Innehåll
- Introduktion
- Planering, exempel
- Länkar
- Genomförande steg-för-steg
- Delsteg 1: Verksamhetsbeskrivning
- Delsteg 2: Identifiera och bedöma skyddsvärden
- Delsteg 3: Säkerhetshot identifieras
- Delsteg 4: Sårbarhetsbedömning
- Delsteg 5: Säkerhetsskyddsåtgärder beskrivs
- Säkerhetsskyddsanalysen är klar och ska fastställas
- Delsteg 6: Säkerhetsskyddsplan sammanställs
Grunden för allt säkerhetsskydd
Vad är en Säkerhetsskyddsanalys?
Säkerhetsskyddsanalys är ett lagkrav för de bolag som till någon del bedriver säkerhetskänslig verksamhet. Den syftar till att skydda det som är skyddsvärt för Sveriges säkerhet.
Infosäkra AB hjälper verksamheter att först ta reda på om de berörs av lagen. Sedan kan vi hjälpa till att göra en säkerhetsskyddsanalys enligt Säkerhetslagstiftningen och de senaste vägledningarna från Säkerhetsskyddspolisen.
Vi använder standardiserade mallar och metodstöd, om kunderna så önskar och inte har egna.
Vi genomför också systematiska utbildningar av personal inklusive ledning i Säkerhetsskyddsanalys.
1. Introduktion till guiden
Den här guiden är bara ett förslag på hur bolaget kan utföra sin säkerhetsskyddsanalys. För fullständiga instruktioner se Säkerhetspolisens vägledning som du hittar under länkar.
Det viktigaste är att bara komma igång, dvs göra, utan att grotta ner sig i för många detaljer och utan att först rätta till det som brister idag. Får ni med de 3-5 viktigaste faktorerna under varje delområde är det en bra början. När ni sedan kommit igenom alla delsteg kan ni gå tillbaka till delsteg 1 och justera/rätta till det ni inte är nöjda med, för att få en bra grund för ert säkerhetsskydd.
Förslag: Jobba gärna i grupp och i workshopsform med 3-4 deltagare från några olika discipliner. Ta med deltagare som har kunskap om verkligheten i verksamheten så att skönmålningar undviks.
2. Planering, exempel
Det här är ett exempel på hur man kan planera arbetet för en specificerad del av verksamheten. Tidplanen medger delaktighet och förankring utan att dra ärenden och beslut i långbänk. Den håller ändå ett gott tempo för att bibehålla momentum, motivation och engagemang. Självklart kan arbetet snabbas på så varje delmoment bara ges 1 vecka.
- Vecka 1-2: Planering och etablering
- Vecka 3: Delsteg 1 Verksamhetsbeskrivning (delsteg 1)
- Vecka 4-6: Identifiera samt klassificera/bedöma skyddsvärden (delsteg 2)
- Vecka 7-8: Säkerhetshot identifieras (delsteg 3)
- Vecka 9-10: Sårbarhetsbedömning (delsteg 4)
- Vecka 11-12: Beskriv säkerhetsskyddsåtgärder (delsteg 5)
- Vecka 13: Säkerhetsskyddsanalysen fastställs och godkänns
- Vecka 14-15: Säkerhetsskyddsplan sammanställs. Förankra och kommunicera (delsteg 6)
- Vecka 16: Avrunda och bestäm ansvarig för förvaltning/uppföljning av planen
I förberedelser och planering kan följande ingå:
- Förankring och beslut i ledningen
- Projektledning, projektorganisation (resurser/kompetenser) och projektplan
- Identifiera omfattning (på skyddskänslig verksamhet) och avgränsningar. Beslut
- Samråd med tillsynsmyndighet
- Metodval, dokument- och sekretesshantering
- Behov av säkerhetsprövning
- Beroenden till, återanvändning av, befintligt verksamhetsskydd och säkerhetsskydd
- Regler kring kommunikation
3. Länkar att använda
- Säpos vägledningar till säkerhetsskydd
- Säpos PM: Vad är säkerhetskänslig verksamhet
- Säpos fiktiva exempel – Säkerhetsskyddsanalys
- Säkerhetsskyddslagen
- Säkerhetsskyddsförordningen
- Tillsynsmyndigheter, 8 kap
- Nationellt Cybersäkerhetscenter
3. Genomförande steg-för-steg
Delsteg 1: Verksamhetsbeskrivning
Syftet med verksamhetsbeskrivningen är att övergripande beskriva sin verksamhet och specificera vilka delar av verksamheten som är säkerhetskänslig (exempelvis tjänster, leveranser, funktioner eller förmågor) och på vilket sätt detta har koppling till just på Sveriges säkerhet. Har det inte koppling till Sveriges säkerhet är det inte Säkerhetsskydd som är aktuellt att fokusera på, utan ”Verksamhetsskydd”.
Och vad är säkerhetskänslig verksamhet? I verksamhetsbeskrivningen ska verksamhetsutövaren övergripande ringa in och beskriva sin säkerhetskänsliga verksamhet och specificera vilka delar av verksamheten som är säkerhetskänslig.
Nedan listade indikatorer presenteras av Säkerhetspolisen i deras PM från 240305 ”Vad är säkerhetskänslig verksamhet”, bilaga 1. Läs hela PMet för att förstå innebörden.
Följande omständigheter gör att en verksamhetsutövare bedriver säkerhetskänslig verksamhet:
- 1. Ni hanterar säkerhetsskyddsklassificerade uppgifter (se OSL-lagen 2009:400)
- 2. Ni omfattas av ett internationellt åtagande om säkerhetsskydd
- 3. Ni förfogar över signalskyddsmaterial, signalskyddsnycklar eller innehar signalskyddsbefattningar
Indikatorer för när ni kan tänkas bedriva säkerhetskänslig verksamhet
- 4. Ni ingår i totalförsvaret
- 5. Ni bedriver samhällsviktig verksamhet
- 6. Ni är en beredskapsmyndighet eller en sektorsansvarig myndighet
- 7. Ni har en roll i en samhällsfunktion som är viktig för Sverige
- 8. Ni är en statlig myndighet som beslutar om placering i säkerhetsklass
- 9. Ni har flera uppdrag som omfattas av krav på säkerhetsskyddsavtal
- 10. Ni har fått beslut om skyddsobjekt
Ta även med i er verksamhetsbeskrivning Utgångspunkten i verksamhetsbeskrivningen är den egna verksamheten som bedrivs men det finns även exempel på när den egna verksamheten inte står i fokus. Till exempel kan det vara så att ens egen verksamhet inte bedöms som säkerhetskänslig men att det någonstans i verksamheten hanteras uppgifter som säkerhetsskyddsklassificerats av en annan verksamhetsutövare som i sin tur bedriver säkerhetskänslig verksamhet.
Om denna hantering sker utan krav på säkerhetsskyddsavtal, och om säkerhetsskyddet inte heller regleras på något annat tillräckligt sätt, kan denna hantering i sig anses utgöra säkerhetskänslig verksamhet, vilken får till följd att säkerhetsskyddslagen blir fullt tillämplig på den delen av ens verksamhet.
Och vad är Sveriges säkerhet?
Sveriges säkerhet är specificerat men saknar en fixerad definition då innebörden kan komma att förändras med förändrat omvärldsläge. Säkerhetsskydd avser att skydda fem avgörande faktorer för Sveriges säkerhet:
- Sveriges inre säkerhet (bl a demokratiskt statsskick, rättsväsende, brottsbekämpning)
- Sveriges yttre säkerhet (bl a försvar, oberoende, självständighet)
- Samhällsviktig funktion av nationell betydelse (leveransen, tjänster, funktioner)
- Sveriges ekonomi avseende betalningsförmåga och finansiella stabilitet
- Skadegenererade, dvs nationell påverkan på säkerhetskänsliga verksamheter samt på ett stort antal människor (ex kärnkraftverk, stora dammar, kemisk industri, mm)
Hänvisning till fördjupning
- Lagen: Se Säkerhetsförordningen Kap 2, § 2 om Verksamhetsbeskrivning
- Vägledning: Se kapitel 2 (sid 9) i SÄPOs Vägledning i säkerhetsskydd/ Säkerhetsskyddsanalys inkl checklistorna
Stöd och mallar
- Se Checklistorna i slutet av varje delmoment i Säkerhetspolisens Vägledning
Delsteg 2: Identifiera samt klassificera och bedöma verksamhetens skyddsvärden
Vägledning
Verksamhetsutövaren ska identifiera vilka skyddsvärden som finns i den säkerhetskänsliga verksamheten, det vill säga kartlägga och precisera (identifiera, klassificera och bedöma) skyddsvärdena:
- Säkerhetsskyddsklassificerade uppgifter: Klustra dem på rubriknivå om de är många (givet att uppgifterna behandlas/hanteras på liknande sätt). Dessa ska klassificeras utifrån den skada ett röjande kan medföra för Sveriges säkerhet.
- Annan säkerhetskänslig verksamhet: Anläggningar, objekt, system, egendom och andra tillgångar samt tjänster och leveranser som är av betydelse för Sveriges säkerhet, och som krävs för att verksamheten ska fungera (se kap 3.3, sid 16 i Vägledning). Specificera vad. Dessa ska inte klassificeras utan konsekvensbedömas utifrån den skada som kan uppstå på Sveriges säkerhet.
- Internationella åtaganden Ta även med uppgifter och säkerhetskänslig verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (avtal reglerar detta) (se kap 3.2, sid 15 i Vägledning)
Steg 2a Identifiera alla skyddsvärden: Fundera över vad som är verksamhetens skyddsvärden, det vill säga vilka är de mest känsliga delarna. Vilka typer av informationstillgångar har vi och vilken säkerhetskänslig verksamhet bedriver vi som inte får äventyra Sveriges säkerhet alt Sveriges förpliktiganden? Beakta även eventuella starka beroenden till externa parter (avseende uppgifter och säkerhetskänslig verksamhet).
Steg 2b Klassificera identifierade Uppgifter: Bedöm därefter ur vilket perspektiv uppgifterna har ett högt skyddsvärde på en nationell nivå. Vilken kravnivå är det på konfidentialitet (K), på riktighet (R) och på tillgänglighet (T)?
Steg 2c Konsekvensbedöm Annan säkerhetskänslig verksamhet. Konsekvensnivåer (nivå A-D) sättas för den skada för Sveriges säkerhet som ett (rimligt, inga ytterligheter) angrepp eller avbrott kan innebära för Sveriges säkerhet. Beskriv också (för ett resonemang) på vilket sätt den bedömda skadan har koppling till Sveriges säkerhet.
Bifoga en beskrivning (i en bilaga): Dokumentera kort och efter bästa förmåga, på vilket sätt hur ni resonerat vid respektive Klassificering och Konsekvensbedömning, speciellt hur kopplingen till Sveriges säkerhet motiveras. Detta underlättar det fortsatta arbetet och ger en röd tråd i både analys och valda säkerhetsåtgärderna. Håll det enkelt men tydligt.
Mer om Klassificeringar, bedömningarna och beskrivningen (expandera)
Klassificering av skyddsvärda uppgifter Klassificeringen görs utifrån tre perspektiv, dvs varje (kluster) av skyddsvärd uppgift ska bedömas utifrån alla tre kategorierna och det ska anges vilket som är det viktigaste perspektivet:
- K = Konfidentialitet Om det uppstår skada för Sveriges säkerhet till följd av att uppgifter obehörigen röjs är de skyddsvärda utifrån perspektivet konfidentialitet.
- R = Riktighet Om det uppstår skada för Sveriges säkerhet till följd av att uppgifter obehörigen ändras, är de skyddsvärden som behandlar eller förvarar uppgifterna skyddsvärda utifrån perspektivet riktighet.
- T = Tillgänglighet Om det uppstår skada för Sveriges säkerhet till följd av att skyddsvärden obehörigen görs otillgängliga eller förstörs är de skyddsvärda utifrån perspektivet tillgänglighet. Exempel: System- eller kommunikationsbortfall under en specificerad tid, dataförlust, etc – här kan detta perspektiv vara det viktigaste.
Konsekvensbedömning Den Säkerhetskänsliga verksamheten ska delas in i någon av de fyra säkerhetsskyddsklasserna:
- Kvalificerat hemlig (synnerligen allvarlig skada för Sveriges säkerhet)
- Hemlig (allvarlig skada)
- Konfidentiell (en inte obetydlig skada)
- Begränsat hemlig (endast ringa skada)
Bifoga en beskrivning (i en bilaga): Dokumentera kort och efter bästa förmåga, på vilket sätt hur ni resonerat vid respektive Klassificering och Konsekvensbedömning. Följande punkter kan ingå. Välj de som bäst beskriver konsekvenserna för Sveriges säkerhet:
- I vilket sammanhang eller kontext. Vilken roll hanterar detta?
- Vad och vem påverkas? Vilket beroendeförhållande berörs (kund/leverantör/3e part?)
- Hur stor är påverkan på Sveriges säkerhet: Är det påverkan sin helhet, är det en delmängd eller indirekt påverkan?
- Omfattningen av skada för Sveriges säkerhet?
- Hur lång tid ska förlöpa innan skada för Sveriges säkerhet uppstår och fortlöper?
- Finns möjlighet att återuppbygga, återställa eller på annat sätt minimera skadan? Kort eller lång tid?
- Vilken är den ev uppskattade kostnad för skadan / skadehanteringen?
- Hur stor ”nytta” och/eller hur ”viktigt” är detta för antagonisten att komma över, förstöra eller sabotera det här?
- Nätverk: Befinner man sig i centrum eller i periferin?
- Ev koppling till prioriterat geografiskt område (alt det geografiska läget har en uppgift i totalförsvaret)
- Internationella kopplingar av betydelse.
- Ta med beroenden. Ev skada uppstår hos en annan aktör.
Glöm inte Verksamhetsskyddet! En kommentar till ”skada” för Sveriges säkerhet vad gäller samhällskritiska funktioner/ tjänster: Om en uppgift eller funktion/verksamhet inte har nationell betydelse utan är samhälls- och verksamhetskritiska ur ett regional eller lokalt perspektiv är det självklart viktigt att fånga upp i arbetet med ett Verksamhetsskydd, så att lämpliga säkerhetsåtgärder kan vidtas även ur detta perspektiv. Men den Säkerhetsplan och de Säkerhetsåtgärder som följer av en Säkerhetsskyddsanalys ska enbart fokusera på åtgärder för att skydda Sveriges säkerhet. Annars riskerar det bli rörigt i styrningen och uppföljningen av verksamhetens olika skyddsåtgärder.
Hänvisning till fördjupning
- Lagen: 1 kap. 2 § och 2 kap. 5 § säkerhetsskyddslagen (2018:585)
- Vägledning: 2 kap. 3 § Säkerhetspolisens föreskrifter (PMFS 2022:1) om säkerhetsskydd
- Vägledning: 2 kap. 4 § Säkerhetspolisens föreskrifter (PMFS 2022:1) om säkerhetsskydd
Stöd och mallar
- Exempelmall: Delsteg 2 Identifiera skyddsvärden
- Checklista: Vägledning Säkerhetsskyddsanalys (Säkerhetspolisen)
- Stöd för indelning i säkerhetsskyddsklasser: se kapitel 2.5 (sid 12) i Vägledning Informationssäkerhet (Säkerhetspolisen)
Delsteg 3: Säkerhetshot identifieras
Det går inte att avgöra vilka säkerhetsskyddsåtgärder som tillfredsställer behovet av säkerhetsskydd för en verksamheten utan att först ta ställning till vad säkerhetsskyddet ska klara av att skydda mot för något. Hur ser hotbilden ut? Det ska beskrivas.
Gör en tydlig beskrivning av hoten och motståndarna, hotaktörerna. (1) Vilka hotaktörer har intresse av att hota skyddsvärdena? (2) Vad är hotaktörernas intressen? (3) Vilka är respektive hotaktörers mest rimliga tillvägagångssätt för de olika skyddsvärdena?
Exempel på säkerhetshot är cyberangrepp, spionage, stöld och sabotage. Gör en tydlig beskrivning av hoten och motståndaren. Hur ser hotbilden ut? Vilken typ av angripare kan tänkas utgöra ett hot? Exempel: främmande makts underrättelse- och säkerhetstjänst, terrorism, grov organiserad brottslighet, extremism, etc. Och vilka är deras respektive tillvägagångssätt?
Notera: Säkerhetshot som inte är av relevans för de identifierade skyddsvärdena eller den säkerhetskänsliga verksamheten i stort ska inte redovisas i säkerhetsskyddsanalysen
Källa FHS: Det är främst de antagonistiska hoten som ökat mot Sverige, dvs avsiktliga hot. Hoten består av aktiviteter, både lagliga och olagliga. Det finns olika publikationer som presenterar aktuella lägesbilder som kan användas: Säkerhetspolisen (2019-2024), Must, Nationellt Cybersäkerhetscenter (2024), etc.
Nedan följer några vanliga säkerhetshot: (Expandera)
| Främmande underrättelseverksamhet | Att samla in information om Svensk politik, politiker, ekonomi, teknik, vetenskap, militärt försvar, viktig infrastruktur och flyktingar. Intresse även för Sveriges totalförsvarsplanering. |
| Påverkansoperationer; såväl öppen påverkan (lobbyism) som dold påverkan | Att påverka och förändra en företeelse genom vilseledande informationsspridning så att de påverkades uppfattning, lojalitet och förtroende förändras. Har ökat som följd av medlemsskapet i NATO och ökat fokus på/inom EU. |
| Terrorism | Att använda skrämsel, terror, för att uppnå ett politiskt mål. Exempel: Förstörelse eller hot om förstörelse på allmän plats med så många civila dödsoffer som möjligt. |
| Cyberangrepp / Sabotage | Riktar in sig på en eller flera av verksamhetens skyddsvärden med avsikt att hindra eller förstöra förmågan hos verksamheten. Gäller både hot om verkställan och det faktiska verkställandet. |
| Kriminalitet | Genom brottslig verksamhet vill aktören nå ekonomisk vinning genom att komma över skyddsvärden. Den kan utnyttjas direkt men även säljas vidare till andra hotaktörer och/eller till ekonomisk brottslighet. |
| Strategiska uppköp och investeringar | Av strategiskt viktiga verksamheter, områden, etc |
| Kartläggning och anskaffning i övrigt |
Källa FHS och Säpo: Det är viktigt att verksamheten själva identifiera säkerhetshoten mot verksamhetens skyddsvärdena, för att kunna dimensionera sitt säkerhetsskyddet och reducera sårbarheterna. Säkerhetshoten och dess konsekvenser är grunden för den prioritering av säkerhetsskyddsåtgärder som verksamheten ska vidta. Så det är viktigt att lägga tid på en tillpassad hotbild så att man inte skjuter för ”brett” i sin kommande Säkerhetsskyddsplan.
Många säkerhetskänsliga verksamheter erhåller en verksamhetsanpassad DAF från Säkerhetspolisen, dvs en handling som beskriver de dimensionerande antagonisternas förmågor och ibland även annan anpassad information om säkerhetshot. Dessa ska verksamheten ha som utgångspunkt i beskrivningen av hotbilden, och utöver det lägga till ev hot som verksamheten själv identifierat, ex sektorsspecifika hotbilder.
En hotbild är en beskrivning över hotaktörerna (antagonister med både förmåga och avsikt) i det korta perspektivet och behöver hållas uppdaterad i takt med omvärldsläget. Den beskriver aktörernas aktuella förmågor och tillvägagångssätt men säger inget om sannolikheten för att ett hot ska verkställas. Sannolikheten för röjande eller skada beaktas inte i en Säkerhetskyddsanalys, enbart konsekvensen för Sveriges säkerhet om ett hot verkställs.
Hänvisning till fördjupning
- 2 kap. 1 § Säkerhetsskyddsförordningen (2021:955)
- 4 kap. (sid 21) i Vägledning i säkerhetsskydd/säkerhetsskyddsanalys
- 2 kap. 6–7§ Säkerhetspolisens föreskrifter (PMFS 2022:1) om säkerhetsskydd
Stöd och mallar
Delsteg 4: Gör en sårbarhetsbedömning
Beskriv de respektive större sårbarheterna, dvs luckor och glapp i vårt befintliga skydd av, kopplat till de olika skyddsvärden (informationstillgångar och kritiska tjänster/funktioner).
Förslag på generiska och allmänt förekommande sårbara punkter och relaterade säkerhetsskyddsåtgärder finns i Säkerhetspolisens olika Vägledningar. De verksamhetsunika sårbarheterna måste dock vaskas fram internt, i samverkan med olika typer av resurser och kompetenser i organisationen.
Identifieringen kan resultera i att ett stort antal sårbarheter identifieras i verksamheten. I arbetet med säkerhetsskyddsanalysen ska enbart de sårbarheterna som är av relevans för de identifierade skyddsvärdena eller den säkerhetskänsliga verksamheten i stort redovisas. Resterande sårbarheter hanteras inom ramen för Verksamhetsskyddet.
Hänvisning till fördjupning
- 2 kap. 8 § Säkerhetspolisens föreskrifter (PMFS 2022:1) om säkerhetsskydd
- Se kapitel 5 (sid 25) i Vägledning Säkerhetsskyddsanalys
- Se Säkerhetspolisens fördjupningar för respektive Skyddsåtgärdskategori: Vägledning Informationssäkerhet, Vägledning Personalsäkerhet, Vägledning Fysisk säkerhet
Stöd och mallar
Delsteg 5: Säkerhetsskyddsåtgärder beskrivs
Identifiera vilka skyddsåtgärder som krävs för respektive sårbarhet kopplat till skyddsvärdena. Skyddsåtgärderna finns inom tre olika kategorier: informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Alla tre kategorier krävs för att fullgott totalskydd. För att säkerhetsskyddsåtgärderna ska ge avsedd effekt och resultera i ett heltäckande säkerhetsskydd är det viktigt att beakta att säkerhetsskyddsåtgärderna som vidtas samverkar och bildar en helhet.
Exempel: ett fungerande fysisk säkerhetsskydd förutsätter att det finns en fungerande och ändamålsenlig personalsäkerhet. Och fungerande informationssäkerhet kräver fungerande personalsäkerhet och fysisk säkerhet. Så beroendena och harmoniering mellan olika säkerhetsåtgärder är också viktigt att beakta när säkerhetsskyddsåtgärder planeras och genomförs.
Hänvisning till fördjupning
- Lagen: 2 kap. 2–4 §§ säkerhetsskyddslagen (2018:585)
- Lagen: 2 kap. 1 § säkerhetsskyddsförordningen (2021:955)
- Vägledning: 2 kap. 9 § Säkerhetspolisens föreskrifter (PMFS 2022:1) om säkerhetsskydd
- Vägledning: 6 kap. (sid 27) i Vägledning i säkerhetsskydd/Säkerhetsskyddsanalys
Stöd och mallar
Säkerhetsanalysen ska fastställas och godkännas av verksamhetens högsta chef. Den fastställda säkerhetsskyddsanalysen ska ligga till grund för en säkerhetsskyddsplan.
Notera: Säkerhetsskyddsanalysen ska uppdateras vid behov och åtminstone vartannat år. Exempel på behov som föranleder att säkerhetsskyddsanalysen ska uppdateras är om verksamhetsutövaren identifierar nya skyddsvärden i verksamheten eller erhåller ny info om hotaktörer och hotbild.
Hänvisning till fördjupning
- 2 kap. 1 § säkerhetsskyddslagen (2018:585)
- 2 kap. 1 § säkerhetsskyddsförordningen (2021:955)
- 2 kap. 10 § Säkerhetspolisens föreskrifter (PMFS 2022:1) om säkerhetsskydd
Delsteg 6: Gör en säkerhetsskyddsplan
En säkerhetsskyddsplan upprättas sedan på basis av de skyddsåtgärder som framkommit. Säkerhetsskyddsplanen ska tydliggöra vilka säkerhetsskyddsåtgärder redan finns på plats och vilka som det behöver kompletteras med. Det ska stå när åtgärderna ska vara klara och på plats samt vilken funktion som ansvarar för verkställandet.
Hänvisning till fördjupning
- 2 kap. (sid 9) i SÄPOs Vägledning i säkerhetsskydd/ Säkerhetsskyddsanalys
- 2 kap. 12 § Säkerhetspolisens föreskrifter (PMFS 2022:1) om säkerhetsskydd
Stöd och mallar
Kontakta oss för hjälp med projektplanering, handledning och projektledning.