Säkerhet
Säkerhetsskyddad IT
Vad är säkerhetsskyddad IT?
Säkerhetsskyddad IT är IT-system och infrastruktur som är utformade, konfigurerade och driftsatta för att uppfylla de krav som Säkerhetsskyddslagen (2018:585) ställer på behandling av skyddsvärd information. Det är ett samlingsbegrepp för de tekniska säkerhetsskyddsåtgärder som krävs i säkerhetskänslig verksamhet.
Grundkrav för säkerhetsskyddad IT
- Nätverksseparation: Beroende på informationens klassning krävs allt från segmentering till fullständig air gap.
- Godkänd kryptering: Kryptoprodukter som är godkända av Försvarsmakten eller motsvarande myndighet.
- Behörighetskontroll: Strikt åtkomststyrning med multifaktorautentisering och principen om minsta möjliga behörighet.
- Fysisk säkerhet: Skyddade lokaler med behörighetskontroll och övervakning.
- Loggning: Fullständig spårbarhet av all systemaktivitet.
- Ackrediterad miljö: IT-miljön ska vara godkänd för aktuell informationsklassning innan den tas i drift.
Skillnad mot "vanlig" IT-säkerhet
Säkerhetsskyddad IT har hårdare krav än generell IT-säkerhet. Produkter och lösningar måste ofta vara utvärderade eller godkända, personal ska vara säkerhetsprövad och krav ställs på nationell kontroll över hårdvara, mjukvara och driftspersonal. Sovereign cloud-koncept adresserar delar av detta men räcker sällan för de högsta klassningsnivåerna.