Ackreditering

Säkerhetsskyddslagen kräver att informationssystem som behandlar uppgifter av betydelse för rikets säkerhet ska granskas och godkännas avseende systemets informationssäkerhet (sekretess, tillgänglighet, riktighet och spårbarhet) före beslut om användning (BOA). Inom Försvarsmakten kallas detta säkerhetsabete för ackreditering.

Ackrediteringsgranskning är en komplex process som kräver granskning av såväl teknik, dokumentation som utvärdering av hur rättsliga krav blivit uppfyllda.

Sekretessbelagda uppgifter delas in i olika klasser beroende på vilken skada som skulle kunna uppstå om uppgifterna röjs. Ett system kan hantera en blandning av Secret, Confidential och Restricted och måste då uppfylla de starkaste kraven – de för Secret. Problem uppstår när systemet ska kommunicera med ett annat system som endast uppfyller lägre krav, t.ex. de för Restricted. Då måste systemen separeras med ett intrångsskydd som säkerställer att endast Restricted-information kan passera till det mindre skyddade systemet.

Vid ackreditering tar man inte bara hänsyn till medveten överföring utan även till omedveten överföring, exempelvis via överhörning mellan kablar. För fordonsmonterade system med stora mängder kopparkablar, såväl signalkablar som strömförsörjning och jordanslutningar, och många tekniska apparater i ett fysiskt trångt utrymme, är det svårt att helt eliminera överhörning. Man planerar därför installationen med fysisk separation i olika zoner avsedda för hantering av olika informationsklasser. Typiskt ska radioapparater så långt det är möjligt separeras fysiskt från system som hanterar Secret för att minimera risken för att överhörda signaler smiter ut över radio.

I våra kunduppdrag har vi med framgång lyckats ackreditera komplexa system i efterhand, men störst effekt får man naturligtvis om man tar höjd för ackrediteringsprocessen från början eftersom ändringar i slutskedet oftast är dyra att införa. Som alltid är det de tidigaste konstruktionsbesluten som är de som är kostsammast att ändra.

Interop erbjuder tjänster runt ackreditering till myndigheter som omfattas av kraven i säkerhetsskyddslagen eller till andra organisationer eller företag som vill få sitt system analyserat utifrån ett ackrediteringsperspektiv.


Nedan visas kortfattade versioner av nyheter relaterade till denna sida. Klicka på respektive rubrik för att läsa hela nyheten.

Jobba på Interop?

Är du intresserad av att arbeta hos oss? Läs mer här.