Metodutveckling för säkerhetsskyddsanalys : Behovsanalys och kravunderlag för en generisk metod / Method Development for Protective Security Analysis

Werkelin, Siri, Uggerud, Elsa

January 2022

The security of Sweden is currently being challenged on multiple fronts, and the threats have over the recent years tended to become more complex. As a response to this shift, a new law – the Protective Security Act – was brought into effect in 2019, replacing the old legislation from 1996. The law is meant to protect security-sensitive activities from a national perspective against antagonistic attacks, such as espionage, sabotage, and terrorism. Everyone who conducts such activities are obliged by the law to carry out a protective security analysis. In short, this analysis is meant to identify what needs to be protected, against what it needs to be protected, and how it will be protected. The analysis establishes the foundation of further protective security work.  The Swedish Security Service (Säkerhetspolisen) has acknowledged flaws in organizations’ protective security analyses, and at the consultant agency AFRY, staff have seen the need of new methods to assist with the analysis process. This thesis aims to lay the foundation of a requirement specification for a generic method that can be used by public services as well as private businesses and for both military and civilian activities.  Relevant legal documents were studied to identify the legal requirements of the protective security analysis, and a recital of existing methods by the Swedish Security Service and the Swedish Armed Forces (Försvarsmakten) was carried out to give an idea of what aid organizations have at their disposal today. By conducting semi-structured interviews with representatives from seven organizations along with a small survey study, insight was gained into what the analysis process looks like in practice and what challenges they face. Through the interviews and written sources regarding protective security analysis, several methods designed for other areas of applications, such as CARVER and a risk- and vulnerability analysis model by the Swedish Defence Research Agency (Totalförsvarets forskningsinstitut), were briefly presented and discussed if and how they could be of assistance to the analysis process.  The resulting list of requirements, based on the prior investigation, specified that a future method for protective security analysis need to support an iterative and systematic way of working; handle internal, external, and within-field communication; and be adjustable according to the organizations’ needs. In conclusion, constructing a method that can be used by everyone of importance to Sweden’s security implies some major challenges and dilemmas, such as how the method could provide clarity without being too explicit concerning security-sensitive information, or how to specify boundaries and preconditions for the complex process that is protective security analysis.

säkerhetsskydd

säkerhetsskyddsanalys

metodutveckling

kravunderlag

Information Systems

Outsourcing av IT i offentlig verksamhet med säkerhetskänslig information / Outsourcing of IT in public operations with security sensitive information

Svensson, Frida

January 2018

Digitaliseringen har fortskridit i snabb takt sedan 60-talet och idag får området anses ha stor betydelse för både politik och juridik. På grund av utvecklingen är det naturligt att förväntningarna på offentlig sektor förändrats. Offentliga verksamheter förväntas idag vara ständigt tillgängliga och tillhandahålla flexibla tjänster med hjälp av tekniska lösningar. Regeringen har även presenterat mål om att Sverige ska vara ledande i världen på att tillvarata digitaliseringens möjligheter. På grund av den digitala utvecklingen finner sig många aktörer i offentlig sektor nödgade att söka hjälp utanför den egna verksamheten. IT-drift är ett exempel på en sådan funktion som kan läggas på en extern aktör för att skapa utrymme att fokusera på kärnverksamheten och leverera det som efterfrågas. En omorganisering som innebär att en intern funktion läggs på en extern aktör, som därefter tillhandahåller funktionen gentemot verksamheten, kallas vanligen för outsourcing. Vid outsourcing i offentliga verksamheter aktualiseras flera juridiska frågor, särskilt avseende vilken information som behandlas i verksamheten och som görs tillgänglig för en leverantör. När hanteringen inte längre sker manuellt och när aktören som behandlar informationen inte omfattas av offentligrättslig reglering uppstår även särskilda risker som behöver hanteras. I uppsatsen redogörs särskilt för den reglering som gäller i verksamheter som hanterar säkerhetskänslig information och de risker som förknippas med information som har ett högt skyddsvärde. Det konstateras att kombinationen av särskilt känslig information och outsourcing ger upphov till särskilda intressemotsättningar. I detta läge hamnar offentliga verksamheter i en svår situation och lösningar som kan minska informationssäkerhetsriskerna men möjliggöra fortsatt digitalisering är därför värda att utvärdera. Lagstadgad tystnadsplikt för leverantörer, centraliserade IT-tjänster och kryptering är lösningar som kan hjälpa till i denna problematik. Centralisering av IT framstår vara en åtgärd som sannolikt kan underlätta för verksamheter som hanterar säkerhetskänslig information.

outsourcing

IT

offentlig upphandling

sekretess

GDPR

säkerhetsskydd

informationssäkerhet

LUFS

SUA

Law

Juridik

Ett lapptäcke av säkerhetsskydd över Sverige : Utmaningar för civila verksamheter vid applicering av säkerhetsskyddsanalys för stärkt nationell säkerhet / A Quilt of Security Protection over Sweden : Challenges for Civilian Organisations when Applying Security Protection Analysis for Strengthened National Security

Sjöström, Elin

January 2019

Informationssäkerhet är idag någonting som blivit allt viktigare med den ökade mängd information som bearbetas och den ökade risken för antagonistiska händelser. Att bygga upp ett omfattande säkerhetsskydd genom att genomföra en grundläggande säkerhetsskyddsanalys är därför av vikt för de verksamheter som kan påverka Sveriges säkerhet. Denna studie har undersökt detta genom att besvara två frågeställningar: 1.Vilka utmaningar finns det vid applicering av säkerhetsskyddsanalys för civila verksamheter inom Sverige? och 2. Hur bör dessa verksamheter applicera säkerhetsskyddsanalys för att handskas med de identifierade utmaningarna? För att besvara dessa frågor har en kvalitativ fallstudie genomförts där empiri har samlats in genom en dokumentstudie, semistrukturerade intervjuer, och en observation. Empirin har sedan analyserats genom hermeneutisk analys och analys inspirerad från grundad teori. Studiens resultat har sedan tagits fram i tre steg. Först genom en kartläggning av säkerhetsskyddsanalysen där analysen delades in i sex huvudsakliga steg: verksamhetsanalys, identifiering av skyddsvärde, konsekvensanalys, säkerhetshotbedömning, sårbarhetsanalys, och identifiering och värdering av säkerhetsåtgärder. Sedan genom att ta fram 24 utmaningar som delades in i fyra huvudsakliga områden: nationella utmaningar, verksamhetsutmaningar, ledningsutmaningar, och medarbetarutmaningar. Slutligen genom att sammanföra kartläggningen av säkerhetsskyddsanalysen och de identifierade utmaningarna till ett gemensamt ramverk för applicering av säkerhetsskyddsanalys. Den utförda studiens kunskapsbidrag är ett stöd och en förståelse av säkerhetsskyddsanalysens utförande för civila verksamheter för att minska bristerna i deras säkerhetsskydd. / In the present day, Information security has become an increasingly important matter due to the growing amount of information being processed as well as the increasing risk for antagonistic events. To build an extensive security protection through executing a fundamental security protection analysis is therefore of great importance for the organisations which are involved with the security of Sweden. This study has investigated the matter through answering two research questions: 1. Which challenges arise when applying security protection analysis for civil organisations in Sweden? and 2. How should these organisations apply security protection analysis to be able to deal with the identified challenges? A qualitative case study was completed to answer these questions with empirical data collected through a document study, semi-structured interviews, and observation. The empirical data were analysed by means of hermeneutic analysis and analysis informed by grounded theory. The result of the study has therefore been produced in three steps. First, through a mapping of the securty protection analysis where the analysis was divided into six main steps: activity analysis, identification of protection value, consequence analysis, security threat assessment, vulnerability analysis, and identification and valuation of security actions. Then, through producing 24 challenges, which were divided into four main areas: national challenges, organisation challenges, governance challenges, and coworker challenges. Finally, through combining the mapping of the security protection analysis and the identified challenges to a joint framework for application of security protection analysis. The konwledge contribution of the performed study is a support and an understanding of the execution of the security protection analysis for civil organisations to reduce the deficiencies in their security protection.

Security protection

Security protection analysis

Security protection legislation

Information security

Security of Sweden

Säkerhetsskydd

Säkerhetsskyddsanalys

Säkerhetsskyddslagstiftning

Informationssäkerhet

Sveriges säkerhet

Information Systems, Social aspects