Informationssäkerhet och säkerhetsskydd Bildkälla: Google Bo-Göran Andersson Trygghets- och säkerhetsenheten Malmö stad Konferens för säkerhetschefer, Ängelholm 23 oktober 2017 1/9
Bildkälla: Google Säkerhetsanalysen Antagonistiska hot och angrepp! Grunden för säkerhetsskyddsarbetet. Fokuserar på det mest skyddsvärda (rikets säkerhet) och skydd mot terrorism. Utgår från vår egen verksamhet och det vi själva har att ta ansvar för. Förmodligen, förhållandevis, begränsat till sin omfattning. Förändras inte särskilt mycket över tid undantaget den digitala utvecklingen. Syftar till att identifiera vilka uppgifter som ska hållas hemliga med hänsyn till skydd mot rikets säkerhet samt vilka anläggningar som kräver säkerhetsskydd. Konferens för säkerhetschefer, Ängelholm 23 oktober 2017 2/9
Säkerhetsanalysen Efter Dagens Samhälles avslöjande nyligen om att många kommuner i landet inte gjort säkerhetsanalyser, som de är skyldiga att göra enligt säkerhetsskyddsförordningen, har Sveriges Kommuner och Landsting (SKL), tagit kontakt med tillsynsmyndigheten Säpo. Det är så klart inte bra att de inte gjort sina säkerhetsanalyser. Och det är bra att det uppmärksammas eftersom vi behöver ha koll på det här, säger Åsa Zetterberg, sektionschef inom digitalisering på SKL. Säpo har i dag sammanlagt 650 tillsynsobjekt. Åsa Zetterberg menar att Säpo prioriterat bort utbildningsinsatser till kommunerna. Det finns ingen vägledning som utgår från kommunal verksamhet, och vi kan inte ha 290 olika tolkningar av rikets säkerhet, säger hon. Konferens för säkerhetschefer, Ängelholm 23 oktober 2017 3/9
Regelverk Säkerhetsskyddslagen (SFS 1996:627). Säkerhetsskyddsförordnigen (SFS 1996:633). Skyddslag (SFS 2010:305). Skyddsförordningen (SFS 20110:523). Säkerhetspolisens föreskrifter och allmänna råd om säkerhetsskydd (PMFS 2015:3). Stöd och vägledning på Säkerhetspolisens hemsida. FMs handbok systemsäkerhet del 1 och del 2. FMs handbok säkerhetsskyddstjänst 2007. Stöd och vägledning Konferens för säkerhetschefer, Ängelholm 23 oktober 2017 4/9
Bildkälla: 2Secure Bildkälla: Google PMFS 2015:3 Informationssäkerhet för hemliga handlingar i skrift eller bild. Informationssäkerhet för IT-system. Tillträdesbegränsning. Säkerhetsprövning. Säkerhetsskyddad upphandling och säkerhetsskyddsavtal. Registerkontroll. Utbildning och kontroll. Konferens för säkerhetschefer, Ängelholm 23 oktober 2017 5/9
Säkerhetsanalys så här har vi gjort! Befintligt avtal med säkerhetsleverantör (ingen SUA). Avropsförfrågan/Avropsoffert/Affärsavtal. Säkerhetsskyddsavtal nivå 2. Säkerhetsskyddsinstruktion. Underrättelse till SÄPO via särskild blankett. Säkerhetsprövning, registerkontroll och placering i säkerhetsklass. Sekretessförbindelse. Utbildning/genomgång av underlag samt stadens riktlinjer för informationssäkerhet. Uppstartsmöte. Konferens för säkerhetschefer, Ängelholm 23 oktober 2017 6/9
Säkerhetsanalys så här har vi gjort! Säkerhetskyddsklassad information får bara hanteras i stadens lokaler på av staden tillhandahållen och konfigurerad utrustning. Inlåst i säkerhetsskåp SS3492 när den inte används. Gäller även minnesanteckningar. Kvitteras ut och in dagligen kvittensliggaren sparas i minst 10 år. Säkerhetskonsulten saknar behörighet till säkerhetsskåpet. Vid möten ute i förvaltningarna lämnas dator/tfn utanför rummet. Innan förvaltningsspecifika möten påbörjades genomfördes en samlad informations- och utbildningsinsats för förvaltningarnas infosäksamordnare, säkerhetssamordnare och beredskapssamordnare. Arbetet klart 2017-12-15. Konferens för säkerhetschefer, Ängelholm 23 oktober 2017 7/9
På gång Januari 2018 - Ny Kommallag. Maj - Ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet). Maj Dataskyddsförordningen (GDPR). Slutet av 2018 eller början av 2019 Ny säkerhetsskyddslag Bland annat: - Skydd för säkerhetsklassificerade uppgifter - Skydd för i övrigt säkerhetskänslig verksamhet - Fyra informationssäkerhetsklasser (B/K/H/KVH) - Tre uttalade fokusområde (Infosäk/Fysisksäkerhet/Personalsäkerhet) Konferens för säkerhetschefer, Ängelholm 23 oktober 2017 8/9
Slut! Bildkälla: Google Resterna av en dator som innehållit Top Secret-filer läckta av Edward Snowden till The Guardian och förstörd av Brittiska regeringen. Enligt uppgift användes blåslampa, slipmaskin och vinkelslip. Konferens för säkerhetschefer, Ängelholm 23 oktober 2017 9/9