Return to search

Bedömande vid informationssäkerhetsklassificering

Utvecklingen i informationssamhället påverkar i allt större grad Försvarsmaktens verksamhetsprocesser. Det innebär att kraven och förutsättningarna för säkerhetsskydd av IT-system och därmed informationssäkerhetsklassning av handlingar och uppgifter förändras.  Denna studie undersöker under vilka förutsättningar som informationssäkerhetsklassificering genomförs i Försvarsmakten idag. Anledningen är att det förekommer inkonsekventa värderingar av uppgifter och handlingar, vilket försvårar samverkan, ger onödiga IT kostnader och säkerhetsrisker. Syftet med denna studie är att utreda vilka problem som medarbetare uppfattar finns inom Försvarsmakten idag, samt att om möjligt identifiera ändamålsenliga utvecklingsåtgärder. För att ta reda på detta har tjugotvå användare svarat på enkäter med öppna frågor, samt fem semistrukturerade intervjuer genomförts med experter inom lagar och förordningar, IT-system, metod och informationssäkerhet. Resultatet visar att de uppfattade problemen ligger i att förstå hur den egna informationen ska värderas i ett större sammanhang och att det är svåröverskådligt hur ens egen uppgift kan kombineras med andras uppgifter. Detta får flera konsekvenser, bl.a. svårigheter att göra ’skada och men’ bedömningar i förhållande till olika informationssäkerhetsklasser. Vidare visar resultatet att Försvarsmaktens metod för informationssäkerhetsklassificering har utvecklingspotential inom gällande lagar och förordningar, samt att orsakerna till de uppfattade problemen kan bemötas med riktade åtgärder. Vi utvecklade därför en teori med utvecklingsåtgärder för att hantera orsakerna till de uppfattade problemen med hänsyn till vad som idag är realiserbart. Syftet med teorin är att stärka förmågan till konsekvent informationssäkerhetsklassificering i komplext kontext, vilket åstadkommes genom förbättrad kommunikation och analytiskt stöd. Väsentliga element i teorin är tillgång till flera perspektiv genom mångfald i nätverk med lokala beslutsstödsgrupper, att andra kan inkluderas i bedömandet med externa representationstekniker och motivering av sekretessbeslut, samt att viktiga analysmoment är tydliggjorda. Uppsatsen bidrar med ett nödvändigt användareperspektiv till dagens högaktuella informationssäkerhetsdiskussion. / The development of the information society is increasingly affecting the Swedish Armed Forces' operational processes. This means that the requirements and conditions for security protection of IT systems and thus information security classification of documents and data are changing. This study investigates the conditions under which information security classification is carried out in the Swedish Armed Forces today. The reason is that there are inconsistent assessments ​​of data and documents, which makes collaboration more difficult, gives unnecessary IT costs, and security risks. The purpose of this study is to investigate which problems employees perceive are within the Swedish Armed Forces today and if possible to identify appropriate development measures. To find this out, twenty-two participants have responded to questionnaires with open questions, and five semi-structured interviews were conducted with experts in laws and regulations, IT systems, methodology, and information security. The result shows that the perceived problems lie in understanding how one’s information is to be valued in a larger context and that it is difficult to understand how that information can be combined with other people's information. This has several consequences, including difficulties in making "damage and detriment" assessments with different information security classes. Furthermore, the results show that the Swedish Armed Forces' method for information security classification has development potential within existing laws and regulations and that the causes of the perceived problems can be addressed with targeted measures. We, therefore, developed a theory with development measures to manage the causes of the perceived problems concerning what is today realizable. The purpose of the theory is to strengthen the ability for consistent information security classification in a complex context, which is achieved through improved communication and analytical support. Essential elements in this theory are access to several perspectives through diversity in networks with local decision support groups, that others can be included in the assessment with external representation techniques and motivation of confidentiality decisions, and that important analysis steps are made clear. The essay contributes with a necessary ‘user perspective’ to the contemporary and up-to-date information security discussion.

Identiferoai:union.ndltd.org:UPSALLA1/oai:DiVA.org:hh-39730
Date January 2019
CreatorsMarklund, Joakim, Hedström, Tomas
PublisherHögskolan i Halmstad, Akademin för ekonomi, teknik och naturvetenskap, Högskolan i Halmstad, Akademin för ekonomi, teknik och naturvetenskap
Source SetsDiVA Archive at Upsalla University
LanguageSwedish
Detected LanguageEnglish
TypeStudent thesis, info:eu-repo/semantics/bachelorThesis, text
Formatapplication/pdf
Rightsinfo:eu-repo/semantics/openAccess

Page generated in 0.002 seconds