H Sak Grunder

Handbok Skerhetstjnst Grunder
Handbok Skerhetstjnst
Grunder
107 85 STOCKHOLM. Tel 08-788 75 00, Fax 08-788 77 78.

www.forsvarsmakten.se
Handbok Skerhetstjnst Grunder M7739-352046
2013
Handbok fr Frsvarsmaktens skerhetstjnst,
Grunder
H Sk Grunder
3
Datum HKV beteckning
2013-04-29 10440:55631
Handbok fr Frsvarsmaktens skerhetstjnst Grunder (H SK Grunder), 2013 rs

utgva (M7739-352046) faststlls fr tillmpning fr.o.m. 2013-06-30.
Mlgruppen r frmst Frsvarsmaktens ledning, chefer fr organisationsenheter,

skerhets-, IT-skerhets- och signalskyddschefer samt personal med ansvar fr sker-
hetstjnst.
Drmed upphvs Handbok fr Frsvarsmaktens skerhetstjnst Grunder

(H SK Grunder), 2000 rs utgva (M7745-734011) samt Handbok fr Frsvarsmak-
tens skerhetstjnst Internationell verksamhet (H SK Int), 2000 rs utgva (M7745-
734091).
Denna utgva av H SK Grunder erstter kapitel 2, 8, 9 och 10 i H SK Skydd, 2007

rs utgva.
Chefen fr Skerhetskontoret vid den militra underrttelse- och skerhetstjnsten fr

fatta beslut om ndringar i handboken inom ramen fr 2013 rs utgva.
Beslut i detta rende har fattats av generalmajor Gunnar Karlson. I den slutliga hand-
lggningen har verste Mattias Hanson och versteljtnant Patrik Lind deltagit med
versteljtnant Mrten Walln som fredragande.
Gunnar Karlson
Chef fr militra underrttelse- och Mrten Walln
skerhetstjnsten
2013 Frsvarsmakten, Stockholm
Att mngfaldiga innehllet i denna publikation, helt eller delvis, utan medgivande av Frsvarsmak-
ten, r frbjudet enligt upphovsrttslagen.
Omslagsbild: Combat camera, Frsvarsmakten

Layout och tryck: FMV/FSV Grafisk produktion
Central lagerhllning: Frsvarets bok- och blankettfrrd
4
Frord
Den militra skerhetstjnstens uppgift r att upptcka, identifiera och mta sker-
hetshot som riktas mot Frsvarsmakten och dess skerhetsintressen svl inom som
utom landet. Skerhetsintressen omfattar eller kan hnfras till personal, materiel,
information, anlggningar och verksamhet i vid bemrkelse inklusive den internatio-
nella verksamhet Frsvarsmakten deltar i.
Den militra skerhetstjnsten omfattar skerhetsunderrttelsetjnst, skerhetsskydds-

tjnst och signalskyddstjnst. Skerhetsunderrttelsetjnsten ska klarlgga den sker-
hetshotande verksamheten. Skerhetsskydds- och signalskyddstjnsten ska skydda
vra skyddsvrda tillgngar frn skerhetshoten. Genomfrandet av militr skerhets-
tjnst resulterar i skerhetsskydds- och signalskyddstgrder vilka frmst syftar till att
skerstlla ndvndig niv av skerhetsskydd. Uppgiften lses genom att identifiera
och prioritera skyddsvrda tillgngar, bedma skerhetshot, srbarhet och risker samt
prioritera risker och fatta beslut om skerhetsskydds- och signalskyddstgrder.
Denna handbok beskriver grunderna fr genomfrande av militr skerhetstjnst.

Handboken bygger p skerhetsskyddslagstiftningen och p Frsvarsmaktens fre-
skrifter om skerhetsskydd. Handbokens syfte r att utgra ett std fr det praktiska
arbetet vid genomfrande av och vid utbildning i skerhetstjnst.
Frsvarsmaktens verksamhet innebr att vra skerhetsintressen frndras ver tiden.

Den skerhetshotande verksamheten som riktas mot Frsvarsmakten varierar ocks
ver tiden, varfr den strsta utmaningen fr skerhetstjnsten r att hitta en balans
mellan skerhetsskydds- respektive signalskyddstgrder och risktagande med hnsyn
till svl vra skerhetsintressen som aktuella skerhetshot. En effektiv skerhetstjnst
grundar sig bland annat p en vl genomfrd skerhetsplanering, kontinuerlig intern-
kontrollverksamhet och ett hgt skerhetsmedvetande hos Frsvarsmaktens personal.
Grunden fr ett hgt skerhetsmedvetande stadkommes genom att personalen r vl
utbildad och fortlpande orienteras om skerhetsrelaterade hndelser.
Det frsta kapitlet i handboken behandlar rttsliga, organisatoriska och metodmssiga

grunder. Nsta kapitel beskriver hur genomfrandet av skerhetsplanering omfattande
skerhetsanalys, skerhetsplan och skerhetsbestmmelser gr till. Det tredje kapit-
let omfattar genomfrande och uppfljning av utbildning i skerhetstjnst. Det fjrde
kapitlet behandlar grunderna fr planering, genomfrande och uppfljning av sker-
hetsskyddskontroller. Det sista kapitlet omfattar grunderna vad avser skerhetstjnst i
samband med internationell verksamhet.
Gunnar Karlson
Chef fr militra underrttelse- och skerhetstjnsten
5
Lsanvisning
Handboken innehller frklarande text till de frfattningar som reglerar grunderna
fr den militra skerhetstjnsten inklusive skerhetsplanering, utbildning, kontroll-
verksamhet och internationell verksamhet.
H SK
Grunder
H SK H SK H SK H SK Vap H SK H SK H TST
Infosk Skprvn Tilltrde Am SUA Hot Grunder
H SK H SK
Sekrbed A Skund (H)
H SK
Sekrbed B
Utver H SK Grunder omfattar den militra skerhetstjnstens handbcker:
H SK Infosk grunderna vad avser informations- och IT-skerhet

H SK Sekrbed A grunderna vad avser klassificering av information inklusive
sekretessbedmning och inplacering av uppgifter i informationsskerhetsklass
H SK Sekrbed B rd och riktlinjer fr mnesvis klassificering av information
H SK Skprvning grunderna vad avser skerhetsprvning
H SK Tilltrde grunderna vad avser tilltrdesbegrnsning
H SK Vap Am grunderna vad avser hantering av vapen och ammunition
H SK SUA grunderna vad avser skerhetsskyddad upphandling med skerhets-
skyddsavtal
H SK Hot grunderna vad avser skerhetshotande verksamhet
H SK Skund (H) grunderna vad avser skerhetsunderrttelsetjnst
H TST Grunder grunderna vad avser signalskyddstjnst
Om inte annat anges avser myndighet en svensk myndighet. Om myndighet anges i text
under en freskrift ur skerhetsskyddslagen (1996:627), skerhetsskyddsfrordningen
(1996:633) och Frsvarsmaktens freskrifter (FFS 2003:7) om skerhetsskydd avses
en myndighet som trffas av freskrifterna. Sdan text utgr Frsvarsmaktens upp-
7
fattning om hur freskriften ska tillmpas vid en myndighet som Frsvarsmakten har
freskriftsrtt ver vad gller skerhetsskydd.1
Text ur Frsvarsmaktens freskrifter och interna bestmmelser terges i beige rutor

med kursiv stil. vrig frfattningstext, lagar och frordningar terges i beige rutor med
fet kursiv stil.
Nr ska anvnds i lpande text i frga om ett krav r det med std av en freskrift
till vilken hnvisning sker med fotnot. De rd, riktlinjer och rekommendationer som
anges i denna handbok br i Frsvarsmakten alltid fljas om inte srskilda skl frelig-
ger att genomfra verksamheten p annat stt.2 Nr br anvnds i lpande text r det
sledes Frsvarsmaktens uppfattning i frgan.
Med OSL avses offentlighets- och sekretesslagen (2009:400). Med OSF avses offentlig-
hets- och sekretessfrordningen (2009:641). Med TF avses tryckfrihetsfrordningen.
Med YGL avses yttrandefrihetsgrundlagen.
I handboken grs hnvisningar till bl.a. Frsvarsmaktens interna bestmmelser (FIB

2007:2) om skerhetsskydd och skydd av viss materiel samt Frsvarsmaktens interna
bestmmelser (FIB 2006:2) om IT-skerhet. Frsvarsmaktens interna bestmmelser
om skerhet och skydd av viss materiel har ndrats genom FIB 2010:1 och FIB 2010:5.
Frsvarsmaktens interna bestmmelser om IT-skerhet har ndrats genom FIB 2010:2,
FIB 2010:6 och FIB 2011:1. FIB 2010:1 och FIB 2010:2 utgr ven omtryck av frfatt-
ningarna. Vid hnvisning till ngon av dessa ndrade frfattningar anvnds dock den
ursprungliga frfattningsbeteckningen; nmligen FIB 2007:2 respektive FIB 2006:2.
Freskrifter som rr skydd fr utrikes- och sekretessklassificerade uppgifter och hand-

lingar gller endast i Frsvarsmakten.
Med hemlig uppgift avses i denna handbok en uppgift som omfattas av sekretess enligt
offentlighets- och sekretesslagen och som rr rikets skerhet. Med hemlig handling
avses i denna handbok en handling som innehller hemlig uppgift.3 Med hemlig hand-
ling frsts allts en handling, vare sig den r allmn eller inte.
Med utrikesklassificerad uppgift avses i denna handbok en uppgift som av en utlndsk

myndighet eller mellanfolklig organisation eller av en svensk myndighet har klassifi-
cerats i ngon av niverna TOP SECRET, SECRET, CONFIDENTIAL eller RESTRIC-
TED eller motsvarande och som r sekretessbelagd enligt 15 kap. 1 offentlighets-
1 11 andra stycket och 44 skerhetsskyddsfrordningen.

2 7 kap. 20 Frsvarsmaktens freskrifter med arbetsordning fr Frsvarsmakten (FM ArbO).
3 4 1 och 2 skerhetsskyddsfrordningen (1996:633).
8
och sekretesslagen men som inte rr rikets skerhet. Med utrikesklassificerad handling
avses en handling som innehller utrikesklassificerad uppgift.
Med sekretessklassificerad uppgift avses i denna handbok en uppgift som r sekretess-

belagd enligt offentlighets- och sekretesslagen men som inte rr rikets skerhet och
som inte r en utrikesklassificerad uppgift. Med sekretessklassificerad handling avses
en handling som innehller sekretessklassificerad uppgift.
Utfrligare beskrivning av begrepp som allmnna och inte allmnna handlingar, hem-
lig uppgift, utrikesklassificerad uppgift, sekretessklassificerad uppgift, sekretesskatego-
rier och informationsskerhetsklasser terfinns i Handbok Skerhetstjnst Sekretess-
bedmning Del A (H SK Sekrbed A), 2011.
I handboken terfinns exemplen i gula rutor samt i lptext.
Med organisationsenhet avses Hgkvarteret samt frband, skolor och centrum, vilka
r angivna som organisationsenheter i frordningen med instruktion fr Frsvars-
makten. Med Must avses militra underrttelse- och skerhetstjnsten i Hgkvarte-
ret. Med expedition avses ven registratur eller motsvarande funktion som svarar fr
registrering av allmnna handlingar vid en myndighet.
Med regional skerhetsorganisation eller skerhetsorganisation p regional niv avses

vid tidpunkten fr denna handboks faststllande, underrttelse- och skerhetsavdel-
ning vid militrregionstab.
9
Innehll
1 Grunder................................................................................................... 13
1.1 Inledning......................................................................................................13
1.2 Militr skerhetstjnst Grunder.............................................................13
1.2.1 Uppgifter, syfte och omfattning......................................................13
1.2.2 Indelning av skerhetsskyddstjnst...............................................16
1.2.3 Lednings-, lydnads- och ansvarsfrhllanden.............................17
1.2.4 Den militra skerhetstjnstens tillsynsomrde..........................18
1.3 Skerhetsrapportering................................................................................19
1.4 Rttsliga grunder.........................................................................................21
1.4.1 Skerhetsskydd.................................................................................21
1.4.2 Skyddsobjekt.....................................................................................23
1.4.3 Skydd fr landskapsinformation....................................................24
1.4.4 Personuppgifter................................................................................27
1.5 Beslut om avvikelse eller undantag...........................................................28
1.5.1 Beslut om avvikelse..........................................................................29
1.5.2 Beslut om undantag.........................................................................31
2 Skerhetsplanering.................................................................................. 33
2.1 Allmnt.........................................................................................................33
2.2 Skerhetsanalys............................................................................................35
2.2.1 Genomfrande av skerhetsanalys................................................38
2.2.2 Steg 1 - Identifiera och prioritera skyddsvrda tillgngar..........40
2.2.3 Steg 2 - Bedmning av skerhetshot.............................................52
2.2.4 Steg 3 - Bedmning av srbarhet...................................................56
2.2.5 Steg 4 - Bedmning av risk.............................................................59
2.2.6 Steg 5 - Prioritera och hantera risker................................................
(riskhanteringsbeslut).................................................................................65
2.3 Skerhetsplan...............................................................................................71
2.4 Skerhetsbestmmelser..............................................................................71
2.5 Skerhetsskyddsplan/-instruktion............................................................72
3 Utbildning............................................................................................... 73
3.1 Ansvar...........................................................................................................73
3.2 Omfattning...................................................................................................75
3.2.1 Allmnt..............................................................................................75
3.2.2 Kurser................................................................................................76
3.3 Genomfrande.............................................................................................76
3.3.1 Grundlggande utbildning.............................................................76
3.3.2 Fortlpande utbildning...................................................................77
11
3.3.3 Srskild utbildning...........................................................................78
3.3.4 Informationstjnst...........................................................................79
4 Kontroll................................................................................................... 81
4.1 Grunder........................................................................................................81
4.2 Ansvar...........................................................................................................82
4.3 Kontrolltyper...............................................................................................84
4.3.1 Franmlda kontroller....................................................................84
4.3.2 Inte franmlda kontroller.............................................................85
4.3.3 Kontroll av fretag vilka har uppdrag som upphandlats med
skerhetsskyddsavtal (SUA).......................................................................85
4.4 Skerhetsskyddsbesk................................................................................86
4.5 Kontrollfrberedelser..................................................................................87
4.5.1 Riktlinjer fr tidsplan infr skerhetsskyddskontroll.................87
4.5.2 Underlag fr genomfrande av skerhetsskyddskontroll...........87
4.6 Genomfrande.............................................................................................88
4.7 Efter genomfrd skerhetsskyddskontroll...............................................89
4.7.1 Muntliga och skriftliga redovisningar...........................................89
4.7.2 Uppfljning.......................................................................................90
4.8 Skerhetsrapportering................................................................................90
5 Internationell verksamhet....................................................................... 91
5.1 Inledning......................................................................................................91
5.2 Grunder........................................................................................................91
5.2.1 Allmnt..............................................................................................91
5.2.2 Internationellt regelverk .................................................................92
5.2.3 Internationella roller........................................................................94
5.2.4 Ngot om sekretess i internationell verksamhet..........................95
5.3 Gemensamma bestmmelser ....................................................................96
5.3.1 Allmnt..............................................................................................96
5.3.2 Medfrande av hemliga och utrikesklassificerade handlingar
utomlands.....................................................................................................97
5.3.3 Medfrande av signalskyddsnycklar och signalskyddsmateriel
utomlands...................................................................................................100
5.3.4 Betydelsen av mrkning frn annat land eller mellanfolklig
organisation...............................................................................................100
5.3.5 Fretrde fr utlndska bestmmelser........................................102
5.4 Internationella militra insatser..............................................................103
5.4.1 Allmnt............................................................................................103
5.4.2 Inventering......................................................................................103
5.4.3 Kontroll av skerhetsskyddet........................................................104
5.4.4 Beslut om undantag.......................................................................105
12
1 Grunder
1.1 Inledning
Detta kapitel behandlar grunderna fr den militra skerhetstjnsten samt en orien-
tering om de fr den militra skerhetstjnsten viktigaste lagarna och frordningarna.
1.2 Militr skerhetstjnst Grunder

1.2.1 Uppgifter, syfte och omfattning
Den militra skerhetstjnstens uppgift r att upptcka, identifiera och mta sker-
hetshot som riktas mot Frsvarsmakten och dess skerhetsintressen svl inom som
utom landet.1 Skerhetsintressena omfattar eller kan hnfras till personal, materiel,
information, anlggningar och verksamhet i vid bemrkelse inklusive den internatio-
nella verksamhet som Frsvarsmakten deltar i. Den militra skerhetstjnsten ska dr-
1 Prop. 2006/07:46, Personuppgiftsbehandling hos Frsvarsmakten och Frsvarets radioanstalt, s. 25
13
med klarlgga verksamhet som innefattar hot mot rikets skerhet eller mot Frsvars-
maktens skerhetsintressen i vrigt samt vidta tgrder som hindrar eller frsvrar
skerhetshotande verksamhet.2 Hri ingr bl.a. att bitrda polisen i dess ansvar betrf-
fande skyddet av rikets skerhet.3 tgrderna syftar frmst till att skerstlla tillrcklig
niv av skerhetsskydd under svl fred, kris och krig.
Med skerhetshotande verksamhet avses aktrsdrivna hot, det vill sga hot bakom vil-
ket det str en aktr i form av en individ, grupp, ntverk, organisation, stat etc. Aktrs-
drivna hot r normalt avsiktliga.
Icke aktrsdrivna hot kategoriseras inte som skerhetshotande verksamhet ven om

de kan pverka Frsvarsmakten och dess skerhetsintressen p ett negativt stt. Med
icke aktrsdrivna hot avses naturliga fenomen (t.ex. naturkatastrofer och sjukdomar),
fel i tekniska system (t.ex. buggar och materialfel) och icke uppstliga mnskliga gr-
ningar (t.ex. slarv och olyckor).
Med rikets skerhet avses svl den yttre skerheten fr det nationella oberoendet som
den inre skerheten fr det demokratiska statsskicket. Skyddet fr den yttre skerhe-
ten tar i frsta hand sikte p totalfrsvaret. Ett hot mot rikets yttre skerhet kan dock
frekomma ven om det inte utgr ett hot mot totalfrsvaret.4
Den militra skerhetstjnsten omfattar skerhetsunderrttelse-, skerhetsskydds-

och signalskyddstjnst.5
Skerhetsunderrttelsetjnst
Skerhetsunderrttelsetjnsten har till uppgift att klarlgga den skerhetshotande
verksamhetens omfattning, inriktning samt medel och metoder. Verksamheten syftar
till att utifrn aktuella skerhetsunderrttelsebehov lmna underlag fr beslut om t.ex.
skerhetsskyddstgrder, beredskap eller frbandsproduktion.6 Skerhetsunderrttel-
setjnst sker i stort under samma arbetsformer och med utnyttjande av samma typ av
kllor som anvnds i frsvarsunderrttelseverksamheten.7
Den skerhetshotande verksamhet som riktas mot Frsvarsmakten brukar delas in

i frmmande underrttelseverksamhet, kriminalitet, sabotage, subversion samt terro-
rism. Den kan riktas mot hela eller delar av Frsvarsmakten, viss funktion eller verk-
samhet och frband samt verksamhet inom Frsvarsmaktens intresseomrde, t.ex.
2 Prop. 2006/07:46, s. 121

3 Prop. 2006/07:46, s. 25
4 Prop. 2006/07:46, s.24-25
5 Bilaga 5 till Regleringsbrev fr budgetret 2013 avseende Frsvarsmakten.
6 Prop. 2006/07:46, s. 25
7 Prop. 2006/07:46, s. 121
14
frsvarsindustri. Underrttelseverksamhet riktad mot Frsvarsmakten kan bedrivas
av svl frmmande makt som olika organisationer, fretag och kriminella personer.
Frmmande makts underrttelseverksamhet kan ske p svenskt territorium, utanfr
landet eller riktas mot Frsvarsmakten i samband med internationell militr verksam-
het eller upptrdande utomlands i andra sammanhang.
Skerhetsskyddstjnst
Skerhetsskyddstjnstens uppgift r att ta fram tgrder som syftar till att hindra eller
frsvra skerhetshotande verksamhet.8 Skerhetsskyddet ska frmst frebygga att
uppgifter som omfattas av sekretess och rr rikets skerhet obehrigen rjs, ndras
eller frstrs (informationsskerhet), att obehriga fr tilltrde till platser dr de kan f
tillgng till hemliga uppgifter eller dr verksamhet som har betydelse fr rikets sker-
het bedrivs (tilltrdesbegrnsning) och att personer som inte r plitliga frn sker-
hetssynpunkt deltar i verksamhet som har betydelse fr rikets skerhet (skerhets-
prvning). Skerhetsskyddstjnsten skyddar ocks materiel och anlggningar mot
sabotage och stld samt personal, anlggningar och materiel mot terrorism.9
Signalskyddstjnst
Signalskyddstjnst syftar till att, med hjlp av kryptografiska metoder och vriga sig-
nalskyddstgrder, frhindra obehrig insyn i och pverkan av telekommunikations-
och IT-system.
Exempel p signalskyddstgrder r kryptering, tckning, omskrivning, radiotystnad,

frekvenshopp, val av sambandsmedel, anvndning av digitala signaturer fr sker veri-
fiering av elektroniska dokument samt stark autentisering fr skydd mot intrng.
Genom att anvnda signalskydd i telekommunikations- och IT-system ges mjlighet

att frhindra alternativt frsvra fr obehriga att:
F tillgng till, tyda eller frvanska uppgifter som kommuniceras eller lagras.
Pverka telekommunikations- och IT-system.
Kartlgga mellan vilka parter och varifrn kommunikation sker.
En del av signalskyddstjnsten r kontroll av signalskyddet i telekommunikations- och

IT-system, s.k. signalkontroll. Signalkontroll syftar till att klarlgga riskerna fr obeh-
rig tkomst till eller frvanskning av uppgifter eller strning av telekommunikation.
Vidare kan signalkontroll klarlgga att systemen anvnds enligt gllande regelverk.
Signalskyddstjnsten r en skerhetsskyddsangelgenhet.10
8 Prop. 2006/07:46, s. 25
9 7 Skerhetsskyddslagen
10 Prop. 2006/07:46, s. 66
15
1.2.2 Indelning av skerhetsskyddstjnst
Skerhetsskyddstjnst bedrivs inom fljande delomrden.
Informationsskerhet
Informationsskerhet ska frebygga att uppgifter som omfattas av sekretess och som
rr rikets skerhet obehrigen rjs, ndras eller frstrs. I efterhand ska det g att ana-
lysera informationsfrlusten fr att kunna minimera skadan. Grunden fr informa-
tionsskerhet utgrs av informationens klassificering. Frsvarsmaktens modell fr
informationsklassificering framgr av handbok skerhetstjnst sekretessbedmning
(H Sk Sekrbed Del A, 2011).
IT-skerhet
IT-skerhet r en del av informationsskerheten och rr frmst de delar av begreppet
informationsskerhet som avser skerheten i den tekniska hanteringen av information
som behandlas i IT-system samt administration kring detta.
Tilltrdesbegrnsning
Tilltrdesbegrnsning ska frebygga att obehriga inte fr tilltrde till platser dr de
kan f tillgng till hemliga uppgifter eller dr verksamhet som har betydelse fr rikets
skerhet bedrivs. Tilltrdesbegrnsning ska ven frebygga att stldbegrlig, svrer-
sttlig eller av annan anledning skyddsvrd materiel frstrs eller kommer obehrig
till del. Tilltrdesbegrnsning som begrepp har drfr en vidare betydelse i Frsvars-
makten jmfrt med skerhetsskyddslagstiftningen.
Skerhetsprvning
Skerhetsprvning r en sammanfattande benmning p tgrder som ska klarlgga
om en person kan antas vara lojal mot de intressen som skyddas i skerhetsskyddsla-
gen. Skerhetsprvning ska bedma lojalitet, plitlighet eller srbarhet ur skerhets-
synpunkt.
Skerhetsskyddad upphandling med skerhetsskyddsavtal (SUA)

Skerhetsskyddad upphandling med skerhetsskyddsavtal (SUA) r en srskild pro-
cess som ska anvndas vid upphandlingar dr hemliga uppgifter frekommer. Det
innebr att man tar hnsyn till ndvndiga skerhetsskyddskrav, vilka regleras i ett
skerhetsskyddsavtal.
Utbildning
Utbildning r en grundfrutsttning fr att erhlla ett bra skerhetsskydd. Utbildning
i skerhetstjnst ska genomfras innan en person ges behrighet att ta del av eller
p annat stt hantera hemliga eller utrikesklassificerade uppgifter. Fr personal med
srskilt ansvar fr skerhetstjnst krvs srskild utbildning. Utbildning i orienterande
16
syfte ska genomfras fortlpande fr all personal. Utbildning som rr skerhetstjnst
ska dokumenteras.
Kontroller
Kontroll av skerhetsskyddet sker genom skerhetsskyddskontroller. Kontrollerna
ska skerstlla att skerhetsskyddskrav uppfylls och att skerhetsskyddet i vrigt r
anpassat efter aktuell skerhetshotbild. En skerhetsskyddskontroll omfattar de delar
av skerhetstjnsten som krvs fr att kontrollera att skerhetsskyddet r tillrckligt.
1.2.3 Lednings-, lydnads- och ansvarsfrhllanden

Den militra skerhetstjnsten leds frn central niv av chefen fr den militra under-
rttelse- och skerhetstjnsten (C Must) i rollen som Frsvarsmaktens skerhets-
skydds- och informationsskerhetschef. C Must leder och samordnar signalskydds-
tjnsten, inklusive arbetet med skra kryptografiska metoder. C Must ansvarar ven fr
att frhandla internationella skerhetsskyddsavtal. 11
Skerhetskontoret vid den militra underrttelse- och skerhetstjnsten ansvarar fr

genomfrande av militr skerhetstjnst, frmst genom att utarbeta och delge sker-
hetshotbedmningar, ta fram underlag fr bestmmelser fr skerhetsskydds- och
signalskyddstjnsten, genom rdgivning och std, utbildning och kontroller sker-
stlla att hotbilden uppfattats rtt, att bestmmelserna fljs samt att skerhetsmed-
vetandet ligger p en hg niv. Vidare ansvarar skerhetskontoret fr kravstllning,
granskning, godknnande och vidmakthllande av signalskyddssystem fr totalfrsva-
ret samt kravstllning och godknnande av skerhetsfunktioner fr IT-system i Fr-
svarsmakten.
Insatschefen i Hgkvarteret leder skerhetstjnsten i internationella militra insatser

samt den territoriella skerhetstjnsten med std av skerhetsorganisation p regio-
nal niv.12
P lokal niv representeras den militra skerhetstjnsten av skerhetschefer13, IT-

skerhetschefer14 och signalskyddschefer15.
Skerhetschefen ansvarar med std av den lokala skerhetsorganisationen fr bland

annat:
11 12 kap. 2 frsta stycket Frsvarsmaktens freskrifter (FFS 2012:1) med arbetsordning fr Frsvarsmakten
(FM ArbO).
12 11 kap. 6 Frsvarsmaktens freskrifter (FFS 2012:1) med arbetsordning fr Frsvarsmakten (FM ArbO).
13 1 kap. 4 Frsvarsmaktens interna bestmmelser (FIB 2007:2) om skerhetsskydd och skydd av viss mate-
riel
14 1 kap. 11 Frsvarsmaktens interna bestmmelser (FIB 2006:2) om IT-skerhet
15 14 Frsvarsmaktens interna bestmmelser (FIB 2008:3) om signalskyddstjnsten
17
Std i skerhetsfrgor till chefen fr organsationsenheten
Ledning och samordning av skerhetstjnsten vid organisationsenheten
Skerhetsplanering inklusive upprttande och upprtthllande av styrdokument
i form av skerhetsanalys, skerhetsplan och skerhetsbestmmelser inklusive
internkontrollplan, utbildningsplan, IT-skerhetsplan och signalskyddsinstruktion.
Aktuell lokal skerhetshotbild
Skerhetsrapportering
Internkontrollverksamhet
Utbildning i skerhetstjnst
Samverkan avseende skerhetstjnst
Ansvarsomrden fr IT-skerhetschef framgr av H SK Infosk respektive H TST

Grunder vad avser signalskyddschef.
Vid behov utses s.k. skerhetsmn. En skerhetsman har i uppgift att stdja lokal sker-
hetsorganisation. Att vara skerhetsman r en tillika uppgift utver ordinarie befatt-
ning. Uppgifterna innebr t.ex. ansvar fr att kontrollera att lokaler r slckta och lsta
efter arbetsdagens slut, att lokaler larmas av- respektive p eller att inga sekretessbe-
lagda handlingar r kvarglmda i t.ex. gemensamma utrymmen, kopiatorer eller skri-
vare. Skerhetsmn utses efter behov, p frbandsniv oftast en per kompani motsv.,
vid Hgkvarteret oftast en per avdelning. Oavsett om uppgifterna innebr ansvar
rrande tilltrdesbegrnsning, IT-skerhet, signalskyddstjnst etc. anvnds namnet
skerhetsman.16
1.2.4 Den militra skerhetstjnstens tillsynsomrde

Frsvarsmakten utvar, genom den militra underrttelse- och skerhetstjnsten, till
syn vad avser skerhetsskydd enligt 39 1 skerhetsskyddsfrordningen (1996:633).
Frsvarsmakten fr med std av 44 skerhetsskyddsfrordningen meddela ytterli-
gare freskrifter om verkstlligheten av skerhetsskyddslagen (1996:627) fr sina res-
pektive tillsynsomrden enligt39 samma frordning.
Frsvarsmakten fr med std av 33 frordningen (2007:1266) med instruktion fr

Frsvarsmakten meddela vriga myndigheter freskrifter i frgor om signalskydds-
tjnsten, inklusive skra kryptografiska funktioner inom totalfrsvaret.17
Den militra underrttelse- och skerhetstjnsten genomfr ven kontroller av sker-

hetsskyddet inom Frsvarsmakten enligt vad som freskrivs i Frsvarsmaktens interna
16 Begrepp som skerhetsbefl, skerhetsfretrdare, IT-skerhetsman motsv. ska undvikas d olika benm-
ningar fr samma sak bidrar till missfrstnd samt att begrepp som befl och fretrdare anvnds i andra
sammanhang.
17 Se vidare i Handbok totalfrsvarets signalskyddstjnst, grundlggande regler fr signalskyddstjnsten
(H TST Grunder).
18
bestmmelser om skerhetsskydd och skydd av viss materiel. Vidare genomfr den
militra underrttelse- och skerhetstjnsten ven kontroller av skerheten i och kring
sdana IT-system som inte r avsedda fr behandling av hemliga uppgifter.
1.3 Skerhetsrapportering
Var och en som fr knnedom om skerhetshotande verksamhet eller misstnker sdan verksamhet skall
snarast mjligt rapportera frhllandet till sin nrmaste chef - arbetsledare eller till skerhetschefen.
4 kap. 2 Frsvarsmaktens freskrifter fr Frsvarsmaktens personal
I 4 kap. 2 Frsvarsmaktens freskrifter (FFS 1997:2) fr Frsvarsmaktens personal finns freskrifter om

skyldighet att rapportera skerhetshotande verksamhet. Den som har tagit emot en sdan rapport ska
vidarebefordra den till militra underrttelse- och skerhetstjnsten i Hgkvarteret. (FIB 2010:1)
1 kap. 6 andra stycket Frsvarsmaktens interna bestmmelser om skerhetsskydd och skydd av viss
materiel
Rapportering ska ven ske nr ngon enskild upptcker fel eller brister i skerhets-
skyddet. r felen eller bristerna allvarliga ska det srskilt beaktas att en anmlan ven
ska gras till Frsvarsmaktens hgkvarter.18 En sdan anmlan grs av berrd myndig-
het eller, inom Frsvarsmakten, den organisationsenhet som berrs. Endast genom en
god rapportering kan slutsatser dras och order om frndringar av skerhetsskyddet
utfrdas. Principen hellre en rapport fr mycket n en fr lite br glla.
18 1 kap. 8 Frsvarsmaktens freskrifter om skerhetsskydd.
19
Bild 1.1 Skerhetsrapportering r ett ansvar fr all personal i Frsvarsmakten.
Fr att den militra skerhetstjnsten ska kunna klarlgga skerhetshotande verksam-

het r det ndvndigt att den enskilde skerhetsrapporterar, t.ex. misstnkta frsk
till underrttelseinhmtning eller frberedelser fr kriminalitet. Extra uppmrksam-
het br ske i samband med tjnsteresor (men ven privata resor) eller vid utlndska
besk till frbandet. Vid misstanke om frsk till underrttelseinhmtning eller ngon
form av kontaktfrsk ska detta rapporteras. ven om den enskilde inte upplever det
intrffade som srskilt allvarligt kan det vara den pusselbit den militra skerhetstjns-
ten behver.
Den enskilde rapporterar p enklaste stt, antingen muntligt eller skriftligt, till chef
eller skerhetschef. Lokal skerhetsorganisation ansvarar fr att rapporten omhnder-
tas enligt gllande rutiner fr skerhetsrapportering. Fr att skerstlla att alla som r
i behov av skerhetsrapporter har tillgng till dem ska skerhetsrapportering i frsta
hand ske genom drfr avsett IT-system. Avsaknad av IT-system fr dock aldrig vara
ett skl till att inte skerhetsrapportera.
Skerhetsrapporter rrande territoriell verksamhet sammanstlls av regional sker-

hetsorganisation. Skerhetsrapportering rrande insatsomrden sammanstlls av
20
insatsstaben i Hgkvarteret. Bestmmelser avseende skerhetsrapportering framgr
av Frsvarsmaktens beredskaps- och insatsorder (FM BerInsO).
1.4 Rttsliga grunder

1.4.1 Skerhetsskydd
Med skerhetsskydd avses
1. skydd mot spioneri, sabotage och andra brott som kan hota rikets skerhet,
2. skydd i andra fall av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen
(2009:400) och som rr rikets skerhet, och
3. skydd mot terroristbrott enligt 2 lagen (2003:148) om straff fr terroristbrott (terrorism),
ven om brotten inte hotar rikets skerhet. (Lag ((2009:464)).
6 skerhetsskyddslagen
Begreppet rikets skerhet sgs innebra den yttre skerheten fr vrt nationella obe-
roende och den inre skerheten fr skydd av vrt demokratiska statskick. Skyddet av
rikets yttre skerhet rr t.ex. frhllanden av militr betydelse eller betydelse fr total-
frsvaret i vrigt. Skyddet av rikets inre skerhet rr t.ex. att ngon genom uppror fr-
sker ta ver den politiska makten eller utvande av vld, hot eller tvng mot statsled-
ningen i syfte att pverka politikens utformning.
De brott som avses i frsta punkten r i huvudsak brott enligt 18 och 19 kap. brotts
balken. ven andra brott enligt brottsbalken eller enligt ngon specialstraffrttslig fr-
fattning kan, beroende p omstndigheterna, omfattas. Exempel p sdana brott r
brotten mot liv och hlsa i 3 kap. brotten mot frihet och frid enligt 4 kap., samt allmn-
farliga brott enligt 14 kap. brottsbalken. Bedmningen av om brotten utgr brott som
kan hota rikets skerhet fr gras med hnsyn till bl.a. syftet med brottet och mot vem
det riktas.
Av punkten 2 framgr att skerhetsskyddet inte bara avser skydd mot brott som kan
hota rikets skerhet utan ocks avser ett skydd fr hemliga uppgifter i vrigt. Sker
hetsskyddet innebr i dessa fall att hemliga handlingar ska frvaras p ett betrygg
ande stt och att spridningen av uppgifterna i handlingarna s lngt som det r mjligt
begrnsas till personer som behver dem fr sin tjnsteutvning. Skyddstgrderna
som meddelas genom verkstllighetsfreskrifter kan vara lngtgende fr att ge upp-
gifterna ett tillrckligt skydd. Skerhetsskydd behver utformas s att t.ex. en kvalifice-
rad statsaktr frhindras inhmta hemliga uppgifter.
Begreppet skerhetsskydd ska endast anvndas d det r frga om sdant skydd som
avses i skerhetsskyddslagen.
21
Skerhetsskyddet skall frebygga
1. att uppgifter som omfattas av sekretess och som rr rikets skerhet obehrigen rjs, ndras eller
frstrs (informationsskerhet),
2. att obehriga fr tilltrde till platser dr de kan f tillgng till uppgifter som avses i 1 eller dr
verksamhet som har betydelse fr rikets skerhet bedrivs (tilltrdesbegrnsning), och
3. att personer som inte r plitliga frn skerhetssynpunkt deltar i verksamhet som har betydelse
fr rikets skerhet (skerhetsprvning).
Skerhetsskyddet skall ven i vrigt frebygga terrorism.
7 skerhetsskyddslagen
Skerhetsskyddets frebyggande syfte i punkten 1 avser vare sig om rjande, ndring

eller frstring av hemliga uppgifter sker uppstligen eller av oaktsamhet. Myndighe-
terna r skyldiga att i s stor omfattning som mjligt frebygga skador om skadorna
kan ventyra rikets skerhet, ven i de fall skadorna inte bestr i ett obehrigt rjande
av hemliga uppgifter eller ett uppstligt angrepp p uppgifterna, t.ex. genom sabotage.
IT-skerheten utgr, till fljd av informationsteknikens utveckling, i hg grad en vik-

tig bestndsdel i informationsskerheten. Det r ocks viktigt att uppgifter i krislgen
kan frmedlas till andra p ett betryggande stt. I informationsskerheten ingr dr-
fr ven att se till att telefrbindelser och andra kommunikationsvgar hller en till-
rckligt hg niv frn skerhetssynpunkt.19 Skerhetsskyddet innebr sledes krav p
skydd fr hemliga uppgifter ifrga om sekretess, riktighet, tillgnglighet och sprbar-
het.
I verksamhet dr lagen gller skall det skerhetsskydd finnas som behvs med hnsyn till
verksamhetens art, omfattning och vriga omstndigheter.
5 frsta stycket skerhetsskyddslagen
Skerhetsskydd ska i det enskilda fallet ha den utformning som krvs fr skerhets
skyddets syfte (bl.a. skydd mot spioneri, sabotage och andra brott som kan hota rikets
skerhet). Vidare ska skerhetsskyddet utformas fr vad skyddet ska frebygga (bl.a.
att uppgifter som omfattas av sekretess och som rr rikets skerhet obehrigen rjs,
ndras eller frstrs). Behovet av skerhetsskydd som ska finnas fr en verksamhet
kan vara olika beroende p t.ex. i vilken omfattning hemliga uppgifter frekommer i
verksamheten. Skerhetsskyddets utformning i en verksamhet dr man regelmssigt
handlgger mycket knsliga frgor mste skilja sig frn dem i en verksamhet dr man
mer tillflligt kommer i kontakt med sdana frgor. Om ett godtagbart skerhetsskydd
19 Prop. 1995/96:129, Skerhetsskydd, s. 26-27 och 74-75.
22
inte kan stadkommas br organisationen vervga att avst frn den specifika verk-
samheten.
Skerhetsskyddslagen anger ramarna fr skerhetsskyddet. De mer detaljerade

bestmmelserna som behvs fr skerhetsskyddslagens tillmpning meddelas genom
verkstllighetsfreskrifter, t.ex. Frsvarsmaktens freskrifter om skerhetsskydd och
en myndighets interna freskrifter om skerhetsskydd.20 21
Ytterligare anpassning av skerhetsskyddet fr en viss verksamhet eller ett visst IT-sys-

tem sker genom dokumenterade skerhetsanalyser.22 T.ex. kan skyddstgrder fr ett
KH-arkiv som avses placeras p en frsvarsavdelning vid ngon av Sveriges ambassa-
der behva vara mer omfattande n fr sdana arkiv som r placerade i Sverige.
1.4.2 Skyddsobjekt
Skyddslagen (2010:305)innehller bestmmelser om vissa tgrder till frstrkt skydd
fr byggnader, andra anlggningar, omrden och andra objekt mot sabotage, terro-
ristbrott enligt 2 lagen (2003:148) om straff fr terroristbrott, spioneri samt rjande
i andra fall av hemliga uppgifter som rr totalfrsvaret och grovt rn. Lagen innehl-
ler ocks bestmmelser om skydd fr allmnheten mot skada som kan uppkomma till
fljd av militr verksamhet.
Fr att tillgodose behovet av skydd kan det beslutas att ngot ska vara skyddsob-
jekt. Exempel p byggnader, andra anlggningar och omrden som kan beslutas vara
skyddsobjekt r statschefens och tronfljarens residens och bostder samt byggnader,
andra anlggningar och omrden som anvnds eller r avsedda fr ledning av rdd-
ningstjnsten eller totalfrsvarets civila delar i vrigt eller fr fredstida krishantering,
energifrsrjning, vattenfrsrjning, elektroniska kommunikationer, transporter eller
frsvarsindustriella ndaml.
Fr det militra frsvarets del kan fljande beslutas vara skyddsobjekt:
byggnader, andra anlggningar och omrden som staten har gandertt eller nytt-
jandertt till och som disponeras av Frsvarsmakten, Frsvarets materielverk eller
Frsvarets radioanstalt, samt militra fartyg och luftfartyg,
omrden dr Frsvarsmakten, Frsvarets materielverk eller Frsvarets radioanstalt
tillflligt bedriver vningar, prov eller frsk eller dr ofrutsedda fljder av sdan
verksamhet kan intrffa,
20 33 skerhetsskyddslagen.
21 Prop. 1995/96:129, Skerhetsskydd, s. 73 och 89-90.
22 1 kap. 6 Frsvarsmaktens freskrifter om skerhetsskydd.
23
omrden dr Frsvarsmakten har satts in fr att hindra en krnkning av Sveriges
territorium eller fr att mta ett vpnat angrepp mot landet,
omrden dr en frmmande stats militra styrka inom ramen fr internationellt
samarbete tillflligt bedriver vningar hr i landet i samband med utbildning fr
fredsfrmjande verksamhet eller fr annat militrt ndaml, och
vattenomrden av srskild betydelse fr det militra frsvaret.
Andra byggnader, anlggningar och omrden n ovan kan ocks beslutas vara skydds-
objekt, om de r av betydelse fr totalfrsvaret och Sverige befinner sig i krig eller
krigsfara eller det rder andra utomordentliga frhllanden som r franledda av krig.
Under samma frhllanden kan lok och jrnvgsvagnar beslutas vara skyddsobjekt.
Fordon kan dock aldrig vara skyddsobjekt.
Ett beslut om skyddsobjekt innebr att obehriga inte har tilltrde till skyddsobjek-
tet. Genom srskilt beslut kan tilltrdesfrbudet frenas med ett frbud mot att gra
avbildningar, beskrivningar eller mtningar av eller inom skyddsobjektet. Om det
rcker fr att tillgodose skyddsbehovet, kan tilltrdesfrbudet ersttas av ett avbild-
ningsfrbud eller av ett frbud mot att bada, dyka, ankra eller fiska.
Fr bevakning av ett skyddsobjekt fr polismn, militr personal eller annan srskilt

utsedd personal anlitas. Den som bevakar ett skyddsobjekt och som inte r polisman
benmns skyddsvakt.
Frsvarsmakten fr besluta om skyddsobjekt i de fall som anges i 2 skyddsfrord-

ningen (2010:523). Ett sdant beslut fr inte gras mer ingripande eller omfattande n
vad som behvs fr att tillgodose skyddsbehovet. S lngt det r mjligt ska tillses att
ett beslut inte kommer att medfra skada eller annan olgenhet fr andra allmnna
eller enskilda intressen.
Den som r eller har varit skyddsvakt fr inte obehrigen rja eller utnyttja vad han
eller hon p grund av ett uppdrag enligt denna lag ftt veta om en enskilds personliga
frhllanden eller frhllanden av betydelse fr totalfrsvaret eller i vrigt fr Sveri-
ges skerhet. I det allmnnas verksamhet tillmpas offentlighets- och sekretesslagen
(2009:400).
1.4.3 Skydd fr landskapsinformation

Landskapsinformation r lgesbestmd information om frhllanden p och under
markytan samt p och under sj- och havsbottnen.23 Landskapsinformation kan
avse svl naturgivna frhllanden som konstgjorda freteelser. Det har sedan lng
tid ansetts ndvndigt att begrnsa tillgngen till landskapsinformation fr att sker
23 2 lagen om skydd fr landskapsinformation.
24
stlla den nationella skerheten - sdan information underlttar en potentiell angripa-
res planering fr att angripa landet. Behovet av att kunna begrnsa tillgngen kan inte
anpassas till den hotbild som fr tillfllet rder. Nr informationen vl har slppts fri r
informationen ven tillgnglig vid en frndring av hotbilden mot landet.24
Std fr att i lag frhindra spridning av landskapsinformation finns i 6 kap. 2 andra

stycket TF och i 3 kap. 7 YGL. Freskrifter som ska begrnsa insamling, lagring och
spridning av landskapsinformation finns i lagen om skydd fr landskapsinformation
samt frordningen om skydd fr landskapsinformation. Lagen om skydd fr land
skapsinformation tar sikte p att skydda sdan landskapsinformation som kan antas
medfra skada fr verksamhet som behvs fr att frbereda Sverige fr krig (total
frsvar). Begrnsningar av tillgng till landskapsinformation enligt lagen om skydd fr
landskapsinformation r inte avsedd att skydda mot terroristbrott enligt 2 lagen om
straff fr terroristbrott (terrorism), inte ens om sdana brott skulle hota rikets sker-
het. Lagen om skydd fr landskapsinformation r inte begrnsad till myndigheter utan
gller ven enskilda (t.ex. ett fretag). Lagen om skydd fr landskapsinformation r
tillmplig fr landskapsinformation ver Sveriges mark- och sjterritorium. Lagen
r tillmplig p landskapsinformation p svl karta eller bild som i IT-system. ven
publikt tillgngliga internettjnster omfattas av lagen, t.ex. om ytterligare landskapsin-
formation tillfrs en karttjnst.
De aktrer i samhllet som hanterar landskapsinformation har normalt inte sdan

kunskap att de kan avgra vilken landskapsinformation som kan antas medfra skada
fr verksamhet som behvs fr att frbereda Sverige fr krig. I lagen om skydd fr
landskapsinformation finns drfr krav p tillstnd fr sjmtning, fr fotografe-
ring eller liknande registrering frn luftfartyg inom restriktionsomrden samt fr att
inrtta databaser med landskapsinformation. Vidare finns krav p tillstnd fr att f
sprida flygbilder och liknande registreringar, kartor samt andra sammanstllningar
av landskapsinformation. I frordningen om skydd fr landskapsinformation fram
gr att Lantmteriet ska fatta beslut om tillstnd att inrtta databaser med landskaps
information. Frsvarsmakten prvar frgor om tillstnd till sjmtning. Vidare anges
vilka myndigheter som fattar beslut om spridning av landskapsinformation. Regio-
nal skerhetsorganisation i Frsvarsmakten handlgger renden som rr tillstnd till
spridning av flygbilder och liknande registrering frn luftfartyg. Nr en myndighet ska
bedma om ett tillstnd enligt lagen om skydd fr landskapsinformation kan ges, eller
om den specifika landskapsinformationen kan antas medfra skada fr verksamhet
som behvs fr att frbereda Sverige fr krig, br myndighetens prvning samman-
falla med motsvarande bedmning om den specifika landskapsinformationen omfat-
tas av sekretess enligt 15 kap. 2 OSL.25
24 Prop. 1993/94:32, Skydd fr landskapsinformation, s. 11 och 15.

25 Prop. 1993/94:32, Skydd fr landskapsinformation, s. 21.
25
Vissa myndigheter r undantagna krav p tillstnd, t.ex. fr Frsvarsmakten utfra
sjmtning, fotografering och liknande registrering frn luftfartyg, inrtta databaser
med landskapsinformation samt sprida flygbilder och liknande registreringar frn
luftfartyg, kartor i strre skala n 1:100 000 samt andra sammanstllningar av land
skapsinformation. Att Frsvarsmakten och vissa andra myndigheter r undantagna
krav p tillstnd innebr inte att landskapsinformation r undantagen freskrifter om
sekretess i OSL eller freskrifter om skerhetsskydd, sdana freskrifter gller ven fr
landskapsinformation hos en myndighet.
Frhllandet att det frekommer landskapsinformation vid en myndighet som kan

antas medfra skada fr Sveriges totalfrsvar behver uppmrksammas i en doku
menterad skerhetsanalys vid myndigheten s att uppgifterna kan ges ett skerhets
skydd.26 I Frsvarsmakten ska frhllandet uppmrksammas av varje organisations
enhet i en dokumenterad skerhetsanalys.27
Landskapsinformation som rr freteelser som har en lng tids varaktighet r upp

gifter som i dag, trots rdande hotbild, ven fortsttningsvis behver skyddas. Sekre-
tesstiden r hgst 150 r fr uppgifter som omfattas av sekretess enligt 15 kap. 2
OSL och som rr landskapsinformation om militrgeografiska frhllanden, rikets
fasta frsvarsanlggningar fr krigsbruk, underhllsanlggningar som kan rja fr-
svarets grupperingar eller planerade frsvarsanlggningar i form av mineringar och
andra hinder.28
Ett exempel p konstgjorda freteelser som utgr landskapsinformation som ska skyd-
das r uppgifter om anlggningar som r avsedda fr frsvaret av Sverige och vars geo-
grafiska position r en uppgift som omfattas av sekretess enligt 15 kap. 2 OSL. ven
uppgifter om sdana anlggningars tnkta anvndning, uthllighet och skydd r upp-
gifter som normalt omfattas av sekretessen. Drfr r det inte endast den geografiska
positionen fr en sdan anlggning som behver skyddas utan ven uppgifter om den
stdjande infrastruktur som mjliggr anlggningens funktion.
Ett exempel p naturgivna frhllanden som utgr landskapsinformation som ska

skyddas r uppgifter om djup- och bottenfrhllanden i vissa omrden av Sveriges sj-
territorium, t.ex. delar av Stockholms skrgrd.
26 5 skerhetsskyddsfrordningen.
27 1 kap. 5 frsta stycket Frsvarsmaktens interna bestmmelser om skerhetsskydd och skydd av viss mate-
riel.
28 4 OSF.
26
1.4.4 Personuppgifter
Fr att skydda mnniskor mot att deras personliga integritet krnks genom behand-
ling av personuppgifter i Frsvarsmakten finns bestmmelser i bl.a. personuppgiftsla-
gen (PuL) och lagen om behandling av personuppgifter i Frsvarsmaktens frsvars-
underrttelseverksamhet och militra skerhetstjnst, fortsttningsvis benmnd PuL
UNDSK. Personuppgifter r all slags information som direkt eller indirekt kan hn-
fras till en fysisk person som r i livet.29 Det innebr att uppgifter om avlidna perso-
ner inte omfattas av personuppgiftslagen. Personuppgifter kan t.ex. vara namn, person-
nummer och bostadsadress, men ven bilder och ljud (ven om inga namn nmns), en
bils registreringsnummer, loggar i IT-system, IP-adresser och fastighetsbeteckningar.
Frsvarsmakten har tv personuppgiftsombud.30 De r anmlda till Datainspektionen

och har bl.a. till uppgift att se till att de frfattningar som rr personuppgiftsbehand-
ling fljs. Ett ombud r placerat vid Must och r ombud fr sdana behandlingar av
personuppgifter som grs med std av personuppgiftslagen inom Must samt behand-
lingar som grs med std av PuL UNDSK i Frsvarsmakten. Det andra ombudet r
placerad vid juridiska staben i Hgkvarteret och r ombud fr sdana behandlingar av
personuppgifter som grs med std av personuppgiftslagen inom Frsvarsmakten fr-
utom sdana behandlingar som ombudet vid Must svarar fr.
En frteckning ska upprttas ver de behandlingar av personuppgifter som utfrs i

ett IT-system. Till sin hjlp har personuppgiftsombuden personuppgiftshandlggare
som ska finnas vid varje organisationsenhet. Personuppgiftshandlggaren har bl.a. till
uppgift att redovisa till personuppgiftsombudet vilka behandlingar av personuppgifter
som utfrs vid enheten. Personuppgiftsombudet ska sedan upprtta och fra en sam-
lad frteckning ver de behandlingar av personuppgifter som Frsvarsmakten utfr.
31
Datainspektionen har bestmt vilka uppgifter som ska framg av en frteckning.
Information om vad som ska framg finns hos personuppgiftsombudet.
Personuppgifter kan, men behver inte, omfattas av sekretess enligt OSL. I Frsvars
maktens modell fr informationsklassificering tas inte hnsyn till om uppgifter utgr
personuppgifter. I de delar som en personuppgift omfattas av sekretess enligt OSL ska
Frsvarsmaktens modell fr informationsklassificering anvndas. Bestmmelserna i
personuppgiftslagen och PuL UNDSK gller inte om det skulle inskrnka en myn-
dighets skyldighet enligt 2 kap. TF att lmna ut personuppgifter.32 Fr att man ska
29 3 personuppgiftslagen.
30 37 personuppgiftslagen och 4 kap. 1 lagen om behandling av personuppgifter i Frsvarsmaktens fr-
svarsunderrttelseverksamhet och militra skerhetstjnst.
31 39 personuppgiftslagen och 4 kap. 3 lagen om behandling av personuppgifter i Frsvarsmaktens fr-
svarsunderrttelseverksamhet och militra skerhetstjnst.
32 8 personuppgiftslagen och 1 kap. 3 PuL UNDSK.
27
kunna vgra att lmna ut personuppgifter mste personuppgifterna omfattas av sekre-
tess enligt ngon bestmmelse i OSL.
Personuppgiftslagen och PuL UNDSK innehller srskilda krav i frga om knsliga

personuppgifter. Knsliga personuppgifter r personuppgifter som avsljar en per-
sons ras eller etniskt ursprung, politiska sikter, religis eller filosofisk vertygelse eller
medlemskap i fackfrening samt uppgifter som rr hlsa eller sexualliv.33 I Frsvars-
makten har juridiska staben beslutat att knsliga personuppgifter ska krypteras nr
de kommuniceras utanfr FM IP-nt ver ett ppet ntverk. Med ppet ntverk avses
enligt beslutet sdana ntverk som gr utanfr FM IP-nt och lmnar Frsvarsmakten.
I Frsvarsmaktens finns ven andra elektroniska kommunikationsnt. Det r drfr
lmpligt att anvnda kryptering d knsliga personuppgifter kommuniceras utanfr
ngot sdant ntverk och lmnar Frsvarsmakten. Som exempel p kommunikation
ver ett ppet ntverk kan nmnas att en anstlld skickar knsliga personuppgifter till
sin privata e-postadress via Internet eller fr ver uppgifterna p ett USB-minne och
sedan kopplar in detta p en annan dator n inom FM IP-nt. Sdana uppgifter kan
krypteras med krypto fr skyddsvrda uppgifter (KSU).
Nr personuppgifter behandlas ska de skyddas genom tekniska och administrativa

skyddstgrder. tgrderna ska stadkomma en lmplig skerhetsniv med beaktande
av
de tekniska mjligheter som finns,

vad det skulle kosta att genomfra tgrderna,
de srskilda risker som finns med behandlingen av personuppgifterna, och
hur pass knsliga de behandlade personuppgifterna r.34
Skydd vid behandling av personuppgifter r en del av informationsskerheten i Fr-

svarsmakten. De krav p informationsskerhet som finns i Frsvarsmakten bedms
normalt stadkomma ett tillrcklig skydd av personuppgifter. Eventuella andra skydds-
tgrder ska ifrga om behandling av personuppgifter i ett IT-system identifieras i en
fr IT-systemet dokumenterad skerhetsmlsttning.
1.5 Beslut om avvikelse eller undantag

I Frsvarsmakten frekommer tillfllen d regelverkets krav inte alltid kan uppfyl-
las. Internationella militra insatser r exempel p verksamhet dr det inte alltid finns
frutsttningar att uppfylla regelverkskraven. D ett regelverkskrav inte kan uppfyllas

28
finns det bestmmelser om under vilka frutsttningar avvikelser eller undantag kan
beslutas.
1.5.1 Beslut om avvikelse

Chef fr en kontingent i en internationell militr insats fr, i frga om verksamhet utanfr Sverige,
fatta beslut som avviker frn Frsvarsmaktens freskrifter (FFS 2003:7) om skerhetsskydd samt denna fr-
fattning, om det r oundgngligen ndvndigt fr verksamheten. I frga om verksamhet som
avses i 1 2 och 3 i detta kapitel och som genomfrs utanfr Sverige gller detsamma chef fr organisations-
enhet eller, om beslut i sdan ordning inte kan fattas, av chef fr kontingent.
Beslut som avses i frsta stycket ska dokumenteras och, om mjligt, fregs av samrd med
militra underrttelse- och skerhetstjnsten i Hgkvarteret. Har sdant samrd inte skett ska
militra underrttelse- och skerhetstjnsten i Hgkvarteret snarast underrttas om beslutet.
9 kap. 5 Frsvarsmaktens interna bestmmelser om skerhetsskydd och skydd av viss materiel
Av ordalydelsen oundgngligen ndvndigt fljer att freskriftens frsta stycke ska

anvndas restriktivt. Avsikten har inte varit att en avvikelse ska tillmpas ver tiden
istllet fr att vidta tgrder som skerstller att frfattningarna fljs.
Endast freskrifter i de angivna frfattningarna kan komma i frga fr ett beslut om

avvikelse. Ett beslut om avvikelse fr inte utformas s att andra freskrifter i t.ex. OSL,
skerhetsskyddslagen och skerhetsskyddsfrordningen inte fljs.
Ett beslut om avvikelse br innehlla fljande rubriker och innehll.
Bakgrund Beskrivning av vad beslutet angr (t.ex. verksamhet, vapenfrvaring eller IT-
system) samt vilka freskrifter som berrs av beslutet.
Skl fr beslut Beskrivning varfr det freligger skl fr att fatta ett beslut som innebr att
nmnda freskrifter inte ska tillmpas. Vidare br ven beskrivas varfr det
r oundgngligen ndvndigt att fatta beslutet.
Beslut Hr br det finnas en hnvisning till vilken freskrift som ger rtt till att
fatta beslut om att vissa freskrifter inte ska tillmpas. Av beslutet br ven
framg under vilken tid det gller samt om samrd har skett med Must.
Chef fr en kontingent i en internationell militr insats fr, i frga om verksamhet utanfr Sverige,
fatta beslut som avviker frn denna frfattning om det r oundgngligen ndvndigt fr verksamheten.
1 kap. 8 Frsvarsmaktens freskrifter om skydd fr utrikes- och sekretessklassificerade uppgifter och

handlingar
29
Frfattningen r utarbetad fr att glla fr Frsvarsmaktens verksamhet svl inom
som utom landet och i framtagandet har srskilt utlndska frhllanden beaktats. Av
den anledningen och av ordalydelsen oundgngligen ndvndigt ska freskriften
anvndas restriktivt.
Det kan dock uppst situationer i en internationell militr insats dr skyddet mste
utformas p ett annat stt n vad som anges i denna frfattning. Ett beslut om avvi-
kelse kan i sdana fall medfra en kad risktagning varfr strvan ska vara att p bsta
stt stadkomma motsvarande niv p skyddet som om freskrifterna i frfattningen
hade fljts.
Mjligheten till samrd med Must innan ett beslut fattas ska om mjligt beaktas om
tidsfrhllandena medger det. Beslut om avvikelse ska dokumenteras.
Chef fr organisationsenhet fr, i frga om verksamhet utanfr Sverige, fatta beslut som avviker frn denna
frfattning, om det r oundgngligen ndvndigt fr verksamheten i frga om
1. Frsvarsmaktens deltagande i internationell fredsfrmjande verksamhet eller inom ramen fr inter-
nationellt samarbete eller i utbildning eller frberedelser fr sdan verksamhet, och
2. nr Frsvarsmakten utomlands deltar i frevisningar av materiel eller verksamhet.
Om en chef fr organisationsenhet inte kan fatta beslut enligt frsta stycket fr beslutet fattas av chefen fr
kontingenten.

handlingar
ven fr annan utlandsverksamhet n den som genomfrs i internationella militra

insatser kan det finnas behov av undantag. Principerna r detsamma som gller fr
beslut om avvikelse frn frfattningen vid internationella militra insatser.
Beslut som avses i 1 kap. 8-9 och som gller utrikesklassificerade handlingar ska dokumenteras och, om
mjligt, fregs av samrd med militra underrttelse- och skerhetstjnsten i Hgkvarteret. Har sdant
samrd inte skett ska militra underrttelse- och skerhetstjnsten i Hgkvarteret snarast underrttas om
beslutet.
1 kap. 9 a Frsvarsmaktens freskrifter om skydd fr utrikes- och sekretessklassificerade uppgifter och

handlingar
Fr beslut som avser sekretessklassificerade handlingar finns inget krav p att beslutet
ska dokumenteras och fregs av samrd med Must.
30
Chef fr en kontingent i en internationell militr insats fr, i frga om verksamhet utanfr Sverige, fatta
beslut som avviker frn 7 kap. Frsvarsmaktens freskrifter (FFS 2003:7) om skerhetsskydd samt denna
frfattning, om det r oundgngligen ndvndigt fr verksamheten. I frga om verksamhet som avses i 1
2 och 3 i detta kapitel och som genomfrs utanfr Sverige gller detsamma chef fr organisationsenhet eller,
om beslut i sdan ordning inte kan fattas, av chef fr kontingent.
Beslut som avses i frsta stycket ska dokumenteras och, om mjligt, fregs av samrd med militra under-
rttelse- och skerhetstjnsten i Hgkvarteret. Har sdant samrd inte skett ska militra underrttelse- och
skerhetstjnsten i Hgkvarteret snarast underrttas om beslutet.
14 kap. 2 Frsvarsmaktens interna bestmmelser om IT-skerhet
Om ett beslut fattats enligt 14 kap. 2 Frsvarsmaktens interna bestmmelser om IT-

skerhet i dess ldre lydelse (fre den 1 januari 2011) ska beslutet glla som ett beslut
enligt paragrafens nya lydelse.35
1.5.2 Beslut om undantag

I skerhetsskyddslagen och skerhetsskyddsfrordningen finns ingen freskrift om
att en myndighet har mjlighet att medge undantag frn ngon av freskrifterna
i lagen och frordningen, frutom ifrga om regeringskansliet.36 I ackrediterings
sammanhang r det t.ex. inte ovanligt att frgan om undantag frn ackreditering tas
upp. Krav p att ett IT-system som behandlar hemliga uppgifter ska godknnas frn
skerhetssynpunkt (benmns i Frsvarsmakten som ackreditering) stlls i 12 sker
hetsskyddsfrordningen. Sledes har verbeflhavaren, eller ngon annan chef fr en
myndighet, ingen mjlighet att medge undantag frn ackreditering av ett IT-system
som r avsett fr behandling av hemliga uppgifter.
Frsvarsmakten fr medge undantag frn freskrifterna i denna frfattning. verbeflhavaren eller den
han bestmmer fattar beslut i renden om undantag.
10 kap. 1 Frsvarsmaktens freskrifter om skerhetsskydd
Frsvarsmakten fr medge undantag frn bestmmelserna i denna frfattning. verbeflhavaren eller den
han eller hon bestmmer fattar beslut i renden om undantag.
35 vergngsbestmmelse i freskrifter (FIB 2010:6) om ndring i Frsvarsmaktens interna bestmmelser

(FIB 2006:2) om IT-skerhet
36 32 skerhetsskyddslagen och 2 skerhetsskyddsfrordningen
31
Frsvarsmakten fr medge undantag frn freskrifterna i denna frfattning. verbeflhavaren, eller den
han eller hon bestmmer, fattar beslut i renden om undantag.

handlingar
Frsvarsmakten fr medge undantag frn bestmmelserna i denna frfattning. verbeflhavaren eller den
han eller hon bestmmer fattar beslut i renden om undantag.
15 kap. 1 Frsvarsmaktens interna bestmmelser om IT-skerhet
verbeflhavaren r den som beslutar frfattningarna. Drfr ska det ocks vara
verbeflhavaren eller, den han eller hon bestmmer, som fattar beslut i renden om
undantag. Av den anledningen kan ingen annan person fatta beslut om undantag frn
en freskrift utan att frst ha blivit bemyndigad av verbeflhavaren.
verbeflhavaren, eller den han eller hon bestmmer, beslutar ven om en annan myn-
dighets undantag frn freskrifter i Frsvarsmaktens freskrifter om skerhetsskydd.
Det r normalt skerhetskontoret vid Must som i samverkan med den juridiska sta-
ben i Hgkvarteret bereder renden om undantag som rr militr skerhetstjnst. Vid
beredning av ett sdant rende mste det framg vilken risk som tas om ett beslut om
undantag medges.
32
2 Skerhetsplanering
2.1 Allmnt
Skerhetsplanering omfattar skerhetsanalys, skerhetsplan och skerhetsbestmmel-
ser. Skerhetsplanering r en systematisk process som utgende frn vra skyddsvrda
tillgngar bedmer de risker som freligger och faststller hur dessa ska hanteras.
SKERHETS- SKERHETS- SKERHETS-

ANALYS PLAN BESTMMELSER
SKERHETSPLANERING
Bild 2.1 Omfattning av skerhetsplanering.
Skerhetsplanering r inte en isolerad freteelse, utan en vl integrerad del av den fort-

lpande planering, genomfrande och uppfljning som skerhetstjnst innebr. Sker-
hetsplanering mjliggr vidare att svl tillmpliga som kostnadseffektiva skyddst-
33
grder vidtas, samtidigt som regelverkets krav p en lgsta niv av skerhetsskydd
uppfylls.
Genomfrandet av skerhetsplanering r heller inte en engngsfreteelse vars resultat

gller fr all framtid. Den genomfrs regelbundet och vid srskilda behov med hnsyn
till bland annat regelverkets krav samt frndringar av verksamhet, uppgift, hotbild,
srbarhet och skyddsvrda tillgngar. Skerhetsplanering r drmed en dynamisk pro-
cess vilken krver fortlpande uppfljning och utvrdering.
Frsta gngen skerhetsplanering genomfrs vid en enhet eller fr en viss verksam-

het kommer att vara den mest resurs- och tidskrvande. Fortlpande frndringar och
uppdateringar utgr frn tidigare genomfrt arbete och leder drfr till en minskning
av de resurser och den tid som krvs. All skerhetsplanering ska drfr dokumenteras
i syfte att dels spara resurser, dels stadkomma ndvndig sprbarhet.
Effekten av skerhetsplanering avgrs i hg grad av chefens roll och instllning. Avg-

rande r att chefen stdjer skerhetsplaneringens ml och syfte och att det stdet tyd-
liggrs p alla niver samt att chefen i bde ord och handling stdjer svl implemen-
tering som tillmpning av fattade beslut om skyddstgrder.
En vl genomfrd skerhetsplanering resulterar dessutom i ett kat skerhetsmedve-

tande p alla niver av organisationen.
All skerhetsplanering ska utg frn en verksamhetsanalys1. En verksamhetsanalys

svarar bland annat p frgorna:
Vilken eller vilka uppgifter ska lsas?

Vilken eller vilka verksamheter genomfrs?
Vem eller vilka ansvarar fr vilken verksamhet?
Vilken personal eller enhet genomfr verksamheten?
Vilken materiel krvs fr att genomfra verksamheten?
Vilken information krvs fr att genomfra verksamheten?
Vilka anlggningar krvs fr att genomfra verksamheten?
Vilka faktorer i vrigt pverkar eller kan komma att pverka verksamheten?
Vilka konsekvenser fr det fr verksamheten om ngot av ovanstende skadas, fr-
strs, frsenas, uteblir, rjs etc.?
En verksamhetsanalys utgr grunden fr all skerhetsplanering och genomfrs av den

eller de med ansvar fr verksamheten. En vl genomfrd verksamhetsanalys innebr
1 Analys av befintlig eller nskad verksamhet inom, mellan eller fr flera organisationer. Kan avse svl ver-
gripande funktioner som delfunktioner i syfte att beskriva och frst denna.
34
att genomfrandet av skerhetsanalysen underlttas (frmst vad avser steg 1, att iden-
tifiera och prioritera de skyddsvrda tillgngarna).
Innan skerhetsplaneringen pbrjas faststlls grundvrden genom en analys av upp-

giftens innebrd, av vilken det br framg syfte, omfattning, eventuella avgrnsningar,
ansvars- och tidsfrhllanden samt vriga styrande ingngsvrden. I grundvrden
ingr verksamhetsanalysen. Genomfrs en regelverksanalys ingr ven den i grund-
vrden.2 Den som ska genomfra skerhetsplaneringen ansvarar fr att den genomfrs
p ett stt som tar hnsyn till faststllda grundvrden. Faststllda grundvrden avgr
bland annat omfattningen, svl djup som bredd, av skerhetsanalysen.
2.2 Skerhetsanalys
I 5 skerhetsskyddsfrordningen (1996:633) finns freskrifter om skerhetsanalys. Vad som dr freskrivs
om sdan analys och dokumentation skall fullgras av varje organisationsenhet. Av 1 kap. 6 Frsvarsmak-
tens freskrifter (FFS 2003:7) om skerhetsskydd och 2 i detta kapitel fljer att varje organisationsenhet
skall gra hot-, risk- och srbarhetsanalyser, vilka skall ing i en skerhetsanalys. Med skerhetsanalysen
som grund skall en skerhetsplan upprttas.
Inom Frsvarsmakten innebr tillmpningen av regelverket att alla skyddsvrda till-

gngar vilkas pverkan av onskade hndelser medfr negativa konsekvenser fr verk-
samheten identifieras i en skerhetsanalys ven om skadan inte endast rr rikets sker-
het.
Vidare innebr tillmpningen att begreppet skerhetsanalys inom ramen fr bedri-

vande av skerhetstjnst har kommit att avse svl identifiering och prioritering av
skyddsvrda tillgngar, bedmning av skerhetshot, srbarheter och risker som prio-
ritering och hantering av risker inklusive beslut om skyddstgrder. Begreppet sker-
hetsanalys r i detta avseende att jmfra med begrepp som riskanalys eller risk mana-
gement.
Modellen fr skerhetsanalys i detta kapitel r ett exempel p tillmpning av Frsvars-

maktens Riskhanteringsmodell.3
Frsvarsmakten Riskhanteringsmodell r generell och innebr att:
2 Regelverksanalys kallades tidigare fr frfattningsanalys. Regelverksanalys beskrivs i H SK Infosk.

3 Handbok Frsvarsmaktens gemensamma riskhanteringsmodell (2009)
35
Modellen som sdan kan anvndas fr hantering av risker inom olika typer av
verksamheter, t.ex. skerhetstjnst, internationella insatser, trafikskerhet, arbets-
miljarbete, miljskerhet samt hlso- och sjukvrd.
Modellen r anvndbar p alla niver inom Frsvarsmakten.
Modellen kan anvndas svl inom Frsvarsmakten som i verksamheter dr andra
myndigheter eller organisationer ingr.
Modellen fr skerhetsanalys verensstmmer dessutom i allt vsentligt med NATO

Security Risk Management Process (NSRMP, AC/35-D/1035) och EU GSC Policy on
Risk Management (PROC-P-05/ISP205).
Till skillnad frn exempelvis frskringsbranschen r det svrt att kvantifiera de i

en skerhetsanalys ingende vrdena. ven om modellen inte r att betrakta som en
metod ur ett rent vetenskapligt hnseende har den en holistisk utgngspunkt och inne-
hller inslag av svl kvalitativa som kvantitativa metoder. Emellertid r skerhets-
tjnstens verklighet sdan att ett statistiskt kllmaterial ofta saknas, varfr de kvalita-
tiva inslagen vervger.
Begrepp Beskrivning
En mnsklig aktrs mjligheter att medvetet frorsaka en onskad
Aktrsdrivna hot
hndelse med negativa konsekvenser (H SK Grunder 2013).
Mjlig, onskad hndelse med negativa konsekvenser fr verksamhe-
ten (SIS HB 550 Utgva 3).
Hot
Indelas i aktrsdrivet respektive icke aktrsdrivet hot (H SK Grunder
2013).
Uppsttning hot som bedms freligga mot en viss verksamhet (SIS
Hotbild
HB 550 Utgva 3).
Mjlig, onskad hndelse med negativa konsekvenser fr verksamhe-
ten, vilken ej r frorsakad av en mnsklig aktrs avsiktliga grningar
(H SK Grunder 2013).
Icke aktrsdrivet
hot Generellt kan icke antagonistiska hot indelas i tre kategorier:
Naturliga fenomen (t ex naturkatastrofer, sjukdomar)
Fel i tekniska system (t ex buggar, materialfel)
Icke uppstliga mnskliga grningar (t ex slarv, olyckor)
Resultat av en hndelse med negativ inverkan (SIS HB 550 Utgva 3).
I en skerhetsanalys behandlas frmst utfallet av onskade hndel-
ser, dvs. hndelser med en eller flera konsekvenser som r negativa
Konsekvens fr verksamheten. Konsekvensen skall i en skerhetsanalys ses som en
bedmning av vrdet eller kostnaden av den skada som uppstr i en
skyddsvrd tillgng om en onskad hndelse intrffar till fljd av ett
visst hot.
Tillvgagngsstt fr att pverka en skyddsvrd tillgng (FM Riskhan-
Modus operandi
teringsmodell 2009).
36
Begrepp Beskrivning
Risker uttrycks ofta i termer av en kombination av en hndelses kon-
sekvenser (inklusive ndrade omstndigheter) och drtill relaterad
sannolikhet fr frekomst (ISO Guide 73:2009). I en skerhetsanalys
innebr risk en systematisk sammanvgning av frvntad sannolikhet
Risk
fr och konsekvens av att en onskad hndelse intrffar till fljd av ett
visst hot, kopplat till en definierad verksamhet, en specifik skyddsvrd
tillgng och en specifik konsekvensskala. En bedmd risk uttrycks i en
av fem riskniver.
Riskacceptans Beslut att acceptera en risk (ISO/IEC Guide 73:2002)
Process som identifierar skerhetsrisker och bestmmer deras bety-
Riskanalys
delse (ISO/IEC Guide 73:2002). Se ven skerhetsanalys.
Process fr att vrdera sannolikheten och konsekvensen hos en risk
Riskbedmning
(ISO/IEC Guide 73:2002).
Samordnade aktiviteter fr att styra och kontrollera en organisation
Riskhantering
med avseende p risk (ISO/IEC Guide 73:2002)
Medvetna (dokumenterade) chefsbeslut om hur chefen stller sig till
Riskhanterings- analyserade risker i frhllande till vrdet av skta effekter eller upp-
beslut giftens lsande och kostnader fr riskminskning. (FM Riskhanterings-
modell 2009).
Sannolikhet Sannolikheten fr att en hndelse intrffar. (ISO/IEC Guide 73:2002)
Skyddsvrd till- De tillgngar som anses ha ett srskilt vrde (FM Riskhanteringsmo-
gng dell 2009). Se ven kap. 1 avsnitt 1.2.1.
Handling, procedur eller tekniskt arrangemang som, genom att
minska srbarheten mter identifierat hot (SIS HB 550 Utgva 3). Med
skyddstgrd avses i detta sammanhang ven sdana skyddstgr-
Skyddstgrd der som vidtas med avseende p skerhetsskyddskrav, dvs. sker-
hetsskyddstgrder. Vidare avses ocks tgrder som minskar en risk
genom att undvika den, verfra den eller som reducerar identifie-
rade hot.
Srbarhet Brist i skyddet av en tillgng exponerad fr hot. (SIS HB 550 Utgva 3)
Tillmpningen av begreppet skerhetsanalys inom ramen fr bedri-
vande av militr skerhetstjnst avser svl identifiering och priorite-
ring av skyddsvrda tillgngar, bedmning av skerhetshot, srbarhe-
Skerhetsanalys
ter och risker som prioritering och hantering av risker inklusive beslut
om skyddstgrder. Begreppet skerhetsanalys r i detta avseende att
jmfra med begrepp som riskanalys eller risk management.
Allt som r av vrde fr organisationen (SIS HB 550 Utgva 3). Se ven
Tillgng
kap. 1 avsnitt 1.2.1.
En skerhetsanalys innehller i regel sdana uppgifter som om de rjs fr obehrig
kommer att medfra ett men eller skada fr totalfrsvaret och rikets skerhet varfr
en genomfrd skerhetsanalys i regel omfattas av sekretess enligt 15 kap. 2 OSL, men
kan ven innehlla uppgifter vilka omfattas av annan sekretess n den s kallade fr-
svarssekretessen.
37
2.2.1 Genomfrande av skerhetsanalys
1
IDENTIFIERA 2
OCH
BEDM
PRIORITERA
SKERHETSHOT 5
SKYDDSVRDA 5
4
TILLGNGAR 4
3
3
2
2
1
1
5 3
PRIORITERA 5
BEDM 4
OCH
SRBARHET 3
HANTERA RISKER 2
1
SANNOLIKHET
5
4 4 3-4 4-5
BEDM 3 RISK
RISK 2
1-3 3-4
1
1 2 3 4 5
KONSEKVENS
Bild 2.2 Schematisk bild av modell fr skerhetsanalys.
En skerhetsanalys omfattar fem steg:
Steg 1 - Identifiera och prioritera skyddsvrda tillgngar

Steg 2 - Bedmning av skerhetshot
Steg 3 - Bedmning av srbarhet
Steg 4 - Bedmning av risk
Steg 5 - Prioritera och hantera risker (riskhanteringsbeslut)
38
Att identifiera och prioritera skyddsvrda tillgngar, bedma skerhetshot, srbarhet
och risk samt att prioritera och hantera risker inom ramen fr en skerhetsanalys r
normalt ett omfattande och komplext arbete. Ngon genvg i form av en frenklad
modell finns drfr inte. Modellen (bild 2.2) fr skerhetsanalys r densamma ven
om den kan tillmpas p olika stt. Hur den tillmpas beror p de grundvrden som
faststllts innan skerhetsanalysen pbrjas, inte minst vad avser tillgnglig tid. Kapit-
let omfattar frmst en beskrivning av grundlggande metod fr genomfrande av
skerhetsanalys, men beskriver ocks i korthet alternativa tillmpningar. Vid genom-
frande av en skerhetsanalys d kort om tid str till frfogande eller d verksamheten
r okomplicerad och av mindre omfattning anpassas tillmpningen. Det r sledes til-
lmpningen, inte modellen, som kan frenklas.
En skerhetsanalys dokumenteras lmpligen p ett stt som innebr bra verblick sam-
tidigt som dokumentationen resulterar i god sprbarhet. Sprbarheten innebr att det
r lttare att g tillbaka i analysen fr att hrleda vilka faktorer som legat till grund fr
olika bedmningar, frslag eller beslut. Exempel p utdrag ur dokumentation utgrs i
detta kapitel av tabeller med gr rubrikrad.
Resultatet av en skerhetsanalys redovisas p lmpligt stt. Vid redovisning br minst

de viktigaste slutsatserna framg i form av identifierade risker och hur de ska hante-
ras (riskhantering). vrigt underlag dokumenteras p lmpligt stt fr att vid behov
kunna anvndas fr att frklara eller motivera olika bedmningar och tgrder. Exem-
pel p disposition av en sdan redovisning framgr av bilaga 1.
Att lta skerhetsorganisationen genomfra skerhetsanalysen utan std frn verk-

samhetsansvariga kan inledningsvis uppfattas vara tidsbesparande, men leder oftast
till en ofullstndig skerhetsanalys med bristande kvalitet i behov av revidering och
komplettering. Ansvaret fr att gra en skerhetsanalys ligger i stllet p den som
ansvarar fr verksamheten, med std av skerhetsorganisationen.
39
2.2.2 Steg 1 - Identifiera och prioritera skyddsvrda tillgngar
IDENTIFIERA OCH
PRIORITERA
SKYDDSVRDA
TILLGNGAR
Vilka tillgngar
(personal, materiel, information,
anlggningar, verksamhet) krver
skydd med hnsyn till rikets
5
skerhet, skydd mot
terrorism eller skydd i vrigt? 4
Bedm konsekvensen av att 3
tillgngarna utstts fr onskade
hndelser. 2
1
Bild 2.3 Under skerhetsanalysens frsta steg identifieras och prioriteras de skyddsvrda tillgngarna.
Under detta steg av skerhetsanalysen identifieras och prioriteras de skyddsvrda till-

gngarna. Konsekvensen av att respektive tillgng pverkas negativt av en onskad
hndelse beskrivs och ligger till grund fr en konsekvensbedmning enligt en femgra-
dig skala. Konsekvensbedmningen utgr sedan ett direkt ingngsvrde under steg 4
(bedmning av risk) av skerhetsanalysen.
Resultatet av verksamhetsanalysen utgr grunden fr att identifiera de skyddsvrda

tillgngarna. Har verksamhetsanalysen genomfrts p rtt stt r tillgngarna i allt
vsentligt redan identifierade.
Fr att underltta identifieringen av vilka tillgngar som r skyddsvrda kan dessa

indelas p flera olika stt. Denna indelning anvnds med frdel redan i verksamhets-
analysen. Ett exempel p en generell indelning av tillgngar r personal, materiel, infor-
mation, anlggningar och verksamhet.
40
Tillgng
Personal
Materiel
Datalektionssal (15 PC inkl bildskrm/tangentbord, 2 laserskrivare,
Datorutrustning 1 bildprojektor)
Brbar PC (total 35, ej sekretessbelagd information)
Information
Anlggningar
Verksamhet
Tabell 2.1 Exempel p generell indelning av skyddsvrda tillgngar.
I arbetet med att identifiera vad det r som r en skyddsvrd tillgng bryts dessa kate-
gorier stegvis ner i underkategorier som efterhand kar i detaljeringsgrad. Slutresul-
tatet r specifika tillgngar i form av en viss person eller personalkategori, ett specifikt
materielslag, enskilda uppgifter, en bestmd anlggning eller en operation eller verk-
samhet bestmd i tid, rum och syfte.
I vissa fall kan ovanstende indelning av skyddsvrda tillgngar vara problematisk,

inte sllan kan exempelvis personal sitta inne med information om en viss verksam-
het, varvid indelningen enligt ovan riskerar att komplicera identifieringen av vad det
r som r skyddsvrt. Av den anledningen kan det ibland vara lmpligare att anvnda
sig av annan indelning, exempelvis genom att utg frn de verksamheter som bedrivs
eller att utg frn de hot vilka bedms vara aktuella.
41
Frsvarsattach i X-land
VERKSAMHETSANALYS
Arbete p Resor mellan Bostad och

frsvarsavdelning arbetsplats och bostad fritid
SKERHETSANALYS
RISKOMRDE 1 RISKOMRDE 2 RISKOMRDE 3
Arbete p Resor mellan Bostad och

frsvarsavdelning arbetsplats och bostad fritid
Tillgngar Tillgngar Tillgngar
Hot Hot Hot
Srbarheter Srbarheter Srbarheter
Risker Risker Risker
Riskhantering Riskhantering Riskhantering
Bild 2.4 Schematisk bild ver anvndning av riskomrden (scenarion) vid genomfrande av en skerhetsanalys.
En alternativ tillmpning som kan anvndas vid genomfrande av en skerhetsana-

lys r att identifiera flera riskomrden eller scenarion och utg frn dessa i den fort-
satta analysen (bild 2.4). Omrdena identifieras genom verksamhetsanalysen. Denna
tillmpning kan uppfattas som enklare och mer verskdlig n den grundlggande
metod som beskrivs i kapitlet i vrigt. Respektive steg genomfrs dock i likhet med
grundmetoden. Metoden kan med frdel anvndas d tillgnglig tid fr att genom-
fra skerhetsanalysen r begrnsad, men kan ven anvndas vid analyser med strre
komplexitet.
42
SKERHETSANALYS
Rn eller verfall
Inbrott p Inbrott
mellan arbetsplats
frsvarsavdelning i bostaden
och bostad
Tillgngar Tillgngar Tillgngar
Hot Hot Hot
Srbarheter Srbarheter Srbarheter
Risker Risker Risker
Riskhantering Riskhantering Riskhantering
Bild 2.5 Schematisk bild ver genomfrande av en skerhetsanalys utgende frn aktuella hot.
Ytterligare exempel (bild 2.5) p alternativ tillmpning av skerhetsanalysmodellen

r att utg frn ett antal specifika hot (kan vara svl aktrsdrivna som icke-aktrs-
drivna). Denna metod anvnds ibland vid skerhetsanalyser rrande IT-system. Ris-
ken med denna form av tillmpning r att analysen tenderar att fokusera p identifie-
rade eller presumtiva hot och de tillgngar som dessa hot kan pverka. Andra, kanske
hgre prioriterade tillgngar, riskerar drfr att inte identifieras liksom andra, oknda
hot.
Tillgng
Frsvarsattachbesk frn 15 attacher under 2 dagar Undskavd MR ansvar fr
Xland vid ygottilj F55 080101-080102 attachernas skerhet under
besket (frlggning, trans-
porter etc.)
Personal Under besket deltar C, Stf C, Stf C F55 samt stabs-
C F55, stabschef, divisions- chef Har tillsammans en
chef Urban Grn, 10 piloter mycket god kunskap om
ur samma division samt per- svl utvecklingsverksamhet,
sonal vid klargringstropp incidentberedskap och pla-
Grn nering av skarp verksamhet.
Ansvarig fr planlggning
och genomfrande av bes-
ket r stabschefen.
43
Tillgng
C Urban Grn - Frutom
ovanstende har divisions-
chefen genomfrt utbildning
i U-land och drvid erhllit
mycket goda kunskaper om
U-lands metodik avseende
Targeting processen.
Piloter ur Grn - Mycket god
kunskap om JAS 39 frmga
inkl. begrnsningar.
Tv av piloterna genomfrt
utbildning i U-land avseende
CAS.
Klargringstropp - God
inblick i vissa tekniska
begrnsningar avseende
underhll av JAS 39.
Materiel - JAS 39 C/D JAS 39 C/D. Skyddsvrd
- Flygsimulator Flybox 360 materiel - se MATSK
Flybox 360 - skarp databas r
HEMLIG/SECRET (kommer ej
anvndas vid besket).
Information Ingen sekretessbelagd infor- Se vidare under vriga till-
mation kommer att delges gngar.
beskare
Anlggningar Besket omfattar information Flottiljstab - Skyddsvrda
- Flottiljstab lokaler r stabsexp och kryp-
- Urban Grn torum.
- Flygbasen RAKBANA Urban Grn - Skyddsvrd
lokal r planeringsrum inklu-
sive serverutrymme.
RAKBANA - Skyddsvrda
platser r radarcentralen
LILLBERGET.
44
Tillgng
Verksamhet - Allmn presentation av F55 Presentation F55 - Ej sekre-
- Frevisning Flybox 360 inkl tessbelagd presentation
mjlighet fr beskare att kommer att anvndas.
prova simulatorn Ansvarig flottiljchefen.
- Besk RAKBANA och fre- Flybox 360 - Simulatorpro-
visning landning, klargring gramvara EXERCISE kommer
och start av rote ur Urban att anvndas (obevpnade
Grn flygplan). Ansvarig C Urban
Grn.
RAKBANA - Klargringstrop-
pen kommer att agera
enligt ordinarie rutiner, men
endast blind vapenmateriel
anvnds. Ansvarig Stf C F55.
Tabell 2.2 Exempel p identifiering av skyddsvrda tillgngar med utgngspunkt i en viss verksamhet.
En identifiering och prioritering av skyddsvrda tillgngar svarar p frgorna:
Vilka skyddsvrda tillgngar i organisationsenhetens verksamhet krver ett sker-

hetsskydd med hnsyn till rikets skerhet eller skyddet mot terrorism?
Vilka vriga skyddsvrda tillgngar krver skyddstgrder?
Vilka onskade hndelser har en negativ effekt p identifierade skyddsvrda till-
gngar?
Hur ska de skyddsvrda tillgngarna prioriteras med hnsyn till de konsekvenser
som uppstr om onskade hndelser intrffar?
Att identifiera vad som r skyddsvrt kan i viss utstrckning gras med hjlp av gene-
rella regler eller anvisningar. Exempel p sdana generella anvisningar fr vad som
krver ett skerhetsskydd med hnsyn till rikets skerhet framgr bl a av H SK Sekre-
tessbedmning Del B.
Frsvarsmaktens verksamhet innebr emellertid att hnsyn mste tas till varje specifik
situation. Vilka uppgifter som omfattas av sekretess frndras bland annat beroende p
nr, var och hur verksamheten bedrivs.
Vad som skadar tillgngarna och drmed Frsvarsmakten varierar beroende p flera
olika faktorer:
I vilken verksamhet frekommer tillgngen?

Vilka r beroende av tillgngen?
Nr r vi beroende av tillgngen?
45
P vilket stt r vi beroende av tillgngen?
Vilka konsekvenser medfr rjande, skada, frstring etc. av tillgngen?
Flera faktorer pverkar omfattningen av konsekvens och dessa kompletterar ovanst-

ende frgestllningar:
terfinns tillgngen endast inom aktuell organisationsenhet?

r tillgngen s kritiskt att verksamheten r beroende av den fr att n framgng?
Krver verksamheten att tillgngen alltid r tillgnglig?
Vad kommer ett terstllande eller terskapande att kosta i form av tid, resurser och
pengar? Var kostnaden fr att skapa tillgngen s omfattande att den inte r mj-
ligt att erstta?
Vid arbetet med att identifiera vilka tillgngar som r skyddsvrda br ven uppmrk-
sammas att tillgngar inte har samma vrde fr olika personer eller funktioner inom
en organisation och att alla tillgngar inte r kritiska fr verksamhetens genomfr-
ande.
Utver de tillgngar som krver ett skerhetsskydd frekommer ven andra typer av
tillgngar som behver skyddas, exempel p sdana tillgngar r sekretessklassifice-
rade uppgifter och stldbegrlig materiel.
Fr att kunna identifiera vad som r skyddsvrt krvs en mycket god kunskap om svl
organisation, uppgifter som verksamhet. Det innebr att resurser ven utanfr under-
rttelse- och skerhetsfunktionen kommer att behva delta under genomfrandet av
en skerhetsanalys. Arbetet kan drfr komma att krva omfattande intervjuer av per-
sonal som besitter ndvndiga kunskaper. Chefer p olika niver inom organisationen
utgr en viktig resurs, varfr denna kategori redan i ett tidigt skede ska delta i arbetet
med att ta fram de ingngsvrden som krvs fr att rtt identifiera vad som r skydds-
vrt.
Fljande frgor r exempel p frgestllningar vilka kan anvndas i arbetet med att
identifiera skyddsvrda tillgngar, t.ex. som underlag vid intervjuer.
Vilken verksamhet genomfrs vid aktuell organisationsenhet?

Vad i verksamheten r avgrande fr att n framgng?
Beskriv de personalkategorier som deltar i verksamheten (fast anstlld personal,
vikarier, beskare, konsulter, utlndsk personal etc.)?
Vilka uppgifter r knsliga med hnsyn till verksamhetens genomfrande (svl
sekretessbelagd som knslig, men icke sekretessbelagd information identifieras)?
Vilken kritisk (organisations- och/eller effektbestmmande) materiel eller i vrigt
vrdefull utrustning finns inom organisationen?
46
Var finns denna materiel och/eller utrustning?
Beskriv frvntade konsekvenser av att tillgngarna rjs, skadas, frstrs etc.?
Vad innebr det fr en motstndare att f tillgng till de skyddsvrda tillgngarna?
Vad frlorar vi? Vad vinner en motstndare?
r tillgngen fortfarande vrdefull fr oss ven om en motstndare har tillgng till
den?
Vad har tillgngen kostat oss?
Hur r behovet av att skydda denna specifika tillgng jmfrt med andra vrdefulla
tillgngar?
Fr att kunna analysera vilka konsekvenser som kan uppst krvs att de onskade hn-
delser som kan pverka respektive tillgng negativt identifieras. Inledningsvis utifrn
en generell indelning och drefter genom en alltmer detaljerad beskrivning.
Sker inte denna nedbrytning av detaljeringsgraden riskerar skerhetshotbedmningen

(steg 2 av skerhetsanalysen) att medfra en alltfr generell och oprecis hotbedm-
ning vilket kommer att resultera i en riskbedmning som inte gr att omstta i speci-
fika skyddstgrder.
Nedanstende femgradiga skala fr bedmning av konsekvens r ett exempel p en

generell konsekvensbeskrivning. Konsekvensbeskrivningarna kan behva anpassas4
beroende p i vilken verksamhet tillgngarna frekommer samt med hnsyn till typ
av tillgng. Till exempel kan en konsekvensbeskrivning av en materielfrlust inte med
sjlvklarhet anvndas fr att beskriva konsekvenserna av skadad eller ddad personal.
En negativ pverkan p en specifik tillgng kan drfr resultera i en viss konsekvens-
bedmning fr en verksamhet och en helt annan vid andra typer av verksamhet.
Bedmning av konsekvens, liksom bedmningar av srbarhet, sannolikhet och risk

ska drfr ses som relativa. Av den anledningen kan inte resultatet av olika skerhets-
analyser jmfras utan att hnsyn tas ven till frutsttningarna fr respektive ana-
lys. Att beskriva och gradera konsekvensen av en onskad hndelse r chefens ansvar.
Fr att i steg 4 f en strre spridning av identifierade risker kan den femgradiga skalan
vid bedmning av konsekvens och sannolikhet graderas i fler skalsteg. Oftast rcker
det med en tiogradig indelning, men det finns inget som hindrar en strre gradering
n s. Graderingen av skalan fr bedmning r bara ett hjlpmedel och ndrar inte den
slutliga bedmningen av risker i en femgradig skala.
4 Konsekvensen skiljer sig t beroende p om det r organisationens perspektiv eller den enskildes perspektiv
som utgr grund fr bedmningen. Konsekvensen fr organisationen kan drfr bedmas som frsum-
bart samtidigt som det fr den enskilde kan f mycket allvarliga konsekvenser, ex vis vid ett rjande av en
enskilds patientjournal.
47
Av nedanstende tabell framgr dels en generell konsekvensbeskrivning, vilken kan
anvndas fr alla typer av tillgngar utom hemliga och utrikesklassificerade uppgifter,
dels en konsekvensbeskrivning fr hemliga och utrikesklassificerade uppgifter. Att det
finns tv parallella konsekvensbeskrivningar beror p att definitionen av respektive
informationsskerhetsklass i sig r en faststlld konsekvensbeskrivning.
Nr det gller konsekvensbeskrivning av sekretessklassificerade uppgifter r det vik-

tigt att sekretessbedmningen inte blandas ihop med bedmning av konsekvens och
drtill hrande konsekvensbeskrivning. Sekretessbedmningen resulterar i detta fall
i att informationen klassas som sekretessklassificerad. Fr att komma fram till att
en uppgift r sekretessklassificerad rcker det med att kunna anta att skaderekvisi-
tet enligt OSL r uppfyllt. Ngon bedmning av omfattningen av skadan, det vill sga
konsekvensen, sker inte i samband med sekretessbedmningen. Vilket r precis som
fr vriga typer av sekretesskategorier. Fr att en sekretessklassificerad uppgift inom
ramen fr en skerhetsanalys ska kunna prioriteras, krvs det att den r jmfrbar
med andra typer av sekretessklassificerade uppgifter samt hemliga och utrikesklas-
sificerade uppgifter. Det innebr att den sekretessklassificerade informationen mste
bedmas med avseende p vilken konsekvens som uppstr om informationen utstts
fr en onskad hndelse. Bedmningen av konsekvens sker med std av den gene-
rella konsekvensbeskrivningen och resulterar i att sekretessklassificerad information
har identifierats och prioriterats med std av en konsekvensbedmning. D hemliga
och utrikesklassificerade uppgifter redan r konsekvensbedmda genom inplacering i
informationsskerhetsklass kan dessa jmfras och prioriteras i frhllande till sekre-
tessklassificerade uppgifter. Ngot som inte r mjligt endast genom sekretessbedm-
ning av sekretessklassificerade uppgifter.
ven om en konsekvensbedmning av sekretessklassificerade uppgifter kan resultera

i att konsekvensen p den femgradiga skalan bedmts till motsvarande niv som fr
hemliga eller utrikesklassificerade uppgifter, innebr det inte att en sekretessklassi-
ficerad uppgift krver ett skerhetsskydd.5 Grundkraven vad avser skyddsniver fr
olika sekretesskategorier framgr av regelverket. En konsekvensbedmning av sekre-
tessklassificerad information kan dremot ligga till grund fr vl medvetna val att ka
skyddsnivn utver den som regelverket anger.
Bedmning av konsekvens
Gradering Generell konsekvensbeskriv- Konsekvensbeskrivning avse-
ning samt konsekvensbe- ende informationsfrlust av
skrivning vid informationsfr- hemliga eller utrikesklassifice-
lust av sekretessklassificerade rade uppgifter1
uppgifter.
5 Se avsnitt 1.4.1 i denna handbok.
48
Synnerli- (9-10) Frvntade konsekvenser Hemliga uppgifter vars
5 gen
allvarlig
medfr en synnerlig nega-
tiv effekt. Konsekvenserna
rjande kan medfra synner-
ligt men fr totalfrsvaret eller
innebr synnerligen allvar- frhllandet till en annan stat
liga negativa effekter av stor eller en mellanfolklig orga-
omfattning, under lng tid nisation eller i annat fall fr
och utgr ett direkt hot mot rikets skerhet (kvalificerat
organisationen. Konsekven- hemliga uppgifter).
serna r inte begrnsade till Hemlig handling som har
enstaka frmgor eller funk- satts beteckningen TOP
tioner inom organisationen. SECRET eller motsvarande av
en utlndsk myndighet eller
mellanfolklig organisation.
Allvarlig (7-8) Frvntade konsekvenser r Hemliga uppgifter vars
4 betydande. Konsekvenserna
r allvarliga, av stor omfatt-
rjande kan medfra bety-
dande men fr totalfrsvaret
ning eller av vsentlig art och eller frhllandet till en annan
innebr ett direkt hot, om n stat eller en mellanfolklig
mot avgrnsade frmgor organisation eller i annat fall
eller funktioner inom organi- fr rikets skerhet.
sationen. Hemlig handling som har
satts beteckningen SECRET
eller motsvarande av en ut-
lndsk myndighet eller mel-
lanfolklig organisation.
Knnbar (5-6) Frvntade konsekvenser r Hemliga uppgifter vars
3 inte obetydliga och ven-
tyrar, vllar skada, hindrar,
rjande kan medfra ett inte
obetydligt men fr totalfr-
underlttar, innebr strre svaret eller frhllandet till en
avbrott samt medfr ptag- annan stat eller en mellanfolk-
liga negativa effekter om n i lig organisation eller i annat
begrnsad omfattning. fall fr rikets skerhet.
Hemlig handling som har
satts beteckningen CONFI-
DENTIAL eller motsvarande
av en utlndsk myndighet
eller mellanfolklig organisa-
tion.
49
Lindrig (3-4) Frvntade konsekvenser Hemliga uppgifter vars
2 r ringa och begrnsas till
att pverka, frsvra, hindra,
rjande kan medfra endast
ringa men fr totalfrsvaret
undergrva, misskreditera eller frhllandet till en annan
eller stra verksamheten i stat eller en mellanfolklig
mindre omfattning. organisation eller i annat fall
fr rikets skerhet.
Hemlig handling som har
satts beteckningen RESTRIC-
TED eller motsvarande av
en utlndsk myndighet eller
mellanfolklig organisation.
Frsum- (1-2) Konsekvenser fr verksamhe- Uppgifter r inte hemliga
1 bar ten r frsumbara. eller utrikesklassificerade.
Tabell 2.3 Bedmning av konsekvens sker enligt en femgradig skala.
50
Bedmning
av konsekvens
5 Synnerligen
Onskade Konsekvens allvarlig
Tillgng
hndelser beskrivning 4 Allvarlig
3 Knnbar
2 Lindrig
1 Frsumbar
Personal
Materiel
Vrdet p utrust-
ningen i datalek-
tionssalen uppgr
Inbrott i datalek- till 0,5 miljoner kr.
tionssal och omfat- Vid frlust av utrust-
tande frstring eller ningen kommer 4 (7)1
stld av datorutrust- infrandet av det
ning. nya verksamhetsled-
ningssystemet att
frsenas med ca 6
Datorutrustning mnader.
(Inbrott) i datalek- Frlust av enstaka
tionssal och begrn- utrustning (dator,
2 (3)2
sad stld av datorut- skrivare och bildpro-
rustning. jektor), < 30 kkr
Kostnaden fr varje
brbar PC r ca 10
Stld eller frlust p
kkr. Informationsfr-
annat stt av brbara 2 (4)
luster kan i vrsta fall
PC.
ta 2-3 veckor att ter-
stlla.
Information
Anlggningar
Verksamhet
1) Anger konsekvensbedmningen i skalan 1-5 och (7) anger den mer precisa bedmningen.
2) Stld genomfrd av insider bedms omfatta en mindre mngd utrustning.
Tabell 2.4 Exempel p utdrag ur kalkylblad avseende steg 1 av skerhetsanalysen.
Innan steg 2 pbrjas ska ansvarig chef godknna och faststlla resultatet av steg 1 d
detta steg utgr ingngsvrden fr resterande del av skerhetsanalysen.
51
2.2.3 Steg 2 - Bedmning av skerhetshot
BEDM SKERHETSHOT
Bedm den skerhetshotande
verksamhet (underrttelseverk-
samhet, kriminalitet, terrorism,
sabotage, subversion) som kan
hota tillgngarna.
Bedm andra former av hot; 5
olyckhndelser, slarv, brand, 4
strmavbrott och versvm-
ning etc. som kan hota 3
tillgngarna. 2
1
Bild 2.6 Under steg 2 bedms skerhetshotet.
En hotbedmning resulterar i en bedmd hotniv enligt en femgradig skala. Den

bedmda hotnivn innebr en samlad bedmning av en eller flera aktrers kapaci-
tet, intention och tillflle, att i tid och rum, direkt eller indirekt, angripa eller p annat
stt medvetet pverka en eller flera identifierade skyddsvrda tillgngar. I riskhante-
ringssammanhang r den bedmda hotnivn dessutom kopplad till en eller flera akt-
rers mjlighet att anvnda sig av specifika metoder (modus) vilka resulterar i specifika
onskade hndelser.
Ovanstende beskrivning av hotbedmning avser aktrsdrivna hot, det vill sga hot
bakom vilket det str en aktr i form av en individ, grupp, ntverk, organisation,
stat etc. Aktrsdrivna hot r normalt avsiktliga. I denna handbok omfattar en sker-
hetsanalys ven bedmning av icke aktrsdrivna hot vilka kan pverka identifierade
skyddsvrda tillgngar p ett negativt stt. Generellt finns tre kategorier av icke aktrs-
drivna hot; naturliga fenomen (t.ex. naturkatastrofer och sjukdomar), fel i tekniska
system (t.ex. buggar och materialfel), icke uppstliga mnskliga grningar (t.ex. slarv
och olyckor). Ett exempel p ett sdant hot eller onskad hndelse kan vara en brand
i en serverhall vilken kan resultera i svl frstrd materiel som frlorad information.
52
I de exempel p utdrag ur kalkylblad som redovisas i detta kapitel kan ett sdant hot
beskrivas under kolumnen aktr eller i en egen kolumn.
En bedmning av skerhetshotet svarar drfr p frgorna:
Vilka aktrer utvar ett hot mot vra skyddsvrda tillgngar?

Vilken kapacitet har aktrerna att genomfra skerhetshotande verksamhet?
Vilken intention (vilja) har aktrerna att realisera skerhetshoten?
Vilka tillfllen ges aktrerna att i tid och rum realisera skerhetshoten?
P samma stt som skyddsvrda tillgngar indelas i fem generella kategorier, brukar
skerhetshoten indelas i fem vergripande kategorier:
Frmmande underrttelseverksamhet
Kriminalitet
Sabotage
Subversion
Terrorism
Skerhetshotbedmning krver omfattande resurser och kunskaper att genomfra

varfr lokal och regional skerhetsorganisation i regel r beroende av std utanfr
egen organisation fr att rtt kunna bedma skerhetshotet. Skerhetsunderrttel-
setjnsten anvnder sig av alla tillgngliga resurser, inklusive underrttelsetjnsten i
vrigt vid bedmning av den skerhetshotande verksamheten.
Den skerhetshotbedmning som erhlls genom skerhetsunderrttelsetjnsten

anpassas till lokala eller regionala frutsttningar i syfte att genomfra en vl balanse-
rad skerhetsanalys.
Ska hotbedmningen vara anvndbar rcker det i regel inte med att endast redovisa
bedmd hotniv. Hotbedmningen br ven svara p frgorna; vem, var, nr, hur och
mot vad?
Exempel 2.1 Bedmd hotniv med hotbeskrivning.
Under attachbesket vid F21 i Lule v 735 kommer vi sannolikt st infr ett hgt hot avseende frmmande
underrttelseverksamhet frn Aktr A, riktat mot den skyddsvrda tillgngen JAS 39 jaktradar genom per-
sonbaserad inhmtning mot svensk nyckelpersonal.
53
I denna handbok redogrs inte fr hur skerhetsunderrttelsetjnst bedrivs och dr-
med inte heller hur en fullstndig bedmning av den skerhetshotande verksamheten
gr till. Fr ytterligare information om hot och hotbedmningar hnvisas till hand-
bckerna H SK Hot, Handbok bedmning antagonistiska hot samt H SK Skund
(hemlig).
Med hjlp av erhllen skerhetshotbedmning ska dremot ven personal som inte r
utbildad i skerhetsunderrttelsetjnst kunna genomfra en skerhetsanalys.
Den som ska genomfra en skerhetsanalys ansvarar fr att i god tid hos nrmast
hgre chef hemstlla om std avseende skerhetshotbedmning. Tillsammans med
hemstllan om std med skerhetshotbedmning ska ingngsvrden frn steg 1 av
skerhetsanalysen bifogas.
Bedmning av skerhetshot
5 Mycket hgt hot
4 Hgt hot
3 Frhjt hot
2 Lgt hot
1 Inget identifierat hot
Tabell 2.5 Hotbedmningen resulterar i en bedmd hotniv enligt en femgradig skala
54
Onskade Aktr Kapacitet Intention Tillflle Bedmning
hndelser (behov) av hot
5 Mycket
hgt
4 Hgt
3 Frhjt
2 Lgt
1 Inget
identifie-
rat
Inbrott i Enskilda eller Har ndvn- Hg inten- Tillflle 4
datalek- grupp av kri- dig kunskap tion. erbjuds
tionssal och minella och verktyg frmst natte-
omfattande tid och under
frstring helger.
eller stld av
datorutrust-
ning.
Inbrott i Insiders Krver kun- Ingen identi- Mnga tillfl- 1
datalektions skap och fierad inten- len erbjuds,
sal och verktyg d tion. frmst under
begrn- salen alltid kvllstid.
sad stld av lses efter
datorutrust- bruk.
ning.
Stld eller Enskilda eller Mycket god Hg inten- F tillfllen 5
frlust p grupp av kri- kapacitet tion, srskilt inom kasern-
annat stt av minella (kunskap, om tillflle omrde, kr-
brbara PC. utrustning erbjuds. ver i regel
etc.) inbrott. Fler
tillfllen i fall
den anstllde
medfr PC
utanfr
enheten.
Insiders Krver ingen Under den Mycket 2
srskild kapa- senaste 10 goda tillfl-
citet eller rs perioden len erbjuds
metod. har inga insi- s gott som
derstlder av dagligen
PC gt rum.
55
2.2.4 Steg 3 - Bedmning av srbarhet
BEDM SRBARHET 5
Vilka skyddstgrder finns
och hur effektiva r de? 4
Bedm hur srbara tillgngar- 3
na r om de skulle utsttas fr 2
hot.
1
Bild 2.7 Under skerhetsanalysens tredje steg bedms srbarheten.
En srbarhetsbedmning syftar till att identifiera de brister eller svagheter i skyddet

vilka kan utnyttjas fr att f tillgng till eller pverka tillgngarna p ett negativt stt.
Bedmningen omfattar:
Identifiering av existerande skyddstgrder.

Identifiering av potentiella srbarheter genom en bedmning av hur effektiva exis-
terande skyddstgrder r att reducera specifika svagheter relaterat till bestmda
skyddsvrda tillgngar eller specifika hot.
Bedmning av srbarhet (niv) relativt varje skyddsvrd tillgng och onskad hn-
delse.
Fr att identifiera potentiella srbarheter krvs att mjliga metoder och hndelser vilka
kan pverka skyddsvrda tillgngar analyseras. Resultatet blir att de svagheter som kan
utnyttjas fr att f tillgng till eller pverka skyddsvrda tillgngar p ett negativt stt
kan upptckas. Varje svaghets relativa betydelse analyseras, dels genom att svagheter
stlls i relation till varandra, dels genom att de relateras till tillgngar och hot.
Fr att identifiera existerande skyddstgrder kan indelningen av skerhetsskyddet

under steg 5 anvndas som utgngspunkt. Enskilda skyddstgrder identifieras genom
att respektive kategori bryts ner i detalj och relateras till hur effektiva dessa r att redu-
cera specifika srbarheter. Ger nuvarande skyddstgrder de effekter som frvntas
eller bygger den frvntade effekten p antaganden utan grund?
56
En bedmning av hur effektiva existerande skyddstgrder r krver i regel en dialog
med experter inom respektive omrde.
Efterhand skyddstgrder identifieras kan fljande frgestllningar anvndas som

hjlp att bedma den reella effekten:
Vad r syftet med skyddstgrden?

Vad r resultatet av skyddstgrden?
Avskrcka, detektera, frdrja eller frhindra?
Vilken typ av hot eller onskad hndelse skyddar den mot?
Inbrott, skadegrelse, stld, manipulation, rjande av hemliga uppgifter, brand
etc.?
Nr r skyddstgrden effektiv?
Alltid, vid bestmda tider eller under vissa frutsttningar
Var r skyddstgrden effektiv?
Finns det rapporter om felfunktioner i skyddstgrden?
Finns det ett samband mellan skyddstgrden och inrapporterade skerhetshn-
delser vilket visar p att effekten av tgrden uteblivit eller reducerats?
Har skyddet kontinuerligt uppdaterats eller underhllits?
Vilka faktorer som avgr graden av srbarhet kommer att variera med hnsyn till vil-
ken tillgng som ska skyddas och var tillgngen befinner sig.
Fljande frgestllningar kan bidra till att bestmma nivn av srbarhet:
r tillgngen srbar med anledning av en eller flera svagheter i skyddet?

Gr arten av srbarhet att den r svr eller ltt att utnyttja?
Reduceras eller elimineras srbarheten av effektiva och av varandra oberoende
skyddstgrder?
57
Bedmning av srbarhet
Inga eller endast enstaka skyddstgrder r vidtagna.
5 Mycket hg srbarhet Tillgng till eller pverkan av det skyddsvrda r
mycket ltt att stadkomma.
Skyddstgrder existerar, men ett flertal srbarheter
4 Hg srbarhet mjliggr tillgng till eller pverkan av det skydds-
vrda.
Effektiva skyddstgrder r implementerade, men
3 Frhjd srbarhet enstaka srbarheter frekommer vilka kan utnyttjas
fr tillgng till eller pverkan av det skyddsvrda.
Effektiva och av varandra oberoende skyddstgrder
2 Lg srbarhet r implementerade. Tillgng till eller pverkan av det
skyddsvrda r mycket svrt att stadkomma.
Flera effektiva och av varandra oberoende skyddst-
1 Ingen identifierad srbar-
het
grder r implementerade. Inga knda srbarheter r
identifierade.
Tabell 2.7 Srbarhetsbedmningen resulterar i en bedmd srbarhet enligt en femgradig skala.
Bedmning av srbarhet
5 Mycket hg
4 Hg
Tillgng Identifierade srbarheter
3 Frhjd
2 Lg
1 Ingen identifierad
Personal
Materiel
Skyddsniv 1 p salen. Olar-
mad. Ligger p markplan ca
20 m frn kasernstaket. Gr i
mrker att ta sig osedd frn
Datalektions-
staket till salens fnster. Ini- 5
sal
frn krvs att 1 larmad drr
Datorutrust- passeras fr att komma till
ning salens drr.
Salens drr r olarmad.
Skall frvaras inlst i sker-
hetsskp d den ej 3
Brbar PC 3
anvnds. Oklara regler om
vad som gller vid medfrsel.
Information
Anlgg-
ningar
Verksamhet
Tabell 2.8 Exempel p utdrag ur kalkylblad avseende steg 3 ur skerhetsanalysen.
58
2.2.5 Steg 4 - Bedmning av risk
SANNOLIKHET
5
3-4 4-5
4
3 RISK
2
1-3 3-4
1
1 2 3 4 5
KONSEKVENS
BEDM RISK
Hur stor r sannolikheten
fr att ett visst hot intrffar?
Hur omfattande r konse-
kvensen?
Hur stor r den bedmda
risken?
Bild 2.8 Risken bedms under skerhetsanalysens fjrde steg
Riskbedmning innebr en systematisk sammanvgning av sannolikheten fr och

konsekvensen av att ett hot intrffar. Risken bedms enligt en femgradig skala. Som
underlag fr riskbedmningen anvnds resultaten av bedmningarna i steg 1-3.
En riskbedmning svarar p frgorna:
Hur stor r sannolikheten fr att ett visst hot intrffar?

Hur omfattande r konsekvensen?
Hur stor r den bedmda risken?
59
RISK
SANNOLIKHET KONSEKVENS
HOT SRBARHET
Bild 2.9 Sambandet mellan begreppen hot, srbarhet, sannolikhet, konsekvens och risk.
Sannolikheten fr att ett visst hot ska intrffa r ett resultat av en sammanvgd bedm-
ning av identifierade srbarheter och bedmningen av specifika hot. Hot och srbar-
het har tidigare beskrivits och vrderats under steg 2 och 3 varfr dessa inte behver
analyseras ytterligare i detta steg. Tidigare bedmningar av hot och srbarheter utgr
drmed direkta ingngsvrden vid bedmning av sannolikhet. Sannolikheten bedms
i en femgradig skala.6
Om hotet har bedmts som hgt samtidigt som srbarheten r hg kar sannolikhe-
ten fr att hotet ska intrffa. Om hotet dremot har bedmts som lgt samtidigt som
srbarheten bedmts som lg minskar sannolikheten fr att hotet ska intrffa. I tabel-
len fr bedmning av sannolikhet finns procentuella vrden medtagna. Dessa br ses
som ett std och inte som absoluta vrden. Att bedma sannolikheten fr att ett visst
hot ska intrffa r inte en matematisk berkning utan en medveten, om n subjektiv,
bedmning.
Bedmning av sannolikhet
5 Mycket hg sannolikhet (9-10) > 50%
4 Hg sannolikhet (7-8) < 50%
3 Frhjd sannolikhet (5-6) < 25%
2 Lg sannolikhet (3-4) < 5%
1 Ingen identifierad sannolikhet (1-2) < 1%
Tabell 2.9 Sannolikhetsbedmningen resulterar i en bedmd sannolikhet enligt en femgradig skala.
6 Vid bedmning av konsekvens och sannolikhet kan en tiogradig skala anvndas vilket underlttar och
frfinar den slutliga riskbedmningen.
60
Risken bedms drefter genom att sannolikheten fr att ett hot ska intrffa samman-
vgs med konsekvensen av att hotet intrffar. Konsekvensen av att ett hot intrffar
har tidigare beskrivits och vrderats under steg 1 varfr denna inte behver analyse-
ras ytterligare i detta steg. Tidigare konsekvensbedmningar utgr drmed ett direkt
ingngsvrde vid bedmning av risk under steg 4.
SANNOLIKHET
5
3-4 4-5
4
3 RISK
2
1-3 3-4
1
1 2 3 4 5
KONSEKVENS
Bild 2.10 Vid bedmning av risk anvnds ovanstende matris indelad i fyra kvadranter fr att bedma risknivn.
Riskbedmning innebr en sammanvgning av tv relativt subjektiva bedmningar

vilket i sin tur kan innebra att resultatet blir nnu mer oskert. Drfr br den
bedmda risken alltid vrderas och jmfras med vriga bedmda risker med avse-
ende p reliabilitet, det vill sga; hur tillfrlitlig r bedmningen? En riskbedmning
fr drfr inte bli enbart en matematisk berkning. Fr att svara p frgan om hur till-
frlitlig riskbedmningen r mste riskerna kunna beskrivas ven p andra stt n
med siffror (se bild 2.12).
I de fall sannolikheten fr att en onskad hndelse ska intrffa eller att konsekvensen
av att en onskad hndelse intrffar har bedmts vara s lg att nivn fr sannolikhet
eller konsekvens nrmar sig noll, ska det vervgas huruvida risken verhuvudtaget
ska bedmas. En sdan bedmning riskerar annars att leda till orealistiska bedm-
ningar av risknivn. Till exempel kan en bedmning av sannolikheten som nrmar
sig noll, samtidigt som konsekvensen av en onskad hndelse r stor, resultera i en
bedmd risk i niv 3-4 och drmed leda till infrande av skyddstgrder vilka inte str
i proportion till den faktiska risken.
61
Alla riskbedmningar ska drfr vara resultatet av ett vl medvetet stllningstagande
och alltid kunna motiveras.
Sannolikhet
5 10
9
4 8
7
3 6 A
5 C
2 4
3 B
1 2
1
D
1
1 2
3
4
2 5
6
3 7
8
4 9
10
5 Konsekvens
Bild 2.11 Bilden visar p hur sannolikhet och konsekvens vgs samman fr att bedma risken. Exempel A-D r
hmtade frn tabell 2.11.
Principen fr hur bedmning av risker gr till framgr av bild 2.11 i kombination med
exemplen i tabell 2.11. Risk B i bild 2.11 r ett exempel p en risk som skulle kunnat
bedmas som en frhjd (3) risk. Anledningen till att risken bedmts som lg (2) r
att en insider mest sannolikt inte bryter sig in i datalektionssalen fr att stjla eller fr-
stra merparten av utrustningen utan i stllet r ute efter srskild materiel (exempelvis
dator, skrivare och bildprojektor) vilken personen redan tidigare identifierat. Konse-
kvensen blir drmed lgre.7
Indelningen av riskmatrisen i fyra olika kvadranter med respektive riskniver fr dr-

med inte ses som en absolut sanning. Den ska i stllet ses som riktlinjer vilka kan tjna
som std vid riskbedmningen.
7 En insider skulle i detta exempel ven kunna samarbeta med kriminella genom att ppna t.ex. fnstren i
datalektionssalen och drigenom stadkomma en mycket strre konsekvens. Den mjligheten har dock inte
legat till grund fr nmnda exempel.
62
Bedmning av risk
5 Mycket hg risk
4 Hg risk
3 Frhjd risk
2 Lg risk
1 Ingen identifierad risk
Tabell 2.10 Riskbedmningen resulterar i en bedmd risk enligt en femgradig skala
Risken att Aktren A i samband med attachbesket vecka 735 kommer ver
hemliga uppgifter avseende JAS 39 jaktradar genom personbaserad inhmtning
4 riktad mot nyckelpersonal med konsekvensen att en motstndare kan anpassa
teknik och taktik p ett stt som allvarligt pverkar vr frmga att anvnda JAS
39 i jaktroll bedms som HG.
Risken att personal av okunskap eller nonchalans ansluter privata IT-system
3 (smarta telefoner, USB-minnen etc.) till det lokala ntverket och verfr skad-
lig kod med resultatet att systemets tillgnglighet pverkas i en omfattning som
hindrar eller str verksamheten under timmar/dagar bedms som FRHJD.
Risken att hemliga, utrikesklassificerade eller sekretessklassificerade uppgifter
rrande frbandets internationella insatser rjs genom att personal lagrar infor-
3 mation p fel plats (ex. FM AP), tar med sig information p privata lagringsme-
dier eller publicerar uppgifter p ntet (ex. bloggar, sociala medier) med kon-
sekvens att pgende eller kommande insatser kan stras i en inte obetydlig
omfattning timmar/dagar bedms som FRHJD.
Risken fr inbrott i frbandets datalektionssal och stld eller skadegrelse av
2 utrustning med konsekvensen att utbildning mste stllas in under 2-3 mn och
att nyinkp p ca 500 kkr krvs bedms som LG.
Bild 2.12 Schematisk beskrivning p vad risker innebr och hur de prioriteras mot varandra.
Den bedmda risken i detta skede tar inte hnsyn till de frslag till eller beslut om
skyddstgrder som vidtas under steg 5. Frst efter att frslag till skyddstgrder r
framtagna kan frnyade konsekvens-, hot- och srbarhetsbedmningar ligga till grund
fr en ny riskbedmning som visar p frvntade effekter av freslagna tgrder.
63
Den verkliga effekten av freslagna tgrder kan inte vrderas frrn tgrderna r
beslutade och implementerade.
Onskade Hot Srbarhet Sannolikhet Konsekvens Risk

hndelser 5 Sannolik bedmning
4 Trolig 5 Mycket
3 Mjlig hg
2 Ej trolig 4 Hg
1 Osannolik 3 Frhjd
2 Lg
1 Ingen
synbar
Inbrott i
datalek-
tionssal och
omfattande
4 5 5 (9) 4 (8) 5
frstring
eller stld av
datorutrust-
ning.
(Inbrott)
i datalek-
tionssal och
begrn- 1 5 3 (5) 2 (3) 2
sad stld av
datorutrust-
ning.
Stld eller 5 3 4 (7) 2 (4) 3
frlust p
annat stt av 2 3 2 (3) 2 (4) 2
brbara PC.
64
2.2.6 Steg 5 - Prioritera och hantera risker
(riskhanteringsbeslut)
PRIORITERA OCH
HANTERA RISKER
I vilken prioritetsordning
ska riskerna hanteras?
r risken acceptabel?
Hur ska risken hanteras?
Bild 2.13 Sista steget i skerhetsanalysen omfattar att prioritera och hantera risker.
Skerhetsanalysens sista steg innebr att prioritera de risker som identifierats i freg-
ende steg och drefter fatta beslut om hur riskerna ska hanteras. Beslut om hur riskerna
ska hanteras, riskhanteringsbeslut, innebr medvetna och dokumenterade chefsbeslut.
65
r risken acceptabel?
Uppfylls regelverkets krav?
Beslut om Fresl nya

riskacceptans JA NEJ
tgrder
Steg 1-3
Steg 4
Risken kan ej Frnyad
hanteras. riskbedming
Begran om
undantag alt.
std frn HC.
Bild 2.14 Schematisk bild avseende arbetsgngen av steg 5
Nr hela steg 5 genomfrts r mlsttningen att beslut om riskacceptans freligger fr

samtliga bedmda risker.
Steg 5 inleds med att riskerna bedmda under steg 4 prioriteras. Drefter hanteras ris-
kerna i prioritetsordning med brjan p de risker som bedmts som strst.
Inledningsvis bedms huruvida risken r acceptabel eller inte. Nr det gller risker
rrande skerhetstjnst finns det i regel tydliga krav p skerhetsskydd varfr bedm-
ningen i normala fall tar stllning till om regelverkskraven r uppfyllda. r kraven
uppfyllda och hotbilden i vrigt inte ger anledning att vidta skyddstgrder utver kra-
ven accepteras risken. I praktiken innebr det att nuvarande skyddstgrder bedms
som tillrckliga.
Om bedmningen innebr att riskerna r oacceptabla eller att brister i uppfyllnaden

av regelverkets krav avseende skerhetsskydd har identifierats mste riskerna hanteras.
66
Den frsta tgrden blir drfr att ta fram frslag till skyddstgrder vilka resulterar i
att bedmda risker anses vara acceptabla eller att regelverkskraven uppfylls.
Skyddstgrder vidtas normalt i syfte att minska srbarheten, men kan ven vidtas i
syfte att pverka hotet.
Risker med hg sannolikhet, men lg konsekvens, tgrdas frmst genom skyddstgr-

der som syftar till att minska sannolikheten fr att ett skerhetshot ska intrffa. Sanno-
likheten minskas genom att reducera srbarhet och/eller hot.
Risker med lg sannolikhet, men hg konsekvens, tgrdas frmst genom tgrder

som syftar till att reducera konsekvensen om hotet trots allt intrffar.
Skyddstgrder omfattar tgrder frmst inom ramen fr:
Informationsskerhet
IT-skerhet
Tilltrdesbegrnsning
Skerhetsprvning
Skerhetsskyddad upphandling med skerhetsskyddsavtal (SUA)
Kontrollverksamhet
Utbildning och information
Signalskydd
Skyddstgrder kan beroende p typ av hot ven omfatta andra omrden, exempel p
sdana tgrder kan utgras av brandskyddstgrder.
Med tgrder som pverkar skerhetshotet avses tgrder som riktar sig direkt mot
den eller de aktrer som utvar ett skerhetshot. Syftet med dessa tgrder kan vara
att identifiera och/eller bekmpa den skerhetshotande verksamheten. Exempel p
sdana tgrder kan vara genomfrande av skerhetsoperationer, men ven informa-
tionsoperationer kan utgra exempel p tgrder riktade direkt eller indirekt mot den
eller de aktrer som utvar ett skerhetshot.8
Frslag till skyddstgrder beskrivs avseende bedmd effekt och kostnad (en form av
kostnads- och nyttokalkyl). Med effekt avses resultatet av skyddstgrden i form av
minskad srbarhet, lgre hot eller reducerad konsekvens. Med kostnad avses de resur-
ser infrandet av skyddstgrden kommer att krva i form av bland annat tid, perso-
nal, materiel och ekonomi.
8 Se H SK Skund (hemlig) fr utfrligare beskrivning av skerhetsoperationer.
67
Frslagen frs drefter tillbaka in i steg 1-4 fr att resultera i frnyade riskbedm-
ningar. Resultatet av den frnyade riskbedmningen ligger till grund fr val av skydds-
tgrd, men kan ven innebra att bedmningen resulterar i att risken inte kan han-
teras. Anledningen till att risken inte bedms kunna hanteras beror oftast p att
srbarheten inte kan minskas beroende p avsaknad av ndvndiga resurser eller att
hotet inte kan pverkas, men kan ven bero p andra omstndigheter.
Kan inte en risk hanteras p ett stt som uppfyller regelverkets krav eller i vrigt resul-
terar i en acceptabel risk ska den chef som ansvarar fr verksamheten snarast anmla
detta till hgre chef. En sdan anmlan kan dels innebra en begran om std fr att
kunna hantera risken p ett acceptabelt stt, dels innebra en hemstllan om undantag
frn regelverkets krav.
Krav avseende skerhetsskydd r noga reglerat i olika regelverk. Regelverken anger vil-
ken niv av skerhetsskydd som minst krvs fr att uppfylla regelverkets krav.
Vid beslut om skyddstgrder med avseende p skerhetsskyddskrav innebr det att

endast fljande alternativ r mjliga:
1. Skerhetsskyddstgrder vidtas i enlighet med regelverkets krav.
2. Alternativa tgrder vidtas i syfte att erhlla motsvarande skerhetsniv som regel-
verket krver och drmed uppfylla regelverkets krav.9
3. Skerhetsskyddstgrder vidtas utver regelverkets krav, frmst med anledning av

bedmt skerhetshot.
4. Varken skerhetsskyddstgrder eller alternativa tgrder kan vidtas fr att upp-

fylla regelverkets krav. Att inte uppfylla regelverkets krav p skerhetsskydd inne-
br en sdan medveten risktagning att det krver ett undantagsbeslut av verbefl-
havaren eller den han eller hon utser.10
Av ovanstende framgr ven att med hnsyn till aktuell hotbild kan ett beslut om en
skyddstgrd i enlighet med gllande regelverk innebra en hg risktagning om hotet
bedms verstiga vr niv av skerhetsskydd. Ett sdant beslut innebr dock inte krav
p undantag frn gllande regelverk.
9 Vilka alternativa tgrder som resulterar i motsvarande niv av skerhetsskydd i enlighet med regelverkets
krav avgrs av den militra underrttelse- och skerhetstjnsten (Must).
10 B (Frsvarsmakten) kan dock inte fatta ett fatta ett beslut som strider mot skerhetsskyddslagen eller
skerhetsskyddsfrordningen.
68
En hemstllan om undantag eller avvikelse frn regelverkets krav beskrivs utfrligt i
kap. 1.5.
Beslut om riskacceptans samt beslut om skyddstgrder fattas genom att ansvarig chef
faststller resultatet av skerhetsanalysen. Beslutet dokumenteras. Begran om std
eller undantag fattas i srskild ordning.
Onskade hn- Risk accepta- Skyddst- Effekt Kostnad Val av

delser bel? Regelverk- grder skyddst-
skrav? (alternativ) grd
Inbrott i data- Nej Frstrkt < Srbar- Ca 100 kkr Ja. Effekten
lektionssal och tilltrdesbe- het. IBSS motiverar
omfattande grnsning kan vara p initial kost-
frstring eller (larm, fns- plats inom nad.
stld av datorut- ter, drr) 10 min vil-
rustning. ket frhin-
drar omfat-
tande stld
Endast fr- < Srbar- Ca 30 kkr Nej
strkning het. Intrng
av fnster frdrjs
med ca 20
min, men
hindrar ej
stld
(Inbrott) i data- Nej Innerdrr < Srbar- Ca 10 kkr Nej
lektionssal och larmas het. Intrng
begrnsad stld frn insidan
av datorutrust- upptcks
ning. och IBSS
kan vara p
plats inom
10 min
69
Onskade hn- Risk accepta- Skyddst- Effekt Kostnad Val av
delser bel? Regelverk- grder skyddst-
skrav? (alternativ) grd
Stld eller fr- Ja, men br Frbjud < Tillflle Ingen kost- Nej, men
lust p annat om mjligt medfrsel (hot). Kom- nad utarbeta
stt av brbara minskas av PC mer sanno- tydliga reg-
PC. likt ej efter- ler samt
levas samt orientera
reducerar fortlpande
nyttan av om hotbild.
brbar PC
Hrddisk- < Srbarhet. Ca 50 kkr Nej, effek-
krypto Frhindrar (licenskost- ten uteblir
tillgng till nad) Perso-
informa- nalkostnad
tion, men (adminis-
inte frlus- tration, fel-
ten av infor- funktioner
mation etc.)
Ja Pminn om < Tillflle Ingen kost- Ja, frstrk
krav samt (hot) nad nuvarande
lt VB kon- skyddst-
trollera grder.
efterlevnad
Tabell 2.12 Exempel p utdrag ur kalkylblad avseende steg 5 av skerhetsanalysen, utvisande hur frslag till skydds-
tgrder tas fram genom att bedma effekt och kostnad av respektive frslag.
Frnyad riskbedmning
Onskade hndelser Slutlig Risk

Srbar- Sannolik- Konse-
Hot Riskbe- accepta-
het het kvens
dmning bel?
Inbrott i datalektions-
sal och omfattande
4 2 2 (4) 4 (8) 3 Ja
frstring eller stld
av datorutrustning.
(Inbrott) i datalek-
tionssal och begrn-
1 2 1 (2) 2 (3) 2 Ja
sad stld av datorut-
rustning.
Stld eller frlust p
annat stt av brbara 4 3 4 (7) 2 (4) 3 Ja
PC.
1 3 2 (3) 2 (4) 2 Ja
Tabell 2.13 Exempel p utdrag ur kalkylblad avseende steg 5 av skerhetsanalysen, utvisande hur freslagna
skyddstgrder ligger till grund fr frnyade riskbedmningar.
70
2.3 Skerhetsplan
Skerhetsplanen r en direkt fortsttning av skerhetsanalysen och syftar till att reglera
hur vi ska skydda tillgngarna mot skerhetshoten fr att erhlla ndvndig skydds-
niv. I skerhetsplanen ska riskhanteringsbesluten omsttas i en konkret handlings-
plan som ska skerstlla att besluten om skyddstgrder verkligen genomfrs.
En skerhetsplan svarar bl. a p frgorna:
Vilka tgrder ska vidtas?

Vem eller vilka r ansvariga?
Nr ska tgrderna vara utfrda?
Till skerhetsplanen kan hra bilagor omfattande:
Utbildningsplan avseende skerhetstjnst (se vidare i kap 3)

Plan avseende internkontroller av skerhetsskyddet (se vidare i kap 4)
IT-skerhetsplan11
Signalskyddsinstruktion12
En skerhetsplan ska beslutas av ansvarig chef.
Exempel p disposition av en skerhetsplan framgr av bilaga 2.
2.4 Skerhetsbestmmelser
Skerhetsbestmmelser innehller instruktioner fr bl.a skerhetsmn, skerhetsan-
svariga och vrig personal samt reglerar den enskildes ansvar fr hur det dagliga arbe-
tet bedrivs med hnsyn till skerhetstjnstens krav. Skerhetsbestmmelser regleras i
exempelvis skerhetsinstruktion, skerhetsskyddsinstruktion, arbetsordning, stende
stabsorder, operationsplan eller SOP (Standard Operating Procedure).
Skerhetsbestmmelser svarar bland annat p frgorna:
Vem/vilka har ett skerhetsansvar?

Vad innebr ansvaret?
Hur ska den enskilde bete sig fr att uppfylla skerhetskraven?
Vilka tgrder ska vidtas och av vem i hndelse av en skerhetsincident?
11 Se H SK Infosk avseende innehll i sdan plan.

12 Se H TST Grunder (2007) avseende innehll i sdan instruktion.
71
Exempel 2.2
Av regelverket framgr att muntlig delgivning av hemliga uppgifter som har placerats i informationssker-
hetsklass HEMLIG/CONFIDENTIAL eller hgre endast fr ske i lokaler eller inom omrden som r god-
knda frn skerhetsskyddssynpunkt. I skerhetsbestmmelser anpassas regelverket till lokala frutstt-
ningar i stllet fr att enbart terupprepas.
Muntlig delgivning av hemliga uppgifter.

Muntlig delgivning av hemliga uppgifter vilka r placerade i informationsskerhetsklass H/C eller hgre fr
endast ske i fljande lokaler vilka r godknda frn skerhetsskyddssynpunkt:
Stabshuset; konferensrum VESSLAN
Skolhuset; konferensrum ILLERN
Muntlig delgivning av hemliga uppgifter placerade i informationsskerhetsklass H/C eller hgre inom andra
lokaler eller omrden fr endast ske efter godknnande av garnisonschefen.
Exempel p disposition av skerhetsbestmmelser framgr av bilaga 3.
2.5 Skerhetsskyddsplan/-instruktion
Svl inom Frsvarsmakten som vid andra myndigheter frekommer begreppet sker-
hetsskyddsplan eller skerhetsskyddsinstruktion. En skerhetsskyddsplan anvnds
ofta inom ramen fr ett materielprojekt, vid vningsverksamhet eller vid skyddsvrd
verksamhet i samband med exempelvis prov och frsk. D verksamheten r begrn-
sad i omfattning minskar behovet av en fullstndig skerhetsplanering.
En skerhetsskyddsplan omfattar drfr relevanta delar av svl skerhetsanalys,

skerhetsplan som skerhetsbestmmelser. Innehllet anpassas beroende p verksam-
hetens krav. Exempel p omfattning och innehll i en skerhetsskyddsplan/-instruk-
tion framgr av bilaga 5 och 6 i Handbok Skerhetsskyddad upphandling med sker-
hetsskyddsavtal (Handbok SUA) 2010 rs utgva.
ven om en skerhetsskyddsplan i detta fall omfattar bde skerhetsplan och sker-

hetsbestmmelser erstter den inte en skerhetsanalys. En skerhetsanalys ligger alltid
till grund fr en skerhetsskyddsplan.
72
3 Utbildning
3.1 Ansvar
En grundlggande frutsttning fr ett effektivt skerhetsskydd r att all personal fr
den utbildning deras arbetsuppgifter och ansvarsomrde krver.
Utbildning i skerhetstjnst syftar frmst till att klargra varfr och hur man ska vidta
skyddstgrder mot hot av olika slag. Utbildningen br genomfras s att det skapas
en positiv och aktiv instllning till skerhetstjnst samt ett kat skerhetsmedvetande
hos mlgruppen.
Om inte ngot annat fljer av bestmmelser i lag, r endast den behrig att ta del av hemliga uppgifter
som bedms plitlig frn skerhetssynpunkt, har tillrckliga kunskaper om skerhetsskydd, och beh-
ver uppgifterna fr sitt arbete i den verksamhet dr de hemliga uppgifterna frekommer.
7 Skerhetsskyddsfrordningen
I behrighetsbegreppet ingr som ett kriterium att ha kunskap om skerhetsskydd.

Vilken kunskap som krvs fr att vara behrig att ta del av eller p annat stt hantera
hemliga och utrikesklassificerade uppgifter framgr av en srskild instruktion1 beslu-
tad av chefen fr den militra underrttelse- och skerhetstjnsten.
1 HKV 2012-03-16 10700:50011 Instruktion avseende kunskapskrav skerhetstjnst
73
Det ligger respektive chef fr organisationsenhet att skerhetsupplysning och utbild-
ning i skerhetstjnst genomfrs. Chef ska dessutom skerstlla att personal med
srskilda befattningar (skerhetschef, IT-skerhetschef och signalskyddschef) har
genomfrt centralt anordnad utbildning.
Vid varje myndighet skall det finnas en plan fr utbildning i skerhetsskydd
Varje myndighet skall fra en frteckning ver de anstllda som har genomgtt utbildning i skerhetsskydd.
Vid varje organisationsenhet ska det finnas en plan fr utbildning i skerhetsskydd

samt en frteckning ver de anstllda som har genomgtt utbildning i skerhetsskydd
och annan skerhetstjnstutbildning inklusive signalskyddsutbildning. Med utbild-
ning i skerhetsskydd avses hr utbildning i skerhetstjnst.2 Av planen ska framg
vilken utbildning (omfattning och mlsttning) som ska genomfras, nr den ska
genomfras och fr vilken personal eller personalkategorier.
Chef fr organisationsenhet ska se till att personalen fr utbildning i frgor om skydd fr utrikesklassifice-
rade uppgifter och handlingar.

handlingar.
Kravet p utbildning i frga om skydd fr utrikesklassificerade uppgifter r i Frsvars-

makten detsamma som fr hemliga uppgifter.
Utver den utbildning vilken r beslutad centralt, grundar sig utbildningsplanen p

behov identifierade i organisationsenhetens skerhetsanalys. Det kan vara regelbun-
den skerhetsupplysning fr all personal, srskild utbildning i skerhetstjnst infr
insatser eller vningar eller skrddarsydd utbildning fr vissa personalkategorier.
Vid enheten ska det finnas en (central) frteckning ver de anstllda som har genom-
gtt utbildning i skerhetstjnst. En sdan frteckning r kopplad till utbildningspla-
nen och syftar till att flja upp genomfrd utbildning samt vid behov kunna identifiera
den personal vilken inte genomfrt utbildning enligt plan. Frteckningen innehller
2 Militr skerhetstjnst omfattar skerhetsunderrttelse-, skerhetsskydds- och signalskyddstjnst (FM

ArbO).
74
uppgifter om nr utbildningen genomfrdes, vad utbildningen omfattade och vem
som ansvarade fr utbildningen samt, i frekommande fall, hur lnge utbildningen r
giltig och om den innehller tidskritiska delar som regelbundet behver frnyas. Det
r chef fr organisationsenhet som r ansvarig att frteckningen upprttas och konti-
nuerligt uppdateras.
Utver frteckningen ska all utbildning i skerhetstjnst dokumenteras i den enskil-

des rullkort (personaladministrativt system eller motsvarande).3 En sdan dokumen-
tation r ytterst den enskildes ansvar. Dokumentationen r bland annat till fr att den
enskilde vid byte av frband ska kunna visa p genomfrd utbildning. Enskilds doku-
mentation erstter inte kraven p en vid enheten (central) frteckning.
3.2 Omfattning
3.2.1 Allmnt
Utbildning i militr skerhetstjnst kan indelas i skerhetsupplysning och skerhets-
utbildning.
Skerhetsupplysning syftar till att ge den enskilde tillrckliga kunskaper om sitt ansvar
fr skerhetsskyddet. Den syftar ven till att fortlpande orientera personal om aktu-
ella risker inklusive skerhetshotande verksamhet. Vidare genomfrs skerhetsupplys-
ning vid behov fr att ka kunskapen inom srskilda omrden.
Skerhetsupplysning br ven vara en del av introduktionsutbildning fr nyanstlld

personal, exempelvis i form av en grundlggande skerhetsgenomgng.4
Skerhetsutbildning r till skillnad frn skerhetsupplysning av mer formell karaktr

och genomfrs enligt faststllda bestmmelser. Exempel p sdan utbildning r den
som krvs fr att uppfylla kunskaper fr att vara behrig att ta del av eller p annat stt
hantera hemliga eller utrikesklassificerade uppgifter.3
Skerhetsupplysning och skerhetsutbildning vid en organisationsenhet planeras,

genomfrs och utvrderas normalt genom den lokala skerhetsorganisationens fr-
sorg.
Chef fr organisationsenhet br inleda utbildning i skerhetstjnst fr att p ett tydligt

stt visa p utbildningens betydelse fr skerhetstjnstens bedrivande.

75
3.2.2 Kurser
Centrala kurser i skerhetstjnst (skerhetsskydds-, signalskydds- respektive sker-
hetsunderrttelsetjnst) genomfrs vid Frsvarsmaktens Underrttelse- och sker-
hetscentrum (FMUndSkC), Totalfrsvarets signalskyddsskola (TSS) samt vid Fr-
svarsmaktens tekniska skola (FMTS).
Regionala grundkurser (Grundkurs Skerhetstjnst, GK SK) genomfrs av respek-

tive regional skerhetsorganisation.5
3.3 Genomfrande
3.3.1 Grundlggande utbildning
Grundlggande utbildning i skerhetstjnst regleras vad avser grundlggande sker-
hetsgenomgng och kunskaper fr att vara behrig att ta del av eller p annat stt han-
tera hemliga eller utrikesklassificerade uppgifter i Instruktion avseende kunskapskrav
skerhetstjnst.
Den grundlggande utbildningen i skerhetstjnst som regleras i ovanstende instruk-

tion ska vara lrarledd, men kan kombineras med sjlvstudier. Sjlvstudier sker frmst
som en frberedelse infr lrarledd utbildning eller som ett stt att frdjupa och repe-
tera erhllna kunskaper.
Militr skerhetstjnst styrs av svl lagar och frordningar som av myndigheters

bestmmelser, handbcker och direktiv. Att utbilda Frsvarsmaktens personal i mili-
tr skerhetstjnst stller drfr hga krav p den som genomfr utbildningen. Fr
att skerstlla ndvndig kunskap och erfarenhet br den som genomfr utbildning i
militr skerhetstjnst vara utbildad i Frsvarsmaktens regi och tjnstgra p befatt-
ning med skerhetstjnst som huvuduppgift. Chef fr organisationsenhet med std av
lokal skerhetsorganisation ansvarar fr att den som genomfr utbildning i skerhets-
tjnst vid respektive organisationsenhet har tillrcklig kunskap och erfarenhet.
Extern utbildare (den som inte r anstlld vid Frsvarsmakten) fr anlitas fr att
genomfra utbildning i orienterande syfte. Ska extern personal anvndas fr att
genomfra utbildning i skerhetstjnst i syfte att uppfylla formella kunskapskrav ska
en bedmning gras fr att skerstlla att utbildaren har tillrcklig kunskap och erfa-
renhet inklusive genomfrd utbildning avseende skerhetstjnst i Frsvarsmaktens
regi. En sdan bedmning ska dokumenteras och beslutas av chef fr organisationsen-
5 En interaktiv GK SK r under utveckling vid tidpunkten fr denna handboks faststllande.
76
het eller den han eller hon bestmmer. Vid behov sker samrd med i frsta hand regio-
nal skerhetsorganisation innan beslut fattas.
Lokal skerhetsorganisation, eller annan personal ansvarig fr utbildning i skerhets-

tjnst, br anvnda sig av centralt faststllda utbildningsunderlag. Det r dock inte
ngot krav s lnge den enskilde uppfyller faststllda kunskapskrav efter genomfrd
utbildning.
Utver de krav som framgr av Instruktion avseende kunskapskrav skerhetstjnst

finns ytterligare krav vad avser formell utbildning. Fr mnga IT-system finns det sr-
skilda krav p utbildning fr att f anvnda systemen. Vidare finns det srskilda beh-
righetskrav fr vissa typer av hemliga uppgifter vilket stller krav p srskild utbild-
ning utver nmnda instruktion.
3.3.2 Fortlpande utbildning
Bild 3.1 Skerhetshndelser med lokal anknytning anvnds med frdel i samband med fortlpande skerhetsupp-
lysning.
Fortlpande utbildning krvs fr att upprtthlla personalens kunskaper, men ocks i

syfte att skapa en positiv attityd till skerhetstjnst och ett hgt skerhetsmedvetande.
Varje tillflle till utbildning br drfr tas tillvara. Lmpliga tillfllen kan vara nr per-
sonal r samlad fr regelbundna personalorienteringar.
Omfattning och syfte anpassas efter behov. Aktuell skerhetshotbild eller intrffade
skerhetsincidenter (p svl lokal, regional som central niv) kan utgra underlag fr
77
skerhetsupplysning. Erfarenheter och upptckta brister vid svl kontroller genom-
frda av hgre chef som internkontroller r ocks exempel p ingngsvrden. Om det
r mjligt br skerhetsupplysning av pedagogiska skl ske med utgngspunkt i lokala
frutsttningar. Som ett komplement till den fortlpande utbildningen p lokal niv
anvnds med frdel centralt faststllda utbildnings- och informationsunderlag, exem-
pelvis foldrar, affischer etc. Fortlpande utbildning i form av skerhetsupplysning br
genomfras rligen.
Repetitionsutbildning genomfrs behovsanpassat, dels mot bakgrund av formella krav,

exempelvis nya eller reviderade regelverk, dels efter den enskildes behov. Utbildningen
genomfrs lrarledd (i frsta hand) eller genom sjlvstudier. Nr interaktiv repeti-
tionsutbildning finns att tillg kan sdan anvndas.
3.3.3 Srskild utbildning
Bild 3.2 Utlndska besk r exempel p tillfllen d srskild skerhetsutbildning br genomfras.
Srskild skerhetsutbildning genomfrs med personal som deltar i verksamheter

vilka krver srskilda skyddstgrder. Exempel p sdan verksamhet r nr icke fr-
svarsmaktsanstlld personal, svl svensk som utlndsk, besker frband eller deltar
i utbildning och vningar samt nr svensk personal deltar i motsvarande verksam-
het utanfr Sverige. Sdan utbildning kallas ofta fr skerhetsvaccinering. Syftet r
oftast att frhindra skerhetshotande verksamhet, exempelvis frmmande underrt-
telseverksamhet eller kriminalitet, riktad mot specifika skyddsvrda tillgngar vid en
bestmd tidpunkt och plats. Denna typ av skerhetsutbildning anpassas drfr bero-
ende p verksamhet och aktuellt skerhetshot.
78
Utbildningen br minst omfatta:
Aktuell skerhetshotbild
Vidtagna (eller freslagna) skerhetsskyddstgrder
Srskilda skerhetsskyddsbestmmelser
Rapporteringsbestmmelser
3.3.4 Informationstjnst
Informationstjnst r ett viktigt medel fr att sprida kunskap i frgor som rr sker-
hetstjnsten eller nrstende omrden. Informationen kan omfatta svl olika former
av orienteringar som srskilda informationskampanjer. Informationstjnsten r dr-
med en viktig frutsttning fr att erhlla ett hgt skerhetsmedvetande.
4 Kontroll
4.1 Grunder
Kontroll av skerhetsskyddet skall skerstlla att regler fr skerhetsskyddet fljs samt att skerhetsskydds-
nivn r anpassad till aktuellt skerhetshot. Svl franmlda som inte franmlda kontroller skall gras.
6 kap. 1 Frsvarsmaktens interna bestmmelser om skerhetsskydd och skydd av viss materiel.
Kontroll av skerhetsskyddet sker genom skerhetsskyddskontroller. Kontrollerna

ska skerstlla att krav p skerhetsskydd uppfylls och att skerhetsskyddet i vrigt r
anpassat efter aktuell skerhetshotbild. En skerhetsskyddskontroll omfattar de delar
av skerhetstjnsten som krvs fr att kontrollera att skerhetsskyddet r tillrckligt.
Kontrollverksamheten syftar vidare till att utgra ett std fr den enhet som kontrol-
leras fr att drigenom mjliggra frbttringar av skerhetsskyddet.
Resultatet av kontrollverksamheten analyseras och utvrderas fortlpande och utgr

en delmngd av de ingngsvrden som ligger till grund fr inriktningen av den mili-
tra skerhetstjnsten.
81
4.2 Ansvar
Militra underrttelse- och skerhetstjnsten i Hgkvarteret ska genomfra skerhetsskyddskontroller vid
de myndigheter som Frsvarsmakten ska kontrollera enligt 39 skerhetsskyddsfrordningen (1996:633)
samt, vad avser Frsvarsmakten, vid
1. Hgkvarteret,
2. staben vid Frsvarsmaktens logistik,
3. Frsvarsmaktens telent- och marktelefrband,
4. enheter som r insatta i en internationell militr insats, och
5. enheter med srskilda uppgifter som Hgkvarteret beslutar i srskild ordning.
Freligger srskild anledning ska militra underrttelse- och skerhetstjnsten i Hgkvarteret ven genom-
fra kontroll vid vriga organisationsenheter inom Frsvarsmakten.
Det r varje chefs ansvar att fortlpande kontrollera att skerhetsskyddet inom eget
ansvarsomrde uppfyller regelverkets krav och r anpassat till aktuell skerhetshot-
bild. Den enskilde r enligt chefs nrmare bestmmelser ansvarig fr egen arbetsplats
eller eget arbetsomrde.
Den operative chefen i Hgkvarteret, eller den eller de han eller hon bestmmer inom den operativa enhe-
ten, skall genomfra skerhetsskyddskontroller vid Frsvarsmaktens organisationsenheter utom avseende
vissa organisationsenheter som den militra underrttelse- och skerhetstjnsten i Hgkvarteret beslutar.
Den militra underrttelse- och skerhetstjnsten genomfr kontroll vid de myndig-

heter Frsvarsmakten har tillsynsansvar fr avseende skerhetsskydd samt inom Fr-
svarsmakten av bl.a. Hgkvarteret och enheter i internationell verksamhet.
Insatsstaben i Hgkvarteret stdjer den militra underrttelse- och skerhetstjnsten

vid kontroll av frband utomlands och viss annan utlandsverksamhet.
Regional skerhetsorganisation ansvarar fr att skerhetsskyddet kontrolleras vid Fr-

svarsmaktens organisationsenheter med vissa undantag. Std avropas vid behov frn
central niv. Inriktning fr kontrollverksamheten ges av Must..
82
Varje organisationsenhet skall regelbundet och minst en gng per r kontrollera skerhetsskyddet inom
organisationsenheten.
Varje organisationsenhet och de enheter den militra underrttelse- och skerhets-

tjnsten bestmmer, ska upprtta en plan fr intern kontrollverksamhet. Planen ska
ven inkludera kontroller av fretag som upphandlats med skerhetsskyddsavtal
(SUA).
Internkontroller av skerhetsskyddet ska dokumenteras. Protokoll frn kontrollerna

ska finnas samlade vid enheten samt vara tillgngliga i avsett informationssystem
enligt srskilda bestmmelser.1 Upptckta fel och brister ska snarast tgrdas. Om de
bedms som allvarliga ska de omedelbart anmlas till den militra underrttelse- och
skerhetstjnsten. Innehllet i ett protokoll ska endast delges de som behver under-
laget fr sin tjnst.
Varje enhets regelbundna och fortlpande internkontroller r vl s viktiga som hgre

chefs kontroller fr att upprtthlla eller uppn tillrcklig skerhetsskyddsniv.
Varje organisationsenhet ska kontrollera det skydd som ska finnas fr utrikesklassificerade uppgifter och
handlingar enligt denna frfattning.

handlingar.
Normalt ska chef fr organisationsenhet genom enhetens skerhetschef kontrollera

skyddet fr utrikesklassificerade uppgifter och handlingar. Freskrifterna om kontroll
av organisationsenheterna som terfinns i Frsvarsmaktens freskrifter om skerhets-
skydd och Frsvarsmaktens interna bestmmelser om skerhetsskydd och skydd av
viss materiel ska tillmpas ven fr utrikesklassificerade uppgifter och handlingar. Det
br srskilt uppmrksammas att det fr kontroll av skerheten i och kring ett IT-sys-
tem som r avsett fr behandling av utrikesklassificerade och sekretessklassificerade
uppgifter finns srskilda freskrifter i Frsvarsmaktens interna bestmmelser om IT-
skerhet.
1 Skerhetsskyddsavdelningen vid den militra skerhetstjnsten faststller hur resultat efter genomfrda
skerhetsskyddskontroller (inklusive internkontrollverksamhet) ska rapporteras i drfr avsett IT-system.
83
4.3 Kontrolltyper
4.3.1 Franmlda kontroller
Skerhetsskyddskontroll
En skerhetsskyddskontroll syftar till att skerstlla att krav p skerhetsskydd upp-
fylls och att skerhetsskyddet i vrigt r anpassat efter aktuell skerhetshotbild. En
skerhetsskyddskontroll sker drfr i den omfattning som krvs fr att uppfylla syftet
med kontrollen. Det innebr att den kan genomfras med de resurser som krvs fr
att p djupet kontrollera alla delar av skerhetsskyddet, eller att den genomfrs med
begrnsade resurser och i begrnsad omfattning.
En skerhetsskyddskontroll frbereds i dialog mellan berrda parter. Den genomfrs

vid en verenskommen tidpunkt eller inom en bestmd tidsperiod i enlighet med gl-
lande kontrollplanering.
Genomfrande och resultat av en skerhetsskyddskontroll dokumenteras och delges

den enhet som kontrollerats.
Internkontroll
Internkontroll r en enhets egen kontrollverksamhet fr att skerstlla att krav p
skerhetsskydd uppfylls och att skerhetsskyddet i vrigt r anpassat efter aktuell
skerhetshotbild.
Genom tta internkontroller enligt en internkontrollplan kan brister i skerhetsskyd-

det upptckas tidigt.
Eftersom en enhet oftast har begrnsade resurser genomfrs internkontrollverksam-

het normalt genom att olika delar av skerhetsskyddet kontrolleras tidsfrskjutet.
Inom tv till tre r br alla delar av skerhetsskyddet p s stt ha kontrollerats.
Kontroll av signalskyddstjnsten
Kontroll av signalskyddstjnsten ska skerstlla att bestmmelser fr signalskydds-
tjnsten fljs samt att signalskyddsnivn r anpassad till det aktuella hotet. Kontrol-
lerna kan utfras som administrativ kontroll eller signalkontroll. Kontrollerna ingr
normalt som en delmngd vid skerhetsskyddskontroller.
Signalkontroll genomfrs av specialutbildade enheter med syfte att frsvra, om mj-

ligt frhindra obehrig tkomst, strande eller manipulering av data i totalfrsvarets
telekommunikations- och informationssystem. Signalkontroll avser ven kontroll av
rjande signaler (RS) och att systemen anvnds enligt gllande regelverk (se vidare
H TST Grunder).
84
4.3.2 Inte franmlda kontroller
Inte franmlda skerhetsskyddskontroller genomfrs utan frvarning eller med kort
frvarning. En inte franmld kontroll kan genomfras internt i form av en intern-
kontroll eller genom kontroll av hgre chef. Den som enligt Frsvarsmaktens interna
bestmmelser om skerhetsskydd och skydd av viss materiel har ett ansvar att kon-
trollera skerhetsskyddet har ocks rtt att fatta beslut om inte franmld skerhets-
skyddskontroll inom sitt ansvarsomrde.
Syftet med en inte franmld kontroll r att identifiera brister och behov av skerhets
skyddstgrder som inte hade varit mjligt genom en franmld kontroll. En inte fr-
anmld kontroll kan ven genomfras med anledning av intrffad skerhetsincident.
Kontroll av vakt- och bevakningstjnsten inom en garnison eller organisationsenhet

r ett exempel p verksamhet som kan kontrolleras genom en inte franmld kontroll.
Exempel p inte franmlda kontroller vilka kan krva srskilda beslut innan de
genomfrs:
S kallad aktiv IT-kontroll (ex.vis. penetrationstest) av IT-system i drift. Syftet

med sdan kontroll r att prva ett IT-systems frmga att motst samt detektera
intrng eller intrngsfrsk.2
Kontroll av skarp pgende verksamhet som vakt- och bevakningstjnst vid garni-
son av IBSS (Insatsberedd skyddsstyrka) eller av TPSS (Transportskyddsstyrka).3
4.3.3 Kontroll av fretag vilka har uppdrag som upphandlats med

skerhetsskyddsavtal (SUA)
Ett fretag som upphandlats med skerhetsskydd fr att leverera tjnster eller varor
dr uppgifter som rr rikets skerhet frekommer, ska kontrolleras. Omfattningen av
kontrollverksamheten varierar beroende p vilken niv (1-3) p och innehllet i sker-
hetsskyddsavtalet som tecknats fr uppdraget.
Kontroll av fretag som har upphandlats med skerhetsskyddsavtal skall genomfras av den bestllande
organisationsenheten. Vid behov skall en sdan kontroll gras i samrd med Skerhetspolisen. Skerhetspo-
lisen skall informeras, om kontrollen sker utan dess medverkan.
2 En sdan kontroll br genomfras frst efter samverkan med Must

3 En sdan kontroll br genomfras frst efter samverkan med Must eller INSS
85
Kontroller av att fretag som upphandlats med skerhetsskyddsavtal uppfyller sker-
hetskrav genomfrs av den bestllande organisationsenhetens skerhetschef.
Underlag infr frsta kontrollen av fretaget kan i frekommande fall hmtas i proto-
kollet frn frstagngsbesket i samband med att fretaget kontrakterades (godkn-
des). Uppfljningskontroller ska genomfras med periodicitet som verenskommits i
skerhetsskyddsavtalet samt vid strre frndringar hos fretaget.
Det r alltid den bestllande organisationsenheten som ska genomfra kontroller, inte
den enhet som lmnar upphandlingsstd.
Fr mer information se Handbok Skerhetstjnst SUA (H SK SUA), 2010.
4.4 Skerhetsskyddsbesk
Svl infr som efter genomfrda skerhetsskyddskontroller finns behov av samver-
kan i syfte att utgra ett std i skerhetsskyddsarbetet, att erhlla en uppdatering av
aktuellt skerhetslge eller att gemensamt (kontrollerande tillsammans med den kon-
trollerade) diskutera olika problemomrden. Vidare finns ett behov av att tillsammans
frbereda kommande kontroll eller att flja upp genomfrd kontroll. Sdan samverkan
sker lmpligen i form av ett skerhetsskyddsbesk.
Skerhetsskyddsbesk genomfrs normalt ven vid omlokalisering av enheter samt

i samband med internationella militra insatser infr etablering i nytt insatsomrde
eller infr etablering av en frsvarsavdelning p ny plats. Syftet r frmst att klarlgga
skerhetslget i stort samt behov av fortsatt std.
Genom att klarlgga skerhetslget i samband med ett skerhetsskyddsbesk skapas

ingngsvrden fr att planera kommande skerhetsskyddskontroll vad avser omfatt-
ning, resursbehov m.m. En kommande skerhetsskyddskontroll kan drmed inriktas
och genomfras utan att ondiga resurser tas i ansprk.
Ett skerhetsskyddsbesk dokumenteras i form av en PM eller motsvarande. Ngot

kontrollprotokoll skrivs inte. Normalt delges inte heller ngon form av kontrollresultat.
86
4.5 Kontrollfrberedelser
4.5.1 Riktlinjer fr tidsplan infr skerhetsskyddskontroll
Kontrollverksamheten skall, svitt avser franmlda kontroller, grundas p en rlig plan, kontrollplan, som
skall omfatta en femrsperiod. Kontrollplanen skall upprttas i samrd med den som skall kontrolleras.
Kontrollverksamheten ska grundas p en rlig rullande plan, en s kallad kontrollplan.

Kontrollplanen omfattar minst en femrsperiod.
Senast en mnad fre en franmld kontroll skall den som skall kontrolleras f en detaljplan ver hur kon-
trollen avses att genomfras.
Fljande tidsfrhllanden utgr riktlinjer vid kontrollplanering:
Ca 1 r i frvg faststlls tidpunkt fr kontroll.

Ca 6 mnader fre kontroll faststlls omfattning i stort av kontroll (frberedande
order eller preliminra bestmmelser).
Ca 3 mnader i frvg snds underlag fr genomfrande till kontrollerande enhet.
Ca 2 mnader i frvg redogr den kontrollerade fr skerhetsskyddslget och vid-
tagna frberedelser.
Ca 2 mnader (dock senast 1 mnad) i frvg faststlls slutlig order eller bestm-
melser fr kontroll.
4.5.2 Underlag fr genomfrande av skerhetsskyddskontroll

I syfte att frbereda genomfrandet av en skerhetsskyddskontroll begr den enhet
som ska genomfra kontrollen in de underlag som krvs. Underlagen utgrs bland
annat av verksamhetsbeskrivning, arbetsordning (ArbO) och genomfrd skerhets-
planering (skerhetsanalys, skerhetsplan och skerhetsbestmmelser inklusive IT-
skerhetsplan, signalskyddsinstruktion, utbildningsplan och internkontrollplan).
Omfattningen av kontrollen och den kontrollerandes behov styr vilka underlag som
krvs fr att frbereda kontrollen.
87
4.6 Genomfrande
En kontroll br genomfras i samfrstnd och ska utgra ett std fr den kontrolle-
rade. Kontrollen genomfrs lmpligen bde i dialogform (intervjuer) och som besk
vid respektive kontrollobjekt. Srskilda tester och prov av t.ex. larmfunktioner och
insatstider kan ing.
Kontrollen br inledas med en gemensam genomgng, dr berrda chefers och sker-

hetspersonals nrvaro r ett krav. I samband med en inledande genomgng r det
lmpligt att den kontrollerade enheten redogr fr egen verksamhet, skerhetsorga-
nisation, aktuell skerhetshotbild och viktigare delar av enhetens skerhetsplanering.
Den kontrollerande redogr fr syftet med och omfattningen av kontrollen. Alla till-
fllen till utbildning som ges under kontrollen br tas tillvara. Eventuella frndringar
i skerhetshotbilden redovisas som komplement till bedmt skerhetshot.
En kontroll genomfrs s effektivt som mjligt. Det innebr normalt att den genom-
frs p flera tter. Om mjligt br en kontrolltt inte best av frre n tv personer.
Detta fr att skerstlla att synpunkter och iakttagelser hinner dokumenteras och upp-
fattas korrekt.
Exempel p indelning av kontrolltter:
Delomrde Kategori
Ledning (inklusive skerhetspla-
nering, utbildning och intern- Frbandschef, stabschef, skerhetschef, vriga chefer m.fl.
kontroll)
Hotbildsuppfattning Personal p alla niver
C Adm, expeditionspersonal, administrativ personal, che-
Informationsskerhet
fer m.fl.
IT-chef, IT-skerhetschef, ledningssystemchef, driftansva-
IT-skerhet
rig (DA) m.fl.
Tilltrdesbegrnsning, IBSS/
Skerhetschef, vaktchef, receptionist, m.fl.
TPSS, vapen och ammunition
Skerhetsprvning Personalchef, personalhandlggare, skerhetschef m.fl.
Ekonomichef, ekonomiansvarig, inkpare, skerhetschef
SUA
m.fl.
Signalskyddschef, IT-chef, sambandschef, ledningssystem-
Signalskydd
chef m.fl.
88
4.7 Efter genomfrd skerhetsskyddskontroll
4.7.1 Muntliga och skriftliga redovisningar
En kontroll avslutas med en gemensam genomgng dr samtlig i kontrollen delta-
gande personal br nrvara. Under den avslutande genomgngen redovisar den kon-
trollerande muntligen en sammanfattning av resultatet av kontrollen, dr de viktigaste
iakttagelserna och eventuella krav p omedelbara tgrder tas upp. Enhetens chef och
all skerhetspersonal br alltid delta vid den avslutande genomgngen.
tgrder som r tvingande ska vidtas s snabbt som det r mjligt utan att invnta
slutligt protokoll eller andra beslutshandlingar.
Innan slutligt protokoll faststlls ges den kontrollerade mjlighet att lsa igenom pro-
tokollet fr att kunna justera eventuella missuppfattningar, sakfel och oklarheter.
Ett protokoll frn en skerhetsskyddskontroll skall inom tre mnader frn kontrollen sndas till den som
har blivit kontrollerad. I protokollet skall anges inom vilken tid fel och brister skall vara tgrdade.
S fort det r mjligt, dock senast tre mnader efter genomfrd kontroll, ska det slut-
liga protokollet sndas till den kontrollerade.
Fr frband i internationell tjnst r inriktningen att insatsstaben i Hgkvarteret och

frbandet snarast efter genomfrd kontroll ska erhlla slutligt protokoll (dock senast
efter tre mnader).
I kontrollprotokoll ska anges en tidpunkt (ca 3 mnader senare), d en rapport ska vara
den kontrollerande tillhanda. I rapporten ska det framg vilka tgrder som genom-
frts och kommer att genomfras med anledning av vad som delgivits muntligt och
vad som redovisats i protokollet samt en tidsplan fr tgrdsarbetet inklusive ansvars-
frhllanden.
Protokoll frn skerhetsskyddskontroller inom en organisationsenhet skall frvaras samlade vid organisa-
tionsenheten.
D protokoll efter genomfrd kontroll normalt innehller uppgifter om svagheter i

skerhetsskyddet omfattas i regel uppgifterna av sekretess enligt OSL och rr rikets
skerhet.
89
4.7.2 Uppfljning
Kontroll av att ptalade fel och brister r tgrdade skall ske senast inom tv r frn protokollets datum,
om inte ngon annan tid anges i protokollet.
Efter en skerhetsskyddskontroll sker uppfljning i syfte att stdja den kontrollerade

enheten att tgrda identifierade brister i skerhetsskyddet. Till grund fr uppflj-
ningen finns den kontrollerade enhetens tgrdsplan. Det innebr att uppfljning i
huvudsak sker delomrdesvis. Endast i undantagsfall genomfrs uppfljning i form av
ytterligare kontroll. Tidsplan fr uppfljning sker i dialog, men tar alltid sin utgngs-
punkt i aktuell skerhetshotbild och gllande regelverkskrav. Uppfljning ska ha
genomfrts senast tv r efter att kontrollprotokoll har faststllts.
Genomfrd kontrollverksamhet4 rapporteras till frsvarsmaktens skerhetsskyddschef

(C Must) av den organisationsenhet som utfrt kontrollen och omfattar en samman-
fattning av resultatet inklusive krav p skerhetsskyddstgrder. D skerhetsskydds-
tgrder r genomfrda och identifierade brister tgrdade sker en slutlig rapport till
kontrollerande enhet med kopia till den militra underrttelse- och skerhetstjnsten.
4.8 Skerhetsrapportering
Skerhetshotande verksamhet och allvarliga brister i skerhetsskyddet som identifie-
rats under kontrollverksamhet (inklusive interkontrollverksamhet) ska omedelbart
skerhetsrapporteras enligt ordinarie rutin.
4 I detta fall avses inte internkontrollverksamhet. Sdan kontrollverksamhet rapporteras i avsett IT-system
enligt srskilda anvisningar beslutade av skerhetsskyddsavdelningen vid den militra underrttelse- och
skerhetstjnsten.
90
5 Internationell verksamhet
5.1 Inledning
Frsvarsmaktens internationella verksamhet r en av Frsvarsmaktens huvuduppgif-
ter och utgr en vsentlig del av myndighetens verksamhet. I princip alla verksamhets-
omrden i myndigheten r berrda av den internationella verksamheten. Detta kapi-
tel behandlar grunder i skerhetstjnst i Frsvarsmaktens internationella verksamhet.
5.2 Grunder
5.2.1 Allmnt
Inledningsvis och som en allmn utgngspunkt gller att det regelverk som rr sker-
hetsskydd i Frsvarsmakten ska tillmpas svl nationellt som internationellt. Det
innebr att stdet fr att bedriva skerhetstjnst i ett internationellt sammanhang ska
skas i det ordinarie regelverket; i de frfattningar, direktiv och handbcker som gl-
ler generellt.
Som beskrivs nedan har Sverige ingtt verenskommelser med andra lnder och orga-
nisationer om hur det msesidiga skerhetsskyddet ska ordnas fr uppgifter som
utbyts mellan parterna. I Frsvarsmakten omstts dessa verenskommelser i freskrif-
ter och interna bestmmelser s att dessa blir generellt giltiga utan krav p knnedom
om de specifika internationella verenskommelser som ligger bakom bestmmelserna.
I vissa avseenden kan det dock uppst tillmpningssvrigheter dr speciella omstn-

digheter, t.ex. i ett insatsomrde, omjliggr eller frsvrar mjligheten att bedriva
91
skerhetstjnst p ett sdant stt som sker i Sverige. Fr dessa fall finns det bestmmel-
ser som r tnkta att ge alternativ och flexibilitet s att skerhetsskyddet nd blir s
bra som mjligt under givna frutsttningar.
Vidare kan vissa internationella regelverk skilja sig i detaljer frn svenska bestmmel-
ser p s stt att det i specifika situationer (t.ex. vid systemutveckling av interoperabla
informationssystem) kan uppst ett behov av att detaljstudera de internationella krav-
dokumenten. I de fall dr sdana situationer uppstr br en tidig samverkan ske med
Must.
I detta kapitel beskrivs inledningsvis grunderna till skerhetsskydd i internationell

verksamhet och grundlggande regelverk och roller. Drefter fljer en beskrivning av
gemensamma bestmmelser och srskilda bestmmelser som tar sikte p internatio-
nella militra insatser.
5.2.2 Internationellt regelverk

Sveriges internationella verksamhet inom frsvarssektorn r reglerad p flera stt. Ett
vanligt stt att reglera frhllanden mellan lnder eller mellan lnder och mellanfolk-
liga organisationer r att ing internationella verenskommelser p olika niver.
Inom skerhetstjnsten r s.k. generella skerhetsskyddsavtal (GSA) av srskild bety-

delse. Dessa verenskommelser som Sverige ingr med andra lnder och mellanfolkliga
organisationer mjliggr att p ett skert stt, msesidigt utbyta hemliga och utrikes-
klassificerade uppgifter mellan tv eller flera parter. verenskommelserna innehller
92
vanligen en versttningstabell1 som jmfr lndernas eller organisationernas infor-
mationsklassificering. De innehller normalt ven bestmmelser om hur information
ska verfras mellan avtalsparterna och hur den ska skyddas. En viktig del av verens
kommelsen r vilka tgrder som parterna ska vidta om information som hrrr frn
den andra parten frloras eller rjs.
Huvudprincipen i avtalen r att parternas ordinarie skerhetsskyddslagstiftningar i

strsta mjligaste mn ska tillmpas ven p den andra partens information.
Sverige har GSA med ett trettiotal lnder. Fr Frsvarsmaktens insatsverksamhet har
Sveriges GSA med Nato en central betydelse. Avtalet innebr att vi i huvudsak ska
ge ett skydd fr klassificerad2 Nato-information p samma stt som Nato och Natos
medlemsstater gr. Vidare har Sverige ett GSA med de nordiska lnderna och med
huvuddelen av de lnder som Sverige bedriver internationella frsvarsmateriella sam-
arbeten med.
Med ett GSA som grund kan parterna komma verens om mer detaljerade skerhets-
dokument fr specifika samarbetsomrden. Det r t.ex. vanligt i internationella mate-
rielsamarbeten att de bilaterala skerhetsfrgorna regleras i en s.k. projektskerhetsin-
struktion (PSI) som tas fram med ett GSA som grund.
Att Sverige har ett GSA med ett land eller en mellanfolklig organisation innebr ocks
att Frsvarsmakten med std av ett stende bemyndigande av regeringen fr frhandla
och ing en signalskyddsverenskommelse med denna part fr att reglera gemensam
anvndning av signalskyddssystem som r godknda av Frsvarsmakten.
En internationell signalskyddsverenskommelse (eng. COMSEC Agreement) r

en skriftlig verenskommelse gllande signalskydd mellan en svensk myndig-
het3 och en utlndsk myndighet eller mellanfolklig organisation. En internationell
signalskyddsverenskommelse fr frhandlas och tecknas frst efter samrd med
Hgkvarteret.
1 Se Handbok fr Frsvarsmaktens skerhetstjnst, Sekretessbedmning Del A , (H Sk Sekrbed Del A) 2011,

bilaga 2.
2 Med klassificerad NATO-information avses hr classified information, vilket motsvarar frsvarsmaktens
fyra informationsskerhetsklasser. Sdana uppgifter krver ett srskilt skydd i likhet med det vi i Frsvars-
makten avser med begreppet skerhetsskydd.
3 Frutsttningen fr att en svensk myndighet ska f frhandla och ing en internationell signalskyddsver-
enskommelse med en utlndsk part, r att den svenska myndigheten har ett bemyndigande frn regeringen
att gra detta.
93
5.2.3 Internationella roller
I ett GSA regleras ven hur skerhetssamarbetet mellan parterna ska ske. Vanligen defi-
nieras parternas nationella skerhetsmyndigheter (NSA), vilka ges uppgifter att sam-
verka om skerhetsfrgor som rr gemensamma samarbetsomrden. Frsvarsmakten
lser normalt denna uppgift i Sverige utom vad avser relationerna med Nato och Euro-
peiska unionen (EU) dr regeringskansliet (RK) i stllet har denna roll. Observera
dock att Frsvarsmakten r NSA i bilaterala samarbeten med EU- och Natolnderna.
Det r viktigt att Sverige fljer avtalens bestmmelser och att kontakt mellan parterna
sker mellan de NSA-funktioner som r utpekade. Srskilt viktigt r det med tanke p
att omrdet kan vara knsligt, vilket gr att sm missfrstnd eller felaktigheter kan
f stora konsekvenser fr Sveriges och Frsvarsmaktens frbindelser med det aktuella
landet eller organisationen.
I Frsvarsmakten r det normalt Must som ansvarar fr de bilaterala kontakterna i

skerhetsskyddsfrgor.
Frsvarsmakten utvar ven rollerna som nationell signalskyddsmyndighet (National

Communication Security Authority, NCSA4), nationell nyckeldistributionsmyndighet
(National Distribution Authority, NDA5) och nationell RS-myndighet (Tempest Aut-
hority, TA). ven i dessa fall utvas rollerna av Must.
Rollen som nationell signalskyddsmyndighet (NCSA) innebr bl.a. att utgra svensk
nationell signalskydds- och kryptogodknnandemyndighet genom att bland annat
4 Inom EU betecknas rollen som Crypto Approval Authority, CAA.

5 Inom EU betecknas rollen som Crypto Distribition Authority, CDA.
94
frhandla och ing signalskyddsverenskommelser med andra lnder och mellanfolk-
liga organisationer.
Rollen som nation ell nyckeldistributionsmyndighet (NDA) innebr bland annat

ansvar fr att upprtta rutiner och metoder fr utlndska signalskyddsnycklar och sig-
nalskyddsutrustningars redovisning, handhavande, frvaring och distribution.
5.2.4 Ngot om sekretess i internationell verksamhet

I det allmnnas verksamhet gller OSL bestmmelser fr nr uppgifter omfattas av
sekretess. I Frsvarsmaktens verksamhet r frsvarssekretessen (15 kap. 2 OSL) och
utrikessekretessen (15 kap. 1 OSL) av central betydelse, ven om det finns ett stort
antal andra sekretessbestmmelser som kan vara tillmpliga i Frsvarsmaktens verk
samhet.6
Innebrden av OSL r att uppgifter som omfattas av sekretess inte fr delges till obe-
hriga. OSL gller normalt ven mellan myndigheter och det krvs normalt att en sr-
skild bestmmelse medger att sekretessbelagda uppgifter fr utbytas mellan myndig-
heter.
Naturligtvis gller OSL ven gentemot utlndska myndigheter och mellanfolkliga

organisationer. I detta sammanhang kan det vara bra att jmfra med ansvarsbestm-
melsen om spioneri i 19 kap. 5 brottsbalken som tar sikte p en grning d ngon
med syfte att g frmmande makt tillhanda obehrigen rjer eller befordrar uppgifter
av betydelse fr totalfrsvaret eller fr rikets skerhet i vrigt. Konsekvenserna av en
felaktig hantering kan allts bli allvarliga.
Det medfr att stor frsiktighet krvs innan Frsvarsmakten (eller tjnstemn i Fr-
svarsmakten) delger sekretessbelagd information till fretrdare fr andra lnder eller
internationella organisationer. I 8 kap. 3 OSL finns en bestmmelse som anger grun
derna fr att f delge sekretess i sdana fall.
6 Fr en mer omfattande beskrivning av sekretess i Frsvarsmaktens verksamhet hnvisas till H Sk Sekrbed

Del A.
95
En uppgift fr vilken sekretess gller enligt denna lag fr inte rjas fr en utlndsk myndighet eller en
mellanfolklig organisation, om inte
1. utlmnande sker i enlighet med srskild freskrift i lag eller frordning, eller
2. uppgiften i motsvarande fall skulle f lmnas ut till en svensk myndighet och det enligt den utlm-
nande myndighetens prvning str klart att det r frenligt med svenska intressen att uppgiften
lmnas till den utlndska myndigheten eller den mellanfolkliga organisationen.
8 kap. 3 offentlighets- och sekretesslagen
Nr det gller den frsta punkten s r frordningen (2010:648) om utlmnande av

sekretessbelagda uppgifter vid samarbete med utlndsk myndighet av srskilt intresse.
Frordningen rr internationella samarbeten p Frsvarsdepartementets verksam-
hetsomrde. Frordningen freskriver att ett utlmnande fr ske om det finns ett sam-
arbetsavtal med en utlndsk myndighet och det enligt den prvande myndigheten r
ndvndigt att lmna ut uppgifterna fr att genomfra samarbetet.
I den andra punkten framgr det att en myndighet kan fatta beslut om att lmna ut en
sekretessbelagd uppgift under de frutsttningar som r angivna dr.
I bda fallen gller att det r myndigheten som ska gra bedmningen. Det innebr
att den som genomfr en sdan bedmning mste vara behrig att fretrda myndig-
heten i det avseendet. En sdan behrighet kan framg i en arbetsordning eller i sr-
skilda beslut.
Vid tveksamhet om tillmpningen av dessa bestmmelser br en samverkan ske med

juridiska staben vid Frsvarsmaktens hgkvarter innan ngon delgivning sker.
5.3 Gemensamma bestmmelser

5.3.1 Allmnt
Den internationella verksamheten krver p.g.a. sin karaktr vissa specialbestmmel-
ser som tar sikte p att reglera srskilda frhllanden eller att med speciella skerhets-
skyddstgrder hja skerhetsnivn i verksamhet dr omstndigheterna kan vara kr-
vande.
96
Bestmmelserna i detta kapitel gller nr Frsvarsmakten
1. deltar i en internationell militr insats och frberedelse fr sdan verksamhet,

2. deltar i internationell fredsfrmjande verksamhet eller annat internationellt samarbete
samt i utbildning eller frberedelser fr sdan verksamhet eller samarbete, och
3. utomlands deltar i frevisningar av materiel eller verksamhet.
Den inledande bestmmelsen beskriver kapitlets tillmplighet. Avsikten r att kapit-

let ska omfatta s stor del av Frsvarsmaktens internationella verksamhet som mjligt.
Vissa bestmmelser i kapitlet gller specifikt fr internationella militra insatser.
5.3.2 Medfrande av hemliga och utrikesklassificerade hand-

lingar utomlands
Ibland uppstr det behov av att medfra hemliga eller utrikesklassificerade handlingar
frn den ordinarie arbetsplatsen i Sverige till verksamhet utanfr landets grnser. Det
innebr en kad srbarhet d mjligheterna att informationen p olika stt kan rjas
eller frloras blir fler. Moment som tull- och skerhetskontroller p flygplatser och
i hamnar kan medfra att handlingarna exponeras fr obehriga. Vidare kan vissa
moment i en resa ka risken fr att informationen frloras, t.ex. genom frlust eller
stld.
Tv specialfall av medfrande kan frekomma. Det ena fallet r ett medfrande dr

handlingarna behvs fr tjnsten utomlands, men att dessa sedan ska terfras till
97
Sverige. Det andra fallet r ett medfrande dr handlingarna ska verlmnas till en
utlndsk myndighet, t.ex. inom ramen fr ett internationellt materielprojekt.7
Hemliga handlingar som har placerats i informationsskerhetsklassen HEMLIG/CONFIDENTIAL eller

hgre fr medfras utanfr riket endast efter beslut av chefen fr organisationsenheten eller, svitt avser
Hgkvarteret, lgst avdelningschef. Ett sdant beslut fr fattas frst efter skriftligt samrd med militra
underrttelse- och skerhetstjnsten i Hgkvarteret.
Beslut enligt frsta stycket erfordras inte om det av ngot annat beslut fljer att hemliga handlingar ska
medfras utanfr riket eller verlmnas dr.
Innan hemliga handlingar som har placerats i informationsskerhetsklassen HEMLIG/CONFIDENTIAL

eller hgre medfrs utanfr riket ska chefen fr organisationsenheten, eller den han eller hon bestmmer,
upprtta en frteckning ver handlingarna. I frteckningen ska anges om ngon av handlingarna ska ver-
lmnas utomlands. Nr det gller de handlingar som ska terfras till riket ska chefen eller den han eller
hon bestmmer, nr handlingarna har terfrts, kontrollera att dessa r desamma som de som enligt fr-
teckningen ska terfras till riket.
Fr frsndelser med utrikesklassificerade handlingar till och frn utlandet ska Utrikesdepartementets
kurirfrbindelser om mjligt anlitas.

handlingar.
Innan ett medfrande utomlands sker br det analyseras om inte andra stt att verfra
informationen finns. Kanske kan informationen skickas med kurirpost till en svensk
ambassad i det aktuella landet eller att informationen skickas till verksamhetsstllet
med ett godknt signalskyddssystem. I andra fall ska kanske ett medfrande under-
ltas fr att risken r orimligt stor i frhllande till nyttan av att handlingen tas med.
Om andra stt att verfra informationen inte r mjliga s r dock ett personligt med-
frande den enda mjligheten. Det bsta skyddet fr informationen fs om den som
medfr informationen r diplomatisk kurir. Kuriren och det medfrda r d okrnk-
bart enligt Wienkonventionen om diplomatiska frbindelser, vilket ger ett skydd mot
rjande av uppgifterna fr t.ex. tullpersonal.
Fr tjnstemn i Frsvarsmakten finns det en mjlighet att f en tillfllig status som

diplomatisk kurir genom att UD utfrdar ett tillflligt kurirpass fr tjnstemannen.
7 Fr frgan om att delge sekretessbelagd information till utlndska myndigheter, se avsnitt 5.2.4 ovan.
98
Detta frfarande r mjligt nr Sverige har en diplomatisk representation i det aktu-
ella landet, eftersom kurirverksamhet enbart fr ske mellan ett land och dess represen
tation utomlands. I vissa insatsomrden r drfr denna metod inte mjlig. D detta
frfarande ska anvndas krvs en god planering infr resan och kontakt mste ske med
UD:s kurirexpedition i mycket god tid fre avresan. Sdana transporter ska utg frn
UD fr att frpackas p ett korrekt stt enligt gllande bestmmelser.
I de fall dr detta inte gr att tillmpa fr medfrandet ske av en tjnsteman utan

kurirstatus. Internationellt tillmpas Natos och EU:s bestmmelser om s.k. militrku-
rir, vilket innebr att braren har en officiell status, men utan det skydd som Wien-
konventionen ger. Ett kurircertifikat som r utfrdat av en behrig myndighet inne-
br en uppmaning till tull- och grnsvervakningspersonal att inte i ondan orsaka
ett rjande av informationen genom t.ex. underskning. Det r dock upp till dessa att
sjlvstndigt avgra denna frga och kuriren kan inte vgra en underskning. Certifi-
katet ska undertecknas av behrig tjnsteman vid Must eller den Must utser.
Ett medfrande av hemliga eller utrikesklassificerade handlingar utomlands ska fre-

gs av ett beslut av frbandschef eller, i Hgkvarteret, av lgst avdelningschef. Must ska
teckna samrd infr ett sdant beslut och sklet till det r att hotbilden fr den aktu-
ella transporten ska kunna bedmas liksom eventuella alternativa stt att transportera
informationen.
Ett separat beslut behvs inte om det framgr av ngot annat beslut, t.ex. en order, att
denna typ av handlingar fr medfras eller verlmnas.
Exempel 5.1.
4.ytstridsflottiljen ska enligt en order delta i en internationell marinvning i
Nordsjn p andra lnders territorium. Fr att kunna delta i vningen r det ndvndigt att ett antal
hemliga handlingar medfrs fr t.ex. ledning, hantering av vapensystem och fr underhll. Detta fr anses
ing i ordern att delta i vningen och ngot separat beslut avseende medfrande behvs inte. Observera
dock att bestmmelserna om frteckning och inventering alltid gller.
99
5.3.3 Medfrande av signalskyddsnycklar och signalskydds
materiel utomlands
I 22 Frsvarsmaktens freskrifter (FFS 2005:2) om signalskyddstjnsten inom totalfrsvaret finns fre-
skrifter om vad som krvs fr att f medfra eller p annat stt gra kryptonycklar tillgngliga utanfr
svenskt territorium.
Fartyg och luftfartyg som kortvarigt lmnar svenskt territorium fr vningsverksamhet eller en nationell
insats fr utan hinder av vad som anges i 22 1 Frsvarsmaktens freskrifter om signalskyddstjnsten inom
totalfrsvaret medfra de kryptonycklar som oundgngligen behvs fr att kunna genomfra vningen eller
insatsen. Kryptonycklarna ska om mjligt tas ur srskilda kryptonyckelserier.
29 Frsvarsmaktens interna bestmmelser om signalskyddstjnsten
Utan hinder av vad som anges i 28 Frsvarsmaktens freskrifter (FFS 2005:2) om signalskyddstjnsten
inom totalfrsvaret fr fartyg och luftfartyg som kortvarigt lmnar svenskt territorium fr vningsverk-
samhet eller en nationell insats medfra den signalskyddsmateriel som behvs fr att kunna genomfra
vningen eller insatsen.
35 Frsvarsmaktens interna bestmmelser om signalskyddstjnsten
Normalt krvs tillstnd att medfra signalskyddsnycklar och signalskyddsmateriel

utomlands. Tillstnd beviljas av Must. Av Frsvarsmaktens interna bestmmelser om
signalskyddstjnsten framgr vid vilka tillfllen det inte krvs tillstnd frn Must.8
5.3.4 Betydelsen av mrkning frn annat land eller mellanfolklig

organisation
En inkommande handling frn en annan stat eller en mellanfolklig organisation som
r mrkt med den statens eller organisationens motsvarighet till en informationss-
kerhetsklass ska placeras i informationsskerhetsklass. En sdan handling innehller
normalt inte uppgifter som omfattas av sekretess enligt 15 kap. 2 OSL (s.k. frsvars
sekretess). Dremot omfattas uppgifterna i handlingarna sannolikt av sekretess enligt
15 kap. 1 OSL (den s.k. utrikessekretessen). D sdana handlingar sekretessmarke-
ras ska hnvisning sledes gras till 15 kap. 1 OSL. En sdan handling r i Frsvars-
makten utrikesklassificerad.
8 Se handbok H TST Grunder fr ytterligare information.
100
Har en utlndsk myndighet eller mellanfolklig organisation frsett en hemlig handling med en anteckning
som innebr begrnsningar i att delge eller anvnda handlingen ska anteckningen fljas om hinder inte
mter enligt svensk rtt.
9 kap. 5a Frsvarsmaktens interna bestmmelser om skerhetsskydd och skydd av viss materiel.
I bilaterala skerhetsskyddsavtal frekommer det ofta ett tagande att en part som del-
ger information till en annan part kan specificera fr vilket ndaml som informatio-
nen ska anvndas. En sdan specificering, som kan ske genom anteckning p en hand-
ling eller i ngon form av styrande dokument, ska naturligtvis fljas i den mn det inte
strider mot svensk rtt att flja specificeringen. Det innebr att om informationen r
delgiven unikt fr ett visst materielsamarbete fr informationen inte anvndas i ngot
annat sammanhang. Naturligtvis bestmmer myndigheten (utifrn behrighetsrekvi-
siten) vilka vid myndigheten som ska delges informationen och bestmmelsen i sig
avser inte att begrnsa detta p ngot stt.
HEMLIG
2011-01-12
NATO SECRET
FRSVARSMAKTEN
releasable to SWE
RESTREINT UE
En anteckning som innebr begrnsningar i att delge eller anvnda handlingar

benmns i internationella sammanhang normalt caveat.
Om hinder mter i svensk rtt ska bestmmelsen inte fljas.
Ytterligare beskrivning om hantering av hemliga och utrikesklassificerade handlingar

och uppgifter framgr av Handbok fr Frsvarsmaktens skerhetstjnst, Informations-
skerhet (H SK Infosk). Andra staters eller organisationers motsvarighet till infor-
mationsskerhetsklasser framgr av Handbok fr Frsvarsmaktens skerhetstjnst,
Sekretessbedmning Del A (H SK Sekrbed Del A).
101
5.3.5 Fretrde fr utlndska bestmmelser
Som nmnts ovan i inledningen gller svenska bestmmelser fr Frsvarsmaktens
verksamhet oavsett om den sker nationellt eller internationellt. Det innebr att huvud-
regeln r att bestmmelser om skerhetsskydd ska skas i det ordinarie regelverket.
I vissa fall kan det dock uppst situationer dr de svenska bestmmelserna r olmp-
liga, str i strid med en internationell frpliktelse eller helt enkelt inte reglerar en viss
freteelse eller situation.
Om det i ett avtal fr visst internationellt samarbete frekommer bestmmelser om skerhetsskydd som
avviker frn bestmmelserna i denna frfattning ska bestmmelserna i avtalet ha fretrde.
Tillmpning av sdana bestmmelser som avses i frsta stycket ska, om mjligt, fregs av samrd med
militra underrttelse- och skerhetstjnsten i Hgkvarteret. Har sdant samrd inte skett ska militra
underrttelse- och skerhetstjnsten i Hgkvarteret snarast underrttas.
Om det i verksamhet dr personal har stllts till frfogande fr annan stat eller mellanfolklig organisation
gller bestmmelser om skydd av uppgifter i den verksamheten, och som avviker frn freskrifterna i denna
frfattning, ska bestmmelserna ha fretrde.

handlingar.
Nr sdana situationer uppstr r det viktigt att det sker ett samrd med Must s att
situationen kan uppmrksammas samt att Must kan ge std med ndvndig kompe-
tens fr att lsa situationen. Det kan ven vara s att tidigare liknande fall kan tjna
som lsningar fr den aktuella situationen. Fr det fall att Must samrd inte hinner
inhmtas ska Must nd underrttas s snart som situationen medger det.
Internationella bestmmelser r ofta mer detaljerade n motsvarande svenska. Det r

drfr vanligt att det frekommer internationella krav p tgrder eller moment som
saknar motsvarighet i det svenska regelverket. Det betyder inte med ndvndighet att
bestmmelserna str i strid med varandra utan ett internationellt krav kan ofta ligga
inom ramen fr avsikten med en svensk bestmmelse och komplettera denna p ett
stt som i Sverige normalt sker i form av handbcker, m.m.
102
Exempel 5.2.
Frsvarsmakten och FMV ska gemensamt utveckla ett UAV-system som ska anvndas i internationella
insatser under Natos ledning. Systemet kommer att hantera utrikesklassificerade uppgifter p nivn HEM-
LIG/SECRET. Nato stller bl.a. krav nr det gller skydd mot rjande signaler som r betydligt mer detalje-
rade n motsvarande svenska bestmmelser. I det hr fallet ska Natos mer detaljerade bestmmelser fljas
vid utvecklingen av systemet.
5.4 Internationella militra insatser

5.4.1 Allmnt
I Frsvarsmaktens internationella insatser medfr de srskilda frhllandena som
rder normalt en strre prvning fr skerhetsskyddet n i Sverige. Det innebr att
vissa moment i skerhetsskyddet mste ske med strre noggrannhet eller frekvens.
Vidare kan det vara svrt att genomfra vissa skerhetsskyddstgrder i en interna-
tionell milj, vilket medfr att det i vissa fall kan finnas behov av avsteg frn bestm-
melserna.
5.4.2 Inventering
Internationella insatser prglas av att personalen omstts regelbundet i form av s.k.
rotationer. Rotationen innebr ett riskmoment i och med att verlmningstiderna
r relativt korta med mnga moment som ska genomfras. verlmning av hem-
liga och utrikesklassificerade handlingar mellan avgende och tilltrdande befatt-
ningshavare r ett viktigt moment som br ske med stor noggrannhet fr att undvika
informationsfrluster. Som std fr en verlmning br en inventering av hemliga och
103
utrikesklassificerade handlingar ske infr varje rotation. Det r lmpligt att invente-
ringen genomfrs samtidigt som verkvittering av handlingar.
Allmnna handlingar som har placerats i informationsskerhetsklassen HEMLIG/CONFIDENTIAL eller

hgre och som anvnds i en internationell militr insats ska, om mjligt, inventeras vid avlsning (rotation)
och i vrigt nr det finns srskild anledning.
Allmnna hemliga handlingar som har placerats i informationsskerhetsklassen HEMLIG/CONFIDEN-

TIAL eller hgre och som anvnds i vrig verksamhet enligt 1 i detta kapitel ska, om mjligt, inventeras
nr verksamheten avlutas, dock minst en gng varje r, och i vrigt nr det finns srskild anledning.
Erfarenheter frn Frsvarsmaktens internationella militra insatser har visat att inven-
teringar som sker ngon till ngra veckor innan rotation ger ett bra underlag infr
verlmningen till pgende styrka.
Utver de regelbundna inventeringarna ska srskilda inventeringar ske nr det finns

srskild anledning till det. Sdana anledningar kan t.ex. vara en campflytt, nr perso-
nalstyrkan kar eller minskar i vsentligt omfattning eller nr verksamheten ndrar
karaktr.
5.4.3 Kontroll av skerhetsskyddet

Chefen fr en kontingent i en internationell militr insats ska se till att skerhetsskyddet kontrolleras under
varje tjnstgringsperiod. Resultatet av kontrollen ska dokumenteras.
Nr det gller kontroll av skerhetsskyddet vid kontingenter i internationella mili-

tra insatser gller att kontingentschef ansvarar fr att kontroll genomfrs (internkon-
troll) och dokumenteras under aktuell tjnstgringsperiod. Grunden fr detta vilar p
samma principer som nr det gller inventering d.v.s. att varje styrka ska kunna upp-
tcka och tgrda brister i skerhetsskyddet innan ansvaret (och drmed ven eventu-
ella brister) verlmnas till nsta pgende (avlsande) styrka.
Brister som upptcks vid kontroll kan behva lngre tid fr tgrdande n vad som
hinner genomfras under den pgende tjnstgringsperioden. Det r drfr mycket
viktigt att det sker en noggrann dokumentation som std fr pgende (avlsande)
styrka.
104
5.4.4 Beslut om undantag
Trots att Frsvarsmakten numera har en omfattande erfarenhet av skerhetstjnst i
internationella militra insatser kan det uppst situationer dr gllande bestmmelser
inte kan fljas eller dr kostnaderna inte str i proportion till bedmd skerhetsskydd-
seffekt. I sdana fall fr kontingentschef respektive chef fr organisationsenhet fatta
beslut som avviker frn Frsvarsmaktens freskrifter om skerhetsskydd samt Fr-
svarsmaktens interna bestmmelser om skerhetsskydd och skydd fr viss materiel. I
kapitel 1 beskrivs bestmmelserna om avvikelsebeslut utfrligt.
105
Bilaga 1 Exempel p disposition av
skerhetsanalys
1 Uppgiften
1.1. Uppgiftens innebrd ur skerhetssynpunkt
1.1.1. Syfte
1.1.2. Omfattning
1.1.3. Ansvarsfrhllanden
1.1.4. Tidsplan
1.1.5. Styrande ingngsvrden
1.1.6. Slutsatser
2 Riskhantering
2.1. Identifierade risker (i prioritetsordning)
2.1.1. Risk 1
Beskrivning
Riskhanteringsbeslut
Ansvars- och tidsfrhllanden
2.1.2. Risk 2
Beskrivning
Riskhanteringsbeslut
Ansvars- och tidsfrhllanden
osv.
3 Sammanfattning
3.1. Sammanfattande slutsatser
3.2. Riktlinjer
3.3. Ansvarsfrhllanden
3.4. Tidsplan
107
Bilaga 2 Exempel p disposition av
skerhetsplan
1 Allmnt
1.1. Omfattning och syfte
1.2. Ingngsvrden frn skerhetsanalys
2 Funktionsvisa bestmmelser1
2.1. Inriktning av skerhetstjnsten
2.2. Skerhetsunderrttelsetjnst
2.3. Skerhetsskyddstjnst
2.3.1. Informationsskerhet
2.3.2. IT-skerhet2
2.3.3. Tilltrdesbegrnsning
2.3.4. Skerhetsprvning
2.3.5. SUA
2.3.6. Utbildning och information
2.3.6.1. Utbildningsplan skerhetstjnst (bilaga)
2.3.6.2. Frteckning ver utbildad personal (bilaga)
2.3.7. Kontroll och uppfljning
2.3.7.1. Internkontrollplan (bilaga)
2.4. Signalskyddstjnst3
1 Hr regleras de tgrder som krvs fr att hantera de risker som identifierats i skerhetsanalysen, bl a fram-
gr vad som ska gras, nr det ska gras och vem som r ansvarig.
2 Redovisas normalt i separat IT-skerhetsplan.
3 Redovisas normalt i separat signalskyddsinstruktion.
109
Bilaga 3 Exempel p disposition
av skerhets-
bestmmelser
1 Allmnt
1.1. Skerhetstjnstens organisation
1.1.1. Skerhetschef
1.1.2. IT-skerhetschef
1.1.3. Signalskyddschef
1.1.4. Skerhetsmn
1.3. Styrande dokument
1.4. Rapportering
1.5. Samverkan med polis och vriga myndigheter
1.6. Delgivning
2 Skerhetsbestmmelser
2.1. Informationsskerhet
2.1.1. Upprttande av H och KH
2.1.2. Upprttande av UK
2.1.3. Upprttande av SK
2.1.4. Behrighet
2.1.5. Sekretessbevis
2.1.6. Registrering
2.1.7. Kvittering
2.1.7.1. Kvittering vid mottagande
2.1.7.2. Kvittering vid delgivning muntligt eller genom visning
2.1.7.3. Signaturlista
2.1.8. Muntlig delgivning
2.1.8.1. Godknda lokaler och omrden (H/C eller hgre)
2.1.9. Frvaring av hemlig handling
2.1.10. Samfrvaringsbeslut
2.1.11. Gemensam anvndning av hemlig handling
2.1.12. Medfrande
2.1.13. Kopiering av eller utdrag ur SK/UK/H/KH
2.1.14. Frstring
2.1.15. Inventering
2.1.16. Distribution
2.1.16.1. Inom organisationsenheten
2.1.16.2. Utanfr organisationsenheten
111
2.1.16.3. Till utlandet
2.1.17. Frlust
2.2. Tilltrdesbegrnsning
2.2.1. Legitimation och inpasseringsbevis
2.2.2. Besksrutiner
2.2.3. Medfrande av elektronisk utrustning
2.2.4. Frvaring
2.2.5. Stldbegrlig utrustning
2.2.6. Nycklar och koder
2.2.7. Rutiner vid ppning av frvaringsutrymme utan nrvaro av med-
arbetaren
2.2.8. Rutiner fr larm och bevakning
2.3. IT-skerhet
2.3.1. Laptop, mobiltelefon, vriga mobila enheter
2.3.2. Digitala lagringmedia
2.3.2.1. Registrering och kvittering
2.3.2.2. Mrkning
2.3.2.3. Frvaring
2.3.2.4. Medfrande
2.3.2.5. Frstring
2.4. Skerhetsprvning
2.4.1. Infr rekrytering
2.4.2. Under anstllning och tjnstgring
2.4.3. Skyddssamtal
2.4.4. Skerhetssamtal
2.5. SUA
2.6. Utbildning i skerhetstjnst
2.6.1. Grundlggande skerhetsgenomgng
2.6.2. Utbildning fr att vara behrig att ta del av H eller UK
2.6.3. Repetitionsutbildning
2.6.4. vrig utbildning
2.7. Internkontrollverksamhet
2.7.1. Allmnt
2.7.2. Skerhetsmans ansvar
2.7.3. Enskilds ansvar
112
Sakregister
A
ackreditering 31
aktrsdrivna hot 14
avvikelse 28, 29, 30
B
behrighet 16
brottsbalken 21
C
caveat 101
classified information 93
COMSEC Agreement 93
F
flygbilder 25, 26
fotografering 25, 26
franmld kontroll 85, 87
frsvarsunderrttelseverksamhet 27
G
generella skerhetsskyddsavtal 92
GSA 92, 93, 94
H
hemlig handling 101
hemlig uppgift 8, 9
hot 14, 21, 35, 36, 41, 43, 49, 52, 53, 54, 55, 56, 57, 59, 60, 61, 67, 70, 73
Hot 36, 54, 60, 64, 70
hotbild 25, 26, 34, 68, 70
Hotbild 36
I
Icke aktrsdrivna hot 14
113
informationsklassificering 16, 27, 93
informationsskerhet 15, 16, 22, 28
informationsskerhetschef 17
informationsskerhetsklass 48, 72, 100
Insatschefen 17
insatsstaben 21, 89
inte franmld kontroll 85
internationella militra insatser 17, 30, 86, 92, 97, 104, 105
internationella skerhetsskyddsavtal 17
internkontroll 85, 88, 104
intern kontrollverksamhet 83
IT-skerhet 16, 17, 18, 31, 32, 67, 83, 88
IT-skerhetschef 18, 88
K
konsekvens 46, 47, 48, 50, 51, 60, 61, 62, 63, 67
Konsekvens 36
kontroll 15, 82, 83, 84, 85, 86, 87, 88, 89, 90, 104
Kontroll av signalskyddstjnsten 84
kontrolltter 88
kriminalitet 14, 20, 78
kryptografiska funktioner 18
kurir 98
L
landskapsinformation 24, 25, 26
M
Medfrande 97, 100
militrgeografiska frhllanden 26
myndighet 19, 25, 26, 31, 49, 50, 74, 93, 94, 96, 98, 99, 101
N
NCSA 94
NDA 94, 95
NSA 94
114
O
organisationsenhet 19, 26, 27, 29, 30, 31, 35, 46, 74, 75, 76, 83, 85, 89, 90, , 105
OSL 25, 26, 27, 28, 29, 95, 100
P
Personuppgifter 27
Personuppgiftslagen 28
PuL 27, 28
PuL UNDSK 27, 28
R
Rapportering 19
regional skerhetsorganisation 20, 76, 77
rikets skerhet 14, 15, 16, 21, 22, 25, 35, 37, 45, 49, 50, 89, 90, 95
Risk 36, 37, 62, 69, 70
Riskacceptans 37
Riskanalys 37
Riskhantering 37
Riskhanteringsbeslut 37
Riskhanteringsmodell 35
rjande signaler (RS) 84
S
Sabotage 53
Sannolikhet 37, 64, 70
scenarion 42
sekretessklassificerad handling 9
sekretessklassificerad uppgift 9, 48
Signalkontroll 15, 84
Signalskydd 67, 88
Signalskyddschef 88, 111
signalskyddsmateriel 100
signalskyddsnycklar 95, 100
Signalskyddstjnst 15, 109
signalskyddstgrder 5, 15
115
sjmtning 25, 26
Skyddslagen 23
Skyddsobjekt 23
skyddsvakt 24
skyddsvrda tillgngar 5, 33, 34, 35, 38, 39, 40, 41, 45, 46, 52, 53, 56, 78
skyddsvrda tillgngarna 35, 40, 45, 47
Skyddstgrd 37
SUA 7, 16, 67, 83, 85, 86, 88, 109, 112
Subversion 53
Srbarhet 37, 64, 69, 70
skerhetsanalys 33, 35, 36, 37, 38, 39, 42, 43, 46, 48, 52, 53, 54
Skerhetsanalys 35, 37
skerhetsbestmmelser 33, 72
Skerhetsbestmmelser 71, 111
Skerhetschef 88, 111
skerhetshotande verksamhet 7, 14, 15, 19, 53, 75, 78
skerhetsinstruktion 71
Skerhetskontoret 4, 17
skerhetsorganisation p regional niv 9, 17
skerhetsplan 33, 35, 71
Skerhetsplan 71
skerhetsplanering 72
Skerhetsplanering 18, 33, 34
Skerhetsprvning 16, 67, 88, 109, 112
Skerhetsrapportering 18, 20, 90
Skerhetsskydd 21, 22, 23
Skerhetsskyddad upphandling med skerhetsskyddsavtal 16, 67
skerhetsskyddsavtal 67, 72
Skerhetsskyddsbesk 86
skerhetsskyddschef 90
skerhetsskyddsinstruktion 71, 72
skerhetsskyddskontroller 5, 17, 81, 82, 83, 84, 85, 86, 89, 90
Skerhetsskyddsplan 72
Skerhetsskyddstjnst 15, 16, 109
skerhetsunderrttelsebehov 14
Skerhetsunderrttelsetjnst 14, 109
Skerhetsupplysning 75
Skerhetsutbildning 75
T
TA 94
territoriella skerhetstjnsten 17
Terrorism 53
terroristbrott 21, 23, 25
TF 8, 25, 27
Tillgng 37, 41, 43, 51, 58
tilltrdesbegrnsning 69
Tilltrdesbegrnsning 16, 67, 88, 109, 112
U
undantag 28, 29, 30, 31, 32, 68, 69, 82, 105
Utbildning i skerhetstjnst 16, 18, 73, 112
Utbildningsplan 71, 109
utrikesklassificerad handling 9
utrikesklassificerad uppgift 8, 9
V
verksamhetsanalys 34
Y
YGL 8, 25
Deltagare
Mrten Walln (projektledare)
Martin Waern
Zenobia Rosander
ke Bylund

H Sak Grunder

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

H Sak Grunder

Uploaded by

Copyright:

Available Formats

Handbok Skerhetstjnst Grunder

107 85 STOCKHOLM. Tel 08-788 75 00, Fax 08-788 77 78.

Handbok fr Frsvarsmaktens skerhetstjnst Grunder (H SK Grunder), 2013 rs

Mlgruppen r frmst Frsvarsmaktens ledning, chefer fr organisationsenheter,

Drmed upphvs Handbok fr Frsvarsmaktens skerhetstjnst Grunder

Denna utgva av H SK Grunder erstter kapitel 2, 8, 9 och 10 i H SK Skydd, 2007

Chefen fr Skerhetskontoret vid den militra underrttelse- och skerhetstjnsten fr

2013 Frsvarsmakten, Stockholm

Omslagsbild: Combat camera, Frsvarsmakten

Central lagerhllning: Frsvarets bok- och blankettfrrd

Den militra skerhetstjnsten omfattar skerhetsunderrttelsetjnst, skerhetsskydds-

Denna handbok beskriver grunderna fr genomfrande av militr skerhetstjnst.

Frsvarsmaktens verksamhet innebr att vra skerhetsintressen frndras ver tiden.

Det frsta kapitlet i handboken behandlar rttsliga, organisatoriska och metodmssiga

Utver H SK Grunder omfattar den militra skerhetstjnstens handbcker:

H SK Infosk grunderna vad avser informations- och IT-skerhet

Text ur Frsvarsmaktens freskrifter och interna bestmmelser terges i beige rutor

I handboken grs hnvisningar till bl.a. Frsvarsmaktens interna bestmmelser (FIB

Freskrifter som rr skydd fr utrikes- och sekretessklassificerade uppgifter och hand-

Med utrikesklassificerad uppgift avses i denna handbok en uppgift som av en utlndsk

1 11 andra stycket och 44 skerhetsskyddsfrordningen.

Med sekretessklassificerad uppgift avses i denna handbok en uppgift som r sekretess-

I handboken terfinns exemplen i gula rutor samt i lptext.

Med regional skerhetsorganisation eller skerhetsorganisation p regional niv avses

1.2 Militr skerhetstjnst Grunder

1 Prop. 2006/07:46, Personuppgiftsbehandling hos Frsvarsmakten och Frsvarets radioanstalt, s. 25

Icke aktrsdrivna hot kategoriseras inte som skerhetshotande verksamhet ven om

Den militra skerhetstjnsten omfattar skerhetsunderrttelse-, skerhetsskydds-

Den skerhetshotande verksamhet som riktas mot Frsvarsmakten brukar delas in

2 Prop. 2006/07:46, s. 121

Exempel p signalskyddstgrder r kryptering, tckning, omskrivning, radiotystnad,

Genom att anvnda signalskydd i telekommunikations- och IT-system ges mjlighet

En del av signalskyddstjnsten r kontroll av signalskyddet i telekommunikations- och

Skerhetsskyddad upphandling med skerhetsskyddsavtal (SUA)

1.2.3 Lednings-, lydnads- och ansvarsfrhllanden

Skerhetskontoret vid den militra underrttelse- och skerhetstjnsten ansvarar fr

Insatschefen i Hgkvarteret leder skerhetstjnsten i internationella militra insatser

P lokal niv representeras den militra skerhetstjnsten av skerhetschefer13, IT-

Skerhetschefen ansvarar med std av den lokala skerhetsorganisationen fr bland

Ansvarsomrden fr IT-skerhetschef framgr av H SK Infosk respektive H TST

1.2.4 Den militra skerhetstjnstens tillsynsomrde

Frsvarsmakten fr med std av 33 frordningen (2007:1266) med instruktion fr

Den militra underrttelse- och skerhetstjnsten genomfr ven kontroller av sker-

4 kap. 2 Frsvarsmaktens freskrifter fr Frsvarsmaktens personal

I 4 kap. 2 Frsvarsmaktens freskrifter (FFS 1997:2) fr Frsvarsmaktens personal finns freskrifter om

18 1 kap. 8 Frsvarsmaktens freskrifter om skerhetsskydd.

Fr att den militra skerhetstjnsten ska kunna klarlgga skerhetshotande verksam-

Skerhetsrapporter rrande territoriell verksamhet sammanstlls av regional sker-

1.4 Rttsliga grunder

Skerhetsskyddets frebyggande syfte i punkten 1 avser vare sig om rjande, ndring

IT-skerheten utgr, till fljd av informationsteknikens utveckling, i hg grad en vik-

5 frsta stycket skerhetsskyddslagen

19 Prop. 1995/96:129, Skerhetsskydd, s. 26-27 och 74-75.

Skerhetsskyddslagen anger ramarna fr skerhetsskyddet. De mer detaljerade

Ytterligare anpassning av skerhetsskyddet fr en viss verksamhet eller ett visst IT-sys-

Fr det militra frsvarets del kan fljande beslutas vara skyddsobjekt:

Fr bevakning av ett skyddsobjekt fr polismn, militr personal eller annan srskilt

Frsvarsmakten fr besluta om skyddsobjekt i de fall som anges i 2 skyddsfrord-

1.4.3 Skydd fr landskapsinformation

23 2 lagen om skydd fr landskapsinformation.

Std fr att i lag frhindra spridning av landskapsinformation finns i 6 kap. 2 andra

De aktrer i samhllet som hanterar landskapsinformation har normalt inte sdan

24 Prop. 1993/94:32, Skydd fr landskapsinformation, s. 11 och 15.