Metodutveckling för säkerhetsskyddsanalys : Behovsanalys och kravunderlag för en generisk metod / Method Development for Protective Security Analysis

Werkelin, Siri, Uggerud, Elsa

January 2022

The security of Sweden is currently being challenged on multiple fronts, and the threats have over the recent years tended to become more complex. As a response to this shift, a new law – the Protective Security Act – was brought into effect in 2019, replacing the old legislation from 1996. The law is meant to protect security-sensitive activities from a national perspective against antagonistic attacks, such as espionage, sabotage, and terrorism. Everyone who conducts such activities are obliged by the law to carry out a protective security analysis. In short, this analysis is meant to identify what needs to be protected, against what it needs to be protected, and how it will be protected. The analysis establishes the foundation of further protective security work.  The Swedish Security Service (Säkerhetspolisen) has acknowledged flaws in organizations’ protective security analyses, and at the consultant agency AFRY, staff have seen the need of new methods to assist with the analysis process. This thesis aims to lay the foundation of a requirement specification for a generic method that can be used by public services as well as private businesses and for both military and civilian activities.  Relevant legal documents were studied to identify the legal requirements of the protective security analysis, and a recital of existing methods by the Swedish Security Service and the Swedish Armed Forces (Försvarsmakten) was carried out to give an idea of what aid organizations have at their disposal today. By conducting semi-structured interviews with representatives from seven organizations along with a small survey study, insight was gained into what the analysis process looks like in practice and what challenges they face. Through the interviews and written sources regarding protective security analysis, several methods designed for other areas of applications, such as CARVER and a risk- and vulnerability analysis model by the Swedish Defence Research Agency (Totalförsvarets forskningsinstitut), were briefly presented and discussed if and how they could be of assistance to the analysis process.  The resulting list of requirements, based on the prior investigation, specified that a future method for protective security analysis need to support an iterative and systematic way of working; handle internal, external, and within-field communication; and be adjustable according to the organizations’ needs. In conclusion, constructing a method that can be used by everyone of importance to Sweden’s security implies some major challenges and dilemmas, such as how the method could provide clarity without being too explicit concerning security-sensitive information, or how to specify boundaries and preconditions for the complex process that is protective security analysis.

säkerhetsskydd

säkerhetsskyddsanalys

metodutveckling

kravunderlag

Information Systems

Ett lapptäcke av säkerhetsskydd över Sverige : Utmaningar för civila verksamheter vid applicering av säkerhetsskyddsanalys för stärkt nationell säkerhet / A Quilt of Security Protection over Sweden : Challenges for Civilian Organisations when Applying Security Protection Analysis for Strengthened National Security

Sjöström, Elin

January 2019

Informationssäkerhet är idag någonting som blivit allt viktigare med den ökade mängd information som bearbetas och den ökade risken för antagonistiska händelser. Att bygga upp ett omfattande säkerhetsskydd genom att genomföra en grundläggande säkerhetsskyddsanalys är därför av vikt för de verksamheter som kan påverka Sveriges säkerhet. Denna studie har undersökt detta genom att besvara två frågeställningar: 1.Vilka utmaningar finns det vid applicering av säkerhetsskyddsanalys för civila verksamheter inom Sverige? och 2. Hur bör dessa verksamheter applicera säkerhetsskyddsanalys för att handskas med de identifierade utmaningarna? För att besvara dessa frågor har en kvalitativ fallstudie genomförts där empiri har samlats in genom en dokumentstudie, semistrukturerade intervjuer, och en observation. Empirin har sedan analyserats genom hermeneutisk analys och analys inspirerad från grundad teori. Studiens resultat har sedan tagits fram i tre steg. Först genom en kartläggning av säkerhetsskyddsanalysen där analysen delades in i sex huvudsakliga steg: verksamhetsanalys, identifiering av skyddsvärde, konsekvensanalys, säkerhetshotbedömning, sårbarhetsanalys, och identifiering och värdering av säkerhetsåtgärder. Sedan genom att ta fram 24 utmaningar som delades in i fyra huvudsakliga områden: nationella utmaningar, verksamhetsutmaningar, ledningsutmaningar, och medarbetarutmaningar. Slutligen genom att sammanföra kartläggningen av säkerhetsskyddsanalysen och de identifierade utmaningarna till ett gemensamt ramverk för applicering av säkerhetsskyddsanalys. Den utförda studiens kunskapsbidrag är ett stöd och en förståelse av säkerhetsskyddsanalysens utförande för civila verksamheter för att minska bristerna i deras säkerhetsskydd. / In the present day, Information security has become an increasingly important matter due to the growing amount of information being processed as well as the increasing risk for antagonistic events. To build an extensive security protection through executing a fundamental security protection analysis is therefore of great importance for the organisations which are involved with the security of Sweden. This study has investigated the matter through answering two research questions: 1. Which challenges arise when applying security protection analysis for civil organisations in Sweden? and 2. How should these organisations apply security protection analysis to be able to deal with the identified challenges? A qualitative case study was completed to answer these questions with empirical data collected through a document study, semi-structured interviews, and observation. The empirical data were analysed by means of hermeneutic analysis and analysis informed by grounded theory. The result of the study has therefore been produced in three steps. First, through a mapping of the securty protection analysis where the analysis was divided into six main steps: activity analysis, identification of protection value, consequence analysis, security threat assessment, vulnerability analysis, and identification and valuation of security actions. Then, through producing 24 challenges, which were divided into four main areas: national challenges, organisation challenges, governance challenges, and coworker challenges. Finally, through combining the mapping of the security protection analysis and the identified challenges to a joint framework for application of security protection analysis. The konwledge contribution of the performed study is a support and an understanding of the execution of the security protection analysis for civil organisations to reduce the deficiencies in their security protection.

Security protection

Security protection analysis

Security protection legislation

Information security

Security of Sweden

Säkerhetsskydd

Säkerhetsskyddsanalys

Säkerhetsskyddslagstiftning

Informationssäkerhet

Sveriges säkerhet

Information Systems, Social aspects

Bedömande vid informationssäkerhetsklassificering

Marklund, Joakim, Hedström, Tomas

January 2019

Utvecklingen i informationssamhället påverkar i allt större grad Försvarsmaktens verksamhetsprocesser. Det innebär att kraven och förutsättningarna för säkerhetsskydd av IT-system och därmed informationssäkerhetsklassning av handlingar och uppgifter förändras.  Denna studie undersöker under vilka förutsättningar som informationssäkerhetsklassificering genomförs i Försvarsmakten idag. Anledningen är att det förekommer inkonsekventa värderingar av uppgifter och handlingar, vilket försvårar samverkan, ger onödiga IT kostnader och säkerhetsrisker. Syftet med denna studie är att utreda vilka problem som medarbetare uppfattar finns inom Försvarsmakten idag, samt att om möjligt identifiera ändamålsenliga utvecklingsåtgärder. För att ta reda på detta har tjugotvå användare svarat på enkäter med öppna frågor, samt fem semistrukturerade intervjuer genomförts med experter inom lagar och förordningar, IT-system, metod och informationssäkerhet. Resultatet visar att de uppfattade problemen ligger i att förstå hur den egna informationen ska värderas i ett större sammanhang och att det är svåröverskådligt hur ens egen uppgift kan kombineras med andras uppgifter. Detta får flera konsekvenser, bl.a. svårigheter att göra ’skada och men’ bedömningar i förhållande till olika informationssäkerhetsklasser. Vidare visar resultatet att Försvarsmaktens metod för informationssäkerhetsklassificering har utvecklingspotential inom gällande lagar och förordningar, samt att orsakerna till de uppfattade problemen kan bemötas med riktade åtgärder. Vi utvecklade därför en teori med utvecklingsåtgärder för att hantera orsakerna till de uppfattade problemen med hänsyn till vad som idag är realiserbart. Syftet med teorin är att stärka förmågan till konsekvent informationssäkerhetsklassificering i komplext kontext, vilket åstadkommes genom förbättrad kommunikation och analytiskt stöd. Väsentliga element i teorin är tillgång till flera perspektiv genom mångfald i nätverk med lokala beslutsstödsgrupper, att andra kan inkluderas i bedömandet med externa representationstekniker och motivering av sekretessbeslut, samt att viktiga analysmoment är tydliggjorda. Uppsatsen bidrar med ett nödvändigt användareperspektiv till dagens högaktuella informationssäkerhetsdiskussion. / The development of the information society is increasingly affecting the Swedish Armed Forces' operational processes. This means that the requirements and conditions for security protection of IT systems and thus information security classification of documents and data are changing. This study investigates the conditions under which information security classification is carried out in the Swedish Armed Forces today. The reason is that there are inconsistent assessments ​​of data and documents, which makes collaboration more difficult, gives unnecessary IT costs, and security risks. The purpose of this study is to investigate which problems employees perceive are within the Swedish Armed Forces today and if possible to identify appropriate development measures. To find this out, twenty-two participants have responded to questionnaires with open questions, and five semi-structured interviews were conducted with experts in laws and regulations, IT systems, methodology, and information security. The result shows that the perceived problems lie in understanding how one’s information is to be valued in a larger context and that it is difficult to understand how that information can be combined with other people's information. This has several consequences, including difficulties in making "damage and detriment" assessments with different information security classes. Furthermore, the results show that the Swedish Armed Forces' method for information security classification has development potential within existing laws and regulations and that the causes of the perceived problems can be addressed with targeted measures. We, therefore, developed a theory with development measures to manage the causes of the perceived problems concerning what is today realizable. The purpose of the theory is to strengthen the ability for consistent information security classification in a complex context, which is achieved through improved communication and analytical support. Essential elements in this theory are access to several perspectives through diversity in networks with local decision support groups, that others can be included in the assessment with external representation techniques and motivation of confidentiality decisions, and that important analysis steps are made clear. The essay contributes with a necessary ‘user perspective’ to the contemporary and up-to-date information security discussion.

användarperspektiv

säkerhetsskyddsanalys

säkerhetsskyddslagen

informationssamhället

digitaliseringen

bedömande

informationssäkerhet

informationssäkerhetsklassificering

konsekvent

klassificering

komplext

kontext

beslutsstödsgrupper

4k

kommunikation

makt

inflytande

mångfald

Business Administration

Företagsekonomi