Vägledning i säkerhetsskydd · 2021. 3. 1. · den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen i säkerhetsskyddsklasser ska göras enligt

Vägledning i säkerhetsskydd

Informationssäkerhet

September 2020

Produktion: Säkerhetspolisen, September 2020

Grafisk formgivning: SäkerhetspolisenTypografi: Eurostile och Swift

3Vägledning i säkerhetsskydd – Informationssäkerhet

1 Om denna vägledning 6

2 Vad är informationssäkerhet? 7

3 Behandling av säkerhetsskyddsklassificerade uppgifter och handlingar 83.1 Säkerhetsskyddsklassificeradeuppgifter 83.1.1 Indelningiolikasäkerhetsskyddsklasser 83.1.2 Uppgiftersomomfattasavettinternationelltåtagandeom säkerhetsskydd 103.1.3 Aggregeradochackumuleradinformation 10

3.2 Hanteringavsäkerhetsskyddsklassificeradeuppgifter 113.3 Anteckningomsäkerhetsskyddsklass 143.4 Förvaring 153.5 Märkningavlagringsmedium 163.6 Distribution 163.7 Medförandeutanförverksamhetsutövarenslokaler 173.8 Förstöring 17

4 Hantering av säkerhetskänsliga uppgifter och informationssystem 194.1 Säkerhetsskyddavuppgifterochinformationssystemiövrigt 194.2 Tillgänglighet 194.3 Riktighet 19

5 Tematiska områden för hantering av informationssystem 20

6 Samråd om informationssystem 216.1 Allmäntomsamråd 216.2 Samrådinfördriftsättningavettinformationssystem 216.3 Samrådvidväsentligförändringavettinformationssystem 23

7 Utveckling av informationssystem 247.1 Allmäntomutvecklingavinformationssystem 247.2 Processförutvecklingavinformationssystem 247.3 Särskildsäkerhetsskyddsbedömning 267.3.1 Allmäntomsärskildsäkerhetsskyddsbedömning 267.3.2 Hurskainformationssystemetanvändas? 267.3.3 Påvilketsättärinformationssystemetavbetydelseförsäkerhetskänslig verksamhet? 277.3.4 Hurexponerasinformationssystemetmotandrainformationssystem? 277.3.5 Vilkasäkerhetskravgällerförinformationssystemet? 27

Innehåll


7.3.6 Vilkasäkerhetsskyddsåtgärderbehöverinförasiochkring informationssystemet? 27

7.4 Arkitektur 297.4.1 Allmäntomarkitektur 297.4.2 Separation 297.4.3 Kontrolleradkommunikation 337.4.4 Kryptering 377.4.5 Identitets-ochbehörighetshantering 397.4.6 Intrångsdetekteringochintrångsskydd 43

7.5 Utvecklingochimplementation 467.5.1 Drift-ochtestmiljö 467.5.2 Säkersystemdesignochsystemutveckling 467.5.3 Säkerhetskonfiguration 487.5.4 Skyddmotskadligkod 48

7.6 Funktionstesterochsäkerhetsgranskning 517.6.1 Allmäntomfunktionstesterochsäkerhetsgranskning 517.6.2 Funktionstester 517.6.3 Säkerhetsgranskning 517.6.4 Sårbarhetsskanning 537.6.5 Penetrationstest 537.6.6 Graderingochåtgärderavbrister 54

7.7 Infördriftsättning 557.7.1 Allmäntomåtgärderinfördriftsättning 557.7.2 Dokumentation 557.7.3 Verifieringavfunktions-ochsäkerhetskrav 567.7.4 Driftgodkännande 57

8 Drift och underhåll 588.1 Allmäntomdriftochunderhåll 588.2 Styrningavdriftochunderhåll 588.3 Förändringshantering 598.4 Uppdateringar 608.4.1 Säkerhetsuppdateringar 608.4.2 Utbyteavföråldradprogramvara 608.4.3 Beslutomundantagochpraktiskhanteringavsäkerhetsuppdateringar 60

8.5 Säkerhetskopiering 618.6 Avveckling 618.6.1 Allmäntomavveckling 618.6.2 Avvecklingavkomponenter 628.6.3 Avvecklingochåteranvändningavlagringsmedia 62

8.7 Allmäntomoperativsäkerhet 638.8 Säkerhetsloggning 638.8.1 Allmäntomsäkerhetsloggning 638.8.2 Vadskaloggas? 648.8.3 Logguppföljningochåtgärdervidupptäcktahändelser 658.8.4 Hanteringavsäkerhetsloggar 65

8.9 Säkerhetsövervakning 668.9.1 Allmäntomsäkerhetsövervakning 66


8.9.2 Genomförande 668.9.3 Åtgärdervidupptäcktahändelser 678.9.4 Tekniskahjälpmedel 678.9.5 Övningochutvärdering 68

8.10Incidenthantering 688.10.1AllmäntomIncidenthantering 688.10.2Grundläggandeförutsättningar 698.10.3Genomförande 69

9 Omvärldsbevakning 729.1 Allmäntomomvärldsbevakning 729.2 Genomförande 72

10 Kompetens och resursplanering 7410.1Allmäntomkompetensochresursplanering 7410.2Kompetensförsörjning 74

11 Uppföljning och kontroll 7611.1Allmäntomuppföljningochkontroll 7611.2Efterlevnadavkravställning 7711.3Kontrollavåtkomstochbehörigheter 7711.4Uppdateringavdokumentation 77

12 Referenser 78

13 Ändringslogg 7913.1Version1.01 79


Dennavägledningriktarsigtilldigsompånågotsättarbetarmedattstyra,ledaellerutforma informationssäkerhet inom ramen försäkerhetsskyddellersompåannatsättkommerikontaktmedsådantinformations-säkerhetsarbete.Syftetmedvägledningenäratttydliggörabestämmelsernaikapitel3och4iSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.Denskaocksåökakunskapenominformationssäkerhetistortsamtvägledahursäkerhetsskydds-åtgärderinominformationssäkerhetkanutformasförattgeinformationstillgångarettfullgottsäkerhetsskydd.Ävenomvägled-

1 Om denna vägledning

ningenärinriktadpåsäkerhetsskyddsåtgär-deninformationssäkerhetsåbeskrivsäventillvissdelhurenverksamhetkanförhållasigtillinformationssäkerhetistort.Vissaförkunskaperominformationssäkerhetkankrävasförattfulltuttatillsiginnehålletivägledningen.

Vägledningenbeståravtvådelar,säkerhets-skyddsåtgärdeninformationssäkerhetochinformationssäkerhet i informationssystem. Denförstadelenbörjarikapitel3ochdenandradelenikapitel5.


2 Vad är informationssäkerhet?

2 kap. 2 § säkerhetsskyddslagen (2018:585)

Informationärencentralbyggstenienverksamhet.Utantillgångtillrelevant,till-förlitliginformationblirdetsvårtförperso-nalenattutförasinaarbetsuppgifterochiförlängningenförverksamhetsutövarenattöverhuvudtagetkunnabedrivasinverksam-het.Informationgerkunskaptillindividerochorganisationerochkaninhämtas,lag-ras, kommuniceras och bearbetas i olika for-mer.Iochmeddenökadedigitaliseringenökaräveninformationsmängdernasamtverksamhetensberoendeavfungerandeinformationssystem.Dettainnebärattenverksamhetsutövarebehöveridentifieraochskyddadeninformationsomärvärdefull(skyddsvärdinformation).Detkanuppståstoranegativakonsekvenserförverksamhe-tenominformationenblirröjdförobehörig,omdenobehörigenförändraselleromdenintefinnstillhandsnärdenbehövs.Infor-mationssäkerhethandlaromåtgärderförattskyddainformationensåattsådanakon-sekvenserinteuppstår.

Enverksamhethariallmänhetstoramäng-derinformationsomavolikaanledningarkanvaraskyddsvärd.Förattfåeneffektivochsäkerinformationshanteringärenför-utsättningattinformationssäkerhetsarbetetbedrivssystematiskt.Förattfåettstödihurett systematiskt informationssäkerhetsar-betekanbedrivaskanwebbplatsenwww.informationssakerhet.seanvändas.Förändamåletfinnsocksåfleraetableradesvenskastandarder,såsom:• SS-ISO/IEC27000• SS-ISO/IEC27001

• SS-ISO/IEC27002• SS-ISO/IEC27003

Informationssäkerhet handlar om att skyd-dainformationurolikaaspekterochävenomdetiolikakontexterfinnsfleraolikadefinitioneravbegreppetsåärtrecentralaperspektivelleregenskaperhosinformationalltidåterkommande:

Konfidentialitet Attförhindraattinformationröjsför obehöriga.

Riktighet Attvikanlitapåattdeninformationvian-vänderivårverksamhetärkorrektochintemanipulerad.

TillgänglighetAttsäkerställaattinformationenärtillgäng-lignärvibehöverden.

Isäkerhetsskyddslagenuttrycksdettagenomattsäkerhetsskyddsåtgärdeninfor-mationssäkerhetska:1. förebyggaattsäkerhetsskyddsklas-

sificeradeuppgifterobehörigenröjs,ändras,görsotillgängligaellerförstörs,och

2. förebyggaskadliginverkaniövrigtpåuppgifterochinformationssystemsomgällersäkerhetskänsligverksamhet.

Detärviktigtattsäkerhetsskyddarbetetbe-drivsisamklangmedverksamhetensövrigainformationssäkerhetsarbete.


3 Behandling av säkerhets-skyddsklassificerade uppgifter och handlingar

3.1 Säkerhetsskyddsklassifi-cerade uppgifter

1 kap. 2 § andra stycket säkerhetsskyddslagen (2018:585)

Säkerhetsskyddsklassificeradeuppgifteräruppgiftersomrörsäkerhetskänsligverksamhetochsomdärföromfattasavsekretessenligtoffentlighets-ochsekretes-slagen(2009:400)ellersomskulleomfat-tasavsekretessomlagenvartillämplig.Förverksamheterdäroffentlighets-ochsekretesslageninteärtillämpligbehöververksamhetsutövarensåledesgöraenfiktivsekretessprövning.

Säkerhetsskyddsklassificeradeuppgifterkanocksåvarauppgiftersomomfattasavettinternationelltåtagandeomsäkerhets-skydd.SådanaavtalharSverigeingåttmedettantalolikaländerochmellanfolkligaorganisationer.DetkantillexempelrörasigomEU-klassificeradinformation.Hurochivilkennivåklassificeringenskerreglerasibi-ellermultilateralaavtalomsäkerhets-skydd.

SeSäkerhetspolisensvägledningIntroduktion till säkerhetsskyddförmerinformationomsäkerhetsskyddsklassificeradeuppgifterochuppgiftersomomfattasavinternationelltåtagandeomsäkerhetsskydd.

3.1.1 Indelning i olika säkerhetsskyddsklas-ser

2 kap. 5 § första stycket säkerhetsskyddslagen (2018:585)3 kap. 7 § säkerhetsskyddsförordningen (2018:658)2 kap. 2 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

SäkerhetsskyddsklassificeradeuppgifterskadelasinisäkerhetsskyddsklasserutifråndenskadasomettröjandeavuppgiftenkanmedföraförSverigessäkerhet.Indelningenisäkerhetsskyddsklasserskagörasenligtföljande:

kvalificerat hemligvidensynnerligenall-varligskada,hemligvidenallvarligskada,konfidentiellvideninteobetydligskada,ellerbegränsat hemligvidendastringaskada.

AttklassificeringenskaskeutifråndenskadasomettröjandekanmedföraförSverigessäkerhetinnebärattdetinteskabeaktasvilkenskadadetkanmedföraomuppgifternablirotillgängligaförverksam-hetsutövarenelleromdemanipulerasochintelängrekanansesriktiga.

Vidindelningenavuppgifterisäkerhets-skyddsklasserböreventuellakonsekvenseravettröjandesomframstårsomheltorim-


ligaintebeaktas.Iställetförattutgåifråndetvärstatänkbarascenariotbörbedöm-ningenskeutifrånvadsomärdetvärstarimligascenariotomuppgifternaröjs.Enligtsammaprincipbörmanintehellerbeaktavadsomskullehändaomandrauppgifterskulleröjasvidsammatidpunkt.Iannatfallriskerarindelningenisäkerhetsskyddsklas-serattledatillattiprincipsamtligauppgif-terdelasininågonavdehögreklasserna,vilketinteärsyftetmedlagstiftningen.

Iförarbetenatilldennyasäkerhetsskydds-lagengesingennärmareförklaringtillvadsomavsesmedrespektiveskadenivå.DetärdärförytterstupptillrättstillämpningenattavgöravadsomutgörenskadaförSverigessäkerhet.Nedanståendevärdeordkandocktjänasomvissvägledningnärdetgällerin-delningisäkerhetsskyddsklass.

Säkerhetsskyddsklass Den skada som ett röjande av uppgifterna kan medföra

Värdeord till stöd för bedömningen om en viss typ av skada föreligger

Kvalificerat hemlig Ett röjande kan medföra en synnerligen allvarlig skada.

Synnerligen allvarliga negativa kon-sekvenser av stor omfattning, under lång tid, som utgör ett direkt hot mot den nationella förmågan. Kon-sekvenserna är inte begränsade till enstaka funktioner. Mycket svårt att återställa.

Hemlig Ett röjande kan medföra en allvarlig skada.

Allvarliga/betydande negativa konse-kvenser, av stor omfattning eller av väsentlig art, som innebär ett direkt hot mot den nationella förmågan, om än mot avgränsade funktioner. Svårt att återställa.

Konfidentiell Ett röjande kan medföra en inte obetydlig skada.

Påtagliga negativa konsekvenser för den nationella förmågan, om än i be-gränsad omfattning, som äventyrar, vållar skada, hindrar, underlättar för en antagonist eller innebär större avbrott.

Begränsat hemlig Ett röjande kan medföra endast ringa skada.

Ringa negativa konsekvenser som är begränsade till att påverka, försvåra eller störa den nationella förmågan i mindre omfattning.

Tabell 1: Vägledning för indelning i säkerhetsskyddsklass.


Mednationellförmågaavsestillexempeldennationellaförsvarsförmågan,denna-tionellaelförsörjningsförmåganellerdennationellabetalningsförmågan.

Enverksamhetsutövaresomtaremotensäkerhetsskyddsklassificeradhandlingavenannanverksamhetsutövareärintebun-denavdentidigaresäkerhetsskyddsklas-sificeringenavuppgifternaihandlingen.1 Utgångspunktenbörändåvaraattdenur-sprungligasäkerhetsskyddsklassificeringenskagodtasomdetintetillkommitnågranyaomständighetersedanindelningenisäker-hetsskyddsklassgjordes.Detärdenverk-samhetsutövaresomupprättathandlingensomharbästmöjlighetattbedömavilkenskadaettröjandeskullemedföraförSveri-gessäkerhet,särskiltomuppgifternarörverksamhetsutövarensegenverksamhet.

Syftetmedindelningenavuppgifterisä-kerhetsskyddsklasser är att fastställa en korrektlägstaskyddsnivåföruppgifternairespektivesäkerhetsskyddsklass.Indel-ningenisäkerhetsskyddsklassärdärförinteavgörandevidenprövningavomsekretes-senhindrarettutlämnandeavensäkerhets-skyddsklassificeradhandling.

3.1.2 Uppgifter som omfattas av ett inter-nationellt åtagande om säkerhets-skydd

2 kap. 5 § andra stycket säkerhetsskyddslagen (2018:585)

Säkerhetsskyddsklassificeradeuppgiftersomomfattasavettinternationelltåtagandeom säkerhetsskydd ska delas in i säkerhets-skyddsklass,omdeinteredanharklassifice-

1 Förutomnärdetgälleruppgiftersomomfattasavettinternationelltåtagandeomsäkerhetsskydd,senästaavsnitt.

ratsavenannanstatellerenmellanfolkligorganisation.Enbefintligklassificeringskadågodtas,omdetintetillkommitnågranyaomständighetersedanindelningenisäkerhetsskyddsklassgjordes,ochliggatillgrundförbestämmandeavskyddsnivå.SeSäkerhetspolisensvägledningIntroduktion till säkerhetsskyddförmerinformationomin-ternationellaåtagandenomsäkerhetsskyddochdeinternationellamotsvarigheternatilldesvenskasäkerhetsskyddsklasserna.

Ivissainternationellasamarbetenförekom-merdetattensvenskverksamhetsutövareupprättarhandlingarsominnehålleruppgif-tersomomfattasavettinternationelltåta-gandeomsäkerhetsskydd.IsådanafallskauppgifternadelasinisäkerhetsskyddsklassutifråndenskadaettröjandeavuppgiftenkanmedföraförSverigesförhållandetilldenandrastatenellerdenmellanfolkligaorganisationen.

3.1.3 Aggregerad och ackumulerad infor-mation

4 kap. 6 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

Aggregeradeuppgifterbetyderattflertaletolikatyperavuppgiftersamlasochtillsam-mansutgörettnyttskyddsvärde,medanackumuleradeuppgifterbetyderenökadvolymavsammatypavuppgifter.Omenskildauppgiftersomsaknarsäkerhets-skyddsklassellerärindeladeienavsäker-hetsskyddsklassernabegränsathemlig,kon-fidentiellellerhemligsamlas,kandetivissafallmedföraattenhögresäkerhetsskydds-klassskatillämpaspåuppgiftssamlingen.Såärfalletomdenaggregeradeellerackumu-leradeinformationengörattenantagonistkandraandra,heltnyaslutsatseravupp-giftssamlingenänavvarjeenskilduppgift.


Exempel: Ett röjande av personuppgifter om en enskild anställd inom en säkerhets-känslig verksamhet får som utgångspunkt inte anses skada Sveriges säkerhet (även om uppgifterna i vissa fall kan omfattas av sekretess). Ett röjande av en sammanställning av personuppgifter om alla anställda inom en säkerhetskänslig verksamhet kan däremot, beroende på vilken verksamhet det rör sig om, medföra en skada för Sveriges säkerhet eftersom det ger en antagonist en möjlighet att kartlägga och anpassa sig till den nationella förmågan på området. Avgörande för vilken säkerhetsskyddsklass sammanställningen ska delas in i blir då om det går att kartlägga personernas identitet, arbetsuppgifter, kompetenser, sårbarheter med mera.

Avförarbetenatillsäkerhetsskyddslagen2

framgårattenklassificeringavensamlingavuppgifterintebörgörasistörreutsträck-ningochmedplaceringihögreklassänvad

2 Prop.2017/18:89s.66

somärnödvändigt.Dettaförattbegränsaonödigaadministrativakostnaderochonödigaingreppienskildasintegritetmedmera.

Endastiundantagsfall,därdetfinnsetttyd-ligtsambandmellanuppgifternasomgörattskadanavettröjandeskulleblimerall-varlig,kandetdärförvaraaktuelltatthöjaklassificeringenpåensammanställningavuppgifter.

3.2 Hantering av säkerhets-skyddsklassificerade uppgifter

Nedanföljerenöversiktligsammanställ-ningavhanteringsreglernaförsäkerhets-skyddsklassificeradeuppgifterirespektivesäkerhetsskyddsklass.Noteraattkravenskabetraktassomminimikravochattverksam-hetsutövarekankompletterakravställning-en i interna styrdokument.

Begränsat hemlig

Konfidentiell Hemlig Kvalificerat hemlig

Får endast behandlas i in-formationssystem eller på lagringsmedium som verk-samhetsutövaren godkänt

Ja Ja Ja Ja

Innan verksamhetsutö-varen överför uppgift ska mottagaren uppmärksam-mas på säkerhetsskydds-klassificeringen

Ja Ja Ja Ja

Anteckning om säkerhets-skyddsklass

Ja Ja (plus antal sidor och uppgift om bilagor)

Ja (plus antal sidor och uppgift om bilagor samt exemplarnum-mer för fysisk handling)

Ja (plus antal sidor och uppgift om bilagor samt exemplarnum-mer för fysisk handling)

Medgivande från högsta chef eller motsvarande organ vid kopia eller utdrag (får delegeras)

Nej Nej Nej Ja


Begränsat hemlig


Förvaras i ett förvaringsut-rymme med säkerhet som motsvarar den skyddsnivå som skyddsdimensione-ringen kräver

Ja Ja Ja Ja

Förvaras hos, eller enligt beslut av, högsta chef eller motsvarande organ

Nej Nej Nej Ja

Uppgifter om var handling-en förvaras eller om den gallrats eller kommit bort ska antecknas i registret där handlingen är diarie-förd (gäller endast fysisk allmän handling).

Ja Ja Ja Ja

Märkning av lagringsmedi-um (säkerhetsskyddsklass och identifieringsuppgift)

Nej Ja Ja Ja

Ska sändas med en god-känd distributör

Nej Ja Ja Ja

Skyddas med hjälp av kryp-tografiska funktioner som har godkänt av Försvars-makten vid kommunicering till ett informationssystem utanför verksamhetsutöva-rens kontroll

Ja Ja Ja Ja

Anteckning om ursprungs-land för handling som kan komma att lämnas ut till utlandet (om det inte är olämpligt)

Ja Ja Ja Ja

Kvittering av fysisk hand-ling*

Nej Nej Ja (i regis-ter, liggare eller på sär-skilt kvitto). Kvittensen ska bevaras i 10 år

Ja (på sär-skilt kvitto) Kvittensen ska bevaras i 25 år

Anteckning om mottagare av elektronisk handling

Nej Nej Nej Ja

Anteckning vid/efter munt-lig delgivning eller visning

Nej Nej Nej Ja

*För offentliga verksamhetsutövare gäller kravet endast för allmänna handlingar


Begränsat hemlig


Vid medförande utanför verksamhetsutövarens lo-kaler ska handlingen hållas under omedelbar uppsikt eller förvaras på ett sätt som motsvarar det säker-hetsskydd som gäller för förvaring inom verksamhe-tens lokaler

Ja, såvida inte handlingen skyddas med hjälp av kryp-tografiska funktioner som har god-känts av För-svarsmakten




Får tas med till utlandet Ja, efter be-slut av säker-hetsskydds-chef

Ja, efter be-slut av säker-hetsskydds-chef

Ja, efter be-slut av säker-hetsskydds-chef

Ja, efter be-slut av högsta chef eller motsvarande organ

Vid försändelser till och från utlandet ska Utrikes-departementets kurirför-bindelse användas. Tillsyns-myndigheterna får medge undantag från detta krav





Tillstånd från högsta chef eller motsvarande organ att medföra handling utan-för verksamhetsutövarens lokaler (får delegeras)

Nej Nej Nej Ja

Årlig inventering av hand-lingar*

Nej Nej Ja (endast fysiska)

Ja

Årlig inventering av lag-ringsmedier

Nej Nej Ja Ja

Ska förstöras så att åt-komst och återskapande omöjliggörs

Ja Ja Ja Ja

Dokumentering av förstö-ring av allmän handling

Nej Nej Ja Ja

*För offentliga verksamhetsutövare gäller kravet endast för allmänna handlingar

Tabell 2: Hanteringsregler för säkerhetsskyddsklassificerade uppgifter.


3.3 Anteckning om säkerhets-skyddsklass

3 kap. 7 § säkerhetsskyddsförordningen (2018:658)3 kap. 4 – 6 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd5 kap. 5 § offentlighets- och sekretesslagen (2009:400)1 § offentlighets- och sekretessförordningen (2009:641)

Ensäkerhetsskyddsklassificeradhandlingskaförsesmedenanteckningomvilkensäkerhetsskyddsklassuppgifternaihand-lingenhar,isyfteattklargöravilkahan-teringsreglersomgällerförhandlingen.Kravetpåanteckninggällerbådeförfysiskaochelektroniskasäkerhetsskyddsklassifice-radehandlingar.Omdetisammahandlingförekommeruppgiftersomärindeladeiolikasäkerhetsskyddsklasserskadenhögstasäkerhetsskyddsklassenanges.

Anteckningenbörvararödochomgärdasavenenkelramupptillochmedsäkerhets-skyddsklassenhemlig.Försäkerhetsskydds-klassenkvalificerathemligböranteckning-enomgärdasavendubbelram.

Anteckningenböräveninnehållahänvis-ningtilltillämpligsekretessbestämmelseioffentlighets-ochsekretesslagen,datumdåanteckningengjordes,samtvilkenverksam-hetsutövaresomhargjortanteckningen.Påsåsättuppfyllerävenanteckningenkriteri-ernaförensekretessmarkering.

Förallmännahandlingarisäkerhetsskydds-klassenkvalificerathemligskadetpåan-teckningenävenframgåomdetärchefenförJustitie-,Utrikes-,ellerFörsvarsdeparte-mentetsomprövaromhandlingenefterbe-gärankanutlämnastillenenskild.Sefigur1och2förexempelpåhuranteckningarnakan utformas.

Ävenenskildaverksamhetsutövarebörhän-visatilltillämpligasekretessbestämmelserioffentlighets-ochsekretesslagen,förattunderlättahanteringenavhandlingarsomdistribuerasmellanenskildaochoffentligaverksamhetsutövareochförattåstadkom-matransparensisäkerhetsskyddsklassifice-ringen.

Förelektroniskahandlingarelleruppgift-samlingardärformatetintestödjerenan-teckningkanuppgiftomsäkerhetsskydds-klassiställetangesifilnamnet.

Omhandlingenbeståravflerasidorellerharbilagorskaävenantaletsidorochbila-gorangespåförstasidan.Efterföljandesidorihandlingenbörinnehållaenanteckningomsäkerhetsskyddsklassochiövrigthän-visatillanteckningenpåförstasidan.

Vidareskafysiskahandlingarisäkerhets-skyddsklassernahemligochkvalificerathemligförsesmedenanteckningomhand-lingensexemplarnummer,ävenomdetendastfinnsettexemplar.Noteraattdettakravävengällerförhandlingarsomskickasviakryptofax.


Omdetkanantasattensäkerhetsskydds-klassificeradhandlingkankommaattlämnasövertillutländskamyndigheterellerleverantörer,skadenförsesmedenanteckningomursprungslandomdetinteärolämpligt.

Omensäkerhetsskyddsklassificeradhand-lingintelängreskavaraindeladisäker-hetsskyddsklass eller ska delas in i annan säkerhetsskyddsklassänvadsomangespåhandlingen,skadettaantecknaspåhand-lingen.Detbörianteckningenframgåvemsom har fattat beslut om att ändra säker-hetsskyddsklassochdatumförbeslutet.Omhandlingenärallmänskabeslutetomattsä-kerhetskyddsklassen ändrats antecknas i det registerdärhandlingenärdiarieförd.Försäkerhetsskyddsklassificeradehandlingarisäkerhetsskyddsklassenkvalificerathemligskaettsådantbeslutföregåsavsamrådmed

H E M L I G

Sekretess enligt [X] kap. [Y] § offentlighets-och sekretesslagen (2009:400)

[DATUM]

[VERKSAMHETSUTÖVARE]

K V A L I F I C E R A T H E M L I GSe sid 1.

H E M L I GSe sid 1.

K O N F I D E N T I E L L


[DATUM]


K O N F I D E N T I E L LSe sid 1.

B E G R Ä N S A T H E M L I G


[DATUM]


B E G R Ä N S A T H E M L I GSe sid 1.

K V A L I F I C E R A T H E M L I G

Sekretess enligt [X] kap. [Y] §offentlighets- och sekretesslagen

(2009:400)

[DATUM]

Frågan om denna handlings utlämnande ska prövas av chefen för [DEPARTEMENT]


Figur 1 – Exempel på hur anteckningar om säkerhetsskyddsklass kan se ut för offentliga verksamhetsutövare. Den nedre anteckningen används när handlingen innehåller flera sidor.

H E M L I G


(2009:400), om den lagen hade varit tillämplig

[DATUM]


K V A L I F I C E R A T H E M L I GSe sid 1.

H E M L I GSe sid 1.

K O N F I D E N T I E L LSe sid 1.

B E G R Ä N S A T H E M L I GSe sid 1.

K V A L I F I C E R A T H E M L I G



[DATUM]


K O N F I D E N T I E L L


(2009:400), om den lagen hade varittillämplig

[DATUM]


B E G R Ä N S A T H E M L I G



[DATUM]


Figur 2 – Exempel på hur anteckningar om säkerhetsskyddsklass kan se ut för enskilda verksamhetsutövare. Den nedre anteckningen används när handlingen innehåller flera sidor.

densomharupprättathandlingenochmedverksamhetsutövarenshögstachefellermotsvarandeorgan,ellerdensomsådanchefellerorganbestämmer.

3.4 Förvaring3 kap. 10 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

Ensäkerhetsskyddklassificeradhandlingskaförvarasiettförvaringsutrymmemedsäkerhetsommotsvarardenskyddsnivåsomskyddsdimensioneringenkräver.Ensäkerhetsskyddsklassificeradhandlingisäkerhetsskyddsklassenkvalificerathemligskaförvarasavverksamhetsutövarenshög-stachefellermotsvarandeorgan,ellerpåenförvaringsplatssomensådanchefellerorganbestämmer.SeSäkerhetspolisensväg-


ledningFysisk säkerhet förmerinformationomförvaring.

3.5 Märkning av lagringsmedium


Lagringsmediumförsäkerhetsskyddklas-sificeradeuppgifterisäkerhetskyddsklasskonfidentiellellerhögreskamärkasmedsäkerhetsskyddsklassochidentifieringsupp-gift.Omlagringsmedietärfastmonteratiannanutrustningskaiställetutrustningenmärkassåattdetfortfarandeframgårattlagringsmedietinnehållersäkerhetsskydds-klassificeradeuppgifter.Omettsådantlagringsmediumiefterhandavlägsnasfrånutrustningenskalagringsmedietmärkas.

Märkningenmedsäkerhetsskyddsklasssyf-tar till att uppmärksamma den som hante-rarlagringsmedietpåattdetinnehållersä-kerhetsskyddsklassificeradeuppgiftersamtivilkensäkerhetsskyddsklass.

Märkningmedidentifieringsuppgiftsyftartillattfastställaenspecifikidentitetförettlagringsmediumsominnehållersäkerhets-skyddsklassificeradeuppgifter.Meddenfastställdaidentitetenkanenförteckningöververksamhetsutövarenslagringsmediaavseendesäkerhetsskyddsklassificeradeuppgifterupprättas,utifrånvilkeneninven-teringkanske.Anteckningarnaifigur1och2kananvändassomutgångspunktförhursådanmärkningkanseut.

3.6 Distribution3 kap. 10 § säkerhetsskyddsförordningen (2018:658)3 kap. 14 och 16 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

Somendeliverksamhetsutövarenssäker-hetsskyddsarbete ska det upprättas doku-

menteraderutineröverhurverksamhetsut-övarenavserattdistribuerasäkerhetskydds-klassificeradefysiskahandlingarochlagringsmediamedsäkerhetsskyddsklassifi-ceradeelektroniskahandlingar,isäkerhets-skyddsklasskonfidentiellellerhögre.Detärlämpligtattrutinernaävenomfattardist-ributionavsäkerhetsskyddsklassificeradehandlingarisäkerhetsskyddsklassenbegrän-sathemligochandrahandlingarsomrörsä-kerhetskänsligverksamhetochsombehöverskyddasutifrånettkonfidentialitets-ellerriktighetsperspektiv.Rutinernaböromfattabådeinternochexterndistribution.

Verksamhetsutövarenkanirutinernatillex-empelregleraattdetvidexterndistributionavsäkerhetsskyddsklassificeradehandlingarihögresäkerhetsskyddsklasser,ellerdärtillgänglighetellerkonfidentialitetärviktigtattbevara,skaegenellerupphandladperso-nallevereraochverifieraatthandlingarnadistribueratstillmottagareniettsäkerhets-förslutetengångsemballage.

Viddistributiondärsäkerhetsförsluteten-gångsemballageanvändsärverifieringenviktigdelavdistributionenochsäkerhets-skyddet.Enverifieringmellanavsändareochmottagareskergenomattavsändareförsluterengångsemballagetenligttillverka-rens instruktioner samt sparar eller noterar detunikaserienummersomfinnspåembal-laget.Vidarebörkontrollavdetsäkerhets-förslutnaengångsemballagetutförasinnanemballagetanvänds,eftersomdetärviktigtattemballagetinteuppvisarnågrafunk-tionsbrister.Utöverserienumretbörävendatumförförslutningochsändningnoterassamtinformationomavsändareochmot-tagare.

Mottagarenbörokulärtundersökaattem-ballagetsförslutning,skarvarochsvetssöm-marinteuppvisarspåravmanipulation.Detunikaserienummersomfinnspåengång-semballagetnoteras,tillsammansmedvemsomärmottagareochavsändaresamtdatu-metförsjälvamottagandet.Omspåravma-nipulation upptäcks eller om serienumret


påförsändelseninteöverensstämmermeddetnummersomangivitsavavsändarenskadettautredassomenmöjligsäkerhetshotan-de händelse. I annat fall kan det säkerhets-förslutnaengångsemballagetöppnasenligttillverkarensanvisning.

Införattensäkerhetsskyddsklassificeradehandlingskadistribuerasisäkerhetsförslu-tetengångsemballage,böravsändareochmottagarehakontaktmedvarandraisyfteatt utbyta information om serienummer samtdatumfördistributionen.

Förförsändelseravsäkerhetsskyddsklas-sificeradehandlingartillochfrånutlandetskaUtrikesdepartementetskurirförbindelseanlitas,såvidaintehandlingenskyddasavkryptografiskafunktionersomhargodkäntsavFörsvarsmakten.Tillsynsmyndigheternafårmedgeundantagfråndettakrav.Haiåtankeattsäkerhetsskyddsåtgärderävenbehövervidtasförsäkerhetsskyddsklassifi-ceradehandlingarsomskickasmedUtrikes-departementetskurirförbindelse.

3.7 Medförande utanför verk-samhetsutövarens lokaler

3 kap. 21 – 23 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

Medförandeavserensituationdärenpersonharmedsigellerförvararenhandlingutan-förverksamhetsutövarenslokaler,exempel-vispåentjänsteresa.Medverksamhetsutö-varenslokaleravsesallafastigheter,platserellerområdendärverksamhetsutövarenharansvarförochkontrollöversäkerhets-skyddet.Ensäkerhetsskyddsklassificeradhandlingsommedförsskahållasunderomedelbaruppsikt.Omdetinteärmöjligtskahandlingenförvaraspåettsättsomsålångtsommöjligtmotsvarardennivåavsä-kerhetsskyddsomgällerförförvaringenavhandlingeninomverksamhetenslokaler.SeSäkerhetspolisensvägledningFysisk säkerhet förmerinformationomförvaring.

Noteraattdetkrävstillståndfrånverksam-hetsutövarenshögstachefellermotsva-randeorgan,ellerdensomsådanchefellersådantorganbestämmer,förattmedföraensäkerhetsskyddsklassificeradhandlingisäkerhetsskyddsklassenkvalificerathemligtutanförverksamhetsutövarenslokaler.

Omhandlingenskyddasmedhjälpavkryp-tografiskafunktionersomhargodkäntsavFörsvarsmakten,behöverdenintehål-lasunderuppsiktellerförvaraspåsärskiltsätt.Detärdåviktigtattdenkryptografiskafunktionenärgodkändfördensäkerhets-skyddsklasssomhandlingenärindeladi.

Enhandlingsomärplaceradisäkerhets-skyddsklassenhemligellerlägrefårisär-skildafallmedförastillutlandetavbehörigpersonalefterbeslutfrånverksamhetsutö-varenssäkerhetsskyddschef.Enhandlingsom är placerad i säkerhetsskyddsklassen kvalificerathemligfårisärskildafallmed-förastillutlandetavbehörigpersonalefterbeslutfrånverksamhetsutövarenshögstachef,ellermotsvarandeorgan.Ettsådantbeslut ska dokumenteras.

3.8 Förstöring3 kap. 25 och 26 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

Säkerhetsskyddsklassificeradeuppgifterskaförstöraspåettsättsomomöjliggöråtkomstochåterskapandeavuppgifterna.Metoderförförstöringärtillexempeldokumentför-störareellerbränning.Vidanvändningavdokumentförstörareskaverksamhetsutö-varensäkerställaattspånetefterförstöringintegårattutläsaochattdetintegårattåterskapahandlingen.Ettriktmärkeförmåttpåspånstorlekär15x1,2mmsomärgodkändspånstorlekvidförstöringavkryp-tonycklar.

Seavsnitt8.6.3föravvecklingochåteran-vändningavlagringsmedia.


Förstöringavensäkerhetsskyddsklassifice-radallmänhandlingisäkerhetsskyddsklas-senhemligellerkvalificerathemligskadokumenteras.

Förstöringavsäkerhetsskyddsklassificeradeuppgifterkanävenutförasavenleverantör.Verksamhetsutövarenbehöverdåregleradesäkerhetsskyddsåtgärdersomleverantörenbehövervidtaiettsäkerhetsskyddsavtal.


4 Hantering av säkerhets-känsliga uppgifter och informationssystem

4.1 Säkerhetsskydd av uppgifter och informationssystem i övrigt

2 kap. 2 § säkerhetsskyddslagen (2018:585)

Säkerhetsskyddsåtgärdeninformations-säkerhetska,utöverattskyddasäkerhets-skyddsklassificeradeuppgifter,ocksåskyddaandrauppgiftersamtsjälvainformations-systemensomhanteraruppgifteriensäker-hetskänsligverksamhet.

Sådanaskyddsåtgärdertarframföralltsiktepåatttillgodosebehovetavtillgänglighetochriktighet.Vilkaåtgärdersomärmotive-radeattvidtaskaanalyserasochbedömasiverksamhetenssäkerhetsskyddsanalyssamtiförekommandefalliettinformationssys-temssärskildasäkerhetsskyddsbedömning.

4.2 Tillgänglighet2 kap. 19 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

Förutomattsäkerställaattinformationinteröjsförobehöriga,syftarocksåinfor-mationssäkerhetsarbetet till säkerställa attinformationenfinnstillgänglignärdenbehövs.Iensäkerhetsskyddskontexthand-lardetomattsäkerställaattskyddetavuppgifterochinformationssystemsomäravbetydelseförsäkerhetskänsligverksamhetskyddassåattenantagonistintekangöradessaotillgängliga.Denärmaresäkerhets-skyddsåtgärdernatasframienanalysoch

beroendepåskyddsvärdeochförekomstenavsårbarheterbedömsvilkasäkerhets-skyddsåtgärdersombehövervidtas.

Detärviktigtatttänkapåattensäkerhets-skyddsåtgärdimångafallkaninriktasmotattskyddaverksamheten,snarareänettinformationssystem,medsåkalladekontinuitetsåtgärder.Sådanaåtgärderkanexempelvisvarasåenklasomattsetillattskyddsvärdinformationfinnsutskrivenpåpapper,ellerfinnstillgängligiflerainfor-mationssystem.Sådanaalternativaåtgärdermåstedockutformassåatteventuellasäker-hetsskyddsklassificeradeuppgiftergesetterforderligtsäkerhetsskydd.

4.3 Riktighet4 kap. 22 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

Informationssäkerhetsarbetetskaävensä-kerställaattinformationenintekanföränd-rasavobehöriga.Ävenhärhandlardetiensäkerhetsskyddskontextomattskyddaså-danauppgifterochinformationssystemsomäravbetydelseförensäkerhetskänsligverk-samhetmotantagonistiskahot.Informatio-nensomäravbetydelseförenverksamhetbehöveroftaävenskyddassåattdenintekanförändrasavobehöriga.Imångafallärenbehörighetsstyrningsomsäkerställerattendastbehörigpersonkanförändrain-formationenentillräckligskyddsåtgärd.Enannansäkerhetsskyddsåtgärdförattskyddainformationdärriktighetenärkritisk,kanvaraattanvändakryptografiskafunktionersåsomexempelviselektronisksignering.


5 Tematiska områden för hantering av informationssystem

Syftetmeddennadelavvägledningenärattutgöraettstödihurbestämmelsernaominformationssäkerhet i informationssystem kantillämpasipraktiken.Medinforma-tionssystemavsesettsystemavsammansattmjuk-ochhårdvarasombehandlarinfor-mation.Ivarjekapitelfinnshänvisningartillbestämmelseriförfattningarnasomärtillämpliga.Verksamhetsutövarenbehöver

dockläsavägledningentillsammansmedförfattningarnaförattkunnaavgöravilkabestämmelsersomärtillämpligairespek-tivefall.

I Figur 3 nedan illustreras de tematiska om-rådensom behöverbeaktasvidhanteringavinformationssystemsomharbetydelseförsäkerhetskänsligverksamhet.

Figur 3 Tematiska områden som behöver beaktas vid hantering av informationssystem som har betydelse för säkerhetskänslig verksamhet


6 Samråd om informationssystem

3 kap. 2 § säkerhetsskyddsförordningen (2018:658)4 kap. 9 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

6.1 Allmänt om samråd Enverksamhetsutövaresomutvecklarettinformationssystemsomharbetydelseförsäkerhetskänsligverksamhetäransvarigförattsäkerhetsskyddetkringettsådantinfor-mationssystemutformassåattförfattning-arnaavseendesäkerhetsskyddefterlevs.

Avbestämmelsernai3 kap.2§säkerhets-skyddsförordningen(2018:658)framgåratt:2 §: Innan ett informationssystem som kan för-utses komma att behandla säkerhetsskyddsklas-sificerade uppgifter i säkerhetsskyddsklassen kon-fidentiell eller högre tas i drift, eller i väsentliga avseenden förändras, ska verksamhetsutövaren skriftligen samråda med Säkerhetspolisen. Om verksamhetsutövaren hör till Försvarsmaktens tillsynsområde enligt 7 kap. 1 § första stycket 1, ska denne i stället samråda med Försvarsmakten. Samrådsskyldigheten gäller även i fråga om andra informationssystem än sådana som anges i första stycket, om obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig.

VidettsådantsamrådlämnarSäkerhetspo-lisenettyttrandekringdesäkerhetsskydds-åtgärderverksamhetsutövarenharvidtagit,ellerharföravsiktattvidta,samthurdessaförhållersigtillbestämmelsernaomsäker-hetsskyddiförfattningarna.

Iavsnitt6.2och6.3idennavägledningbeskrivshurovanståendesamrådkange-nomförasipraktikenochvadenverksam-hetsutövareförväntasgörainnanettsådant

samrådsförfarandeinledsmedSäkerhetspo-lisen.

6.2 Samråd inför driftsättning av ett informationssystem

Underarbetetmedutvecklingelleranskaff-ningavettinformationssystemavbetydelseförsäkerhetskänsligverksamhetärensär-skildsäkerhetsskyddsbedömningcentral.Genomdensärskildasäkerhetsskyddsbe-dömningenfastställerverksamhetsutövarenvilkasäkerhetsskyddsåtgärder(säkerhets-krav)iinformationssystemetsomärmotive-radeutifrånhurinformationssystemetskaanvändas.Densärskildasäkerhetsskydds-bedömningenblirdärefterettstödförverk-samhetsutövarennärsäkerhetsskyddetskautformassåattdessakravtillgodoses.DensärskildasäkerhetsskyddsbedömningenärävencentralnärenverksamhetsutövareskasamrådamedSäkerhetspolisen.Iavsnitt7.3idennavägledningfinnsstödförframta-gandeavensärskildsäkerhetsskyddsbedöm-ningförettinformationssystem.

VerksamhetsutövarekanmedfördelinledaettsamrådmedSäkerhetspolisenredanvidframtagandetavdesignocharkitekturförettinformationssystem.EnfördelmeddettaärattverksamhetsutövarenietttidigtskedekanfåstödfrånSäkerhetspolisenihuruvidadetilltänktasäkerhetsskyddsåtgärdernaförinformationssystemetliggerilinjemedbe-stämmelserna om säkerhetsskydd.

Ideallraflestafallbehöverettsamråden-ligtovanrealiserasgenomfysiskamötenmellanverksamhetsutövarenochSäkerhets-polisen.Beroendepåinformationssystemetsomfattningochkomplexitetkansådanamötenbehövagenomförasvidettellerflera


tillfällen, där Säkerhetspolisen inhämtar kompletterandeinformationochåterkopp-larmedklargörandeanmärkningar.Idefallenverksamhetsutövareharföravsiktattutvecklaettinformationssystemsomskanyttjasavandraverksamhetsutö-vare,föreliggersamrådsskyldighetprimärtfördenverksamhetsutövaresomutvecklarinformationssystemet.

Ettsamrådkanpågåunderlängretidifleraiterationer,menavslutasalltidmedettslutligtyttrandefrånSäkerhetspolisentillverksamhetsutövareninfördriftsättning.Iettsådanyttrandelämnassynpunkterkringdesäkerhetsskyddsåtgärderverksamhets-utövarenharvidtagit,ellerharföravsiktattvidta,ochhurdessaförhållersigtillbestäm-melsernaomsäkerhetsskyddiförfattning-arna.

FörattSäkerhetspolisenskakunnalämnaettkvalitativtyttrandeförutsättsattverk-samhetsutövaren:

• genomförttesterochverifieratattdesäkerhetsskyddsåtgärder(säkerhetskrav)somidentifieratsidensärskildasäker-hetsskyddsbedömningenharimplemen-teratsochattdegeravseddeffekt.

• säkerställtattsamtligaidentifieradesår-barheter och säkerhetsbrister i informa-tionssystemetsomkanmedföranegativpåverkanfördensäkerhetskänsligaverk-samhetenharomhändertagits.

• säkerställtatteventuellaundantagochkompenserandeåtgärdersomvidtagitsiförhållandetillsäkerhetskravenidensärskildasäkerhetsskyddsbedömningenär dokumenterade.

I Figur 4nedanillustrerashurettsamråd infördriftsättningavettinformationssys-temkanförhållasigtillentypiskutveck-lingsprocessförettinformationssystem.Genomdengråpilenifigurenåskådliggörsnärettsamrådkanpåbörjasochnärdetskaavslutas.

Figur 4 En illustration av hur ett samråd inför driftsättning av ett informationssystem förhåller sig till en utvecklingsprocess för ett informationssystem.

Särskildsäkerhetsskydds-

bedömningFastställ arkitektur Utveckling och

implementationFunktionstest och

säkerhetsgranskning Verifiering av krav Driftsättning Drift

Samråd med Säkerhetspolisen


6.3 Samråd vid väsentlig förändring av ett informationssystem

Vadsomutgörenväsentligförändringiettinformationssystemkanvarasvårtattentydigtdefiniera.Enväsentligförändringkantasiguttryckpåmångaolikasätt,menskulleexempelviskunnavaranär:• ettbefintligtinformationssystemskahanterauppgiftermedenhögresäker-hetsskyddsklassificeringäntidigare,

• ettbefintligtinformationssystemskain-tegrerasellerkommuniceramedandrainformationssystem,ellernärexponeringavannatskälväsentligenökar.

• ettbefintligtinformationssystemskaanvändasienannansäkerhetskänsligverksamhet(ominteensådanhanteringomfattasavdetursprungligasamrådet).

Iförstahandmåsteverksamhetsutövarensjälvgöraenbedömningavvadsomkanansesutgöraenväsentligförändring.Förstödiensådanbedömningkanverksam-hetsutövarenmedfördeltaenkontaktmedSäkerhetspolisen.

Innanenväsentligförändringavettinfor-mationssystemgenomförsbörverksamhets-utövarengenomföraensärskildsäkerhets-skyddsbedömning.Genomdensärskildasäkerhetsskyddsbedömningensätterverk-samhetsutövarenramarnaförvilkasäker-hetsskyddsåtgärdersomskavidtasiochmedattförändringengenomförs.

Påmotsvarandesättsomvidettsamrådinnan ett informationssystem ska tas i drift, lämnarSäkerhetspolisenalltidettskriftligtyttrandetillverksamhetsutövaren.Iettsådanyttrandelämnassynpunkterkringdesäkerhetsskyddsåtgärderverksamhetsutö-varenharvidtagit,ellerharföravsiktattvidta,ochhurdessaförhållersigtillbestäm-melsernaomsäkerhetsskyddiförfattning-arna.

I Figur 5nedanillustrerashurettsamrådvidväsentligförändringavettinformations-systemkanförhållasigtillentypiskutveck-lingsprocessförettinformationssystem.Genomdengråpilenifigurenåskådliggörsnärettsamrådkanpåbörjasochnärdetskaavslutas.

Figur 5 En illustration av hur ett samråd vid väsentlig förändring av ett informationssystem förhåller sig till en utvecklingsprocess för ett informationssystem.

Särskildsäkerhetsskydds-

bedömningFastställ arkitektur Utveckling Funktionstest och

säkerhetsgranskningImplementera

förändring Verifiering av krav Drift

Samråd med Säkerhetspolisen


7.1 Allmänt om utveckling av informationssystem

Attutvecklaettinformationssystemsomharbetydelseförsäkerhetskänsligverksam-hetkanvaraenresurs-ochtidskrävandeaktivitet.Detkräverentydligkravbilduti-frånensärskildsäkerhetsskyddsbedömning,menocksåettstruktureratarbetssättochgodkompetensomderiskerochsårbar-heter som kan kopplas till de plattformar ivilketutvecklingensker.Dettakapiteläruppdelatiolikatematiskaområdensombe-skrivervadenverksamhetsutövareskaochbörbeaktaunderutvecklingenavettsådantinformationssystem.

7.2 Process för utveckling av informationssystem

Utvecklingavinformationssystemsomskaanvändasisäkerhetskänsligverksamhetärenaktivitetsomkräverettsystematisktarbetssättochnoggrannplanering.Detärdärförviktigtattverksamhetsutövarentarstödienstruktureradprocessförhurut-vecklingenavettinformationssystemskagenomföras.

Omverksamhetsutövarenintetarframenegenprocess,finnsdetettflertalpublikt

tillgängligaochvedertagnakonceptochprocesserförhurutvecklingavettinforma-tionssystemkangenomföras.

Oavsettvilkenprocessellermetodsoman-vändsvidutvecklingärdetviktigtattverk-samhetsutövarenplanerarförhanteringenavinformationssystemetutifrånettlångsik-tigtperspektiv,detvillsägafrånsystemetsutvecklingtillavveckling.Oftarefererarmantilldettalångsiktigaperspektivgenombegreppetlivscykel.SoftwareDevelopmentLifeCycle(SDLC)ärenvedertagentermförattbeskrivaenutvecklingsprocessdärsä-kerhettasibeaktandegenomutvecklings-processensallafaser:planering,utveckling,testning,implementation,driftochavveck-lingavettinformationssystem.

I Figur 6pånästasidasesettexempelpåenprocessförutvecklingavinformationssys-tem.Processenutgårfråndensåkalladevat-tenfallsmodellen.Mångaanvänderidagkon-ceptetagilutvecklingisinverksamhetdärutvecklingenskermeriterativt.Oavsettvalavmodellförutvecklingärdetviktigtattsä-kerställaenintegrationavsäkerhetsarbetetsomennaturligdelavutvecklingsprocessenföratttillvaratasäkerhetsskyddskravenihelalivscykelperspektivetförinformations-systemet.

7 Utveckling av informationssystem


Särskild säkerhetsskyddsbedömning

Funktionstest ochsäkerhetsgranskning

Utveckling och Implementation

Drift

Verifiering av krav

Fastställarkitektur

Figur 6 Ett exempel på en utvecklingsprocess enligt den så kallade vattenfallsmodellen.


7.3 Särskild säkerhetsskydds-bedömning

3 kap. 1 § säkerhetsskyddsförordningen (2018:658)2 kap. 12 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd4 kap. 6 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

7.3.1 Allmänt om särskild säkerhets-skyddsbedömning

Ensärskildsäkerhetsskyddsbedömningförett informationssystem är en analys med syfteattklarläggavilkasäkerhetsskyddsåt-gärdersomskavidtasförettinformations-systemsomharbetydelseförsäkerhetskäns-ligverksamhet.

Av3kap.1§säkerhetsskyddsförordningen(2018:658)framgåratt:3 §: Innan ett informationssystem som har bety-delse för säkerhetskänslig verksamhet tas i drift ska verksamhetsutövaren genom en särskild sä-kerhetsskyddsbedömning ta ställning till vilka säkerhetskrav i systemet som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses. Säkerhetsskyddsbedömningen ska dokumenteras.

Densärskildasäkerhetsskyddsbedömningenutgörgrundenfördetsäkerhetsskyddsar-betesomskabedrivasförettinformations-systemavbetydelseförsäkerhetskänsligverksamhet.Dådensärskildasäkerhets-skyddsbedömningenskaklargöravilkasäkerhetskravsomärmotiveradeförettså-dantinformationssystemblirdenettviktigtstödförverksamhetsutövarenunderutveck-lingsprocessen.

Densärskildasäkerhetsskyddsbedömningenbörsammantagetgesvarpånedanståendefrågor:• Hurskainformationssystemetanvändasochavvem?

• Påvilketsättärinformationssystemetavbetydelseförsäkerhetskänsligverksam-het?

• Hur exponeras informationssystemet mot andrainformationssystem?

• Vilkasäkerhetskravgällerförinforma-tionssystemet?

• Vilkasäkerhetsskyddsåtgärderbehöverinförasiochkringinformationssyste-met?

Idettaavsnittbeskrivsdeaspektersombörbeaktasvidgenomförandetavensärskildsäkerhetsskyddsbedömningförettinforma-tionssystem.

7.3.2 Hur ska informationssystemet använ-das?

Detförstastegetvidgenomförandetavensärskildsäkerhetsskyddsbedömningförettinformationssystemärattklarläggavadin-formationssystemetskaanvändastillochavvemdetskaanvändas.Ominformationssys-temetäravsettattanvändasifleraverksam-heterärdetviktigtattfastställavilka.Ivissafallskerutvecklingavinformationssystemetförenspecifikverksamhet,mendetärinteovanligtattinformationssystemövertidkankommaattanvändasiandraverksamheterdärbehovetavsäkerhetskyddsåtgärderärannorlunda.Dåförändringaravsäkerhets-skyddsåtgärdertenderarattblikostsammaomdeskainförasiefterhandärdetönsk-värtattredanfrånbörjanbeaktaettmerlångsiktigtperspektivochtahöjdförettbredareanvändningsområde.


7.3.3 På vilket sätt är informationssyste-met av betydelse för säkerhetskänslig

verksamhet?

Närverksamhetsutövarenidentifierathurochavveminformationssystemetskaan-vändasbehövsdetfastställaspåvilketsättinformationssystemetharbetydelseförsä-kerhetskänsligverksamhet.Idennabedöm-ningkanverksamhetsutövarentastödavföljandefrågeställningarförattidentifieraberördaskyddsvärden:

1. Skasäkerhetsskyddsklassificeradeuppgifterbehandlasisystemet?Påvilketsätt?

• VilkenskadaförSverigessäkerhetkanuppståomuppgifternasominformationssystemet behandlar röjs?

• Ska informationssystemet behandlauppgiftersomomfattasavettförSverigeförpliktandeinternationelltåtagandeomsäkerhetsskydd?

2. VilkenskadaförSverigessäkerhetkanuppståomuppgifternasominformationssystemet ska behandla görsotillgängligaellerobehörigenförändras?

Säkerhetsskyddsklassificeringochvadsomframgåravverksamhetsutövarenssäker-hetsskyddsanalysärviktigaingångsvärdenförattverksamhetsutövarenkunnabesvaraovanståendefrågor.

7.3.4 Hur exponeras informationssystemet mot andra informationssystem?

Nästastegärattresonerakringhurinfor-mationssystemet exponeras mot och intera-gerarmedandrainformationssystem.Ettlämpligtsättattdokumenteradettaärtaframenövergripandedesignsombeskriverhur informationssystemet ska kommuni-cera med andra informationssystem, eller övrigalogiskasambandsomfinnstillinfor-mationssystemet.

7.3.5 Vilka säkerhetskrav gäller för infor-mationssystemet?

Närallaskyddsvärdenäridentifieradeochbedömdaärdetlämpligtattklarläggavilkakravavseendesäkerhetsskyddsomärrele-vantaförskyddetavinformationssystemet.Sådanakravfinnsfrämstibestämmelsernaisäkerhetsskyddslagen(2018:585),säker-hetsskyddsförordningen(2018:658)ochiSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.Vilkakravsomärtill-lämpligabaserastillstordelavvilkentypavsäkerhetsskyddsklassificeradeuppgiftersomska hanteras i ett informationssystem.

Omdetiinformationssystemetskabehand-lasuppgiftersomomfattasavettförSverigeförpliktandeinternationelltåtagandeomsä-kerhetsskyddmåsteävendekravsomföljeravdeninternationellaöverenskommelsenidentifierasochdokumenteras.

7.3.6 Vilka säkerhetsskyddsåtgärder behö-ver införas i och kring informations-systemet?

Närsäkerhetskravenäridentifierademåsteverksamhetsutövarenanalyseravilkasäker-hetsskyddsåtgärdersomärmotiveradeattvidtaiochkringinformationssystemet.

Dekravpåsäkerhetsskyddsåtgärdersomföljeravbestämmelsernaiförfattningarnakräveroftavidareanalysförattfastställapåvilketsättdeskatillämpas.Detframgårexempelvisinteavbestämmelsernavariettinformationssystemsäkerhetskyddsåtgär-derna ska appliceras och hur de ska dimen-sioneras.Huvudprincipenärattsäkerhets-skyddsåtgärdernaskaanpassasutifråndethögstaidentifieradeskyddsvärdetsominfor-mationssystemetavseratthantera,vilkenhotbildsomföreliggermotdessaskyddsvär-den,hurochavveminformationssystemetskaanvändassamthurdetskaexponeras.Detkandärutöverfinnasskältillattvidtaflersäkerhetsåtgärderänvadsomframgåravförfattningarna.


Enviktigprincipattbeaktavidfaststäl-landeavsäkerhetsskyddsåtgärderärattdessautformassåattdekompletterarochöverlapparvarandra.Ingångvärdetvidbeaktandeavdennaprincipärattsäker-hetsskyddsåtgärdernaskabyggasifleralager.Fördelenmeddettaärattävenomensäkerhetsskyddsåtgärdvisarsigvaraotill-räcklig,finnsfleraandrasäkerhetsskyddsåt-gärdersomkanträdainochexempelvisför-hindraettförsöktillintrång.Inomengelsk

facklitteratur brukar denna princip beskri-vassomdefence in depth.

Dettakapitelgerstödkringvilkasäkerhets-skyddsåtgärdersomskaochbörimple-menteras i ett informationssystem som har betydelseförsäkerhetskänsligverksamhet.Iövrigakapitelidennavägledningfinnsdärutöverstödihurdetoperativasäkerhets-skyddsarbetetförettinformationssystembörbedrivas.

Figur 7 En illustration av principen defence in depth.

Rutiner och processer, utbildning och uppföljning

Fysisk säkerhet

Infrastruktur

Nätverk

Operativsystem

Applikation

Information


7.4 Arkitektur

7.4.1 Allmänt om arkitektur

Medbegreppetarkitekturidennavägled-ningavsesendetaljeradspecifikationövervilkaingåendekomponenteterettinforma-tionssystemskabeståav,samtgränssnittenmellandessa.Komponenterkanexempelvisutgörasavhårdvarasåsominfrastruktur-komponenter,ellermjukvaraiformavapp-likationerochplattformar.Ettgränssnittkanexempelvisvarakommunikationspro-tokoll eller hur komponenterna ska sam-mankopplasrentfysiskt.Medbegreppetar-kitekturavsesävenuppbyggnadeninomettinformationssystem,exempelvisifrågahurolika entiteter inom informationssystem tillåtskommuniceramedvarandra,samtberoenden mellan entiteter.

7.4.2 Separation

4 kap. 19-21 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

7.4.2.1 Allmänt om separation Ettinformationssystemochprogramvarorochkomponentersomingåridetinnehålleriregelbådekändaochokändasårbarhetersomundervissaomständigheterkannyttjasavenhotaktör.Vilkeninsatssomkrävsavenhotaktörförattutnyttjaensådansårbar-hetärtillstordelberoendeavhurinforma-tionssystemet exponeras.

Ett informationssystem som inte kommuni-cerarmednågotannatinformationssystemhargenerelltsettenlåggradavexponeringgentemotexternahotaktörer.Ettinforma-tionssystem som kommunicerar med ett ellerfleraandrainformationssystemhardäremotenhögreexponering,vilketocksåöppnaruppflermöjligavägartillangrepp.

Förattminskaexponeringavinformations-systemsominnehållersäkerhetsskyddsklas-sificeradeuppgifterärseparationmellaninformationssystemenviktigsäkerhets-skyddsåtgärd.

BestämmelserrelateradetillseparationavinformationssystemåterfinnsiSäkerhetspo-lisensföreskrifter(PMFS2019:2)omsäker-hetsskydd.

Avbestämmelsernai4kap.20-21§§iPMFS2019:2framgåratt:20 §: Verksamhetsutövaren ska se till att infor-mationssystem som är avsett för att behandla sä-kerhetsskyddsklassificerade uppgifter i säkerhets-skyddsklassen begränsat hemlig eller konfidentiell, logiskt separeras från informationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd.

21 §: Verksamhetsutövaren ska se till att infor-mationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säker-hetsskyddsklassen hemlig eller kvalificerat hemlig, fysiskt separeras från informationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd. Informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig, ska tillåta endast envägskom-munikation vid import respektive export av data.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktavidseparationavinformationssystemavsettförattbehandlasäkerhetsskyddsklassifice-radeuppgifter.

7.4.2.2 Logisk separationVerksamhetsutövarenskasetillattettin-formationssystemsomäravsettförattbe-handlasäkerhetsskyddsklassificeradeupp-gifterisäkerhetsskyddsklassenbegränsathemligellerkonfidentiell,logisktsepareras


fråninformationssystemellernätverksominteomfattasavmotsvarandekravpåsäker-hetsskydd.

Medlogiskseparationavsesattmöjlighetentillkommunikationmellansådanainforma-tionssystemförhindrasmedstödavmjuk-ellerhårdvara.Ettinformationssystemavsettförattbehandlasäkerhetsskyddsklas-sificeradeuppgifterisäkerhetsskyddsklas-senbegränsathemligellerkonfidentiellkanivissafalldelainfrastrukturkomponentermed ett informationssystem som inte omfat-tasavsäkerhetsskydd.

Detekniskalösningarsomfinnstillgängligaförattdelainfrastrukturmedförbåderiskerochsårbarhetersomenverksamhetsutövare

behöverhantera.Attdelainfrastruktur-komponentermellansådanainformations-systembördärförskerestriktivt.Idefallenverksamhetsutövareövervägerattanvändasigavlogiskseparationbörföljanderiskersärskiltbeaktas:• Sårbarheteritekniken• Sårbarheteriimplementationenavtek-

niken • Felaktigakonfigurationer

Inedanståendematrisbeskrivsettantalriskerkoppladetillolikatekniskalösningarförlogiskseparation:

Område Teknik Risk

Nätverk Nätverksvirtualisering (VLAN)BrandväggarMjukvarudefinierade nätverk (SDN)

Felaktig konfiguration eller sårbarheter i implementationen möjliggör otillåten kom-munikation mellan entiteter i nätverket och öppnar upp möjliga vägar för angrepp.

Lagring Lagringsvirtualisering(Lagringsmedia delas genom virtuella zoner/pooler)

Felaktig konfiguration eller sårbarheter i implementationen medför att servrar som inte omfattas av säkerhetsskydd kan kom-municera med servrar som omfattas av säkerhetsskydd och den information som hanteras där.

Operativsys-tem

Servervirtualisering(Resurser såsom processor och arbetsminne delas mellan virtuella maskiner)

Felaktig konfiguration eller sårbarheter i mjukvaran möjliggör att integriteten mellan virtualiserade maskiner inte upprätthålls. En virtualiserad maskin får åtkomst till en annan virtualiserad maskin och den infor-mation som hanteras där.

Programvara Applikationsvirtualisering(Operativsystem delas mellan processer)

Felaktig konfiguration eller sårbarheter i mjukvaran möjliggör att integriteten mellan virtualiserade processer inte upprätthålls. En virtualiserad process får åtkomst till en annan virtualiserad process och den infor-mation som hanteras där.

Tabell 3 Risker kopplade till olika tekniska lösningar för logisk separation.


I Figur 8 nedan illustreras en risk som del-ningavinfrastrukturkomponentermellaninformationssystemkanmedföra.Ifigurensesenvirtuellserverdärdenvirtuellainfra-strukturen delas mellan ett informationssys-temsombehandlarsäkerhetsskyddsklassifi-ceradeuppgifterochettinformationssystemsominteomfattasavsäkerhetsskydd.Medhjälpavensårbarhetidetenainformations-systemangriperhotaktörendenvirtuellain-frastrukturenochfåråtkomsttilldetandrainformationssystemet.

Ävenominformationssystemavseddaförattbehandlasäkerhetsskyddsklassificerade

uppgifterisäkerhetsskyddsklassenbegrän-sathemligellerkonfidentiellinteskakom-municera med informationssystem eller nätverksomsaknarmotsvarandekravpåsäkerhetsskydd,föreliggeriblandbehovavsådankommunikation.Omsådankom-munikationskakunnarealiserasmåsteverksamhetsutövarenansökaomundantag.BådeSäkerhetspolisenochtillsynsmyndig-heternaharmöjlighetattmedgeundantagfrånbestämmelsernaiSäkerhetspolisensfö-reskrifter(PMFS2019:2)omsäkerhetsskydd.InnanentillsynsmyndighetfattarbeslutomundantagskamyndighetensamrådamedSäkerhetspolisen.

Figur 8 En risk som kan uppstå vid delning av infrastrukturkomponenter mellan informationssystem.


7.4.2.3 Fysisk separationVerksamhetsutövarenskasetillattinforma-tionssystemsomäravsettförattbehandlasäkerhetsskyddsklassificeradeuppgifterisäkerhetsskyddsklassenhemligellerkvalifi-cerathemlig,fysisktseparerasfråninforma-tionssystemellernätverksominteomfattasavmotsvarandekravpåsäkerhetsskydd.Medfysiskseparationavsesattettinforma-tionssysteminteharnågrafysiskasamman-kopplingarmedettannatinformationssys-tem,omdetinteomfattasavmotsvarandekravpåsäkerhetsskydd.

7.4.2.4 Import- och export av dataOmdataskaimporterastillinformations-systemavsettförattbehandlasäkerhets-skyddsklassificeradeuppgifterisäkerhets-skyddsklassenbegränsathemligellerkon-fidentiell,frånettinformationssystemsominteomfattasavsäkerhetsskydd,behöververksamhetsutövarentillseattimportgörs

påettsådantsättattinformationssystemenintekankommuniceramedvarandra.Enmetodförgenomförasådanimportkanvaraattimporteradataviaettbärbartlagrings-media.

Förinformationssystemavsettförattbe-handlasäkerhetsskyddsklassificeradeupp-gifterisäkerhetsskyddsklassenhemligellerkvalificerathemlig,skaimportochexportavdataendastskeviaenvägskommunika-tion.Medenvägskommunikationavsesattinformationenbartkanflödaåtetthåll.Envägskommunikationrealiserasmedstödavenhårdvarukomponent,såkalladdata-diod,somenbarttillåterkommunikationienriktningochdärmedgördetomöjligtattinformationöverförsimotsattriktning.Ombådeimportochexportbehöverutförassamtidigtskalldessafunktioner,sålångtdetärmöjligt,separerasförattgöradetsvårtattöppnauppendubbelriktadkommunika-tionskanal.

Figur 9 En illustration av fysisk separation.


Vidimportavdatabörverksamhetsutöva-renhaenfunktionsomkandetekterafö-rekomstavskadligkod,ellerpåannatsättverifieraintegritetenidatasomimporteras.Etttillvägagångsättkanvaraattexekveradataiettfriståendeinformationssystem,såkalladsandlåda(engelska:sandbox).Meddennametodkanverksamhetsutövarenkontrollerainnehålletochiförkommandefall”tvätta”filernaellerförhindrafilernafrånattimporteras.

I Figur 10ovansesenkonceptuellskissöverhurenfunktionförimportochexportkanfungera.

7.4.3 Kontrollerad kommunikation


7.4.3.1 Allmänt om kontrollerad kommu-nikationEttannatsättattminskaexponeringenavett informationssystem är att säkerställa att detkommunicerarpåettkontrolleratsätt.

Allainformationssystemavbetydelseförsäkerhetskänsligverksamhetskadärförutformasenligtprincipenomkontrolleradkommunikation.Meddettaavsesattverk-samhetsutövarenförstfastställerhurochpåvilketsättettsådantinformationssystemfårkommunicera.Därefterskaverksamhetsut-

Figur 10 Konceptuell skiss över funktioner för import och export av data.

övareninföralämpligasäkerhetskyddsåtgär-der som säkerhetsställer att informations-systemendasttillåtskommunicerapåettkontrollerat sätt.

BestämmelserrelateradetillkontrolleradkommunikationåterfinnsiSäkerhetspoli-sensföreskrifter(PMFS2019:2)omsäker-hetsskydd.Avbestämmelsernai4kap.19§framgåratt:19 §: Verksamhetsutövaren ska se till att informa-tionssystem som har betydelse för säkerhetskänslig verksamhet kommunicerar på ett kontrollerat sätt med komponenter eller delsystem inom samma informationssystem, och kommunicerar på ett kon-trollerat sätt med informationssystem eller nätverk som inte omfattas av krav på säkerhetsskydd.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövarebörbeaktaförattkunna tillse att ett informationssystem som harbetydelseförsäkerhetskänsligverksam-hetendastkommunicerarpåettkontrolle-rat sätt.

7.4.3.2 SäkerhetszonerEttteoretisktkonceptsomkananvändasförattåskådliggöraolikaprinciperförattmins-kaexponeringenavettinformationssystemär att modellera olika säkerhetszoner. I denna kontext placeras ett informations-systemiensäkerhetszonbaseratpåhurskyddsvärtdetär.


MedutgångspunktiillustrationeniFigur 11 ovankanlämpligasäkerhetskyddssåtgärdertillseattendasttillåtenkommunikationkanskefrånenzontillennästliggandezon.Detbördärförexempelvisintevaramöjligtattupprättakommunikationdirektfrånzon4tillzon2eller1,utanattpasseramellanlig-gandezon(er)därdataverifierasinnandeskickasvidare.Informationssystemsomomfattasavmotsvarandekravpåsäkerhets-skydd kan placeras i samma säkerhetszon.

AvillustrationeniFigur 11ovanförståsävenattenhotaktörmedettslumpmässigtmål,oftast inte har de resurser, kunskap och denihållighetsomkrävsförattfååtkomst

Figur 11 Exempel på zonindelning.

tilldemestskyddsvärdazonerna.Enmål-inriktadhotaktörmedytterligareresurserochihållighetkandockförsökakommaåtmerskyddsvärdainformationssystem.Enavanceradhotaktörkanarbetalångsiktigtochförfogaöverstoraresurser,vilketkanmöjliggörakomprometteringavdetmestskyddsvärdainformationssystemen.

I Figur 12 nedan ses ett exempel där infor-mationssystem placerade inom samma sä-kerhetszon kan kommunicera direkt med varandraochdelainfrastrukturkomponen-ter.Kommunikationmellandessaskalldockskepåettkontrolleratsätt,exempelvismedhjälpavbrandvägg.

Figur 12 Informationssystem inom en och samma säkerhetszon.


7.4.3.3 Fastställa nödvändig kommunika-tionFörattfastställavilkenkommunikationsomskatillåtasiettinformationssystemsamtförattfastställavilkaskyddsåtgärdersomärlämpligaförattförhindraotillåtenkommunikationbörenverksamhetsutö-varegenomföraenhotmodellering.Hurenhotmodelleringkangenomförasbeskrivsiavsnitt7.5.2.

7.4.3.4 Kommunicering på ett kontrollerat sättEttinformationssysteminnehållerfleraolikaentiteter(användare,funktionerosv),somkommunicerarmedvarandraförattutbytainformation.Närenentitettillåtsattkommuniceramedenannanöppnasmöj-ligavägartillangreppsomkannyttjasavenhotaktör.Ettannatsättattbeskrivadettaärattentiteternaexponerarenangreppsyta.

Förattminskaexponeringavangreppsytorskaverksamhetsutövarentillseatt informationssystemsomharbetydelseförsäkerhetskänsligverksamhetendastkom-municerarpåettkontrolleratsättmedkom-ponenter eller delsystem inom samma infor-

mationssystem,samtkommunicerarpåettkontrollerat sätt med informationssystem ellernätverksominteomfattasavkravpåsäkerhetsskydd.

Medbegreppetkommunicerar på ett kontrol-lerat sättavsesattverksamhetsutövarenhargjortettmedvetetställningstagandekringhurentitetertillåtskommunicerasinsemel-lan,samthurdessafårkommuniceramedentiteteriandrainformationssystem.Medbegreppetavsesävenattverksamhetsutö-varenharinförtsäkerhetsskyddsåtgärdersomförhindrarkommunikationsominteärtillåten.Enviktigprincipattbeaktaförattkunnauppnåkontrolleradkommunikationärattendastnödvändigkommunikationmellanentiteterskatillåtas,ochövrigkom-munikationförhindras.

I Figur 13nedansestvåinformationssystemdäråtkomstkontrollharimplementerats.Åtkomstkontrollenavgörvilkafunktionersomfårkommuniceramedvarandra,vilketmedförattmöjligavägartillangreppkraf-tigtreduceras.Endastspecifiktutpekadefunktioner, benämnda funktion X och funk-tionYifigurernanedan,kankommuniceramedvarandra.

Figur 13 Informationssystem med kontrollerad kommunikation genom åtkomstkontroll.


KommunikationmellanentiteterkanävenbegränsasgenomexempelvisVLANochbrandväggarsomendasttillåtergodkändkommunikationmellanolikanätsegment.Stödjandeellersäkerhetsrelateradefunktio-neriettinformationssystemsåsomexem-pelvisadministration(management),logg-ningellersäkerhetskopieringbörutförasochhanterasiavskildanätsegment.Syftetmeddettaärattminskaexponeringavan-greppsytorochbegränsamöjligheterförenhotaktörattfååtkomsttillkänsligaresursersomkangeadministrativabehörigheterellerpåverkaspårbarheten.Vidarebörkom-munikationtillsådananätsegment,närsåärmöjligt,krypterasförattförhindraobe-höriginsynochpåverkan.

I Figur 14nedansesenkonceptuelldesignöverhuråtkomstmellankomponenter,funktioner eller delsystem inom samma in-formationssystemkanbegränsas.Samtligafunktionerkandärkommuniceraochöver-föraloggtillettnätsegmentsomskyddar

logginformationenfrånobehörigpåverkan.Kommunikationeninomverksamhetssys-temetbegränsasgenomnätsegmenteringiolikazoner.Klienterbörexempelvisintefådirekttillgångtilldatabaserdådettakanmedföraexponeringavkänsligafunktioner.APIexponerarettgränssnittförautentise-ringsamtauktorisationavklienter.Klienterbördärförkommuniceraviaettväldefinie-ratAPIsomenbartgerbehörigaanvändaretillgångtilldefunktionerochdeninfor-mationsomärnödvändigförattdessaskakunnautförasinaarbetsuppgifter.VidareärsegmentenImportochExportsepareradeförattminimerariskförinformationsläck-age.

Vidkommunikationavsäkerhetsskyddsklas-sificeradeuppgifteröverförbindelserutan-förverksamhetsutövarenskontroll,krävskryptografiskafunktionersomhargodkäntsavFörsvarsmakten.Dettabeskrivsiavsnitt7.4.4.6.

Figur 14 Konceptuell design över hur separation av olika funktioner kan ske i ett informationssystem.


7.4.4 Kryptering

3 kap. 5 § säkerhetsskyddsförordningen (2018:658)7 kap. 5 § säkerhetsskyddsförordningen (2018:658)3 kap. 21 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd 4 kap. 22, 28 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

7.4.4.1 Allmänt om krypteringDatakommunikationsominteärkrypteradkanmedenklamedelavlyssnasavnågonsomhartillgångtillkommunikationen.Detsammagällerförinformationpålag-ringsmedia.Krypteringärdärförenviktigåtgärdförattskyddainformationfrånobe-hörigåtkomstnärdentransporterasiettnätverk,ellernärdenlagras.Krypteringkanävenanvändasförattskyddainformationmotförändringgenomsåkalladelektronisksignering,vilketocksåkananvändasförattbevisaenidentitet(autentisering)medexempelvissmartakort.BestämmelseromkrypteringåterfinnsiSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhets-skyddochiSäkerhetsskyddsförordningen(2018:658).

Avbestämmelsernai4kap.22§iPMFS2019:2framgåratt:22 §: Verksamhetsutövaren ska analysera behovet av användning av kryptografiska funktioner till skydd för säkerhetsskyddsklassificerade uppgifter och uppgifter som behöver skyddas från ett riktig-hetsperspektiv.

Avbestämmelsernai3kap.5§isäkerhets-skyddförordningen(2018:658)framgåratt:5 §: Innan säkerhetsskyddsklassificerade uppgifter behandlas i ett informationssystem utanför verk-samhetsutövarens kontroll ska denne försäkra sig om att säkerhetsskyddet för uppgifterna i systemet är tillräckligt.

Om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll ska uppgifterna

skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.

Enverksamhetsutövarebehöveranalyserabehovetavkryptografiskafunktionerfördataivilaochdataundertransportochdär-efterinföradeskyddsåtgärdersomärmoti-verade.Meddataivilamenasattdenlagraspåettlagringsmediumsåsomexempelvisenhårddiskellerenmobilenhet.Meddataundertransportmenasattdenrörsigmel-lanolikakomponenteriettdatanätverk.

Förattkrypteringavinformationskablirobustkrävsenkedjaavvälfungeradeåtgär-der.Idettaingåralltifrånsäkerhanteringavkryptonycklar,skyddavkryptografiskutrustning,tilldentekniskaimplementatio-nenavdenkryptografiskafunktionaliteteniinformationssystemet.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktavidinförandeavfunktionerförkrypteringavinformationiettinformationssystemavbetydelseförsäkerhetskänsligverksamhet.

7.4.4.2 Säkra algoritmer och chiffersviterMedjämnamellanrumupptäckssårbarhe-teridealgoritmersomanvändsförkryp-tografi.Attgenomföraomvärldsbevakningförattinhämtaavinformationomsådanasårbarheterärdärförviktigtförattverk-samhetsutövarenskahamöjlighetattbytautbristfälligaalgoritmerellerimplementa-tionerigodtid.

Chiffersviteranvändsblandannatvidhandskakningikommunikationsprotokol-letTransportLayerSecurity(TLS),somärvanligtförekommandeförkrypteringavdatakommunikation.Vidhandskakningenförhandlarparternaomvilkaalgoritmersomskallanvändasvidkommunikationen.Idettasammanhangärdetviktigtatthand-skakningenendasttillåteralgoritmersomverksamhetsutövarenhargodkäntförända-målet.


7.4.4.3 PKI – Public Key InfrastructureFörattanvändareochkomponenterinomettinformationssystempåettenkeltsättskakunnaverifieraidentiteterochandraenti-teteriinformationssystemetbörPublicKeyInfrastructure(PKI)användas.

PKIinnebärattverksamhetsutövarenim-plementerareninfrastrukturförcertifikatochnyckelhantering,därenellerfleracerti-fikatutfärdare(CA,CertificateAuthority)ärutgivareavdigitalacertifikat.Digitalacerti-fikatknyterenpubliknyckeltillsubjekt(ex-empelvisettanvändarnamn)påcertifikatetochsigneraselektronisktavCA.Förlitandeparterkansedanverifieraattenmotpartharenprivatnyckelsomstårirelationtillen publik nyckel och som i sin tur är elek-tronisktsigneradav,enavdem,betroddCA.HanteringavPKI-miljönochrutinerkringutfärdandeavdigitalacertifikatbeskrivsiettsåkallatCertificatePracticeStatement(CPS).

PKI-infrastrukturenkananvändasförenmängdolikatillämpningar,såsomkryptera-deanslutningarmellanklienterochservrar,signeradoch/ellerkrypterade-postellertvåfaktorsinloggningmedsåkalladesmartakort.

7.4.4.4 NyckelhanteringHurkrypteringsnycklarskyddasäravgö-randeförhursäkerenfunktionförkrypte-ringkanansesvara.Attsäkerställaattingenobehörigkanfååtkomsttilldenycklarsomanvändsvidkryptering(ochiförekom-mandefallsignering)ärdärförmycketvik-tigt.Verksamhetsutövarensnyckelhanteringbördärförreglerasbådeuradministrativtochteknisktperspektiv,exempelvisgenombestämmelseromhurochnärkrypterings-nycklarutfärdas,bytsutochförstörs.

Föranvändarekandessanycklarlagraspåsmartakort.Krypterings-ochsignerings-nycklarsomanvändsiservrarkanlagrasiensåkalladHardwareSecurityModule(HSM).Dettaminskarriskenförobehörig

åtkomsttillnycklarna.Krypteringsnycklarbörsäkerhetskopierascentraltsåattdekrypteringärmöjligävenomoriginalnyckelnharförsvunnit,såkalladKeyEscrow.Detärviktigtattdettareglerasnoggrantochattdetgenomförspåettkon-trolleratochsäkertsätt.Signeringsnycklarbördockintesäkerhetskopierasdådetpå-verkarsigneringensoavvislighet,detvillsägaattinnehavarenavsigneringsnyckelkanhävdaattnågonannanharsigneratettobjektidennesnamn.

7.4.4.5 Egenutvecklad mjukvaraVidutvecklingavinformationssystembörstandardiseradeochvälbeprövadeprogram-varubibliotekanvändas.Detärviktigtattnoggrantföljadokumentationenförhurfunktioneridessabibliotekskallanvändas.

NoteraProprietära säkerhetslösningar tenderar ofta att bli sårbara. Av denna anledning är det fördelaktigt att använda standardiserade och väletablerade produkter, protokoll och algoritmer i den omfattning det är möjligt.

7.4.4.6 Kryptografiska funktioner som god-känts av FörsvarsmaktenOmsäkerhetsskyddsklassificeradeuppgifterska kommuniceras till ett informationssys-temutanförverksamhetsutövarenskontroll,skauppgifternaskyddasmedhjälpavkryp-tografiskafunktionersomhargodkäntsavFörsvarsmakten.

Medbegreppetkontrollmenasattverksam-hetsutövarenskahasådankontrollöverdenförbindelsesomanvändsförattöverföra(kommunicera)desäkerhetsskyddsklassifi-ceradeuppgifterna,attobehörigavlyssningkansägasvarautesluten.Omverksamhets-utövarensaknarsådankontrollskaiställetkryptografiskafunktionersomhargodkäntsavFörsvarsmaktenanvändasförattskyddadesäkerhetsskyddsklassificeradeuppgif-


ternavidöverföring.Ipraktikeninnebärbegreppetkontrollattverksamhetsutövarenskabesittabådeadministrativkontrollöverinformationssystemet/datanätetochfysiskkontrollöverförbindelsensåattobehö-rig åtkomstföravlyssningkanförhindras.

Försvarsmaktenärdenmyndighetsomfårutfärdaföreskrifteromkryptografiskafunk-tionersomäravseddaförskyddavsäker-hetskänsligverksamhet.

VidbehovavkryptografiskafunktionersomgodkäntsavFörsvarsmaktenkanenverksamhetsutövareiförstahandkontaktaMyndighetenförsamhällsskyddochbered-skap(MSB)somhariuppdragattsamordnabeställningaravsignalskydd.

7.4.5 Identitets- och behörighetshantering

2 kap. 3 § säkerhetsskyddsförordningen (2018:658)3 kap. 4 § säkerhetsskyddsförordningen (2018:658)2 kap. 17 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd 4 kap. 12-17 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

7.4.5.1 Allmänt om identitets och behörig-hetshanteringFörattsäkerställaattendastbehörigafåråtkomsttillettinformationssystemsamtförattsäkerhetsställaspårbarhettillolikahän-delserärenverksamhetsutövaresidentitets-ochbehörighetshanteringettviktigtarbete.Dettaarbeteinnefattarmångadelar,alltfrånid-kontrollförattverifieraidentitetenpåenpersonsomskatilldelasettanvändar-kontoiettinformationssystem,tillattföljauppochsäkerställaattenanvändareharrättbehörigheterövertid.

Bestämmelseromidentitetsochbehörig-hetshanteringåterfinnsblandannatiSäker-hetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.

Avbestämmelsernai2kap.17§iPMFS2019:2framgåratt:17 §: Verksamhetsutövaren ska ha rutiner för tilldelning och förändring av behörigheter, fysiska eller elektroniska nycklar eller annat som ger åt-komst till säkerhetskänslig verksamhet. Verksam-hetsutövaren ska kunna följa upp vilken åtkomst den som deltar i säkerhetskänslig verksamhet har till verksamheten, och regelbundet, minst en gång per år, ompröva sådana åtkomster.

Avbestämmelsernai4kap.12-13§§iPMFS2019:2framgåratt:12 §: Alla utställda identiteter i ett informations-system som har betydelse för säkerhetskänslig verksamhet ska vara unika över tid. Åtkomsten ska vara spårbar till individ, system eller resurs.

13 §: Verksamhetsutövaren ska tilldela sådana behörigheter som ger systemadministrativ åtkomst eller annan särskild tillgång till informations-system som har betydelse för säkerhetskänslig verksamhet restriktivt. Behörigheterna ska vara tidsbegränsade och följas upp särskilt. Tilldelning av behörigheter enligt första stycket som inte di-rekt kan kopplas till någon fysisk individ ska ske särskilt restriktivt och beslutas av säkerhetsskydds-chefen eller den han eller hon bestämmer.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövarebehöverbeaktavidhanteringavidentiteterochbehörigheteriett informationssystem som har betydelse försäkerhetskänsligverksamhet.

7.4.5.2 BehörighetsstyrningÅtkomstinomettinformationssystembase-rassomregelpåenanvändare(ellerettan-vändarkonto)tillvilketdettilldelasbehörig-hetersomstyrvadanvändarenkommeråt.Medbehörighetsstyrningavsesfrämstadmi-nistrativaåtgärderförattstyraochhanteraåtkomsttillochinomettinformationssys-tem.Deadministrativaåtgärdernahandlarfrämstomprocesser,rutinerochreglersombeskriverhurverksamhetsutövarensskahanteraanvändareochderasbehörigheteriettinformationssystem.Viktigaperspektivattbeaktavidbehörighetsstyrningärtilldel-


ning,förändringochuppföljningavanvän-dareochbehörigheter.

Huvudprincipenvidbehörighetsstyrningförettinformationssystemavbetydelseförsäkerhetskänsligverksamhetärattenan-vändareavettsådantinformationssystemendasttilldelasdebehörighetersomdennebehöverförattkunnautförasinaarbets-uppgifter.Dennaprincipbeskrivsiflertaletinternationellastandarderochramverk,regulatoriskaregleringarochfacklitteratur.Iengelskfacklitteraturanvändsbegreppet”leastprivilegedaccess”sombenämningfördennaprincip.Enannanviktigprincipattbeaktavidbehörighetsstyrningäratttillde-ladebehörigheterbörtidsbegränsas.

7.4.5.3 Identitetshantering och spårbarhet över tidEnkeltbeskrivetärendigitalidentitetenre-presentationavenfysiskindividiettinfor-mationssystem.Förattenindividskakunnaanvändaettinformationssystemskapasendigitalidentitet,ideflestafalliformavettanvändarkonto.Ettanvändarkontotilldelasisinturbehörighetersomgeråtkomsttillolika resurser i informationssystemet.

Alla utställda identiteter i ett informations-systemsomharbetydelseförsäkerhetskäns-ligverksamhetskavaraunikaövertid,detvillsägaöverhelainformationssystemetslivstid.Anledningentilldettaärattidenti-teten ska kunna knytas till en unik fysisk person under hela informationssystemets livstid,samtattspårbarhetenförvadolikaindividergjortiinformationssystemetskavaratillförlitlig.

Åtkomstinomettinformationssystemskavaraspårbartillantingenindivid,systemellerresurs.Spårbarhetentillindividärviktigtvidbrottsutredningarsamtförattkunna upptäcka och utreda incidenter, vilketbeskrivsmerutförligtiavsnitt8.10.Detfinnsemellertidoftakontoniinforma-tionssystem som inte kan kopplas till en fysiskindivid,sådanakontonkallasävenför

tjänstekontonochanvändsfrämstförattutföraautomatiseradebakgrundsjobbiettinformationssystem.Ävenomtjänstekontonintegårattkopplatillenfysiskindivid,ärdetlikaviktigtattdessaidentiteterärochförblirunikaövertid.

Identiteterkanställasutpåmångasättochiolikaformer.Närverksamhetsutövaretarframprocesser,rutinerochreglerinomramenförsinbehörighetsstyrningärdetviktigtattsäkerställaatt:• användarkontoninteåteranvändsunderinformationssystemetslivstid

• användarkontonaldrigtasbortfrånettinformationssystem,utaniställetavakti-verasomdeinteanvänds

• detskerkontinuerliguppföljningavtill-deladeanvändarkontonochderasbehö-righet

Detärävenviktigtattverksamhetsutövarenhar processer som säkerhetsställer att alla identiteter i ett informationssystem har ut-givitspåetttillförlitligtsätt.

Notera Eftersom livstiden för ett informationssystem kan bli längre än man först planerat för bör användarnamn eller motsvarande inte bestå av för få tecken, då det kan leda till att antalet unika kombinationer tar slut.

I de fall verksamhetsutövaren har en funktion för säkerhetsövervakning bör den bevaka att avaktiverade användarkonton inte återaktiveras och används på ett otillbörligt sätt. Det kan dock finnas legitima skäl till att användarkonton återaktiveras, till exempel då en anställd återgår i tjänst efter en längre tjänste- eller föräldraledighet. Vidare vägledning kring säkerhetsövervakning finns i avsnitt 8.9

7.4.5.4 BehörighetskontrollsystemEntekniskfunktionsomstyranvändarnasåtkomstiettinformationssystem,ellermel-laninformationssystem,benämnsbehörig-


hetskontrollsystem.Ettbehörighetskontroll-systembaserasoftapåolikarollersomkantilldelastillanvändarna.Dessarollerstyranvändarnasskriv-ochläsrättighetertilldeninformationsomfinnsiinformations-systemet.Förattförenklahanteringsamtuppföljningavbehörigheterhanterasdettamångagångeriencentralfunktion,oftabenämndcentraltbehörighetskontrollsys-tem.EttexempelpåensådanfunktionärMicrosoft Active Directory.

Ettcentraltbehörighetskontrollsystemkanutgöraettintressantangreppsmål.Detärdärförviktigtattverksamhetsutövarenvid-taradekvatasäkerhetsskyddsåtgärderförattförhindraattsystemetutgördensvagastekedjanilänken,ifrågaomkontrollenavåtkomsttillinformation.Ettcentraltbehö-righetskontrollsystemskagesettsäkerhets-skyddsommotsvarardethögstasäkerhets-skydd som de anslutna informationssyste-menomgesav.Vidvalavskyddsåtgärderförettcentraltbehörighetskontrollsystemblirdärförsäkerhetsskyddsklassificeringenavinformationenideanslutnainformations-systemenettviktigtingångsvärde.Skydds-åtgärdernaböromfattasåvältekniskasomadministrativasäkerhetsåtgärder.

7.4.5.5 Privilegierade rättigheterAnvändarkontonellersåkalladetjänste-kontonmedsystemadministrativåtkomstbenämnsoftaprivilegieraderättigheterochska i ett informations system hanteras med särskildförsiktighet.Anledningenärattdessa oftast, direkt eller indirekt, har full-ständigåtkomsttillattläsaochförändrafunktionerochinformationsomfinnsiettinformationssystem.Därförskatilldelningavbehörighetermedsystemadministrativarättigheterskeytterstrestriktivt,ochbehö-righeternaskavaratidsbegränsade.

Exempelpåkontonmedprivilegieraderät-tigheterär:• domänochlokalaadministratöreriWin-dowsmiljöer

• kontonmedroot-behörighetiLinux/

Unix-system• användarkontonmedhögrebehörighetinätverksutrustning

• användarkontonmedhögrebehörighetiapplikationer eller databaser

• deladekontonmedhögrebehörighetitekniska”24/7-funktioner”såsomdriftö-vervakning(NetworkOperationsCenter)ochsäkerhetsövervakning(SecurityOpe-rationsCenter)

• specifikatjänstekontonmedsärskildbehörighetförtillexempelsäkerhets-kopiering,överföringar,batchkörningaretcetera

• användarkontonmedövergripandehögrebehörighet(såkallade”PowerUsers”)

Åtkomstmedprivilegieraderättigheterärsomregelenförutsättningförattensystem-administratörskakunnaförändragrundläg-gandefunktionalitetochsäkerhetsfunktio-neriettinformationssystem.Enverksam-hetsutövarebördärförutbildasinasystem-administratörerihuranvändarkontonmedsystemadministrativåtkomstfåranvändas.Detärviktigtattförmedlaattbehörighetinteärdetsammasombefogenhet.Attensystemadministratörkanseinnehålletiendatabaspågrundavbehörighetinnebärintenödvändigtvisattadministratörenharbefo-genhetattgöradet.

Systemadministratörerböriövrigthase-paratakonton(administratörskonton)försystemadministrativtarbetesombarafåranvändasfördettaändamål.Administrativakontonbörintehaåtkomsttillinternetan-slutnatjänster,såsome-postochwebbsurf.Verksamhetsutövarenbehövertillseatttilldelning,förändringochanvändningavanvändarkontonmedsystemadministrativåtkomstloggasochföljsupp.

Enannanviktigaspektattbeaktaäratttjänstekontonoftatilldelasonödigthögabehörigheter.Tjänstekontonbörenbarttilldelasdebehörighetersomkrävsfördenuppgiftsomskallutföras.


NoteraI de fall verksamhetsutövaren har en funktion för säkerhetsövervak-ning bör denna bevaka och följa upp tilldelning, förändring och användning av användarkonton med systemadminis-trativ åtkomst.

7.4.5.6 LösenordLösenord,kodellermotsvarandeärdetvan-ligastesättenattautentiseraanvändareochutgörensåkalladenfaktorsautentisering.Enproblematikmedlösenordärattdemedenkelhetkandelasochspridas,vilketmed-föratttillitenoftaärlågfördennatypavautentisering.Lättgissade,såkalladesvagalösenord,samtanvändaresomanvändersammalösenordöverallt,ärenvanligbristsomkanutnyttjasavenhotaktörförattfåtillgångtillettinformationssystem.Enhotaktörsomkommeröverenanvändareslösenordkanprövaattanvändalösenordetpåfleraställeniettinformationssystemochivärstafalltillskansasigprivilegieraderät-tigheter.Entypiskmåltavlaförettsådantangreppärsystemadministratörersomoftabådeharettvanligtanvändarkontoochettkontomedsystemadministrativåtkomst.Dennaangreppsmetodikärettexempelpåvadsomiengelskfacklitteraturkallasprivi-lege escalation.

Omettlösenordförvaraspåsådantsättattenhotaktörenkeltkanfååtkomsttilldetspelardetingenrollattlösenordetärettsvårgissat,såkallatstarktlösenord.Verk-samhetsutövarenskadärförgekodellerlösenordsomgertillgångtillinformations-systemsomharbetydelseförsäkerhets-känsligverksamhetettsäkerhetsskyddsommotsvarardetsäkerhetsskyddsomomgerinformationssystemdetgeråtkomsttill.

Föratttillseatthanteringenavlösenordinteblirbristfälligärdetävenviktigtattverksamhetsutövarentarframreglerochrutinerförhurlösenordskahanteras.Med

dettaavsesattverksamhetsutövarenskafastställatekniskaelleradministrativareg-lerförutformning,byteochhanteringavlösenord,omsådanaanvändsförgetillgångtill informationssystem som har betydelse försäkerhetskänsligverksamhet.Reglernaskablandannatinnehållabestämmelseromåteranvändningavlösenordsamtlösen-ordenslängdochkomplexitet.

Ettantalviktigtaspektersomenverksam-hetsutövarebehöverbeaktaifrågaomlö-senordshanteringäratt:• Standardlösenordalltidbörbytasut.• Lösenordbörvaraunikamellansystemochinteåteranvändas.

• Begreppet”lösenordsfras”böranvändasiställetför”lösenord”vilketinnebäran-vändningavensammansattmeningsna-rare än ett enskilt ord.

• Lösenordenslängdärviktigareänderaskomplexitet(debörhelstvara15teckenellerlängre).

• Lösenordskaförvarassäkert,tillexempeliettsäkerhetsskåp.Användhellrelånganedskrivnalösenordänenklalösenordsommanhålleriminnet.

• Lösenordtilltjänstekonton(ellerandrakontonsominteenmänniskaskaanvän-da)bör,omdeskapasmanuellt,skapasmedhjälpavprogramförattskapalösen-ord.Människors”slumpmässigtskapade”lösenordärsällanheltslumpmässiga.

NoteraLösenordshanterare kan användas om administratörer eller användare har flera lösenord att hålla reda på. Verksamhetsutö-varen bör i så fall införa en enhetlig lösning för att säkerställa korrekt hantering och tillräckligt säkerhetsskydd för lösenordshan-teraren.

7.4.5.7 Flerfaktorsautentisering Flerfaktorsautentiseringärenåtgärdsomgerhögtillittillidentitetenpådenanvän-daresombegäråtkomsttillettinforma-


tionssystem.Flerfaktorsautentiseringärengrundläggandeprincipsomenverksam-hetsutövareskatillämpasålångtsomdetärmöjligtförattstyraåtkomsttillinforma-tionssystemsomäravbetydelseförsäker-hetskänsligverksamhet.

Ifrågaomflerfaktorsautentiseringtalarmanomattfaktorernaskabaseraspåenkombinationav:• någotman har,exempelvisettsmart

kort,• någotman vet,exempelvisettlösenord

eller en kod, • ellernågotman är(biometri,tillexempelfingeravtryck).

Denfaktorsommanhar,böromgesavså-danaskyddsåtgärdersomförhindrarattdenkopieras.Envanliglösningärattanvändasåkalladesmartakortsomharförsettsmedfunktionersomförhindrarattkortetkanklonas.

Flerfaktorsautentiseringkallasocksåförstarkautentiseringochbenämnsiengelskfacklitteratur multi-factor authentication.Detfinnsdockfalldärflerfaktorsautentise-ringinteärmöjligt.Ettexempelpådettaärtjänstekonton.Idessafallkommerettlösenordensamtattbehövagetillgångtillvissafunktioneriinformationssystemet.Dåbliranvändandetavsvårgissade,såkalladestarkalösenordextraviktigt.

I de fall där ett informationssystem, exem-pelvisettindustrielltstyrsystem,intestöd-jerflerfaktorsautentiseringskakompensa-toriskaåtgärdervidtas.Ensådanåtgärdkanvaraattplacerainformationssystemetiettavskiltnätverkssegment.Verksamhetsutö-varenbörävenvidtaåtgärderförattdetskavaramöjligtattspåravilkaaktivitetervarjeenskildidentitetharutförtpåenmerutför-lignivåännormalt,exempelvisgenomlogg-ningavnätverkstrafikpåanvändarnivåellerinspelningavaktiviteterpåfjärrskrivbord.

Flerfaktorsautentiseringförettinforma-tionssystemsomharbetydelseförsäker-hetskänsligverksamhetbörintevarabero-endeavexternatredjepartstjänster,exem-pelvissms.Anledningenärattverifieringenavanvändarensidentitetskerutanförverk-samhetsutövarenskontroll,vilketkanintro-ducerasårbarheteriåtkomstkontrollen.

7.4.6 Intrångsdetektering och intrångs-skydd

3 kap. 4 § säkerhetsskyddsförordningen (2018:658)4 kap. 29-30 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

7.4.6.1 Allmänt om intrångsdetektering och intrångsskyddBestämmelseromintrångsdetekteringochintrångsskyddåterfinnsiSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhets-skydd.Iföreskriftenbeskrivsintrångsde-tekteringsomadministrativaellertekniskaåtgärdersomvidtasförattdetekteraintrångellerförsökellerförberedelsetillintrångiinformationssystem.Intrångsskyddbeskrivssomadministrativaellertekniskaåtgärdersomvidtasförattskyddainformationssys-temmotobehörigåtkomst.

Avbestämmelsernai4kap.29-30§§iPMFS2019:2framgåratt:29 §: Verksamhetsutövaren ska förse ett infor-mationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säker-hetsskyddsklassen konfidentiell eller högre och som kommunicerar med andra informationssystem, med funktioner för intrångsdetektering och in-trångsskydd.

30 §: Verksamhetsutövaren ska förse ett informa-tionssystem där en incident kan medföra mer än ringa skada för Sveriges säkerhet och som kommu-nicerar med andra informationssystem, med funk-tioner för intrångsdetektering och intrångsskydd.


Idettaavsnittbeskrivsolikatekniskahjälp-medelförintrångsdetekteringochintrångs-skyddsomenverksamhetsutövarekanimplementeraiettinformationssystemavbetydelseförSverigessäkerhet.

7.4.6.2 Tekniska hjälpmedelSyftetmedintrångsdetektering(påengel-ska Intrusion Detection)ärattidentifieraochgöraverksamhetsutövarenuppmärksampåoönskadeaktivitetersompågåriettnätverkelleriettinformationssystem.Intrångs-skydd(påengelskaIntrusion Prevention)harsomfunktionattstoppaellerblockeraoön-skadeaktivitetersompågåriettnätverkeller i ett informationssystem.

Funktionerförintrångsdetekteringochin-trångsskyddkanipraktikenseutpåolikasätt,frånnätverksbaseradeproduktertillprogramvarasominstallerasinågondelavinformationssystemet.Nätverksbaseradeproduktertaroftastsiktepåattupptäckaskadligaaktiviteterinätverkstrafikoch

kallaspåengelskaNIDS–Network Intrusion Detection System.Produktersomävenför-hindrarskadligaaktiviteterinätverkstrafikkallasNIPS–Network Intrusion Prevention System.OperativsystemnäramekanismerfördetektionellerpreventionkallasHIDS–Host Intrustion Detection System,respektiveHIPS–Host Intrusion Prevention System.Utöverdessafinnsävenapplikationsnäraskyddsomärspecialiseradepåvissanätverksprotokoll,exempelvisWeb Application Firewalls(WAF)förwebbaseradkommunikation.

DetärviktigtattIDS-ochIPS-systemsomavsesanvändasverkligenkananalyseradeprotokollsomanvändsinomsystemet,samtidentifieraangrepppådessaprotokollellertjänster.Verksamhetsutövaremåsteanaly-seravarinformationssystemetärexponeratochvarsådanasäkerhetsfunktionerskaim-plementeras.

Inedanståendematrisbeskrivsettantalex-empelpåskyddsmekanismer:

Område Exempel på övervakningspunkter Skyddsmekanism

Nätverk Kända attackmönster i nätverkstrafikNätverksflöden som avviker från nor-mala nivåer

Nätverksbaserad intrångsde-tektering/skydd (NIDS/NIPS)

Applikation Anrop utanför protokollstandardenFelmeddelanden från applikation

Applikationsbrandvägg (ex. WAF)

Operativsystem Skadliga anrop mot OS-APISuspekta anrop mot systemfiler

Systembaserad intrångsdetek-tering/skydd (HIDS/HIPS)


Figur 15 En illustration av olika typer av intrångsdetektering.

Nätverksbaseradeprodukterförintrångs-detekteringochintrångsskyddbliralltmindreeffektivatillföljdavdentekniskautvecklingen,därenstordelavallnätverks-trafikärkrypteradochdärmedsvårareattinspektera.Ivissafallärdetdockmöjligtatttillexempelplaceraservertjänsterbakomenlastbalanseraresomhandharkrypteringgentemotklienter.Dekrypteringavnät-verkstrafikenskerdåinnandennaskickasvidaretillservern,vilketmöjliggörinspek-tionavnätverkstrafiken.

Systemnäraintrångsskyddochintrångs-detekteringgeroftabättreskydds-ochdetekteringsförmågaännätverksbaserademotsvarigheter,eftersomdeliggernärmaresystemetdärhändelsensker.Detärdockavytterstaviktattävenimplementerasäker-hetsövervakningsomkanagerapålarmdåenhotaktörideflestafallkantasigruntdessaskyddomtidges.


7.5 Utveckling och implementation

7.5.1 Drift- och testmiljö

Omettinformationssystemskaimplemen-terasienbefintligit-miljö(såkalladdrift-miljö),börtestningavinformationssystemetutförasiåtskildit-miljö(såkalladtestmiljö),sompåettrealistisktsättefterliknardenit-miljödärinformationssystemetskaim-plementeras.Syftetmedtestmiljönärattsäkerställaattsårbarheterinteinförsidrift-miljön,attundvikastörningaridriftmiljön,samtatttesternaiövrigtblirtillförlitliga.Förutomattdriftmiljönbörvarasepareradfråntestmiljön,böräventestmiljönvarasepareradfråndenit-miljödärutvecklingsker.Verksamhetsutövarenbörsåledesävenupprättaensåkalladutvecklingsmiljö.

7.5.2 Säker systemdesign och systemut-veckling

4 kap. 4-5 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

7.5.2.1 Allmänt om säker systemdesign och systemutvecklingGenomattinföraolikasäkerhetsrelateradeaktiviteterivarjestegunderenutvecklings-processförettinformationssystemökarmöjligheternaattuppnåenkostnadseffektivochförutsägbarsäkerhet.Ettantalgrund-läggandeaktiviteterförattuppnåensäkersystemdesignochsystemutvecklingkanex-

empelvisvara:• utbildningavutvecklareisäkersystem-utveckling(kodning,kodhanteringochramverk)

• hotmodelleringstatisk och dynamisk kodanalys

Verksamhetsutövarenbörävenupprättaenseparationavutvecklingsmiljönfrånpro-duktions-ochtestmiljöerna.

7.5.2.2 HotmodelleringHotmodelleringärenprocessdärpotenti-ellatillvägagångssättsomenhotaktörkantänkasnyttjaförattangripaettinforma-tionssystemidentifieras.Syftetmedhotmo-delleringärattutifrånensystematiskana-lysfåenbildavvilkatyperavangreppenverksamhetsutövarekandrabbasav.

Vidgenomförandetavenhotmodelleringidentifierassystemetsolikakomponenter,kommunikationsvägar,flödenavdataochpotentiella hot samt attacker mot dessa. Dettaarbeteskaresulteraienlistamedsä-kerhetsfunktioner som ska implementeras och potentiella säkerhetsbrister som ska hanterasidenfortsattautvecklingenavinformationssystemet.Ensådanhotmodelle-ringgörslämpligtvisisambandmedframta-gandetavdensärskildasäkerhetsskyddsbe-dömningenförinformationssystemet.

I Figur 16pånästasidasesettexempelpåhotmodelleringochhursäkerhetsbristerkanpresenterasgenomensådan.


Figur 16 Exempel på hotmodellering för att identifiera säkerhetsbrister.

NoteraOrganisationen MITRE har tagit fram ett ramverk (ATT&CK framework) som beskriver olika attackmetoder, vilka kända aktörer som använt dessa och hur de kan motverkas eller upptäckas. Se kapitel 12 för referens.

7.5.2.3 Säker kodning och kodhanteringVidsystemutvecklingbörutvecklingsteamethittaarbetssättsomgergodkodkvalitetochstabilfunktionalitet.Ettexempelpåettså-dantarbetssättärtestdrivenutveckling,därkodenkontrolleraslöpandeförattupptäckasäkerhetsbrister.Verksamhetsutövarenkanmedfördelanvändaautomatiseradstatiskkodanalysförattidentifieraenklaresäker-hetsbristerikoden,exempelvisvidincheck-ningavkodikällkodsträdet.Utvecklarenfårdåinformationomvilkaproblemsomupptäckts i källkoden och hur dessa kan åtgärdas.Dettagöratthelautvecklingspro-cessen och kommande funktionstester och

säkerhetsgranskningarkommerattfortlöpaenklare.

Verksamhetsutövarenbörävengenomföraåterkommandekodgranskningunderhelautvecklingsprocessen.Ettsättkanvaraattinförastickprovsvisakontrolleravkodensåattinformationssystemethållergodsäker-hetsnivå.

Tredjepartsbibliotekanvändsoftaiutveck-lingsprojektförattsnabbapåutvecklingen,dådessakanerbjudaengenvägförattuppnåenvissfunktionalitet.Dessabibliotekbörgranskasinnandeinkluderasiprojektetdådekaninnehållasårbarheter.Harbiblio-tekethunnitanvändasbrettiprojektetkandetvarasvårtatttabortellerbytautbiblio-teketiefterhand.Detärävenviktigtattallatredjepartsbiblioteksomanvändsiprojektetkontinuerligtuppdateras,såatteventuellasäkerhetsuppdateringarsompublicerasin-kluderasiprojektet.


Notera Ta fram en enkel handbok för utvecklare med tips och riktlinjer för säkrare systemutveck-ling. Information från Open Web Application Security Project kan användas som inspi-rationskälla. OWASP tillhandahåller även information om hotmodellering och Secure Software Development Life Cycle (S-SDLC). Se kapitel 12 för referenser.

7.5.3 Säkerhetskonfiguration


7.5.3.1 Allmänt om säkerhetskonfigurationSäkerhetskonfigureringellerhärdningsom det kallas i facklitteratur, innebär att komponenter,operativsystem,inbyggdaprogramvaror,nätverkskomponenter,da-tabaserochandraapplikationersomingåriettinformationssystemkonfigureraspåettsåsäkertsättsommöjligt.Exempelviskanåtkomsträttigheternaisystemetochdedelarsomingårbegränsas,möjligavägartillangreppviasårbarafunktioneriinfrastruk-turkomponenter och applikationer skäras avochexponeringmotandrainformations-systemellerexternaenheterförhindras.

Härdningutgårfrånprincipenattdetsomintebehövsförinformationssystemetsdefi-nieradefunktionskavarabegränsatavseen-deåtkomst,avstängtellerborttageturin-formationssystemet.Iarbetetmedhärdningbehövsdockenavvägningavvilkaåtgärdersomskavidtas,därmansärskiltbörbeaktahur informationssystemet exponeras samt vilkenhotbildverksamhetsutövarenharattförhållasigtill.Härdningbörskeutanattinformationssystemetsstabilitetpåverkasochdärutöverkananvändarvänlighetenvaraenaspektattbeakta.Härdningbörvaraendelavenstandardkonfigurationoch

automatiserassålångtdetärmöjligtförattminimerariskenförfelkonfigurationer.

BestämmelseromsäkerhetskonfigureringåterfinnsiSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.

Avbestämmelsernai4kap.23§iPMFS2019:2framgåratt:4§: Verksamhetsutövaren ska för informations-system som har betydelse för säkerhetskänslig verksamhet tillämpa konfiguration som använder lämpliga säkerhetsfunktioner, stänger av funktio-ner som inte används och även i övrigt reducerar sårbarheter.

Idettaavsnittbeskrivsolikaprincipersomenverksamhetsutövarebörbeaktavidhärd-ningavettinformationssystemsomharbe-tydelseförsäkerhetskänsligverksamhet.

7.5.3.2 SystemintegritetFörattsäkerställaattenhotaktörinteskakunnapåverkaettinformationssystembehöversäkerhetsskyddsåtgärdernautfor-massåattdekompletterarochöverlapparvarandra.Ettsättattåstadkommadettaärattsäkerhetsskyddsåtgärdernabyggsifleralager,vilketbeskrivsiavsnitt7.3.6.Lämp-ligasäkerhetsskyddåtgärderattimplemen-terautifrånettsådantresonemangkantillexempelvara:• fysiskplomberingförattupptäckaeven-tuellmanipulationavhårdvara

• SecureBootförverifieringavuppstarts-process

• hårddiskkryptering• skyddavsystemfiler(åtkomstkontroll)• vitlistningavgodkändahårdvaruenheter(USB,Thunderbolt,etc.)

• vitlistningochsigneringavgodkändaapplikationer

• användningavlokalbrandvägg• skyddmotskadligkod• detekteringochskyddmotskadligaak-tiviteter(intrångsdetektering/intrångs-skydd)


7.5.3.3 Inbyggda funktionerInformationssystemetsinbyggdasäkerhets-funktionerböranvändassålångtdetärmöj-ligtochsålängefunktionentillförettfak-tisktskydd.Ivissafallkandetvaralämpligtatttahänsyntillanvändarvänlighetsåattfunktionenintetillföralltförstorahinderföranvändareniarbetet.

Föratthärdaettinformationssystemfinnsdetenmängdolikarekommendationerfrånbådetillverkareochandraaktörerpåmark-naden.Kvalitetenpårekommendationernakandockvarasvårattbedöma,ochvarierarfråntillverkaretilltillverkare.Somalterna-tivtilldessafinnsolikastandarderutgivnaavolikaoberoendeorganisationer.Dessaär oftast mer konceptuella och omfattar devanligastedelarnaiettinformationssys-tem.Tillverkarspecifikarekommendationerellerandraallmäntkändaochverifieradeinställningarböriförstahandanvändasomsådanafinns.

NoteraNIST samt Australian Cyber Security Centre tillhandahåller genomarbetade guider kring härdning och säkerhetskonfiguration. Se kapitel 12 för referenser.

7.5.4 Skydd mot skadlig kod


7.5.4.1 Allmänt om skydd mot skadlig kodSkadligkodärettsamlingsnamnförolikatyperavprogramvarorsomorsakaravsiktligstörningellerskada.Iengelskfacklittera-turanvändsbegreppetmalicious code eller kortformen malware.Ibegreppetskadligkodingårblandannatvirus,maskar,trojaner,exploitsochrootkits.Skyddmotskadligkodsyftar till att skydda informationssystemet motprogramkodsomärtänktattanvändas

förattotillbörligtändra,röja,exfiltrera,för-störaelleravlyssnauppgifter,filerellerpro-gramvarasomlagrasellerkommunicerastillellerfrånettinformationssystem.

BestämmelseromskyddmotskadligkodåterfinnsiSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.Avbe-stämmelsernai4kap.27§iPMFS2019:2framgåratt:

27 §: Verksamhetsutövaren ska för informations-system som har betydelse för säkerhetskänslig verksamhet analysera behovet av och i förekom-mande fall besluta att använda de funktioner för skydd mot skadlig kod som är nödvändiga från säkerhetsskyddssynpunkt.

Idettaavsnittbeskrivsolikatekniskahjälp-medelförskyddmotskadligkodsomenverksamhetsutövarekanimplementeraiettinformationssystemsomharbetydelseförsäkerhetskänsligverksamhet.

7.5.4.2 Tekniska hjälpmedelEnverksamhetsutövaresomharettinfor-mationssystemsomäravbetydelseförsä-kerhetskänsligverksamhetbehöveriförstahandgöraenanalysavvilkafunktionerförskyddmotskadligkodsomärlämpligautifrånhurinformationssystemetskaan-vändas.Därefterskaverksamhetsutövarenbeslutavilkafunktionersomskaanvändas,ochslutligeninföradessafunktionertillskyddavinformationssystemet.

Effektivtskyddmotskadligkodkanbeståav:• programexekveringskontroll(såkalladvitlistning)såattenbartgodkändapro-gramkanexekveras

• behörighetsstyrning(begränsningavad-ministratörsrättigheter)

• begränsningavmöjlighetattexekverascriptkod inom olika dokumenttyper såsomexempelvisMicrosoftOfficedoku-mentochPDF-filer

• lokalabrandväggarsomhindrarskadligprogramvarafrånattspridasigvidaretill


andra system • funktionersomförsvårarattexploaterasårbarheter,exempelvisbuffertöverskrid-ning

• antivirusprogramvara

Detvanligasteskyddetmotskadligkodärantivirusprogramvara,sommedhjälpavsignaturersökerefterhelaellerdelaravfilersomkanhaettskadligtbeteende.Detärdockenkeltförenhotaktörattskapanyaversioneravskadligkodsominteupptäcksavantivirusprogramvarandåsignaturenintelängrematchar.Antivirusprogramvara

kandärförvaraettsvagtskyddmotenkva-lificeradaktör,menskasessomettgrund-läggandeskyddavinformationssystem.

Utöverantivirusprogramvarorfinnsenuppsjöavsäkerhetsproduktersomytterli-garekanstärkaskyddet.Initialtbördockinbyggdafunktioneranvändassålångtdetärmöjligtförattminimerakostnaderochkomplexitet.Vidarebörrutinerförattkon-trolleraattskyddetmotskadligkodärak-tivttasframochdokumenteras.


7.6 Funktionstester och säkerhetsgranskning

3 kap. 1, 4 §§ säkerhetsskyddsförordningen (2018:658)2 kap. 17 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd 4 kap. 12-17 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

7.6.1 Allmänt om funktionstester och sä-kerhetsgranskning

Funktionstesterochsäkerhetsgranskningsyftar till att säkerhetsställa att informa-tionssystemetleverupptilldenkravställ-ningsomställspåsystemet.Funktionstesterkan säkerställa att systemet är robust och attinformationenisystemetärtillgängligochkorrekt.Medsäkerhetsgranskningutö-kasdettatillattävensäkerhetsställaattin-formationssystemetkanmotståangreppochandra incidenter som kan utsätta systemet ellerinformationenförexponering.Dessatesterochgranskningarbörgenomföraslö-pandeunderutvecklingsarbetetförattmi-nimeraarbetetmedrättningaravavvikelserviddriftsättning.

Bestämmelseromgranskningavinforma-tionssystemåterfinnsblandannatiSäker-hetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd

Avbestämmelsernai4kap.4-5§§iPMFS2019:2framgåratt:4 §: Verksamhetsutövaren ska se till att egenut-vecklad programvara i informationssystem som har betydelse för säkerhetskänslig verksamhet granskas för att upptäcka och åtgärda säkerhets-brister och sårbarheter.

5 §: Verksamhetsutövaren ska se till att tredje-partsprogramvara i informationssystem som har

betydelse för säkerhetskänslig verksamhet gran-skas för att upptäcka och åtgärda säkerhetsbrister och sårbarheter, eller att programvaran på annat sätt bedöms vara tillförlitlig från säkerhetsskydds-synpunkt.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktavidfunktionstesterochsäkerhetsgransk-ningavettinformationssystemsomharbe-tydelseförsäkerhetskänsligverksamhet.

7.6.2 Funktionstester

Förattsäkerställaattprogramvaranellersystemetfungerarenligtkravställningbörtesterutförasförattsäkerställaattinte-gritetochtillgänglighetkangaranteras.Funktionstesterkanävensäkerställaandratyperavfunktionalitetiformavanvändar-upplevelse,kompabilitet,etcetera.Idennakontextärdockfunktionersompåverkartillgänglighetochriktighetifokus.Funk-tionstesterkanbeståavtillexempelbelast-ningstester,redundanstesterochverifieringavindata.Funktionsrelateradetesteravett informationssystem benämns ofta ac-ceptanstest. Acceptanstest innebär att in-formationssystemettestasmotolikaförde-finieradetestfallsombeskriverenhändelseochhurinformationssystemskabetesigvidgivnaparametrar.Undersådanatesterärsä-kerhetsfunktionernaoftabaraendelmängdavflerafunktionersomtestas.

7.6.3 Säkerhetsgranskning

Säkerhetsgranskningkangrovtindelasitvåtyper–granskningavstyrningifrågaomrutinerochregelverksamttekniskgransk-ningsomsyftartillattverifierasäkerheteniolika tekniska implementationer i ett infor-mationssystem.


Vidutvecklingavegenprogramvarabörtekniskasäkerhetsgranskningargenom-föraslöpandeunderutvecklingsprocessenförattenklarekunnaupptäckaochåtgärdasäkerhetsproblemietttidigtskede.Verk-samhetsutövarenbördärförtaframrutinerochmetodstödförändamåletsåatttekniskasäkerhetsgranskningarblirennaturligdelavutvecklingsprocessen.

Ävenomgranskningavdelkomponentergenomförsunderenutvecklingsprocessbörensammantagensäkerhetsgranskningge-nomföras,därallakomponenteriinforma-tionssystemettestastillsammans.Dettakanlämpligenskeislutskedetavutvecklings-processen,exempelvisgenomettsåkallatpenetrationstest,vilketbeskrivsvidareiavsnitt7.6.5.Efterattupptäcktabristerochsårbarheterharåtgärdatsbörytterligareengranskningskeförattverifieraattdessaipraktikenäråtgärdade,ellerpåannatsättmotverkats.Säkerhetsgranskningarbördär-utöverävengenomföraslöpandeefterattdriftsättningharskett.

7.6.3.1 Granskning av tredjepartsprogram-varaVidanvändningavprogramvarasominteutvecklatsavverksamhetsutövaren(såkall-

ladtredjepartsprogramvara)ärdetviktigtattverksamhetsutövarenundersökeromdennaprogramvaraharoönskadfunktiona-litetsomnegativtkanpåverkasäkerheteniettinformationssystemdärprogramvaranskaanvändas.

Omdetkanantasatttredjepartsprogram-varaintegranskatsavenpartsomverk-samhetsutövarenbedömersomtillförlitlig,börverksamhetsutövarensjälvgenomföraengrundligsäkerhetsgranskningavpro-gramvaraninnandenimplementerasiettinformationssystem.Syftemedensådangrundligsäkerhetsgranskningärattupp-täckaoönskadfunktionalitetsamtskyddainformationssystemetmotexempelvisdoldakanalerochskadligkodsomkanfin-nasitredjepartsprogramvaran.Därdetärlämpligtbörävensäkerhetskonfigurationengranskassåattproduktenimplementeraspåett korrekt sätt.

Inedanståendematrisbeskrivsolikatyperavtredjepartsprogramvaraochderasrespek-tivetillitsnivå.

Typ av program-vara

Generell tillit

Kommersiell Stor spridning, granskas av många i omvärlden. Stark tillit med rätt sä-kerhetskonfiguration. Konfiguration bör granskas, medan djuplodande granskning (Reverse Engineering) är kostnadsdrivande och ger inte något värde för utvecklingsprojektet i sig.

Gratisprogram Stor spridning, granskas av många i omvärlden. Många kända säker-hetsbrister sänker tilliten. Kan användas med kompenserande skyddsåt-gärder. Konfiguration och skyddsåtgärder bör granskas.

Öppen källkod Relativt stor spridning, granskas av många i omvärlden. Många kända säkerhetsbrister, ständig uppdatering av kodbas. Tredjepartsmoduler introducerar säkerhetsbrister. Säkerhetskonfiguration samt tredje-partsmoduler bör granskas.


7.6.4 Sårbarhetsskanning

Ensårbarhetsskanningärenmetodsomanvändsförattautomatisktkontrolleraattsäkerhetsuppdateringarärinstalleradepåit-infrastruktur, system och applikationer. En sårbarhetsskannerkanvanligtvisävenhittaenklarebristerikonfiguration.

Ensårbarhetsskanningäroftaettverktygsomanvändsunderettpenetrationstest,mendenkanmedfördelautomatiserasförregelbundenkontrollavapplikationerochinfrastrukturiit-miljönförattövertidhagodkontrollöveruppdaterings-ochsäker-hetsnivåninätverken. Ensårbarhetsskanningkangenomförasbådemedochutaninloggningimålsyste-men.Förattfåutmestavskanningenochförattundvikadriftstörningarimålmiljön,bördengenomförasmedinloggningimål-systemet.

Flertaletsårbarhetsskannerserbjuderävenmöjlighetattgenomförawebbapplikations-skanningar.Detfinnsocksålösningarsomenbartgenomförskanningarpåwebbappli-kationer.Dessakansessomettkomplementtillrenodladepenetrationstesterochbörendastanvändasinågonformavtestmiljö.

Flertaletsårbarhetsskannrarerbjudermöj-lighetattgenomföraaggressivatestersomtillexempelDoS-attacker(Denial-of-Service),vilketbörbeaktasförattundvikadriftstör-ningarimålmiljön.

Förattundvikastörningarimålmiljönbörenautomatiseradskanninginledningsvisetablerasibegränsadomfattning,förattsuccesivtutökastillhelamiljön.Ensårbar-hetsskanningiettstörreinformationssys-temkanresulteraiettstortantalåtgärder.Detärdärförrekommenderatatttaframru-tinerförhurolikatyperavsårbarheterskahanterasredanisambandmedplaneringenavskanningen.

NoteraAutomatiserad sårbarhetsskanning kan integreras med organisationens ärendesystem så att berörda parter automatiskt får ett ärende för att hantera eventuella sårbarheter.

7.6.5 Penetrationstest

Ett penetrationstest är en metod som an-vändsförattsäkerställaattit-infrastruktur,systemochapplikationerkanståemotettangreppgenomattanvändasammameto-dersomenhotaktör.Ettpenetrationstestmedgodkäntresultatkandockintesessomengarantförattintebliutsattförobehö-rigtintrång,eftersomdetintefinnsnågragarantierattsamtligasårbarheterupptäcktsundertestet.Ettpenetrationstestgerdäre-motenindikationavhurvälsäkerhetsarbe-tetsarbetetfungerar.

Penetrationstesterkanutförasmedolikametodikochdetfinnsettantalstandarderattanvändasomstöditestningensamtibedömningenavbrister,somexempelvis:• OpenSourceSecurityTestingMethodo-logyManual(OSSTMM)

• PenetrationTestingExecutionStandard(PTES)

• OpenWebApplicationSecurityProject(OWASP)

• PCIPenetrationtestingguide• Information Systems Security Assessment Framework(ISSAF)

OWASP Testing Guide gerenbragrundförapplikationstester medan PTESfokuserarpåinfrastruktur.

Ettpenetrationstestkanutföraspåalltfrånenhelit-infrastrukturtillenskildasystemellerapplikationer.Metodernakanskiljasigmellanolikatestscenarier.Detfinnsihu-vudsaktrevanligtförekommandekonceptförpenetrationstestersomkallasblackbox,whiteboxochgreybox.


Blackboxärettkonceptdärdepenetra-tionstestaresomskautföratesternaintefårnågonförhandsinformationomorgani-sationensit-miljö.Ävenomdettakonceptärrealistisktiförhållandetilldeförutsätt-ningarenhotaktörharanvändskonceptetväldigtsparsamt.Anledningtilldettaärattettpenetrationstestenligtkonceptetblack-boxärextremttidsödandeochsällangerheltäckanderesultatdåettpenetrationstestvanligtvisgenomförsinomenbegränsadtidsperiod.

Whiteboxärettkonceptdärdepenetra-tionstestaresomskautföratesternafårfullständigtillgångtillinformationomor-ganisationensit-miljöinnantestetpåbörjas.Vanligtvisgespenetrationstestarnaävenfullständigåtkomsttillnätverk,konton,applikationersamteventuellkällkod.Dennametodikärvanligtvismesteffektivochgeroftaettheltäckanderesultatdåtidenkannyttjasmereffektivtochflersårbarheterkanupptäckasochgraderas.

Greyboxärettkonceptsomutgörenkom-binationavblackboxochwhitebox.Härkaninformationstilldelningochåtkomstanpassasefterbehovochförutsättningar.Dennametodikanvändsoftaiövningarmedsåkalladeblue-ochred-teammellansäker-hetsövervakningochpenetrationstestareföratttestaupptäckandeförmåganochrutinerförincidenthanteringinomorganisationen.

Oavsettvilketkonceptsomväljsmåstetekniskaförutsättningar,fastställdomfatt-ningochöverenskommelserfinnaspåplatsinnanetttestpåbörjas.Tekniskaförutsätt-ningarkanexempelvisbeståavtilldeladekontonochdokumentation.Entydligdefi-nieradomfattningavtestningensäkerställer

attallaparterärinförståddamedvadsomskalltestasochatttesternaintegårutanförfastställda ramar.

Rapporteringochdokumentationefterettpenetrationstestbörföredrasförberördainomenorganisationsåattdefårendju-pareförståelsesamtkanställafrågor.

Notera• Fokusera på metodiken whitebox och dela

sedan erfarenheter mellan penetrations-testare och verksamhetsutövarens syste-madministratörer, utvecklare samt övrig berörd personal.

• Välj hellre en bredare omfattning än att genomföra ett specifikt test på en enskild funktion. Testa gärna även berörd it-infra-struktur vid ett applikationstest.

7.6.6 Gradering och åtgärder av brister

Debristersomupptäcksvidgranskningbördokumenterasochgraderas.GraderingavsäkerhetsbristerkanskemedhjälpavexempelvisCommon Vulnerability Scoring Sys-tem(CVSS).CVSSbeaktarolikaaspekteravensårbarhetsomexempelvisattackvektor,komplexitetochpåverkanpåkonfidentiali-tet,riktighetochtillgänglighet.Baseratpådessaparametrarräknasettvärdefrån0till10fram,där0innebärlågriskförinforma-tionssystemet och 10 innebär kritisk risk.

Graderingenkansedanliggatillgrundförivilkenordningsäkerhetsbristernaskaåt-gärdasellerpåannatsättmotverkas.Efteråtgärdensinförandebörytterligaretestskeförattsäkerställaattåtgärdenhargettav-sedd effekt.


7.7 Inför driftsättning

3 kap. 1-3 §§ säkerhetsskyddsförordningen (2018:658)3 kap. 1 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd 4 kap. 7-9, 25-26 §§ Säkerhetspolisens före-skrifter (PMFS 2019:2) om säkerhetsskydd

7.7.1 Allmänt om åtgärder inför driftsättning

Driftsättningärdetsistastegetienutveck-lingsprocessinnanettinformationssystemkanbörjaanvändasavverksamhetsutöva-rens personal. Innan ett informationssystem tasidriftbehöververksamhetsutövarensäkerställa att informationssystemet är färdigställtochattdetkananvändasidensäkerhetskänsligaverksamheten.Idettaarbeteinnefattasblandannatattverifierafunktions-ochsäkerhetskrav,tillseattre-levantsystemdokumentationärupprättad,genomföraetteventuelltsamrådmedSäker-hetspolisensamtfattabeslutomdriftgod-kännande.

BestämmelseromdriftsättningåterfinnsblandannatiSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.

Avbestämmelsernai4kap.7§iPMFS2019:2framgåratt:7 §: Verksamhetsutövaren ska, innan ett informa-tionssystem som har betydelse för säkerhetskänslig verksamhet tas i drift, genomföra tester av säker-hetsskyddsåtgärderna. Resultatet ska dokumente-ras och jämföras med de säkerhetskrav som gäller för informationssystemet. Den särskilda säkerhets-skyddsbedömningen ska uppdateras med eventu-ella avvikelser och de kompensatoriska åtgärder som måste vidtas.

Avbestämmelsernai4kap.9§iPMFS2019:2framgåratt:9 §: Verksamhetsutövaren ska, innan samråd enligt 3 kap. 2 § säkerhetsskyddsförordningen (2018:658) sker med Säkerhetspolisen, kontrol-lera och dokumentera att de säkerhetskrav som identifierats i den särskilda säkerhetsskyddsbe-dömningen har implementerats och att säkerhets-skyddsåtgärderna ger avsedd effekt.

Avbestämmelsernai4kap.25-26§iPMFS2019:2framgåratt:25 §: Verksamhetsutövaren ska ha dokumentation som visar logiska samband och inbördes beroen-den mellan komponenter som används i informa-tionssystem som har betydelse för säkerhetskänslig verksamhet.

26 §: Verksamhetsutövaren ska för informations-system som är avsett för att behandla säkerhets-skyddsklassificerade uppgifter i säkerhetsskydds-klassen kvalificerat hemlig, dokumentera vilken hård- och mjukvara som används i informations-systemet och deras inbördes beroenden. Kraven i första stycket gäller även informationssystem där en incident kan medföra synnerligen allvarlig skada för Sveriges säkerhet.

I detta avsnitt beskrivs ett antal åtgärder en verksamhetsutövare behöver genomföra innan driftsättning av informationssystem som har betydelse för säkerhetskänslig verk-samhet.

7.7.2 Dokumentation

Envälgenomarbetadsystemdokumentationärenförutsättningförattfåengodöversiktöverettinformationssystem.Detärocksåenförutsättningförattsnabbtocheffektivtkunna hantera driftrelaterade problem i vardagensamtincidenter.

Systemdokumentationen är bland annat ett viktigthjälpmedelförattidentifieravilka


delaravinformationssystemetsomberörsavensäkerhetsuppdateringsomskainstal-leras,vilkadelarsomberörsaveninträffadincident,samtiövrigtförattkunnaidenti-fieraberoendenmellanolikakomponenteriett informationssystem.

När ett informationssystem har driftsatts överlämnasansvaretiregeltillpersonalsomskahanteradriftochunderhållavin-formationssystemet. Systemdokumentatio-nenärenviktigförutsättningförattdeskakunnautförasinaarbetsuppgifterutanattäventyrasäkerheteniinformationssystemet.Detärdärförviktigtattverksamhetsutöva-renharupprättatsystemdokumentationförinformationssystemet innan det driftsätts. Innan systemdokumentationen upprättas bördockavseddmottagarefastslås.System-dokumentationkanbehövasiolikadelaravenorganisation,ochdenmåstedärförutfor-maspåettsådantsättattdenärtillnyttafördeolikaavseddamottagarna.

Exempelpåvadsystemdokumentationkaninnehålla:• beskrivningaravinformationssystemetsarkitekturmedingåendehård-ochmjuk-vara,exempelvisgenomettSolutionAr-chitectureDocument(SAD).

• förklaringavhurvarjekomponentinomsystemetfungerar

• beskrivningaravhursystemetbörun-derhållasochvadsomskagörasvidvissakända problem.

Systemdokumentationbörävenfinnasipappersformsåattdenärmöjligatttadelavävenomdenelektronisktlagradedoku-mentationenärotillgänglig,exempelvisvidstörrestörningarinätverken.

NoteraFör att hantering och skapandet av dokumentation ska bli lättare för verksam-hetsutövaren finns det olika tekniska verktyg att ta stöd av. Detta blir viktigare för större informationssystem då det rör sig om mer dokumentation som ska hanteras.

7.7.3 Verifiering av funktions- och säker-hetskrav

Förattenverksamhetsutövareskakunnasäkerhetsställa att ett informationssystem somharbetydelseförsäkerhetskänsligverk-samhetuppfyllersäkerhetskravenochattdesäkerhetskyddsåtgärdersomidentifieratsidensärskildasäkerhetsskyddsbedömningengerönskadeffekt,behöverinformations-systemethagenomgåtttestninginnandriftsättning.Hurfunktionstesterochsäker-hetsgranskningkangenomförasbeskrivsiavsnitt7.6.

Dengemensammanämnarenförallasådanatesterärattresultatetavdessaskajämförasmotverksamhetsutövarensfunktionellaochsäkerhetsrelateradekravförinforma-tionssystemet.Dettaärettsättattverifieraattinformationssystemetuppfyllerdekravsomverksamhetsutövarenfastställt.Kravenidentifierasochfastställsavverksamhets-utövarenidensärskildasäkerhetsskyddsbe-dömningen,ochiförkommandefallgenomhotmodellering.Densärskildasäkerhets-skyddsbedömningenärdärförettstyrandedokumentföralladelariutvecklingenavettinformationssystemsomskaanvändasisäkerhetskänsligverksamhet.Dettagällerinteminstidendeliutvecklingsprocessendärenverksamhetsutövareskagenomföratesterochsäkerhetsgranskningar.


7.7.4 Driftgodkännande

Av3kap.3§säkerhetsskyddsförordningenframgårattettinformationssystemsomskaanvändasisäkerhetskänsligverksamhetintefårtasidriftförrändethargodkäntsursäkerhetsskyddssynpunktavverksamhets-utövaren.Därutöverframgårattgodkän-nandet ska dokumenteras.

Undervissaomständigheterärenverksam-hetsutövareskyldigävenskyldigattsam-rådamedSäkerhetspoliseninnanettinfor-mationssystemtasidriftelleriväsentligaavseendenförändras.Förvägledningkringsådanasamrådsförfaranden,sekapitel6.


3 kap. 4 § säkerhetsskyddsförordningen (2018:658)3 kap. 3, 25-27 §§ Säkerhetspolisens före-skrifter (PMFS 2019:2) om säkerhetsskydd 4 kap. 2, 10, 24, 34, 38 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

8.1 Allmänt om drift och underhåll

Arbetetmeddriftochunderhållavinfor-mationssystem handlar dels om att hantera olika driftrelaterade problem som kan upp-ståivardagenmenocksåatttillseattsäker-heteniinformationssystemetupprätthållsövertid.Ettantalviktigadelaridettaarbeteäratttillseattinformationssystemethållsuppdateras,attföråldradprogramvarabytsutsamtattförändringarochavvecklingge-nomförspåettkontrolleratsätt.

Bestämmelserrelateradetilldriftochun-derhållåterfinnsblandannatiSäkerhetspo-lisensföreskrifteromsäkerhetsskydd(PMFS2019:2).

Avbestämmelsernai4kap.10§iPMFS2019:2framgåratt:10 §: Verksamhetsutövaren ska fastställa rutiner för hanteringen av informationssystem som har betydelse för säkerhetskänslig verksamhet under systemets förväntade livstid.

Avbestämmelsernai4kap.24§iPMFS2019:2framgåratt:24 §: Verksamhetsutövaren ska se till att program-

vara i informationssystem som har betydelse för säkerhetskänslig verksamhet hålls uppdaterad så att säkerhetsbrister och sårbarheter motverkas. Om det finns särskilda skäl får verksamhetsutö-varen besluta om undantag från kravet i första stycket.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktaviddrift,underhållochavvecklingavinfor-mationssystemsomharbetydelseförsäker-hetskänsligverksamhet.

8.2 Styrning av drift och underhåll

Föratttillgodoseattsäkerheteniettinfor-mationssystemupprätthållsövertidärdetviktigtattenverksamhetsutövareharentydligstyrningavhurdriftochunderhållavett informationssystem ska hanteras.

Omdriftochunderhållavettinformations-systemintehanteraspåettmedvetetochstruktureratsättavverksamhetsutövarenspersonal, kan det leda till att systemets till-förlitlighetpåverkas,exempelvisgenomtill-gänglighetsrelateradeproblemellerandrasårbarheteriinformationssystemet.

Traditionelltstyrsdriftochunderhållavettinformationssystemmedstödavettskriftligtramverksominnehållerbådeöver-gripandeprinciperochanvisningarförhurolikadriftrelateradefrågorskahanterasipraktiken.Oavsettstyrmodellärdetviktigtattstyrdokumentenanpassasutifrånden

8 Drift och underhåll


egnaverksamhetensförutsättningarochinformationssystemets komplexitet och om-fattning.Enalltfördetaljregleradstyrningkanivissafallmedföraattdriftenblirförsvårhanterad,ochenalltförsvagregleringkanmedföraattkontrollenöverinforma-tionssystemetblirbristfällig.

Vidframtagandeavstyrningförhurdriftavinformationssystembörverksamhetsutöva-renföreträdelsevisbeaktaperspektiven:• Felhantering:Hurskauppkomnafelisystemethanteras?

• Förändringshantering:Hurskaföränd-ringarisystemethanteras?

• Uppdateringar:Hurskauppdateringaravmjuk-respektivehårdvaraisystemethanteras?

• Incidenthantering:Hurskapersonalenageravidincidenter?

• Kontinuitetshantering:Hurskapersona-lenarbetaförattupprätthållakontinui-tetisystemet?

Detäravstorviktattverksamhetsutövarenetablerartydligarollermedbeskrivningavvemsomgörvad,vemsomharvilketansvarochvemsomharvilkabefogenheter.Isam-manhangetärdetdärutöverextraviktigtattansvaretförsäkerheteniettinforma-tionssystempekasut.Iövrigtbörföränd-ringaristyrandedokumentfördriftendastgenomförasefterattdehargodkäntsavenspecifiktutpekadpersonellerfunktionhosverksamhetsutövaren.Denpraktiskahante-ringenavdriftenavettinformationssystembör,därdetärteknisktmöjligt,hanteraskonsekventmedsammaverktygochhjälp-medel.

Notera Drift av informationssystem kan styras på flera sätt. För sådan styrning finns flertalet ramverk, både publikt tillgängliga och kommersiella. Ramverken har både likheter och olikheter, med den gemensamma nämnaren är att de alla syftar till att uppnå kostnadseffektivitet och kontroll i arbetet med drift och förvaltning av informationssystem. ITIL, COBIT, TOGAF är några exempel på kända ramverk.

8.3 FörändringshanteringStörreförändringariettinformationssys-tem,särskiltnärnyprogramvaraimple-menteras,kanpåverkabådesäkerhetenochtillgängligheten.Förändringaravbefintligprogramvaraellerimplementationavnyprogramvarasomkankommaattpåverkainformationssystemetbördärförskeunderkontrolleradeformer.Enannanviktigaspektattbeaktavidförändringariettinformationssystemärattförändringarintegenomförspåettsådantsättsomåsidosättersäkerhetsfunktioner i informations systemet, antingentillfälligtellerpermanent.

Ommöjligtbörnyprogramvaratestasiettinformationssystemsomärsepareratfråndetinformationssystemdärprogramvaranskainstallerasochanvändas.Dettagerverk-samhetsutövarenmöjlighetatttestaochgranskahurdennyaprogramvaranbetersig,utanattdetkanpåverkainformations-systemetsomäridrift.Sammatestförfa-randeböräventillämpasviduppdateringavochutbyteavbefintligprogramvara.Ifacklitteraturskiljermanoftapådeinfor-mationssystemsombeskrivsovangenomattbenämnademtestmiljörespektivedrifts-miljö(seavsnitt7.5.1).


NoteraI vissa fall är en verksamhetsutövare skyldig att skriftligen samråda med Säkerhetspolisen innan förändringar i ett informationssystem genomförs. Se kapitel 6 ovan.

8.4 Uppdateringar

8.4.1 Säkerhetsuppdateringar

Informationssystemsominnehållerpro-gramvarasominteäruppdateradärimångafalletttacksamtmålförenhotaktör.Sårbarheteriprogramvaroridentifieraslö-pande och blir ibland publikt kända redan innantillverkarenavprogramvaranhun-nitåtgärdasårbarhetenochpubliceratensäkerhetsuppdatering.

Regelbundenuppdateringavprogramvaragenomsäkerhetsuppdateringar(ävenkalla-desäkerhetspatchar)ärenåtgärdsomutgörendelavdetgrundläggandeskyddetavettinformationssystem. Syftet med säkerhets-uppdateringarärattanvändarenskahaenmöjlighetattåtgärdapubliktkändasårbar-heteriprogramvaranochpåsåsättminskariskerförattdrabbasavettangreppviadessa.Hurenkändsårbarhetiprogramvarakannyttjasavenhotaktörskiljersignatur-ligtvisåtochberortillstordelpåhurpro-gramvaranärimplementeradochkonfigu-reradavanvändaren.Säkerhetsuppdatering-arpublicerasintebaraförmjukvarasåsomapplikationerochoperativsystem,utanävenförhårdvaraiinfrastruktursåsomexempel-visswitchar,routrarochservrar. Iavsnitt7.4.2.4beskrivshursäkerhetsupp-dateringarkanimporterastillettinforma-tionssystemsomomfattasavbestämmelserom separation.

8.4.2 Utbyte av föråldrad programvara

Informationssystemsominnehållerföråld-radeversionerellerutgåvoravprogramvara

ärpåsammasättsombeskrivsunder8.4.1etttacksamtmålförenhotaktör.Närentill-verkaresläpperennyversionellerutgåvaavenprogramvaraupphöroftapubliceringenavsäkerhetsuppdateringartilläldreversio-neravprogramvaran.Ideflestaallraflestafallskerdettainteöverennatt,utanäldreversioneravprogramvaranharoftasupportunderenövergångsperiodsomfastställsavtillverkaren.

Detärdärföravviktattverksamhetsutö-varenharkännedomomnärtillverkarenssupportförenprogramvaraupphör(ävenkallat”end-of-life”)ochharenplanförnäravvecklingavdenföråldradeprogramvaranskaske.Programvarasomintelängreerhål-lersäkerhetsuppdateringarfråntillverkarenbördärföravvecklasochersättasomgående.

8.4.3 Beslut om undantag och praktisk hantering av säkerhetsuppdateringar

Engrundläggandeprincipärattinforma-tionssystemsomanvändsisäkerhetskänsligverksamhetskahållasuppdateradesåattsäkerhetsbristerochsårbarhetermotver-kas.Ipraktikeninnebärdettaattverksam-hetsutövarenmåsteförsebådemjuk-ochhårdvaraniinformationssystemetmeddesäkerhetsuppdateringarsompublicerasavtillverkaren,samtiövrigtbytautäldrever-sioneravprogramvarasomintelängrekanförsesmedsäkerhetsuppdateringar.Omdetfinnssärskildaskälfårenverksamhetsutö-varebeslutaomundantagfrånkravetpåattprogramvaraiettinformationssystemsomharbetydelseförsäkerhetskänsligverksam-hethållsuppdaterad.Såkanvarafalletomdetinteärteknisktmöjligtattinstallerasäkerhetsuppdateringarnaelleridetfallverksamhetsutövarenkonstateratattdetuppenbarligenärobehövligtdåandrakom-penseradeåtgärderharvidtagits.

Ett informationssystem som hanterar säker-hetskyddsklassificeradeuppgifterfårinteanslutasdirektmotinternetförhämtningavuppdateringar(seavsnitt7.4.2omsepa-


ration).Säkerhetsuppdateringarbehöverdärförhämtastillettseparatinformations-systemochdärefter,påettkontrolleratsätt,förasövertillinformationssystemetsomhanterardesäkerhetskyddsklassificeradeuppgifterna.

Förattarbetetmeduppdateringochutbyteavprogramvaraskafungerapåetttillfred-ställandebörverksamhetsutövarentaframochetableraföljandeisinorganisation:• Omvärldsbevakning–såattinformationomnyasårbarheteruppmärksammasochvärderas.

• Inventarieförteckning–såattomvärlds-bevakningskerförrätthårdvara,mjuk-varaochversionersamtförattkunnagöraenbedömningavvilkasystemsombehöveråtgärdasefterattensårbarhetidentifieras.

• Rutinerförtestochverifiering–förattkontrolleraattuppdateringenöverens-stämmermeddenavleverantörenspubli-ceradeuppdateringenochattingakom-patibilitetsproblem eller andra problem uppstårvidinstallationavsäkerhetsupp-dateringarellernyaprogramvaruversio-neridriftsmiljön.Testbörgörasiettse-parattestmiljöellerienbegränsaddelavdriftsmiljön(exempelvisivissadatorer).

• Systemochrutinerfördistribution–förattsäkerhetsuppdateringareffektivtochsnabbt ska kunna distribueras till alla berördadatorer.

• Systemochrutinerföruppföljning–såattdetärmöjligtattkontrolleraattallasårbaradatorerharfåttensäkerhetsupp-dateringinstalleradochäromstartadeomdettakrävs.

8.5 SäkerhetskopieringSäkerhetskopieringärmångagångerenliv-linaochdetkanfåstorakonsekvenseromdenärbristfällig,eftersominformationsomregelärenverksamhetsutövaresviktigasteresurs.Bristerisäkerhetskopieringenkanviddataförluståsamkaverksamhetsutö-

varenstorskada.Ävenförlustavtillsynesganskaoviktiginformationkanskadaverk-samheten.

Verksamhetsutövarenbördärförtaframrutinerförhursäkerhetskopieringskahan-teras.Viktigaaspekterattbeaktaidettasammanhangär:• attdatasäkerhetskopierasenligtettintervallsomverksamhetsutövarenfast-ställt.

• attsäkerhetskopiorförvaraspåbetryg-gandesättiverksamhetsutövarenslo-kaler,helstpåflerageografisktåtskildaplatser.

• attverksamhetsutövarenverifierarattsäkerhetskopiornakanåterskapasenligtetttestintervallsomverksamhetsutöva-ren fastställt.

8.6 Avveckling

8.6.1 Allmänt om avveckling

Envanligtförekommandeorsaktillavveck-lingärattettbefintligtinformationssystemskaersättasavettannat.Attövergångenfråndetbefintligatilldetnyakanskeutanoplaneradeavbrottidensäkerhetskänsligaverksamheten,äroftaenviktigtfrågaattbeaktaisådanasammanhang.Andraviktigafrågorsomkanbliaktuellavidavvecklingärmigreringocharkiveringavdata.Attav-vecklaettinformationssystemärdärförettarbetesomoftakrävernoggrannplanering.

Utbyteochavvecklingavkomponenteriettinformationssystemärnågotsomnormaltsettskermerfrekventänutbyteavhelainformationssystem.Detärviktigtattverk-samhetsutövarenfastställtettrutinbaserattillvägagångssättförsådanavveckling.

Avbestämmelsernai4kap.10§iPMFS2019:2framgåratt:10 §: Verksamhetsutövaren ska fastställa rutiner för hanteringen av informationssystem som har


betydelse för säkerhetskänslig verksamhet under systemets förväntade livstid.

Avbestämmelsernai3kap.3§iPMFS2019:2framgåratt:3 §: Verksamhetsutövaren ska ha rutiner för be-handling av säkerhetsskyddsklassificerade upp-gifter och handlingar. Rutinerna ska reglera vad som gäller för spårbarhet, upprättande, kopiering, utskrift, utdrag, kvittering, förvaring, distribu-tion, medförande, inventering och destruktion samt vad som behövs i övrigt för att upprätthålla ett fullgott säkerhetsskydd. Verksamhetsutövaren ska ha rutiner för behandling av uppgifter som behöver skyddas från ett tillgänglighets- eller rik-tighetsperspektiv.

Avbestämmelsernai3kap.27§iPMFS2019:2framgåratt:27 §: Verksamhetsutövaren ska ha rutiner för av-veckling eller återanvändning av lagringsmedium som används i säkerhetskänslig verksamhet. Ruti-nerna ska säkerställa att information på lagrings-mediet inte kan återskapas.

Rutinerföravvecklingavinformationssys-temböromfattahur:• avvecklingavlagringsmedierskahante-

ras• avvecklingavkomponenterskahanteras• migreringavsäkerhetsskyddsklassificera-deuppgifter(ochövrigdata)skahanteras

• arkiveringavdataskahanterassamthurlängedataskabevaras

• avvecklingenskadokumenteras

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktavidavvecklingavinformationssystemsomharbetydelseförsäkerhetskänsligverksam-het.

8.6.2 Avveckling av komponenter

Vissakomponentersomanvändsinomettinformationssysteminnehållersystem-relateradinformationsombeskriverhursäkerhetsåtgärderiinformationssystemet,

heltellerivissadelar,ärkonfigureradeelleruppbyggda.Omenhotaktörfåråtkomsttillsådaninformationkandenivissafallanvändasförattunderlättaettangrepppåinformationssystemet.Detärdärförviktigtattverksamhetsutövarengörenbedömningavomdentypenavinformationärskydds-värdochhurdenisåfallskahanterasvidavvecklingavdekomponenterdärdenföre-kommer.

Ävenomsystemrelateradinformationra-deras,exempelvisgenomensystemåter-ställning,ärdetintealltidenheltäckandeåtgärddåinformationenkanfinnaskvarienminneskretsinomkomponenten.Före-komstavminneskretsarbördärförbeaktassärskiltvidavvecklingavkomponentersominnehållersäkerhetsskyddsklassificeradellerpåannatsättskyddsvärdinformation.

8.6.3 Avveckling och återanvändning av lagringsmedia

Enverksamhetsutövareärskyldigatttaframrutinerföravvecklingelleråteran-vändningavlagringsmediasomanväntsisäkerhetskänsligverksamhet.Dessarutinerskasäkerställaattinformationpålagrings-medietintekanåterskapasochbörbeskrivavilkettillvägagångssättsomskatillämpasförrespektivesäkerhetskyddsklass.

Envanligmetodförattförhindramöjlig-hetenattåterskapainformationpåettlag-ringsmediaäröverskrivningavdata.Dettainnebärattbefintligtdatavidupprepadetillfällenskrivsöverochersättsavannan,obetydligdata.Enannanmetodärattför-störanyckelntillkrypteradelagringsmedia.Bådadessametoderharvidtillfällenvisatsiginnehållasårbarhetersominneburitattenpersonsomhartillgångtilllagringsmedi-etkunnatåterskapadelaravinformationen.Medanledningavdettaböråteranvändningavlagringsmediaskerestriktivtochendastidefalldålagringsmedietkommerattåter-användasiettinformationssystemsomom-fattasavsäkerhetsskydd.


Förettlagringsmediasominteskaåteran-vändasavverksamhetsutövarenböravveck-lingskegenomfysiskdestruktion.

NoteraBevarande av säkerhetsloggar är en viktig aspekt att beakta vid avveckling av lagringsmedia. Se avsnitt 8.8.

8.7 Allmänt om operativ säkerhet

Medoperativsäkerhetavsesdetopera-tivaarbetesomsyftartillattupptäcka,försvåraochhanteraskadliginverkanpåinformationssystemetsamtobehörigav-lyssningav,åtkomsttillochnyttjandeavinformationssystemet.Inomdettaområdeärsäkerhetsloggningochlogguppföljning,säkerhetsövervakningochincidenthante-ringviktigaområden.

Bestämmelserrelateradetilloperativtsäker-hetsarbetetåterfinnsisäkerhetsskyddsför-ordningen.

Avbestämmelsernai3kap.4§säkerhets-skyddsförordningenframgåratt:4 §: En verksamhetsutövare som ansvarar för ett informationssystem som ska användas i sä-kerhetskänslig verksamhet ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informations-systemet samt obehörig avlyssning av, åtkomst till och nyttjande av informationssystemet. Verksam-hetsutövaren ska också se till att spårbarhet finns för händelser som är av betydelse för säkerheten i systemet.

Dettaavsnittäruppdelatiolikatematiskaområdensombeskrivervadenverksamhets-utövareskaochbörbeaktaunderdetopera-tivasäkerhetsarbetet.

8.8 Säkerhetsloggning

3 kap. 4 § säkerhetsskyddsförordningen (2018:658)4 kap. 31-35 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

8.8.1 Allmänt om säkerhetsloggning

Enloggkanbeskrivassominsamladinfor-mation om en händelse och om när hän-delsen inträffat i ett informationssystem. Loggarärdärförettbrahjälpmedelförattkunnavetavadsomhäntiettinformations-systemvidettgivettillfälle.Ifackspråkan-vändsoftabegreppetspårbarhet,därloggarärenförutsättningförattenverksamhets-utövarekunnauppnåspårbarhettillolikahändelser som inträffar i ett informations-system.

Spårbarhetärisinturenförutsättningförattenverksamhetsutövareskakunnaledaibevisvemsomhargjortvadiettinforma-tionssystemvidettgivettillfälle,exempelvisvemsomhaftåtkomsttillsäkerhetsskydds-klassificeradeuppgifter.Dettaärisynnerhetviktigtvidmisstankeombrott.Videneven-tuellmisstankeombrottmåsteenverksam-hetsutövarekunnaförsäkrasigomvemsomgjortvadiinformationssystemetochdärärloggarenviktigförutsättning.Iövrigtärloggarävenettbrahjälpmedelförattiefter-handkunnaidentifieraorsakentillvarförincidenteravolikaslagharinträffat.

Loggningkangörasmedolikasyften.Enverksamhetsutövaresomäransvarigförettinformationssystemavbetydelseförsäker-hetskänsligverksamhetbörprimärtloggahändelser med syfte att kunna upptäcka ochutredaskadligellerotillåtenpåverkan,obehörigåtkomstochfunktionsstörningariinformations systemet.

BestämmelseromloggningåterfinnsiSä-kerhetspolisensföreskrifter(PMFS2019:2)om säkerhetsskydd.


Av bestämmelserna i 4 kap. 31-35 §§ i PMFS 2019:2 framgår att:

31 §: Verksamhetsutövaren ska logga händelser som kan påverka säkerheten i informationssystem som har betydelse för säkerhetskänslig verksamhet (säkerhetsloggning).

32 §: Verksamhetsutövaren ska ha rutiner för loggning av händelser som kan påverka säkerhe-ten i informationssystem som har betydelse för sä-kerhetskänslig verksamhet. Rutinerna ska omfatta hur verksamhetsutövaren ska kunna upptäcka skadlig eller obehörig åtkomst eller påverkan samt funktionsstörningar. Rutinerna ska även omfatta vad som behövs i övrigt samt vilka åtgärder som ska vidtas vid upptäckta händelser.

33 §: ”För informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgif-ter ska rutinerna omfatta loggning av användning och ändring av behörigheter med systemadminis-trativ åtkomst och av roller med särskild behörig-het i informationssystemet.”

34 §: Verksamhetsutövaren ska bevara säker-hetsloggar i minst 10 år. För informationssystem som är avsett för att behandla säkerhetsskydds-klassificerade uppgifter i säkerhetsskyddsklassen kvalificerat hemlig ska säkerhetsloggar bevaras i minst 25 år.

35 §: Verksamhetsutövaren ska vidta åtgärder för att skydda säkerhetsloggar mot obehörig åtkomst, ändring eller förstöring.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktaifrågaomsäkerhetsloggningochlogguppfölj-ningiettinformationssystemsomharbety-delseförsäkerhetskänsligverksamhet.

8.8.2 Vad ska loggas?

Vadsomskaloggasiettinformationssystemärenkomplexfrågasomsaknarettenkeltsvar.Svaretpåfråganärberoendeavflera

olikafaktorersåsomsyftemedloggningen,hurinformationssystemetskaanvändas,avvilkadetskaanvändasochhurdetexpone-ras.

Loggarkangenerasfrånolikatyperavkäl-lor,såkalladeloggkällor.Loggningkanexempelvisskeienprogramvara,iettoperativsystemelleriolikakomponenteriinfrastrukturenförettinformationssystem.Vadsomskaloggasochvilkaloggkällorsomskaanvändasbehöververksamhetsutöva-ren fastställa innan ett informationssystem tasidrift.Loggningiprogramvarabörskeavanvändaraktivitetersåsomlyckadeochmisslyckadeinloggningar,objektåtkomstsamthanteringavinformationsobjekt(ex-empelvisförändring,raderingochskapandeavnyainformationsobjekt).Loggningioperativsystembörskeavsys-temhändelsersåsomsystemstartochstopp,processerkoppladetilluppstartavpro-gramvarasamtlarmsomgenererasavolikaskyddsfunktioner(exempelvisantivirus).

Loggningiinfrastrukturkomponenterbörskeavåtkomsttillochförändringaravsys-temkonfigurationiexempelvisswitchar,routrar,brandväggar,VPN-koncentratorermedmera.Loggningbörävenskeavlarmsomgenererasavskyddsfunktionerisammakomponenter(exempelvisintrångsdetekte-ring,innehållsfiltreringmedmera).

Gemensamtiallaovanståendefallärattloggningavaktiviteterkopplattillanvän-dareochkontonmedsystemadministrativåtkomstellerannansärskildtillgångtillin-formationssystembörägnasextrastorupp-märksamhetifrågaomloggning.

Iövrigtbörverksamhetsutövarenkontinu-erligtutvärderabehovetavloggningochdäreftergöraanpassningar,exempelvisgenomattetableranyaloggkällorellerför-ändrakriterieribefintligaloggkällor.


8.8.3 Logguppföljning och åtgärder vid upp-täckta händelser

Logguppföljningärenviktigåtgärdförattkunnaupptäckaskadligellerotillåtenpåverkan,obehörigåtkomstochfunktions-störningariettinformationssystem.Logg-uppföljningkanskemedjämnaintervallerellerirealtidsomendelavenfunktionförsäkerhetsövervakning,vilketbeskrivsnär-mareiavsnitt8.9.

Förattarbetetmedlogguppföljningskageönskadeffektbehöververksamhetsutövarentaframrutinersombeskriverhurverk-samhetsutövarenspersonalskaarbetamedlogguppföljning.Rutinernabörgesvarpånedanståendefrågor:• Varförskalogguppföljninggenomföras(vadärsyftetochmåletmedlogguppfölj-ningen)?

• Vemellervilkaskautföralogguppfölj-ningen?

• Närskalogguppföljninggenomföras(lö-pande,stickprovskontroller,påförekom-menanledningetcetera)?

• Hurskalogguppföljninggenomförasochvilkaåtgärderskavidtasnärverk-samhetsutövarenupptäcktenpotentielltoönskadhändelse(checklistor,processbe-skrivningar,etcetera)?

• Medvilkatekniskahjälpmedelskalogg-uppföljningengenomföras?

Detärävenviktigtattrutinernainnehållerentydligtbeskriveneskaleringsordningsomstödibeslutomåtgärdvidenupptäckthän-delse,tillexempelattincidenthanteringskapåbörjas.Incidenthanteringbeskrivsvidareiavsnitt8.10

Notera Verksamhetsutövare som saknar en funktion för säkerhetsövervakning kan med fördel ta stöd av en programvara som analyserar innehållet i loggarna och genererar larm när givna tröskelvärden överträds. Detta ger verksamhetsutövaren möjlighet att snabbt agera och vidta åtgärder om en potentiellt oönskad händelse inträffar, trots att aktiv säkerhetsövervakning saknas. Man bör dock komma ihåg att inget automatiserat system fullt ut kan ersätta en kvalitativ manuell analys.

8.8.4 Hantering av säkerhetsloggar

Attupprätthållatillförlitlighetentilldeloggarsomgenererasärenmycketviktigaspektsomenverksamhetsutövarebehöverbeakta.Enavanledningarnatilldettaärattloggaroftaanvändssomunderlagiintern-utredningarsomkanledatilldisciplinäraåtgärderellervidbevisföringibrottsmål.Omriktigheteniloggarnakanifrågasättaskandetledatillattansvarintekanutkrävasavdensomgjortsigskyldigtillbrott.Enannanviktigtaspektsomenverksamhets-utövarebehöverbeaktaärattloggarkaninnehållaskyddsvärdauppgifterochattkonfidentialitetenförloggarnadärmedbe-höverupprätthållas.

Loggarkanskyddaspåfleraolikasätt,därengrundläggandeåtgärdförattskyddabåderiktigheteniloggarnaochsamtidigtupprätthållakonfidentialitetenärattbe-gränsaåtkomstentillloggarnagenomenstriktbehörighetshantering.Tillförlitlig-hetenkanstärkasytterligaremedhjälpavkryptografiskafunktioner,exempelvisgenomsåkalladelektronisksignering.


Förattkunnaskyddaochbevaraloggar,upprätthållatillförlitlighettillinnehålletiloggarnasamtgenomföralogguppföljning,börloggarnasamlasiencentraliseradtek-niskfunktion,exempelvisiencentrallogg-server.Vidanvändningavencentrallogg-funktionärdetviktigtattdennagessammasäkerhetsskydd som de informationssystem därloggarnagenereras.Ettantalviktigaskyddsåtgärderattsärskiltbeaktaförensådanfunktionärstriktbehörighets-ochåt-komstkontroll,krypteringavnätverkstrafikvidöverföringavlogghändelsersamtkryp-teringavloggdataivila.Personalmedsyste-madministrativåtkomstiinformationssys-temetbörintehatillgångtilldencentralaloggserverndådekanförvanskaloggposterförattdöljaskadligaktivitet.

Enannanviktigförutsättningförattkunnaanvändaloggarvidenutredningärattsä-kerställa att informationssystemen och dess loggarharkorrektatidsangivelser.Ettsättatthanteradettaärattanvändastandard-protokolletNTP(NetworkTimeProtocol)försynkroniseringmotgemensammatidskäl-lor.

8.9 Säkerhetsövervakning 3 kap. 4 § säkerhetsskyddsförordningen (2018:658)4 kap. 36-37 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

8.9.1 Allmänt om säkerhetsövervakning

Medsäkerhetsövervakningavsesenfunk-tionsomarbetarmedaktivövervakningavett informations system med syfte att kunna upptäcka,försvåraochhanteraskadligin-verkanpåinformationssystemetsamtobe-hörigavlyssningav,åtkomsttillochnytt-jandeavettinformationssystem.Enkeltbeskrivetärsäkerhetsövervakningenfunktiondärpersonalmedhjälpavolikatekniskahjälpmedelaktivtsökerefteroön-skadeaktiviteteriettinformationssystem.

Vidupptäcktagerarfunktionengenomattförsökaförhindraexempelvisettintrångs-försök.Skulleettintrångsförsöklyckasutre-derfunktionenhur,varochvarförintrångetskeddesamtvadsombehövsförattförhin-draframtidaintrång.

BestämmelseromsäkerhetsövervakningåterfinnsiSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.

Avbestämmelsernai4kap.36-37§§iPMFS2019:2framgåratt:36 §: Verksamhetsutövaren ska använda funktion för säkerhetsövervakning av informationssystem som är avsett för att behandla säkerhetsskydds-klassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig. Kraven i första stycket gäller även informationssystem där en inci-dent kan medföra allvarlig eller synnerligen allvar-lig skada för Sveriges säkerhet.

37 §: Verksamhetsutövaren ska ha rutiner för säkerhetsövervakning enligt 36 §. Rutinerna ska omfatta vad som ska övervakas och vem som an-svarar för övervakningen. Rutinerna ska även om-fatta vad som behövs i övrigt samt vilka åtgärder som ska vidtas vid upptäckta händelser.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktaifrågaomsäkerhetsövervakningiettinfor-mationssystemsomharbetydelseförsäker-hetskänsligverksamhet.

8.9.2 Genomförande

Enfunktionförsäkerhetsövervakningärberoendeavbådeentekniskplattformochavkompetentpersonal.Personalsomarbe-tarmedsäkerhetsövervakningtillhöroftaendelienverksamhetsombenämnsSecu-rityOperationsCenter(SOC).VidsidanavenSOCfinnsoftaävenenfunktionfördriftö-vervakningsombenämnsNetworkOpera-tionsCenter(NOC).EnNOCfokuseraroftastpåövervakningavinformationssystemmedsyfteattupprätthållatillgänglighetochpre-standa.Bådadessafunktionerkompletterar


varandraochutgörsammantagetenviktigfunktionförattupprätthållasäkerheteniett informationssystem.

Hurarbetetmedsäkerhetsövervakningskagenomförasbehöververksamhetsutövarenfastställaochdärefterregleraiinternastyr-dokument.Dessabörgesvarpånedanstå-endefrågor:• Varförskasäkerhetsövervakninggenom-föras(vadärsyftetochmåletmedöver-vakningen)?

• Vemellervilkaskautförasäkerhetsöver-vakningen(exempelvisenSOC-funktion)?

• Närskasäkerhetsövervakninggenomför-as(exempelvisundervilkatider)?

• Hurskalogguppföljninggenomförasochvilkaåtgärderskavidtasnärverk-samhetsutövarenupptäcktenpotentielltoönskadhändelse(rutiner,checklistor,processbeskrivningaretcetera)?

• Medvilkatekniskahjälpmedelskasäker-hetsövervakninggenomföras(exempelvisenSIEM)?

Detärävenviktigtattstyrdokumenteninnehållerentydligbeskriveneskalerings-ordningsomstödibeslutomåtgärdnärettpotentielltintrångellerenannanoönskadhändelse upptäcks.

8.9.3 Åtgärder vid upptäckta händelser

Närfunktionenförsäkerhetsövervakningupptäckerettpotentielltintrångellerenannanoönskadhändelseiettinforma-tionssystembördetävenfinnasentydligbeskriveneskaleringsordningatttastödav.Utifråndennakandesomarbetarmedsä-kerhetsövervakningfattabeslutomvidareåtgärd.Fortsattaåtgärderkanexempelvisvara:• attinledafördjupadanalysavhändelsen• incidenthantering

Enfördjupadanalyskanbeståavgransk-ningavloggardirektienloggkällasåsomoperativsystem,enprogramvaraelleriinfra-strukturkomponenter.Fördjupadanalyskanävengörasiswitchar,routrar,brandväg-gar,VPN-koncentratorerochideinbyggdaskyddsfunktionerna i samma komponenter, exempelvisintrångsdetekteringellerinne-hållsfiltrering.Ävenanalysavminnesavbil-der,nätverkstrafikocheventuellskadligkodkanvaraendelavdenfördjupadeanalysen.Incidenthanteringbeskrivsvidareiavsnitt8.10.

8.9.4 Tekniska hjälpmedel

Somettstödförarbetetmedsäkerhetsöver-vakningfinnsenmängdolikaprogramvaroranpassadeförändamålet.SIEM(SecurityInformationandEventManagement)ärenvanligbenämningpåensådanprogramvarasomkanvaraettstödvidsäkerhetsövervak-ningavskyddsvärdasystem.

SIEMsköterinsamlingochaggregeringavloggarsomgenereratsavolikaloggkälloriettinformationssystem.Baseratpåinnehål-letiloggarnaidentifierarochkategoriserarSIEMmöjligaincidenterochhändelsersomskettiinformationssystemetochgörsedanenautomatiskanalysavdem.SIEMhardär-eftertvåsyften:1. Tillhandahållarapportergällandesä-

kerhetsrelaterade incidenter och hän-delsersåsomförekomstavskadligkod,misslyckadeinloggningsförsök,avak-tiveradeanvändarkontonsomåterak-tiverasochandrapotentielltskadligaaktiviteteriinformationssystemet.

2. Genereralarm,omdetunderdenau-tomatiskaanalysenvisarattsigattdetförekommerpotentielltskadligaaktivi-teteriinformationssystemet.Denauto-matiskaanalysenutgårfrånettförde-finieratregelverkdärdetframgårvilkaparametrarochtröskelvärdensomskagenereraettlarm.


Figur 17 En konceptuell illustration av logg och säkerhetsövervakning

Notera Att bygga upp en funktion för säkerhetsö-vervakning, exempelvis en SOC, är ett tidskrävande arbete som bör ske iterativt över tid. För att minska risken för inlåsnings-effekter är det viktigt att verksamhetsutö-varen, innan tekniska hjälpmedel införskaffas, definierar hur säkerhetsövervakningen ska bedrivas både under en uppbyggnadsfas och på sikt.

8.9.5 Övning och utvärdering

Ettbrasättatttestaochutvärderabådestyrdokument, personella resurser och tek-niskahjälpmedelsomanvändsienfunktionförsäkerhetsövervakningärattgenomföraövningar.Genomsamarbetemedpenetra-tionstestarekanfunktionenförsäkerhetsö-vervakningövaolikaangreppsscenarioniinformationssystemet,vilketgörattex-empelviströskelvärdenförgenereringavlarmkantestasochfinjusteras.Genomettoannonseratangreppmedhjälpavpenetra-tionstestarekanävenverksamhetsutövarensincidenthanteringsättaspåprovochutvär-deras.

8.10 Incidenthantering

2 kap. 10-11 §§ säkerhetsskyddsförordningen (2018:658)2 kap. 19-25 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

8.10.1 Allmänt om incidenthantering

Enit-incidentkanberopåsåvälettavsiktligtsomettoavsiktligtagerandeavegenperso-nalelleravenhotaktör.Dekonsekvensersomkanuppståvidensådanincidentärexempelvisattinformationssystemetblirotillgängligtellerattinformationisyste-metharförvanskats,förstörtsellerröjtstillobehörig.Oavsettorsakärdetviktigtattincidenterhanteraspåettstruktureratsättförattdensäkerhetskänsligaverksamhetensåsnartsommöjligtskakunnaåtergåtillnormalläge.

Begreppetit-incidentåterfinnsi2 kap.10§säkerhetsskyddsförordningen(2018:658)därdetavrubriksättningenframgårattenIT-incidentärentypavsäkerhetshotandehändelse.BestämmelserrelateradetillhanteringavsäkerhetshotandehändelseråterfinnsdärutöveriSäkerhetspolisensföre-skrifter(PMFS2019:2)omsäkerhetsskydd.


Avbestämmelsernai2kap.20-22§§PMFS2019:2framgåratt:20 §: Verksamhetsutövaren ska ha rutiner för han-tering av säkerhetshotande händelser som är av betydelse för verksamhetens säkerhetsskydd.

21 §: Verksamhetsutövaren ska vid säkerhetsho-tande händelser som är av betydelse för verksam-hetens säkerhetsskydd vidta åtgärder så att skad-lig inverkan på den säkerhetskänsliga verksam-heten minimeras och så att den säkerhetskänsliga verksamheten så snart som möjligt kan återgå till normalläge.

22 §: Verksamhetsutövaren ska utvärdera inträf-fade säkerhetshotande händelser som är av bety-delse för verksamhetens säkerhetsskydd. Utifrån utvärderingen ska verksamhetsutövaren införa de förbättringar som krävs för att minimera skadeef-fekten av liknande händelser i framtiden.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktaifrågaomincidenthanteringförettinfor-mationssystemsomharbetydelseförsäker-hetskänsligverksamhet.

8.10.2 Grundläggande förutsättningar

Förattenverksamhetsutövareskakunnahanterait-incidenterpåetttillfredställandesättkrävsatttvågrundläggandekompo-nenterfinnspåplatsredanpåförhand.Denviktigastekomponentenärattverksam-hetsutövarenformatenhandlingskraftigarbetsgruppsomärredoatttasigandeutmaningarenit-incidentmedför.Iensådangruppärgodtekniskit-ochsäker-hetskompetensviktigt,likvälsominsiktiochförståelseförit-miljön.Enincidenthan-teringsgruppbörävenbeståavpersonalsomkanhanterarättsligafrågor,personal-ocharbetsgivarfrågorsamtkommunikations-frågor.Detärävenviktigtattverksamhets-utövarensäkerställerattallamedlemmariarbetsgruppenärmedvetnaomsinarollerochvilkaförväntningarsomställspådemihändelseavenincident.

Denandraviktigakomponentenärattverk-samhetsutövarentagitframenincidenthan-teringsplan.Syftetmedplanenärattdenskavaraettstödidenpraktiskaincident-hanteringen.Enincidenthanteringsplanbörvarakonkretochkärnfullförattvaraprak-tisktanvändbar.Enincidenthanteringsplanböräveninnehållabeskrivningaravrollerochansvarsområden,mandat,prioriterings-ordning,utredning,minimeringavskador,återställning,dokumenteringochrapporte-ring.

8.10.3 Genomförande

Atthanteraenit-incidentäroftabådekom-pliceratochtidskrävandeochhandlarigrundenomatt:1. minimera skadeverkan i informations-

systemet.

2. utreda omfattning och orsak.

3. återställa informationssysteminforma-tionssystemet till normalläge.

4. dokumentera och rapportera inciden-ten till berörda intressenter.

5. utvärdera och dra lärdom av incidenten för att kunna införa de förbättringar som krävs för att minska sannolikheten för, eller minimera skadeeffekten av, liknande händelser i framtiden.

8.10.3.1 Minimera skadeverkan i informationssystemetDetförstasombörgörasnärenincidentharinträffatärattinriktaarbetetpåattmini-meraskadeverkan.Beroendepåincidentenskaraktärkanolikatyperavåtgärderbehövagenomförasförattminimeraincidentensskadeverkaniinformationssystemet.Intesällanbehöveråtgärdernakoordinerasochgenomförasirättföljdförattexempelvisminskaexponeringenavinformationssyste-met.Exempelpåenskademinimeradåtgärdkanvaraattkopplabortenklientdatorfrånnätverketsomsmittatsmedskadligkod.Förattskademinimerapåeffektivastesättkrävssystematik och struktur i arbetet.


8.10.3.2 Utreda omfattning och orsak Närdevärstaskadornaärnågorlundaunderkontrollkanenutredningavincidentensomfattningochorsakpåbörjas.

Enit-incidentmedföroftaattstressnivånhosberördpersonalökar.Dettakanledatillattpersonalendrarförhastadeslutsatserellergörmissariutredningsarbetet.Detärdärförviktigtattarbetasystematisktochstruktureratföratttaredaomfattningenavincidenten och hur incidenten kunnat in-träffa.Dettaärenförutsättningblandannatförattiettsenareskedekunnaåterställainformationssystemtillderasnormalläge.

Vidmisstankeombrottärdetviktigtattverksamhetsutövarensäkrarbevis.Dettabehövergöraspåettsådantsättattbevisenkananvändasienbrottmålsprocessellerannanrättsligprövning.

Notera• För att utredningen av incidenten ska

kunna ske strukturerat bör verksam-hetsutövaren utse en person med huvudansvar för utredningen. Detta medför att fördelning av arbetsuppgifter och koordinering av arbetet kan hanteras av en person med god överblick. En fördel med detta är också att arbetsuppgifter kan fördelas till de för ändamålet mest lämpade, personerna och att eventuella kolliderande arbetsuppgifter uppmärksammas.

• Kontinuerlig inspelning av nätverkstrafik kan vara ett relativt billigt och värdefullt hjälpmedel vid utredning av en incident.

8.10.3.3 Återställa informationssys-tem till normalläge Närminimeringavskadeverkanhargenom-förtsochorsakensamtomfattningenavin-cidentenharklarlagtsgällerdetattåterstäl-lainformationssystemettillettnormalläge.Allaviktigadelarsomharpåverkatsvidenit-incidentmåsteåterställassåattinteverksamhetsutövarensmöjlighettillattbe-

drivasinverksamhetpåverkasialltförstorutsträckning.Dettakanexempelvishandlaomatttaborttillfälligabegränsningarsominförtsundertidenförutredning,bevis-säkringellerunderåterläsningavfilerfrånsäkerhetskopior.Verksamhetsutövarenkanävenbehövavidtakompenserandesäker-hetsåtgärderunderenövergångsperiodförattexempelvisdatorerskakunnatasibrukellerbehörigheteraktiverasigen.Enviktigdeliåterställningsprocessenärattsäkerställaattsystemenfungerarsomdeska.Desårbarhetersomupptäcktsunderut-redningsfasenskaåtgärdasförattförhindraattenliknandeincidentinträffarigen.

8.10.3.4 Dokumentera och rappor-tera incidenten till berörda intressenter Allaincidenterbördokumenterasenligten fastställd instruktion och rapporteras genomenfastställdmall.Lämpligtvisfinnsbådadessautpekadeiincidenthanterings-planenellerutgörendelavincidenthante-ringsplanen.Enanledningtillattdokumenteraärattlö-pandekunnagekvalitativinformationomincidententillberördaintressenterundersjälvaincidenthanteringen.Enannanviktiganledningtillattdokumenteraärattverk-samhetsutövareniefterhandskakunnaföljaupp,granskaochdralärdomavinträf-fadeincidenter.Utanengoddokumentationöverincidenthanteringenärdetsvårtattfåenhelhetsbildavvadsomisjälvaverketskettochvarför.

Hurenincidenthanteringdokumenteraskanseolikautmendokumentationenböråtminstonegesvarpånedanståendefrågor:• Närochvarinträffadeincidenten?• Vem/vilkaupptäckteochrapporteradeincidenten?

• Vilketinformationssystemochvilkadelarelleringåendekomponenterharpåverkats?

• Vadärkonsekvensenavincidenten(vilkaskadorharuppstått)?

• Vilkaåtgärderharvidtagitsföratthan-teraincidenten(ikronologiskordning)?


• Vilkahardeltagitiincidenthanteringen?• Vilkaharinformeratsomincidenten?

Ivissafallärverksamhetsutövarenskyldigatt rapportera incidenter till Säkerhetspoli-senellerinformeraandraverksamhetsutö-vare.I2kap.10§säkerhetsskyddsförord-ningensamti2kap.23-25§§Säkerhetspo-lisensföreskrifter(PMFS2019:2)omsäker-hetsskyddfinnsbestämmelseromdetta.

Notera• Säkerställ att information om incidenten

delges ledningen så snart som möjligt. Med kännedom och förståelse för vad som inträffat kan resurser till incidenthante-ringsarbetet prioriteras och tilldelas av ledningen i högre grad, samtidigt som verksamheten kan säkerställas.

• Säkerställ att rapporteringsskyldigheten till Säkerhetspolisen avseende säkerhetsho-tande händelser finns beskriven i incident-hanteringsplanen.

• Det är viktigt att tidigt vid upptäck rapportera säkerhetshotande verksamhet och incidenter till Säkerhetspolisen för att vid behov få stöd men även för att ge Säkerhetspolisen möjlighet att omvärldsbevaka pågående händelser. Om fullständig information inte finns tillgänglig kan rapporten med fördel kompletteras efter hand.

8.10.3.5 Utvärdera och dra lärdom av incidentenSyftetmedutvärderingenärattdralärdomavincidentenförattkunnainföradeför-bättringarsomkrävsförattminskasanno-likhetenförellerminimeraskadeeffektenav,liknandehändelseriframtiden.Dettainnebärattutvärderingbörskeavarbetssättochmetoder,incidenthanteringsplansamtdesäkerhetsskyddsåtgärdersomvidtagitsiochkringinformationssystemet.

Förattutveckladenarbetsgruppsomhan-terarit-incidenterochföratthaförmåganattiframtidenkunnabemötainträffadehändelserärdetviktigtattföljauppochutvärderaincidenthanteringensåtättsommöjligtinpåattincidenthanteringenharavslutats.Dettabörgörasavarbetsgruppensjälvtiformavdebriefingellerliknandeianslutningtillattincidenthanteringenharavslutats.Därutöverbörenmeromfattandeutvärderinggenomförasunderledningavenpersonsominteaktivtdeltagitiincident-hanteringenförattundvikaberoendeför-hållandenellersubjektivabedömningar.Baseratpåutvärderingenbörutvärderarentaframenåtgärdslistasomföreslåråtgär-derisyfteattutvecklaincidenthanteringen.Varjeåtgärdbörtilldelasenansvarigochendeadline.Någoniorganisationen,exempel-visutpekadutvärderare,ansvarardärefterförattföljaattåtgärdernagenomförs.



9.1 Allmänt om omvärldsbevakning

Attupprätthållasäkerheteniettinforma-tionssystemhandlarintebaraomatthållainformationssystemetidrift.Enverksam-hetsutövaremåsteävenförhållasigtilldehotinformationssystemetkanvaraexpone-ratmotochdesårbarhetersomfinnsiochkringinformationssystemet.Förattenverksamhetsutövareskakunnafåenuppfattningomnyaellerförändradehot,uppkomstavnyasårbarheter,exem-pelvisiprogramvarorsomanvänds,krävsattverksamhetsutövarenkontinuerligtbevakarhändelseriomvärldensomkanpåverkasäkerheteniverksamhetsutövarensinformationssystem.Dettaarbetebenämnsoftaomvärldsbevakning.

Bestämmelserrelateradetillomvärldsbevak-ningåterfinnsiSäkerhetspolisensföreskrif-ter(PMFS2019:2)omsäkerhetsskydd.

Avbestämmelsernai4kap.2§PMFS2019:2framgåratt:2 §: Verksamhetsutövaren ska kontinuerligt an-passa säkerhetsskyddsåtgärder i informationssys-tem för att möta förändringar av hot och sårbar-heter. Verksamhetsutövaren ska även fastställa hur detta ska genomföras och vem som ansvarar för att identifiera förändringarna.

Idettaavsnittbeskrivshurenverksamhets-utövarebörarbetamedomvärldsbevakningförettinformationssystemsomäravbety-delseförsäkerhetskänsligverksamhet.

9.2 GenomförandeFörattomvärldsbevakningenskageöns-kadeffektärdetviktigtattdeninforma-tionsominhämtaskanomsättastillnågotkonkret.Verksamhetsutövarenbehöverdärförhaförmågaattbedömahurensår-barhet,exempelvisienprogramvara,kanpåverkasäkerheteniverksamhetsutövarensinformations system och därefter ta ställ-ningtillomsårbarhetenbehöveråtgärdasomgåendeellerinte.Iregelpublicerardestoratillverkarnaavprogramvarasåkall-ladesäkerhetsuppdateringar(ävenkallatsäkerhetspatchar)såfortensårbarhetiprogramvarablirkänd.Oftasthartillverka-renredangjortnågonformavvärderingavallvarlighetisårbarhetensomsäkerhetsupp-dateringenskaåtgärda.Dettakanvaraettbraingångvärdenärverksamhetsutövarenskagörasinbedömningavhursårbarhetenkanpåverkaverksamhetsutövarensinfor-mationssystem.

Informationomsårbarheterihård-ochmjukvaraochnyaattackmetoderpubliceraskonstantruntomiomvärldenochdetkandärförvarasvårtattmanuelltinhämtaochdistribueradennatypavinformation.Somstödidettakanenverksamhetsutövarean-vändaettsystemsomautomatiskthämtarinochdistribuerarrelevantinformationtillberördpersonal.Ettsådantsystemkanexempelvisförsesmednyckelordkopplattilldeprogramvarorsomfinnsinstalleradeiverksamhetsutövarensinformationssystem.Systemetanvänderdessanyckelordförattsökaipublikakällormedinformationomsårbarheterochnärsystemetfårenträffnotifieraspersonalsomäransvarigförak-tuellprogramvara.Därefterkanrelevantaåtgärderutförasförattreduceraellerom-händertasårbarheten.

9 Omvärldsbevakning


Oavsettomomvärldsbevakningskermanu-elltellermedettteknisktstödärdetavstorviktattverksamhetsutövarenhareninven-tarieförteckningfördenmjuk-ochhårdvarasomförekommeriverksamhetsutövarensinformationssystemannarsblirdetsvårtförverksamhetsutövarenattvetavilkasårbar-hetersomärrelevantaatttaställningtill.Ifrågaommjukvaraböruppgiftomsåvälproduktnamnochversion(er)finnasiinven-tarieförteckningen.

Notera Samverkan med andra verksamhets-utövare inom samma sektor är ofta en framgångsfaktor i fråga om omvärldsbevak-ning, då kunskap och erfarenheter om hot och sårbarheter utifrån den specifika sektorn blir lättare att omsätta i praktiken.


2 kap. 16 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd 4 kap. 3 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

10.1 Allmänt om kompetens och resursplanering

Utvecklingavinformationssystemellermjukvaraiettinformationssystemkanskeiolikaplattformarochbaseraspåenmängdolikaprogrammeringsspråk.Varochenavdessait-plattformarkanhainneboendesårbarhetersombådekannyttjasavenho-taktörvidettangreppochsomkanpåverkadriftsäkerheteniinformationssystemet.Densomdeltariutvecklingavinformationssys-temmåsteavdärförhaadekvatochaktuellkompetensomdesårbarhetersomfinnsideplattformardärutvecklingskerförattsår-barheter ska kunna omhändertas.

Motsvarandeförhållningssätttillkompetensgällerävenfördensomarbetarmeddriftavinformationssystem.Bestämmelserrela-teradetillkompetensochresursplaneringåterfinnsiSäkerhetspolisensföreskrifteromsäkerhetsskydd(PMFS2019:2).

Avbestämmelsernai2kap.16§PMFS2019:2framgåratt:Verksamhetsutövaren ska säkerställa att det finns resurser och kompetenser tillgängliga i den utsträckning som krävs för att upprätthålla säker-hetsskyddet.

Avbestämmelsernai4kap.3§PMFS2019:2framgåratt:Verksamhetsutövaren ska se till att den som deltar i utveckling, framtagning av arkitektur, testning

och drift av informationssystem som har betydelse för säkerhetskänslig verksamhet har tillräcklig kompetens avseende informationssäkerhet och sår-barheter i aktuellt informationssystem.

10.2 KompetensförsörjningOmenverksamhetsutövareskahaförut-sättningarattkunnahållaettinformations-systemidriftochupprätthållasäkerhetenkrävsbåderesurserochkompetens.Utanenplaneringfördettariskerarsäkerhetsarbetetattåsidosättas.

Utvecklingavinformationssystemärettarbetesomoftabedrivsiprojektformavettutvecklingsteamsomärskräddarsyttfördetspecifikautvecklingsprojektet.Intesällanärdenpersonalsomutvecklarin-formationssystemetinhyrdelleriövrigtorganisatorisktfrånskildfråndenpersonalsomskaarbetameddriftochförvaltningavinformationssystemet.Avdennaanledningärdetavytterstaviktattdenmottagandeorganisationen(driftorganisationen)somskaarbetameddriftochförvaltningavin-formationssystemetharmöjlighetattrustasinorganisationmedrättkompetenserochresurser innan informationssystemet tas i drift.Dettaäravgörandeförattdriftorgani-sationenskakunnaupprätthållagodfunk-tionalitetochfastställtsäkerhetsskyddförinformationssystemetövertid.

Verksamhetsutövarenbördärförigodtidinnanettinformationssystemavbetydelseförsäkerhetskänsligverksamhettasidriftbörjaplanerafördriftochförvaltningavinformationssystemet.Idettaliggerattfast-ställavilkaresurserochkompetensersomerfordrasfördriftochförvaltningavinfor-

10 Kompetens och resursplanering


mationssystemet.Attutbildningavpersonalellernyrekryteringartartidochärytterli-gareaspekt,varförplaneringenfördriftochförvaltningmåsteskepåetttidigtstadium.


2 kap. 13, 26 §§ Säkerhetspolisens föreskrif-ter (PMFS 2019:2) om säkerhetsskydd 4 kap. 2, 11, 13 §§ Säkerhetspolisens före-skrifter (PMFS 2019:2) om säkerhetsskydd

11.1 Allmänt om uppföljning och kontroll

Uppföljningochkontrollärviktigaverktygförattkunnasäkerhetsställaattsäkerhets-skyddetförettinformationssystemupp-rätthållsövertidochgeravseddeffekt.Ettviktigtförhållningssättsomverksamhets-utövarenbörtillämpaifrågaomuppfölj-ningochkontrollärattdetskermedettor-ganisatorisktoberoendemotdensomutfördrift,förändringarochunderhålliinforma-tionssystemet.Dettaförattuppföljningochkontroll ska kunna ske med ett oberoende. BestämmelserrelateradeuppföljningochkontrollåterfinnsiSäkerhetspolisensföre-skrifter(PMFS2019:2)omsäkerhetsskydd.

Avbestämmelsernai2kap.26§PMFS2019:2framgåratt:26 §: Verksamhetsutövaren ska regelbundet • utvärdera om säkerhetsskyddsåtgärderna ger

avsedd effekt, • identifiera brister och sårbarheter i säkerhets-

skyddet och genomföra förbättringar, • kontrollera och följa upp det säkerhetsskydds-

arbete som bedrivs på uppdrag av verksam-hetsutövaren hos externa aktörer och

• i övrigt kontrollera och följa upp att verksam-heten följer regelverket för säkerhetsskydd.

Verksamhetsutövaren ska dokumentera åtgärder-na i en plan som ska uppdateras löpande. I planen ska det anges vilken funktion som är ansvarig för åtgärderna.

Avbestämmelsernai4kap.11§PMFS2019:2framgåratt:11 §: Verksamhetsutövaren ska årligen granska säkerheten i informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig eller i informationssystem där en incident kan medföra allvarlig eller synnerligen allvarlig skada för Sveriges säkerhet.

Uppföljningochgranskningavsäkerheteniettinformationssystembörvaraavsåväladministrativsomteknisktkaraktär.

Administrativsäkerhetsgranskningkanex-empelvistasiktepå:• attidentifierabristeriverksamhetensefterlevnadavdenstyrningsomreglerardrift,förändringochunderhållavinfor-mationssystemet.

• attidentifierabristerianvändarnasef-terlevnadavdereglerochrutinersomreglerarhurinformationssystemetfåranvändas.

Enteknisksäkerhetsgranskningkanexem-pelvistasiktepå:• attidentifieragenerellabristerochsår-barheterifunktioneriochkringinfor-mationssystemet.

• attgranskaominformationssystemetärskyddatmotpubliktkändasårbarhetersombordevaraomhändertagnainomramenförverksamhetsutövarensom-världsbevakning.

• attidentifierabristeriefterlevnadavdenstyrningsomreglerardriftochunderhållavinformationssystemet,exempelvisgällandehanteringavtjänstekontonochanvändarkontonmedsystemadministra-tivåtkomst.

11 Uppföljning och kontroll


Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktaifrågaomuppföljningochkontrollförettinformationssystemsomharbetydelseförsäkerhetskänsligverksamhet.

11.2 Efterlevnad av kravställning

Desäkerhetskravsomidentifieratsidensärskildasäkerhetsskyddsbedömningenbörföljasuppmedregelbundnakontrol-ler.Dessakontrollerkantillexempelvaraiformavsäkerhetsgranskningar,sårbarhets-skanningarochpenetrationstester.

Syftetmeddessakontrollerärattverifieraatt de säkerhetsfunktioner och den säker-hetskonfigurationsominitialtappliceradesviddriftsättningupprätthållsövertid.Sä-kerhetsarbetetmåstekontinuerligtrevide-rasochskyddetbliroftastmesteffektivtomdetiterativtanpassasochuppdateras.

Nyaattackvägarochsårbarheterkräverattskyddetanpassasochdetärinteovanligtattsäkerhetsåtgärderavaktiveraselleravandraorsakerblirineffektivamedtiden.Nyfunktionalitetförsin,vilketbådekanintroduceranyasårbarheterochändrahurverksamhetenanvändersystemet.Därförärdetenfördelomgranskningargenomförssystematisktochärårligtåterkommande,menocksåattdetrutinmässigtgenomförsvidstörreförändringar.

11.3 Kontroll av åtkomst och behörigheter

Uppföljningavåtkomstochbehörigheterärnödvändigtdå:• förändringarkanskeianvändarensan-

ställning(tillexempelkananvändarenbytaenhetellerarbetsuppgifter,varatjänstledigunderenlängretidellerlämnaprojektdeltagandeiförtid).

• insiderskanhatilldelatsigotillbörligabehörigheter.

• externahotaktörerellerinsiderskanhaskapatheltnyabehörigheter.

• gamlaanvändarkontonfelaktigtkanhaåteraktiverats(avmisstagelleraveninsi-der).

11.4 Uppdatering av dokumentation

Likaviktigtsomattupprättadokumenta-tionviddriftsättningavettnyttinforma-tionssystem, system eller applikation är arbetet med att se till att dokumentationen uppdaterasövertid.

Vidnyellerförändradfunktionalitetiit-miljö,systemellerapplikationskabefintligdokumentationsesöver.Detkanberöraru-tiner, policydokument, systemdokumenta-tion,SAD(SolutionArchitectureDocument),driftsdokumentation,förvaltningsdokumen-tation,utvecklardokumentation,nätverks-kartor,inventarielistormedmera.

Notera Använd gärna någon form av systemstöd för dokumentation som gör det enkelt för it-personal att hantera uppdateringar av dokumentation.


12 ReferenserOpenWebApplicationSecurityProject-https://owasp.org

OWASPTestingGuide-https://www.owasp.org/index.php/OWASP_Testing_Project

PenetrationTestingStandard-http://www.pentest-standard.org/index.php/PTES_Techni-cal_Guidelines

NISTNationalChecklistProgramRepository-https://nvd.nist.gov/ncp/repository

AustralianCyberSecurityCentre(ACSC)-https://acsc.gov.au/publications/index.htm

MITREATT&CK–https://attack.mitre.org/

ITIL-https://www.axelos.com/best-practice-solutions/itil

COBIT-https://cobitonline.isaca.org/

TOGAF-https://www.opengroup.org/togaf


13.1 Version 1.01Ändringargjordaiversion1.01• Kapitel2underKonfidentialitetärettinte borttaget

• Kapitel3.1.3borttagavettstyckeochex-empel

• Kapitel7.4.3.4Figur13ärrättad• Kapitel7.4.2.4ändrattillrubrik

13 Ändringslogg

Säkerhetspolisen • Box 12312 • 102 28 StockholmTel: 010-568 70 00 • Fax: 010-568 70 10

E-post: [email protected]. sakerhetspolisen.se

Documents

Vägledning i säkerhetsskydd · 2021. 3. 1. · den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen i säkerhetsskyddsklasser ska göras enligt