Blogg | Knowit

Att initiera en säkerhetsskyddsanalys – vad vill vi skydda?

Skriven av Jonas Magnusson | Aug 26, 2021 10:00:00 PM

För att sprida kunskap och belysa området säkerhetsskydd lanserar Knowit en bloggserie. I sju inlägg kommer våra medarbetare att redogöra för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt dela med sig av sina erfarenheter från området. 

Vi inleder serien med att i detta inlägg titta på de första stegen i att genomföra en säkerhetsskyddsanalys – den analys som lägger grunden för hela organisationens säkerhetsskyddsarbete. 

Säkerhetsskyddslagen1 syftar till att skydda säkerhetskänslig verksamhet2 mot brott samt säkerhetsskyddsklassificerade uppgifter3 även i andra fall. Lagstiftningen träffar alla säkerhetskänsliga verksamheter, oavsett i vilken form verksamheten bedrivs, och det är upp till verksamhetsutövaren själv att reda ut frågan om verksamheten träffas av säkerhetsskyddslagen. Om, och i så fall i vilken utsträckning, verksamheten har behov av ett säkerhetsskydd analyseras i en säkerhetsskyddsanalys, vilken utgör grunden för ett systematiskt och välbalanserat säkerhetsskyddsarbete. 

En fullständigt genomförd säkerhetsskyddsanalys ska ge svar på följande frågor: 

  1. VAD ska skyddas (vilka är skyddsvärdena)? 

  2. MOT VAD ska verksamheten skyddas (hur ser säkerhetshotet mot verksamheten ut)? 

  3. HUR ska verksamheten skyddas (vilka övergripande skyddsåtgärder behöver vidtas)? 

I detta inlägg fokuserar vi på den första punkten: hur man på ett effektivt och heltäckande sätt utreder vilka skyddsvärden den egna organisationen har att skydda. Metoden för att genomföra en säkerhetsskyddsanalys innehåller ett antal steg som beskrivs närmare i Säkerhetspolisens metodstöd vägledning säkerhetsskyddsanalys. I stället för att upprepa vad som beskrivs i vägledningen fokuserar vi på att delge våra erfarenheter och skicka med ett antal tips som kan underlätta i arbetet med att identifiera och analysera skyddsvärden.  

  • Förankring: Mandat och förståelse för processen från organisationens ledning bör säkerställas tidigt för att ge säkerhetsskyddsanalysen och efterföljande säkerhetsskyddsarbete så goda förutsättningar som möjligt. 

  • Kompetens: Bjud in deltagare med rätt kunskap för de olika stegen i analysarbetet. För att beskriva och avgränsa verksamheten samt identifiera dess skyddsvärden krävs bidrag från personer med såväl bred som djup kunskap om den aktuella verksamheten. Förståelse för de beroenden som finns till/från verksamheten mot andra aktörer och samhället i stort är också kritiskt. Eventuellt krävs också dialog med berörda externa parter för att kunna landa rätt i bedömningarna. Använd om möjligt också juridisk kompetens för de juridiska bedömningar som är nödvändiga.  

  • Synergier: Nyttja de delar av andra, tidigare genomförda analyser som går att använda i arbetet med säkerhetsskyddsanalysen, t.ex. risk- och sårbarhetsanalyser. Även om grundläggande skillnader måste iakttas (t.ex. är säkerhetsskyddsanalysen konsekvensdriven och EJ riskbaserad) går det sannolikt att dra nytta av sådant som verksamhetsbeskrivningar och bedömningar av verksamhetens betydelse i samhället.  

  • Avgränsning: Avgränsa tidigt bort de delar av verksamheten som inte är av relevans för fortsatt analys. Dokumentera vad bedömningarna grundar sig i.  

  • Behåll rätt perspektiv: Håll isär verksamhetsskydd (säkerhet utifrån ett verksamhetsperspektiv) och säkerhetsskydd (säkerhet utifrån perspektivet Sveriges säkerhet). Verksamheten kan vara viktig av många olika anledningar, men är den kritisk utifrån perspektivet Sveriges säkerhet och i så fall till vilken grad? Det är frågan som den inledande delen av analysen ska besvara.  

  • Ta stöd i värdeorden: Dra nytta av värdeorden i beskrivningen av konsekvensnivåerna i bilagan till Säkerhetspolisens föreskrifter4 för att analysera vad som krävs för att ett angrepp ska anses orsaka konsekvenser för Sveriges säkerhet.  

  • Motivera och dokumentera: Dokumentera bedömningarna och motivera både varför konsekvenserna av ett potentiellt angrepp på verksamheten bedöms till en viss nivå och varför inte den närmast högre eller lägre nivån är aktuell. Rent generellt är god dokumentation mycket viktigt då det ger ökad spårbarhet. 

  • Identifiera nedbrutna skyddsvärden: Om s.k. i övrigt säkerhetskänslig verksamhet identifieras, bryt ned denna i mindre beståndsdelar för att identifiera vilka verksamhetsdelar som är kritiska för verksamhetens funktionalitet (t.ex. anläggningar, byggnader, system, befattningar/personal). Detta är nödvändigt när verksamheten i slutfasen av arbetet med säkerhetsskyddsanalysen ska kunna analysera hur ett säkerhetsskydd ska se ut i praktiken (HUR-frågan). Försök att tänka som en angripare; hur skulle du gå till väga om du utifrån skulle försöka komma åt information eller i övrigt orsaka skada för verksamheten och i förlängningen Sveriges säkerhet?5  

  • Låt det ta tid: Låt steget att identifiera och bedöma skyddsvärden få ta tid! Hamnar man snett i bedömningarna här påverkas hela säkerhetsskyddsanalysen. Arbeta iterativt och ifrågasätt antaganden och bedömningar som gjorts under arbetets gång.  

  • Samverka och arbeta metodiskt: Slutligen, ta stöd av ovan nämnd vägledning, samverka med aktörer med liknande verksamhet för generella diskussioner och ta vid behov även hjälp av er tillsynsmyndighet. Om ni arbetar enligt föreskriven metod och tar stöd i ovan tips, så har ni bra förutsättningar att lyckas i arbetet med er säkerhetsskyddsanalys. 

Jonas Magnusson är en säkerhetsskyddskonsult och informationssäkerhetsspecialist som ofta arbetar med frågor om utbildning och framtagande av rutiner. Jonas har, utöver operativt arbete med säkerhetsfrågor, flerårig erfarenhet av kvalificerat analysarbete hos och för offentliga uppdragsgivare.

Fortsätt gärna följa vår bloggserie där Daniel Blom och Elin Sjöström, i nästa blogginlägg, kommer fördjupa sig i analys av säkerhetshotet. Du får också gärna ta kontakt med någon ur vårt säkerhetsskyddsteam om du vill prata mer om säkerhetsskydd. På Knowit är vi vana att arbeta med säkerhetsskydd, och våra specialister stöttar kunder i alla olika delar under regelverket – oavsett om det handlar om analyser, ledningssystem, juridiska bedömningar eller utformande och implementation av åtgärder.



Process för säkerhetsskyddsarbete.



Källor
1: SFS 2018:585
2: Enligt SFS 2018:585: ”verksamhet av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd”.
3: Enligt SFS 2018:585: ”uppgifter som rör säkerhetskänslig verksamhet och därför omfattas av sekretess enligt Offentlighets- och sekretesslagen (OSL) eller som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig.”
4: PMFS 2019:2
5: För stöd i detta kan t.ex. CARVER-metoden användas. Observera dock att information som genereras genom sådana övningar kan vara mycket känslig