Varför analysen är hela fundamentet
Säkerhetsskyddslagen kräver att den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd. Den utredningen är säkerhetsskyddsanalysen, och allt annat följer av den. Klassningen av uppgifter, valet av fysiska skydd, omfattningen av säkerhetsprövning och behovet av samråd vid utkontraktering bygger alla på vad analysen kommer fram till.
Utan en aktuell och genomarbetad analys saknas motiveringen till den skyddsnivå verksamheten har valt. Vid tillsyn är analysen ofta det första som granskas, eftersom den visar om verksamhetsutövaren förstått sin egen hotbild. En svag analys leder nästan alltid till svaga eller felriktade åtgärder.
Översikt: de sex stegen
Analysen går att dela in i sex steg. De följer på varandra men är inte en engångsövning. När verksamheten eller hotbilden ändras börjar arbetet om från relevant steg.
| Steg | Vad du gör |
|---|---|
| 1. Identifiera skyddsvärden | Kartlägg vad i verksamheten som är av betydelse för Sveriges säkerhet: uppgifter, funktioner, anläggningar och system |
| 2. Bedöm hot och sårbarhet | Analysera vilka antagonistiska hot som finns och var verksamheten är sårbar |
| 3. Klassificera | Säkerhetsskyddsklassa uppgifter och bestäm konsekvensen om skyddsvärdet skadas |
| 4. Besluta åtgärder | Välj säkerhetsskyddsåtgärder inom informationssäkerhet, fysisk säkerhet och personalsäkerhet |
| 5. Dokumentera | Skriv ned analysen, besluten och motiveringen på ett spårbart sätt |
| 6. Håll aktuell | Följ upp och uppdatera analysen vid förändringar i verksamhet eller hotbild |
Steg 1: Identifiera skyddsvärden
Första steget är att avgöra vad som faktiskt ska skyddas. Här ska verksamhetsutövaren kartlägga vad i verksamheten som är av betydelse för Sveriges säkerhet. Det kan vara säkerhetsskyddsklassificerade uppgifter, men också funktioner, processer, anläggningar och informationssystem vars bortfall eller manipulation skulle kunna skada den nationella säkerheten.
- Uppgifter. Vilken information hanterar verksamheten som rör Sveriges säkerhet och behöver hållas hemlig.
- Funktioner. Vilka funktioner eller processer är så viktiga att ett bortfall skulle få konsekvenser för Sveriges säkerhet.
- Anläggningar och objekt. Vilka fysiska platser, byggnader och installationer behöver skyddas.
- Informationssystem. Vilka system lagrar, behandlar eller överför skyddsvärda uppgifter.
Steg 2: Bedöm hot och sårbarhet
När skyddsvärdena är kända ska hotbilden och sårbarheterna analyseras. Säkerhetsskydd handlar om antagonistiska hot, alltså avsiktliga handlingar från en aktör, till skillnad från olyckor eller tekniska fel. Hoten är typiskt spioneri, sabotage, terroristbrott och annan brottslighet som kan hota Sveriges säkerhet.
Sårbarhetsbedömningen visar var verksamheten är öppen för dessa hot. Det handlar om svagheter i informationshantering, fysiskt tillträde och i hur personal får tillgång till skyddsvärden. Bedömningen ska kopplas till de skyddsvärden som identifierades i steg 1, så att det blir tydligt vilket skyddsvärde varje hot riktar sig mot.
- Hotaktörer. Vilka aktörer kan ha intresse av att komma åt eller skada skyddsvärdena.
- Angreppsvägar. Hur skulle ett angrepp kunna genomföras, via information, fysiskt tillträde eller via personer.
- Sårbarheter. Var saknas idag tillräckligt skydd kopplat till respektive skyddsvärde.
Steg 3: Klassificera
Skyddsvärdena ska klassificeras efter hur stor skada på Sveriges säkerhet ett röjande, en förlust eller en manipulation skulle innebära. För säkerhetsskyddsklassificerade uppgifter sker detta genom de fyra säkerhetsskyddsklasserna.
| Klass | Konsekvens vid röjande |
|---|---|
| Kvalificerat hemlig | Synnerligen allvarlig skada för Sveriges säkerhet |
| Hemlig | Allvarlig skada för Sveriges säkerhet |
| Konfidentiell | Inte obetydlig skada för Sveriges säkerhet |
| Begränsat hemlig | Endast ringa skada för Sveriges säkerhet |
Steg 4: Besluta säkerhetsskyddsåtgärder
Med skyddsvärden, hotbild och klassning på plats ska verksamhetsutövaren besluta vilka säkerhetsskyddsåtgärder som behövs. Åtgärderna fördelas på de tre skyddsområdena och ska stå i proportion till skadebedömningen. Målet är att skyddet är tillräckligt för det som faktiskt är skyddsvärt, varken mer eller mindre.
- Informationssäkerhet. Åtkomststyrning, kryptering, loggning, säkra informationssystem och rutiner för hantering av säkerhetsskyddsklassificerade uppgifter.
- Fysisk säkerhet. Tillträdesskydd, larm, bevakning och zonindelning av anläggningar och objekt.
- Personalsäkerhet. Säkerhetsprövning av personer som ska delta i verksamheten eller få del av uppgifterna, i vissa fall med registerkontroll.
Steg 5: Dokumentera
Analysen och de beslut den leder till ska dokumenteras. Dokumentationen ska göra det möjligt att förstå vad som skyddas, varför, och hur skyddsnivån är vald. Det är denna dokumentation som ligger till grund för tillsyn, för interna beslut och för de bedömningar som krävs inför utkontraktering, upplåtelse och överlåtelse.
Dokumentationen ska i sig hanteras med rätt skyddsnivå, eftersom den kan innehålla eller avslöja säkerhetsskyddsklassificerade uppgifter. En analys som beskriver verksamhetens svagheter är ofta själv ett skyddsvärde.
- Spårbarhet. Det ska gå att följa hur ett skyddsvärde lett till en klassning och vidare till en beslutad åtgärd.
- Motivering. Besluten ska vara motiverade, inte bara listade.
- Skydd av analysen. Själva dokumentet ska hanteras enligt sin egen klassning.
Steg 6: Håll analysen aktuell
Säkerhetsskyddsanalysen är inte en engångsprodukt. Den ska hållas uppdaterad i takt med att verksamheten och hotbilden förändras. En omorganisation, ett nytt informationssystem, en ny anläggning, en utkontraktering eller en förändrad hotbild kan alla göra en tidigare analys inaktuell.
En inaktuell analys är i praktiken en brist. Den som vid tillsyn visar upp en gammal analys som inte längre speglar verksamheten riskerar förelägganden och i förlängningen sanktionsavgift. Bygg därför in återkommande uppföljning och en tydlig utlösare för att se över analysen vid större förändringar.