Informationssäkerhet
Informationssäkerhet ska förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
Informationssäkerhet skapas genom en kombination av tekniska, fysiska, organisatoriska och administrativa åtgärder utifrån följande perspektiv:
Konfidentialitet: att endast behöriga personer får ta del av informationen.
Riktighet: att innehållet i informationen är korrekt och inte kan förändras av obehöriga.
Tillgänglighet: att informationen ska vara nåbar när den behövs.
I säkerhetsskyddsförordningen och Säkerhetspolisens föreskrifter om säkerhetsskydd finns detaljerade krav på säkerhetsskyddsåtgärder för behandling av säkerhetsskyddsklassificerade uppgifter och handlingar samt för informationssäkerhet i informationssystem.
När informationssystem som har betydelse för säkerhetskänslig verksamhet utvecklas, är verksamhetsutövaren ansvarig för att säkerhetsskyddet kring ett sådant informationssystem utformas så att kraven avseende säkerhetsskydd efterlevs. Ett informationssystem som ska användas i säkerhetskänslig verksamhet får inte tas i drift förrän det har godkänts från säkerhetsskyddssynpunkt av er som verksamhetsutövare. Godkännandet ska dokumenteras.
Har Säkerhetspolisen tillhandahållit en DAF (en beskrivning av dimensionerande antagonistiska förmågor) ska ni dimensionera vissa specifika säkerhetsskyddsåtgärder utifrån den. Transportstyrelsen uppmärksammar Säkerhetspolisen på vilka verksamhetsutövare inom vårt tillsynsområde som är i behov av en DAF.
Särskild säkerhetsskyddsbedömning inför driftsättning av informationssystem
Innan ett informationssystem som har betydelse för säkerhetskänslig verksamhet tas i drift ska ni som verksamhetsutövare, genom en särskild säkerhetsskyddsbedömning, ta ställning till vilka säkerhetskrav i systemet som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses.
Ni ska i den särskilda säkerhetsskyddsbedömningen beskriva:
- vilka skyddsvärden som kan komma att påverkas och på vilket sätt,
- vilka säkerhetshot som föreligger mot de påverkade skyddsvärdena och den säkerhetskänsliga verksamheten i stort,
- vilka sårbarheter som föreligger för de påverkade skyddsvärdena och den säkerhetskänsliga verksamheten i stort samt hur sårbarheterna påverkas av driftsättningen av informationssystemet, och
- vilka säkerhetsskyddsåtgärder som är nödvändiga som en följd av driftsättningen av informationssystemet.
Ni ska dokumentera den särskilda säkerhetsskyddsbedömningen.
Ni ska vidare genomföra tester av skyddsåtgärderna. Resultatet ska jämföras med de säkerhetskrav som gäller för informationssystemet. Den särskilda säkerhetsskyddsbedömningen ska därefter uppdateras med eventuella avvikelser och de kompensatoriska åtgärder som måste vidtas.
Samråd med Säkerhetspolisen inför driftsättning
Innan ett informationssystem som kan förutses komma att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre tas i drift, eller i väsentliga avseenden förändras, ska ni som verksamhetsutövare skriftligen samråda med Säkerhetspolisen.
Samrådsskyldigheten gäller även i fråga om andra informationssystem, om obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig.
Säkerhetspolisen underrättar Transportstyrelsen om samråd som skett inför driftsättning av informationssystem.
Särskild säkerhetsskyddsbedömning och samråd i andra fall
Observera att det även finns krav på att utföra en särskild säkerhetsskyddsbedömning och samråda i andra fall. Det gäller i samband med upphandling, ingående av avtal, samarbeten eller samverkan. Eventuellt samråd sker då med Transportstyrelsen. Du kan läsa mer om detta på sidan Säkerhetsskyddsavtal och samråd.
Mer information
Som stöd i arbetet med informationssäkerhet har Säkerhetspolisen tagit fram en vägledning.
Anvisningar vid insändande av blanketter och underlag
Observera att om underlaget innehåller säkerhetsskyddsklassificerade uppgifter ansvarar ni för att underlaget skickas till Säkerhetspolisens med lämpligt säkerhetsskydd.