Fysisk säkerhet Ett exempel på processen för kontroll

Relevanta dokument
Att skydda det mest skyddsvärda

Säkerhetsanalys. Agenda. Säkerhetsanalys maj 2012 Svante Barck-Holst. Säkerhetspolisen Säkerhetsskydd Säkerhetsanalys

Skydd mot stöld av datorutrustning

Vägledning i säkerhetsskydd. Fysisk säkerhet

Säkerhetshöjande åtgärder inom VA Några exempel från Kretslopp och vatten i Göteborg

Säkerhet FÖR FASTIGHETER

Vilken säkerhetsnivå ska man välja?

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS,

Säkerhetsskydd en översikt. Thomas Palfelt

Säkerhet FÖR FASTIGHETER

Vilken säkerhetsnivå skall jag välja?

1 (6) Datum. Rikspolisstyrelsen PVS/SE/Fysisk Säkerhet Christer Rundström Poliskommissarie Diarienr (åberopas)

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

09.05 Säkerhetspolischef Anders Thornberg Samverkansrådet Nationellt centrum för terrorhotbedömning Bensträckare 10.

1 (5) Säkerhetsskyddsplan för Motala kommun Antagen av kommunstyrelsen , 286

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Säkerhetsskyddsplan för Piteå kommun

Policy och riktlinjer för skyddsoch säkerhetsarbete

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

BESLUT. Datum (8) Anvisningar Tillträdesskydd - Region Skåne. Regiondirektören beslutar, enligt bifogat underlag.

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

Riktlinjer för tillträdesskydd Landstinget i Kalmar län

KOMMUNALA STYRDOKUMENT

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Säkerhetspolicy för Kristianstad kommun

Strålsäkerhetsmyndighetens författningssamling

KVALITETSPLAN AUTOMATISKT BRANDLARM

Säkerhet helt anpassad till just era behov DS7220 V2 / DS7240 V2 centralapparater för inbrottslarm

Tekniska åtgärder mot anlagd brand

KVALITETSPLAN AUTOMATISKT BRANDLARM. anslutet till KALMAR BRANDKÅR i samband med Räddningstjänstavtal

Fastställande av Säkerhetsskyddplan Region Östergötland

Hat, hot och våld mot förtroendevalda

Rutiner för fysisk säkerhet

Riktlinjer för Hässleholms kommuns säkerhet och beredskap mandatperiod

Polismyndighetens författningssamling

Hotet mot Sverige

Nationell Säkerhetsstrategi Totalförsvar Säkerhetsskydd

Policy för informationssäkerhet

Remiss av Betänkandet av Några frågor om skyddslagstiftningen

KVALITETSPLAN AUTOMATISKT BRANDLARM

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Nationella dricksvattenkonferensen Sydvattens arbete med säkerhet inte bara skalskydd Stefan Johnsson

Policy för informations- säkerhet och personuppgiftshantering

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Upprättad av Om du planerar en övernattning i en lokal som inte är avsedd för det ska du informera räddningstjänsten.

Särskilda villkor för inbrottsskydd skyddsklass 1

Myndigheten för samhällsskydd och beredskaps författningssamling

KONTROLLPLAN SÄKERHETSANVISNINGAR FÖR KONSULTER M

Revidering av kapitel 2 fysiskt skydd

Checklista för nanoltekniklaboratoriet mc2.doc 24 januari, 06

Svenskt Vatten. Säkerhetshandbok för dricksvattenproducenter Bertil Johansson

Kontinuitetshantering i samhällsviktig verksamhet

HUR GENOMFÖR MAN EN SÄKERHETSANALYS. Thomas Kårgren

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

AIRPORT REGULATION Göteborg City Airport

Bilaga 3 Anvisningar gällande Säkerhetsskydd

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

SÄKERHETSPOLICY. Antaget av kommunfullmäktige

Säkerhetspolicy för Västerviks kommunkoncern

Säkerhetspolicy Bodens Kommun

Informationssäkerhetspolicy för Ystads kommun F 17:01

Tekniska åtgärder mot anlagd brand

Bilaga Från standard till komponent

Riktlinje för informationssäkerhet

Förebyggandekonferensen 2009

Bilaga 3 Säkerhet Dnr: /

Policy för det systematiska brandskyddsarbetet i Strömstads kommun.

SSF Utbildning - säkerhetsutbildningar som gör dig tryggare i arbetet! Utbildningar 2019

Granskning av analyser, utredningar och åtgärdsplaner avseende obehörigt intrång

Säkerhetsskydd. Skydda det mest skyddsvärda. Roger Forsberg, MSB

LARM OCH SÄKERHETSTEKNIK

LARM OCH SÄKERHETSTEKNIK

RIKTLINJER FÖR SYSTEMATISKT BRANDSKYDDSARBETE

KVALITETSPLAN AUTOMATISKT BRANDLARM

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Strålsäkerhetsmyndighetens författningssamling

Vägledning inför tillsyn Mora Orsa Älvdalen

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

Sjunet standardregelverk för informationssäkerhet

IT-säkerhetspolicy för Landstinget Sörmland

Riktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun.

Program för att förebygga, bemöta och följa upp våld och hot i arbetsmiljön

Person- eller organisationsnummer (tio siffror):

Dataskyddspolicy

Informationssäkerhetspolicy

Revisionsrapport. IT-revision Solna Stad ecompanion

Policy för trygghet och säkerhet

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Strukturerat informationssäkerhetsarbete

Säkerhetshandboken. Sydvattens arbete med säkerhet Stefan Johnsson

Energieffektiva lösningar för kulturhistoriska byggnader

UPPSALA BRANDFÖRSVAR. I SAMHÄLLETS TJÄNST SEDAN 1892 INFORMATION OM BRANDFÖRSVARETS INSATSFÖRMÅGA

Fredriksberg. Information till boende. Systematiskt Brandskyddsarbete Bilaga 2

Koncernkontoret Enheten för säkerhet och intern miljöledning

Risk- och sårbarhetsanalys samt elberedskapsåtgärder, SvK. EI Seminarium om risk- och sårbarhetsanalys 26/11

AIRPORT REGULATION INNEHÅLLSFÖRTECKNING

Riskanalys för myndigheterna inom SOES

Transkript:

Fysisk säkerhet Ett exempel på processen för kontroll

Fysisk säkerhet kan beskrivas som ett system av personal, rutiner, byggnadsteknik och säkerhetsteknik som tillsammans förebygger, upptäcker, försvårar och responderar på obehörigt tillträde och fysiska angrepp. Syftet med denna folder är att utgöra ett hjälpmedel för säkerhetsskyddschefer och sakområdesansvariga i samband med kontroll av den egna verksamhetens fysiska säkerhet. För att till fullo kunna tillgodogöra sig innehållet i denna folder är tidigare kunskap inom sakområdet nödvändig. Figur 1 innehåller fyra huvudsteg (mörkblått) och tio delsteg (ljusblått) som utgör exempel på hur systematisk kontroll av den egna fysiska säkerheten kan genomföras. I texten för respektive delsteg finns ett antal kontrollpunkter ( ). I de fall en kontrollpunkt inte stämmer in på den egna verksamheten kan detta utgöra en sårbarhet, och bör således åtgärdas för att reducera den identifierade sårbarheten. Kontrollpunkterna som presenteras utgör dock endast exempel och stegen som redovisas ses som dynamiska.

I denna folder presenteras även ett antal exempel på stöddokument, bland annat olika industristandarder för fysisk säkerhet. I de fall sådana standarder används är det viktigt att vara medveten om vilka begränsningar som finns gällande till exempel metoder för test vid certifiering. Identifierade sårbarheter 1. VERKSAMHETS- BESKRIVNING 2. SKYDDSÅTGÄRDER 3. RUTINER 4. UPPFÖLJNING 1.1 Identifiera skyddsvärden 1.2 Dimensionerande hotbeskrivning 2.1 Förebyggande skyddsåtgärder 2.2 Upptäckande förmåga 2.3 Försvårande förmåga 2.4 Responderande förmåga 3.1 Larm- och bevakningsrutiner 3.2 Övriga rutiner 4.1 Kontroll 4.2 Test och övning Utan anmärkning Kontroll mot DHB Figur 1: exempel på processen för kontroll

1. Verksamhetsbeskrivning Att beskriva verksamheten innebär bland annat att definiera de externa och interna parametrar som verksamheten måste ta höjd för. Exempel på externa parametrar är påverkan av relevanta lagrum, externa beroenden (till exempel polis och räddningstjänst) samt geologiska och geografiska förutsättningar. Exempel på interna parametrar kan vara verksamhetens typ samt riktlinjer och policys. Utöver att definiera de externa och interna parametrar som verksamheten måste ta höjd för bör även verksamhetens skyddsvärden identifieras och en dimensionerande hotbeskrivning upprättas. Exempel på kontrollpunkter för dessa områden finns i avsnitt 1.1 och 1.2.

1.1 Identifiera skyddsvärden Kontrollpunkter: Det finns en säkerhetsanalys som beskriver vad som ska skyddas samt konsekvenserna av påverkan på dessa skyddsvärden. Information om dessa identifierade skyddsvärden används som grund för att besluta om och prioritera olika fysiska skyddsåtgärder. Exempel på stöddokument: Säkerhetsskydd, en vägledning (Säkerhetspolisen)

1.2 Dimensionerande hotbeskrivning Kontrollpunkter: Det finns en dimensionerande hotbeskrivning (DHB) som har anpassats utifrån verksamheten som ska skyddas. Skyddet baserat på en DHB ska kunna ta höjd för förändringar i den reella hotbilden utan att behöva byggas om regelbundet, då den reella hotbilden är föränderlig och har en kort tidshorisont. Den dimensionerande hotbeskrivningen beskriver en eller flera antagna angreppsförmågor som skyddet ska klara av att skydda mot. Till exempel: - X kg TNT ekvivalent sprängladdning - Beskjutning med kaliber Y mot fönster - Mekanisk inbrytning med verktyg Z - Akustisk avlyssning på distans - Anlagd brand - Forcering av entré med fordon - Logisk manipulation av säkerhetssystem - Insiders med full behörighet - Kartläggning av verksamheten genom öppna källor - Sabotage av säkerhetslösningar - Utplacering av kemikalier i ventilationssystem

Den dimensionerande hotbeskrivningen används som grund för att besluta om och prioritera olika fysiska skyddsåtgärder.

2. Skyddsåtgärder Med sin grund i säkerhetsanalysen och den dimensionerande hotbeskrivningen bör skyddsåtgärder implementeras. Skyddsåtgärder inom ramen för fysisk säkerhet kan delas in i fyra kategorier: förebyggande skyddsåtgärder, upptäckande förmåga, försvårande förmåga (inklusive fördröjande och effektreducerande skyddsåtgärder) samt responderande förmåga. Förhållandet mellan dessa förmågor är dynamiskt och ska ses ur ett systemperspektiv. Till exempel avgör den upptäckande förmågan behovet av försvårande förmåga. Även förhållandet mellan responderande och försvårande förmåga påverkas i hög grad av varandra. Till exempel avgör responstiden behovet av hur länge ett angrepp behöver fördröjas för att det ska hinna avbrytas. Figur 2 illustrerar den så kallade lökprincipen, det vill säga ett utifrån och in perspektiv mot ett skyddsvärde där en angripare måste komma förbi ett lager innan nästa kan angripas. Lökprincipen inkluderar flera lager av olika typer av skyddsåtgärder, allt från förebyggande skyddsåtgärder till responderande förmåga. Eventuell avskräckande effekt som uppstår till följd av den fysiska säkerheten ska dock ses som en sidoeffekt, och bör inte

utgöra ett uttalat mål eftersom att den avskräckande effekten är svår att bedöma. 1. Förebygga: reducera sårbarhetsexponering 2. Förebygga: asymmetriska säkerhetslösningar 3. Upptäcka: bevakning och säkerhetsteknik 4. Försvåra: försvåra påbörjandet och genomförandet av angrepp 5. Försvåra: reducera effekten av angrepp 6. Respondera: avbryt eller reducera konsekvenserna av angrepp Avskräcka 1 2 3 4 5 6 Skydds-värde Figur 2: lökprincipen består av flera lager av skydd på djupet Respektive skyddsförmåga kan kontrolleras baserat på kontrollpunkterna som presenteras i avsnitt 2.1 till 2.4

2.1 Förebyggande skyddsåtgärder Kontrollpunkter: Det finns tillfredställande förebyggande skyddsåtgärder såsom till exempel asymmetriskt skydd och skydd mot sårbarhetsexponering. Asymmetri i skyddet handlar om att identifiera den grad av variation som finns i säkerhetslösningar och rutiner utifrån förutsägbara eller standardiserade lösningar. Exempel på asymmetriska skyddsåtgärder är att nyttja oregelbundna tider för vaktrondering av byggnader. Det finns även tillfredställande skydd mot sårbarhetsexponering, vilket innebär att identifiera och åtgärda en angripares möjlighet att inhämta information via öppna källor eller visuellt om till exempel säkerhetssystem, rutiner eller annan skyddsvärd information som kan påverka den fysiska säkerheten.

2.2 Upptäckande förmåga Kontrollpunkter: Det finns förutsättningar för att upptäcka olika typer av angrepp eller obehörigt tillträde, till exempel genom bevakning, säkerhetsteknik, eller båda i kombination. Ett fysiskt angrepp eller obehörigt tillträde kan upptäckas tillräckligt tidigt så att en relevant respons hinner avbryta eller reducera konsekvenserna av angreppet innan skyddsvärdena påverkas allvarligt. Konsekvenserna av att enskild säkerhetsteknisk utrustning inte fungerar minimeras genom utnyttjandet av olika typer av säkerhetsteknik i flera lager. Exempel på stöddokument: SSF 130, SS EN 50132, SS EN 50136

2.3 Försvårande förmåga Kontrollpunkter: Det finns tillfredställande försvårande förmåga i form av fördröjande skyddsåtgärder som fördröjer ett angrepp i tillräckligt lång tid så att en respons hinner avbryta eller reducera konsekvenserna av angreppet innan skyddsvärdena påverkas allvarligt. Exempel på fördröjande åtgärder är naturlig fördröjning, såsom avstånd och hinder, eller byggnadsteknisk fördröjning såsom staket, dörrar, väggar, golv och fönster. I de fall fördröjande skyddsåtgärder inte är tillfredställande för att skydda mot den valda dimensionerande hotbeskrivningen kompletteras dessa med effektreducerande åtgärder. Effektreducerande skyddsåtgärder har i uppgift att reducera effekten av olika typer av angrepp. Detta kan till exempel vara att försvåra utplacerandet av farliga föremål, begränsa spridningen av brand, styra fordons rörelser och hindra forcering, skapa

skyddsavstånd samt använda byggnadstekniska förstärkningar för att minimera verkan av splitter, stötvågseffekter och förhindra fortskridande ras. Exempel på stöddokument: SSF 200, SS EN 1627, IWA-14, SS EN 1063, BSI PAS-68 2.4 Responderande förmåga Kontrollpunkter: Den responderande förmågan klarar av att möta ett angrepp såsom definierat i den dimensionerande hotbeskrivningen. Detta ställer krav på den responderande förmågans utbildning, utrustning och färdigheter att kunna hantera till exempel ett väpnat angrepp. Den responderande förmågan hinner avbryta eller reducera konsekvenserna av angreppet innan skyddsvärdena påverkas allvarligt. Detta sker genom till exempel att neutralisera en angripare eller utrymma en byggnad. Responstid och insatsförmåga har bedömts och ligger till grund för beslut om övriga skyddsåtgärder.

3. Rutiner Rutiner för säkerhetsarbetet är en viktig komponent i att upprätthålla tillfredställande fysisk säkerhet. Såväl larm- och bevakningsrutiner som övriga rutiner är avgörande för att den fysiska säkerheten ska fungera på ett tillfredställande sätt. Avsnitt 3.1 och 3.2 anger ett antal exempel på kontrollpunkter för dessa rutiner.

3.1 Larm- och bevakningsrutiner Kontrollpunkter: Larmöverföring och verifiering sker enligt särskilda rutiner. Utan överföring av ett larm når aldrig larmet en bevakningscentral eller motsvarande som i sin tur kan verifiera om larmet bör ageras på eller om det bedöms vara ett falsklarm. Det finns redundans i systemen som innebär att överföring av larm kan ske även om en ordinarie metod för överföring inte fungerar. Det finns även särskilda rutiner för aktivering och inaktivering av larm samt åtgärder för bevakning som efterföljs.

3.2 Övriga rutiner Kontrollpunkter: Det finns särskilda föreskrifter som anger hur den fysiska säkerheten regleras. Detta kan till exempel omfatta fördelning av behörigheter, säkerhetskontroll av personal, inventering av nycklar, kort- och koder, samt rutiner för underhåll av säkerhetsteknik och låsning av dörrar och portar.

4. Uppföljning Arbetet med fysisk säkerhet sker över tid och bör följas upp regelbundet. Detta omfattar till exempel egenkontroll samt regelbundna tester och övningar. Avsnitt 4.1 och 4.2 innehåller ett antal exempel på kontrollpunkter som kan vara en utgångspunkt vid egen kontroll av den fysiska säkerheten.

4.1 Kontroll Kontrollpunkter: Kontroll sker regelbundet för att säkerställa att den fysiska säkerheten uppfyller kraven enligt den skyddsdimensionering som verksamheten valt. Kontroll av den fysiska säkerheten kan genomföras som till exempel kvalitativa kontroller (med stöd av denna folder), säkerhetstekniska granskningar, skrivbordsövningar, kvantitativa analysverktyg eller fysiska penetrationstest. Det finns även en tydlig process som efterföljs för att skyndsamt åtgärda och följa upp eventuella identifierade sårbarheter genom implementering av ytterligare skyddsåtgärder. Det sker bedömningar av hur den fysiska säkerheten interagerar med personal-, IT- och informationssäkerhetsarbetet.

4.2 Test och övning Kontrollpunkter: Test av den fysiska säkerheten sker regelbundet i syfte att säkerställa att de fysiska skyddsåtgärderna fungerar enligt förväntan. Övningar som integrerar den fysiska säkerheten genomförs och utvärderas regelbundet. Resultatet av dessa övningar dokumenteras och används som underlag för förbättringar av den fysiska säkerheten. Övning av den fysiska säkerheten innebär att exempelvis öva åtgärderna mot pågående dödligt våld (PDV) eller underrättelseinhämtning.

För mer information om hur du kan tänka kring fysisk säkerhet läs mer på www.sakerhetspolisen.se

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss