Säkerhetsskyddsklassificering: en “bedömningssport”
För att sprida kunskap och belysa området säkerhetsskydd har Knowit lanserat en bloggserie. I sju inlägg kommer våra medarbetare att redogöra för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt dela med sig av sina erfarenheter från området.
Förra veckan berättade Sebastian Tham om hur man på ett effektivt sätt prioriterar säkerhetsskyddsåtgärder i bloggseriens fjärde inlägg. Denna vecka har vi kommit till inlägg 5 i serien, där Victor Langåssve och Christel Manner fördjupar sig i säkerhetsskyddsklassificeringar. Mycket nöje!
Varför blir många säkerhetsskyddsklassificeringar onödigt komplicerade och varför blir resultatet ofta för höga bedömningar? En vanlig anledning är att vissa övergripande klassningsprinciper saknas.
Detta inlägg berör vägledande principer, tips och trix som kan användas i samband med säkerhetsskyddsklassificering. De flesta går likaväl att användas för gradering av konsekvensnivå för ”i övrigt säkerhetskänslig verksamhet”1 – men fokus ligger på säkerhetsskyddsklassificerade uppgifter2. Då grunderna i säkerhetsskyddsklassificering finns beskrivet i säkerhetsskyddsregleringen och hos tillsynsmyndigheterna beskrivs inte det här.
För att genomföra bedömningar som är korrekta och följer intentionen av säkerhetsskyddsregleringen finns tre principer som är grundläggande. Dessa tre principer är:
-
Värsta rimliga scenariot – Även om säkerhetsskydd är svart eller vitt (skada eller inte) behöver vissa begränsningar vidtas i samband med klassificeringen. Om principen inte används kommer det med stor sannolikhet driva bedömningarna alldeles för högt.
-
Direkt eller uppenbart indirekt – Det är viktigt att beakta interna och externa parter som kan vara beroende av en säkerhetsskyddsklassificerad uppgift eller skadas om uppgiften röjs för obehörig. Att gå alltför många steg från den egna verksamheten och bedöma påverkan hos verksamhetsutövare flera led bort är dock ofta praktiskt ogenomförbart – och bör därför begränsas för att klassificering ska vara möjlig.
-
Inte för många om och men – Så fort för många om och men läggs till i klassificeringen leder det lätt till att bedömningarna angående skada blir alldeles för höga. ”Tänk om andra säkerhetsskyddsklassificerade uppgifter röjs samtidigt som det uppstår en sårbarhet hos en annan säkerhetskänslig verksamhetsutövare och tillsammans med det uppstår en krissituation i Norge…”. Till slut kan det uppstå helt orimliga scenarion (tänk första principen). Försök begränsa antalet om och men så kommer det underlätta vid klassificeringen.
Några ord om aggregering och ackumulering3 av säkerhetsskyddsklassificerade uppgifter är också på sin plats då det idag ofta byggs informationssystem där större mängd uppgifter hanteras. I vissa fall kan aggregering eller ackumulering medföra att nya slutsatser kan dras av en antagonist som kan motiverar en högre säkerhetsskyddsklass. Det är dock viktigt att vara försiktig då det lätt kan medföra att alla uppgiftssamlingar får en högre säkerhetsskyddsklass, vilket inte är syftet med regleringen. Om det inte tydligt kan motiveras varför aggregering eller ackumulering medför en högre säkerhetsskyddsklass bör inte en sådan vara påkallad.
Med stöd av dessa vägledande principer, tips och trix kommer genomförandet av säkerhetsskyddsklassificering både bli enklare och hamna på mer rimliga nivåer.
Victor Langåssve är en av landets främsta säkerhetsskyddsexperter med många års erfarenhet av att skydda det mest skyddsvärda i Sverige. Han är också involverad i flera andra områden och initiativ för att främja ett tryggare samhälle.
Christel Manner har arbetat med säkerhetsskydd för flera samhällsviktiga myndigheter och privata företag. Hennes primära fokus har varit på säkerhetsskyddsanalys och särskilda säkerhetsskyddsbedömningar. Hon har också utformat rutiner, processer och riktlinjer inom informationssäkerhet och personalsäkerhet.
Fortsätt gärna följa vår bloggserie där Sebastian Tham i nästa blogginlägg, kommer berätta om utbildning kopplat till säkerhetsskydd. Du får också gärna ta kontakt med någon ur vårt säkerhetsskyddsteam om du vill prata mer om säkerhetsskydd. På Knowit är vi vana att arbeta med säkerhetsskydd, och våra specialister stöttar kunder i alla olika delar under regelverket – oavsett om det handlar om analyser, ledningssystem, juridiska bedömningar eller utformande och implementation av åtgärder.
Process för säkerhetsskyddsarbete
Fotnoter
1: Säkerhetskänslig verksamhet avser enligt säkerhetskyddslagen (SFS 2018:585): ”uppgifter som rör säkerhetskänslig verksamhet och därför omfattas av sekretess enligt Offentlighets- och sekretesslagen (OSL) eller som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig”.
2: Säkerhetsskyddsklassificerade uppgifter avser enligt säkerhetsskyddslagen (SFS 2018:585) ”uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig”.
3: Aggregering av uppgifter handlar om att olika typer av uppgifter samlas. Vid ackumulering är det flera uppgifter av samma typ som samlas.