Informationssäkerhet – ny vägledning från Säpo

Syftet med vägledningen är framför allt att tydliggöra bestämmelser i tredje och fjärde kapitlen i Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1).

Säkerhetsskyddslagen i grunden

Grunden i ett informationssäkerhetsarbete är att arbetet bedrivs systematiskt. Vägledning är avgränsad till säkerhetsskyddsåtgärden informationssäkerhet. För majoriteten av verksamhetsutövare omfattas endast delar av verksamheten av säkerhetsskyddslagen och dess krav på säkerhetsskyddsåtgärder.

Informationssäkerhet bygger på följande tre begrepp: 

• Konfidentialitet: att förhindra att obehöriga får tillgång till information.
• Riktighet: att det går att lita på att den information som används i verksamheten är korrekt och inte manipulerad.
• Tillgänglighet: att säkerställa att informationen är tillgänglig när den behövs. 

Vid sidan av de tre aspekterna som nämns ovan tillkommer spårbarhet, det vill säga att kunna spåra utförda aktiviteter till en identifierad användare eller system.

Rätt befattningsanalys och inplacering i säkerhetsklass

– Att notera är vikten av att befattningsanalys och eventuell inplacering i säkerhetsklass ligger i linje med företagets säkerhetsskyddsanalys och säkerhetsskyddsklassning. Placering i säkerhetsklass ska ha stöd i lagstiftningen och användas restriktivt, bland annat på grund av det integritetsintrång som följer med en registerkontroll, säger Emma Johansson som är säkerhetsansvarig hos Energiföretagen.

Konsekvensnivåerna för säkerhetsskyddsklassificerade uppgifter har tagits bort. Däremot har definitionerna för säkerhetsskyddsklasserna förtydligats med beskrivande värdeord till stöd för bedömningen. Fortfarande gäller indelning i fyra säkerhetsskyddsklasser (begränsat hemlig, konfidentiell, hemlig och kvalificerat hemlig), utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet.

Läs Säpos nya vägledning från oktober 2023 här