/ Tillbaka till Nyheter

Krav på säkerhetsskyddsåtgärder gäller som bekant alla aktörer som bedriver säkerhetskänslig verksamhet oavsett om de verkar i offentlig eller privat sektor.

För att möta de nya föreskrifterna bör verksamhetsutövare i den ”civila sektorn” se över sitt säkerhetsskydd. Rutiner kring hantering av säkerhetsskydds-klassificerade fysiska handlingar bör ses över, även rutiner för behörighetsstyrning i skyddsvärda informationssystem. Verksamhetsutövare kan behöva investera i skydd mot röjande signaler (RÖS) och mer utökat fysiskt skydd i sina lokaler.

Högre informationssäkerhetskrav för lägre säkerhetsskyddsklass

Flera informationssäkerhetskrav som tidigare endast gällde säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklass Hemlig och Kvalificerat hemlig gäller nu även för uppgifter i säkerhetsskyddsklassen Konfidentiell.

Kraven för hantering av säkerhetsskyddsklassificerade fysiska handlingar har därmed blivit mer omfattande då handlingar placerade i säkerhetsskyddsklass Konfidentiell nu också omfattas av följande krav:

• De ska antecknas med exemplarnummer.
• De ska registerföras med antal exemplar och mottagare.
• Om en individ kvitterar ut eller lämnar tillbaka ett dokument ska detta kvitteras.
• Handlingar i säkerhetsskyddsklass konfidentiell ska inventeras årligen.
• Destruktion ska dokumenteras.

Verksamhetsutövare har dock fram till 1 januari 2023 på sig att implementera dessa förändringar.

Ett tydligare krav på skydd mot röjande signaler (RÖS)

Tidigare föreskrift (PMFS 2019:2) har varit något otydlig i frågan huruvida verksamhetsutövare ska skydda sina informationssystem mot röjande signaler (RÖS) eller inte.

Nu ställs ett tydligt krav att informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre ska vidta åtgärder för att försvåra obehörig inhämtning av röjande signaler.

Åtgärderna ska grundas på identifierade säkerhetshot och en beskrivning av dimensionerande antagonistiska förmågor, om en sådan har tillhandahållits av Säkerhetspolisen.

Behörighetsstyrning ska följas upp löpande

I PMFS 2019:2 föreskrevs att privilegierade behörigheter i informationssystem som har betydelse för säkerhetskänslig verksamhet ska tilldelas restriktiv. Behörigheterna ska även vara tidsbegränsade. Det har även tidigare varit krav på att detta ska ”följas upp särskilt”.

Nu har Säkerhetspolisen bestämt att detta ska följas upp och omprövas löpande, minst årligen. Beslut om tilldelande av sådana rättigheter, oavsett om det gäller är en fysisk individ eller inte, ska tas av säkerhetsskyddschefen.

Intrångsdetektering för alla informationssystem

Från och med nu ska alla informationssystem som har betydelse för säkerhetskänslig verksamhet och som kommunicerar med andra informationssystem förses med funktioner för intrångsdetektering och intrångsskydd.

Förr gällde detta enbart för system som hanterade säkerhetsskyddsklassificerad information i säkerhetsskyddsklass Konfidentiell eller högre. Nu hänger det istället på om informationssystemet har betydelse för den säkerhetskänsliga verksamheten eller inte.

Mer krav på fysiskt säkerhetsskydd

Verksamhetsutövare måste numera överväga och besluta om rutiner för att skydda mot att olämpliga föremål förs in i sina lokaler, till exempel avlyssningsutrustning.

Verksamhetsutövarna ska besluta om vilka utrymmen som är godkända för regelbundna samtal som behandlar säkerhetsskyddsklassificerade uppgif­ter i säkerhetsskyddsklass Konfidentiell eller högre. Dessa ska skyddas mot obehörig avlyssning och insyn, om hotbilden kräver det. Förvaringsutrymmen för säkerhetsskyddsklassificerade handlingar ska även ses över och godkännas av verksamhetsutövaren.