....................................... Mobiltfn ............................................... Medborgarskap ............................................ Bosatt i Sverige sedan(år) ................. Ev tidigare medborgarskap ................................... Dubbelt ................................................ Civilstånd Gift ( ) Sambo ( ) Ensamstående ( ) Bor tillsammans med (namn, födelseort och land) ................................................................................................ Egna barn (tilltalsnamn, ålder) .......................................................................................................... Legitimation uppvisad Ja ( ) Nej ( ) Känd ( ) Utbildning Högsta grundutbildning ....................................................................................................... Militärtjänstgöring Ja ( ) Nej ( ) Om Ja, notera var .......................................................................................................... och uppnådd grad .......................................................................................................... Körkort Ja ( ) Nej ( ) Typ av körkort? ..................................

0BUnderbilaga 8.4 till Sida 1 (3) Industrisäkerhetsskyddsmanual 2013-05-07 Utgåva 1.1

Underbilaga 8.4 till Sida 2 (3) Industrisäkerhetsskyddsmanual 2013-05-07 Utgåva 1.1

Certifikat/Licenser (t ex flygcert, EU-datakörkort) ............................................................................................. Speciella färdigheter (t ex yrkes-, språk-, ledare-) ................................................................................................. Yrkeserfarenhet Nuvarande anställning ......................................................................................................... (var, sedan när, vad) ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... Övriga tidigare anställningar Företag Arbetsuppgift Anställningstid ........................................... ................................................................ ................................ ........................................... ................................................................ ................................. ........................................... ................................................................ ................................. Umgänge Vi har diskuterat umgängeskretsen. Ja ( ) Ekonomi Underhållsskyldighet Ja ( ) Nej ( ) Oreglerade större skulder Ja ( ) Nej ( ) Affärsverksamhet Bedriver Du och/eller är Du delägare i någon Ja ( ) Nej ( ) affärsverksamhet? Om Ja, beskriv omfattning, bolagsform och verksamhet ................................................. ............................................................................................................................................... Utlandsresor Längre tids utlandsvistelse utöver normala semesterresor? Ort/land och tid ................ ............................................................................................................................................... Varför? Vad gjorde Du? ....................................................................................................... ...............................................................................................................................................


Kontakter Har Du i något avseende kontakter eller haft kontakter, som du känner till, med kriminella (svenska eller utländska)? Ja ( ) Nej ( ) Om Ja, berätta ...................................................................................................................... ............................................................................................................................................... Fritidsintressen Beskriv kortfattat Dina fritidsintressen, idrott, resor, spel, hobby, föreningsliv mm. ............................................................................................................................................... ............................................................................................................................................... Droger Har Du något att berätta om Dig själv och Ditt förhållande till droger och alkohol? Vad? ............................................................................................................................................... Brott Är Du dömd/misstänkt för brott av svensk Ja ( ) Nej ( ) eller utländsk domstol? Berätta(brottsrubricering, när och vilket straff) ................................................................. Ovanstående uppgifter rörande min person bestyrks. Jag ger mitt medgivande till eventuell registerkontroll och att kopia sänds till FMV Säkerhetsskydd. ............................................................. .......................................................................... Ort och datum Namnteckning Intervjuare ...................................................................................... Namnteckning ...................................................................................... ...................................................... Namn textat Befattning


SEKRETESSBEVIS (mall) Personuppgifter Personnummer Efternamn Förnamn Organisationsenhet/Företag Jag bekräftar härmed att jag denna dag har informerats om omfattningen och innebörden av den sekretess som jml sekretesslagen gäller för mig som anställd/konsult/vikarie vid företaget: * dels avseende uppgifter som rör totalförsvaret eller rikets säkerhet i övrigt, * dels avseende uppgifter om vidtagna säkerhetsskydds- och bevakningsåtgärder vid

företaget, * dels avseende de uppgifter som är speciella för min befattning. Jag har även informerats om : * innebörden i begreppet "behörig" och om att sekretessbelagda uppgifter endast får

lämnas till den som uppfyller samtliga ställda krav för "behörighet" (Säkerhetsskyddsförordningen),

* de bestämmelser som gäller för säkerhetsskydd på och utanför arbetsplatsen vid arbete med sekretessbelagda uppgifter,

* meddelarfriheten enligt tryckfrihetsförordningen, samt att denna är starkt begränsad när det gäller information innehållande försvarssekretess.

Vidare har jag informerats om de straffstadganden i 19 kap och 20 kap, 3 § brottsbalken som gäller vid brott mot rikets säkerhet resp tystnadsplikt. Jag har därvid tagit del av utdragen ur aktuella lagar på baksidan av denna handling. Jag har också blivit upplyst om min skyldighet att iakttaga sekretesskydd (tystnadsplikt) även efter avslutad anställning/avslutat uppdrag vid företaget. Datum 20........ - ........ - ......... ............................................................... Namnteckning Sekretessupplysningar enligt ovan har meddelats av undertecknad som härmed bevittnar den egenhändiga namnteckningen. ............................................................. / ............................................................... Underskrift Namnförtydligande, organisationsenhet


Brottsbalken kapitel 19 Om brott mot rikets säkerhet

7:e paragrafen: Den som utan syfte att gå främmande makt tillhanda, obehörigen anskaffar, befordrar, lämnar eller röjer uppgift rörande något förhållande av hemlig natur vars uppenbarande för främmande makt kan medföra men för rikets försvar....... eller eljest för rikets säkerhet döms, vare sig uppgiften är riktig eller ej för obehörig befattning med hemlig uppgift till böter eller fängelse i högst två år.

8:e paragrafen: Är brott som sägs i 7:e paragrafen att anse som grovt, skall för grov obehörig befattning med hemlig uppgift dömas till fängelse i högst fyra år.

9:e paragrafen: Den som av grov oaktsamhet befordrar, lämnar eller röjer sådan uppgift som avses i 7:e paragrafen döms för vårdslöshet med hemlig uppgift till böter eller fängelse i högst sex månader ................. Brottsbalken kapitel 20 Om tjänstefel m m 3:e paragrafen: Röjer någon uppgift, som han är pliktig att hemlighålla enligt lag eller annan författning ............. eller utnyttjar han olovligen sådan hemlighet, dömes, ................., för brott mot tystnadsplikt till böter eller fängelse i högst ett år.

___________ ___________

Angående meddelarfriheten; Utdrag ur Tryckfrihetsförordningen; 1: a kapitlet Om tryckfrihet; ...................skall det stå varje svensk medborgare fritt att, med iakttagande av de bestämmelser som äro i denna förordning meddelade till skydd för enskild rätt och allmän säkerhet, i tryckt skrift yttra sina tankar och åsikter, offentliggöra allmänna handlingar samt meddela uppgifter och underrättelser i vad ämne som helst. 7:e kapitlet om tryckfrihetsbrott; 4:e paragrafen: Med beaktande av de i 1:a kapitlet angivna syftet med en allmän tryckfrihet skall såsom tryckfrihetsbrott anses följande gärningar om de begås genom tryckt skrift och är straffbara enligt lag: pkt 4: obehörig befattning med hemlig uppgift........... pkt 5: vårdslöshet med hemlig uppgift varigenom någon av grov oaktsamhet begår gärning som avses under 4.

RECEIPT

SENDER (name, contact/attn, address) Date Ref

Transfer by

�

RECEIVER (name, contact/attn, full facility address �

+ full mailing address) �

�

The documents/materiel listed below and the classified information therein shall be safeguarded according to the Security Agreement ref no./dated:

Document/materiel

Titel Ref. number/Copy no. Date Pages Classification

The receiving of above listed documents/materiel is hereby acknowledged. ............................................................................................................................ Place, time and date ............................................................................................................................ Signature ............................................................................................................................ Name (typed or printed) Receipt shall be returned to (mark options)

�

�

�

pablo

Diplomatic Bag Hand Carriage (HC) Commercial Courier Registered Mail First Class Mail

pablo

pablo

directly to sender sender, via the courier (in case of HC) to NSA/DSA in the recipient country

pablo

pablo

pablo

FMV Säkerhetsskydd/ ISM Ubilaga 8.5 Utg. 1.1

pablo

palan

Documents

Industrisäkerhetsskyddsmanual ISM - FMV€¦ · Denna industrisäkerhetsskyddsmanual, ISM, gäller för företag som utför uppdrag där det förekommer hemlig uppgift, s.k. SUA