vägledning i säkerhetsskydd · • ss-iso/iec 27002 • ss-iso/iec 27003 informationssäkerhet...

Vägledning i säkerhetsskydd

Informationssäkerhet

Juni 2019

Produktion: Säkerhetspolisen, juni 2019

Grafisk formgivning: SäkerhetspolisenTypografi: Eurostile och Swift

3Vägledning i säkerhetsskydd – Informationssäkerhet

1 Om denna vägledning 6

2 Vad är informationssäkerhet? 7

3 Behandling av säkerhetsskyddsklassificerade uppgifter och handlingar 83.1 Säkerhetsskyddsklassificeradeuppgifter 83.1.1 Indelningiolikasäkerhetsskyddsklasser 83.1.2 Uppgiftersomomfattasavettinternationelltåtagandeom säkerhetsskydd 103.1.3 Aggregeradochackumuleradinformation 10

3.2 Hanteringavsäkerhetsskyddsklassificeradeuppgifter 113.3 Anteckningomsäkerhetsskyddsklass 143.4 Förvaring 153.5 Märkningavlagringsmedium 163.6 Distribution 163.7 Medförandeutanförverksamhetsutövarenslokaler 173.8 Förstöring 17

4 Hantering av säkerhetskänsliga uppgifter och informationssystem 194.1 Säkerhetsskyddavuppgifterochinformationssystemiövrigt 194.2 Tillgänglighet 194.3 Riktighet 19

5 Tematiska områden för hantering av informationssystem 20

6 Samråd om informationssystem 216.1 Allmäntomsamråd 216.2 Samrådinfördriftsättningavettinformationssystem 216.3 Samrådvidväsentligförändringavettinformationssystem 23

7 Utveckling av informationssystem 247.1 Allmäntomutvecklingavinformationssystem 247.2 Processförutvecklingavinformationssystem 247.3 Särskildsäkerhetsskyddsbedömning 267.3.1 Allmäntomsärskildsäkerhetsskyddsbedömning 267.3.2 Hurskainformationssystemetanvändas? 267.3.3 Påvilketsättärinformationssystemetavbetydelseförsäkerhetskänslig verksamhet? 277.3.4 Hurexponerasinformationssystemetmotandrainformationssystem? 277.3.5 Vilkasäkerhetskravgällerförinformationssystemet? 27

Innehåll


7.3.6 Vilkasäkerhetsskyddsåtgärderbehöverinförasiochkring informationssystemet? 27

7.4 Arkitektur 297.4.1 Allmäntomarkitektur 297.4.2 Separation 297.4.3 Kontrolleradkommunikation 337.4.4 Kryptering 377.4.5 Identitets-ochbehörighetshantering 397.4.6 Intrångsdetekteringochintrångsskydd 43

7.5 Utvecklingochimplementation 467.5.1 Drift-ochtestmiljö 467.5.2 Säkersystemdesignochsystemutveckling 467.5.3 Säkerhetskonfiguration 487.5.4 Skyddmotskadligkod 48

7.6 Funktionstesterochsäkerhetsgranskning 517.6.1 Allmäntomfunktionstesterochsäkerhetsgranskning 517.6.2 Funktionstester 517.6.3 Säkerhetsgranskning 517.6.4 Sårbarhetsskanning 537.6.5 Penetrationstest 537.6.6 Graderingochåtgärderavbrister 54

7.7 Infördriftsättning 55

8 Drift och underhåll 578.1 Allmäntomdriftochunderhåll 578.2 Styrningavdriftochunderhåll 578.3 Förändringshantering 588.4 Uppdateringar 598.4.1 Säkerhetsuppdateringar 598.4.2 Utbyteavföråldradprogramvara 598.4.3 Beslutomundantagochpraktiskhanteringavsäkerhetsuppdateringar 59

8.5 Säkerhetskopiering 608.6 Avveckling 608.6.1 Allmäntomavveckling 608.6.2 Avvecklingavkomponenter 618.6.3 Avvecklingochåteranvändningavlagringsmedia 61

8.7 Allmäntomoperativsäkerhet 628.8 Säkerhetsloggning 628.8.1 Allmäntomsäkerhetsloggning 628.8.2 Vadskaloggas? 638.8.3 Logguppföljningochåtgärdervidupptäcktahändelser 648.8.4 Hanteringavsäkerhetsloggar 64

8.9 Säkerhetsövervakning 658.9.1 Allmäntomsäkerhetsövervakning 658.9.2 Genomförande 658.9.3 Åtgärdervidupptäcktahändelser 668.9.4 Tekniskahjälpmedel 668.9.5 Övningochutvärdering 67


8.10Incidenthantering 678.10.1AllmäntomIncidenthantering 678.10.2Grundläggandeförutsättningar 688.10.3Genomförande 68

9 Omvärldsbevakning 719.1 Allmäntomomvärldsbevakning 719.2 Genomförande 71

10 Kompetens och resursplanering 7310.1Allmäntomkompetensochresursplanering 7310.2Kompetensförsörjning 73

11 Uppföljning och kontroll 7511.1Allmäntomuppföljningochkontroll 7511.2Efterlevnadavkravställning 7611.3Kontrollavåtkomstochbehörigheter 7611.4Uppdateringavdokumentation 76

12 Referenser 77


Dennavägledningriktarsigtilldigsompånågotsättarbetarmedattstyra,ledaellerutformainformationssäkerhetinomramenförsäkerhetsskyddellersompåannatsättkommerikontaktmedsådantinformations-säkerhetsarbete.Syftetmedvägledningenäratttydliggörabestämmelsernaikapitel3och4iSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.Denskaocksåökakunskapenominformationssäkerhetistortsamtvägledahursäkerhetsskydds-åtgärderinominformationssäkerhetkanutformasförattgeinformationstillgångarettfullgottsäkerhetsskydd.Ävenomvägled-

1 Om denna vägledning

ningenärinriktadpåsäkerhetsskyddsåtgär-deninformationssäkerhetsåbeskrivsäventillvissdelhurenverksamhetkanförhållasigtillinformationssäkerhetistort.Vissaförkunskaperominformationssäkerhetkankrävasförattfulltuttatillsiginnehålletivägledningen.

Vägledningenbeståravtvådelar,säkerhets-skyddsåtgärdeninformationssäkerhetochinformationssäkerhetiinformationssystem.Denförstadelenbörjarikapitel3ochdenandradelenikapitel5.


2 Vad är informationssäkerhet?

2 kap. 2 § säkerhetsskyddslagen (2018:585)

Informationärencentralbyggstenienverksamhet.Utantillgångtillrelevanttill-förlitliginformationblirdetsvårtförperso-nalenattutförasinaarbetsuppgifter,ochiförlängningenförverksamhetsutövarenattöverhuvudtagetkunnabedrivasinverksam-het.Informationgerkunskaptillindividerochorganisationerochkanbådeinhämtas,lagras,kommunicerasochbearbetasiolikaformer.Iochmeddenökadedigitalisering-enökaräveninformationsmängdernasamtverksamhetensberoendeavfungerandeinformationssystem.Dettainnebärattenverksamhetsutövarebehöveridentifieraochskyddadeninformationsomärvärdefull(skyddsvärdinformation).Detkanuppståstoranegativakonsekvenserförverksamhe-tenominformationenblirröjdförobehörig,omdenobehörigenförändraselleromdenintefinnstillhandsnärdenbehövs.Infor-mationssäkerhethandlaromåtgärderförattskyddainformationensåattsådanakon-sekvenserinteuppstår.

Enverksamhethariallmänhetstoramäng-derinformationsomavolikaanledningarkanvaraskyddsvärd.Förattfåeneffektivochsäkerinformationshanteringärenför-utsättningattinformationssäkerhetsarbetetbedrivssystematiskt.Förattfåettstödihurettsystematisktinformationssäkerhetsar-betekanbedrivaskanwebbplatsenwww.informationssakerhet.seanvändas.Förän-damåletfinnsocksåfleraetableradesvenskastandarder,såsom:• SS-ISO/IEC27000• SS-ISO/IEC27001

• SS-ISO/IEC27002• SS-ISO/IEC27003

Informationssäkerhethandlaromattskyd-dainformationurolikaaspekter,ochävenomdetiolikakontexterfinnsfleraolikadefinitioneravbegreppetsåärtrecentralaperspektivelleregenskaperhosinformationalltidåterkommande:

Konfidentialitet Attförhindraattinformationinteröjsförobehöriga.

Riktighet Attvikanlitapåattdeninformationvian-vänderivårverksamhetärkorrektochintemanipulerad.

TillgänglighetAttsäkerställaattinformationenärtillgäng-lignärvibehöverden.

Isäkerhetsskyddslagenuttrycksdettagenomattsäkerhetsskyddsåtgärdeninfor-mationssäkerhetska:1. förebyggaattsäkerhetsskyddsklas-

sificeradeuppgifterobehörigenröjs,ändras,görsotillgängligaellerförstörs,och

2. förebyggaskadliginverkaniövrigtpåuppgifterochinformationssystemsomgällersäkerhetskänsligverksamhet.

Detärviktigtattsäkerhetsskyddarbetetbe-drivsisamklangmedverksamhetensövrigainformationssäkerhetsarbete.


3 Behandling av säkerhets-skyddsklassificerade uppgifter och handlingar

3.1 Säkerhetsskyddsklassifi-cerade uppgifter

1 kap. 2 § andra stycket säkerhetsskyddslagen (2018:585)

Säkerhetsskyddsklassificeradeuppgifteräruppgiftersomrörsäkerhetskänsligverksamhetochsomdärföromfattasavsekretessenligtoffentlighets-ochsekretes-slagen(2009:400),ellersomskulleomfat-tasavsekretessomlagenvartillämplig.Förverksamheterdäroffentlighets-ochsekretesslageninteärtillämpligbehöververksamhetsutövarensåledesgöraenfiktivsekretessprövning.

Säkerhetsskyddsklassificeradeuppgifterkanocksåvarauppgiftersomomfattasavettinternationelltåtagandeomsäkerhets-skydd.SådanaavtalharSverigeingåttmedettantalolikaländerochmellanfolkligaorganisationer.DetkantillexempelrörasigomEU-klassificeradinformation.Hurochivilkennivåklassificeringenskerreglerasibi-ellermultilateralaavtalomsäkerhets-skydd.

SeSäkerhetspolisensvägledningIntroduktion till säkerhetsskyddförmerinformationomsäkerhetsskyddsklassificeradeuppgifterochuppgiftersomomfattasavinternationelltåtagandeomsäkerhetsskydd.

3.1.1 Indelning i olika säkerhetsskyddsklas-ser

2 kap. 5 § första stycket säkerhetsskyddslagen (2018:585)3 kap. 7 § säkerhetsskyddsförordningen (2018:658)2 kap. 2 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

SäkerhetsskyddsklassificeradeuppgifterskadelasinisäkerhetsskyddsklasserutifråndenskadasomettröjandeavuppgiftenkanmedföraförSverigessäkerhet.Indelningenisäkerhetsskyddsklasserskagörasenligtföljande:

kvalificerat hemligvidensynnerligenall-varligskada,hemligvidenallvarligskada,konfidentiellvideninteobetydligskada,ellerbegränsat hemligvidendastringaskada.

AttklassificeringenskaskeutifråndenskadasomettröjandekanmedföraförSverigessäkerhetinnebärattdetinteskabeaktasvilkenskadadetkanmedföraomuppgifternablirotillgängligaförverksam-hetsutövaren,elleromdemanipulerasochintelängrekanansesriktiga.

Vidindelningenavuppgifterisäkerhets-skyddsklasserböreventuellakonsekvenseravettröjandesomframstårsomheltorim-ligaintebeaktas.Iställetförattutgåifråndetvärstatänkbarascenariotbörbedöm-ningenskeutifrånvadsomärdetvärstarimligascenariotomuppgifternaröjs.Enligtsammaprincipbörmanintehellerbeakta


vadsomskullehändaomandrauppgifterskulleröjasvidsammatidpunkt.Iannatfallriskerarindelningenisäkerhetsskyddsklas-serattledatillattiprincipsamtligauppgif-terdelasininågonavdehögreklasserna,vilketinteärsyftetmedlagstiftningen.

Vidbedömningenavvilkenskadaettrö-jandekanmedföraförSverigessäkerhetbörSäkerhetspolisenskonsekvenskategorieran-vändas,vilkaangesibilagantillSäkerhets-polisensföreskrifteromsäkerhetsskydd.Precissomvidsäkerhetsskyddsanalysenärdeolikakonsekvenskategoriernalikvärdigaidettasammanhang.

Exempel: Oavsett om ett röjande av en sä-kerhetsskyddsklassificerad uppgift innebär en allvarlig skada för Sveriges inre säkerhet eller en allvarlig skada för nationellt samhällsviktig verksamhet ska uppgiften delas in i säkerhets-skyddsklassen hemlig.

Iförarbetenatilldennyasäkerhetsskydds-lagengesingennärmareförklaringtillvadsomavsesmedrespektiveskadenivå.DetärdärförytterstupptillrättstillämpningenattavgöravadsomutgörenskadaförSverigessäkerhet.Nedanståendevärdeordkandocktjänasomvissvägledningnärdetgällerin-delningisäkerhetsskyddsklass.

Säkerhetsskyddsklass Den skada som ett röjande av uppgifterna kan medföra

Värdeord till stöd för bedömningen om en viss typ av skada föreligger

Kvalificerat hemlig Ett röjande kan medföra en synnerligen allvarlig skada.

Synnerligen allvarliga negativa kon-sekvenser av stor omfattning, under lång tid, som utgör ett direkt hot mot den nationella förmågan. Kon-sekvenserna är inte begränsade till enstaka funktioner. Mycket svårt att återställa.

Hemlig Ett röjande kan medföra en allvarlig skada.

Allvarliga/betydande negativa konse-kvenser, av stor omfattning eller av väsentlig art, som innebär ett direkt hot mot den nationella förmågan, om än mot avgränsade funktioner. Svårt att återställa.

Konfidentiell Ett röjande kan medföra en inte obetydlig skada.

Påtagliga negativa konsekvenser för den nationella förmågan, om än i be-gränsad omfattning, som äventyrar, vållar skada, hindrar, underlättar för en antagonist eller innebär större avbrott.

Begränsat hemlig Ett röjande kan medföra endast ringa skada.

Ringa negativa konsekvenser som är begränsade till att påverka, försvåra eller störa den nationella förmågan i mindre omfattning.

Tabell 1: Vägledning för indelning i säkerhetsskyddsklass.


Mednationellförmågaavsestillexempeldennationellaförsvarsförmågan,denna-tionellaelförsörjningsförmåganellerdennationellabetalningsförmågan.

Enverksamhetsutövaresomtaremotensäkerhetsskyddsklassificeradhandlingavenannanverksamhetsutövareärintebun-denavdentidigaresäkerhetsskyddsklas-sificeringenavuppgifternaihandlingen.1 Utgångspunktenbörändåvaraattdenur-sprungligasäkerhetsskyddsklassificeringenskagodtasomdetintetillkommitnågranyaomständighetersedanindelningenisäker-hetsskyddsklassgjordes.Detärdenverk-samhetsutövaresomupprättathandlingensomharbästmöjlighetattbedömavilkenskadaettröjandeskullemedföraförSveri-gessäkerhet,särskiltomuppgifternarörverksamhetsutövarensegenverksamhet.

Syftetmedindelningenavuppgifterisä-kerhetsskyddsklasser är att fastställa en korrektlägstaskyddsnivåföruppgifternairespektivesäkerhetsskyddsklass.Indel-ningenisäkerhetsskyddsklassärdärförinteavgörandevidenprövningavomsekretes-senhindrarettutlämnandeavensäkerhets-skyddsklassificeradhandling.

3.1.2 Uppgifter som omfattas av ett inter-nationellt åtagande om säkerhets-skydd

2 kap. 5 § andra stycket säkerhetsskyddslagen (2018:585)

Säkerhetsskyddsklassificeradeuppgiftersomomfattasavettinternationelltåtagandeomsäkerhetsskyddskadelasinisäkerhets-skyddsklass,omdeinteredanharklassifice-

1 Förutomnärdetgälleruppgiftersomomfattasavettinternationelltåtagandeomsäkerhetsskydd,senästaavsnitt.

ratsavenannanstatellerenmellanfolkligorganisation.Enbefintligklassificeringskadågodtas,omdetintetillkommitnågranyaomständighetersedanindelningenisäkerhetsskyddsklassgjordes,ochliggatillgrundförbestämmandeavskyddsnivå.SeSäkerhetspolisensvägledningIntroduktion till säkerhetsskyddförmerinformationomin-ternationellaåtagandenomsäkerhetsskyddochdeinternationellamotsvarigheternatilldesvenskasäkerhetsskyddsklasserna.

Ivissainternationellasamarbetenförekom-merdetattensvenskverksamhetsutövareupprättarhandlingarsominnehålleruppgif-tersomomfattasavettinternationelltåta-gandeomsäkerhetsskydd.IsådanafallskauppgifternadelasinisäkerhetsskyddsklassutifråndenskadaettröjandeavuppgiftenkanmedföraförSverigesförhållandetilldenandrastatenellerdenmellanfolkligaorganisationen.

3.1.3 Aggregerad och ackumulerad infor-mation

4 kap. 6 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

Aggregeradeuppgifterbetyderattflertaletolikatyperavuppgiftersamlasochtillsam-mansutgörettnyttskyddsvärde,medanackumuleradeuppgifterbetyderenökadvolymavsammatypavuppgifter.Omenskildauppgiftersomsaknarsäkerhets-skyddsklassellerärindeladeienavsäker-hetsskyddsklassernabegränsathemlig,kon-fidentiellellerhemligsamlas,kandetivissafallmedföraattenhögresäkerhetsskydds-klassskatillämpaspåuppgiftssamlingen.Såärfalletomdenaggregeradeellerackumu-leradeinformationengörattenantagonistkandraandra,heltnyaslutsatseravupp-giftssamlingenänavvarjeenskilduppgift.


Exempel: Ett röjande av personuppgifter om en enskild anställd inom en säkerhets-känslig verksamhet får som utgångspunkt inte anses skada Sveriges säkerhet (även om uppgifterna i vissa fall kan omfattas av sekretess). Ett röjande av en sammanställning av personuppgifter om alla anställda inom en säkerhetskänslig verksamhet kan däremot, beroende på vilken verksamhet det rör sig om, medföra en skada för Sveriges säkerhet eftersom det ger en antagonist en möjlighet att kartlägga och anpassa sig till den nationella förmågan på området. Avgörande för vilken säkerhetsskyddsklass sammanställningen ska delas in i blir då om det går att kartlägga personernas identitet, arbetsuppgifter, kompetenser, sårbarheter med mera.

Avförarbetenatillsäkerhetsskyddslagen2

framgårattenklassificeringavensamlingavuppgifterintebörgörasistörreutsträck-ningochmedplaceringihögreklassänvad

2 Prop.2017/18:89s.66

somärnödvändigt.Dettaförattbegränsaonödigaadministrativakostnaderochonödigaingreppienskildasintegritetmedmera.

Endastiundantagsfall,därdetfinnsetttyd-ligtsambandmellanuppgifternasomgörattskadanavettröjandeskulleblimerall-varlig,kandetdärförvaraaktuelltatthöjaklassificeringenpåensammanställningavuppgifter.

3.2 Hantering av säkerhets-skyddsklassificerade uppgifter

Nedanföljerenöversiktligsammanställ-ningavhanteringsreglernaförsäkerhets-skyddsklassificeradeuppgifterirespektivesäkerhetsskyddsklass.Noteraattkravenskabetraktassomminimikravochattverksam-hetsutövarekankompletterakravställning-eniinternastyrdokument.

Begränsat hemlig

Konfidentiell Hemlig Kvalificerat hemlig

Får endast behandlas i in-formationssystem eller på lagringsmedium som verk-samhetsutövaren godkänt

Ja Ja Ja Ja

Innan verksamhetsutö-varen överför uppgift ska mottagaren uppmärksam-mas på säkerhetsskydds-klassificeringen

Ja Ja Ja Ja

Anteckning om säkerhets-skyddsklass

Ja Ja (plus antal sidor och uppgift om bilagor)

Ja (plus antal sidor och uppgift om bilagor samt exemplarnum-mer för fysisk handling)

Ja (plus antal sidor och uppgift om bilagor samt exemplarnum-mer för fysisk handling)

Medgivande från högsta chef eller motsvarande organ vid kopia eller utdrag (får delegeras)

Nej Nej Nej Ja


Begränsat hemlig


Förvaras i ett förvaringsut-rymme med säkerhet som motsvarar den skyddsnivå som skyddsdimensione-ringen kräver

Ja Ja Ja Ja

Förvaras hos, eller enligt beslut av, högsta chef eller motsvarande organ

Nej Nej Nej Ja

Uppgifter om var handling-en förvaras eller om den gallrats eller kommit bort ska antecknas i registret där handlingen är diarie-förd (gäller endast fysisk allmän handling).

Ja Ja Ja Ja

Märkning av lagringsmedi-um (säkerhetsskyddsklass och identifieringsuppgift)

Nej Ja Ja Ja

Ska sändas med en god-känd distributör

Nej Ja Ja Ja

Skyddas med hjälp av kryp-tografiska funktioner som har godkänt av Försvars-makten vid kommunicering till ett informationssystem utanför verksamhetsutöva-rens kontroll

Ja Ja Ja Ja

Anteckning om ursprungs-land för handling som kan komma att lämnas ut till utlandet (om det inte är olämpligt)

Ja Ja Ja Ja

Kvittering av fysisk hand-ling*

Nej Nej Ja (i regis-ter, liggare eller på sär-skilt kvitto). Kvittensen ska bevaras i 10 år

Ja (på sär-skilt kvitto) Kvittensen ska bevaras i 25 år

Anteckning om mottagare av elektronisk handling

Nej Nej Nej Ja

Anteckning vid/efter munt-lig delgivning eller visning

Nej Nej Nej Ja

*För offentliga verksamhetsutövare gäller kravet endast för allmänna handlingar


Begränsat hemlig


Vid medförande utanför verksamhetsutövarens lo-kaler ska handlingen hållas under omedelbar uppsikt eller förvaras på ett sätt som motsvarar det säker-hetsskydd som gäller för förvaring inom verksamhe-tens lokaler

Ja, såvida inte handlingen skyddas med hjälp av kryp-tografiska funktioner som har god-känts av För-svarsmakten




Får tas med till utlandet Ja, efter be-slut av säker-hetsskydds-chef

Ja, efter be-slut av säker-hetsskydds-chef

Ja, efter be-slut av säker-hetsskydds-chef

Ja, efter be-slut av högsta chef eller motsvarande organ

Vid försändelser till och från utlandet ska Utrikes-departementets kurirför-bindelse användas. Tillsyns-myndigheterna får medge undantag från detta krav





Tillstånd från högsta chef eller motsvarande organ att medföra handling utan-för verksamhetsutövarens lokaler (får delegeras)

Nej Nej Nej Ja

Årlig inventering av hand-lingar*

Nej Nej Ja (endast fysiska)

Ja

Årlig inventering av lag-ringsmedier

Nej Nej Ja Ja

Ska förstöras så att åt-komst och återskapande omöjliggörs

Ja Ja Ja Ja

Dokumentering av förstö-ring av allmän handling

Nej Nej Ja Ja

*För offentliga verksamhetsutövare gäller kravet endast för allmänna handlingar

Tabell 2: Hanteringsregler för säkerhetsskyddsklassificerade uppgifter.


3.3 Anteckning om säkerhets-skyddsklass

3 kap. 7 § säkerhetsskyddsförordningen (2018:658)3 kap. 4 – 6 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd5 kap. 5 § offentlighets- och sekretesslagen (2009:400)1 § offentlighets- och sekretessförordningen (2009:641)

Ensäkerhetsskyddsklassificeradhandlingskaförsesmedenanteckningomvilkensäkerhetsskyddsklassuppgifternaihand-lingenhar,isyfteattklargöravilkahan-teringsreglersomgällerförhandlingen.Kravetpåanteckninggällerbådeförfysiskaochelektroniskasäkerhetsskyddsklassifice-radehandlingar.Omdetisammahandlingförekommeruppgiftersomärindeladeiolikasäkerhetsskyddsklasserskadenhögstasäkerhetsskyddsklassenanges.

Anteckningenbörvararödochomgärdasavenenkelramupptillochmedsäkerhets-skyddsklassenhemlig.Försäkerhetsskydds-klassenkvalificerathemligböranteckning-enomgärdasavendubbelram.

Anteckningenböräveninnehållahänvis-ningtilltillämpligsekretessbestämmelseioffentlighets-ochsekretesslagen,datumdåanteckningengjordes,samtvilkenverksam-hetsutövaresomhargjortanteckningen.Påsåsättuppfyllerävenanteckningenkriteri-ernaförensekretessmarkering.

Förallmännahandlingarisäkerhetsskydds-klassenkvalificerathemligskadetpåan-teckningenävenframgåomdetärchefenförJustitie-,Utrikes-,ellerFörsvarsdeparte-mentetsomprövaromhandlingenefterbe-gärankanutlämnastillenenskild.Sefigur1och2förexempelpåhuranteckningarnakanutformas.

Ävenenskildaverksamhetsutövarebörhän-visatilltillämpligasekretessbestämmelserioffentlighets-ochsekretesslagen,förattunderlättahanteringenavhandlingarsomdistribuerasmellanenskildaochoffentligaverksamhetsutövareochförattåstadkom-matransparensisäkerhetsskyddsklassifice-ringen.

Förelektroniskahandlingarelleruppgift-samlingardärformatetintestödjerenan-teckningkanuppgiftomsäkerhetsskydds-klassiställetangesifilnamnet.

Omhandlingenbeståravflerasidorellerharbilagorskaävenantaletsidorochbila-gorangespåförstasidan.Efterföljandesidorihandlingenbörinnehållaenanteckningomsäkerhetsskyddsklassochiövrigthän-visatillanteckningenpåförstasidan.

Vidareskafysiskahandlingarisäkerhets-skyddsklassernahemligochkvalificerathemligförsesmedenanteckningomhand-lingensexemplarnummer,ävenomdetendastfinnsettexemplar.Noteraattdettakravävengällerförhandlingarsomskickasviakryptofax.


Omdetkanantasattensäkerhetsskydds-klassificeradhandlingkankommaattlämnasövertillutländskamyndigheterellerleverantörer,skadenförsesmedenanteckningomursprungslandomdetinteärolämpligt.

Omensäkerhetsskyddsklassificeradhand-lingintelängreskavaraindeladisäker-hetsskyddsklass eller ska delas in i annan säkerhetsskyddsklassänvadsomangespåhandlingen,skadettaantecknaspåhand-lingen.Detbörianteckningenframgåvemsomharfattatbeslutomattändrasäker-hetsskyddsklassochdatumförbeslutet.Omhandlingenärallmänskabeslutetomattsä-kerhetskyddsklassen ändrats antecknas i det registerdärhandlingenärdiarieförd.Försäkerhetsskyddsklassificeradehandlingarisäkerhetsskyddsklassenkvalificerathemligskaettsådantbeslutföregåsavsamrådmed

H E M L I G

Sekretess enligt [X] kap. [Y] § offentlighets-och sekretesslagen (2009:400)

[DATUM]

[VERKSAMHETSUTÖVARE]

K V A L I F I C E R A T H E M L I GSe sid 1.

H E M L I GSe sid 1.

K O N F I D E N T I E L L


[DATUM]


K O N F I D E N T I E L LSe sid 1.

B E G R Ä N S A T H E M L I G


[DATUM]


B E G R Ä N S A T H E M L I GSe sid 1.

K V A L I F I C E R A T H E M L I G

Sekretess enligt [X] kap. [Y] §offentlighets- och sekretesslagen

(2009:400)

[DATUM]

Frågan om denna handlings utlämnande ska prövas av chefen för [DEPARTEMENT]


Figur 1 – Exempel på hur anteckningar om säkerhetsskyddsklass kan se ut för offentliga verksamhetsutövare. Den nedre anteckningen används när handlingen innehåller flera sidor.

H E M L I G


(2009:400), om den lagen hade varit tillämplig

[DATUM]


K V A L I F I C E R A T H E M L I GSe sid 1.

H E M L I GSe sid 1.

K O N F I D E N T I E L LSe sid 1.

B E G R Ä N S A T H E M L I GSe sid 1.

K V A L I F I C E R A T H E M L I G



[DATUM]


K O N F I D E N T I E L L


(2009:400), om den lagen hade varittillämplig

[DATUM]


B E G R Ä N S A T H E M L I G



[DATUM]


Figur 2 – Exempel på hur anteckningar om säkerhetsskyddsklass kan se ut för enskilda verksamhetsutövare. Den nedre anteckningen används när handlingen innehåller flera sidor.

densomharupprättathandlingenochmedverksamhetsutövarenshögstachefellermotsvarandeorgan,ellerdensomsådanchefellerorganbestämmer.

3.4 Förvaring3 kap. 10 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

Ensäkerhetsskyddklassificeradhandlingskaförvarasiettförvaringsutrymmemedsäkerhetsommotsvarardenskyddsnivåsomskyddsdimensioneringenkräver.Ensäkerhetsskyddsklassificeradhandlingisäkerhetsskyddsklassenkvalificerathemligskaförvarasavverksamhetsutövarenshög-stachefellermotsvarandeorgan,ellerpåenförvaringsplatssomensådanchefellerorganbestämmer.SeSäkerhetspolisensväg-


ledningFysisk säkerhet förmerinformationomförvaring.

3.5 Märkning av lagringsmedium


Lagringsmediumförsäkerhetsskyddklas-sificeradeuppgifterisäkerhetskyddsklasskonfidentiellellerhögreskamärkasmedsäkerhetsskyddsklassochidentifieringsupp-gift.Omlagringsmedietärfastmonteratiannanutrustningskaiställetutrustningenmärkassåattdetfortfarandeframgårattlagringsmedietinnehållersäkerhetsskydds-klassificeradeuppgifter.Omettsådantlagringsmediumiefterhandavlägsnasfrånutrustningenskalagringsmedietmärkas.

Märkningenmedsäkerhetsskyddsklasssyf-tartillattuppmärksammadensomhante-rarlagringsmedietpåattdetinnehållersä-kerhetsskyddsklassificeradeuppgiftersamtivilkensäkerhetsskyddsklass.

Märkningmedidentifieringsuppgiftsyftartillattfastställaenspecifikidentitetförettlagringsmediumsominnehållersäkerhets-skyddsklassificeradeuppgifter.Meddenfastställdaidentitetenkanenförteckningöververksamhetsutövarenslagringsmediaavseendesäkerhetsskyddsklassificeradeuppgifterupprättas,utifrånvilkeneninven-teringkanske.Anteckningarnaifigur1och2kananvändassomutgångspunktförhursådanmärkningkanseut.

3.6 Distribution3 kap. 10 § säkerhetsskyddsförordningen (2018:658)3 kap. 14 och 16 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

Somendeliverksamhetsutövarenssäker-hetsskyddsarbeteskadetupprättasdoku-

menteraderutineröverhurverksamhetsut-övarenavserattdistribuerasäkerhetskydds-klassificeradefysiskahandlingarochlagringsmediamedsäkerhetsskyddsklassifi-ceradeelektroniskahandlingar,isäkerhets-skyddsklasskonfidentiellellerhögre.Detärlämpligtattrutinernaävenomfattardist-ributionavsäkerhetsskyddsklassificeradehandlingarisäkerhetsskyddsklassenbegrän-sathemligochandrahandlingarsomrörsä-kerhetskänsligverksamhetochsombehöverskyddasutifrånettkonfidentialitets-ellerriktighetsperspektiv.Rutinernaböromfattabådeinternochexterndistribution.

Verksamhetsutövarenkanirutinernatillex-empelregleraattdetvidexterndistributionavsäkerhetsskyddsklassificeradehandlingarihögresäkerhetsskyddsklasser,ellerdärtillgänglighetellerkonfidentialitetärviktigtattbevara,skaegenellerupphandladperso-nallevereraochverifieraatthandlingarnadistribueratstillmottagareniettsäkerhets-förslutetengångsemballage.

Viddistributiondärsäkerhetsförsluteten-gångsemballageanvändsärverifieringenviktigdelavdistributionenochsäkerhets-skyddet.Enverifieringmellanavsändareochmottagareskergenomattavsändareförsluterengångsemballagetenligttillverka-rensinstruktionersamtspararellernoterardetunikaserienummersomfinnspåembal-laget.Vidarebörkontrollavdetsäkerhets-förslutnaengångsemballagetutförasinnanemballagetanvänds,eftersomdetärviktigtattemballagetinteuppvisarnågrafunk-tionsbrister.Utöverserienumretbörävendatumförförslutningochsändningnoterassamtinformationomavsändareochmot-tagare.

Mottagarenbörokulärtundersökaattem-ballagetsförslutning,skarvarochsvetssöm-marinteuppvisarspåravmanipulation.Detunikaserienummersomfinnspåengång-semballagetnoteras,tillsammansmedvemsomärmottagareochavsändaresamtdatu-metförsjälvamottagandet.Omspåravma-nipulationupptäckselleromserienumret


påförsändelseninteöverensstämmermeddetnummersomangivitsavavsändarenskadettautredassomenmöjligsäkerhetshotan-de händelse. I annat fall kan det säkerhets-förslutnaengångsemballagetöppnasenligttillverkarensanvisning.

Införattensäkerhetsskyddsklassificeradehandlingskadistribuerasisäkerhetsförslu-tetengångsemballage,böravsändareochmottagarehakontaktmedvarandraisyfteattutbytainformationomserienummersamtdatumfördistributionen.

Förförsändelseravsäkerhetsskyddsklas-sificeradehandlingartillochfrånutlandetskaUtrikesdepartementetskurirförbindelseanlitas,såvidaintehandlingenskyddasavkryptografiskafunktionersomhargodkäntsavFörsvarsmakten.Tillsynsmyndigheternafårmedgeundantagfråndettakrav.Haiåtankeattsäkerhetsskyddsåtgärderävenbehövervidtasförsäkerhetsskyddsklassifi-ceradehandlingarsomskickasmedUtrikes-departementetskurirförbindelse.

3.7 Medförande utanför verk-samhetsutövarens lokaler

3 kap. 21 – 23 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

Medförandeavserensituationdärenpersonharmedsigellerförvararenhandlingutan-förverksamhetsutövarenslokaler,exempel-vispåentjänsteresa.Medverksamhetsutö-varenslokaleravsesallafastigheter,platserellerområdendärverksamhetsutövarenharansvarförochkontrollöversäkerhets-skyddet.Ensäkerhetsskyddsklassificeradhandlingsommedförsskahållasunderomedelbaruppsikt.Omdetinteärmöjligtskahandlingenförvaraspåettsättsomsålångtsommöjligtmotsvarardennivåavsä-kerhetsskyddsomgällerförförvaringenavhandlingeninomverksamhetenslokaler.SeSäkerhetspolisensvägledningFysisk säkerhet förmerinformationomförvaring.

Noteraattdetkrävstillståndfrånverksam-hetsutövarenshögstachefellermotsva-randeorgan,ellerdensomsådanchefellersådantorganbestämmer,förattmedföraensäkerhetsskyddsklassificeradhandlingisäkerhetsskyddsklassenkvalificerathemligtutanförverksamhetsutövarenslokaler.

Omhandlingenskyddasmedhjälpavkryp-tografiskafunktionersomhargodkäntsavFörsvarsmakten,behöverdenintehål-lasunderuppsiktellerförvaraspåsärskiltsätt.Detärdåviktigtattdenkryptografiskafunktionenärgodkändfördensäkerhets-skyddsklasssomhandlingenärindeladi.

Enhandlingsomärplaceradisäkerhets-skyddsklassenhemligellerlägrefårisär-skildafallmedförastillutlandetavbehörigpersonalefterbeslutfrånverksamhetsutö-varenssäkerhetsskyddschef.Enhandlingsomärplaceradisäkerhetsskyddsklassenkvalificerathemligfårisärskildafallmed-förastillutlandetavbehörigpersonalefterbeslutfrånverksamhetsutövarenshögstachef,ellermotsvarandeorgan.Ettsådantbeslutskadokumenteras.

3.8 Förstöring3 kap. 25 och 26 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

Säkerhetsskyddsklassificeradeuppgifterskaförstöraspåettsättsomomöjliggöråtkomstochåterskapandeavuppgifterna.Metoderförförstöringärtillexempeldokumentför-störareellerbränning.Vidanvändningavdokumentförstörareskaverksamhetsutö-varensäkerställaattspånetefterförstöringintegårattutläsaochattdetintegårattåterskapahandlingen.Ettriktmärkeförmåttpåspånstorlekär15x1,2mmsomärgodkändspånstorlekvidförstöringavkryp-tonycklar.

Seavsnitt8.6.3föravvecklingochåteran-vändningavlagringsmedia.


Förstöringavensäkerhetsskyddsklassifice-radallmänhandlingisäkerhetsskyddsklas-senhemligellerkvalificerathemligskadokumenteras.

Förstöringavsäkerhetsskyddsklassificeradeuppgifterkanävenutförasavenleverantör.Verksamhetsutövarenbehöverdåregleradesäkerhetsskyddsåtgärdersomleverantörenbehövervidtaiettsäkerhetsskyddsavtal.


4 Hantering av säkerhets-känsliga uppgifter och informationssystem

4.1 Säkerhetsskydd av uppgifter och informationssystem i övrigt

2 kap. 2 § säkerhetsskyddslagen (2018:585)

Säkerhetsskyddsåtgärdeninformations-säkerhetska,utöverattskyddasäkerhets-skyddsklassificeradeuppgifter,ocksåskyddaandrauppgiftersamtsjälvainformations-systemensomhanteraruppgifteriensäker-hetskänsligverksamhet.

Sådanaskyddsåtgärdertarframföralltsiktepåatttillgodosebehovetavtillgänglighetochriktighet.Vilkaåtgärdersomärmotive-radeattvidtaskaanalyserasochbedömasiverksamhetenssäkerhetsskyddsanalyssamtiförekommandefalliettinformationssys-temssärskildasäkerhetsskyddsbedömning.

4.2 Tillgänglighet2 kap. 19 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

Förutomattsäkerställaattinformationinteröjsförobehöriga,syftarocksåinfor-mationssäkerhetsarbetettillsäkerställaattinformationenfinnstillgänglignärdenbehövs.Iensäkerhetsskyddskontexthand-lardetomattsäkerställaattskyddetavuppgifterochinformationssystemsomäravbetydelseförsäkerhetskänsligverksamhetskyddassåattenantagonistintekangöradessaotillgängliga.Denärmaresäkerhets-skyddsåtgärdernatasframienanalysoch

beroendepåskyddsvärdeochförekomstenavsårbarheterbedömsvilkasäkerhets-skyddsåtgärdersombehövervidtas.

Detärviktigtatttänkapåattensäkerhets-skyddsåtgärdimångafallkaninriktasmotattskyddaverksamheten,snarareänettinformationssystem,medsåkalladekontinuitetsåtgärder.Sådanaåtgärderkanexempelvisvarasåenklasomattsetillattskyddsvärdinformationfinnsutskrivenpåpapper,ellerfinnstillgängligiflerainfor-mationssystem.Sådanaalternativaåtgärdermåstedockutformassåatteventuellasäker-hetsskyddsklassificeradeuppgiftergesetterforderligtsäkerhetsskydd.

4.3 Riktighet4 kap. 22 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

Informationssäkerhetsarbetetskaävensä-kerställaattinformationenintekanföränd-rasavobehöriga.Ävenhärhandlardetiensäkerhetsskyddskontextomattskyddaså-danauppgifterochinformationssystemsomäravbetydelseförensäkerhetskänsligverk-samhetmotantagonistiskahot.Informatio-nensomäravbetydelseförenverksamhetbehöveroftaävenskyddassåattdenintekanförändrasavobehöriga.Imångafallärenbehörighetsstyrningsomsäkerställerattendastbehörigpersonkanförändrain-formationenentillräckligskyddsåtgärd.Enannansäkerhetsskyddsåtgärdförattskyddainformationdärriktighetenärkritisk,kanvaraattanvändakryptografiskafunktionersåsomexempelviselektronisksignering.


5 Tematiska områden för hantering av informationssystem

Syftetmeddennadelavvägledningenärattutgöraettstödihurbestämmelsernaominformationssäkerhetiinformationssystemkantillämpasipraktiken.Medinforma-tionssystemavsesettsystemavsammansattmjuk-ochhårdvarasombehandlarinfor-mation.Ivarjekapitelfinnshänvisningartillbestämmelseriförfattningarnasomärtillämpliga.Verksamhetsutövarenbehöver

dockläsavägledningentillsammansmedförfattningarnaförattkunnaavgöravilkabestämmelsersomärtillämpligairespek-tivefall.

I Figur 3nedanillustrerasdetematiskaom-rådensom behöverbeaktasvidhanteringavinformationssystemsomharbetydelseförsäkerhetskänsligverksamhet.

Figur 3 Tematiska områden som behöver beaktas vid hantering av informationssystem som har betydelse för säkerhetskänslig verksamhet


6 Samråd om informationssystem

3 kap. 2 § säkerhetsskyddsförordningen (2018:658)4 kap. 9 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

6.1 Allmänt om samråd Enverksamhetsutövaresomutvecklarettinformationssystemsomharbetydelseförsäkerhetskänsligverksamhetäransvarigförattsäkerhetsskyddetkringettsådantinfor-mationssystemutformassåattförfattning-arnaavseendesäkerhetsskyddefterlevs.

Avbestämmelsernai3 kap.2§säkerhets-skyddsförordningen(2018:658)framgåratt:2 §: Innan ett informationssystem som kan för-utses komma att behandla säkerhetsskyddsklas-sificerade uppgifter i säkerhetsskyddsklassen kon-fidentiell eller högre tas i drift, eller i väsentliga avseenden förändras, ska verksamhetsutövaren skriftligen samråda med Säkerhetspolisen. Om verksamhetsutövaren hör till Försvarsmaktens tillsynsområde enligt 7 kap. 1 § första stycket 1, ska denne i stället samråda med Försvarsmakten. Samrådsskyldigheten gäller även i fråga om andra informationssystem än sådana som anges i första stycket, om obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig.

VidettsådantsamrådlämnarSäkerhetspo-lisenettyttrandekringdesäkerhetsskydds-åtgärderverksamhetsutövarenharvidtagit,ellerharföravsiktattvidta,samthurdessaförhållersigtillbestämmelsernaomsäker-hetsskyddiförfattningarna.

Iavsnitt6.2och6.3idennavägledningbeskrivshurovanståendesamrådkange-nomförasipraktikenochvadenverksam-hetsutövareförväntasgörainnanettsådant

samrådsförfarandeinledsmedSäkerhetspo-lisen.

6.2 Samråd inför driftsättning av ett informationssystem

Underarbetetmedutvecklingelleranskaff-ningavettinformationssystemavbetydelseförsäkerhetskänsligverksamhetärensär-skildsäkerhetsskyddsbedömningcentral.Genomdensärskildasäkerhetsskyddsbe-dömningenfastställerverksamhetsutövarenvilkasäkerhetsskyddsåtgärder(säkerhets-krav)iinformationssystemetsomärmotive-radeutifrånhurinformationssystemetskaanvändas.Densärskildasäkerhetsskydds-bedömningenblirdärefterettstödförverk-samhetsutövarennärsäkerhetsskyddetskautformassåattdessakravtillgodoses.DensärskildasäkerhetsskyddsbedömningenärävencentralnärenverksamhetsutövareskasamrådamedSäkerhetspolisen.Iavsnitt7.3idennavägledningfinnsstödförframta-gandeavensärskildsäkerhetsskyddsbedöm-ningförettinformationssystem.

VerksamhetsutövarekanmedfördelinledaettsamrådmedSäkerhetspolisenredanvidframtagandetavdesignocharkitekturförettinformationssystem.EnfördelmeddettaärattverksamhetsutövarenietttidigtskedekanfåstödfrånSäkerhetspolisenihuruvidadetilltänktasäkerhetsskyddsåtgärdernaförinformationssystemetliggerilinjemedbe-stämmelsernaomsäkerhetsskydd.

Ideallraflestafallbehöverettsamråden-ligtovanrealiserasgenomfysiskamötenmellanverksamhetsutövarenochSäkerhets-polisen.Beroendepåinformationssystemetsomfattningochkomplexitetkansådanamötenbehövagenomförasvidettellerflera


tillfällen,därSäkerhetspoliseninhämtarkompletterandeinformationochåterkopp-larmedklargörandeanmärkningar.Idefallenverksamhetsutövareharföravsiktattutvecklaettinformationssystemsomskanyttjasavandraverksamhetsutö-vare,föreliggersamrådsskyldighetprimärtfördenverksamhetsutövaresomutvecklarinformationssystemet.

Ettsamrådkanpågåunderlängretidifleraiterationer,menavslutasalltidmedettslutligtyttrandefrånSäkerhetspolisentillverksamhetsutövareninfördriftsättning.Iettsådanyttrandelämnassynpunkterkringdesäkerhetsskyddsåtgärderverksamhets-utövarenharvidtagit,ellerharföravsiktattvidta,ochhurdessaförhållersigtillbestäm-melsernaomsäkerhetsskyddiförfattning-arna.

FörattSäkerhetspolisenskakunnalämnaettkvalitativtyttrandeförutsättsattverk-samhetsutövaren:

• genomförttesterochverifieratattdesäkerhetsskyddsåtgärder(säkerhetskrav)somidentifieratsidensärskildasäker-hetsskyddsbedömningenharimplemen-teratsochattdegeravseddeffekt.

• säkerställtattsamtligaidentifieradesår-barheterochsäkerhetsbristeriinforma-tionssystemetsomkanmedföranegativpåverkanfördensäkerhetskänsligaverk-samhetenharomhändertagits.

• säkerställtatteventuellaundantagochkompenserandeåtgärdersomvidtagitsiförhållandetillsäkerhetskravenidensärskildasäkerhetsskyddsbedömningenärdokumenterade.

I Figur 4nedanillustrerashurettsamråd infördriftsättningavettinformationssys-temkanförhållasigtillentypiskutveck-lingsprocessförettinformationssystem.Genomdengråpilenifigurenåskådliggörsnärettsamrådkanpåbörjasochnärdetskaavslutas.

Figur 4 En illustration av hur ett samråd inför driftsättning av ett informationssystem förhåller sig till en utvecklingsprocess för ett informationssystem.

Särskildsäkerhetsskydds-

bedömningFastställ arkitektur Utveckling och

implementationFunktionstest och

säkerhetsgranskning Verifiering av krav Driftsättning Drift

Samråd med Säkerhetspolisen


6.3 Samråd vid väsentlig förändring av ett informationssystem

Vadsomutgörenväsentligförändringiettinformationssystemkanvarasvårtattentydigtdefiniera.Enväsentligförändringkantasiguttryckpåmångaolikasätt,menskulleexempelviskunnavaranär:• ettbefintligtinformationssystemskahanterauppgiftermedenhögresäker-hetsskyddsklassificeringäntidigare,

• ettbefintligtinformationssystemskain-tegrerasellerkommuniceramedandrainformationssystem,ellernärexponeringavannatskälväsentligenökar.

• ettbefintligtinformationssystemskaanvändasienannansäkerhetskänsligverksamhet(ominteensådanhanteringomfattasavdetursprungligasamrådet).

Iförstahandmåsteverksamhetsutövarensjälvgöraenbedömningavvadsomkanansesutgöraenväsentligförändring.Förstödiensådanbedömningkanverksam-hetsutövarenmedfördeltaenkontaktmedSäkerhetspolisen.

Innanenväsentligförändringavettinfor-mationssystemgenomförsbörverksamhets-utövarengenomföraensärskildsäkerhets-skyddsbedömning.Genomdensärskildasäkerhetsskyddsbedömningensätterverk-samhetsutövarenramarnaförvilkasäker-hetsskyddsåtgärdersomskavidtasiochmedattförändringengenomförs.

Påmotsvarandesättsomvidettsamrådinnanettinformationssystemskatasidrift,lämnarSäkerhetspolisenalltidettskriftligtyttrandetillverksamhetsutövaren.Iettsådanyttrandelämnassynpunkterkringdesäkerhetsskyddsåtgärderverksamhetsutö-varenharvidtagit,ellerharföravsiktattvidta,ochhurdessaförhållersigtillbestäm-melsernaomsäkerhetsskyddiförfattning-arna.

I Figur 5nedanillustrerashurettsamrådvidväsentligförändringavettinformations-systemkanförhållasigtillentypiskutveck-lingsprocessförettinformationssystem.Genomdengråpilenifigurenåskådliggörsnärettsamrådkanpåbörjasochnärdetskaavslutas.

Figur 5 En illustration av hur ett samråd vid väsentlig förändring av ett informationssystem förhåller sig till en utvecklingsprocess för ett informationssystem.

Särskildsäkerhetsskydds-

bedömningFastställ arkitektur Utveckling Funktionstest och

säkerhetsgranskningImplementera

förändring Verifiering av krav Drift

Samråd med Säkerhetspolisen


7.1 Allmänt om utveckling av informationssystem

Attutvecklaettinformationssystemsomharbetydelseförsäkerhetskänsligverksam-hetkanvaraenresurs-ochtidskrävandeaktivitet.Detkräverentydligkravbilduti-frånensärskildsäkerhetsskyddsbedömning,menocksåettstruktureratarbetssättochgodkompetensomderiskerochsårbar-hetersomkankopplastilldeplattformarivilketutvecklingensker.Dettakapiteläruppdelatiolikatematiskaområdensombe-skrivervadenverksamhetsutövareskaochbörbeaktaunderutvecklingenavettsådantinformationssystem.

7.2 Process för utveckling av informationssystem

Utvecklingavinformationssystemsomskaanvändasisäkerhetskänsligverksamhetärenaktivitetsomkräverettsystematisktarbetssättochnoggrannplanering.Detärdärförviktigtattverksamhetsutövarentarstödienstruktureradprocessförhurut-vecklingenavettinformationssystemskagenomföras.

Omverksamhetsutövarenintetarframenegenprocess,finnsdetettflertalpublikt

tillgängligaochvedertagnakonceptochprocesserförhurutvecklingavettinforma-tionssystemkangenomföras.

Oavsettvilkenprocessellermetodsoman-vändsvidutvecklingärdetviktigtattverk-samhetsutövarenplanerarförhanteringenavinformationssystemetutifrånettlångsik-tigtperspektiv,detvillsägafrånsystemetsutvecklingtillavveckling.Oftarefererarmantilldettalångsiktigaperspektivgenombegreppetlivscykel.SoftwareDevelopmentLifeCycle(SDLC)ärenvedertagentermförattbeskrivaenutvecklingsprocessdärsä-kerhettasibeaktandegenomutvecklings-processensallafaser:planering,utveckling,testning,implementation,driftochavveck-lingavettinformationssystem.

I Figur 6pånästasidasesettexempelpåenprocessförutvecklingavinformationssys-tem.Processenutgårfråndensåkalladevat-tenfallsmodellen.Mångaanvänderidagkon-ceptetagilutvecklingisinverksamhetdärutvecklingenskermeriterativt.Oavsettvalavmodellförutvecklingärdetviktigtattsä-kerställaenintegrationavsäkerhetsarbetetsomennaturligdelavutvecklingsprocessenföratttillvaratasäkerhetsskyddskravenihelalivscykelperspektivetförinformations-systemet.

7 Utveckling av informationssystem


Särskild säkerhetsskyddsbedömning

Funktionstest ochsäkerhetsgranskning

Utveckling och Implementation

Drift

Verifiering av krav

Fastställarkitektur

Figur 6 Ett exempel på en utvecklingsprocess enligt den så kallade vattenfallsmodellen.


7.3 Särskild säkerhetsskydds-bedömning

3 kap. 1 § säkerhetsskyddsförordningen (2018:658)2 kap. 12 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd4 kap. 6 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

7.3.1 Allmänt om särskild säkerhets-skyddsbedömning

Ensärskildsäkerhetsskyddsbedömningförettinformationssystemärenanalysmedsyfteattklarläggavilkasäkerhetsskyddsåt-gärdersomskavidtasförettinformations-systemsomharbetydelseförsäkerhetskäns-ligverksamhet.

Av3kap.1§säkerhetsskyddsförordningen(2018:658)framgåratt:3 §: Innan ett informationssystem som har bety-delse för säkerhetskänslig verksamhet tas i drift ska verksamhetsutövaren genom en särskild sä-kerhetsskyddsbedömning ta ställning till vilka säkerhetskrav i systemet som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses. Säkerhetsskyddsbedömningen ska dokumenteras.

Densärskildasäkerhetsskyddsbedömningenutgörgrundenfördetsäkerhetsskyddsar-betesomskabedrivasförettinformations-systemavbetydelseförsäkerhetskänsligverksamhet.Dådensärskildasäkerhets-skyddsbedömningenskaklargöravilkasäkerhetskravsomärmotiveradeförettså-dantinformationssystemblirdenettviktigtstödförverksamhetsutövarenunderutveck-lingsprocessen.

Densärskildasäkerhetsskyddsbedömningenbörsammantagetgesvarpånedanståendefrågor:• Hurskainformationssystemetanvändasochavvem?

• Påvilketsättärinformationssystemetavbetydelseförsäkerhetskänsligverksam-het?

• Hurexponerasinformationssystemetmotandrainformationssystem?

• Vilkasäkerhetskravgällerförinforma-tionssystemet?

• Vilkasäkerhetsskyddsåtgärderbehöverinförasiochkringinformationssyste-met?

Idettaavsnittbeskrivsdeaspektersombörbeaktasvidgenomförandetavensärskildsäkerhetsskyddsbedömningförettinforma-tionssystem.

7.3.2 Hur ska informationssystemet använ-das?

Detförstastegetvidgenomförandetavensärskildsäkerhetsskyddsbedömningförettinformationssystemärattklarläggavadin-formationssystemetskaanvändastillochavvemdetskaanvändas.Ominformationssys-temetäravsettattanvändasifleraverksam-heterärdetviktigtattfastställavilka.Ivissafallskerutvecklingavinformationssystemetförenspecifikverksamhet,mendetärinteovanligtattinformationssystemövertidkankommaattanvändasiandraverksamheterdärbehovetavsäkerhetskyddsåtgärderärannorlunda.Dåförändringaravsäkerhets-skyddsåtgärdertenderarattblikostsammaomdeskainförasiefterhandärdetönsk-värtattredanfrånbörjanbeaktaettmerlångsiktigtperspektivochtahöjdförettbredareanvändningsområde.


7.3.3 På vilket sätt är informationssyste-met av betydelse för säkerhetskänslig

verksamhet?

Närverksamhetsutövarenidentifierathurochavveminformationssystemetskaan-vändasbehövsdetfastställaspåvilketsättinformationssystemetharbetydelseförsä-kerhetskänsligverksamhet.Idennabedöm-ningkanverksamhetsutövarentastödavföljandefrågeställningarförattidentifieraberördaskyddsvärden:

1. Skasäkerhetsskyddsklassificeradeuppgifterbehandlasisystemet?Påvilketsätt?

• VilkenskadaförSverigessäkerhetkanuppståomuppgifternasominformationssystemetbehandlarröjs?

• SkainformationssystemetbehandlauppgiftersomomfattasavettförSverigeförpliktandeinternationelltåtagandeomsäkerhetsskydd?

2. VilkenskadaförSverigessäkerhetkanuppståomuppgifternasominformationssystemetskabehandlagörsotillgängligaellerobehörigenförändras?

Säkerhetsskyddsklassificeringochvadsomframgåravverksamhetsutövarenssäker-hetsskyddsanalysärviktigaingångsvärdenförattverksamhetsutövarenkunnabesvaraovanståendefrågor.

7.3.4 Hur exponeras informationssystemet mot andra informationssystem?

Nästastegärattresonerakringhurinfor-mationssystemetexponerasmotochintera-gerarmedandrainformationssystem.Ettlämpligtsättattdokumenteradettaärtaframenövergripandedesignsombeskriverhurinformationssystemetskakommuni-ceramedandrainformationssystem,ellerövrigalogiskasambandsomfinnstillinfor-mationssystemet.

7.3.5 Vilka säkerhetskrav gäller för infor-mationssystemet?

Närallaskyddsvärdenäridentifieradeochbedömdaärdetlämpligtattklarläggavilkakravavseendesäkerhetsskyddsomärrele-vantaförskyddetavinformationssystemet.Sådanakravfinnsfrämstibestämmelsernaisäkerhetsskyddslagen(2018:585),säker-hetsskyddsförordningen(2018:658)ochiSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.Vilkakravsomärtill-lämpligabaserastillstordelavvilkentypavsäkerhetsskyddsklassificeradeuppgiftersomskahanterasiettinformationssystem.

Omdetiinformationssystemetskabehand-lasuppgiftersomomfattasavettförSverigeförpliktandeinternationelltåtagandeomsä-kerhetsskyddmåsteävendekravsomföljeravdeninternationellaöverenskommelsenidentifierasochdokumenteras.

7.3.6 Vilka säkerhetsskyddsåtgärder behö-ver införas i och kring informations-systemet?

Närsäkerhetskravenäridentifierademåsteverksamhetsutövarenanalyseravilkasäker-hetsskyddsåtgärdersomärmotiveradeattvidtaiochkringinformationssystemet.

Dekravpåsäkerhetsskyddsåtgärdersomföljeravbestämmelsernaiförfattningarnakräveroftavidareanalysförattfastställapåvilketsättdeskatillämpas.Detframgårexempelvisinteavbestämmelsernavariettinformationssystemsäkerhetskyddsåtgär-dernaskaapplicerasochhurdeskadimen-sioneras.Huvudprincipenärattsäkerhets-skyddsåtgärdernaskaanpassasutifråndethögstaidentifieradeskyddsvärdetsominfor-mationssystemetavseratthantera,vilkenhotbildsomföreliggermotdessaskyddsvär-den,hurochavveminformationssystemetskaanvändassamthurdetskaexponeras.Detkandärutöverfinnasskältillattvidtaflersäkerhetsåtgärderänvadsomframgåravförfattningarna.


Enviktigprincipattbeaktavidfaststäl-landeavsäkerhetsskyddsåtgärderärattdessautformassåattdekompletterarochöverlapparvarandra.Ingångvärdetvidbeaktandeavdennaprincipärattsäker-hetsskyddsåtgärdernaskabyggasifleralager.Fördelenmeddettaärattävenomensäkerhetsskyddsåtgärdvisarsigvaraotill-räcklig,finnsfleraandrasäkerhetsskyddsåt-gärdersomkanträdainochexempelvisför-hindraettförsöktillintrång.Inomengelsk

facklitteraturbrukardennaprincipbeskri-vassomdefence in depth.

Dettakapitelgerstödkringvilkasäkerhets-skyddsåtgärdersomskaochbörimple-menterasiettinformationssystemsomharbetydelseförsäkerhetskänsligverksamhet.Iövrigakapitelidennavägledningfinnsdärutöverstödihurdetoperativasäkerhets-skyddsarbetetförettinformationssystembörbedrivas.

Figur 7 En illustration av principen defence in depth.

Rutiner och processer, utbildning och uppföljning

Fysisk säkerhet

Infrastruktur

Nätverk

Operativsystem

Applikation

Information


7.4 Arkitektur

7.4.1 Allmänt om arkitektur

Medbegreppetarkitekturidennavägled-ningavsesendetaljeradspecifikationövervilkaingåendekomponenteterettinforma-tionssystemskabeståav,samtgränssnittenmellandessa.Komponenterkanexempelvisutgörasavhårdvarasåsominfrastruktur-komponenter,ellermjukvaraiformavapp-likationerochplattformar.Ettgränssnittkanexempelvisvarakommunikationspro-tokollellerhurkomponenternaskasam-mankopplasrentfysiskt.Medbegreppetar-kitekturavsesävenuppbyggnadeninomettinformationssystem,exempelvisifrågahurolikaentiteterinominformationssystemtillåtskommuniceramedvarandra,samtberoendenmellanentiteter.

7.4.2 Separation

4 kap. 19-21 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

7.4.2.1 Allmänt om separation Ettinformationssystemochprogramvarorochkomponentersomingåridetinnehålleriregelbådekändaochokändasårbarhetersomundervissaomständigheterkannyttjasavenhotaktör.Vilkeninsatssomkrävsavenhotaktörförattutnyttjaensådansårbar-hetärtillstordelberoendeavhurinforma-tionssystemetexponeras.

Ettinformationssystemsomintekommuni-cerarmednågotannatinformationssystemhargenerelltsettenlåggradavexponeringgentemotexternahotaktörer.Ettinforma-tionssystemsomkommunicerarmedettellerfleraandrainformationssystemhardäremotenhögreexponering,vilketocksåöppnaruppflermöjligavägartillangrepp.

Förattminskaexponeringavinformations-systemsominnehållersäkerhetsskyddsklas-sificeradeuppgifterärseparationmellaninformationssystemenviktigsäkerhets-skyddsåtgärd.

BestämmelserrelateradetillseparationavinformationssystemåterfinnsiSäkerhetspo-lisensföreskrifter(PMFS2019:2)omsäker-hetsskydd.

Avbestämmelsernai4kap.20-21§§iPMFS2019:2framgåratt:20 §: Verksamhetsutövaren ska se till att infor-mationssystem som är avsett för att behandla sä-kerhetsskyddsklassificerade uppgifter i säkerhets-skyddsklassen begränsat hemlig eller konfidentiell, logiskt separeras från informationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd.

21 §: Verksamhetsutövaren ska se till att infor-mationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säker-hetsskyddsklassen hemlig eller kvalificerat hemlig, fysiskt separeras från informationssystem eller nätverk som inte omfattas av motsvarande krav på säkerhetsskydd. Informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig, ska tillåta endast envägskom-munikation vid import respektive export av data.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktavidseparationavinformationssystemavsettförattbehandlasäkerhetsskyddsklassifice-radeuppgifter.

7.4.2.2 Logisk separationVerksamhetsutövarenskasetillattettin-formationssystemsomäravsettförattbe-handlasäkerhetsskyddsklassificeradeupp-gifterisäkerhetsskyddsklassenbegränsathemligellerkonfidentiell,logisktsepareras


fråninformationssystemellernätverksominteomfattasavmotsvarandekravpåsäker-hetsskydd.

Medlogiskseparationavsesattmöjlighetentillkommunikationmellansådanainforma-tionssystemförhindrasmedstödavmjuk-ellerhårdvara.Ettinformationssystemavsettförattbehandlasäkerhetsskyddsklas-sificeradeuppgifterisäkerhetsskyddsklas-senbegränsathemligellerkonfidentiellkanivissafalldelainfrastrukturkomponentermedettinformationssystemsominteomfat-tasavsäkerhetsskydd.

Detekniskalösningarsomfinnstillgängligaförattdelainfrastrukturmedförbåderiskerochsårbarhetersomenverksamhetsutövare

behöverhantera.Attdelainfrastruktur-komponentermellansådanainformations-systembördärförskerestriktivt.Idefallenverksamhetsutövareövervägerattanvändasigavlogiskseparationbörföljanderiskersärskiltbeaktas:• Sårbarheteritekniken• Sårbarheteriimplementationenavtek-

niken • Felaktigakonfigurationer

Inedanståendematrisbeskrivsettantalriskerkoppladetillolikatekniskalösningarförlogiskseparation:

Område Teknik Risk

Nätverk Nätverksvirtualisering (VLAN)BrandväggarMjukvarudefinierade nätverk (SDN)

Felaktig konfiguration eller sårbarheter i implementationen möjliggör otillåten kom-munikation mellan entiteter i nätverket och öppnar upp möjliga vägar för angrepp.

Lagring Lagringsvirtualisering(Lagringsmedia delas genom virtuella zoner/pooler)

Felaktig konfiguration eller sårbarheter i implementationen medför att servrar som inte omfattas av säkerhetsskydd kan kom-municera med servrar som omfattas av säkerhetsskydd och den information som hanteras där.

Operativsys-tem

Servervirtualisering(Resurser såsom processor och arbetsminne delas mellan virtuella maskiner)

Felaktig konfiguration eller sårbarheter i mjukvaran möjliggör att integriteten mellan virtualiserade maskiner inte upprätthålls. En virtualiserad maskin får åtkomst till en annan virtualiserad maskin och den infor-mation som hanteras där.

Programvara Applikationsvirtualisering(Operativsystem delas mellan processer)

Felaktig konfiguration eller sårbarheter i mjukvaran möjliggör att integriteten mellan virtualiserade processer inte upprätthålls. En virtualiserad process får åtkomst till en annan virtualiserad process och den infor-mation som hanteras där.

Tabell 3 Risker kopplade till olika tekniska lösningar för logisk separation.


I Figur 8nedanillustrerasenrisksomdel-ningavinfrastrukturkomponentermellaninformationssystemkanmedföra.Ifigurensesenvirtuellserverdärdenvirtuellainfra-strukturendelasmellanettinformationssys-temsombehandlarsäkerhetsskyddsklassifi-ceradeuppgifterochettinformationssystemsominteomfattasavsäkerhetsskydd.Medhjälpavensårbarhetidetenainformations-systemangriperhotaktörendenvirtuellain-frastrukturenochfåråtkomsttilldetandrainformationssystemet.

Ävenominformationssystemavseddaförattbehandlasäkerhetsskyddsklassificerade

uppgifterisäkerhetsskyddsklassenbegrän-sathemligellerkonfidentiellinteskakom-municeramedinformationssystemellernätverksomsaknarmotsvarandekravpåsäkerhetsskydd,föreliggeriblandbehovavsådankommunikation.Omsådankom-munikationskakunnarealiserasmåsteverksamhetsutövarenansökaomundantag.BådeSäkerhetspolisenochtillsynsmyndig-heternaharmöjlighetattmedgeundantagfrånbestämmelsernaiSäkerhetspolisensfö-reskrifter(PMFS2019:2)omsäkerhetsskydd.InnanentillsynsmyndighetfattarbeslutomundantagskamyndighetensamrådamedSäkerhetspolisen.

Figur 8 En risk som kan uppstå vid delning av infrastrukturkomponenter mellan informationssystem.


7.4.2.3 Fysisk separationVerksamhetsutövarenskasetillattinforma-tionssystemsomäravsettförattbehandlasäkerhetsskyddsklassificeradeuppgifterisäkerhetsskyddsklassenhemligellerkvalifi-cerathemlig,fysisktseparerasfråninforma-tionssystemellernätverksominteomfattasavmotsvarandekravpåsäkerhetsskydd.Medfysiskseparationavsesattettinforma-tionssysteminteharnågrafysiskasamman-kopplingarmedettannatinformationssys-tem,omdetinteomfattasavmotsvarandekravpåsäkerhetsskydd.

Import-ochexportavdataOmdataskaimporterastillinformations-systemavsettförattbehandlasäkerhets-skyddsklassificeradeuppgifterisäkerhets-skyddsklassenbegränsathemligellerkon-fidentiell,frånettinformationssystemsominteomfattasavsäkerhetsskydd,behöververksamhetsutövarentillseattimportgörs

påettsådantsättattinformationssystemenintekankommuniceramedvarandra.Enmetodförgenomförasådanimportkanvaraattimporteradataviaettbärbartlagrings-media.

Förinformationssystemavsettförattbe-handlasäkerhetsskyddsklassificeradeupp-gifterisäkerhetsskyddsklassenhemligellerkvalificerathemlig,skaimportochexportavdataendastskeviaenvägskommunika-tion.Medenvägskommunikationavsesattinformationenbartkanflödaåtetthåll.Envägskommunikationrealiserasmedstödavenhårdvarukomponent,såkalladdata-diod,somenbarttillåterkommunikationienriktningochdärmedgördetomöjligtattinformationöverförsimotsattriktning.Ombådeimportochexportbehöverutförassamtidigtskalldessafunktioner,sålångtdetärmöjligt,separerasförattgöradetsvårtattöppnauppendubbelriktadkommunika-tionskanal.

Figur 9 En illustration av fysisk separation.


Vidimportavdatabörverksamhetsutöva-renhaenfunktionsomkandetekterafö-rekomstavskadligkod,ellerpåannatsättverifieraintegritetenidatasomimporteras.Etttillvägagångsättkanvaraattexekveradataiettfriståendeinformationssystem,såkalladsandlåda(engelska:sandbox).Meddennametodkanverksamhetsutövarenkontrollerainnehålletochiförkommandefall”tvätta”filernaellerförhindrafilernafrånattimporteras.

I Figur 10ovansesenkonceptuellskissöverhurenfunktionförimportochexportkanfungera.

7.4.3 Kontrollerad kommunikation


7.4.3.1 Allmänt om kontrollerad kommu-nikationEttannatsättattminskaexponeringenavettinformationssystemärattsäkerställaattdetkommunicerarpåettkontrolleratsätt.

Allainformationssystemavbetydelseförsäkerhetskänsligverksamhetskadärförutformasenligtprincipenomkontrolleradkommunikation.Meddettaavsesattverk-samhetsutövarenförstfastställerhurochpåvilketsättettsådantinformationssystemfårkommunicera.Därefterskaverksamhetsut-

Figur 10 Konceptuell skiss över funktioner för import och export av data.

övareninföralämpligasäkerhetskyddsåtgär-dersomsäkerhetsställerattinformations-systemendasttillåtskommunicerapåettkontrollerat sätt.

BestämmelserrelateradetillkontrolleradkommunikationåterfinnsiSäkerhetspoli-sensföreskrifter(PMFS2019:2)omsäker-hetsskydd.Avbestämmelsernai4kap.19§framgåratt:19 §: Verksamhetsutövaren ska se till att informa-tionssystem som har betydelse för säkerhetskänslig verksamhet kommunicerar på ett kontrollerat sätt med komponenter eller delsystem inom samma informationssystem, och kommunicerar på ett kon-trollerat sätt med informationssystem eller nätverk som inte omfattas av krav på säkerhetsskydd.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövarebörbeaktaförattkunnatillseattettinformationssystemsomharbetydelseförsäkerhetskänsligverksam-hetendastkommunicerarpåettkontrolle-rat sätt.

7.4.3.2 SäkerhetszonerEttteoretisktkonceptsomkananvändasförattåskådliggöraolikaprinciperförattmins-kaexponeringenavettinformationssystemärattmodelleraolikasäkerhetszoner.Idennakontextplacerasettinformations-systemiensäkerhetszonbaseratpåhurskyddsvärtdetär.


MedutgångspunktiillustrationeniFigur 11 ovankanlämpligasäkerhetskyddssåtgärdertillseattendasttillåtenkommunikationkanskefrånenzontillennästliggandezon.Detbördärförexempelvisintevaramöjligtattupprättakommunikationdirektfrånzon4tillzon2eller1,utanattpasseramellanlig-gandezon(er)därdataverifierasinnandeskickasvidare.Informationssystemsomomfattasavmotsvarandekravpåsäkerhets-skyddkanplacerasisammasäkerhetszon.

AvillustrationeniFigur 11ovanförståsävenattenhotaktörmedettslumpmässigtmål,oftast inte har de resurser, kunskap och denihållighetsomkrävsförattfååtkomst

Figur 11 Exempel på zonindelning.

tilldemestskyddsvärdazonerna.Enmål-inriktadhotaktörmedytterligareresurserochihållighetkandockförsökakommaåtmerskyddsvärdainformationssystem.Enavanceradhotaktörkanarbetalångsiktigtochförfogaöverstoraresurser,vilketkanmöjliggörakomprometteringavdetmestskyddsvärdainformationssystemen.

I Figur 12nedansesettexempeldärinfor-mationssystemplaceradeinomsammasä-kerhetszonkankommuniceradirektmedvarandraochdelainfrastrukturkomponen-ter.Kommunikationmellandessaskalldockskepåettkontrolleratsätt,exempelvismedhjälpavbrandvägg.

Figur 12 Informationssystem inom en och samma säkerhetszon.


7.4.3.3 Fastställa nödvändig kommunika-tionFörattfastställavilkenkommunikationsomskatillåtasiettinformationssystemsamtförattfastställavilkaskyddsåtgärdersomärlämpligaförattförhindraotillåtenkommunikationbörenverksamhetsutö-varegenomföraenhotmodellering.Hurenhotmodelleringkangenomförasbeskrivsiavsnitt7.5.2.

7.4.3.4 Kommunicering på ett kontrollerat sättEttinformationssysteminnehållerfleraolikaentiteter(användare,funktionerosv),somkommunicerarmedvarandraförattutbytainformation.Närenentitettillåtsattkommuniceramedenannanöppnasmöj-ligavägartillangreppsomkannyttjasavenhotaktör.Ettannatsättattbeskrivadettaärattentiteternaexponerarenangreppsyta.

Förattminskaexponeringavangreppsytorskaverksamhetsutövarentillseatt informationssystemsomharbetydelseförsäkerhetskänsligverksamhetendastkom-municerarpåettkontrolleratsättmedkom-ponenterellerdelsysteminomsammainfor-

mationssystem,samtkommunicerarpåettkontrolleratsättmedinformationssystemellernätverksominteomfattasavkravpåsäkerhetsskydd.

Medbegreppetkommunicerar på ett kontrol-lerat sättavsesattverksamhetsutövarenhargjortettmedvetetställningstagandekringhurentitetertillåtskommunicerasinsemel-lan,samthurdessafårkommuniceramedentiteteriandrainformationssystem.Medbegreppetavsesävenattverksamhetsutö-varenharinförtsäkerhetsskyddsåtgärdersomförhindrarkommunikationsominteärtillåten.Enviktigprincipattbeaktaförattkunnauppnåkontrolleradkommunikationärattendastnödvändigkommunikationmellanentiteterskatillåtas,ochövrigkom-munikationförhindras.

I Figur 13nedansestvåinformationssystemdäråtkomstkontrollharimplementerats.Åtkomstkontrollenavgörvilkafunktionersomfårkommuniceramedvarandra,vilketmedförattmöjligavägartillangreppkraf-tigtreduceras.Endastspecifiktutpekadefunktioner,benämndafunktionXochfunk-tionYifigurernanedan,kankommuniceramedvarandra.

Figur 13 Informationssystem med kontrollerad kommunikation genom åtkomstkontroll.


KommunikationmellanentiteterkanävenbegränsasgenomexempelvisVLANochbrandväggarsomendasttillåtergodkändkommunikationmellanolikanätsegment.Stödjandeellersäkerhetsrelateradefunktio-neriettinformationssystemsåsomexem-pelvisadministration(management),logg-ningellersäkerhetskopieringbörutförasochhanterasiavskildanätsegment.Syftetmeddettaärattminskaexponeringavan-greppsytorochbegränsamöjligheterförenhotaktörattfååtkomsttillkänsligaresursersomkangeadministrativabehörigheterellerpåverkaspårbarheten.Vidarebörkom-munikationtillsådananätsegment,närsåärmöjligt,krypterasförattförhindraobe-höriginsynochpåverkan.

I Figur 14nedansesenkonceptuelldesignöverhuråtkomstmellankomponenter,funktionerellerdelsysteminomsammain-formationssystemkanbegränsas.Samtligafunktionerkandärkommuniceraochöver-föraloggtillettnätsegmentsomskyddar

logginformationenfrånobehörigpåverkan.Kommunikationeninomverksamhetssys-temetbegränsasgenomnätsegmenteringiolikazoner.Klienterbörexempelvisintefådirekttillgångtilldatabaserdådettakanmedföraexponeringavkänsligafunktioner.APIexponerarettgränssnittförautentise-ringsamtauktorisationavklienter.Klienterbördärförkommuniceraviaettväldefinie-ratAPIsomenbartgerbehörigaanvändaretillgångtilldefunktionerochdeninfor-mationsomärnödvändigförattdessaskakunnautförasinaarbetsuppgifter.VidareärsegmentenImportochExportsepareradeförattminimerariskförinformationsläck-age.

Vidkommunikationavsäkerhetsskyddsklas-sificeradeuppgifteröverförbindelserutan-förverksamhetsutövarenskontroll,krävskryptografiskafunktionersomhargodkäntsavFörsvarsmakten.Dettabeskrivsiavsnitt7.4.4.6.

Figur 14 Konceptuell design över hur separation av olika funktioner kan ske i ett informationssystem.


7.4.4 Kryptering

3 kap. 5 § säkerhetsskyddsförordningen (2018:658)7 kap. 5 § säkerhetsskyddsförordningen (2018:658)3 kap. 21 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd 4 kap. 22, 28 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

7.4.4.1 Allmänt om krypteringDatakommunikationsominteärkrypteradkanmedenklamedelavlyssnasavnågonsomhartillgångtillkommunikationen.Detsammagällerförinformationpålag-ringsmedia.Krypteringärdärförenviktigåtgärdförattskyddainformationfrånobe-hörigåtkomstnärdentransporterasiettnätverk,ellernärdenlagras.Krypteringkanävenanvändasförattskyddainformationmotförändringgenomsåkalladelektronisksignering,vilketocksåkananvändasförattbevisaenidentitet(autentisering)medexempelvissmartakort.BestämmelseromkrypteringåterfinnsiSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhets-skyddochiSäkerhetsskyddsförordningen(2018:658).

Avbestämmelsernai4kap.22§iPMFS2019:2framgåratt:22 §: Verksamhetsutövaren ska analysera behovet av användning av kryptografiska funktioner till skydd för säkerhetsskyddsklassificerade uppgifter och uppgifter som behöver skyddas från ett riktig-hetsperspektiv.

Avbestämmelsernai3kap.5§isäkerhets-skyddförordningen(2018:658)framgåratt:5 §: Innan säkerhetsskyddsklassificerade uppgifter behandlas i ett informationssystem utanför verk-samhetsutövarens kontroll ska denne försäkra sig om att säkerhetsskyddet för uppgifterna i systemet är tillräckligt.

Om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll ska uppgifterna

skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.

Enverksamhetsutövarebehöveranalyserabehovetavkryptografiskafunktionerfördataivilaochdataundertransport,ochdärefterinföradeskyddsåtgärdersomärmotiverade.Meddataivilamenasattdenlagraspåettlagringsmediumsåsomexem-pelvisenhårddiskellerenmobilenhet.Meddataundertransportmenasattdenrörsigmellanolikakomponenteriettdatanätverk.

Förattkrypteringavinformationskablirobustkrävsenkedjaavvälfungeradeåtgär-der.Idettaingåralltifrånsäkerhanteringavkryptonycklar,skyddavkryptografiskutrustning,tilldentekniskaimplementatio-nenavdenkryptografiskafunktionaliteteniinformationssystemet.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktavidinförandeavfunktionerförkrypteringavinformationiettinformationssystemavbetydelseförsäkerhetskänsligverksamhet.

7.4.4.2 Säkra algoritmer och chiffersviterMedjämnamellanrumupptäckssårbarhe-teridealgoritmersomanvändsförkryp-tografi.Attgenomföraomvärldsbevakningförattinhämtaavinformationomsådanasårbarheterärdärförviktigtförattverk-samhetsutövarenskahamöjlighetattbytautbristfälligaalgoritmerellerimplementa-tionerigodtid.

Chiffersviteranvändsblandannatvidhandskakningikommunikationsprotokol-letTransportLayerSecurity(TLS),somärvanligtförekommandeförkrypteringavdatakommunikation.Vidhandskakningenförhandlarparternaomvilkaalgoritmersomskallanvändasvidkommunikationen.Idettasammanhangärdetviktigtatthand-skakningenendasttillåteralgoritmersomverksamhetsutövarenhargodkäntförända-målet.


7.4.4.3 PKI – Public Key InfrastructureFörattanvändareochkomponenterinomettinformationssystempåettenkeltsättskakunnaverifieraidentiteterochandraenti-teteriinformationssystemetbörPublicKeyInfrastructure(PKI)användas.

PKIinnebärattverksamhetsutövarenim-plementerareninfrastrukturförcertifikatochnyckelhantering,därenellerfleracerti-fikatutfärdare(CA,CertificateAuthority)ärutgivareavdigitalacertifikat.Digitalacerti-fikatknyterenpubliknyckeltillsubjekt(ex-empelvisettanvändarnamn)påcertifikatetochsigneraselektronisktavCA.Förlitandeparterkansedanverifieraattenmotpartharenprivatnyckelsomstårirelationtillenpubliknyckelochsomisinturärelek-tronisktsigneradav,enavdem,betroddCA.HanteringavPKI-miljönochrutinerkringutfärdandeavdigitalacertifikatbeskrivsiettsåkallatCertificatePracticeStatement(CPS).

PKI-infrastrukturenkananvändasförenmängdolikatillämpningar,såsomkryptera-deanslutningarmellanklienterochservrar,signeradoch/ellerkrypterade-postellertvåfaktorsinloggningmedsåkalladesmartakort.

7.4.4.4 NyckelhanteringHurkrypteringsnycklarskyddasäravgö-randeförhursäkerenfunktionförkrypte-ringkanansesvara.Attsäkerställaattingenobehörigkanfååtkomsttilldenycklarsomanvändsvidkryptering(ochiförekom-mandefallsignering)ärdärförmycketvik-tigt.Verksamhetsutövarensnyckelhanteringbördärförreglerasbådeuradministrativtochteknisktperspektiv,exempelvisgenombestämmelseromhurochnärkrypterings-nycklarutfärdas,bytsutochförstörs.

Föranvändarekandessanycklarlagraspåsmartakort.Krypterings-ochsignerings-nycklarsomanvändsiservrarkanlagrasiensåkalladHardwareSecurityModule(HSM).Dettaminskarriskenförobehörig

åtkomsttillnycklarna.Krypteringsnycklarbörsäkerhetskopierascentraltsåattdekrypteringärmöjligävenomoriginalnyckelnharförsvunnit,såkalladKeyEscrow.Detärviktigtattdettareglerasnoggrantochattdetgenomförspåettkon-trolleratochsäkertsätt.Signeringsnycklarbördockintesäkerhetskopierasdådetpå-verkarsigneringensoavvislighet,detvillsägaattinnehavarenavsigneringsnyckelkanhävdaattnågonannanharsigneratettobjektidennesnamn.

7.4.4.5 Egenutvecklad mjukvaraVidutvecklingavinformationssystembörstandardiseradeochvälbeprövadeprogram-varubibliotekanvändas.Detärviktigtattnoggrantföljadokumentationenförhurfunktioneridessabibliotekskallanvändas.

TipsProprietära säkerhetslösningar tenderar ofta att bli sårbara. Av denna anledning är det fördelaktigt att använda standardiserade och väletablerade produkter, protokoll och algoritmer i den omfattning det är möjligt.

7.4.4.6 Kryptografiska funktioner som god-känts av FörsvarsmaktenOmsäkerhetsskyddsklassificeradeuppgifterskakommunicerastillettinformationssys-temutanförverksamhetsutövarenskontroll,skauppgifternaskyddasmedhjälpavkryp-tografiskafunktionersomhargodkäntsavFörsvarsmakten.

Medbegreppetkontrollmenasattverksam-hetsutövarenskahasådankontrollöverdenförbindelsesomanvändsförattöverföra(kommunicera)desäkerhetsskyddsklassifi-ceradeuppgifterna,attobehörigavlyssningkansägasvarautesluten.Omverksamhets-utövarensaknarsådankontrollskaiställetkryptografiskafunktionersomhargodkäntsavFörsvarsmaktenanvändasförattskyddadesäkerhetsskyddsklassificeradeuppgif-


ternavidöverföring.Ipraktikeninnebärbegreppetkontrollattverksamhetsutövarenskabesittabådeadministrativkontrollöverinformationssystemet/datanätetochfysiskkontrollöverförbindelsensåattobehö-rig åtkomstföravlyssningkanförhindras.

Försvarsmaktenärdenmyndighetsomfårutfärdaföreskrifteromkryptografiskafunk-tionersomäravseddaförskyddavsäker-hetskänsligverksamhet.

VidbehovavkryptografiskafunktionersomgodkäntsavFörsvarsmaktenkanenverksamhetsutövareiförstahandkontaktaMyndighetenförsamhällsskyddochbered-skap(MSB)somhariuppdragattsamordnabeställningaravsignalskydd.

7.4.5 Identitets- och behörighetshantering

2 kap. 3 § säkerhetsskyddsförordningen (2018:658)3 kap. 4 § säkerhetsskyddsförordningen (2018:658)2 kap. 17 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd 4 kap. 12-17 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

7.4.5.1 Allmänt om identitets och behörig-hetshanteringFörattsäkerställaattendastbehörigafåråtkomsttillettinformationssystemsamtförattsäkerhetsställaspårbarhettillolikahän-delserärenverksamhetsutövaresidentitets-ochbehörighetshanteringettviktigtarbete.Dettaarbeteinnefattarmångadelar,alltfrånid-kontrollförattverifieraidentitetenpåenpersonsomskatilldelasettanvändar-kontoiettinformationssystem,tillattföljauppochsäkerställaattenanvändareharrättbehörigheterövertid.

Bestämmelseromidentitetsochbehörig-hetshanteringåterfinnsblandannatiSäker-hetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.

Avbestämmelsernai2kap.17§iPMFS2019:2framgåratt:17 §: Verksamhetsutövaren ska ha rutiner för tilldelning och förändring av behörigheter, fysiska eller elektroniska nycklar eller annat som ger åt-komst till säkerhetskänslig verksamhet. Verksam-hetsutövaren ska kunna följa upp vilken åtkomst den som deltar i säkerhetskänslig verksamhet har till verksamheten, och regelbundet, minst en gång per år, ompröva sådana åtkomster.

Avbestämmelsernai4kap.12-13§§iPMFS2019:2framgåratt:12 §: Alla utställda identiteter i ett informations-system som har betydelse för säkerhetskänslig verksamhet ska vara unika över tid. Åtkomsten ska vara spårbar till individ, system eller resurs.

13 §: Verksamhetsutövaren ska tilldela sådana behörigheter som ger systemadministrativ åtkomst eller annan särskild tillgång till informations-system som har betydelse för säkerhetskänslig verksamhet restriktivt. Behörigheterna ska vara tidsbegränsade och följas upp särskilt. Tilldelning av behörigheter enligt första stycket som inte di-rekt kan kopplas till någon fysisk individ ska ske särskilt restriktivt och beslutas av säkerhetsskydds-chefen eller den han eller hon bestämmer.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövarebehöverbeaktavidhanteringavidentiteterochbehörigheteriettinformationssystemsomharbetydelseförsäkerhetskänsligverksamhet.

7.4.5.2 BehörighetsstyrningÅtkomstinomettinformationssystembase-rassomregelpåenanvändare(ellerettan-vändarkonto)tillvilketdettilldelasbehörig-hetersomstyrvadanvändarenkommeråt.Medbehörighetsstyrningavsesfrämstadmi-nistrativaåtgärderförattstyraochhanteraåtkomsttillochinomettinformationssys-tem.Deadministrativaåtgärdernahandlarfrämstomprocesser,rutinerochreglersombeskriverhurverksamhetsutövarensskahanteraanvändareochderasbehörigheteriettinformationssystem.Viktigaperspektivattbeaktavidbehörighetsstyrningärtilldel-


ning,förändringochuppföljningavanvän-dareochbehörigheter.

Huvudprincipenvidbehörighetsstyrningförettinformationssystemavbetydelseförsäkerhetskänsligverksamhetärattenan-vändareavettsådantinformationssystemendasttilldelasdebehörighetersomdennebehöverförattkunnautförasinaarbets-uppgifter.Dennaprincipbeskrivsiflertaletinternationellastandarderochramverk,regulatoriskaregleringarochfacklitteratur.Iengelskfacklitteraturanvändsbegreppet”leastprivilegedaccess”sombenämningfördennaprincip.Enannanviktigprincipattbeaktavidbehörighetsstyrningäratttillde-ladebehörigheterbörtidsbegränsas.

7.4.5.3 Identitetshantering och spårbarhet över tidEnkeltbeskrivetärendigitalidentitetenre-presentationavenfysiskindividiettinfor-mationssystem.Förattenindividskakunnaanvändaettinformationssystemskapasendigitalidentitet,ideflestafalliformavettanvändarkonto.Ettanvändarkontotilldelasisinturbehörighetersomgeråtkomsttillolikaresurseriinformationssystemet.

Allautställdaidentiteteriettinformations-systemsomharbetydelseförsäkerhetskäns-ligverksamhetskavaraunikaövertid,detvillsägaöverhelainformationssystemetslivstid.Anledningentilldettaärattidenti-teten ska kunna knytas till en unik fysisk personunderhelainformationssystemetslivstid,samtattspårbarhetenförvadolikaindividergjortiinformationssystemetskavaratillförlitlig.

Åtkomstinomettinformationssystemskavaraspårbartillantingenindivid,systemellerresurs.Spårbarhetentillindividärviktigtvidbrottsutredningarsamtförattkunna upptäcka och utreda incidenter, vilketbeskrivsmerutförligtiavsnitt8.10.Detfinnsemellertidoftakontoniinforma-tionssystemsomintekankopplastillenfysiskindivid,sådanakontonkallasävenför

tjänstekontonochanvändsfrämstförattutföraautomatiseradebakgrundsjobbiettinformationssystem.Ävenomtjänstekontonintegårattkopplatillenfysiskindivid,ärdetlikaviktigtattdessaidentiteterärochförblirunikaövertid.

Identiteterkanställasutpåmångasättochiolikaformer.Närverksamhetsutövaretarframprocesser,rutinerochreglerinomramenförsinbehörighetsstyrningärdetviktigtattsäkerställaatt:• användarkontoninteåteranvändsunderinformationssystemetslivstid

• användarkontonaldrigtasbortfrånettinformationssystem,utaniställetavakti-verasomdeinteanvänds

• detskerkontinuerliguppföljningavtill-deladeanvändarkontonochderasbehö-righet

Detärävenviktigtattverksamhetsutövarenharprocessersomsäkerhetsställerattallaidentiteteriettinformationssystemharut-givitspåetttillförlitligtsätt.

Tips Eftersom livstiden för ett informationssystem kan bli längre än man först planerat för bör användarnamn eller motsvarande inte bestå av för få tecken, då det kan leda till att antalet unika kombinationer tar slut.

I de fall verksamhetsutövaren har en funktion för säkerhetsövervakning bör den bevaka att avaktiverade användarkonton inte återaktiveras och används på ett otillbörligt sätt. Det kan dock finnas legitima skäl till att användarkonton återaktiveras, till exempel då en anställd återgår i tjänst efter en längre tjänste- eller föräldraledighet. Vidare vägledning kring säkerhetsövervakning finns i avsnitt 8.9

7.4.5.4 BehörighetskontrollsystemEntekniskfunktionsomstyranvändarnasåtkomstiettinformationssystem,ellermel-laninformationssystem,benämnsbehörig-


hetskontrollsystem.Ettbehörighetskontroll-systembaserasoftapåolikarollersomkantilldelastillanvändarna.Dessarollerstyranvändarnasskriv-ochläsrättighetertilldeninformationsomfinnsiinformations-systemet.Förattförenklahanteringsamtuppföljningavbehörigheterhanterasdettamångagångeriencentralfunktion,oftabenämndcentraltbehörighetskontrollsys-tem.EttexempelpåensådanfunktionärMicrosoft Active Directory.

Ettcentraltbehörighetskontrollsystemkanutgöraettintressantangreppsmål.Detärdärförviktigtattverksamhetsutövarenvid-taradekvatasäkerhetsskyddsåtgärderförattförhindraattsystemetutgördensvagastekedjanilänken,ifrågaomkontrollenavåtkomsttillinformation.Ettcentraltbehö-righetskontrollsystemskagesettsäkerhets-skyddsommotsvarardethögstasäkerhets-skyddsomdeanslutnainformationssyste-menomgesav.Vidvalavskyddsåtgärderförettcentraltbehörighetskontrollsystemblirdärförsäkerhetsskyddsklassificeringenavinformationenideanslutnainformations-systemenettviktigtingångsvärde.Skydds-åtgärdernaböromfattasåvältekniskasomadministrativasäkerhetsåtgärder.

7.4.5.5 Privilegierade rättigheterAnvändarkontonellersåkalladetjänste-kontonmedsystemadministrativåtkomstbenämnsoftaprivilegieraderättigheterochskaiettinformationssystemhanterasmedsärskildförsiktighet.Anledningenärattdessa oftast, direkt eller indirekt, har full-ständigåtkomsttillattläsaochförändrafunktionerochinformationsomfinnsiettinformationssystem.Därförskatilldelningavbehörighetermedsystemadministrativarättigheterskeytterstrestriktivt,ochbehö-righeternaskavaratidsbegränsade.

Exempelpåkontonmedprivilegieraderät-tigheterär:• domänochlokalaadministratöreriWin-dowsmiljöer

• kontonmedroot-behörighetiLinux/

Unix-system• användarkontonmedhögrebehörighetinätverksutrustning

• användarkontonmedhögrebehörighetiapplikationerellerdatabaser

• deladekontonmedhögrebehörighetitekniska”24/7-funktioner”såsomdriftö-vervakning(NetworkOperationsCenter)ochsäkerhetsövervakning(SecurityOpe-rationsCenter)

• specifikatjänstekontonmedsärskildbehörighetförtillexempelsäkerhets-kopiering,överföringar,batchkörningaretcetera

• användarkontonmedövergripandehögrebehörighet(såkallade”PowerUsers”)

Åtkomstmedprivilegieraderättigheterärsomregelenförutsättningförattensystem-administratörskakunnaförändragrundläg-gandefunktionalitetochsäkerhetsfunktio-neriettinformationssystem.Enverksam-hetsutövarebördärförutbildasinasystem-administratörerihuranvändarkontonmedsystemadministrativåtkomstfåranvändas.Detärviktigtattförmedlaattbehörighetinteärdetsammasombefogenhet.Attensystemadministratörkanseinnehålletiendatabaspågrundavbehörighetinnebärintenödvändigtvisattadministratörenharbefo-genhetattgöradet.

Systemadministratörerböriövrigthase-paratakonton(administratörskonton)försystemadministrativtarbetesombarafåranvändasfördettaändamål.Administrativakontonbörintehaåtkomsttillinternetan-slutnatjänster,såsome-postochwebbsurf.Verksamhetsutövarenbehövertillseatttilldelning,förändringochanvändningavanvändarkontonmedsystemadministrativåtkomstloggasochföljsupp.

Enannanviktigaspektattbeaktaäratttjänstekontonoftatilldelasonödigthögabehörigheter.Tjänstekontonbörenbarttilldelasdebehörighetersomkrävsfördenuppgiftsomskallutföras.


TipsI de fall verksamhetsutövaren har en funktion för säkerhetsövervak-ning bör denna bevaka och följa upp tilldelning, förändring och användning av användarkonton med systemadminis-trativ åtkomst.

7.4.5.6 LösenordLösenord,kodellermotsvarandeärdetvan-ligastesättenattautentiseraanvändareochutgörensåkalladenfaktorsautentisering.Enproblematikmedlösenordärattdemedenkelhetkandelasochspridas,vilketmed-föratttillitenoftaärlågfördennatypavautentisering.Lättgissade,såkalladesvagalösenord,samtanvändaresomanvändersammalösenordöverallt,ärenvanligbristsomkanutnyttjasavenhotaktörförattfåtillgångtillettinformationssystem.Enhotaktörsomkommeröverenanvändareslösenordkanprövaattanvändalösenordetpåfleraställeniettinformationssystemochivärstafalltillskansasigprivilegieraderät-tigheter.Entypiskmåltavlaförettsådantangreppärsystemadministratörersomoftabådeharettvanligtanvändarkontoochettkontomedsystemadministrativåtkomst.Dennaangreppsmetodikärettexempelpåvadsomiengelskfacklitteraturkallasprivi-lege escalation.

Omettlösenordförvaraspåsådantsättattenhotaktörenkeltkanfååtkomsttilldetspelardetingenrollattlösenordetärettsvårgissat,såkallatstarktlösenord.Verk-samhetsutövarenskadärförgekodellerlösenordsomgertillgångtillinformations-systemsomharbetydelseförsäkerhets-känsligverksamhetettsäkerhetsskyddsommotsvarardetsäkerhetsskyddsomomgerinformationssystemdetgeråtkomsttill.

Föratttillseatthanteringenavlösenordinteblirbristfälligärdetävenviktigtattverksamhetsutövarentarframreglerochrutinerförhurlösenordskahanteras.Med

dettaavsesattverksamhetsutövarenskafastställatekniskaelleradministrativareg-lerförutformning,byteochhanteringavlösenord,omsådanaanvändsförgetillgångtillinformationssystemsomharbetydelseförsäkerhetskänsligverksamhet.Reglernaskablandannatinnehållabestämmelseromåteranvändningavlösenordsamtlösen-ordenslängdochkomplexitet.

Ettantalviktigtaspektersomenverksam-hetsutövarebehöverbeaktaifrågaomlö-senordshanteringäratt:• Standardlösenordalltidbörbytasut.• Lösenordbörvaraunikamellansystemochinteåteranvändas.

• Begreppet”lösenordsfras”böranvändasiställetför”lösenord”vilketinnebäran-vändningavensammansattmeningsna-rare än ett enskilt ord.

• Lösenordenslängdärviktigareänderaskomplexitet(debörhelstvara15teckenellerlängre).

• Lösenordskaförvarassäkert,tillexempeliettsäkerhetsskåp.Användhellrelånganedskrivnalösenordänenklalösenordsommanhålleriminnet.

• Lösenordtilltjänstekonton(ellerandrakontonsominteenmänniskaskaanvän-da)bör,omdeskapasmanuellt,skapasmedhjälpavprogramförattskapalösen-ord.Människors”slumpmässigtskapade”lösenordärsällanheltslumpmässiga.

TipsLösenordshanterare kan användas om administratörer eller användare har flera lösenord att hålla reda på. Verksamhetsutö-varen bör i så fall införa en enhetlig lösning för att säkerställa korrekt hantering och tillräckligt säkerhetsskydd för lösenordshan-teraren.

7.4.5.7 Flerfaktorsautentisering Flerfaktorsautentiseringärenåtgärdsomgerhögtillittillidentitetenpådenanvän-daresombegäråtkomsttillettinforma-


tionssystem.Flerfaktorsautentiseringärengrundläggandeprincipsomenverksam-hetsutövareskatillämpasålångtsomdetärmöjligtförattstyraåtkomsttillinforma-tionssystemsomäravbetydelseförsäker-hetskänsligverksamhet.

Ifrågaomflerfaktorsautentiseringtalarmanomattfaktorernaskabaseraspåenkombinationav:• någotman har,exempelvisettsmart

kort,• någotman vet,exempelvisettlösenord

eller en kod, • ellernågotman är(biometri,tillexempelfingeravtryck).

Denfaktorsommanhar,böromgesavså-danaskyddsåtgärdersomförhindrarattdenkopieras.Envanliglösningärattanvändasåkalladesmartakortsomharförsettsmedfunktionersomförhindrarattkortetkanklonas.

Flerfaktorsautentiseringkallasocksåförstarkautentiseringochbenämnsiengelskfacklitteratur multi-factor authentication.Detfinnsdockfalldärflerfaktorsautentise-ringinteärmöjligt.Ettexempelpådettaärtjänstekonton.Idessafallkommerettlösenordensamtattbehövagetillgångtillvissafunktioneriinformationssystemet.Dåbliranvändandetavsvårgissade,såkalladestarkalösenordextraviktigt.

Idefalldärettinformationssystem,exem-pelvisettindustrielltstyrsystem,intestöd-jerflerfaktorsautentiseringskakompensa-toriskaåtgärdervidtas.Ensådanåtgärdkanvaraattplacerainformationssystemetiettavskiltnätverkssegment.Verksamhetsutö-varenbörävenvidtaåtgärderförattdetskavaramöjligtattspåravilkaaktivitetervarjeenskildidentitetharutförtpåenmerutför-lignivåännormalt,exempelvisgenomlogg-ningavnätverkstrafikpåanvändarnivåellerinspelningavaktiviteterpåfjärrskrivbord.

Flerfaktorsautentiseringförettinforma-tionssystemsomharbetydelseförsäker-hetskänsligverksamhetbörintevarabero-endeavexternatredjepartstjänster,exem-pelvissms.Anledningenärattverifieringenavanvändarensidentitetskerutanförverk-samhetsutövarenskontroll,vilketkanintro-ducerasårbarheteriåtkomstkontrollen.

7.4.6 Intrångsdetektering och intrångs-skydd

3 kap. 4 § säkerhetsskyddsförordningen (2018:658)4 kap. 29-30 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

7.4.6.1 Allmänt om intrångsdetektering och intrångsskyddBestämmelseromintrångsdetekteringochintrångsskyddåterfinnsiSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhets-skydd.Iföreskriftenbeskrivsintrångsde-tekteringsomadministrativaellertekniskaåtgärdersomvidtasförattdetekteraintrångellerförsökellerförberedelsetillintrångiinformationssystem.Intrångsskyddbeskrivssomadministrativaellertekniskaåtgärdersomvidtasförattskyddainformationssys-temmotobehörigåtkomst.

Avbestämmelsernai4kap.29-30§§iPMFS2019:2framgåratt:29 §: Verksamhetsutövaren ska förse ett infor-mationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säker-hetsskyddsklassen konfidentiell eller högre och som kommunicerar med andra informationssystem, med funktioner för intrångsdetektering och in-trångsskydd.

30 §: Verksamhetsutövaren ska förse ett informa-tionssystem där en incident kan medföra mer än ringa skada för Sveriges säkerhet och som kommu-nicerar med andra informationssystem, med funk-tioner för intrångsdetektering och intrångsskydd.


Idettaavsnittbeskrivsolikatekniskahjälp-medelförintrångsdetekteringochintrångs-skyddsomenverksamhetsutövarekanimplementeraiettinformationssystemavbetydelseförSverigessäkerhet.

7.4.6.2 Tekniska hjälpmedelSyftetmedintrångsdetektering(påengel-ska Intrusion Detection)ärattidentifieraochgöraverksamhetsutövarenuppmärksampåoönskadeaktivitetersompågåriettnätverkelleriettinformationssystem.Intrångs-skydd(påengelskaIntrusion Prevention) har somfunktionattstoppaellerblockeraoön-skadeaktivitetersompågåriettnätverkelleriettinformationssystem.

Funktionerförintrångsdetekteringochin-trångsskyddkanipraktikenseutpåolikasätt,frånnätverksbaseradeproduktertillprogramvarasominstallerasinågondelavinformationssystemet.Nätverksbaseradeproduktertaroftastsiktepåattupptäckaskadligaaktiviteterinätverkstrafikoch

kallaspåengelskaNIDS–Network Intrusion Detection System.Produktersomävenför-hindrarskadligaaktiviteterinätverkstrafikkallasNIPS–Network Intrusion Prevention System.OperativsystemnäramekanismerfördetektionellerpreventionkallasHIDS–Host Intrustion Detection System,respektiveHIPS–Host Intrusion Prevention System.Utöverdessafinnsävenapplikationsnäraskyddsomärspecialiseradepåvissanätverksprotokoll,exempelvisWeb Application Firewalls(WAF)förwebbaseradkommunikation.

DetärviktigtattIDS-ochIPS-systemsomavsesanvändasverkligenkananalyseradeprotokollsomanvändsinomsystemet,samtidentifieraangrepppådessaprotokollellertjänster.Verksamhetsutövaremåsteanaly-seravarinformationssystemetärexponeratochvarsådanasäkerhetsfunktionerskaim-plementeras.

Inedanståendematrisbeskrivsettantalex-empelpåskyddsmekanismer:

Område Exempel på övervakningspunkter Skyddsmekanism

Nätverk Kända attackmönster i nätverkstrafikNätverksflöden som avviker från nor-mala nivåer

Nätverksbaserad intrångsde-tektering/skydd (NIDS/NIPS)

Applikation Anrop utanför protokollstandardenFelmeddelanden från applikation

Applikationsbrandvägg (ex. WAF)

Operativsystem Skadliga anrop mot OS-APISuspekta anrop mot systemfiler

Systembaserad intrångsdetek-tering/skydd (HIDS/HIPS)


Figur 15 En illustration av olika typer av intrångsdetektering.

Nätverksbaseradeprodukterförintrångs-detekteringochintrångsskyddbliralltmindreeffektivatillföljdavdentekniskautvecklingen,därenstordelavallnätverks-trafikärkrypteradochdärmedsvårareattinspektera.Ivissafallärdetdockmöjligtatttillexempelplaceraservertjänsterbakomenlastbalanseraresomhandharkrypteringgentemotklienter.Dekrypteringavnät-verkstrafikenskerdåinnandennaskickasvidaretillservern,vilketmöjliggörinspek-tionavnätverkstrafiken.

Systemnäraintrångsskyddochintrångs-detekteringgeroftabättreskydds-ochdetekteringsförmågaännätverksbaserademotsvarigheter,eftersomdeliggernärmaresystemetdärhändelsensker.Detärdockavytterstaviktattävenimplementerasäker-hetsövervakningsomkanagerapålarmdåenhotaktörideflestafallkantasigruntdessaskyddomtidges.


7.5 Utveckling och implementation

7.5.1 Drift- och testmiljö

Omettinformationssystemskaimplemen-terasienbefintligit-miljö(såkalladdrift-miljö),börtestningavinformationssystemetutförasiåtskildit-miljö(såkalladtestmiljö),sompåettrealistisktsättefterliknardenit-miljödärinformationssystemetskaim-plementeras.Syftetmedtestmiljönärattsäkerställaattsårbarheterinteinförsidrift-miljön,attundvikastörningaridriftmiljön,samtatttesternaiövrigtblirtillförlitliga.Förutomattdriftmiljönbörvarasepareradfråntestmiljön,böräventestmiljönvarasepareradfråndenit-miljödärutvecklingsker.Verksamhetsutövarenbörsåledesävenupprättaensåkalladutvecklingsmiljö.

7.5.2 Säker systemdesign och systemut-veckling

4 kap. 4-5 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

7.5.2.1 Allmänt om säker systemdesign och systemutvecklingGenomattinföraolikasäkerhetsrelateradeaktiviteterivarjestegunderenutvecklings-processförettinformationssystemökarmöjligheternaattuppnåenkostnadseffektivochförutsägbarsäkerhet.Ettantalgrund-läggandeaktiviteterförattuppnåensäkersystemdesignochsystemutvecklingkanex-

empelvisvara:• utbildningavutvecklareisäkersystem-utveckling(kodning,kodhanteringochramverk)

• hotmodelleringstatiskochdynamiskkodanalys

Verksamhetsutövarenbörävenupprättaenseparationavutvecklingsmiljönfrånpro-duktions-ochtestmiljöerna.

7.5.2.2 HotmodelleringHotmodelleringärenprocessdärpotenti-ellatillvägagångssättsomenhotaktörkantänkasnyttjaförattangripaettinforma-tionssystemidentifieras.Syftetmedhotmo-delleringärattutifrånensystematiskana-lysfåenbildavvilkatyperavangreppenverksamhetsutövarekandrabbasav.

Vidgenomförandetavenhotmodelleringidentifierassystemetsolikakomponenter,kommunikationsvägar,flödenavdataochpotentiellahotsamtattackermotdessa.Dettaarbeteskaresulteraienlistamedsä-kerhetsfunktionersomskaimplementerasochpotentiellasäkerhetsbristersomskahanterasidenfortsattautvecklingenavinformationssystemet.Ensådanhotmodelle-ringgörslämpligtvisisambandmedframta-gandetavdensärskildasäkerhetsskyddsbe-dömningenförinformationssystemet.

I Figur 16pånästasidasesettexempelpåhotmodelleringochhursäkerhetsbristerkanpresenterasgenomensådan.


Figur 16 Exempel på hotmodellering för att identifiera säkerhetsbrister.

TipsOrganisationen MITRE har tagit fram ett ramverk (ATT&CK framework) som beskriver olika attackmetoder, vilka kända aktörer som använt dessa och hur de kan motverkas eller upptäckas. Se kapitel 12 för referens.

7.5.2.3 Säker kodning och kodhanteringVidsystemutvecklingbörutvecklingsteamethittaarbetssättsomgergodkodkvalitetochstabilfunktionalitet.Ettexempelpåettså-dantarbetssättärtestdrivenutveckling,därkodenkontrolleraslöpandeförattupptäckasäkerhetsbrister.Verksamhetsutövarenkanmedfördelanvändaautomatiseradstatiskkodanalysförattidentifieraenklaresäker-hetsbristerikoden,exempelvisvidincheck-ningavkodikällkodsträdet.Utvecklarenfårdåinformationomvilkaproblemsomupptäckts i källkoden och hur dessa kan åtgärdas.Dettagöratthelautvecklingspro-cessenochkommandefunktionstesteroch

säkerhetsgranskningarkommerattfortlöpaenklare.

Verksamhetsutövarenbörävengenomföraåterkommandekodgranskningunderhelautvecklingsprocessen.Ettsättkanvaraattinförastickprovsvisakontrolleravkodensåattinformationssystemethållergodsäker-hetsnivå.

Tredjepartsbibliotekanvändsoftaiutveck-lingsprojektförattsnabbapåutvecklingen,dådessakanerbjudaengenvägförattuppnåenvissfunktionalitet.Dessabibliotekbörgranskasinnandeinkluderasiprojektetdådekaninnehållasårbarheter.Harbiblio-tekethunnitanvändasbrettiprojektetkandetvarasvårtatttabortellerbytautbiblio-teketiefterhand.Detärävenviktigtattallatredjepartsbiblioteksomanvändsiprojektetkontinuerligtuppdateras,såatteventuellasäkerhetsuppdateringarsompublicerasin-kluderas i projektet.


Tips Ta fram en enkel handbok för utvecklare med tips och riktlinjer för säkrare systemutveck-ling. Information från Open Web Application Security Project kan användas som inspi-rationskälla. OWASP tillhandahåller även information om hotmodellering och Secure Software Development Life Cycle (S-SDLC). Se kapitel 12 för referenser.

7.5.3 Säkerhetskonfiguration


7.5.3.1 Allmänt om säkerhetskonfigurationSäkerhetskonfigurering,ellerhärdningsomdetkallasifacklitteratur,innebärattkomponenter,operativsystem,inbyggdaprogramvaror,nätverkskomponenter,da-tabaserochandraapplikationersomingåriettinformationssystemkonfigureraspåettsåsäkertsättsommöjligt.Exempelviskanåtkomsträttigheternaisystemetochdedelarsomingårbegränsas,möjligavägartillangreppviasårbarafunktioneriinfrastruk-turkomponenterochapplikationerskärasavochexponeringmotandrainformations-systemellerexternaenheterförhindras.

Härdningutgårfrånprincipenattdetsomintebehövsförinformationssystemetsdefi-nieradefunktionskavarabegränsatavseen-deåtkomst,avstängtellerborttageturin-formationssystemet.Iarbetetmedhärdningbehövsdockenavvägningavvilkaåtgärdersomskavidtas,därmansärskiltbörbeaktahurinformationssystemetexponerassamtvilkenhotbildverksamhetsutövarenharattförhållasigtill.Härdningbörskeutanattinformationssystemetsstabilitetpåverkasochdärutöverkananvändarvänlighetenvaraenaspektattbeakta.Härdningbörvaraendelavenstandardkonfigurationoch

automatiserassålångtdetärmöjligtförattminimerariskenförfelkonfigurationer.

BestämmelseromsäkerhetskonfigureringåterfinnsiSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.

Avbestämmelsernai4kap.23§iPMFS2019:2framgåratt:4§: Verksamhetsutövaren ska för informations-system som har betydelse för säkerhetskänslig verksamhet tillämpa konfiguration som använder lämpliga säkerhetsfunktioner, stänger av funktio-ner som inte används och även i övrigt reducerar sårbarheter.

Idettaavsnittbeskrivsolikaprincipersomenverksamhetsutövarebörbeaktavidhärd-ningavettinformationssystemsomharbe-tydelseförsäkerhetskänsligverksamhet.

7.5.3.2 SystemintegritetFörattsäkerställaattenhotaktörinteskakunnapåverkaettinformationssystembehöversäkerhetsskyddsåtgärdernautfor-massåattdekompletterarochöverlapparvarandra.Ettsättattåstadkommadettaärattsäkerhetsskyddsåtgärdernabyggsifleralager,vilketbeskrivsiavsnitt7.3.6.Lämp-ligasäkerhetsskyddåtgärderattimplemen-terautifrånettsådantresonemangkantillexempelvara:• fysiskplomberingförattupptäckaeven-tuellmanipulationavhårdvara

• SecureBootförverifieringavuppstarts-process

• hårddiskkryptering• skyddavsystemfiler(åtkomstkontroll)• vitlistningavgodkändahårdvaruenheter(USB,Thunderbolt,etc.)

• vitlistningochsigneringavgodkändaapplikationer

• användningavlokalbrandvägg• skyddmotskadligkod• detekteringochskyddmotskadligaak-tiviteter(intrångsdetektering/intrångs-skydd)


7.5.3.3 Inbyggda funktionerInformationssystemetsinbyggdasäkerhets-funktionerböranvändassålångtdetärmöj-ligtochsålängefunktionentillförettfak-tisktskydd.Ivissafallkandetvaralämpligtatttahänsyntillanvändarvänlighetsåattfunktionenintetillföralltförstorahinderföranvändareniarbetet.

Föratthärdaettinformationssystemfinnsdetenmängdolikarekommendationerfrånbådetillverkareochandraaktörerpåmark-naden.Kvalitetenpårekommendationernakandockvarasvårattbedöma,ochvarierarfråntillverkaretilltillverkare.Somalterna-tivtilldessafinnsolikastandarderutgivnaavolikaoberoendeorganisationer.Dessaäroftastmerkonceptuellaochomfattardevanligastedelarnaiettinformationssys-tem.Tillverkarspecifikarekommendationerellerandraallmäntkändaochverifieradeinställningarböriförstahandanvändasomsådanafinns.

TipsNIST samt Australian Cyber Security Centre tillhandahåller genomarbetade guider kring härdning och säkerhetskonfiguration. Se kapitel 12 för referenser.

7.5.4 Skydd mot skadlig kod


7.5.4.1 Allmänt om skydd mot skadlig kodSkadligkodärettsamlingsnamnförolikatyperavprogramvarorsomorsakaravsiktligstörningellerskada.Iengelskfacklittera-turanvändsbegreppetmalicious code eller kortformenmalware.Ibegreppetskadligkodingårblandannatvirus,maskar,trojaner,exploitsochrootkits.Skyddmotskadligkodsyftartillattskyddainformationssystemetmotprogramkodsomärtänktattanvändas

förattotillbörligtändra,röja,exfiltrera,för-störaelleravlyssnauppgifter,filerellerpro-gramvarasomlagrasellerkommunicerastillellerfrånettinformationssystem.

BestämmelseromskyddmotskadligkodåterfinnsiSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.Avbe-stämmelsernai4kap.27§iPMFS2019:2framgåratt:

27 §: Verksamhetsutövaren ska för informations-system som har betydelse för säkerhetskänslig verksamhet analysera behovet av och i förekom-mande fall besluta att använda de funktioner för skydd mot skadlig kod som är nödvändiga från säkerhetsskyddssynpunkt.

Idettaavsnittbeskrivsolikatekniskahjälp-medelförskyddmotskadligkodsomenverksamhetsutövarekanimplementeraiettinformationssystemsomharbetydelseförsäkerhetskänsligverksamhet.

7.5.4.2 Tekniska hjälpmedelEnverksamhetsutövaresomharettinfor-mationssystemsomäravbetydelseförsä-kerhetskänsligverksamhetbehöveriförstahandgöraenanalysavvilkafunktionerförskyddmotskadligkodsomärlämpligautifrånhurinformationssystemetskaan-vändas.Därefterskaverksamhetsutövarenbeslutavilkafunktionersomskaanvändas,ochslutligeninföradessafunktionertillskyddavinformationssystemet.

Effektivtskyddmotskadligkodkanbeståav:• programexekveringskontroll(såkalladvitlistning)såattenbartgodkändapro-gramkanexekveras

• behörighetsstyrning(begränsningavad-ministratörsrättigheter)

• begränsningavmöjlighetattexekverascriptkodinomolikadokumenttypersåsomexempelvisMicrosoftOfficedoku-mentochPDF-filer

• lokalabrandväggarsomhindrarskadligprogramvarafrånattspridasigvidaretill


andrasystem• funktionersomförsvårarattexploaterasårbarheter,exempelvisbuffertöverskrid-ning

• antivirusprogramvara

Detvanligasteskyddetmotskadligkodärantivirusprogramvara,sommedhjälpavsignaturersökerefterhelaellerdelaravfilersomkanhaettskadligtbeteende.Detärdockenkeltförenhotaktörattskapanyaversioneravskadligkodsominteupptäcksavantivirusprogramvarandåsignaturenintelängrematchar.Antivirusprogramvara

kandärförvaraettsvagtskyddmotenkva-lificeradaktör,menskasessomettgrund-läggandeskyddavinformationssystem.

Utöverantivirusprogramvarorfinnsenuppsjöavsäkerhetsproduktersomytterli-garekanstärkaskyddet.Initialtbördockinbyggdafunktioneranvändassålångtdetärmöjligtförattminimerakostnaderochkomplexitet.Vidarebörrutinerförattkon-trolleraattskyddetmotskadligkodärak-tivttasframochdokumenteras.


7.6 Funktionstester och säkerhetsgranskning

3 kap. 1, 4 §§ säkerhetsskyddsförordningen (2018:658)2 kap. 17 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd 4 kap. 12-17 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

7.6.1 Allmänt om funktionstester och sä-kerhetsgranskning

Funktionstesterochsäkerhetsgranskningsyftartillattsäkerhetsställaattinforma-tionssystemetleverupptilldenkravställ-ningsomställspåsystemet.Funktionstesterkansäkerställaattsystemetärrobustochattinformationenisystemetärtillgängligochkorrekt.Medsäkerhetsgranskningutö-kasdettatillattävensäkerhetsställaattin-formationssystemetkanmotståangreppochandraincidentersomkanutsättasystemetellerinformationenförexponering.Dessatesterochgranskningarbörgenomföraslö-pandeunderutvecklingsarbetetförattmi-nimeraarbetetmedrättningaravavvikelserviddriftsättning.

Bestämmelseromgranskningavinforma-tionssystemåterfinnsblandannatiSäker-hetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd

Avbestämmelsernai4kap.4-5§§iPMFS2019:2framgåratt:4 §: Verksamhetsutövaren ska se till att egenut-vecklad programvara i informationssystem som har betydelse för säkerhetskänslig verksamhet granskas för att upptäcka och åtgärda säkerhets-brister och sårbarheter.

5 §: Verksamhetsutövaren ska se till att tredje-partsprogramvara i informationssystem som har

betydelse för säkerhetskänslig verksamhet gran-skas för att upptäcka och åtgärda säkerhetsbrister och sårbarheter, eller att programvaran på annat sätt bedöms vara tillförlitlig från säkerhetsskydds-synpunkt.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktavidfunktionstesterochsäkerhetsgransk-ningavettinformationssystemsomharbe-tydelseförsäkerhetskänsligverksamhet.

7.6.2 Funktionstester

Förattsäkerställaattprogramvaranellersystemetfungerarenligtkravställningbörtesterutförasförattsäkerställaattinte-gritetochtillgänglighetkangaranteras.Funktionstesterkanävensäkerställaandratyperavfunktionalitetiformavanvändar-upplevelse,kompabilitet,etcetera.Idennakontextärdockfunktionersompåverkartillgänglighetochriktighetifokus.Funk-tionstesterkanbeståavtillexempelbelast-ningstester,redundanstesterochverifieringavindata.Funktionsrelateradetesteravettinformationssystembenämnsoftaac-ceptanstest.Acceptanstestinnebärattin-formationssystemettestasmotolikaförde-finieradetestfallsombeskriverenhändelseochhurinformationssystemskabetesigvidgivnaparametrar.Undersådanatesterärsä-kerhetsfunktionernaoftabaraendelmängdavflerafunktionersomtestas.

7.6.3 Säkerhetsgranskning

Säkerhetsgranskningkangrovtindelasitvåtyper–granskningavstyrningifrågaomrutinerochregelverksamttekniskgransk-ningsomsyftartillattverifierasäkerheteniolikatekniskaimplementationeriettinfor-mationssystem.


Vidutvecklingavegenprogramvarabörtekniskasäkerhetsgranskningargenom-föraslöpandeunderutvecklingsprocessenförattenklarekunnaupptäckaochåtgärdasäkerhetsproblemietttidigtskede.Verk-samhetsutövarenbördärförtaframrutinerochmetodstödförändamåletsåatttekniskasäkerhetsgranskningarblirennaturligdelavutvecklingsprocessen.

Ävenomgranskningavdelkomponentergenomförsunderenutvecklingsprocessbörensammantagensäkerhetsgranskningge-nomföras,därallakomponenteriinforma-tionssystemettestastillsammans.Dettakanlämpligenskeislutskedetavutvecklings-processen,exempelvisgenomettsåkallatpenetrationstest,vilketbeskrivsvidareiavsnitt7.6.5.Efterattupptäcktabristerochsårbarheterharåtgärdatsbörytterligareengranskningskeförattverifieraattdessaipraktikenäråtgärdade,ellerpåannatsättmotverkats.Säkerhetsgranskningarbördär-utöverävengenomföraslöpandeefterattdriftsättningharskett.

7.6.3.1 Granskning av tredjepartsprogram-varaVidanvändningavprogramvarasominteutvecklatsavverksamhetsutövaren(såkall-

ladtredjepartsprogramvara)ärdetviktigtattverksamhetsutövarenundersökeromdennaprogramvaraharoönskadfunktiona-litetsomnegativtkanpåverkasäkerheteniettinformationssystemdärprogramvaranskaanvändas.

Omdetkanantasatttredjepartsprogram-varaintegranskatsavenpartsomverk-samhetsutövarenbedömersomtillförlitlig,börverksamhetsutövarensjälvgenomföraengrundligsäkerhetsgranskningavpro-gramvaraninnandenimplementerasiettinformationssystem.Syftemedensådangrundligsäkerhetsgranskningärattupp-täckaoönskadfunktionalitetsamtskyddainformationssystemetmotexempelvisdoldakanalerochskadligkodsomkanfin-nasitredjepartsprogramvaran.Därdetärlämpligtbörävensäkerhetskonfigurationengranskassåattproduktenimplementeraspåett korrekt sätt.

Inedanståendematrisbeskrivsolikatyperavtredjepartsprogramvaraochderasrespek-tivetillitsnivå.

Typ av program-vara

Generell tillit

Kommersiell Stor spridning, granskas av många i omvärlden. Stark tillit med rätt sä-kerhetskonfiguration. Konfiguration bör granskas, medan djuplodande granskning (Reverse Engineering) är kostnadsdrivande och ger inte något värde för utvecklingsprojektet i sig.

Gratisprogram Stor spridning, granskas av många i omvärlden. Många kända säker-hetsbrister sänker tilliten. Kan användas med kompenserande skyddsåt-gärder. Konfiguration och skyddsåtgärder bör granskas.

Öppen källkod Relativt stor spridning, granskas av många i omvärlden. Många kända säkerhetsbrister, ständig uppdatering av kodbas. Tredjepartsmoduler introducerar säkerhetsbrister. Säkerhetskonfiguration samt tredje-partsmoduler bör granskas.


7.6.4 Sårbarhetsskanning

Ensårbarhetsskanningärenmetodsomanvändsförattautomatisktkontrolleraattsäkerhetsuppdateringarärinstalleradepåit-infrastruktur,systemochapplikationer.Ensårbarhetsskannerkanvanligtvisävenhittaenklarebristerikonfiguration.

Ensårbarhetsskanningäroftaettverktygsomanvändsunderettpenetrationstest,mendenkanmedfördelautomatiserasförregelbundenkontrollavapplikationerochinfrastrukturiit-miljönförattövertidhagodkontrollöveruppdaterings-ochsäker-hetsnivåninätverken. Ensårbarhetsskanningkangenomförasbådemedochutaninloggningimålsyste-men.Förattfåutmestavskanningenochförattundvikadriftstörningarimålmiljön,bördengenomförasmedinloggningimål-systemet.

Flertaletsårbarhetsskannerserbjuderävenmöjlighetattgenomförawebbapplikations-skanningar.Detfinnsocksålösningarsomenbartgenomförskanningarpåwebbappli-kationer.Dessakansessomettkomplementtillrenodladepenetrationstesterochbörendastanvändasinågonformavtestmiljö.

Flertaletsårbarhetsskannrarerbjudermöj-lighetattgenomföraaggressivatestersomtillexempelDoS-attacker(Denial-of-Service),vilketbörbeaktasförattundvikadriftstör-ningarimålmiljön.

Förattundvikastörningarimålmiljönbörenautomatiseradskanninginledningsvisetablerasibegränsadomfattning,förattsuccesivtutökastillhelamiljön.Ensårbar-hetsskanningiettstörreinformationssys-temkanresulteraiettstortantalåtgärder.Detärdärförrekommenderatatttaframru-tinerförhurolikatyperavsårbarheterskahanterasredanisambandmedplaneringenavskanningen.

TipsAutomatiserad sårbarhetsskanning kan integreras med organisationens ärendesystem så att berörda parter automatiskt får ett ärende för att hantera eventuella sårbarheter.

7.6.5 Penetrationstest

Ettpenetrationstestärenmetodsoman-vändsförattsäkerställaattit-infrastruktur,systemochapplikationerkanståemotettangreppgenomattanvändasammameto-dersomenhotaktör.Ettpenetrationstestmedgodkäntresultatkandockintesessomengarantförattintebliutsattförobehö-rigtintrång,eftersomdetintefinnsnågragarantierattsamtligasårbarheterupptäcktsundertestet.Ettpenetrationstestgerdäre-motenindikationavhurvälsäkerhetsarbe-tetsarbetetfungerar.

Penetrationstesterkanutförasmedolikametodikochdetfinnsettantalstandarderattanvändasomstöditestningensamtibedömningenavbrister,somexempelvis:• OpenSourceSecurityTestingMethodo-logyManual(OSSTMM)

• PenetrationTestingExecutionStandard(PTES)

• OpenWebApplicationSecurityProject(OWASP)

• PCIPenetrationtestingguide• InformationSystemsSecurityAssessmentFramework(ISSAF)

OWASP Testing Guide gerenbragrundförapplikationstestermedanPTESfokuserarpåinfrastruktur.

Ettpenetrationstestkanutföraspåalltfrånenhelit-infrastrukturtillenskildasystemellerapplikationer.Metodernakanskiljasigmellanolikatestscenarier.Detfinnsihu-vudsaktrevanligtförekommandekonceptförpenetrationstestersomkallasblackbox,whiteboxochgreybox.


Blackboxärettkonceptdärdepenetra-tionstestaresomskautföratesternaintefårnågonförhandsinformationomorgani-sationensit-miljö.Ävenomdettakonceptärrealistisktiförhållandetilldeförutsätt-ningarenhotaktörharanvändskonceptetväldigtsparsamt.Anledningtilldettaärattettpenetrationstestenligtkonceptetblack-boxärextremttidsödandeochsällangerheltäckanderesultatdåettpenetrationstestvanligtvisgenomförsinomenbegränsadtidsperiod.

Whiteboxärettkonceptdärdepenetra-tionstestaresomskautföratesternafårfullständigtillgångtillinformationomor-ganisationensit-miljöinnantestetpåbörjas.Vanligtvisgespenetrationstestarnaävenfullständigåtkomsttillnätverk,konton,applikationersamteventuellkällkod.Dennametodikärvanligtvismesteffektivochgeroftaettheltäckanderesultatdåtidenkannyttjasmereffektivtochflersårbarheterkanupptäckasochgraderas.

Greyboxärettkonceptsomutgörenkom-binationavblackboxochwhitebox.Härkaninformationstilldelningochåtkomstanpassasefterbehovochförutsättningar.Dennametodikanvändsoftaiövningarmedsåkalladeblue-ochred-teammellansäker-hetsövervakningochpenetrationstestareföratttestaupptäckandeförmåganochrutinerförincidenthanteringinomorganisationen.

Oavsettvilketkonceptsomväljsmåstetekniskaförutsättningar,fastställdomfatt-ningochöverenskommelserfinnaspåplatsinnanetttestpåbörjas.Tekniskaförutsätt-ningarkanexempelvisbeståavtilldeladekontonochdokumentation.Entydligdefi-nieradomfattningavtestningensäkerställer

attallaparterärinförståddamedvadsomskalltestasochatttesternaintegårutanförfastställdaramar.

Rapporteringochdokumentationefterettpenetrationstestbörföredrasförberördainomenorganisationsåattdefårendju-pareförståelsesamtkanställafrågor.

Tips• Fokusera på metodiken whitebox och dela

sedan erfarenheter mellan penetrations-testare och verksamhetsutövarens syste-madministratörer, utvecklare samt övrig berörd personal.

• Välj hellre en bredare omfattning än att genomföra ett specifikt test på en enskild funktion. Testa gärna även berörd it-infra-struktur vid ett applikationstest.

7.6.6 Gradering och åtgärder av brister

Debristersomupptäcksvidgranskningbördokumenterasochgraderas.GraderingavsäkerhetsbristerkanskemedhjälpavexempelvisCommon Vulnerability Scoring Sys-tem(CVSS).CVSSbeaktarolikaaspekteravensårbarhetsomexempelvisattackvektor,komplexitetochpåverkanpåkonfidentiali-tet,riktighetochtillgänglighet.Baseratpådessaparametrarräknasettvärdefrån0till10fram,där0innebärlågriskförinforma-tionssystemetoch10innebärkritiskrisk.

Graderingenkansedanliggatillgrundförivilkenordningsäkerhetsbristernaskaåt-gärdasellerpåannatsättmotverkas.Efteråtgärdensinförandebörytterligaretestskeförattsäkerställaattåtgärdenhargettav-sedd effekt.


7.7 Inför driftsättning

3 kap. 1-3 §§ säkerhetsskyddsförordningen (2018:658)3 kap. 1 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd 4 kap. 7-9, 25-26 §§ Säkerhetspolisens före-skrifter (PMFS 2019:2) om säkerhetsskydd

7.7.6.1 Allmänt om åtgärder inför drift-sättningDriftsättningärdetsistastegetienutveck-lingsprocessinnanettinformationssystemkanbörjaanvändasavverksamhetsutöva-renspersonal.Innanettinformationssystemtasidriftbehöververksamhetsutövarensäkerställaattinformationssystemetärfärdigställtochattdetkananvändasidensäkerhetskänsligaverksamheten.Idettaarbeteinnefattasblandannatattverifierafunktions-ochsäkerhetskrav,tillseattre-levantsystemdokumentationärupprättad,genomföraetteventuelltsamrådmedSäker-hetspolisensamtfattabeslutomdriftgod-kännande.

BestämmelseromdriftsättningåterfinnsblandannatiSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.

Avbestämmelsernai4kap.7§iPMFS2019:2framgåratt:7 §: Verksamhetsutövaren ska, innan ett informa-tionssystem som har betydelse för säkerhetskänslig verksamhet tas i drift, genomföra tester av säker-hetsskyddsåtgärderna. Resultatet ska dokumente-ras och jämföras med de säkerhetskrav som gäller för informationssystemet. Den särskilda säkerhets-skyddsbedömningen ska uppdateras med eventu-ella avvikelser och de kompensatoriska åtgärder som måste vidtas.

Avbestämmelsernai4kap.9§iPMFS2019:2framgåratt:

9 §: Verksamhetsutövaren ska, innan samråd enligt 3 kap. 2 § säkerhetsskyddsförordningen (2018:658) sker med Säkerhetspolisen, kontrol-lera och dokumentera att de säkerhetskrav som identifierats i den särskilda säkerhetsskyddsbe-dömningen har implementerats och att säkerhets-skyddsåtgärderna ger avsedd effekt.

Avbestämmelsernai4kap.25-26§iPMFS2019:2framgåratt:25 §: Verksamhetsutövaren ska ha dokumentation som visar logiska samband och inbördes beroen-den mellan komponenter som används i informa-tionssystem som har betydelse för säkerhetskänslig verksamhet.

26 §: Verksamhetsutövaren ska för informations-system som är avsett för att behandla säkerhets-skyddsklassificerade uppgifter i säkerhetsskydds-klassen kvalificerat hemlig, dokumentera vilken hård- och mjukvara som används i informations-systemet och deras inbördes beroenden. Kraven i första stycket gäller även informationssystem där en incident kan medföra synnerligen allvarlig skada för Sveriges säkerhet.

I detta avsnitt beskrivs ett antal åtgärder en verksamhetsutövare behöver genomföra innan driftsättning av informationssystem som har betydelse för säkerhetskänslig verk-samhet.

7.7.6.2 DokumentationEnvälgenomarbetadsystemdokumentationärenförutsättningförattfåengodöversiktöverettinformationssystem.Detärocksåenförutsättningförattsnabbtocheffektivtkunnahanteradriftrelateradeproblemivardagensamtincidenter.

Systemdokumentationenärblandannatettviktigthjälpmedelförattidentifieravilkadelaravinformationssystemetsomberörsavensäkerhetsuppdateringsomskainstal-


leras,vilkadelarsomberörsaveninträffadincident,samtiövrigtförattkunnaidenti-fieraberoendenmellanolikakomponenteriettinformationssystem.

Närettinformationssystemhardriftsattsöverlämnasansvaretiregeltillpersonalsomskahanteradriftochunderhållavin-formationssystemet.Systemdokumentatio-nenärenviktigförutsättningförattdeskakunnautförasinaarbetsuppgifterutanattäventyrasäkerheteniinformationssystemet.Detärdärförviktigtattverksamhetsutöva-renharupprättatsystemdokumentationförinformationssystemetinnandetdriftsätts.Innansystemdokumentationenupprättasbördockavseddmottagarefastslås.System-dokumentationkanbehövasiolikadelaravenorganisation,ochdenmåstedärförutfor-maspåettsådantsättattdenärtillnyttafördeolikaavseddamottagarna.

Exempelpåvadsystemdokumentationkaninnehålla:• beskrivningaravinformationssystemetsarkitekturmedingåendehård-ochmjuk-vara,exempelvisgenomettSolutionAr-chitectureDocument(SAD).

• förklaringavhurvarjekomponentinomsystemetfungerar

• beskrivningaravhursystemetbörun-derhållasochvadsomskagörasvidvissakändaproblem.

Systemdokumentationbörävenfinnasipappersformsåattdenärmöjligatttadelavävenomdenelektronisktlagradedoku-mentationenärotillgänglig,exempelvisvidstörrestörningarinätverken.

TipsFör att hantering och skapandet av dokumentation ska bli lättare för verksam-hetsutövaren finns det olika tekniska verktyg att ta stöd av. Detta blir viktigare för större informationssystem då det rör sig om mer dokumentation som ska hanteras.

7.7.6.3 Verifiering av funktions- och säker-hetskravFörattenverksamhetsutövareskakunnasäkerhetsställaattettinformationssystemsomharbetydelseförsäkerhetskänsligverk-samhetuppfyllersäkerhetskravenochattdesäkerhetskyddsåtgärdersomidentifieratsidensärskildasäkerhetsskyddsbedömningengerönskadeffekt,behöverinformations-systemethagenomgåtttestninginnandriftsättning.Hurfunktionstesterochsäker-hetsgranskningkangenomförasbeskrivsiavsnitt7.6.

Dengemensammanämnarenförallasådanatesterärattresultatetavdessaskajämförasmotverksamhetsutövarensfunktionellaochsäkerhetsrelateradekravförinforma-tionssystemet.Dettaärettsättattverifieraattinformationssystemetuppfyllerdekravsomverksamhetsutövarenfastställt.Kravenidentifierasochfastställsavverksamhets-utövarenidensärskildasäkerhetsskyddsbe-dömningen,ochiförkommandefallgenomhotmodellering.Densärskildasäkerhets-skyddsbedömningenärdärförettstyrandedokumentföralladelariutvecklingenavettinformationssystemsomskaanvändasisäkerhetskänsligverksamhet.Dettagällerinteminstidendeliutvecklingsprocessendärenverksamhetsutövareskagenomföratesterochsäkerhetsgranskningar.

7.7.6.4 DriftgodkännandeAv3kap.1§säkerhetsskyddsförordningenframgårattettinformationssystemsomskaanvändasisäkerhetskänsligverksamhetintefårtasidriftförrändethargodkäntsursäkerhetsskyddssynpunktavverksamhets-utövaren.Därutöverframgårattgodkän-nandetskadokumenteras.

Undervissaomständigheterärenverksam-hetsutövareskyldigävenskyldigattsam-rådamedSäkerhetspoliseninnanettinfor-mationssystemtasidriftelleriväsentligaavseendenförändras.Förvägledningkringsådanasamrådsförfaranden,sekapitel6.


8 Drift och underhåll

3 kap. 4 § säkerhetsskyddsförordningen (2018:658)3 kap. 3, 25-27 §§ Säkerhetspolisens före-skrifter (PMFS 2019:2) om säkerhetsskydd 4 kap. 2, 10, 24, 34, 38 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

8.1 Allmänt om drift och underhåll

Arbetetmeddriftochunderhållavinfor-mationssystemhandlardelsomatthanteraolikadriftrelateradeproblemsomkanupp-ståivardagenmenocksåatttillseattsäker-heteniinformationssystemetupprätthållsövertid.Ettantalviktigadelaridettaarbeteäratttillseattinformationssystemethållsuppdateras,attföråldradprogramvarabytsutsamtattförändringarochavvecklingge-nomförspåettkontrolleratsätt.

Bestämmelserrelateradetilldriftochun-derhållåterfinnsblandannatiSäkerhetspo-lisensföreskrifteromsäkerhetsskydd(PMFS2019:2).

Avbestämmelsernai4kap.10§iPMFS2019:2framgåratt:10 §: Verksamhetsutövaren ska fastställa rutiner för hanteringen av informationssystem som har betydelse för säkerhetskänslig verksamhet under systemets förväntade livstid.

Avbestämmelsernai4kap.24§iPMFS2019:2framgåratt:24 §: Verksamhetsutövaren ska se till att program-

vara i informationssystem som har betydelse för säkerhetskänslig verksamhet hålls uppdaterad så att säkerhetsbrister och sårbarheter motverkas. Om det finns särskilda skäl får verksamhetsutö-varen besluta om undantag från kravet i första stycket.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktaviddrift,underhållochavvecklingavinfor-mationssystemsomharbetydelseförsäker-hetskänsligverksamhet.

8.2 Styrning av drift och underhåll

Föratttillgodoseattsäkerheteniettinfor-mationssystemupprätthållsövertidärdetviktigtattenverksamhetsutövareharentydligstyrningavhurdriftochunderhållavettinformationssystemskahanteras.

Omdriftochunderhållavettinformations-systemintehanteraspåettmedvetetochstruktureratsättavverksamhetsutövarenspersonal,kandetledatillattsystemetstill-förlitlighetpåverkas,exempelvisgenomtill-gänglighetsrelateradeproblemellerandrasårbarheteriinformationssystemet.

Traditionelltstyrsdriftochunderhållavettinformationssystemmedstödavettskriftligtramverksominnehållerbådeöver-gripandeprinciperochanvisningarförhurolikadriftrelateradefrågorskahanterasipraktiken.Oavsettstyrmodellärdetviktigtattstyrdokumentenanpassasutifrånden


egnaverksamhetensförutsättningarochinformationssystemetskomplexitetochom-fattning.Enalltfördetaljregleradstyrningkanivissafallmedföraattdriftenblirförsvårhanterad,ochenalltförsvagregleringkanmedföraattkontrollenöverinforma-tionssystemetblirbristfällig.

Vidframtagandeavstyrningförhurdriftavinformationssystembörverksamhetsutöva-renföreträdelsevisbeaktaperspektiven:• Felhantering:Hurskauppkomnafelisystemethanteras?

• Förändringshantering:Hurskaföränd-ringarisystemethanteras?

• Uppdateringar:Hurskauppdateringaravmjuk-respektivehårdvaraisystemethanteras?

• Incidenthantering:Hurskapersonalenageravidincidenter?

• Kontinuitetshantering:Hurskapersona-lenarbetaförattupprätthållakontinui-tetisystemet?

Detäravstorviktattverksamhetsutövarenetablerartydligarollermedbeskrivningavvemsomgörvad,vemsomharvilketansvarochvemsomharvilkabefogenheter.Isam-manhangetärdetdärutöverextraviktigtattansvaretförsäkerheteniettinforma-tionssystempekasut.Iövrigtbörföränd-ringaristyrandedokumentfördriftendastgenomförasefterattdehargodkäntsavenspecifiktutpekadpersonellerfunktionhosverksamhetsutövaren.Denpraktiskahante-ringenavdriftenavettinformationssystembör,därdetärteknisktmöjligt,hanteraskonsekventmedsammaverktygochhjälp-medel.

Tips Drift av informationssystem kan styras på flera sätt. För sådan styrning finns flertalet ramverk, både publikt tillgängliga och kommersiella. Ramverken har både likheter och olikheter, med den gemensamma nämnaren är att de alla syftar till att uppnå kostnadseffektivitet och kontroll i arbetet med drift och förvaltning av informationssystem. ITIL, COBIT, TOGAF är några exempel på kända ramverk.

8.3 FörändringshanteringStörreförändringariettinformationssys-tem,särskiltnärnyprogramvaraimple-menteras,kanpåverkabådesäkerhetenochtillgängligheten.Förändringaravbefintligprogramvaraellerimplementationavnyprogramvarasomkankommaattpåverkainformationssystemetbördärförskeunderkontrolleradeformer.Enannanviktigaspektattbeaktavidförändringariettinformationssystemärattförändringarintegenomförspåettsådantsättsomåsidosättersäkerhetsfunktioneriinformationssystemet,antingentillfälligtellerpermanent.

Ommöjligtbörnyprogramvaratestasiettinformationssystemsomärsepareratfråndetinformationssystemdärprogramvaranskainstallerasochanvändas.Dettagerverk-samhetsutövarenmöjlighetatttestaochgranskahurdennyaprogramvaranbetersig,utanattdetkanpåverkainformations-systemetsomäridrift.Sammatestförfa-randeböräventillämpasviduppdateringavochutbyteavbefintligprogramvara.Ifacklitteraturskiljermanoftapådeinfor-mationssystemsombeskrivsovangenomattbenämnademtestmiljörespektivedrifts-miljö(seavsnitt7.5.1).


TipsI vissa fall är en verksamhetsutövare skyldig att skriftligen samråda med Säkerhetspolisen innan förändringar i ett informationssystem genomförs. Se kapitel 6 ovan.

8.4 Uppdateringar

8.4.1 Säkerhetsuppdateringar

Informationssystemsominnehållerpro-gramvarasominteäruppdateradärimångafalletttacksamtmålförenhotaktör.Sårbarheteriprogramvaroridentifieraslö-pandeochbliriblandpubliktkändaredaninnantillverkarenavprogramvaranhun-nitåtgärdasårbarhetenochpubliceratensäkerhetsuppdatering.

Regelbundenuppdateringavprogramvaragenomsäkerhetsuppdateringar(ävenkalla-desäkerhetspatchar)ärenåtgärdsomutgörendelavdetgrundläggandeskyddetavettinformationssystem.Syftetmedsäkerhets-uppdateringarärattanvändarenskahaenmöjlighetattåtgärdapubliktkändasårbar-heteriprogramvaranochpåsåsättminskariskerförattdrabbasavettangreppviadessa.Hurenkändsårbarhetiprogramvarakannyttjasavenhotaktörskiljersignatur-ligtvisåt,ochberortillstordelpåhurpro-gramvaranärimplementeradochkonfigu-reradavanvändaren.Säkerhetsuppdatering-arpublicerasintebaraförmjukvarasåsomapplikationerochoperativsystem,utanävenförhårdvaraiinfrastruktursåsomexempel-visswitchar,routrarochservrar. Iavsnitt7.4.2.4beskrivshursäkerhetsupp-dateringarkanimporterastillettinforma-tionssystemsomomfattasavbestämmelseromseparation.

8.4.2 Utbyte av föråldrad programvara

Informationssystemsominnehållerföråld-radeversionerellerutgåvoravprogramvara

ärpåsammasättsombeskrivsunder8.4.1etttacksamtmålförenhotaktör.Närentill-verkaresläpperennyversionellerutgåvaavenprogramvaraupphöroftapubliceringenavsäkerhetsuppdateringartilläldreversio-neravprogramvaran.Ideflestaallraflestafallskerdettainteöverennatt,utanäldreversioneravprogramvaranharoftasupportunderenövergångsperiodsomfastställsavtillverkaren.

Detärdärföravviktattverksamhetsutö-varenharkännedomomnärtillverkarenssupportförenprogramvaraupphör(ävenkallat”end-of-life”)ochharenplanförnäravvecklingavdenföråldradeprogramvaranskaske.Programvarasomintelängreerhål-lersäkerhetsuppdateringarfråntillverkarenbördärföravvecklasochersättasomgående.

8.4.3 Beslut om undantag och praktisk hantering av säkerhetsuppdateringar

Engrundläggandeprincipärattinforma-tionssystemsomanvändsisäkerhetskänsligverksamhetskahållasuppdateradesåattsäkerhetsbristerochsårbarhetermotver-kas.Ipraktikeninnebärdettaattverksam-hetsutövarenmåsteförsebådemjuk-ochhårdvaraniinformationssystemetmeddesäkerhetsuppdateringarsompublicerasavtillverkaren,samtiövrigtbytautäldrever-sioneravprogramvarasomintelängrekanförsesmedsäkerhetsuppdateringar.Omdetfinnssärskildaskälfårenverksamhetsutö-varebeslutaomundantagfrånkravetpåattprogramvaraiettinformationssystemsomharbetydelseförsäkerhetskänsligverksam-hethållsuppdaterad.Såkanvarafalletomdetinteärteknisktmöjligtattinstallerasäkerhetsuppdateringarna,elleridetfallverksamhetsutövarenkonstateratattdetuppenbarligenärobehövligtdåandrakom-penseradeåtgärderharvidtagits.

Ettinformationssystemsomhanterarsäker-hetskyddsklassificeradeuppgifterfårinteanslutasdirektmotinternetförhämtningavuppdateringar(seavsnitt7.4.2omsepa-


ration).Säkerhetsuppdateringarbehöverdärförhämtastillettseparatinformations-systemochdärefter,påettkontrolleratsätt,förasövertillinformationssystemetsomhanterardesäkerhetskyddsklassificeradeuppgifterna.

Förattarbetetmeduppdateringochutbyteavprogramvaraskafungerapåetttillfred-ställandebörverksamhetsutövarentaframochetableraföljandeisinorganisation:• Omvärldsbevakning–såattinformationomnyasårbarheteruppmärksammasochvärderas.

• Inventarieförteckning–såattomvärlds-bevakningskerförrätthårdvara,mjuk-varaochversionersamtförattkunnagöraenbedömningavvilkasystemsombehöveråtgärdasefterattensårbarhetidentifieras.

• Rutinerförtestochverifiering–förattkontrolleraattuppdateringenöverens-stämmermeddenavleverantörenspubli-ceradeuppdateringen,ochattingakom-patibilitetsproblemellerandraproblemuppstårvidinstallationavsäkerhetsupp-dateringarellernyaprogramvaruversio-neridriftsmiljön.Testbörgörasiettse-parattestmiljöellerienbegränsaddelavdriftsmiljön(exempelvisivissadatorer).

• Systemochrutinerfördistribution–förattsäkerhetsuppdateringareffektivtochsnabbtskakunnadistribuerastillallaberördadatorer.

• Systemochrutinerföruppföljning–såattdetärmöjligtattkontrolleraattallasårbaradatorerharfåttensäkerhetsupp-dateringinstalleradochäromstartadeomdettakrävs.

8.5 SäkerhetskopieringSäkerhetskopieringärmångagångerenliv-linaochdetkanfåstorakonsekvenseromdenärbristfällig,eftersominformationsomregelärenverksamhetsutövaresviktigasteresurs.Bristerisäkerhetskopieringenkanviddataförluståsamkaverksamhetsutö-

varenstorskada.Ävenförlustavtillsynesganskaoviktiginformationkanskadaverk-samheten.

Verksamhetsutövarenbördärförtaframrutinerförhursäkerhetskopieringskahan-teras.Viktigaaspekterattbeaktaidettasammanhangär:• attdatasäkerhetskopierasenligtettintervallsomverksamhetsutövarenfast-ställt.

• attsäkerhetskopiorförvaraspåbetryg-gandesättiverksamhetsutövarenslo-kaler,helstpåflerageografisktåtskildaplatser

• attverksamhetsutövarenverifierarattsäkerhetskopiornakanåterskapasenligtetttestintervallsomverksamhetsutöva-ren fastställt.

8.6 Avveckling

8.6.1 Allmänt om avveckling

Envanligtförekommandeorsaktillavveck-lingärattettbefintligtinformationssystemskaersättasavettannat.Attövergångenfråndetbefintligatilldetnyakanskeutanoplaneradeavbrottidensäkerhetskänsligaverksamheten,äroftaenviktigtfrågaattbeaktaisådanasammanhang.Andraviktigafrågorsomkanbliaktuellavidavvecklingärmigreringocharkiveringavdata.Attav-vecklaettinformationssystemärdärförettarbetesomoftakrävernoggrannplanering.

Utbyteochavvecklingavkomponenteriettinformationssystemärnågotsomnormaltsettskermerfrekventänutbyteavhelainformationssystem.Detärviktigtattverk-samhetsutövarenfastställtettrutinbaserattillvägagångssättförsådanavveckling.

Avbestämmelsernai4kap.10§iPMFS2019:2framgåratt:10 §: Verksamhetsutövaren ska fastställa rutiner för hanteringen av informationssystem som har


betydelse för säkerhetskänslig verksamhet under systemets förväntade livstid.

Avbestämmelsernai3kap.3§iPMFS2019:2framgåratt:3 §: Verksamhetsutövaren ska ha rutiner för be-handling av säkerhetsskyddsklassificerade upp-gifter och handlingar. Rutinerna ska reglera vad som gäller för spårbarhet, upprättande, kopiering, utskrift, utdrag, kvittering, förvaring, distribu-tion, medförande, inventering och destruktion samt vad som behövs i övrigt för att upprätthålla ett fullgott säkerhetsskydd. Verksamhetsutövaren ska ha rutiner för behandling av uppgifter som behöver skyddas från ett tillgänglighets- eller rik-tighetsperspektiv.

Avbestämmelsernai3kap.27§iPMFS2019:2framgåratt:27 §: Verksamhetsutövaren ska ha rutiner för av-veckling eller återanvändning av lagringsmedium som används i säkerhetskänslig verksamhet. Ruti-nerna ska säkerställa att information på lagrings-mediet inte kan återskapas.

Rutinerföravvecklingavinformationssys-temböromfattahur:• avvecklingavlagringsmedierskahante-

ras• avvecklingavkomponenterskahanteras• migreringavsäkerhetsskyddsklassificera-deuppgifter(ochövrigdata)skahanteras

• arkiveringavdataskahanterassamthurlängedataskabevaras

• avvecklingenskadokumenteras

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktavidavvecklingavinformationssystemsomharbetydelseförsäkerhetskänsligverksam-het.

8.6.2 Avveckling av komponenter

Vissakomponentersomanvändsinomettinformationssysteminnehållersystem-relateradinformationsombeskriverhursäkerhetsåtgärderiinformationssystemet,

heltellerivissadelar,ärkonfigureradeelleruppbyggda.Omenhotaktörfåråtkomsttillsådaninformationkandenivissafallanvändasförattunderlättaettangrepppåinformationssystemet.Detärdärförviktigtattverksamhetsutövarengörenbedömningavomdentypenavinformationärskydds-värdochhurdenisåfallskahanterasvidavvecklingavdekomponenterdärdenföre-kommer.

Ävenomsystemrelateradinformationra-deras,exempelvisgenomensystemåter-ställning,ärdetintealltidenheltäckandeåtgärddåinformationenkanfinnaskvarienminneskretsinomkomponenten.Före-komstavminneskretsarbördärförbeaktassärskiltvidavvecklingavkomponentersominnehållersäkerhetsskyddsklassificeradellerpåannatsättskyddsvärdinformation.

8.6.3 Avveckling och återanvändning av lagringsmedia

Enverksamhetsutövareärskyldigatttaframrutinerföravvecklingelleråteran-vändningavlagringsmediasomanväntsisäkerhetskänsligverksamhet.Dessarutinerskasäkerställaattinformationpålagrings-medietintekanåterskapasochbörbeskrivavilkettillvägagångssättsomskatillämpasförrespektivesäkerhetskyddsklass.

Envanligmetodförattförhindramöjlig-hetenattåterskapainformationpåettlag-ringsmediaäröverskrivningavdata.Dettainnebärattbefintligtdatavidupprepadetillfällenskrivsöverochersättsavannan,obetydligdata.Enannanmetodärattför-störanyckelntillkrypteradelagringsmedia.Bådadessametoderharvidtillfällenvisatsiginnehållasårbarhetersominneburitattenpersonsomhartillgångtilllagringsmedi-etkunnatåterskapadelaravinformationen.Medanledningavdettaböråteranvändningavlagringsmediaskerestriktivtochendastidefalldålagringsmedietkommerattåter-användasiettinformationssystemsomom-fattasavsäkerhetsskydd.


Förettlagringsmediasominteskaåteran-vändasavverksamhetsutövarenböravveck-lingskegenomfysiskdestruktion.

TipsBevarande av säkerhetsloggar är en viktig aspekt att beakta vid avveckling av lagringsmedia. Se avsnitt 8.8.

8.7 Allmänt om operativ säkerhet

Medoperativsäkerhetavsesdetopera-tivaarbetesomsyftartillattupptäcka,försvåraochhanteraskadliginverkanpåinformationssystemetsamtobehörigav-lyssningav,åtkomsttillochnyttjandeavinformationssystemet.Inomdettaområdeärsäkerhetsloggningochlogguppföljning,säkerhetsövervakningochincidenthante-ringviktigaområden.

Bestämmelserrelateradetilloperativtsäker-hetsarbetetåterfinnsisäkerhetsskyddsför-ordningen.

Avbestämmelsernai3kap.4§säkerhets-skyddsförordningenframgåratt:4 §: En verksamhetsutövare som ansvarar för ett informationssystem som ska användas i sä-kerhetskänslig verksamhet ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informations-systemet samt obehörig avlyssning av, åtkomst till och nyttjande av informationssystemet. Verksam-hetsutövaren ska också se till att spårbarhet finns för händelser som är av betydelse för säkerheten i systemet.

Dettaavsnittäruppdelatiolikatematiskaområdensombeskrivervadenverksamhets-utövareskaochbörbeaktaunderdetopera-tivasäkerhetsarbetet.

8.8 Säkerhetsloggning

3 kap. 4 § säkerhetsskyddsförordningen (2018:658)4 kap. 31-35 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

8.8.1 Allmänt om säkerhetsloggning

Enloggkanbeskrivassominsamladinfor-mationomenhändelseochomnärhän-delseninträffatiettinformationssystem.Loggarärdärförettbrahjälpmedelförattkunnavetavadsomhäntiettinformations-systemvidettgivettillfälle.Ifackspråkan-vändsoftabegreppetspårbarhet,därloggarärenförutsättningförattenverksamhets-utövarekunnauppnåspårbarhettillolikahändelsersominträffariettinformations-system.

Spårbarhetärisinturenförutsättningförattenverksamhetsutövareskakunnaledaibevisvemsomhargjortvadiettinforma-tionssystemvidettgivettillfälle,exempelvisvemsomhaftåtkomsttillsäkerhetsskydds-klassificeradeuppgifter.Dettaärisynnerhetviktigtvidmisstankeombrott.Videneven-tuellmisstankeombrottmåsteenverksam-hetsutövarekunnaförsäkrasigomvemsomgjortvadiinformationssystemet,ochdärärloggarenviktigförutsättning.Iövrigtärloggarävenettbrahjälpmedelförattiefter-handkunnaidentifieraorsakentillvarförincidenteravolikaslagharinträffat.

Loggningkangörasmedolikasyften.Enverksamhetsutövaresomäransvarigförettinformationssystemavbetydelseförsäker-hetskänsligverksamhetbörprimärtloggahändelsermedsyfteattkunnaupptäckaochutredaskadligellerotillåtenpåverkan,obehörigåtkomstochfunktionsstörningariinformationssystemet.

BestämmelseromloggningåterfinnsiSä-kerhetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.


Av bestämmelserna i 4 kap. 31-35 §§ i PMFS 2019:2 framgår att:

31 §: Verksamhetsutövaren ska logga händelser som kan påverka säkerheten i informationssystem som har betydelse för säkerhetskänslig verksamhet (säkerhetsloggning).

32 §: Verksamhetsutövaren ska ha rutiner för loggning av händelser som kan påverka säkerhe-ten i informationssystem som har betydelse för sä-kerhetskänslig verksamhet. Rutinerna ska omfatta hur verksamhetsutövaren ska kunna upptäcka skadlig eller obehörig åtkomst eller påverkan samt funktionsstörningar. Rutinerna ska även omfatta vad som behövs i övrigt samt vilka åtgärder som ska vidtas vid upptäckta händelser.

33 §: ”För informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgif-ter ska rutinerna omfatta loggning av användning och ändring av behörigheter med systemadminis-trativ åtkomst och av roller med särskild behörig-het i informationssystemet.”

34 §: Verksamhetsutövaren ska bevara säker-hetsloggar i minst 10 år. För informationssystem som är avsett för att behandla säkerhetsskydds-klassificerade uppgifter i säkerhetsskyddsklassen kvalificerat hemlig ska säkerhetsloggar bevaras i minst 25 år.

35 §: Verksamhetsutövaren ska vidta åtgärder för att skydda säkerhetsloggar mot obehörig åtkomst, ändring eller förstöring.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktaifrågaomsäkerhetsloggningochlogguppfölj-ningiettinformationssystemsomharbety-delseförsäkerhetskänsligverksamhet.

8.8.2 Vad ska loggas?

Vadsomskaloggasiettinformationssystemärenkomplexfrågasomsaknarettenkeltsvar.Svaretpåfråganärberoendeavflera

olikafaktorersåsomsyftemedloggningen,hurinformationssystemetskaanvändas,avvilkadetskaanvändasochhurdetexpone-ras.

Loggarkangenerasfrånolikatyperavkäl-lor,såkalladeloggkällor.Loggningkanexempelvisskeienprogramvara,iettoperativsystemelleriolikakomponenteriinfrastrukturenförettinformationssystem.Vadsomskaloggasochvilkaloggkällorsomskaanvändasbehöververksamhetsutöva-renfastställainnanettinformationssystemtasidrift.Loggningiprogramvarabörskeavanvändaraktivitetersåsomlyckadeochmisslyckadeinloggningar,objektåtkomstsamthanteringavinformationsobjekt(ex-empelvisförändring,raderingochskapandeavnyainformationsobjekt).Loggningioperativsystembörskeavsys-temhändelsersåsomsystemstartochstopp,processerkoppladetilluppstartavpro-gramvarasamtlarmsomgenererasavolikaskyddsfunktioner(exempelvisantivirus).

Loggningiinfrastrukturkomponenterbörskeavåtkomsttillochförändringaravsys-temkonfigurationiexempelvisswitchar,routrar,brandväggar,VPN-koncentratorermedmera.Loggningbörävenskeavlarmsomgenererasavskyddsfunktionerisammakomponenter(exempelvisintrångsdetekte-ring,innehållsfiltreringmedmera.)

Gemensamtiallaovanståendefallärattloggningavaktiviteterkopplattillanvän-dareochkontonmedsystemadministrativåtkomstellerannansärskildtillgångtillin-formationssystembörägnasextrastorupp-märksamhetifrågaomloggning.

Iövrigtbörverksamhetsutövarenkontinu-erligtutvärderabehovetavloggningochdäreftergöraanpassningar,exempelvisgenomattetableranyaloggkällorellerför-ändrakriterieribefintligaloggkällor.


8.8.3 Logguppföljning och åtgärder vid upp-täckta händelser

Logguppföljningärenviktigåtgärdförattkunnaupptäckaskadligellerotillåtenpåverkan,obehörigåtkomstochfunktions-störningariettinformationssystem.Logg-uppföljningkanskemedjämnaintervallerellerirealtidsomendelavenfunktionförsäkerhetsövervakning,vilketbeskrivsnär-mareiavsnitt8.9.

Förattarbetetmedlogguppföljningskageönskadeffektbehöververksamhetsutövarentaframrutinersombeskriverhurverk-samhetsutövarenspersonalskaarbetamedlogguppföljning.Rutinernabörgesvarpånedanståendefrågor:• Varförskalogguppföljninggenomföras(vadärsyftetochmåletmedlogguppfölj-ningen)?

• Vemellervilkaskautföralogguppfölj-ningen?

• Närskalogguppföljninggenomföras(lö-pande,stickprovskontroller,påförekom-menanledningetcetera)?

• Hurskalogguppföljninggenomförasochvilkaåtgärderskavidtasnärverk-samhetsutövarenupptäcktenpotentielltoönskadhändelse(checklistor,processbe-skrivningar,etcetera)?

• Medvilkatekniskahjälpmedelskalogg-uppföljningengenomföras?

Detärävenviktigtattrutinernainnehållerentydligtbeskriveneskaleringsordningsomstödibeslutomåtgärdvidenupptäckthän-delse,tillexempelattincidenthanteringskapåbörjas.Incidenthanteringbeskrivsvidareiavsnitt8.10

Tips Verksamhetsutövare som saknar en funktion för säkerhetsövervakning kan med fördel ta stöd av en programvara som analyserar innehållet i loggarna och genererar larm när givna tröskelvärden överträds. Detta ger verksamhetsutövaren möjlighet att snabbt agera och vidta åtgärder om en potentiellt oönskad händelse inträffar, trots att aktiv säkerhetsövervakning saknas. Man bör dock komma ihåg att inget automatiserat system fullt ut kan ersätta en kvalitativ manuell analys.

8.8.4 Hantering av säkerhetsloggar

Attupprätthållatillförlitlighetentilldeloggarsomgenererasärenmycketviktigaspektsomenverksamhetsutövarebehöverbeakta.Enavanledningarnatilldettaärattloggaroftaanvändssomunderlagiintern-utredningarsomkanledatilldisciplinäraåtgärderellervidbevisföringibrottsmål.Omriktigheteniloggarnakanifrågasättaskandetledatillattansvarintekanutkrävasavdensomgjortsigskyldigtillbrott.Enannanviktigtaspektsomenverksamhets-utövarebehöverbeaktaärattloggarkaninnehållaskyddsvärdauppgifterochattkonfidentialitetenförloggarnadärmedbe-höverupprätthållas.

Loggarkanskyddaspåfleraolikasätt,därengrundläggandeåtgärdförattskyddabåderiktigheteniloggarnaochsamtidigtupprätthållakonfidentialitetenärattbe-gränsaåtkomstentillloggarnagenomenstriktbehörighetshantering.Tillförlitlig-hetenkanstärkasytterligaremedhjälp


avkryptografiskafunktioner,exempelvisgenomsåkalladelektronisksignering.

Förattkunnaskyddaochbevaraloggar,upprätthållatillförlitlighettillinnehålletiloggarnasamtgenomföralogguppföljning,börloggarnasamlasiencentraliseradtek-niskfunktion,exempelvisiencentrallogg-server.Vidanvändningavencentrallogg-funktionärdetviktigtattdennagessammasäkerhetsskyddsomdeinformationssystemdärloggarnagenereras.Ettantalviktigaskyddsåtgärderattsärskiltbeaktaförensådanfunktionärstriktbehörighets-ochåt-komstkontroll,krypteringavnätverkstrafikvidöverföringavlogghändelsersamtkryp-teringavloggdataivila.Personalmedsyste-madministrativåtkomstiinformationssys-temetbörintehatillgångtilldencentralaloggserverndådekanförvanskaloggposterförattdöljaskadligaktivitet.

Enannanviktigförutsättningförattkunnaanvändaloggarvidenutredningärattsä-kerställaattinformationssystemenochdessloggarharkorrektatidsangivelser.Ettsättatthanteradettaärattanvändastandard-protokolletNTP(NetworkTimeProtocol)försynkroniseringmotgemensammatidskäl-lor.

8.9 Säkerhetsövervakning 3 kap. 4 § säkerhetsskyddsförordningen (2018:658)4 kap. 36-37 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

8.9.1 Allmänt om säkerhetsövervakning

Medsäkerhetsövervakningavsesenfunk-tionsomarbetarmedaktivövervakningavettinformationssystemmedsyfteattkunnaupptäcka,försvåraochhanteraskadligin-verkanpåinformationssystemetsamtobe-hörigavlyssningav,åtkomsttillochnytt-jandeavettinformationssystem.Enkeltbeskrivetärsäkerhetsövervakning

enfunktiondärpersonalmedhjälpavolikatekniskahjälpmedelaktivtsökerefteroön-skadeaktiviteteriettinformationssystem.Vidupptäcktagerarfunktionengenomattförsökaförhindraexempelvisettintrångs-försök.Skulleettintrångsförsöklyckasutre-derfunktionenhur,varochvarförintrångetskeddesamtvadsombehövsförattförhin-draframtidaintrång.

BestämmelseromsäkerhetsövervakningåterfinnsiSäkerhetspolisensföreskrifter(PMFS2019:2)omsäkerhetsskydd.

Avbestämmelsernai4kap.36-37§§iPMFS2019:2framgåratt:36 §: Verksamhetsutövaren ska använda funktion för säkerhetsövervakning av informationssystem som är avsett för att behandla säkerhetsskydds-klassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig. Kraven i första stycket gäller även informationssystem där en inci-dent kan medföra allvarlig eller synnerligen allvar-lig skada för Sveriges säkerhet.

37 §: Verksamhetsutövaren ska ha rutiner för säkerhetsövervakning enligt 36 §. Rutinerna ska omfatta vad som ska övervakas och vem som an-svarar för övervakningen. Rutinerna ska även om-fatta vad som behövs i övrigt samt vilka åtgärder som ska vidtas vid upptäckta händelser.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktaifrågaomsäkerhetsövervakningiettinfor-mationssystemsomharbetydelseförsäker-hetskänsligverksamhet.

8.9.2 Genomförande

Enfunktionförsäkerhetsövervakningärberoendeavbådeentekniskplattformochavkompetentpersonal.Personalsomarbe-tarmedsäkerhetsövervakningtillhöroftaendelienverksamhetsombenämnsSecu-rityOperationsCenter(SOC).VidsidanavenSOCfinnsoftaävenenfunktionfördriftö-vervakningsombenämnsNetworkOpera-tionsCenter(NOC).EnNOCfokuseraroftast


påövervakningavinformationssystemmedsyfteattupprätthållatillgänglighetochpre-standa.Bådadessafunktionerkompletterarvarandraochutgörsammantagetenviktigfunktionförattupprätthållasäkerheteniettinformationssystem.

Hurarbetetmedsäkerhetsövervakningskagenomförasbehöververksamhetsutövarenfastställaochdärefterregleraiinternastyr-dokument.Dessabörgesvarpånedanstå-endefrågor:• Varförskasäkerhetsövervakninggenomföras?(vadärsyftetochmåletmedövervakningen)?

• Vemellervilkaskautförasäkerhetsöver-vakningen(exempelvisenSOC-funktion)?

• Närskasäkerhetsövervakninggenomför-as(exempelvisundervilkatider)?

• Hurskalogguppföljninggenomförasochvilkaåtgärderskavidtasnärverk-samhetsutövarenupptäcktenpotentielltoönskadhändelse(rutiner,checklistor,processbeskrivningaretcetera)?

• Medvilkatekniskahjälpmedelskasäker-hetsövervakninggenomföras(exempelvisenSIEM)?

Detärävenviktigtattstyrdokumenteninnehållerentydligbeskriveneskalerings-ordningsomstödibeslutomåtgärdnärettpotentielltintrångellerenannanoönskadhändelse upptäcks.

8.9.3 Åtgärder vid upptäckta händelser

Närfunktionenförsäkerhetsövervakningupptäckerettpotentielltintrångellerenannanoönskadhändelseiettinforma-tionssystembördetävenfinnasentydligbeskriveneskaleringsordningatttastödav.Utifråndennakandesomarbetarmedsä-kerhetsövervakningfattabeslutomvidareåtgärd.Fortsattaåtgärderkanexempelvisvara:• attinledafördjupadanalysavhändelsen• incidenthantering

Enfördjupadanalyskanbeståavgransk-ningavloggardirektienloggkällasåsomoperativsystem,enprogramvaraelleriinfra-strukturkomponenter.Fördjupadanalyskanävengörasiswitchar,routrar,brandväg-gar,VPN-koncentratorerochideinbyggdaskyddsfunktionernaisammakomponenter,exempelvisintrångsdetekteringellerinne-hållsfiltrering.Ävenanalysavminnesavbil-der,nätverkstrafikocheventuellskadligkodkanvaraendelavdenfördjupadeanalysen.Incidenthanteringbeskrivsvidareiavsnitt8.10.

8.9.4 Tekniska hjälpmedel

Somettstödförarbetetmedsäkerhetsöver-vakningfinnsenmängdolikaprogramvaroranpassadeförändamålet.SIEM(SecurityInformationandEventManagement)ärenvanligbenämningpåensådanprogramvarasomkanvaraettstödvidsäkerhetsövervak-ningavskyddsvärdasystem.

SIEMsköterinsamlingochaggregeringavloggarsomgenereratsavolikaloggkälloriettinformationssystem.Baseratpåinnehål-letiloggarnaidentifierarochkategoriserarSIEMmöjligaincidenterochhändelsersomskettiinformationssystemetochgörsedanenautomatiskanalysavdem.SIEMhardär-eftertvåsyften:1. Tillhandahållarapportergällandesä-

kerhetsrelaterade incidenter och hän-delsersåsomförekomstavskadligkod,misslyckadeinloggningsförsök,avak-tiveradeanvändarkontonsomåterak-tiverasochandrapotentielltskadligaaktiviteteriinformationssystemet.

2. Genereralarm,omdetunderdenau-tomatiskaanalysenvisarattsigattdetförekommerpotentielltskadligaaktivi-teteriinformationssystemet.Denauto-matiskaanalysenutgårfrånettförde-finieratregelverkdärdetframgårvilkaparametrarochtröskelvärdensomskagenereraettlarm.


Tips Att bygga upp en funktion för säkerhetsö-vervakning, exempelvis en SOC, är ett tidskrävande arbete som bör ske iterativt över tid. För att minska risken för inlåsnings-effekter är det viktigt att verksamhetsutö-varen, innan tekniska hjälpmedel införskaffas, definierar hur säkerhetsövervakningen ska bedrivas både under en uppbyggnadsfas och på sikt.

8.9.5 Övning och utvärdering

Ettbrasättatttestaochutvärderabådestyrdokument,personellaresurserochtek-niskahjälpmedelsomanvändsienfunktionförsäkerhetsövervakningärattgenomföraövningar.Genomsamarbetemedpenetra-tionstestarekanfunktionenförsäkerhetsö-vervakningövaolikaangreppsscenarioniinformationssystemet,vilketgörattex-empelviströskelvärdenförgenereringavlarmkantestasochfinjusteras.Genomettoannonseratangreppmedhjälpavpenetra-tionstestarekanävenverksamhetsutövarensincidenthanteringsättaspåprovochutvär-deras.

Figur 17 En konceptuell illustration av logg och säkerhetsövervakning

8.10 Incidenthantering

2 kap. 10-11 §§ säkerhetsskyddsförordningen (2018:658)2 kap. 19-25 §§ Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

8.10.1 Allmänt om incidenthantering

Enit-incidentkanberopåsåvälettavsiktligtsomettoavsiktligtagerandeavegenperso-nalelleravenhotaktör.Dekonsekvensersomkanuppståvidensådanincidentärexempelvisattinformationssystemetblirotillgängligtellerattinformationisyste-metharförvanskats,förstörtsellerröjtstillobehörig.Oavsettorsakärdetviktigtattincidenterhanteraspåettstruktureratsättförattdensäkerhetskänsligaverksamhetensåsnartsommöjligtskakunnaåtergåtillnormalläge.

Begreppetit-incidentåterfinnsi2 kap.10§säkerhetsskyddsförordningen(2018:658)därdetavrubriksättningenframgårattenIT-incidentärentypavsäkerhetshotandehändelse.BestämmelserrelateradetillhanteringavsäkerhetshotandehändelseråterfinnsdärutöveriSäkerhetspolisensföre-skrifter(PMFS2019:2)omsäkerhetsskydd.


Avbestämmelsernai2kap.20-22§§PMFS2019:2framgåratt:20 §: Verksamhetsutövaren ska ha rutiner för han-tering av säkerhetshotande händelser som är av betydelse för verksamhetens säkerhetsskydd.

21 §: Verksamhetsutövaren ska vid säkerhetsho-tande händelser som är av betydelse för verksam-hetens säkerhetsskydd vidta åtgärder så att skad-lig inverkan på den säkerhetskänsliga verksam-heten minimeras och så att den säkerhetskänsliga verksamheten så snart som möjligt kan återgå till normalläge.

22 §: Verksamhetsutövaren ska utvärdera inträf-fade säkerhetshotande händelser som är av bety-delse för verksamhetens säkerhetsskydd. Utifrån utvärderingen ska verksamhetsutövaren införa de förbättringar som krävs för att minimera skadeef-fekten av liknande händelser i framtiden.

Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktaifrågaomincidenthanteringförettinfor-mationssystemsomharbetydelseförsäker-hetskänsligverksamhet.

8.10.2 Grundläggande förutsättningar

Förattenverksamhetsutövareskakunnahanterait-incidenterpåetttillfredställandesättkrävsatttvågrundläggandekompo-nenterfinnspåplatsredanpåförhand.Denviktigastekomponentenärattverksam-hetsutövarenformatenhandlingskraftigarbetsgruppsomärredoatttasigandeut-maningarenit-incidentmedför.Iensådangruppärgodtekniskit-ochsäkerhetskom-petensviktigt,likvälsominsiktiochför-ståelseförit-miljön.Menenincidenthante-ringsgruppbörävenbeståavpersonalsomkanhanterarättsligafrågor,personal-ocharbetsgivarfrågorsamtkommunikations-frågor.Detärävenviktigtattverksamhets-utövarensäkerställerattallamedlemmariarbetsgruppenärmedvetnaomsinarollerochvilkaförväntningarsomställspådemihändelseavenincident.

Denandraviktigakomponentenärattverk-samhetsutövarentagitframenincidenthan-teringsplan.Syftetmedplanenärattdenskavaraettstödidenpraktiskaincident-hanteringen.Enincidenthanteringsplanbörvarakonkretochkärnfullförattvaraprak-tisktanvändbar.Enincidenthanteringsplanböräveninnehållabeskrivningaravrollerochansvarsområden,mandat,prioriterings-ordning,utredning,minimeringavskador,återställning,dokumenteringochrapporte-ring.

8.10.3 Genomförande

Atthanteraenit-incidentäroftabådekom-pliceratochtidskrävandeochhandlarigrundenomatt:1. minimera skadeverkan i informations-

systemet.

2. utreda omfattning och orsak.

3. återställa informationssysteminforma-tionssystemet till normalläge.

4. dokumentera och rapportera inciden-ten till berörda intressenter.

5. utvärdera och dra lärdom av incidenten för att kunna införa de förbättringar som krävs för att minska sannolikheten för, eller minimera skadeeffekten av, liknande händelser i framtiden.

8.10.3.1 Minimera skadeverkan i informations-systemetDetförstasombörgörasnärenincidentharinträffatärattinriktaarbetetpåattmini-meraskadeverkan.Beroendepåincidentenskaraktärkanolikatyperavåtgärderbehövagenomförasförattminimeraincidentensskadeverkaniinformationssystemet.Intesällanbehöveråtgärdernakoordinerasochgenomförasirättföljdförattexempelvisminskaexponeringenavinformationssyste-met.Exempelpåenskademinimeradåtgärdkanvaraattkopplabortenklientdatorfrånnätverketsomsmittatsmedskadligkod.Förattskademinimerapåeffektivastesättkrävssystematikochstrukturiarbetet.


8.10.3.2 Utreda omfattning och orsak Närdevärstaskadornaärnågorlundaunderkontrollkanenutredningavincidentensomfattningochorsakpåbörjas.

Enit-incidentmedföroftaattstressnivånhosberördpersonalökar.Dettakanledatillattpersonalendrarförhastadeslutsatserellergörmissariutredningsarbetet.Detärdärförviktigtattarbetasystematisktochstruktureratföratttaredaomfattningenavincidenten och hur incidenten kunnat in-träffa.Dettaärenförutsättningblandannatförattiettsenareskedekunnaåterställainformationssystemtillderasnormalläge.

Vidmisstankeombrottärdetviktigtattverksamhetsutövarensäkrarbevis.Dettabehövergöraspåettsådantsättattbevisenkananvändasienbrottmålsprocessellerannanrättsligprövning.

Tips• För att utredningen av incidenten ska

kunna ske strukturerat bör verksam-hetsutövaren utse en person med huvudansvar för utredningen. Detta medför att fördelning av arbetsuppgifter och koordinering av arbetet kan hanteras av en person med god överblick. En fördel med detta är också att arbetsuppgifter kan fördelas till de för ändamålet mest lämpade, personerna och att eventuella kolliderande arbetsuppgifter uppmärksammas.

• Kontinuerlig inspelning av nätverkstrafik kan vara ett relativt billigt och värdefullt hjälpmedel vid utredning av en incident.

8.10.3.3 Återställa informationssys-tem till normalläge Närminimeringavskadeverkanhargenom-förtsochorsakensamtomfattningenavin-cidentenharklarlagtsgällerdetattåterstäl-lainformationssystemettillettnormalläge.Allaviktigadelarsomharpåverkatsvidenit-incidentmåsteåterställassåattinteverksamhetsutövarensmöjlighettillattbe-

drivasinverksamhetpåverkasialltförstorutsträckning.Dettakanexempelvishandlaomatttaborttillfälligabegränsningarsominförtsundertidenförutredning,bevis-säkringellerunderåterläsningavfilerfrånsäkerhetskopior.Verksamhetsutövarenkanävenbehövavidtakompenserandesäker-hetsåtgärderunderenövergångsperiodförattexempelvisdatorerskakunnatasibrukellerbehörigheteraktiverasigen.Enviktigdeliåterställningsprocessenärattsäkerställaattsystemenfungerarsomdeska.Desårbarhetersomupptäcktsunderut-redningsfasenskaåtgärdasförattförhindraattenliknandeincidentinträffarigen.

8.10.3.4 Dokumentera och rappor-tera incidenten till berörda intressenter Allaincidenterbördokumenterasenligten fastställd instruktion och rapporteras genomenfastställdmall.Lämpligtvisfinnsbådadessautpekadeiincidenthanterings-planenellerutgörendelavincidenthante-ringsplanen.Enanledningtillattdokumenteraärattlö-pandekunnagekvalitativinformationomincidententillberördaintressenterundersjälvaincidenthanteringen.Enannanviktiganledningtillattdokumenteraärattverk-samhetsutövareniefterhandskakunnaföljaupp,granskaochdralärdomavinträf-fadeincidenter.Utanengoddokumentationöverincidenthanteringenärdetsvårtattfåenhelhetsbildavvadsomisjälvaverketskettochvarför.

Hurenincidenthanteringdokumenteraskanseolikautmendokumentationenböråtminstonegesvarpånedanståendefrågor:• Närochvarinträffadeincidenten?• Vem/vilkaupptäckteochrapporteradeincidenten?

• Vilketinformationssystemochvilkadelarelleringåendekomponenterharpåverkats?

• Vadärkonsekvensenavincidenten(vilkaskadorharuppstått)?

• Vilkaåtgärderharvidtagitsföratthan-teraincidenten(ikronologiskordning)?


• Vilkahardeltagitiincidenthanteringen?• Vilkaharinformeratsomincidenten?

Ivissafallärverksamhetsutövarenskyldigatt rapportera incidenter till Säkerhetspoli-senellerinformeraandraverksamhetsutö-vare.I2kap.10§säkerhetsskyddsförord-ningensamti2kap.23-25§§Säkerhetspo-lisensföreskrifter(PMFS2019:2)omsäker-hetsskyddfinnsbestämmelseromdetta.

Tips• Säkerställ att information om incidenten

delges ledningen så snart som möjligt. Med kännedom och förståelse för vad som inträffat kan resurser till incidenthante-ringsarbetet prioriteras och tilldelas av ledningen i högre grad, samtidigt som verksamheten kan säkerställas.

• • Säkerställ att rapporteringsskyldigheten till

Säkerhetspolisen avseende säkerhetsho-tande händelser finns beskriven i incident-hanteringsplanen.

• Det är viktigt att tidigt vid upptäck rapportera säkerhetshotande verksamhet och incidenter till Säkerhetspolisen för att vid behov få stöd, men även för att ge Säkerhetspolisen möjlighet att omvärldsbevaka pågående händelser. Om fullständig information inte finns tillgänglig kan rapporten med fördel kompletteras efter hand.

8.10.3.5 Utvärdera och dra lärdom av incidentenSyftetmedutvärderingenärattdralärdomavincidentenförattkunnainföradeför-bättringarsomkrävsförattminskasanno-likhetenför,ellerminimeraskadeeffektenav,liknandehändelseriframtiden.Dettainnebärattutvärderingbörskeavarbetssättochmetoder,incidenthanteringsplansamtdesäkerhetsskyddsåtgärdersomvidtagitsiochkringinformationssystemet.

Förattutveckladenarbetsgruppsomhan-terarit-incidenterochföratthaförmåganattiframtidenkunnabemötainträffadehändelser,ärdetviktigtattföljauppochutvärderaincidenthanteringensåtättsommöjligtinpåattincidenthanteringenharavslutats.Dettabörgörasavarbetsgruppensjälvtiformavdebriefingellerliknandeianslutningtillattincidenthanteringenharavslutats.Därutöverbörenmeromfattandeutvärderinggenomförasunderledningavenpersonsominteaktivtdeltagitiincident-hanteringen,förattundvikaberoendeför-hållandenellersubjektivabedömningar.Baseratpåutvärderingenbörutvärderarentaframenåtgärdslistasomföreslåråtgär-derisyfteattutvecklaincidenthanteringen.Varjeåtgärdbörtilldelasenansvarigochendeadline.Någoniorganisationen,exempel-visutpekadutvärderare,ansvarardärefterförattföljaattåtgärdernagenomförs.



9.1 Allmänt om omvärldsbevakning

Attupprätthållasäkerheteniettinforma-tionssystemhandlarintebaraomatthållainformationssystemetidrift.Enverksam-hetsutövaremåsteävenförhållasigtilldehotinformationssystemetkanvaraexpone-ratmotochdesårbarhetersomfinnsiochkringinformationssystemet.Förattenverksamhetsutövareskakunnafåenuppfattningomnyaellerförändradehot,uppkomstavnyasårbarheter,exem-pelvisiprogramvarorsomanvänds,krävsattverksamhetsutövarenkontinuerligtbevakarhändelseriomvärldensomkanpåverkasäkerheteniverksamhetsutövarensinformationssystem.Dettaarbetebenämnsoftaomvärldsbevakning.

Bestämmelserrelateradetillomvärldsbevak-ningåterfinnsiSäkerhetspolisensföreskrif-ter(PMFS2019:2)omsäkerhetsskydd.

Avbestämmelsernai4kap.2§PMFS2019:2framgåratt:2 §: Verksamhetsutövaren ska kontinuerligt an-passa säkerhetsskyddsåtgärder i informationssys-tem för att möta förändringar av hot och sårbar-heter. Verksamhetsutövaren ska även fastställa hur detta ska genomföras och vem som ansvarar för att identifiera förändringarna.

Idettaavsnittbeskrivshurenverksamhets-utövarebörarbetamedomvärldsbevakningförettinformationssystemsomäravbety-delseförsäkerhetskänsligverksamhet.

9 Omvärldsbevakning

9.2 GenomförandeFörattomvärldsbevakningenskageöns-kadeffektärdetviktigtattdeninforma-tionsominhämtaskanomsättastillnågotkonkret.Verksamhetsutövarenbehöverdärförhaförmågaattbedömahurensår-barhet,exempelvisienprogramvara,kanpåverkasäkerheteniverksamhetsutövarensinformationssystem,ochdäreftertaställ-ningtillomsårbarhetenbehöveråtgärdasomgåendeellerinte.Iregelpublicerardestoratillverkarnaavprogramvarasåkall-ladesäkerhetsuppdateringar(ävenkallatsäkerhetspatchar)såfortensårbarhetiprogramvarablirkänd.Oftasthartillverka-renredangjortnågonformavvärderingavallvarlighetisårbarhetensomsäkerhetsupp-dateringenskaåtgärda.Dettakanvaraettbraingångvärdenärverksamhetsutövarenskagörasinbedömningavhursårbarhetenkanpåverkaverksamhetsutövarensinfor-mationssystem.

Informationomsårbarheterihård-ochmjukvaraochnyaattackmetoderpubliceraskonstantruntomiomvärlden,ochdetkandärförvarasvårtattmanuelltinhämtaochdistribueradennatypavinformation.Somstödidettakanenverksamhetsutövarean-vändaettsystemsomautomatiskthämtarinochdistribuerarrelevantinformationtillberördpersonal.Ettsådantsystemkanexempelvisförsesmednyckelordkopplattilldeprogramvarorsomfinnsinstalleradeiverksamhetsutövarensinformationssystem.Systemetanvänderdessanyckelordförattsökaipublikakällormedinformationomsårbarheter,ochnärsystemetfårenträffnotifieraspersonalsomäransvarigförak-tuellprogramvara.Därefterkanrelevantaåtgärderutförasförattreduceraellerom-händertasårbarheten.


Oavsettomomvärldsbevakningskermanu-elltellermedettteknisktstödärdetavstorviktattverksamhetsutövarenhareninven-tarieförteckningfördenmjuk-ochhårdvarasomförekommeriverksamhetsutövarensinformationssystem.Annarsblirdetsvårtförverksamhetsutövarenattvetavilkasår-barhetersomärrelevantaatttaställningtill.Ifrågaommjukvaraböruppgiftomsåvälproduktnamnochversion(er)finnasiinventarieförteckningen.

Tips Samverkan med andra verksamhets-utövare inom samma sektor är ofta en framgångsfaktor i fråga om omvärldsbevak-ning, då kunskap och erfarenheter om hot och sårbarheter utifrån den specifika sektorn blir lättare att omsätta i praktiken.


10 Kompetens och resursplanering

2 kap. 16 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd 4 kap. 3 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd

10.1 Allmänt om kompetens och resursplanering

Utvecklingavinformationssystemellermjukvaraiettinformationssystemkanskeiolikaplattformarochbaseraspåenmängdolikaprogrammeringsspråk.Varochenavdessait-plattformarkanhainneboendesårbarhetersombådekannyttjasavenho-taktörvidettangreppochsomkanpåverkadriftsäkerheteniinformationssystemet.Densomdeltariutvecklingavinformationssys-temmåsteavdärförhaadekvatochaktuellkompetensomdesårbarhetersomfinnsideplattformardärutvecklingskerförattsår-barheterskakunnaomhändertas.

Motsvarandeförhållningssätttillkompetensgällerävenfördensomarbetarmeddriftavinformationssystem.Bestämmelserrela-teradetillkompetensochresursplaneringåterfinnsiSäkerhetspolisensföreskrifteromsäkerhetsskydd(PMFS2019:2).

Avbestämmelsernai2kap.16§PMFS2019:2framgåratt:Verksamhetsutövaren ska säkerställa att det finns resurser och kompetenser tillgängliga i den utsträckning som krävs för att upprätthålla säker-hetsskyddet.

Avbestämmelsernai4kap.3§PMFS2019:2framgåratt:Verksamhetsutövaren ska se till att den som deltar i utveckling, framtagning av arkitektur, testning

och drift av informationssystem som har betydelse för säkerhetskänslig verksamhet har tillräcklig kompetens avseende informationssäkerhet och sår-barheter i aktuellt informationssystem.

10.2 KompetensförsörjningOmenverksamhetsutövareskahaförut-sättningarattkunnahållaettinformations-systemidriftochupprätthållasäkerhetenkrävsbåderesurserochkompetens.Utanenplaneringfördettariskerarsäkerhetsarbetetattåsidosättas.

Utvecklingavinformationssystemärettarbetesomoftabedrivsiprojektformavettutvecklingsteamsomärskräddarsyttfördetspecifikautvecklingsprojektet.Intesällanärdenpersonalsomutvecklarin-formationssystemetinhyrdelleriövrigtorganisatorisktfrånskildfråndenpersonalsomskaarbetameddriftochförvaltningavinformationssystemet.Avdennaanledningärdetavytterstaviktattdenmottagandeorganisationen(driftorganisationen)somskaarbetameddriftochförvaltningavin-formationssystemetharmöjlighetattrustasinorganisationmedrättkompetenserochresurserinnaninformationssystemettasidrift.Dettaäravgörandeförattdriftorgani-sationenskakunnaupprätthållagodfunk-tionalitetochfastställtsäkerhetsskyddförinformationssystemetövertid.

Verksamhetsutövarenbördärförigodtidinnanettinformationssystemavbetydelseförsäkerhetskänsligverksamhettasidriftbörjaplanerafördriftochförvaltningavinformationssystemet.Idettaliggerattfast-ställavilkaresurserochkompetensersomerfordrasfördriftochförvaltningavinfor-


mationssystemet.Attutbildningavpersonalellernyrekryteringartartidochärytterli-gareaspekt,varförplaneringenfördriftochförvaltningmåsteskepåetttidigtstadium.


2 kap. 13, 26 §§ Säkerhetspolisens föreskrif-ter (PMFS 2019:2) om säkerhetsskydd 4 kap. 2, 11, 13 §§ Säkerhetspolisens före-skrifter (PMFS 2019:2) om säkerhetsskydd

11.1 Allmänt om uppföljning och kontroll

Uppföljningochkontrollärviktigaverktygförattkunnasäkerhetsställaattsäkerhets-skyddetförettinformationssystemupp-rätthållsövertidochgeravseddeffekt.Ettviktigtförhållningssättsomverksamhets-utövarenbörtillämpaifrågaomuppfölj-ningochkontrollärattdetskermedettor-ganisatorisktoberoendemotdensomutfördrift,förändringarochunderhålliinforma-tionssystemet.Dettaförattuppföljningochkontrollskakunnaskemedettoberoende.BestämmelserrelateradeuppföljningochkontrollåterfinnsiSäkerhetspolisensföre-skrifter(PMFS2019:2)omsäkerhetsskydd.

Avbestämmelsernai2kap.26§PMFS2019:2framgåratt:26 §: Verksamhetsutövaren ska regelbundet • utvärdera om säkerhetsskyddsåtgärderna ger

avsedd effekt, • identifiera brister och sårbarheter i säkerhets-

skyddet och genomföra förbättringar, • kontrollera och följa upp det säkerhetsskydds-

arbete som bedrivs på uppdrag av verksam-hetsutövaren hos externa aktörer, och

• i övrigt kontrollera och följa upp att verksam-heten följer regelverket för säkerhetsskydd.

Verksamhetsutövaren ska dokumentera åtgärder-na i en plan som ska uppdateras löpande. I planen ska det anges vilken funktion som är ansvarig för åtgärderna.

Avbestämmelsernai4kap.11§PMFS2019:2framgåratt:11 §: Verksamhetsutövaren ska årligen granska säkerheten i informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller kvalificerat hemlig eller i informationssystem där en incident kan medföra allvarlig eller synnerligen allvarlig skada för Sveriges säkerhet.

Uppföljningochgranskningavsäkerheteniettinformationssystembörvaraavsåväladministrativsomteknisktkaraktär.

Administrativsäkerhetsgranskningkanex-empelvistasiktepå:• attidentifierabristeriverksamhetensefterlevnadavdenstyrningsomreglerardrift,förändringochunderhållavinfor-mationssystemet.

• attidentifierabristerianvändarnasef-terlevnadavdereglerochrutinersomreglerarhurinformationssystemetfåranvändas.

Enteknisksäkerhetsgranskningkanexem-pelvistasiktepå:• attidentifieragenerellabristerochsår-barheterifunktioneriochkringinfor-mationssystemet.

• attgranskaominformationssystemetärskyddatmotpubliktkändasårbarhetersombordevaraomhändertagnainomramenförverksamhetsutövarensom-världsbevakning.

• attidentifierabristeriefterlevnadavdenstyrningsomreglerardriftochunderhållavinformationssystemet,exempelvisgällandehanteringavtjänstekontonochanvändarkontonmedsystemadministra-tivåtkomst.

11 Uppföljning och kontroll


Idettaavsnittbeskrivsviktigaprincipersomenverksamhetsutövareskaochbörbeaktaifrågaomuppföljningochkontrollförettinformationssystemsomharbetydelseförsäkerhetskänsligverksamhet.

11.2 Efterlevnad av kravställning

Desäkerhetskravsomidentifieratsidensärskildasäkerhetsskyddsbedömningenbörföljasuppmedregelbundnakontrol-ler.Dessakontrollerkantillexempelvaraiformavsäkerhetsgranskningar,sårbarhets-skanningarochpenetrationstester.

Syftetmeddessakontrollerärattverifieraatt de säkerhetsfunktioner och den säker-hetskonfigurationsominitialtappliceradesviddriftsättningupprätthållsövertid.Sä-kerhetsarbetetmåstekontinuerligtrevide-ras,ochskyddetbliroftastmesteffektivtomdetiterativtanpassasochuppdateras.

Nyaattackvägarochsårbarheterkräverattskyddetanpassas,ochdetärinteovanligtattsäkerhetsåtgärderavaktiveraselleravandraorsakerblirineffektivamedtiden.Nyfunktionalitetförsin,vilketbådekanintroduceranyasårbarheterochändrahurverksamhetenanvändersystemet.Därförärdetenfördelomgranskningargenomförssystematisktochärårligtåterkommande,menocksåattdetrutinmässigtgenomförsvidstörreförändringar.

11.3 Kontroll av åtkomst och behörigheter

Uppföljningavåtkomstochbehörigheterärnödvändigtdå:

• förändringarkanskeianvändarensan-ställning(tillexempelkananvändarenbytaenhetellerarbetsuppgifter,varatjänstledigunderenlängretidellerlämnaprojektdeltagandeiförtid).

• insiderskanhatilldelatsigotillbörligabehörigheter.

• externahotaktörerellerinsiderskanhaskapatheltnyabehörigheter.

• gamlaanvändarkontonfelaktigtkanhaåteraktiverats(avmisstagelleraveninsi-der).

11.4 Uppdatering av dokumentation

Likaviktigtsomattupprättadokumenta-tionviddriftsättningavettnyttinforma-tionssystem,systemellerapplikationärarbetetmedattsetillattdokumentationenuppdaterasövertid.

Vidnyellerförändradfunktionalitetiit-miljö,systemellerapplikationskabefintligdokumentationsesöver.Detkanberöraru-tiner,policydokument,systemdokumenta-tion,SAD(SolutionArchitectureDocument),driftsdokumentation,förvaltningsdokumen-tation,utvecklardokumentation,nätverks-kartor,inventarielistormedmera.

Tips Använd gärna någon form av systemstöd för dokumentation som gör det enkelt för it-personal att hantera uppdateringar av dokumentation.


12 Referenser

OpenWebApplicationSecurityProject-https://owasp.org

OWASPTestingGuide-https://www.owasp.org/index.php/OWASP_Testing_Project

PenetrationTestingStandard-http://www.pentest-standard.org/index.php/PTES_Techni-cal_Guidelines

NISTNationalChecklistProgramRepository-https://nvd.nist.gov/ncp/repository

AustralianCyberSecurityCentre(ACSC)-https://acsc.gov.au/publications/index.htm

MITREATT&CK–https://attack.mitre.org/

ITIL-https://www.axelos.com/best-practice-solutions/itil

COBIT-https://cobitonline.isaca.org/

TOGAF-https://www.opengroup.org/togaf

Säkerhetspolisen • Box 12312 • 102 28 StockholmTel: 010-568 70 00 • Fax: 010-568 70 10

E-post: [email protected]. sakerhetspolisen.se

vägledning i säkerhetsskydd · • ss-iso/iec 27002 • ss-iso/iec 27003 informationssäkerhet...

Documents