Professional Documents
Culture Documents
Handbok Skerhetstjnst
Grunder
H Sk Grunder
3
Datum HKV beteckning
2013-04-29 10440:55631
Beslut i detta rende har fattats av generalmajor Gunnar Karlson. I den slutliga hand-
lggningen har verste Mattias Hanson och versteljtnant Patrik Lind deltagit med
versteljtnant Mrten Walln som fredragande.
Gunnar Karlson
Chef fr militra underrttelse- och Mrten Walln
skerhetstjnsten
Att mngfaldiga innehllet i denna publikation, helt eller delvis, utan medgivande av Frsvarsmak-
ten, r frbjudet enligt upphovsrttslagen.
4
Frord
Den militra skerhetstjnstens uppgift r att upptcka, identifiera och mta sker-
hetshot som riktas mot Frsvarsmakten och dess skerhetsintressen svl inom som
utom landet. Skerhetsintressen omfattar eller kan hnfras till personal, materiel,
information, anlggningar och verksamhet i vid bemrkelse inklusive den internatio-
nella verksamhet Frsvarsmakten deltar i.
Gunnar Karlson
Chef fr militra underrttelse- och skerhetstjnsten
5
Lsanvisning
Handboken innehller frklarande text till de frfattningar som reglerar grunderna
fr den militra skerhetstjnsten inklusive skerhetsplanering, utbildning, kontroll-
verksamhet och internationell verksamhet.
H SK
Grunder
H SK H SK H SK H SK Vap H SK H SK H TST
Infosk Skprvn Tilltrde Am SUA Hot Grunder
H SK H SK
Sekrbed A Skund (H)
H SK
Sekrbed B
Om inte annat anges avser myndighet en svensk myndighet. Om myndighet anges i text
under en freskrift ur skerhetsskyddslagen (1996:627), skerhetsskyddsfrordningen
(1996:633) och Frsvarsmaktens freskrifter (FFS 2003:7) om skerhetsskydd avses
en myndighet som trffas av freskrifterna. Sdan text utgr Frsvarsmaktens upp-
7
fattning om hur freskriften ska tillmpas vid en myndighet som Frsvarsmakten har
freskriftsrtt ver vad gller skerhetsskydd.1
Nr ska anvnds i lpande text i frga om ett krav r det med std av en freskrift
till vilken hnvisning sker med fotnot. De rd, riktlinjer och rekommendationer som
anges i denna handbok br i Frsvarsmakten alltid fljas om inte srskilda skl frelig-
ger att genomfra verksamheten p annat stt.2 Nr br anvnds i lpande text r det
sledes Frsvarsmaktens uppfattning i frgan.
Med OSL avses offentlighets- och sekretesslagen (2009:400). Med OSF avses offentlig-
hets- och sekretessfrordningen (2009:641). Med TF avses tryckfrihetsfrordningen.
Med YGL avses yttrandefrihetsgrundlagen.
Med hemlig uppgift avses i denna handbok en uppgift som omfattas av sekretess enligt
offentlighets- och sekretesslagen och som rr rikets skerhet. Med hemlig handling
avses i denna handbok en handling som innehller hemlig uppgift.3 Med hemlig hand-
ling frsts allts en handling, vare sig den r allmn eller inte.
8
och sekretesslagen men som inte rr rikets skerhet. Med utrikesklassificerad handling
avses en handling som innehller utrikesklassificerad uppgift.
Utfrligare beskrivning av begrepp som allmnna och inte allmnna handlingar, hem-
lig uppgift, utrikesklassificerad uppgift, sekretessklassificerad uppgift, sekretesskatego-
rier och informationsskerhetsklasser terfinns i Handbok Skerhetstjnst Sekretess-
bedmning Del A (H SK Sekrbed A), 2011.
Med organisationsenhet avses Hgkvarteret samt frband, skolor och centrum, vilka
r angivna som organisationsenheter i frordningen med instruktion fr Frsvars-
makten. Med Must avses militra underrttelse- och skerhetstjnsten i Hgkvarte-
ret. Med expedition avses ven registratur eller motsvarande funktion som svarar fr
registrering av allmnna handlingar vid en myndighet.
9
Innehll
1 Grunder................................................................................................... 13
1.1 Inledning......................................................................................................13
1.2 Militr skerhetstjnst Grunder.............................................................13
1.2.1 Uppgifter, syfte och omfattning......................................................13
1.2.2 Indelning av skerhetsskyddstjnst...............................................16
1.2.3 Lednings-, lydnads- och ansvarsfrhllanden.............................17
1.2.4 Den militra skerhetstjnstens tillsynsomrde..........................18
1.3 Skerhetsrapportering................................................................................19
1.4 Rttsliga grunder.........................................................................................21
1.4.1 Skerhetsskydd.................................................................................21
1.4.2 Skyddsobjekt.....................................................................................23
1.4.3 Skydd fr landskapsinformation....................................................24
1.4.4 Personuppgifter................................................................................27
1.5 Beslut om avvikelse eller undantag...........................................................28
1.5.1 Beslut om avvikelse..........................................................................29
1.5.2 Beslut om undantag.........................................................................31
2 Skerhetsplanering.................................................................................. 33
2.1 Allmnt.........................................................................................................33
2.2 Skerhetsanalys............................................................................................35
2.2.1 Genomfrande av skerhetsanalys................................................38
2.2.2 Steg 1 - Identifiera och prioritera skyddsvrda tillgngar..........40
2.2.3 Steg 2 - Bedmning av skerhetshot.............................................52
2.2.4 Steg 3 - Bedmning av srbarhet...................................................56
2.2.5 Steg 4 - Bedmning av risk.............................................................59
2.2.6 Steg 5 - Prioritera och hantera risker................................................
(riskhanteringsbeslut).................................................................................65
2.3 Skerhetsplan...............................................................................................71
2.4 Skerhetsbestmmelser..............................................................................71
2.5 Skerhetsskyddsplan/-instruktion............................................................72
3 Utbildning............................................................................................... 73
3.1 Ansvar...........................................................................................................73
3.2 Omfattning...................................................................................................75
3.2.1 Allmnt..............................................................................................75
3.2.2 Kurser................................................................................................76
3.3 Genomfrande.............................................................................................76
3.3.1 Grundlggande utbildning.............................................................76
3.3.2 Fortlpande utbildning...................................................................77
11
3.3.3 Srskild utbildning...........................................................................78
3.3.4 Informationstjnst...........................................................................79
4 Kontroll................................................................................................... 81
4.1 Grunder........................................................................................................81
4.2 Ansvar...........................................................................................................82
4.3 Kontrolltyper...............................................................................................84
4.3.1 Franmlda kontroller....................................................................84
4.3.2 Inte franmlda kontroller.............................................................85
4.3.3 Kontroll av fretag vilka har uppdrag som upphandlats med
skerhetsskyddsavtal (SUA).......................................................................85
4.4 Skerhetsskyddsbesk................................................................................86
4.5 Kontrollfrberedelser..................................................................................87
4.5.1 Riktlinjer fr tidsplan infr skerhetsskyddskontroll.................87
4.5.2 Underlag fr genomfrande av skerhetsskyddskontroll...........87
4.6 Genomfrande.............................................................................................88
4.7 Efter genomfrd skerhetsskyddskontroll...............................................89
4.7.1 Muntliga och skriftliga redovisningar...........................................89
4.7.2 Uppfljning.......................................................................................90
4.8 Skerhetsrapportering................................................................................90
5 Internationell verksamhet....................................................................... 91
5.1 Inledning......................................................................................................91
5.2 Grunder........................................................................................................91
5.2.1 Allmnt..............................................................................................91
5.2.2 Internationellt regelverk .................................................................92
5.2.3 Internationella roller........................................................................94
5.2.4 Ngot om sekretess i internationell verksamhet..........................95
5.3 Gemensamma bestmmelser ....................................................................96
5.3.1 Allmnt..............................................................................................96
5.3.2 Medfrande av hemliga och utrikesklassificerade handlingar
utomlands.....................................................................................................97
5.3.3 Medfrande av signalskyddsnycklar och signalskyddsmateriel
utomlands...................................................................................................100
5.3.4 Betydelsen av mrkning frn annat land eller mellanfolklig
organisation...............................................................................................100
5.3.5 Fretrde fr utlndska bestmmelser........................................102
5.4 Internationella militra insatser..............................................................103
5.4.1 Allmnt............................................................................................103
5.4.2 Inventering......................................................................................103
5.4.3 Kontroll av skerhetsskyddet........................................................104
5.4.4 Beslut om undantag.......................................................................105
12
1 Grunder
1.1 Inledning
Detta kapitel behandlar grunderna fr den militra skerhetstjnsten samt en orien-
tering om de fr den militra skerhetstjnsten viktigaste lagarna och frordningarna.
13
med klarlgga verksamhet som innefattar hot mot rikets skerhet eller mot Frsvars-
maktens skerhetsintressen i vrigt samt vidta tgrder som hindrar eller frsvrar
skerhetshotande verksamhet.2 Hri ingr bl.a. att bitrda polisen i dess ansvar betrf-
fande skyddet av rikets skerhet.3 tgrderna syftar frmst till att skerstlla tillrcklig
niv av skerhetsskydd under svl fred, kris och krig.
Med skerhetshotande verksamhet avses aktrsdrivna hot, det vill sga hot bakom vil-
ket det str en aktr i form av en individ, grupp, ntverk, organisation, stat etc. Aktrs-
drivna hot r normalt avsiktliga.
Med rikets skerhet avses svl den yttre skerheten fr det nationella oberoendet som
den inre skerheten fr det demokratiska statsskicket. Skyddet fr den yttre skerhe-
ten tar i frsta hand sikte p totalfrsvaret. Ett hot mot rikets yttre skerhet kan dock
frekomma ven om det inte utgr ett hot mot totalfrsvaret.4
Skerhetsunderrttelsetjnst
Skerhetsunderrttelsetjnsten har till uppgift att klarlgga den skerhetshotande
verksamhetens omfattning, inriktning samt medel och metoder. Verksamheten syftar
till att utifrn aktuella skerhetsunderrttelsebehov lmna underlag fr beslut om t.ex.
skerhetsskyddstgrder, beredskap eller frbandsproduktion.6 Skerhetsunderrttel-
setjnst sker i stort under samma arbetsformer och med utnyttjande av samma typ av
kllor som anvnds i frsvarsunderrttelseverksamheten.7
14
frsvarsindustri. Underrttelseverksamhet riktad mot Frsvarsmakten kan bedrivas
av svl frmmande makt som olika organisationer, fretag och kriminella personer.
Frmmande makts underrttelseverksamhet kan ske p svenskt territorium, utanfr
landet eller riktas mot Frsvarsmakten i samband med internationell militr verksam-
het eller upptrdande utomlands i andra sammanhang.
Skerhetsskyddstjnst
Skerhetsskyddstjnstens uppgift r att ta fram tgrder som syftar till att hindra eller
frsvra skerhetshotande verksamhet.8 Skerhetsskyddet ska frmst frebygga att
uppgifter som omfattas av sekretess och rr rikets skerhet obehrigen rjs, ndras
eller frstrs (informationsskerhet), att obehriga fr tilltrde till platser dr de kan f
tillgng till hemliga uppgifter eller dr verksamhet som har betydelse fr rikets sker-
het bedrivs (tilltrdesbegrnsning) och att personer som inte r plitliga frn sker-
hetssynpunkt deltar i verksamhet som har betydelse fr rikets skerhet (skerhets-
prvning). Skerhetsskyddstjnsten skyddar ocks materiel och anlggningar mot
sabotage och stld samt personal, anlggningar och materiel mot terrorism.9
Signalskyddstjnst
Signalskyddstjnst syftar till att, med hjlp av kryptografiska metoder och vriga sig-
nalskyddstgrder, frhindra obehrig insyn i och pverkan av telekommunikations-
och IT-system.
F tillgng till, tyda eller frvanska uppgifter som kommuniceras eller lagras.
Pverka telekommunikations- och IT-system.
Kartlgga mellan vilka parter och varifrn kommunikation sker.
Signalskyddstjnsten r en skerhetsskyddsangelgenhet.10
8 Prop. 2006/07:46, s. 25
9 7 Skerhetsskyddslagen
10 Prop. 2006/07:46, s. 66
15
1.2.2 Indelning av skerhetsskyddstjnst
Skerhetsskyddstjnst bedrivs inom fljande delomrden.
Informationsskerhet
Informationsskerhet ska frebygga att uppgifter som omfattas av sekretess och som
rr rikets skerhet obehrigen rjs, ndras eller frstrs. I efterhand ska det g att ana-
lysera informationsfrlusten fr att kunna minimera skadan. Grunden fr informa-
tionsskerhet utgrs av informationens klassificering. Frsvarsmaktens modell fr
informationsklassificering framgr av handbok skerhetstjnst sekretessbedmning
(H Sk Sekrbed Del A, 2011).
IT-skerhet
IT-skerhet r en del av informationsskerheten och rr frmst de delar av begreppet
informationsskerhet som avser skerheten i den tekniska hanteringen av information
som behandlas i IT-system samt administration kring detta.
Tilltrdesbegrnsning
Tilltrdesbegrnsning ska frebygga att obehriga inte fr tilltrde till platser dr de
kan f tillgng till hemliga uppgifter eller dr verksamhet som har betydelse fr rikets
skerhet bedrivs. Tilltrdesbegrnsning ska ven frebygga att stldbegrlig, svrer-
sttlig eller av annan anledning skyddsvrd materiel frstrs eller kommer obehrig
till del. Tilltrdesbegrnsning som begrepp har drfr en vidare betydelse i Frsvars-
makten jmfrt med skerhetsskyddslagstiftningen.
Skerhetsprvning
Skerhetsprvning r en sammanfattande benmning p tgrder som ska klarlgga
om en person kan antas vara lojal mot de intressen som skyddas i skerhetsskyddsla-
gen. Skerhetsprvning ska bedma lojalitet, plitlighet eller srbarhet ur skerhets-
synpunkt.
Utbildning
Utbildning r en grundfrutsttning fr att erhlla ett bra skerhetsskydd. Utbildning
i skerhetstjnst ska genomfras innan en person ges behrighet att ta del av eller
p annat stt hantera hemliga eller utrikesklassificerade uppgifter. Fr personal med
srskilt ansvar fr skerhetstjnst krvs srskild utbildning. Utbildning i orienterande
16
syfte ska genomfras fortlpande fr all personal. Utbildning som rr skerhetstjnst
ska dokumenteras.
Kontroller
Kontroll av skerhetsskyddet sker genom skerhetsskyddskontroller. Kontrollerna
ska skerstlla att skerhetsskyddskrav uppfylls och att skerhetsskyddet i vrigt r
anpassat efter aktuell skerhetshotbild. En skerhetsskyddskontroll omfattar de delar
av skerhetstjnsten som krvs fr att kontrollera att skerhetsskyddet r tillrckligt.
11 12 kap. 2 frsta stycket Frsvarsmaktens freskrifter (FFS 2012:1) med arbetsordning fr Frsvarsmakten
(FM ArbO).
12 11 kap. 6 Frsvarsmaktens freskrifter (FFS 2012:1) med arbetsordning fr Frsvarsmakten (FM ArbO).
13 1 kap. 4 Frsvarsmaktens interna bestmmelser (FIB 2007:2) om skerhetsskydd och skydd av viss mate-
riel
14 1 kap. 11 Frsvarsmaktens interna bestmmelser (FIB 2006:2) om IT-skerhet
15 14 Frsvarsmaktens interna bestmmelser (FIB 2008:3) om signalskyddstjnsten
17
Std i skerhetsfrgor till chefen fr organsationsenheten
Ledning och samordning av skerhetstjnsten vid organisationsenheten
Skerhetsplanering inklusive upprttande och upprtthllande av styrdokument
i form av skerhetsanalys, skerhetsplan och skerhetsbestmmelser inklusive
internkontrollplan, utbildningsplan, IT-skerhetsplan och signalskyddsinstruktion.
Aktuell lokal skerhetshotbild
Skerhetsrapportering
Internkontrollverksamhet
Utbildning i skerhetstjnst
Samverkan avseende skerhetstjnst
Vid behov utses s.k. skerhetsmn. En skerhetsman har i uppgift att stdja lokal sker-
hetsorganisation. Att vara skerhetsman r en tillika uppgift utver ordinarie befatt-
ning. Uppgifterna innebr t.ex. ansvar fr att kontrollera att lokaler r slckta och lsta
efter arbetsdagens slut, att lokaler larmas av- respektive p eller att inga sekretessbe-
lagda handlingar r kvarglmda i t.ex. gemensamma utrymmen, kopiatorer eller skri-
vare. Skerhetsmn utses efter behov, p frbandsniv oftast en per kompani motsv.,
vid Hgkvarteret oftast en per avdelning. Oavsett om uppgifterna innebr ansvar
rrande tilltrdesbegrnsning, IT-skerhet, signalskyddstjnst etc. anvnds namnet
skerhetsman.16
16 Begrepp som skerhetsbefl, skerhetsfretrdare, IT-skerhetsman motsv. ska undvikas d olika benm-
ningar fr samma sak bidrar till missfrstnd samt att begrepp som befl och fretrdare anvnds i andra
sammanhang.
17 Se vidare i Handbok totalfrsvarets signalskyddstjnst, grundlggande regler fr signalskyddstjnsten
(H TST Grunder).
18
bestmmelser om skerhetsskydd och skydd av viss materiel. Vidare genomfr den
militra underrttelse- och skerhetstjnsten ven kontroller av skerheten i och kring
sdana IT-system som inte r avsedda fr behandling av hemliga uppgifter.
1.3 Skerhetsrapportering
Var och en som fr knnedom om skerhetshotande verksamhet eller misstnker sdan verksamhet skall
snarast mjligt rapportera frhllandet till sin nrmaste chef - arbetsledare eller till skerhetschefen.
1 kap. 6 andra stycket Frsvarsmaktens interna bestmmelser om skerhetsskydd och skydd av viss
materiel
Rapportering ska ven ske nr ngon enskild upptcker fel eller brister i skerhets-
skyddet. r felen eller bristerna allvarliga ska det srskilt beaktas att en anmlan ven
ska gras till Frsvarsmaktens hgkvarter.18 En sdan anmlan grs av berrd myndig-
het eller, inom Frsvarsmakten, den organisationsenhet som berrs. Endast genom en
god rapportering kan slutsatser dras och order om frndringar av skerhetsskyddet
utfrdas. Principen hellre en rapport fr mycket n en fr lite br glla.
19
Bild 1.1 Skerhetsrapportering r ett ansvar fr all personal i Frsvarsmakten.
Den enskilde rapporterar p enklaste stt, antingen muntligt eller skriftligt, till chef
eller skerhetschef. Lokal skerhetsorganisation ansvarar fr att rapporten omhnder-
tas enligt gllande rutiner fr skerhetsrapportering. Fr att skerstlla att alla som r
i behov av skerhetsrapporter har tillgng till dem ska skerhetsrapportering i frsta
hand ske genom drfr avsett IT-system. Avsaknad av IT-system fr dock aldrig vara
ett skl till att inte skerhetsrapportera.
20
insatsstaben i Hgkvarteret. Bestmmelser avseende skerhetsrapportering framgr
av Frsvarsmaktens beredskaps- och insatsorder (FM BerInsO).
6 skerhetsskyddslagen
Begreppet rikets skerhet sgs innebra den yttre skerheten fr vrt nationella obe-
roende och den inre skerheten fr skydd av vrt demokratiska statskick. Skyddet av
rikets yttre skerhet rr t.ex. frhllanden av militr betydelse eller betydelse fr total-
frsvaret i vrigt. Skyddet av rikets inre skerhet rr t.ex. att ngon genom uppror fr-
sker ta ver den politiska makten eller utvande av vld, hot eller tvng mot statsled-
ningen i syfte att pverka politikens utformning.
De brott som avses i frsta punkten r i huvudsak brott enligt 18 och 19 kap. brotts
balken. ven andra brott enligt brottsbalken eller enligt ngon specialstraffrttslig fr-
fattning kan, beroende p omstndigheterna, omfattas. Exempel p sdana brott r
brotten mot liv och hlsa i 3 kap. brotten mot frihet och frid enligt 4 kap., samt allmn-
farliga brott enligt 14 kap. brottsbalken. Bedmningen av om brotten utgr brott som
kan hota rikets skerhet fr gras med hnsyn till bl.a. syftet med brottet och mot vem
det riktas.
Av punkten 2 framgr att skerhetsskyddet inte bara avser skydd mot brott som kan
hota rikets skerhet utan ocks avser ett skydd fr hemliga uppgifter i vrigt. Sker
hetsskyddet innebr i dessa fall att hemliga handlingar ska frvaras p ett betrygg
ande stt och att spridningen av uppgifterna i handlingarna s lngt som det r mjligt
begrnsas till personer som behver dem fr sin tjnsteutvning. Skyddstgrderna
som meddelas genom verkstllighetsfreskrifter kan vara lngtgende fr att ge upp-
gifterna ett tillrckligt skydd. Skerhetsskydd behver utformas s att t.ex. en kvalifice-
rad statsaktr frhindras inhmta hemliga uppgifter.
Begreppet skerhetsskydd ska endast anvndas d det r frga om sdant skydd som
avses i skerhetsskyddslagen.
21
Skerhetsskyddet skall frebygga
1. att uppgifter som omfattas av sekretess och som rr rikets skerhet obehrigen rjs, ndras eller
frstrs (informationsskerhet),
2. att obehriga fr tilltrde till platser dr de kan f tillgng till uppgifter som avses i 1 eller dr
verksamhet som har betydelse fr rikets skerhet bedrivs (tilltrdesbegrnsning), och
3. att personer som inte r plitliga frn skerhetssynpunkt deltar i verksamhet som har betydelse
fr rikets skerhet (skerhetsprvning).
Skerhetsskyddet skall ven i vrigt frebygga terrorism.
7 skerhetsskyddslagen
I verksamhet dr lagen gller skall det skerhetsskydd finnas som behvs med hnsyn till
verksamhetens art, omfattning och vriga omstndigheter.
Skerhetsskydd ska i det enskilda fallet ha den utformning som krvs fr skerhets
skyddets syfte (bl.a. skydd mot spioneri, sabotage och andra brott som kan hota rikets
skerhet). Vidare ska skerhetsskyddet utformas fr vad skyddet ska frebygga (bl.a.
att uppgifter som omfattas av sekretess och som rr rikets skerhet obehrigen rjs,
ndras eller frstrs). Behovet av skerhetsskydd som ska finnas fr en verksamhet
kan vara olika beroende p t.ex. i vilken omfattning hemliga uppgifter frekommer i
verksamheten. Skerhetsskyddets utformning i en verksamhet dr man regelmssigt
handlgger mycket knsliga frgor mste skilja sig frn dem i en verksamhet dr man
mer tillflligt kommer i kontakt med sdana frgor. Om ett godtagbart skerhetsskydd
22
inte kan stadkommas br organisationen vervga att avst frn den specifika verk-
samheten.
1.4.2 Skyddsobjekt
Skyddslagen (2010:305)innehller bestmmelser om vissa tgrder till frstrkt skydd
fr byggnader, andra anlggningar, omrden och andra objekt mot sabotage, terro-
ristbrott enligt 2 lagen (2003:148) om straff fr terroristbrott, spioneri samt rjande
i andra fall av hemliga uppgifter som rr totalfrsvaret och grovt rn. Lagen innehl-
ler ocks bestmmelser om skydd fr allmnheten mot skada som kan uppkomma till
fljd av militr verksamhet.
Fr att tillgodose behovet av skydd kan det beslutas att ngot ska vara skyddsob-
jekt. Exempel p byggnader, andra anlggningar och omrden som kan beslutas vara
skyddsobjekt r statschefens och tronfljarens residens och bostder samt byggnader,
andra anlggningar och omrden som anvnds eller r avsedda fr ledning av rdd-
ningstjnsten eller totalfrsvarets civila delar i vrigt eller fr fredstida krishantering,
energifrsrjning, vattenfrsrjning, elektroniska kommunikationer, transporter eller
frsvarsindustriella ndaml.
byggnader, andra anlggningar och omrden som staten har gandertt eller nytt-
jandertt till och som disponeras av Frsvarsmakten, Frsvarets materielverk eller
Frsvarets radioanstalt, samt militra fartyg och luftfartyg,
omrden dr Frsvarsmakten, Frsvarets materielverk eller Frsvarets radioanstalt
tillflligt bedriver vningar, prov eller frsk eller dr ofrutsedda fljder av sdan
verksamhet kan intrffa,
20 33 skerhetsskyddslagen.
21 Prop. 1995/96:129, Skerhetsskydd, s. 73 och 89-90.
22 1 kap. 6 Frsvarsmaktens freskrifter om skerhetsskydd.
23
omrden dr Frsvarsmakten har satts in fr att hindra en krnkning av Sveriges
territorium eller fr att mta ett vpnat angrepp mot landet,
omrden dr en frmmande stats militra styrka inom ramen fr internationellt
samarbete tillflligt bedriver vningar hr i landet i samband med utbildning fr
fredsfrmjande verksamhet eller fr annat militrt ndaml, och
vattenomrden av srskild betydelse fr det militra frsvaret.
Andra byggnader, anlggningar och omrden n ovan kan ocks beslutas vara skydds-
objekt, om de r av betydelse fr totalfrsvaret och Sverige befinner sig i krig eller
krigsfara eller det rder andra utomordentliga frhllanden som r franledda av krig.
Under samma frhllanden kan lok och jrnvgsvagnar beslutas vara skyddsobjekt.
Fordon kan dock aldrig vara skyddsobjekt.
Ett beslut om skyddsobjekt innebr att obehriga inte har tilltrde till skyddsobjek-
tet. Genom srskilt beslut kan tilltrdesfrbudet frenas med ett frbud mot att gra
avbildningar, beskrivningar eller mtningar av eller inom skyddsobjektet. Om det
rcker fr att tillgodose skyddsbehovet, kan tilltrdesfrbudet ersttas av ett avbild-
ningsfrbud eller av ett frbud mot att bada, dyka, ankra eller fiska.
Den som r eller har varit skyddsvakt fr inte obehrigen rja eller utnyttja vad han
eller hon p grund av ett uppdrag enligt denna lag ftt veta om en enskilds personliga
frhllanden eller frhllanden av betydelse fr totalfrsvaret eller i vrigt fr Sveri-
ges skerhet. I det allmnnas verksamhet tillmpas offentlighets- och sekretesslagen
(2009:400).
24
stlla den nationella skerheten - sdan information underlttar en potentiell angripa-
res planering fr att angripa landet. Behovet av att kunna begrnsa tillgngen kan inte
anpassas till den hotbild som fr tillfllet rder. Nr informationen vl har slppts fri r
informationen ven tillgnglig vid en frndring av hotbilden mot landet.24
25
Vissa myndigheter r undantagna krav p tillstnd, t.ex. fr Frsvarsmakten utfra
sjmtning, fotografering och liknande registrering frn luftfartyg, inrtta databaser
med landskapsinformation samt sprida flygbilder och liknande registreringar frn
luftfartyg, kartor i strre skala n 1:100 000 samt andra sammanstllningar av land
skapsinformation. Att Frsvarsmakten och vissa andra myndigheter r undantagna
krav p tillstnd innebr inte att landskapsinformation r undantagen freskrifter om
sekretess i OSL eller freskrifter om skerhetsskydd, sdana freskrifter gller ven fr
landskapsinformation hos en myndighet.
Ett exempel p konstgjorda freteelser som utgr landskapsinformation som ska skyd-
das r uppgifter om anlggningar som r avsedda fr frsvaret av Sverige och vars geo-
grafiska position r en uppgift som omfattas av sekretess enligt 15 kap. 2 OSL. ven
uppgifter om sdana anlggningars tnkta anvndning, uthllighet och skydd r upp-
gifter som normalt omfattas av sekretessen. Drfr r det inte endast den geografiska
positionen fr en sdan anlggning som behver skyddas utan ven uppgifter om den
stdjande infrastruktur som mjliggr anlggningens funktion.
26 5 skerhetsskyddsfrordningen.
27 1 kap. 5 frsta stycket Frsvarsmaktens interna bestmmelser om skerhetsskydd och skydd av viss mate-
riel.
28 4 OSF.
26
1.4.4 Personuppgifter
Fr att skydda mnniskor mot att deras personliga integritet krnks genom behand-
ling av personuppgifter i Frsvarsmakten finns bestmmelser i bl.a. personuppgiftsla-
gen (PuL) och lagen om behandling av personuppgifter i Frsvarsmaktens frsvars-
underrttelseverksamhet och militra skerhetstjnst, fortsttningsvis benmnd PuL
UNDSK. Personuppgifter r all slags information som direkt eller indirekt kan hn-
fras till en fysisk person som r i livet.29 Det innebr att uppgifter om avlidna perso-
ner inte omfattas av personuppgiftslagen. Personuppgifter kan t.ex. vara namn, person-
nummer och bostadsadress, men ven bilder och ljud (ven om inga namn nmns), en
bils registreringsnummer, loggar i IT-system, IP-adresser och fastighetsbeteckningar.
Personuppgifter kan, men behver inte, omfattas av sekretess enligt OSL. I Frsvars
maktens modell fr informationsklassificering tas inte hnsyn till om uppgifter utgr
personuppgifter. I de delar som en personuppgift omfattas av sekretess enligt OSL ska
Frsvarsmaktens modell fr informationsklassificering anvndas. Bestmmelserna i
personuppgiftslagen och PuL UNDSK gller inte om det skulle inskrnka en myn-
dighets skyldighet enligt 2 kap. TF att lmna ut personuppgifter.32 Fr att man ska
29 3 personuppgiftslagen.
30 37 personuppgiftslagen och 4 kap. 1 lagen om behandling av personuppgifter i Frsvarsmaktens fr-
svarsunderrttelseverksamhet och militra skerhetstjnst.
31 39 personuppgiftslagen och 4 kap. 3 lagen om behandling av personuppgifter i Frsvarsmaktens fr-
svarsunderrttelseverksamhet och militra skerhetstjnst.
32 8 personuppgiftslagen och 1 kap. 3 PuL UNDSK.
27
kunna vgra att lmna ut personuppgifter mste personuppgifterna omfattas av sekre-
tess enligt ngon bestmmelse i OSL.
28
finns det bestmmelser om under vilka frutsttningar avvikelser eller undantag kan
beslutas.
Beslut som avses i frsta stycket ska dokumenteras och, om mjligt, fregs av samrd med
militra underrttelse- och skerhetstjnsten i Hgkvarteret. Har sdant samrd inte skett ska
militra underrttelse- och skerhetstjnsten i Hgkvarteret snarast underrttas om beslutet.
Bakgrund Beskrivning av vad beslutet angr (t.ex. verksamhet, vapenfrvaring eller IT-
system) samt vilka freskrifter som berrs av beslutet.
Skl fr beslut Beskrivning varfr det freligger skl fr att fatta ett beslut som innebr att
nmnda freskrifter inte ska tillmpas. Vidare br ven beskrivas varfr det
r oundgngligen ndvndigt att fatta beslutet.
Beslut Hr br det finnas en hnvisning till vilken freskrift som ger rtt till att
fatta beslut om att vissa freskrifter inte ska tillmpas. Av beslutet br ven
framg under vilken tid det gller samt om samrd har skett med Must.
Chef fr en kontingent i en internationell militr insats fr, i frga om verksamhet utanfr Sverige,
fatta beslut som avviker frn denna frfattning om det r oundgngligen ndvndigt fr verksamheten.
29
Frfattningen r utarbetad fr att glla fr Frsvarsmaktens verksamhet svl inom
som utom landet och i framtagandet har srskilt utlndska frhllanden beaktats. Av
den anledningen och av ordalydelsen oundgngligen ndvndigt ska freskriften
anvndas restriktivt.
Det kan dock uppst situationer i en internationell militr insats dr skyddet mste
utformas p ett annat stt n vad som anges i denna frfattning. Ett beslut om avvi-
kelse kan i sdana fall medfra en kad risktagning varfr strvan ska vara att p bsta
stt stadkomma motsvarande niv p skyddet som om freskrifterna i frfattningen
hade fljts.
Mjligheten till samrd med Must innan ett beslut fattas ska om mjligt beaktas om
tidsfrhllandena medger det. Beslut om avvikelse ska dokumenteras.
Chef fr organisationsenhet fr, i frga om verksamhet utanfr Sverige, fatta beslut som avviker frn denna
frfattning, om det r oundgngligen ndvndigt fr verksamheten i frga om
1. Frsvarsmaktens deltagande i internationell fredsfrmjande verksamhet eller inom ramen fr inter-
nationellt samarbete eller i utbildning eller frberedelser fr sdan verksamhet, och
2. nr Frsvarsmakten utomlands deltar i frevisningar av materiel eller verksamhet.
Om en chef fr organisationsenhet inte kan fatta beslut enligt frsta stycket fr beslutet fattas av chefen fr
kontingenten.
Beslut som avses i 1 kap. 8-9 och som gller utrikesklassificerade handlingar ska dokumenteras och, om
mjligt, fregs av samrd med militra underrttelse- och skerhetstjnsten i Hgkvarteret. Har sdant
samrd inte skett ska militra underrttelse- och skerhetstjnsten i Hgkvarteret snarast underrttas om
beslutet.
Fr beslut som avser sekretessklassificerade handlingar finns inget krav p att beslutet
ska dokumenteras och fregs av samrd med Must.
30
Chef fr en kontingent i en internationell militr insats fr, i frga om verksamhet utanfr Sverige, fatta
beslut som avviker frn 7 kap. Frsvarsmaktens freskrifter (FFS 2003:7) om skerhetsskydd samt denna
frfattning, om det r oundgngligen ndvndigt fr verksamheten. I frga om verksamhet som avses i 1
2 och 3 i detta kapitel och som genomfrs utanfr Sverige gller detsamma chef fr organisationsenhet eller,
om beslut i sdan ordning inte kan fattas, av chef fr kontingent.
Beslut som avses i frsta stycket ska dokumenteras och, om mjligt, fregs av samrd med militra under-
rttelse- och skerhetstjnsten i Hgkvarteret. Har sdant samrd inte skett ska militra underrttelse- och
skerhetstjnsten i Hgkvarteret snarast underrttas om beslutet.
Frsvarsmakten fr medge undantag frn freskrifterna i denna frfattning. verbeflhavaren eller den
han bestmmer fattar beslut i renden om undantag.
Frsvarsmakten fr medge undantag frn bestmmelserna i denna frfattning. verbeflhavaren eller den
han eller hon bestmmer fattar beslut i renden om undantag.
31
Frsvarsmakten fr medge undantag frn freskrifterna i denna frfattning. verbeflhavaren, eller den
han eller hon bestmmer, fattar beslut i renden om undantag.
Frsvarsmakten fr medge undantag frn bestmmelserna i denna frfattning. verbeflhavaren eller den
han eller hon bestmmer fattar beslut i renden om undantag.
verbeflhavaren r den som beslutar frfattningarna. Drfr ska det ocks vara
verbeflhavaren eller, den han eller hon bestmmer, som fattar beslut i renden om
undantag. Av den anledningen kan ingen annan person fatta beslut om undantag frn
en freskrift utan att frst ha blivit bemyndigad av verbeflhavaren.
verbeflhavaren, eller den han eller hon bestmmer, beslutar ven om en annan myn-
dighets undantag frn freskrifter i Frsvarsmaktens freskrifter om skerhetsskydd.
Det r normalt skerhetskontoret vid Must som i samverkan med den juridiska sta-
ben i Hgkvarteret bereder renden om undantag som rr militr skerhetstjnst. Vid
beredning av ett sdant rende mste det framg vilken risk som tas om ett beslut om
undantag medges.
32
2 Skerhetsplanering
2.1 Allmnt
Skerhetsplanering omfattar skerhetsanalys, skerhetsplan och skerhetsbestmmel-
ser. Skerhetsplanering r en systematisk process som utgende frn vra skyddsvrda
tillgngar bedmer de risker som freligger och faststller hur dessa ska hanteras.
SKERHETSPLANERING
Bild 2.1 Omfattning av skerhetsplanering.
33
grder vidtas, samtidigt som regelverkets krav p en lgsta niv av skerhetsskydd
uppfylls.
1 Analys av befintlig eller nskad verksamhet inom, mellan eller fr flera organisationer. Kan avse svl ver-
gripande funktioner som delfunktioner i syfte att beskriva och frst denna.
34
att genomfrandet av skerhetsanalysen underlttas (frmst vad avser steg 1, att iden-
tifiera och prioritera de skyddsvrda tillgngarna).
2.2 Skerhetsanalys
I 5 skerhetsskyddsfrordningen (1996:633) finns freskrifter om skerhetsanalys. Vad som dr freskrivs
om sdan analys och dokumentation skall fullgras av varje organisationsenhet. Av 1 kap. 6 Frsvarsmak-
tens freskrifter (FFS 2003:7) om skerhetsskydd och 2 i detta kapitel fljer att varje organisationsenhet
skall gra hot-, risk- och srbarhetsanalyser, vilka skall ing i en skerhetsanalys. Med skerhetsanalysen
som grund skall en skerhetsplan upprttas.
35
Modellen som sdan kan anvndas fr hantering av risker inom olika typer av
verksamheter, t.ex. skerhetstjnst, internationella insatser, trafikskerhet, arbets-
miljarbete, miljskerhet samt hlso- och sjukvrd.
Modellen r anvndbar p alla niver inom Frsvarsmakten.
Modellen kan anvndas svl inom Frsvarsmakten som i verksamheter dr andra
myndigheter eller organisationer ingr.
Begrepp Beskrivning
En mnsklig aktrs mjligheter att medvetet frorsaka en onskad
Aktrsdrivna hot
hndelse med negativa konsekvenser (H SK Grunder 2013).
Mjlig, onskad hndelse med negativa konsekvenser fr verksamhe-
ten (SIS HB 550 Utgva 3).
Hot
Indelas i aktrsdrivet respektive icke aktrsdrivet hot (H SK Grunder
2013).
Uppsttning hot som bedms freligga mot en viss verksamhet (SIS
Hotbild
HB 550 Utgva 3).
Mjlig, onskad hndelse med negativa konsekvenser fr verksamhe-
ten, vilken ej r frorsakad av en mnsklig aktrs avsiktliga grningar
(H SK Grunder 2013).
Icke aktrsdrivet
hot Generellt kan icke antagonistiska hot indelas i tre kategorier:
Naturliga fenomen (t ex naturkatastrofer, sjukdomar)
Fel i tekniska system (t ex buggar, materialfel)
Icke uppstliga mnskliga grningar (t ex slarv, olyckor)
Resultat av en hndelse med negativ inverkan (SIS HB 550 Utgva 3).
I en skerhetsanalys behandlas frmst utfallet av onskade hndel-
ser, dvs. hndelser med en eller flera konsekvenser som r negativa
Konsekvens fr verksamheten. Konsekvensen skall i en skerhetsanalys ses som en
bedmning av vrdet eller kostnaden av den skada som uppstr i en
skyddsvrd tillgng om en onskad hndelse intrffar till fljd av ett
visst hot.
Tillvgagngsstt fr att pverka en skyddsvrd tillgng (FM Riskhan-
Modus operandi
teringsmodell 2009).
36
Begrepp Beskrivning
Risker uttrycks ofta i termer av en kombination av en hndelses kon-
sekvenser (inklusive ndrade omstndigheter) och drtill relaterad
sannolikhet fr frekomst (ISO Guide 73:2009). I en skerhetsanalys
innebr risk en systematisk sammanvgning av frvntad sannolikhet
Risk
fr och konsekvens av att en onskad hndelse intrffar till fljd av ett
visst hot, kopplat till en definierad verksamhet, en specifik skyddsvrd
tillgng och en specifik konsekvensskala. En bedmd risk uttrycks i en
av fem riskniver.
Riskacceptans Beslut att acceptera en risk (ISO/IEC Guide 73:2002)
Process som identifierar skerhetsrisker och bestmmer deras bety-
Riskanalys
delse (ISO/IEC Guide 73:2002). Se ven skerhetsanalys.
Process fr att vrdera sannolikheten och konsekvensen hos en risk
Riskbedmning
(ISO/IEC Guide 73:2002).
Samordnade aktiviteter fr att styra och kontrollera en organisation
Riskhantering
med avseende p risk (ISO/IEC Guide 73:2002)
Medvetna (dokumenterade) chefsbeslut om hur chefen stller sig till
Riskhanterings- analyserade risker i frhllande till vrdet av skta effekter eller upp-
beslut giftens lsande och kostnader fr riskminskning. (FM Riskhanterings-
modell 2009).
Sannolikhet Sannolikheten fr att en hndelse intrffar. (ISO/IEC Guide 73:2002)
Skyddsvrd till- De tillgngar som anses ha ett srskilt vrde (FM Riskhanteringsmo-
gng dell 2009). Se ven kap. 1 avsnitt 1.2.1.
Handling, procedur eller tekniskt arrangemang som, genom att
minska srbarheten mter identifierat hot (SIS HB 550 Utgva 3). Med
skyddstgrd avses i detta sammanhang ven sdana skyddstgr-
Skyddstgrd der som vidtas med avseende p skerhetsskyddskrav, dvs. sker-
hetsskyddstgrder. Vidare avses ocks tgrder som minskar en risk
genom att undvika den, verfra den eller som reducerar identifie-
rade hot.
Srbarhet Brist i skyddet av en tillgng exponerad fr hot. (SIS HB 550 Utgva 3)
Tillmpningen av begreppet skerhetsanalys inom ramen fr bedri-
vande av militr skerhetstjnst avser svl identifiering och priorite-
ring av skyddsvrda tillgngar, bedmning av skerhetshot, srbarhe-
Skerhetsanalys
ter och risker som prioritering och hantering av risker inklusive beslut
om skyddstgrder. Begreppet skerhetsanalys r i detta avseende att
jmfra med begrepp som riskanalys eller risk management.
Allt som r av vrde fr organisationen (SIS HB 550 Utgva 3). Se ven
Tillgng
kap. 1 avsnitt 1.2.1.
En skerhetsanalys innehller i regel sdana uppgifter som om de rjs fr obehrig
kommer att medfra ett men eller skada fr totalfrsvaret och rikets skerhet varfr
en genomfrd skerhetsanalys i regel omfattas av sekretess enligt 15 kap. 2 OSL, men
kan ven innehlla uppgifter vilka omfattas av annan sekretess n den s kallade fr-
svarssekretessen.
37
2.2.1 Genomfrande av skerhetsanalys
1
IDENTIFIERA 2
OCH
BEDM
PRIORITERA
SKERHETSHOT 5
SKYDDSVRDA 5
4
TILLGNGAR 4
3
3
2
2
1
1
5 3
PRIORITERA 5
BEDM 4
OCH
SRBARHET 3
HANTERA RISKER 2
1
SANNOLIKHET
5
4 4 3-4 4-5
BEDM 3 RISK
RISK 2
1-3 3-4
1
1 2 3 4 5
KONSEKVENS
38
Att identifiera och prioritera skyddsvrda tillgngar, bedma skerhetshot, srbarhet
och risk samt att prioritera och hantera risker inom ramen fr en skerhetsanalys r
normalt ett omfattande och komplext arbete. Ngon genvg i form av en frenklad
modell finns drfr inte. Modellen (bild 2.2) fr skerhetsanalys r densamma ven
om den kan tillmpas p olika stt. Hur den tillmpas beror p de grundvrden som
faststllts innan skerhetsanalysen pbrjas, inte minst vad avser tillgnglig tid. Kapit-
let omfattar frmst en beskrivning av grundlggande metod fr genomfrande av
skerhetsanalys, men beskriver ocks i korthet alternativa tillmpningar. Vid genom-
frande av en skerhetsanalys d kort om tid str till frfogande eller d verksamheten
r okomplicerad och av mindre omfattning anpassas tillmpningen. Det r sledes til-
lmpningen, inte modellen, som kan frenklas.
En skerhetsanalys dokumenteras lmpligen p ett stt som innebr bra verblick sam-
tidigt som dokumentationen resulterar i god sprbarhet. Sprbarheten innebr att det
r lttare att g tillbaka i analysen fr att hrleda vilka faktorer som legat till grund fr
olika bedmningar, frslag eller beslut. Exempel p utdrag ur dokumentation utgrs i
detta kapitel av tabeller med gr rubrikrad.
39
2.2.2 Steg 1 - Identifiera och prioritera skyddsvrda tillgngar
IDENTIFIERA OCH
PRIORITERA
SKYDDSVRDA
TILLGNGAR
Vilka tillgngar
(personal, materiel, information,
anlggningar, verksamhet) krver
skydd med hnsyn till rikets
5
skerhet, skydd mot
terrorism eller skydd i vrigt? 4
Bedm konsekvensen av att 3
tillgngarna utstts fr onskade
hndelser. 2
1
Bild 2.3 Under skerhetsanalysens frsta steg identifieras och prioriteras de skyddsvrda tillgngarna.
40
Tillgng
Personal
Materiel
Datalektionssal (15 PC inkl bildskrm/tangentbord, 2 laserskrivare,
Datorutrustning 1 bildprojektor)
Brbar PC (total 35, ej sekretessbelagd information)
Information
Anlggningar
Verksamhet
Tabell 2.1 Exempel p generell indelning av skyddsvrda tillgngar.
I arbetet med att identifiera vad det r som r en skyddsvrd tillgng bryts dessa kate-
gorier stegvis ner i underkategorier som efterhand kar i detaljeringsgrad. Slutresul-
tatet r specifika tillgngar i form av en viss person eller personalkategori, ett specifikt
materielslag, enskilda uppgifter, en bestmd anlggning eller en operation eller verk-
samhet bestmd i tid, rum och syfte.
41
Frsvarsattach i X-land
VERKSAMHETSANALYS
SKERHETSANALYS
RISKOMRDE 1 RISKOMRDE 2 RISKOMRDE 3
Bild 2.4 Schematisk bild ver anvndning av riskomrden (scenarion) vid genomfrande av en skerhetsanalys.
42
SKERHETSANALYS
Rn eller verfall
Inbrott p Inbrott
mellan arbetsplats
frsvarsavdelning i bostaden
och bostad
Bild 2.5 Schematisk bild ver genomfrande av en skerhetsanalys utgende frn aktuella hot.
Tillgng
Frsvarsattachbesk frn 15 attacher under 2 dagar Undskavd MR ansvar fr
Xland vid ygottilj F55 080101-080102 attachernas skerhet under
besket (frlggning, trans-
porter etc.)
Personal Under besket deltar C, Stf C, Stf C F55 samt stabs-
C F55, stabschef, divisions- chef Har tillsammans en
chef Urban Grn, 10 piloter mycket god kunskap om
ur samma division samt per- svl utvecklingsverksamhet,
sonal vid klargringstropp incidentberedskap och pla-
Grn nering av skarp verksamhet.
Ansvarig fr planlggning
och genomfrande av bes-
ket r stabschefen.
43
Tillgng
C Urban Grn - Frutom
ovanstende har divisions-
chefen genomfrt utbildning
i U-land och drvid erhllit
mycket goda kunskaper om
U-lands metodik avseende
Targeting processen.
Piloter ur Grn - Mycket god
kunskap om JAS 39 frmga
inkl. begrnsningar.
Tv av piloterna genomfrt
utbildning i U-land avseende
CAS.
Klargringstropp - God
inblick i vissa tekniska
begrnsningar avseende
underhll av JAS 39.
Materiel - JAS 39 C/D JAS 39 C/D. Skyddsvrd
- Flygsimulator Flybox 360 materiel - se MATSK
Flybox 360 - skarp databas r
HEMLIG/SECRET (kommer ej
anvndas vid besket).
Information Ingen sekretessbelagd infor- Se vidare under vriga till-
mation kommer att delges gngar.
beskare
Anlggningar Besket omfattar information Flottiljstab - Skyddsvrda
- Flottiljstab lokaler r stabsexp och kryp-
- Urban Grn torum.
- Flygbasen RAKBANA Urban Grn - Skyddsvrd
lokal r planeringsrum inklu-
sive serverutrymme.
RAKBANA - Skyddsvrda
platser r radarcentralen
LILLBERGET.
44
Tillgng
Verksamhet - Allmn presentation av F55 Presentation F55 - Ej sekre-
- Frevisning Flybox 360 inkl tessbelagd presentation
mjlighet fr beskare att kommer att anvndas.
prova simulatorn Ansvarig flottiljchefen.
- Besk RAKBANA och fre- Flybox 360 - Simulatorpro-
visning landning, klargring gramvara EXERCISE kommer
och start av rote ur Urban att anvndas (obevpnade
Grn flygplan). Ansvarig C Urban
Grn.
RAKBANA - Klargringstrop-
pen kommer att agera
enligt ordinarie rutiner, men
endast blind vapenmateriel
anvnds. Ansvarig Stf C F55.
Tabell 2.2 Exempel p identifiering av skyddsvrda tillgngar med utgngspunkt i en viss verksamhet.
Att identifiera vad som r skyddsvrt kan i viss utstrckning gras med hjlp av gene-
rella regler eller anvisningar. Exempel p sdana generella anvisningar fr vad som
krver ett skerhetsskydd med hnsyn till rikets skerhet framgr bl a av H SK Sekre-
tessbedmning Del B.
Frsvarsmaktens verksamhet innebr emellertid att hnsyn mste tas till varje specifik
situation. Vilka uppgifter som omfattas av sekretess frndras bland annat beroende p
nr, var och hur verksamheten bedrivs.
Vad som skadar tillgngarna och drmed Frsvarsmakten varierar beroende p flera
olika faktorer:
45
P vilket stt r vi beroende av tillgngen?
Vilka konsekvenser medfr rjande, skada, frstring etc. av tillgngen?
Vid arbetet med att identifiera vilka tillgngar som r skyddsvrda br ven uppmrk-
sammas att tillgngar inte har samma vrde fr olika personer eller funktioner inom
en organisation och att alla tillgngar inte r kritiska fr verksamhetens genomfr-
ande.
Utver de tillgngar som krver ett skerhetsskydd frekommer ven andra typer av
tillgngar som behver skyddas, exempel p sdana tillgngar r sekretessklassifice-
rade uppgifter och stldbegrlig materiel.
Fr att kunna identifiera vad som r skyddsvrt krvs en mycket god kunskap om svl
organisation, uppgifter som verksamhet. Det innebr att resurser ven utanfr under-
rttelse- och skerhetsfunktionen kommer att behva delta under genomfrandet av
en skerhetsanalys. Arbetet kan drfr komma att krva omfattande intervjuer av per-
sonal som besitter ndvndiga kunskaper. Chefer p olika niver inom organisationen
utgr en viktig resurs, varfr denna kategori redan i ett tidigt skede ska delta i arbetet
med att ta fram de ingngsvrden som krvs fr att rtt identifiera vad som r skydds-
vrt.
Fljande frgor r exempel p frgestllningar vilka kan anvndas i arbetet med att
identifiera skyddsvrda tillgngar, t.ex. som underlag vid intervjuer.
46
Var finns denna materiel och/eller utrustning?
Beskriv frvntade konsekvenser av att tillgngarna rjs, skadas, frstrs etc.?
Vad innebr det fr en motstndare att f tillgng till de skyddsvrda tillgngarna?
Vad frlorar vi? Vad vinner en motstndare?
r tillgngen fortfarande vrdefull fr oss ven om en motstndare har tillgng till
den?
Vad har tillgngen kostat oss?
Hur r behovet av att skydda denna specifika tillgng jmfrt med andra vrdefulla
tillgngar?
Fr att kunna analysera vilka konsekvenser som kan uppst krvs att de onskade hn-
delser som kan pverka respektive tillgng negativt identifieras. Inledningsvis utifrn
en generell indelning och drefter genom en alltmer detaljerad beskrivning.
Fr att i steg 4 f en strre spridning av identifierade risker kan den femgradiga skalan
vid bedmning av konsekvens och sannolikhet graderas i fler skalsteg. Oftast rcker
det med en tiogradig indelning, men det finns inget som hindrar en strre gradering
n s. Graderingen av skalan fr bedmning r bara ett hjlpmedel och ndrar inte den
slutliga bedmningen av risker i en femgradig skala.
4 Konsekvensen skiljer sig t beroende p om det r organisationens perspektiv eller den enskildes perspektiv
som utgr grund fr bedmningen. Konsekvensen fr organisationen kan drfr bedmas som frsum-
bart samtidigt som det fr den enskilde kan f mycket allvarliga konsekvenser, ex vis vid ett rjande av en
enskilds patientjournal.
47
Av nedanstende tabell framgr dels en generell konsekvensbeskrivning, vilken kan
anvndas fr alla typer av tillgngar utom hemliga och utrikesklassificerade uppgifter,
dels en konsekvensbeskrivning fr hemliga och utrikesklassificerade uppgifter. Att det
finns tv parallella konsekvensbeskrivningar beror p att definitionen av respektive
informationsskerhetsklass i sig r en faststlld konsekvensbeskrivning.
Bedmning av konsekvens
Gradering Generell konsekvensbeskriv- Konsekvensbeskrivning avse-
ning samt konsekvensbe- ende informationsfrlust av
skrivning vid informationsfr- hemliga eller utrikesklassifice-
lust av sekretessklassificerade rade uppgifter1
uppgifter.
48
Bedmning av konsekvens
Synnerli- (9-10) Frvntade konsekvenser Hemliga uppgifter vars
5 gen
allvarlig
medfr en synnerlig nega-
tiv effekt. Konsekvenserna
rjande kan medfra synner-
ligt men fr totalfrsvaret eller
innebr synnerligen allvar- frhllandet till en annan stat
liga negativa effekter av stor eller en mellanfolklig orga-
omfattning, under lng tid nisation eller i annat fall fr
och utgr ett direkt hot mot rikets skerhet (kvalificerat
organisationen. Konsekven- hemliga uppgifter).
serna r inte begrnsade till Hemlig handling som har
enstaka frmgor eller funk- satts beteckningen TOP
tioner inom organisationen. SECRET eller motsvarande av
en utlndsk myndighet eller
mellanfolklig organisation.
Allvarlig (7-8) Frvntade konsekvenser r Hemliga uppgifter vars
4 betydande. Konsekvenserna
r allvarliga, av stor omfatt-
rjande kan medfra bety-
dande men fr totalfrsvaret
ning eller av vsentlig art och eller frhllandet till en annan
innebr ett direkt hot, om n stat eller en mellanfolklig
mot avgrnsade frmgor organisation eller i annat fall
eller funktioner inom organi- fr rikets skerhet.
sationen. Hemlig handling som har
satts beteckningen SECRET
eller motsvarande av en ut-
lndsk myndighet eller mel-
lanfolklig organisation.
Knnbar (5-6) Frvntade konsekvenser r Hemliga uppgifter vars
3 inte obetydliga och ven-
tyrar, vllar skada, hindrar,
rjande kan medfra ett inte
obetydligt men fr totalfr-
underlttar, innebr strre svaret eller frhllandet till en
avbrott samt medfr ptag- annan stat eller en mellanfolk-
liga negativa effekter om n i lig organisation eller i annat
begrnsad omfattning. fall fr rikets skerhet.
Hemlig handling som har
satts beteckningen CONFI-
DENTIAL eller motsvarande
av en utlndsk myndighet
eller mellanfolklig organisa-
tion.
49
Bedmning av konsekvens
Lindrig (3-4) Frvntade konsekvenser Hemliga uppgifter vars
2 r ringa och begrnsas till
att pverka, frsvra, hindra,
rjande kan medfra endast
ringa men fr totalfrsvaret
undergrva, misskreditera eller frhllandet till en annan
eller stra verksamheten i stat eller en mellanfolklig
mindre omfattning. organisation eller i annat fall
fr rikets skerhet.
Hemlig handling som har
satts beteckningen RESTRIC-
TED eller motsvarande av
en utlndsk myndighet eller
mellanfolklig organisation.
Frsum- (1-2) Konsekvenser fr verksamhe- Uppgifter r inte hemliga
1 bar ten r frsumbara. eller utrikesklassificerade.
50
Bedmning
av konsekvens
5 Synnerligen
Onskade Konsekvens allvarlig
Tillgng
hndelser beskrivning 4 Allvarlig
3 Knnbar
2 Lindrig
1 Frsumbar
Personal
Materiel
Vrdet p utrust-
ningen i datalek-
tionssalen uppgr
Inbrott i datalek- till 0,5 miljoner kr.
tionssal och omfat- Vid frlust av utrust-
tande frstring eller ningen kommer 4 (7)1
stld av datorutrust- infrandet av det
ning. nya verksamhetsled-
ningssystemet att
frsenas med ca 6
Datorutrustning mnader.
(Inbrott) i datalek- Frlust av enstaka
tionssal och begrn- utrustning (dator,
2 (3)2
sad stld av datorut- skrivare och bildpro-
rustning. jektor), < 30 kkr
Kostnaden fr varje
brbar PC r ca 10
Stld eller frlust p
kkr. Informationsfr-
annat stt av brbara 2 (4)
luster kan i vrsta fall
PC.
ta 2-3 veckor att ter-
stlla.
Information
Anlggningar
Verksamhet
1) Anger konsekvensbedmningen i skalan 1-5 och (7) anger den mer precisa bedmningen.
2) Stld genomfrd av insider bedms omfatta en mindre mngd utrustning.
Innan steg 2 pbrjas ska ansvarig chef godknna och faststlla resultatet av steg 1 d
detta steg utgr ingngsvrden fr resterande del av skerhetsanalysen.
51
2.2.3 Steg 2 - Bedmning av skerhetshot
BEDM SKERHETSHOT
Bedm den skerhetshotande
verksamhet (underrttelseverk-
samhet, kriminalitet, terrorism,
sabotage, subversion) som kan
hota tillgngarna.
Bedm andra former av hot; 5
olyckhndelser, slarv, brand, 4
strmavbrott och versvm-
ning etc. som kan hota 3
tillgngarna. 2
1
Ovanstende beskrivning av hotbedmning avser aktrsdrivna hot, det vill sga hot
bakom vilket det str en aktr i form av en individ, grupp, ntverk, organisation,
stat etc. Aktrsdrivna hot r normalt avsiktliga. I denna handbok omfattar en sker-
hetsanalys ven bedmning av icke aktrsdrivna hot vilka kan pverka identifierade
skyddsvrda tillgngar p ett negativt stt. Generellt finns tre kategorier av icke aktrs-
drivna hot; naturliga fenomen (t.ex. naturkatastrofer och sjukdomar), fel i tekniska
system (t.ex. buggar och materialfel), icke uppstliga mnskliga grningar (t.ex. slarv
och olyckor). Ett exempel p ett sdant hot eller onskad hndelse kan vara en brand
i en serverhall vilken kan resultera i svl frstrd materiel som frlorad information.
52
I de exempel p utdrag ur kalkylblad som redovisas i detta kapitel kan ett sdant hot
beskrivas under kolumnen aktr eller i en egen kolumn.
P samma stt som skyddsvrda tillgngar indelas i fem generella kategorier, brukar
skerhetshoten indelas i fem vergripande kategorier:
Frmmande underrttelseverksamhet
Kriminalitet
Sabotage
Subversion
Terrorism
Ska hotbedmningen vara anvndbar rcker det i regel inte med att endast redovisa
bedmd hotniv. Hotbedmningen br ven svara p frgorna; vem, var, nr, hur och
mot vad?
Under attachbesket vid F21 i Lule v 735 kommer vi sannolikt st infr ett hgt hot avseende frmmande
underrttelseverksamhet frn Aktr A, riktat mot den skyddsvrda tillgngen JAS 39 jaktradar genom per-
sonbaserad inhmtning mot svensk nyckelpersonal.
53
I denna handbok redogrs inte fr hur skerhetsunderrttelsetjnst bedrivs och dr-
med inte heller hur en fullstndig bedmning av den skerhetshotande verksamheten
gr till. Fr ytterligare information om hot och hotbedmningar hnvisas till hand-
bckerna H SK Hot, Handbok bedmning antagonistiska hot samt H SK Skund
(hemlig).
Med hjlp av erhllen skerhetshotbedmning ska dremot ven personal som inte r
utbildad i skerhetsunderrttelsetjnst kunna genomfra en skerhetsanalys.
Den som ska genomfra en skerhetsanalys ansvarar fr att i god tid hos nrmast
hgre chef hemstlla om std avseende skerhetshotbedmning. Tillsammans med
hemstllan om std med skerhetshotbedmning ska ingngsvrden frn steg 1 av
skerhetsanalysen bifogas.
Bedmning av skerhetshot
4 Hgt hot
3 Frhjt hot
2 Lgt hot
54
Onskade Aktr Kapacitet Intention Tillflle Bedmning
hndelser (behov) av hot
5 Mycket
hgt
4 Hgt
3 Frhjt
2 Lgt
1 Inget
identifie-
rat
Inbrott i Enskilda eller Har ndvn- Hg inten- Tillflle 4
datalek- grupp av kri- dig kunskap tion. erbjuds
tionssal och minella och verktyg frmst natte-
omfattande tid och under
frstring helger.
eller stld av
datorutrust-
ning.
Inbrott i Insiders Krver kun- Ingen identi- Mnga tillfl- 1
datalektions skap och fierad inten- len erbjuds,
sal och verktyg d tion. frmst under
begrn- salen alltid kvllstid.
sad stld av lses efter
datorutrust- bruk.
ning.
Stld eller Enskilda eller Mycket god Hg inten- F tillfllen 5
frlust p grupp av kri- kapacitet tion, srskilt inom kasern-
annat stt av minella (kunskap, om tillflle omrde, kr-
brbara PC. utrustning erbjuds. ver i regel
etc.) inbrott. Fler
tillfllen i fall
den anstllde
medfr PC
utanfr
enheten.
Insiders Krver ingen Under den Mycket 2
srskild kapa- senaste 10 goda tillfl-
citet eller rs perioden len erbjuds
metod. har inga insi- s gott som
derstlder av dagligen
PC gt rum.
55
2.2.4 Steg 3 - Bedmning av srbarhet
BEDM SRBARHET 5
Vilka skyddstgrder finns
och hur effektiva r de? 4
Bedm hur srbara tillgngar- 3
na r om de skulle utsttas fr 2
hot.
1
Bedmningen omfattar:
Fr att identifiera potentiella srbarheter krvs att mjliga metoder och hndelser vilka
kan pverka skyddsvrda tillgngar analyseras. Resultatet blir att de svagheter som kan
utnyttjas fr att f tillgng till eller pverka skyddsvrda tillgngar p ett negativt stt
kan upptckas. Varje svaghets relativa betydelse analyseras, dels genom att svagheter
stlls i relation till varandra, dels genom att de relateras till tillgngar och hot.
56
En bedmning av hur effektiva existerande skyddstgrder r krver i regel en dialog
med experter inom respektive omrde.
Vilka faktorer som avgr graden av srbarhet kommer att variera med hnsyn till vil-
ken tillgng som ska skyddas och var tillgngen befinner sig.
57
Bedmning av srbarhet
Inga eller endast enstaka skyddstgrder r vidtagna.
5 Mycket hg srbarhet Tillgng till eller pverkan av det skyddsvrda r
mycket ltt att stadkomma.
Skyddstgrder existerar, men ett flertal srbarheter
4 Hg srbarhet mjliggr tillgng till eller pverkan av det skydds-
vrda.
Effektiva skyddstgrder r implementerade, men
3 Frhjd srbarhet enstaka srbarheter frekommer vilka kan utnyttjas
fr tillgng till eller pverkan av det skyddsvrda.
Effektiva och av varandra oberoende skyddstgrder
2 Lg srbarhet r implementerade. Tillgng till eller pverkan av det
skyddsvrda r mycket svrt att stadkomma.
Flera effektiva och av varandra oberoende skyddst-
1 Ingen identifierad srbar-
het
grder r implementerade. Inga knda srbarheter r
identifierade.
Tabell 2.7 Srbarhetsbedmningen resulterar i en bedmd srbarhet enligt en femgradig skala.
Bedmning av srbarhet
5 Mycket hg
4 Hg
Tillgng Identifierade srbarheter
3 Frhjd
2 Lg
1 Ingen identifierad
Personal
Materiel
Skyddsniv 1 p salen. Olar-
mad. Ligger p markplan ca
20 m frn kasernstaket. Gr i
mrker att ta sig osedd frn
Datalektions-
staket till salens fnster. Ini- 5
sal
frn krvs att 1 larmad drr
Datorutrust- passeras fr att komma till
ning salens drr.
Salens drr r olarmad.
Skall frvaras inlst i sker-
hetsskp d den ej 3
Brbar PC 3
anvnds. Oklara regler om
vad som gller vid medfrsel.
Information
Anlgg-
ningar
Verksamhet
Tabell 2.8 Exempel p utdrag ur kalkylblad avseende steg 3 ur skerhetsanalysen.
58
2.2.5 Steg 4 - Bedmning av risk
SANNOLIKHET
5
3-4 4-5
4
3 RISK
2
1-3 3-4
1
1 2 3 4 5
KONSEKVENS
BEDM RISK
Hur stor r sannolikheten
fr att ett visst hot intrffar?
Hur omfattande r konse-
kvensen?
Hur stor r den bedmda
risken?
59
RISK
SANNOLIKHET KONSEKVENS
HOT SRBARHET
Bild 2.9 Sambandet mellan begreppen hot, srbarhet, sannolikhet, konsekvens och risk.
Sannolikheten fr att ett visst hot ska intrffa r ett resultat av en sammanvgd bedm-
ning av identifierade srbarheter och bedmningen av specifika hot. Hot och srbar-
het har tidigare beskrivits och vrderats under steg 2 och 3 varfr dessa inte behver
analyseras ytterligare i detta steg. Tidigare bedmningar av hot och srbarheter utgr
drmed direkta ingngsvrden vid bedmning av sannolikhet. Sannolikheten bedms
i en femgradig skala.6
Om hotet har bedmts som hgt samtidigt som srbarheten r hg kar sannolikhe-
ten fr att hotet ska intrffa. Om hotet dremot har bedmts som lgt samtidigt som
srbarheten bedmts som lg minskar sannolikheten fr att hotet ska intrffa. I tabel-
len fr bedmning av sannolikhet finns procentuella vrden medtagna. Dessa br ses
som ett std och inte som absoluta vrden. Att bedma sannolikheten fr att ett visst
hot ska intrffa r inte en matematisk berkning utan en medveten, om n subjektiv,
bedmning.
Bedmning av sannolikhet
6 Vid bedmning av konsekvens och sannolikhet kan en tiogradig skala anvndas vilket underlttar och
frfinar den slutliga riskbedmningen.
60
Risken bedms drefter genom att sannolikheten fr att ett hot ska intrffa samman-
vgs med konsekvensen av att hotet intrffar. Konsekvensen av att ett hot intrffar
har tidigare beskrivits och vrderats under steg 1 varfr denna inte behver analyse-
ras ytterligare i detta steg. Tidigare konsekvensbedmningar utgr drmed ett direkt
ingngsvrde vid bedmning av risk under steg 4.
SANNOLIKHET
5
3-4 4-5
4
3 RISK
2
1-3 3-4
1
1 2 3 4 5
KONSEKVENS
Bild 2.10 Vid bedmning av risk anvnds ovanstende matris indelad i fyra kvadranter fr att bedma risknivn.
I de fall sannolikheten fr att en onskad hndelse ska intrffa eller att kon- sekvensen
av att en onskad hndelse intrffar har bedmts vara s lg att nivn fr sannolikhet
eller konsekvens nrmar sig noll, ska det vervgas huruvida risken verhuvudtaget
ska bedmas. En sdan bedmning riskerar annars att leda till orealistiska bedm-
ningar av risknivn. Till exempel kan en bedmning av sannolikheten som nrmar
sig noll, samtidigt som konsekvensen av en onskad hndelse r stor, resultera i en
bedmd risk i niv 3-4 och drmed leda till infrande av skyddstgrder vilka inte str
i proportion till den faktiska risken.
61
Alla riskbedmningar ska drfr vara resultatet av ett vl medvetet stllningstagande
och alltid kunna motiveras.
Sannolikhet
5 10
9
4 8
7
3 6 A
5 C
2 4
3 B
1 2
1
D
1
1 2
3
4
2 5
6
3 7
8
4 9
10
5 Konsekvens
Bild 2.11 Bilden visar p hur sannolikhet och konsekvens vgs samman fr att bedma risken. Exempel A-D r
hmtade frn tabell 2.11.
Principen fr hur bedmning av risker gr till framgr av bild 2.11 i kombination med
exemplen i tabell 2.11. Risk B i bild 2.11 r ett exempel p en risk som skulle kunnat
bedmas som en frhjd (3) risk. Anledningen till att risken bedmts som lg (2) r
att en insider mest sannolikt inte bryter sig in i datalektionssalen fr att stjla eller fr-
stra merparten av utrustningen utan i stllet r ute efter srskild materiel (exempelvis
dator, skrivare och bildprojektor) vilken personen redan tidigare identifierat. Konse-
kvensen blir drmed lgre.7
7 En insider skulle i detta exempel ven kunna samarbeta med kriminella genom att ppna t.ex. fnstren i
datalektionssalen och drigenom stadkomma en mycket strre konsekvens. Den mjligheten har dock inte
legat till grund fr nmnda exempel.
62
Bedmning av risk
5 Mycket hg risk
4 Hg risk
3 Frhjd risk
2 Lg risk
Risken att Aktren A i samband med attachbesket vecka 735 kommer ver
hemliga uppgifter avseende JAS 39 jaktradar genom personbaserad inhmtning
4 riktad mot nyckelpersonal med konsekvensen att en motstndare kan anpassa
teknik och taktik p ett stt som allvarligt pverkar vr frmga att anvnda JAS
39 i jaktroll bedms som HG.
Risken att personal av okunskap eller nonchalans ansluter privata IT-system
3 (smarta telefoner, USB-minnen etc.) till det lokala ntverket och verfr skad-
lig kod med resultatet att systemets tillgnglighet pverkas i en omfattning som
hindrar eller str verksamheten under timmar/dagar bedms som FRHJD.
Risken att hemliga, utrikesklassificerade eller sekretessklassificerade uppgifter
rrande frbandets internationella insatser rjs genom att personal lagrar infor-
3 mation p fel plats (ex. FM AP), tar med sig information p privata lagringsme-
dier eller publicerar uppgifter p ntet (ex. bloggar, sociala medier) med kon-
sekvens att pgende eller kommande insatser kan stras i en inte obetydlig
omfattning timmar/dagar bedms som FRHJD.
Risken fr inbrott i frbandets datalektionssal och stld eller skadegrelse av
2 utrustning med konsekvensen att utbildning mste stllas in under 2-3 mn och
att nyinkp p ca 500 kkr krvs bedms som LG.
Bild 2.12 Schematisk beskrivning p vad risker innebr och hur de prioriteras mot varandra.
Den bedmda risken i detta skede tar inte hnsyn till de frslag till eller beslut om
skyddstgrder som vidtas under steg 5. Frst efter att frslag till skyddstgrder r
framtagna kan frnyade konsekvens-, hot- och srbarhetsbedmningar ligga till grund
fr en ny riskbedmning som visar p frvntade effekter av freslagna tgrder.
63
Den verkliga effekten av freslagna tgrder kan inte vrderas frrn tgrderna r
beslutade och implementerade.
64
2.2.6 Steg 5 - Prioritera och hantera risker
(riskhanteringsbeslut)
PRIORITERA OCH
HANTERA RISKER
I vilken prioritetsordning
ska riskerna hanteras?
r risken acceptabel?
Hur ska risken hanteras?
Bild 2.13 Sista steget i skerhetsanalysen omfattar att prioritera och hantera risker.
Skerhetsanalysens sista steg innebr att prioritera de risker som identifierats i freg-
ende steg och drefter fatta beslut om hur riskerna ska hanteras. Beslut om hur riskerna
ska hanteras, riskhanteringsbeslut, innebr medvetna och dokumenterade chefsbeslut.
65
r risken acceptabel?
Uppfylls regelverkets krav?
Steg 1-3
Steg 4
Risken kan ej Frnyad
hanteras. riskbedming
Begran om
undantag alt.
std frn HC.
Steg 5 inleds med att riskerna bedmda under steg 4 prioriteras. Drefter hanteras ris-
kerna i prioritetsordning med brjan p de risker som bedmts som strst.
Inledningsvis bedms huruvida risken r acceptabel eller inte. Nr det gller risker
rrande skerhetstjnst finns det i regel tydliga krav p skerhetsskydd varfr bedm-
ningen i normala fall tar stllning till om regelverkskraven r uppfyllda. r kraven
uppfyllda och hotbilden i vrigt inte ger anledning att vidta skyddstgrder utver kra-
ven accepteras risken. I praktiken innebr det att nuvarande skyddstgrder bedms
som tillrckliga.
Skyddstgrder vidtas normalt i syfte att minska srbarheten, men kan ven vidtas i
syfte att pverka hotet.
Informationsskerhet
IT-skerhet
Tilltrdesbegrnsning
Skerhetsprvning
Skerhetsskyddad upphandling med skerhetsskyddsavtal (SUA)
Kontrollverksamhet
Utbildning och information
Signalskydd
Skyddstgrder kan beroende p typ av hot ven omfatta andra omrden, exempel p
sdana tgrder kan utgras av brandskyddstgrder.
Med tgrder som pverkar skerhetshotet avses tgrder som riktar sig direkt mot
den eller de aktrer som utvar ett skerhetshot. Syftet med dessa tgrder kan vara
att identifiera och/eller bekmpa den skerhetshotande verksamheten. Exempel p
sdana tgrder kan vara genomfrande av skerhetsoperationer, men ven informa-
tionsoperationer kan utgra exempel p tgrder riktade direkt eller indirekt mot den
eller de aktrer som utvar ett skerhetshot.8
Frslag till skyddstgrder beskrivs avseende bedmd effekt och kostnad (en form av
kostnads- och nyttokalkyl). Med effekt avses resultatet av skyddstgrden i form av
minskad srbarhet, lgre hot eller reducerad konsekvens. Med kostnad avses de resur-
ser infrandet av skyddstgrden kommer att krva i form av bland annat tid, perso-
nal, materiel och ekonomi.
67
Frslagen frs drefter tillbaka in i steg 1-4 fr att resultera i frnyade riskbedm-
ningar. Resultatet av den frnyade riskbedmningen ligger till grund fr val av skydds-
tgrd, men kan ven innebra att bedmningen resulterar i att risken inte kan han-
teras. Anledningen till att risken inte bedms kunna hanteras beror oftast p att
srbarheten inte kan minskas beroende p avsaknad av ndvndiga resurser eller att
hotet inte kan pverkas, men kan ven bero p andra omstndigheter.
Kan inte en risk hanteras p ett stt som uppfyller regelverkets krav eller i vrigt resul-
terar i en acceptabel risk ska den chef som ansvarar fr verksamheten snarast anmla
detta till hgre chef. En sdan anmlan kan dels innebra en begran om std fr att
kunna hantera risken p ett acceptabelt stt, dels innebra en hemstllan om undantag
frn regelverkets krav.
Krav avseende skerhetsskydd r noga reglerat i olika regelverk. Regelverken anger vil-
ken niv av skerhetsskydd som minst krvs fr att uppfylla regelverkets krav.
2. Alternativa tgrder vidtas i syfte att erhlla motsvarande skerhetsniv som regel-
verket krver och drmed uppfylla regelverkets krav.9
Av ovanstende framgr ven att med hnsyn till aktuell hotbild kan ett beslut om en
skyddstgrd i enlighet med gllande regelverk innebra en hg risktagning om hotet
bedms verstiga vr niv av skerhetsskydd. Ett sdant beslut innebr dock inte krav
p undantag frn gllande regelverk.
9 Vilka alternativa tgrder som resulterar i motsvarande niv av skerhetsskydd i enlighet med regelverkets
krav avgrs av den militra underrttelse- och skerhetstjnsten (Must).
10 B (Frsvarsmakten) kan dock inte fatta ett fatta ett beslut som strider mot skerhetsskyddslagen eller
skerhetsskyddsfrordningen.
68
En hemstllan om undantag eller avvikelse frn regelverkets krav beskrivs utfrligt i
kap. 1.5.
Beslut om riskacceptans samt beslut om skyddstgrder fattas genom att ansvarig chef
faststller resultatet av skerhetsanalysen. Beslutet dokumenteras. Begran om std
eller undantag fattas i srskild ordning.
69
Onskade hn- Risk accepta- Skyddst- Effekt Kostnad Val av
delser bel? Regelverk- grder skyddst-
skrav? (alternativ) grd
Stld eller fr- Ja, men br Frbjud < Tillflle Ingen kost- Nej, men
lust p annat om mjligt medfrsel (hot). Kom- nad utarbeta
stt av brbara minskas av PC mer sanno- tydliga reg-
PC. likt ej efter- ler samt
levas samt orientera
reducerar fortlpande
nyttan av om hotbild.
brbar PC
Hrddisk- < Srbarhet. Ca 50 kkr Nej, effek-
krypto Frhindrar (licenskost- ten uteblir
tillgng till nad) Perso-
informa- nalkostnad
tion, men (adminis-
inte frlus- tration, fel-
ten av infor- funktioner
mation etc.)
Ja Pminn om < Tillflle Ingen kost- Ja, frstrk
krav samt (hot) nad nuvarande
lt VB kon- skyddst-
trollera grder.
efterlevnad
Tabell 2.12 Exempel p utdrag ur kalkylblad avseende steg 5 av skerhetsanalysen, utvisande hur frslag till skydds-
tgrder tas fram genom att bedma effekt och kostnad av respektive frslag.
Frnyad riskbedmning
70
2.3 Skerhetsplan
Skerhetsplanen r en direkt fortsttning av skerhetsanalysen och syftar till att reglera
hur vi ska skydda tillgngarna mot skerhetshoten fr att erhlla ndvndig skydds-
niv. I skerhetsplanen ska riskhanteringsbesluten omsttas i en konkret handlings-
plan som ska skerstlla att besluten om skyddstgrder verkligen genomfrs.
2.4 Skerhetsbestmmelser
Skerhetsbestmmelser innehller instruktioner fr bl.a skerhetsmn, skerhetsan-
svariga och vrig personal samt reglerar den enskildes ansvar fr hur det dagliga arbe-
tet bedrivs med hnsyn till skerhetstjnstens krav. Skerhetsbestmmelser regleras i
exempelvis skerhetsinstruktion, skerhetsskyddsinstruktion, arbetsordning, stende
stabsorder, operationsplan eller SOP (Standard Operating Procedure).
2.5 Skerhetsskyddsplan/-instruktion
Svl inom Frsvarsmakten som vid andra myndigheter frekommer begreppet sker-
hetsskyddsplan eller skerhetsskyddsinstruktion. En skerhetsskyddsplan anvnds
ofta inom ramen fr ett materielprojekt, vid vningsverksamhet eller vid skyddsvrd
verksamhet i samband med exempelvis prov och frsk. D verksamheten r begrn-
sad i omfattning minskar behovet av en fullstndig skerhetsplanering.
72
3 Utbildning
3.1 Ansvar
En grundlggande frutsttning fr ett effektivt skerhetsskydd r att all personal fr
den utbildning deras arbetsuppgifter och ansvarsomrde krver.
Utbildning i skerhetstjnst syftar frmst till att klargra varfr och hur man ska vidta
skyddstgrder mot hot av olika slag. Utbildningen br genomfras s att det skapas
en positiv och aktiv instllning till skerhetstjnst samt ett kat skerhetsmedvetande
hos mlgruppen.
Om inte ngot annat fljer av bestmmelser i lag, r endast den behrig att ta del av hemliga uppgifter
som bedms plitlig frn skerhetssynpunkt, har tillrckliga kunskaper om skerhetsskydd, och beh-
ver uppgifterna fr sitt arbete i den verksamhet dr de hemliga uppgifterna frekommer.
7 Skerhetsskyddsfrordningen
73
Det ligger respektive chef fr organisationsenhet att skerhetsupplysning och utbild-
ning i skerhetstjnst genomfrs. Chef ska dessutom skerstlla att personal med
srskilda befattningar (skerhetschef, IT-skerhetschef och signalskyddschef) har
genomfrt centralt anordnad utbildning.
Varje myndighet skall fra en frteckning ver de anstllda som har genomgtt utbildning i skerhetsskydd.
Chef fr organisationsenhet ska se till att personalen fr utbildning i frgor om skydd fr utrikesklassifice-
rade uppgifter och handlingar.
Vid enheten ska det finnas en (central) frteckning ver de anstllda som har genom-
gtt utbildning i skerhetstjnst. En sdan frteckning r kopplad till utbildningspla-
nen och syftar till att flja upp genomfrd utbildning samt vid behov kunna identifiera
den personal vilken inte genomfrt utbildning enligt plan. Frteckningen innehller
74
uppgifter om nr utbildningen genomfrdes, vad utbildningen omfattade och vem
som ansvarade fr utbildningen samt, i frekommande fall, hur lnge utbildningen r
giltig och om den innehller tidskritiska delar som regelbundet behver frnyas. Det
r chef fr organisationsenhet som r ansvarig att frteckningen upprttas och konti-
nuerligt uppdateras.
3.2 Omfattning
3.2.1 Allmnt
Utbildning i militr skerhetstjnst kan indelas i skerhetsupplysning och skerhets-
utbildning.
Skerhetsupplysning syftar till att ge den enskilde tillrckliga kunskaper om sitt ansvar
fr skerhetsskyddet. Den syftar ven till att fortlpande orientera personal om aktu-
ella risker inklusive skerhetshotande verksamhet. Vidare genomfrs skerhetsupplys-
ning vid behov fr att ka kunskapen inom srskilda omrden.
75
3.2.2 Kurser
Centrala kurser i skerhetstjnst (skerhetsskydds-, signalskydds- respektive sker-
hetsunderrttelsetjnst) genomfrs vid Frsvarsmaktens Underrttelse- och sker-
hetscentrum (FMUndSkC), Totalfrsvarets signalskyddsskola (TSS) samt vid Fr-
svarsmaktens tekniska skola (FMTS).
3.3 Genomfrande
3.3.1 Grundlggande utbildning
Grundlggande utbildning i skerhetstjnst regleras vad avser grundlggande sker-
hetsgenomgng och kunskaper fr att vara behrig att ta del av eller p annat stt han-
tera hemliga eller utrikesklassificerade uppgifter i Instruktion avseende kunskapskrav
skerhetstjnst.
Extern utbildare (den som inte r anstlld vid Frsvarsmakten) fr anlitas fr att
genomfra utbildning i orienterande syfte. Ska extern personal anvndas fr att
genomfra utbildning i skerhetstjnst i syfte att uppfylla formella kunskapskrav ska
en bedmning gras fr att skerstlla att utbildaren har tillrcklig kunskap och erfa-
renhet inklusive genomfrd utbildning avseende skerhetstjnst i Frsvarsmaktens
regi. En sdan bedmning ska dokumenteras och beslutas av chef fr organisationsen-
76
het eller den han eller hon bestmmer. Vid behov sker samrd med i frsta hand regio-
nal skerhetsorganisation innan beslut fattas.
Bild 3.1 Skerhetshndelser med lokal anknytning anvnds med frdel i samband med fortlpande skerhetsupp-
lysning.
Omfattning och syfte anpassas efter behov. Aktuell skerhetshotbild eller intrffade
skerhetsincidenter (p svl lokal, regional som central niv) kan utgra underlag fr
77
skerhetsupplysning. Erfarenheter och upptckta brister vid svl kontroller genom-
frda av hgre chef som internkontroller r ocks exempel p ingngsvrden. Om det
r mjligt br skerhetsupplysning av pedagogiska skl ske med utgngspunkt i lokala
frutsttningar. Som ett komplement till den fortlpande utbildningen p lokal niv
anvnds med frdel centralt faststllda utbildnings- och informationsunderlag, exem-
pelvis foldrar, affischer etc. Fortlpande utbildning i form av skerhetsupplysning br
genomfras rligen.
78
Utbildningen br minst omfatta:
Aktuell skerhetshotbild
Vidtagna (eller freslagna) skerhetsskyddstgrder
Srskilda skerhetsskyddsbestmmelser
Rapporteringsbestmmelser
3.3.4 Informationstjnst
Informationstjnst r ett viktigt medel fr att sprida kunskap i frgor som rr sker-
hetstjnsten eller nrstende omrden. Informationen kan omfatta svl olika former
av orienteringar som srskilda informationskampanjer. Informationstjnsten r dr-
med en viktig frutsttning fr att erhlla ett hgt skerhetsmedvetande.
4 Kontroll
4.1 Grunder
Kontroll av skerhetsskyddet skall skerstlla att regler fr skerhetsskyddet fljs samt att skerhetsskydds-
nivn r anpassad till aktuellt skerhetshot. Svl franmlda som inte franmlda kontroller skall gras.
Kontrollverksamheten syftar vidare till att utgra ett std fr den enhet som kontrol-
leras fr att drigenom mjliggra frbttringar av skerhetsskyddet.
81
4.2 Ansvar
Militra underrttelse- och skerhetstjnsten i Hgkvarteret ska genomfra skerhetsskyddskontroller vid
de myndigheter som Frsvarsmakten ska kontrollera enligt 39 skerhetsskyddsfrordningen (1996:633)
samt, vad avser Frsvarsmakten, vid
1. Hgkvarteret,
2. staben vid Frsvarsmaktens logistik,
3. Frsvarsmaktens telent- och marktelefrband,
4. enheter som r insatta i en internationell militr insats, och
5. enheter med srskilda uppgifter som Hgkvarteret beslutar i srskild ordning.
Freligger srskild anledning ska militra underrttelse- och skerhetstjnsten i Hgkvarteret ven genom-
fra kontroll vid vriga organisationsenheter inom Frsvarsmakten.
Det r varje chefs ansvar att fortlpande kontrollera att skerhetsskyddet inom eget
ansvarsomrde uppfyller regelverkets krav och r anpassat till aktuell skerhetshot-
bild. Den enskilde r enligt chefs nrmare bestmmelser ansvarig fr egen arbetsplats
eller eget arbetsomrde.
Den operative chefen i Hgkvarteret, eller den eller de han eller hon bestmmer inom den operativa enhe-
ten, skall genomfra skerhetsskyddskontroller vid Frsvarsmaktens organisationsenheter utom avseende
vissa organisationsenheter som den militra underrttelse- och skerhetstjnsten i Hgkvarteret beslutar.
82
Varje organisationsenhet skall regelbundet och minst en gng per r kontrollera skerhetsskyddet inom
organisationsenheten.
Varje organisationsenhet ska kontrollera det skydd som ska finnas fr utrikesklassificerade uppgifter och
handlingar enligt denna frfattning.
1 Skerhetsskyddsavdelningen vid den militra skerhetstjnsten faststller hur resultat efter genomfrda
skerhetsskyddskontroller (inklusive internkontrollverksamhet) ska rapporteras i drfr avsett IT-system.
83
4.3 Kontrolltyper
4.3.1 Franmlda kontroller
Skerhetsskyddskontroll
En skerhetsskyddskontroll syftar till att skerstlla att krav p skerhetsskydd upp-
fylls och att skerhetsskyddet i vrigt r anpassat efter aktuell skerhetshotbild. En
skerhetsskyddskontroll sker drfr i den omfattning som krvs fr att uppfylla syftet
med kontrollen. Det innebr att den kan genomfras med de resurser som krvs fr
att p djupet kontrollera alla delar av skerhetsskyddet, eller att den genomfrs med
begrnsade resurser och i begrnsad omfattning.
Internkontroll
Internkontroll r en enhets egen kontrollverksamhet fr att skerstlla att krav p
skerhetsskydd uppfylls och att skerhetsskyddet i vrigt r anpassat efter aktuell
skerhetshotbild.
Kontroll av signalskyddstjnsten
Kontroll av signalskyddstjnsten ska skerstlla att bestmmelser fr signalskydds-
tjnsten fljs samt att signalskyddsnivn r anpassad till det aktuella hotet. Kontrol-
lerna kan utfras som administrativ kontroll eller signalkontroll. Kontrollerna ingr
normalt som en delmngd vid skerhetsskyddskontroller.
84
4.3.2 Inte franmlda kontroller
Inte franmlda skerhetsskyddskontroller genomfrs utan frvarning eller med kort
frvarning. En inte franmld kontroll kan genomfras internt i form av en intern-
kontroll eller genom kontroll av hgre chef. Den som enligt Frsvarsmaktens interna
bestmmelser om skerhetsskydd och skydd av viss materiel har ett ansvar att kon-
trollera skerhetsskyddet har ocks rtt att fatta beslut om inte franmld skerhets-
skyddskontroll inom sitt ansvarsomrde.
Syftet med en inte franmld kontroll r att identifiera brister och behov av skerhets
skyddstgrder som inte hade varit mjligt genom en franmld kontroll. En inte fr-
anmld kontroll kan ven genomfras med anledning av intrffad skerhetsincident.
Exempel p inte franmlda kontroller vilka kan krva srskilda beslut innan de
genomfrs:
Kontroll av fretag som har upphandlats med skerhetsskyddsavtal skall genomfras av den bestllande
organisationsenheten. Vid behov skall en sdan kontroll gras i samrd med Skerhetspolisen. Skerhetspo-
lisen skall informeras, om kontrollen sker utan dess medverkan.
85
Kontroller av att fretag som upphandlats med skerhetsskyddsavtal uppfyller sker-
hetskrav genomfrs av den bestllande organisationsenhetens skerhetschef.
Underlag infr frsta kontrollen av fretaget kan i frekommande fall hmtas i proto-
kollet frn frstagngsbesket i samband med att fretaget kontrakterades (godkn-
des). Uppfljningskontroller ska genomfras med periodicitet som verenskommits i
skerhetsskyddsavtalet samt vid strre frndringar hos fretaget.
Det r alltid den bestllande organisationsenheten som ska genomfra kontroller, inte
den enhet som lmnar upphandlingsstd.
4.4 Skerhetsskyddsbesk
Svl infr som efter genomfrda skerhetsskyddskontroller finns behov av samver-
kan i syfte att utgra ett std i skerhetsskyddsarbetet, att erhlla en uppdatering av
aktuellt skerhetslge eller att gemensamt (kontrollerande tillsammans med den kon-
trollerade) diskutera olika problemomrden. Vidare finns ett behov av att tillsammans
frbereda kommande kontroll eller att flja upp genomfrd kontroll. Sdan samverkan
sker lmpligen i form av ett skerhetsskyddsbesk.
86
4.5 Kontrollfrberedelser
4.5.1 Riktlinjer fr tidsplan infr skerhetsskyddskontroll
Kontrollverksamheten skall, svitt avser franmlda kontroller, grundas p en rlig plan, kontrollplan, som
skall omfatta en femrsperiod. Kontrollplanen skall upprttas i samrd med den som skall kontrolleras.
Senast en mnad fre en franmld kontroll skall den som skall kontrolleras f en detaljplan ver hur kon-
trollen avses att genomfras.
87
4.6 Genomfrande
En kontroll br genomfras i samfrstnd och ska utgra ett std fr den kontrolle-
rade. Kontrollen genomfrs lmpligen bde i dialogform (intervjuer) och som besk
vid respektive kontrollobjekt. Srskilda tester och prov av t.ex. larmfunktioner och
insatstider kan ing.
Den kontrollerande redogr fr syftet med och omfattningen av kontrollen. Alla till-
fllen till utbildning som ges under kontrollen br tas tillvara. Eventuella frndringar
i skerhetshotbilden redovisas som komplement till bedmt skerhetshot.
En kontroll genomfrs s effektivt som mjligt. Det innebr normalt att den genom-
frs p flera tter. Om mjligt br en kontrolltt inte best av frre n tv personer.
Detta fr att skerstlla att synpunkter och iakttagelser hinner dokumenteras och upp-
fattas korrekt.
Delomrde Kategori
Ledning (inklusive skerhetspla-
nering, utbildning och intern- Frbandschef, stabschef, skerhetschef, vriga chefer m.fl.
kontroll)
Hotbildsuppfattning Personal p alla niver
C Adm, expeditionspersonal, administrativ personal, che-
Informationsskerhet
fer m.fl.
IT-chef, IT-skerhetschef, ledningssystemchef, driftansva-
IT-skerhet
rig (DA) m.fl.
Tilltrdesbegrnsning, IBSS/
Skerhetschef, vaktchef, receptionist, m.fl.
TPSS, vapen och ammunition
Skerhetsprvning Personalchef, personalhandlggare, skerhetschef m.fl.
Ekonomichef, ekonomiansvarig, inkpare, skerhetschef
SUA
m.fl.
Signalskyddschef, IT-chef, sambandschef, ledningssystem-
Signalskydd
chef m.fl.
88
4.7 Efter genomfrd skerhetsskyddskontroll
4.7.1 Muntliga och skriftliga redovisningar
En kontroll avslutas med en gemensam genomgng dr samtlig i kontrollen delta-
gande personal br nrvara. Under den avslutande genomgngen redovisar den kon-
trollerande muntligen en sammanfattning av resultatet av kontrollen, dr de viktigaste
iakttagelserna och eventuella krav p omedelbara tgrder tas upp. Enhetens chef och
all skerhetspersonal br alltid delta vid den avslutande genomgngen.
tgrder som r tvingande ska vidtas s snabbt som det r mjligt utan att invnta
slutligt protokoll eller andra beslutshandlingar.
Innan slutligt protokoll faststlls ges den kontrollerade mjlighet att lsa igenom pro-
tokollet fr att kunna justera eventuella missuppfattningar, sakfel och oklarheter.
Ett protokoll frn en skerhetsskyddskontroll skall inom tre mnader frn kontrollen sndas till den som
har blivit kontrollerad. I protokollet skall anges inom vilken tid fel och brister skall vara tgrdade.
S fort det r mjligt, dock senast tre mnader efter genomfrd kontroll, ska det slut-
liga protokollet sndas till den kontrollerade.
I kontrollprotokoll ska anges en tidpunkt (ca 3 mnader senare), d en rapport ska vara
den kontrollerande tillhanda. I rapporten ska det framg vilka tgrder som genom-
frts och kommer att genomfras med anledning av vad som delgivits muntligt och
vad som redovisats i protokollet samt en tidsplan fr tgrdsarbetet inklusive ansvars-
frhllanden.
Protokoll frn skerhetsskyddskontroller inom en organisationsenhet skall frvaras samlade vid organisa-
tionsenheten.
89
4.7.2 Uppfljning
Kontroll av att ptalade fel och brister r tgrdade skall ske senast inom tv r frn protokollets datum,
om inte ngon annan tid anges i protokollet.
4.8 Skerhetsrapportering
Skerhetshotande verksamhet och allvarliga brister i skerhetsskyddet som identifie-
rats under kontrollverksamhet (inklusive interkontrollverksamhet) ska omedelbart
skerhetsrapporteras enligt ordinarie rutin.
4 I detta fall avses inte internkontrollverksamhet. Sdan kontrollverksamhet rapporteras i avsett IT-system
enligt srskilda anvisningar beslutade av skerhetsskyddsavdelningen vid den militra underrttelse- och
skerhetstjnsten.
90
5 Internationell verksamhet
5.1 Inledning
Frsvarsmaktens internationella verksamhet r en av Frsvarsmaktens huvuduppgif-
ter och utgr en vsentlig del av myndighetens verksamhet. I princip alla verksamhets-
omrden i myndigheten r berrda av den internationella verksamheten. Detta kapi-
tel behandlar grunder i skerhetstjnst i Frsvarsmaktens internationella verksamhet.
5.2 Grunder
5.2.1 Allmnt
Inledningsvis och som en allmn utgngspunkt gller att det regelverk som rr sker-
hetsskydd i Frsvarsmakten ska tillmpas svl nationellt som internationellt. Det
innebr att stdet fr att bedriva skerhetstjnst i ett internationellt sammanhang ska
skas i det ordinarie regelverket; i de frfattningar, direktiv och handbcker som gl-
ler generellt.
Som beskrivs nedan har Sverige ingtt verenskommelser med andra lnder och orga-
nisationer om hur det msesidiga skerhetsskyddet ska ordnas fr uppgifter som
utbyts mellan parterna. I Frsvarsmakten omstts dessa verenskommelser i freskrif-
ter och interna bestmmelser s att dessa blir generellt giltiga utan krav p knnedom
om de specifika internationella verenskommelser som ligger bakom bestmmelserna.
91
skerhetstjnst p ett sdant stt som sker i Sverige. Fr dessa fall finns det bestmmel-
ser som r tnkta att ge alternativ och flexibilitet s att skerhetsskyddet nd blir s
bra som mjligt under givna frutsttningar.
Vidare kan vissa internationella regelverk skilja sig i detaljer frn svenska bestmmel-
ser p s stt att det i specifika situationer (t.ex. vid systemutveckling av interoperabla
informationssystem) kan uppst ett behov av att detaljstudera de internationella krav-
dokumenten. I de fall dr sdana situationer uppstr br en tidig samverkan ske med
Must.
92
vanligen en versttningstabell1 som jmfr lndernas eller organisationernas infor-
mationsklassificering. De innehller normalt ven bestmmelser om hur information
ska verfras mellan avtalsparterna och hur den ska skyddas. En viktig del av verens
kommelsen r vilka tgrder som parterna ska vidta om information som hrrr frn
den andra parten frloras eller rjs.
Sverige har GSA med ett trettiotal lnder. Fr Frsvarsmaktens insatsverksamhet har
Sveriges GSA med Nato en central betydelse. Avtalet innebr att vi i huvudsak ska
ge ett skydd fr klassificerad2 Nato-information p samma stt som Nato och Natos
medlemsstater gr. Vidare har Sverige ett GSA med de nordiska lnderna och med
huvuddelen av de lnder som Sverige bedriver internationella frsvarsmateriella sam-
arbeten med.
Med ett GSA som grund kan parterna komma verens om mer detaljerade skerhets-
dokument fr specifika samarbetsomrden. Det r t.ex. vanligt i internationella mate-
rielsamarbeten att de bilaterala skerhetsfrgorna regleras i en s.k. projektskerhetsin-
struktion (PSI) som tas fram med ett GSA som grund.
Att Sverige har ett GSA med ett land eller en mellanfolklig organisation innebr ocks
att Frsvarsmakten med std av ett stende bemyndigande av regeringen fr frhandla
och ing en signalskyddsverenskommelse med denna part fr att reglera gemensam
anvndning av signalskyddssystem som r godknda av Frsvarsmakten.
93
5.2.3 Internationella roller
I ett GSA regleras ven hur skerhetssamarbetet mellan parterna ska ske. Vanligen defi-
nieras parternas nationella skerhetsmyndigheter (NSA), vilka ges uppgifter att sam-
verka om skerhetsfrgor som rr gemensamma samarbetsomrden. Frsvarsmakten
lser normalt denna uppgift i Sverige utom vad avser relationerna med Nato och Euro-
peiska unionen (EU) dr regeringskansliet (RK) i stllet har denna roll. Observera
dock att Frsvarsmakten r NSA i bilaterala samarbeten med EU- och Natolnderna.
Det r viktigt att Sverige fljer avtalens bestmmelser och att kontakt mellan parterna
sker mellan de NSA-funktioner som r utpekade. Srskilt viktigt r det med tanke p
att omrdet kan vara knsligt, vilket gr att sm missfrstnd eller felaktigheter kan
f stora konsekvenser fr Sveriges och Frsvarsmaktens frbindelser med det aktuella
landet eller organisationen.
Rollen som nationell signalskyddsmyndighet (NCSA) innebr bl.a. att utgra svensk
nationell signalskydds- och kryptogodknnandemyndighet genom att bland annat
94
frhandla och ing signalskyddsverenskommelser med andra lnder och mellanfolk-
liga organisationer.
Innebrden av OSL r att uppgifter som omfattas av sekretess inte fr delges till obe-
hriga. OSL gller normalt ven mellan myndigheter och det krvs normalt att en sr-
skild bestmmelse medger att sekretessbelagda uppgifter fr utbytas mellan myndig-
heter.
Det medfr att stor frsiktighet krvs innan Frsvarsmakten (eller tjnstemn i Fr-
svarsmakten) delger sekretessbelagd information till fretrdare fr andra lnder eller
internationella organisationer. I 8 kap. 3 OSL finns en bestmmelse som anger grun
derna fr att f delge sekretess i sdana fall.
95
En uppgift fr vilken sekretess gller enligt denna lag fr inte rjas fr en utlndsk myndighet eller en
mellanfolklig organisation, om inte
1. utlmnande sker i enlighet med srskild freskrift i lag eller frordning, eller
2. uppgiften i motsvarande fall skulle f lmnas ut till en svensk myndighet och det enligt den utlm-
nande myndighetens prvning str klart att det r frenligt med svenska intressen att uppgiften
lmnas till den utlndska myndigheten eller den mellanfolkliga organisationen.
I den andra punkten framgr det att en myndighet kan fatta beslut om att lmna ut en
sekretessbelagd uppgift under de frutsttningar som r angivna dr.
I bda fallen gller att det r myndigheten som ska gra bedmningen. Det innebr
att den som genomfr en sdan bedmning mste vara behrig att fretrda myndig-
heten i det avseendet. En sdan behrighet kan framg i en arbetsordning eller i sr-
skilda beslut.
96
Bestmmelserna i detta kapitel gller nr Frsvarsmakten
97
Sverige. Det andra fallet r ett medfrande dr handlingarna ska verlmnas till en
utlndsk myndighet, t.ex. inom ramen fr ett internationellt materielprojekt.7
Beslut enligt frsta stycket erfordras inte om det av ngot annat beslut fljer att hemliga handlingar ska
medfras utanfr riket eller verlmnas dr.
Fr frsndelser med utrikesklassificerade handlingar till och frn utlandet ska Utrikesdepartementets
kurirfrbindelser om mjligt anlitas.
Innan ett medfrande utomlands sker br det analyseras om inte andra stt att verfra
informationen finns. Kanske kan informationen skickas med kurirpost till en svensk
ambassad i det aktuella landet eller att informationen skickas till verksamhetsstllet
med ett godknt signalskyddssystem. I andra fall ska kanske ett medfrande under-
ltas fr att risken r orimligt stor i frhllande till nyttan av att handlingen tas med.
Om andra stt att verfra informationen inte r mjliga s r dock ett personligt med-
frande den enda mjligheten. Det bsta skyddet fr informationen fs om den som
medfr informationen r diplomatisk kurir. Kuriren och det medfrda r d okrnk-
bart enligt Wienkonventionen om diplomatiska frbindelser, vilket ger ett skydd mot
rjande av uppgifterna fr t.ex. tullpersonal.
7 Fr frgan om att delge sekretessbelagd information till utlndska myndigheter, se avsnitt 5.2.4 ovan.
98
Detta frfarande r mjligt nr Sverige har en diplomatisk representation i det aktu-
ella landet, eftersom kurirverksamhet enbart fr ske mellan ett land och dess represen
tation utomlands. I vissa insatsomrden r drfr denna metod inte mjlig. D detta
frfarande ska anvndas krvs en god planering infr resan och kontakt mste ske med
UD:s kurirexpedition i mycket god tid fre avresan. Sdana transporter ska utg frn
UD fr att frpackas p ett korrekt stt enligt gllande bestmmelser.
Ett separat beslut behvs inte om det framgr av ngot annat beslut, t.ex. en order, att
denna typ av handlingar fr medfras eller verlmnas.
Exempel 5.1.
4.ytstridsflottiljen ska enligt en order delta i en internationell marinvning i
Nordsjn p andra lnders territorium. Fr att kunna delta i vningen r det ndvndigt att ett antal
hemliga handlingar medfrs fr t.ex. ledning, hantering av vapensystem och fr underhll. Detta fr anses
ing i ordern att delta i vningen och ngot separat beslut avseende medfrande behvs inte. Observera
dock att bestmmelserna om frteckning och inventering alltid gller.
99
5.3.3 Medfrande av signalskyddsnycklar och signalskydds
materiel utomlands
I 22 Frsvarsmaktens freskrifter (FFS 2005:2) om signalskyddstjnsten inom totalfrsvaret finns fre-
skrifter om vad som krvs fr att f medfra eller p annat stt gra kryptonycklar tillgngliga utanfr
svenskt territorium.
Fartyg och luftfartyg som kortvarigt lmnar svenskt territorium fr vningsverksamhet eller en nationell
insats fr utan hinder av vad som anges i 22 1 Frsvarsmaktens freskrifter om signalskyddstjnsten inom
totalfrsvaret medfra de kryptonycklar som oundgngligen behvs fr att kunna genomfra vningen eller
insatsen. Kryptonycklarna ska om mjligt tas ur srskilda kryptonyckelserier.
Utan hinder av vad som anges i 28 Frsvarsmaktens freskrifter (FFS 2005:2) om signalskyddstjnsten
inom totalfrsvaret fr fartyg och luftfartyg som kortvarigt lmnar svenskt territorium fr vningsverk-
samhet eller en nationell insats medfra den signalskyddsmateriel som behvs fr att kunna genomfra
vningen eller insatsen.
100
Har en utlndsk myndighet eller mellanfolklig organisation frsett en hemlig handling med en anteckning
som innebr begrnsningar i att delge eller anvnda handlingen ska anteckningen fljas om hinder inte
mter enligt svensk rtt.
I bilaterala skerhetsskyddsavtal frekommer det ofta ett tagande att en part som del-
ger information till en annan part kan specificera fr vilket ndaml som informatio-
nen ska anvndas. En sdan specificering, som kan ske genom anteckning p en hand-
ling eller i ngon form av styrande dokument, ska naturligtvis fljas i den mn det inte
strider mot svensk rtt att flja specificeringen. Det innebr att om informationen r
delgiven unikt fr ett visst materielsamarbete fr informationen inte anvndas i ngot
annat sammanhang. Naturligtvis bestmmer myndigheten (utifrn behrighetsrekvi-
siten) vilka vid myndigheten som ska delges informationen och bestmmelsen i sig
avser inte att begrnsa detta p ngot stt.
HEMLIG
2011-01-12
NATO SECRET
FRSVARSMAKTEN
releasable to SWE
RESTREINT UE
101
5.3.5 Fretrde fr utlndska bestmmelser
Som nmnts ovan i inledningen gller svenska bestmmelser fr Frsvarsmaktens
verksamhet oavsett om den sker nationellt eller internationellt. Det innebr att huvud-
regeln r att bestmmelser om skerhetsskydd ska skas i det ordinarie regelverket.
I vissa fall kan det dock uppst situationer dr de svenska bestmmelserna r olmp-
liga, str i strid med en internationell frpliktelse eller helt enkelt inte reglerar en viss
freteelse eller situation.
Om det i ett avtal fr visst internationellt samarbete frekommer bestmmelser om skerhetsskydd som
avviker frn bestmmelserna i denna frfattning ska bestmmelserna i avtalet ha fretrde.
Tillmpning av sdana bestmmelser som avses i frsta stycket ska, om mjligt, fregs av samrd med
militra underrttelse- och skerhetstjnsten i Hgkvarteret. Har sdant samrd inte skett ska militra
underrttelse- och skerhetstjnsten i Hgkvarteret snarast underrttas.
Om det i verksamhet dr personal har stllts till frfogande fr annan stat eller mellanfolklig organisation
gller bestmmelser om skydd av uppgifter i den verksamheten, och som avviker frn freskrifterna i denna
frfattning, ska bestmmelserna ha fretrde.
Nr sdana situationer uppstr r det viktigt att det sker ett samrd med Must s att
situationen kan uppmrksammas samt att Must kan ge std med ndvndig kompe-
tens fr att lsa situationen. Det kan ven vara s att tidigare liknande fall kan tjna
som lsningar fr den aktuella situationen. Fr det fall att Must samrd inte hinner
inhmtas ska Must nd underrttas s snart som situationen medger det.
102
Exempel 5.2.
Frsvarsmakten och FMV ska gemensamt utveckla ett UAV-system som ska anvndas i internationella
insatser under Natos ledning. Systemet kommer att hantera utrikesklassificerade uppgifter p nivn HEM-
LIG/SECRET. Nato stller bl.a. krav nr det gller skydd mot rjande signaler som r betydligt mer detalje-
rade n motsvarande svenska bestmmelser. I det hr fallet ska Natos mer detaljerade bestmmelser fljas
vid utvecklingen av systemet.
5.4.2 Inventering
Internationella insatser prglas av att personalen omstts regelbundet i form av s.k.
rotationer. Rotationen innebr ett riskmoment i och med att verlmningstiderna
r relativt korta med mnga moment som ska genomfras. verlmning av hem-
liga och utrikesklassificerade handlingar mellan avgende och tilltrdande befatt-
ningshavare r ett viktigt moment som br ske med stor noggrannhet fr att undvika
informationsfrluster. Som std fr en verlmning br en inventering av hemliga och
103
utrikesklassificerade handlingar ske infr varje rotation. Det r lmpligt att invente-
ringen genomfrs samtidigt som verkvittering av handlingar.
Erfarenheter frn Frsvarsmaktens internationella militra insatser har visat att inven-
teringar som sker ngon till ngra veckor innan rotation ger ett bra underlag infr
verlmningen till pgende styrka.
Brister som upptcks vid kontroll kan behva lngre tid fr tgrdande n vad som
hinner genomfras under den pgende tjnstgringsperioden. Det r drfr mycket
viktigt att det sker en noggrann dokumentation som std fr pgende (avlsande)
styrka.
104
5.4.4 Beslut om undantag
Trots att Frsvarsmakten numera har en omfattande erfarenhet av skerhetstjnst i
internationella militra insatser kan det uppst situationer dr gllande bestmmelser
inte kan fljas eller dr kostnaderna inte str i proportion till bedmd skerhetsskydd-
seffekt. I sdana fall fr kontingentschef respektive chef fr organisationsenhet fatta
beslut som avviker frn Frsvarsmaktens freskrifter om skerhetsskydd samt Fr-
svarsmaktens interna bestmmelser om skerhetsskydd och skydd fr viss materiel. I
kapitel 1 beskrivs bestmmelserna om avvikelsebeslut utfrligt.
105
Bilaga 1 Exempel p disposition av
skerhetsanalys
1 Uppgiften
1.1. Uppgiftens innebrd ur skerhetssynpunkt
1.1.1. Syfte
1.1.2. Omfattning
1.1.3. Ansvarsfrhllanden
1.1.4. Tidsplan
1.1.5. Styrande ingngsvrden
1.1.6. Slutsatser
2 Riskhantering
2.1. Identifierade risker (i prioritetsordning)
2.1.1. Risk 1
Beskrivning
Riskhanteringsbeslut
Ansvars- och tidsfrhllanden
2.1.2. Risk 2
Beskrivning
Riskhanteringsbeslut
Ansvars- och tidsfrhllanden
osv.
3 Sammanfattning
3.1. Sammanfattande slutsatser
3.2. Riktlinjer
3.3. Ansvarsfrhllanden
3.4. Tidsplan
107
Bilaga 2 Exempel p disposition av
skerhetsplan
1 Allmnt
1.1. Omfattning och syfte
1.2. Ingngsvrden frn skerhetsanalys
1.3. Ansvarsfrhllanden
2 Funktionsvisa bestmmelser1
2.1. Inriktning av skerhetstjnsten
2.2. Skerhetsunderrttelsetjnst
2.3. Skerhetsskyddstjnst
2.3.1. Informationsskerhet
2.3.2. IT-skerhet2
2.3.3. Tilltrdesbegrnsning
2.3.4. Skerhetsprvning
2.3.5. SUA
2.3.6. Utbildning och information
2.3.6.1. Utbildningsplan skerhetstjnst (bilaga)
2.3.6.2. Frteckning ver utbildad personal (bilaga)
2.3.7. Kontroll och uppfljning
2.3.7.1. Internkontrollplan (bilaga)
2.4. Signalskyddstjnst3
1 Hr regleras de tgrder som krvs fr att hantera de risker som identifierats i skerhetsanalysen, bl a fram-
gr vad som ska gras, nr det ska gras och vem som r ansvarig.
2 Redovisas normalt i separat IT-skerhetsplan.
3 Redovisas normalt i separat signalskyddsinstruktion.
109
Bilaga 3 Exempel p disposition
av skerhets-
bestmmelser
1 Allmnt
1.1. Skerhetstjnstens organisation
1.1.1. Skerhetschef
1.1.2. IT-skerhetschef
1.1.3. Signalskyddschef
1.1.4. Skerhetsmn
1.2. Ansvarsfrhllanden
1.3. Styrande dokument
1.4. Rapportering
1.5. Samverkan med polis och vriga myndigheter
1.6. Delgivning
2 Skerhetsbestmmelser
2.1. Informationsskerhet
2.1.1. Upprttande av H och KH
2.1.2. Upprttande av UK
2.1.3. Upprttande av SK
2.1.4. Behrighet
2.1.5. Sekretessbevis
2.1.6. Registrering
2.1.7. Kvittering
2.1.7.1. Kvittering vid mottagande
2.1.7.2. Kvittering vid delgivning muntligt eller genom visning
2.1.7.3. Signaturlista
2.1.8. Muntlig delgivning
2.1.8.1. Godknda lokaler och omrden (H/C eller hgre)
2.1.9. Frvaring av hemlig handling
2.1.10. Samfrvaringsbeslut
2.1.11. Gemensam anvndning av hemlig handling
2.1.12. Medfrande
2.1.13. Kopiering av eller utdrag ur SK/UK/H/KH
2.1.14. Frstring
2.1.15. Inventering
2.1.16. Distribution
2.1.16.1. Inom organisationsenheten
2.1.16.2. Utanfr organisationsenheten
111
2.1.16.3. Till utlandet
2.1.17. Frlust
2.2. Tilltrdesbegrnsning
2.2.1. Legitimation och inpasseringsbevis
2.2.2. Besksrutiner
2.2.3. Medfrande av elektronisk utrustning
2.2.4. Frvaring
2.2.5. Stldbegrlig utrustning
2.2.6. Nycklar och koder
2.2.7. Rutiner vid ppning av frvaringsutrymme utan nrvaro av med-
arbetaren
2.2.8. Rutiner fr larm och bevakning
2.3. IT-skerhet
2.3.1. Laptop, mobiltelefon, vriga mobila enheter
2.3.2. Digitala lagringmedia
2.3.2.1. Registrering och kvittering
2.3.2.2. Mrkning
2.3.2.3. Frvaring
2.3.2.4. Medfrande
2.3.2.5. Frstring
2.4. Skerhetsprvning
2.4.1. Infr rekrytering
2.4.2. Under anstllning och tjnstgring
2.4.3. Skyddssamtal
2.4.4. Skerhetssamtal
2.5. SUA
2.6. Utbildning i skerhetstjnst
2.6.1. Grundlggande skerhetsgenomgng
2.6.2. Utbildning fr att vara behrig att ta del av H eller UK
2.6.3. Repetitionsutbildning
2.6.4. vrig utbildning
2.7. Internkontrollverksamhet
2.7.1. Allmnt
2.7.2. Skerhetsmans ansvar
2.7.3. Enskilds ansvar
112
Sakregister
A
ackreditering 31
aktrsdrivna hot 14
avvikelse 28, 29, 30
B
behrighet 16
brottsbalken 21
C
caveat 101
classified information 93
COMSEC Agreement 93
F
flygbilder 25, 26
fotografering 25, 26
franmld kontroll 85, 87
frsvarsunderrttelseverksamhet 27
G
generella skerhetsskyddsavtal 92
GSA 92, 93, 94
H
hemlig handling 101
hemlig uppgift 8, 9
hot 14, 21, 35, 36, 41, 43, 49, 52, 53, 54, 55, 56, 57, 59, 60, 61, 67, 70, 73
Hot 36, 54, 60, 64, 70
hotbild 25, 26, 34, 68, 70
Hotbild 36
I
Icke aktrsdrivna hot 14
113
informationsklassificering 16, 27, 93
informationsskerhet 15, 16, 22, 28
informationsskerhetschef 17
informationsskerhetsklass 48, 72, 100
Insatschefen 17
insatsstaben 21, 89
inte franmld kontroll 85
internationella militra insatser 17, 30, 86, 92, 97, 104, 105
internationella skerhetsskyddsavtal 17
internkontroll 85, 88, 104
intern kontrollverksamhet 83
IT-skerhet 16, 17, 18, 31, 32, 67, 83, 88
IT-skerhetschef 18, 88
K
konsekvens 46, 47, 48, 50, 51, 60, 61, 62, 63, 67
Konsekvens 36
kontroll 15, 82, 83, 84, 85, 86, 87, 88, 89, 90, 104
Kontroll av signalskyddstjnsten 84
kontrolltter 88
kriminalitet 14, 20, 78
kryptografiska funktioner 18
kurir 98
L
landskapsinformation 24, 25, 26
M
Medfrande 97, 100
militrgeografiska frhllanden 26
myndighet 19, 25, 26, 31, 49, 50, 74, 93, 94, 96, 98, 99, 101
N
NCSA 94
NDA 94, 95
NSA 94
114
O
organisationsenhet 19, 26, 27, 29, 30, 31, 35, 46, 74, 75, 76, 83, 85, 89, 90, , 105
OSL 25, 26, 27, 28, 29, 95, 100
P
Personuppgifter 27
Personuppgiftslagen 28
PuL 27, 28
PuL UNDSK 27, 28
R
Rapportering 19
regional skerhetsorganisation 20, 76, 77
rikets skerhet 14, 15, 16, 21, 22, 25, 35, 37, 45, 49, 50, 89, 90, 95
Risk 36, 37, 62, 69, 70
Riskacceptans 37
Riskanalys 37
Riskhantering 37
Riskhanteringsbeslut 37
Riskhanteringsmodell 35
rjande signaler (RS) 84
S
Sabotage 53
Sannolikhet 37, 64, 70
scenarion 42
sekretessklassificerad handling 9
sekretessklassificerad uppgift 9, 48
Signalkontroll 15, 84
Signalskydd 67, 88
Signalskyddschef 88, 111
signalskyddsmateriel 100
signalskyddsnycklar 95, 100
Signalskyddstjnst 15, 109
signalskyddstgrder 5, 15
115
sjmtning 25, 26
Skyddslagen 23
Skyddsobjekt 23
skyddsvakt 24
skyddsvrda tillgngar 5, 33, 34, 35, 38, 39, 40, 41, 45, 46, 52, 53, 56, 78
skyddsvrda tillgngarna 35, 40, 45, 47
Skyddstgrd 37
SUA 7, 16, 67, 83, 85, 86, 88, 109, 112
Subversion 53
Srbarhet 37, 64, 69, 70
skerhetsanalys 33, 35, 36, 37, 38, 39, 42, 43, 46, 48, 52, 53, 54
Skerhetsanalys 35, 37
skerhetsbestmmelser 33, 72
Skerhetsbestmmelser 71, 111
Skerhetschef 88, 111
skerhetshotande verksamhet 7, 14, 15, 19, 53, 75, 78
skerhetsinstruktion 71
Skerhetskontoret 4, 17
skerhetsorganisation p regional niv 9, 17
skerhetsplan 33, 35, 71
Skerhetsplan 71
skerhetsplanering 72
Skerhetsplanering 18, 33, 34
Skerhetsprvning 16, 67, 88, 109, 112
Skerhetsrapportering 18, 20, 90
Skerhetsskydd 21, 22, 23
Skerhetsskyddad upphandling med skerhetsskyddsavtal 16, 67
skerhetsskyddsavtal 67, 72
Skerhetsskyddsbesk 86
skerhetsskyddschef 90
skerhetsskyddsinstruktion 71, 72
skerhetsskyddskontroller 5, 17, 81, 82, 83, 84, 85, 86, 89, 90
Skerhetsskyddsplan 72
Skerhetsskyddstjnst 15, 16, 109
skerhetsunderrttelsebehov 14
Skerhetsunderrttelsetjnst 14, 109
Skerhetsupplysning 75
Skerhetsutbildning 75
T
TA 94
territoriella skerhetstjnsten 17
Terrorism 53
terroristbrott 21, 23, 25
TF 8, 25, 27
Tillgng 37, 41, 43, 51, 58
tilltrdesbegrnsning 69
Tilltrdesbegrnsning 16, 67, 88, 109, 112
U
undantag 28, 29, 30, 31, 32, 68, 69, 82, 105
Utbildning i skerhetstjnst 16, 18, 73, 112
Utbildningsplan 71, 109
utrikesklassificerad handling 9
utrikesklassificerad uppgift 8, 9
V
verksamhetsanalys 34
Y
YGL 8, 25
Deltagare
Mrten Walln (projektledare)
Martin Waern
Zenobia Rosander
ke Bylund