Vad är en säkerhetsanalys?

VAD ÄR EN SÄKERHETSANALYS
Thomas Kårgren
2
Rättslig reglering
> SVKFS 2013:1
1 § Den säkerhetsanalys som ska genomföras enligt 5 §
säkerhetsskyddsförordningen ska göras minst en gång vartannat år.
Resultatet av analysen ska dokumenteras. Svenska Kraftnät ska på
anmodan delges resultat av sådan analys.
> Säkerhetsskyddsförordningen 1996:633
5 § Myndigheter och andra som förordningen gäller för skall undersöka
vilka uppgifter i deras verksamhet som skall hållas hemliga med
hänsyn till rikets säkerhet och vilka anläggningar som kräver ett
säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot
terrorism. Resultatet av denna undersökning (säkerhetsanalys) skall
dokumenteras.”
SÄPO:s riktlinjer/exempel för/på vad som
är skyddsvärt i sammanhanget
> Dokumentation
> IT-miljön
> Verksamhet
> Anläggningar
> Telekommunikation
> Elförsörjning
> Vattenförsörjning
Identifiering – skyddsvärda resurser
> Hur identifiera vad som är skyddsvärt
Uppgifter
Verksamhet
Anläggning
System
Beroenden ger upphov till skyddsvärde
ett exempel
> En anläggning bedöms omfattas av säkerhetsskyddsbehov
inom ramen för skydd mot terrorism – vad innebär det i övrigt
som följd av direkta och implicita beroenden?
 Uppgifter om anläggningens fysiska utförande och skyddsnivå
 Uppgifter om anläggningens tekniska system
 Vilka arbetar där och vilka uppgifter har de
 Vad finns det för skyddsvärda resurser i anläggningen
 Hur ser anläggningens detaljerade funktion ut
 Sårbarheter som är potentiella eller befintliga hos anläggningen
Åter till frågan VAD är en säkerhetsanalys?
”… Resultatet av analysen ska dokumenteras…”
 Uppgifter, anläggningar, verksamhet och system!
Tautologi då det i slutändan alltid rör sig om en uppgift om något!
 En förteckning – tabell – som innehåller uppgifter om anläggning,
verksamhet eller system. Bättre uttryckt objekt eller resurser!
Observera de lösa och vida definitionsbegreppen av uttrycken. Det är viktigt att inse
att ett system kan utgöras t.ex. av en kombination av anläggning/ar, verksamhet,
personal och IT-system som tillsammans utgör eller utför en funktion.
VAD? Kärnan i en säkerhetsanalys!
Två viktiga saker att tänka på:
1. Bedömningarna om vad som är skyddsvärt ska göras
gentemot antagonistiska hot, företrädesvis utan att ta hänsyn
till sannolikhet utan endast med fokus på konsekvenser.
Observera att det kan finnas implicita beroenden även till
andra typer av hot som kan möjliggöra antagonistiska hot
2. Enkel och lättläst uppräkning av de identifierade resurserna
och objekten – Tabell med tillämpliga kolumner!
VAD? Kärnan i en säkerhetsanalys!
Tabell
Skyddsvärd uppgift eller
anläggningsresurs
Beskrivning och motivering
Företagets
informationsklass
GIS-information med
attributdata i företagets
förvaltningssystem för
anläggningar. Benämns
kvalificerad GIS-information
GIS-information med attribut kan ge uppgift till aktör om
hur denna kan utnyttjas för att, i värsta fall orsaka avbrott i
företagets hela elförsörjningsverksamhet. Sådan
påverkan kan ske med såväl IT-baserade angrepp som
med fysisk/mekanisk påverkan eller kombinationer därav.
Det går inte att utesluta att ett sådant avbrott blir svårt att
avhjälpa (mer än 7 dygn till 75% kapacitet återställning).
Ett sådant avbrott kan i värsta fall påverka 110 000
abonnenter vars liv kan vara i fara, inte minst om detta
sker vintertid.
Informationen bedöms mot ovanstående vara av vikt att
skydda med avseende på terrorism.
Företaget ansätter
informationsklass K1
Att disponera innehållet i
säkerhetsanalysen – röda tråden
> Inledning, bakgrund och identifiering av objektet
> Formalia (bemanning, hålltider, avgränsningar etc.)
> Beskrivning av delobjekt (littererade) som identifierats och vilka
hot de utsätts eller kan utsättas för samt vilka konsekvenser
detta ytterst kan medföra
> Tabell med bedömningar kopplade till respektive littera
> Avsnitt om åtgärder, uppföljning och kontroll [OBS!!!]
Säkerhetsanalysen som dokument ! ?
Skyddsvärde för analysen –
konfidentialitet och klassiska fällor!
> Innehållet i analysen ÄR skyddsvärt!
> För att verka med innehållet – utfallet –
krävs en delgivning till parter som
behöver informationen för att utföra sitt
värv på ett korrekt sätt.
> Klassificering och kontrollerad
delgivning med sunda rutiner.
Utkomst av en säkerhetsanalys…
Det viktigaste med analysen
Säkerhetsskyddsåtgärder och andra säkerhetshöjande åtgärder
Vad är skillnaden?
Säkerhetsskyddsåtgärder
Åtgärdsplaner, uppföljning, kontroll och revision
Åtgärdsplanering är ofta i sig lika, eller mer omfattande, än
säkerhetsanalysen vad avser dokumentvolym. Således är det
rimligt att åtgärdsplaneringen hanteras separat men att det finns
tydliga kopplingar med spårbarhet.
Åtgärdsplan exempel på energisäkerhetsportalen