(H SÄK Skydd) 2007 års utgåva - Försvarsmakten
(H SÄK Skydd) 2007 års utgåva - Försvarsmakten
(H SÄK Skydd) 2007 års utgåva - Försvarsmakten
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Handbok för <strong>Försvarsmakten</strong>s säkerhetstjänst,<br />
Säkerhetsskyddstjänst (H <strong>SÄK</strong> <strong>Skydd</strong>)<br />
H <strong>SÄK</strong> <strong>Skydd</strong> <strong>2007</strong>
FÖRSVARSMAKTEN <strong>2007</strong>-06-26 10 440:70445<br />
Högkvarteret<br />
Handbok för <strong>Försvarsmakten</strong>s säkerhetstjänst, Säkerhetsskyddstjänst (H<br />
<strong>SÄK</strong> <strong>Skydd</strong>) <strong>2007</strong> <strong>års</strong> <strong>utgåva</strong> (M7739-352005) fastställs för tillämpning fr o m<br />
<strong>2007</strong>-08-31.<br />
Målgruppen är främst <strong>Försvarsmakten</strong>s ledning, chefer för organisationsenheter,<br />
säkerhetschefer, IT-säkerhets- och signalskyddschefer samt personal<br />
med ansvar för säkerhetstjänst.<br />
Därmed upphävs – Handbok för <strong>Försvarsmakten</strong>s säkerhetstjänst, Säkerhetsskyddstjänst<br />
(H <strong>SÄK</strong> <strong>Skydd</strong>), 2000 <strong>års</strong> <strong>utgåva</strong> (M7745-734031).<br />
Chefen för Säkerhetskontoret vid den militära underrättelse- och säkerhetstjänsten<br />
får fatta beslut om ändringar i handboken inom ramen för <strong>2007</strong> <strong>års</strong><br />
<strong>utgåva</strong>.<br />
Beslut i detta ärende har fattats av generalmajor Stefan Kristiansson. I den<br />
slutliga handläggningen har kontorschef John Daniels och överstelöjtnant<br />
Peter Bengtsson deltagit samt som föredragande överstelöjtnant Mårten<br />
Wallén.<br />
Stefan Kristiansson<br />
Chef för militära underrättelse- och<br />
säkerhetstjänsten<br />
Mårten Wallén<br />
© <strong>2007</strong> <strong>Försvarsmakten</strong>, Stockholm<br />
Produktionen är gjord i samarbete med Sörman Information & Media AB.<br />
Tryck: NRS tryckeri, Huskvarna, <strong>2007</strong><br />
M7739-352005 H <strong>SÄK</strong> <strong>Skydd</strong><br />
Central lagerhållning: Försvarets bok- och blankettförråd
Förord<br />
Den militära säkerhetstjänstens uppgift är att ta tillvara säkerhetsintressen<br />
som berör <strong>Försvarsmakten</strong>. <strong>Försvarsmakten</strong>s säkerhetsintressen omfattar<br />
eller kan hänföras till personal, materiel, information, anläggningar och<br />
verksamhet i vid bemärkelse inklusive den internationella verksamhet <strong>Försvarsmakten</strong><br />
deltar i.<br />
Den militära säkerhetstjänsten omfattar säkerhetsunderrättelsetjänst, säkerhetsskyddstjänst<br />
och signalskyddstjänst. Säkerhetsunderrättelsetjänsten<br />
skall identifiera och klarlägga den säkerhetshotande verksamheten. Säkerhetsskydds-<br />
och signalskyddstjänsten skall skydda våra skyddsvärda tillgångar<br />
från säkerhetshoten. Genomförandet av militär säkerhetstjänst<br />
resulterar i säkerhetsskydds- och signalskyddsåtgärder vilka främst syftar<br />
till att säkerställa erforderlig nivå av säkerhetsskydd. Uppgiften löses genom<br />
att identifiera och prioritera skyddsvärda tillgångar, bedöma säkerhetshot,<br />
sårbarhet och risker samt prioritera risker och fatta beslut om säkerhetsskyddsåtgärder.<br />
Denna handbok beskriver funktionen säkerhetsskyddstjänst. Säkerhetsskyddstjänstens<br />
ansvar är att säkerställa en tillräcklig nivå av säkerhetsskydd<br />
med hänsyn till rikets säkerhet eller skyddet mot terrorism. Ansvaret<br />
för funktionen är delat mellan myndigheterna <strong>Försvarsmakten</strong> och Rikspolisstyrelsen.<br />
Myndigheterna meddelar föreskrifter och utövar tillsyn för<br />
olika sektorer av samhället. Handboken bygger på säkerhetsskyddslagstiftningen<br />
och på <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd. Handbokens<br />
syfte är att utgöra ett stöd för det praktiska säkerhetsskyddsarbetet och<br />
för utbildning i säkerhetsskyddstjänst.<br />
<strong>Försvarsmakten</strong>s verksamhet innebär att våra säkerhetsintressen förändras<br />
över tiden. Den säkerhetshotande verksamheten som riktas mot <strong>Försvarsmakten</strong><br />
varierar också över tiden, varför den största utmaningen för säkerhetsskyddstjänsten<br />
är att hitta en balans mellan säkerhetsskyddsåtgärder<br />
och risktagande med hänsyn till såväl våra säkerhetsintressen som aktuella<br />
säkerhetshot. Ett för högt säkerhetsskydd riskerar att medföra onödiga kostnader,<br />
men kan också försvåra genomförandet av verksamheten. Ett för lågt<br />
säkerhetsskydd kan å andra sidan innebära en alltför hög sårbarhet och därmed<br />
ett för högt risktagande. Säkerhetsskyddstjänsten ska därför säkerställa<br />
att såväl tillämpliga som kostnadseffektiva säkerhetsskyddsåtgärder vidtas,<br />
samtidigt som regelverkets krav på en lägsta nivå av säkerhetsskydd uppfylls.<br />
Stefan Kristiansson<br />
<strong>Försvarsmakten</strong>s säkerhetsskyddschef<br />
3
Innehållsförteckning<br />
1 Hotbild ................................................................................................................................... 11<br />
1.1 Grunder .................................................................................................................................. 11<br />
1.2 Säkerhetshotande verksamhet ............................................................................ 12<br />
1.2.1 Underrättelseverksamhet ......................................................................... 12<br />
1.2.2 Kriminalitet ........................................................................................................... 13<br />
1.2.3 Sabotage ................................................................................................................... 14<br />
1.2.4 Subversion ............................................................................................................. 14<br />
1.2.5 Terrorism ................................................................................................................ 15<br />
2 Grunder ................................................................................................................................. 17<br />
2.1 Inledning ............................................................................................................................... 17<br />
2.2 Militär säkerhetstjänst - Grunder ..................................................................... 18<br />
2.2.1 Syfte ............................................................................................................................. 18<br />
2.2.2 Indelning av Säkerhetsskyddstjänst ................................................. 19<br />
2.2.3 Den militära säkerhetstjänstens tillsynsområde ..................... 20<br />
2.2.4 Lednings-, lydnads- och ansvarsförhållanden ......................... 21<br />
2.2.5 Rapportering vid fel och brister i säkerhetsskyddet ........... 22<br />
2.3 Rättsliga grunder ............................................................................................................ 22<br />
2.3.1 Våra grundlagar ................................................................................................. 22<br />
2.3.2 En handling ............................................................................................................ 23<br />
2.3.3 Förbehåll ................................................................................................................... 29<br />
2.3.4 Meddelarfrihet ..................................................................................................... 29<br />
2.3.5 Säkerhetsskyddslagstiftningen ............................................................. 30<br />
2.3.6<br />
Bilagor<br />
Säkerhetsskyddsförordningen ............................................................... 32<br />
2:1 Exempel på beslut om utlämnande av allmänna handlingar .............. 33<br />
3 Informationssäkerhet ............................................................................................... 35<br />
3.1 Inledning ............................................................................................................................... 35<br />
3.2 Hemligbeteckning och informationssäkerhetsklass ........................ 42<br />
3.2.1 Hemligbeteckning ............................................................................................ 42<br />
3.2.2 Informationssäkerhetsklasser ................................................................. 43<br />
3.2.3 Hemligstämpling och märkning med<br />
informationssäkerhetsklass ...................................................................... 46<br />
3.2.4 Hävande av hemligstämpel ..................................................................... 49<br />
3.2.5 Överkorsning ........................................................................................................ 51<br />
3.2.6 Ändring av informationssäkerhetsklass ....................................... 51<br />
3.3 Behörighet att ta del av hemliga uppgifter .............................................. 52<br />
3.4 Sekretessbevis ................................................................................................................... 53<br />
3.5 Arbetsrutiner med hemliga handlingar ...................................................... 54<br />
3.5.1 Kvittering ................................................................................................................. 56<br />
3.5.2 Förvaring av hemliga handlingar och av skyddsvärd<br />
materiel ...................................................................................................................... 58<br />
5
6<br />
3.5.3 Medförande av hemliga handlingar utanför<br />
myndighetens lokaler .................................................................................... 62<br />
3.5.4 Inventering ............................................................................................................. 66<br />
3.5.5 Förstöring av hemlig handling .............................................................. 68<br />
3.5.6 Samförvaring av hemliga handlingar .............................................. 71<br />
3.5.7 Gemensam användning av hemliga handlingar .................... 72<br />
3.5.8 Förvaringsbestämmelser för skyddsvärd materiel .............. 77<br />
3.5.9 <strong>Skydd</strong>snivåer för skyddsvärd materiel .......................................... 78<br />
3.6 Arbetsrutiner vid förlust och röjande av hemlig handling ........ 78<br />
3.6.1 Arbetsgång vid genomförande av menbedömning ............ 79<br />
3.6.2 Slutlig menbedömning ................................................................................. 83<br />
3.6.3 Genomförd slutlig menbedömning ................................................... 83<br />
3.7 Åtgärder vid distribution och transport av hemliga<br />
handlingar och av skyddsvärd materiel .................................................... 84<br />
3.8 <strong>Skydd</strong>ad transport av hemliga handlingar och skyddsvärd<br />
materiel ................................................................................................................................... 86<br />
3.8.1 Genomförande av skyddad transport av hemliga<br />
handlingar och skyddsvärd materiel ............................................... 88<br />
3.8.2 Planering och dokumentation ................................................................ 89<br />
3.8.3<br />
Bilagor<br />
Transportskydd m m ..................................................................................... 92<br />
3:1 <strong>Försvarsmakten</strong>s informationssäkerhetspolicy ............................................... 99<br />
3:2 The Information Security Policy of the Armed Forces .............................. 101<br />
3:3 Exempel på sekretessbevis .................................................................................................. 103<br />
3:4 Översikt över hanteringsbestämmelser i <strong>Försvarsmakten</strong> för<br />
hantering av hemliga uppgifter ............................................................................................... 105<br />
3:5 Exempel på samförvaringsbeslut .................................................................................. 107<br />
3:6 Exempel på beslut om gemensam användning av hemliga<br />
handlingar samt samförvaring ................................................................................................. 109<br />
4 IT-säkerhet .......................................................................................................................... 111<br />
4.1 Inledning ............................................................................................................................... 111<br />
4.2 Organisation ....................................................................................................................... 112<br />
4.2.1 Produktägare ........................................................................................................ 113<br />
4.2.2 Systemägare ........................................................................................................... 113<br />
4.2.3 IT-säkerhetschef och IT-säkerhetsman ........................................... 114<br />
4.3 Analyser, planer och instruktioner ................................................................. 115<br />
4.4 Regler för användning av <strong>Försvarsmakten</strong>s ITsystem<br />
m m ......................................................................................................................... 116<br />
4.5 Utveckling av IT-system .......................................................................................... 116<br />
4.6 Godkännande från säkerhetssynpunkt - ackreditering ................ 116<br />
5 Tillträdesbegränsning .............................................................................................. 119<br />
5.1 Inledning ............................................................................................................................... 119<br />
5.2 Grunder .................................................................................................................................. 120
5.2.1 Tillträdesbegränsningens former ........................................................ 120<br />
5.2.2 Tillträdesrätt .......................................................................................................... 120<br />
5.2.3 <strong>Skydd</strong>sobjekt ....................................................................................................... 121<br />
5.2.4 Passerkontroll ....................................................................................................... 122<br />
5.2.5 Allmänt om besök ............................................................................................ 124<br />
5.2.6 Inre bevakning ..................................................................................................... 125<br />
5.2.7 Yttre bevakning .................................................................................................. 125<br />
5.2.8 Elektronisk ronderingskontroll ............................................................. 125<br />
5.2.9 TV-övervakning ................................................................................................. 126<br />
5.2.10 Tekniska åtgärder och hjälpmedel ..................................................... 126<br />
5.3 Besök vid <strong>Försvarsmakten</strong> ..................................................................................... 127<br />
5.3.1 Besök av svenska medborgare till <strong>Försvarsmakten</strong>s<br />
objekt, lokaler och områden ................................................................... 127<br />
5.3.2 Utländska besök vid <strong>Försvarsmakten</strong> ............................................. 127<br />
5.4 Förvaringsutrymmen, bl a för hemlig eller skyddsvärd<br />
materiel ................................................................................................................................... 129<br />
5.5 Nycklar och reservkoder ......................................................................................... 130<br />
5.5.1 Förvaring, utlämning och försändning av kort, nycklar<br />
och koder .................................................................................................................. 130<br />
5.5.2 Förseglat emballage ........................................................................................ 131<br />
5.5.3 Speciella nyckelskåp ....................................................................................... 133<br />
5.6 Byggnadsteknisk tillträdesbegränsning ..................................................... 133<br />
5.7 Mekaniskt inbrottsskydd ........................................................................................ 134<br />
5.7.1 Allmänt ...................................................................................................................... 134<br />
5.7.2 Uppbyggnad av mekaniskt inbrottsskydd ................................. 135<br />
5.7.3 <strong>Skydd</strong> mot obehörig avlyssning ........................................................... 136<br />
5.8 Lås och låsenheter ......................................................................................................... 139<br />
5.8.1 Allmänt ...................................................................................................................... 139<br />
5.8.2 Systemlåsning ...................................................................................................... 140<br />
5.8.3 Spärrad profil ....................................................................................................... 142<br />
5.8.4 Dyrkning .................................................................................................................. 142<br />
5.8.5 Mekaniska och elektroniska kombinationslås ......................... 143<br />
5.8.6 Dörrar, luckor m m .......................................................................................... 144<br />
5.9 Fönster och glas ............................................................................................................... 144<br />
5.10 Områdesskydd ............................................................................................................... 145<br />
5.11 Larm .......................................................................................................................................... 146<br />
5.12 Inbrottslarmutrustning i <strong>Försvarsmakten</strong>s förråd och<br />
anläggningar ...................................................................................................................... 148<br />
5.13 Passerkontrollsystem .................................................................................................. 149<br />
5.14 Legitimationshandlingar m m ............................................................................ 150<br />
5.15 Brandskydd ......................................................................................................................... 152<br />
5.15.1 Bestämmelser ........................................................................................................ 152<br />
5.15.2 Automatiskt brandlarm ............................................................................... 152<br />
5.15.3 Övrigt .......................................................................................................................... 153<br />
7
8<br />
5.16 Åtgärder vid inbrott .................................................................................................... 153<br />
5.17 H <strong>SÄK</strong> VapAm ................................................................................................................. 154<br />
5.17.1 Målgrupp ................................................................................................................. 154<br />
5.17.2 Innehåll ...................................................................................................................... 154<br />
5.17.3 Giltighet ..................................................................................................................... 154<br />
5.17.4<br />
Bilagor<br />
Författningar, bestämmelser och handböcker .......................... 154<br />
5:1 Indelning av förvaringsutrymmen i FM skyddsnivåer ............................ 157<br />
5:2 Hantering och förvaring m m av nycklar och koder .................................... 159<br />
5:3 Förvaringsutrymmen ................................................................................................................ 161<br />
5:4 <strong>Försvarsmakten</strong>s krav på byggnadskonstruktioner och<br />
skyddsnivåer m m ................................................................................................................................ 171<br />
5:5 <strong>Skydd</strong>snivåer för omslutningsytor .............................................................................. 177<br />
5:6 Dörrar, portar, luckor mm .................................................................................................... 181<br />
5:7 Låstyper ................................................................................................................................................. 187<br />
5:8 Glas ............................................................................................................................................................ 199<br />
5:9 Inhägnader/områdesskydd ................................................................................................. 203<br />
5:10 Larm ....................................................................................................................................................... 207<br />
5:11 Passerkontrollsystem ............................................................................................................. 217<br />
6 Säkerhetsprövning ...................................................................................................... 223<br />
6.1 Allmänt ................................................................................................................................... 223<br />
6.2 Juridiska grunder ........................................................................................................... 225<br />
6.3 Säkerhetsklasser .............................................................................................................. 225<br />
6.3.1 Bestämmelser för säkerhetsklass 1, 2 och 3 ................................. 225<br />
6.4 Säkerhetsanalys av anställning .......................................................................... 226<br />
6.4.1 Allmänt ...................................................................................................................... 226<br />
6.4.2 Genomförande av säkerhetsanalys .................................................... 227<br />
6.5 Säkerhetsaspekter vid rekrytering och anställning .......................... 227<br />
6.5.1 Rekrytering ............................................................................................................. 227<br />
6.5.2 Anställning ............................................................................................................. 228<br />
6.6 Registerutdrag respektive registerkontroll .............................................. 229<br />
6.6.1 Registerutdrag .................................................................................................... 229<br />
6.6.2 Registerkontroll .................................................................................................. 230<br />
6.6.3 Ansvar för säkerhetsprövning, framställan om<br />
registerkontroll, giltighetstider samt<br />
placeringsbeslut .................................................................................................. 232<br />
6.6.4 Registernämnden .............................................................................................. 235<br />
6.7 Olika former av samtal .............................................................................................. 236<br />
6.7.1 Personligt samtal (SÄPO) ........................................................................... 236<br />
6.7.2 <strong>Skydd</strong>ssamtal ........................................................................................................ 237<br />
6.7.3 Säkerhetssamtal ................................................................................................ 238<br />
6.8 Uppföljning under anställning ........................................................................... 239<br />
6.8.1 Allmänt ...................................................................................................................... 239
6.8.2 Personlig kännedom ....................................................................................... 239<br />
6.9 Säkerhetsskyddsbeslut i personärende ....................................................... 240<br />
6.9.1 Allmänt ...................................................................................................................... 240<br />
6.9.2 Överväganden ..................................................................................................... 240<br />
6.9.3 HKV MUST säkerhetsskyddsbeslut i personärende .......... 240<br />
6.9.4 Återrapportering .............................................................................................. 242<br />
6.10 Avbrytande av värnpliktstjänstgöring ........................................................ 242<br />
6.10.1 Allmänt ...................................................................................................................... 242<br />
6.10.2 Överväganden ..................................................................................................... 243<br />
6.10.3 Brott som påverkar bedömningen ...................................................... 243<br />
6.10.4 Omplacering inom förband ...................................................................... 243<br />
6.10.5 Handläggning av hemställan ................................................................. 244<br />
6.11 Säkerhetsprövning inför internationell tjänstgöring ....................... 244<br />
6.11.1 Säkerhetsprövning av lokalt anställda i<br />
utlandsstyrkan ..................................................................................................... 245<br />
6.12 Intyg om genomförd säkerhetsprövning (Security<br />
Clearance) ............................................................................................................................. 245<br />
6.12.1 Security Clearance för deltagande inom ramen för<br />
NATO/EAP (PfP) verksamhet .............................................................. 246<br />
6.12.2 Security Clearance för deltagande inom ramen för EU<br />
verksamhet ............................................................................................................. 246<br />
6.12.3 Security Clearance för deltagande inom ramen för<br />
bilaterala säkerhetsskyddsavtal ............................................................ 246<br />
6.13<br />
Bilagor<br />
Behandling av personuppgifter samt sekretess vid<br />
säkerhetsprövning ......................................................................................................... 247<br />
6:1 Framställan om registerkontroll ..................................................................................... 249<br />
6:2 Särskild personutredning för säkerhetsklass 1 och 2 (SÄPO<br />
73) ......................................................................................................................................................................... 251<br />
6:3 Särskild personutredning för säkerhetsklass 1 (SÄPO 74) ................... 253<br />
6:4 Säkerhetsskyddsbeslut ........................................................................................................... 257<br />
7 Säkerhetsskyddad upphandling (SUA) .................................................. 259<br />
7.1 Grunder .................................................................................................................................. 259<br />
7.2 Genomförande av SUA ............................................................................................. 261<br />
7.3 Övrigt ....................................................................................................................................... 261<br />
7.4 H <strong>SÄK</strong> SUA ......................................................................................................................... 262<br />
8 Utbildning ........................................................................................................................... 263<br />
8.1 Förbandschefs ansvar ................................................................................................. 263<br />
8.2 Omfattning .......................................................................................................................... 264<br />
8.2.1 Allmänt ...................................................................................................................... 264<br />
8.2.2 Säkerhetsupplysning ...................................................................................... 265<br />
8.2.3 Säkerhetsutbildning ........................................................................................ 265<br />
8.2.4 Kurser .......................................................................................................................... 266<br />
9
10<br />
8.3 Genomförande .................................................................................................................. 266<br />
8.3.1 Grundläggande utbildning ....................................................................... 266<br />
8.3.2 Fortlöpande utbildning ................................................................................ 267<br />
8.3.3 Särskild säkerhetsutbildning .................................................................. 267<br />
8.3.4 Informationstjänst ............................................................................................ 268<br />
9 Kontroll .................................................................................................................................. 269<br />
9.1 Grunder .................................................................................................................................. 269<br />
9.2 Ansvar ..................................................................................................................................... 270<br />
9.3 Kontrolltyper ..................................................................................................................... 271<br />
9.3.1 Föranmälda kontroller .................................................................................. 271<br />
9.3.2 Ej föranmälda kontroller ............................................................................. 273<br />
9.3.3 Kontroll av företag som upphandlats med<br />
säkerhetsskyddsavtal (SUA) ................................................................... 274<br />
9.4 Kontrollförberedelser ................................................................................................. 275<br />
9.4.1 Riktlinjer för tidsplan inför grundkontroll .................................. 275<br />
9.4.2 Underlag för genomförande av<br />
säkerhetsskyddskontroll ............................................................................. 275<br />
9.4.3 Förberedelser inför övriga typer av kontroller och<br />
besök ............................................................................................................................ 276<br />
9.5 Genomförande .................................................................................................................. 276<br />
9.6 Efter genomförd kontroll ........................................................................................ 278<br />
9.6.1 Muntliga och skriftliga redovisningar ............................................ 278<br />
9.7 Rapportering ...................................................................................................................... 279<br />
10 Säkerhetsplanering ..................................................................................................... 281<br />
10.1 Allmänt ................................................................................................................................... 281<br />
10.2 Säkerhetsanalys ............................................................................................................... 282<br />
10.2.1 Genomförande av säkerhetsanalys .................................................... 285<br />
10.2.2 Steg 1 - Identifiera och prioritera skyddsvärda<br />
tillgångar .................................................................................................................. 286<br />
10.2.3 Steg 2 - Bedömning av säkerhetshot ................................................. 292<br />
10.2.4 Steg 3 - Bedömning av sårbarhet ......................................................... 295<br />
10.2.5 Steg 4 - Bedömning av risk ....................................................................... 298<br />
10.2.6 Steg 5 - Prioritera och hantera risker<br />
(riskhanteringsbeslut) ................................................................................... 303<br />
10.3 Säkerhetsplan .................................................................................................................... 308<br />
10.4<br />
Bilagor<br />
Säkerhetsbestämmelser ............................................................................................. 309<br />
10:1 Exempel på disposition av säkerhetsanalys ..................................................... 311<br />
10.2 Exempel på disposition av säkerhetsplan .......................................................... 313<br />
10:3 Exempel på disposition av säkerhetsbestämmelser .................................. 315<br />
Referenser .................................................................................................................................................... 317
1 Hotbild<br />
1.1 Grunder<br />
Den säkerhetshotande verksamheten, säkerhetshotbilden, som riktas mot<br />
<strong>Försvarsmakten</strong> utgörs av:<br />
• Underrättelseverksamhet<br />
• Kriminalitet<br />
• Sabotage<br />
• Subversion<br />
• Terrorism<br />
Genom utvecklingen på IT-området har möjligheterna att bedriva säkerhetshotande<br />
verksamhet förändrats. Möjligheterna att komma åt och förvanska<br />
information samt sprida desinformation är idag betydligt större än<br />
tidigare. Särskilt gäller detta om erforderliga IT-säkerhetsåtgärder inte har<br />
vidtagits. Därför måste IT-aspekten i de allra flesta fall beaktas vid bedömningar<br />
av hotbilden.<br />
Hotbilden beskrivs i övergripande termer i H <strong>SÄK</strong> Hot, mer specifikt avseende<br />
IT-säkerheten i H <strong>SÄK</strong> IT och mer i detalj i militära underrättelse- och<br />
säkerhetstjänstens (MUST) respektive på regional nivå framtagna hotbilds-<br />
11
1 Hotbild<br />
beskrivningar. Dessa är antingen av generell natur eller specifika för viss<br />
tidsperiod och/eller viss verksamhet samt tjänar som underlag för bedömningar<br />
av hotet på lägre nivåer.<br />
1.2 Säkerhetshotande verksamhet<br />
1.2.1 Underrättelseverksamhet<br />
Med underrättelseverksamhet avses inhämtning av information som underlag<br />
för beslut. Underrättelseverksamhet kan bedrivas av främmande<br />
makt, kriminella och andra organisationer, t ex utländska företag.<br />
Främmande makts underrättelseinhämtning sker genom civila och/eller<br />
militära underrättelseorganisationer. Dessa stödjer den politiska och den<br />
militära ledningen, men i vissa fall även den inhemska industrin genom att<br />
inhämta teknisk och ekonomisk information.<br />
Den eftersökta informationen återfinns i regel<br />
• hos enskilda, t ex nyckelpersoner, beslutsfattare, tekniker,<br />
• lagrad som text, i någon form av IT-system eller på datamedia,<br />
• vid överföring och<br />
• som materielobjekt.<br />
Beroende på var den eftersökta informationen kan återfinnas, väljs också<br />
sättet på vilket den skall inhämtas. De metoder och källor som kan användas<br />
utgörs t ex av<br />
• ambassadpersonal<br />
• underrättelsepersonal som uppträder under täckmantel som affärsmän,<br />
journalister, gästforskare m fl<br />
• illegalister<br />
• agenter<br />
• signalspaning<br />
• avlyssning<br />
• flygspaning<br />
• satellitspaning<br />
• fartygsspaning.<br />
En stor mängd av den information som eftersöks kan återfinnas i olika öppna<br />
källor. Resterande information måste inhämtas på illegal väg. Därvid kan<br />
12
det vara fråga om att värva uppgiftslämnare, agenter, tillgripa viss materiel<br />
eller att göra intrång i IT-system m m.<br />
Exempel på områden som bedöms vara av intresse för främmande makt med<br />
avseende på <strong>Försvarsmakten</strong> är:<br />
• Försvarsplanering<br />
• <strong>Försvarsmakten</strong>s utveckling<br />
• Ledningssystem<br />
• Utveckling av internationell verksamhet<br />
• Biografisk information, t ex om nyckelpersoner<br />
Exempel på områden som bedöms vara av intresse för kriminella med avseende<br />
på <strong>Försvarsmakten</strong> är:<br />
• Förvaring av vapen och ammunition samt rutiner för skydd och bevakning<br />
i samband härmed<br />
• Förvaring av annan stöldbegärlig materiel<br />
• Ekonomihantering, t ex inköps- och utbetalningsrutiner<br />
Exempel på områden som bedöms vara av intresse för parter i en konflikt<br />
där utlandsstyrkan är insatt med avseende på <strong>Försvarsmakten</strong> är:<br />
• Operativa avsikter<br />
• Operativ och taktisk förmåga<br />
• Handlingsregler<br />
• Biografisk information om enskilda<br />
1.2.2 Kriminalitet<br />
1 Hotbild<br />
Den kriminalitet som riktas mot <strong>Försvarsmakten</strong> spänner över ett vitt fält.<br />
Alltifrån vad som kan betraktas som snatteri till grövre brott som stöld av<br />
vapen och ammunition. I många fall är det ofta också fråga om vandalisering/skadegörelse,<br />
t ex i samband med intrång i förråd.<br />
I stort kan den kriminalitet som riktas mot <strong>Försvarsmakten</strong> delas in i två<br />
grupper. I det ena fallet är det fråga om vinningsbrott av främst ekonomisk<br />
art och i det andra fallet ses <strong>Försvarsmakten</strong> som en resurs som kan tillhandahålla<br />
olika former av förnödenheter m m.<br />
I det förstnämnda fallet är det vanligen fråga om tillfällighetsbrott, ”tillfället<br />
gör tjuven”. I regel är brottet av relativt okvalificerad natur.<br />
Här utgör bristande regelverk och rutiner respektive brister i kontroll att<br />
möjligheter yppas till att begå brott. Som exempel kan nämnas brister vid<br />
hantering av drivmedelskort.<br />
13
1 Hotbild<br />
Inom <strong>Försvarsmakten</strong> hanteras, omsätts och förrådshålls förnödenheter vilka<br />
av kriminella element kan uppfattas som attraktiva och locka till brott.<br />
Vapen, ammunition samt drivmedel bedöms vara de mest attraktiva objekten.<br />
Särskilt allvarlig är den kriminalitet som syftar till stöld av vapen och<br />
ammunition. Tillgrepp av större mängder vapen är mer sällan förekommande<br />
och bedöms ha försvårats genom de åtgärder som vidtagits avseende<br />
vapenförvaring. Innebörden av detta är att hotet bedöms ha ändrat karaktär<br />
från förrådsställda vapen till vapen i bruk.<br />
Viss kriminalitet är s k insiderbrott, dvs gärningsmannen har, eller har haft,<br />
insyn i interna förhållanden i <strong>Försvarsmakten</strong>, t ex var viss materiel är förrådsställd,<br />
rutiner för bevakning och rondering.<br />
1.2.3 Sabotage<br />
Med sabotage avses verksamhet i syfte att förstöra, hindra, försvåra eller<br />
störa visst objekt eller viss verksamhet. Sabotage behöver inte nödvändigtvis<br />
rikta sig direkt mot det objekt eller den verksamhet man vill påverka utan<br />
samma, eller motsvarande verkan, kan uppnås t ex genom att avbryta strömtillförsel,<br />
störa transporter eller genom intrång i IT-system. Genom samhällets<br />
ökande teknikberoende torde sårbarheten för sabotage ha ökat varför<br />
begränsade insatser med ringa inslag av våld kan ge stora effekter. Sabotage<br />
kan i vissa fall vara svåra att skilja från kriminalitet. Det kan vara utfört på<br />
ett sätt som syftar till att vilseleda.<br />
I fredstid är sabotage en sällsynt företeelse men bedöms bli mer frekvent i<br />
ett kris- och krigsläge. För sabotage i kris- och krigslägen kan främmande<br />
makt använda sig av specialunderrättelse- eller sabotageförband. Förberedelser<br />
för sabotage kan pågå redan i fredstid, t ex i form av underrättelseinhämtning.<br />
Sabotage i fredstid kan vara en form av missnöjesyttring eller hämndaktion<br />
och torde härvid vara att hänföra mer till ren kriminalitet.<br />
I den internationella verksamheten kan inte sabotage mot utlandsstyrkan<br />
uteslutas.<br />
1.2.4 Subversion<br />
Med subversion och subversiv verksamhet avses sådan verksamhet, som,<br />
utan att våldshandlingar tillgrips, syftar till att vårt statsskick omstörtas eller<br />
att vårt land bringas i beroende av främmande makt. Subversion kan ske bl<br />
a som infiltration, desinformation, ryktesspridning m m och i sådana former<br />
att bakomliggande nationer eller organisationer inte kan identifieras.<br />
14
I det moderna informationssamhället har genomslagskraften för ryktesspridning<br />
och desinformation väsentligen ökat genom de olika möjligheterna<br />
till informationsspridning.<br />
I den internationella verksamheten kan <strong>Försvarsmakten</strong> komma att utsättas<br />
för subversion, t ex i form av desinformation från parterna i en konflikt.<br />
Upphovet kan vara hur vi agerat i en viss situation, vilket ställningstagande<br />
vi gjort eller inriktningen av den internationella verksamheten.<br />
1.2.5 Terrorism<br />
1 Hotbild<br />
Med terrorism avses våld eller hot om våld i politiskt, religiöst eller annat<br />
syfte. Terrorismens utövare är i regel politiska, religiösa eller andra organisationer<br />
med extrem inriktning eller extremt handlingsprogram.<br />
Med statsterrorism avses terrorism som styrs eller understöds av någon nation.<br />
Denna typ av terrorism är i regel svårare att bemästra eller bekämpa p<br />
g a de resurser eller det stöd som bakomliggande nation tillhandahåller eller<br />
utövar.<br />
Terrorism kan, i likhet med sabotage, vara åtgärder som tillgrips i ett krisskede<br />
eller i inledningen av ett krig. Målen kan då utgöras av nyckelpersoner,<br />
viktigare anläggningar eller verksamheter. För denna typ av verksamhet<br />
kan främmande makt använda sig av specialunderrättelse- eller sabotageförband.<br />
Terrorism har inte utgjort något påtagligt hot mot vårt land eller mot <strong>Försvarsmakten</strong>.<br />
Detta förhållande kan dock ändras beroende på den ökande<br />
internationella verksamheten där terroristhot kan uppkomma. Hotbilden<br />
kan förändras beroende på under vilken nations ledning vi verkar, med vilka<br />
vi samverkar och hur vårt säkerhetsmedvetande respektive våra säkerhetsåtgärder<br />
uppfattas. Vissa av de nationer vi samverkar med i den internationella<br />
verksamheten har en annan hotbild avseende terrorism än vad vi har.<br />
Detta bör beaktas och påverka våra bedömningar rörande säkerhetsskyddsåtgärder<br />
m m.<br />
15
2 Grunder<br />
2.1 Inledning<br />
SVERIGES<br />
RIKES<br />
LAG<br />
Detta kapitel behandlar grunderna för den militära säkerhetstjänstens verksamhet<br />
samt relevanta delar av grundlagar, sekretesslag och säkerhetsskyddslagstiftning.<br />
17
2 Grunder<br />
2.2 Militär säkerhetstjänst - Grunder<br />
2.2.1 Syfte<br />
Den militära säkerhetstjänstens uppgift är att tillvarata säkerhetsintressen<br />
som rör <strong>Försvarsmakten</strong>. Säkerhetsintressena omfattar eller kan hänföras till<br />
personal, materiel, information, anläggningar och verksamhet i vid bemärkelse<br />
inklusive den internationella verksamhet <strong>Försvarsmakten</strong> deltar i.<br />
Genomförandet av militär säkerhetstjänst resulterar i säkerhetsskydds- och<br />
signalskyddsåtgärder vilka främst syftar till att säkerställa erforderlig nivå<br />
av säkerhetsskydd.<br />
Med säkerhetsskydd avses<br />
1. skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet,<br />
2. skydd i andra fall av uppgifter som omfattas av sekretess enligt sekretesslagen<br />
(1980:100) och som rör rikets säkerhet, och<br />
3. skydd mot terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott<br />
(terrorism), även om brotten inte hotar rikets säkerhet. Lag (2003:156).<br />
6 § säkerhetsskyddslagen<br />
Den militära säkerhetstjänsten bedrivs genom säkerhetsunderrättelse-, säkerhetsskydds-<br />
och signalskyddstjänst.<br />
Säkerhetsunderrättelsetjänst<br />
Verksamhet med syfte att identifiera och klarlägga säkerhetshot som riktas<br />
mot <strong>Försvarsmakten</strong> och dess intressen inom och utom landet. Verksamheten<br />
resulterar främst i underlag som ligger till grund för säkerhetsskyddsoch<br />
signalskyddsåtgärder.<br />
Säkerhetsskyddstjänst<br />
Verksamhet för att hindra eller försvåra säkerhetshotande verksamhet. Säkerhetsskyddstjänsten<br />
skall förebygga att uppgifter som omfattas av sekretess<br />
och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs<br />
(informationssäkerhet), att obehöriga får tillträde till platser där de kan få<br />
tillgång till hemliga uppgifter eller där verksamhet som har betydelse för<br />
rikets säkerhet bedrivs (tillträdesbegränsning) och att personer som inte är<br />
pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för<br />
rikets säkerhet (säkerhetsprövning). Säkerhetsskyddet skall även i övrigt förebygga<br />
terrorism. Verksamheten resulterar i säkerhetsskyddsåtgärder.<br />
18
Signalskyddstjänst<br />
Verksamhet för att hindra eller försvåra säkerhetshotande verksamhet. Signalskyddstjänsten<br />
syftar till att hindra obehörig insyn i och påverkan av<br />
totalförsvarets telekommunikationer samt användning av kryptografiska<br />
funktioner i IT-system. Verksamheten resulterar i signalskyddsåtgärder.<br />
2.2.2 Indelning av Säkerhetsskyddstjänst<br />
Säkerhetsskyddstjänst bedrivs inom flera delområden.<br />
2 Grunder<br />
Informationssäkerhet<br />
Informationssäkerhet ska förebygga att uppgifter som omfattas av sekretess<br />
och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs. I efterhand<br />
ska det gå att analysera informationsförlusten för att kunna minimera skadan.<br />
IT-säkerhet<br />
IT-säkerhet är en del av informationssäkerheten och berör främst de delar<br />
av begreppet informationssäkerhet som avser säkerheten i den tekniska<br />
hanteringen av information som bearbetas, lagras och kommuniceras<br />
elektroniskt samt administrationen kring detta.<br />
Tillträdesbegränsning<br />
Tillträdesbegränsning ska förebygga att obehöriga inte får tillträde till platser<br />
där de kan få tillgång till hemliga uppgifter eller där verksamhet som har<br />
betydelse för rikets säkerhet bedrivs. Tillträdesbegränsning ska även förebygga<br />
att stöldbegärlig, svårersättlig eller av annan anledning skyddsvärd<br />
materiel förstörs eller kommer obehörig till del.<br />
Säkerhetsprövning<br />
Säkerhetsprövning är en sammanfattande benämning på åtgärder som ska<br />
klarlägga om en person dels kan antas vara lojal mot de intressen som skyddas<br />
i säkerhetsskyddslagen och dels anses vara pålitligt ur säkerhetssynpunkt.<br />
Säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA)<br />
Säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA) är en särskild<br />
process som ska användas vid upphandlingar där hemliga uppgifter<br />
som har betydelse för rikets säkerhet förekommer. Det innebär att man tar<br />
hänsyn till nödvändiga säkerhetsskyddskrav vilka regleras i ett säkerhetsskyddsavtal.<br />
19
2 Grunder<br />
Utbildning<br />
Utbildning är en grundförutsättning för att erhålla ett bra säkerhetsskydd.<br />
Utbildning i säkerhetstjänst är en naturlig del i all grund- och vidareutbildning.<br />
Dessutom krävs specialutbildning för personal med särskilt ansvar för<br />
säkerhetstjänst. För att säkerställa att all personal har fått nödvändig och<br />
lämplig utbildning i säkerhetstjänst ska utbildning som rör säkerhetstjänst<br />
dokumenteras.<br />
Kontroller<br />
Kontroller är en nödvändig del av säkerhetstjänstens arbete för att kunna<br />
identifiera och åtgärda eventuella fel och brister i säkerhetsskyddet. Det är<br />
varje chefs ansvar att fortlöpande kontrollera att säkerhetsskyddet inom eget<br />
ansvarsområde uppfyller regelverkets krav och är anpassat till aktuell hotbild.<br />
Signalskydd<br />
Signalskydd är en säkerhetsskyddsangelägenhet. Med signalskydd menas<br />
åtgärder eller verksamhet som syftar till att dels hindra obehörig insyn och<br />
dels obehörig påverkan av totalförsvarets telekommunikationer. Signalskydd<br />
innefattar även användning av kryptografiska funktioner i IT-system.<br />
<strong>Försvarsmakten</strong> har ansvaret för signalskyddstjänsten inom totalförsvaret<br />
och har bemyndigande att utfärda föreskrifter för denna verksamhet. Föreskrifterna<br />
framgår av <strong>Försvarsmakten</strong>s föreskrifter om signalskyddstjänsten<br />
inom totalförsvaret och <strong>Försvarsmakten</strong>s interna bestämmelser om signalskyddstjänsten.<br />
Grundläggande regler för signalskyddstjänsten framgår av<br />
Handbok Totalförsvarets Signalskyddstjänst (H TST Grunder).<br />
2.2.3 Den militära säkerhetstjänstens tillsynsområde<br />
<strong>Försvarsmakten</strong> utövar, genom den militära underrättelse- och säkerhetstjänsten,<br />
tillsyn vad avser säkerhetsskydd, över Försvarets materielverk<br />
(FMV), Försvarets radioanstalt (FRA), Försvarshögskolan (FHS), Totalförsvarets<br />
forskningsinstitut (FOI), Totalförsvarets pliktverk (TPV) och Fortifikationsverket<br />
(FortV). Tillsynen genomförs med stöd av 39 § punkt 1<br />
säkerhetsskyddsförordningen.<br />
Den militära underrättelse- och säkerhetstjänsten genomför även kontroller<br />
av säkerhetsskyddet enligt vad som föreskrivs i 6 kap. <strong>Försvarsmakten</strong>s interna<br />
bestämmelser om säkerhetsskydd och skydd av viss materiel. Vidare genomför den<br />
militär underrättelse- och säkerhetstjänsten även kontroller av säkerheten i<br />
och kring sådana IT-system som inte är avsedda för behandling av hemliga<br />
uppgifter. 1<br />
20
<strong>Försvarsmakten</strong> ska även leda och samordna signalskyddstjänsten, inklusive<br />
arbetet med säkra kryptografiska funktioner, inom totalförsvaret. 2 <strong>Försvarsmakten</strong><br />
får med stöd av 39 § förordningen med instruktion för<br />
<strong>Försvarsmakten</strong> meddela föreskrifter i fråga om signalskyddstjänsten inom<br />
totalförsvaret inklusive säkra kryptografiska funktioner. Inom ramen för<br />
detta genomför <strong>Försvarsmakten</strong> även administrativa och tekniska kontroller<br />
av signalskyddstjänsten. Se vidare i H TST Grunder.<br />
2.2.4 Lednings-, lydnads- och ansvarsförhållanden<br />
2 Grunder<br />
Den militära säkerhetstjänsten leds från central nivå genom att chefen för<br />
den militära underrättelse- och säkerhetstjänsten (C MUST) utövar rollen<br />
som <strong>Försvarsmakten</strong>s säkerhetsskyddschef, <strong>Försvarsmakten</strong>s informationssäkerhetschef<br />
och chef för totalförsvarets signalskyddstjänst. 3 Under C<br />
MUST ansvarar chefen för Säkerhetskontoret (C <strong>SÄK</strong>K) för genomförandet<br />
av säkerhetstjänsten, främst genom att utarbeta och delge hotbedömningar,<br />
ange normer för säkerhetsskydds- och signalskyddstjänsten, genom rådgivning,<br />
utbildning och kontroller säkerställa att hotbilden uppfattats rätt, att<br />
normerna efterlevs samt att säkerhetsmedvetandet ligger på en hög nivå.<br />
Vidare ansvarar C <strong>SÄK</strong>K för att utveckla, godkänna och vidmakthålla signalskyddssystem<br />
för totalförsvaret samt att godkänna IT-säkerhetsmekanismer<br />
för <strong>Försvarsmakten</strong>.<br />
C <strong>SÄK</strong>K leder under C MUST <strong>Försvarsmakten</strong>s samverkan avseende säkerhetstjänst<br />
med Rikspolisstyrelsen, Säkerhetspolisen och de myndigheter<br />
över vilka <strong>Försvarsmakten</strong> har ett tillsynsansvar rörande säkerhetsskydd.<br />
Den operativa chefen ska efter närmare bestämmande av C MUST, leda och<br />
samordna regional och lokal samverkan såvitt avser säkerhetstjänsten. 4 I den<br />
operativa staben i Högkvarteret ingår fyra säkerhets- och samverkanssektioner.<br />
Dessa ska under den operative chefen leda och samordna den militära<br />
säkerhetstjänsten. 5<br />
På samma sätt som det inte finns mer än en säkerhetsskyddschef i myndigheten<br />
(C MUST, se ovan) finns det inget behov av att organisationsenheterna<br />
utser lokala informationssäkerhetschefer. På lokal nivå representeras den<br />
militära säkerhetstjänsten av säkerhetschefer, IT-säkerhetschefer samt säkerhetsmän.<br />
1. Se 12 kap. <strong>Försvarsmakten</strong>s interna bestämmelser om IT-säkerhet.<br />
2. Se 4 § 3 förordningen med instruktion för <strong>Försvarsmakten</strong>.<br />
3. Se 13 kap. 14 § <strong>Försvarsmakten</strong>s föreskrifter om verksamheten vid <strong>Försvarsmakten</strong>.<br />
4. 13 kap. 1 § <strong>Försvarsmakten</strong>s föreskrifter om verksamheten vid <strong>Försvarsmakten</strong> (verksamhetsordning).<br />
5. 13 kap. 2 § <strong>Försvarsmakten</strong>s föreskrifter om verksamheten vid <strong>Försvarsmakten</strong> (verksamhetsordning).<br />
21
2 Grunder<br />
2.2.5 Rapportering vid fel och brister i säkerhetsskyddet<br />
Var och en som får kännedom om säkerhetshotande verksamhet eller misstänker<br />
sådan verksamhet skall snarast möjligt rapportera förhållandet till sin närmaste<br />
chef, arbetsledare eller till säkerhetschefen.<br />
4 kap. 2 § <strong>Försvarsmakten</strong>s föreskrifter för <strong>Försvarsmakten</strong>s personal<br />
Rapportering ska även ske när enskild upptäcker fel eller brister i säkerhetsskyddet.<br />
Är felen eller bristerna allvarliga ska det särskilt beaktas att en<br />
anmälan även skall göras till <strong>Försvarsmakten</strong>s högkvarter. 6 Endast genom<br />
en god rapportering kan slutsatser dras och order om förändringar av säkerhetsskyddet<br />
utfärdas. Principen hellre en rapport för mycket än en för lite bör<br />
gälla.<br />
För att säkerställa att alla som är i behov av säkerhetsrapporter har tillgång<br />
till dem ska säkerhetsrapportering i första hand ske genom IS UND<strong>SÄK</strong>.<br />
Bestämmelser avseende rapportering framgår av FM BerO och FM RappB.<br />
Säkerhetsrapporter ska senast på taktisk nivå indateras i IS UND<strong>SÄK</strong>.<br />
2.3 Rättsliga grunder<br />
2.3.1 Våra grundlagar<br />
Sveriges grundlagar består av:<br />
• Regeringsformen (RF)<br />
• Successionsordningen (SO)<br />
• Yttrandefrihetsgrundlagen (YGL)<br />
• Tryckfrihetsförordningen (TF)<br />
Regeringsformen<br />
Regeringsformen behandlar konstitutionella frågor såsom hur riksdagen,<br />
regeringen och domstolarna ska arbeta. I regeringsformen anges även de<br />
grundläggande rättigheterna såsom yttrandefrihet, informationsfrihet, mötesfrihet,<br />
demonstrationsfrihet, föreningsfrihet och religionsfrihet.<br />
Successionsordningen<br />
Successionsordningen reglerar tronföljden.<br />
6. 1 kap. 8 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
22
Yttrandefrihetsgrundlagen<br />
Yttrandefrihetsgrundlagen försäkrar varje svensk medborgares rätt att i radio,<br />
TV, filmer och andra tekniska upptagningar offentligen uttrycka tankar,<br />
åsikter och känslor. Yttrandefrihetsgrundlagen syftar till att säkra ett fritt<br />
meningsutbyte och en allsidig upplysning. 7<br />
Tryckfrihetsförordningen<br />
Med tryckfrihet förstås varje svensk medborgares rätt att, utan några av<br />
myndighet eller annat allmänt organ i förväg lagda hinder, ge ut skrifter. 8<br />
Tryckfrihetsförordningens andra kapitel handlar om rätten att ta del av allmänna<br />
handlingar. Rätten gäller såväl enskilda personer som journalister.<br />
Till främjande av ett fritt meningsutbyte och en allsidig upplysning skall varje<br />
svensk medborgare ha rätt att taga del av allmänna handlingar.<br />
2 kap. 1 § tryckfrihetsförordningen<br />
Rätten att ta del av allmänna handlingar får begränsas om det är nödvändigt<br />
med hänsyn till, exempelvis rikets säkerhet eller dess förhållande till annan<br />
stat eller mellanfolklig organisation. För att kunna begränsa offentligheten<br />
för sådana handlingar måste det finnas rättslig stöd i sekretesslagen<br />
(1980:100). Sekretess beskrivs nedan under avsnittet Sekretessbestämmelser.<br />
Eftersom rätten att ta del av allmänna handlingar gäller enbart handlingar<br />
som är allmänna är det viktigt att känna till dels vad som avses med en<br />
handling och dels hur denna handling blir allmän.<br />
2.3.2 En handling<br />
En handling är en informationsbärare av något slag. En handling är en<br />
framställning i skrift eller bild t ex ett handskrivet dokument eller fotografi.<br />
En handling är även en upptagning som kan läsas, avlyssnas eller på annat<br />
sätt uppfattas med tekniskt hjälpmedel t ex en ljudinspelning. 9 Begreppet<br />
upptagning avser själva informationsinnehållet och inte bara den fysiska<br />
databäraren. I ett IT-system är det således inte bara hårddisken, disketten,<br />
DVD-skivan eller någon annan databärare som är en handling. Det är i stället<br />
de lagrade uppgifterna som är handlingar oavsett hur man valt att lagra<br />
dessa rent tekniskt. Handlingsbegreppet kan därför i IT-sammanhang få en<br />
mycket varierande innebörd.<br />
7. 1 kap 1 § yttrandefrihetsgrundlagen.<br />
8. 1 kap. 1 § tryckfrihetsförordningen.<br />
9. 2 kap. 3 § tryckfrihetsförordningen.<br />
2 Grunder<br />
23
2 Grunder<br />
Allmän handling<br />
En handling är allmän om den förvaras hos en myndighet och är antingen<br />
inkommen till myndigheten eller upprättad hos myndigheten.<br />
För att en handling ska anses vara förvarad hos myndigheten ska den finnas<br />
tillgänglig hos myndigheten. Finns inte en handling vid myndigheten så är<br />
den följaktligen inte heller en allmän handling. En allmän handling som förvaras<br />
hos t ex en konsult ska däremot anses förvarad vid myndigheten<br />
eftersom myndigheten anses ha tillgång till handlingen.<br />
För att en handling ska anses vara inkommen till en myndighet ska den på<br />
något sätt ha skickats eller överlämnats till myndigheten. Det är därför viktigt<br />
att inkomststämpla och diarieföra alla handlingar som kommer till<br />
myndigheten. Även om en tjänsteman inte har hunnit läsa en inkommen<br />
handling, eller om den inte hunnit bli diariförd, så är handlingen ändå allmän.<br />
Sättet den har inkommit på saknar betydelse. När en handling har<br />
överlämnats till en tjänsteman vid myndigheten, anses handlingen vara inkommen<br />
även om det sker utanför myndighetens lokaler. En sådan handling<br />
ska diarieföras så snart som möjligt.<br />
Om en handling inte har inkommit till myndigheten, ska den vara upprättad<br />
eller skapad hos myndigheten för att den ska anses vara allmän. En<br />
handling anses vara upprättad när den har fått sin slutliga utformning eller<br />
har expedierats.<br />
När det gäller hantering av e-post gäller samma bestämmelser som för pappersdokument.<br />
Det betyder att kriterierna förvarad, inkommen och upprättad<br />
är tillämpliga även för e-post. Innebörden av detta är att e-post kan<br />
komma att utlämnas till en sökande om inte sekretess hindrar det.<br />
Från allmänna handlingar undantas handlingar som är ställda till personer<br />
som innehavare av annan ställning än som tjänsteman, t ex som privatperson.<br />
Observera att en handling som innehåller både information gällande<br />
tjänsten och information av privat karaktär, blir i sin helhet en allmän handling.<br />
Detta kan få betydelse i t ex e-postsammanhang där privata meddelanden<br />
ofta kan blandas med information för myndighetens verksamhet.<br />
Som exempel kan anges att du skickar en e-post till en kollega och frågar om<br />
ni ska äta lunch tillsammans. Detta meddelande är privat och kan inte begäras<br />
utlämnad. Om du däremot i samma meddelande avslutar med att ta<br />
upp någon fråga som rör tjänsten, blir hela meddelandet allmän handling<br />
och kan vid en begäran lämnas ut.<br />
Varje anställd bör också vara medveten om att dennes e-post förtecknas i<br />
<strong>Försvarsmakten</strong>s logglista, som oftast är en allmän och offentlig handling.<br />
Där framgår det vilken e-post han eller hon har fått respektive skickat. När<br />
24
den anställde surfar på nätet, är även s k cookie-filer, som bl a visar vilka<br />
webbplatser denne har besökt, allmänna handlingar.<br />
När det gäller hantering av IT-säkerhetsfrågor hänvisas till Handbok för <strong>Försvarsmakten</strong>s<br />
säkerhetstjänst, Informationsteknik (H Säk IT 2006).<br />
Offentlig<br />
Allmän<br />
Handling<br />
Icke allmän<br />
Hemlig Ej hemlig Hemlig<br />
Kvalificerat hemlig Kvalificerat hemlig<br />
Bild 2:1 Olika typer av handlingar.<br />
Arbetshandlingar<br />
Minnesanteckningar, utkast, privata brev, underhandsremisser och t ex koncept<br />
till en myndighets beslut är inte allmänna handlingar, om dessa inte<br />
expedierats eller tagits om hand för arkivering. 10 Med minnesanteckningar<br />
avses synpunkts- och föredragningspromemorior, sammanställningar av<br />
svåröverskådligt material och andra anteckningar som görs under beredningen<br />
av ett ärende. Utmärkande för denna typ av handlingar är att de har<br />
tillkommit som hjälpmedel vid handläggningen av ett ärende. Utkast och<br />
koncept kännetecknas av att de utgör förstadier till en definitivt utformad<br />
handling.<br />
Med underhandsremiss menas utkast, koncept eller andra handlingar som<br />
är under bearbetning och som skickas till en annan myndighet endast i samrådssyfte.<br />
Denna typ av handlingar är inte allmänna och kan därför inte<br />
begäras utlämnad av allmänheten.<br />
10. 2 kap. 3 § tryckfrihetsförordningen.<br />
2 Grunder<br />
25
2 Grunder<br />
Skyndsam handläggning<br />
Frågan om utlämnande av en allmän handling ska prövas skyndsamt. Ett<br />
beslut bör helst meddelas samma dag, men någon dags fördröjning kan beroende<br />
på materialets karaktär och omfång accepteras för att bereda myndigheten<br />
rådrum att ta ställning till om handlingen kan lämna ut. 11 I vissa<br />
fall kan komplicerade eller omfattande ärenden ta längre tid i anspråk för<br />
att sekretessfrågan ska kunna avgöras på ett korrekt sätt. Även i dessa fall<br />
gäller dock skyndsamhetskravet.<br />
Fråga inte vem eller varför<br />
Vem som helst, svenskar och utländska medborgare, har rätt att ta del av<br />
allmänna handlingar. 12 Enligt grundlagen har en tjänsteman inte rätt att<br />
fråga varför personen vill ha vissa handlingar eller vad han eller hon heter.<br />
Det får endast ske om frågan gäller en sekretessbelagd handling när det behövs<br />
för att kunna avgöra om personen har rätt att ta del av handlingen eller<br />
inte. I ett sådant fall får den som begär att få ut handlingen välja mellan att<br />
berätta vem han eller hon är och vad handlingen ska användas till eller att<br />
avstå från att få ta del av handlingen.<br />
Beträffande utlämnande av allmänna handlingar till en enskild framgår det<br />
av 29 § förordning (2000:555) med instruktion för <strong>Försvarsmakten</strong> att chef för<br />
organisationsenhet har rätt att fatta beslut om utlämning av allmänna handlingar.<br />
Sekretessbestämmelser<br />
Offentlighetens rätt att ta del av allmänna handlingar som finns hos myndigheten,<br />
får inskränkas med stöd av särskild lag. En sådan lag är sekretesslagen.<br />
Begreppet sekretess enligt sekretesslagen innebär förbud att röja en<br />
uppgift, vare sig det sker muntligen eller genom att en allmän handling<br />
lämnas ut eller att det sker på annat sätt. 13 Syftet med sekretessbestämmelserna<br />
är att skydda vissa bestämda intressen. Sekretess gäller därför bara om<br />
man kan förutse att dessa intressen skadas vid ett utlämnande av en uppgift.<br />
För vissa typer av uppgifter är det stor risk för skada om de lämnas ut och<br />
för andra är kanske risken liten. Flertalet av sekretessreglerna innehåller<br />
därför rekvisit som anger sekretessens styrka. Dessa s k skaderekvisit är av<br />
två huvudtyper raka och omvända skaderekvisit.<br />
Det raka skaderekvisitet innebär att offentlighet uppställes som huvudregel<br />
och att sekretess gäller bara om det kan antas att viss skada uppkommer om<br />
uppgiften röjs. Det raka skaderekvisitet anges i sekretesslagen med orden<br />
11. JO 89:1583 m fl.<br />
12. 1 kap. 1 § första stycket och 14 kap. 5 § andra stycket tryckfrihetsförordningen.<br />
13. 1 kap. 1 § sekretesslagen (1980:100).<br />
26
”om det kan antas att…” Som exempel kan anges bestämmelsen i 2 kap. 2 §<br />
sekretesslagen. Regeln innehåller ett rakt skaderekvisit dvs sekretess föreligger<br />
om det kan antas att det skadar landets försvar eller på annat sätt vållar<br />
fara för rikets säkerhet om uppgiften röjs. Det innebär att sekretessen måste<br />
motiveras genom att tydligt ange omständigheter som gör att man kan anta<br />
att den nämnda skadan uppkommer om uppgiften röjs. I regel är det tillräckligt<br />
att uppgiften är av sådan karaktär att ett utlämnande av den typiskt<br />
sett kan vara ägnat att medföra skada för det sekretesskyddade intresset.<br />
Det omvända skaderekvisitet utgår från sekretess som huvudregel. Det omvända<br />
skaderekvisitet anges i sekretesslagen med orden ”sekretess gäller om<br />
det inte står klart att…" uppgiften kan röjas utan att aktuell skada uppkommer.<br />
Det innebär att sekretess alltid gäller utom när det klart framgår av<br />
omständigheterna, att ett röjande av en uppgift inte kan leda till någon skada.<br />
Utrikessekretess<br />
Sekretess gäller för uppgift som angår Sveriges förbindelser med annat stat eller<br />
i övrigt rör annan stat, mellanfolklig organisation, myndighet, medborgare eller<br />
juridisk person i annan stat eller statslös, om det kan antas att det stör Sveriges<br />
mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs.<br />
I fråga om uppgift i allmän handling gäller sekretessen i högst fyrtio år.<br />
2 Grunder<br />
2 kap. 1 § sekretesslagen<br />
Föremålet för utrikessekretessen är uppgifter som angår Sveriges förbindelser<br />
med annan stat. Härmed avses inte bara uppgifter om de egentliga<br />
utrikespolitiska förbindelserna utan också handelsförbindelser, kulturella<br />
förbindelser m m.<br />
I uttrycket Sveriges förbindelser ligger att det måste röra sig om förbindelser<br />
på nationell nivå. En svensk myndighets kontakter med en främmande stat<br />
ryms inte under uttrycket, om förbindelserna avser myndighetens egna angelägenheter.<br />
Företräder däremot myndigheten Sverige som nation t ex vid<br />
internationella säkerhetsskyddsförhandlingar, rör det sig i här avsedd bemärkelse<br />
om Sveriges förbindelser.<br />
Ovanstående sekretessbestämmelse har sin största betydelse för regeringen,<br />
Regeringskansliet och utrikesrepresentationen, men den gäller också för<br />
samtliga statliga myndigheter. Med utrikesrepresentationen avses svenska<br />
beskickningar, konsulat och delegationer hos mellanfolkliga organisationer<br />
såsom, t ex hos FN, NATO, Europarådet och EU.<br />
Utrikessekretess gäller för exempelvis vissa uppgifter i handlingar som upprättas<br />
här i landet i samband med en känslig förhandlings slutskede. Likaså<br />
27
2 Grunder<br />
är sekretess ofta befogad i fråga om svenskt "förhandlingsupplägg" i dess<br />
detaljer, t ex när det gäller uppgifter om svensk andrahands ståndspunkter<br />
eller om hur Sverige ska förhålla sig till ett namngivet annat lands förhandlingsinställning.<br />
Regeringsrätten har ansett att det skulle störa Sveriges förbindelser med<br />
dåvarande Sovjetunionen om tekniska uppgifter rörande en grundstött ubåt<br />
röjdes av svensk myndighet eftersom det fick förutsättas att sekretess gällde<br />
för uppgifterna i hemlandet. 14 15<br />
Försvarssekretess<br />
Sekretess gäller för uppgift som angår verksamhet för att försvara landet eller<br />
planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt<br />
rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat<br />
sätt vållar fara för rikets säkerhet om uppgiften röjs<br />
I fråga om uppgift i allmän handling gäller sekretessen i högst fyrtio år.<br />
2 kap. 2 § sekretesslagen (utdrag ur första och andra styckena)<br />
I paragrafen finns den grundläggande bestämmelsen om försvarssekretessen.<br />
Det sekretessbelagda området omfattar alla de olika verksamheter som<br />
är av betydelse för landets samlade försvarsåtgärder, alltså inta bara rent<br />
militära företeelser utan också åtgärder med avseende på totalförsvaret i<br />
övrigt.<br />
Bestämmelsen har sitt största tillämpningsområde i fråga om uppgifter som<br />
rör det militära försvaret. Uppgifter rörande verksamheten inom <strong>Försvarsmakten</strong>,<br />
allt från de första förberedelserna till verkställigheten, täcks av<br />
bestämmelsen. Föremål för sekretessen är exempelvis uppgifter rörande vapen<br />
och annan försvarsmateriel, befästningar, kommunikationsanläggningar<br />
och andra anläggningar hos <strong>Försvarsmakten</strong>.<br />
Även uppgifter om förhållanden i naturen som är av betydelse från försvarssynpunkt<br />
kan vara föremål för sekretess enligt denna bestämmelse.<br />
Också på de områden som ligger vid sidan om det militära förvaret har bestämmelsen<br />
en vid täckning. Uppgifterna måste dock på något sätt röra<br />
totalförsvaret för att sekretess ska kunna föreligga.<br />
14. RÅ82 Ab215.<br />
15. Sekretesslagen, En kommentar, supplement 8, s 2:7.<br />
28
För att undvika ett onödigt hemlighållande av uppgifter på de många verksamhetsområden<br />
och företeelser som försvarssekretessen omfattar, har bestämmelsen<br />
utformats med ett rakt skaderekvisit, dvs offentlighet uppställs<br />
som huvudregel. Det har ansetts att samhällets åtgärder för landets försvar<br />
inte ska undandras offentlighet annat än när det verkligen är påkallat. Sekretessen<br />
gäller därför bara om det kan antas att röjande av uppgifter skadar<br />
landets försvar eller på annat sätt vållar fara för rikets säkerhet. 16<br />
2.3.3 Förbehåll<br />
Finner myndighet att sådan risk för skada, men eller annan olägenhet, som enligt<br />
bestämmelse om sekretess utgör hinder att lämna uppgift till enskild, kan undanröjas<br />
genom förbehåll som inskränker den enskildes rätt att lämna uppgiften<br />
vidare eller utnyttja den, skall myndigheten uppställa sådant förbehåll när uppgiften<br />
lämnas till honom.<br />
14 kap. 9 § första stycket sekretesslagen<br />
I 14 kap. 9 § och 10 § sekretesslagen finns bestämmelser om förbehåll vid<br />
utlämnande av uppgifter till allmänheten. Det innebär att <strong>Försvarsmakten</strong><br />
kan uppställa vissa villkor för mottagaren i samband med utlämning av en<br />
handling. Ett förbehåll inskränker rätten för en mottagare att fritt förfoga<br />
över handlingen eller uppgiften. Genom ett förbehåll överförs sekretessen<br />
till mottagaren.<br />
Ett förbehåll kan t ex gälla förbud mot vidarespridning av handlingens innehåll<br />
eller mot publicering av namn eller hemliga uppgifter ur en handling.<br />
Genom ett förebehåll uppkommer en tystnadsplikt för mottagaren och om<br />
han eller hon bryter mot detta gör han eller hon sig skyldig till brott mot<br />
tystnadsplikten enligt 20 kap. 3 § brottsbalken. Förbehållets verkan i tryckfrihetsrättsligt<br />
hänseende innebär att meddelarfrihet inte råder.<br />
2.3.4 Meddelarfrihet<br />
Meddelarfrihet innebär att alla och envar inklusive anställda i offentlig förvaltning<br />
muntligen får lämna vilka uppgifter som helst med, vissa undantag,<br />
till journalister för publicering i tryckt skrift, i radio eller TV. Det ställs två<br />
krav som måste vara uppfyllda för att meddelarfriheten ska gälla. För det<br />
första måste uppgiften lämnas till en journalist, författare eller motsvarande.<br />
För det andra krävs att uppgiften lämnas med syfte att den ska offentliggöras.<br />
Att avslöja en hemlig uppgift för en kollega eller för någon i sin bekantskapskrets<br />
är inte tillåtet eftersom det i dessa fall inte handlar om ett syfte<br />
16. Sekretesslagen, En kommentar, supplement 18, s 2:10.<br />
2 Grunder<br />
29
2 Grunder<br />
att offentliggöra uppgiften. Det bör observeras att det är fråga om frihet att<br />
meddela och ingen skyldighet att lämna ut hemliga uppgifter till massmedia.<br />
Det är den enskilde tjänstemannen som avgör om han eller hon vill utnyttja<br />
sin meddelarfrihet.<br />
Som exempel på utnyttjande av meddelarfriheten kan anges den situationen<br />
där en anställd berättar för en journalist om oegentligheter på sin arbetsplats<br />
och att journalisten avser att publicera uppgifterna i tidning. En journalist<br />
kan även muntligen underrättas om innehållet i en sekretessbelagd handling<br />
medan själva handlingen inte får överlämnas.<br />
Den omständigheten att det finns en särskild presstalesman vid myndigheten<br />
innebär inte att de anställda får hindras att utnyttja sin yttrandefrihet<br />
enligt 2 kap. 1 § regeringsformen eller sin meddelarfrihet enligt 1 kap. 1 §<br />
tredje stycket och 1 kap. 2 § yttrandefrihetsgrundlagen.<br />
Undantag från meddelarfriheten<br />
Det är uppenbart att meddelarfrihet inte kan gälla fullt ut. Det finns självklart<br />
områden där intresset av sekretesskydd väger tyngre än kravet på offentlig<br />
insyn. De undantag från meddelarfriheten som finns, anges i 7 kap. 3 §<br />
tryckfrihetsförordningen.<br />
De angivna undantagen innebär att det inte är tillåtet att inom meddelarfrihetens<br />
ram<br />
• lämna uppgifter för publicering om uppgiftslämnaren därigenom gör sig<br />
skyldig till allvarligt brott mot rikets säkerhet,<br />
• uppsåtligen lämna ut en hemlig handling, eller<br />
• uppsåtligen bryta mot de ”absoluta tystnadsplikter” som anges i 16 kap.<br />
sekretesslagen.<br />
Absolut tystnadsplikt innefattar skyddsområden som har företräde framför<br />
den meddelarfrihet som fastslås i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.<br />
2.3.5 Säkerhetsskyddslagstiftningen<br />
Säkerhetsskyddslagstiftningen består av säkerhetsskyddslagen , säkerhetsskyddsförordningen<br />
och de säkerhetsskyddsföreskrifter som meddelas av<br />
Rikspolisstyrelsen och <strong>Försvarsmakten</strong>. För den sekretess som gäller med<br />
hänsyn till att försvara landet och rikets säkerhet har det ansetts nödvändigt<br />
med särskilda skyddsåtgärder. För att tillgodose detta skyddsbehov trädde<br />
säkerhetsskyddslagen och säkerhetsskyddsförordningen i kraft 1996. Syftet<br />
med säkerhetsskyddslagstiftningen är att åstadkomma ett skydd för rikets<br />
30
säkerhet. Någon legaldefinition av begreppet rikets säkerhet finns inte, men<br />
begreppet kan sägas avse såväl den yttre som den inre säkerheten.<br />
Med den yttre säkerheten avses Sveriges försvarsförmåga, politiska oberoende<br />
och territoriella integritet. Med den inre säkerheten avses Sveriges<br />
demokratiska statsskick och institutioner. Som exempel på hot mot landets<br />
inre säkerhet kan anges försök att systematiskt genom kriminella aktiviteter<br />
hindra medborgarna från att utnyttja sina demokratiska fri- och rättigheter.<br />
Användning av våld, hot eller tvång i syfte att påverka landets politiska inriktning<br />
och utformning är ett annat exempel på allvarlig hot mot rikets inre<br />
säkerhet. I dessa sammanhang pratar vi om terrorism.<br />
Med säkerhetsskydd avses<br />
1. skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet,<br />
2. skydd i andra fall av uppgifter som omfattas av sekretess enligt sekretesslagen<br />
(1980:100) och som rör rikets säkerhet, och<br />
3. skydd mot terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott<br />
(terrorism), även om brotten inte hotar rikets säkerhet.<br />
6 § säkerhetsskyddslagen<br />
Syftet med säkerhetsskydd är att förebygga spioneri och andra brott mot<br />
rikets säkerhet. Uppgifter som omfattas av sekretess med hänsyn till rikets<br />
säkerhet ska skyddas så att de inte obehörigen eller av oaktsamhet röjs, ändras<br />
eller förstörs. Brottslig verksamhet som innebär användning av våld, hot<br />
eller tvång för politiska syften (terrorism) ska förebyggas även om verksamheten<br />
inte kan sägas beröra rikets säkerhet. Med terroristbrott avses gärningar<br />
där avsikten är att skapa allvarlig fruktan hos en befolkning eller hos<br />
landets ledning. Syftet med dessa gärningar kan vara att tvinga landets ledning<br />
att vidta eller avstå från vissa åtgärder.<br />
Säkerhetsskyddet skall förebygga<br />
1. att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen<br />
röjs, ändras eller förstörs (informationssäkerhet)<br />
2. att obehöriga får tillträde till platser där de kan få tillgång till uppgifter som<br />
avses i 1 eller där verksamhet som har betydelse för rikets säkerhet bedrivs (tillträdesbegränsning),<br />
och<br />
3. att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet<br />
som har betydelse för rikets säkerhet (säkerhetsprövning).<br />
Säkerhetsskyddet skall även i övrigt förebygga terrorism.<br />
2 Grunder<br />
7 § säkerhetsskyddslagen<br />
31
2 Grunder<br />
Av 7 § säkerhetsskyddslagen framgår att det ska finnas ett skydd för hemliga<br />
uppgifter. Det innebär t ex att hemliga handlingar ska förvaras på ett sådant<br />
sätt att obehöriga inte kan ta del av dem. Det ska poängteras att detta även<br />
gäller för sådana hemliga handlingar som inte är allmänna, t ex arbetsmaterial.<br />
Det innebär även att det ska finnas ett skydd mot att uppgifterna<br />
förstörs (se första punkten ovan).<br />
2.3.6 Säkerhetsskyddsförordningen<br />
Säkerhetsskyddsförordningen ger kompletterande bestämmelser till säkerhetsskyddslagen.<br />
I denna förordning avses med<br />
1. hemlig uppgift: uppgift som omfattas av sekretess enligt sekretesslagen<br />
(1980:100) och som rör rikets säkerhet,<br />
2. hemlig handling: handling som innehåller hemlig uppgift, samt<br />
3. säkerhetskänslig verksamhet: verksamhet av betydelse för rikets säkerhet.<br />
4 § säkerhetsskyddsförordningen<br />
För förståelsen av säkerhetsskyddsförfattningarna är det viktigt att känna<br />
till skillnaden i uttrycken sekretess respektive hemligt. Sekretess innebär<br />
förbud att röja en uppgift som omfattas av sekretess. Begreppet hemligt innebär<br />
i detta fall en uppgift som omfattas av sekretess och rör rikets säkerhet.<br />
Vad som bör uppmärksammas är att vid hemligstämpling av<br />
sekretessbelagd information, tillåter lagstiftningen att uttrycket hemlig används<br />
även om sekretessen inte rör rikets säkerhet. 17<br />
Enligt 44 § säkerhetsskyddsförordningen har <strong>Försvarsmakten</strong> och Rikspolisstyrelsen<br />
bemyndigats att utfärda föreskrifter om verkställigheten av<br />
säkerhetsskyddslagen för sina respektive tillsynsområden. <strong>Försvarsmakten</strong><br />
har därför beslutat <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
17. 15 kap. 3 § sekretesslagen.<br />
32
Bilaga 2:1 Exempel på beslut om utlämnande<br />
av allmänna handlingar<br />
()<br />
Postadress<br />
HÖGKVARTERET<br />
NN<br />
och sändlista<br />
Ert<br />
tjänsteställe,<br />
handläggare<br />
Besöksadress<br />
Telefon<br />
Datum<br />
<strong>2007</strong>-05-08<br />
Ert<br />
datum<br />
<strong>2007</strong>-05-01<br />
Telefax<br />
HKV<br />
beteckning<br />
10<br />
816:<br />
12345<br />
Er<br />
beteckning<br />
Vårt tjänsteställe,<br />
handläggare<br />
Vårt<br />
föregående datum Vår föregående beteckning<br />
HKV<br />
MUST<br />
Beslut om utlämnande av allmänna handlingar<br />
(1 bilaga)<br />
Framställan<br />
I en framställan via e-post till <strong>Försvarsmakten</strong>s högkvarter (Högkvarteret) den 1 maj<br />
<strong>2007</strong> begär Ni att få ta del av handlingar som har beröring med följande fyra<br />
händelser vid den svenska styrkan i Afghanistan:<br />
Attacken mot en svensk patrull vecka 610,<br />
Händelserna i Maimana vecka 610,<br />
Eldstriden i byn Boka vecka 620 och<br />
Eldstriden i byn Stin vecka 620.<br />
Myndighetens bedömning<br />
Vid Högkvarteret, Militära underrättelse- och säkerhetstjänsten (MUST), finns ett<br />
antal handlingar upprättade från den tid de efterfrågade händelserna inträffade.<br />
Handlingarna har följande beteckning:<br />
Särskild underrättelserapport, 2006-XX-XX, beteckning H/S XXX/XXX<br />
Underrättelserapport, 2006-XX-XX, beteckning H/S XXX/XXX<br />
Underrättelserapport, 2006-XX-XX, beteckning H/S XXX/XXX<br />
MUST Lägesbild vecka 610, beteckning H/S XXX/XXX<br />
MUST Lägesbild vecka 620, beteckning H/S XXX/XXX<br />
När det gäller de handlingar som är benämnda MUST Lägesbild består de av tre<br />
bilagor. I handlingarna är det bilaga tre som beskriver läget i Afghanistan. Då<br />
myndigheten har uppfattat det som att Ni i Er framställan endast efterfrågar uppgifter<br />
som berör fyra specifikt angivna händelser i Afghanistan, har myndigheten endast<br />
granskat dessa bilagor.<br />
Handlingarna innehåller underrättelsebedömningar och säkerhetshotsanalyser.<br />
I samtliga handlingar förekommer uppgifter som ger information om den militära<br />
underrättelsetjänstens källor och arbetsmetoder. Vidare förekommer uppgifter<br />
avseende vissa svenska förbands komponenters taktiska uppträdande och potentiella<br />
E – post,<br />
Internet<br />
107 85 Stockholm Lidingövägen 24 08-788 75 00 08-788 77 78 exp-hkv@mil.se<br />
www.hkv.mil.se<br />
Sida<br />
1 ( 2)<br />
33
Bilaga 2:1 Exempel på beslut om utlämnande av allmänna handlingar<br />
34<br />
HÖGKVARTERET<br />
Stefan Ryding-Berg<br />
Chef för juridiska enheten<br />
Datum<br />
HKV<br />
beteckning<br />
<strong>2007</strong>-05-08 10 816:12345<br />
sårbarhet. Då det kan antas att det skadar landets försvar om dessa uppgifter röjs,<br />
omfattas de av sekretess enligt 2 kap. 2 § sekretesslagen (1980:100).<br />
Till del baseras underlaget i handlingarna även på information som erhållits inom<br />
ramen för vårt deltagande i en internationell insats. I vissa handlingar förekommer<br />
uppgifter och bedömningar om förhållanden som rör andra stater. Eftersom det kan<br />
antas att ett röjande av dessa uppgifter kan störa Sveriges mellanfolkliga förbindelser<br />
eller på annat sätt skada landet, omfattas de av sekretess enligt 2 kap. 1 §<br />
sekretesslagen.<br />
Hinder mot att lämna ut ovan nämnda uppgifter föreligger därför. Övriga uppgifter i<br />
handlingarna omfattas inte av sekretess och skall lämnas ut<br />
Med anledning härav meddelar Högkvarteret följande<br />
BESLUT<br />
Er begäran avslås i fråga om de uppgifter i handlingarna som omfattas av sekretess<br />
enligt 2 kap. 1 respektive 2 §§ sekretesslagen. Er framställan bifalls i fråga om<br />
övriga uppgifter i handlingarna. Handlingarna lämnas ut i den omfattning som ./<br />
framgår av bilagan till detta beslut.<br />
Hur man överklagar<br />
Detta beslut får överklagas hos Kammarrätten i Stockholm. Överklagandet skall vara<br />
skriftligt. I skrivelsen skall anges vilket beslut som överklagas och den ändring som<br />
Ni vill ha. Skrivelsen med överklagandet skall vara ställd till Kammarrätten i<br />
Stockholm men skickas till <strong>Försvarsmakten</strong>, Högkvarteret. Den skall ha kommit in<br />
till <strong>Försvarsmakten</strong> inom tre (3) veckor från den dag Ni fick del av beslutet.<br />
Beslut i detta ärende har fattats av chefsjurist Stefan Ryding-Berg. I ärendets slutliga<br />
handläggning har dessutom deltagit försvarsjurist Olof Göransson, handläggare Nils<br />
Nilsson och som föredragande byrådirektör Katharina Strömhammar.<br />
Katharina Strömhammar<br />
Sida 2 (2)
3 Informationssäkerhet<br />
3.1 Inledning<br />
Informationssäkerhet kan beskrivas som en kedja vilken består bland annat<br />
av regelverk, personer och teknik. Kedjans styrka, det vill säga informationssäkerhetens<br />
nivå, är beroende av dess svagaste länk vilken oftast är<br />
människan.<br />
Säkerhetsskyddet skall förebygga<br />
1. Att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen<br />
röjs, ändras eller förstörs (informationssäkerhet).<br />
7 § första stycket punkt 1 säkerhetsskyddslagen<br />
Av bestämmelsen följer att uppgifter i möjligaste mån ska förbehållas de<br />
personer som har tjänstemässigt behov av dem och som dessutom är lämpliga<br />
och pålitliga. Vidare ska säkerhetsskyddet förebygga att hemliga uppgifter<br />
uppsåtligen eller av oaktsamhet förstörs eller ändras.<br />
Vid utformningen av informationssäkerheten skall behovet av skydd vid automatisk<br />
informationsbehandling beaktas särskilt.<br />
9 § säkerhetsskyddslagen<br />
Hantering av hemliga uppgifter i IT-system har inneburit nya risker för att<br />
uppgifterna röjs till obehöriga, förstörs eller går förlorade på annat sätt. Det<br />
är därför av vikt att informationssäkerheten utformas med hänsyn till de nya<br />
risker för förstörande eller röjande av säkerhetskänsliga uppgifter som<br />
finns. 18<br />
18. Regeringens proposition 1995/96 Säkerhetsskydd, sid 77.<br />
35
3 Informationssäkerhet<br />
Den 1 december 2003 fastställde överbefälhavaren 2003 <strong>års</strong> <strong>utgåva</strong> av ”Försvarsmaktsstandard<br />
för integrerat verksamhetsledningssystem, FMS VHL 2003”,<br />
för användning inom <strong>Försvarsmakten</strong> och vid utbildning av studerande från<br />
<strong>Försvarsmakten</strong> vid Försvarshögskolan. I det integrerade verksamhetsledningssystemet<br />
ingår bland annat dimensionen informationssäkerhet. Informationssäkerhetsdimensionen<br />
bygger på den internationella standarden<br />
“Ledningssystem för informationssäkerhet - Riktlinjer för ledning av<br />
informationssäkerhet” (LIS). 19<br />
Eftersom information i huvudsak behandlas med stöd av IT-system, är det<br />
naturligt att standarden till största delen omfattar IT-relaterade frågor. Av<br />
standarden framgår bland annat att en organisation måste ha en informationssäkerhetspolicy.<br />
Överbefälhavaren har beslutat att <strong>Försvarsmakten</strong>s informationssäkerhetspolicy<br />
[ref. 3:1] ska gälla inom myndigheten, från och med den 1 maj<br />
2005. Informationssäkerhetspolicyn har översatts till engelska [ref. 3:2]. Policyn<br />
återges både på svenska och engelska i bilaga 3:1 <strong>Försvarsmakten</strong>s<br />
informationssäkerhetspolicy och bilaga 3:2 The Information Security Policy<br />
of the Armed Forces.<br />
Av standarden framgår att det av en policy bland annat bör framgå<br />
• ledningens viljedeklaration,<br />
• fastläggande av att säkerheten är viktig i verksamheten och där informationssäkerhetens<br />
betydelse för verksamheten anges,<br />
• en definition av begreppet informationssäkerhet,<br />
• motiv för varför och vilken säkerhet som behövs i organisationen (t ex<br />
risker och omvärldens krav eller förväntningar),<br />
• övergripande mål,<br />
• ansvarsfördelning inom organisationen med en betoning på det personliga<br />
ansvaret,<br />
• sanktioner vid åsidosättande av policyn,<br />
• incidenthantering,<br />
• vem som är dokumentansvarig för policyn, hur den ska revideras och<br />
följas upp, och<br />
• en plan för policyns förverkligande.<br />
19. SS-ISO/IEC 17799:2001 (senast ändrad 2005).<br />
36
Det övergripande målet med <strong>Försvarsmakten</strong>s informationssäkerhet är<br />
att säkerställa ett tillräckligt skydd för myndighetens informationstillgångar<br />
såväl inom som utom landet, så att rätt information är tillgänglig<br />
för rätt person i rätt tid på ett spårbart sätt.<br />
<strong>Försvarsmakten</strong>s informationssäkerhetspolicy<br />
Det övergripande målet för informationssäkerhet anger vad informationssäkerheten<br />
syftar till. Det är med tanke på <strong>Försvarsmakten</strong>s nuvarande<br />
uppgifter viktigt att påpeka att informationssäkerheten även måste upprätthållas<br />
utomlands, t ex vid internationell insatser. Ett tillräckligt skydd innebär<br />
att skyddet måste avvägas mot t ex lagstiftning och bedömda risker samt<br />
vad det skulle kosta att genomföra vissa åtgärder. Således ska organisationsenheterna<br />
alltid sträva efter att ha ett balanserat skydd.<br />
Ett tillräckligt skydd kan för ett IT-system uppnås genom att bland annat<br />
följa de föreskrifter som finns i <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd<br />
och <strong>Försvarsmakten</strong>s interna bestämmelser om IT-säkerhet angående<br />
godkända säkerhetsfunktioner.<br />
Information är en av <strong>Försvarsmakten</strong>s viktigaste tillgångar och utgör en<br />
förutsättning för att kunna bedriva verksamheten. Våra informationstillgångar<br />
måste därför behandlas och skyddas på ett tillfredsställande<br />
sätt mot de risker som förekommer. Lagar och förordningar utgör grunden<br />
för <strong>Försvarsmakten</strong> i detta arbete, dessutom ska ingångna överenskommelser<br />
och avtal följas.<br />
<strong>Försvarsmakten</strong>s informationssäkerhetspolicy<br />
Risker identifieras genom att genomföra en säkerhetsanalys. 20 I säkerhetsskyddslagen<br />
och säkerhetsskyddsförordningen finns bland annat grundläggande<br />
föreskrifter om hur information ska skyddas i förhållande till rikets<br />
säkerhet.<br />
I detta sammanhang bör det poängteras att organisationsenheter inom <strong>Försvarsmakten</strong><br />
inte ingår avtal sinsemellan. Istället ingår de överenskommelser<br />
mellan varandra.<br />
Med informationstillgångar avses all information oavsett om den behandlas<br />
manuellt eller automatiserat och oberoende av i vilken form eller<br />
miljö den förekommer.<br />
<strong>Försvarsmakten</strong>s informationssäkerhetspolicy<br />
3 Informationssäkerhet<br />
20. 1 kap. 5 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd av viss<br />
materiel.<br />
37
3 Informationssäkerhet<br />
Anledningen till att både manuell och automatiserad behandling beskrivs<br />
är att informationssäkerheten inte avgränsas till att bara omfatta information<br />
på papper eller digital information i IT-system. Med begreppet form avses t<br />
ex talad eller skriven information, men det kan också vara information (upptagningar)<br />
som enbart kan uppfattas med tekniskt hjälpmedel, t ex ett ITsystem,<br />
eller att informationen framgår av ett föremål. Med begreppet miljö<br />
avses t ex ett elektroniskt kommunikationsnät, men kan också avse en fysisk<br />
brevlåda för distribution av post.<br />
Informationssäkerheten omfattar <strong>Försvarsmakten</strong>s informationstillgångar<br />
utan undantag.<br />
<strong>Försvarsmakten</strong>s informationssäkerhetspolicy<br />
Flertalet uppgifter som förekommer i myndighetens verksamhets totala informationsmängd<br />
(se bild 3:1) är inte uppgifter som omfattas av sekretess<br />
enligt sekretesslagen. En viss delmängd av de totala informationstillgångarna<br />
omfattas dock av en eller flera bestämmelser i sekretesslagen. Dessa<br />
uppgifter benämns i bilden som sekretessbelagda uppgifter. En särtyp av de<br />
sekretessbelagda uppgifterna är de uppgifter som rör rikets säkerhet. Dessa<br />
uppgifter definieras i 4 § 1 säkerhetsskyddsförordningen som hemliga uppgifter.<br />
Hemliga<br />
uppgifter<br />
Sekretessbelagda uppgifter<br />
Bild 3:1 Olika informationstillgångar<br />
Total mängd av uppgifter<br />
Informationssäkerhetspolicyn omfattar således alla informationstillgångar.<br />
Med informationssäkerhet avses i <strong>Försvarsmakten</strong><br />
• att informationen finns tillgänglig när den behövs,<br />
• att informationen är och förblir riktig,<br />
• att informationen endast är tillgänglig för dem som är behöriga att ta<br />
del av och använda den, samt<br />
38
• att hanteringen av informationen är spårbar.<br />
<strong>Försvarsmakten</strong>s definition på informationssäkerhet innebär alltså ett<br />
vidare begrepp än det som anges i säkerhetsskyddslagen.<br />
<strong>Försvarsmakten</strong>s informationssäkerhetspolicy<br />
3 Informationssäkerhet<br />
<strong>Försvarsmakten</strong>s informationstillgångar ska skyddas oavsett om de omfattas<br />
av någon form av sekretess eller inte. Detta innebär att myndigheten har<br />
en vidare syn på informationssäkerhet än vad som anges i säkerhetsskyddslagstiftningen.<br />
Säkerhetsskyddslagstiftningen tar enbart sikte på information<br />
(uppgifter) som omfattas av sekretess enligt sekretesslagen och som rör<br />
rikets säkerhet.<br />
Andra punkten (riktighet) innebär att informationens värde (t ex siffror) eller<br />
innebörd (t ex ord) över tiden ska överensstämma med det som informationen<br />
är avsedd att avspegla. 21<br />
Tredje punkten (sekretess) innebär att endast de som är behöriga ska få ta<br />
del av informationen. Det är inte bara hemliga uppgifter som ska skyddas,<br />
utan även andra uppgifter som omfattas av sekretess enligt sekretesslagen<br />
ska skyddas. Sekretesslagens tillämplighet gäller således oavsett lagrum.<br />
Även sådan information som inte omfattas av sekretess ska skyddas. Sådan<br />
information kan det finnas i t ex skrivelser, minnesanteckningar eller s k<br />
mellanprodukter. Detta innebär att information i såväl allmänna som andra<br />
handlingar ska skyddas.<br />
Fjärde punkten (spårbarhet) innebär att det ska vara möjligt att härleda varifrån<br />
informationen kommer och när. Detta inskränker naturligtvis inte den<br />
grundlagsskyddade meddelarfriheten. 22 Normalt får myndigheten inte efterforska<br />
vem som har utnyttjat sin meddelarfrihet.<br />
Informationssäkerhet är en integrerad del av <strong>Försvarsmakten</strong>s verksamhet.<br />
Alla som i någon utsträckning hanterar informationstillgångar har<br />
ett ansvar att upprätthålla informationssäkerheten. Det är samtidigt ett<br />
ansvar för chefer på alla nivåer inom <strong>Försvarsmakten</strong> att aktivt verka för<br />
att alla inser informationssäkerhetens betydelse och att en positiv attityd<br />
till säkerhetsarbetet genomsyrar all verksamhet. <strong>Försvarsmakten</strong>s informationssäkerhetsarbete<br />
leds och samordnas av militära underrättelseoch<br />
säkerhetstjänsten i Högkvarteret. Var och en i <strong>Försvarsmakten</strong> ska<br />
21. Definitioner på sekretess, riktighet, tillgänglighet och spårbarhet framgår av SIS HB 550<br />
Terminologi för informationssäkerhet, <strong>utgåva</strong> 2 2006.<br />
22. Med meddelarfrihet avses de regler i tryckfrihetsförordningen som innebär att alla har rätt<br />
att, med vissa begränsningar, fritt meddela uppgifter och underrättelser i vilket ämne som<br />
helst för publicering i tryckta och enligt 1 kap. 5 § tryckfrihetsförordningen därmed<br />
jämställda skrifter. För radio m m gäller motsvarande regler i yttrandefrihetsgrundlagen.<br />
Se även kap 2 i denna handbok.<br />
39
3 Informationssäkerhet<br />
vara uppmärksam på och rapportera händelser som kan påverka säkerheten<br />
för våra informationstillgångar.<br />
<strong>Försvarsmakten</strong>s informationssäkerhetspolicy<br />
Det är envars ansvar att delta i säkerhetsarbetet inom sitt arbetsområde. Med<br />
alla avses civil och militär personal. Med militär personal avses yrkesofficerare,<br />
reservofficerare, officersaspiranter, totalförsvarspliktig personal, krigsfrivillig<br />
personal, hemvärnsmän, frivillig personal, tjänstepliktig personal<br />
och personal i <strong>Försvarsmakten</strong>s utlandsstyrka. Även andra, t ex uppdragstagare,<br />
som deltar i <strong>Försvarsmakten</strong>s verksamhet måste ta del av informationssäkerhetspolicyn.<br />
Dessa kan dock inte bli föremål för myndighetens<br />
arbetsrättsliga åtgärder.<br />
Chefer på alla nivåer ska verka för att en positiv attityd till säkerhetsarbetet<br />
finns i verksamheten. Detta kan ske t ex genom att uppmuntra till utbildning<br />
och att föregå med gott exempel i förhållande till säkerhetsarbetet.<br />
Med hänsyn till att chefen för den militära underrättelse- och säkerhetstjänsten<br />
(C MUST) i Högkvarteret (HKV) är <strong>Försvarsmakten</strong>s informationssäkerhetschef,<br />
är det rimligt att myndighetens informationssäkerhetsarbete<br />
leds och samordnas vid HKV MUST. 23 Inom HKV MUST är det Säkerhetskontoret<br />
som handlägger frågor som rör informationssäkerhet.<br />
Informationssäkerhetspolicyn belyser att alla måste hjälpa till vad gäller incidentrapportering<br />
för att den ska fungera på ett effektivt sätt. Det framgår<br />
även av 4 kap. 2 § <strong>Försvarsmakten</strong>s föreskrifter för <strong>Försvarsmakten</strong>s personal att<br />
det finns en skyldighet att rapportera säkerhetshotande verksamhet.<br />
Informationssäkerhetspolicyn förverkligas genom att vi följer de mål,<br />
handlingsplaner och åtgärder som beskrivs i <strong>Försvarsmakten</strong>s regelverk.<br />
<strong>Försvarsmakten</strong>s informationssäkerhetspolicy<br />
Med <strong>Försvarsmakten</strong>s regelverk avses Försvarets författningssamling (FFS),<br />
<strong>Försvarsmakten</strong>s interna bestämmelser (FIB), <strong>Försvarsmakten</strong>s allmänna<br />
råd (FAR), stabspublikationer (handböcker, instruktioner och reglementen)<br />
samt arbetsordningar. 24<br />
23. 13 kap. 15 § <strong>Försvarsmakten</strong>s föreskrifter om verksamheten vid <strong>Försvarsmakten</strong> (verksamhetsordning).<br />
24. Se vidare Handbok för <strong>Försvarsmakten</strong>s ledning, organisation och verksamhet i stort, För<br />
Led, samt kapitel 2 i denna handbok.<br />
40
Varje organisationsenhet är bunden av denna policy, vilket medför att<br />
det inte finns något utrymme att besluta om lokala policies som avviker<br />
från denna informationssäkerhetspolicy.<br />
<strong>Försvarsmakten</strong>s informationssäkerhetspolicy<br />
En organisationsenhet inom <strong>Försvarsmakten</strong> får inte meddela undantag från<br />
<strong>Försvarsmakten</strong>s informationssäkerhetspolicy. Däremot kan en organisationsenhet<br />
ha en lokal informationssäkerhetspolicy som svarar mot enhetens<br />
lokala förhållanden, under förutsättning att den policyn inte strider mot den<br />
myndighetsgemensamma informationssäkerhetspolicyn. Den lokala policyn<br />
bör heller inte vara en upprepning av <strong>Försvarsmakten</strong>s informationssäkerhetspolicy.<br />
Lokala förhållanden kan t ex vara detaljerade beskrivningar av vilka utbildningar<br />
som olika personalkategorier måste ha genomgått med godkänt<br />
resultat för att få hantera olika informationstillgångar.<br />
Den som använder <strong>Försvarsmakten</strong>s informationstillgångar på ett sätt<br />
som strider mot denna informationssäkerhetspolicy kan bli föremål för<br />
åtgärder från myndighetens sida.<br />
<strong>Försvarsmakten</strong>s informationssäkerhetspolicy<br />
Åtgärder från myndighetens sida kan t ex vara chefssamtal eller att behörighet<br />
till viss information tas bort.<br />
Militära underrättelse- och säkerhetstjänsten i Högkvarteret ansvarar för<br />
att informationssäkerhetspolicyn årligen granskas och vid behov revideras.<br />
<strong>Försvarsmakten</strong>s informationssäkerhetspolicy<br />
<strong>Försvarsmakten</strong>s informationssäkerhetspolicy är tänkt att gälla över lång<br />
tid. För att policyn ska kunna hållas aktuell ska den dock granskas varje år<br />
och vid behov revideras.<br />
Inom HKV MUST är det Säkerhetskontoret som ansvarar för granskningen.<br />
Denna informationssäkerhetspolicy är fastställd av överbefälhavaren<br />
den 5 april 2005 och ska börja tillämpas den 1 maj 2005.<br />
<strong>Försvarsmakten</strong>s informationssäkerhetspolicy<br />
3 Informationssäkerhet<br />
Överbefälhavaren har genom beslutet att fastställa informationssäkerhetspolicyn<br />
givit uttryck för myndighetsledningens viljeinriktning vad gäller<br />
<strong>Försvarsmakten</strong>s informationssäkerhet.<br />
41
3 Informationssäkerhet<br />
3.2 Hemligbeteckning och<br />
informationssäkerhetsklass<br />
3.2.1 Hemligbeteckning<br />
Grunden för att få hemligstämpla en allmän handling som bedöms vara<br />
hemlig finns i 2 kap. 16 § tryckfrihetsförordningen.<br />
Av 15 kap. 3 § sekretesslagen framgår att om det kan antas att det kan föreligga<br />
hinder mot utlämnande av uppgift i allmän handling får myndighet<br />
utmärka detta genom särskild anteckning. Sådan anteckning ska innehålla<br />
beteckningen hemlig, tillämplig bestämmelse samt ange dagen för anteckningen<br />
och den myndighet, som har låtit göra den. Det är alltså inte tillåtet<br />
att påföra en handling, som bedömts innehålla hemliga uppgifter, märkningar<br />
såsom konfidentiell, intern, sekretess, unclassified, classified, förtrolig,<br />
endast för tjänstebruk eller liknande. Med tillämplig bestämmelse avses<br />
vilken bestämmelse i sekretesslagen som sekretessen avser.<br />
Kan det antas att hinder mot utlämnande av uppgift i allmän handling föreligger<br />
enligt sekretessbestämmelse i denna lag eller annan författning, får myndighet<br />
utmärka detta genom särskild anteckning. Sådan anteckning skall innehålla beteckningen<br />
hemlig samt ange tillämplig bestämmelse, dagen för anteckningen<br />
och den myndighet, som har låtit göra den.<br />
15 kap. 3 § första stycket sekretesslagen<br />
En hemligstämpel är enbart en varningssignal om att det kan föreligga sekretess<br />
för uppgifterna i handlingen. Att hemligstämpla en handling innebär<br />
inte något bindande avgörande av sekretessfrågan. Innan en handling lämnas<br />
ut ska således en sekretessprövning av innehållet göras. En sekretessprövning<br />
av innehållet ska göras oavsett om handlingen är försedd med<br />
hemligstämpel eller ej. En sekretessprövning ska göras i varje enskilt fall och<br />
grundas på de uppgifter som förekommer i handlingen. En sådan sekretessprövning<br />
avser inte enbart om en handling innehåller uppgifter som omfattas<br />
av sekretess och rör rikets säkerhet. Det kan även förekomma uppgifter<br />
som omfattas av sekretess men som inte rör rikets säkerhet.<br />
Det är viktigt att understryka att sekretessprövning ska göras oberoende av<br />
om handlingen är försedd med en hemligstämpel eller ej. Det är således inte<br />
tillåtet att vägra att lämna ut en handling enbart med hänvisning till att den<br />
har påförts en hemligstämpel.<br />
42
Det är särskilt viktigt att notera att en begäran om utlämnande av en allmän<br />
handling som bedöms vara kvalificerat hemlig endast får prövas av chefen<br />
för Försvarsdepartementet, såvida uppgifterna inte angår polisens verksamhet<br />
för att hindra eller uppdaga brott som rör rikets säkerhet, då är det<br />
chefen för Justitiedepartementet som har att pröva de frågorna. Om uppgifterna<br />
i den kvalificerat hemliga handlingen är sekretessbelagda enligt 2 kap<br />
1 § sekretesslagen (den så kallade utrikessekretessen) och handlingen har<br />
överlämnats av utrikesdepartementet till en svensk myndighet är det chefen<br />
för Utrikesdepartementet som prövar begäran om utlämnande av en allmän<br />
handling. 25<br />
3.2.2 Informationssäkerhetsklasser<br />
I internationella bestämmelser (NATO, EU med flera) finns det normalt fyra<br />
klasser som reglerar säkerhetsskyddet (TOP SECRET, SECRET, CONFI-<br />
DENTIAL, RESTRICTED eller motsvarande). I tidigare gällande säkerhetsskyddsföreskrifter<br />
reglerades säkerhetsskyddet enbart utifrån om uppgifterna<br />
var hemliga eller kvalificerat hemliga. Detta innebar t ex att om menet<br />
vid ett röjande av hemliga uppgifter skulle bli ”ringa men” så skulle uppgifterna<br />
säkerhetsskyddsmässigt hanteras på samma sätt som om menet<br />
skulle bli ”inte obetydligt men”. Detta är varken utifrån synsättet om ett<br />
balanserat säkerhetsskydd eller kostnadsmässigt försvarbart.<br />
Med anledning av att det finns behov av ett bättre balanserat skydd för hantering<br />
av hemliga uppgifter samt ökande internationell verksamhet har<br />
<strong>Försvarsmakten</strong> funnit att säkerhetsskyddet ska indelas i nedan nämnda informationssäkerhetsklasser.<br />
Till hjälp för inplacering av hemliga uppgifter i<br />
informationssäkerhetsklass har militära underrättelse- och säkerhetstjänsten<br />
i Högkvarteret tagit fram riktlinjer som ska användas vid inplacering av<br />
hemliga uppgifter i informationssäkerhetsklass [ref. 3:3].<br />
Informationssäkerhetsklasserna får inte användas för annan sekretess som<br />
inte rör rikets säkerhet, t ex sekretess i samband med upphandling eller till<br />
skydd för enskilds personliga förhållanden. Någon motsvarande indelning<br />
för andra uppgifter som omfattas av sekretess enligt sekretesslagen och som<br />
inte rör rikets säkerhet finns inte. Det är endast information som rör rikets<br />
säkerhet som ska placeras i informationssäkerhetsklass, det vill säga information<br />
som kräver ett säkerhetsskydd. Informationssäkerhetsklass ska även<br />
anges på sådana handlingar som av en utländsk myndighet eller mellanfolklig<br />
organisation åsatts upprättarens motsvarighet till <strong>Försvarsmakten</strong>s<br />
informationssäkerhetsklasser.<br />
25. 7 § sekretessförordningen.<br />
3 Informationssäkerhet<br />
43
3 Informationssäkerhet<br />
Säkerhetsskyddet indelas i fyra informationssäkerhetsklasser med följande<br />
beteckningar och betydelser.<br />
I bilaga 3:4 finns en översikt över hanteringsbestämmelser i <strong>Försvarsmakten</strong><br />
för hantering av hemliga uppgifter.<br />
Informationssäkerhetsklass<br />
HEMLIG/TOP SECRET<br />
H/TS<br />
HEMLIG/SECRET<br />
44<br />
H/S<br />
Betydelse Konsekvensbeskrivning<br />
1. Hemliga uppgifter vars<br />
röjande kan medföra<br />
synnerligt men för totalförsvaret<br />
eller förhållandet<br />
till en annan stat<br />
eller en mellanfolklig<br />
organisation eller i annat<br />
fall för rikets säkerhet.<br />
2. Hemlig handling som<br />
har försetts med beteckningen<br />
TOP SEC-<br />
RET eller motsvarande<br />
av en utländsk myndighet<br />
eller mellanfolklig<br />
organisation.<br />
1. Hemliga uppgifter vars<br />
röjande kan medföra<br />
betydande men för<br />
totalförsvaret eller förhållandet<br />
till en annan<br />
stat eller en mellanfolklig<br />
organisation eller i<br />
annat fall för rikets säkerhet.<br />
2. Hemlig handling som<br />
har försetts med beteckningen<br />
SECRET<br />
eller motsvarande av<br />
en utländsk myndighet<br />
eller mellanfolklig organisation.<br />
Förväntade konsekvenser<br />
medför en synnerlig negativ<br />
effekt.<br />
Konsekvenserna innebär synnerligen<br />
allvarliga negativa effekter<br />
av stor omfattning, under<br />
lång tid och utgör ett direkt<br />
hot mot organisationen.<br />
Konsekvenserna är inte begränsade<br />
till enstaka förmågor<br />
eller funktioner inom organisationen.<br />
Förväntade konsekvenser är<br />
betydande.<br />
Konsekvenserna är allvarliga,<br />
av stor omfattning eller av väsentlig<br />
art och innebär ett direkt<br />
hot, om än mot avgränsade<br />
förmågor eller funktioner<br />
inom organisationen.
Informationssäkerhetsklass<br />
HEMLIG/CONFIDENTIAL<br />
H/C<br />
HEMLIG/RESTRICTED<br />
H/R<br />
Betydelse Konsekvensbeskrivning<br />
1. Hemliga uppgifter vars<br />
röjande kan medföra<br />
ett inte obetydligt men<br />
för totalförsvaret eller<br />
förhållandet till en annan<br />
stat eller en mellanfolklig<br />
organisation<br />
eller i annat fall för rikets<br />
säkerhet.<br />
2. Hemlig handling som<br />
har försetts med beteckningen<br />
CONFI-<br />
DENTIAL eller motsvarande<br />
av en utländsk<br />
myndighet eller mellanfolklig<br />
organisation.<br />
1. Hemliga uppgifter vars<br />
röjande kan medföra<br />
endast ringa men för<br />
totalförsvaret eller förhållandet<br />
till en annan<br />
stat eller en mellanfolklig<br />
organisation eller i<br />
annat fall för rikets säkerhet.<br />
2. Hemlig handling som<br />
har försetts med beteckningen<br />
RESTRIC-<br />
TED eller motsvarande<br />
av en utländsk myndighet<br />
eller mellanfolklig<br />
organisation.<br />
Förväntade konsekvenser är<br />
inte obetydliga och äventyrar,<br />
vållar skada, hindrar, underlättar,<br />
innebär större avbrott<br />
samt medför påtagliga negativa<br />
effekter om än i begränsad<br />
omfattning.<br />
Förväntade konsekvenser är<br />
ringa och begränsas till att påverka,<br />
försvåra, hindra, undergräva,<br />
misskreditera eller<br />
störa verksamheten i mindre<br />
omfattning.<br />
Informationssäkerhetsklasserna skrivs alltid ut med versaler. Om informationssäkerhetsklasserna<br />
behöver förkortas ska förkortningen utformas enligt<br />
följande.<br />
Informationssäkerhetsklass Förkortning<br />
HEMLIG/TOP SECRET H/TS<br />
HEMLIG/SECRET H/S<br />
HEMLIG/CONFIDENTIAL H/C<br />
HEMLIG/RESTRICTED H/R<br />
3 Informationssäkerhet<br />
45
3 Informationssäkerhet<br />
H/TS<br />
H/S<br />
H/C<br />
H/R<br />
Antal uppgifter<br />
H/TS: Synnerligt men ...<br />
H/S: Betydande men ...<br />
H/C: Icke obetydligt men ...<br />
H/R: Ringa men ...<br />
<strong>Skydd</strong>skrav<br />
...försetts av<br />
en utländsk<br />
myndighet eller<br />
mellanfolklig<br />
organisation<br />
Bild 3:2 Schematisk skiss över antal uppgifter i de olika informationssäkerhetsklasserna<br />
i förhållande till de säkerhetsskyddskrav som gäller för uppgifterna samt<br />
benämningar på omfattning av men.<br />
Beteckningen HEMLIG/TOP SECRET i 4 § i detta kapitel anger en högre informationssäkerhetsklass<br />
än beteckningen HEMLIG/SECRET. Beteckningen<br />
HEMLIG/SECRET anger en högre informationssäkerhetsklass än beteckningen<br />
HEMLIG/CONFIDENTIAL och beteckningen HEMLIG/CONFIDENTIAL<br />
anger en högre informationssäkerhetsklass än beteckningen HEMLIG/<br />
RESTRICTED.<br />
1 kap. 5 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd<br />
Av föreskriften följer vilken informationssäkerhetsklass som har ett starkare<br />
säkerhetsskydd än en annan informationssäkerhetsklass.<br />
3.2.3 Hemligstämpling och märkning med<br />
informationssäkerhetsklass<br />
Det är lämpligt att färgen på hemligstämpeln och stämpel för informationssäkerhetsklass<br />
är röd. Röd färg har använts under lång tid och den fungerar<br />
som en varningssignal som känns igen av de flesta personer. Om röd färg<br />
inte kan användas får annan färg nyttjas. Då hemliga uppgifter behandlas i<br />
IT-system är det vanligt att svart färg används istället för röd färg.<br />
46
En allmän handling som är hemlig, det vill säga omfattas av sekretess och<br />
rör rikets säkerhet, ska förses med en hemligstämpel. En sådan hemligstämpel<br />
ska ha en rektangulär ram. Ramen ska vara enkel för hemlig handling<br />
(upp till och med informationssäkerhetsklass HEMLIG/SECRET) och dubbel<br />
för kvalificerat hemlig handling (informationssäkerhetsklass HEMLIG/<br />
TOP SECRET).<br />
Eftersom det är handlingens informationssäkerhetsklass som styr vilka säkerhetsskyddsåtgärder<br />
som ska vidtas för en handling så ska denna uppgift<br />
tydligt framgå.<br />
Om en hemlig handling består av flera sidor ska på varje sida finnas en hänvisning<br />
till uppgiften om informationssäkerhetsklass på första sidan. Även<br />
bilagor som innehåller hemliga uppgifter ska på varje sida hänvisa till uppgiften<br />
om informationssäkerhetsklass på bilagans första sida.<br />
I bild 3:3 ges exempel på hur en hemligstämpel för hemlig respektive kvalificerat<br />
hemlig tillsammans med stämpel för informationssäkerhetsklass<br />
kan se ut på en allmän hemlig handling.<br />
HEMLIG<br />
Enligt sekretesslagen 2 kap 2§ (1980:100)<br />
2006-09-29<br />
FÖRSVARSMAKTEN<br />
3 Informationssäkerhet<br />
HEMLIG<br />
Enligt 2 kap 2§ sekretesslagen (1980:100)<br />
AV SYNNERLIG BETYDELSE FÖR RIKETS <strong>SÄK</strong>ERHET<br />
2006-07-16<br />
Frågan om denna handlings utlämnande skall<br />
prövas av chefen för Försvarsdepartementet<br />
FÖRSVARSMAKTEN<br />
HEMLIG/CONFIDENTIAL HEMLIG/TOP SECRET<br />
Bild 3:3 Exempel på hemligstämpel tillsammans med stämpel för informationssäkerhetsklass.<br />
Upp till och med informationssäkerhetsklassen HEMLIG/SECRET bör ramen<br />
i stämpel för informationssäkerhetsklass vara enkel. Ramen för stämpel<br />
för informationssäkerhetsklass HEMLIG/TOP SECRET bör vara dubbel.<br />
47
3 Informationssäkerhet<br />
HEMLIG/TOP SECRET<br />
HEMLIG/SECRET<br />
HEMLIG/CONFIDENTIAL<br />
HEMLIG/RESTRICTED<br />
Bild 3:4 Utformning av stämpel för de olika informationssäkerhetsklasserna.<br />
Hemliga handlingar som inte är allmänna ska förses med annan lämplig<br />
märkning på handlingens första sida. 26 Av denna märkning ska informationssäkerhetsklass<br />
framgå. 27<br />
Bild 3:5 visar märkning som sedan lång tid tillbaka har tillämpats inom <strong>Försvarsmakten</strong>.<br />
Detta äldre sätt att märka en arbetshandling visar inte vilken<br />
informationssäkerhetsklass handlingen placerats i. Om den används måste<br />
den därför kompletteras med anteckning om informationssäkerhetsklass.<br />
Märkning av informationssäkerhetsklass ger innehavaren av handlingen<br />
upplysning om hur handlingen ska hanteras. T ex är det skillnad i krav på<br />
förvaring av hemlig handling om handlingen är placerad i informationssäkerhetsklass<br />
HEMLIG/RESTRICTED eller informationssäkerhetsklass<br />
HEMLIG/SECRET.<br />
H KH H KH<br />
Bild 3:5 Exempel på äldre märkning av hemlig handling som inte är allmän. Denna<br />
märkning bör undvikas då informationssäkerhetsklass inte framgår.<br />
Den äldre märkningen bör undvikas till förmån för märkning enligt bild 3:6.<br />
Med en sådan märkning framgår tydligt vilken informationssäkerhetsklass<br />
en hemlig arbetshandling är placerad i.<br />
26. 2 kap. 1 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
27. 2 kap. 2 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
48
H/R H/S H/TS<br />
H/R H/S H/TS<br />
Bild 3:6 Exempel på märkning med informationssäkerhetsklass av hemlig handling<br />
som inte är allmän.<br />
Märkning med hemligstämpel och informationssäkerhetsklass ska på motsvarande<br />
sätt även ske av lagringsmedier som innehåller hemliga uppgifter.<br />
28 Ett lagringsmedium som avses innehålla eller innehåller hemliga<br />
allmänna handlingar skall märkas med hemligstämpel och informationssäkerhetsklass.<br />
Ett lagringsmedium som enbart är avsett för hemliga handlingar<br />
som inte är allmänna (t ex hemliga arbetshandlingar) behöver enbart<br />
vara märkt med informationssäkerhetsklass. Se även kapitel 10 i Handbok<br />
för <strong>Försvarsmakten</strong>s säkerhetstjänst, Informationsteknik (H <strong>SÄK</strong> IT 2006)<br />
om hantering av lagringsmedium.<br />
3.2.4 Hävande av hemligstämpel<br />
Om det vid sekretessprövningen av en handling som är försedd med hemligstämpel<br />
framgår att denna inte längre innehåller sådana uppgifter som<br />
omfattas av sekretess enligt sekretesslagen, ska hemligstämpeln hävas.<br />
Beslutet ska antecknas på handlingen och innehålla<br />
• myndighetens namn,<br />
• datum för beslutet och<br />
• vem som fattat beslutet.<br />
Därefter ska hemligstämpeln och stämpel med informationssäkerhetsklass<br />
överkorsas (se exempel i bild 3:7) och anteckning om beslutet göras i det<br />
register där handlingen är diarieförd. 29 Underlaget ska lämnas till registervårdande<br />
enhet inom myndigheten så att ändring kan införas i det register<br />
där handlingen är diarieförd. Om handlingen består av flera sidor är det<br />
lämpligt att på alla sidor överkorsa hänvisningen till hemligstämpeln på<br />
första sidan.<br />
28. 7 kap. 3 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
29. 2 kap. 4 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
3 Informationssäkerhet<br />
49
3 Informationssäkerhet<br />
HEMLIG<br />
Enligt sekretesslagen 2 kap 2§ (1980:100)<br />
2006-09-29<br />
FÖRSVARSMAKTEN<br />
HEMLIG/CONFIDENTIAL<br />
Handlingen är inte hemlig<br />
<strong>2007</strong>-01-15<br />
<strong>Försvarsmakten</strong>, Högkvarteret<br />
Mj Anders Andersson<br />
Bild 3:7 Exempel på anteckning om upphävd hemligstämpel.<br />
Är det fråga om en kvalificerat hemlig handling som inte längre bedöms som<br />
kvalificerat hemlig ska samråd ske med den som upprättat handlingen innan<br />
nämnda åtgärder vidtas. Anteckning om samrådet ska göras på handlingen.<br />
I förekommande fall ska handlingen förses med en ny hemligstämpel eller<br />
anteckning att den är hemlig. Därefter ska handlingen lämnas till registervårdande<br />
enhet inom myndigheten så att ändringen kan införas i register<br />
där handlingen är diarieförd. 30<br />
Den organisationsenhet som gör bedömningen att en allmän hemligstämplad<br />
handling inte är hemlig ska underrätta den organisationsenhet eller<br />
myndighet som har upprättat handlingen. 31 Det kan även rekommenderas<br />
att de organisationsenheter och myndigheter som finns med på sändlistan i<br />
den hemliga handlingen informeras när handlingen inte längre bedöms innehålla<br />
uppgifter som omfattas av sekretess.<br />
30. 2 kap. 4 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
31. 2 kap. 1 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd för viss<br />
materiel.<br />
50
3.2.5 Överkorsning<br />
Om handling som inte är allmän, t ex en arbetshandling, är försedd med<br />
anteckning att den är hemlig och den inte längre bedöms som hemlig ska<br />
anteckningen överkorsas. På handlingen ska anges vem som har beslutat om<br />
överkorsningen, se exempel i bild 3:8. 32<br />
H/S<br />
Handlingen är inte hemlig<br />
2006-09-29<br />
<strong>Försvarsmakten</strong>, Högkvarteret<br />
Mj Anders Andersson<br />
Bild 3:8 Exempel på anteckning om överkorsad hemligbeteckning på handling som<br />
inte är allmän.<br />
3.2.6 Ändring av informationssäkerhetsklass<br />
Om en handling placeras i en annan informationssäkerhetsklass än vad som<br />
anges på handlingen ska detta antecknas på handlingen.<br />
En sådan anteckning ska innehålla<br />
• den nya informationssäkerhetsklassen,<br />
• myndighetens namn,<br />
• datum för beslutet samt<br />
• vem som fattat beslutet. 33<br />
Den tidigare angivna informationssäkerhetsklassen överkorsas. Den nya informationssäkerhetsklassen<br />
anges i anslutning till den tidigare angivna<br />
informationssäkerhetsklassen, se exempel i bild 3:9.<br />
32. 2 kap. 4 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
33. 2 kap. 5 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
3 Informationssäkerhet<br />
51
3 Informationssäkerhet<br />
När beslut om ändring av informationssäkerhetsklass tagits så ska underlag<br />
lämnas till registervårdande enhet inom myndigheten så att ändringen kan<br />
införas i aktuellt register. En ändring av informationssäkerhetsklass kan<br />
bland annat resultera i nya kvitterings- och inventeringsrutiner för aktuell<br />
handling.<br />
Den organisationsenhet som gör bedömningen att en allmän hemligstämplad<br />
handling ska placeras i en annan informationssäkerhetsklass än den<br />
ursprungliga ska underrätta den organisationsenhet eller myndighet som<br />
har upprättat handlingen. 34 Det kan även rekommenderas att de organisationsenheter<br />
och myndigheter som finns med på sändlistan i den hemliga<br />
handlingen informeras om att handlingen placeras i en annan informationssäkerhetsklass<br />
än den ursprungliga.<br />
HEMLIG/SECRET<br />
HEMLIG/RESTRICTED<br />
Handlingen placeras i<br />
HEMLIG/RESTRICTED<br />
<strong>2007</strong>-01-15<br />
<strong>Försvarsmakten</strong>, FMLOG<br />
Övlt Carl Carlsson<br />
Bild 3:9 Exempel på anteckning om ändrad informationssäkerhetsklass på hemlig<br />
allmän handling.<br />
3.3 Behörighet att ta del av hemliga uppgifter<br />
Den som tar emot hemliga uppgifter ska vara behörig. 35<br />
34. 2 kap. 1 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd för viss<br />
materiel.<br />
35. 7 § säkerhetsskyddsförordningen.<br />
52
Att vara behörig att ta del av hemliga uppgifter innebär att personen ska<br />
• bedömas pålitlig från säkerhetssynpunkt, 36<br />
• ha kunskap om de bestämmelser som finns för att säkerställa att det finns<br />
ett gott säkerhetsskydd för de hemliga uppgifterna och<br />
• ha behov av de hemliga uppgifterna för att kunna utföra sina arbetsuppgifter<br />
i den verksamhet som de hemliga uppgifterna förekommer.<br />
Organisationsenhet ska fatta beslut om vem som är behörig att ta befattning<br />
med hemliga handlingar som är placerade i någon av informationssäkerhetsklasserna<br />
HEMLIG/CONFIDENTIAL, HEMLIG/SECRET respektive<br />
HEMLIG/TOP SECRET eller som på annat sätt får ta del av en hemlig uppgift.<br />
37 Beslutet ska dokumenteras. Detta beslut bör ligga till grund för en lista<br />
över de anställda som är behöriga att ta del av hemliga uppgifter. En sådan<br />
behörighetslista förvaras lämpligast vid expeditionen. Det är särskilt viktigt<br />
från säkerhetssynpunkt att listan är aktuell. Således bör den fortlöpande revideras<br />
och uppdateras. Behörighetslistorna är allmänna handlingar och ska<br />
därför arkiveras vid förbanden.<br />
Något beslut behöver inte fattas för vem som är behörig att ta befattning med<br />
hemliga handlingar som är placerade i informationssäkerhetsklass HEM-<br />
LIG/RESTRICTED. Med hänsyn till att en sådan handling alltjämt innehåller<br />
hemliga uppgifter får myndigheten endast, enligt 7 § säkerhetsskyddsförordningen<br />
(1996:633), delge uppgifterna till den som är behörig att ta del av<br />
dem för sitt arbete i den verksamhet som uppgifterna förekommer.<br />
Om muntlig delgivning ska ske av hemliga uppgifter placerade i informationssäkerhetsklass<br />
HEMLIG/CONFIDENTIAL eller högre, får detta endast<br />
ske i en lokal eller inom ett område som är godkänt från säkerhetsskyddssynpunkt.<br />
38<br />
3.4 Sekretessbevis<br />
3 Informationssäkerhet<br />
Den som tillåts att ta del av hemliga uppgifter skall upplysas om räckvidden och<br />
innebörden av sekretessen.<br />
8 § säkerhetsskyddsförordningen<br />
36. Se kap 6 i denna handbok om vad som avses med lämplig och pålitlig från säkerhetssynpunkt,<br />
37. 2 kap. 6 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
38. 2 kap. 3 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd av viss<br />
materiel.<br />
53
3 Informationssäkerhet<br />
Den som får ta del av hemliga uppgifter ska ha upplysts om innebörden och<br />
räckvidden av sekretessen. Detta sker genom att chef för organisationsenheten,<br />
eller den som han eller hon utser, ser till att sekretessbevis upprättas.<br />
39 Sekretessbevis ska upprättas med alla som får ta del av hemliga<br />
uppgifter. Det bör understrykas att ett sekretessbevis är en bekräftelse på att<br />
den anställde blivit informerad om vad som gäller om sekretess, samt att han<br />
eller hon ska rätta sig efter sekretessbestämmelserna. Exempel på sekretessbevis<br />
finns i bilaga 3:3.<br />
I en eventuell rättegång är ett sekretessbevis ett bevis på att den anställde<br />
har eller borde ha förstått att han eller hon bröt mot sin tystnadsplikt. Då<br />
någon bryter mot tystnadsplikten kan han, enligt 20 kap. 3 § brottsbalken,<br />
dömas till böter eller fängelse i högst ett år för brott mot tystnadsplikt.<br />
3.5 Arbetsrutiner med hemliga handlingar<br />
Är en allmän handling som är hemlig placerad i informationssäkerhetsklassen<br />
HEMLIG/CONFIDENTIAL, HEMLIG/SECRET eller HEMLIG/TOP<br />
SECRET ska det på sändlistan till handlingen eller i det register där handlingen<br />
är diarieförd anges<br />
• hur många exemplar av handlingen som har framställts och<br />
• vilka som är mottagare av respektive exemplar. 40<br />
För de hemliga handlingar, såväl allmänna som inte allmänna handlingar,<br />
som är placerade i informationssäkerhetsklassen HEMLIG/RESTRICTED<br />
föreligger inte nämnda krav eftersom sådana handlingar inte behöver kvitteras.<br />
Vid framställning av en allmän handling som är hemlig och som är placerad<br />
i informationssäkerhetsklassen HEMLIG/CONFIDENTIAL, HEMLIG/<br />
SECRET eller HEMLIG/TOP SECRET ska på första sidan antecknas:<br />
• handlingens beteckning,<br />
• exemplarnummer,<br />
• antal sidor samt<br />
• antal bilagor, om sådana följer med.<br />
Sidorna ska numreras i följd. Av bilaga och blad i bok med lösbladssystem<br />
ska framgå till vilken handling bilagan respektive bladet hör. 41<br />
39. 2 kap 2 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd av viss<br />
materiel.<br />
40. 2 kap. 7 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
41. 2 kap. 8 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
54
Nämnda krav föreligger inte för hemliga handlingar som är placerade i informationssäkerhetsklass<br />
HEMLIG/RESTRICTED. En sådan handling hanteras<br />
i detta avseende på samma sätt som när myndigheten hanterar en<br />
allmän handling som inte är hemlig.<br />
Varje myndighet ska besluta vilka rutiner som ska tillämpas i samband med<br />
kopiering av eller utdrag ur en hemlig handling (oavsett om handlingen är<br />
allmän eller ej) som har placerats i informationssäkerhetsklassen HEMLIG/<br />
CONFIDENTIAL, HEMLIG/SECRET eller HEMLIG/TOP SECRET. Beslutet<br />
ska dokumenteras. Kopia av eller utdrag ur en hemlig handling som har<br />
placerats i informationssäkerhetsklassen HEMLIG/TOP SECRET får göras<br />
endast efter medgivande från myndighetens chef eller den han bestämmer.<br />
42 Det är lämpligt att rutiner för kopiering eller utdrag ur hemliga<br />
handlingar framgår i arbetsordning eller motsvarande.<br />
Har kopia av eller utdrag gjorts ur en allmän handling och som har placerats<br />
i informationssäkerhetsklassen HEMLIG/CONFIDENTIAL, HEMLIG/<br />
SECRET eller HEMLIG/TOP SECRET ska uppgift om detta liksom uppgift<br />
om till vem kopian eller utdraget har lämnats antecknas i register eller liggare.<br />
Om det inte framgår av ett utdrag ur en allmän handling som är hemlig<br />
och som har placerats i informationssäkerhetsklassen HEMLIG/CONFI-<br />
DENTIAL, HEMLIG/SECRET eller HEMLIG/TOP SECRET till vilken<br />
handling utdraget hör, ska det på utdraget antecknas från vilken handling<br />
utdraget gjorts. 43<br />
Syftet med nämnda åtgärder är att säkerställa spårbarheten. Om det finns<br />
behov av att framställa kopior eller utdrag ur en allmän handling som är<br />
hemlig ska åtgärder vidtas så att spårbarheten säkerställs. Så kallade ”svartkopior”<br />
får inte förekomma. Svartkopior är oregistrerade kopior av eller<br />
utdrag ur hemliga handlingar som ska registreras<br />
Krav på registrering av vad kopia eller utdrag ur hemlig handling omfattar samt till vem<br />
kopia eller utdrag lämnas<br />
Informationssäkerhetsklass Hemlig allmän handling Hemlig handling som inte är<br />
allmän (arbetshandling)<br />
HEMLIG/TOP SECRET Ska registreras. Ej krav på registrering.*<br />
HEMLIG/SECRET Ska registreras. Ej krav på registrering.<br />
HEMLIG/CONFIDENTIAL Ska registreras. Ej krav på registrering.<br />
HEMLIG/RESTRICTED Ej krav på registrering. Ej krav på registrering.<br />
* En handling som är placerad i informationssäkerhetsklass HEMLIG/TOP<br />
SECRET skall dock kvitteras vid mottagandet oavsett om handlingen är allmän<br />
eller inte. Se även avsnitt 3.5.1 om kvittering.<br />
42. 2 kap. 9 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
43. 2 kap. 10 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
3 Informationssäkerhet<br />
55
3 Informationssäkerhet<br />
Upprättande av sändlistor och numrering av exemplar ska på motsvarande<br />
sätt även ske av lagringsmedier som innehåller hemliga uppgifter. 44 I de fall<br />
lagringsmedier ingår i en skrivelse upprättas vanligen ett missiv samt en<br />
bilaga där lagringsmediet utgör bilagan i skrivelsen.<br />
I bilaga 3:4 finns en översikt över hanteringsbestämmelser i <strong>Försvarsmakten</strong><br />
för hantering av hemliga uppgifter.<br />
3.5.1 Kvittering<br />
Kvittering av hemliga handlingar är en skyddsåtgärd dels för att skydda den<br />
anställde, dels som ett skydd för myndighetens hemliga handlingar. Vilka<br />
regler som gäller vid kvittering är knutna till vilken informationssäkerhetsklass<br />
det rör och i vissa fall om en handling är att anses som allmän eller inte.<br />
Kvittering möjliggör spårbarhet av vilka personer som tagit del av hemliga<br />
uppgifter i skrift eller bild och oavsett om delgivningen skett genom visning<br />
eller muntligen.<br />
Kvittering är väsentligt för att veta vem som innehar en hemlig handling.<br />
För en hemlig allmän handling som är placerad i informationssäkerhetsklass<br />
HEMLIG/CONFIDENTIAL eller högre ska det i det register som den är diarieförd<br />
anges vem som förvarar handlingen eller om handlingen förkommits<br />
eller gallrats. 45<br />
När en allmän handling som är hemlig och som har placerats i informationssäkerhetsklass<br />
HEMLIG/CONFIDENTIAL eller HEMLIG/SECRET<br />
tas emot ska mottagandet kvitteras med namnteckning och namnförtydligande.<br />
Kvittensen ska bevaras hos myndigheten i minst 10 år. En allmän<br />
handling som är hemlig och som har placerats i informationssäkerhetsklass<br />
HEMLIG/RESTRICTED behöver inte kvitteras.<br />
När en hemlig handling som har placerats i informationssäkerhetsklass<br />
HEMLIG/TOP SECRET tas emot ska mottagandet kvitteras med namnteckning<br />
och namnförtydligande på ett särskilt kvitto med kopia. När en sådan<br />
handling återlämnas ska detta antecknas på kvittokopian, som ska bevaras<br />
hos myndigheten i minst 25 år. 46<br />
Att notera är att hemliga handlingar som inte är allmänna inte behöver kvitteras<br />
om handlingen är inplacerad i informationssäkerhetsklassen HEM-<br />
LIG/RESTRICTED, HEMLIG/CONFIDENTIAL eller HEMLIG/SECRET.<br />
Är det frågan om en hemlig handling som har placerats i informationssäkerhetsklass<br />
HEMLIG/TOP SECRET ska handlingen alltid kvitteras oavsett<br />
om den är allmän eller ej.<br />
44. 7 kap. 3 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd<br />
45. 2 kap. 19 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd<br />
46. 2 kap. 11 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
56
3 Informationssäkerhet<br />
Att kvitto ska bevaras hos myndigheten 10 respektive 25 år är kopplat till<br />
preskriptionstiden för brott. T ex är preskriptionstiden 10 år för grov obehörig<br />
befattning med hemlig handling.<br />
Kvittering ska ske genom att mottagaren skriver sin fullständiga namnteckning<br />
med namnförtydligande exempelvis på kvittot. Vidare är det självklart<br />
att datum för kvittering anges på kvittot.<br />
När den anställde inte längre behöver inneha en hemlig handling för sin<br />
tjänst, ska handlingen omgående återlämnas, t ex till centralexpedition eller<br />
motsvarande, för arkivering eller förstöring. Då en hemlig handling lämnas<br />
tillbaka, är det lämpligt att originalkvittot återlämnas till mottagaren, eftersom<br />
det är det enda han eller hon har för att bevisa att den hemliga<br />
handlingen är återlämnad.<br />
Det är lämpligt att det vid expeditionen finns en förteckning med namnteckningar<br />
på den personal som är behöriga att ta del av hemliga handlingar.<br />
Förteckningen bör uppdateras en gång per år.<br />
Om uppgifter i en allmän handling som har placerats i informationssäkerhetsklassen<br />
HEMLIG/CONFIDENTIAL, HEMLIG/SECRET eller HEM-<br />
LIG/TOP SECRET lämnas muntligt eller genom visning ska kvittering ske<br />
genom namnteckning och namnförtydligande på delgivningskvitto eller lista.<br />
Varje myndighet ska besluta hur kvittering ska göras om uppgifter i en<br />
hemlig handling som har placerats i informationssäkerhetsklassen HEM-<br />
LIG/TOP SECRET lämnas muntligt eller genom visning. 47 Om uppgifter<br />
som har placerats i informationssäkerhetsklassen HEMLIG/TOP SECRET<br />
lämnas muntligt eller genom visning så ska de kvitteras oavsett om de tillhör<br />
en allmän handling eller en icke allmän handling. Kvittering ska göras genom<br />
namnteckning och namnförtydligande på ett delgivningskvitto eller en<br />
lista. Kvittot eller listan ska om möjligt förvaras tillsammans med handlingen.<br />
Det är även lämpligt att datera delgivningskvittot eller listan. 48<br />
I projekt där det förekommer hemliga handlingar är det lämpligt att förutse<br />
att alla personer som deltar i projektet tar del av de hemliga handlingar som<br />
finns tillgängliga för projektarbetet. För att lösa kvitteringsfrågan på ett rationellt<br />
och från säkerhetssynpunkt godtagbart sätt är det lämpligt att t ex<br />
projektledaren har en lista över de hemliga handlingar som förekommer. På<br />
listan får samtliga personer i projektet med sin namnteckning och namnförtydligande<br />
kvittera att de har tagit del av de hemliga handlingarna.<br />
47. 2 kap. 12 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
48. 2 kap 4 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd av viss<br />
materiel.<br />
57
3 Informationssäkerhet<br />
Arkiv- och expeditionspersonal behöver inte kvittera när de tar emot en<br />
hemlig handling för registrering, kopiering, arkivering eller förstöring, om<br />
inte den som lämnar över handlingen begär det. 49 Orsaken till detta undantag<br />
är bland annat att arkiv- och expeditionspersonal dagligen tar emot en<br />
stor del hemliga handlingar t ex för registrering. Expeditionspersonalen får<br />
därmed anses ha haft möjlighet att ta del av de hemliga uppgifterna och<br />
därmed är det inte heller rationellt att upprätthålla kvitteringskravet för<br />
denna personalkategori.<br />
Kvittering ska på motsvarande sätt även ske av lagringsmedier som innehåller<br />
hemliga uppgifter. 50 Då lagringsmedier kan innehålla en mycket stor<br />
mängd hemliga uppgifter är det av stor betydelse att spårbarhet över lagringsmedier<br />
upprätthålls genom registrering, kvittering och inventering.<br />
3.5.2 Förvaring av hemliga handlingar och av skyddsvärd<br />
materiel<br />
Hemliga handlingar ska förvaras på ett sådant sätt att obehöriga inte kan ta<br />
del av deras innehåll och för att de inte ska kunna tillgripas. Beroende på<br />
vilket men uppgifterna i de hemliga handlingarna kan orsaka om de röjs till<br />
obehörig, vilket framgår av den informationssäkerhetsklass som de placerats<br />
i, ska handlingarna förvaras i förvaringsutrymmen som under viss tid<br />
motstår försök till intrång. Förvaringsutrymmena indelas i fyra skyddsnivåer.<br />
Ju kraftigare konstruerade utrymmena är och därmed sammanhängande<br />
förmåga att motstå angrepp desto högre skyddsnivå har de. Ju högre<br />
informationssäkerhetsklass den hemliga handlingen är placerad i, desto<br />
kraftigare konstruerat ska förvaringsutrymmet vara, det vill säga ha en viss<br />
skyddsnivå.<br />
Handlingar som inte innehåller hemliga uppgifter ska om möjligt förvaras<br />
åtskilda från handlingar som innehåller hemliga uppgifter. Exempel på när<br />
hemliga handlingar och handlingar som inte är hemliga kan förvaras tillsammans,<br />
är när de ingår i ett och samma ärende.<br />
Sigill, assuranstejp, plomberingstång och präglingsanordning för sigillsvets<br />
ska förvaras som hemliga handlingar. Detsamma gäller karbonpapper, karbonband,<br />
färgband och färgkassett, om de har använts vid arbete med<br />
hemliga uppgifter. Att exempelvis ett karbonpapper ska förvaras på samma<br />
sätt som en hemlig handling beror på att det är möjligt att utläsa på karbonpapperet<br />
vilka hemliga uppgifter som har skrivits.<br />
49. 2 kap. 11 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
50. 7 kap. 3 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
58
3 Informationssäkerhet<br />
Förvaring ska på motsvarande sätt som för hemliga handlingar även ske av<br />
lagringsmedier som innehåller hemliga uppgifter eller hemlig materiel. 51<br />
52<br />
Exempel på emballage som är godkänt från säkerhetssynpunkt finns i kapitel<br />
fem om tillträdesbegränsning.<br />
Förvaringsutrymmen<br />
Den som har ansvar för hemliga handlingar eller hemlig materiel, ska normalt<br />
förfoga över ett eget förvaringsutrymme. Vid val av förvaringsutrymme<br />
måste hänsyn tas till den allmänna skyddsnivån, det vill säga det fysiska<br />
skalskyddet (golv, väggar, tak, dörrar, fönsteröppningar) hos förvaringsutrymmet,<br />
förvaringsutrymmets geografiska läge (t ex bevakat område eller<br />
ensligt belägen plats) respektive tillträdesskyddet till den lokal, där förvaringsutrymmet<br />
(om det är ett flyttbart utrymme) är placerat eller ska placeras.<br />
I vissa fall kan det vara nödvändigt att förse förvaringsutrymmets<br />
skalskydd med larm i form av seismiska detektorer eller vibrationsdetektorer.<br />
I stället för att förse ett förvaringsutrymmes omslutningsytor med seismiska<br />
detektorer eller vibrationsdetektorer kan en annan lösning, om det rör sig<br />
om flyttbara förvaringsutrymmen, vara att förse den lokal som förvaringsutrymmet<br />
är placerat i med volymlarm. Hänsyn måste också tas till skalskyddets<br />
intrångsskydd och insatstiden för insatsstyrkan efter att ett larm<br />
har utlösts. Eventuellt måste även kringliggande lokaler förses med volymlarm.<br />
Förvaring av handlingar placerade i informationssäkerhetsklass<br />
HEMLIG/RESTRICTED<br />
Handlingar i informationssäkerhetsklassen HEMLIG/RESTRICTED bör,<br />
där det är möjligt, förvaras åtskilda från handlingar i informationssäkerhetsklasserna<br />
HEMLIG/CONFIDENTIAL eller HEMLIG/SECRET. Anledningen<br />
till detta är att handlingar i informationssäkerhetsklasserna HEM-<br />
LIG/CONFIDENTIAL eller HEMLIG/SECRET har ett större skyddsvärde<br />
och därmed krav på en högre förvaringsnivå än handlingar i informationssäkerhetsklassen<br />
HEMLIG/RESTRICTED.<br />
51. 7 kap. 3 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
52. 1 kap. 3 § andra stycket <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och<br />
skydd av viss materiel.<br />
59
3 Informationssäkerhet<br />
En hemlig handling som är placerad i informationssäkerhetsklassen HEM-<br />
LIG/RESTRICTED ska förvaras i ett förvaringsutrymme som uppfyller lägst<br />
skyddsnivå 1. 53 Detta förvaringsutrymme kan t ex utgöras av sektionerade<br />
lokaler inom en stab eller ett låst tjänsterum. Utrymmet ska hållas låst och<br />
endast den personal som är behörig att ta del av handlingen får ha tillträde<br />
till utrymmet (berör tillfälliga besökare, lokalvårdare etc. som ej är behöriga).<br />
Krav på förvaringsutrymmets konstruktion och utförande framgår av bilaga<br />
5.<br />
Förvaring av handlingar placerade i informationssäkerhetsklass<br />
HEMLIG/CONFIDENTIAL eller HEMLIG/SECRET<br />
Handlingar i informationssäkerhetsklasserna HEMLIG/CONFIDENTIAL<br />
och HEMLIG/SECRET ska där det är möjligt förvaras åtskilda från handlingar<br />
i informationssäkerhetsklassen HEMLIG/TOP SECRET. Anledningen<br />
till detta är bland annat att handlingar i informationssäkerhetsklassen<br />
HEMLIG/TOP SECRET åtnjuter ett mycket större skyddsvärde och därmed<br />
krav på en betydligt högre skyddsnivå än de övriga handlingarna.<br />
En hemlig handling som är placerad i någon av informationssäkerhetsklasserna<br />
HEMLIG/CONFIDENTIAL eller HEMLIG/SECRET ska förvaras i ett<br />
förvaringsutrymme som uppfyller lägst skyddsnivå 3. 54 Ett sådant utrymme<br />
kan t ex utgöras av säkerhetsskåp (enligt SS 3492), värdeskåp (enligt SS-EN<br />
1143-1, grade 0-II), säkerhetsarkiv etc. Exempel på förvaringsutrymmen i<br />
skyddsnivå 3, och i förekommande fall konstruktion och utförande, framgår<br />
av bilaga 5.<br />
Förvaring av handlingar placerade i informationssäkerhetsklass<br />
HEMLIG/TOP SECRET<br />
För att skilja hemliga handlingar i informationssäkerhetsklassen HEMLIG/<br />
TOP SECRET från övriga hemliga handlingar är det lämpligt att det finns ett<br />
låsbart innerfack i säkerhetsskåpet för förvaring av handlingar i informationssäkerhetsklassen<br />
HEMLIG/TOP SECRET.<br />
En hemlig handling i informationssäkerhetsklassen HEMLIG/TOP SECRET<br />
ska förvaras i ett förvaringsutrymme som uppfyller skyddsnivå 4. 55 Ett sådant<br />
utrymme kan utgöras av värdeskåp (enligt SS 3150 eller SS-EN 1143-1,<br />
lägst grade III), valv etc. Exempel på förvaringsutrymmen i skyddsnivå 4,<br />
och i förekommande fall konstruktion och utförande, framgår av bilaga 5.<br />
53. 2 kap. 14 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
54. 2 kap. 15 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
55. 2 kap. 16 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
60
3 Informationssäkerhet<br />
Möjligheter till avsteg<br />
Varje myndighet får med hänsyn till<br />
• de lokala förutsättningarna,<br />
• de aktuella utrymmenas eller lokalernas belägenhet<br />
• de aktuella utrymmenas eller lokalernas utförande,<br />
• möjligheter att larma eller på annat sätt övervaka utrymmenas eller lokalernas<br />
skalskydd,<br />
• möjligheter att med insatsstyrka kunna ingripa innan intrång skett i utrymmena<br />
eller lokalerna,<br />
Fatta beslut som avviker från föreskrifterna med krav för respektive skyddsnivå.<br />
Undantag får dock bara fattas om beslutet innebär att motsvarande<br />
säkerhetsskyddsnivå kan upprätthållas. Ett sådant beslut ska dokumenteras.<br />
56<br />
Inom <strong>Försvarsmakten</strong> får chef för organisationsenhet fatta sådant beslut.<br />
Beslutet ska grunda sig på en säkerhetsanalys och därpå grundad säkerhetsplan.<br />
I säkerhetsplanen anges vilka åtgärder som ska vidtas för att få en<br />
motsvarande säkerhetsskyddsnivå. Säkerhetsanalys och säkerhetsplan ska<br />
dokumenteras.<br />
Beslut som en chef för en organisationsenhet fattar om var och hur hemliga<br />
handlingar ska förvaras ska grundas på en bedömning av<br />
• tillträdesbegränsningens utformning,<br />
• förvaringsplatsens belägenhet,<br />
• sannolikheten för upptäckt av ett intrång och<br />
• insatstiden för att förhindra ett tillgrepp. 57<br />
Ett exempel på sådant beslut kan vara att i utrymmen eller lokaler som bara<br />
uppfyller skyddsnivå 3 förvara hemliga handlingar som har placerats i informationssäkerhetsklassen<br />
HEMLIG/TOP SECRET, trots att krav på<br />
skyddsnivå 4 föreligger. Ett sådant beslut kan fattas om utrymmets omslutningsyta<br />
(golv, väggar, tak, dörr) förses med seismiska detektorer och en<br />
insatsstyrka kan ingripa på plats innan intrång i utrymmet eller lokalen skett,<br />
det vill säga i regel inom 10 minuter.<br />
Ett annat exempel på ett sådant beslut kan vara ett föremål som genom sitt<br />
omfång inte kan förvaras i rekommenderat förvaringsutrymme. Detta kan<br />
exempelvis gälla för en översiktskarta i en stabslokal. Stabslokalens utformning,<br />
tillträdesbegränsning och bemanning är faktorer i bedömningen om<br />
förvaringen kan uppnå motsvarande säkerhetsskydd som det rekommen-<br />
56. 2 kap. 17 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
57. 2 kap. 5 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd av viss<br />
materiel.<br />
61
3 Informationssäkerhet<br />
derade förvaringsutrymmet. Förvaringen av översiktskartan i stabslokalen<br />
måste uppnå motsvarande säkerhetsskydd som ett förvaringsutrymme som<br />
uppfyller kraven för den skyddsnivå som den informationssäkerhetsklass<br />
som översiktskartan är placerad i.<br />
Det är i regel inte möjligt att fatta beslut om att förvaring som kräver utrymme<br />
eller lokal i skyddsnivå 3 får ske i ett skalskyddslarmat utrymme eller<br />
lokal i skyddsnivå 2. Detta beror på att en insatsstyrka i regel ej hinner ingripa<br />
inom den tid det tar att genomföra intrång i utrymmet eller lokalen,<br />
det vill säga inom 5 minuter.<br />
Om personal ska få medges att under kortare tid, t ex under lunch, få lämna<br />
hemliga handlingar framme i arbetsrummet och inte behöva låsa in dem i<br />
ett säkerhetsskåp måste man säkerställa att inga obehöriga har tillgång till<br />
nycklar till det låsta arbetsrummet. Detta innebär att nycklar, inklusive huvudnycklar,<br />
måste förvaras på ett säkert sätt. Nycklar ska stå under ständig<br />
uppsikt eller vara inlåsta i ett utrymme med samma skyddsnivå som det<br />
arbetsrum för vilka de är avsedda. Nycklar som inte används ska förvaras i<br />
förseglat emballage. Under den tid hemliga handlingar lämnas framme i<br />
arbetsrummet ska arbetsrummet hållas låst . 58 Det bör av arbetsordning eller<br />
motsvarande framgå om personalen får lämna hemliga handlingar framme<br />
i låst arbetsrum samt vad som avses med kortare tid.<br />
3.5.3 Medförande av hemliga handlingar utanför<br />
myndighetens lokaler<br />
Varje myndighet skall besluta i vilken omfattning hemliga handlingar som har<br />
placerats i informationssäkerhetsklassen HEMLIG/CONFIDENTIAL eller<br />
högre får medföras från myndighetens lokaler. Ett sådant beslut skall dokumenteras.<br />
Hemliga handlingar som medförs från myndigheten skall hållas under omedelbar<br />
uppsikt eller förvaras på ett sätt som motsvarar den skyddsnivå som gäller<br />
för förvaringen av handlingarna inom myndighetens lokaler.<br />
2 kap. 20 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd<br />
Varje myndighet ska besluta i vilken omfattning hamliga handlingar som<br />
har placerats i informationssäkerhetsklasserna HEMLIG/CONFIDENTIAL,<br />
HEMLIG/SECRET eller HEMLIG/TOP SECRET får medföras från myndighetens<br />
lokaler. Ett sådant beslut ska dokumenteras och bör lämpligen<br />
framgå av arbetsordning eller motsvarande.<br />
58. 2 kap. 18 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
62
3 Informationssäkerhet<br />
Med medförande avses när enskild person i sin tjänsteutövning behöver<br />
transportera personligen utkvitterade hemliga handlingar, hemliga handlingar<br />
som inte är allmänna, lagringsmedium avsedda för behandling av<br />
hemliga uppgifter i IT-system eller andra informationsbärare som innehåller<br />
hemliga uppgifter. Den hantering som arkiv- och expeditionspersonal utför<br />
vid distribution av hemliga handlingar är inte att betrakta som ett medförande.<br />
Hemliga handlingar som medförs från myndigheten ska hållas under omedelbar<br />
uppsikt eller förvaras på ett sätt som motsvarar den skyddsnivå som<br />
gäller för förvaringen av handlingarna inom myndighetens lokaler. Detta<br />
gäller även handling som är placerad i informationssäkerhetsklassen HEM-<br />
LIG/RESTRICTED.<br />
En portfölj eller dylikt som innehåller en hemlig handling får inte lämnas<br />
obevakad. Det är inte heller tillåtet att överlämna en hemlig handling till<br />
effektförvaring.<br />
Om det uppstår ett förvaringsbehov under en tjänsteresa inom riket, bör i<br />
första hand förvaringsmöjligheten hos ett militärt förband nyttjas. Om detta<br />
inte är möjligt, kan polismyndigheten på orten utgöra ett alternativ.<br />
Vid medförande av hemlig handling utanför myndighetens lokaler kan det<br />
vara lämpligt att förvara handlingen i förseglat emballage så att eventuellt<br />
försök till intrång i emballaget kan uppmärksammas. Exempel på emballage<br />
som är godkänt ur säkerhetssynpunkt finns i kapitel 5 om tillträdesbegränsning.<br />
Beträffande medförande av hemliga handlingar utanför riket, se avsnitt<br />
3.18.10.<br />
En hemlig handling som har placerats i informationssäkerhetsklassen HEMLIG/<br />
CONFIDENTIAL eller högre får medföras utanför <strong>Försvarsmakten</strong>s lokaler eller<br />
områden endast efter beslut av chefen för organisationsenheten, eller den han<br />
eller hon bestämmer eller, såvitt avser Högkvarteret, lägst avdelningschef.<br />
Beslut enligt första stycket erfordras inte om det av något annat beslut följer att<br />
den hemliga handlingen skall medföras utanför en sådan lokal eller ett sådant<br />
område som avses i första stycket.<br />
Detsamma gäller även ifråga om medförande av hemliga handlingar från ett<br />
militärt fartyg, luftfartyg eller från ett fordon, som befinner sig utanför en sådan<br />
lokal eller ett sådant område som avses i första stycket.<br />
2 kap. 10 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel<br />
63
3 Informationssäkerhet<br />
En hemlig handling får medföras utanför <strong>Försvarsmakten</strong>s lokaler eller områden<br />
under den tid som krävs för att lösa de arbetsuppgifter för vilka den<br />
hemliga handlingen behövs. En hemlig handling bör normalt inte medföras<br />
utanför <strong>Försvarsmakten</strong>s lokaler eller områden under längre tid än en eller<br />
ett par dagar. Huvudregeln är att hemliga handlingar inte ska tas med från<br />
ordinarie arbetsplats, då skyddet för en sådan handling alltid blir sämre.<br />
I <strong>Försvarsmakten</strong> är det inte är tillåtet att medföra hemlig handlingar placerade<br />
i informationssäkerhetsklasserna HEMLIG/CONFIDENTIAL,<br />
HEMLIG/SECRET eller HEMLIG/TOP SECRET utanför <strong>Försvarsmakten</strong>s<br />
lokaler eller områden om inte chefen för organisationsenheten, eller den han<br />
eller hon bestämmer, beslutat om medförandet. Motsvarande gäller även för<br />
medförande av hemliga handlingar från ett militärt fartyg, luftfartyg eller<br />
från ett fordon som befinner sig utanför <strong>Försvarsmakten</strong>s lokaler eller områden.<br />
Vid Högkvarteret beslutar lägst avdelningschef om medförande. Ett<br />
beslut om medförande av hemlig handling krävs för såväl allmänna handlingar<br />
som handlingar som inte är allmänna (t ex hemliga arbetshandlingar).<br />
Innan ett beslut om medförande av hemlig handling fattas bör den som fattar<br />
beslutet ta hänsyn till följande<br />
• för vilket ändamål den hemliga handlingen medförs och<br />
• till vilka platser den hemliga handlingen ska medföras.<br />
Beslut om medförande av hemlig handling behöver inte fattas för varje hemlig<br />
handling som ska medföras. Ett beslut om medförande kan vara generellt<br />
och utformas för att gälla hela eller del av organisationsenheten. Ett beslut<br />
om medförande av hemlig handling kan t ex utformas för att omfatta personal<br />
inom angivna specifika verksamheter inom organisationsenheten.<br />
Med ”myndighetens lokaler eller områden” avses alla vid organisationsenheten<br />
förekommande platser där hemliga handlingar behöver hanteras. Ett<br />
riktmärke kan vara sådana lokaler, byggnader och områden där organisationsenheten<br />
fattat beslut om tillträdesrätt. 59 I regel utgör lokaler, byggnader<br />
och områden som allmänheten inte har tillträde till en gräns, som om den<br />
passeras, innebär att ett medförande av hemlig handling kräver ett beslut<br />
om medförande (se exempel 3.1). Vid ett fåtal organisationsenheter har dock<br />
allmänheten tillträde till område som disponeras av <strong>Försvarsmakten</strong>. Områden<br />
där allmänheten har tillträde kan räknas in som myndighetens område<br />
om det huvudsakligen är <strong>Försvarsmakten</strong> som bedriver verksamhet i området<br />
(se exempel 3.2).<br />
59. 2 kap. 18 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
64
Exempel 3.1<br />
Högkvarteret är i Stockholm grupperat på flera skilda platser, t ex Lidingövägen<br />
24 och Tegeluddsvägen 64. En anställd som arbetar vid<br />
Lidingövägen 24 behöver till ett möte på Tegeluddsvägen 64 ta med sig<br />
en hemlig allmän handling samt en hemlig arbetshandling. Då de två<br />
hemliga handlingarna behöver föras ut från myndighetens lokaler (militärstabsbyggnaden<br />
på Lidingövägen 24) och området som omger myndighetens<br />
lokaler behöver den anställde lägst avdelningschefs beslut om<br />
medförande av de hemliga handlingarna.<br />
Exempel 3.2<br />
3 Informationssäkerhet<br />
Vid Karlsborgs fästning finns flera militära verksamheter i olika byggnader<br />
inom fästningsområdet. Fästningsområdet är till stora delar öppet för<br />
allmänheten. Fästningsområdet är en del av myndighetens områden. För<br />
medförande av hemliga handlingar mellan de olika byggnaderna krävs<br />
inte att chef för organisationsenhet beslutar om medförande av hemlig<br />
handling.<br />
Det är lämpligt att det i arbetsordning eller motsvarande framgår vilka lokaler<br />
och områden vid organisationsenheten varifrån ett medförande av<br />
hemlig handling kräver beslut om medförande. Av arbetsordning eller motsvarande<br />
är det också lämpligt att det framgår vem vid organisationsenheten<br />
som fattar beslutet och formerna för det.<br />
I de fall där organisationsenheten är uppdelad på flera geografiskt skilda<br />
platser där det kan antas att medförande i stor omfattning mellan platserna<br />
kommer att ske bör organisationsenhetens chef, eller den han eller hon bestämmer,<br />
fatta ett generellt beslut om medförande av hemlig handling.<br />
Medförande av hemlig handling från militärt fartyg, luftfartyg eller fordon<br />
kräver ett beslut om medförande om det militära fartyget, luftfartyget eller<br />
fordonet befinner sig utanför <strong>Försvarsmakten</strong>s lokaler eller områden. Detta<br />
avser de fall då en hemlig handling i huvudsak avses användas på fartyg,<br />
luftfartyg eller i fordon. Vid medförande av hemlig handling mellan två<br />
platser där transporten mellan platserna sker med ett militärt fartyg, luftfartyg<br />
eller fordon är inte avsikten att det ska krävas beslut om medförande<br />
av hemlig handling till och från det militära fartyget, luftfartyget eller fordonet.<br />
Ett beslut om medförande av hemliga handlingar mellan två platser<br />
innefattar de transportsätt som kommer till användning under medförandet.<br />
Det är inte lämpligt att ett generellt beslut om medförande av hemlig handling<br />
tillåter regelmässigt medförande av hemliga handlingar till en anställds<br />
bostad. Det kan dock inte uteslutas att personal, t ex högre chefer i <strong>Försvarsmakten</strong>,<br />
är i behov av att regelbundet medföra hemliga handlingar till<br />
bostaden för genomläsning eller transport till kommande dags möten. Ett<br />
65
3 Informationssäkerhet<br />
regelmässigt medförande av hemliga handlingar till en anställds bostad kräver<br />
säkerhetsskyddsåtgärder i bostaden för förvaring och skydd mot obehörigas<br />
insyn.<br />
En hemlig handling som har medförts utanför <strong>Försvarsmakten</strong>s lokaler eller<br />
områden skall snarast möjligt återföras eller överlämnas till den organisationsenhet<br />
som skall förvara handlingen.<br />
2 kap. 11 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel<br />
Närmaste chef för den person som medfört hemliga handlingar utanför <strong>Försvarsmakten</strong>s<br />
lokaler eller områden bör förvissa sig om att den hemliga<br />
handlingen är återförd eller överlämnad till den organisationsenhet som<br />
skall förvara den hemliga handlingen.<br />
3.5.4 Inventering<br />
Inventering av hemliga handlingar syftar till att upprätthålla den spårbarhet<br />
i hanteringen av hemliga handlingar som införts genom sändlistor, numrering<br />
av exemplar, registrering och personlig kvittering.<br />
Inventering av kvalificerat hemliga handlingar ska genomföras minst en<br />
gång per år. 60 Av detta följer att även kvalificerat hemliga handlingar som<br />
är arkiverade ska inventeras minst en gång per år. Även andra hemliga<br />
handlingar som är placerade i informationssäkerhetsklass HEMLIG/TOP<br />
SECRET ska inventeras en gång per år. 61 Med per år avses att inventeringen<br />
ska genomföras en gång per kalenderår, det föreligger inget krav om att tiden<br />
mellan två inventeringstillfällen måste vara mindre än ett år.<br />
Organisationsenhetens bestånd av allmänna hemliga handlingar som placerats<br />
i informationssäkerhetsklass HEMLIG/CONFIDENTIAL eller HEM-<br />
LIG/SECRET och som inte är arkiverade ska inventeras en gång per år. 62 För<br />
hemliga handlingar placerade i informationssäkerhetsklass HEMLIG/<br />
RESTRICTED finns inget krav på inventering.<br />
Inventering av handlingar som är placerade i informationssäkerhetsklass<br />
HEMLIG/TOP SECRET ska utföras av två inventeringsförättare. 63 Det är<br />
självklart att ingen av dem får vara den person som ska få sina hemliga<br />
handlingar inventerade.<br />
60. 9 § säkerhetsskyddsförordningen.<br />
61. 2 kap. 12 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd av viss<br />
materiel.<br />
62. 2 kap. 13 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd av viss<br />
materiel.<br />
63. 2 kap. 14 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd av viss<br />
materiel<br />
66
3 Informationssäkerhet<br />
Varje organisationsenhet ska besluta hur hemliga handlingar som har placerats<br />
i informationssäkerhetsklass HEMLIG/CONFIDENTIAL, HEMLIG/<br />
SECRET eller HEMLIG/TOP SECRET ska inventeras. 64 Det är lämpligt att<br />
det i arbetsordning eller motsvarande framgår hur sådan inventering ska<br />
ske.<br />
Det är lämpligt att skapa rutiner för regelbundna inventeringar. En eventuell<br />
informationsförlust upptäcks då åtminstone senast vid inventeringstillfället<br />
varvid en menbedömning omedelbart ska göras. Med menbedömningen<br />
som underlag kan sedan åtgärder vidtas för att minimera eventuell skada.<br />
Inventeringen kan ske i ett uttalat linjeansvar långt ner i organisationen.<br />
Detta medför att inventeringen kommer att gå fort och inte särskilt behöver<br />
belasta expeditions- och arkivpersonal. En årlig inventering kommer att reducera<br />
de kostnader och men som en eftersökning av äldre, förkomna<br />
hemliga handlingar annars hade kunnat komma att medföra. Av erfarenhet<br />
ger varje inventeringstillfälle anledning till återlämnande av ett stort antal<br />
hemliga handlingar till arkiven.<br />
En årlig inventering kan även innebära att de anställda blir mer benägna att<br />
fortare lämna tillbaka kvitterade hemliga handlingar i övrigt. Detta medför<br />
att mängden hemliga handlingar hos de anställda minskar, vilket har fördelar<br />
ur många aspekter, t ex kostnadsbesparingar vid byte av befattningshavare,<br />
då arbetet med det omständliga omkvitteringsförfarandet kan<br />
reduceras. Det kan även tilläggas att preskriptionstiden för brottet vårdslöshet<br />
med hemlig uppgift är två år. Om inventering skulle göras med ett<br />
längre tidsintervall, skulle det få till följd att straffstadgandet förlorar betydelse<br />
genom att eventuellt brott hinner preskriberas.<br />
Inventering av allmänna handlingar som är hemliga och som placerats i informationssäkerhetsklassen<br />
HEMLIG/CONFIDENTIAL eller HEMLIG/<br />
SECRET liksom inventering av hemliga handlingar som har placerats i informationssäkerhetsklassen<br />
HEMLIG/TOP SECRET ska protokollföras. 65<br />
Det är lämpligt att protokoll från inventering av hemliga handlingar sparas<br />
vid expeditionen.<br />
Inventering ska på motsvarande sätt även ske av lagringsmedier som innehåller<br />
hemliga uppgifter. 66<br />
64. 2 kap. 15 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd av viss<br />
materiel.<br />
65. 2 kap. 21 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
66. 7 kap. 3 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
67
3 Informationssäkerhet<br />
3.5.5 Förstöring av hemlig handling<br />
Förstöring av hemliga handlingar eller av materiel som innehåller hemliga<br />
uppgifter ska ske så att åtkomst och återskapande av uppgifterna omöjliggörs.<br />
67 Detta gäller såväl allmänna hemliga handlingar som hemliga handlingar<br />
som inte är allmänna, t ex arbetspapper som skickas i samrådssyfte<br />
eller personliga utkast och minnesanteckningar.<br />
Förstöring kan ske maskinellt eller genom bränning. Vid förstöring av hemliga<br />
handlingar som har placerats i informationssäkerhetsklassen HEMLIG/<br />
TOP SECRET ska förstöringen skriftligen intygas av två, vid förstöringen,<br />
samtidigt närvarande försvarsmaktsanställda personer. 68 71 Denna ordning<br />
är även lämplig vid förstöring av andra hemliga uppgifter.<br />
Ett vanligt sätt inom <strong>Försvarsmakten</strong> är att en hemlig handling som inte är<br />
allmän (t ex en arbetshandling) påförs en anteckning om att den får förstöras<br />
genom innehavarens försorg.<br />
ARBETSPAPPER<br />
HEMLIG<br />
med uppgift<br />
Ej registrerad handling<br />
Förstörelse/Återsändes sedan<br />
arbetet slutförts/efter delgivning<br />
Återsändes till<br />
Datum<br />
Sign.<br />
Bild 3:10 Exempel på anteckning på en hemlig arbetshandling att handlingen får<br />
förstöras genom innhavarens försorg<br />
Förstöring av sådana hemliga handlingar och sådant materiel som innehåller<br />
hemliga uppgifter som är placerade i informationssäkerhetsklass HEMLIG/<br />
CONFIDENTIAL, HEMLIG/SECRET och HEMLIG/TOP SECRET ska dokumenteras<br />
utom såvitt avser karbonpapper, karbonband och färgband. 69<br />
Krigsarkivet har meddelat att förstöringsrapporter över hemliga handlingar<br />
(handlingar placerade upp till och med informationssäkerhetsklass HEM-<br />
LIG/ SECRET) får gallras efter 10 år och förstöringsrapporter över kvalificerat<br />
hemliga handlingar (handlingar placerade i informationssäkerhets-<br />
67. 2 kap. 2 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
68. 2 kap. 17 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd av viss<br />
materiel..<br />
69. 2 kap. 22 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
68
3 Informationssäkerhet<br />
klass HEMLIG/TOP SECRET) får gallras efter 25 år. Bestämmelser för hur<br />
myndigheterna säkerställer att föreskriften följs bör utarbetas av respektive<br />
myndighet.<br />
Inom <strong>Försvarsmakten</strong> ska restprodukter efter förstöring av hemlig handling<br />
som har placerats i informationssäkerhetsklass HEMLIG/CONFIDENTIAL,<br />
HEMLIG/SECRET och HEMLIG/TOP SECRET utgöras av spån med en<br />
bredd av högst 1,2 mm och en längd av högst 15 mm alternativt högst 2 x 2<br />
mm kvadratiska spån. 70<br />
För hemliga handlingar som har placerats i informationssäkerhetsklass<br />
HEMLIG/RESTRICTED får restprodukterna utgöras av spån med en bredd<br />
av högst 2,5 mm och en längd av högst 30 mm eller högst 4 x 4 mm kvadratiska<br />
spån. 71 Dokumentförstörare som enbart uppfyller kraven för förstöring<br />
av handlingar som har placerats i informationssäkerhetsklass HEMLIG/<br />
RESTRICTED måste tydligt märkas på ett sådant sätt, t ex ”ENDAST FÖR<br />
HEMLIGT/RESTRICTED”, så att de inte nyttjas för förstöring av information<br />
i högre informationssäkerhetsklasser. Gamla och slitna destruktörer<br />
som inte till fullo uppfyller kraven för att nyttjas för destruktion av hemliga<br />
handlingar i informationssäkerhetsklassen HEMLIG/CONFIDENTIAL och<br />
högre kan oftast nyttjas för förstöring av handlingar i informationssäkerhetsklassen<br />
HEMLIG/RESTRICTED.<br />
Det normala är att en hemlig handling förstörs av expeditionspersonalen<br />
efter det att den har återlämnats och då sker dokumentationen med automatik.<br />
Om en handling förstörs av någon enskild så ska rutinen vara att<br />
registervårdande enhet omedelbart meddelas om vidtagen åtgärd så att anteckning<br />
att handlingen är förstörd kan göras i register.<br />
I det register där en allmän handling som är hemlig och som har placerats i<br />
informationssäkerhetsklass HEMLIG/CONFIDENTIAL, HEMLIG/SEC-<br />
RET, HEMLIG/TOP SECRET är diarieförd ska anges vem som förvarar<br />
handlingen eller om handlingen förkommit eller gallrats. 72<br />
Bestämmelser för förstöring av hemliga handlingar bör utarbetas av respektive<br />
myndighet och det är lämpligt att det i arbetsordning eller motsvarande<br />
finns angivet hur förstöring ska ske.<br />
70. 2 kap. 16 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd av viss<br />
materiel.<br />
71. 2 kap. 7 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd av viss<br />
materiel<br />
72. 2 kap. 19 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
69
3 Informationssäkerhet<br />
För gallring av hemliga handlingar gäller bestämmelser som meddelas av<br />
Riksarkivet. 73 Myndigheten har skyldighet att arkivera allmänna handlingar<br />
oavsett om de är hemliga eller offentliga. Arkivet är en del av kulturarvet<br />
vilket alltid ska beaktas när handlingar gallras.<br />
Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de bl a<br />
tillgodoser rätten att ta del av allmänna handlingar. I detta sammanhang kan<br />
även nämnas att <strong>Försvarsmakten</strong> i samråd med Krigsarkivet har fattat ett<br />
beslut när gallring får ske av handlingar av tillfällig eller ringa betydelse [Ref.<br />
3:6].<br />
Dokumentförstörare<br />
Dokumentförstörare är ofta av golvmodell med spånavskärare. Kapaciteten<br />
hos dokumentförstörare kan variera från enstaka ark upp till ca 20 ark beroende<br />
på maskinens prestanda och vikten på papperet. Overheadfilm bör<br />
inte destrueras i dessa maskiner, då den kan fastna i skärverket. Vissa maskiner<br />
kan ta en overheadfilm i taget om man lägger vanliga pappersark på<br />
bägge sidor. Gem får inte föras in i dokumentförstörare och man bör även<br />
undvika häftklammer, då dessa sliter på spånavskärarna.<br />
Om kryptonycklar med streckkod skall förstöras i dokumentförstörare som<br />
ger avlånga spån, av högst 15 mm längd och högst 1,2 mm bredd, gäller att<br />
kryptonyckeln skall matas in i dokumentförstöraren med långsidan före så<br />
att inte restprodukterna består av flera läsbara streckkoder. Regler för rutinmässig<br />
förstöring av kryptonycklar framgår av särskild instruktion för<br />
signalskyddstjänsten.<br />
Mikrofilm och flexoremsor skall brännas eller förstöras i särskilda dokumentförstörare<br />
som mal sönder dessa, varvid slutprodukten blir extremt<br />
liten.<br />
Destruktörernas knivar måste smörjas för att fungera på ett tillfredsställande<br />
sätt. Den bästa smörjeffekten uppnås genom att man oljar in ett papper med<br />
lämplig olja, täcker detta papper med ytterligare ett papper samt "tuggar"<br />
dessa två tillsammans. Alternativt häller man olja på ett läskpapper, låter<br />
detta suga upp oljan under några sekunder och "tuggar" därefter papperet.<br />
Centraldestruktörer<br />
Centraldestruktörer är större maskiner som ofta har roterande knivar och<br />
utbytbara raster. Högst 10 mm rasterhål ger godtagbar storlek på restprodukterna.<br />
Använder man sig dessutom av ventilerad utsugning av restprodukten<br />
får man ännu större säkerhet. Kapaciteten vid destruering varierar<br />
mellan ca 40-200 kg/tim. Det är viktigt att kontrollera att inga handlingar<br />
73. 2 kap. 23 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
70
har fallit vid sidan av transportbandet utan att allt förstörs samt att restprodukten<br />
håller måttet för att vara fullständigt förstört.<br />
Centraldestruktörer kan vara lämpliga att använda, då man samtidigt skall<br />
förstöra stora mängder handlingar. För att öka säkerheten kan de hemliga<br />
handlingarna blandas med öppet material<br />
Specialdestruktörer<br />
Speciella destruktörer finns för förstöring av skrivmaskinsband, bandkassetter,<br />
disketter och liknande material. Vissa av dessa kan även nyttjas för<br />
destruktion av pappersmedia<br />
Destruktionsanläggningar<br />
I Sverige finns destruktionsanläggningar som förstör handlingar som innehåller<br />
hemliga uppgifter. Några är kontrollerade av <strong>Försvarsmakten</strong> och<br />
Rikspolisstyrelsen. Dessa kan nyttjas, men egen ansvarig personal skall alltid<br />
vara med under hela destrueringen. Kontroll måste utföras för att säkerställa<br />
att allt material är fullständigt förstört. Personalen vid anläggningen skall<br />
inte ha möjlighet att ta del av material som innehåller hemliga uppgifter.<br />
3.5.6 Samförvaring av hemliga handlingar<br />
3 Informationssäkerhet<br />
Chef för organisationsenhet, eller den han eller hon bestämmer får besluta att<br />
ett förvaringsutrymme får användas gemensamt av flera personer. Ett sådant<br />
samförvaringsbeslut skall dokumenteras.<br />
2 kap. 7 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel<br />
Samförvaring avser enbart förvaringen av hemliga handlingar. Samförvaringen<br />
innebär inte att personerna, som gemensamt får använda ett förvaringsutrymme,<br />
är behöriga att ta del av varandras handlingar.<br />
Grunden för förvaring av hemliga handlingar är att varje person förvarar de<br />
hemliga handlingarna i ett förvaringsutrymme som endast den person som<br />
kvitterat de hemliga handlingarna kan komma åt. Kostnader för förvaringsutrymmen<br />
är små i förhållande till de skyddsvärden uppgifterna i de hemliga<br />
handlingarna representerar och som oftast inte kan mätas i ekonomiska<br />
termer. På grund av att skyddet för sådana handlingar alltid blir sämre bör<br />
samförvaring undvikas.<br />
Om personerna inte är behöriga att ta del av samtliga hemliga handlingar i<br />
förvaringsutrymmet är det lämpligt att förvaringsutrymmet innehåller låsbara<br />
innerfack så att varje person kan tilldelas ett personligt innerfack.<br />
Samförvaring som innebär att personer delar på förvaringsutrymme utan<br />
71
3 Informationssäkerhet<br />
inre indelning (t ex säkerhetsskåp med öppna hyllor) är olämpligt om personerna<br />
inte är behöriga att ta del av varandras handlingar och bör undvikas.<br />
I de fall gemensam användning av hemliga handlingar (se avsnitt 3.5.7)<br />
tillämpas kan ett säkerhetsskåp utan låsbara innerfack användas för gruppens<br />
förvaring av de hemliga handlingarna.<br />
Exempel 3.3<br />
Flera personer använder gemensamt ett säkerhetsskåp med flera låsbara<br />
innerfack för förvaring av hemliga handlingar. Varje person har åtkomst<br />
till säkerhetsskåpet samt ett låsbart personligt innerfack i säkerhetsskåpet.<br />
Samförvaringsbeslut krävs då flera personer behöver åtkomst till förvaringsutrymmet<br />
(säkerhetsskåpet). Innerfacken är en indelning av säkerhetsskåpet<br />
men uppfyller inte kraven för den skyddsnivå som säkerhetsskåpet<br />
uppfyller varför samförvaringsbeslut krävs<br />
Endast de personer som samförvarar hemliga handlingar i förvaringsutrymmet<br />
får ges tillträde till förvaringsutrymmet. Det är lämpligt att på<br />
insidan av förvaringsutrymmet anslå en kopia av aktuellt samförvaringsbeslut.<br />
På så sätt underrättas de personer som förvarar handlingar i förvaringsutrymmet<br />
om vilka personer som är behöriga att åtkomma förvaringsutrymmet.<br />
Om sammansättningen av personer som samförvarar hemliga handlingar<br />
ändras ska åtkomsten till förvaringsutrymmet ändras så att enbart de personer<br />
som samförvarar hemliga handlingar i förvaringsutrymmet har åtkomst<br />
till förvaringsutrymmet, t ex kan kod till säkerhetsskåp behöva bytas.<br />
Det är inte lämpligt att på insidan av förvaringsutrymmet anslå vilka hemliga<br />
handlingar som samförvaras i förvaringsutrymmet.<br />
Exempel på samförvaringsbeslut finns i bilaga 3:5. Original av samförvaringsbeslut<br />
bör förvaras vid organisationsenhetens expedition eller motsvarande<br />
och ska arkiveras. Med anledning av de preskriptionstider som gäller<br />
för brott mot rikets säkerhet bör samförvaringsbeslut som omfattar hemliga<br />
handlingar i informationssäkerhetsklasserna HEMLIG/RESTRICTED,<br />
HEMLIG/CONFIDENTIAL och HEMLIG/SECRET sparas i 10 år och samförvaringsbeslut<br />
som omfattar hemliga handlingar i informationssäkerhetsklassen<br />
HEMLIG/TOP SECRET i 25 år. Riksarkivets tillstånd krävs för en<br />
eventuell gallring av samförvaringsbeslut.<br />
3.5.7 Gemensam användning av hemliga handlingar<br />
Inom <strong>Försvarsmakten</strong> förekommer verksamhet som innebär att flera personer<br />
har ett behov att gemensamt använda hemliga handlingar. Det är i sådan<br />
verksamhet inte möjligt att låta varje person ha ett personligt exemplar av<br />
72
varje hemlig handling eller låta personerna kvittera de hemliga handlingarna<br />
mellan sig. Ett exempel på verksamhet där behov av gemensam användning<br />
av hemliga handlingar finns är ledningscentraler samt drift- och<br />
underhållsverksamhet i <strong>Försvarsmakten</strong>s anläggningar.<br />
Gemensam användning av hemliga handlingar utgår från att en avgränsad<br />
grupp av personer, givet verksamheten och personernas arbetsuppgifter,<br />
ska ges åtkomst till hemliga handlingar som är gemensamma för gruppen.<br />
74 Dessa hemliga handlingar är sådana som behövs för gruppens arbetsuppgifter.<br />
Varje person som ingår i en sådan grupp ska vara behörig att ta<br />
del av samtliga hemliga handlingar avsedda för gemensam användning.<br />
Personer som ingår i gruppen får utan inbördes kvittenser använda de hemliga<br />
handlingarna.<br />
Hemlig handling<br />
kvitteras av en<br />
person i gruppen<br />
H/C<br />
Chef beslutar<br />
om gruppens<br />
sammansättning<br />
H/S<br />
H/R<br />
Bild 3:11 Gemensam användning av hemliga handlingar.<br />
3 Informationssäkerhet<br />
H/C<br />
H/C<br />
Hemliga handlingar<br />
och lagringsmedier<br />
används gemensamt<br />
inom gruppen.<br />
74. Ersätter "Befintlighetsuppföljningssystem för hemliga handlingar" (BUSH). Begreppet<br />
BUSH skall inte längre användas. Skrivelserna (ref. [3:7-9]) skall inte längre tillämpas.<br />
73
3 Informationssäkerhet<br />
Chef för organisationsenhet, eller den han eller hon bestämmer, får besluta vilka<br />
personer som får ingå i en grupp som gemensamt skall använda hemliga handlingar<br />
som förvaras hos enheten. Ett sådant beslut får endast fattas om det är<br />
oundgängligen nödvändigt för verksamheten. Ett beslut som avses i första meningen<br />
skall dokumenteras. Den som med stöd av ett sådant beslut har kvitterat<br />
mottagandet av en sådan handling skall, tillsammans med var och en av dem<br />
som ingår i gruppen, svara för att säkerhetsskyddet upprätthålls vid hantering<br />
av den hemliga handlingen.<br />
Om någon som skall ingå i gruppen är anställd vid en annan organisationsenhet<br />
eller en annan myndighet skall chefen för den organisationsenhet som förvarar<br />
den hemliga handlingen, eller den han eller hon bestämmer, innan ett sådant<br />
beslut som avses i första stycket fattas samråda med berörd organisationsenhets<br />
säkerhetschef eller berörd myndighet.<br />
2 kap. 8 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel<br />
Grundregeln är att hemliga allmänna handlingar som är placerade i informationssäkerhetsklass<br />
HEMLIG/CONFIDENTIAL eller högre ska kvitteras<br />
av mottagaren. 75 Gemensam användning av hemliga handlingar ska därför<br />
tillämpas restriktivt och endast användas då det är nödvändigt med hänsyn<br />
till verksamheten och personernas avgränsade arbetsuppgifter.<br />
Ett beslut enligt 2 kap. 8 § första stycket <strong>Försvarsmakten</strong>s interna bestämmelser<br />
om säkerhetsskydd och skydd av viss materiel avser såväl när en<br />
person ska ingå i gruppen som när en person inte längre ska ingå i gruppen.<br />
Det är väsentligt att det för varje ändring av gruppens sammansättning finns<br />
dokumenterad tidpunkt för ändringen. Exempel på beslut om gemensam<br />
användning av hemliga handlingar samt samförvaring finns i bilaga 3:6.<br />
Exempel 3.4<br />
Chef för tredje ytstridsflottiljen får besluta att en fartygschef får fatta beslut<br />
om vilka personer som ska ingå i en grupp. En sådan grupp kan<br />
omfatta personal på fartyg som gemensamt behöver använda hemliga<br />
handlingar ombord på fartyget.<br />
Det är lämpligt att varje grupp ges ett namn eller beteckning så att olika<br />
grupper kan åtskiljas. Det är också lämpligt att det i beslut om gemensam<br />
användning av hemliga handlingar framgår för vilket syfte gruppen inrättats.<br />
Mottagandet av en hemlig handling som gemensamt ska användas av en<br />
grupp ska kvitteras av en person som ingår i gruppen. På kvittot bör det<br />
75. 2 kap. 11 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
74
antecknas att den hemliga handlingen är avsedd för gemensam användning<br />
samt namn eller beteckning på gruppen för vilken handlingen är avsedd.<br />
Det är lämpligt att det av anteckning på den hemliga handlingen, t ex genom<br />
en stämpel, framgår att handlingen är avsedd för gemensam användning<br />
samt namn eller beteckning på gruppen för vilken handlingen är avsedd. På<br />
motsvarande sätt bör det i register där den hemliga handlingen är diarieförd<br />
även framgå att handlingen är avsedd för gemensam användning samt<br />
namn eller beteckning på gruppen för vilken handlingen är avsedd. Observera<br />
att anteckning på en hemlig handling som är avsedd för gemensam<br />
användning inte är obligatorisk. Användning av en sådan anteckning bör<br />
regleras i organisationsenhetens arbetsordning.<br />
GEMENSAM ANVÄNDNING<br />
AV HEMLIG HANDLING<br />
Grupp<br />
Datum<br />
Sign.<br />
3 Informationssäkerhet<br />
Bild 3:12 Exempel på utformning av stämpel för gemensam användning av hemlig<br />
handling.<br />
När en hemlig handling inte längre är avsedd för gemensam användning<br />
bör anteckning om gemensam användning överkorsas samt motsvarande<br />
ändring utföras i register där den hemliga handlingen är diarieförd.<br />
Endast de personer som ingår i en grupp får ges tillträde till det förvaringsutrymme<br />
där de hemliga handlingarna som ska användas gemensamt förvaras.<br />
Ett sådant förvaringsutrymme kräver även samförvaringsbeslut då<br />
förvaringsutrymmet används gemensamt av flera personer. 76 För tillträde<br />
till utrymme där förvaringsutrymmet är placerat ges spårbarhet i form av<br />
passerkontrollsystem eller besöksregistrering. 77 Se även kapitel 5 om förvaringsutrymme.<br />
När en person inte längre ingår i en grupp ska personen inte längre ges tillträde<br />
till de förvaringsutrymmen där de hemliga handlingarna som ska<br />
användas gemensamt förvaras, t ex kan kod till säkerhetsskåp behöva bytas.<br />
76. 2 kap. 7 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd av viss<br />
materiel<br />
77. 3 kap. 3 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
75
3 Informationssäkerhet<br />
Hemliga handlingar som är avsedda för gemensam användning ska inventeras<br />
på samma sätt som övriga hemliga handlingar. Vid muntlig delgivning<br />
eller genom visning av uppgifter ur de hemliga handlingarna som ska användas<br />
gemensamt ska kvittering ske på delgivningskvitto eller delgivningslista.<br />
Dock ska inte personer som ingår i en grupp kvittera att de<br />
muntligen eller genom visning tagit del av uppgifter ur en hemlig handling<br />
som gemensamt ska användas av gruppen. Kvittering vid muntlig delgivning<br />
eller genom visning av sådana hemliga handlingar ska endast ske av<br />
personer som inte ingår i gruppen.<br />
Det är lämpligt att det i arbetsordning eller motsvarande framgår hur gemensam<br />
användning av hemliga handlingar i övrigt ska tillämpas inom<br />
organisationsenheten. T ex vilka personer som genom lottning beslutar att<br />
en hemlig handling ska användas gemensamt av en grupp. I detta avseende<br />
är det inte lämpligt att personer i gruppen ska besluta om vilka handlingar<br />
som ska användas gemensamt.<br />
Bestämmelsen om gemensam användning av hemliga handlingar gäller<br />
även för hemlig materiel och är även tillämplig i IT-system i fråga om lag-<br />
78 79<br />
ringsmedier.<br />
Exempel 3.5<br />
För drift- och underhåll av t ex en telefonväxel som ska användas vid en<br />
stabsövning används lagringsmedium för konfiguration av telefonväxeln.<br />
Konfigurationen innehåller i detta exempel hemliga uppgifter i form<br />
av telefonnummer. Flera personer arbetar med drift- och underhåll av<br />
telefonväxeln och behöver då tillgång till det lagringsmedium som innehåller<br />
konfigurationen.<br />
Om någon som ingår i en sådan grupp som avses i 8 § detta kapitel uppmärksammar<br />
att en hemlig handling saknas, kan ha röjts eller obehörigen har ändrats,<br />
eller att säkerhetsskyddet av annan anledning kan antas brista, skall han eller<br />
hon omedelbart anmäla detta till den organisationsenhet som förvarar handlingen.<br />
Organisationsenheten skall därefter rapportera detta förhållande till den organisationsenhet<br />
eller myndighet som har upprättat handlingen. Om bristen kan<br />
hänföras till tillträdesbegränsningen skall även den organisationsenhet som<br />
svarar för denna underrättas.<br />
2 kap. 9 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel<br />
78. 1 kap. 3 § andra stycket <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och<br />
skydd av viss materiel.<br />
79. 7 kap. 3 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
76
All personal som ingår i en grupp för gemensam användning av hemliga<br />
handlingar svarar för att upprätthålla säkerhetsskyddet vid hantering av de<br />
hemliga handlingarna.<br />
Var och en som får kännedom om säkerhetshotande verksamhet eller misstänker<br />
sådan verksamhet ska snarast möjligt rapportera förhållandet till sin<br />
närmaste chef, arbetsledare eller till säkerhetschef. 80 Om en hemlig handling<br />
som är avsedd för gemensam användning saknas, kan ha röjts eller obehörigen<br />
ha ändrats ska detta omedelbart rapporteras till den organisationsenhet<br />
som förvarar handlingen. Med saknas avses de fall där den hemliga handlingen<br />
konstaterats vara förkommen. Även andra förhållanden där säkerhetsskyddet<br />
kan antas brista ska omedelbart rapporteras till den organisationsenhet<br />
som förvarar handlingen.<br />
I de fall en hemlig handling som är avsedd för gemensam användning saknas<br />
bör samtliga hemliga handlingar i förvaringsutrymmet, där den saknade<br />
handlingen förvaras, inventeras.<br />
Om den hemliga handlingen upprättats av en annan organisationsenhet eller<br />
myndighet ska den upprättande organisationsenheten eller myndigheten<br />
underrättas om rapporterade förhållanden. I de fall rapporterade brister kan<br />
antas bero på brister i tillträdesbegränsningen ska även den organisationsenhet<br />
som svarar för tillträdesbegränsningen underrättas.<br />
Beslut om gemensam användning av hemlig handling kan innehålla uppgifter<br />
som är hemliga varför beslutet i sådana fall utgör en hemlig allmän<br />
handlig. T ex kan uppgifter om vilka grupper som finns och vilka personer<br />
som ingår i grupperna omfattas av sekretess. I vissa fall kan även uppgifter<br />
om platser och lokaler för förvaring av de hemliga handlingarna som används<br />
gemensamt omfattas av sekretess.<br />
3.5.8 Förvaringsbestämmelser för skyddsvärd materiel<br />
Med skyddsvärd materiel avses materiel som på grund av att den är stöldbegärlig,<br />
värdefull eller svårersättlig, eller av någon annan anledning har<br />
sådan betydelse för <strong>Försvarsmakten</strong> att den ska omfattas av ett särskilt<br />
skydd vid förvaring. Några exempel på sådan materiel är organisationsbestämmande<br />
materiel främst för insatsorganisationen, kapitalvaror såsom<br />
datorer och mobiltelefoner, sambandsmateriel, mörkermateriel, personlig<br />
skyddsutrustning som t ex skyddsvästar/kroppsskydd, mediciner, sjukjournaler,<br />
personalredovisningshandlingar m.m. Med skyddsvärd materiel<br />
avses alltså inte hemlig materiel eller materiel som innehåller hemliga uppgifter.<br />
80. 4 kap. 2 § <strong>Försvarsmakten</strong>s föreskrifter för <strong>Försvarsmakten</strong>s personal.<br />
3 Informationssäkerhet<br />
77
3 Informationssäkerhet<br />
Den chef som har ansvar för att förvara skyddsvärd materiel ska göra en<br />
analys och besluta skyddsnivå för materielen. I analysen ska hänsyn tas,<br />
förutom till mängden skyddsvärd materiel, även till materielslag och till<br />
bedömd hotbild.<br />
Vid behov ska ett förvaringsutrymme utrustas med larm. I ett sådant fall ska<br />
en insatsstyrka (insatsberedd skyddsstyrka) avdelas som, om larm utlöses,<br />
ska kunna vara på plats inom en sådan tid att intrång i förvaringsutrymmet<br />
om möjligt kan förhindras.<br />
3.5.9 <strong>Skydd</strong>snivåer för skyddsvärd materiel<br />
<strong>Skydd</strong>svärd materiel ska förvaras i ett förvaringsutrymme som hänförs till<br />
någon av följande skyddsnivåer.<br />
Med skyddsnivåer för skyddsvärd materiel avses samma skyddsnivåer som<br />
för förvaring av hemliga uppgifter.<br />
<strong>Skydd</strong>snivå 1 Gäller för förvaring av en ringa mängd<br />
skyddsvärd materiel.<br />
<strong>Skydd</strong>snivå 2 Gäller för förvaring av en mindre mängd<br />
skyddsvärd materiel.<br />
<strong>Skydd</strong>snivå 3 Gäller för förvaring av en större mängd<br />
skyddsvärd materiel.<br />
<strong>Skydd</strong>snivå 4 Gäller för förvaring av mycket stora mängder<br />
skyddsvärd materiel.<br />
Exempel på förvaringsutrymmen i skyddsnivå 1-4, och i förekommande fall<br />
konstruktion och utförande, framgår av bilaga 5.<br />
3.6 Arbetsrutiner vid förlust och röjande av<br />
hemlig handling<br />
78<br />
Finns det anledning att anta att en uppgift som omfattas av sekretess enligt<br />
sekretesslagen (1980:100) kan ha röjts för någon obehörig (röjd uppgift) skall<br />
en skadebedömning göras.<br />
I de fall den röjda uppgiften utgör hemlig uppgift enligt 4 § 1 säkerhetsskyddsförordningen<br />
(1996:633) benämns skadebedömningen menbedömning.<br />
13 kap. 4 § <strong>Försvarsmakten</strong>s föreskrifter om verksamheten vid <strong>Försvarsmakten</strong><br />
(verksamhetsordning)
3 Informationssäkerhet<br />
Då en hemlig handling saknas eller om en hemlig uppgift kan ha röjts, är det<br />
viktigt att förlusten omedelbart anmäls till förbandets säkerhetschef. Denne<br />
har därefter att ta ställning dels till om hemlig uppgift kan ha röjts, dels till<br />
om röjandet kan antas medföra ett men som inte endast är ringa för rikets<br />
säkerhet. Detta beslut ligger vidare till grund för vidtagande av eventuella<br />
säkerhetsskyddsåtgärder samt utredning av ansvarsfrågan med anledning<br />
av brott eller fel som kan ha begåtts.<br />
Säkerhetsskyddsåtgärderna syftar till att förhindra ytterligare röjande av<br />
den hemliga handlingen eller uppgiften samt att eliminera eller minska konsekvenserna<br />
av den röjda hemliga handlingen eller uppgiften.<br />
Om en uppgift som omfattas av sekretess enligt sekretesslagen kan ha röjts<br />
för någon obehörig skall en skadebedömning klarlägga om ett röjande av<br />
uppgiften innebär någon skada eller men för <strong>Försvarsmakten</strong> eller någon<br />
annan som den aktuella sekretessbestämmelsen avser att skydda. 81<br />
Med menbedömning avses skadebedömning i sådana fall när den röjda uppgiften<br />
utgör hemlig uppgift enligt 4 § 1 säkerhetsskyddsförordningen<br />
(1996:633). Skadebedömningar i övrigt beskrivs inte i denna handbok.<br />
Kan men konstateras skall omfattningen av menet samt omständigheter i övrigt<br />
avseende röjandet klarläggas. 82 Resultatet av en sådan menbedömning<br />
skall dokumenteras. Den bedömda omfattningen av ett men skall motiveras.<br />
83<br />
Men är den beteckning på skada som används i brottsbalkens beskrivning<br />
av spioneribrotten.<br />
3.6.1 Arbetsgång vid genomförande av menbedömning<br />
Hur menbedömningar skall handläggas i <strong>Försvarsmakten</strong> framgår av Beslut<br />
om handläggning av ärenden rörande menbedömningar [Ref. 3:5].<br />
81. 13 kap. 4-5 §§ <strong>Försvarsmakten</strong>s föreskrifter om verksamheten vid <strong>Försvarsmakten</strong> (verksamhetsordning)<br />
82. 13 kap. 5 § <strong>Försvarsmakten</strong>s föreskrifter om verksamheten vid <strong>Försvarsmakten</strong> (verksamhetsordning)<br />
83. 13 kap. 6 § <strong>Försvarsmakten</strong>s föreskrifter om verksamheten vid <strong>Försvarsmakten</strong> (verksamhetsordning)<br />
79
3 Informationssäkerhet<br />
(Preliminär) menbedömning<br />
Omfattning av men<br />
Nej Ja<br />
Nej Ja<br />
Omständigheter i övrigt<br />
1. Sekretessbedömning Exempel på frågeställningar<br />
Omfattas uppgifterna av<br />
sekretess enligt sekretesslagen<br />
(1980:100) och rör<br />
rikets säkerhet?<br />
2. Menbedömning<br />
Hur omfattande är menet?<br />
Vilka konsekvenser får ett<br />
eventuellt röjande?<br />
Menbedömning genomförs ej.<br />
Beslutet dokumenteras<br />
Omfattas uppgifterna av övrig<br />
sekretess enligt sekretesslagen<br />
(1980: 100)<br />
Ingen ytterligare<br />
utredning<br />
Skadebedömning.<br />
Fortsatt utredning<br />
rörande eventuellt<br />
brott mot tystnadsplikt<br />
eller annat fel.<br />
- Vem/vilka är inblandade?<br />
- Vad har hänt?<br />
- När hände det?<br />
- När upptäcktes det?<br />
- Hur hände det?<br />
- När inventerades handlingarna (motsv.) senast?<br />
- Vilka har haft tillgång till uppgifterna?<br />
- Vad finns det som tyder på att<br />
uppgifterna inte är röjda?<br />
Beslut (Preliminär) menbedömning<br />
Ligger till grund för fortsatt handläggning<br />
avseende<br />
- Vidtagande av eventuella säkerhetsskyddsåtgärder<br />
- Ansvarsfrågan (brott eller annat fel)<br />
Bild 3:13 Arbetsgång vid genomförande av menbedömning<br />
Med begreppet men avses att ett röjande kan medföra skada för totalförsvaret<br />
eller förhållandet till en annan stat eller en mellanfolklig organisation<br />
eller i annat fall för rikets säkerhet.<br />
Omfattningen av ett men indelas i fyra nivåer utgående från informationssäkerhetsklasserna<br />
så som de definieras i <strong>Försvarsmakten</strong>s föreskrift om<br />
säkerhetsskydd.<br />
Menet anges som:<br />
• Ringa men<br />
• Icke obetydligt men<br />
80
• Betydande men<br />
• Synnerligt men<br />
Om ett röjande av en hemlig uppgift inte orsakar något men anges det enligt<br />
exempel 3.6.<br />
Vidare kan omfattningen av ett men även anges i en glidande skala, exempelvis<br />
betydande till synnerligt men (se exempel 3.7).<br />
Exempel 3.6<br />
Om uppgifterna i handling A röjts har det inte medfört något men för<br />
totalförsvaret eller rikets säkerhet<br />
Exempel 3.7<br />
3 Informationssäkerhet<br />
Om uppgifterna i handling B röjts kan det ha medfört ett ringa till icke<br />
obetydligt men för totalförsvaret och rikets säkerhet.<br />
Omfattningen av ett men skall alltid ställas i relation till vilka konsekvenser<br />
den röjda hemliga handlingen eller uppgiften får för landets samlade försvarsåtgärder,<br />
alltså betydelsen för totalförsvaret i dess helhet. Det är lämpligt<br />
att i första hand beskriva omfattningen av menet för <strong>Försvarsmakten</strong>.<br />
Nivån av men är inte uteslutande kopplad till respektive informationssäkerhetsklass.<br />
Ett röjande av flera uppgifter inplacerade i en informationssäkerhetsklass<br />
kan sammantaget medföra ett men som är högre än det för varje<br />
enskild uppgift.<br />
Inte sällan resulterar en menbedömning i två olika men. Om det är möjligt<br />
att fastslå tidpunkten för röjandet skall menet vid tidpunkten för röjandet<br />
klarläggas. Om det inte är möjligt att fastslå tidpunkten för röjandet skall<br />
menet vid tidpunkten för den hemliga handlingens eller uppgiftens upprättande<br />
klarläggas.<br />
Det andra menet avser tidpunkten för menbedömningen. Det vill säga det<br />
men som skulle uppstå om den hemliga handlingen eller uppgiften röjdes i<br />
dagsläget. Ofta är menet lägre vid tidpunkten för menbedömningen, särskilt<br />
om en längre tid gått mellan tidpunkten för upprättandet och tidpunkten för<br />
menbedömningen. I sådant fall skall de olika menen framgå av menbedömningen<br />
(se exempel 3.8).<br />
Kan dessutom en tidpunkt identifieras då nivån av men förändras ska även<br />
den framgå av menbedömningen. Exempel på sådan tidpunkt kan vara att<br />
den verksamhet som den hemliga handlingen eller uppgiften avser har upphört<br />
eller ändrat inriktning.<br />
Varje menbedömning skall motiveras. Detta sker genom att noggrant redogöra<br />
för de konsekvenser ett eventuellt röjande skulle medföra. Slentrianmässiga<br />
uttryck ska undvikas, som t ex ”ett röjande kan ha medfört allvarliga<br />
81
3 Informationssäkerhet<br />
konsekvenser för <strong>Försvarsmakten</strong> och rikets säkerhet”. I stället redovisas<br />
konsekvenserna av ett eventuellt röjande i detalj kopplat till exempelvis nivå,<br />
strategisk, operativ eller taktisk, med avseende på funktion, tid, uppgift,<br />
förmåga etc.<br />
Exempel 3.8<br />
Om uppgifterna i handling C röjts vid tidpunkten för handlingens upprättande<br />
kan det ha medfört ett betydande men för totalförsvaret och<br />
rikets säkerhet. Om uppgifterna i handling C röjts vid tidpunkten för<br />
denna menbedömning kan det ha medfört ett inte obetydligt men för<br />
totalförsvaret och rikets säkerhet.<br />
Riktlinjer vid bedömning av men och omfattningen av de konsekvenser ett<br />
röjande kan ha medfört framgår av skrivelse [Ref 3:4].<br />
Ett ärende av menbedömning skall beredas av den organisationsenhet i vars<br />
verksamhet en uppgift kan ha röjts. 84 Det är alltså den organisationsenhet<br />
som på något sätt har förlorat kontrollen över uppgiften som skall bereda<br />
ärendet även om det är någon annan som inte tillhör organisationsenheten<br />
som har uppmärksammat på omständigheten att en hemlig handling eller<br />
uppgift har röjts.<br />
Beredningen skall dels resultera i en preliminär bedömning av menet, dels<br />
en begäran om slutlig menbedömning.<br />
Har den röjda uppgiften lämnats från någon annan än den organisationsenhet<br />
som bereder ärendet skall, om inte hinder möter på grund av sekretesskäl,<br />
organisationsenheten inhämta ett yttrande över i vilken utsträckning<br />
ett röjande har inneburit men. Ett yttrande skall inhämtas från den som har<br />
lämnat uppgiften eller från någon annan som har sakkunskap om det förhållande<br />
som den röjda uppgiften rör. Har ett yttrande enligt ovan inhämtats<br />
utgör detta ett underlag för preliminär menbedömning.<br />
En begäran om preliminär respektive slutlig menbedömning bör inte innehålla<br />
uppgifter om vem det är som eventuellt röjt hemliga uppgifter. I stället<br />
bör begäran i möjligaste mån vara avpersonifierad. Syftet är att säkerställa<br />
en så opartisk menbedömning som möjligt.<br />
Då yttrande har inhämtats från någon annan än den som har lämnat den<br />
röjda uppgiften skall, om inte hinder möter, uppgiftslämnaren underrättas<br />
om att en preliminär menbedömning har begärts.<br />
När den preliminära bedömningen har inkommit till den organisationsenhet<br />
som bereder ärendet skall enheten begära en slutlig menbedömning av den<br />
enhet i <strong>Försvarsmakten</strong> som Högkvarteret anger i särskilt beslut. Detta sär-<br />
84. 13 kap. 7 § <strong>Försvarsmakten</strong>s föreskrifter om verksamheten vid <strong>Försvarsmakten</strong> (verksamhetsordning)<br />
82
skilda beslut utgörs av skrivelsen Beslut om handläggning av ärenden rörande<br />
menbedömningar [Ref. 3:5].<br />
Om en hemlig uppgift kan ha röjts, skall detta skyndsamt anmälas till Rikspolisstyrelsen,<br />
om röjandet kan antas medföra men för rikets säkerhet som inte<br />
endast är ringa.<br />
10 § säkerhetsskyddsförordningen<br />
Då en menbedömning, preliminär eller slutlig, har föranlett en anmälan till<br />
Rikspolisstyrelsen enligt 10 § säkerhetsskyddsförordningen, skall militära<br />
underrättelse- och säkerhetstjänsten samt juridiska staben i Högkvarteret<br />
skyndsamt informeras om anmälan. Med Rikspolisstyrelsen avses Säkerhetspolisen.<br />
För att <strong>Försvarsmakten</strong> skall kunna efterleva skyndsamhetskravet<br />
i 10 § säkerhetsskyddsförordningen är det möjligt för en organisationsenhet<br />
att utan föregående samråd med Högkvarteret anmäla röjd<br />
uppgift till Säkerhetspolisen.<br />
3.6.2 Slutlig menbedömning<br />
En slutlig menbedömningen bör inledas med en rimlighetsbedömning avseende<br />
innehåll och kvalitet i den preliminära menbedömningen. Om denna<br />
rimlighetsbedömning ger vid handen att menbedömningen i någon del är<br />
bristfällig kan den som svarade för den preliminära menbedömningen behöva<br />
omarbeta menbedömningen.<br />
Om den som svarar för den slutliga menbedömningen bedömer att omfattningen<br />
av menet inte är korrekt kan han eller hon undersöka och ange<br />
korrekt omfattning i slutlig menbedömning. Den som svarar för den slutliga<br />
menbedömningen kan begära in yttranden på motsvarande sätt som för beredningen<br />
av preliminära menbedömningar.<br />
3.6.3 Genomförd slutlig menbedömning<br />
3 Informationssäkerhet<br />
När slutlig menbedömning är genomförd sänds denna till den organisationsenhet<br />
som har begärt den. Vid avvikelse från preliminär menbedömning<br />
ska bedömningsunderlaget bifogas.<br />
Slutlig menbedömning sänds till Säkerhetspolisen om menet inte enbart är<br />
att anse som ringa av den organisationsenhet som har gjort den preliminära<br />
menbedömningen. Detta sker endera som en komplettering till en tidigare<br />
gjord polisanmälan eller som underlag i samband med polisanmälan efter<br />
det att slutlig menbedömning fastställts. Om det i samband med att en menbedömning<br />
görs framkommer omständigheter som ger anledning att anta<br />
att en enskild person kan ha begått ett brott eller fel är det av stor vikt att<br />
83
3 Informationssäkerhet<br />
bedömningen görs skyndsamt för att eventuella disciplinära åtgärder ska<br />
kunna vidtas.<br />
Då slutlig menbedömning resulterar i inget eller endast ringa men och polisanmälan<br />
redan gjorts, ansvarar den som har gjort polisanmälan för att den<br />
slutliga menbedömningen delges polisen.<br />
3.7 Åtgärder vid distribution och transport av<br />
hemliga handlingar och av skyddsvärd<br />
materiel<br />
Hemliga handlingar som inte distribueras med sambandsmedel, som krypterar<br />
uppgifterna i handlingen, får endast försändas i förseglat emballage.<br />
Det förseglade emballaget skall vara så beskaffat att det är omöjligt att ta del<br />
av uppgifterna i handlingen utan att bryta emballaget. Förseglingen skall<br />
vara sådan att det går att se om någon har brutit emballaget.<br />
För att ge de distribuerade handlingarna ett högre skydd än vad ett enbart<br />
förseglat emballage ger, t ex om distributören skulle bli utsatt för rånförsök,<br />
bli sjuk, skadas vid en trafikolycka e t c, bör man nyttja ett distributionsutrymme<br />
som, i händelse av intrångsförsök i detsamma, fysiskt förstör handlingarna.<br />
Ett annat alternativ är att ge de transporterade handlingarna ett<br />
fysiskt skydd, t ex i form av ett litet säkerhetsskåp (enligt SS 3492) eller motsvarande<br />
utrymme monterat i transportfordonet.<br />
Exempel på ett distributionsutrymme som fysiskt förstör handlingarna i<br />
detsamma är en s k brännväska. Om någon obehörig manipulerar dess lås<br />
eller på annat sätt obehörigen försöker bereda sig tillträde utlöses brännpatroner<br />
som förstör väskans innehåll och därmed omöjliggör åtkomst av den<br />
hemliga informationen. Väskan kan anordnas för transport, och då även<br />
förstöring, för olika sorters media såsom pappersmedia, filmmedia och datamedia.<br />
Inför nyttjande av en brännväska måste man bestämma sig för<br />
vilket media (papper, film, data) som skall distribueras och anordna väskan<br />
och dess brännfunktion efter detta.<br />
Den som av en distributör tar emot en försändelse skall kontrollera att<br />
försändelsen överensstämmer med följesedeln (eller motsvarande) och att<br />
förseglingen och försändelsen i övrigt är oskadade. Är försändelsen skadad<br />
skall den som tar emot försändelsen se till att distributören gör anteckning<br />
om skadans beskaffenhet. Vidare skall den som tar emot försändelsen anmäla<br />
skadan till avsändaren.<br />
84
Den som slutligen tar emot en försändelse skall kontrollera att förseglingen<br />
och försändelsen i övrigt är oskadade och att innehållet överensstämmer<br />
med uppgifterna i huvudhandlingen, missivet eller sändlistan. Om försändelsen<br />
är skadad eller uppgifterna inte stämmer överens skall avsändaren<br />
underrättas. Finns ingen anledning till anmärkning skall eventuella sigill<br />
förstöras så att de inte går att återanvända.<br />
Bild 3:14 och 3:15 visar hur förslutningen på ett säkerhetsemballage ser ut<br />
när förslutningen inte påverkats respektive hur förslutningen ser ut efter<br />
försök att öppna förslutningen.<br />
Bild 3:14 Säkerhetsemballage där förslutningen inte påverkats.<br />
3 Informationssäkerhet<br />
85
3 Informationssäkerhet<br />
Bild 3:15 Säkerhetsemballage där ett mönster framträder på emballaget och på förslutningen<br />
efter försök att öppna förslutningen.<br />
3.8 <strong>Skydd</strong>ad transport av hemliga handlingar<br />
och skyddsvärd materiel<br />
Med skyddad transport avses en sådan transport av hemliga handlingar eller<br />
skyddsvärd materiel som vid varje transporttillfälle skall vara anpassad till<br />
det särskilda skydd som erfordras enligt den transportsäkerhetsanalys som<br />
skall göras.<br />
<strong>Skydd</strong>ad transport nyttjas då mängden eller omfattningen av handlingar<br />
eller materiel är av sådan art att annan distribution inte kan eller bör ske.<br />
Vid val av transportnivå skall man beakta mängd och omfattning av den<br />
transporterade informationen, materielen, materielslag, materielens betydelse<br />
för rikets säkerhet, materielens värde, materielens organisatoriska<br />
betydelse för <strong>Försvarsmakten</strong>, möjlighet att återanskaffa skadad eller stulen<br />
materiel m.m. samt bedömd hotbild.<br />
Krav på vilka transportnivåer som erfordras för att skydda handlingar eller<br />
materiel kan ibland, i form av centrala beslut, framgå av för de transporterade<br />
handlingarna eller materielen särskilt framtagna förteckningar eller<br />
bestämmelser. Vid avsaknad av sådana centrala beslut skall följande indelning<br />
nyttjas som grund för fastställande av transportnivå.<br />
86
Den chef som har ansvar för att gods avsänds skall göra en transportsäkerhetsanalys<br />
och fastställa transportnivå före varje transport av hemliga eller<br />
av annan anledning skyddsvärda handlingar och materiel. Analys och beslut<br />
skall dokumenteras.<br />
I de olika transportnivåerna används, för att beskriva mängden hemliga<br />
handlingar eller mängden skyddsvärd materiel, begrepp såsom ringa<br />
mängd, mindre mängd, större mängd samt mycket stora mängder.<br />
Hur man kan göra bedömningar avseende vilken transportnivå som bör<br />
väljas beroende på vilken informationssäkerhetsklass materielen har och<br />
dess övriga skyddsvärde framgår av exempel 3:9.<br />
Exempel 3:9<br />
3 Informationssäkerhet<br />
Transporten av en enstaka viss flygvapenrobot måste m a a dess sekretessbelagda<br />
innehåll, vilket i detta exempel är HEMLIG/SECRET, ges ett<br />
visst skydd varvid, i detta exempel, transportnivå 2 väljs. Om man istället<br />
väljer att transportera tio (10) procent av <strong>Försvarsmakten</strong>s totala mängd<br />
robotar av exakt samma slag innebär detta inte att graden, om än mängden,<br />
hemliga uppgifter ökar (det rör sig om samma hemliga uppgifter)<br />
medan däremot en förlust av robotarna kommer att påverka landets försvarsförmåga.<br />
Av det skälet måste en högre transportnivå väljas än vid<br />
transport av en enstaka robot.<br />
Krav på transportsäkerhetsanalys och fastställande av transportnivå gäller<br />
inte i fråga om transporter som sker inom ramen för organisationsenhets<br />
övningsverksamhet eller i fråga om personligen utkvitterade hemliga handlingar<br />
som någon medför i sin tjänsteutövning. Sådana transporter skall dock<br />
ske på ett betryggande sätt och en god säkerhetsskyddsnivå upprätthålles.<br />
När en enskild befattningshavare regelbundet medför hemliga handlingar<br />
eller nycklar (eller motsvarande) till hemliga anläggningar, skall, om fordon<br />
används, detta vara utrustat med ett fast monterat förvaringsutrymme med<br />
skyddsnivå motsvarande säkerhetsskåp (SS 3492).<br />
Med tillträdesskyddad container avses en särskilt framtagen container som<br />
enligt Högkvarteret bestämmande får användas vid skyddade transporter.<br />
Med annat transportutrymme av motsvarande standard avses ett annat<br />
transportutrymme än tillträdesskyddad container, t ex vapenkista 1-3 B, 1<br />
TP, 1 C, säkerhetsskåp enligt SS 3492, etc.<br />
Ett för mängden eller volymen transporterade handlingar storleksmässigt<br />
lämpligt säkerhetsskåp enligt SS 3492 monterat i ett mindre transportfordon,<br />
t ex varubuss, pick-up (eller motsvarande) utgör ett bra alternativ i samband<br />
med transporter av mindre mängd hemliga handlingar eller mindre mängd<br />
skyddsvärd materiel i transportnivå 2.<br />
87
3 Informationssäkerhet<br />
Transport av hemliga handlingar och skyddsvärd materiel skall ske i lägst<br />
den transportnivå som framkommit vid den transportsäkerhetsanalys som<br />
har gjorts.<br />
3.8.1 Genomförande av skyddad transport av hemliga<br />
handlingar och skyddsvärd materiel<br />
Samordning<br />
Syftet med samordning av skyddade transporter är att minimera antalet<br />
transporter och därmed sammanhängande risker. Syftet är vidare att minimera<br />
behoven av eventuella följebilar eller transportskyddsstyrkor och i<br />
övrigt, om möjligt, rationalisera transportverksamheten.<br />
Samordningsansvar<br />
Det övergripande ansvaret, funktionsstyrningen och stödet avseende skyddade<br />
transporter inom <strong>Försvarsmakten</strong> utövas av FMLOG. Genomförandet<br />
av transporterna skall samordnas så långt möjligt, varvid enhet vid FMLOG<br />
är den som normalt svarar för samordning, planering och ledning av denna<br />
verksamhet. Chefen för den operativa staben vid <strong>Försvarsmakten</strong>s högkvarter,<br />
eller den han utser, tillgodoser behovet av transportskyddsstyrkor för<br />
transporternas genomförande. Operativ stab leder och samordnar i regel<br />
verksamheten genom olika slag av ordrar, t ex FM BerO.<br />
Organisationsenheters behov av att genomföra enstaka skyddade transporter<br />
för eget behov skall i regel tillgodoses med egna resurser och utan stöd<br />
av FMLOG eller operativ stab. Rapportering m m skall dock ske i enlighet<br />
med av operativ stav utgivna ordrar eller andra bestämmelser.<br />
88
Ledning<br />
Ledning av skyddade marktransporter<br />
Ledning av skyddade flygtransporter<br />
Ledning av skyddade sjötransporter<br />
Chef för armétaktisk stab, eller den han utser,<br />
avdelar med egen och av avsändande chef<br />
gjord säkerhetsanalys som grund, erforderliga<br />
transportskyddsresurser.<br />
Chef flygtaktisk stab, eller den han utser, företagsleder<br />
skyddade transporter som genomförs<br />
med militära transportflygplan.<br />
Vid nyttjande av civila transportflygplan kan<br />
uppgiften lösas genom s k uppföljning.<br />
Chef flygtaktisk stab avdelar, med egen och<br />
av avsändande chef gjord säkerhetsanalys<br />
som grund, erforderliga transportskyddsresurser.<br />
Dessa transportskyddsresurser kan<br />
utgöras av ombord på transportflygplanet<br />
medföljande bevaknings- eller transportskyddsstyrka,<br />
avdelade eskort- eller följeflygplan,<br />
avdelad beredskapsrote etc.<br />
Chef marintaktisk stab, eller den han utser,<br />
företagsleder, eller i förekommande fall sjötrafikleder,<br />
skyddade transporter som genomförs<br />
som sjötransport samt avdelar, med<br />
egen och av avsändande chef gjord säkerhetsanalys<br />
som grund, erforderliga transportskyddsresurser.<br />
Dessa transportskyddsresurser kan utgöras<br />
av ombord på transportfartyget medföljande<br />
bevaknings- eller transportskyddsstyrka, avdelade<br />
eskort- eller följefartyg, avdelad beredskapsrote,<br />
avdelad beredskapshelikopter<br />
etc.<br />
3.8.2 Planering och dokumentation<br />
3 Informationssäkerhet<br />
Säkerhetsanalys och säkerhetsplan<br />
En dokumenterad säkerhetsanalys och därefter upprättad säkerhetsplan<br />
skall alltid ligga till grund för hur hemlig eller på annat sätt sekretessbelagd<br />
materiel eller annan skyddsvärd materiel skall transporteras och vilken<br />
transportnivå som måste väljas. Säkerhetsplanen utgör grunden för planering<br />
av transportens genomförande samt för erforderliga skyddsåtgärder i<br />
anslutning till lastning och lossning.<br />
Avsändaransvar<br />
Chef för organisationsenhet, eller den han utser, som har ansvar för att gods<br />
avsänds, dvs har avsändaransvar, skall inför transport av hemliga handlingar<br />
och av skyddsvärd materiel enligt <strong>Försvarsmakten</strong>s interna bestäm-<br />
89
3 Informationssäkerhet<br />
melser (FIB 2005:2) om säkerhetsskydd och skydd av viss materiel, göra en<br />
säkerhetsanalys och säkerhetsplan samt fastställa erforderlig transportnivå<br />
med gjord analys som grund. Om det därvid konstateras att transporten skall<br />
genomföras i transportnivå 2, 3 eller 4, skall det dessutom, av den som organiserar<br />
transporten (transportledaren), upprättas en för den aktuella<br />
transporten relevant transportplan grundad på säkerhetsplanen.<br />
Ansvar före, under och efter transport<br />
Transportledare<br />
Transportledaren är den som organiserar den skyddade transporten.<br />
Innan en skyddad transport i transportnivå 2, 3 eller 4 inom ett län påbörjas<br />
skall den som organiserar transporten (transportledaren) informera godsavsändare,<br />
godsmottagare och länspolismyndighet om hur den skyddade<br />
transporten avses genomföras.<br />
Vid länsöverskridande transporter skall operativ stab, HKV MUST och RPS<br />
Rikskommunikationscentral (RKC) informeras varvid RPS svarar för att information<br />
överförs till polismyndigheter i berörda län. Syftet med informationen<br />
är att berörda organisationsenheter och polismyndigheter skall<br />
kunna förbereda skyddet i samband med godsavsändning/-mottagning<br />
samt påverka transportplaneringen vid höjd hotbild, kunna agera i händelse<br />
av att transporten skulle bli utsatt för hot eller angrepp, bli inblandad i olycka<br />
eller på annat sätt råka i svårigheter samt kunna bistå transporten med insatsstyrka,<br />
skyddade uppställningsplatser, bevakning m.m.<br />
Informationen till berörda organisationsenheter och polismyndigheter sker<br />
i regel genom att en transportplan upprättas och översänds. Denna skall vara<br />
de berörda tillhanda minst två arbetsdagar före transportens genomförande.<br />
Information om skyddade transporter omfattas i regel av sekretess enligt 2<br />
kap. 1 § - 2 § eller 5 kap. 2 § sekretesslagen och skall överföras som hemlig<br />
handling. Uppgifterna kan utgöras av hela eller delar av för aktuell transport<br />
upprättad transportplan.<br />
Transportchef<br />
Den som har det direkta ansvaret för godset under en skyddad transport och<br />
för transportens genomförande benämns transportchef.<br />
I transportchefens uppgifter ingår bl a att tillse att det vidtages erforderliga<br />
skyddsåtgärder under lastning och transport inklusive eventuella uppehåll<br />
samt vid lossning.<br />
90
Transportchefen för i detta sammanhang befälet över eventuella förbilar,<br />
transportfordon med personal, eventuella följebilar samt transportskyddsstyrkor.<br />
Transportchefen har även ansvar för att erforderlig samverkan under transport<br />
genomförs med transportledaren, berörda organisationsenheter, polismyndigheter<br />
m.fl. instanser.<br />
Uppföljningsansvar<br />
Chef för organisationsenhet, eller den han utser, som avsänt, mottagit, planerat<br />
respektive genomfört transport av gods, skall omedelbart vidtaga<br />
nödvändiga åtgärder om skyddad materiel eller skyddad information förkommit<br />
eller skadats, om brister har uppmärksammats i skyddet eller avseende<br />
övriga förhållanden som berör den skyddade transporten eller om<br />
obehöriga söker skaffa upplysningar om verksamheten.<br />
Åtgärderna skall syfta till att om möjligt begränsa eventuellt uppkomna<br />
skador och att framledes kunna vidta förbättrade säkerhetsåtgärder samt för<br />
att informera dem som i övrigt kan vara berörda.<br />
Nyttjande av personal<br />
3 Informationssäkerhet<br />
<strong>Försvarsmakten</strong>s personal<br />
Vid genomförande av skyddade transporter får endast den som bedömts<br />
lämplig medverka. Detta innebär att det erfordras bedömning av en persons<br />
allmänna lämplighet såväl som hans eller hennes pålitlighet (säkerhetsprövning)<br />
innan ett ianspråktagande får ske. Utdrag ur polisregister, i förekommande<br />
fall registerkontroll (RK), kan ligga till grund för bedömningen.<br />
Likaså måste personen ges erforderlig information, utbildning och nödvändig<br />
instruktion.<br />
Kraven omfattar all i den skyddade transporten ianspråktagen personal, dvs<br />
personal i transportfordon och personal för transportskydd såväl som personal<br />
i följe- och eventuell förbil. Förteckning över utbildad och disponibel<br />
personal skall upprättas av och förvaras vid respektive organisationsenhet.<br />
Civila transportföretag<br />
För nyttjande av civila transportföretag vid genomförande av <strong>Försvarsmakten</strong><br />
skyddade transporter krävs säkerhetsskyddsavtal som, i regel, tecknas<br />
av FMLOG.<br />
Kraven på personal vid de civila transportföretagen skall motsvara de krav<br />
som ställs på personal inom <strong>Försvarsmakten</strong>.<br />
91
3 Informationssäkerhet<br />
Under vissa omständigheter kan det behövas att det nyttjade transportföretaget<br />
upphandlats genom en s k Säkerhetsskyddad Upphandling med Säkerhetsskyddsavtal<br />
(SUA).<br />
3.8.3 Transportskydd m m<br />
Följebil<br />
Personal i följebil, normalt bl a transportchefen, har som uppgift att på avstånd<br />
följa den skyddade transporten och i händelse av att denna utsätts för<br />
säkerhetshotande verksamhet eller annan brottslighet, utlösa personsäkerhetslarm<br />
och larma polis samt rapportera fortsatt skeende.<br />
Följebil bör utgöras av en civil eller militär personbil i standardutförande,<br />
utrustad med s k personsäkerhetslarm, mobiltelefon och kommunikationsradio<br />
för samband med övriga i transporten ingående fordon samt, om<br />
möjligt, vara utrustad med radio som medger samband med polisen.<br />
Transportskyddsstyrka<br />
Med transportskyddsstyrka avses styrka avdelad för att, oftast i samverkan<br />
med förbil eller följebil, upptäcka hot mot en skyddad transport för att därvid<br />
kunna vidta sådana åtgärder att transporten inte utsätts för inbrott, stöld<br />
eller annat brott. Om brott inte kan förhindras skall styrkan i första hand<br />
skydda den personal som genomför transporten samt tredje person och i<br />
andra hand skydda platsen där brottet begicks bl a för att möjliggöra en<br />
eventuell brottsutredning.<br />
Grunder för bevakning av en skyddad transport framgår bl a av Vakthandboken<br />
1997, p 1.1-1.6. Transportskyddsstyrkan skall anpassas för den aktuella<br />
uppgiften, dvs efter bedömd hotbild, transportens innehåll och i<br />
transporten ingående antal transportfordon m m. Styrkan skall dock alltid<br />
bestå av chef samt minst två (2) man.<br />
Transportskyddsstyrkan kan bestå av militär personal varvid yrkesofficer<br />
skall vara chef, eller av annan försvarsmaktanställd personal varvid utsedd<br />
chef skall ha genomgått särskild utbildning, eller av personal ur kontrakterat<br />
och upphandlat bevakningsbolag. Då personal ur bevakningsbolag nyttjas<br />
som transportskyddsstyrka beslutar bevakningsbolaget, med av transportledaren<br />
eller transportchefen ställd uppgift som grund, i regel själv om<br />
styrkans organisation, utrustning och uppträdande. Undantagsvis kan polis<br />
nyttjas som transportskyddsstyrka varvid polisen i regel själv avgör styrkans<br />
organisation, utrustning och uppträdande m m.<br />
92
3 Informationssäkerhet<br />
En militär transportskyddsstyrka skall, för sin uppgift och aktuell hotbild,<br />
ha erforderlig utrustning, inklusive fordon. Exempel på utrustning och fordon<br />
framgår nedan.<br />
Buren personlig utrustning för militär transportskyddsstyrka<br />
Fältuniform, hjälm, kroppsskydd (företrädesvis kroppsskydd 94 med<br />
förstärkningsplattor), eldhandvapen (AK 4 eller AK 5, eventuellt kompletterat<br />
med pistol, främst för chefer och fordonsförare), personlig skyddsutrustning,<br />
bärbar kommunikationsradio (gruppradio, motsv.) för personligt<br />
samband inom styrkan samt batong och handfängsel, chef skall ha mobiltelefon<br />
(företrädesvis med s k hemligt abonnemang).<br />
Fordon och utrustning för militär transportskyddsstyrka<br />
Fordon för transportskyddsstyrkan skall utgöras av erforderligt antal, för<br />
uppgiften lämpligt inredda fordon, främst militära stamfordon, t ex Mercedes<br />
Sprinter eller VW Synchro, utrustade med s k personsäkerhetslarm,<br />
mobiltelefon (företrädesvis med s k hemligt abonnemang), kommunikationsradio<br />
för samband med övriga i transporten ingående fordon och med<br />
garnison, om möjligt radio som medger samband med polisen, reservbränsle,<br />
startkablar, bogserlina, brandsläckare, kartor samt (beroende på <strong>års</strong>tid)<br />
snöskyffel och terrängkedjor.<br />
Övrig gemensam utrustning för militär transportskyddsstyrka<br />
Ficklampor, mörkerobservationsutrustning (bildförstärkare), mobiltelefon<br />
(företrädesvis med s k hemligt abonnemang), kikare, avspärrningsmateriel,<br />
bår, sjukvårdsväska, video- och/eller digital kamerautrustning, kroppsskydd<br />
(företrädesvis kroppsskydd 94 med förstärkningsplattor) avsedda för<br />
personal i de transportfordon som skall skyddas, brandsläckare m m.<br />
Förbil<br />
Förbil nyttjas vid förhöjd hotbild och då i regel på särskild order. Förbilen<br />
och dess personal skall uppträda så diskret som möjligt och på ett sådant<br />
sätt att man inte kan sammankopplas med den skyddade transporten.<br />
Uppgiften för förbilen och dess personal är att köra före transportfordonen<br />
i syfte att upptäcka hot mot den skyddade transporten och informera transportledaren<br />
så att transporten, om möjligt, kan välja annan väg eller göra<br />
uppehåll varvid eventuell transportskyddsstyrka bevakar transportfordonen.<br />
93
3 Informationssäkerhet<br />
Personalen skall, om inte särskilda omständigheter föreligger, vara civilklädd<br />
och inte medföra vapen. Personalen bör i vissa fall vara anonym för i<br />
den skyddade transporten ingående personal.<br />
Förbilen bör utgöras av en civil personbil (hyrs in då behov föreligger) i<br />
standardutförande, utrustad med mobiltelefon och kommunikationsradio<br />
för samband med övriga i transporten ingående fordon samt, om möjligt,<br />
radio för samband med polisen.<br />
Utbildning<br />
Personal som skall tas i anspråk för genomförande av skyddade transporter<br />
skall genom chef för organisationsenhet, eller den han utser, ges erforderlig<br />
utbildning i fråga om säkerhetsskydd. I denna skall ingå utbildning om de<br />
hot och risker som, från säkerhetssynpunkt, föreligger i samband med transporterna<br />
samt vilka säkerhetsskyddsåtgärder som skall vidtagas mot föreliggande<br />
hot och bedömda risker.<br />
Förteckning över personal<br />
Personal som är lämplig för uppgiften att genomföra skyddade transporter<br />
och som fått erforderlig instruktion och utbildning skall förtecknas vid<br />
berörda organisationsenheter, så att man lätt återfinner dem som kan och får<br />
tas i anspråk för denna typ av verksamhet.<br />
Transportnivå<br />
Indelningen i transportnivåer grundar sig på bedömt skyddsvärde och därmed<br />
sammanhängande stöldbegärlighet hos den transporterade materielen,<br />
materielens betydelse för <strong>Försvarsmakten</strong>, dvs möjlighet att ersätta eventuell<br />
materielförlust, och på sekretessvärdet hos den transporterade materielen<br />
eller informationen. I sammanhanget har bedömts att ju högre stöldbegärlighet,<br />
gränssättande förmåga för <strong>Försvarsmakten</strong> eller sekretessvärde materielen<br />
har, desto bättre bör skyddet vara och därmed behovet av att<br />
genomföra transporten i högre transportnivå.<br />
Transportens storlek (antal transportfordon) och aktuell hotbild samt<br />
bedömd föreliggande risk skall utgöra grund för beslut om behov av eventuell<br />
förbil, hur många följebilar som erfordras respektive hur stor transportskyddsstyrkan<br />
skall vara och hur denna skall organiseras och indelas.<br />
Grunder för val av transportnivå<br />
Materielens indelning i transportnivåer kan framgå av för den transporterade<br />
materielen centralt fattade beslut eller av särskilt framtagna förteckningar.<br />
Vid avsaknad av dess skall nedanstående tabell nyttjas som grund<br />
för fastställande av transportnivå.<br />
94
3 Informationssäkerhet<br />
Transportnivå 1 Gäller för transport av hemliga handlingar som placerats i informationssäkerhetsklassen<br />
HEMLIG/RESTRICTED och för<br />
transport av ringa mängd skyddsvärd materiel.<br />
Transportnivå 2 Gäller för transport av mindre mängd hemliga handlingar som<br />
har placerats i informationssäkerhetsklassen HEMLIG/CONFI-<br />
DENTIAL eller HEMLIG/SECRET och för transport av en mindre<br />
mängd skyddsvärd materiel.<br />
Transportnivå 3 Gäller för transport av större mängd hemliga handlingar som<br />
har placerats i informationssäkerhetsklassen HEMLIG/CONFI-<br />
DENTIAL eller HEMLIG/SECRET samt för transport av en<br />
mindre mängd hemliga handlingar som har placerats i informationssäkerhetsklassen<br />
HEMLIG/TOP SECRET och för transport<br />
av en större mängd skyddsvärd materiel.<br />
Transportnivå 4 Gäller för transport av mycket stora mängder hemliga handlingar<br />
som placerats i informationssäkerhetsklassen HEMLIG/<br />
CONFIDENTIAL eller HEMLIG/ SECRET samt för transport av<br />
en större mängd hemliga handlingar som placerats i informationssäkerhetsklassen<br />
HEMLIG/TOP SECRET och för transport<br />
av mycket stora mängder skyddsvärd materiel.<br />
Indelning i transportnivåer<br />
<strong>Skydd</strong>ade transporter skall indelas i transportnivå 1, 2, 3 eller 4 enligt följande.<br />
Med transportutrymme motsvarande tillträdesskyddad container avses ett<br />
transportutrymme som motsvarar Svensk Standard (SS 3492), dvs i skyddsnivå<br />
3. Exempel på sådana transportutrymmen är vapenkista 1-3 B, 1 TP och<br />
1 C, säkerhetsskåp (enligt SS 3492) samt de containrar som HKV MUST har<br />
godkänt i särskilt beslut.<br />
Transportnivå 1 Transportutrymmet skall vara skyddat mot insyn.<br />
Transportnivå 2 Transporten skall utföras med:<br />
1. Tillträdesskyddad container eller annat transportutrymme<br />
av motsvarande standard eller<br />
2. Vapenlåda med larm (endast då för verksamheten lämplig<br />
inredning kan nyttjas och s k beslut om användning<br />
föreligger), eller<br />
3. Transportutrymme som är låst och skyddat mot insyn.<br />
Vägtransport skall ha följbil.<br />
95
3 Informationssäkerhet<br />
Transportnivå 3 Transporten skall utföras med:<br />
1. Tillträdesskyddad container som är utrustad med fjärröverfört<br />
larm eller ett annat transportutrymme av motsvarande<br />
standard som är utrustad med fjärröverfört larm<br />
eller<br />
2. Tillträdesskyddad container som åtföljs av en följebil eller<br />
ett annat transportutrymme av motsvarande standard<br />
som åtföljs av en följebil, eller<br />
3. Låst transportutrymme som är skyddat från insyn och åtföljt<br />
av en transportskyddsstyrka.<br />
Transportnivå 4 Transporten skall utföras med:<br />
1. Tillträdesskyddad container som är utrustad med fjärröverfört<br />
larm eller ett annat transportutrymme av motsvarande<br />
standard som är utrustat med fjärröverfört larm<br />
eller<br />
2. Tillträdesskyddad container som åtföljs av en transportskyddsstyrka<br />
eller ett annat transportutrymme av motsvarande<br />
standard som åtföljs av en transportskyddsstyrka,<br />
eller,<br />
3. Om transport enligt 1) eller 2) inte kan utföras, låst transportutrymme<br />
som är skyddat från insyn och som åtföljs<br />
av polis.<br />
Transport enligt 1 eller 2 som utförs på väg ska åtföljas av följebil.<br />
En skyddad transport som genomförs som järnvägs-, flyg-, eller sjötransport<br />
kan, av praktiska skäl, inte alltid ske på samma sätt som om transporten<br />
genomförs som marktransport. Åtgärder skall dock vidtagas så att transporten<br />
genomförs på ett sådant sätt att skyddsnivån, från säkerhetssynpunkt,<br />
motsvarar aktuell transportnivå.<br />
Uppehåll under transport<br />
Uppehåll under transport medför alltid en större risk för tillgrepp av den<br />
transporterade materielen än då transporten är under rörelse, varför det är<br />
viktigt att minst bibehålla aktuell skyddsnivå eller, där så är möjligt, höja<br />
denna.<br />
Tillfälligt uppehåll under transport<br />
Som tillfälligt uppehåll under transport betraktas uppehåll för att intaga<br />
måltid, tanka fordonet etc. Som tillfälligt uppehåll under transport betraktas<br />
inte uppehåll för nattvila. Under tillfälligt uppehåll under transport skall<br />
fordon stå under ständig uppsikt. Sker transporten med stöd av följebil eller<br />
skyddad av en transportskyddsstyrka kvarstår kraven på denna skyddsnivå<br />
även under tillfälligt uppehåll.<br />
96
Längre uppehåll under transport<br />
3 Informationssäkerhet<br />
Med längre uppehåll under transport avses det uppehåll som görs för att<br />
bereda möjlighet till nattvila för transportpersonal, eventuell transportskyddspersonal<br />
samt övrig i transporten ingående personal. Uppehållet<br />
anses vara från tjänstens slut den ena dagen till tjänstens början nästföljande<br />
dag.<br />
Helguppehåll är inte att jämställa med uppehåll under transport.<br />
Ett uppehåll för en transport i transportnivå 2, 3 eller 4 skall i första hand<br />
förläggas till bevakat militärt område. Endast då det inte är möjligt att förlägga<br />
uppehållet till bevakat militärt område, får uppehållet förläggas till<br />
annan plats, varvid det främst skall väljas plats som är inhägnad och bevakad.<br />
Om inte heller detta förfaringssätt är möjligt får uppehållet förläggas<br />
till obevakat område, dock endast under förutsättning att transportutrymmet<br />
är försett med fjärröverfört larm och en insatsstyrka kan ingripa innan<br />
intrång skett eller transportutrymmet står under ständig uppsikt av personal,<br />
i vissa fall skyddsstyrka/bevakningsstyrka, som är utrustad med personsäkerhetslarm<br />
alternativt om transportutrymmet står under uppsikt<br />
(bevakas) av polis.<br />
Nycklar och koder<br />
Nycklar och koder till transportutrymmen skall om möjligt överföras skilda<br />
från transporten. Detta kan ske genom att nycklarna eller koderna tillställes<br />
mottagaren med separat försändelse eller, avseende koder, med krypterat<br />
sambandsmedel.<br />
Om nycklarna eller koderna följer med transporten skall de förvaras dolda<br />
i följebil eller hos transportskyddsstyrkan. När följebil eller transportskyddsstyrka<br />
inte erfordras för transporten skall nycklar och koder förvaras dolda<br />
i transportfordonet.<br />
När nycklar och koder medförs i följebil, i transportskyddsstyrkans fordon<br />
eller i transportfordon bör detta fordon vara utrustat med ett fast monterat<br />
förvaringsutrymme med skyddsnivå motsvarande säkerhetsskåp (SS 3492).<br />
Sådant förvaringsutrymme, avsett för fordonsmontering, finns framtaget för<br />
bl a <strong>Försvarsmakten</strong>s behov.<br />
Internationella transporter<br />
Internationella transporter skall, principiellt, genomföras på samma sätt som<br />
nationella transporter.<br />
Den organisationsenhet som ansvarar för säkerheten för en internationell<br />
transport av hemliga handlingar eller skyddsvärd materiel får dock, såvitt<br />
97
3 Informationssäkerhet<br />
avser transporter utanför Sverige, fatta beslut som avviker från kraven avseende<br />
val av transportnivå, genomförande av vald transportnivå, orientering<br />
till polismyndigheter och organisationsenheter, medförande av personsäkerhetslarm,<br />
överförande av nycklar eller koder till i transporten<br />
ingående förvaringsutrymmen samt skydd under uppehåll under transporten.<br />
Vid vägtransport utanför Sverige skall dock minst följebil, om möjligt<br />
med personsäkerhetslarm, alltid nyttjas.<br />
Fattade avstegsbeslut får inte strida mot berörda staters lagar eller bestämmelser<br />
utan transporterna måste alltid genomföras i lägst den skyddsnivå/<br />
transportnivå och med lägst det transportskydd (förbil, följebil, eskort-, eller<br />
följefartyg, eskort- eller följeflygplan, transportskyddsstyrkor, etc.) som bestäms<br />
av berörd stat. Även bestämmelser som utfärdats i samband med eller<br />
under s k missioner (t ex SFOR, KFOR etc) skall beaktas i samband med val<br />
av transportnivå.<br />
Beslut om undantag skall grunda sig på gjord säkerhetsanalys och därpå<br />
följande säkerhets- respektive transportplan. Beslut skall dokumenteras.<br />
Ytterligare anvisningar för planering och genomförande av internationella<br />
transporter framgår av Handbok för <strong>Försvarsmakten</strong>s transporter.<br />
98
Bilaga 3:1 <strong>Försvarsmakten</strong>s<br />
informationssäkerhetspolicy<br />
Det övergripande målet med <strong>Försvarsmakten</strong>s informationssäkerhet är att<br />
säkerställa ett tillräckligt skydd för myndighetens informationstillgångar<br />
såväl inom som utom landet, så att rätt information är tillgänglig för rätt<br />
person i rätt tid på ett spårbart sätt.<br />
Information är en av <strong>Försvarsmakten</strong>s viktigaste tillgångar och utgör en<br />
förutsättning för att kunna bedriva verksamheten. Våra informationstillgångar<br />
måste därför behandlas och skyddas på ett tillfredsställande sätt mot<br />
de risker som förekommer. Lagar och förordningar utgör grunden för <strong>Försvarsmakten</strong><br />
i detta arbete, dessutom ska ingångna överenskommelser och<br />
avtal följas.<br />
Med informationstillgångar avses all information oavsett om den behandlas<br />
manuellt eller automatiserat och oberoende av i vilken form eller miljö den<br />
förekommer.<br />
Informationssäkerheten omfattar <strong>Försvarsmakten</strong>s informationstillgångar<br />
utan undantag.<br />
Med informationssäkerhet avses i <strong>Försvarsmakten</strong><br />
• att informationen finns tillgänglig när den behövs,<br />
• att informationen är och förblir riktig,<br />
• att informationen endast är tillgänglig för dem som är behöriga att ta del<br />
av och använda den, samt<br />
• att hanteringen av informationen är spårbar.<br />
<strong>Försvarsmakten</strong>s definition på informationssäkerhet innebär alltså ett vidare<br />
begrepp än det som anges i säkerhetsskyddslagen.<br />
Informationssäkerhet är en integrerad del av <strong>Försvarsmakten</strong>s verksamhet.<br />
Alla som i någon utsträckning hanterar informationstillgångar har ett ansvar<br />
att upprätthålla informationssäkerheten. Det är samtidigt ett ansvar för chefer<br />
på alla nivåer inom <strong>Försvarsmakten</strong> att aktivt verka för att alla ska inse<br />
informationssäkerhetens betydelse. Vidare ska cheferna verka för att en positiv<br />
attityd till säkerhetsarbetet genomsyrar all verksamhet. <strong>Försvarsmakten</strong>s<br />
informationssäkerhetsarbete leds och samordnas av militära underrättelse-<br />
och säkerhetstjänsten i Högkvarteret. Var och en i <strong>Försvarsmakten</strong> ska<br />
vara uppmärksam på och rapportera händelser som kan påverka säkerheten<br />
för våra informationstillgångar.<br />
99
Bilaga 3:1 <strong>Försvarsmakten</strong>s informationssäkerhetspolicy<br />
Informationssäkerhetspolicyn förverkligas genom att vi uppnår våra mål,<br />
följer våra handlingsplaner och genomför de åtgärder som beskrivs i <strong>Försvarsmakten</strong>s<br />
regelverk.<br />
Varje organisationsenhet är bunden av denna policy, vilket medför att det<br />
inte finns något utrymme att besluta om lokala policies som avviker från<br />
denna informationssäkerhetspolicy.<br />
Den som använder <strong>Försvarsmakten</strong>s informationstillgångar på ett sätt som<br />
strider mot denna informationssäkerhetspolicy kan bli föremål för åtgärder<br />
från myndighetens sida.<br />
Militära underrättelse- och säkerhetstjänsten i Högkvarteret ansvarar för att<br />
informationssäkerhetspolicyn årligen granskas och vid behov revideras.<br />
Denna informationssäkerhetspolicy är fastställd av överbefälhavaren den 5<br />
april 2005 och ska börja tillämpas den 1 maj 2005.<br />
100
Bilaga 3:2 The Information Security Policy of the<br />
Armed Forces<br />
The overall objective of the information security of the Armed Forces is to<br />
ensure sufficient protection of the information assets of the authority both<br />
within and outside the country, making sure that the information required<br />
is available to the right person in time, and in a way that is traceable.<br />
Information constitutes one of the most important assets of the Armed Forces<br />
and is a necessity for performing its duties. Our information assets must<br />
therefore be handled properly and given satisfactory protection against existing<br />
risks. For the Armed Forces, laws and ordinances constitute the basis<br />
in these efforts; in addition agreements and treaties shall be complied with.<br />
Information assets include all information whether if handled manually or<br />
automatically and regardless of format or environment in which it occurs.<br />
Information security in the Armed Forces refers to securing that:<br />
• the information is available when necessary<br />
• the integrity of the information is and remains accurate<br />
• the confidentiality of the information is maintained, and<br />
• the handling of the information is traceable.<br />
Hence, the definition of information security used by the Armed Forces has<br />
a wider scope than stated in the provisions of the Protective Security Ordinance.<br />
Information security is an integrated part of the Armed Forces activities.<br />
Each who to some extent handles information assets is responsible for maintaining<br />
information security. Managers at all levels within the Armed Forces<br />
also have the responsibility to actively endeavour that all employees realise<br />
the importance of information security. Moreover managers shall promote<br />
a generally positive attitude towards security work in all activities. Information<br />
security issues within the Armed Forces are managed and co-ordinated<br />
by the Military Intelligence and Security Directorate at the Headquarters.<br />
It is incumbent on each member of the Armed Forces to be vigilant and report<br />
incidents that might affect the security of our information assets.<br />
The implementation of the Information Security Policy depends upon the<br />
achievement of our goals, following our plans of action and enforcing the<br />
measures described in the Armed Forces framework of regulations.<br />
101
Bilaga 3:2 The Information Security Policy of the Armed Forces<br />
Every unit is bound by this policy, hence no local policies can be decided of<br />
that are not in compliance with this Information Security Policy.<br />
A person who uses the information assets of the Armed Forces in a way<br />
which is contrary to this Information Security Policy may be subject to measures<br />
from the authority.<br />
It is the responsibility of the Military Intelligence and Security Directorate at<br />
the Headquarters to annually review and if needed revise the Information<br />
Security Policy.<br />
This Information Security Policy was approved by the Supreme Commander<br />
on 5 April 2005 and shall enter into force as of 1 May 2005.<br />
102
Bilaga 3:3 Exempel på sekretessbevis<br />
FÖRSVARSMAKTEN<br />
HÖGKVARTERET<br />
Sekretessbevis<br />
Efternamn, förnamn<br />
Personnummer<br />
Organisatorisk tillhörighet<br />
Sida 1 (1)<br />
Jag bekräftar härmed att jag denna dag har informerats om innebörden och omfattningen av<br />
följande.<br />
Begreppet sekretess (handlingssekretess och tystnadsplikt) enligt 1 kap. 1 § sekretesslagen<br />
(1980:100).<br />
Att sekretess även gäller efter avslutad anställning eller annan tjänstgöring i vilken<br />
sekretesslagen är tillämplig (t ex den som fullgör värnplikt).<br />
Att sekretess kan råda enligt 2 kap. 1 § sekretesslagen för uppgifter som angår Sveriges<br />
förhållande till annan stat eller mellanfolkig organisation, den så kallade utrikessekretessen.<br />
Att sekretess kan råda enligt 2 kap. 2 § sekretesslagen för uppgifter som angår verksamhet<br />
för att försvara landet eller som i övrigt rör totalförsvaret, den så kallade försvarssekretessen.<br />
Meddelarfriheten enligt 1 kap. 1 § 3 st. tryckfrihetsordningen och särskilt underrättats om att<br />
meddelarfriheten är starkt begränsad inom försvarssekretessens område.<br />
19 kap. brottsbalken ”Om brott mot rikets säkerhet” samt 20 kap. 3 § brottsbalken ”Om<br />
tjänstefel m.m.” rörande brott mot tystnadsplikt.<br />
Datum Egenhändig namnteckning<br />
Namnförtydligande<br />
Sekretessupplysningen har meddelats av undertecknad, som även bevittnar den egenhändiga<br />
namnteckningen.<br />
Underskrift<br />
Namnförtydligande<br />
Jag bekräftar att jag denna dag, med anledning av min anställning (eller motsvarande) kommer att<br />
upphöra, tagit del av sekretessbevisets innehåll.<br />
Datum Egenhändig namnteckning<br />
Bevittnas av<br />
Namnförtydligande<br />
Underskrift<br />
Namnförtydligande<br />
103
Bilaga 3:4 Översikt över<br />
hanteringsbestämmelser i <strong>Försvarsmakten</strong> för<br />
hantering av hemliga uppgifter<br />
Hantering<br />
Kvittens vid muntlig<br />
delgivning eller<br />
visning Skall inte kvitteras.<br />
Godkänd lokal för<br />
Inget krav.<br />
muntlig delgivning<br />
Förvaring Förvaring i<br />
skyddsnivå 1.<br />
Krav på medförande<br />
Inget krav.<br />
Inventering<br />
Förstöring<br />
Återanvändning av<br />
lagringsmedium<br />
Informationssäkerhetsklass<br />
HEMLIG/RESTRICTED HEMLIG/CONFIDENTIAL HEMLIG/SECRET HEMLIG/TOP SECRET<br />
Sekretessbevis Sekretessbevis skall tecknas.<br />
Behörighet Behöver inte<br />
beslutas.<br />
Beslut om behörighet skall dokumenteras.<br />
Registrering Allmän handling och lagringsmedium skall registreras.<br />
Exemplarnumrering, Exemplarnumrering<br />
sändlista<br />
och sändlista med<br />
Allmän handling och lagringsmedium skall<br />
mottagare av varje exemplarnumreras och sändlista med mottagare av varje<br />
exemplar skall inte<br />
anges.<br />
exemplar skall anges.<br />
Hemligstämpel och Allmän handling och lagringsmedium som innehåller allmänna handlingar skall<br />
märkning med<br />
märkas med hemligstämpel och informationssäkerhetsklass.<br />
informationssäkerhetsklass<br />
Arbetshandling och lagringsmedium som enbart innehåller arbetshandlingar skall<br />
märkas med informationssäkerhetsklass.<br />
Kopiering eller<br />
Endast kopiering av eller<br />
utdrag<br />
Inget krav vid<br />
kopiering eller<br />
utdrag.<br />
Endast kopiering av eller utdrag ur<br />
allmän handling och arbetshandling<br />
enligt arbetsordning.<br />
utdrag ur allmän handling<br />
och arbetshandling enligt<br />
arbetsordning samt efter<br />
medgivande av<br />
organisationsenhetens<br />
chef.<br />
Vad kopiering av eller utdrag ur allmän handling omfattar samt<br />
till vem kopia lämnas skall registreras.<br />
Kvittens vid<br />
mottagande Skall inte kvitteras.<br />
Kvittens vid mottagande av allmän<br />
handling, sparas 10 år.<br />
Kvittens vid mottagande<br />
av allmän handling och<br />
arbetshandling, sparas 25<br />
år.<br />
Bild B1<br />
Skall inte<br />
inventeras.<br />
Handlingar förstörs<br />
i godkänd<br />
destruktör.<br />
Lagringsmedium får återanvändas efter<br />
godkänd överskrivning eller godkänd<br />
radering.<br />
Kvittens på delgivningskvitto eller lista<br />
vid muntlig delgivning eller visning av<br />
allmän handling, sparas 10 år.<br />
Kvittens på<br />
delgivningskvitto eller lista<br />
vid muntlig delgivning<br />
eller visning av allmän<br />
handling och<br />
arbetshandling, sparas 25<br />
år.<br />
Vid muntlig delgivning skall lokal vara godkänd ur<br />
säkerhetssynpunkt.<br />
Förvaring i skyddsnivå 3.<br />
Förvaring i<br />
skyddsnivå 4.<br />
Medförande av handling och lagringsmedium utanför<br />
<strong>Försvarsmakten</strong>s lokaler eller områden efter beslut av chefen<br />
för organisationsenheten.<br />
Allmänna handlingar och lagringsmedium<br />
skall inventeras en gång per år<br />
och inventeringen protokollföras.<br />
Handlingar förstörs i godkänd destruktör.<br />
Förstöring av allmänna handlingar<br />
dokumenteras.<br />
Handlingar och<br />
lagringsmedium skall<br />
inventeras en gång per år<br />
av två förrättare och<br />
inventeringen<br />
protokollföras.<br />
Handlingar förstörs i<br />
godkänd destruktör.<br />
Förstöring dokumenteras<br />
av två<br />
försvarsmaktsanställda.<br />
Lagringsmedium får endast återanvändas<br />
av personer som är behöriga till tidigare<br />
lagrade uppgifter.<br />
105
Bilaga 3:5 Exempel på samförvaringsbeslut<br />
Samförvaringsbeslut<br />
<strong>2007</strong>-<br />
-<br />
Sida 1 (1)<br />
Med stöd av 2 kap. 7 § <strong>Försvarsmakten</strong>s interna bestämmelser (FFS <strong>2007</strong>:2) om säkerhetsskydd och<br />
skydd av viss materiel beslutas om samförvaring av hemliga handlingar för följande personer i<br />
angivet förvaringsutrymme.<br />
Beteckning på<br />
förvaringsutrymme<br />
Plats för<br />
förvaringsutrymmet<br />
Namn Personnummer Organisatorisk tillhörighet<br />
Detta beslut har fattats av (tjänstegrad/titel) NN. I den slutliga handläggningen har dessutom<br />
(tjänstegrad/titel) NN deltagits och som föredragande (tjänstegrad/titel) NN.<br />
NN<br />
FÖRSVARSMAKTEN<br />
HÖGKVARTERET<br />
107
Bilaga 3:6 Exempel på beslut om gemensam<br />
användning av hemliga handlingar samt<br />
samförvaring<br />
Plats för hemligstämpel och informationssäkerhetsklass<br />
Beslut om gemensam användning av hemliga handlingar samt samförvaring<br />
Med stöd av 2 kap. 7-8 §§ <strong>Försvarsmakten</strong>s interna bestämmelser (FFS <strong>2007</strong>:2) om säkerhetsskydd<br />
och skydd av viss materiel beslutas om grupp för gemensam användning av hemlig handling samt<br />
samförvaring av hemliga handlingar.<br />
Beslut avser<br />
Grupp Ingen ändring Inrättande Ändring Avveckling<br />
Samförvaring Ingen ändring Inrättande Ändring Avveckling<br />
Beteckning på grupp för<br />
gemensam användning av<br />
hemlig handling<br />
Syfte med gemensam<br />
användning av hemlig<br />
handling<br />
Följande förvaringsutrymmen skall användas för samförvaring av hemliga<br />
handlingar som gemensamt skall användas av gruppen.<br />
Beteckning på<br />
förvaringsutrymme<br />
ändring<br />
Plats för förvaringsutrymmet Organisationsenhet som svarar<br />
för tillträdesbegränsningen Ingen<br />
Följande personer ingår i den grupp för gemensam användning av hemliga<br />
handlingar som beslutet omfattar. Dessa personer skall ha åtkomst till ovan<br />
angivna förvaringsutrymmen för förvaring av hemliga handlingar som tilldelats<br />
gruppen för gemensam användning.<br />
Namn<br />
Personnummer<br />
Organisatorisk<br />
tillhörighet<br />
Ingen ändring<br />
Beslut avser<br />
Inrättas<br />
Avvecklas<br />
Beslut avser<br />
Detta beslut har fattats av (tjänstegrad/titel) NN. I den slutliga handläggningen har dessutom<br />
(tjänstegrad/titel) NN deltagits och som föredragande (tjänstegrad/titel) NN.<br />
NN<br />
FÖRSVARSMAKTEN<br />
HÖGKVARTERET<br />
Inträde till grupp<br />
Utträde ur grupp<br />
109
4 IT-säkerhet<br />
4.1 Inledning<br />
HEMLIG<br />
enligt 2 kap 2§ sekretesslagen (1980:100)<br />
AV SYNNERLIG BETYDELSE FÖR RIKETS <strong>SÄK</strong>ERHET<br />
1996-01-12<br />
Frågan om denna handlings utlämnande skall<br />
prövas av chefen för Försvarsdepartementet<br />
FÖRSVARSMAKTEN<br />
HEMLIG/TOP SECRET<br />
Detta kapitel ger endast en mycket överskådlig presentation av begreppet<br />
IT-säkerhet. För mer djupgående information om IT-säkerhet hänvisas till<br />
Handbok för <strong>Försvarsmakten</strong>s säkerhetstjänst, Informationsteknik (H <strong>SÄK</strong><br />
IT). H <strong>SÄK</strong> IT riktar sig främst till <strong>Försvarsmakten</strong>s ledning, chefer för organisationsenheter,<br />
produktansvariga, säkerhetschefer, IT-säkerhetschefer,<br />
biträdande IT-säkerhetschefer, IT-säkerhetsansvariga och IT-chefer.<br />
IT-säkerhet är en del av informationssäkerheten och berör främst de delar<br />
av begreppet informationssäkerhet som avser säkerheten i den tekniska<br />
hanteringen av information som bearbetats, lagras och kommuniceras<br />
elektroniskt samt administrationen kring detta. 85<br />
Med IT-säkerhet avses vidare de åtgärder som syftar till att uppnå och vidmakthålla<br />
den nivå av säkerhet som bl a lagar, förordningar, Försvarsmak-<br />
85. IT-säkerheten defineras även enligt SIS HB 550, Terminologi för Informationssäkerhet som<br />
säkerhet beträffande IT-system med förmåga att förhindra obehörig åtkomst och obehörig eller oavsiktig<br />
förändring eller störning vid databehandling samt dator- och telekommunikation.<br />
111
4 IT-säkerhet<br />
tens författningar, <strong>Försvarsmakten</strong>s informationssäkerhetspolicy, särskilda<br />
skrivelser och verksamhetens behov ställer på ett IT-system.<br />
Ett IT-system är system med teknik som hanterar och utbyter information med<br />
omgivningen. 86 Exempel på IT-system är en dator, ett nätverk av datorer,<br />
programvara för ordbehandling, en kopiator eller skrivare som är ansluten<br />
till ett IP-nätverk samt mobiltelefoner där den inbyggda funktionaliteten för<br />
t ex surfning, kalender och e-post används.<br />
Lagringsmedia används för att kunna lagra och läsa data. 87 Lagringsmedia<br />
behåller den data som är lagrad även vid avsaknad av ström. 88 Exempel på<br />
lagringsmedia (s k sekundärminnen) är disketter, s k USB-minnen, CD,<br />
DVD, hårddiskar, och magnetband.<br />
4.2 Organisation<br />
I <strong>Försvarsmakten</strong>s organisation är IT-säkerhetsarbetet normalt uppdelat på<br />
följande aktörer:<br />
• Central nivå – Produktägare och produktansvarig samt Säkerhetskontoret<br />
vid militära underrättelse- och säkerhetstjänsten i Högkvarteret.<br />
• Lokal nivå – Systemägare, IT-säkerhetschef, biträdande IT-säkerhetschef<br />
och i förekommande fall garnisonschef.<br />
• Driftorganisation – Driftägare och driftansvarig.<br />
För att uppnå en god säkerhet i och kring ett IT-system är det av stor vikt att<br />
de berörda aktörerna är medvetna om sina roller, avgränsningarna för den<br />
egna rollen och de andra rollerna samt beröringspunkterna dem emellan.<br />
86. Se 7 kap. 1 § 2 <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd och 1 kap. 6 § 1 <strong>Försvarsmakten</strong>s<br />
interna bestämmelser om IT-säkerhet.<br />
87. Se 7 kap. 1 § 1 <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
88. Ett lagringsmedium kan vara ett sekundärminne eller ett primärminne.<br />
112
HKV MUST <strong>SÄK</strong>K<br />
Ledningsinpektören FM säkerhetsskyddschef<br />
Driftägare<br />
FM informationssäkerhetschef<br />
Produktägare<br />
Säkerhetschef<br />
CIO<br />
Funktionsansvarig<br />
IT-säkerhetsansvarig<br />
Bitr. IT-säkerhetschef<br />
Produktansvarig<br />
IT-säkerhetschef Signalskyddschef<br />
IT-chef<br />
Bild 4:1 Några av alla aktörer som förekommer i IT-säkerhetsarbetet.<br />
Produktägare: den som är utsedd att vara produktägare enligt 4 § <strong>Försvarsmakten</strong>s<br />
interna bestämmelser (FIB <strong>2007</strong>:5) om IT-verksamhet.<br />
1 kap. 6 § 10 <strong>Försvarsmakten</strong>s interna bestämmelser om IT-säkerhet<br />
4.2.1 Produktägare<br />
Av 4 § <strong>Försvarsmakten</strong>s interna bestämmelser om IT-verksamhet framgår<br />
att till produktägare får utses den chef som har ansvaret för den verksamhet<br />
som ett IT-system huvudsakligen skall stödja. CIO, eller den han eller hon<br />
bestämmer, utser produktägare. Ett beslut att utse någon till produktägare<br />
skall dokumenteras. En av produktägarens uppgifter är att fatta beslut i fråga<br />
om ackreditering av ett IT-system (central ackreditering).<br />
4.2.2 Systemägare<br />
4 IT-säkerhet<br />
I dessa bestämmelser avses med systemägare: den chef för en organisationsenhet<br />
som ansvarar för den del av ett IT-system som skall användas i den egna verksamheten.<br />
1 kap. 6 § 11 <strong>Försvarsmakten</strong>s interna bestämmelser om IT-säkerhet<br />
Systemägaren och förbandschefen är således en och samma person men i ITsäkerhetssammanhang<br />
benämns förbandschefen som systemägare.<br />
113
4 IT-säkerhet<br />
Systemägaren ansvarar för den del av ett IT-system som skall användas i den<br />
egna verksamheten.<br />
Systemägaren ansvarar från ett säkerhetsskydds- och IT-säkerhetsperspektiv<br />
för en rad åtgärder som t ex:<br />
• Systemägaren skall i en IT-säkerhetsplan fastställa riktlinjer för IT-säkerheten.<br />
89<br />
• Systemägaren skall besluta i fråga om ackreditering, innan ett IT-system<br />
får användas i den egna verksamheten (lokal ackreditering). 90<br />
• Systemägaren skall se till att användare har genomgått erforderlig utbildning<br />
i IT-säkerhet med godkänt resultat och kan hantera IT-systemet<br />
på ett säkert sätt, innan de tilldelas behörighet att utnyttja det. 91<br />
• Systemägaren eller den han bestämmer skall besluta vem som är behörig<br />
att använda eller ta del av uppgifter i ett IT-system. 92<br />
4.2.3 IT-säkerhetschef och IT-säkerhetsman<br />
Vid varje organisationsenhet skall det finnas en IT-säkerhetschef som leder och<br />
samordnar IT-säkerhetsarbetet direkt under säkerhetschefen.<br />
1 kap. 11 § första stycket <strong>Försvarsmakten</strong>s interna bestämmelser om ITsäkerhet<br />
Föreskriften lägger inget hinder för att en IT-säkerhetschef kan ha andra arbetsuppgifter<br />
inom en organisationsenhet. Erfarenheter visar dock att ITsäkerheten<br />
kan bli lidande om IT-säkerhetschefen även har andra arbetsuppgifter.<br />
Inom ramen för IT-säkerhetschefens ledning och samordning av IT-säkerhetsarbetet<br />
vid organisationsenheten kan följande uppgifter ankomma på<br />
IT-säkerhetschefen. 93<br />
• Leda framtagning av riktlinjer för IT-säkerhet (IT-säkerhetsplan).<br />
• Vara rådgivare i IT-säkerhetsfrågor inom säkerhetsskyddsområdet.<br />
• Vara rådgivare i IT-säkerhetsfrågor utom säkerhetsskyddsområdet.<br />
Med hänsyn till att det idag finns organisationsenheter som är belägna på<br />
annan plats än den där enheten huvudsakligen är belägen skall chefen för<br />
organisationsenheten överväga om det på den platsen behövs en biträdande<br />
IT-säkerhetschef. 94<br />
89. 1 kap. 10 § <strong>Försvarsmakten</strong>s interna bestämmelser om IT-säkerhet.<br />
90. 11 kap. 5 § första stycket <strong>Försvarsmakten</strong>s interna bestämmelser om IT-säkerhet.<br />
91. 5 kap. 1 § <strong>Försvarsmakten</strong>s interna bestämmelser om IT-säkerhet.<br />
92. 6 kap. 1 § första stycket <strong>Försvarsmakten</strong>s interna bestämmelser om IT-säkerhet.<br />
93. Se exempel på övriga uppgifter i 7.6.1 H <strong>SÄK</strong> IT 2006.<br />
114
Under IT-säkerhetschefen kan en organisationsenhet välja att ha en IT-säkerhetsman.<br />
Denne bidrar till att upprätthålla IT-säkerheten inom egen<br />
enhet. Syftet med att ha IT-säkerhetsmän är att de kan verifiera att regelverk<br />
och planer verkställs. En IT-säkerhetsman bör även vara ett nära stöd till<br />
verksamhetsansvariga chefer inom IT-säkerhetsområdet. Till skillnad från<br />
en IT-säkerhetschef har en IT-säkerhetsman även andra uppgifter vid sidan<br />
av att han eller hon är IT-säkerhetsman.<br />
4.3 Analyser, planer och instruktioner<br />
4 IT-säkerhet<br />
För att <strong>Försvarsmakten</strong>s verksamhet skall kunna få det IT-stöd som behövs<br />
i utvecklings-, inriktnings, produktions-, insats- liksom underrättelse- och<br />
säkerhetstjänstarbetet, måste ett antal analyser genomföras. Av dessa analyser<br />
kan nämnas följande: 95<br />
• Verksamhetsanalys<br />
I verksamhetsanalysen analyseras antingen befintlig eller planerad verksamhet.<br />
I IT-sammanhang utgör resultatet av verksamhetsanalysen en<br />
utgångspunkt för säkerhetsanalysen.<br />
• Säkerhetsanalys<br />
Syftar i IT-sammanhang till att klarlägga om det finns uppgifter i ett ITsystem<br />
som omfattas av sekretess och rör rikets säkerhet (hemliga uppgifter).<br />
Som utgångspunkt för detta används med fördel den genomförda<br />
informationsklassningen. Hemliga uppgifter i ett IT-system skall placeras<br />
i en informationssäkerhetsklass. Inplacering i informationssäkerhetsklass<br />
görs med stöd av en förtida menbedömning för de hemliga uppgifterna.<br />
• Författningsanalys<br />
Författningsanalysen syftar till att beskriva vilka författningar som är aktuella<br />
dels för ett IT-system, dels för de uppgifter som IT-systemet är<br />
avsett att behandla. Efter genomförd författningsanalys kan säkerhetskrav<br />
formuleras.<br />
• Hot-, risk- och sårbarhetsanalys<br />
Redovisar de hot som hör till ett IT-system som kan identifieras. Vidare<br />
bedöms sannolikheten för att ett hot inträffar och konsekvensen som ett<br />
inträffat hot innebär. En risk är ett sådant kvantifierat hot. Utifrån en<br />
bedömning av hur tillgodosedda säkerhetskrav reducerar riskvärdena till<br />
en acceptabel nivå, fås sårbarheterna fram.<br />
94. Se 1 kap. 11 § andra stycket <strong>Försvarsmakten</strong>s interna bestämmelser om IT-säkerhet.<br />
95. I H <strong>SÄK</strong> IT 2006 ges en utförligare redogörelse för analysernas innebörd och omfattning.<br />
115
4 IT-säkerhet<br />
4.4 Regler för användning av<br />
<strong>Försvarsmakten</strong>s IT-system m m<br />
I Beslut om regler för användning av <strong>Försvarsmakten</strong>s IT-system regleras bl a<br />
under vilka förutsättningar som det är tillåtet att använda t ex e-post och<br />
96 97<br />
Internet för privata ändamål.<br />
4.5 Utveckling av IT-system<br />
DIT 04 gäller för all IT-verksamhet i fråga om IT-verksamhet inom <strong>Försvarsmakten</strong>.<br />
98 DIT 04 är giltig genom ett IT-systems hela livscykel, från det att<br />
behov av IT-stöd identifieras tills IT-systemet är avvecklat. Däremellan skall<br />
IT-systemet genomgå ett antal beslutsprocesser, till exempel Auktorisationsprocessen<br />
och Ackrediteringsprocessen.<br />
Auktorisation innebär ett bemyndigande för produktägare att utveckla <strong>Försvarsmakten</strong>s<br />
IT-verksamhet. 99<br />
4.6 Godkännande från säkerhetssynpunkt -<br />
ackreditering<br />
H H<br />
Bild 4:2 Exempel på IT-system som skall ackrediteras.<br />
96. HKV 2004-10-29 bet. 20 400:75133.<br />
97. Se även 12.1.1-12.1.5 H <strong>SÄK</strong> IT 2006.<br />
98. DIT 04 - Direktiv för <strong>Försvarsmakten</strong>s IT-verksamhet (DIT 04).<br />
99. Se 2 § 4 <strong>Försvarsmakten</strong>s interna bestämmelser om IT-verksamhet.<br />
116
Innan ett system, som är avsett för behandling av hemliga uppgifter och som<br />
är avsett att användas av flera personer, får driftsättas i <strong>Försvarsmakten</strong> skall<br />
det ha godkänts från säkerhetssynpunkt (ackrediterats, se övre vänstra hörnet,<br />
bild 4:2).<br />
Godkännandet skall grundas på ett dokumenterat ackrediteringsunderlag<br />
där bl a militära underrättelse- och säkerhetstjänsten i Högkvarteret (HKV<br />
MUST) yttrande över säkerheten i och kring IT-systemet framgår.<br />
Ett IT-system som är avsett för behandling av hemliga uppgifter, men som<br />
inte är avsett att användas av flera personer och som inte heller skall kommunicera<br />
med andra IT-system skall också ackrediteras (se övre högra<br />
hörnet, bild 4:2). Ett sådant IT-system är ett s k enanvändarsystem.<br />
Även sådana IT-system som är avsedda för behandling av endast sekretessbelagda<br />
uppgifter 100 samt IT-system som inte är avsedda för behandling av<br />
uppgifter som omfattas av sekretess enligt sekretesslagen (i övrigt) skall ackrediteras<br />
om inte CIO i Högkvarteret, eller den han bestämmer, beslutar<br />
annat (se undre delen, bild 4:2). Ett sådant auktorisationsbeslut fattas inom<br />
ramen för Högkvarterets stödprocess CIO-processen.<br />
100. D v s uppgifter som inte rör rikets säkerhet.<br />
4 IT-säkerhet<br />
117
5 Tillträdesbegränsning<br />
5.1 Inledning<br />
Tillträdesbegränsning skall förhindra att obehöriga får tillträde till anläggningar,<br />
inrättningar, fordon, fartyg, luftfartyg samt andra lokaler, objekt eller<br />
områden, där hemlig uppgift eller annat av betydelse för rikets säkerhet förvaras<br />
eller där verksamhet av sådan betydelse förekommer. Tillträdesbegränsning<br />
skall också förhindra stölder, speciellt av begärlig eller svårersättlig<br />
egendom, t ex vapen och ammunition, samt penningmedel och<br />
kapitalvaror.<br />
Tillträdesbegränsningens totala effekt beror av byggnadstekniska åtgärder,<br />
teknisk eller manuell bevakning samt möjlighet att ingripa.<br />
Avgörande för möjligheterna att avvärja intrång är om obehöriga, utan upptäckt<br />
och utan att ingripande sker, lyckas få tillträde till visst utrymme samt<br />
den tid som erfordras för intrånget.<br />
Teknisk tillträdesbegränsning är olika anordningar och åtgärder avsedda att<br />
förstärka sekretess- och tillträdesbegränsning, t ex förvaringsutrymmen,<br />
mekaniskt inbrottsskydd samt larm-, passage- och övervakningssystem.<br />
Chef för organisationsenhet kan vända sig till lokal säkerhetschef, chef för<br />
säkerhets- och samverkanssektion ur operativ stab eller den militära under-<br />
119
5 Tillträdesbegränsning<br />
rättelse- och säkerhetstjänsten (MUST) för att få råd om teknisk tillträdesbegränsning.<br />
5.2 Grunder<br />
Chef för organisationsenhet skall pröva om anläggningar eller verksamhet<br />
som han har ansvar för kräver tillträdesbegränsning. Om så krävs, skall sådant<br />
ordnas. Bestämmelserna om detta skall tas in i organisationsenhetens<br />
lokala bestämmelser. Vid ny- eller ombyggnad är det viktigt att tillträdesbegränsningens<br />
utformning beaktas i ett tidigt skede av planläggningen.<br />
5.2.1 Tillträdesbegränsningens former<br />
Tillträdesbegränsning kan hindra, fördröja eller förvarna om obehörigt tillträde,<br />
eller försök till tillträde, till ett objekt. Den kan vara såväl personell<br />
som teknisk eller båda i kombination. Den tekniska tillträdesbegränsningen<br />
kan komplettera eller ersätta bevakningen. Kraven på tillträdesbegränsning<br />
skall påverka utformningen av en anläggning eller byggnad och det är därför<br />
angeläget att den verksamhetsansvarige tidigt tar ställning till dem.<br />
Tillträdesbegränsning kan åstadkommas genom:<br />
• begränsning av tillträdesrätten genom utfärdande och tillkännagivande<br />
av tillträdesförbud<br />
• passerkontroller, antingen personell eller teknisk kontroll för in- och utpassering<br />
eller båda i kombination<br />
• byggnadstekniska åtgärder såsom byggnadskonstruktioner, sektioneringar,<br />
lås, områdesskydd, dvs staket, murar etc<br />
• bevakningstekniska hjälpmedel som larmanordningar, TV-övervakning<br />
etc<br />
• inre och yttre personell bevakning.<br />
5.2.2 Tillträdesrätt<br />
Tillträdesrätten till en organisationsenhets objekt, lokaler och områden skall<br />
regleras i de lokala bestämmelserna. Om två eller flera organisationsenheter<br />
gemensamt disponerar objekt, lokaler eller områden, skall garnisonschefen<br />
bestämma vilken eller vilka organisationsenhetschefer som skall svara för<br />
tillträdesbegränsningen. Denne benämns tillträdesansvarig chef och får besluta<br />
lokala bestämmelser om tillträdesbegränsningen och tillträdesrätten.<br />
Ofta är garnisonschefen själv tillträdesansvarig chef.<br />
120
5.2.3 <strong>Skydd</strong>sobjekt<br />
5 Tillträdesbegränsning<br />
Beslut om skyddsobjekt sker enligt skyddslagstiftningen. 101 Vad gäller objekt<br />
som disponeras huvudsakligen av <strong>Försvarsmakten</strong>, Försvarets materielverk<br />
eller Försvarets radioanstalt samt militära fartyg och luftfartyg fattas<br />
beslut av den operative chefen i Högkvarteret, eller den han bestämmer.<br />
Detta avser även områden där en främmande stats militära styrka tillfälligt<br />
bedriver övningar, när den i Sverige deltar i utbildning för fredsfrämjande<br />
verksamhet inom ramen för internationellt samarbete.<br />
I andra fall skall sådana beslut, utom vad beträffar riksdagens och regeringens<br />
byggnader, fattas av Länsstyrelsen i det län där objektet finns. Om<br />
Länsstyrelsens beslut inte kan avvaktas i fråga om vissa objekt (områden)<br />
får <strong>Försvarsmakten</strong> tillfälligt fatta beslut. Ett tillfälligt beslut gäller till dess<br />
att Länsstyrelsen beslutar i ärendet, dock längst i tre dygn.<br />
Ändamålet med skyddslagstiftningen är att skydda<br />
• viktiga anläggningar och objekt mot spioneri, sabotage och terrorism samt<br />
• allmänheten mot skador till följd av militär verksamhet.<br />
Ett behov av skydd i något av de uppräknade hänseendena måste föreligga<br />
och utgör således en förutsättning för att beslut skall få fattas. Det som kan<br />
tala mot att tillträde begränsas är såväl allmänna intressen, t ex informationsfriheten,<br />
samfärdseln, friluftslivet och hänsyn till olika näringar, som<br />
enskilda personers behov och intressen. Begränsade förbud, t ex förbud mot<br />
dykning, fotografering, badning eller liknande, kan utfärdas enligt skyddslagstiftningen.<br />
Den myndighet som ansvarar för bevakningen av ett skyddsobjekt<br />
utser godkända skyddsvakter. 102<br />
<strong>Försvarsmakten</strong> kan meddela ytterligare föreskrifter om verkställigheten av<br />
lagen om skydd för samhällsviktiga anläggningar m m i den omfattning som<br />
anges i 18 § förordningen om skydd för samhällsviktiga anläggningar m m.<br />
Detta har skett i <strong>Försvarsmakten</strong>s föreskrifter om skydd för samhällsviktiga anläggningar<br />
m m.<br />
101. Lagen (1990:217) respektive förordningen (1990:1334) om skydd för samhällsviktiga anläggningar<br />
m m.<br />
102. 5 § förordningen (1990:1334) om skydd för samhällsviktiga anläggningar m m.<br />
121
5 Tillträdesbegränsning<br />
5.2.4 Passerkontroll<br />
Passerkontroll syftar till att:<br />
• vid inpassering fastställa identitet och rättighet till tillträde<br />
• vid utpassering fastställa identitet och att den som inpasserat till anläggningen<br />
utpasserar<br />
• vid behov även kontrollera dennes tillträdesrätt och uppehållstid.<br />
Personell bevakning eller utrustning för teknisk tillträdeskontroll eller en<br />
kombination av dem skall finnas vid alla passerställen till tillträdesbegränsade<br />
objekt, lokaler eller områden.<br />
Vid passerställen där endast anställda och motsvarande får inpassera bör<br />
tekniska passerkontrollsystem alltid användas. Dessa är också lämpliga vid<br />
inre sektionering i anläggningar, stabs- och ledningsbyggnader, datorhallar<br />
och liknande lokaler. Tekniska passagekontrollsystem är personalekonomiskt<br />
fördelaktiga, ger en högre grad av tillträdesskydd än personellt bemannad<br />
passagekontroll samt medger spårbarhet (loggning) avseende såväl<br />
in- som utpassage.<br />
En bemannad passerkontroll, i form av vakt eller reception, bör finnas vid<br />
minst en ingång och då lämpligast vid huvudentrén, för att möjliggöra mottagande<br />
av besökare. Vid tekniskt övervakade passerställen bör ett tydligt<br />
anslag hänvisa besökare och andra utomstående till personellt bevakad ingång.<br />
Vid tekniskt övervakade passerställen skall kort och/eller personlig<br />
kod användas. Under icke tjänstetid bör alltid både kort och personlig kod<br />
nyttjas.<br />
In- och utpasseringar bör alltid loggas i centraldator, detta i syfte att medge<br />
analys av personers inpassage och tillträde till olika lokaler. Passersystem<br />
med generella koder, som gäller för flera personer, bör inte användas då det<br />
är relativt enkelt att forcera koden och ej heller tillgodoses möjligheterna att<br />
genomföra analyser på ett tillfredsställande sätt. Generell kod får inte användas<br />
vid anläggningar eller lokaler med höga krav på tillträdesbegränsning.<br />
Passerkontroll omfattar fastställande av identitet, vilket skall ske antingen<br />
genom uppvisande av godkända legitimationshandlingar eller via personkännedom<br />
samt fastställande av behörighet, dvs skäl som föranleder behov<br />
av att erhålla tillträde. Rätt till tillträde kan medges om personen innehar<br />
passertillstånd eller är förtecknad på besökstillståndslista. En besökare kan<br />
också ha annat godtagbart skäl.<br />
Identiteten fastställs med stöd av personkännedom eller fotoförsedda legitimationshandlingar<br />
som är godkända av <strong>Försvarsmakten</strong>. I tveksamma fall<br />
skall förfrågan göras hos utfärdande myndighet eller hos besökarens arbets-<br />
122
5 Tillträdesbegränsning<br />
givare. Enbart fastställande av identiteten är inte tillräckligt för inpassage.<br />
Inte heller uniform eller ett tjänstetecken berättigar utan vidare till inpassage.<br />
Vid brand eller olyckshändelse får dock inte räddningspersonalens arbete<br />
hindras av gällande tillträdesbestämmelser. Tillvägagångssättet för passage<br />
vid dylika händelser måste planeras och arbetas in i förbandets lokala bestämmelser,<br />
där en åtgärdskalender bör finnas hos vakten vid passerkontrollstället.<br />
Högkvarteret har, i form av <strong>Försvarsmakten</strong>s interna bestämmelser om legitimationshandlingar<br />
m.m., utfärdat bestämmelser för vilka legitimationshandlingar<br />
som skall nyttjas av <strong>Försvarsmakten</strong>s personal och vilka legitimationshandlingar<br />
som får nyttjas vid inpassage till <strong>Försvarsmakten</strong>s anläggningar<br />
m m.<br />
Behörig är endast den som för sin tjänst eller på grund av uppdrag eller annat<br />
giltigt skäl behöver tillträde. En persons behörighet att få tillträde kan fastställas<br />
genom personkännedom eller genom handlingar såsom passertillstånd,<br />
förteckning över behöriga, besöksanmälan eller förfrågan hos den<br />
som söks.<br />
Den som medger inpassering skall i varje enskilt fall förvissa sig om att den<br />
inpasserande är rätt person och har behörighet att få tillträde. Omfattningen<br />
av kontrollen bestäms av säkerhetskraven och skall anges närmare i förbandets<br />
lokala bestämmelser. För tillträde till befästning, ledningscentral, FMLC<br />
(<strong>Försvarsmakten</strong>s larmcentral) m fl anläggningar skall alltid besökstillstånd<br />
finnas.<br />
Passerbevis/passertillstånd skall utfärdas restriktivt och främst tilldelas den<br />
som inte innehar tjänste- eller identitetskort eller annan legitimationshandling<br />
utfärdad av <strong>Försvarsmakten</strong>. Förteckning över personer som under viss<br />
tid har tillträdesrätt underlättar passerkontrollen. För utländska besök vid<br />
<strong>Försvarsmakten</strong> stadgas särskilt i av Högkvarteret utgivna föreskrifter.<br />
Notera att en person som önskar tillträde till ett objekt uteslutande för att ta<br />
del av allmän handling och som önskar vara anonym inte får identitetskontrolleras.<br />
Personen skall anmodas vänta tills ansvarig chef meddelat vidare<br />
åtgärder. Lämplig lokal bör disponeras och den besökande måste hållas under<br />
uppsikt hela tiden vid vistelse inom området.<br />
Det stora flertalet anställda bör, främst avseende sektionerade lokaler, erhålla<br />
behörighet och tillträde endast under normal tjänstetid. Behörighet<br />
under icke tjänstetid bör tilldelas restriktivt. Berörda lokaler bör vara utrustade<br />
med passerkontrollsystem som medger loggning av såväl in- som<br />
utpassage.<br />
123
5 Tillträdesbegränsning<br />
5.2.5 Allmänt om besök<br />
Besökare skall förses med besökskort (passerbevis) som skall bäras väl synligt<br />
och visa att deras tillträdesrätt kontrollerats vid inpasseringen. I byggnader<br />
med olika sektioneringar kan besökskort (passerbevis) ha olika färger<br />
eller annan markering, som visar i vilken sektionering besökanden får vistas.<br />
Vid besök skall besökare identifiera sig med godkänd legitimationshandling<br />
och skrivas in i besöksliggare med ankomsttid, myndighet eller företag, besöksmottagare<br />
samt eventuellt nummer på besökskort (passerbevis) som<br />
tilldelats. Besökskortet (passerbeviset) måste alltid återlämnas efter besök<br />
och tiden antecknas. Förteckning över besök sparas i liggare eller digitalt<br />
under minst fem (5) år. Vid anläggningar där särskild tillträdesbegränsning<br />
krävs, till exempel ledningscentral eller FMLC, sparas förda anteckningar<br />
om besök i 25 år.<br />
En besökare bör alltid hämtas och lämnas av besöksmottagaren eller av denne<br />
utsedd person, speciellt om besökaren är okänd. Besökaren bör ledsagas<br />
under hela besöket. Vid besök till särskilt skyddsvärda lokaler eller områden<br />
skall alltid samråd ske med säkerhetschefen.<br />
Besök skall arrangeras så att insyn i verksamhet med hemligt innehåll förhindras.<br />
Om hemlig uppgift inte kan undanhållas en besökare skall denne,<br />
för att få tillträde, vara bedömd från säkerhetssynpunkt och upplyst om<br />
kravet på sekretess. Ibland kan det räcka med att man täcker över hemlig<br />
materiel och förhindrar insyn.<br />
Speciellt fordonskort (passerbevis) bör utfärdas för fraktfordon som besöker<br />
ett objekt och måste inpassera till området. På kortet (passerbeviset) bör antecknas<br />
tidpunkten för ankomst och avfärd, namn på beställare eller mottagare,<br />
nummer på förarens legitimationshandling, t ex körkortsnummer,<br />
samt fordonets registreringsnummer. Fraktfordon bör regelmässigt in- och<br />
utpassera på samma plats och föraren förses med passerbevis.<br />
Taxi- och budbilar bör endast undantagsvis tillåtas att inpassera.<br />
124
5.2.6 Inre bevakning<br />
Hmm...<br />
Vem söker du?<br />
Bild 5:1 Inre bevakning med framtagna rutiner för säkerheten.<br />
Inre bevakning innebär uppmärksamhet på att obehöriga inte vistas inom<br />
ett objekt eller arbetsplats och att där inte förekommer obehörig verksamhet.<br />
Rutiner upprättas så att man vid arbetstidens slut kontrollerar att ingen obehörig<br />
finns kvar, att fönster och dörrar är stängda och låsta, att eventuella<br />
nattlåsningar vid elektromekaniska dörrsystem och entrédörrar är aktiverade<br />
samt att andra tillträdesskyddsanordningar, inklusive larm, fungerar.<br />
Ansvaret för den inre bevakningen regleras i organisationsenhetens lokala<br />
bestämmelser. Varje anställd skall medverka i bevakningen av sin arbetsplats.<br />
Den inre bevakningen vid större arbetsplatser underlättas om de<br />
anställda bär identitetshandlingar eller passerbevis väl synliga i korthållare<br />
eller har namnskylt. Besökare skall alltid bära passerbevis (besökskort) väl<br />
synligt.<br />
5.2.7 Yttre bevakning<br />
Yttre bevakning innebär kontroll av att obehörigt tillträde inte sker genom<br />
bevakningsobjektets yttre begränsning. Yttre bevakning kan ske genom bevakningspersonal,<br />
rondering, tekniska hjälpmedel (larm, övervakningskameror<br />
etc) eller kombinationer därav. Områdesskydd, t ex i form stängsel,<br />
är en förutsättning för att kunna genomföra bevakning av ett tillträdesbegränsat<br />
område.<br />
5.2.8 Elektronisk ronderingskontroll<br />
5 Tillträdesbegränsning<br />
När rondbevakning utförs av bevakningspersonal, har de i många fall en<br />
utrustning som manuellt registrerar ronderingen.<br />
125
5 Tillträdesbegränsning<br />
Idag finns även en typ av elektroniska system som samlar in olika slag av<br />
information, som exempelvis utnyttjad tid, inträffade händelser och åtgärder<br />
som har vidtagits. Under ronderingen har bevakningspersonalen med sig en<br />
kodläsare och på platser där åtgärder skall utföras finns en remsa med kodad<br />
information. Under ronderingen registrerar personalen den uppsatta informationen<br />
och efter avslutat uppdrag placeras kodläsaren i en datoriserad<br />
enhet, som bearbetar den kodade informationen. Bevakningschefen kan därefter<br />
snabbt få fram ett rapportsammandrag över händelserna.<br />
5.2.9 TV-övervakning<br />
TV-kameror ger ökade möjligheter att bevaka undanskymda eller viktiga<br />
platser, grindar samt obevakade inpasseringsställen. Speciella kameror finns<br />
för ID-kortläsning. Uppsättning av övervakningskameror är strikt reglerad<br />
för områden där allmänheten har tillträde och kräver tillstånd av Länsstyrelsen.<br />
Föreskrifter finns i lagen (1990:150) respektive förordningen (1990:314)<br />
om allmän kameraövervakning.<br />
<strong>Försvarsmakten</strong> behöver inte tillstånd för TV-övervakning, under förutsättning<br />
att övervakningsplatsen är belägen vid sådant skyddsobjekt, som utgör<br />
hemlig anläggning. Det gäller även andra skyddsobjekt, om övervakningskameran<br />
är så anbringad att den inte kan riktas mot plats som är upplåten<br />
till eller nyttjas av allmänheten. Detta innebär att om kameran exempelvis<br />
kan riktas mot ett gatuområde utanför fredsstabsbyggnad eller en vändplan<br />
utanför kasernvakten krävs tillstånd av eller, i vissa fall, anmälan till Länsstyrelsen.<br />
5.2.10 Tekniska åtgärder och hjälpmedel<br />
Tekniska passagekontrollsystem bör alltid användas där endast anställda<br />
och personer som tilldelats passerbevis får inpassera.<br />
Kort- och kodläsarstyrda rotationsgrindar/motsv kan effektivt kontrollera<br />
in- och utpassering i områdesgräns eller byggnadsgräns. Rotationsgrindar/dörrar<br />
säkerställer enpersonspassering, vilket försvårar så kallade kompisinsläpp<br />
eller ännu värre, insläpp av obehöriga. En rotationsgrind/-dörr<br />
med backspärr kan vara en lämplig lösning för inpassering om utpassering<br />
endast tillåts vid ett annat passerställe. Rotationsgrindar/dörrar, eller andra<br />
slussfunktioner, bör även nyttjas vid kortläsarstyrda in- och utpassager i inre<br />
sektioneringar.<br />
För kontroll av inpasserandes identitet kan TV-kameror, i kombination med<br />
speciella kameror för ID-kortläsning nyttjas.<br />
126
Tekniska passagekontrollsystem är personalekonomiskt fördelaktiga, ger i<br />
regel en högre grad av tillträdesskydd än personellt bemannad passagekontroll<br />
samt medger spårbarhet avseende såväl in- som utpassage.<br />
5.3 Besök vid <strong>Försvarsmakten</strong><br />
5.3.1 Besök av svenska medborgare till <strong>Försvarsmakten</strong>s<br />
objekt, lokaler och områden<br />
Chef för organisationsenhet är, som säkerhetsansvarig, ansvarig för tillträdesrätten<br />
till egna objekt, lokaler och områden. Den organisationsenhetschef<br />
som skall ansvara för tillträdesrätten till objekt, lokaler eller områden som<br />
disponeras gemensamt av flera organisationsenheter benämns tillträdesansvarig<br />
chef. Garnisonschefen är oftast tillträdesansvarig chef. I garnisonschefens<br />
uppgifter ingår även andra samordningsuppgifter av säkerhetskaraktär.<br />
Den tillträdesansvarige chefen har rätt att besluta om lokala bestämmelser<br />
för tillträdesrätten utöver de grundkrav som finns angivna i författningarna<br />
om tillträdesbegränsning.<br />
Incidenter och iakttagelser som rör säkerhetsskyddet vid ett objekt, en lokal<br />
eller ett område som disponeras gemensamt av flera organisationsenheter<br />
skall omedelbart rapporteras till den tillträdesansvarige chefen. Denne skall<br />
i sin tur rapportera incidenten till berörda organisationsenhetschefer.<br />
Högkvarteret bestämmer, i vissa fall, om vid vilka objekt studiebesök får ske.<br />
Vid sådant besök skall en framställning om besökstillstånd göras enligt de<br />
rutiner som har fastställts av Högkvarteret.<br />
Framställan om besök skall insändas till chefen för organisationsenheten eller,<br />
i förekommande fall, till den tillträdesansvarige chefen. Tillträdesansvarig<br />
chefs svar på framställan skall grunda sig på en för anläggningen, objektet<br />
respektive området gjord säkerhetsanalys.<br />
5.3.2 Utländska besök vid <strong>Försvarsmakten</strong><br />
5 Tillträdesbegränsning<br />
Inom <strong>Försvarsmakten</strong>s högkvarter (Högkvarteret) handläggs ärenden avseende<br />
utländska besök av FÖRBE INT Prot.<br />
I förordningen (1996:442) om utländska besök vid vissa myndigheter inom Försvarsdepartementets<br />
verksamhetsområde finns bestämmelser om i vilka fall<br />
127
5 Tillträdesbegränsning<br />
<strong>Försvarsmakten</strong> skall inhämta Regeringskansliets tillstånd innan myndigheten<br />
anordnar besök för utlänning. Dessa fall är besök vid krigsstabsplats<br />
eller vid förband eller en annan enhet under pågående beredskapsuppdrag<br />
eller krigsförbandsövning.<br />
Regeringskansliets tillstånd krävs också om en utlänning skall tjänstgöra vid<br />
en svensk militär enhet. Regeringskansliets tillstånd krävs också innan <strong>Försvarsmakten</strong>,<br />
Försvarets materielverk eller Totalförsvarets forskningsinstitut<br />
anordnar besök av en utlänning som har en befattning som motsvarar en<br />
befattning inom <strong>Försvarsmakten</strong> som överbefälhavare eller ställföreträdande<br />
myndighetschef, högre militär chef i Högkvarteret eller en befattning som<br />
motsvarar en befattning som chef för Försvarets materielverk, eller Totalförsvarets<br />
forskningsinstitut.<br />
Likaså krävs Regeringskansliets tillstånd om en utlänning skall genomgå<br />
taktisk utbildning vid <strong>Försvarsmakten</strong> eller utbildning vid Försvarshögskolan<br />
och Totalförsvarets forskningsinstitut och utbildningen inte är reglerad<br />
inom ramen för en överenskommelse mellan Sverige och vederbörande stat.<br />
<strong>Försvarsmakten</strong>, Försvarets materielverk och Totalförsvarets forskningsinstitut<br />
skall, med vissa undantag vad avser försvarsunderrättelsetjänst och<br />
militär säkerhetstjänst, den 1 april och den 1 oktober varje år, till Försvarsdepartementet,<br />
rapportera besök av utlänningar som anordnats utöver de<br />
ovan angivna fallen.<br />
Regeringskansliets tillstånd behöver inte inhämtas om besöket är föranlett<br />
av att en utlänning skall<br />
• förbereda, delta i eller följa upp en verksamhet inom ramen för en överenskommelse<br />
mellan Sverige och andra stater om samarbete inom totalförsvarets<br />
område<br />
• förbereda, delta i eller följa upp en affärsförhandling<br />
• göra en anmälan, en uppvaktning eller på något annat sätt medverka i<br />
endast protokollära sammanhang<br />
• delta i ett samkväm eller annan liknande verksamhet.<br />
Ej heller behövs Regeringskansliets tillstånd när <strong>Försvarsmakten</strong> bedriver<br />
sådan verksamhet som anges i lagen (2000:130) om försvarsunderrättelsetjänst<br />
eller bedriver militär säkerhetstjänst.<br />
Då Högkvarteret medgivit beslut om att tillåta besök av utländska medborgare,<br />
innefattar detta i regel endast tillstånd att besöka organisationsenheten.<br />
Chef för organisationsenhet eller, i förekommande fall, tillträdesansvarig<br />
chef har sedan att besluta om vilka delar av organisationsenheten respektive<br />
organisationsenhetens verksamhet som får besökas respektive vad som inte<br />
får besökas. Beslutet skall grunda sig på en säkerhetsanalys för det aktuella<br />
besöket och vid organisationsenheten pågående verksamhet.<br />
128
5 Tillträdesbegränsning<br />
Processbeskrivning och detaljanvisningar m m avseende handläggning av<br />
utländska besök framgår av Beslutsskrivelse utgiven av HKV, Dp Internationella<br />
relationer och av <strong>Försvarsmakten</strong>s årliga VU.<br />
5.4 Förvaringsutrymmen, bl a för hemlig eller<br />
skyddsvärd materiel<br />
Godkända förvaringsutrymmen kan vara förvaringslokaler, hela byggnader<br />
eller enskilda rum i byggnader såväl som flyttbara förvaringsutrymmen, t<br />
ex kassuner och värdeförvaringsenheter (säkerhetsskåp, kassaskåp, värdeskåp<br />
etc.). Förvaringsutrymmen skall motstå definierade angreppsmetoder<br />
under en viss tid och med vissa definierade verktyg.<br />
Definierade angreppsmetoder och verktyg finns i respektive klassning i<br />
Svensk Standard (SS), men även <strong>Försvarsmakten</strong>, Försvarets materielverk<br />
(FMV) och Fortifikationsverket (FORTV) utger normer för förvaringsutrymmen<br />
och byggnader. Det Norske Veritas (DNV) certifierar ett stort antal<br />
produkter, bl a säkerhetsskåp, värdeskåp. Av DNV certifierade produkter<br />
och tjänster framgår av DNV webbsida.<br />
De certifierade produkter och tjänster som är av särskilt intresse för <strong>Försvarsmakten</strong><br />
är följande; SBC 1018 Värdeförvaringsenheter, SBC 158 Stöldskyddsskåp<br />
och säkerhetsskåp, SBC 158:2 Lås till värdeförvaringsenheter, säkerhetsskåp<br />
m.m., SBC 158:3 Värdeförvaringstekniker (dvs de låstekniker som har<br />
rätt utbildning och certifiering för att byta och reparera lås till förvaringsenheter)<br />
samt SBC 921 Byggnadsglas/säkerhetsrutor.<br />
Alla lås till värdeförvaringsenheter skall vara godkända/certifierade av Det<br />
Norske Veritas (DNV) enligt lista SBC 158:2 eller av <strong>Försvarsmakten</strong>. Låsen<br />
skall klara avancerade försök till dyrkning och manipulation samt andra<br />
försök att forcera låsmekanismen. I låsets regelverk skall finnas separat<br />
spärrmekanism, som aktiveras vid inslagning eller sprängning mot låset.<br />
Med hjälp av tidlås, exempelvis Time-lock eller Time-delay, kan man förhindra<br />
att ett lås kan öppnas under den tid det är i spärrfunktion. Det finns<br />
också blockeringssystem, där man med kort eller kod eller kombination<br />
därav först måste häva blockeringen av låset, innan det går att låsa upp.<br />
Genomföringar till förvaringsutrymmen får finnas för kablar eller liknande<br />
om de, oavsett hålstorlek, är så utformade och placerade att de inte medför<br />
sämre skydd än konstruktionen i övrigt. Genomföringar får därvid inte ge<br />
möjlighet till att föra in eller ut materiel i eller ur förvaringsutrymmet.<br />
129
5 Tillträdesbegränsning<br />
<strong>Försvarsmakten</strong> har utfärdat särskilda riktlinjer för håltagning på förråd och<br />
kassuner. Dessa riktlinjer grundar sig på av FORTV upprättade ritningsunderlag,<br />
vilka kan beställas från FORTV eller, i undantagsfall, från högkvarteret<br />
(HKV MUST <strong>SÄK</strong>K).<br />
5.5 Nycklar och reservkoder<br />
5.5.1 Förvaring, utlämning och försändning av kort,<br />
nycklar och koder<br />
Ett godkänt mekaniskt manipuleringssäkert kombinationslås (MP) eller ett<br />
godkänt elektroniskt kombinationslås är att föredra före nyckellås, detta bl a<br />
för att undvika problem med nyckelhantering. Om man använder förvaringsutrymmen<br />
med nyckellås, uppkommer alltid frågan om var man skall<br />
förvara nyckeln, främst under icke tjänstetid.<br />
Kort, koder och nycklar skall alltid förvaras i utrymmen som ger minst samma<br />
skydd som utrymmet det är avsett att skydda. I annat fall måste de<br />
förvaras under uppsikt.<br />
Alla kort, koder och nycklar skall förvaras så att ingen obehörig kan komma<br />
åt dem. De får endast innehas av den som har ansvaret för förvaringsutrymmet,<br />
om det inte anges annat i organisationsenhetens lokala bestämmelser.<br />
När en tjänsteman tilldelas ett förvaringsutrymme, skall om möjligt låset<br />
eller koden ställas om. Den som är sammanhållande ansvarig för nyckelhanteringen<br />
vid organisationsenheten bör därför ha ett antal nyckelax, som<br />
ersätter det utbytta och som vid ett senare tillfälle kan användas i en annan<br />
förvaringsenhet.<br />
Koder skall ställas om då ett förvaringsutrymme byter nyttjare samt härutöver<br />
minst en gång per år. De skall bestämmas och ställas in av den som<br />
tilldelats förvaringsutrymmet. Om någon behöver hjälp med inställningen,<br />
får denne endast hjälpa till med det mekaniska handhavandet, utan att bli<br />
delaktig av koden. Vid val av kod skall enkla sifferkombinationer, såsom<br />
exempelvis 10-20-30-40, undvikas. Man får inte heller välja telefonnummer,<br />
eget eller en anhörigs personnummer, bilnummer eller motsvarande personliga<br />
nummer.<br />
130
5.5.2 Förseglat emballage<br />
5 Tillträdesbegränsning<br />
Den enda anteckning om en kod till ett förvaringsutrymme, larmmanöverapparat<br />
etc som får finnas, skall förvaras i dubbla kuvert eller i annat godkänt<br />
förseglat och genomlysningsskyddat emballage. Emballaget skall vara så<br />
beskaffat att det är omöjligt att ta del av anteckningen utan att bryta emballaget.<br />
Om man använder papperskuvert, bör innehavaren av koden, efter<br />
igenklistringen, skriva sin namnteckning och datum så att dessa täcker över<br />
hela flikarnas längd, som sedan täcks med tejp så att namnteckningen<br />
förstörs, om tejpen avlägsnas. Tejpen bör vikas över kuvertets kanter så att<br />
det inte finns någon öppning i flikarna. Kuverten bör vara av sådan typ där<br />
flikarna korsar varandra på mitten. Även plastemballage med säkerhetsförslutning<br />
kan användas. Dessa bör vara testade och godkända av Stöldskyddsföreningen<br />
samt uppfylla Riksbankens och Postens normer för ESSbrev<br />
VÄRDE.<br />
Nyckelax skall alltid skyddas så att man inte kan känna, eller på annat sätt<br />
ta del, av nyckelns delning. Detta görs lämpligast med dubbelt kuvert eller<br />
genom att man försluter axet med aluminiumfolie eller omger det med tjockt<br />
kartongpapper. Nyckel/nyckelax skall i övrigt förpackas på samma sätt som<br />
en anteckning om en kod.<br />
Bild 5:2 Försegling av papperskuvert och plastemballage med säkerhetsförslutning<br />
En nyckel, som ännu inte har lämnats ut till den som skall ansvara för ett<br />
förvaringsutrymme eller lokal, skall förvaras av säkerhetschefen eller annan<br />
utsedd person. En nyckel får aldrig lämnas kvar i ett tomt förvaringsutrymme.<br />
Vid inköp av ett flyttbart förvaringsutrymme, en dörr till ett förvaringsutrymme<br />
eller ett lås skall nyckeln till utrymmet eller låset levereras separat<br />
och direkt till den ansvarige vid organisationsenheten av en distributör som<br />
131
5 Tillträdesbegränsning<br />
godkänts av <strong>Försvarsmakten</strong>. Om nyckeln skickas med postförsändelse, bör<br />
den sändas på samma sätt som hemlig handling.<br />
Under ny- eller ombyggnad bör dörrarna till de fasta förvaringsutrymmena<br />
med inmonterade lås hållas under uppsikt så att obehöriga inte får insyn i<br />
låsets konstruktion. Vid inprovning av sådana dörrar bör den som har ansvaret<br />
för nycklarna vara närvarande.<br />
En förteckning skall finnas över samtliga nycklar till förvaringsutrymmen<br />
som är avsedda för förvaring av hemliga handlingar, vapen eller ammunition.<br />
Av den skall framgå till vem och när en nyckel lämnats ut samt hur<br />
reservnyckeln förvaras. Förteckningen och nyckelkvittenserna förvaras som<br />
hemliga handlingar. Används plastemballage med säkerhetsförslutning bör<br />
emballagets nummer kvitteras av innehavaren på särskild lista.<br />
En kod eller en reservnyckel får användas av annan än den som har ansvaret<br />
för förvaringsutrymmet endast i vittnes närvaro samt under de förutsättningar<br />
som framgår av organisationsenhetens lokala bestämmelser. Sådan<br />
upplåsning bör endast komma i fråga vid oundgängligt behov. Ett kvitto,<br />
som anger vilken handling man tagit del av och som undertecknats av tjänstemannen<br />
och vittnet, bör lämnas i skåpet. Reservnyckeln eller koden läggs<br />
sedan tillbaka i ett nytt emballage, som försluts enligt reglerna ovan av vittnet.<br />
När den som har ansvar för förvaringsutrymmet återkommer, skall<br />
koden bytas eller nyckellåset ställas om. Reservkoden eller nyckeln läggs<br />
sedan i ett nytt, av den som har ansvar för förvaringsutrymmet, förseglat<br />
emballage.<br />
Om en anställd kan förutse några veckors frånvaro från sin tjänst, bör han<br />
överlämna nyckeln till förvaringsutrymmet till säkerhetschefen eller till den<br />
som säkerhetschefen utser. Vid utlandsresa skall nyckeln alltid förvaras av<br />
säkerhetschefen eller den som säkerhetschefen utser eller förvaras på det sätt<br />
som säkerhetschefen beslutat. Nyckeln skall härvid förvaras på samma sätt<br />
som reservnyckeln.<br />
En nyckel skall alltid förvaras så att obehörig inte kan använda eller kopiera<br />
den. På nycklar till bl a tillhållarlås är det lätt att optiskt läsa av nyckelns<br />
delning på axet. Därför skall man skydda dessa nycklar från exponering.<br />
Lämna dem därför inte framme på ett skrivbord eller ha dem löst hängande<br />
i bältet i en nyckelring eller liknande.<br />
Om en nyckel saknas, skall anmälan omedelbart göras till säkerhetschefen<br />
eller annan säkerhetsansvarig enligt organisationsenhetens särskilda bestämmelser.<br />
Om det kan befaras att en nyckel kopierats, att en kod har röjts<br />
eller att en nyckel eller kod har utnyttjas av någon obehörig, skall låset eller<br />
koden snarast ändras (ställas om). Förhållandet måste omedelbart anmälas<br />
till den lokale säkerhetschefen för menbedömning.<br />
132
Om det i de lokala bestämmelserna för organisationsenheten finns angivet<br />
att tjänsteman under kortare rast får lämna hemliga handlingar öppet på sitt<br />
tjänsterum med låst dörr, skall huvudnycklar och reservnycklar till dörrarna<br />
förvaras så att någon obehörig inte kan komma åt dem.<br />
5.5.3 Speciella nyckelskåp<br />
5 Tillträdesbegränsning<br />
På marknaden finns idag olika nyckelkontrollsystem att köpa, där varje nyckelrörelse<br />
kan loggas automatiskt med tid, datum och användarkod. Alla<br />
nycklar förvaras i ett låst skåp. Detta öppnas genom att korrekt PIN-kod<br />
trycks in av användaren. Endast de nycklar som personen har rätt till vid<br />
den aktuella tidpunkten kan tas ut ur skåpet. Alla nycklar kan tidsregleras<br />
individuellt, så att man är säker på att de tas ut eller återlämnas inom en viss<br />
tidsperiod. I annat fall utlöses ett larm. Eftersom uppgift om användaren av<br />
nyckeln lagras, kan nycklar som ej återlämnats snabbt spåras för återlämning.<br />
En förseglad nyckelring kan innehålla flera nycklar. Åverkan på nyckelskåp<br />
eller individuella nycklar utlöser larm.<br />
Det finns även nyckelskåp där axet är infört i en låscylinder, eller dolt på<br />
annat sätt, för att förhindra obehörig kopiering.<br />
Nyckelskåpen har oftast ett hölje av tunnplåt, som inte är inbrottsskyddat.<br />
De måste därför placeras i ett förvaringsutrymme, som motsvarar skyddsnivån<br />
för det utrymme som nycklar de innehåller är avsedda att skydda.<br />
5.6 Byggnadsteknisk tillträdesbegränsning<br />
För att tekniska skyddsåtgärder skall bli effektiva och rationella måste man<br />
först ta hänsyn till vilken verksamhet som bedrivs, vad som skall skyddas,<br />
aktuell hotbild, bedömd risk samt till de lokala förhållandena. Ett larmat<br />
säkerhetsskåp för hemliga handlingar kan till exempel utgöra en tillräcklig<br />
skyddsnivå i kanslihuset vid en organisationsenhet med insatsstyrka som<br />
snabbt kan vara på plats. Om handlingarna däremot förvaras t ex vid en<br />
ensligt belägen och obemannad krigsflygbas, är skydd i form av säkerhetsskåp<br />
inte godtagbart utan förvaringsutrymmet måste i stället utgöras av ett<br />
värdeskåp.<br />
Byggnadsteknisk tillträdesbegränsning utförs så att eventuella inbrott eller<br />
försök till inbrott hindras, försvåras och/eller eller upptäcks på ett tidigt<br />
stadium. Vanligen läggs tillträdesbegränsning i en byggnads omslutningsyta<br />
såsom fasader/ytterväggar, tak, golv, dörrar och fönster. Det kan även<br />
ligga inne i byggnaden, exempelvis i väggar mellan olika hyresgäster eller<br />
133
5 Tillträdesbegränsning<br />
som särskilda sektioneringar. De byggnadstekniska krav som redovisas i<br />
bilagan gäller oavsett om skyddet ligger i omslutningsytan eller inne i byggnaden.<br />
För att skapa en bra tillträdesbegränsning, är det viktigt att antalet<br />
ytterdörrar och fönster minimeras. Om det är möjligt bör endast en entré<br />
finnas och då helst med bemannad reception eller vakt.<br />
Dörrar för nödutrymning bör endast användas vid utrymning, vara öppningsbara<br />
endast från insidan samt vara daglarmade. I vissa lokaler medför<br />
kravet på tillträdesbegränsning att dörrar för nödutrymning måste låsas<br />
med extra lås under icke tjänstetid, dvs när människor inte vistas i lokalerna.<br />
Utrymningsvägarnas upplåsning måste då säkerställas på något annat sätt,<br />
t ex genom s k elektrisk låskontroll kopplat till belysning, maskiner eller<br />
andra för verksamhetens bedrivande vitala funktioner.<br />
Om det finns öppningsbara fönster fyra meter från markplanet bör, i de flesta<br />
fall ska, dessa förses med lås, låsbart vädringsbeslag/motsv eller sättas igen.<br />
I vissa fall måste de förstärkas med galler eller annat intrångsskydd.<br />
Alla arbeten med lås, larm och bevakningstekniska installationer skall säkerhetsbedömas<br />
för att fastställa huruvida upphandling skall ske öppet eller<br />
om en s k SUA-upphandling måste ske. Bevakningstekniska installationer<br />
och passagesystem skall i regel vara SUA-upphandlade.<br />
Byten av lås till förvaringsutrymmen såsom värde- och säkerhetsskåp bör<br />
alltid genomföras av en certifierad låstekniker. Se 5.4 och 5.8.1.<br />
5.7 Mekaniskt inbrottsskydd<br />
5.7.1 Allmänt<br />
Mekaniskt inbrottsskydd omfattar krav på och utförande av skydd som skall<br />
förhindra eller avsevärt försvåra forcering till och från område, anläggning,<br />
byggnad, lokal eller förvaringsutrymme.<br />
Mekaniskt inbrottsskydd omfattar<br />
• stängsel, staket och andra typer av områdesskydd<br />
• körgrindar och bommar<br />
• rotations-, gånggrindar samt in- och utpassageslussar<br />
• en byggnads omslutningsytor, dvs golv, väggar, tak, fönster, luckor, dörrar,<br />
vik-, skjut-, slag- och jalusiportar<br />
• inkrypnings- eller intrångsskydd och galler<br />
134
• låsenheter<br />
• påkörningsskydd.<br />
Inom den civila sektorn har det branschgemensamma organet Sveriges<br />
Försäkringsförbund tidigare givit ut Regler för mekaniskt inbrottsskydd, RUS<br />
200. Denna uppgift har sedan några år tillbaka övergått till Svenska Stöldskyddsföreningen<br />
(SSF) och reglerna benämns numera SSF 200. Dessutom<br />
finns Boverkets Byggregler (BBR) och Standardiseringskommissionens Svensk<br />
Standard (SS). RUS 200/SSF 200 beskriver skyddsnivåer och säkerhetsskyddsåtgärder<br />
för fastigheter, lokaler och områden.<br />
Observera att de civila skyddsklasserna enligt RUS/SSF-reglerna i alla<br />
avseenden inte helt kan jämföras med <strong>Försvarsmakten</strong>s skyddsnivåer. Se<br />
jämförelsetabell i bilaga 5, p 5.8.2.<br />
I RUS 200/SSF 200 finns tre skyddsklasser, där skyddsklass 1 är den lägsta<br />
och skyddsklass 3 den högsta. I skyddsklass 3 ingår lokaler för guldsmeder,<br />
juvelerare, radiohandlare och pälsaffärer. Man kan inte helt jämföra de civila<br />
skyddsklasserna med de militära skyddsnivåerna, men RUS 200/SSF 200<br />
kan med fördel användas för många militära byggnader och för bedömning<br />
av mekaniskt inbrottsskydd vid s k SUA-företag.<br />
Även <strong>Försvarsmakten</strong>, FMV och FORTV har givit ut bestämmelser och skrivelser<br />
med olika krav och särskilda åtgärder, som skall vidtas för att upprätthålla<br />
ett fullgott tillträdesskydd i olika sammanhang. Förutom särskilda<br />
skrivelser från myndigheterna kan nämnas:<br />
• <strong>Försvarsmakten</strong>s föreskrifter (FFS) om säkerhetsskydd<br />
• <strong>Försvarsmakten</strong>s interna bestämmelser (FIB) om säkerhetsskydd och skydd av<br />
viss materiel<br />
• <strong>Försvarsmakten</strong>s föreskrifter (FFS) om hantering, förvaring och transport av vapen<br />
och ammunition<br />
• <strong>Försvarsmakten</strong>s interna bestämmelser (FIB) om hantering, förvaring och transport<br />
av vapen och ammunition<br />
• Instruktion för förvaring och transport av försvarets explosiva varor (IFTEX del<br />
1 och del 2).<br />
Lagar och förordningar kan också vara direkt styrande för tillträdesbegränsningens<br />
utformning.<br />
5.7.2 Uppbyggnad av mekaniskt inbrottsskydd<br />
5 Tillträdesbegränsning<br />
Allmänna krav på förvaringsutymmen framgår av 5.4. Uppbyggnad av inbrottsskyddet<br />
bör ske i följande steg.<br />
135
5 Tillträdesbegränsning<br />
Första steget<br />
Börja med byggnadskroppen och dess omslutningsytor. I omslutningsytan<br />
ingår väggar, tak, golv, fönster, dörrar, luckor, ventilationsöppningar och<br />
andra öppningar. I detta steg ingår även eventuella behov av inhägnader<br />
eller annat områdesskydd och eventuella behov av påkörningsskydd.<br />
Andra steget<br />
Bygg upp skyddet inne i byggnaden. Det kan vara fråga om att förstärka<br />
skyddet till särskilda avdelningar, sektioneringar eller lokaler.<br />
Tredje steget<br />
Uppbyggnaden av skyddet görs punktvis. Ett sådant skydd kan utgöras av<br />
någon form av förvaringsenheter, exempelvis säkerhetsskåp.<br />
Övrigt<br />
Som komplement till skalskyddet kan larmning ske av omslutningsytor,<br />
sektioneringar eller punktlarmning av förvaringsenheter. Utlösta larm bör<br />
terminera vid militär eller civil bevaknings-/larmcentral och resultera i en<br />
personell insats mot det larmade objektet. Undantagsvis kan s k lokala larm<br />
(skrämsellarm) med tyfon/motsvarande nyttjas för att skrämma iväg gärningsmännen<br />
eller för att påkalla omgivningens uppmärksamhet.<br />
5.7.3 <strong>Skydd</strong> mot obehörig avlyssning<br />
I avsnittet om byggnadsteknisk tillträdesbegränsning behandlas ett objekts<br />
motståndskraft mot inbrott. Begränsningen bör även avse de avlyssningsrisker<br />
som kan finnas. Lokalerna bör utformas så att ingen har möjlighet att<br />
installera avlyssningsutrustning eller att avlyssna dem utifrån.<br />
I varje byggnad finns vissa svagheter i skyddet mot avlyssning, t ex dåligt<br />
isolerade väggar och dörrar, otätade kabelkanaler eller ventilationsanordningar<br />
(rör, schakt etc) som leder ljud mellan rum. Likaså medger s k<br />
innertak och datagolv att ljud kan fortplantas på ett oönskat sätt.<br />
Lokaler kan också förses med avlyssningsanordning och därmed utsättas för<br />
vad som i dagligt tal kallas buggning. Det kan vara allt från enklare mikrofon,<br />
kamera för bildöverföring, ljudstyrd switch eller sändare och mottagare<br />
till mer svårupptäckta anordningar. Nödvändig strömförsörjning kan ske<br />
via elnätet, larminstallationen eller annan permanent strömkälla till vilket<br />
även telenätet räknas. Anordningen, som kan göras mycket liten, kan byggas<br />
in osynligt i någon lämplig apparatur, t ex belysningsarmatur, vägguttag<br />
eller förgreningsdosa, men även i lösa föremål i rummet, t ex TV, radioapparat,<br />
datorer, OH-projektorer, s k bildkanoner, klocka.<br />
136
5 Tillträdesbegränsning<br />
De flesta datorer har idag en mikrofon som kan aktiveras av obehöriga när<br />
datorn används, t ex vid Internetuppkopplingar. Samtal och ljud i rummet<br />
kan då avlyssnas.<br />
Telefoner kan modifieras så att de i viloläge fångar upp samtal i sin omgivning<br />
och leder dem vidare i telefonledningen till en förstärkare och ljudstyrd<br />
inspelningsanordning på behörigt avstånd. Vid telefonsamtal spelas även<br />
samtalet in. Modem kan förses med motsvarande obehöriga sändare.<br />
Som all annan radiosändning kan även mobiltelefoner och trådlösa telefoner<br />
avlyssnas. Trådlösa telefoner kan i regel avlyssnas på långt avstånd, ofta<br />
även från platser belägna utanför byggnaden.<br />
En mobiltelefon erbjuder dessutom möjlighet till manipulering. Även fjärrmanipulering<br />
kan ske. Avlyssning kan således ske utan att telefonen används<br />
för samtal, så länge batteriet är monterat. Motsvarande förhållande<br />
gäller för bärbara datorer, PDA etc.<br />
Det interna ledningsnätet kan förses med avtappningsanordningar (taps) i<br />
form av galvanisk, induktiv, kapacitiv eller elektromagnetisk inkoppling av<br />
sensor. Sensorn kan ha ett synnerligen oskyldigt utseende, som försvårar<br />
upptäckt. Om det finns lediga telefonledningar eller andra ledningar i närheten<br />
av en ledning med eftersökt information, kan dessa användas direkt<br />
utan särskild sensor.<br />
Med riktad ljudförstärkning kan ett vanligt samtal uppfattas på stora avstånd<br />
utomhus om inga störande hinder finns i vägen.<br />
En vanlig radiomottagare i närheten av en IT-utrustning blir i allmänhet inte<br />
misstänkt. Om den står i närheten av en dator, ett modem, en elledning eller<br />
en telefonledning, kan den emellertid fånga upp utstrålade signaler, s k röjande<br />
signaler (RÖS). Dessa kan spelas in eller vidareutsändas på andra<br />
frekvenser med hjälp av kretsar i mottagaren.<br />
Samtal kan även avlyssnas utanför en byggnad med en så kallad RF-reflektor.<br />
Med hjälp av radiofrekvent exponering av byggnaden och en i byggnaden<br />
inmonterad passiv reflektor reflekteras de tillbakasända radiovågorna<br />
och moduleras av reflektorn, som utgör en kombination av ljudmembran<br />
och radioantenn. En sådan anordning kräver således ingen egen energikälla<br />
och behöver inget underhåll.<br />
Stomljud från glas- och väggpartier kan avlyssnas med riktad mikrofon, t ex<br />
lasermikrofon. Denna behöver aldrig anbringas på byggnaden utan den reflekterade<br />
ljusstrålen moduleras av de ytterst små mekaniska rörelserna<br />
(stomljuden) i byggnaden och ljusvariationerna kan demoduleras.<br />
137
5 Tillträdesbegränsning<br />
För att motverka avlyssningsrisker kan följande iakttas:<br />
• Samtal som sker utomhus och rör känslig information bör ske intill en<br />
annan störande ljudkälla.<br />
• Se till att väggar, golv, tak och dörrar är väl isolerade för att motverka<br />
genomhörning.<br />
• Täta kabelkanaler för att förhindra avlyssning via dessa. Ventilationsanordningar<br />
bör kontrolleras så att avlyssningsutrustning inte kan placeras<br />
där.<br />
• Undvik lokaler med väggar som är klädda med panel. Denna spikas eller<br />
skruvas oftast fast på reglar, varvid det kan finnas dolda utrymmen mellan<br />
panel och vägg där avlyssningsutrustning kan döljas.<br />
• Undvik lokaler med fönster som gränsar mot underliggande yttertak.<br />
• Undvik lokaler med väggfast möblering i form av bokhyllor eller liknande.<br />
• Begränsa den tekniska utrustningen i form av t ex telefoner, snabbtelefoner,<br />
TV, datorer eller högtalaranläggningar i sammanträdesrum och konferenslokaler.<br />
• Avlägsna alla oanvända stark- och svagströmsledningar. Dessa kan lätt<br />
användas i avlyssningssyfte.<br />
• Kontrollera all belysningsarmatur, och då även glödlampor, för att kontrollera<br />
att där inte finns någon videokamera eller buggningsanordning.<br />
• Ta ur batteriet till mobiltelefon innan känslig information diskuteras.<br />
• Håll mobiltelefonen under uppsikt så att den inte kan manipuleras.<br />
• Använd inte en mobiltelefon, som har lånats ut, i verksamhet av känslig<br />
natur.<br />
För att förhindra sekretessförluster skall man dessutom se till att:<br />
• Fönstren förses med persienner eller gardiner, om en byggnad är placerad<br />
så att insynsrisk föreligger.<br />
• Fönster utvändigt förses med persienner, jalusier eller motsv för att förhindra<br />
att lasermikrofon kan uppfatta stomljud från glasrutorna.<br />
• Alltid noggrant kontrollera att hemliga handlingar inte har lämnats kvar<br />
i papperskorgar eller på arbetsbord, blädderblock eller white-board efter<br />
arbetstidens slut. Ta dessutom reda på använda kollegieblock då avtryck<br />
av pennskrift kan finnas på dessa.<br />
Vissa speciella lokaler kan nyttjas för att avhandla hemliga uppgifter. Dessa<br />
bör ha en högre skyddsnivå och vara placerade i den inre delen av byggnaden<br />
och inte gränsa mot främmande kontor eller mot ytterväggar. De bör<br />
dessutom ha väl isolerade omslutningsytor och hållas låsta då verksamhet<br />
inte pågår. Nyckel eller kod förvaras hos speciellt utsedd befattningshavare.<br />
138
Framställan om teknisk säkerhetskyddsundersökning (TSU) av lokaler där<br />
hemlig information skall avhandlas måste inges i god tid, i regel minst sex<br />
(6) veckor före avsett nyttjande. Framställan, som normalt är hemlig enligt<br />
5 kap. 2 § sekretesslagen (1980:100), sänds direkt till Rikspolisstyrelsen (SÄPO)<br />
av ansvarig säkerhetschef.<br />
Nyttjande av tillfälliga lokaler, utanför militärt etablissement, för att avhandla<br />
hemlig information får bara ske när TSU-kontrollerade lokaler inom<br />
militärt etablissement inte finns att tillgå.<br />
5.8 Lås och låsenheter<br />
5.8.1 Allmänt<br />
5 Tillträdesbegränsning<br />
Om egen kompetens saknas inom organisationsenheten beträffande låstekniska<br />
frågor och något företag behöver anlitas, bör ett SUA-upphandlat eller<br />
annat etablerat företag anlitas. Företag som är anslutna till Sveriges<br />
Låsmästares Riksförbund (SLR) måste uppfylla vissa krav, vilket skall borga<br />
för god yrkeskunnighet och vandel. Förteckning över medlemsföretag finns<br />
i Säkerhetsguiden, vilken utges av Svenska Stöldskyddsföreningen (SSF). Det<br />
Norske Veritas (DNV) har tillsammans med RPS m fl tagit fram en speciell<br />
utbildning för certifierade låstekniker. Dessa låstekniker bör nyttjas av bl a<br />
statliga myndigheter för låsbyte och modifiering av förvaringsutrymmen.<br />
Lista (SBC 158:3) över certifierade låstekniker framgår av DNV webbsida/<br />
hemsida. Ytterligare upplysningar kan lämnas av Militära underrättelse- och<br />
säkerhetstjänsten, säkerhetskontoret, (MUST <strong>SÄK</strong>K).<br />
Det finns olika typer av lås och låsningsfunktioner. En säkerhetschef, som är<br />
ansvarig för en organisationsenhets inre och yttre säkerhet, måste besitta<br />
goda kunskaper om lås och låssystem.<br />
Generellt kan man inte peka ut något speciell typ av lås, som är bättre än<br />
andra. Det är viktigt att välja ett lås, som passar till den verksamhet som<br />
bedrivs vid objektet och den nivå av säkerhet som krävs för objektets skydd.<br />
Låset skall ha en lämplig funktion för passage och låsning eller möjlighet till<br />
upplåsning vid nödutrymning. Grundkrav på lås till inbrottsskyddade utrymmen<br />
är att de skall vara svåra att dyrka och dessutom ha ett bra borrskydd.<br />
Äldre lås är oftast slitna och har då ett sämre motstånd mot dyrkning. Detsamma<br />
gäller lås med få stift eller tillhållare, som är lättare att dyrka upp än<br />
de med flera stift eller tillhållare.<br />
139
5 Tillträdesbegränsning<br />
Ytterdörrar och dörrar till viktiga utrymmen måste vara försedda med lås<br />
som uppfyller kraven på intrångsskydd enligt Svensk Standard och provade<br />
av Svenska Stöldskyddsföreningen (SSF). Dessa finns listade i Svenska<br />
Stöldskyddsföreningens (SSF) katalog Säkerhetsguiden, vilken utges två<br />
gånger/år. Lås och låsklass skall väljas utifrån dörrarnas konstruktion och<br />
hållfasthet. På innerdörrar, som inte går till säkrade utrymmen, kan enklare<br />
lås användas.<br />
Inbrottsskyddade lås godkänns i klass 3, 4 eller 5 enligt Svensk Standard SS<br />
3522. Godkännandet förutsätter att låset används tillsammans med godkänt<br />
slutbleck, har bakkantssäkring och, i förekommande fall, är försett med s k<br />
förstärkningsbehör samt att det monteras enligt Svenska Stöldskyddsföreningens<br />
regler, SSF 200. Lås tillsammans med bakkantssäkring, säkerhetsslutbleck<br />
och förstärkningsbehör benämns låsenhet.<br />
För <strong>Försvarsmakten</strong>s viktigaste anläggningar och förråd kan andra och högre<br />
krav på låsenheter gälla. Dessa måste även vara försedda med säkringar<br />
mot skärning, sprängning och inslagning. FORTV har tillsammans med bl a<br />
låstillverkare, på uppdrag av <strong>Försvarsmakten</strong>s högkvarter, utvecklat uppdateringssatser<br />
till idag befintliga låsenheter för <strong>Försvarsmakten</strong>s viktigaste<br />
anläggningar och förråd. Härutöver har <strong>Försvarsmakten</strong> godkänt en, av en<br />
specifik tillverkare, särskilt utvecklad uppdateringssats för lås till vapenkassuner.<br />
5.8.2 Systemlåsning<br />
Systemlåsning innebär att en viss nyckel kan öppna flera lås. Systemlåsning<br />
kan utföras med stift- och skivcylinderlås men inte med tillhållarlås.<br />
I stiftcylinderlås kan man åstadkomma detta genom att stiften delas. Därmed<br />
kan låset öppnas med stiftet i mer än ett läge, vilket innebär ett läge för varje<br />
delning. I skivcylinderlås utförs systemlösningar genom att varje skiva förses<br />
med mer än ett urtag.<br />
Ett låssystem kan vara utformat som<br />
• individuellt nyckelsystem, där varje lås har en individuell nyckelkombination<br />
• identiska nyckelsystem, som har två eller flera identiska system enligt ovan<br />
• centrallåssystem, där varje lås har olika kombinationer men alla nycklar<br />
öppnar ett eller flera särskilda lås<br />
140
• huvudnyckelsystem, där varje lås har olika kombinationer men där en huvudnyckel<br />
öppnar alla cylinderlås. Detta system kan också kombineras<br />
med centrallåsningssystem<br />
• generalnyckelsystem, som utöver generalhuvudnyckel och huvudnyckel<br />
öppnar ett eller flera utvalda lås.<br />
A<br />
B<br />
C<br />
D<br />
A<br />
B<br />
C<br />
D<br />
Bild 5:3 Olika system för låsning<br />
5 Tillträdesbegränsning<br />
Ett låssystem med huvudnyckel utgör en stor osäkerhetsfaktor. En huvudnyckel<br />
kan komma på avvägar eller på annat sätt kopieras. Om detta sker<br />
måste hela systemet bytas ut. Huvudnycklar bör heller aldrig tas med utanför<br />
det område dit nyckeln går annat än av vakt- eller bevakningspersonal.<br />
Stor restriktivitet måste även gälla vid utlämnande av huvudnyckel och den<br />
får aldrig lämnas ut av rena statusskäl. En chef är mycket sällan i behov av<br />
en huvudnyckel.<br />
I de fall det står angivet i de lokala bestämmelserna att hemliga handlingar<br />
får förvaras öppet i en låst lokal vid kortare frånvaro, får det inte finnas någon<br />
huvudnyckel i bruk. Detta bl a för att skydda tredje man, dvs den som innehar<br />
huvudnyckeln, från att bli misstänkt om någon hemlig handling skulle<br />
saknas.<br />
Huvudnyckel får aldrig ingå i ett objekts skalskydd. I skalskyddet bör heller<br />
aldrig ingå centrallåsning, eftersom dyrksäkerheten på centralcylindern<br />
minskar om många olika nycklar passar i en och samma låscylinder.<br />
Nackdelen med systemlåsning är att det underlättar dyrkning, då det inte<br />
bara är ett läge som öppnar utan flera. Detta innebär att ju större systemen<br />
är, desto lättare är det att dyrka. Genom att studera delningarna i en cylinder<br />
kan man ta fram nycklar som passar i ett större eller mindre antal av systemets<br />
övriga cylindrar. I ett stiftcylinderlås med stiften från olika håll är det<br />
dock svårare att göra detta än i de cylindrar som har stiften i enkel rad.<br />
141
5 Tillträdesbegränsning<br />
Slutsatsen av detta blir att man bör undvika systemlåsning och om det av<br />
någon anledning behövs, skall systemen göras så små som möjligt.<br />
5.8.3 Spärrad profil<br />
På marknaden finns nycklar att köpa med en s k spärrad profil. Detta innebär<br />
att låstillverkaren inte säljer nyckelämnen till sådana nycklar och man kan<br />
därför inte få en nyckelkopia hos vilken låssmed som helst. Extranycklar<br />
måste då beställas hos tillverkaren eller av denne speciellt licensierad och<br />
utsedd låsfirma och då av en behörig person vid organisationsenheten. Därmed<br />
borde en effektiv nyckelkontroll kunna erhållas. Tyvärr har denna goda<br />
idé förfuskats genom att utländska nyckeltillverkare tillhandahåller piratnyckelämnen<br />
till vissa spärrade profiler.<br />
Nycklar kan därför tillverkas av mindre nogräknade personer utan vetskap<br />
för den som har hand om nyckelkontroll. Det är därmed idag ingen större<br />
fördel att ha spärrade profiler, om inte låstillverkaren kan lämna garantier<br />
för att det finns ett effektivt verkande mönsterskydd på dessa nycklar.<br />
5.8.4 Dyrkning<br />
Med dyrkning menas att man låser upp ett lås utan att använda den rätta<br />
nyckeln. Dyrksäkerheten hos ett lås är beroende av olika faktorer. Endast en<br />
del av dessa faktorer är mätbara och därför bygger de flesta uttalanden om<br />
dyrksäkerhet på subjektiva bedömningar. Dessutom kan nya dyrkmetoder<br />
komma fram och gamla utvecklas. Ett lås, som för några år sedan uppgavs<br />
vara dyrksäkert, kan idag ha låg dyrksäkerhet.<br />
Man kan konstatera att helt dyrkfria lås inte finns. Dessutom går alla lås att<br />
öppna om man känner till deras konstruktion eller systematiskt prövar sig<br />
igenom alla nyckelkombinationer. Ett lås med få nyckelvariationer är därför<br />
lättare att dyrka än ett som har många variationer.<br />
Enligt bestämmelserna i Svensk Standard måste varje låstyp av tillhållarlås ha<br />
minst 2 000 nyckelvariationer och cylinderlås minst 10 000 variationer. Ett<br />
högre krav på 50 000 nyckelvariationer gäller för förvaringsutrymmen som<br />
värdeskåp, valv, arkiv, säkerhetsskåp, kassaskåp och dokumentskåp<br />
Avgörande för dyrkningsmöjligheterna är låsets konstruktion och nyckelvariationstalet.<br />
En konstruktion som rent allmänt är försvårande är om flera<br />
besvärliga moment måste utföras samtidigt. Om stiften exempelvis sitter<br />
från flera olika håll blir det genast avsevärt svårare. De vanligaste sätten att<br />
dyrka är att använda dyrkpistol eller med så kallad pickning.<br />
Den verksamma delen av en dyrkpistol är i princip en arm som med hjälp<br />
av en fjäder sprättar till då man trycker på en avtryckare. Stiften hoppar då<br />
142
5 Tillträdesbegränsning<br />
till och det finns då en viss chans att de kommer i upplåsningsläge eller hängs<br />
upp inne i cylindern. Om man snabbt upprepar förfarandet ökar chansen till<br />
framgång. Dyrkpistolen kan också vara motordriven genom att armen sätts<br />
i en vanlig skruvdragare.<br />
Pickning bygger på att det går att hänga upp stiften på kanten i tur och ordning.<br />
Med en smal arm hängs då stift efter stift upp tills alla är i öppningsläge.<br />
Lås med stiften i en rad är lättast att dyrka, men det krävs ändå en stor<br />
skicklighet och vana.<br />
En tränad person kan genom att ett kort ögonblick se en nyckel, läsa av dess<br />
kombination och memorera den för att vid ett senare tillfälle tillverka en falsk<br />
nyckel av ett nyckelämne. Detta är relativt lätt när det gäller våra vanligaste<br />
tillhållarnycklar, men svårare eller i vissa fall nästan omöjligt med cylindernycklar.<br />
I ett låssystem kan man även analysera låsfunktionen genom att öppna och<br />
studera cylinderns eller tillhållarkistans delningar. Det kan göras med reservcylindrar<br />
eller lånade cylindrar i dörrar som under dagtid är olåsta. Då<br />
kan man inte bara se hur nyckeln till just den cylindern ser ut utan även dra<br />
vissa slutsatser om hur huvudnyckeln till systemet måste se ut.<br />
Nyckelkopiering kan också ske genom att man gör ett avtryck av originalnyckeln,<br />
exempelvis genom vaxavtryck eller att helt enkelt kopiera den med<br />
en vanlig kopiator. Originalnyckeln kan också användas som master i en<br />
maskin för nyckeltillverkning.<br />
Hur svårt det är att tillverka en kopia beror på hur stora toleranser systemet<br />
accepterar. Antalet skärningar i nyckelaxet påverkar också resultatet, liksom<br />
tillgången till färdiga nyckelämnen.<br />
5.8.5 Mekaniska och elektroniska kombinationslås<br />
En person, som är insatt i konstruktionen av ett mekaniskt kombinationslås<br />
som inte är manipuleringssäkert (MP), kan känna i vredet när skivorna faller<br />
på plats, och därigenom avläsa kombinationen. Hos manipuleringssäkra<br />
kombinationslås faller däremot skivorna på plats först när kombinationen<br />
är färdiginställd samt genom att man vid siffran noll, trycker in ratten och<br />
vrider den åt höger.<br />
Elektroniska kombinationslås är i regel att föredra framför mekaniska kombinationslås,<br />
främst p g a att de är enklare och snabbare att öppna för<br />
behöriga nyttjare. Lista (SBC 158:2) över av Det Norske Veritas (DNV) certifierade<br />
kombinationslås, mekaniska och elektroniska, framgår av DNV<br />
webbsida/ hemsida.<br />
143
5 Tillträdesbegränsning<br />
5.8.6 Dörrar, luckor m m<br />
Från inbrottssynpunkt utgör dörrar, luckor, ventilationsintag m m en försvagning<br />
av skalskyddet och är därför vanliga inbrottsvägar. Särskilt utsatta<br />
dörrar och luckor är de som sitter på baksidan av byggnader, i källarnedgångar<br />
m fl platser där gärningsmän kan arbeta ostört. Ju mera ostört eller<br />
ju längre tid en gärningsman kan arbeta utan upptäckt eller ingripande,<br />
desto högre krav måste ställas på dörrars och luckors motståndskraft mot<br />
inbrottsförsök. Inbrottsskyddande dörrar, s k säkerhetsdörrar, har förstärkta<br />
dörrblad och kraftiga dörrkarmar samt bakkantssäkring.<br />
De inbrottsskyddande dörrarna skall vara certifierade och indelas i fyra<br />
klasser enligt den äldre svenska standarden SS 81 73 45 respektive i sex klasser<br />
enligt den nya svensk-europeiska standarden SS-ENV 1627.<br />
Ytterdörrar till byggnader med stöldbegärlig egendom skall alltid vara i<br />
lägst klass 2 enligt SS 81 73 45 eller i klass 3 enligt SS-ENV 1627. Befintliga,<br />
icke certifierade dörrar, kan under vissa omständigheter förstärkas genom<br />
att utvändigt kläs med ett plåtskikt och förses med bakkantssäkring/bakkantsstiftning<br />
samt, i förekommande fall, s k förstärkningsbehör. Befintligt<br />
slutbleck skall bytas mot s k säkerhetsslutbleck.<br />
För att en dörr skall ha erforderligt inbrottsskydd måste den förses med en<br />
eller flera godkända låsenheter inklusive godkända slutbleck. Endast dörrar<br />
med minst två godkända låsenheter kan anses ge något rimligt inbrottsskydd.<br />
Nycklar till lås får inte sitta i låsen eller vara åtkomliga för obehöriga.<br />
Lås till ytterdörrar skall alltid vara av sådan konstruktion att en inbrottstjuv,<br />
som t ex tagit sig in genom ett fönster, inte inifrån kan låsa upp dörren. Detta<br />
kan förhindras genom att ett invändigt monterat dörrvred spärras/sätts ur<br />
funktion vid låsning utifrån eller att dörren förses med ett extra tillhållarlås.<br />
Även andra s k hemmabekväma men bortasäkra lösningar finns.<br />
För förvaringsutrymmen som innehåller sekretessbelagd information, vapen<br />
eller ammunition ställs särskilda krav på dörrar och lås.<br />
5.9 Fönster och glas<br />
Från inbrottssynpunkt utgör fönster en försvagning i skalskyddet och är<br />
därför en vanlig inbrottsväg. Även fasta partier som helt eller delvis består<br />
av glas skall betraktas som fönster, såvida det inte rör sig om specialkonstruktioner,<br />
t ex glasbetong.<br />
144
En annan riskfaktor är fönsterrutor, som är monterade med gummiprofiler,<br />
snäpplister eller icke spärrade skruvförband. Dessa rutor kan lätt demonteras<br />
från utsidan.<br />
Inbrottsskyddande fönster skall ha kraftig fönsterbåge och karm. Fönster i<br />
närheten av stegar eller vars nedre kant är belägen lägre än 4 m från markplan,<br />
utskjutande undertak, altan, balkong eller fönster i närheten av stegar<br />
eller stuprör, måste vara låsbara, helst med cylinder i handtaget. Om detta<br />
inte är möjligt kan annat godkänt fönsterlås, eller i sämsta fall ett godkänt<br />
hänglås i lägst hänglåsklass 2, användas. Nycklar till låsen får inte förvaras<br />
i låsen eller åtkomliga för obehöriga. Risk för inbrott kan även finnas genom<br />
andra ljusinsläpp, såsom ljuskupoler eller lanterniner.<br />
Alternativt kan fönster som inte behöver vara öppningsbara sättas igen enligt<br />
anvisningarna i Svenska Stöldskyddsföreningens regler SSF 200. Öppningsbara<br />
fönster måste förses med vädringsbeslag och utåtgående fönster<br />
måste i likhet med dörrar bakkantsäkras.<br />
Spanjolettfönster måste ha en stark säkerhetsspanjolett. I några fall räcker<br />
inte ovan vidtagna åtgärder, utan fönstren måste förses med säkerhetsglas<br />
(i klass B 1-3 enligt SS 22 44 25 eller i kategori P6B-P8B enligt SS-EN 356) eller<br />
utrustas med galler (i lägst klass 3 enligt den s k FF-normen). Om larm installeras,<br />
bör fönstren ha detektor för öppningsskydd (magnetkontakt) såväl<br />
som för krosskydd (glas-, eller glasskrossdetektor). Om risk för insyn föreligger,<br />
kan en skyddsfilm monteras på glaset eller gardiner, alternativt<br />
persienner, användas.<br />
För vaktlokaler gäller särskilda regler.<br />
5.10 Områdesskydd<br />
5 Tillträdesbegränsning<br />
Områdesskydd (perimeterskydd), dvs inhägnader i form av staket, stängsel,<br />
plank, mur och grindar används för att avgränsa ett område geografiskt och<br />
för att styra person- och fordonsflöden till bestämda platser för in- och utpassering<br />
samt för att försvåra utförsel av stöldgods m m. Det kan också<br />
användas för att försvåra intrång till objekt och anläggningar. Ett yttre stängsel<br />
utgör även en markering av juridisk tomtgräns innanför vilken obehöriga<br />
inte får vistas utan tillstånd. De ger därmed förutsättningar för att sanktioner<br />
skall kunna vidtas mot inkräktare. Lokala förhållanden, bedömd hotbild<br />
samt krav på tillträdesskydd får avgöra vilken typ av inhägnad som skall<br />
användas.<br />
145
5 Tillträdesbegränsning<br />
Avgränsning av ett område enbart för att markera tillträdesförbud kan ske<br />
med enkelt trådstaket, kompletterat med förbudsskyltning. Vill man däremot<br />
försvåra eller hindra intrång måste andra åtgärder vidtas.<br />
Generellt sett bör ett stängsel motsvara industristängsel av flätverkstyp.<br />
Stängslets höjd bör vara minst 2,2 m inklusive tre rader överliggande taggtråd.<br />
Maskstorleken bör ej överstiga 50x50 mm och trådtjockleken bör vara<br />
minst 3 mm. Avståndet mellan stolpar bör ej överstiga 3 m och stängslet<br />
måste följa markens konturer. I ände som ansluter mot öppet vatten bör<br />
stängslet vara försett med taggtråd i solfjäderform.<br />
Området i anslutning till stängslet skall vara fritt från träd, buskar och annan<br />
vegetation samt fasta föremål, uppställd materiel och gods som annars underlättar<br />
överklättring. Det frilagda området bör vara minst 3 m på båda<br />
sidor om ett stängsel.<br />
Genomkörningsskydd eller påkörningsskydd, exempelvis i form av<br />
vägräcksliknande anordningar, betonghinder eller i staketet/inhägnaden<br />
inbyggda vajrar eller balkar, kan ibland vara nödvändigt för att höja tillträdesskyddet.<br />
Ett stakets hörnstolpar är särskilt känsliga mot påkörning och<br />
bör därför alltid skyddas av påkörningsskydd.<br />
Om genom- eller påkörningsskydd skall anordnas bör detta motstå påkörning<br />
av ett fordon med en vikt av minst två ton och i en hastighet lägst av<br />
50 km/h.<br />
Om genom- eller påkörningsskydd skall anordnas för att förstärka intrångsskyddet<br />
för grindar och bommar vid områdesinfarter eller för att skydda<br />
portar och dörrar till byggnader, måste detta motstå påkörningar av betydligt<br />
tyngre fordon och i betydligt högre hastigheter. En noggrann verksamhets-<br />
och säkerhetsanalys måste därvid göras för att man skall kunna välja<br />
en lösning med tillfredsställande funktion och erforderlig skyddsnivå.<br />
5.11 Larm<br />
Med larm avses olika tekniska åtgärder för att detektera en händelse, så att<br />
man därigenom skall kunna göra en insats. Larm kan vara inbrottslarm,<br />
överfallslarm, brandlarm eller driftlarm. Ett inbrottslarm kan utgöras av<br />
skrämsellarm. Ett skrämsellarm består då oftast av en siren, som ljuder vid<br />
larmobjektet utan att terminera vid någon larmcentral. Ett mera kvalificerat<br />
inbrottslarm kan vara ett tyst larm som, i en mottagande larmcentral, indikerar<br />
att inbrott eller inbrottsförsök pågår vid ett objekt. Kombination av<br />
skrämsellarm och tyst larm förekommer.<br />
146
Inom den civila sektorn regleras inbrotts- och personsäkerhetslarm, s k överfallslarm,<br />
av larmlagen (SFS 1983:1097), larmförordningen (SFS 1983:1099) och<br />
Svenska Stöldskyddsföreningens normer SSF 130:6 respektive SSF 1014-1016 (tidigare<br />
benämnda Försäkringsförbundets regler RUS 130:6 och RUS 1014-1016).<br />
Högkvarteret ger ut riktlinjer för larm inom <strong>Försvarsmakten</strong>.<br />
När det gäller förråd som innehåller brandfarliga eller explosiva varor finns<br />
även föreskrifter utgivna av Räddningsverket. Dessa föreskrifter, som gäller<br />
för <strong>Försvarsmakten</strong>, återfinns i Instruktion för förvaring och transport av försvarets<br />
explosiva varor (IFTEX), del 1.<br />
Ett objekts fysiska skalskydd kan, i vissa fall skall, kompletteras med ett inbrottslarm.<br />
Ett larm erbjuder dock ingen universallösning på säkerhetsproblemen<br />
och är inte säkrare än den åtgärd det utlöser. En larmanläggning<br />
måste alltid anpassas efter de förutsättningar som gäller för skyddet av det<br />
aktuella objektet. Man måste innan en larmanläggning anskaffas noggrant<br />
klargöra önskad skyddsnivå och lämpligt handhavande.<br />
Målsättningen skall vara att få en så tidig larmindikation som möjligt. Intrång<br />
får i regel inte kunna ske innan en insatsstyrka kan vara på plats.<br />
En insatsstyrka måste kunna ingripa vid förvaringsutrymmen som innehåller<br />
stöldbegärliga skjutvapen och stöldbegärlig ammunition innan ett intrång<br />
har lyckats. Likaså måste en insatsstyrka kunna ingripa vid ett<br />
förvaringsutrymme i skyddsnivå 3 där det förvaras kvalificerat hemliga<br />
(HEMLIG/TOP SECRET) handlingar eller materiel innan ett intrång har<br />
lyckats.<br />
Larmanläggningar indelas, enligt SSF 130:6, i klasserna 1-3.<br />
5 Tillträdesbegränsning<br />
När andra larmanläggningar nyttjas än de som Högkvarteret anger för anläggningar<br />
och förråd, skall larmen uppfylla larmklass 3 enligt SSF 130:6.<br />
Materiel som är av betydelse för inbrottslarmanläggningens funktion och<br />
tillförlitlighet skall vara godkänd. Kravet gäller i första hand centralapparat,<br />
strömförsörjningsutrustning, manöverenhet, detektorer och larmöverföringsutrustning.<br />
Larmanläggning inom <strong>Försvarsmakten</strong> skall följa SSF 130:6-normer. <strong>Försvarsmakten</strong><br />
förbehåller dock sig rätten att ibland utföra projektering, installation<br />
samt driftsättning av egna anläggningar utan att nyttja godkänd<br />
(certifierad) anläggarfirma. <strong>Försvarsmakten</strong> kan också godkänna egen larmcentral.<br />
Ett säkerhetssystem är inte funktionell förrän hela kedjan från upptäckt till<br />
åtgärd är komplett. Larmanläggningen skall larma så tidigt som möjligt, exempelvis<br />
vid ett inbrottsförsök. För att undvika onödiga larm, måste anläggningen<br />
kunna skilja på tillåtna och otillåtna händelser och därför måste<br />
godkända komponenter och system användas. TV-övervakning av larmade<br />
147
5 Tillträdesbegränsning<br />
objekt är ett utmärkt komplement och kan motverka onödiga insatser i händelse<br />
av fellarm, men också utgöra stöd i samband med insats vid verkligt<br />
larm.<br />
Terminering av larm till viktiga objekt måste ofördröjligen kunna ske i kodad<br />
och övervakad form via larmsändare eller teleledning till en godkänd larmcentral.<br />
Vid larmcentralen måste inkommande larm, koder och instruktioner<br />
snabbt och riktigt uppfattas av operatören. Tydliga och lättarbetade instruktioner<br />
för personalen i larmcentralen måste utarbetas tillsammans med<br />
åtgärdskalender för larm vid respektive objekt.<br />
Den sista länken i säkerhetssystemet utgörs av åtgärderna. Insatspersonalen<br />
måste vara väl förtrogen och inövad på sina objekt. <strong>Försvarsmakten</strong> skall i<br />
regel alltid ha förmåga att genomföra insatser med egna resurser. Man kan<br />
inte förlita sig på att polisen alltid kan ställa upp vid larm. Då polisen p g a<br />
brist på resurser ofta måste prioritera sin verksamhet och har få patruller i<br />
tjänst, med stora områden att övervaka, kan deras insatstider kraftigt överstiga<br />
de kravsatta tidsgränserna. Polisen prioriterar dessutom exempelvis<br />
trafikolyckor och lägenhetsbråk framför insatser vid inbrottslarm. Om andra<br />
insatsstyrkor än militära, exempelvis ett bevakningsföretag, nyttjas skall<br />
detta vara auktoriserat och bemannat med välutbildad personal, oftast<br />
skyddsvakter. I regel skall bevakningsföretaget vara SUA-upphandlat.<br />
Slutligen måste larmanläggningens alla funktioner kontinuerligt testas.<br />
Larmtestrutiner måste därför utarbetas och test bör helst ske var 14:e dag,<br />
dock minst en gång per månad. Även åtgärder, inkl insats, i händelse av larm<br />
skall övas.<br />
5.12 Inbrottslarmutrustning i <strong>Försvarsmakten</strong>s<br />
förråd och anläggningar<br />
Kraven på larmanläggningarna påverkas givetvis av byggnadernas utnyttjande.<br />
Vid viktiga objekt måste larmöverföringen vara övervakad. Övervakad<br />
överföring innebär att larm utlöses om det av någon anledning blir<br />
avbrott på ledningen eller genom att så kallad handskakning sker mellan<br />
larmobjektet och larmcentralen med bestämda tidsintervaller. Larmöverföring<br />
måste också ske med någon form av kodad signal och fast förbindelse<br />
eller, i undantagsfall, som förmedlad med frekvent kontrollerad testuppringning.<br />
Vid larminstallation i anläggning eller förråd innehållande ammunition och<br />
explosiva varor skall alltid Räddningsverkets och <strong>Försvarsmakten</strong>s ammunitionsinspektörs<br />
tillstånd inhämtas innan installation kan påbörjas. Säker-<br />
148
hetsansvarig måste också, om radiobaserat nät nyttjas, fastställa att man får<br />
sända larm via radio från aktuellt objekt. <strong>Försvarsmakten</strong>s egna telenät bör<br />
i första hand nyttjas för att hålla nere driftskostnaderna.<br />
Val av givare (detektorer) vid objektet skall ske enligt följande kriterier.<br />
• <strong>Skydd</strong>snivå och fysiskt skalskydd<br />
• objektens utnyttjande och skyddsvärdet hos förvarad materiel<br />
• fast eller mobil larmutrustning<br />
• miljöbetingelser och drifttemperatur m m.<br />
<strong>Försvarsmakten</strong> har i samarbete med FMV och FORTV tagit fram riktlinjer<br />
för hur larmanläggningar skall vara utformade för anläggningar, förråd och<br />
transporter.<br />
5.13 Passerkontrollsystem<br />
Bild 5:4 Kontrollsystem för in- och utpassering.<br />
5 Tillträdesbegränsning<br />
Med passerkontrollsystem menas ett tekniskt baserat system för styrning<br />
och kontroll av in- och utpassering. Behörighet kontrolleras via ett tilldelat<br />
passerkort/passerbevis, som avläses i kortläsare och verifieras mot erhållen<br />
behörighet för tillträde. Beroende på fabrikat och önskvärd säkerhetsnivå<br />
kan en kortläsare vara direkt kopplad till en centralutrustning, vilket kallas<br />
centraliserad intelligens eller till dörrcentraler ute i anläggningen för ett visst<br />
antal kortläsare, benämnd distribuerad intelligens. Centralutrustningen fungerar<br />
där endast som central programmeringsenhet och för centrallagring<br />
och presentation av händelser.<br />
Vid distribuerad intelligens utvärderas ett korts behörighet och lagras data<br />
i en dörrcentral.<br />
Beroende på inprogrammerade parametrar för tids- och tillträdeszoner för<br />
respektive kort godkänns eller godkänns ej inpassering. Vid godkänd passering<br />
styr ett relä, under inställbar tid, öppning av aktuellt lås eller annan<br />
149
5 Tillträdesbegränsning<br />
öppningsautomatik. Vid larmad dörr sker momentan förbikoppling efter<br />
inställbar tid.<br />
Kortläsare finns i olika utföranden beroende på hur en transaktion (dragning)<br />
av kortet sker. Det finns insticksläsare, slitsläsare och handsfreeläsare.<br />
Man måste överväga vilka typer av kort som skall användas. Det finns olika<br />
typer av inpasseringskort med varierande förmåga att motstå manipulation,<br />
såsom exempelvis kopiering eller avläsning av kortkod.<br />
Kort med enbart magnetremsa har mycket lågt skydd mot kopiering, medan<br />
kort med inbyggt chips har högt skydd. I kombination med kod ökar säkerheten.<br />
System där man använder en generell kod för inpassering skall undvikas<br />
och får inte användas till lokaler eller områden, där det råder höga krav på<br />
tillträdesbegränsning. Det är relativt lätt att med ledning av smuts- och fettfläckar<br />
konstatera vilka kombinationssiffror som är aktuella. Koderna måste<br />
bytas ofta, minst en gång var fjortonde dag och displayen måste tvättas noggrant,<br />
i princip varje dag.<br />
Dagens passerkontrollsystem kan delas in i tre grupper med utgångspunkt<br />
från kostnad per funktion:<br />
• kodlås och enkla kortläsarsystem<br />
• kvalificerade kortläsarsystem<br />
• biometriska metoder.<br />
5.14 Legitimationshandlingar m m<br />
Med militär legitimationshandling avses ett dokument som har utfärdats av<br />
en organisationsenhet och i vilket anges vissa identitetsuppgifter och eventuellt<br />
viss behörighet för den person för vilken dokumentet utfärdats.<br />
En militär legitimationshandling som enbart styrker innehavarens identitet,<br />
tjänst eller uppdrag benämns identitetsbevis. Om en handling styrker innehavarens<br />
behörighet att få tillträde till ett objekt benämns den passerbevis.<br />
Militära legitimationshandlingar är avsedda för legitimation i tjänsten eller<br />
för visst inpasseringstillfälle och skall därför bara användas i dessa sammanhang.<br />
Militära identitetsbevis utfärdas i form av tjänstekort, identitetskort för totalförsvarsvärnpliktig<br />
som fullgör värnplikt, identitetskort för militärpolis,<br />
identitetskort för värnpliktig militärpolis, kompletterande identitetskort för<br />
personal inom den militära säkerhetstjänsten, identitetskort för personal<br />
150
som tjänstgör i utlandsstyrkan inom <strong>Försvarsmakten</strong>, identitetskort för personal<br />
som tjänstgör i statsluftfartyg som trafikerar flygplatser och flygbaser,<br />
s k crew card samt legitimationsbevis för hemvärnspersonal och tillsynsmän<br />
m fl.<br />
Den som innehar ett militärt identitetsbevis får, med vissa undantag, inte<br />
inneha annat militärt identitetsbevis.<br />
Vid kontroll enbart av identitet kan även andra legitimationshandlingar än<br />
de som <strong>Försvarsmakten</strong> utfärdat godtas. För att styrka enbart identitet godtas<br />
legitimationshandlingar som uppfyller kraven enligt Standardiseringskommissionens<br />
i Sverige normer (SIS), Svensk Standard (SS) 61 43 14, och<br />
svenska pass som har tillverkats efter år 1998. För att styrka enbart identiteten<br />
i fråga om utländsk medborgare godtas dessutom pass som har utfärdats<br />
av dennes hemland och pass som har utfärdats inom den Europeiska unionen.<br />
För tillträde, främst för besökare, utfärdas passerbevis.<br />
5 Tillträdesbegränsning<br />
De flesta legitimationshandlingar, inklusive militära legitimationshandlingar<br />
och passerbevis, går att förfalska. I vissa fall är förfalskningarna av så hög<br />
kvalitet att de vid okulär kontroll (uppvisande) inte går att skilja från äkta<br />
handlingar. Det är därför viktigt att om möjligt utnyttja tekniska hjälpmedel,<br />
exempelvis kortläsarsystem, för att säkert fastställa identitet eller behörighet.<br />
För att, vid en okulär besiktning, kontrollera en identitetshandlings äkthet<br />
kan, precis som vid kontroll av sedlar, en lampa med UV-ljus nyttjas.<br />
Ytterliggare råd och tips för kontroll av legitimationshandlingar framgår av<br />
de informationsbroschyrer som bl a utges av Bankföreningen.<br />
Militära identitetsbevis får användas i automatiska passersystem, dock inte<br />
för tillträde till särskilt skyddsvärda lokaler eller områden. Till sådana platser<br />
skall ett särskilt passerbevis utfärdas. Av ett sådant passerbevis får inte<br />
framgå till vilken organisationsenhet det medger tillträde.<br />
Ytterligare information om olika slag av legitimationshandlingar framgår av<br />
<strong>Försvarsmakten</strong>s interna bestämmelser om legitimationshandlingar m.m.<br />
151
5 Tillträdesbegränsning<br />
5.15 Brandskydd<br />
5.15.1 Bestämmelser<br />
Det förebyggande brandskyddet i Sverige regleras av en mängd olika bestämmelser<br />
och anvisningar. Grundläggande föreskrifter finns i i lagen<br />
(2003:778) om skydd mot olyckor (LOS). Andra bestämmelser om hur brandskydd<br />
skall ordnas inom byggnader finns i bl a Svensk Byggnorm. Lokala<br />
brandskyddsmyndigheter, Räddningstjänst och byggnadsnämnder kan utfärda<br />
lokala bestämmelser. Regler som berör automatiska brandlarmanläggningar<br />
finns utgivna i SBF 110. Sveriges Försäkringsförbund godkänner<br />
larminstallatörer och den materiel som kan användas.<br />
i SBF 110, tidigare RUS 110, innehåller bestämmelser rörande<br />
• installation och anläggningsfirmor<br />
• anläggningsintyg, besiktning och provning<br />
• krav på materiel<br />
• skötsel, underhåll och kontroll.<br />
Utöver Försäkringsförbundets krav skall materielen i vissa fall uppfylla<br />
övergripande bestämmelser, exempelvis Statens industriverks starkströmsföreskrifter,<br />
strålskyddslagens bestämmelser rörande joniserande rörelsedetektorer<br />
och Räddningsverkets bestämmelser avseende byggnader, där brandfarlig<br />
och explosiv materiel förvaras.<br />
5.15.2 Automatiskt brandlarm<br />
Ett automatiskt brandlarm skall vara konstruerat för att<br />
• reagera på en begynnande eld<br />
• indikera var larm uppstått<br />
• larma släckpersonal.<br />
Anläggningen bör även kunna byggas ut med tilläggsfunktioner som utrymningslarm,<br />
branddörrstängning, styrning av hissar, rökluckor och fläktsystem<br />
samt aktivering av släckanläggningar. Brandlarm bör vara direktanslutet<br />
till Räddningstjänsten.<br />
I vissa lokaler, t ex datorhallar, gäller särskilda bestämmelser.<br />
152
5.15.3 Övrigt<br />
Ett tillfredsställande tillträdesskydd vid nödutrymningsdörrar kan ibland<br />
nödgas stå tillbaka för kraven på utrymningsmöjlighet. Samråd alltid med<br />
räddningstjänsten i sådana fall.<br />
5.16 Åtgärder vid inbrott<br />
5 Tillträdesbegränsning<br />
Kriminella personer har alltid visat ett stort intresse för militära anläggningar<br />
och intresset synes inte ha avtagit under de senaste åren.<br />
Det finns många orsaker till detta:<br />
• Kriminella ungdomsgäng och nyfikna ungdomar.<br />
• Den grova brottsligheten har ökat och de grovt kriminella har större kunskaper<br />
för att angripa olika objekt.<br />
• Utvecklingen av teknisk utrustning för intrång har ökat i allt snabbare<br />
takt. Ibland snabbare än våra skyddsåtgärder.<br />
• Vissa förråds och anläggningars lokalisering och innehåll är kända i kriminella<br />
kretsar.<br />
Personal från <strong>Försvarsmakten</strong> eller av <strong>Försvarsmakten</strong> anlitad tillsyns- eller<br />
underhållspersonal är ofta de första, som upptäcker ett inbrott eller inbrottsförsök.<br />
Förste man på brottsplatsen har ett stort ansvar och kan genom att<br />
handla rätt föra en kommande polisutredning framåt på ett avgörande sätt.<br />
En kriminell person är oftast något av en vanemänniska. Ofta har de lärt sig<br />
att angripa ett objekt på ett speciellt sätt och lämnar därmed spår i ett speciellt<br />
mönster, som polisens tekniker kan avläsa. Det kan också vara andra spår<br />
som är viktiga, exempelvis fot- eller fingeravtryck, kvarglömda föremål,<br />
däckavtryck efter fordon och liknande.<br />
Det är således viktigt att lämna området så orört som möjligt. Första man på<br />
en brottsplats har tre enkla regler att rätta sig efter:<br />
1. Räddande åtgärder. Här gäller det att i första hand rädda liv och egendom.<br />
2. <strong>Skydd</strong>a spår. Brottsplatsen skall vara så orörd, som det överhuvudtaget<br />
går. Att rädda liv och egendom är dock prioriterad verksamhet och är<br />
viktigare än risken att förstöra spår.<br />
3. Spärra av området. Detta kan ske med exempelvis avspärrningsband eller<br />
genom att sätta ut bevakning. Rapportera snarast till ansvarig chef.<br />
Tillsynsmän, förråds- och ronderingspersonal är oftast först på en brottsplats.<br />
Därför är det viktigt att framförallt den personalkategorin upplyses<br />
och utbildas i att säkra spår.<br />
153
5 Tillträdesbegränsning<br />
5.17 H <strong>SÄK</strong> VapAm<br />
5.17.1 Målgrupp<br />
Handbok för <strong>Försvarsmakten</strong>s hantering av skjutvapen och ammunition (H <strong>SÄK</strong><br />
VapAm) vänder sig i första hand till personal som tillhör <strong>Försvarsmakten</strong><br />
men även till personal inom FMV, FOI, Statens maritima muséer (SMM) och<br />
Statens försvarshistoriska muséer (SFHM) som skall hantera, förvara och<br />
transportera skjutvapen och ammunition.<br />
5.17.2 Innehåll<br />
Handboken innehåller förordningar, <strong>Försvarsmakten</strong>s föreskrifter och <strong>Försvarsmakten</strong>s<br />
interna bestämmelser, som reglerar hur skjutvapen och ammunition<br />
skall hanteras, förvaras och transporteras samt förklarande text<br />
och allmänna råd till dessa författningar.<br />
5.17.3 Giltighet<br />
Handboken, liksom de författningar och bestämmelser som ligger till grund<br />
för den, gäller under fred och skall inte tillämpas under höjd beredskap.<br />
5.17.4 Författningar, bestämmelser och handböcker<br />
Allmänna bestämmelser för hantering, förvaring och transport av skjutvapen<br />
och ammunition finns bland annat i:<br />
• Förordning om statliga myndigheters skjutvapen m.m.<br />
• <strong>Försvarsmakten</strong>s föreskrifter om hantering, förvaring och transport av skjutvapen<br />
och ammunition.<br />
• <strong>Försvarsmakten</strong>s interna bestämmelser om hantering, förvaring och transport av<br />
skjutvapen och ammunition.<br />
• <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd.<br />
• <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd av viss materiel.<br />
• Lag om krigsmateriel.<br />
• Förordning om krigsmateriel.<br />
• <strong>Försvarsmakten</strong>s föreskrifter om användande av vapen vid vakttjänst inom <strong>Försvarsmakten</strong>.<br />
• Handbok för vakttjänst inom <strong>Försvarsmakten</strong>. Vakthandboken 1997,<br />
M7745-784451.<br />
154
5 Tillträdesbegränsning<br />
• Räddningsverkets (SRV) författningssamling om explosiva varor.<br />
• Instruktion (IFTEX del 1 och 2) för förvaring och transport av <strong>Försvarsmakten</strong>s<br />
explosiva varor.<br />
• Bestämmelser för materielsäkerhetsskydd MAT-<strong>SÄK</strong> Allmän del 1996 samt<br />
MAT-<strong>SÄK</strong> A, MAT-<strong>SÄK</strong> M och MAT-<strong>SÄK</strong> FV 1998.<br />
155
Bilaga 5:1 Indelning av förvaringsutrymmen i<br />
FM skyddsnivåer<br />
<strong>Skydd</strong>snivå 1<br />
• tunnplåtskåp<br />
• vertikalskåp<br />
• skrivbordshurts<br />
• transportbehållare 601 och 602.<br />
• stöldskyddsskåp 1<br />
<strong>Skydd</strong>snivå 2<br />
• dokumentskåp<br />
• datamediaskåp<br />
• datamediabox<br />
• s k arkiv<br />
• vapenkista 1-3 (låsningsbeslag med hänglås)<br />
• sprängämneskista<br />
• ammunitionsbox (fristående)<br />
• stöldskyddsskåp 2<br />
<strong>Skydd</strong>snivå 3<br />
• värdeskåp enligt SS 3150 och lägre än 100 skyddsvärdespoäng<br />
• värdeskåp enligt SS-EN 1143-1, grade 0- II<br />
• säkerhetsskåp enligt SS 3492<br />
• s k serverskåp enligt SS 3492<br />
• säkerhetsfack i säkerhetsskåp<br />
• kassaskåp enligt SS 3493<br />
• datamediaskåp konstruerat enligt SS 3492<br />
• s k säkerhetsarkiv, som är en inbrottsskyddad lokal i klass med säkerhetsskåpsstandard<br />
• vapenkista 1B 3B, 1C och 1 TP<br />
• ammunitionsbox (fast monterad i truppserviceförråd)<br />
• säkerhetsskyddad transportcontainer motsvarande SS 3492<br />
• kassun, ej uppställd på och förankrad i bottenplatta eller motsvarande<br />
underlag.<br />
157
Bilaga 5:1 Indelning av förvaringsutrymmen i FM skyddsnivåer<br />
<strong>Skydd</strong>snivå 4<br />
• Valv, som är i klass med värdeskåp (SS 3150) med minst 100 skyddsvärdespoäng<br />
• valv, som är i klass med värdeskåp (SS-EN 1143-1), grade III-XIII<br />
• värdeskåp enligt SS 3150 med minst 100 skyddsvärdespoäng<br />
• värdeskåp enligt SS-EN 1143-1, grade III-X<br />
• värdefack enligt SS 3150 inmonterat och fastbultat i säkerhetsskåp. Säkerhetsskåpet<br />
skall, p g a dess ringa vikt, fastbultas i bärande byggnadskonstruktion<br />
• säkerhetsbox 301 och 302.<br />
• vapenkassun uppställd på och förankrad i bottenplatta som är utförd enligt<br />
FORTV ritningar, eller i annat underlag med motsvarande utförande<br />
• normenlig vapen- och ammunitionskammare i truppserviceförråd<br />
• säkerhetsskåp enligt SS 3492 som är larmat med seismiska- och magnetdetektorer<br />
eller uppställt i en volymlarmad lokal (volymlarmet skall täcka<br />
alla sidor av skåpet) samt att beväpnad insatsstyrka kan ingripa innan<br />
intrång skett i säkerhetsskåpet. Detta är egentligen en ”fingerad” skyddsnivå<br />
4 och bygger helt på att insatsstyrkan hinner ingripa innan intrång skett.<br />
158
Bilaga 5:2 Hantering och förvaring m m av<br />
nycklar och koder<br />
Den redovisade skyddsnivåindelningen utgör även grunden för förvaring<br />
av nycklar och reservkoder till de olika förvaringsutrymmena. Nyckel till lås<br />
eller kod till kombinationslås skall förvaras i ett förvaringsutrymme, som<br />
ger minst lika starkt skydd som det utrymmet för vilket nyckeln eller koden<br />
är avsedd. Om förvaringsutrymmet är larmat krävs, i de flesta fall, även att<br />
de utrymmen där nycklar eller koder förvaras förses med larm.<br />
Standardiserade förvaringsutrymmen enligt Svensk Standard SS 3492, SS<br />
3493, SS 3150 eller SS-EN 1143-1 skall ha godkända låsenheter, vilka finns<br />
upptagna i Det Norske Veritas (DNV) lista SBC 158:2, för att vara godkända<br />
för förvaring av hemliga uppgifter och hemlig materiel, stöldbegärliga vapen,<br />
vapendelar och i vissa fall, även ammunition.<br />
För vissa förvaringsutrymmen, t ex vapenkassuner och ammunitionsförråd<br />
finns särskilda krav på låsenheterna.<br />
Förvaringsutrymmen finns även framtagna och provade av <strong>Försvarsmakten</strong>,<br />
FMV eller FORTV. Dessa är inte klassade enligt Svensk Standard (SS).<br />
Kravspecifikationer för låsenheter till dessa förvaringsutrymmen har utarbetats<br />
och FM kommer efterhand att låta byta ut idag befintliga låsenheter<br />
mot låsenheter som uppfyller dessa nya krav.<br />
159
Bilaga 5:3 Förvaringsutrymmen<br />
Valv<br />
För att ett förvaringsutrymme skall få benämnas valv, måste väggar, golv<br />
och tak vara utförda i väl armerad och vibrerad betong. Det enkla valvet<br />
utgörs av en cirka 20-25 cm betongkonstruktion i kvalitet lägst K 350, med<br />
förskjuten, kraftig dubbelarmering och dessutom ofta ett antal tunnare armeringsnät<br />
på ömse sidor om mittarmeringen. I alla hörn och vinklar skall<br />
överlappning av armeringen göras så att en säker sammanbindning mellan<br />
golv-, tak- och väggsektioner erhålls.<br />
Valvdörren är ca 20 centimeter tjock och har minst samma motståndskraft<br />
som övriga omslutningsytor. Dörren skall ha godkänt lås och regelverk, vilka<br />
skall ha stor motståndskraft mot forcering och vara försedda med säkringar<br />
mot skärning, sprängning och inslagning.<br />
Värdevalv, som ofta kallas bankvalv, har minst 400 skyddsvärdespoäng enligt<br />
SS 3150 eller är i lägst grade X enligt SS-EN 1143. Väggar, golv och tak<br />
är utförda lägst i betongkvalitet K 350, ofta i K 600. Värdevalvdörren har ett<br />
mycket motståndskraftigt inbrottsskydd med regelverk, som i de flesta fall<br />
är försedda med flera typer av säkringar, som utlöses vid angrepp.<br />
Då valv utnyttjas som arkivlokal skall Riksarkivets anvisningar (Riksarkivets<br />
föreskrifter och allmänna råd vid planering, utförande och drift av<br />
arkivlokaler, RA-FA 1996:6, med ändring 1997:3) beaktas.<br />
Värdeskåp<br />
Värdeskåp är en fristående, mindre förvaringsenhet och började tillverkas<br />
1958. Inga förvaringsskåp tillverkade före detta årtal kan således vara värdeskåp.<br />
Alla värdeskåp har på dörrens insida, förutom en skylt om eventuell<br />
brandklassning, även en skylt, som upplyser om vilken värdeskåpsklass och<br />
i förekommande fall vilken skyddsvärdespoäng samt standard skåpet tillhör.<br />
Även tillverkningsår och tillverkare anges. Värdeskåp är att betrakta<br />
som en värdeförvaringsenhet.<br />
De äldsta värdeskåpen provades efter en gammal, nu utgången, svensk<br />
standard SIS 70 40 01 och senare, år 1965, SIS 83 75 01 och erhöll då en klassificering<br />
i klasserna V1, V2, V2S samt V3, där V3 var den högsta skyddsnivån.<br />
V2S motsvarar ca 100 skyddsvärdespoäng enligt SS 3150.<br />
I mitten av 1978 började den svenska standarden SS 3000 att gälla. Skåpen<br />
enligt SS 3000 fick en klassificering i skyddsvärdespoäng, som i detta fall<br />
angavs i intervaller som exempelvis 80-100 poäng eller 100-120.<br />
161
Bilaga 5:3 Förvaringsutrymmen<br />
SS 3000 ersattes 1986 med en gemensam nordisk standard med beteckningen<br />
INSTA 610. I Sverige kom standarden att benämnas SS 3150. INSTA 610 och<br />
SS 3150 är alltså identiska. Skåpen får efter provning en klassificering i<br />
skyddsvärdespoäng, men här erhålls inte poängen i intervaller. Denna anges<br />
istället i hela tal som exempelvis 100 eller 120. 1997 kom den europeiska<br />
standarden EN-1143-1, i Sverige benämnd SS-EN 1143-1. Standarden SS-EN<br />
1143-1 graderas, vad avser s k värdeskåp, i grade 0-X<br />
För att få räknas som värdeskåp skall produkten vid provning enligt SS 3150<br />
uppnå minst 100 skyddsvärdespoäng eller vid provning enligt SS-EN 1143-1<br />
uppnå minst grade III.<br />
Värdeskåp väger mellan 600 upp till 3000 kg. Kontrollera därför före inköp<br />
var skåpet, med hänsyn till vikten, kan placeras i en byggnad.<br />
Pengar och lätt realiserbara värden (tankningskort, telefonkort, kontantkort,<br />
lunchkuponger, frimärken, tobak, sprit, öl m.m.), skall om de uppgår till ett<br />
värde högre än 15 000 kr, alltid förvaras i värdeskåp. Värden över 150 000 kr<br />
bör inte förvaras i värdeskåp utan i valv.<br />
Ett värdeskåp är i första hand inbrottsskyddande men på grund av sin konstruktion<br />
kan det även ge visst skydd mot brand, dock inte vad avser<br />
datamedia eller fotografier.<br />
Vid certifieringsproven används lätta och tunga handverktyg, kemikalier,<br />
bygghammare, sprängmedel, lansningsutrustning (s k termisk lans), diamantborrutrustning<br />
och elsvets.<br />
Värdefack<br />
Värdefack (insatsfack) är ett litet värdeskåp avsett att monteras i annat förvaringsutrymme,<br />
t ex säkerhetsskåp, varvid det skall förankras genom<br />
fastbultning i skåpets golv eller väggar. Värdefacket provas som separat<br />
produkt eller i sin förvaringsenhet enligt SS 3150 och skall därvid uppnå<br />
minst 40 skyddsvärdespoäng. Ett säkerhetsskåp med fastbultat värdefack<br />
skall alltid i sin tur fastbultas i bärande byggnadskonstruktion.<br />
Säkerhetsbox<br />
Säkerhetsboxen är en av <strong>Försvarsmakten</strong> framtagen förvaringsenhet och är<br />
likvärdig med ett värdeskåp med ca 180 skyddsvärdespoäng. Den är dock<br />
ej provad enligt normen SS 3150. Säkerhetsboxen har de utvändiga måtten<br />
750x750x750 mm och väger nästan 1 000 kg. Den finns i två versioner: 301<br />
och 302.<br />
Säkerhetsbox 301 är försedd med nyckellås. Då låset är förstört så att nyckel<br />
inte kan användas, öppnas säkerhetsboxen enligt FMV anvisningar, ANV-<br />
ÖPPN-FÖRVRUM 1974 (M7780-900010), som är en hemlig handling.<br />
162
Bilaga 5:3 Förvaringsutrymmen<br />
Säkerhetsbox 302 är försedd med kombinationslås, som bör ha manipuleringsspärr<br />
(MP) och är specialinredd med gejdrar för nyckelförvaring.<br />
Säkerhetsbox 301 är, med anledning av sin nyckelkanal, möjlig att med vissa<br />
flytande sprängämnen spränga upp varför denna boxtyp främst bör användas<br />
inom inhägnade, övervakade eller bevakade områden. Det finns idag<br />
möjlighet att relativt enkelt bygga om typ 301 till 302. Denna ombyggnad<br />
kan bl. a ske genom FMLOG försorg.<br />
Friliggande ammunitionsförråd<br />
Friliggande ammunitionsförråd finns i många olika storlekar och utföranden<br />
men bara i tre (3) olika skyddsnivåer, skyddsnivå 2, 3 och 4.<br />
Ett förråd i skyddsnivå 2 har väggar i 80-100 mm tjock betong och med enkel<br />
armering. <strong>Skydd</strong>snivå 2-förråd har s k D-dörrar, d v s klena dörrar av plåt<br />
med ett mycket begränsat tillträdesskydd. Dörrarna utgör svagheten i förrådets<br />
tillträdesskydd. Ett förråd i skyddsnivå 2 motstår kvalificerade inbrottsangrepp<br />
i maximalt ca fem (5) minuter varvid dörrarna är gränssättande,<br />
varför förråd av denna typ får nyttjas endast för ammunition som inte<br />
klassificerats som stöldbegärlig.<br />
Ett förråd i skyddsnivå 3 har, liksom skyddsnivå 2-förrådet, väggar i 80-100<br />
mm tjock betong och med enkel armering men är försett med s k D+-dörrar.<br />
Dessa dörrar är i grunden D-dörrar men har försetts med en utvändigt monterad<br />
förstärkningssats och kompletterande låsanordning. Dörrar och väggar<br />
har en skyddsnivå som motsvarar varandra. Ett förråd i skyddsnivå 3<br />
motstår kvalificerade inbrottsangrepp under maximalt ca trettio (30) minuter<br />
och får av den anledningen, och i vissa fall försett med larm, nyttjas för<br />
huvuddelen av inom försvarsmakten nyttjade ammunitionsslag.<br />
Ett förråd i skyddsnivå 4 har väggar i 180-200 mm betong och med dubbel<br />
och förskjuten armering. Dörrarna är av s k AD-, eller TD-typ. Dörrar och<br />
väggar har en skyddsnivå som motsvarar varandra. Ett förråd i skyddsnivå<br />
4 motstår kvalificerade inbrottsangrepp i ca sextio (60) minuter och får av<br />
den anledningen, och i vissa fall försett med larm, nyttjas för alla inom försvarsmakten<br />
nyttjade ammunitionsslag.<br />
I syfte att öka skyddsnivån för ett ammunitionsförråd kan det i bland vara<br />
lämpligt att bygga ett ”förråd i förrådet”, t ex genom att bygga ett skyddsnivå<br />
3-utrymme inne i ett skyddsnivå 4-förråd varigenom tiden för att motstå ett<br />
kvalificerat inbrottsangrepp ökas till ca nittio (90) minuter, d v s 30 minuter<br />
+ 60 minuter = 90 minuter. På motsvarande sätt kan man bygga ett skyddsnivå<br />
4-utrymme i ett skyddsnivå 4-förråd varvid motståndstiden mot kvalificerade<br />
inbrottsangrepp ökas till ca etthundratjugo (120) minuter.<br />
Motsvarande resultat uppnås genom att en vapenkassun uppställs inuti ett<br />
ammunitionsförråd.<br />
163
Bilaga 5:3 Förvaringsutrymmen<br />
Berganläggning<br />
En berganläggning ger, av lätt insedda skäl, det bästa skalskyddet för i förrådet<br />
förvarad materiel eller bedriven verksamhet. I regel är dock dörr-, portoch<br />
låskonstruktioner främst utförda för att skydda mot tryckvågor i<br />
samband med bombangrepp, motsv., och inte mot intrångs- eller inbrottsförsök.<br />
Tunnelinslag för kommunikation m.m. av olika slag, t ex ingångar,<br />
reserv- och nödutgångar, ventilationstrummor, kabeltrummor m.m. är inte<br />
heller utförda för att skydda mot intrångs- eller inbrottsförsök utan fordrar<br />
särskilda tillträdesskyddsåtgärder, bl a gallerförstärkning m.m., för att tillträdesskyddet<br />
skall bli tillfredsställande.<br />
Då berganläggning används för förvaring av hemliga handlingar, hemlig<br />
materiel, stöldbegärliga skjutvapen eller stöldbegärlig ammunition gäller<br />
följande:<br />
• <strong>Skydd</strong>et skall främst utgöras av anläggningens skal.<br />
• Portar, dörrar och luckor i ytterskalet skall utgöras av eller motsvara ADeller<br />
TD-dörrar/portar av FORTV konstruktion och som larmas med<br />
såväl seismiska detektorer som magnetdetektorer.<br />
• Ventilationstrummor, nödutgångar m.m utgör en svaghet i berganläggningens<br />
skalskydd och erfordrar i regel säkerhetsskyddsåtgärder inklusive<br />
installation av larm.<br />
• I berganläggningen bör det dessutom finnas sektionerade utrymmen med<br />
starkt skalskydd. Detta för att säkerställa att endast de som har giltigt<br />
ärende till respektive skyddsvärt utrymme får tillträde till detta. Om de<br />
sektionerade utrymmena ges en mycket hög skyddsnivå kan, undantagsvis,<br />
berganläggning med dörrar eller portar med lägre skyddsnivå än ADeller<br />
TD-dörrar nyttjas för förvaring. Larm skall dock alltid installeras i<br />
såväl berganläggningens skalskydd (dörrar, portar, luckor etc) som i de<br />
sektionerade utrymmenas skalskydd. Volymlarm bör alltid installeras i<br />
anläggningens in- och utgångsdelar (s k inslag).<br />
• I syfte att höja skyddsnivån, och därmed sammanhängande insatstid, för<br />
en berganläggning kan befintliga AD- eller TD-dörrsbarriär kompletteras<br />
med ytterligare en omgång AD- eller TD-dörrar. Härigenom ökas motståndstiden<br />
mot kvalificerade inbrottsangrepp till ca etthundratjugo (120)<br />
minuter.<br />
• Ibland kan det vara en fördel att i inslaget till en berganläggning anordna<br />
en slussfunktion. Denna bör då vara så stor (lång) att de eventuella fordon<br />
som skall in i anläggningen kan slussas in i densamma. Slussning av detta<br />
slag är tillämpas för att skydda personal och materiel mot angrepp och<br />
tillgrepp under den tid fordonet och/eller personalen är på väg in eller<br />
ut ur anläggningen. En slussfunktion kan utgöras av två (2) omgångar<br />
164
Bilaga 5:3 Förvaringsutrymmen<br />
skyddsnivå 3-portar, vilket ger samma totala skyddsnivå som en (1) omgång<br />
AD- eller TD-dörrar/portar.<br />
• Inslagen till en berganläggning bör alltid omgärdas med ett områdesskydd<br />
(staket, motsv) med en minsta höjd av 220 cm och med överliggande<br />
taggtrådar. Ytan innanför och omedelbart utanför staketet,<br />
motsv, skall vara belyst då verksamhet pågår vid anläggningen. Övrig tid<br />
bör belysningen styras genom att det monteras s k rörelsedetektorer och<br />
belysningen tändas vid rörelser i anslutning till staketet och innanför detsamma.<br />
Vapenkassun<br />
Vapenkassun m/67 och m/83 är av FORTV normgivna förvaringsutrymmen<br />
för förvaring av vapen. De används företrädesvis för förvaring av vapen<br />
inom kasernområden eller övningsplatser inom kasernområden eller övningsplatser.<br />
Därutöver kan kassunerna även användas för förvaring av<br />
annan från stöldsynpunkt begärlig materiel. Kassunerna kan också, om de<br />
av Räddningsverket och av <strong>Försvarsmakten</strong>s ammunitionsinspektör klassats<br />
som ammunitionsförråd, nyttjas för förvaring av ammunition, inkl s k<br />
stöldbegärlig ammunition.<br />
Kassunerna har utvändigt mått 2300x2300x2250 mm och väger cirka 10 ton.<br />
Väggar, tak och golv utgörs av ca 200 mm dubbelarmerad betong och dörren<br />
har AD-dörrliknande utformning. Låsanordningar är försedda med säkringar<br />
mot sprängning och skärning. Tre nycklar är standard. Kassunerna är inte<br />
provade mot normen SS 3150 men motsvarar minst 100 skyddsvärdespoäng.<br />
Kassuner uppställda utanför inhägnat och militärt bevakad anläggning skall<br />
ställas upp på och förankras i härför framtagna betongplattor, eller motsvarande<br />
underlag, enligt av FORTV upprättade anvisningar med ritningar.<br />
Anvisningar för dynamisk avfuktning, installation av larm och för tillverkning<br />
av betongplatta m.m. (FORTV G 3838 * 000*97/00*950) kan beställas<br />
från FORTV eller, i undantagsfall, från MUST <strong>SÄK</strong>K.<br />
Möjligheter att relativt enkelt byta ut eller komplettera kassunernas befintliga<br />
nyckellås föreligger. FAS har utvecklat en särskild uppgraderingssats<br />
för lås till kassuner. Denna uppgraderingssats skall efterhand monteras bl a<br />
i av <strong>Försvarsmakten</strong> nyttjade kassuner. Tekniska föreskrifter för skötsel av<br />
vapenkassuner har utfärdats av FORTV i PM 1972-06-08, 10-901-124 KV.<br />
Vapen- och ammunitionskammare i truppserviceförråd<br />
I truppserviceförråd har normenliga förvaringsutrymmen, som byggts för<br />
fredsförvaring av vapen och finkalibrig ammunition, byggts. Dessa utrymmen<br />
uppfyller skyddsnivå 4, är försedda med AD-dörrar och motsvarar<br />
normen SS 3150 med minst 100 skyddsvärdespoäng.<br />
165
Bilaga 5:3 Förvaringsutrymmen<br />
Säkerhetsskåp<br />
Begreppet säkerhetsskåp enligt Svensk Standard, SS 3492, betecknar ett skåp,<br />
som vid provning under minst 10 min, skall stå emot angrepp med olika<br />
verktyg av kraftigare typ, såsom bräckjärn, bultsaxar, släggor och brytspett.<br />
Vid provning får två personer angripa skåpet samtidigt. Skåpen är vanligtvis<br />
tillverkade av 4 mm stålplåt men även kompositmaterial kan godkännas.<br />
Säkerhetsskåp som tillverkas för att monteras i fartyg utförs ofta i rostfri<br />
stålplåt. Säkerhetsskåpen finns i olika utföranden och i varierande storlekar.<br />
Skåpen saknar brandskydd. Skåp med vikt under 150 kg skall förankras i<br />
bärande byggkonstruktion, företrädesvis vägg. Skåpet skall inte kunna låsas<br />
förrän regelverket försatts i spärrande läge. Omställbara lås skall vara omställbara<br />
av brukaren. Kombinationslås, företrädesvis elektroniska kombinationslås,<br />
är att föredra framför nyckellås.<br />
Ett säkerhetsskåp kan levereras med olika specialinredningar, t ex fackinredning<br />
med 30 eller 60 låsbara fack, inredning för vapenförvaring, inredning<br />
för nyckelförvaring etc. Ombord på fartyg kan skåpen vara speciellt<br />
utformade. De betecknas då M 1:1-4. Dessa skåp skall förankras. M 1:1-4skåpen<br />
är till sin skyddsnivå mera att jämställa med stöldskyddsskåp än med<br />
säkerhetsskåp.<br />
Säkerhetsskåpen konstruerades ursprungligen för förvaring av hemliga<br />
handlingar där en skada genom brand saknar ekonomisk betydelse. Skåpet<br />
används fortfarande för detta ändamål men de brukas också för förvaring<br />
av delade vapen, smärre summor pengar, tankningskort, mediciner, personalhandlingar<br />
m m. Förvaring av kompletta vapen kan, under vissa<br />
förutsättningar, medges.<br />
I verkstäder används säkerhetsskåp för förvaring av verktyg som kan användas<br />
vid inbrott, t ex vinkelslip och munstycken till skärverktyg, plasmabrännare<br />
och coromantsågklingor m.m.<br />
Pengar och lätt realiserbara värden (tankningskort, telefonkort, kontantkort,<br />
lunchkuponger, frimärken, tobak, sprit, öl m m) skall förvaras i säkerhetsskåp.<br />
Uppgår värdet till högre än 15 000 kr skall förvaring istället ske i<br />
värdeskåp. Om säkerhetsskåpet förses med larm och en insatsstyrka kan<br />
ingripa innan intrång skett kan högre belopp än 15 000 kr förvaras i skåpet.<br />
Innerfack till säkerhetsskåp<br />
Vissa säkerhetsskåp är utrustade med ett eller flera låsbara innerfack. Observera<br />
dock att innerfacket är av tunnplåt och inte ger något inbrottsskydd<br />
utan endast utgör en form av inre sektionering.<br />
166
Bilaga 5:3 Förvaringsutrymmen<br />
Säkerhetsfack<br />
Ett säkerhetsfack har säkerhetsskåpets skyddsnivå enligt normen SS 3492.<br />
Det erhålls med omställbart nyckel- eller kombinationslås. Facket är avpassat<br />
för montering i säkerhetsskåp. Detta möjliggör samförvaring i skåpet<br />
utan att samförvaringsbeslut behöver meddelas. Säkerhetsfack ger i säkerhetsskåpet<br />
förvarade handlingar och materiel ett högre fysiskt skydd än vad<br />
innerfack i tunnplåt gör.<br />
Säkerhetsskåp för datorer och server<br />
Det finns speciellt ventilerade och inbrottsskyddade säkerhetsskåp, ofta kallade<br />
serverskåp, motsvarande standarden SS 3492 avsedda för exempelvis<br />
datorer, kryfax och serverutrustning. Skåpen finns även i RÖS-skyddat utförande.<br />
Kassaskåp<br />
Det återinförda begreppet ”kassaskåp”, vilket inte får förväxlas med det<br />
äldre begreppet som avskaffades 1958, används för skåp som uppnår samma<br />
inbrottsvärde som säkerhetsskåp men som även klarar vissa brandkrav<br />
(skydd för pappersmedia). Detta medför att skåpet provas mot SS 3492 och<br />
NT FIRE 017. Kraven finns nedtecknade i SS 3493.<br />
Kassaskåp enligt SS 3493 ska uppnå minst brandklass 60P, d v s skydda<br />
pappersmedia vid brand under minst 60 minuter, vid provning enligt NT<br />
FIRE 017. Observera dock att skåpet inte skyddar datamedia eller fotografier<br />
vid en brand.<br />
Säkerhetsarkiv<br />
Väggar, golv och tak skall vara utförda av minst 100 mm armerad betong<br />
eller vara förstärkta med 4 mm överlappad stålplåt. Under vissa omständigheter<br />
kan två (2) skikt med 2 mm stålplåt, med mellanliggande skikt av<br />
brand- eller ljudisolerande material, vara att föredra framför ett (1) skikt med<br />
4 mm stålplåt.<br />
Då förvaringsutrymmet är beläget inom bevakat och larmat område kan<br />
dörren vara en inbrottsskyddande dörr i klass 3 enligt SS 81 73 45 med dubbla<br />
godkända låsenheter i lägst låsklass 3 enligt SS 3522. I annat fall skall dörren<br />
vara utrustad med godkänt lås och avlastat regelverk, d v s med lås motsvarande<br />
de som monteras i säkerhetsskåp. Som alternativ till dörr i klass 3<br />
enligt SS 81 73 45 kan en dörr i klass 4 eller 5 enligt den nya svensk-europeiska<br />
standarden SS-ENV 1627 väljas.<br />
Fönster bör inte finnas. Om det finns fönster, lokaliseras arkivet minst 4 m<br />
över marknivån och förses med ej öppningsbara fönster med glas i motsvarande<br />
säkerhetsklass (B 3 enligt SS 22 44 25) eller förstärks med invändigt<br />
167
Bilaga 5:3 Förvaringsutrymmen<br />
monterade och godkända galler (klass 3 enligt SSF-norm) alternativt med<br />
invändigt monterade polykarbonatskivor med en minsta tjocklek av 10 mm.<br />
Som alternativ till fönster i klass B 3 enligt SS 22 44 25 kan fönster i kategori<br />
P8B enligt svensk-europeiska standarden SS-EN 356 väljas.<br />
Ett säkerhetsarkiv bör vara larmat. Ett säkerhetsarkiv har ungefär samma<br />
skyddsnivå som ett säkerhetsskåp och får inte förväxlas med s k valv.<br />
Då säkerhetsarkiv nyttjas som arkivlokal skall Riksarkivets anvisningar<br />
(Riksarkivets föreskrifter och allmänna råd vid planering, utförande och<br />
drift av arkivlokaler, RA-FA 1996:6, med ändring 1997:3) beaktas.<br />
Vapenkista 1-3, 1B-3B, 1 C, 1 TP<br />
Vapenkistor finns med eller utan tilläggsbokstaven B. Tilläggsbokstaven B i<br />
beteckningen anger att låsningen sker med inbyggt regelverk och tillhållarlås<br />
till skillnad från ursprungsmodellen, som har bommar och låses med<br />
hänglås. Dock är det fråga om äldre typ av lås och regelverk, vilka inte motsvarar<br />
dagens krav på inbrottsskydd. Arbete pågår dock för att ersätta dessa<br />
lås med låsenheter som skall motsvara dagens krav på godkänd låsenhet.<br />
Vapenkistor (1-3) som låses med bommar och hänglås klassas i skyddsnivå<br />
2 och får inte användas för förvaring av stöldbegärliga vapen eller stöldbegärlig<br />
ammunition.<br />
Vapenkista 1 B-3 B, 1 C och 1 TP klassas i skyddsnivå 3. Vapenkista 1B-3B,<br />
1 C och 1 TP har skyddsnivå som motsvarar s k tillträdesskyddad container<br />
och kan därför nyttjas vid genomförande av s k skyddade transporter. Vapenkista<br />
1 TP används särskilt vid transporter och vapenkista 1C vid trupp<br />
i fält.<br />
Kistorna skall, med undantag för 3 och 3B, förankras med varandra, i byggnadens<br />
golv eller, vid transporter, i fordonets golv enligt de instruktioner<br />
som medföljer kistorna men som även framgår av IFTEX del 2.<br />
Tillträdesskyddad container<br />
<strong>Försvarsmakten</strong> har tagit fram en tillträdesskyddad container, som motsvarar<br />
standarden för ett säkerhetsskåp. Containern är i första hand avsedd för<br />
skyddade transporter, främst transport av stöldbegärliga skjutvapen och<br />
stöldbegärlig ammunition.<br />
Ammunitionsbox<br />
Ammunitionsboxen har måtten 750x750x775 mm. Den har tidigare funnits i<br />
två (2) versioner, B1 och B 2. B 1 har efterhand destruerats och nu finns bara<br />
B 2. Typ B 2 (M7252-804020) har två dörrar och monteras in i truppserviceförråd<br />
i ammunitionskammarväggen mellan utlämningsdel och förrådsde-<br />
168
Bilaga 5:3 Förvaringsutrymmen<br />
len. Dörren mot utlämningsdelen är försedd med tillhållarlås medan<br />
motstående dörr mot förrådsdelen låses med hänglås, karbinhake eller liknande.<br />
Dokumentskåp<br />
Med dokumentskåp avses skåp, som inte är inbrottssäkra, men som vid<br />
brand skyddar inneliggande pappershandlingar mot förstörelse under en<br />
viss tid. Skåpet är klassificerat enligt fastställda normer och är i regel certifierat<br />
av Det Norske Veritas (DNV). En skylt på dörrens insida anger skåpets<br />
motståndskraft mot brand. Skåpet provas i regel mot NT FIRE 017.<br />
Skåpen skyddar inte datamedia eller fotografier mot brand. Skåpen kan<br />
ibland, vid ett ytligt betraktande, likna värdeskåp eller säkerhetsskåp men<br />
uppfyller i regel bara en skyddsnivå som motsvarar skyddsnivå 2.<br />
Dokumentskåp brandklassades tidigare enligt B1, A1 och A2. Dessa beteckningar<br />
ersattes senare av A60, A90 och A120, där siffrorna anger det antal<br />
minuter som skåpet har provats och godkänts för brandskydd. De senaste<br />
normerna anger det antal minuter som skåpet skall motstå en brand, samt<br />
bokstaven P för pappersmedia, t ex P 60. Brandklassade förvaringsenheter<br />
uppfyller i regel inte kraven för förvaring av sekretessbelagd information.<br />
Skåpen får, med undantag för hemliga handlingar i informationssäkerhetsklassen<br />
HEMLIG/RESTRICTED, inte användas för förvaring av hemliga<br />
handlingar, vapendelar, stöldbegärlig ammunition eller penningmedel.<br />
Undantagsvis kan, om skåpen har mycket högt skyddsvärde mot brand<br />
(minst 120 min), de uppfylla krav på mot inbrott nästan motsvarande<br />
skyddsnivå 3. Detta måste dock avgöras i varje enskilt fall, varvid såväl<br />
skåpets skalskydd som låskonstruktion m.m. måste bedömas.<br />
Datamediaskåp<br />
Datamediaskåp skyddar vid brand datamedia och andra fukt- och värmekänsliga<br />
media mot värme, fukt och gaser. Skåpen saknar vanligen<br />
inbrottsskydd, men i handeln förekommer skåp som både har skydd enligt<br />
ovan och dessutom har normerat inbrottsskydd enligt SS 3492 eller SS-EN<br />
1143-1.<br />
Datamediaskåp provas i Tyskland med standard VDMA 24991, i USA enligt<br />
UL 72 och i de nordiska länderna enligt NT FIRE 017 med tilläggsbokstaven<br />
D, exempelvis 90D eller 90 DIS.<br />
DIS-skåpen skall enligt NT FIRE 017 under angiven tid hålla max 55 grader<br />
och max 85% luftfuktighet, samt skydda mot sot och rökgaser. Skåpen används<br />
för förvaring av löstagbara hårddiskar, magnetband, disketter, skivminnen,<br />
mikrofilm, fotografier, negativ och diabilder.<br />
169
Bilaga 5:3 Förvaringsutrymmen<br />
Datamediabox<br />
Datamediaboxen saknar inbrottsskydd men passar i säkerhetsskåp. Den har<br />
i övrigt samma grundvärden som datamediaskåpen. Boxarna har litet förvaringsutrymme,<br />
varför skrymmande materiel, t ex flera hårddiskar, sällan<br />
får plats.<br />
Arkiv<br />
Ett arkiv är en lokal som i regel saknar reellt inbrottsskydd, men som skyddar<br />
förvarade pappershandlingar mot brand. Hemliga handlingar, med undantag<br />
för hemliga handlingar i informationssäkerhetsklassen HEMLIG/<br />
RESTRICTED, får inte förvaras där, om lokalen inte förstärks till godkänd<br />
skyddsnivå, d v s lägst till en skyddsnivå som motsvarar säkerhetsskåp<br />
(skyddsnivå 3). Arkiv uppfyller, om de inte förstärkt till skydd mot inbrott,<br />
i regel bara skyddsnivå 1. Undantagsvis kan de uppfylla skyddsnivå 2.<br />
Då en lokal nyttjas som arkivlokal skall Riksarkivets anvisningar (Riksarkivets<br />
föreskrifter och allmänna råd vid planering, utförande och drift av<br />
arkivlokaler, RA-FA 1996:6 med ändring 1997:3) beaktas.<br />
Sprängämneskista<br />
Kistan tillverkas av stålplåt. Mellan innerväggen av hårda fiberplattor eller<br />
impregnerat trä och stålplåten finns isolering. Kistan skall förankras och<br />
placeras på en från brandskyddssynpunkt lämplig plats. Sprängämneskistan<br />
klassas i skyddsnivå 2 och uppfyller inte kraven för förvaring av stöldbegärlig<br />
ammunition.<br />
Tunnplåtskåp, vertikalskåp och skrivbordshurts<br />
Skåpen är av tunnplåt 1,0-1,5 mm eller av trä, saknar ofta ett tillförlitligt lås<br />
och säkring av gångjärnen. Skåpen har en skyddsnivå lägre än skyddsnivå<br />
2.<br />
170
Bilaga 5:4 <strong>Försvarsmakten</strong>s krav på<br />
byggnadskonstruktioner och skyddsnivåer m m<br />
Allmänt<br />
Att åstadkomma ett ändamålsenligt inbrottsskydd bereder inte byggnadskonstruktörerna<br />
några större problem, om säkerhetsaspekterna beaktas på<br />
ett tidigt stadium. Däremot är det många gånger mycket svårt och dyrt att i<br />
efterhand i en redan befintlig byggnad åstadkomma ett acceptabelt inbrottsskydd,<br />
om den avses användas till förvaring av sekretessbelagda handlingar<br />
eller materiel, vapen, ammunition eller större värden än den ursprungligen<br />
varit avsedd för. Speciellt gäller detta byggnader som är utförda i modern<br />
arkitektur med stora glasade ytor, utskjutande undertak och aluminiumdörrar.<br />
Då motståndskraften mot ett intrång är olika i olika byggnader, är det svårt<br />
att göra en uppdelning i skyddsnivåer för olika slag av byggnader. Det är<br />
dock viktigt att alltid se till att skyddsanordningarna mot inbrott är så utförda<br />
att, om ett inbrott inträffar, de med säkerhet upptäcks. Som stöd för<br />
att bedöma en befintlig byggnads skyddsnivå kan Svenska Stöldskyddsföreningens<br />
”Regler för mekaniskt inbrottsskydd (SSF 200:3)” nyttjas.<br />
Utöver riskerna för obehörigt intrång föreligger även fara för brand, avlyssningsmöjligheter<br />
mellan olika rum samt röjande signaler från datorer (RÖS).<br />
I rum med krav på sekretesskydd skall ljudisoleringen motsvara minst ljudklass<br />
55dB.<br />
Byggnadskonstruktionen måste därför vara utförd på sådant sätt att den kan<br />
motverka alla dessa risker.<br />
Från brandrisksynpunkt måste nödutgångar anordnas. Detta skall då ske så<br />
att tillträdesbegränsningen inte får några svagheter. När det gäller brandskydd<br />
och ljudisolering hänvisas till Boverkets Byggregler. Det är också<br />
viktigt att konsultera den lokala räddningstjänsten när det gäller brandskyddet.<br />
Av väsentlig betydelse för ett objekts motståndskraft mot olaga intrång är<br />
dels konstruktionen av själva byggnadskroppen, dels styrkan hos det i byggnadskroppen<br />
ingående materialet, såsom byggnadsmaterial, dörrar, fönster<br />
eller galler för ventilationstrummor m m. Hur hög motståndskraft en byggnad<br />
skall ha avgörs i första hand av den materiel som skall förvaras där,<br />
antingen det representerar försvars-, eller annan sekretess, ekonomiska värden<br />
eller är skyddsvärd av andra skäl samt av bedömd hotbild.<br />
171
Bilaga 5:4 <strong>Försvarsmakten</strong>s krav på byggnadskonstruktioner och skyddsnivåer m m<br />
När man bestämmer byggnadskonstruktionens utformning, är det även viktigt<br />
att ta hänsyn till vilken verksamhet, som skall bedrivas i byggnaden. För<br />
vissa verksamheter finns särskilda regler och normer för hur inbrottsskyddet<br />
skall vara utformat. Även säkerhetsaspekter från personskyddssynpunkt<br />
kan påverka utformningen av lokaler eller lokaliseringen av en byggnad, t ex<br />
vid hantering och förvaring av explosiva varor. Vid planering av en byggnad<br />
måste det fastställas om speciella lokaler skall anordnas, såsom datorhallar,<br />
valv eller arkiv. Om t ex värdeskåp som har en ansenlig tyngd, mellan 600<br />
och 3000 kg, avses lokaliseras till byggnaden måste trossbottnar, golv, trappor<br />
och eventuellt hissar konstrueras på sådant sätt att de tål den belastning<br />
det kan bli fråga om.<br />
Att låta kostnader för byggnadsmateriel eller byggnadskonstruktioner styra<br />
val av alternativ kan få långtgående konsekvenser. På en redan färdig byggnad<br />
kan det vara svårt och mycket kostnadskrävande att åstadkomma ett<br />
acceptabelt inbrottsskydd.<br />
Utöver riskerna för obehörigt intrång föreligger även fara för brand, avlyssningsmöjligheter<br />
mellan olika rum samt röjande signaler från datorer (RÖS).<br />
Byggnadskonstruktionen måste därför vara utförd på sådant sätt, att den<br />
kan motverka alla dessa risker.<br />
Från brandrisksynpunkt måste nödutgångar anordnas så, att tillträdesbegränsningen<br />
inte får några svagheter. I rum med krav på sekretess skall<br />
ljudisoleringen motsvara minst ljudklass 55 dB. När det gäller brandskydd<br />
och ljudisolering av väggar hänvisas till Boverkets Byggregler. Det är också<br />
viktigt att konsultera den lokala räddningstjänsten, när det gäller brandskyddet.<br />
Krav på växel-, korskopplings-, dator- och serverrum<br />
En datorhall ska utformas så att utrustningen skyddas mot fysisk skada.<br />
Datorhall bör ej ha fönster. Utrustningen bör skyddas mot brand genom att<br />
automatisk och manuell brandsläckningsutrustning finns installerad i lokalen.<br />
Risken för vattenskador bör elimineras genom att vatten- och avloppsledningar<br />
inte dras genom lokalen. Genom att bygga hallen med ett upphöjt<br />
datagolv erhålls skydd mot vattenskador från inträngande vatten via ventilationssystem,<br />
kylaggregat eller liknande.<br />
Funktionen hos tele- och dataväxlar, korskopplingar, dataservrar och motsvarande<br />
tekniska installationer är, oavsett om de innehåller eller i övrigt<br />
behandlar sekretessbelagd information, av sådan betydelse för myndigheternas<br />
verksamhet att de måste ges ett fysiskt skydd mot inbrott, stöld,<br />
skadegörelse och sabotage. Likaså är det, i samband med utbyten med såväl<br />
nationella som internationella samarbetspartners, viktigt för såväl Sveriges<br />
som för myndigheternas anseende, att samarbetet inte påverkas av att funk-<br />
172
Bilaga 5:4 <strong>Försvarsmakten</strong>s krav på byggnadskonstruktioner och skyddsnivåer m m<br />
tionen hos tele- och dataväxlar, korskopplingar, dataservar och motsvarande<br />
tekniska installationer nedgår på grund av ovan angivna orsaker.<br />
Detta innebär att sådana tekniska installationer måste ges ett erforderligt<br />
fysiskt tillträdesskydd varför utrymmena och lokalerna i vilka de är lokaliserade<br />
alltid utföras i lägst skyddsnivå 2. Om det i utrymmena och lokalerna<br />
behandlas sekretessbelagd information skall de, i de flesta fall, uppfylla en<br />
högre skyddsnivå, dvs. skyddsnivå 3 eller 4.<br />
Om det i sådana utrymmen behandlas uppgifter som är placerade i informationssäkerhetsklassen<br />
HEMLIG/CONFIDENTIAL eller HEMLIG/SEC-<br />
RET skall utrymmena uppfylla de krav som gäller för skyddsnivå 3.<br />
Om det i sådana utrymmen behandlas uppgifter som är placerade i informationssäkerhetsklassen<br />
HEMLIG/TOP SECRET skall utrymmena uppfylla<br />
de krav som gäller för skyddsnivå 4.<br />
I syfte att ha kontroll över tillträde, och därmed även verksamhet, till utrymmen<br />
och lokaler som innehåller tele- och dataväxlar, korskopplingar,<br />
dataservar och motsvarande tekniska installationer skall dessa alltid vara<br />
försedda med system för inpasseringskontroll, d.v.s. med ett passagekontrollsystem<br />
som medger säkerhetsloggning av tillträde. Passagekontrollsystemet<br />
monteras i anslutning till den eller de dörrar som leder in till<br />
utrymmena eller lokalerna. Loggning bör göras även vid utpassering. Loggningarna<br />
skall regelbundet analyserar.<br />
Varje myndighet får, med hänsyn till de lokala förutsättningarna, de aktuella<br />
utrymmenas eller lokalernas belägenhet och utförande, möjligheter att larma<br />
eller på annat sätt övervaka utrymmenas och lokalernas skalskydd, möjligheter<br />
att med insatsstyrka kunna ingripa innan intrång skett i utrymmena<br />
eller lokalerna m.m. fatta beslut som avviker från ställda krav på skyddsnivåer.<br />
Detta undantag får dock bara fattas om beslutet innebär att motsvarande<br />
säkerhetsskyddsnivå kan upprätthållas. För att kunna fatta ett beslut som<br />
avviker från nämnda krav måste en säkerhetsanalys genomföras och en säkerhetsplan<br />
upprättas. I säkerhetsplanen anges vilka åtgärder som skall<br />
vidtas för att få en motsvarande säkerhetsskyddsnivå. Dokumentation av<br />
säkerhetsanalys, säkerhetsplan och ett sådant beslut skall göras.<br />
Exempel på ett sådant beslut kan vara att i utrymmen och lokaler som bara<br />
uppfyller skyddsnivå 3, i tele- och dataväxlar, korskopplingar, dataservar<br />
och motsvarande tekniska installationer, hantera eller behandla uppgifter<br />
som är placerade i informationssäkerhetsklassen HEMLIG/TOP SECRET,<br />
trots att krav på skyddsnivå 4 föreligger. Ett sådant beslut kan fattas om<br />
utrymmets skalskydd (golv, väggar, tak, dörr) förses med seismiska detek-<br />
173
Bilaga 5:4 <strong>Försvarsmakten</strong>s krav på byggnadskonstruktioner och skyddsnivåer m m<br />
torer och en insatsstyrka kan ingripa, på plats, innan intrång i utrymmet eller<br />
lokalen skett, d.v.s. i regel inom 10 min.<br />
Det är däremot, i regel, inte möjligt att fatta beslut om verksamhet som skall<br />
bedrivas i ett utrymme eller i en lokal i skyddsnivå 3, får ske i ett skalskyddslarmat<br />
utrymme eller lokal i skyddsnivå 2 och att insats därvid skall<br />
kunna ske innan intrång i utrymmet eller lokalen skett. Detta med anledning<br />
av att skyddsnivå 2 motstår angrepp i högst 5 minuter och det är mycket<br />
sällan som det går att garantera att en insatsstyrka kan vara på plats inom<br />
denna tid och att intrångsförsök därvid hinner avvärjas.<br />
Krav på lokaler för vakt- och bevakning m m<br />
Lokaler för vakt- och bevakningstjänst och för motsvarande verksamheter<br />
måste, för att ge ett för verksamheten såväl som för personalen erforderligt<br />
skydd, utföras med ett skalskydd i lägst skyddsnivå 2. Glasytor skall vara<br />
insyns-, inkast- och intrångsskyddande. Fönster skall, med undantag från<br />
eventuella nödutrymningsvägar, inte vara öppningsbara.<br />
Dörrar och öppningsbara fönster förses med larm som indikerar öppning.<br />
Tillträde till byggnaden bör ske genom ett utrymme som fungerar som sluss.<br />
I lokalerna måste i regel även separata skyddsåtgärder vidtas för olika utrymmen<br />
m a a deras funktioner, t ex reception, dator- och/eller serverrum,<br />
larmcentral, utrymmen för vapen- och ammunition, utrymmen för passfri<br />
personal, kontors- och förläggningsutrymmen för insats-, bevaknings- och<br />
transportskyddschefer etc.<br />
Personsäkerhetslarm, s k överfallslarm, installeras på erforderliga platser<br />
och termineras till SOS Alarm eller polis. Tillgång till ett antal fasta telefonförbindelser,<br />
varav minst en (1) utanför garnisonstelefonväxel, motsv., skall<br />
finnas. Möjligheter för inspelning av telefonhot som rings in på fasta telefonförbindelser<br />
skall finnas.<br />
Tillgång till minst ett (1) s k hemligt telefonabonnemang bör finnas.<br />
Om det i lokalerna terminerar bilder från övervaknings-/TV-kameror, skall<br />
inspelning och lagring av dessa bilder kunna ske.<br />
Tillträde till receptionsutrymme, motsv., skall bara kunna ske inifrån byggnaden.<br />
Dörr förses med dörrkikare, motsv. Utrymmets glasytor skall skydda<br />
mot insyn, intrång och inkast samt vara försett med vridbar ID-kortsluss för<br />
att, under för vakt-/receptionspersonalen säkra former, kunna kontrollera<br />
identitet på besökande m fl. Kontakt med personer i anslutning till luckan<br />
sker med stöd av mikrofon + högtalare.<br />
Väggytor under glasytorna skall skydda mot beskjutning med vapen motsvarande<br />
AK 4 med AP-ammunition från 10 meters avstånd. Inre belysning<br />
skall kunna regleras steglöst. Starka strålkastare bör monteras utanför gla-<br />
174
Bilaga 5:4 <strong>Försvarsmakten</strong>s krav på byggnadskonstruktioner och skyddsnivåer m m<br />
sade ytor av receptionsutrymme i syfte att säkerställa insynsskydd under<br />
kvällar och nätter.<br />
Eventuellt kan särskilt besöksmottagningsrum behöva anordnas. Gränsytan<br />
mellan detta och vakt-, eller receptionspersonalen och med byggnadens<br />
övriga inre utrymmen skall då utföras på ett sätt att skyddsnivån motsvarar<br />
den för besökande utanför byggnaden.<br />
Utrymmen för passfri personal, kontors- och förläggningsutrymmen för insats-,<br />
bevaknings- och transportskyddschefer etc. sektioneras från varandra<br />
och från övriga utrymmen i byggnaden. Inre sektioneringar utföres i lägst<br />
skyddsnivå 1.<br />
Dator- och/eller serverrum, larmcentral och utrymmen för vapen- och ammunition,<br />
för skyddsvästar, bildförstärkare, personlig skyddsutrustning,<br />
sambandsutrustning m.m. samt andra väsentliga utrymmen skall uppfylla<br />
lägst skyddsnivå 2, i vissa fall skyddsnivå 3. Det senare kan ske genom att<br />
utrymmena utföres i skyddsnivå 3 eller som skyddsnivå 2-utrymmen lokaliserade<br />
i en lokal/byggnad som uppfyller skyddsnivå 2. Tillträde till dessa<br />
utrymmen skall bara kunna ske inifrån byggnaden.<br />
Dörrar till sektioneringar liksom ytterdörr samt eventuell inre dörr i slussfunktion,<br />
bör styras med kod- och kortläsare. Ytterdörr och inre dörr i<br />
slussfunktion samt dörrar till dator- och serverrum, vapen- och ammunitionsförvaringsutrymmen<br />
samt till eventuell larmcentral förses mekaniska<br />
lås eller, i vissa fall, elektromekaniskt lås, s k motorlås, medan övrig inre<br />
sektionering kan ha elektromekaniskt slutbleck, s k el-slutbleck. Dörrar förses<br />
med dörrkikare.<br />
Vissa utrymmen, t ex slussfunktion och utrymmen utanför larmcentral, m fl<br />
platser bör förses med TV-övervakning.<br />
Utrymmen som innehåller utrustning, med undantag för skjutvapen och<br />
ammunition, skyddsvästar, bildförstärkare, personlig skyddsutrustning,<br />
sambandsutrustning m.m., för insats-, bevaknings- och transportskyddsstyrka<br />
bör endast kunna åtkommas från byggnadens utsida.<br />
I övrigt utformas lokalerna med hänsyn tagen till gällande författningar<br />
(SFS, FFS och FIB) avseende säkerhetsskydd, IT-säkerhet och skydd för vapen<br />
och ammunition mm samt till de lokala förhållandena.<br />
Krav på kopplingsskåp m.m.<br />
Man bör ägna skärpt uppmärksamhet åt kopplingsskåp och -plintar, som<br />
vanligtvis är lättåtkomliga för obehöriga. I vissa byggnadskomplex är ledningarna<br />
dragna genom andras lokaler, går i trapphus eller ligger fullt<br />
åtkomliga i källare eller korridorer. Kopplingsskåpen bör skyddas lika bra<br />
som korskopplingsrum eller serverrum. Man bör också vara observant på<br />
175
Bilaga 5:4 <strong>Försvarsmakten</strong>s krav på byggnadskonstruktioner och skyddsnivåer m m<br />
kabelbrunnar i trottoar eller på andra allmänna platser. Skåp och brunnar<br />
måste förses med bra låsanordningar. Det finns möjligheter att mäta motståndet<br />
i ledningar och på så sätt kunna spåra avlyssningsutrustningar.<br />
Kopplingsskåp bör, i många fall måste, larmas för att indikera försök till<br />
intrång. Kopplingsskåp kan byggas in i stöldskyddsskåp eller säkerhetsskåp<br />
och därigenom ges skydd mot intrång, skadegörelse och avlyssning. Kopplingsskåp<br />
bör, i vissa fall måste, larmas för att indikera försök till intrång m<br />
m.<br />
Krav vid kabelgenomföringar<br />
Kabelgravar utanför inhägnat område bör undvikas och kabelbrunnar skall<br />
förses med lås. Nyttjas hänglås för låsning av kabelbrunn bör låset vara i<br />
lägst hänglåsklass 3. Kabelgenomföringar i väggar röktätas. Kablar som går<br />
igenom/passerar lokaler som inte disponeras eller kontrolleras av försvarsmakten<br />
kan, i syfte att skyddas mot skadegörelse och manipulation m m,<br />
förläggas i stålrör, s k pansarrör. Dessa rör bör ha en manteltjocklek om minst<br />
2 mm, helst 4 mm.<br />
176
Bilaga 5:5 <strong>Skydd</strong>snivåer för omslutningsytor<br />
Allmänt<br />
<strong>Skydd</strong>snivå 1<br />
Byggnader och lokaler med omslutningsytor av trämaterial, gips- skivor eller<br />
korrugerad plåt.<br />
<strong>Skydd</strong>snivå 2<br />
Byggnader och lokaler med omslutningsytor av betong i tjocklek 75 mm, sten<br />
i 120 mm tjocklek, lättbetong i tjocklek 150 mm eller stark träkonstruktion.<br />
<strong>Skydd</strong>snivå 3<br />
Fasta utrymmen med omslutande delar av armerad betong i en tjocklek av<br />
minst 100 mm. Armeringen får inte medge genomkrypning och dimensioneras<br />
med max c/c 250 mm och min ø 10 mm. Omslutningsytorna får bestå<br />
av annat material med motsvarande motståndskraft.<br />
<strong>Skydd</strong>snivå 4<br />
Fasta utrymmen med omslutande delar av betong med dubbel, förskjuten<br />
armering i en tjocklek av minst 180 mm. Armeringen får inte medge genomkrypning<br />
och dimensioneras med max c/c 180 mm och min ø 12 mm.<br />
Förskjutning av armeringen krävs ej vid max c/c 130 mm. Omslutningsytorna<br />
får bestå av annat material med motsvarande motståndskraft.<br />
Jämförelser mellan skyddsnivåer och skyddsklasser<br />
Några jämförelser mellan <strong>Försvarsmakten</strong>s skyddsnivåer och skyddsklasser<br />
enligt Svenska Stöldskyddsföreningen (SSF) regler för mekaniskt inbrottsskydd<br />
(SSF 200:3)<br />
FM skyddsnivå <strong>Skydd</strong>sklass enligt<br />
SSF 200:3<br />
Väggmaterial, motsv d)<br />
1 - Trä, gipsskivor, korrugerad<br />
plåt<br />
2 1 Minst 75 mm betong<br />
2 1 Minst 120 mm sten<br />
2 1 Minst 150 mm lättbetong<br />
2 - Stark träkonstruktion<br />
177
Bilaga 5:5 <strong>Skydd</strong>snivåer för omslutningsytor<br />
FM skyddsnivå <strong>Skydd</strong>sklass enligt<br />
SSF 200:3<br />
Väggmaterial, motsv d)<br />
3 2 a) Minst 100 mm enkelarmerad<br />
betong. Armering max c/c 250<br />
mm och diameter minst 10<br />
mm<br />
3 b) 2 Minst 200 mm sten<br />
3 b) 2 Minst 250 mm lättbetong<br />
3 b) 3 a) Minst 100 mm betong<br />
3 b) 3 Minst 250 mm sten<br />
4 c) Minst 180 mm dubbelarmerad<br />
betong. Armeringen max c/c<br />
180 mm och diameter minst<br />
12 mm<br />
a) SSF 200:3 ställer, till skillnad från <strong>Försvarsmakten</strong>, ej krav på armering.<br />
b) Får ej nyttjas för förvaring av stöldbegärliga skjutvapen, stöldbegärlig ammunition eller hemliga<br />
handlingar i informationssäkerhetsklassen HEMLIG/CONFIDENTIAL eller högre<br />
c) Avseende civila skyddsklasser högre än skyddsklass 3 hänvisas till normer för arkiv och valv,<br />
bl a SS-EN 1143.<br />
d) Exempel på väggmaterial är hämtat från SSF 200:3, p 4.2.1. Ytterligare exempel på väggar<br />
som uppfyller skyddsklass 1-3 framgår av SSF 200:3, p 4.2.1.2 - 4.2.1.3.<br />
Begrepp<br />
Betong Platsgjuten eller prefabricerade element. Platsgjuten betong är<br />
att föredra eftersom skarven mellan prefabricerade element utgör<br />
en svaghet i omslutningsytan. Betongkvaliteten skall vara<br />
lägst K 350. För valv och andra särskilt viktiga utrymmen i<br />
skyddsnivå 4 bör betongkvaliteten vara K 600<br />
Sten Murverk av tegel, kalksandsten, betongblock eller betongmursten.<br />
Lättbetong Lättballastbetong (gas-, lättklinkerbetong eller motsvarande) i<br />
murblock eller element.<br />
c/c Centrumavstånd mellan armeringsstålen.<br />
Ø Diametern på armeringsstålet.<br />
Omslutningsytor Med omslutningsytor avses lokalens avgränsning mot andra lokaler<br />
i en byggnad samt det yttre skalskyddet som väggar, golv,<br />
tak, dörrar och fönster.<br />
Förstärkning av omslutningsytor<br />
Ett fast utrymme av annat slag skall vara så utfört att skyddsnivån kan<br />
jämställas med skyddsnivåerna ovan. Antingen kan det befintliga utrymmet<br />
förstärkas till gällande nivå eller redan vara så starkt i sin konstruktion att<br />
det kan godtas.<br />
178
Bilaga 5:5 <strong>Skydd</strong>snivåer för omslutningsytor<br />
Förstärkning till högre nivå kan ske genom uppbyggnad av en inre cell med<br />
nyttjande av prefabricerade konstruktioner, t ex PRECON säkerhetsutrymme<br />
(skyddsnivå 3) eller genom komplettering med vapenkassun e t c.<br />
Förstärkning till skyddsnivå 3<br />
I vissa fall kan en lokal i skyddsnivå 2 förstärkas till skyddsnivå 3, om omslutningsytorna<br />
förstärks med minst 50 mm överlappande helsvetsad<br />
stålplåt (4 mm), som fästs i reglarna och sammanfogas i hörnen. Detta medför<br />
att utrymmet får en skyddsnivå som motsvarar säkerhetsarkiv/säkerhetsskåp.<br />
Även dörren måste bytas eller förstärkas till skyddsnivå 3. Under vissa<br />
omständigheter kan två (2) skikt med 2 mm stålplåt, med mellanliggande<br />
skikt av brand- eller ljudisolerande material, vara att föredra framför ett (1)<br />
skikt med 4 mm stålplåt<br />
179
Bilaga 5:6 Dörrar, portar, luckor mm<br />
En mycket vanlig angrepps- och reträttväg vid inbrott är ytterdörrar, inklusive<br />
portar och luckor. Med dörr menas då både dörrblad och dörrkarm.<br />
En eller två skruvmejslar, 300 mm långa, har en brytkraft på 600-700 kg,<br />
medan ett 600 mm långt bräckjärn med får en brytkraft på 2 000 kg. Det är<br />
därför viktigt att dörrarna är utförda och monterade så att de ger ett godtagbart<br />
skydd mot angrepp och brytning.<br />
Dörrkarmarna skall fästas ordentligt i väggkonstruktionen och fixeras, för<br />
att hämma svikt i sidled vid brytangrepp på dörren eller karmen. Godkänt<br />
brytskydd skall monteras. Dörrar i skyddsnivå 1 och 2 har i regel bara en (1)<br />
godkänd låsenhet i lägsta klass 3 enligt SS 3522 medan dörrar i högre skyddsnivåer<br />
skall ha minst två (2) godkända låsenheter i lägsta klass 3 enligt SS<br />
3522.<br />
Dörrar till förvaringsutrymmen för hemliga handlingar i informationssäkerhetsklasserna<br />
HEMLIG/CONFIDENTIAL, HEMLIG/SECRET och<br />
HEMLIG/TOP SECRET, och för förvaring av stöldbegärliga vapen och<br />
stöldbegärlig ammunition skall i regel vara av särskild konstruktion och med<br />
särskilda lås.<br />
Dörrpartier skall ha så god stabilitet som möjligt, eftersom de skall ha samma<br />
inbrottsskyddsvärde som byggnaden i övrigt. Då dörrpartier av lättmetall<br />
eller aluminium används, skall dessa ha utförts på stålrörsstomme. Dörrar<br />
och karmar skall ha en bred mittspröjs eller stagregel, som förhindrar isärdragning<br />
av dörrspringan vid inbrottsförsök. Dörrar och karmar skall ha så<br />
breda dörr- och karmprofiler att minst två lås av modulstorlek, vilket innebär<br />
minst 84 mm låsdjup, kan monteras. Karmens breddmått är också av stor<br />
betydelse, om kraftiga elslutbleck, motsv., skall monteras.<br />
Antalet dörrar för inpassering bör begränsas och om möjligt bör endast en<br />
dörr användas som entrédörr. Övriga ytterdörrar spärras eller förses med<br />
nödutrymningsbeslag på insidan och, om möjligt, daglarm. Låscylindern på<br />
utsidan bör tas bort och spärras med en låsbricka. Räddningstjänsten bör<br />
dock konsulteras innan detta sker.<br />
Ytterdörrar<br />
Ytterdörrar måste vara så kraftiga att de inte går att forcera eller demontera<br />
utan avsevärd svårighet. Glasytor bör undvikas i ytterdörrar och framför allt<br />
i dörrar som vetter mot undanskymda platser. Massiva trädörrar och branddörrar<br />
av plåt ger ett något bättre skydd än fyllnads- och spegeldörrar, men<br />
för att få ett fullgott skydd mot forcering måste inbrottsskyddande dörrar<br />
181
Bilaga 5:6 Dörrar, portar, luckor mm<br />
som uppfyller Svensk Standard (SS 81 73 45) eller svensk-europeisk standard<br />
(SS-ENV 1627) användas.<br />
Ytterdörrar till viktiga lokaler och byggnader skall vara inbrottsskyddande.<br />
Pardörrar skall ha hävarmsreglar upptill och nertill. Låsmekanismen till vapenförråd,<br />
valv och säkerhetsarkiv skall ha avlastat regelverk.<br />
I vissa fall kan en förstärkning av inbrottsskyddet ske med exempelvis en<br />
gallergrind som monteras på dörrens insida.<br />
Säkerhetsslutbleck<br />
I dörrenheter till inbrottsskyddade lokaler skall säkerhetsslutbleck monteras<br />
med snedställda skruvar i träkarmen. Skruvarna fördelar kraften i karmen<br />
och förstärker infästningen. I en karm av lättmetall skall slutbleck monteras<br />
med hjälp av stålplattor som mothåll i karmprofilen.<br />
Bakkantssäkring<br />
Utåtgående ytterdörrar och dörrar till inbrottsskyddade lokaler skall alltid<br />
förses med bakkantssäkring. Det bästa alternativet är ett bakkantsbeslag,<br />
men dörren kan också stiftas. Stiften skall då monteras i gångjärnsbeslagen<br />
på karmen för att öka brytmotståndet<br />
Dörrklasser<br />
I Svensk Standard SS 81 73 45 (Dörrar-Inbrottsskydd-Klassindelning, krav<br />
och provning) anges 4 dörrklasser, där 1 anger lägsta och 4 den högsta klassen,<br />
för inbrottsskyddande dörrar. Detta är oberoende av material eller<br />
konstruktion.<br />
En ny svensk - europeisk standard (SS-ENV 1627) infördes från 2004 och<br />
indelas i sex (6) klasser där klass 1 anger lägsta klass och 6 den högsta klassen.<br />
Denna klassindelningen kan dock inte jämföras med klassindelningen för<br />
dörrar enligt SS 81 73 45 utan måste ”räknas upp ” ett-två (1-2) steg. Endast<br />
dörrar i klass 3 - 6 ger ett godtagbart skydd mot intrångsförsök, klass 3 med<br />
enklare verktyg i 5 min och klass 4 med något tyngre verktyg i 10 min, o s v.<br />
Dörr i klass 5 enligt SS-ENV 1627 motsvarar, ungefär, klass 3 enligt SS 81 73<br />
45 och klass 6 enligt SS-ENV 1627 motsvarar, ungefär, klass 4 enligt SS 81 73<br />
45<br />
Observera att Svensk Standards (SS) eller den svensk-europeiska standarden<br />
(SS-ENV) indelning av dörrklasser inte till alla delar motsvarar <strong>Försvarsmakten</strong>s<br />
skyddsnivåer.<br />
Dörr i skyddsnivå 1 och 2 är försedda med ett (1) lås (en godkänd låsenhet)<br />
medan dörrar i högre skyddsnivåer skall vara försedda med två godkända<br />
låsenheter i lägst klass 3 enligt SS 3522.<br />
182
Vissa typer av dörrar i skyddsnivå 4, t ex kassundörrar, dörrar till vapenoch<br />
ammunitionskammare, dörrar av typ AD, TD, VDS, VDB, G 5, Håbeco<br />
130 är i regel, m a a att dörren spärras genom utskjutbara kolvar, försedda<br />
med enbart en (1) godkänd låsenhet. Variationer kan förekomma.<br />
<strong>Försvarsmakten</strong>s skyddsnivåer för dörrar<br />
Bilaga 5:6 Dörrar, portar, luckor mm<br />
<strong>Skydd</strong>snivå 1 Standarddörrar i trä eller plåt<br />
Certifierade dörrar i klass 1 enligt SS 81 73 45<br />
Certifierade dörrar i klass 2 och 3 enligt SS-ENV 1627<br />
<strong>Skydd</strong>snivå 2 Certifierade dörrar i klass 2 enligt SS 81 73 45<br />
Certifierade dörrar i klass 3 och 4 enligt SS-ENV 1627<br />
Branddörrar i plåt<br />
Arkivdörrar<br />
D-dörrar<br />
<strong>Skydd</strong>snivå 3 Splitterskyddande dörrar av stål<br />
Certifierade dörrar i klass 3 och 4 enligt SS 81 73 45<br />
Certifierade dörrar i lägst klass 4, 5 och 6 enligt SS-ENV 1627<br />
Förstärkta D-dörrar, s k D +-dörrar<br />
Stötvågsdörrar och luckor, dock endast om de har lämplig låsenhet<br />
Gastäta ståldörrar och luckor med minst 30 mm tjocklek, dock<br />
endast om de har lämplig låsenhet<br />
<strong>Skydd</strong>snivå 4 Valvdörrar<br />
Dörrar av typ AD, TD, VDS, VDB, G 5, Håbeco 130 samt vissa<br />
INSTA-Certifierade dörrar<br />
Vapenkassundörrar<br />
Vissa typer av stötvågsportar, -dörrar och luckor, dock endast<br />
om de har lämplig låsenhet.<br />
Anmärkning<br />
Dörr eller motsvarande skall minst motsvara omslutningsytornas motståndskraft.<br />
I äldre dörrar är regelverket och låsanordningarna ofta av<br />
bristfällig konstruktion.<br />
För skyddsnivå 3 och 4 gäller, att i dörr till förvaringsutrymme som inte<br />
ligger inom tillträdesskyddad och larmad byggnad eller anläggning, t ex ett<br />
friliggande vapen- och ammunitionsförråd, måste låsanordning i vara försedd<br />
med säkring mot sprängning, skärning, och inslagning.<br />
183
Bilaga 5:6 Dörrar, portar, luckor mm<br />
Förstärkning av befintliga dörrar<br />
Befintliga dörrar kan i vissa fall förstärkas istället för att bytas ut. Ibland är<br />
ett utbyte omöjligt då befintliga väggar inte klarar belastningen av en ny,<br />
tyngre och kraftigare dörr.<br />
I vissa fall kan en dörr förstärkas genom att en gallergrind monteras innanför<br />
dörren, bl a vid förstärkning av s k säkerhetsarkiv. Detta måste dock noggrant<br />
utredas från fall till fall.<br />
FORTV har konstruerat en kassett för förstärkning av D-dörrar till ammunitionsförråd.<br />
Dessa dörrar finns till huvudkamrarna såväl som till de mindre<br />
separatförvaringsutrymmena. Kassetten monteras på någon dag utan att<br />
förrådet behöver tömmas. Samtidigt modifieras regelverk och lås. Dörren<br />
får härigenom en ökad skyddsnivå, från skyddsnivå 2 till skyddsnivå 3.<br />
Branddörr av plåt/stål, i regel i ungefärlig skyddsnivå 2, exempelvis till<br />
kompani- och plutonsförråd i en kasernbyggnads källarvåning kan förstärkas<br />
till skyddsnivå 3, t ex genom fastsvetsning av stålplåt i minst 4 mm<br />
tjocklek på utsidan av dörren. Två godkända låsenheter i lägst låsklass 5<br />
monteras i dörren åtskilda minst 40 cm. Dörren skall vara försedd med bakkantssäkring.<br />
Det är viktigt att kontrollera att karmen är ordentligt förankrad<br />
i alla omslutningsytor och att dessa har minst skyddsnivå 3. Dessa branddörrar<br />
innehåller ofta en brandskyddande fyllning av asbest varför arbete<br />
som innebär att dörren kan penetreras måste göras av särskilt utbildad personal.<br />
Igensättning av dörrar<br />
Som alternativ till godkänd låsning kan dörr, port eller lucka sättas igen, om<br />
den inte behöver användas som nödutrymningsväg. Man måste dock ta<br />
hänsyn till material och konstruktion. På trä- och metalldörrar används<br />
lämpligast stålvinklar av minst 3 mm tjocklek och 200 mm långa. Dessa<br />
skruvas eller svetsas fast i dörrblad och karm, normalt två på varje långsida.<br />
Om skruvar används skall skruvspåren förstöras.<br />
Industriportar<br />
Industriportar finns i olika utföranden, t ex sidoskjut-, slag- eller takskjutportar.<br />
Motståndsförmågan mot inbrott varierar med konstruktionen. Samma<br />
krav skall gälla som för dörrar och ofta är en bedömning nödvändig från<br />
fall till fall, hur porten skall skyddas eller förstärkas.<br />
Industriportar utförs i regel i skyddsnivå 1 eller, i undantagsfall, i skyddsnivå<br />
2 och kan aldrig uppnå skyddsnivå 3 eller 4. En industriport i skyddsnivå<br />
2 skall på båda sidor ha ett ytskikt av minst 1 mm stålplåt eller liknande<br />
med motsvarande motståndskraft. Fönster eller ljusinsläpp skall ha inkrypningsskydd,<br />
som motsvarar portens motståndskraft.<br />
184
Bilaga 5:6 Dörrar, portar, luckor mm<br />
Under vissa omständigheter kan en industriport kompletteras invändigt<br />
med ett galler, t ex takskjutgaller, varvid tillträdesskyddet för lokalen kan<br />
ökas något.<br />
Luckor och ventilationsintag<br />
Om byggnader har luckor eller ventilationsintag, som medger inkrypning<br />
till byggnaden eller anläggningen skall dessa förses med stålgaller med<br />
minst 20 mm diameter och en maskvidd på högst 100 mm. Detta kan också<br />
gälla för avlopp och vattenintag. Även luckor och ventilationsintag behöver<br />
larmas om övriga omslutningsytor larmas.<br />
185
Bilaga 5:7 Låstyper<br />
Allmänt<br />
Lås indelas, beroende på monteringssättet, i instickslås, infällda lås, utanpåliggande<br />
lås och hänglås.<br />
Instickslås Infällt lås Utanpåliggande lås<br />
Bild B5:1 Olika exempel på lås.<br />
Instickslåset är det vanligaste låset för flertalet dörrar. Det infällda låset förekommer<br />
numera mycket sällan och det utanpåliggande låset finns ibland<br />
på plåtdörrar där instickslås inte kan monteras, samt på dörrar till förvaringsutrymmen,<br />
där låsen i sin tur spärrar ett i dörren placerat regelverk.<br />
Regellås Fallregellås Fallkolvlås Svängregellås<br />
Bild B5:2 Olika exempel på regellås.<br />
På dörrar till viktiga utrymmen får endast regel-, fallregel- eller hakregellås<br />
användas. Regeln skall i låst läge sticka minst 20 mm in i slutblecket.<br />
187
Bilaga 5:7 Låstyper<br />
Tillhållarlås<br />
I tillhållarlås utgörs den spärrande funktionen av metallskivor (tillhållare),<br />
som är placerade inuti låskistan eller låshuset, där de sitter skyddade mot<br />
angrepp med enkla verktyg från utsidan. Vissa lås har även den spärrade<br />
funktionen skyddad med borrskyddande material. I de vanligaste tillhållarlåsen<br />
förekommer 7, 8 eller 9 tillhållare och därmed i ökande antal nyckelvariationer.<br />
En viktig detalj hos tillhållarlåsen är att dessa lås har tvingande låsning.<br />
Nyckeln kan inte tas ur låset annat än då låset är upplåst eller vid låsning,<br />
då låsregeln är utlåst till fullt utlåst läge och är förreglad, vilket innebär<br />
spärrad i utlåst läge. Tillhållarlåset är ett lås, som ofta används som komplement<br />
till cylinderlåset för så kallad nattlåsning.<br />
Tillhållarlås<br />
Bild B5:3 Tillhållarlås kräver tvingande låsning.<br />
188
Cylinderlås<br />
Bild B5:4 Beskrivning av cylinderlås.<br />
Stiftcylinder<br />
Skivcylinder<br />
Bilaga 5:7 Låstyper<br />
Cylinderlåsets spärrmekanism utgörs av stift eller skivor i en låscylinder,<br />
som vanligtvis är monterad utanpå låshuset. Låscylindern kan sticka ut utanför<br />
dörrens plan och skyddas då av ett cylinderbeslag (cylinderring),<br />
vilken skall anpassas till cylindern så att det blir så plan yta som möjligt.<br />
Kontrollera därför alltid att cylinderbeslaget är anpassat till cylindern.<br />
Om cylindern sticker ut mer än 1,5 mm skall cylinderbeslaget bytas, då det<br />
annars är lätt att med en rörtång bryta sönder låset. Cylinderbeslag finns i<br />
olika bredder mellan 6-24 mm. Ett cylinderlås med rund cylinder motstår<br />
brytförsök bättre än ett lås med oval cylinder, eftersom runda cylindrar har<br />
fyra fästskruvar medan en oval cylinder endast har två (2) fästskruvar.<br />
Cylinderlåset kan med fördel användas som ett bekvämt daglås, eftersom<br />
det kan vara försett med fallkolv som manövreras med ett vred på insidan.<br />
Det finns även bra cylinderlås med tvingande låning (regel) och förstärkningstillbehör<br />
för cylindern som extrautrustning. Ett cylinderlås med vred<br />
på insidan utgör i sig en svaghet hos låset. Enbart ett sådant lås är inte en<br />
godkänd låsenhet, varför det måste kompletteras med ett annat godkänt lås<br />
i minst låsklass 3. Detta är speciellt viktigt på dörrar försedda med glasytor.<br />
De vanliga konventionella stiftcylinderlåsen ger en begränsad dyrksäkerhet.<br />
Detta har också beaktats vid framtagandet av moderna cylinderlås med en<br />
dyrksäkerhet, som motsvarar dagens krav på inbrottsskyddande egenskaper.<br />
Ett cylinderlås bör ha minst sju (7) spärrstift.<br />
189
Bilaga 5:7 Låstyper<br />
Bild B5:5 Två olika typer av cylinderbeslag.<br />
Tvåfunktionslås<br />
Tvåfunktionslåset är ett lås som kan låsas på två sätt, dels så att det endast<br />
kan låsas upp med nyckel från båda sidorna av dörren, dels så att det från<br />
insidan av dörren kan öppnas utan nyckel med ett vred.<br />
Bild B5:6 Tvåfunktionslås kan låsas på två sätt.<br />
Vredet kan spärras så att nyckel måste användas även från insidan. Tvåfunktionslås<br />
finns såväl i fallregel-, hakregel- som i regellåsutförande samt<br />
som tillhållar- respektive dubbelcylinderlås. Tvåfunktionslåset är ett ”hemmabekvämt<br />
men bortasäkert” lås.<br />
190
Bilaga 5:7 Låstyper<br />
Smalprofilslås<br />
Smalprofilslåset är ett lås med litet låsdjup och avsett att monteras in i smalt<br />
ramstycke, oftast i aluminiumdörrar. Låset finns som regellås och hakregellås.<br />
Mekaniska kombinationslås<br />
Kombinationslås finns i olika utförande på marknaden. De används huvudsakligen<br />
i flyttbara förvaringsutrymmen (säkerhetsskåp, säkerhetsbox 302,<br />
värdeskåp etc.), men även i valv- och arkivdörrar. Låsen skall, för att få fullgod<br />
dyrksäkerhet, vara utrustade med manipulationsspärr (MP). Kombinationslås<br />
utan MP-spärr bör inte användas på förvaringsutrymmen i<br />
skyddsnivå 3 eller 4. Om dessa lås går sönder, skall de inte repareras utan<br />
bytas ut mot ett MP-lås eller mot ett elektroniskt kombinationslås. Godkända<br />
kombinationslås finns förtecknade i Det Norske Veritas (DNV) lista SBC<br />
158:2.<br />
Elektroniska kombinationslås<br />
Elektroniska kombinationslås får användas i värdeförvaringsenheter, om<br />
låsen finns förtecknade i Det Norske Veritas (DNV) lista SBC 158:2. Elektroniska<br />
kombinationslås är i regel att föredra framför mekaniska kombinationslås.<br />
Elektromekanisk låsning<br />
Elektromekanisk låsning kan ibland ersätta eller komplettera mekanisk låsning.<br />
I begreppet elektromekanisk låsning ingår elektromekaniska slutbleck,<br />
elektromekaniska låscylindrar, motorlås samt motordrivna slutbleck.<br />
Elektromekanisk låsanläggning (elektromekaniskt lås,<br />
elektromekaniskt slutbleck och motorslutbleck m m)<br />
Elektromekaniska lås, s k motorlås och elektromekaniska slutbleck, s k elslutbleck,<br />
används för tids- eller fjärrstyrd öppning och låsning av dörrar till<br />
sektionerade utrymmen och, ibland, entrédörrar. De används även i installationer,<br />
där brandlarm styr låsfunktionen, så att dörren automatiskt låses<br />
upp vid brandlarm.<br />
Systemet med elektromekaniska låsanläggningar har många praktiska fördelar<br />
men även en del säkerhetsmässiga nackdelar. Fördelen med elektromekaniska<br />
slutbleck, s k el-slutbleck är snabbheten vid öppning och låsning<br />
men det finns även många nackdelar. De är enkla att manipulera med chock,<br />
d v s genom att tillföra spänning eller att helt enkelt bryta spänningsmatningen.<br />
Ett elslutbleck uppfyller oftast inte heller de brytkrav som man<br />
191
Bilaga 5:7 Låstyper<br />
ställer på en godkänd låsenhet. Elslutbleck finns idag i nästan alla portar till<br />
flerfamiljshus.<br />
Elektromekaniska lås, s k motorlås är något långsammare än elslutbleck,<br />
även om det idag finns lås som öppnar snabbare än 0,5 s, men det kan också<br />
ta upp till 1,5 s. Det elektromekaniska låset placeras i dörrbladet och kallas<br />
då för motorlås.<br />
En annan typ av elektromekanisk låsning är ett s k motorslutbleck som innebär<br />
att låsningen placeras i karmen. Båda motorlås och motorslutbleck är<br />
driftsäkra och ger god stabilitet.<br />
Motorlås har något högre inbrottsskydd än motorslutbleck och ett mycket<br />
högre inbrottsskydd än elslutbleck. Elektromekaniska låsanordningar måste<br />
dock kombineras med mekaniskt lås för att ge en godkänd nattlåsning. Dörrar<br />
i byggnaders skalskydd skall därför i regel alltid nattlåsas med ett<br />
mekaniskt lås.<br />
För installation av elektromekanisk låsanläggning för entrédörrar och sektioneringar<br />
bör reglerna i Svenska Stöldskyddsföreningens ”Projektering<br />
och installation av elektromekanisk låsanläggning (SSF 210)” följas.<br />
Slutbleck, inkl säkerhetsslutbleck<br />
Säkerhetsslutbleck<br />
Snedställda<br />
skruvar<br />
Bild B5:7 Säkerhetsslutbleck försett med skyddskåpa.<br />
Slutbleck är ett beslag för montering i karmen för att förstärka denna vid<br />
kolvurtaget. Säkerhetsslutblecket är försett med skyddskåpa, som omsluter<br />
spärrande kolvars vertikala sidor i utlåst läge och skyddar dessa för mekanisk<br />
åverkan såväl framifrån som från sidan. Ett säkerhetsslutbleck har<br />
192
dessutom två eller flera snedställda skruvar, som skall vara monterade för<br />
att öka brytmotståndet ytterligare.<br />
Dörrförstärkningsbehör<br />
Bild B5:8 Exempel på dörrförstärkningsbehör<br />
För att ytterligare förstärka låsenheten och förbättra brytsäkerheten kompletteras<br />
låset med ett s k dörrförstärkningsbehör. Dess uppgift är att minska<br />
risken för att dörren spricker eller spjälkas upp vid ett brytförsök, samt förhindra<br />
att låset vrids ut ur urtaget i dörren. Dörrförstärkningsbehör skall<br />
vara godkända av behörigt certifieringsorgan. Dörrförstärkningsbehören<br />
monteras utanpå låshuset, på ömse sidor om dörren och med genomgående<br />
skruv som förstärkning, på bl.a slagdörrar av trä eller metallramsdörrar och<br />
med skruvskallarna på dörrens insida.<br />
Brytskydd i aluminiumdörr<br />
Aluminiumdörr Utgående brytskydd Ingående brytskydd<br />
Bild B5:9 Exempel på brytskydd i aluminiumdörr<br />
Bilaga 5:7 Låstyper<br />
Speciella aluminiumprofiler kan också monteras längs hela karmen mot<br />
dörrens öppningsyta. Hävstångspunkten flyttas på så sätt ut och detta eliminerar<br />
kraften i bryttaget. Om dörrspringan är större än 3 mm kan profilen<br />
kombineras med en T-formad list för att täcka springan.<br />
193
Bilaga 5:7 Låstyper<br />
Bakkantssäkring<br />
Stålstift<br />
Karm<br />
Bakkantssäkring Stiftad dörr<br />
Bild B5:10 Exempel på bakkantssäkringar<br />
Dörrblad<br />
Bakkantssäkring är ett beslag eller stålstift som i stängt läge skall spärra utåtgående<br />
dörr eller fönsters bakkant i karmen. Dörrar till viktiga lokaler skall<br />
förses med två bakkantsbeslag. Om stålstift används, skall dessa monteras i<br />
karmen, ett i varje gångjärn, som griper in i hål i dörrens motsvarande gångjärnshalva.<br />
Gångjärn, även tappbärande sådana, betraktas inte som bakkantssäkring.<br />
Godkänd låsenhet<br />
Vid montering av låsenhet skall alltid tillverkarens anvisningar följas. En<br />
låsenhet består av godkänt lås, godkänt säkerhetsslutbleck och, i förekommande<br />
fall, ett godkänt dörrförstärkningsbehör och skall uppfylla fordringarna<br />
i SSF 200:3 och Svensk Standard SS 3522. I låsenheten ingående delar<br />
skall, var och en för sig, uppfylla lägst klass 3.<br />
Låsenheter för utrymmen som innehåller skjutvapen eller ammunition skall<br />
alltid uppfylla lägst låsklass 5.<br />
Låsklasser<br />
Svenska Stöldskyddsföreningens norm , SSF 200:3, indelar lås i följande låsklasser:<br />
Låsklass 1 Låsenhet för användning där inga krav på inbrottsskydd finns.<br />
Låsklass 2 Låsenhet för användning där inga krav på inbrottsskydd finns.<br />
194
Låsklass 3 Låsenhet för användning där kraven på inbrottsskydd är väsentligare<br />
än kravet på snabb utrymning.<br />
Låsklass 4 Låsenhet för samma användningsområde som klass 3 men<br />
med borrskydd för låshuset och med kraftigare dörrförstärkning.<br />
Hänglåsbeslag<br />
Hänglås skall, framför allt vid utomhusmontering, alltid användas tillsammans<br />
med ett hänglåsbeslag, som skall får vara av minst samma kvalitet och<br />
klass som hänglåset. Hänglåsbeslaget skall inte kunna skruvas loss då låset<br />
är i låst läge. Även hänglåsbeslag skall vara provade och godkända.<br />
På marknaden finns speciallösningar bl.a för de moderna bulthänglåsen.<br />
Hänglåset byggs då in i en skyddskåpa av varierande utformning. Exempelvis<br />
kan det kapslas in i bygeln på ett beslag eller en låsbom, så att det blir<br />
helt omöjligt att komma åt låset med brytverktyg eller bultsax. De kan även<br />
nyttjas på containrar och stora industrigrindar.<br />
Bild B5:11 Exempel på hänglåsbeslag.<br />
Bilaga 5:7 Låstyper<br />
195
Bilaga 5:7 Låstyper<br />
Hänglås<br />
Bygelhänglås<br />
Bild B5:12 Två exempel på hänglås.<br />
Bulthänglås<br />
Hänglås är ett löst lås, som anbringas på dörrar, grindar eller bommar där<br />
fasta lås inte kan monteras. Nackdelen med hänglås är att de hänger fritt, är<br />
oskyddade mot angrepp och därför lätt kan angripas med lämpliga brytoch/eller<br />
klippverktyg. Det är frestande att köpa ett billigt lås, som ser starkt<br />
ut och det är svårt att med blotta ögat avgöra om det är starkt nog för sitt<br />
ändamål.<br />
Generellt kan man säga att både låshus och bygel skall vara konstruerade i<br />
härdat stål, om låset skall vara tillförlitligt. Ofta står det ”härdat stål” instämplat<br />
på låset, men det kan då i vissa fall endast gälla bygeln, medan<br />
låshuset är i mässing. Mässing är ett material som det är lätt att såga i. Det<br />
är dessutom känsligt för kyla, vilket innebär att det är möjligt kan frysa ned<br />
låset och sedan spräcka det med en hammare eller slägga. Billigare lås är<br />
dessutom oftast lätta att dyrka upp eller manipulera på annat sätt.<br />
196
Bild B5:13 Bygeln på hänglåset ska anpassas till kedjans bredd.<br />
Hänglås finns med tjocka, smala, korta eller långa byglar. Se alltid till att<br />
bygeln anpassas för sitt ändamål. Om den är för lång och sticker utanför<br />
hänglåsbeslaget är det lättare att komma åt med ett brytverktyg eller bultsax.<br />
Några fabrikanter har tagit fram specialdesignade hänglås, s k bulthänglås,<br />
där bygeln har en minimal exponeringsyta. Ett bulthänglås är mycket bättre<br />
skyddat mot angrepp än ett bygelhänglås.<br />
Hänglåsklasser<br />
Bilaga 5:7 Låstyper<br />
Klass 1 Hänglås avsedda för användning inomhus, där krav på inbrottsskydd<br />
är låga.<br />
Klass 2 Hänglås avsedda för användning både inomhus och utomhus<br />
med begränsat krav på inbrottsskydd.<br />
Klass 3 Hänglås avsedda för användning både inomhus och utomhus<br />
med begränsade, men något högre krav på inbrottsskydd än i<br />
klass 2.<br />
Klass 4 Hänglås avsedda för användning både inomhus och utomhus<br />
för låsning av särskilda objekt, där det ställs krav på hög säkerhet.<br />
Klass 5 Hänglås avsedda för användning både inomhus och utomhus<br />
för låsning av särskilda objekt, där det ställs krav på mycket hög<br />
säkerhet.<br />
Hänglåsklasserna är inte att jämföra med låsklasserna för vanliga lås utan<br />
har ett lägre motstånd mot angrepp.<br />
Hänglås skall inte användas på dörrar, där fasta lås kan monteras och de bör<br />
inte ingå i låssystem. Ett hänglås får aldrig användas som huvudlås i skyddsnivåerna<br />
3 eller 4, utan då endast för att låsa exempelvis ett överfall/en<br />
låsbom vid dörren. Ett hänglås som används för utvändig låsning av portar,<br />
dörrar och luckor bör alltid vara i minst en låsklass högre än om de använts<br />
för motsvarande invändig låsning.<br />
197
Bilaga 5:7 Låstyper<br />
Låsning av utrymningsvägar<br />
Svensk byggnorm anger att dörrar i utrymningsvägar skall vara utåtgående<br />
i utrymningsriktningen och att de skall vara öppningsbara utan nyckel eller<br />
annat redskap. Vissa undantag från denna regel kan förekomma i militära<br />
befästningar, där nyckeln kan förvaras i speciella behållare med skyddsglas,<br />
som krossas vid nödutrymning. Räddningschef är skyldig att ge anvisningar<br />
och regler, så att byggnaden eller anläggningen motsvarar kraven på rimlig<br />
personsäkerhet vid brand.<br />
När det gäller inbrottsskydd är kravet godkänd låsning. Detta innebär att<br />
upplåsning från insidan endast är möjlig med nyckel. De som vistas i en<br />
byggnad har dessutom krav på intrångsskydd på grund av risken för personligt<br />
våld, stöld eller spionage. Dessa krav verkar omöjliga att förena med<br />
krav på en snabb utrymning av en byggnad, men så är i regel inte fallet. Ett<br />
högt krav på inbrottsskydd gäller då byggnaden är stängd och inga personer<br />
vistas där. Man kan därför i de flesta fall lösa problemet genom att dagrespektive<br />
nattlåsa.<br />
Daglåsning ger utrymningssäkerhet och nattlåsning ger ett ökat inbrottsskydd.<br />
Det är därför mycket viktigt att nattlåsningen bryts, då utrymningssäkerhet<br />
måste upprätthållas. För att säkerställa detta kan man genom en s k<br />
upplåsningskontroll koppla låsen till belysningen, maskiner eller andra väsentliga<br />
funktioner, så att det inte går att påbörja verksamheten innan<br />
utrymningsvägarna är upplåsta. Andra lämpliga lösningar kan användas<br />
från fall till fall. Rådgör med räddningschefen i kommunen vid tveksamheter.<br />
Då det gäller större heltäckande dörrar i verkstäder, förråd och lagerlokaler<br />
kan de på insidan förses med garage- eller spanjolettreglar, som hålls spärrade<br />
med nödutrymningsbehör eller på med en annat sätt lätt brytbar<br />
plombering.<br />
Det är viktigt vid all låsning med spanjolettlås monterade på dörren/portens<br />
insida att de yttre stångregelfästena är monterade på ett kraftigt och inbrottssäkert<br />
sätt. På trädörrar kan de monteras med genomgående vagnsbult<br />
och på plåt- eller ståldörrar med svets. Nattlåsning kan ske med ett eller flera<br />
kraftiga hänglås i lägst låsklass 3 varvid hänglåsen monteras invändigt.<br />
Vid låsning av nödutrymningsvägar med lås som manövreras med vred från<br />
insidan, är det viktigt att låsets vred inte kan påverkas genom en krossad<br />
dörruta, sidofönster eller annan öppning. Glasytor på dörrar, sidofönster<br />
eller andra öppningar i anslutning till nödutrymningsvägarna bör därför<br />
sättas igen eller förses med säkerhetsglas i klass B 3 enligt SS 22 44 25 eller<br />
P8B enligt den nya svensk-europeiska standarden SS-EN 356 alternativt specialglas<br />
(polykarbonat eller motsvarande).<br />
198
Bilaga 5:8 Glas<br />
Allmänt<br />
Glas i fönster kan bestå av vanligt fönsterglas, härdat glas, laminerat glas<br />
eller polykarbonat eller kombinationer av dessa. Polykarbonat är egentligen<br />
inte glas utan ett plastfabrikat, ofta benämnt plexiglas.<br />
Härdat glas<br />
Härdat glas är vanligt floatglas, som hettas upp och hastigt kyls ner. Genom<br />
denna process blir glaset ungefär fem gånger starkare än vanligt glas. Om<br />
glaset brister, splittras det i små, ofarliga bitar, jämförbart med glas i bilarnas<br />
vindrutor.<br />
Laminerat glas<br />
Laminerat glas består av två eller flera glasskivor som är förenade med en<br />
plastfolie mellan glasen. Folien smälts samman med glasen under hög värme<br />
och stort tryck. Själva glaset är inte starkare än vanligt glas. Dess egenskaper<br />
som säkerhetsglas sitter istället i lamineringen. Om glaset krossas, hålls det<br />
samman av plastfolien och därmed elimineras kringflygande glassplitter.<br />
Genom att laminera härdat glas kombinerar man de båda glasytornas egenskaper.<br />
Det finns också glas med larmtrådar insmälta i glaset. När glaset<br />
krossas utlöses ett larm.<br />
Säkerhetsglas/skyddsglas<br />
Säkerhetsglas är ett gemensamt begrepp för glas, som kan användas för en<br />
mängd olika områden, alltifrån skydd mot personskada till skydd mot inbrott,<br />
beskjutning, sprängning eller strålning. Begreppet står alltså inte alltid<br />
för det vi menar med säkerhet, nämligen inbrottsskydd eller skydd mot beskjutning.<br />
En bättre benämning är skyddsglas.<br />
Man kan dela in glas i åtta säkerhetsområden, med vedertagna i normer och<br />
standarder och här berörs några av dessa. Glas klassificeras i svensk standard<br />
SS 22 44 25 och SS 22 44 55 och i de nya svensk-europeiska standarderna<br />
SS-EN 356 respektive SS-EN 1063.<br />
Glas till skydd för personsäkerhet<br />
Glas för personsäkerhet (SS 22 44 55) är indelat i säkerhetsklass F1-F3 och<br />
kan bestå av laminerat eller härdat glas. Härdat glas används exempelvis i<br />
entrédörrar till fastigheter för att förhindra personskada om någon skulle<br />
199
Bilaga 5:8 Glas<br />
falla igenom dörren. Om glas däremot sitter som skydd på en balustrad eller<br />
trappa, används härdat laminerat glas, vilket gör att rutan fortfarande håller<br />
samman om den skulle krossas. Glaset utgör inget skydd mot inbrott eller<br />
vandalisering.<br />
Glas till skydd mot intrång och tillgrepp<br />
Glas till skydd mot intrång och tillgrepp (SS 22 44 25 samt den svensk-europeiska<br />
standarden SS-EN 356) är indelat i ett antal säkerhetsklasser och<br />
består av laminerat glas. Vid flera slag mot fönstret kan det dock till slut<br />
krossas.<br />
Glas för skydd mot inbrott (SS 22 44 25 samt svensk-europeisk standard SS-<br />
EN 356) är indelade i ett antal säkerhetsklasser och består av laminerat glas,<br />
som med sin seghet kräver omfattande åverkan för att forceras. Glasen tillverkas<br />
som enkelglas eller isolerrutor med eller utan larmslingor.<br />
För lokaler i skyddsnivå 2-3 skall glas/fönster alltid utgöras av klass B 3<br />
enligt SS 22 44 25, kategori P8B enligt SS-EN 356 eller 10 mm polykarbonat<br />
alternativt förses med galler i lägst klass 3 enligt den s k FF-normen.<br />
Glas till skydd mot beskjutning<br />
Begreppet ”skottsäkra glas” finns inte. Den riktiga benämningen är glas till<br />
skydd mot beskjutning (SS 22 44 25 samt den Svensk-Europeiska Standard<br />
SS-EN 1063), som är anpassade för en väl definierad hotbild. Glaset skall<br />
skydda mot ett begränsat antal projektiler och från ett bestämt vapen med<br />
en viss specifik ammunition. Beteckningar som skottsäkert glas eller pansarglas<br />
kan ge personalen innanför glaset en falsk trygghetsuppfattning.<br />
Glasen som används är laminerade, där glas och folietjocklekar kombineras<br />
på olika sätt beroende på typ av förväntat hot. Eftersom kraven på beskjutningsskyddande<br />
glas är mycket höga, klarar dessa också normalt kraven för<br />
inbrottsskydd, vandalisering och explosioner utan några förändringar.<br />
Nackdelen med beskjutningsskyddande glas är att de är tjocka och därmed<br />
dyra och tunga. För att glasen skall kunna motsvara angivna prestanda, är<br />
det av yttersta vikt att de monteras korrekt enligt tillverkarens anvisningar.<br />
Glas till skydd mot beskjutning indelas, vad avser standarden SS 22 44 25 i<br />
klasserna C1-C5, och vad avser standarden SS-EN 1063 i klasserna BR1-BR7.<br />
BR står för “Bullet Resistant”. Klassificeringen görs genom provskjutning<br />
med olika typer av vapen på olika avstånd och med olika typer av ammunition.<br />
Förutom dessa klasser delas glasen in i splitteravgivande (SA) och splitterfritt<br />
(SF). Även om det beskjutningssäkra glaset stoppar kulan, finns det risk<br />
för splitterskador på personer bakom glaset. Om beskjutningsskyddande<br />
200
glas skall monteras i vaktlokaler eller s k skyddade fordon bör glaset i dessa<br />
vara SF-glas.<br />
Begreppet SF (splitterfrifritt) ersätts alltmer av NS, där NS står för “No<br />
Splinter”.<br />
Säkerhetsklass enligt<br />
SS 22 44 25<br />
Säkerhetsklass enligt<br />
SS-EN 1063<br />
Beskrivning av skydd mot<br />
vapentyp , kaliber,<br />
skjutavstånd<br />
- BR1 22. long gevär<br />
Skjutavstånd 5 m.<br />
C1 BR2 9 mm pistol<br />
Skjutavstånd 5 m.<br />
C2 BR3 .357 Magnum<br />
Skjutavstånd 5m.<br />
C3 BR4 .44 Magnum<br />
Skjutavstånd 5 m.<br />
C3-C4 BR5 5,56 mm automatkarbin (AK<br />
5)<br />
Skjutavstånd 10 m<br />
C4 BR6 7,62 mm automatkarbin (AK<br />
4)<br />
Skjutavstånd 10 m<br />
C4-C5 BR6-BR7 5,56 mm automatkarbin (AK<br />
5), hård kärna, s k AP-ammunition<br />
(Armour Piercing, dvs<br />
pansarbrytande ammunition).<br />
Skjutavstånd 10 m<br />
C5 BR7 7,62 mm automatkarbin (AK<br />
4), hård kärna, s k AP-ammunition<br />
(Armour Piercing, dvs<br />
pansarbrytande ammunition).<br />
Skjutavstånd 10 m<br />
Bilaga 5:8 Glas<br />
Glas till skydd mot explosioner<br />
Glas till skydd motexplosioner indelas, vad avser standarden SS 22 44 25 i<br />
klasserna D1-D4, och i den nya standarden SS-EN 13541 i klasserna EXR 1-5.<br />
EXR står för “Explosive resistant”. Här måste man göra bedömningar avseende<br />
mot vilken tryckvåg man vill skydda sig mot för att kunna välja rätt<br />
glasklass.<br />
Specialglas<br />
Det finns fönsterrutor som är en kombination av polykarbonat och glas med<br />
epoxilim mellan skikten. De är starkare än vanligt lamellglas och väger 30%<br />
201
Bilaga 5:8 Glas<br />
mindre samt släpper igenom betydligt mer ljus. Glaset är dock dyrt att framställa<br />
och är idag inte provat och certifierat.<br />
Man kan också placera en polykarbonatskiva mellan två glasrutor i luftspalten<br />
på fönstret eller i särskild metallram på insidan av fönster och fönsterkarm<br />
för att på så sätt öka intrångsskyddet. Det är även här viktigt att<br />
polykarbonatskivan monteras på ett riktigt sätt och har en tjocklek på minst<br />
10 mm, för att på ett godtagbart sätt skydda mot såväl inbrott som vandalisering.<br />
En 10 mm polykarbonatskiva kan motståndsmässigt ungefär jämföras<br />
med glas i klass B 3.<br />
Plastfilm<br />
Förutom säkerhetsglas finns på marknaden plastfilmer som kan fästas på<br />
den befintliga glasrutans insida som inkastnings- och splitterskydd. Observera<br />
att dessa plastfilmer inte får betraktas som inbrottsskydd, utan hänförs<br />
till kategorin vandaliseringsskydd och då högst motsvarande säkerhetsklass<br />
A1. Plastfilmerna finns under olika namn, t ex Profilon, Armorcoat och<br />
Scotchshield Safety Film, m fl. Monteringen måste utföras av kvalificerade<br />
montörer för att ge avsett resultat.<br />
202
Bilaga 5:9 Inhägnader/områdesskydd<br />
Allmänt<br />
Staket och grindar är till för att försvåra intrång till objekt och anläggningar.<br />
De utgör även en juridisk gräns, som ger förutsättningar för att sanktioner<br />
skall kunna vidtas mot inkräktare. De lokala förhållandena får avgöra vilken<br />
typ av inhägnad som skall användas. Att avgränsa ett område för att markera<br />
tillträdesförbud kan ske med ett enkelt trådstaket och i vissa fall kompletterat<br />
med förbudsskyltning. Vill man däremot försvåra ett inträngande måste<br />
andra åtgärder vidtas.<br />
Exempel på inhägnader/områdesskydd<br />
Områdesskydd kan indelas i fyra klasser:<br />
• Att avgränsa ett område för att markera tillträdesförbud kan ske med ett<br />
enkelt trådstaket, i vissa fall kompletterat med förbudsskyltning, s k juridisk<br />
gräns.<br />
• När kravet på säkerhet är relativt lågt, dvs när man skall skydda mindre<br />
stöldbegärlig materiel eller när man av annan anledning bedömer att risken<br />
för intrång är liten, räcker det ofta med ett basskydd. Stängsel bör<br />
vara 220 cm högt, varav de översta 20 cm bör bestå av minst två (2) överliggande<br />
taggtrådar samt grindarna vara låsbara och försedda med avlyftningsskydd.<br />
• Vid behov av en säker in- och utpassering samt för att få en tidig indikation<br />
på att någon försöker ta sig in på området behövs ett skyddssystem<br />
av medelhög säkerhet. Tillträdesbegränsningen kan här kompletteras<br />
med ett stängsel 220-400 cm högt. Detta kan kompletteras med elektroniskt<br />
stängsellarm, larmbarriärer, bemannad vaktlokal, reglerade tidsoch<br />
behörighetszoner, induktiva slingor, och TV-övervakning m.m. För<br />
att in- och utpassering skall bli säker bör fotgängare använda rotationsgrindar<br />
försedda med passerkontroll-system. Fordonstrafik kontrolleras<br />
på ett säkert sätt via automatiskt styrda grindar och bommar i kombination<br />
med trafikljus. Vid behov kompletteras inkörningsskyddet vid grindar<br />
och bommar med påkörningsskydd i form av höj- och sänkbara<br />
pollare, eller motsvarande. Stängslet/inhägnaden kan behöva kompletteras<br />
med skydd för genomkörning, exempelvis i form av betonghinder,<br />
vägräcke, balkar eller, i staketet inbyggda, vajrar eller balkar.<br />
• När kravet på säkerhet är mycket högt är det nödvändigt med ett områdesskydd<br />
med hög säkerhetsnivå. Ett effektivt skydd skall vara trovärdigt<br />
samt tidskrävande och svårt för en inkräktare att forcera utan upptäckt.<br />
<strong>Skydd</strong>ssystemet skall vara så utformat, att det dels ger ett fullgott skydd<br />
203
Bilaga 5:9 Inhägnader/områdesskydd<br />
mot intrång, dels garanterar en säker passerkontroll. <strong>Skydd</strong>et kan bestå<br />
av minst två fysiska hinder med ett rörelselarm mellan dessa. Det yttre<br />
hindret skall vara minst 3 m högt med överliggande taggtråd samt ha<br />
elektroniskt larm. Det inre hindret skall vara 4 m högt med överliggande<br />
taggtråd, och skall vara svårast att forcera. Det måste orsaka inkräktaren<br />
en sådan fördröjning, att det finns tid för effektiva motåtgärder. <strong>Skydd</strong>et<br />
kan kompletteras med TV-övervakning. Stängslet/inhägnaden bör kompletteras<br />
med skydd för genomkörning, t ex i form av betonghinder,<br />
vägräcke, balkar eller i staketet inbyggda vajrar eller balkar.<br />
Oavsett vilken typ av inhägnad som används kan den alltid forceras med<br />
lämpliga hjälpmedel. En rätt planerad och väl utförd inhägnad är emellertid<br />
ett gott hjälpmedel i bevakningstjänsten. Ett stängsel hindrar inte bara en<br />
yttre angripare, det kan även vara ett medel för att försvåra internstölder.<br />
Några av de vanligaste kraven på en god inhägnad:<br />
• Stolpar, stag och stöttor utförs så att de inte underlättar ett överklättrande.<br />
Inbördes avstånd mellan stolpar bör inte överstiga 3 m. Hörnstolpar bör<br />
förses med påkörningsskydd.<br />
• Området närmast inhägnaden friläggs från träd, buskar och ledningsstolpar.<br />
• Upplag med tomlådor och containrar eller cykelställ får inte finnas intill<br />
inhägnaden.<br />
• Upplagda/uppschaktade jordhögar etc. får inte finnas i anslutning till<br />
inhägnaden.<br />
• Inhägnaden skall följa markens kurvor och vid känsliga ställen, såsom vid<br />
diken och järnvägsspår, bör det vidtas speciella anordningar för att förhindra<br />
möjligheten att krypa under.<br />
204
Bild B5:1 Exempel på hinder mot underkrypning.<br />
Bild B5:2 Inhägnader vid vatten eller kajanläggning.<br />
Bilaga 5:9 Inhägnader/områdesskydd<br />
Vid inhägnadens avslutning mot vatten eller kajanläggningar bör stängslet<br />
gå ut över vattnet till ett minsta vattendjup av 1,5-2 m och vara så utformat<br />
att det inte medger möjlighet att klättra över.<br />
205
Bilaga 5:9 Inhägnader/områdesskydd<br />
Bild B5:3 Grindar försedda med avlyftningsskydd.<br />
Grindar skall vara väl inpassade och försedda med avlyftningsskydd samt<br />
ha samma höjd som staketet. Elektriskt manövrerade grindar bör kunna<br />
manövreras manuellt vid elavbrott och kunna låsas med godkänt mekaniskt<br />
regellås eller hänglås. Under icke tjänstetid bör elektriskt manövrerade grindar<br />
alltid låsas mekaniskt, detta i syfte att förhindra genomkörning.<br />
Låsanordningar skall om möjligt ha fasta inmonterade lås och anpassas till<br />
det intrångsskydd som inhägnaden i övrigt ger.<br />
Inhägnader bör dessutom vara estetiskt tilltalande och så utförda att personskador<br />
inte orsakas i onödan. Således bör taggtrådsstängsel i markhöjd<br />
inte användas i ett område som är livligt frekventerat av allmänheten.<br />
En inkräktare vill ofta ha avskildhet. Allt som ökar insynen och risken för<br />
upptäckt är därför brottsförebyggande. Strålkastare och belysning på kvällar<br />
och nätter är en bra metod. Undvik också indragna portar och entréer samt<br />
ymnig växtlighet intill fasader. Byggnadsställningar, byggbodar, containrar<br />
eller stora parkerade bilar intill inhägnaden/staketet ger brottslingen ytterligare<br />
hjälp vid intrångsförsöket.<br />
206
Bilaga 5:10 Larm<br />
Polisen införde i början på nittiotalet nya regler om teknisk utformning av<br />
inbrottslarmanläggningar med krav på så kallad A- och B-larmteknik. Detta<br />
medförde en avsevärd minskning av de onödiga larmen (fellarmen) och gav<br />
upphov till ett väsentligt lägre antal polisutryckningar. Principen för A- och<br />
B-larm är att det första larmet, B-larmet, gör att man avvaktar och sänder<br />
väktare till platsen. Först när ett ytterligare larm, A-larm, kommer från en<br />
annan detektor sänds polis till platsen. För att uppfylla kraven för A-larm<br />
måste alltså två skilda larmindikationer erhållas.<br />
Flera fabrikanter av detektorer har tagit fasta på detta. Därför finns det idag<br />
i marknaden kombinationsdetektorer, som genom att två detektorer sammanbyggda<br />
i en, ger två av varandra oberoende larm. Det finns olika<br />
varianter men de vanligaste är IR- och mikrovågsdetektorer.<br />
Polisen har, med undantag för personlarm, i de flesta fall inte resurser för<br />
att ta emot och reagera på larm från försvarsmaktens anläggningar.<br />
Lokallarmanläggningar<br />
Lokala larmanläggningar, s k ”skrämsellarm” har till uppgift att vid inbrott<br />
skrämma brottslingen samt att påkalla allmänhetens uppmärksamhet. Larmanläggningen<br />
har då endast sirener inom- eller utomhus, men larmet<br />
terminerar inte till någon larmcentral. Detta kan fungera i bebyggelse och<br />
om brottslingarna är föga rutinerade och erfarna. Mer målinriktade kriminella<br />
lär dock inte påverkas i nämnvärd omfattning av installerade lokallarm.<br />
Lokallarm skall inte installeras i objekt som innehåller värdefull<br />
utrustning, vapen eller ammunition. Dessa larm kan också ge upphov till<br />
sanitär olägenhet och bör därför utrustas med ett tidsstyrt relä, som begränsar<br />
larmsignalens varaktighet.<br />
Centrallarmanläggningar<br />
Centralanslutna eller tysta larmsystem skiljer sig från lokala främst genom<br />
att tjuven vid ett inbrott inte märker att ett larm har utlösts. I dessa larmanläggningar<br />
finns normalt inga sirener eller liknande, utan larmet överförs till<br />
bemannad vakt eller larmcentral. Insatsstyrkan har då möjlighet att överraska<br />
och gripa brottslingen på bar gärning. I vissa fall kan det dock vara<br />
lämpligt att kombinera lokal- och centrallarm.<br />
Val av utrustning skall ske beroende på omfattning av detektorer i anläggningen<br />
samt möjlig personell larmmottagning.<br />
207
Bilaga 5:10 Larm<br />
Centralutrustningen skall placeras inom utrymme som är mekaniskt skyddat<br />
och inbrottslarmskyddat. Händelser bör kontinuerligt skrivas ut på<br />
loggskrivare. Minst fyra behörighetsnivåer bör finnas i systemet för, i prioritetsordning,<br />
informationsägare, servicetekniker, operatör och bevakningspersonal.<br />
Vid stora system med presentationsutrustning i form av separat<br />
dator med bildskärm för bilder i färggrafik bör operationssystemet vara PCbaserat.<br />
Enskilda detektorer eller grupper av detektorer bör kunna programmeras<br />
i sektioner eller zoner för lättare till- och frånkoppling i<br />
anläggningen. En reservkraftkälla för drift under minst fyra timmar bör finnas.<br />
När det gäller fristående objekt som innehåller stort kapitalvärde, vapen<br />
eller ammunition, bör batteribackup finnas för upp till 72 timmar.<br />
Larmöverföringssystem<br />
Larmöverföringssystem kan även kallas för transmissionssystem.<br />
Larmöverföringar kan indelas i:<br />
• fast uppkopplad förbindelse<br />
• uppringande förbindelse<br />
• trådlös förbindelse<br />
• överföring via elnät.<br />
En fast uppkopplad förbindelse eller direktanslutning innebär att larmöverföringen<br />
sker via förhyrd ledning i TeliaSoneras eller i andra leverantörers<br />
nät eller i <strong>Försvarsmakten</strong>s egna nät (FTN). Den är ansluten mellan larmsändaren<br />
vid objektet och mottagningsutrustningen vid vakt eller larmcentral.<br />
För att skydda överföringen mot manipulation finns det olika metoder att<br />
övervaka ledningen, t ex ton-frekvenskontroll eller frekvensmodulerad<br />
pulssignalering. Det finns också utrustning så att man från larmcentralen<br />
kan styra utrustning vid objektet, t ex starta övervakningskameror eller tända<br />
belysning.<br />
Ett alternativ till fast uppkopplade förbindelser, som ställer sig relativt dyra,<br />
är uppringande förbindelse, som genom en robottelefon (robofon) nyttjar ett<br />
vanligt abonnemang via tråd, mobiltelefon eller via Mobitex.<br />
Vid ett utlöst larm ringer sändaren upp ett i förväg inprogrammerat nummer<br />
och lämnar ett meddelande. Mottagare kan vara en vanlig telefon, mobilsökare<br />
eller speciell, PC-baserad, mottagningsutrustning. För att skydda informationen<br />
kan och bör kryptering införas.<br />
Svagheterna med systemet är att en kontinuerlig ledningsövervakning saknas,<br />
att överföringen kan saboteras och att överföringen i systemet kan vara<br />
relativt långsam.<br />
208
Bilaga 5:10 Larm<br />
Det är viktigt vid val av nummerslagare (robofoner) att ledningsövervakningen<br />
blir tillfredsställande. Det kan ske genom kontrollringning, s k ”pollning”,<br />
dvs att sändaren med jämna mellanrum ringer in ett testmeddelande<br />
till mottagarutrustningen. Om ett meddelande uteblir, utlöses ett larm. Vid<br />
medveten linjeblockering kan uppringningen vändas, så att larmsändaren<br />
blir uppringd om förbindelsekontrollen inte har skett på utsatt tid. Detta<br />
kallas pendlande uppringning. Larmsändaren kan ges ett alternativnummer<br />
om mottagarens telefon i blockeringssyfte är upptaget.<br />
Larmsändaren kan sända ett krypterat identifieringsnummer till mottagaren.<br />
Detta nummer förändras efter en förprogrammerad algoritm.<br />
Personsökare och Mobitex<br />
Förutom larmöverföring via mobiltelefonnät etc, kan överföring ske med<br />
personsökningsfunktion, typ Minicall och HERMES. Vid mobiltelefonöverföring<br />
kan ibland nyttjas SMS eller syntetiskt tal.<br />
FM har anskaffat Mobitex som sambandsmedel, främst för sjukvårds- och<br />
transportledning. Utrustningen har viss inbyggd kryptofunktion, dock bara<br />
i signalskyddsgrad RESTRICTED (SG R). Mobitex är en mobil datakommunikation,<br />
där data överförs via radio. Mobitexnätet är ett publikt nät, som<br />
drivs av TeliaSonera och är i stort sett rikstäckande. <strong>Försvarsmakten</strong> har<br />
härmed möjligheten att på ett säkert sätt utnyttja Mobitex som överföringssystem<br />
vid larmning av viktiga förråd och objekt.<br />
Mobitex nyttjas, tillsammans med fast teleförbindelse eller GSM, bl a för<br />
överföring av larm från objekt som larmats med FM 2000-larm.<br />
Planering av inbrottslarm<br />
Vid all projektering av inbrottslarm skall hotbilden och säkerhetsanalysen<br />
vara styrande för larmets utformning och ligga som grund för vidare planering.<br />
Det befintliga skalskyddet, personalen, larmmiljön och de tekniska<br />
möjligheter som finns samt vilken verksamhet som bedrivs vid objektet,<br />
måste också vägas in i planeringen.<br />
Det befintliga skalskyddet kan påverka både omfattningen av och kvaliteten<br />
på larminstallationen. Även in- och utpasseringsteknik påverkar och är<br />
också beroende av befintliga säkerhetsrutiner. Här kan arbetstider, besökare<br />
och flödesvägar för personal, materiel och fordon, påverka utformningen.<br />
Vilka ansvars- och tillträdesområden som skall finnas måste planeras. Byggnadskonstruktionen<br />
kan också utesluta viss teknik, men även inredningsdetaljer<br />
kan försvåra placering av exempelvis volymdetektorer.<br />
Valet av detektorer är beroende av omslutningsytornas konstruktion och<br />
utformning. Platsgjutna eller prefabricerade betongväggar, stålväggar,<br />
209
Bilaga 5:10 Larm<br />
träväggar eller glasytor kan kräva speciella detektorer, som är utformade för<br />
sitt speciella arbetsområde. I den tekniska faktorn ligger även projektering<br />
av ledningsnätet. Kan detta läggas inom larmat område eller måste det förses<br />
med sabotageskydd? Vilka vägar finns för ledningsdragning? Hur stor batteribackup<br />
skall finnas?<br />
Grundkrav vid projektering av larm bör vara:<br />
• så tidig larmindikering som möjligt, d v s larmning bör ske av byggnadens<br />
skalskydd<br />
• ett välanpassat mekaniskt tillträdesskydd, som skall förlänga angreppstiden<br />
• att åtgärdssidan måste kunna avbryta forceringen innan ett intrång har<br />
skett<br />
• att betrakta varje objekt för sig<br />
• att påverka så tidigt som möjligt vid ny- eller ombyggnad.<br />
Olika typer av inbrottslarm<br />
Inbrottslarm installeras för att så exakt och tidigt som möjligt indikera var<br />
och när i byggnaden eller vid vilket objekt inbrott/inbrottsförsöket sker eller<br />
har skett. Förutom konventionella system finns idag så kallade adresserbara<br />
system som innebär att indikering och styrning kan ske på detektornivå.<br />
Dessa system har fördelar jämfört med ett förenklat ledningsnät med digital<br />
signalering och det är dessutom ett automatiskt övervakat och sabotageskyddat<br />
nät. Indikering och styrning sker från centralutrustningen eller från<br />
separerade manöverpaneler med display för klartextinformation.<br />
Vid stora system bör terminering ske till dator och med bildskärm med färggrafik<br />
och skrivare för klartextinformation samt med översikts- och detaljbilder<br />
av byggnader, där larmmarkör medger en direkt lokalisering av var<br />
larm har utlösts. Vilka olika typer av detektorer som behöver installeras i<br />
anläggningarna avgörs vid planering av anläggningen.<br />
Inbrottslarm kan delas in i:<br />
• Områdeslarm<br />
• Skalskyddslarm<br />
• Volymlarm<br />
• Punktlarm<br />
• Försåtlarm<br />
I de flesta fall är det kanske inte enskilda lokaler eller utrymmen inne i själva<br />
objektet, som primärt skall skyddas. Man vill istället ha en så tidig indikering<br />
som möjligt vid ett angrepp mot ett objekt. När det gäller utomhuslarm finns<br />
många faktorer, som man måste ta hänsyn till och som kan påverka projek-<br />
210
Bilaga 5:10 Larm<br />
teringen. Regn, åska snö och stormvindar kan utlösa fellarm. Även värme<br />
och kyla kan ställa till komplikationer. Andra fellarmsorsaker kan vara djur,<br />
radiosignaler eller buller från trafik och flygplan. Markens beskaffenhet påverkar<br />
dessutom systemvalet.<br />
Det bästa är om man kan kombinera utomhuslarm, såväl som inomhuslarm,<br />
med TV-övervakning. Denna TV-övervakning utgör stöd för att kunna avgöra<br />
om det är ett riktigt larm eller ett fellarm samt utgör god hjälp för<br />
larmcentralen att informera en eventuell insatsstyrka om hur och var intrång<br />
skett m.m. Inspelning och lagring av TV-bilderna bör kunna ske. Det är också<br />
lämpligt att dela in larmområdet i mindre sektioner för att snabbt kunna<br />
avgöra vid vilken sektor larmet utlöses.<br />
De utomhuslarm som idag är vanligast kan delas in i:<br />
• Staketlarm, vibrationslarm eller skärmad känselkabel.<br />
• Barriärlarm, IR-larm, mikrovågsbarriär (radarbarriär) eller genom strålningsfält<br />
(E-field).<br />
• Markbundet larm med tryckdetektering (sändar- och mottagarantenner,<br />
magnetiska fält, vätskefyllda slangar med sensorer eller optiska fiberkablar)<br />
• TV-övervakning med monitorlarm, t ex VMD-larm.<br />
• Skalskyddslarm innebär att samtliga dörrar och fönster i byggnadens<br />
omslutningsyta upp till minst fyra meters höjd från ståplan förses med<br />
larm. I vissa fall kan det vara nödvändigt att larma samtliga omslutningsytor,<br />
d v s väggar, golv, tak och dörrar.<br />
• Volymlarm innebär att utrymmen, lokaler, korridorer och trapphus larmas.<br />
Larmets räckviddsområde täcker då en stor yta. Volymlarm detekterar<br />
dock inte förrän den inträngande är inne i objektet.<br />
• Försåtlarm innebär att inre utrymmen, såsom är en central punkt i en<br />
byggnad, larmas. Larmet kan placeras exempelvis i korridorer eller trapphus.<br />
Försåtslarm detekterar dock inte förrän den inträngande är inne i<br />
objektet.<br />
• Punktlarm innebär att omslutningsytorna till ett visst förvaringsutrymme,<br />
såsom exempelvis värde- eller säkerhetsskåp, säkerhetsarkiv, servereller<br />
datorhall etc., förses med larm i form av seismiska detektorer.<br />
• Personalens möjligheter till handhavande av ovanstående larmsystem<br />
under framförallt icke tjänstetid kan variera beroende på behörighet.<br />
Skalskyddslarm kan vid planeringen uppfattas som omfattande och dyrbart<br />
i jämförelse med försåtlarm, volymlarm och punktlarm. Skalskyddslarm ger<br />
emellertid inga direkta handhavandeproblem. Det krävs dock att personalen<br />
uppmärksammar att fönster inte kan öppnas under tjänstetid om larmet är<br />
påslaget. Skalskyddslarm har den fördelen, i förhållande till försåtskyddseller<br />
volymlarm, att de ger en mycket tidig indikation på intrångsförsök.<br />
211
Bilaga 5:10 Larm<br />
Skalskyddslarm bör vara aktiverat även under dagtid men undertryckt, s k<br />
daglarmning, detta i syfte att få loggning av alla rörelser in- och ut ur anläggningen.<br />
Försåtskydds- och volymlarm kräver ett mycket disciplinerat handhavande<br />
för förbikoppling och tillslag av larm vid arbete under icke tjänstetid. Handhavandet<br />
kan beröra stor del av de anställda. Försåt-, volym- och punktlarm<br />
är bra komplement till skalskyddslarm.<br />
Fellarm utlösta av egen personal, vilket på sikt leder till bristande förtroende<br />
för utrustningen och därmed även för säkerheten, är alltför vanligt vid användande<br />
av försåt- eller volymlarm. I byggnader med passagekontrollsystem<br />
kan man, för att förhindra att larm inte av-, resp. påkopplas till ett<br />
säkerhetsskåp eller annat utrymme, integrera larmmanövreringen i passersystemet.<br />
Det går då inte att passera in eller ut utan att larmet är avaktiveras<br />
respektive aktiveras.<br />
Global Positionering System (GPS)<br />
Global Positionering System (GPS) är ett satellitbaserat positioneringssystem.<br />
En liten, kompakt enhet placeras i ett fordon eller i ett objekt. Den<br />
innehåller en mottagare för satellitsignalerna samt elektronik för signalbehandling<br />
och kommunikation. Noggrannheten i positionsbestämningen är<br />
under optimala förhållanden så goda som ner till mindre än 10 m.<br />
Positionsdata i komprimerad och krypterad form översänds till larmcentralens<br />
dator via något av de publika mobiltelefonnäten eller via något radiobaserat<br />
nät och positionen presenteras sedan på en kartbild i datorn.<br />
<strong>Försvarsmakten</strong>s personsäkerhetslarm är GPS-baserat och är huvudsakligen<br />
framtaget för att nyttjas vid s k skyddade transporter och för bevaknings-,<br />
insats- och transportskyddsstyrkor. Larmet kan utlösas t ex av fordonsförare<br />
genom att denne utlöser en larmknapp i fordonet eller från en bevaknings-,<br />
insats- eller transportskyddsstyrka eller från en följebil. Kartdatorn i larmcentralen<br />
utnyttjar geografiska kartdata, som täcker hela Sverige såväl översiktligt<br />
som ner på gatunivå. Ofta kan man genom en avancerad<br />
presentationsteknik visa flera kartfönster samtidigt, så att larmoperatören<br />
snabbt kan få en överblick och orientera sig, samtidigt som han i detalj kan<br />
följa ett objekt. Larmoperatören vidtar sedan erforderliga åtgärder, bl.a. larmar<br />
polis.<br />
Det finns även andra användningsområden, där systemet ger ökad säkerhet<br />
och trygghet. Det nyttjas som överfallslarm för personal vid förråd, för ronderingsstyrkor<br />
och som personsäkerhetslarm vid ensamarbete etc.<br />
212
Bilaga 5:10 Larm<br />
Detektorer<br />
Magnetdetektorer, ofta kallade för magnetkontakter, utanpåliggande eller<br />
infällda i karm, används som indikering om dörrar eller fönster öppnas.<br />
Glasdetektorer som limmas på fönster detekterar om glasytan angrips. Glaskrossdetektorer<br />
monteras innanför fönster i en lokal och uppfångar ljudet<br />
av att fönsterrutor krossas.<br />
Larmruta är en glastyp, där larmslingor monteras redan i fabriken. IR-detektorn,<br />
en volymdetektor, är en passiv detektor som känner kroppens<br />
värme vid rörelse. I standardutförande har den dock en säkerhetsmässig<br />
svaghet, eftersom linsen kan täckas eller sprayas över utan att larm utlöses.<br />
Detta innebär att detektorn förlorar hela sin övervakningsförmåga. Detektorn<br />
finns dock i ett utvecklat utförande som begränsar dessa svagheter.<br />
Standarddetektorns känslighet avtar också med avståndet. Detta innebär att<br />
den är mycket känslig mot föremål nära detektorn men svagare längre bort.<br />
Idag finns det även detektorer som kompenserar detta.<br />
Mikrovågs- och ultraljudsdetektorer är andra typer av s k volymdetektorer<br />
och arbetar med samma princip, den s k dopplereffekten, och känner av<br />
skillnaderna mellan den utsända och mottagna frekvensen. Mikrovågsdetektorn<br />
arbetar med mycket högre frekvenser än ultraljud, vilket gör att den<br />
kan övervaka större områden. Samtidigt innebär detta att eftersom mikrovågor<br />
går igenom de flesta material, t ex väggar av trä, glasytor etc. måste detta<br />
beaktas vid planering. Ultraljud kan i vissa fall uppfattas av människor och<br />
djur och kan därför av vissa personer uppfattas som störande.<br />
Nackdelarna med mikrovågs- och ultraljudsdetektorer är att de är känsliga<br />
för en mängd rörelser såsom luftströmmar, fladdrande gardiner eller växter,<br />
vilket innebär att det måste ske en omsorgsfull placering och inriktning av<br />
detektorn samt inställning av känsligheten.<br />
En annan typ av volymdetektor, den s k kombinationsdetektorn, har utvecklats<br />
för att förbättra detektorns funktionalitet och för att förebygga<br />
fellarm. I dessa typer av detektorer har man kombinerat mikrovågs- och ultraljudsfunktion<br />
eller IR- och mikrovågsfunktion.<br />
Som alternativ till glas-, eller glaskrossdetektorer kan där så är möjligt s k<br />
linjedetektorer, t ex IR-ridådetektorer, användas på in- eller utsidan av en<br />
fönsterrad. Linjedetektorer kan även användas utomhus för ytövervakning,<br />
t ex vid en inhägnad. Vid ytövervakning utomhus kan också mikrovågsbarriär<br />
eller radarbarriär användas istället för IR-detektor.<br />
Vibrationsdetektorer och seismiska detektorer används främst för detektering<br />
vid angrepp mot väggar i byggnader eller för skydd av värde- och<br />
säkerhetsskåp, säkerhetsarkiv, dator- och serverhallar m f l utrymmen.<br />
213
Bilaga 5:10 Larm<br />
Personsäkerhetslarm (överfallslarm)<br />
För fasta personsäkerhetslarm kan en larmknapp installeras vid lämpliga<br />
platser. Ett rum bör ha en larmknapp vid exempelvis skrivbordet men även<br />
vid dörren, och då i synnerhet vid en dörr där man tar emot besökande. Vid<br />
platser där man hanterar skjutvapen och ammunition bör larmknappar finnas<br />
vid utlämningsdiskar, i eventuell vapenverkstad, i och utanför vapenoch<br />
ammunitionskammare m fl platser. Larmknapp skall vara så utformad<br />
att risken för fellarm elimineras.<br />
Larmknappar kan också, som ett komplement, monteras så att utlösning kan<br />
ske med knä- eller fottryckning. Detta kan speciellt gälla i vakt-, larm- och<br />
bevakningslokaler samt vid diskar för vapen- och ammunitionsutlämning.<br />
Personal som arbetar med stöldbegärliga vapen eller ammunition utanför<br />
ett inhägnat och bevakat militärt område skall medföra av försvarsmakten<br />
anskaffat personsäkerhetslarm. Särskilda hanteringsbestämmelser gäller för<br />
ammunitionsförråd och förråd med explosivt material, där larmet måste vara<br />
godkänt för att kunna användas i dessa förråd.<br />
Ledningsnät<br />
Ledningsnät för larminstallationer skall så långt som möjligt läggas dolt. Vid<br />
nybyggnad bör kanalisation projekteras för ledningsnät genom förlagda<br />
stålrör. Nätet skall vara skyddat mot åverkan och bör vara övervakat dygnet<br />
runt samt sabotageskyddat i hela sin utsträckning. Till nätet skall man även<br />
räkna ställ, spridningsplintar och kopplingsdosor. Detta gäller även samtliga<br />
utrustningar och apparater.<br />
Vid stora anläggningar bör man vid projektering ta hänsyn till framtida utbyggnad.<br />
Ledningsnät för inbrottslarm kan i vissa fall integreras med ledningsnät för<br />
passerkontroll.<br />
Övrigt<br />
Kortläsarförsedda dörrar bör förses med ett öppningslarm, t ex magnetdetektor,<br />
som momentant förbikopplas vid varje av kortläsaren godkänd passering.<br />
Nödutgångar bör alltid daglarmas. Systemet bör utföras med ett<br />
adresserbart system för styrning och indikering på detektornivå.<br />
Teknisk dokumentation samt instruktioner för drift och underhåll av utförda<br />
installationer skall alltid ingå då larmsystem anskaffas. Observera att all dokumentation<br />
kring larmsystem skall betraktas som sekretessbelagd handling.<br />
Stöd för detta finns i Sekretesslagen (SekrL), bl a 5 kap. 2 § och, i vissa<br />
fall, även i 2 kap. 2§.<br />
214
Bilaga 5:10 Larm<br />
<strong>Försvarsmakten</strong>s fasta larmutrustningar<br />
Hotbilden mot Sverige och då främst <strong>Försvarsmakten</strong>s anläggningar, infrastruktur<br />
m m, har förändrats under senare år. <strong>Försvarsmakten</strong> anpassar<br />
därför nu sina resurser mot en sådan ändrad hotbild.<br />
Bevakningsobjekten utgörs primärt av <strong>Försvarsmakten</strong>s anläggningar,<br />
transporter av vapen- och ammunition, transporter av säkerhetsklassat, organisationsbestämmande,<br />
stöldbegärligt eller av annan anledning skyddsvärt<br />
innehåll. <strong>Skydd</strong>såtgärder vidtas även med syfte att skydda den personal<br />
som arbetar vid dessa objekt.<br />
<strong>Försvarsmakten</strong> har därför tillsammans med Försvarets materielverk tagit<br />
fram ett larmsystem benämnt Bevakningssystem 2000/Larm 2000.<br />
Detta innehåller delsystem för:<br />
• Personsäkerhetslarm<br />
• Inbrottslarmssystem och presentationsutrustning i militära bevakningscentraler.<br />
• Inom <strong>Försvarsmakten</strong> finns ett arv av olika bevakningssystem, kommunikationslösningar<br />
och presentationsutrustningar, vilka delvis kan omsättas<br />
eller integreras med Bevakningssystem 2000/Larm 2000. Dessutom<br />
finns anläggningar och objekt med äldre teknisk utrustning, vilka successivt<br />
och beroende på behov, i framtiden kan anslutas till systemet.<br />
<strong>Försvarsmakten</strong>s personsäkerhetslarm<br />
Syftet med personsäkerhetslarm är att skapa förutsättningar för en maximal<br />
trygghet vid arbeten inom <strong>Försvarsmakten</strong>s olika verksamhetsområden, där<br />
risk för arbetsskador och risk för överfall kan finnas.<br />
Målgrupp är personal som utför:<br />
• Ett uppdrag, oavsett plats, där stöldbegärlig eller hemlig materiel hanteras<br />
eller transporteras<br />
• Uppdrag vid ensligt belägna platser på land och i skärgården<br />
• Uppdrag vid säkerhetsklassade anläggningar<br />
• Insats-, bevaknings-, transport-, transportskydds- och ronderingsuppdrag.<br />
En person i nöd eller fara, eller som redan är utsatt för ett angrepp, kan med<br />
ett enkelt handgrepp utlösa larm och påkalla hjälp. Larmsystemet består av<br />
en larmsändare, en transmissionsenhet och en mottagar- och presentationsenhet.<br />
Systemet terminerar till en larmcentral (f n SOS Alarm AB) och verkar på de<br />
allmänna frekvenserna, som är upplåtna för dylika ändamål. Transmissions-<br />
215
Bilaga 5:10 Larm<br />
utrustningen är monterad i fordon eller fartyg. I systemet ingår utrustning<br />
för positionsangivning (GPS).<br />
216
Bilaga 5:11 Passerkontrollsystem<br />
Generella krav på passagekontrollsystem<br />
Passerkontrollanläggningar bör vara utrustade med distribuerad intelligens<br />
för att erhålla full funktion med kontroll av behörighet samt loggning och<br />
lagring av händelser även vid kommunikationsavbrott eller centralt datorbortfall.<br />
Kontrollerat tillträde i yttre obevakat skalskydd bör ske genom kortläsarförsedda<br />
rotationsgrindar, för att så långt som möjligt säkerställa enpersonspassering.<br />
Alternativt kan slussfunktion användas. Inpassering via<br />
sluss innebär att en inre dörr inte kan öppnas förrän en yttre dörr stängts.<br />
Detta gäller dock inte vid kortläsarförsedda dörrar som nyttjas som inre<br />
sektionering i en byggnad, vid datorhallar och serverrum etc. Vid krav på<br />
dörrkontroll inom objektet avseende öppen eller stängd och olåst eller låst<br />
dörr, bör larm för detta integreras i passerkontrollsystemet. Samtliga utrustningar<br />
eller apparater skall vara sabotageskyddade. Reservkapacitet i anläggningen<br />
för framtida behov och utveckling bör beaktas.<br />
Teknisk dokumentation samt instruktioner för drift och underhåll av utförda<br />
installationer skall alltid ingå då passerkontrollsystem anskaffas. Teknisk<br />
dokumentation för passagekontrollsystem skall betraktas som sekretessbelagd<br />
handling. Stöd för detta finns i Sekretesslagen (SekrL), bl a 5 kap. 2 §<br />
och, i vissa fall, även i 2 kap. 2§.<br />
Behörighet och tillträde<br />
I ett passagekontrollssystem i yttre skalskydd till objekt med höga krav på<br />
tillträdesbegränsning och till inre sektioneringar skall det alltid användas ett<br />
neutralt inpasseringskort, kombinerat med minst en fyrställig kod. Om enbart<br />
kod används i yttre skalskyddet, bör den vara minst femställig och då<br />
kan kodläsaren vara försedd med digitalt hoppande siffror så att siffrorna<br />
byter plats oregelbundet på läsaren. Koder bör bytas ofta.<br />
De idag vanligaste typerna av inpasseringskort är magnet-, wiegand- och<br />
IR-kort. Det finns också andra typer av kort, som streckkod- och kapacitiva<br />
kort. Kort med enbart magnetslinga är lätta att kopiera och får därför inte<br />
användas för inpassering till objekt med höga krav på tillträdesskydd.<br />
Smart-Cardkort där intelligensen ligger i kortet med ett mikrochips börjar<br />
idag också användas alltmer, både som inpasseringskort och för behörighets-kontroll<br />
till datorer.<br />
217
Bilaga 5:11 Passerkontrollsystem<br />
Biometriska system, som Eye-Identify, där systemet särskiljer utseendet i<br />
ögonbottnen används vid vissa objekt inom <strong>Försvarsmakten</strong>. Systemet är<br />
dock relativt dyrt och ger en långsammare inpassering. Andra biometriska<br />
system såsom avläsning (scanning) av fingeravtryck eller handflata är under<br />
utveckling inom industrin.<br />
Under ordinarie tjänstetid kan oftast enbart kort användas för inpassering<br />
inom ett objekt. Kort och minst fyrställig kod bör dock alltid användas efter<br />
ordinarie tjänstetid. Det stora flertalet anställda bör dessutom endast erhålla<br />
behörighet under normal tjänstetid.<br />
För tillträde till datorhallar, serverrum, lägescentraler, larmcentraler och<br />
andra lokaler med högt krav på tillträdesskydd och krav på att inpassage<br />
och eventuellt även utpassage loggas, skall kort och kod alltid nyttjas.<br />
Centralutrustning<br />
Valet av centralutrustning skall ske beroende på hur många kortläsare som<br />
behövs och antalet kort. Centralutrustningar skall alltid placeras inom ett<br />
utrymme, som är mekaniskt inbrottsskyddat och som dessutom bör vara<br />
larmat. Utrustningen bör utgöras av en dator, som är PC-baserad med applikation<br />
och systemprogram samt presentationsutrustning med bildskärm<br />
och skrivare. Loggningsmöjligheter skall också finnas och analys av in- och<br />
utpasseringar till objektet skall genomföras regelbundet.<br />
Systemet bör innehålla minst fyra nivåer för behörighet till systemet för i<br />
prioritetsordning informationssystemägare, servicetekniker, operatör och<br />
bevakningspersonal/receptionist. Svarstiden i systemet bör aldrig överstiga<br />
en sekund.<br />
Vid rapportering av inträffade händelser på bildskärm eller skrivare bör åtminstone<br />
följande sökbegrepp finnas:<br />
• kortnummer<br />
• datum<br />
• tid<br />
• kortnummerläsare<br />
• icke-accepterade tillträdesförsök<br />
• persontillhörighet<br />
• kortläsare.<br />
Sökning bör också kunna ske på grupper av kort eller läsare i relation till viss<br />
tidsbegränsad behörighet.<br />
218
Dörrcentral<br />
Dörrcentral bör placeras inom aktuell säkerhetsnivå och om fler än en läsare<br />
används rekommenderas anslutning i slingnät eller stjärnnät mot dörrcentralen.<br />
En dörrcentral bör innehålla:<br />
• kapacitet för erforderligt antal kort<br />
• minnesbuffert<br />
• anslutning för ellås eller annan öppningsautomatik<br />
• anslutning för kortläsare för inpassering<br />
• anslutning av inre öppningsknapp, tryckplatta i rotationsgrindsgolv eller<br />
kortläsare för utpassering<br />
• variabel passertid, som avbryts när dörr öppnas<br />
• variabel tid för förbikoppling av larm<br />
• variabel tid för utlösning och ljudande av förlarm vid för långt öppethållande<br />
av dörr<br />
• tre passernivåer styrda via tidszoner för endast kort, kort och kod och dörr<br />
öppen<br />
• möjlighet för anslutning av kretskort med optoisolerade ingångar och<br />
reläutgångar för anslutning av lokala funktioner, exempelvis strömförsörjning<br />
och dörrindikeringar.<br />
Strömförsörjning<br />
Dörrcentral med kortläsare och kringutrustning skall förses med reservströmkälla<br />
för drift under minst fyra timmar vid strömavbrott. Likriktare<br />
och transformator bör primärt avsäkras på egen grupp. Summalarm för<br />
strömförsörjningsfel innehållande larm för nätbortfall, underspänning på<br />
batteri, jordfel samt sekundärsäkringsfel bör överföras till en larmcentral<br />
som är bemannad hela dygnet. Batteri skall vara i gastätt utförande.<br />
Lågspänning till centralutrustning skall avsäkras på egen grupp.<br />
Vid krav på avbrottsfri kraft (220 VAC) bör skydd monteras mot momentant<br />
avbrott vid inkoppling. Vid behov bör också utrustning för korrektion av<br />
reservström monteras för att minimera risken för driftstörningar.<br />
Kort för in- och utpassage<br />
Bilaga 5:11 Passerkontrollsystem<br />
Maskinellt avläsbar information finns lagrad i ett kort. Denna information<br />
avläses av kortläsaren och omvandlas till en alfanumerisk kod. I systemet<br />
219
Bilaga 5:11 Passerkontrollsystem<br />
finns vissa kriterier inlagda och om dessa uppfylls utgår en signal som nyttjas<br />
för upplåsning.<br />
Lagring av information i kortet kan ske på ett stort antal sätt. Kodmönstret<br />
kan vara synligt för ögat, och därmed i regel lättkopierat, eller helt osynligt.<br />
Att koden inte är synlig behöver dock inte innebära att den är svårkopierad.<br />
De mest förekommande arbetsprinciperna är:<br />
• mekanisk avläsning<br />
• resonanskretsar och aktiva system (transpondrar)<br />
• biometriska system<br />
• laseravläsning (hologram)<br />
• kort i form av metallnyckel för stiftcylinderlås.<br />
• Smart-Card (kod i IC-krets).<br />
Mekanisk avläsning kan dessutom indelas i:<br />
• Optisk avläsning:<br />
- hål som genomlyses<br />
- påtryckt kontrastmönster, BCD-kod,<br />
- osynlig kod (differentierad förtätning av kortmaterialet).<br />
• Induktiv avläsning:<br />
- inlagda metallbrickor<br />
- hålstansad metallfolie<br />
- inlagda metallringar som är öppna eller slutna.<br />
• Magnetisk avläsning:<br />
- magnetspår<br />
- wiegand<br />
- hårdmagnetiserade punkter.<br />
Det finns ett flertal korttyper som är avsevärt svårare att kopiera än de flesta<br />
fysiska nycklar. Dessutom kan det aldrig garanteras att en nyckel som återlämnas<br />
inte har blivit kopierad. Ett återlämnat kort behöver dessutom aldrig<br />
lämnas ut på nytt.<br />
Kort- och passerkontrollsystemmarknaden utvecklas i snabb takt. Det är<br />
svårt att generellt rekommendera vilka korttyper som är mer kopieringssäkra<br />
än andra. Man måste dock undvika kort som har optisk avläsning med<br />
hål som genomlyses eller har påtryckta kontrastmönster samt induktiv avläsning<br />
med inlagda metallbrickor, metallfolie eller metallringar. Kort med<br />
magnetspår är också i vissa fall osäkra.<br />
220
I det senare fallet höjs dock säkerheten avsevärt, om man kombinerar kort<br />
med en minst fyrställig personlig kod. Denna kombination skall alltid nyttjas<br />
vid entrédörrar och under icke tjänstetid även vid inre sektioneringar.<br />
Kortläsare<br />
Bilaga 5:11 Passerkontrollsystem<br />
Kortläsare rekommenderas vara av typ slitsläsare för att erhålla en jämn avläsning<br />
samt innehålla knappsats för användande av personlig kod. En<br />
kortläsare som placeras utomhus skall installeras så att full funktion erhålls<br />
vid alla på platsen förväntade miljöbetingelser Vid mörka platser måste belysning<br />
övervägas för läsarens knappsats. Läsare skall monteras på ett<br />
sådant sätt och vara så skyddad att obehöriga inte kan se vilka koder som<br />
slås in på knappsatsen.<br />
Utpassering bör loggas, varvid kan det ske med att inpasseringskortet dras<br />
i en läsare och då behöver kod inte användas. I undantagsfall kan, vid utpassering,<br />
en återfjädrande tryckknapp eller motsvarande användas men då<br />
sker ingen loggning. Tryckknappen skall förses med nyckelsymbol och placeras<br />
så att den inte kan kommas åt från utsidan, vilket framför allt gäller<br />
vid grindpartier eller glasförsedda dörrar.<br />
Ett annat utpasseringsdon är automatisk styrning av rotationsgrind via exempelvis<br />
tryckplatta i golv eller fotocell.<br />
Om utpassagen även är en nödutgång får det inte krävas kort eller kod vid<br />
utpassage, om inte en nödutrymningsmekanism finns som kopplar bort<br />
spärrsystemet.<br />
221
6 Säkerhetsprövning<br />
6.1 Allmänt<br />
Infiltration kallas metoden att placera eller värva personer på viktiga befattningar<br />
i syfte att spionera, sabotera, sprida vilseledande information, uppvigla<br />
eller i övrigt bedriva säkerhetshotande verksamhet mot viktiga<br />
funktioner som rör rikets säkerhet.<br />
Säkerhetsprövning är en sammanfattande benämning på åtgärder som skall<br />
klarlägga om en person kan antas vara lojal mot de intressen som skyddas i<br />
säkerhetsskyddslagen och i övrigt är pålitlig från säkerhetssynpunkt.<br />
Det är chef för organisationsenhet som ansvarar för att säkerhetsprövning<br />
genomförs. En väl genomförd säkerhetsprövning kräver ett nära samarbete<br />
mellan chefer och deras företrädare för bl a personal-, ekonomi- och säkerhetsfunktion.<br />
Säkerhetsprövning är en kontinuerlig process. Chef har ett<br />
ansvar för att bedöma och följa upp individens lojalitet, pålitlighet och sårbarhet<br />
såväl inför som under anställning eller deltagande i verksamhet i<br />
miljöer där säkerhetshot kan förekomma.<br />
Säkerhetsprövning innefattar från säkerhetsskyddssynpunkt följande olika<br />
delmoment:<br />
• Säkerhetsanalys av anställning (befattning) eller deltagande i verksamhet<br />
• Placering av befattning i säkerhetsklass<br />
• Intervjuer för att klarlägga eventuella sårbarheter och brister i pålitlighet<br />
och lojalitet<br />
• Referenstagning (och personlig kännedom) för att klarlägga eventuell<br />
sårbarhet och brister i pålitlighet och lojalitet<br />
• Registerkontroll och i vissa fall särskild personutredning<br />
223
6 Säkerhetsprövning<br />
• I vissa fall ekonomisk kontroll och psykologisk personlighetsbedömning<br />
för att klarlägga eventuell sårbarhet eller brister i pålitlighet och lojalitet<br />
samt skyddssamtal<br />
• Säkerhetsskyddsbeslut i personärende<br />
• Uppföljning under anställning eller deltagande i verksamhet<br />
Särskilt viktig är den sista punkten. Säkerhetsprövning är en kontinuerlig<br />
process som skall pågå under hela anställningen eller deltagande i verksamheten.<br />
Betyg Intyg<br />
Personlig kännedom (intervju)<br />
Referenser<br />
Registerkontroll<br />
(med särskild personutredning)<br />
Säkerhetsprövning<br />
Särskild säkerhetsprövning<br />
Personlighetsbedömning<br />
Referenstagning<br />
(MUST)<br />
(MUST)<br />
Ekonomisk uppföljning<br />
(MUST)<br />
Bild 6:1 Omfattning av säkerhetsprövning.<br />
Med anställning jämställs ifrån säkerhetsprövningssynpunkt:<br />
• Byte av placering tills vidare<br />
• Tidsbegränsad placering<br />
• Övergång från anställning/befattning som inte är placerad i säkerhetsklass,<br />
till en som är placerad i säkerhetsklass<br />
• Övergång från en anställning/befattning som är placerad i säkerhetsklass,<br />
till en som är placerad i en högre säkerhetsklass<br />
• Återgång till anställning/befattning i <strong>Försvarsmakten</strong> efter tjänstledighet<br />
för tjänstgöring vid annan myndighet<br />
• Tidsbegränsad anställning alternativt placering i utlandsstyrkan<br />
• Tidsbegränsad placering i befattning vid internationell stab/förband eller<br />
organisation<br />
224
6.2 Juridiska grunder<br />
Om säkerhetsprövning stadgas i säkerhetsskyddslagen och säkerhetsskyddsförordningen.<br />
<strong>Försvarsmakten</strong> har med stöd av dessa författningar reglerat<br />
säkerhetsprövningen i föreskrifter, interna bestämmelser och skrivelser. Vidare<br />
framgår anvisningar avseende säkerhetsprövning av denna handbok.<br />
Säkerhetsprövning skall göras innan en person genom anställning eller på något<br />
annat sätt deltar i verksamhet som har betydelse för rikets säkerhet eller anlitas<br />
för uppgifter som är viktiga för skyddet mot terrorism. Säkerhetsprövning får<br />
göras även under pågående anställning eller annat pågående deltagande i verksamheten.<br />
Prövningen skall klarlägga om personen kan antas vara lojal mot de<br />
intressen som skyddas i denna lag och i övrigt pålitlig från säkerhetssynpunkt.<br />
Säkerhetsprövningen skall omfatta registerkontroll och särskild personutredning<br />
under de förutsättningar som anges i säkerhetsskyddslagens 13 § -19 §.<br />
6.3 Säkerhetsklasser<br />
6 Säkerhetsprövning<br />
11 § säkerhetsskyddslagen<br />
Anställningar skall placeras i säkerhetsklass under följande förutsättningar:<br />
Säkerhetsprövningen skall omfatta registerkontroll och särskild personutredning<br />
under de förutsättningar som anges i säkerhetsskyddslagens 13 § -19 §.<br />
Säkerhetsklass 1. Om den anställde i stor omfattning får del av uppgifter som<br />
omfattas av sekretess och är av synnerlig betydelse för rikets säkerhet<br />
Säkerhetsklass 2. Om den anställde i en omfattning som inte är obetydlig får del<br />
av uppgifter som omfattas av sekretess och är av synnerlig betydelse för rikets<br />
säkerhet.<br />
Säkerhetsklass 3. Om den anställde i övrigt får del av uppgifter som omfattas av<br />
sekretess och som är av betydelse för rikets säkerhet, samt om ett röjande av<br />
uppgifterna kan antas medföra men för rikets säkerhet som inte endast är ringa<br />
17 § säkerhetsskyddslagen<br />
6.3.1 Bestämmelser för säkerhetsklass 1, 2 och 3<br />
Den som anställs i befattning, som är placerad i säkerhetsklass, skall vara<br />
svensk medborgare. En individ med dubbelt medborgarskap, varav det ena<br />
är svenskt, gäller dock som svensk medborgare. Vid säkerhetsskyddad upp-<br />
225
6 Säkerhetsprövning<br />
handling med säkerhetsskyddsavtal (SUA) finns inget krav på svenskt medborgarskap.<br />
Anställda får i ringa omfattning ta del av sekretessbelagda uppgifter av betydelse<br />
för rikets säkerhet utan att anställningen behöver vara placerad i<br />
någon säkerhetsklass.<br />
Regeringen beslutar om en anställning ska placeras i säkerhetsklass 1. <strong>Försvarsmakten</strong><br />
(MUST) rapporterar till regeringen vilka anställningar som<br />
avses.<br />
<strong>Försvarsmakten</strong> (MUST) beslutar om en anställning ska placeras i säkerhetsklass<br />
2.<br />
Chef för organisationsenhet beslutar om vilka anställningar som ska placeras<br />
i säkerhetsklass 3 eller skall kontrolleras till skydd mot terrorism.<br />
Alla befattningar i utlandsstyrkan skall placeras i säkerhetsklass.<br />
<strong>Försvarsmakten</strong> beslutar om placering i säkerhetsklass 1, 2 och 3 för personal<br />
hos anbudsgivare eller leverantör med vilka <strong>Försvarsmakten</strong> har ingått säkerhetsskyddsavtal.<br />
6.4 Säkerhetsanalys av anställning<br />
6.4.1 Allmänt<br />
Chef för organisationsenhet skall genomföra säkerhetsanalys av anställningar<br />
för att klarlägga om anställningen skall placeras i en säkerhetsklassad<br />
befattning eller inte. Anställningens innehåll och omfattning skall vara fastställt<br />
före säkerhetsanalysen påbörjas. Det är inte individen utan anställningen/befattningen<br />
eller deltagandet i verksamheten som har en viss<br />
säkerhetsklass. Undantag är att YO/RO/aspirant samt HV/Friv-personal<br />
alltid skall ha gällande grundkontroll i säkerhetsklass 3 samt nivå G och 1 i<br />
säkerhetsklass 1.<br />
Revidering av säkerhetsanalys skall genomföras varje år före 1 oktober för<br />
att bland annat möjliggöra <strong>Försvarsmakten</strong>s rapportering till regeringen.<br />
Säkerhetsanalysen skall ge svar på i vilken omfattning den som innehar en<br />
befattning eller kommer att deltaga i verksamhet och därvid ges insyn i eller<br />
tillgodogöra sig kunskap om förhållanden eller information som rör rikets<br />
säkerhet.<br />
226
6.4.2 Genomförande av säkerhetsanalys<br />
Av den dokumenterade säkerhetsanalysen skall framgå vilka anställningar<br />
m.m. som placerats i säkerhetsklass 1, 2, och 3. Vilka som innefattar en säkerhetsprövning<br />
utan att vara placerade i säkerhetsklass samt vilka anställningar<br />
eller annat deltagande i verksamheten som skall bli föremål för<br />
registerkontroll till skydd mot terrorism. Härutöver bör nivå, S eller TS, på<br />
intyg om genomförd säkerhetsprövning inför internationell verksamhet,<br />
Security Clearance, anges.<br />
6.5 Säkerhetsaspekter vid rekrytering och<br />
anställning<br />
6.5.1 Rekrytering<br />
6 Säkerhetsprövning<br />
Alla anställningar skall säkerhetsprövas. Kontrollera i säkerhetsanalysen om<br />
anställningen eller deltagande i verksamheten skall placeras i säkerhetsklass<br />
eller kontrolleras till skydd mot terrorism. Om så är fallet skall registerkontroll<br />
genomföras. Krav på registerkontroll skall särskilt anges i annons<br />
eftersom det kräver ett medgivande från individen. Registerutdrag får endast<br />
utnyttjas som ett av flera urvalsinstrument vid uttagning av totalförsvarspliktiga<br />
eller anställning i utlandsstyrkan, men inte annars. 103<br />
Äktheten av betyg och intyg skall kontrolleras hos den som utfärdat dessa.<br />
Man bör försöka klarlägga vilka personliga nätverk den sökande kan återfinnas<br />
i. I dessa nätverk kan lämpliga referenter sökas. Man kan också få<br />
fram möjliga referenter av betyg, intyg och CV. En referent kan ge förslag på<br />
andra personer att kontakta. Om möjligt bör referenstagningen vara klar före<br />
genomförandet av anställningsintervju. Referensinformation kan då användas<br />
för kompletterande frågor.<br />
Referenser kan vara av två typer, antingen en referens som sökande angivit<br />
eller referenter som kontaktas utan den sökandes kännedom. Helst bör man<br />
sammanträffa med referenten för samtal. En väl genomförd referenstagning<br />
kräver omfattande förberedelser, ett lugnt genomförande där man lyssnar<br />
noga och aktivt samt ett analytiskt efterarbete vilket skall dokumenteras.<br />
Boka möte eller telefontid i förväg. Kontrollera om referenten vet om att den<br />
sökande angett denne som referens. Berätta om den tänkta befattningen och<br />
103. 10 § punkt 14 och 15 § förordning (1999:1134) om belastningsregister samt 4 § punkt 19 och<br />
20 förordning (1999:1135) om misstankeregister.<br />
227
6 Säkerhetsprövning<br />
de krav som ställs på den som anställs. Försök göra en kritisk bedömning av<br />
referenten. Tyvärr finns det referenter som lämnar felaktiga uppgifter och<br />
omdömen för att ”bli av med besvärliga personer”. Undersök den sökandes<br />
kopplingar till referenten och fråga om de är goda vänner och om de umgås<br />
på fritiden. Gå sedan vidare med att kartlägga deras samarbete och vilka<br />
roller de hade i arbetet. Fråga vilka befattningar de hade och vilken tidsperiod<br />
de arbetade tillsammans och när de senast hade kontakt med varandra.<br />
Kom dock ihåg att personliga relationer ibland kan ge missvisande eller<br />
överdrivet positiv information.<br />
Därefter ställs frågor med fokus på djup och detaljer för att få fram en trovärdig<br />
historisk bild av den sökande. Det finns ingen fråga som är för känslig<br />
att ställa så länge man följer reglerna för personuppgiftshantering.<br />
Be referenten svara på följande frågor:<br />
• Hur kan den sökandes ekonomi beskrivas?<br />
• Varför slutade den sökande?<br />
• Vad vet referenten om den sökandens umgängeskretsar?<br />
• Hur är den sökande förhållningssätt till droger eller alkohol?<br />
• Vilka fritidsintressen har den sökande?<br />
• Har den sökande visat ett beteende som kan anses vara anmärkningsvärt?<br />
• Har den sökande vistats utomlands längre tid än en normal semesterresa?<br />
• Har den sökande någonsin varit föremål för ett polisingripande eller<br />
rättslig prövning?<br />
Alla ytliga omdömen och beröm bör ignoreras så länge ingen detaljerad<br />
förklaring ges till vad det är den sökande har gjort för att förtjäna det.<br />
6.5.2 Anställning<br />
Faktorer som bör belysas från säkerhetssynpunkt under en anställningsintervju.<br />
Personalia Person (identitetskontroll), familj (maka, make,<br />
sambo eller partner), barn, släkt (inklusive<br />
släkt utomlands).<br />
Umgänge Vänkrets, ovänner (sårbarhetsrisken).<br />
Utbildning Civil, militär, körkort, certifikat, speciella färdigheter.<br />
Tidigare verksamhet Skolor (civila och militära), arbeten(civila och<br />
militära), varit föremål för polisingripande eller<br />
rättslig prövning..<br />
Ekonomi Inkomst, skulder, lån, underhållsskyldighet,<br />
boendeform.<br />
228
Bisysslor I eget företag, i utomståendes företag och<br />
verksamhet.<br />
Utlandsresor Tjänste, privata.<br />
Utlandstjänstgöring<br />
Kontakter Utländska, kriminella, kontroversiella.<br />
Fritidsintressen Föreningsliv, resor, spel och dobbel, idrott,<br />
hobby,<br />
Droger Alkohol, narkotika, dopingpreparat.<br />
Personlig status Medicinsk status (fysisk och psykisk), fysisk<br />
kondition.<br />
Personliga egenskaper Ambition, arbetstillfredsställelse, psykisk stabilitet,<br />
samarbetsförmåga, anpassningsförmåga,<br />
arbetssätt, etik, rättsmedvetande och<br />
säkerhetsmedvetande.<br />
Anställningsintervjun är ett viktigt instrument för att skapa sig en initial<br />
personkännedom och därför skall gott om tid avsättas för genomförande.<br />
Man bör inte vara fler än tre, en som ställer frågor, en som antecknar svaren<br />
och en tredje som iakttar sökanden. Omedelbart efter intervjun bör man<br />
sammanställa svar på frågor och iakttagelser och göra en preliminär bedömning.<br />
Vid anställningar i säkerhetsklass 1 och 2 bör säkerhetschefen vara<br />
med. Den sökande får inte informeras i förväg om anställningen på sådant<br />
sätt att det kan uppfattas som ett löfte om anställning.<br />
Anställning eller annat deltagande får inte ske förrän säkerhetsprövningen<br />
har slutförts.<br />
Provanställning i avvaktan på resultat av säkerhetsprövning får inte förekomma.<br />
6.6 Registerutdrag respektive registerkontroll<br />
6.6.1 Registerutdrag<br />
6 Säkerhetsprövning<br />
<strong>Försvarsmakten</strong> har enligt 10 § förordning om belastningsregister och 4 §<br />
förordningen om misstankeregister rätt att hos Rikspolisstyrelsen begära<br />
registerutdrag på den som avses anställas i utlandsstyrkan. Det är inte tillåtet<br />
att begära registerutdrag på redan anställd personal i <strong>Försvarsmakten</strong>.<br />
<strong>Försvarsmakten</strong> och Totalförsvarets pliktverk har rätt, vad avser uppgifter<br />
om vissa brott eller misstanke om brott för vilket åtal väckts, att begära re-<br />
229
6 Säkerhetsprövning<br />
gisterutdrag i fråga om totalförsvarspliktiga som ska skrivas in eller är<br />
inskrivna för värnplikt enligt lagen (1994:1809) om totalförsvarsplikt.<br />
Resultat av registerutdrag analyseras och ligger till grund för det fortsatta<br />
urvalet avseende lämplighetsprövning vid anställning i utlandsstyrkan eller<br />
i fråga om totalförsvarspliktiga enligt ovan.<br />
6.6.2 Registerkontroll<br />
Med registerkontroll avses att uppgifter hämtas från ett register som omfattas<br />
av lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister<br />
eller polisdatalagen (1998:622). Med registerkontroll avses också att<br />
sådana personuppgifter hämtas som Rikspolisstyrelsen eller Säkerhetspolisen<br />
behandlar utan att det ingår i ett sådant register som avses i första stycket. Med<br />
registerkontroll avses dock inte att uppgifter hämtas från en förundersökning<br />
eller särskild undersökning i kriminalunderrättelseverksamhet.<br />
12 § säkerhetskyddslagen<br />
Registerkontroll skall göras vid säkerhetsprövning som gäller anställning, uppdrag,<br />
tjänstgöring enligt lagen(1994:1809) om totalförsvarsplikt, utbildning,<br />
besök eller något annat deltagande i verksamhet, om anställningen eller deltagandet<br />
i verksamheten har placerats i säkerhetsklass.<br />
13 § säkerhetskyddslagen<br />
Registerkontroll får göras även i andra fall, om det behövs för skyddet mot terrorism<br />
och det finns särskilda skäl.<br />
14 § säkerhetskyddslagen<br />
Behovet av registerkontroll till skydd mot terrorism skall noga prövas. Kontroll<br />
får endast göras om skyddsbehovet inte kan tillgodoses på något annat<br />
sätt.<br />
Den som säkerhetsprövningen gäller skall ha gett sitt samtycke innan registerkontroll<br />
och särskild personutredning får göras. Ett samtycke skall anses gälla<br />
också förnyade kontroller och utredningar så länge som den kontrollerade skall<br />
inneha samma anställning<br />
19 § säkerhetskyddslagen<br />
Begäran om registerkontroll får inte göras godtyckligt utan skall alltid grunda<br />
sig på en fastställd säkerhetsanalys med angivande av kontrollorsak.<br />
230
6 Säkerhetsprövning<br />
Tabell 6:1 Kontrollorsaker för placering i säkerhetsklass och kontroll till skydd mot<br />
terrorism samt riktlinjer för placering i säkerhetsklass.<br />
Kontrollorsak<br />
Användningsområde Säkerhets-<br />
(Benämning i IS UND<strong>SÄK</strong><br />
klass<br />
RK-rutin)<br />
(riktlinje)<br />
Anställning Används vid civil anställning i<br />
FM. Kompletteras med kort<br />
beskrivning av arbetsuppgifterna<br />
1,2,3<br />
Avtalspersonal Hemvärn Används för frivillig personal<br />
som tecknar avtal med hemvärnet.<br />
3<br />
Befälsförstärkningsavtal Används vid anställning enl<br />
BFA.<br />
1,2,3<br />
Beredskap i registerförband Används vid anställning för utbildning<br />
och beredskap i registerförband.<br />
1,2,3<br />
Besök, inpassering Används vid tidsbegränsat 2,3<br />
besök eller inpassering till<br />
skyddsobjekt, om krav på särskilt<br />
tillträdesskydd föreligger<br />
enligt tillträdesansvarig chefs<br />
bestämmande.<br />
Med inpassering till skyddsobjekt<br />
avses när en person<br />
har sin ordinarie arbetsplats<br />
inom skyddsobjektet och personens<br />
befattning inte är placerad<br />
i säkerhetsklass eller är<br />
kontrollerad till skydd mot terrorism<br />
14 §<br />
Frivilligavtal-övrigt Används för frivillig personal<br />
som tecknar avtal med FÖR-<br />
SVARSMAKTEN(ej Hv)<br />
3<br />
Hemvärnsman 3<br />
Instruktör vid Hemvärnet Används för instruktörer i<br />
hemvärnet som är förordnade<br />
och inte är YO/RO.<br />
3<br />
Hemvärnsveteran Används för hemvärnsveteran<br />
som av chef för organisationsenhet<br />
har beviljats att<br />
deltaga i hemvärnets övningar<br />
och verksamhet och får ta<br />
del av hemliga uppgifter som<br />
rör rikets säkerhet.<br />
3<br />
Krigsplacering 1,2,3<br />
231
6 Säkerhetsprövning<br />
Kontrollorsak<br />
Användningsområde Säkerhets-<br />
(Benämning i IS UND<strong>SÄK</strong><br />
klass<br />
RK-rutin)<br />
(riktlinje)<br />
Officer i säkkl 1 eller 2 Används för YO/RO i säkerhetsklass<br />
1 eller 2. Kompletteras<br />
med kort beskrivning av<br />
arbetsuppgifterna. Används<br />
som grundkontroll i säkerhetsklass<br />
1 för generaler/amiraler<br />
och överstar/kommendörer.<br />
Nivå 1 och 2<br />
SUA-arbete Kompletteras med kortfattad<br />
arbetsbeskrivning.<br />
1,2,3<br />
Utbildning/Kurs/Övning Används när utbildning/kurs/<br />
övning kräver placering i säkerhetsklass.<br />
2,3<br />
Utlandstjänstgöring Används vid anställning alternativt<br />
placering i utlandsstyrkan<br />
eller placering i befattning<br />
vid internationellt förband/organisation<br />
utan att ingå i utlandsstyrkan.<br />
Kompletteras<br />
med befattning, insatsförkortning<br />
och nummer samt land.<br />
2,3<br />
Totalförsvarspliktig Används för värnpliktiga, civilpliktiga<br />
3<br />
Beredskap i NBG Används vid anställning för utbildning,<br />
beredskap och insats<br />
i NBG.<br />
2,3<br />
YO/RO/Asp Används som grundkontroll i<br />
säkerhetsklass 3 för yrkesofficerare,<br />
reservofficerare,<br />
aspiranter och officerare på<br />
reservstat.<br />
3<br />
6.6.3 Ansvar för säkerhetsprövning, framställan om<br />
registerkontroll, giltighetstider samt<br />
placeringsbeslut<br />
Regeringen ansvarar för anställningen som Överbefälhavare, stf myndighetschef<br />
och chef för militära underrättelse- och säkerhetstjänsten (C MUST).<br />
Inom Högkvarteret ansvarar följande enheter för initiering och uppföljning<br />
av säkerhetsprövning, framställan om registerkontroll, underlag till särskild<br />
personutredning och beslut om placering:<br />
C MUST leder och samordnar säkerhetsprövning inom <strong>Försvarsmakten</strong>.<br />
232
Chef för högkvarterets säkerhetsavdelning ansvarar för anställda i Högkvarteret<br />
utom MUST, chefskretsen och utlandsstyrkan.<br />
Personaldirektören ansvarar för anställningar som<br />
• militär tjänsteman i nivå G och 1 samt av civil tjänsteman som överdirektör<br />
och avdelningschef i högkvarteret (utom MUST),<br />
• annan chef som är upptagen i <strong>Försvarsmakten</strong>s chefskrets,<br />
• placeringar i befattning i internationell stab/förband eller organisation.<br />
Säkerhetsprövningssektionen vid den militära underrättelse- och säkerhetstjänsten<br />
genomför vissa delar av särskild säkerhetsprövning för <strong>Försvarsmakten</strong>s<br />
chefskrets samt övriga anställningar eller deltagande i verksamhet<br />
i säkerhetsklass 1. MUST delger resultat av säkerhetsprövningen i form av<br />
säkerhetsskyddsbeslut i personärende.<br />
Operativ chef ansvarar för anställningar/placeringar i utlandsstyrkan.<br />
C MUST ADM ansvarar för anställda vid MUST.<br />
6 Säkerhetsprövning<br />
Chef för organisationsenhet ansvarar för anställda eller deltagande i verksamhet<br />
inom egen enhet.<br />
Giltighetstider:<br />
• Säkerhetsprövning med registerkontroll och särskild personutredning<br />
hänförlig till säkerhetsklass 1 är giltig i högst tre år.<br />
• Säkerhetsprövning med registerkontroll hänförlig till säkerhetsklass 2 är<br />
giltig i högst fem år.<br />
• Säkerhetsprövning med registerkontroll hänförlig till säkerhetsklass 3 eller<br />
till skydd mot terrorism är giltig tills dess anställning eller deltagande<br />
upphör.<br />
• Säkerhetsprövning med registerkontroll vid säkerhetsskyddad upphandling<br />
med säkerhetsskyddsavtal (SUA) skall följa ovanstående giltighetstider,<br />
alternativt de kortare tider uppdraget varar.<br />
Säkerhetsklass 1 och 2<br />
En ny registerkontroll skall göras, om den som innehar anställning i säkerhetsklass<br />
1 eller 2 har ingått äktenskap/partnerskap, som inte tidigare<br />
redovisats som samboförhållande, eller inlett ett (nytt) samboförhållande<br />
efter den senaste registerkontrollen.<br />
Chef för organisationsenhet meddelar när en person har slutat en säkerhetsklassad<br />
anställning eller har övergått till anställning som placerats i lägre<br />
säkerhetsklass. Detsamma gäller för person som skilt sig eller brutit ett samboförhållande.<br />
Meddelande sker genom IS UND<strong>SÄK</strong><br />
233
6 Säkerhetsprövning<br />
Den militära underrättelse- och säkerhetstjänsten genomför särskild säkerhetsprövning<br />
av säkerhetsklass 1 enligt <strong>Försvarsmakten</strong>s interna bestämmelser.<br />
Inför en anställning eller annat deltagande i säkerhetskänslig verksamhet som<br />
har placerats i säkerhetsklass 1 skall säkerhetsprövningen genomföras på det sätt<br />
den militära underrättelse- och säkerhetstjänsten i Högkvarteret anger i det enskilda<br />
fallet.<br />
4 kap 5 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och<br />
skydd av viss materiel<br />
Säkerhetsklass 3<br />
För att minska administrationen av registerkontroller för yrkesofficerare,<br />
officersaspiranter och reservofficerare som är placerade i säkerhetsklass 3,<br />
skall ny registerkontroll inte ske vid<br />
• byte av placering tillsvidare<br />
• tidsbegränsad placering vid annat förband/enhet<br />
• återgång till anställning i <strong>Försvarsmakten</strong> efter tjänstledighet för tjänstgöring<br />
vid annan myndighet.<br />
Ovanstående gäller under förutsättning att vederbörande har en gällande<br />
registerkontroll i säkerhetsklass 3.<br />
Förnyad kontroll av särskilda skäl<br />
I 25 § säkerhetsskyddsförordningen anges att förnyad kontroll skall ske när<br />
det finns särskild anledning till det.<br />
Oavsett personalkategori görs förnyad kontroll då det konstaterats att<br />
• en individ lämnar falska eller felaktiga uppgifter om sig själv<br />
• uppgifter kommer till chefs kännedom som är av sådan art att de av säkerhetsskäl<br />
kan bedömas föranleda åtgärd<br />
• misstanke finns om att en individ är inblandad i säkerhetshotande verksamhet.<br />
Som kontrollorsak anges Särskild anledning.<br />
Samtycke skall anses gälla för förnyade kontroller så länge den kontrollerade<br />
innehar samma anställning.<br />
234
6.6.4 Registernämnden<br />
Den som har beslutat om registerkontroll skall göra en framställan hos Rikspolisstyrelsen<br />
om utlämnande av uppgifter. Rikspolisstyrelsen skall därefter överlämna<br />
ärendet till Registernämnden.<br />
När det gäller en person som, enligt vad som är känt för Rikspolisstyrelsen, har<br />
en anställning eller på annat sätt deltar i säkerhetskänslig verksamhet skall<br />
Rikspolisstyrelsen göra en framställan hos Registernämnden om utlämnande av<br />
uppgift som enligt styrelsens kännedom har tillförts polisregister efter det att<br />
registerkontroll har gjorts.<br />
29 § säkerhetsskyddsförordningen<br />
Registernämnden beslutar om uppgifter som framkommit i samband med<br />
registerkontroll skall lämnas ut till <strong>Försvarsmakten</strong>. Registernämnden skall<br />
besluta om den som en uppgift avser skall ges tillfälle att yttra sig över uppgiften<br />
(kommunicering).<br />
En så kallad spontanuppgift är en uppgift som har införts i polisregister efter<br />
att registerkontroll har genomförts ( säkerhetsskyddsförordningen 29 § andra<br />
stycket).<br />
Brott m.m. som får lämnas ut vid registerkontroll<br />
6 Säkerhetsprövning<br />
Utlämnande av uppgifter från polisregister vid registreringskontroll får omfatta:<br />
För säkerhetsklass 1 eller 2<br />
• Varje uppgift som finns tillgänglig om den kontrollerade och, om det är<br />
oundgängligen nödvändigt, om make eller sambo.<br />
För säkerhetsklass 3 och kontroll till skydd mot terrorism<br />
• Uppgifter om den kontrollerade i belastningsregistret, misstankeregistret,<br />
SÄPO-registret och uppgifter som annars behandlas hos Rikspolisstyrelsen.<br />
235
6 Säkerhetsprövning<br />
Orgenhet<br />
Framställan.<br />
Registrering i IS U/S<br />
Bil 1 och 2 skickas<br />
separat.<br />
Placeringsbeslut<br />
registreras i IS U/S<br />
och skrivs under av<br />
chef.<br />
Återsändning av<br />
handlingar.<br />
Registerkontrollprocessen<br />
Bild 6:2 Registerkontrollprocessen.<br />
Kontroll riktighet.<br />
Utläsning av data.<br />
Inläsning av data.<br />
Bedömning av<br />
utlämning MUST<br />
delgivning av<br />
säkerskyddsbeslut<br />
i personärende.<br />
Uppföljning<br />
Kontroll riktighet.<br />
Utläsning av data.<br />
6.7 Olika former av samtal<br />
6.7.1 Personligt samtal (SÄPO)<br />
HKV/MUST RPS/SÄPO<br />
Registerkontroll<br />
Inga uppgifter<br />
i MR/BR,C.<br />
Uppgifter<br />
i MR/BR,C.<br />
Registernämnden<br />
Utlämningsbeslut.<br />
Kommunicering.<br />
Registrering av beslut.<br />
När den särskilda personutredningen avser anställningar och annat deltagande<br />
i verksamhet som har placerats i säkerhetsklass 1, skall säkerhetspolisen<br />
hålla ett personligt samtal med den som säkerhetsprövningen gäller.<br />
Ett sådant samtal får dock underlåtas om det står klart att det inte behövs.<br />
Om det behövs skall ett sådant samtal hållas också när utredningen avser<br />
anställningar och annat deltagande i verksamhet som har placerats i säkerhetsklass<br />
2.<br />
236
6.7.2 <strong>Skydd</strong>ssamtal<br />
Då ett beslut har fattats om en anställning som är placerad i säkerhetsklass<br />
1 skall ett skyddssamtal med berörd person snarast hållas. Vid behov genomförs<br />
skyddssamtal även med person som placerats i säkerhetsklass 2.<br />
HKV MUST beslutar vem som skall genomföra skyddssamtal med en<br />
prövad. <strong>Skydd</strong>ssamtal skall dokumenteras. Beslut om skyddssamtal anges<br />
i IS UND<strong>SÄK</strong> RK-rutin.<br />
Bestämmelsen innebär att ett skyddssamtal skall ske vid tillsättning av befattning<br />
i säkerhetsklass 1 och i vissa fall säkerhetsklass 2.<br />
<strong>Skydd</strong>ssamtalet syftar till att orientera om säkerhetshotande verksamhet<br />
som kan riktas mot den enskilde eller dennes verksamhet. Det skall samtidigt<br />
vara ett led i den särskilda omsorg som skall ägnas de anställda med sådana<br />
arbetsuppgifter att det kan finnas en risk att de kan bli ett mål för säkerhetshotande<br />
verksamhet. Härutöver syftar skyddssamtalet till att öka säkerhetsmedvetandet<br />
hos den enskilde och dennes medarbetare.<br />
Varje organisationsenhet skall förteckna genomförda skyddssamtal i IS<br />
UND<strong>SÄK</strong> varvid säkerhetsprövningssektionen vid den militära underrättelse-<br />
och säkerhetstjänsten ges läsbehörighet till förteckning och själva<br />
skyddssamtalet.<br />
Genomfört skyddssamtal skall återrapporteras i IS UND<strong>SÄK</strong> RK-rutin.<br />
Exempel på disposition för skyddssamtal framgår nedan.<br />
6 Säkerhetsprövning<br />
Del 1 - Allmän del<br />
• Syfte och mål<br />
• Hotbild - Främmande staters underrättelse- och säkerhetstjänster, odemokratiska<br />
och omstörtande organisationer, värvning, infiltration.<br />
• Definitioner och begrepp - Författningar, föreskrifter, bestämmelser och<br />
andra relevanta regelverk. Säkerhetstjänstens indelning, gruppering och<br />
uppgifter.<br />
• Säkerhetsprövning - Säkerhetsklasser, registerkontroll, skyldigheter och<br />
rättigheter.<br />
• <strong>Skydd</strong>såtgärder - Vid hot, vid misstanke om värvningsförsök eller motsvarande<br />
vid personliga problem.<br />
• Rapporteringsskyldighet.<br />
• Övrigt - Frågor och diskussion. Undertecknande av sekretessbevis (i förekommande<br />
fall).<br />
Övergripande beskrivning av aktuell säkerhetshotbild framgår bl a av den<br />
militära säkerhetstjänstens <strong>års</strong>rapporter.<br />
237
6 Säkerhetsprövning<br />
Del 2 - Personligt befattningsanpassat skyddssamtal<br />
• Syfte och mål - Organisationen och den enskilde. Konsten att skapa säkerhetsmedvetande<br />
i organisationen<br />
• Personliga förhållanden - Jämför anställningsintervju, specifika hot och<br />
risker<br />
6.7.3 Säkerhetssamtal<br />
Säkerhetssamtal genomförs till skydd för såväl organisationen som den enskilde.<br />
Samtalet genomförs med befattningshavare på förekommen anledning<br />
eller som en uppdatering efter skyddssamtal.<br />
Säkerhetssamtal skall dokumenteras.<br />
Genomfört säkerhetssamtal skall återrapporteras i IS UND<strong>SÄK</strong> RK-rutin och<br />
delges den militära underrättelse- och säkerhetstjänsten.<br />
Exempel på anledningar:<br />
• Framställan från den enskilde<br />
• Förändrade personliga förhållanden,<br />
• Misstanke om hot eller risk<br />
• Inträffad händelse<br />
• Misstanke om oegentlighet eller brott<br />
• Spontanutlämning<br />
Disposition av säkerhetssamtal:<br />
• Anledningen till samtalet<br />
• Syfte och mål<br />
• Uppdatering och kontroll av personliga förhållanden<br />
• Förändrad hotbild och riskbedömning<br />
• Faktorer och förhållanden som den enskilde vill ta upp<br />
• Kontrollfrågor<br />
• <strong>Försvarsmakten</strong>s budskap<br />
• Fortsatt handläggning<br />
238
6.8 Uppföljning under anställning<br />
6.8.1 Allmänt<br />
Personal skall fortlöpande följas upp under anställningstiden eller annat<br />
deltagande i verksamheten. Samarbete mellan organisationsenhetens lednings-,<br />
säkerhets-, personal- och ekonomifunktioner är ofta en förutsättning<br />
för att tidigt avvärja problem som kan utvecklas till bristande säkerhetsmedvetande.<br />
Personliga förhållanden skall ägnas särskild uppmärksamhet.<br />
6.8.2 Personlig kännedom<br />
Chefen skall skaffa sig kännedom om underställda och underlydande chefer<br />
och övrig personals lämplighet och förmåga. Ett lämpligt tillfälle att fördjupa<br />
personkännedomen är vid de utvecklingssamtal, som årligen skall hållas<br />
med alla anställda.<br />
Besvikelse<br />
Lön<br />
Utebliven befordran<br />
Brist på uppskattning<br />
Kontakter<br />
Utländska<br />
Kriminella<br />
Karaktär<br />
BESKT<br />
Ekonomi<br />
Skulder<br />
För dyrt leverne<br />
Ensamhet<br />
Tillfälle<br />
6 Säkerhetsprövning<br />
Social misär<br />
Skilsmässa<br />
Söndring<br />
Stimulantia<br />
Särdrag<br />
Bild 6:3 Faktorer som kan påverka en individs pålitlighet ur säkerhetssynpunkt.<br />
239
6 Säkerhetsprövning<br />
6.9 Säkerhetsskyddsbeslut i personärende<br />
6.9.1 Allmänt<br />
Myndigheter och andra som förordningen gäller för och som har beslutat om<br />
registerkontroll skall dokumentera resultatet av säkerhetsprövningen när det<br />
gäller en person som har bedömts vara pålitlig från säkerhetssynpunkt.<br />
38 § säkerhetsskyddsförordningen<br />
HKV MUST bereder säkerhetsskyddsbeslut i personärende med anledning<br />
av att uppgifter om den sökande har lämnats ut av Registernämnden eller<br />
att uppgifter finns om den sökande i <strong>Försvarsmakten</strong>s militära säkerhetsregister.<br />
Säkerhetsskyddsbeslutet översänds därefter till chef för organisationsenhet<br />
för beslut.<br />
6.9.2 Överväganden<br />
Vid bedömning av uppgifter ur register beaktas följande:<br />
• Vilken betydelse har uppgifterna för den aktuella anställningen?<br />
• Är det fråga om enstaka händelse eller upprepade händelser?<br />
• Hur länge är det sedan händelsen inträffade?<br />
• Hur gammal var personen när händelsen skedde?<br />
• Vilken påföljd fick händelsen?<br />
• Vilka omständigheter rådde när händelsen inträffade?<br />
• Kan personen antas vara sårbar?<br />
• Vilken säkerhetshotbild kan antas föreligga mot personen?<br />
6.9.3 HKV MUST säkerhetsskyddsbeslut i personärende<br />
Om militära underrättelse- och säkerhetstjänsten i Högkvarteret vid en säkerhetsprövning<br />
inför en anställning eller deltagande i säkerhetskänslig verksamhet<br />
beslutar att den som prövas inte skall anställas eller delta i verksamheten,<br />
eller att någon annan restriktion skall gälla, skall chefen för den organisationsenhet<br />
som skall fatta beslut i fråga om anställningen eller deltagandet följa<br />
militära underrättelse- och säkerhetstjänstens beslut.<br />
4 kap 9 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och<br />
skydd av viss materiel<br />
Finns inte några uppgifter att redovisa i samband med registerkontrollen<br />
garanteras inte att den som kontrollerats är pålitlig från säkerhetssynpunkt.<br />
240
Beslut i säkerhetsprövningsfrågan får därför inte grundas enbart på uppgifter<br />
från den genomförda registerkontrollen. Däremot kan det som framkommit<br />
vid registerkontrollen vara så graverande för den kontrollerande att<br />
det är direkt diskvalificerande för placering i säkerhetsklass eller deltagande<br />
i verksamhet.<br />
Om säkerhetsprövningen får till följd att någon inte anställs eller på annat<br />
sätt inte får delta i verksamheten, skall som skäl för beslutet endast anges att<br />
det grundas på <strong>Försvarsmakten</strong>s säkerhetsprövning<br />
Vanligaste formerna av säkerhetsskyddsbeslut:<br />
6 Säkerhetsprövning<br />
Får inte vara placerad i säkerhetsklass med hänsyn till <strong>Försvarsmakten</strong>s<br />
säkerhetsprövning.<br />
• Beslutet innebär att det som framkommit vid säkerhetsprövningen är så<br />
graverande att allmän personkännedom eller betyg, intyg och referenser<br />
inte kan uppväga det.<br />
• I huvuddelen av dessa fall medföljer inte handlingar som underlag för<br />
beslut.<br />
• Den som begärt kontrollen meddelas oftast endast beslutet.<br />
Bör inte vara placerad i säkerhetsklass.<br />
• Beslutet innebär att det som framkommit vid säkerhetsprövningen i sig<br />
är graverande, men i undantagsfall kan uppvägas av allmän personkännedom<br />
och mycket goda referenser. Ärendet överlämnas därför till den<br />
som begärt kontrollen för beslut. I dessa ärenden medföljer handlingar (t<br />
ex domar) som underlag för att omständigheterna kring uppgifterna skall<br />
kunna bedömas.<br />
Får vara placerad i säkerhetsklass enligt respektive chefs bedömning.<br />
• Beslutet innebär att det som framkommit vid säkerhetsprövningen i sig<br />
är graverande, men kan uppvägas av allmän personkännedom och<br />
mycket goda referenser. Ärendet överlämnas därför till den som begärt<br />
kontrollen för beslut. I dessa ärenden medföljer handlingar (t ex domar)<br />
som underlag för att omständigheterna kring uppgifterna skall kunna<br />
bedömas.<br />
Hinder möte inte.<br />
• Beslutet innebär att det som framkommit inte bedöms påverka personens<br />
lojalitet och pålitlighet från säkerhetssynpunkt.<br />
Får placeras i säkerhetsklass.<br />
• Beslutet innebär att det som framkommit inte påverkar personens lojalitet<br />
och pålitlighet från säkerhetssynpunkt. Detta är det vanligaste förekom-<br />
241
6 Säkerhetsprövning<br />
mande beslutet vid säkerhetsprövning och redovisas endast i IS UND<strong>SÄK</strong><br />
RK-rutin.<br />
Säkerhetsskyddsbeslut i personärende kan kompletteras med restriktioner,<br />
några exempel:<br />
• Får tillsvidare inte placeras i internationell tjänst.<br />
• Får tillsvidare inte inneha <strong>Försvarsmakten</strong>s vapen.<br />
• Får tillsvidare inte företa utrikes tjänsteresa.<br />
• Får vara placerad i säkerhetsklass 3, men får inte delges hemlig uppgift<br />
under rehabiliteringstiden.<br />
Innebörd av referenser:<br />
Mycket goda referenser Innebär att inhämtade referenser är enbart<br />
positiva.<br />
Goda referenser Innebär att det i inhämtade referenser ej framkommer<br />
något negativt.<br />
Säkerhetsskyddsbeslut i personärende får inte överklagas.<br />
50 § säkerhetsskyddsförordningen<br />
6.9.4 Återrapportering<br />
När organisationsenhet mottagit och delgett den berörde säkerhetsskyddsbeslut<br />
i personärende skall organisationsenhetens beslut antecknas på<br />
MUST blankett ”Säkerhetsskyddsbeslut i personärende”. Handlingarna<br />
återsänds till HKV MUST snarast och senast inom en månad. Vidare bör<br />
noteras att den individ som registerkontrollerats inte är inplacerad i säkerhetsklass<br />
förrän organisationsenhetens beslut kommit Säkerhetspolisen tillhanda.<br />
Om en organisationsenhet inte kan återredovisa en handling skall<br />
detta anmälas enligt rutinen för förlorade hemliga handlingar.<br />
6.10 Avbrytande av värnpliktstjänstgöring<br />
6.10.1 Allmänt<br />
HKV MUST äger rätt att besluta om att en värnpliktig inte får placeras på en<br />
säkerhetsklassad befattning.<br />
Ett beslut om inskrivning får endast ändras av Totalförsvarets pliktverk (avbrytande).<br />
242
Ett skäl för avbrytande av värnpliktstjänstgöring kan vara att sådana förhållanden<br />
framkommer som gör det olämpligt från säkerhetsskyddssynpunkt<br />
att fullfölja en påbörjad tjänstgöring. För att Totalförsvarets pliktverk<br />
skall kunna ändra ett inskrivningsbeslut av detta skäl krävs en utredning<br />
från <strong>Försvarsmakten</strong>. Hemställan skall omfatta de skäl som åberopas samt<br />
en redovisning av de åtgärder som vidtagits och de överväganden som skett<br />
vid förbandet. Chef för organisationsenhet ansvarar för utredning och framställan.<br />
Det är viktigt att en klar och entydig motivbild föreligger. Bedömningen får<br />
inte enbart göras utifrån registeruppgifter. Den värnpliktiges egen syn på<br />
anförda motiv, inställning till fortsatt tjänstgöring och närmaste befäls omdöme<br />
om vederbörande är exempel på ytterligare uppgifter som bör klarläggas.<br />
Totalförsvarspliktiga äger rätt att överklaga beslut om ändrad inskrivning<br />
till Överklagandenämnden för totalförsvaret.<br />
6.10.2 Överväganden<br />
Faktorer att beakta är exempelvis att värnpliktsutbildningen kan medföra:<br />
• Utbildning som kan utnyttjas vid kriminell verksamhet (t ex vapenhantering/vapentillgång,<br />
sprängteknik).<br />
• Kunskaper om förhållanden som är intressanta från brottssynpunkt (t ex<br />
förråds lokalisering och innehåll, byggnadsteknisk utformning, larmanordningar).<br />
• Miljö som kan gynna brottsbenägna (t ex en i mängden, möjlighet till att<br />
påverka kamrater, boendeform, icke socialt kontrollerad miljö).<br />
• Brott som kan skada individen om de blir kända för omgivningen (t ex<br />
utpressning).<br />
6.10.3 Brott som påverkar bedömningen<br />
<strong>Försvarsmakten</strong> har gemensamt med Totalförsvarets pliktverk tagit fram<br />
värderingsregler att tillämpas vid bedömning av lämplighet att genomföra<br />
värnplikt till följd av påvisat kriminellt beteende. Vid bedömningen stöder<br />
man sig på uppgifter ur polisregister. Beslut i sådana fall sker efter överväganden<br />
vid HKV MUST.<br />
6.10.4 Omplacering inom förband<br />
6 Säkerhetsprövning<br />
Genomförd utredning skall i första hand ligga till grund för förbandschefens<br />
prövning av möjligheterna att inom förbandet omplacera den värnpliktige<br />
243
6 Säkerhetsprövning<br />
till en annan befattning. Syftet med en omplacering är att motverka negativa<br />
faktorer, men på ett sådant sätt att såväl förbandets som den enskildes säkerhet<br />
gynnas.<br />
6.10.5 Handläggning av hemställan<br />
Chef för organisationsenhet insänder till HKV MUST utredning och hemställan<br />
om att från säkerhetsskyddssynpunkt avbryta en värnpliktigs tjänstgöring.<br />
Om HKV MUST biträder hemställan skickas denna till Totalförsvarets<br />
pliktverk för beslut om ändring av inskrivning. Hemställan som inte<br />
biträds återgår till förbandet för förnyad prövning av möjligheterna till placering<br />
på annan befattning.<br />
6.11 Säkerhetsprövning inför internationell<br />
tjänstgöring<br />
Säkerhetsanalys av anställningar i <strong>Försvarsmakten</strong>s internationella verksamhet<br />
är av stor vikt, eftersom individens lojalitet och pålitlighet, <strong>Försvarsmakten</strong>s<br />
anseende och Sveriges förhållande till annan stat eller organisation<br />
kan påverkas. En enskild händelse kan få större konsekvenser än vad händelsen<br />
i sig motiverar.<br />
Befattningar med högre säkerhetsklass ställer särskilda krav på individen,<br />
varvid det krävs att rekryterande organisationsenhet genomför en mer omfattande<br />
säkerhetsprövning.<br />
De säkerhetshot som personal i internationell verksamhet kan utsättas för<br />
varierar mellan främmande underrättelseverksamhet, kriminalitet, sabotage,<br />
subversion eller terrorism. Bristande omdöme kan försätta individen<br />
eller den närmsta gruppen i olämpliga eller hotfulla situationer. Härav följer<br />
att utöver säkerhetsprövning är en gedigen säkerhetsutbildning nödvändig<br />
inför internationell tjänstgöring för att från säkerhetssynpunkt minimera<br />
antalet personärenden.<br />
Avseende befattning i underrättelse- och säkerhetstjänst skall alltid förhandsbesked<br />
inhämtas från MUST <strong>SÄK</strong>K vad avser pålitlighet från säkerhetsskyddssynpunkt<br />
och allmän lämplighet samt förutsättning att verka i<br />
den tilltänkta befattningen.<br />
Begäran om registerkontroll (RK) och Security Clearance görs enligt normala<br />
rutiner i IS UND<strong>SÄK</strong> RK-rutin.<br />
244
6.11.1 Säkerhetsprövning av lokalt anställda i<br />
utlandsstyrkan<br />
6 Säkerhetsprövning<br />
Säkerhetsprövning av lokalt anställda i utlandsstyrkan genomförs i likhet<br />
med övrig anställning med undantag av registerkontroll (RK).<br />
Rekrytering och urval inför anställning skall genomföras genom att noggrant<br />
kontrollera identitet, betyg, intyg och referenser. Resultat av denna<br />
säkerhetsprövning skall dokumenteras och finnas upplagd i personakt tillsammans<br />
med övrigt underlag .<br />
<strong>Skydd</strong>ssamtal skall genomföras omedelbart efter anställning och skall innehålla<br />
information om gällande hot och säkerhetsskyddsbestämmelser samt<br />
bestämmelser i övrigt som gäller vid enheten. Vikten av lojalitet och pålitlighet<br />
ska särskilt påpekas. <strong>Skydd</strong>ssamtal skall även genomföras om en<br />
person får ett nytt kontrakt efter ett <strong>års</strong> anställning. Fördjupade intervjuer<br />
av lokalt anställda genomförs vid behov. Underlag från tidigare intervjuer<br />
skall förvaras vid enheten av personal- respektive säkerhetschef. Dessa underlag<br />
skall ligga till grund för chefers uppföljning.<br />
6.12 Intyg om genomförd säkerhetsprövning<br />
(Security Clearance)<br />
Militära underrättelse- och säkerhetstjänsten i Högkvarteret skall, om det finns<br />
skäl för det, på begäran av chef för organisationsenhet eller den han eller hon<br />
bestämmer, eller i Högkvarteret lägst avdelningschef, utfärda intyg (Security<br />
Clearance) om att säkerhetsprövning som omfattar registerkontroll har gjorts i<br />
fråga om en person som är anställd av <strong>Försvarsmakten</strong> eller har uppdrag hos en<br />
anbudsgivare eller leverantör med vilken har ingått säkerhetsskyddsavtal.<br />
4 kap. 13 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel<br />
Säkerhetsintyg (Security Clearance) kan utfärdas i klasserna SECRET eller<br />
TOP SECRET. För TOP SECRET krävs placering i lägst säkerhetsklass 2 och<br />
för SECRET krävs placering i säkerhetsklass 3. Framställan om säkerhetsintyg<br />
skall göras i IS UND<strong>SÄK</strong> RK-rutin. För att funktionen ska bli valbar krävs<br />
att en gällande registerkontroll finns för individen. Dessutom krävs ett giltigt<br />
pass samt att individen inte omfattas av något säkerhetsskyddsbeslut i personärende<br />
med restriktioner.<br />
Olika blanketter utnyttjas beroende på om säkerhetsintyget berör EU, NATO<br />
eller ett bilateralt avtal. Säkerhetsintyg utfärdas vid HKV MUST.<br />
245
6 Säkerhetsprövning<br />
6.12.1 Security Clearance för deltagande inom ramen för<br />
NATO/EAP (PfP) verksamhet<br />
För att ta del av NATO/EAP (PfP) sekretessbelagd information (Classified<br />
Information) har överenskommelse gjorts mellan NATO och Sverige. Innebörden<br />
är att Sverige skall följa NATO Security Committee directive on personnel<br />
security (AC/35-D/2000). I direktiven framgår att personal från icke NATOländer<br />
endast får access till högst NATO SECRET, men beroende på svensk<br />
säkerhetsklass anges normalt SECRET (SK 3) eller TOP SECRET (SK 1 eller<br />
2).<br />
Följande säkerhetsintygsblanketter används:<br />
• ANNEX A. ANNEX A arkiveras vid HKV MUST.<br />
• ANNEX B anger att personen är behörig att ta del av information upp till<br />
och med SECRET/TOP SECRET och skall på anmodan kunna visas upp<br />
tillsammans med giltigt pass.<br />
Blanketter för framställan om Security Clearance för NATO/PfP verksamhet<br />
är fastställda av NATO och får inte förändras till utseende och innehåll.<br />
6.12.2 Security Clearance för deltagande inom ramen för EU<br />
verksamhet<br />
För att ta del av EU sekretessbelagd information (EU Classified Information)<br />
har överenskommelse gjorts med EU inom ramen för avtalet 2001/264/EC.<br />
Avtalet innebär att <strong>Försvarsmakten</strong> får intyga att en person som är anställd<br />
i alternativt genomför uppdrag för <strong>Försvarsmakten</strong> är behörig att del av information<br />
upp till och med EU TOP SECRET/TRES SECRET UE. Security<br />
Clearance för EU utfärdas för visst syfte och tid. I de fall personen genomför<br />
ett uppdrag genom säkerhetsskyddsavtal skall aktuellt företag anges.<br />
6.12.3 Security Clearance för deltagande inom ramen för<br />
bilaterala säkerhetsskyddsavtal<br />
För att ta del av annan nations sekretessbelagda information har säkerhetsskyddsavtal<br />
ingåtts med berörd nation. Avtalet innebär att <strong>Försvarsmakten</strong><br />
får intyga att en person som är anställd i alternativt genomför uppdrag för<br />
<strong>Försvarsmakten</strong> är behörig att del av information upp till och med TOP<br />
SECRET. Security Clearance inom ramen för bilaterala säkerhetsskyddsavtal<br />
utfärdas för visst syfte och tid.<br />
246
6 Säkerhetsprövning<br />
6.13 Behandling av personuppgifter samt<br />
sekretess vid säkerhetsprövning<br />
Chef för organisationsenhet, eller den han eller hon bestämmer, skall bestämma<br />
vilka personer som får handlägga ärenden som rör säkerhetsprövning. Uppgifter<br />
ur polisen register eller andra uppgifter som förekommer hos den militära säkerhetstjänsten<br />
i fråga om enskild och som behövs vid säkerhetsprövningen får<br />
i övrigt lämnas endast till den som enligt organisationsenhetens lokal bestämmelser<br />
skall utföra säkerhetsprövning.<br />
4 kap 8 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och<br />
skydd av viss materiel<br />
Ovanstående innebär att personärenden som rör säkerhetsprövning skall<br />
handläggas på ett grannlaga sätt så att den enskildes integritet skyddas, samt<br />
att vederbörlig sekretess iakttas. Handläggningen skall ske så att så få befattningshavare<br />
som möjligt ges insyn i dessa ärenden.<br />
Eftersom säkerhetsprövning rör uppgifter om individer och deras integritet<br />
samt rikets säkerhet, omfattas handläggningen dels av sekretess enligt sekretesslagen<br />
och dels av bestämmelser om hur uppgifterna får behandlas.<br />
104 Lagen om behandling av personuppgifter i <strong>Försvarsmakten</strong>s försvarsunderrättelseverksamhet<br />
och militära säkerhetstjänst trädde i kraft 1 juli <strong>2007</strong> vilket<br />
innebär att de bestämmelser som är nödvändiga ur integritetsskyddssynpunkt<br />
regleras i lag, däribland för vilka ändamål personuppgifter får behandlas<br />
inom de aktuella verksamheterna och de övriga begränsningar som<br />
skall gälla för behandlingen. Lagen är heltäckande och innehåller alla de<br />
bestämmelser som skall vara tillämpliga för <strong>Försvarsmakten</strong>s behandling av<br />
personuppgifter inom ramen för de aktuella verksamheterna. Personuppgiftslagen<br />
(PUL) skall därför inte tillämpas för denna verksamhet.<br />
104. Uppgifter som beskriver den militära säkerhetstjänstens verksamhet och metodik omfattas<br />
i regel av sekretess enligt 2 kap. 2 § sekretesslagen och uppgifter om utlämnade uppgifter<br />
från polisregister omfattas i regel av sekretess enligt 9 kap. 17 § sekretesslagen.<br />
247
Bilaga 6:1 Framställan om registerkontroll<br />
249
Bilaga 6:2 Särskild personutredning för<br />
säkerhetsklass 1 och 2 (SÄPO 73)<br />
251
Bilaga 6:3 Särskild personutredning för<br />
säkerhetsklass 1 (SÄPO 74)<br />
253
Bilaga 6:3 Särskild personutredning för säkerhetsklass 1 (SÄPO 74)<br />
254
Bilaga 6:3 Särskild personutredning för säkerhetsklass 1 (SÄPO 74)<br />
255
Bilaga 6:4 Säkerhetsskyddsbeslut<br />
FÖRSVARSMAKTEN <strong>SÄK</strong>ERHETSSKYDDSBESLUT <strong>SÄK</strong>K <strong>SÄK</strong>S/RK H/<br />
Militära underrättelse- och<br />
Personärende<br />
Ex nr ( )<br />
säkerhetstjänsten<br />
Sida 1 (1)<br />
1. Igenkänningsuppgifter<br />
Förband motsv Diarenummer Anställningsförhållanden<br />
2. Personuppgifter<br />
Personnummer Efternamn Samtliga förnamn<br />
3. Registreringsuppgifter<br />
PM bifogas<br />
Dom/Straffföreläggande bifogas<br />
Efter handläggning av ärendet skall förbandet motsv beslut antecknas på denna blankett<br />
4. HKV/MUST BESLUT<br />
5. Förbands motsv beslut efter säkerhetsprövning<br />
Placeras i säkerhetsklass enligt HKV/MUST beslut<br />
Placeras EJ i säkerhetsklass<br />
Datum<br />
Namnteckning (Beslutsfattare)<br />
Namnförtydligande, bfattning och telefon<br />
257
7 Säkerhetsskyddad<br />
upphandling (SUA)<br />
7.1 Grunder<br />
Funktionen säkerhetsskyddad upphandling med säkerhetsskyddsavtal<br />
(SUA) är en del av säkerhetsskyddet.<br />
Kravet på säkerhetsskydd framgår av säkerhetsskyddslagen.<br />
259
7 Säkerhetsskyddad upphandling (SUA)<br />
När staten avser att begära in anbud eller träffa avtal om upphandling där det<br />
förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess,<br />
skall staten träffa ett skriftligt avtal (säkerhetsskyddsavtal) med anbudsgivaren<br />
eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet. Detsamma<br />
gäller för kommuner och landsting.<br />
Om säkerhetsskyddslagen gäller för anbudsgivaren eller leverantören på grund<br />
av 1 § 2 eller 3, kan anbudsgivarens eller leverantörens skyldigheter enligt lagen<br />
inte göras mindre långtgående genom villkoren i säkerhetsskyddsavtalet. Lag<br />
(1999:952)<br />
8 § säkerhetsskyddslagen<br />
Lagen om offentlig upphandling reglerar hur en upphandling skall genomföras.<br />
I lagen definieras termen upphandling som köp, leasing, hyra eller<br />
hyrköp av varor, byggentreprenader eller tjänster.<br />
SUA får inte nyttjas i konkurrensbegränsande eller annat diskriminerande<br />
syfte.<br />
SUA kräver ett nära samarbete mellan beställare, beställarens säkerhetsfunktion<br />
och upphandlingsfunktionen. Säkerhets- och upphandlingslagstiftningarna<br />
skall hanteras tillsammans så att de båda efterlevs samtidigt.<br />
Syftet med att bygga upp ett säkerhetsskydd i samband med upphandling<br />
är att tillgodose de säkerhetsskyddskrav med hänsyn till rikets säkerhet som<br />
den verksamhetsansvarige är ålagd enligt säkerhetsskyddslagen. Vid en<br />
upphandling skall alla krav, som gäller för den vara eller tjänst som skall<br />
upphandlas, framgå av anbudshandlingarna. Denna kravspecifikation skall<br />
även omfatta erforderligt säkerhetsskydd. Krav som inte angivits får inte<br />
åberopas i efterhand.<br />
Handbok för <strong>Försvarsmakten</strong>s Säkerhetstjänst Säkerhetsskyddad upphandling med<br />
säkerhetsskyddsavtal (H <strong>SÄK</strong> SUA) ges ut som en separat handbok. Handboken<br />
är utarbetad i samverkan mellan <strong>Försvarsmakten</strong> och Säkerhetspolisen.<br />
H <strong>SÄK</strong> SUA innehåller riktlinjer beträffande säkerhetsskyddet kring upphandling<br />
för statens, kommunernas och landstingskommunernas behov.<br />
H <strong>SÄK</strong> SUA riktar sig till beställare av upphandling av varor och tjänster<br />
samt beställarens säkerhetsfunktion. Den riktar sig även till upphandlingsfunktionen.<br />
En upphandling, som erfordrar säkerhetsskyddsavtal, har alltid en början<br />
och ett slut, dvs när beställaren inte längre behöver varorna eller tjänsterna<br />
från ett företag skall säkerhetsskyddsavtalet sägas upp.<br />
260
7.2 Genomförande av SUA<br />
Säkerhetsskyddad upphandling med säkerhetsskyddsavtal skall genomföras<br />
om det som skall upphandlas berör verksamhet som skall skyddas med<br />
hänsyn till rikets säkerhet. Den som har för avsikt att upphandla vara eller<br />
tjänst skall genomföra en säkerhetsanalys för att utröna om det finns något<br />
som behöver skyddas med hänsyn till rikets säkerhet och i så fall ange vilka<br />
säkerhetsskyddsåtgärder som skall vidtas. Säkerhetsanalysen skall dokumenteras<br />
och vara undertecknad.<br />
De säkerhetsskyddsåtgärder som krävs enligt säkerhetsanalysen bör dokumenteras<br />
i en säkerhetsplan, om detta inte är uppenbart obehövligt.<br />
SUA brukar med beaktande av uppdragets art indelas och<br />
hanteras på tre olika nivåer:<br />
Nivå 1 Leverantören kommer att hantera och förvara<br />
hemliga uppgifter i sina egna lokaler<br />
Nivå 2 Leverantören kommer att hantera hemliga<br />
uppgifter enbart i lokal, som anvisats av beställande<br />
myndighet<br />
Nivå 3 Leverantören kan komma att få del av hemliga<br />
uppgifter<br />
Av kravspecifikationen i anbudshandlingen skall framgå att uppdraget erfordrar<br />
säkerhetsskydd och i vilken utsträckning. Till exempel måste det<br />
framgå om leverantören skall utföra arbetet i sina egna lokaler och om kostnaden<br />
för eventuella säkerhetsskyddskrav inte skall betalas av beställaren.<br />
Det skall framgå om säkerhetsprövning i form av registerkontroll skall genomföras<br />
eftersom detta kräver ett särskilt medgivande. Det skall också<br />
framgå att säkerhetskyddsavtalet är en förutsättning, men ingen garanti för<br />
att få uppdraget.<br />
Innan hemliga uppgifter får lämnas ut till en anbudsgivare/leverantör, skall<br />
säkerhetsskyddsavtal ha tecknats och behörighet från säkerhetsskyddssynpunkt<br />
erhållits för dem som berörs av uppdraget.<br />
Säkerhetsskyddsavtalet skall tecknas innan affärsavtalet ingås.<br />
7.3 Övrigt<br />
7 Säkerhetsskyddad upphandling (SUA)<br />
Beställande organisationsenhet skall teckna säkerhetsskyddsavtal med såväl<br />
huvudleverantör som eventuella underleverantörer. Att teckna säkerhetsskyddsavtal<br />
kan inte delegeras till huvudleverantören. Huvudleverantören<br />
har inte arbetsgivaransvar för underleverantören.<br />
261
7 Säkerhetsskyddad upphandling (SUA)<br />
7.4 H <strong>SÄK</strong> SUA<br />
H <strong>SÄK</strong> SUA kan beställas från Försvarets bok- och blankettförråd.<br />
262
8 Utbildning<br />
Besvikelse<br />
Lön<br />
Utebliven befordran<br />
Brist på uppskattning<br />
Kontakter<br />
Utländska<br />
Kriminella<br />
Karaktär<br />
BESKT<br />
Ekonomi<br />
Skulder<br />
För dyrt leverne<br />
Ensamhet<br />
Tillfälle<br />
Social misär<br />
Skilsmässa<br />
Söndring<br />
Stimulantia<br />
Särdrag<br />
8.1 Förbandschefs ansvar<br />
En grundläggande förutsättning för ett effektivt säkerhetsskydd är att all<br />
personal får erforderlig utbildning i ämnet.<br />
Utbildningen syftar främst till att klargöra varför och hur man skall vidta<br />
skyddsåtgärder mot hot av olika slag. Utbildningen bör genomföras så att<br />
det skapas en positiv och aktiv inställning till säkerhetsskydd samt ett ökat<br />
säkerhetsmedvetande hos målgruppen.<br />
Om inte något annat följer av bestämmelser i lag, är endast den behörig att ta<br />
del av hemliga uppgifter som<br />
• bedöms pålitlig från säkerhetssynpunkt,<br />
• har tillräckliga kunskaper om säkerhetsskydd, och<br />
• behöver uppgifterna för sitt arbete i den verksamhet där de hemliga uppgifterna<br />
förekommer.<br />
7 § Säkerhetsskyddsförordningen<br />
263
8 Utbildning<br />
I behörighetsbegreppet ingår som ett kriterium att ha kunskap om säkerhetsskydd.<br />
Denna kunskap skall ges till all personal, som delges hemliga<br />
uppgifter.<br />
Det åligger respektive chef för en organisationsenhet att anordna säkerhetsupplysningar<br />
och utbildning i frågor som rör säkerhetsskydd. Chef skall<br />
dessutom tillse att personal med särskilda befattningar (säkerhetschef, ITsäkerhetschef<br />
och signalskyddschef) har genomfört centralt anordnade kurser.<br />
Vid varje myndighet skall det finnas en plan för utbildning i säkerhetsskydd<br />
5 kap. 1 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd<br />
Varje myndighet skall föra en förteckning över de anställda som har genomgått<br />
utbildning i säkerhetsskydd.<br />
5 kap. 2 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd<br />
Vid varje organisationsenhet skall det finnas en plan för utbildning i säkerhetsskydd<br />
samt en förteckning över de anställda som har genomgått utbildning<br />
i säkerhetsskydd och annan säkerhetstjänstutbildning inklusive<br />
signalskyddsutbildning.<br />
Förteckningen bör förvaras på en enda plats. Utbildningsplanen skall grunda<br />
sig på en analys av vilket utbildningsbehov som föreligger för personalen.<br />
Planen bör innehålla mål för olika säkerhetsutbildningar samt när respektive<br />
utbildning skall genomföras.<br />
All genomförd säkerhetstjänstutbildning skall dokumenteras. Dokumentationen<br />
skall innehålla uppgifter om när utbildningen genomfördes, vad<br />
utbildningen omfattade och vem som ansvarade för utbildningen samt, i<br />
förekommande fall, hur länge utbildningen är giltig om den innehåller<br />
tidskritiska delar som regelbundet behöver förnyas.<br />
8.2 Omfattning<br />
8.2.1 Allmänt<br />
Utbildning i militär säkerhetstjänst kan indelas i säkerhetsupplysning och<br />
säkerhetsutbildning. Säkerhetsupplysningen syftar till att ge den enskilde<br />
erforderliga kunskaper om sitt ansvar för säkerhetsskyddet. Denna upplysning<br />
bör ingå i introduktionsutbildningar och vid fortlöpande utbildning<br />
med hänsyn till aktuell säkerhetshotbild. Säkerhetsutbildningen skall ges<br />
264
den enskilde i syfte att erhålla behörighet för att handlägga eller ta del av<br />
hemliga uppgifter.<br />
Grundläggande säkerhetsupplysning och säkerhetsutbildning bör ledas av<br />
säkerhetschefen vid organisationsenheten i samverkan med IT-säkerhetschef<br />
och signalskyddschef.<br />
Fortlöpande utbildning skall genomföras i syfte att upprätthålla kompetensen<br />
inom säkerhetstjänstområdet samt att bibehålla ett högt säkerhetsmedvetande<br />
hos chefer och personal.<br />
Chef för organisationsenhet bör inleda upplysning eller utbildning rörande<br />
säkerhetstjänst i syfte att på ett tydligt sätt visa på utbildningens betydelse<br />
för säkerhetstjänstens bedrivande.<br />
8.2.2 Säkerhetsupplysning<br />
Säkerhetsupplysning skall ge den enskilde kunskaper om sitt ansvar för säkerhetsskyddet.<br />
Säkerhetsupplysning ingår i regel i introduktionsutbildning<br />
och i fortlöpande utbildning med hänsyn till säkerhetshotbilden.<br />
Säkerhetsupplysning bör omfatta:<br />
• Orientering om den säkerhetshotande verksamheten med lokal anpassning<br />
• Orientering om gällande regelverk<br />
• Redovisning av förbandets säkerhetstjänstorganisation<br />
• Redovisning av förbandets säkerhetsskyddsplan och säkerhetsbestämmelser<br />
(ArbO eller motsvarande)<br />
• Orientering om IT-säkerhet och kraven på IT-användare<br />
• Orientering om skyldigheten att rapportera säkerhetshotande verksamhet<br />
och brott mot säkerhetsskyddsbestämmelserna<br />
• Säkerhetsskyddsbestämmelser i övrigt<br />
8.2.3 Säkerhetsutbildning<br />
8 Utbildning<br />
För att någon skall vara behörig att handlägga eller ta del av hemliga uppgifter<br />
krävs att den enskilde har erhållit utbildning i frågor som rör säkerhetstjänst.<br />
Omfattning och inriktning av utbildningen beror bland annat på<br />
befattning, arbetsuppgifter, inplacering i säkerhetsklass, graden av säkerhetsansvar<br />
och utbildningsståndpunkt. Utbildningen anpassas vidare utifrån<br />
respektive organisationsenhets verksamhet och förutsättningar i övrigt.<br />
265
8 Utbildning<br />
Följande områden är exempel på innehåll i sådan utbildning:<br />
• Säkerhetstjänstens organisation och uppgifter<br />
• Mål, medel och metoder för säkerhetstjänsten<br />
• Styrande dokument (verksamhetsanalys, säkerhetsanalys, säkerhetsplan,<br />
signalskyddsinstruktion och säkerhetsbestämmelser) 105<br />
• Säkerhetshotande verksamhet inklusive aktuell hotbild<br />
• Bestämmelser avseende hantering av hemliga uppgifter 106<br />
• Bestämmelser för användning av IT-system avsedda för bearbetning av<br />
hemliga uppgifter<br />
• Bestämmelser för användning av signalskyddsmateriel<br />
• Tecknande av sekretessbevis<br />
Inom ramen för utbildning rörande informations- och IT-säkerhet bör särskilt<br />
uppmärksammas bestämmelser för hantering av digitala lagringsmedia,<br />
mobiltelefoner och handdatorer. Vad avser tillträdesbegränsning bör<br />
bestämmelser och rutiner för besökshantering ägnas särskild uppmärksamhet.<br />
8.2.4 Kurser<br />
Centrala kurser i säkerhets- och signalskyddstjänst genomförs vid <strong>Försvarsmakten</strong>s<br />
Underrättelse- och säkerhetscentrum (FM UndSäkC), Totalförsvarets<br />
signalskyddsskola (TSS) samt vid <strong>Försvarsmakten</strong>s tekniska skola<br />
(FMTS).<br />
Regionala grundkurser (Grundkurs Säkerhetstjänst, GK <strong>SÄK</strong>) genomförs av<br />
respektive säkerhets- och samverkanssektion.<br />
8.3 Genomförande<br />
8.3.1 Grundläggande utbildning<br />
Säkerhetstjänstutbildning och säkerhetstjänstupplysning bör ledas av säkerhetschefen<br />
eller hans ställföreträdare och vara anpassad för den utvalda<br />
målgruppen.<br />
105. Se vidare kap 10 samt bilaga 10.3 avseende säkerhetsbestämmelser.<br />
106. Se bilaga 3.4 för vilka hanteringsbestämmelser som minst bör ingå i utbildning rörande<br />
säkerhetsskydd.<br />
266
Exempel på målgrupper är:<br />
• Chefer på alla nivåer<br />
• Säkerhetsmän<br />
• IT-handläggare och systemtekniker (motsvarande)<br />
• Expeditionspersonal<br />
• Personalhandläggare<br />
• Inköpsansvariga<br />
• Vakt- och insatspersonal<br />
8.3.2 Fortlöpande utbildning<br />
Fortlöpande utbildning krävs för att upprätthålla personalens kunskaper<br />
och säkerhetsmedvetande. Varje tillfälle till utbildning bör tas tillvara. Ett<br />
sådant tillfälle till säkerhetsupplysning kan vara då personalen är samlad till<br />
genomgång. Ett eller flera säkerhetsfall kan då tas upp och belysas. Som ett<br />
komplement till genomgång kan en enkel broschyr eller PM användas för<br />
att snabbt nå samtlig personal.<br />
Erfarenheter och upptäckta brister vid kontroller utgör delvis underlag för<br />
fortlöpande utbildning.<br />
Fortlöpande utbildning i form av säkerhetsupplysning bör genomföras årligen.<br />
8.3.3 Särskild säkerhetsutbildning<br />
Särskild säkerhetsutbildning genomförs med personal som deltar i verksamheter<br />
vilka kräver särskilda skyddsåtgärder. Exempel på sådan verksamhet<br />
är när icke försvarsmaktsanställd personal, såväl svensk som<br />
utländsk, besöker förband eller deltar i utbildning och övningar samt när<br />
svensk personal deltar i motsvarande verksamhet utanför Sverige.<br />
Denna typ av säkerhetsutbildning anpassas beroende på verksamhet och<br />
aktuellt säkerhetshot.<br />
Utbildningen bör minst omfatta:<br />
• Chefer på alla nivåer<br />
• Aktuell säkerhetshotbild<br />
• Vidtagna (eller föreslagna) säkerhetsskyddsåtgärder<br />
• Särskilda säkerhetsskyddsbestämmelser<br />
• Rapporteringsbestämmelser<br />
8 Utbildning<br />
267
8 Utbildning<br />
8.3.4 Informationstjänst<br />
Informationstjänst är ett viktigt medel för att sprida kunskap i frågor som<br />
rör säkerhetstjänsten eller närstående områden. Informationen kan omfatta<br />
såväl olika former av orienteringar som särskilda informationskampanjer.<br />
Informationstjänsten är därmed en viktig förutsättning för att erhålla ett högt<br />
säkerhetsmedvetande.<br />
268
9 Kontroll<br />
9.1 Grunder<br />
Kontroll av säkerhetsskyddet skall säkerställa att regler för säkerhetsskyddet följs<br />
samt att säkerhetsskyddsnivån är anpassad till aktuellt säkerhetshot. Såväl föranmälda<br />
som inte föranmälda kontroller skall göras.<br />
6 kap. 1 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel.<br />
Säkerhetsskyddskontroll genomförs i syfte att bedöma om organisationsenhetens<br />
uppfattning om hot och risker överensstämmer med aktuell bedömning<br />
av säkerhetshot och att enheten vidtagit erforderliga säkerhetsskyddsåtgärder<br />
i enlighet med regelverkets krav och med hänsyn till aktuell<br />
hotbild.<br />
Kontrollverksamheten syftar vidare till att utgöra ett stöd för den enhet som<br />
kontrolleras för att därigenom möjliggöra förbättringar avseende säkerhetsskyddet.<br />
Kontroller genomförs dessutom som ett led i säkerhetsskyddsutbildningen<br />
(underlag för fortlöpande utbildning).<br />
269
9 Kontroll<br />
9.2 Ansvar<br />
Militära underrättelse- och säkerhetstjänsten i Högkvarteret skall genomföra<br />
säkerhetsskyddskontroller vid de myndigheter som <strong>Försvarsmakten</strong> skall kontrollera<br />
enligt 39 § säkerhetsskyddsförordningen (1996:633) samt, vad avser<br />
<strong>Försvarsmakten</strong>, vid Högkvarteret, staben vid <strong>Försvarsmakten</strong>s logistik, <strong>Försvarsmakten</strong>s<br />
telenät- och markteleförband, utlandsstyrkan inom <strong>Försvarsmakten</strong>,<br />
samt vid de enheter med särskilda uppgifter som Högkvarteret beslutar i<br />
särskild ordning.<br />
Föreligger särskild anledning skall militära underrättelse- och säkerhetstjänsten<br />
i Högkvarteret även genomföra kontroll vid övriga organisationsenheter inom<br />
<strong>Försvarsmakten</strong>. Innan en sådan kontroll genomförs skall den operative chefen<br />
i Högkvarteret om möjligt informeras.<br />
6 kap. 2 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel<br />
Såväl chef för organisationsenhet som övriga chefer på alla nivåer och den<br />
enskilde är ansvariga för att säkerhetskontroller genomförs regelbundet.<br />
Den enskilde är enligt chefs närmare bestämmelser bl a ansvarig för egen<br />
arbetsplats eller eget arbetsområde. Alla chefer har säkerhetsansvar för den<br />
egna verksamheten.<br />
Den operative chefen i Högkvarteret, eller den eller de han eller hon bestämmer<br />
inom den operativa enheten, skall genomföra säkerhetsskyddskontroller vid <strong>Försvarsmakten</strong>s<br />
organisationsenheter utom avseende vissa organisationsenheter<br />
som den militära underrättelse- och säkerhetstjänsten i Högkvarteret beslutar.<br />
6 kap. 3 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel<br />
Den operativa staben har ansvar för att säkerhetsskyddet kontrolleras vid<br />
<strong>Försvarsmakten</strong>s organisationsenheter i Sverige med vissa undantag. Stöd<br />
avropas från central nivå enligt särskilda bestämmelser.<br />
Den militära underrättelse- och säkerhetstjänsten genomför kontroll vid de<br />
myndigheter <strong>Försvarsmakten</strong> har tillsynsansvar för avseende säkerhetsskydd<br />
samt inom <strong>Försvarsmakten</strong> av bl a högkvarteret och utlandsstyrkan,<br />
inklusive annan utlandsverksamhet.<br />
Den operativa staben tillsammans med taktiska staber biträder den militära<br />
underrättelse- och säkerhetstjänsten vid kontroll av utlandsstyrkan och viss<br />
annan utlandsverksamhet.<br />
270
Varje organisationsenhet skall regelbundet och minst en gång per år kontrollera<br />
säkerhetsskyddet inom organisationsenheten.<br />
6 kap. 4 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel<br />
Varje organistaionsenhet skall upprätta en plan för intern kontrollverksamhet.<br />
Planen ska även inkludera kontroll av SUA-företag (nivå 1). Protokoll<br />
från kontrollerna skall finnas samlade vid enheten, lämpligen hos säkerhetschefen.<br />
Innehållet i ett protokoll bör endast delges en mindre krets. Fel<br />
och brister, som upptäcks skall snarast åtgärdas. Om de bedöms som allvarliga<br />
skall de omedelbart anmälas till den militära underrättelse- och<br />
säkerhetstjänsten.<br />
Varje enhets regelbundna och fortlöpande internkontroller är väl så viktiga<br />
som högre chefs kontroll för att upprätthålla eller uppnå en erforderlig säkerhetsskyddsnivå.<br />
9.3 Kontrolltyper<br />
9.3.1 Föranmälda kontroller<br />
9 Kontroll<br />
Grundkontroll av säkerhetsskyddet<br />
En säkerhetskontroll i form av grundkontroll förbereds i dialog mellan<br />
berörda parter. Den genomförs vid en överenskommen tidpunkt eller inom<br />
en bestämd tidsperiod och omfattar alla delar av säkerhetsskyddet. Kontrollverksamheten<br />
skall grundas på en årlig rullande plan, en så kallad<br />
kontrollplan.<br />
Kontrollplanen skall omfatta minst en fem<strong>års</strong>period. Varje organisationsenhet<br />
eller myndighet som kontrolleras ska genomgå en grundkontroll vart<br />
femte år. Grundkontroll av förband ingående i utlandsstyrkan sker inom det<br />
första året förbandet är etablerat i nytt insatsområde, därefter genomförs<br />
regelbundet uppföljningskontroller med varierande inriktningar. Grundkontroll<br />
av försvarsavdelningar sker i regel inom sex månader efter nyetablering.<br />
Uppföljningskontroll<br />
Efter det att grundkontroll genomförts skall en uppföljningskontroll genomföras,<br />
inom ett till två och ett halvt år, där främst de iakttagelser och<br />
271
9 Kontroll<br />
påpekanden som inte uppfyllde kraven vid senaste grundkontroll kontrolleras<br />
på ett samlat och systematiskt sätt. För tillfälliga förband/enheter i<br />
utlandsstyrkan genomförs uppföljningskontroll normalt en gång per rotationsomgång<br />
och vid försvarsavdelningar normalt i anslutning till byten av<br />
försvarsattachéer.<br />
Internkontroll<br />
Varje organisationsenhet inom <strong>Försvarsmakten</strong>, skall regelbundet och minst<br />
en gång per år genomföra internkontroller av säkerhetsskyddet inom organisationsenheten<br />
i enlighet med <strong>Försvarsmakten</strong>s interna bestämmelser om<br />
säkerhetsskydd och skydd av viss materiel. Internkontroller skall planeras<br />
och dokumenteras i en internkontrollplan. Resultatet skall sedan dokumenteras<br />
liksom åtgärder och tidsförhållanden. Under loppet av två till tre<br />
verksamhetsår bör alla delar av enheten omfattas av internkontrollverksamhet.<br />
Enhet som upplever att del av förbandet, eller motsvarande, har särskilda<br />
problem bör genomföra kontroller oftare i form av överraskande kontroller<br />
eller särskilda kontroller.<br />
Säkerhetsskyddsbesök<br />
Säkerhetsskyddsbesök ersätter inte kontrollverksamhet, men kan vara ett<br />
lämpligt tillvägagångssätt, t ex inför en grundkontroll, som av olika skäl<br />
måste senareläggas eller för att tillfälligt ersätta en extern kontroll. Säkerhetsskyddsbesök<br />
bör också genomföras vid förband ingående i utlandsstyrkan<br />
inför etablering i nytt insatsområde eller vid etablering av försvarsavdelning<br />
på ny plats. Syftet är främst att klarlägga den kontrollerades läge i<br />
stort och behov av stöd avseende säkerhetsskyddet. Säkerhetsskyddsbesök<br />
kan också vara ett sätt att minska omfattningen av en kontroll då verksamhet<br />
endast genomförs under kortare tid eller kunskaperna om enheten är mycket<br />
goda samt att säkerhetsskyddet bedöms uppfylla gällande regelverk.<br />
Administrativ kontroll av signalskyddstjänsten<br />
Signalskyddsverksamheten är en säkerhetsskyddsangelägenhet som utgör<br />
del av säkerhetstjänsten och kontrolleras som en delmängd vid grund- och<br />
uppföljningskontroller. Administrativ kontroll av signalskyddstjänsten genomförs<br />
även vid enheter inom totalförsvaret där endast signalskyddstjänsten<br />
är föremål för kontroll eller när särskilda skäl påkallar en kontroll av<br />
signalskyddstjänsten i övrigt (se vidare H TST Grunder).<br />
272
Signalkontroll<br />
Signalkontroll genomförs av specialutbildade enheter med syfte att försvåra,<br />
om möjligt förhindra, främmande underrättelsetjänst eller annan obehörig<br />
åtkomst, störande eller manipulering av data i totalförsvarets telekommunikations-<br />
och informationssystem. Signalkontroll avser även kontroll av<br />
röjande signaler (RÖS) och att systemen används enligt gällande regelverk<br />
(se vidare H TST Grunder).<br />
9.3.2 Ej föranmälda kontroller<br />
9 Kontroll<br />
Överraskande säkerhetskontroll<br />
Överraskande säkerhetskontroll genomförs utan förvarning eller med kort<br />
förvarning. Överraskande säkerhetskontroll kan genomföras av säkerhetsorganisationen<br />
i överordnad organisationsenhet eller som internkontroll.<br />
Särskild säkerhetskontroll<br />
Särskild säkerhetskontroll genomförs för att kontrollera viss verksamhet där<br />
ett akut säkerhetsproblem uppstått, upptäckts eller kan förutses uppstå. Sådan<br />
kontroll kan utföras av överordnad organisationsenhet eller som internkontroll.<br />
Exempel på särskild säkerhetskontroll som kan genomföras utan särskilt<br />
medgivande av högre chef:<br />
• Uppdagande av befarade brister i säkerhetsskyddet kring vapenförvaring<br />
i kassunbyar. Sådan kontroll genomförs av garnisonens personal eller av<br />
säkerhets- och samverkanssektion ur den operativa staben.<br />
• Kontroll av vakt- och bevakningstjänsten inom garnison. Sådan kontroll<br />
genomförs av garnisonens egen säkerhetstjänstpersonal eller av säkerhets-<br />
och samverkanssektion ur den operativa staben.<br />
273
9 Kontroll<br />
Exempel på särskild säkerhetskontroll som kräver särskilda tillstånd och resurser<br />
kan vara:<br />
• Så kallad aktiv IT-kontroll. Syftet med sådan kontroll är att pröva IT-systemens<br />
förmåga att motstå samt detektera intrång eller intrångsförsök.<br />
107<br />
• Kontroll av skarp pågående verksamhet som vakt- och bevakningstjänst<br />
utanför garnison av IBSS (Insatsberedd skyddsstyrka) 108<br />
• Kontroll av att säkerhetsskyddade transporter genomförs enligt gällande<br />
regelverk med hänsyn till hotläge, trafiksituation m m. 109<br />
9.3.3 Kontroll av företag som upphandlats med<br />
säkerhetsskyddsavtal (SUA)<br />
Kontroll genomförs av företag som upphandlats för leverans av tjänster eller<br />
varor av något slag där hemliga uppgifter som rör rikets säkerhet krävs för<br />
att beställd produkt ska kunna levereras. Omfattningen av kontrollverksamheten<br />
varierar beroende på vilken avtalsnivå (1-3) som avtalats.<br />
Kontroll av företag som har upphandlats med säkerhetsskyddsavtal skall genomföras<br />
av den beställande organisationsenheten. Vid behov skall en sådan<br />
kontroll göras i samråd med Säkerhetspolisen. Säkerhetspolisen skall informeras,<br />
om kontrollen sker utan dess medverkan.<br />
6 kap. 9 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel<br />
Kontroller av att företag som upphandlats med säkerhetsskyddsavtal uppfyller<br />
ingångna avtal görs som förstagångsbesök i samband med att företaget<br />
ska kontrakteras och utgör en del av godkännandeprocessen. Kontrollerna<br />
genomförs av den beställande enhetens säkerhetschef.<br />
Uppföljningskontroller ska genomföras med periodicitet som överenskoms<br />
i avtalet samt vid större förändringar inom upphandlat företag.<br />
Det är alltid den beställande organisationsenheten som ska genomföra kontrollerna<br />
och inte den enhet som lämnar upphandlingsstöd.<br />
107. Denna typ av kontroll får endast bedrivas av särskilt utbildad IT-säkerhetspersonal och<br />
enligt direktiv från den militära underrättelse- och säkerhetstjänsten.<br />
108. Kontroller som berör insatsverksamhet där personal bär skarpladdade vapen får endast<br />
genomföras efter särskild riskanalys och bedrivas efter tillstånd från den militära underrättelse-<br />
och säkerhetstjänsten eller den operativa staben.<br />
109. Föregående fotnot.<br />
274
9.4 Kontrollförberedelser<br />
9.4.1 Riktlinjer för tidsplan inför grundkontroll<br />
Kontrollverksamheten skall, såvitt avser föranmälda kontroller, grundas på en<br />
årlig plan, kontrollplan, som skall omfatta en fem<strong>års</strong>period. Kontrollplanen skall<br />
upprättas i samråd med den som skall kontrolleras.<br />
6 kap. 5 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel<br />
Tidsplanen för kontrollplan är:<br />
• Cirka ett år före bestäms exakt tid för kontrollen<br />
• Cirka sex månader före grundkontroll bestäms kontrollens omfattning i<br />
stort och underlag begärs in cirka tre månader före genomförandet.<br />
• Cirka två månader före grundkontroll fastställs kontrollens omfattning<br />
med detaljanvisningar.<br />
Senast en månad före en föranmäld kontroll skall den som skall kontrolleras få<br />
en detaljplan över hur kontrollen avses att genomföras.<br />
6 kap. 6 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel<br />
Senast en månad före genomförande sänds detaljplan, ordningsföljd för<br />
kontrollen samt namn på ledsagare m m, för grundkontroll och uppföljningskontroll<br />
från den kontrollerade till den kontrollerande.<br />
9.4.2 Underlag för genomförande av<br />
säkerhetsskyddskontroll<br />
I syfte att förbereda genomförandet av en säkerhetsskyddskontroll begär<br />
den enhet som ska genomföra kontrollen in de underlag som krävs.<br />
Underlagen utgörs bland annat av:<br />
• Enhetens arbetsordning (Arbo)<br />
• Verksamhetsbeskrivning(ar)<br />
• Säkerhetsanalys(er)<br />
• Säkerhetsskyddsplan(er)<br />
• Internkontrollplan<br />
• Utbildningsplan säkerhetstjänst<br />
• IT-säkerhetsplan(er)<br />
9 Kontroll<br />
275
9 Kontroll<br />
• Signalskyddsinstruktion<br />
• Förteckning över IT-system och lokala nätverk (LAN)<br />
• Skisser över nät.<br />
• Kontinuitetsplanering<br />
• Förteckning över ingångna säkerhetsskyddsavtal (SUA)<br />
• Förteckning över personal med säkerhetstjänstuppgifter<br />
• Övriga interna bestämmelser som rör säkerhetstjänsten<br />
9.4.3 Förberedelser inför övriga typer av kontroller och<br />
besök<br />
För andra kontroller än grundkontroll genomförs förberedelser i tillämpliga<br />
delar enligt 9.4.1 och 9.4.2, men anpassas vad avser omfattning och tidsförhållanden<br />
m.m.<br />
9.5 Genomförande<br />
Kontrollverksamheten bör genomföras i samförstånd och ska uppfattas som<br />
ett stöd av den kontrollerade. Kontrollen genomförs lämpligen både i dialogform<br />
som intervjuer och som besök vid respektive objekt. Särskilda tester<br />
och prov av t ex larmfunktioner och insatstider kan ingå.<br />
Kontrollen bör inledas med en gemensam genomgång i närvaro av så stor<br />
del som möjligt av organisationsenhetens anställda. Härvid kan det vara<br />
lämpligt med en säkerhetsorientering som tar fasta på enhetens uppgifter,<br />
hot och risker. Chefers och säkerhetspersonals närvaro skall vara ett krav.<br />
Vid genomgången redovisar den kontrollerade sin verksamhet, bedömt säkerhetshot,<br />
säkerhetsorganisation och säkerhetsplanering. Den kontrollerande<br />
redogör för syftet med och omfattningen av kontrollen. Alla tillfällen<br />
till utbildning som ges under kontrollen bör tas tillvara. Eventuella förändringar<br />
i säkerhetshotbilden i dagsläget redovisas som komplement till<br />
bedömt säkerhetshot. Kontrollen bör ske på flera täter.<br />
Exempel på indelning av kontrolltäter:<br />
• Ledning, säkerhetsutbildning, internkontroller och hotbildsuppfattning<br />
• Tillträdesbegränsning, vapenförvaring och insatstider m.m.<br />
• Informationssäkerhet<br />
• IT-säkerhet (administrativ och teknisk kontroll)<br />
• Säkerhetsprövning<br />
276
• Säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA)<br />
• Signalskyddsverksamhet<br />
I övrigt kan kontrolltäter sammansättas efter kontrollpersonalens kompetens<br />
och antal till fler eller färre antal täter. Kontrolltät bör inte bestå av färre<br />
än två personer. Detta för att säkerställa att synpunkter och iakttagelser hinner<br />
dokumenteras och uppfattas korrekt.<br />
Nyckelpersonal vid den kontrollerade enheten<br />
Ledning Förbandschef, stabschef, säkerhetschef,<br />
övriga chefer<br />
Utbildning, kontroll Säkerhetschef/stf, säkerhetsmän<br />
Hotbildsuppfattning Chefer på alla nivåer m fl<br />
Informationssäkerhet C Adm, administrativ personal, chefer<br />
IT-säkerhet IT-chef (ADB-chef), IT-säkerhetschef/stf<br />
Tillträdesbegränsning Säkerhetschef/stf, vaktchef/receptionist, säkerhetsmän<br />
m.fl.<br />
Säkerhetsprövning Personalchef, personalhandläggare, säkerhetschef/stf<br />
SUA Anskaffning/inköp/ekonomiansvarig chef, säkerhetschef/stf<br />
Signalskydd Signalskyddschef/stf, IT-chef, Sambandschef<br />
m fl<br />
9 Kontroll<br />
Direkt efter kontrollen delges den kontrollerade muntligen en sammanfattning<br />
av gjorda iakttagelser. Därvid bör enhetens chef och all säkerhetspersonal<br />
delta.<br />
En kontroll kan också genomföras inom en eller några funktioner, t ex. informationssäkerhet<br />
och IT-säkerhet eller på bredden, d v s hos flera enheter<br />
under samma tidsperiod. Syftet kan vara att på bredden kontrollera viktiga<br />
funktioner.<br />
Intern kontrollverksamhet bör ledas av säkerhetschefen eller vid mer omfattande<br />
kontrollverksamhet av enhetens chef, eller motsvarande, för att ge<br />
tillräcklig tyngd åt kontrollen och för att chefen personligen skall få en överblick<br />
över organisationsenhetens status vad avser säkerhetsskyddet.<br />
277
9 Kontroll<br />
9.6 Efter genomförd kontroll<br />
9.6.1 Muntliga och skriftliga redovisningar<br />
I samband med att en kontroll avslutas genomförs en redovisning för förbandsledning<br />
och säkerhetspersonal m fl där de viktigaste iakttagelserna och<br />
eventuella krav på omedelbara åtgärder tas upp.<br />
Detta innebär att åtgärder som är tvingande skall vidtas så snabbt som det<br />
är möjligt utan att invänta protokoll eller andra beslutshandlingar.<br />
Innan slutlig sammanställning av resultatet från kontrollen sänds ut, tillställs<br />
den kontrollerade en remiss för komplettering eller justering av eventuella<br />
missuppfattningar, sakfel och oklarheter.<br />
Ett protokoll från en säkerhetsskyddskontroll skall inom tre månader från kontrollen<br />
sändas till den som har blivit kontrollerad. I protokollet skall anges inom<br />
vilken tid fel och brister skall vara åtgärdade.<br />
6 kap. 7 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel.<br />
Senast tre månader efter kontrollen skall det slutliga protokollet sändas till<br />
den kontrollerade.<br />
För utlandsstyrkan är inriktningen att operativ stab, taktisk stab och förbandet<br />
senast fem veckor efter genomförd kontroll ska erhålla slutligt protokoll<br />
(ingen remiss). I vissa fall kan dock ett remissvarv behövas även efter kontroll<br />
av utlandsstyrkan varvid tiden till slutligt protokoll förlängs till nio<br />
veckor.<br />
I kontrollprotokoll ska anges en tidpunkt (ca 4-6 månader senare), då en<br />
rapport skall vara den kontrollerande tillhanda. I rapporten skall det framgå<br />
vilka åtgärder som vidtagits och planerats med anledning av vad som delgivits<br />
muntligt och vad som påtalats i protokollet samt en tidsplan för<br />
åtgärdsarbetet.<br />
Kontroll av att påtalade fel och brister är åtgärdade skall ske senast inom två år<br />
från protokollets datum, om inte någon annan tid anges i protokollet.<br />
6 kap. 8 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel<br />
Inom ett till två och ett halvt år efter genomförd grundkontroll ska en uppföljningskontroll<br />
ske.<br />
278
Protokoll från säkerhetsskyddskontroller inom en organisationsenhet skall förvaras<br />
samlade vid organisationsenheten.<br />
6 kap. 10 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel.<br />
Då protokoll efter genomförd kontrollverksamhet innehåller uppgifter vilka<br />
redovisar svagheter i säkerhetsskyddet omfattas i regel uppgifterna av sekretess<br />
enligt sekretesslagen och rör rikets säkerhet.<br />
9.7 Rapportering<br />
9 Kontroll<br />
Snarast möjligt efter genomförd säkerhets- och signalskyddskontroll skall<br />
en kort sammanfattande rapport om resultatet från kontrollen, en så kallad<br />
förhandsrapport, sändas till den militära underrättelse och säkerhetstjänsten.<br />
Förhandsrapporten utgör underlag för veckovisa beredningar och delunderlag<br />
avseende FM Kontrolläge.<br />
Säkerhetshotande verksamhet och allvarliga brister i säkerhetsskyddet som<br />
identifierats under kontrollverksamhet skall omedelbart rapporteras till den<br />
militära underrättelse och säkerhetstjänsten för att utgöra del av FM Kontrolläge<br />
samt för att erforderliga säkerhetsskyddsåtgärder ska kunna vidtas<br />
och följas upp.<br />
FM Kontrolläge utgör en del av <strong>Försvarsmakten</strong>s gemensamma lägesbild<br />
(FMGL) och delges regelmässigt FM Ledning och ÖB varje vecka.<br />
279
10<br />
Säkerhetsplanering<br />
Sannolikhet<br />
Konsekvens<br />
10.1 Allmänt<br />
Risk<br />
Säkerhetsplanering omfattar säkerhetsanalys, säkerhetsplan och säkerhetsbestämmelser.<br />
Säkerhetsplanering är en systematisk process som utgående<br />
från våra skyddsvärda tillgångar bedömer de risker som föreligger och fastställer<br />
hur dessa ska hanteras.<br />
Säkerhetsplanering är inte en isolerad företeelse, utan en väl integrerad del<br />
av den fortlöpande planering, genomförande och uppföljning som säkerhetstjänsten<br />
innebär. Säkerhetsplanering möjliggör vidare att såväl tillämpliga<br />
som kostnadseffektiva skyddsåtgärder vidtas, samtidigt som regelverkets<br />
krav på en lägsta nivå av säkerhetsskydd uppfylls.<br />
Genomförandet av säkerhetsplanering är heller inte en engångsföreteelse<br />
vars resultat gäller för all framtid. Den ska genomföras regelbundet och vid<br />
särskilda behov med hänsyn till bland annat regelverkets krav samt förändringar<br />
av verksamhet, uppgift, hotbild, sårbarhet och skyddsvärda tillgångar.<br />
Säkerhetsplanering är därmed en dynamisk process vilken kräver<br />
fortlöpande uppföljning och utvärdering.<br />
281
10 Säkerhetsplanering<br />
Första gången säkerhetsplanering genomförs vid en enhet eller för en viss<br />
verksamhet kommer att vara den mest resurs- och tidskrävande. Fortlöpande<br />
förändringar och uppdateringar utgår från tidigare genomfört arbete och<br />
leder därför till en minskning av de resurser och den tid som krävs. All säkerhetsplanering<br />
ska därför dokumenteras i syfte att erhålla fullständig<br />
spårbarhet.<br />
Effekten av säkerhetsplanering avgörs i hög grad av chefens roll och inställning.<br />
Avgörande är att chefen stödjer säkerhetsplaneringens mål och syfte<br />
och att det stödet tydliggörs på alla nivåer samt att chefen i både ord och<br />
handling stödjer såväl implementering som tillämpning av fattade beslut om<br />
skyddsåtgärder.<br />
En väl genomförd säkerhetsplanering resulterar dessutom i ett ökat säkerhetsmedvetande<br />
på alla nivåer av organisationen.<br />
All säkerhetsplanering ska utgå från en verksamhetsanalys.<br />
En verksamhetsanalys svarar bland annat på frågorna:<br />
• Vilken verksamhet genomförs?<br />
• Vem eller vilka ansvarar för vilken verksamhet?<br />
• Vilka faktorer i form av bl a mål, medel, metoder och tid påverkar verksamheten?<br />
En verksamhetsanalys utgör grunden för all säkerhetsplanering och ska genomföras<br />
av den som är ansvarig för verksamheten.<br />
10.2 Säkerhetsanalys<br />
I 5 § säkerhetsskyddsförordningen (1996:633) finns föreskrifter om säkerhetsanalys.<br />
Vad som där föreskrivs om sådan analys och dokumentation skall fullgöras<br />
av varje organisationsenhet. Av 1 kap. 6 § <strong>Försvarsmakten</strong>s föreskrifter<br />
(FFS 2003:7) om säkerhetsskydd och 2 § i detta kapitel följer att varje organisationsenhet<br />
skall göra hot-, risk- och sårbarhetsanalyser, vilka skall ingå i en<br />
säkerhetsanalys. Med säkerhetsanalysen som grund skall en säkerhetsplan upprättas.<br />
1 kap. 5 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd<br />
och skydd av viss materiel<br />
Inom <strong>Försvarsmakten</strong> innebär dock tillämpningen av regelverket att alla<br />
skyddsvärda tillgångar vilkas påverkan av oönskade händelser medför negativa<br />
konsekvenser för verksamheten identifieras i en säkerhetsanalys även<br />
om skadan inte endast rör rikets säkerhet.<br />
282
Vidare innebär tillämpningen att begreppet säkerhetsanalys inom ramen för<br />
bedrivande av säkerhetstjänst har kommit att avse såväl identifiering och<br />
prioritering av skyddsvärda tillgångar, bedömning av säkerhetshot, sårbarheter<br />
och risker som prioritering och hantering av risker inklusive beslut om<br />
skyddsåtgärder. Begreppet säkerhetsanalys är i detta avseende att jämföra<br />
med civila begrepp som riskhantering eller risk management.<br />
Modellen för säkerhetsanalys i detta kapitel är ett exempel på tillämpning<br />
av <strong>Försvarsmakten</strong>s Riskhanteringsmodell.<br />
<strong>Försvarsmakten</strong> Riskhanteringsmodell är generell och innebär att:<br />
• Modellen som sådan kan användas för hantering av risker inom olika<br />
typer av verksamheter, t ex säkerhetstjänst, internationella insatser, trafiksäkerhet,<br />
arbetsmiljöarbete, miljösäkerhet samt hälso- och sjukvård.<br />
• Modellen är användbar på alla nivåer inom <strong>Försvarsmakten</strong>.<br />
• Modellen kan användas såväl inom <strong>Försvarsmakten</strong> som i verksamheter<br />
där andra myndigheter eller organisationer ingår.<br />
Modellen för säkerhetsanalys överensstämmer dessutom i allt väsentligt<br />
med NATO Security Risk Management Process (NSRMP, AC/35-D/1035)<br />
och EU GSC Policy on Risk Management (PROC-P-05/ISP205).<br />
Till skillnad från exempelvis försäkringsbranschen är det svårt att kvantifiera<br />
de i en säkerhetsanalys ingående värdena. Även om modellen inte är att<br />
betrakta som en metod ur ett rent vetenskapligt hänseende har den en holistiskt<br />
utgångspunkt och innehåller inslag av såväl kvalitativa som kvantitativa<br />
metoder. Emellertid är säkerhetstjänstens verklighet sådan att ett<br />
statistiskt källmaterial ofta saknas, varför de kvalitativa inslagen överväger.<br />
Begrepp Beskrivning<br />
Tillgång Allt som är av värde för organisationen (ISO/<br />
IEC 13335-1:2004)<br />
Konsekvens Resultat av en händelse med negativ inverkan<br />
(SIS HB 550 Utgåva 2)<br />
Hot Möjlig, oönskad händelse med negativa konsekvenser<br />
för verksamheten (ISO/IEC<br />
13335-1:2004)<br />
Hotbild Uppsättning hot som bedöms föreligga mot<br />
en viss verksamhet (SIS HB 550 Utgåva 2)<br />
Sårbarhet Brist i skyddet av en tillgång exponerad för hot<br />
(ISO/IEC 13335-1:2004)<br />
Sannolikhet Sannolikheten för att ett visst hot inträffar<br />
(<strong>Försvarsmakten</strong>s Riskhanteringsmodell)<br />
10 Säkerhetsplanering<br />
283
10 Säkerhetsplanering<br />
Begrepp Beskrivning<br />
Risk Produkten av sannolikheten för att ett givet<br />
hot realiseras och därmed uppkommande<br />
skadekostnad (ISO/IEC Guide 73:2002)<br />
Med risk avses i denna handbok en systematisk<br />
sammanvägning av både sannolikheten<br />
för och konsekvensen av att ett hot inträffar.<br />
Riskacceptans Beslut att acceptera en risk (ISO/IEC Guide<br />
73:2002)<br />
Riskanalys Process som identifierar säkerhetsrisker och<br />
bestämmer deras betydelse (ISO/IEC Guide<br />
73:2002)<br />
Riskhantering Samordnade aktiviteter för att styra och kontrollera<br />
en organisation med avseende på risk<br />
(ISO/IEC Guide 73:2002)<br />
Riskhanteringsbeslut Medvetna (dokumenterade) chefsbeslut om<br />
hur bedömda risker ska hanteras (FM Riskhanteringsmodell)<br />
<strong>Skydd</strong>såtgärd Handling, procedur eller tekniskt arrangemang<br />
som, genom att minska sårbarheten<br />
möter identifierat hot (ISO/IEC<br />
13335-1:2004).<br />
Med skyddsåtgärd avses i denna handbok<br />
även sådana skyddsåtgärder som vidtas med<br />
avseende på säkerhetsskyddskrav, dvs. säkerhetsskyddsåtgärder.<br />
Kvarstående risk Sårbarhet som återstår efter införande av<br />
skyddsåtgärder (ISO/IEC Guide 73:2002)<br />
En säkerhetsanalys innehåller i regel sådana uppgifter som om de röjs för<br />
obehörig kommer att medföra ett men eller skada för totalförsvaret och rikets<br />
säkerhet varför en genomförd säkerhetsanalys i regel omfattas av sekretess<br />
enligt 2 kap 2 § sekretesslagen (1980:100), men kan även innehålla uppgifter<br />
vilka omfattas av annan sekretess än försvarssekretess.<br />
284
10.2.1 Genomförande av säkerhetsanalys<br />
Steg 1: Identifiera och prioritera<br />
skyddsvärda tillgångar<br />
Fastställ grundvärden<br />
Säkerhetsanalys<br />
Steg 2: Bedömning av<br />
säkerhetshot<br />
Steg 5: Prioritera och<br />
hantera risker<br />
(riskhanteringsbeslut)<br />
Steg 3: Bedömning av<br />
sårbarhet<br />
Steg 4: Bedömning<br />
av risk<br />
Bild 10:1 Schematisk bild av modell för säkerhetsanalys utgående från FM Riskhanteringsmodell<br />
En säkerhetsanalys omfattar fem steg:<br />
• Steg 1 - Identifiera och prioritera skyddsvärda tillgångar<br />
• Steg 2 - Bedömning av säkerhetshot<br />
• Steg 3 - Bedömning av sårbarhet<br />
• Steg 4 - Bedömning av risk<br />
• Steg 5 - Prioritera och hantera risker (riskhanteringsbeslut)<br />
10 Säkerhetsplanering<br />
Innan säkerhetsplaneringen påbörjas fastställs grundvärden genom en analys<br />
av uppgiftens innebörd, av vilken det bör framgå syfte, omfattning,<br />
eventuella avgränsningar, ansvars- och tidsförhållanden samt övriga styrande<br />
ingångsvärden.<br />
En säkerhetsanalys dokumenteras lämpligen på ett kalkylblad vilket ger en<br />
bättre överblick samtidigt som en god spårbarhet erhålles. Spårbarheten innebär<br />
att det är lättare att gå tillbaka i analysen för att härleda vilka faktorer<br />
som legat till grund för olika bedömningar, förslag eller beslut. Vidare medger<br />
ett kalkylblad att innehållet kan sorteras i fallande eller stigande ordning.<br />
Exempel på utdrag ur ett sådant kalkylblad utgörs i detta kapitel av tabeller<br />
med grå rubrikrad.<br />
Användning av ett kalkylblad är lämpligt under genomförandet av själva<br />
säkerhetsanalysen, men är mindre lämpligt att använda för att presentera<br />
resultatet på ett överskådligt sätt. Då bör i stället säkerhetsanalysen sammanfattas<br />
genom att resultatet av respektive steg tillsammans med slutsatser<br />
presenteras med hjälp av ett word-dokument. Exempel på disposition av ett<br />
sådant dokument framgår av bilaga 10.1.<br />
285
10 Säkerhetsplanering<br />
10.2.2 Steg 1 - Identifiera och prioritera skyddsvärda<br />
tillgångar<br />
Under detta steg av säkerhetsanalysen identifieras och prioriteras de<br />
skyddsvärda tillgångarna. Konsekvensen av att respektive tillgång påverkas<br />
negativt av en oönskad händelse beskrivs och ligger till grund för en konsekvensbedömning<br />
enligt en femgradig skala. Konsekvensbedömningen<br />
utgör sedan ett direkt ingångsvärde under steg 4 (bedömning av risk) av<br />
säkerhetsanalysen.<br />
För att underlätta identifieringen av vilka tillgångar som är skyddsvärda kan<br />
dessa indelas på ett flertal olika sätt. Ett exempel på en generell indelning av<br />
tillgångar är personal, materiel, information, anläggningar och verksamhet.<br />
Tillgång<br />
Personal<br />
Materiel<br />
Datorutrustning<br />
Information<br />
Anläggningar<br />
Verksamhet<br />
Datalektionssal (15 PC inkl bildskärm/tangentbord, 2 laserskrivare, 1 bildprojektor)<br />
Bärbar PC (totalt 35, ej sekretessbelagd information)<br />
Bild 10:2 Exempel på generell indelning av skyddsvärda tillgångar.<br />
I arbetet med att identifiera vad det är som är en skyddsvärd tillgång bryts<br />
dessa kategorier stegvis ner i underkategorier som efterhand ökar i detaljeringsgrad.<br />
Slutresultatet är specifika tillgångar i form av en viss person eller<br />
personalkategori, ett specifikt materielslag, enskilda uppgifter, en bestämd<br />
anläggning eller en operation eller verksamhet bestämd i tid, rum och syfte.<br />
I vissa fall kan ovanstående indelning av skyddsvärda tillgångar vara problematisk,<br />
inte sällan kan exempelvis personal sitta inne med information<br />
om en viss verksamhet, varvid indelningen enligt ovan riskerar att komplicera<br />
identifieringen av vad det är som är skyddsvärt. Av den anledningen<br />
kan det ibland vara lämpligare att använda sig av annan indelning, exempelvis<br />
genom att utgå från den eller de verksamheter som bedrivs.<br />
286
Tillgång<br />
Försvarsattachébesök från X-land vid<br />
flygflottilj F55<br />
Personal<br />
Materiel<br />
Information<br />
Anläggningar<br />
Verksamhet<br />
15 attachéer under 2 dagar 080101-<br />
080102<br />
Under besöket deltar C, Stf C F55,<br />
stabschef, divisionschef Urban Grön, 10<br />
piloter ur samma division samt personal<br />
vid klargöringstropp Grön.<br />
- JAS 39 C/D<br />
- Flygsimulator Flybox 360<br />
Ingen sekretessbelagd information<br />
kommer att delges besökare<br />
Besöket omfattar information<br />
- Flottiljstab<br />
- Urban Grön<br />
- Flygbasen RAKBANA<br />
- Allmän presentation av F55<br />
- Förevisning Flybox 360 inkl<br />
möjligen för besökare att prova<br />
simulatorn<br />
- Besök RAKBANA och förevisning<br />
landning, klargöring och start av<br />
rote ur Urban Grön<br />
<strong>SÄK</strong>SAM B - ansvarar för attachéernas<br />
säkerhet under besöket (förläggning,<br />
transporter etc.)<br />
C, Stf C F55 samt stabschef - Har<br />
tillsammans en mycket god kunskap om<br />
såväl utvecklingsverksamhet,<br />
incidentberedskap och planering av<br />
skarp verksamhet. Ansvarig för<br />
planläggning och genomförande av<br />
besöket är stabschefen.<br />
C Urban Grön - Förutom ovanstående<br />
har divisionschefen genomfört<br />
utbildning i U-land och därvid erhållit<br />
mycket goda kunskaper om U-lands<br />
metodik avseende Targeting processen.<br />
Piloter ur Grön - Mycket god<br />
kunskap om JAS 39 förmåga inkl.<br />
begränsningar.<br />
Två av piloterna genomfört utbildning i<br />
U-land avseende CAS.<br />
Klargöringstropp - God inblick i vissa<br />
tekniska begränsningar avseende<br />
underhåll av JAS 39.<br />
JAS 39 C/D . <strong>Skydd</strong>svärd materiel - se<br />
MAT<strong>SÄK</strong><br />
Flybox 360 - skarp databas är<br />
HEMLIG/SECRET (kommer ej<br />
användas vid besöket).<br />
Se vidare under övriga tillgångar.<br />
10 Säkerhetsplanering<br />
Flottiljstab - <strong>Skydd</strong>svärda lokaler är<br />
stabsexp och kryptorum.<br />
Urban Grön - <strong>Skydd</strong>svärd lokal är<br />
planeringsrum inklusive serverutrymme.<br />
RAKBANA - <strong>Skydd</strong>svärda platser är<br />
radarcentralen LILLBERGET.<br />
Presentation F55 - Ej sekretessbelagd<br />
presentation kommer att användas.<br />
Ansvarig flottiljchefen.<br />
Flybox 360 - Simulatorprogramvara<br />
EXERCISE kommer att användas<br />
(obeväpnade flygplan). Ansvarig C<br />
Urban Grön.<br />
RAKBANA - Klargöringstroppen<br />
kommer att agera enligt ordinarie<br />
rutiner, men endast blind vapenmateriel<br />
används. Ansvarig Stf C F55.<br />
Bild 10:3 Exempel på identifiering av skyddsvärda tillgångar med utgångspunkt i en<br />
viss verksamhet.<br />
En identifiering och prioritering av skyddsvärda tillgångar svarar på frågorna:<br />
• Vilka skyddsvärda tillgångar i organisationsenhetens verksamhet kräver<br />
ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism?<br />
• Vilka övriga skyddsvärda tillgångar kräver skyddsåtgärder?<br />
287
10 Säkerhetsplanering<br />
• Vilka oönskade händelser har en negativ effekt på identifierade skyddsvärda<br />
tillgångar?<br />
• Hur ska de skyddsvärda tillgångarna prioriteras med hänsyn till de konsekvenser<br />
som uppstår om oönskade händelser inträffar?<br />
Att identifiera vad som är skyddsvärt kan i viss utsträckning göras med hjälp<br />
av generella regler eller anvisningar. Exempel på sådana generella anvisningar<br />
för vad som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet<br />
framgår bl a av H <strong>SÄK</strong> Sekretessbedömning. I kapitel 2 i denna handbok<br />
framgår de rättsliga grunderna för vad som omfattas av sekretess, främst<br />
vad avser den så kallade försvars- respektive utrikessekretessen.<br />
<strong>Försvarsmakten</strong>s verksamhet innebär emellertid att hänsyn måste tas till<br />
varje specifik situation. Vilka uppgifter som omfattas av sekretess förändras<br />
bland annat beroende på när, var och hur verksamheten bedrivs.<br />
Vad som skadar tillgångarna och därmed <strong>Försvarsmakten</strong> varierar beroende<br />
på ett flertal faktorer:<br />
• I vilken verksamhet förekommer tillgången?<br />
• Vilka är beroende av tillgången?<br />
• När är vi beroende av tillgången?<br />
• På vilket sätt är vi beroende av tillgången?<br />
• Vilka konsekvenser medför röjande, skada, förstöring etc av tillgången?<br />
Alla skyddsvärda tillgångar är dessutom förknippade med ett värde, oavsett<br />
typ av tillgång.<br />
Flera faktorer påverkar värdet och dessa kompletterar ovanstående<br />
frågeställningar:<br />
• Återfinns tillgången endast inom aktuell organisationsenhet?<br />
• Är tillgången så kritiskt att verksamheten är beroende av den för att nå<br />
framgång? Kräver verksamheten att tillgången alltid är tillgänglig?<br />
• Vad kommer ett återställande eller återskapande att kosta i form av tid,<br />
resurser och pengar? Var kostnaden för att skapa tillgången så omfattande<br />
att den inte är möjligt att ersätta?<br />
Begreppen värde och konsekvens står i direkt relation till varandra, desto<br />
större konsekvens som drabbar verksamheten om tillgången påverkas negativt,<br />
desto större värde har tillgången och vice versa.<br />
Vid arbetet med att identifiera vilka tillgångar som är skyddsvärda bör även<br />
uppmärksammas att tillgångar inte har samma värde för olika personer eller<br />
funktioner inom en organisation och att alla tillgångar inte är kritiska för<br />
verksamhetens genomförande.<br />
288
10 Säkerhetsplanering<br />
Utöver de tillgångar som kräver ett säkerhetsskydd förekommer även andra<br />
typer av tillgångar som behöver skyddas, exempel på sådana tillgångar är<br />
övriga sekretessbelagda uppgifter och stöldbegärlig materiel.<br />
För att kunna identifiera vad som är skyddsvärt krävs en mycket god kunskap<br />
om såväl organisation, uppgifter som verksamhet. Det innebär att<br />
resurser även utanför underrättelse- och säkerhetsfunktionen kommer att<br />
behöva delta under genomförandet av en säkerhetsanalys. Arbetet kan därför<br />
komma att kräva omfattande intervjuer av personal som besitter nödvändiga<br />
kunskaper. Chefer på olika nivåer inom organisationen utgör<br />
härvid en viktig resurs, varför denna kategori redan i ett tidigt skede ska<br />
delta i arbetet med att ta fram de ingångsvärden som krävs för att rätt identifiera<br />
vad som är skyddsvärt.<br />
Följande frågor är exempel på frågeställningar vilka kan användas i arbetet<br />
med att identifiera skyddsvärda tillgångar, t ex som underlag vid intervjuer.<br />
• Vilken verksamhet genomförs vid aktuell organisationsenhet?<br />
• Vad i verksamheten är avgörande för att nå framgång?<br />
• Beskriv de personalkategorier som deltar i verksamheten (fast anställd<br />
personal, vikarier, besökare, konsulter, utländsk personal etc.)?<br />
• Vilka uppgifter är känsliga med hänsyn till verksamhetens genomförande<br />
(såväl sekretessbelagd som känslig, men icke sekretessbelagd information<br />
identifieras)?<br />
• Vilken kritisk (organisations- och/eller effektbestämmande) materiel eller<br />
i övrigt värdefull utrustning finns inom organisationen?<br />
• Var finns denna materiel och/eller utrustning?<br />
• Beskriv förväntade konsekvenser av att tillgångarna röjs, skadas, förstörs<br />
etc?<br />
• Vad innebär det för en motståndare att få tillgång till de skyddsvärda<br />
tillgångarna?<br />
• Vad förlorar vi? Vad vinner en motståndare?<br />
• Är tillgången fortfarande värdefull för oss även om en motståndare har<br />
tillgång till den?<br />
• Vad har tillgången kostat oss?<br />
• Hur är behovet av att skydda denna specifika tillgång jämfört med andra<br />
värdefulla tillgångar?<br />
För att kunna analysera vilka konsekvenser som kan uppstå krävs att de<br />
oönskade händelser som kan påverka respektive tillgång negativt identifieras.<br />
Inledningsvis utifrån en generell indelning och därefter genom en<br />
alltmer detaljerad beskrivning.<br />
Sker inte denna nedbrytning av detaljeringsgraden riskerar säkerhetshotbedömningen<br />
(steg 2 av säkerhetsanalysen) att medföra en alltför generell<br />
289
10 Säkerhetsplanering<br />
och oprecis hotbedömning vilket kommer att resultera i en riskbedömning<br />
som inte går att omsätta i specifika skyddsåtgärder.<br />
Nedanstående femgradiga skala för bedömning av konsekvens är ett exempel<br />
på en generell konsekvensbeskrivning. Konsekvensbeskrivningarna kan<br />
behöva anpassas beroende på i vilken verksamhet tillgångarna förekommer<br />
samt med hänsyn till typ av tillgång. Till exempel kan en konsekvensbeskrivning<br />
av en materielförlust inte med självklarhet användas för att beskriva<br />
konsekvenserna av skadad eller dödad personal. En negativ påverkan<br />
på en specifik tillgång kan därför resultera i en viss konsekvensbedömning<br />
för en verksamhet och en helt annan vid andra typer av verksamhet.<br />
Bedömning av konsekvens, liksom bedömningar av sårbarhet, sannolikhet<br />
och risk ska därför ses som relativa. Av den anledningen kan inte resultatet<br />
av olika säkerhetsanalyser jämföras utan att hänsyn tas även till förutsättningarna<br />
för respektive analys. Att beskriva och gradera konsekvensen av<br />
en oönskad händelse är chefens ansvar.<br />
Vid bedömning av konsekvens och sannolikhet kan en tiogradig skala användas<br />
vilket underlättar och förfinar den slutliga riskbedömningen.<br />
Tabell 10:1 Bedömning av konsekvens sker enligt en femgradig skala.<br />
Bedömning av konsekvens<br />
Gradering Generell konsekvensbeskrivning<br />
5<br />
4<br />
290<br />
Synnerligenallvarlig<br />
(9-10) Förväntade konsekvenser<br />
medför en synnerlig negativ effekt.<br />
Konsekvenserna innebär synnerligen<br />
allvarliga negativa effekter<br />
av stor omfattning, under<br />
lång tid och utgör ett direkt<br />
hot mot organisationen.<br />
Konsekvenserna är inte begränsade<br />
till enstaka förmågor<br />
eller funktioner inom organisationen.<br />
Allvarlig (7-8) Förväntade konsekvenser är<br />
betydande. Konsekvenserna<br />
är allvarliga, av stor omfattning<br />
eller av väsentlig art och innebär<br />
ett direkt hot, om än mot<br />
avgränsade förmågor eller<br />
funktioner inom organisationen.<br />
Konsekvensbeskrivning avseende<br />
informationsförlust 1)<br />
Hemliga uppgifter vars röjande<br />
kan medföra synnerligt men för<br />
totalförsvaret eller förhållandet<br />
till en annan stat eller en mellanfolklig<br />
organisation eller i<br />
annat fall för rikets säkerhet<br />
(kvalificerat hemliga uppgifter).<br />
Hemlig handling som har<br />
åsatts beteckningen TOP<br />
SECRET eller motsvarande av<br />
en utländsk myndighet eller<br />
mellanfolklig organisation.<br />
Hemliga uppgifter vars röjande<br />
kan medföra betydande men<br />
för totalförsvaret eller förhållandet<br />
till en annan stat eller en<br />
mellanfolklig organisation eller<br />
i annat fall för rikets säkerhet.<br />
Hemlig handling som har<br />
åsatts beteckningen SECRET<br />
eller motsvarande av en utländsk<br />
myndighet eller mellanfolklig<br />
organisation.
Bedömning av konsekvens<br />
3<br />
2<br />
1<br />
Kännbar (5-6) Förväntade konsekvenser är<br />
inte obetydliga och äventyrar,<br />
vållar skada, hindrar, underlättar,<br />
innebär större avbrott samt<br />
medför påtagliga negativa effekter<br />
om än i begränsad omfattning.<br />
Lindrig (3-4) Förväntade konsekvenser är<br />
ringa och begränsas till att påverka,<br />
försvåra, hindra, undergräva,<br />
misskreditera eller störa<br />
verksamheten i mindre omfattning.<br />
Försumbar<br />
(1-2) Inga förväntade negativa konsekvenser.<br />
10 Säkerhetsplanering<br />
Hemliga uppgifter vars röjande<br />
kan medföra ett inte obetydligt<br />
men för totalförsvaret eller förhållandet<br />
till en annan stat eller<br />
en mellanfolklig organisation<br />
eller i annat fall för rikets säkerhet.<br />
Hemlig handling som har<br />
åsatts beteckningen CONFI-<br />
DENTIAL eller motsvarande<br />
av en utländsk myndighet eller<br />
mellanfolklig organisation.<br />
Hemliga uppgifter vars röjande<br />
kan medföra endast ringa men<br />
för totalförsvaret eller förhållandet<br />
till en annan stat eller en<br />
mellanfolklig organisation eller<br />
i annat fall för rikets säkerhet.<br />
Hemlig handling som har<br />
åsatts beteckningen<br />
RESTRICTED eller motsvarande<br />
av en utländsk myndighet<br />
eller mellanfolklig organisation.<br />
Uppgifter är offentliga.<br />
1) Graden av men vid röjande av hemliga uppgifter som rör rikets säkerhet<br />
regleras i 1 kap. 4 § <strong>Försvarsmakten</strong>s föreskrifter om säkerhetsskydd, samt<br />
beskrivs utförligt i kapitel 3 i denna handbok.<br />
291
10 Säkerhetsplanering<br />
Tillgång<br />
Personal<br />
Oönskade händelser Konsekvensbeskrivning Bedömning av<br />
konsekvens<br />
5 – Synnerligen<br />
allvarlig<br />
4 – Allvarlig<br />
3 – Kännbar<br />
2 – Lindrig<br />
1 – Försumbar<br />
Materiel<br />
Datorutrustning<br />
Information<br />
Anläggningar<br />
Verksamhet<br />
Inbrott i datalektionssal och<br />
omfattande förstöring eller<br />
stöld av datorutrustning.<br />
(Inbrott) i datalektionssal och<br />
begränsad stöld av<br />
datorutrustning.<br />
Stöld eller förlust på annat<br />
sätt av bärbara PC.<br />
Värdet på utrustningen i<br />
datalektionssalen uppgår till 0,5<br />
miljoner kr. Vid förlust av utrustningen<br />
kommer införandet av det nya<br />
verksamhetslednings-systemet att<br />
försenas med ca 6 månader.<br />
Förlust av enstaka utrustning (dator,<br />
skrivare och bildprojektor), < 30 kkr<br />
Kostnaden för varje bärbar PC är ca 10<br />
kkr. Informationsförluster kan i värsta<br />
fall ta 2-3 veckor att återställa.<br />
1 Anger konsekvensbedömningen i skalan 1-5 och (7) anger den mer precisa bedömningen.<br />
2 Stöld genomförd av insider bedöms omfatta en mindre mängd utrustning.<br />
Bild 10:4 Exempel på utdrag ur kalkylblad avseende steg 1 av säkerhetsanalysen.<br />
Innan steg 2 påbörjas ska ansvarig chef godkänna och fastställa resultatet av<br />
steg 1 då detta steg utgör ingångsvärden för resterande del av säkerhetsanalysen.<br />
10.2.3 Steg 2 - Bedömning av säkerhetshot<br />
En hotbedömning resulterar i en bedömd hotnivå enligt en femgradig skala.<br />
Den bedömda hotnivån innebär en samlad bedömning av en eller flera aktörers<br />
kapacitet, intention och tillfälle, att i tid och rum, direkt eller indirekt,<br />
angripa eller på annat sätt medvetet påverka en eller flera identifierade<br />
skyddsvärda tillgångar. I riskhanteringssammanhang är den bedömda hotnivån<br />
dessutom kopplad till en eller flera aktörers möjlighet att använda sig<br />
av specifika metoder (modus) vilka resulterar i specifika oönskade händelser<br />
.<br />
292<br />
4 (7) 1<br />
2 (3) 2<br />
2 (4)
10 Säkerhetsplanering<br />
Ovanstående beskrivning av hotbedömning avser aktörsdrivna hot, det vill<br />
säga hot bakom vilket det står en aktör i form av en individ, grupp, nätverk,<br />
organisation, stat etc. Aktörsdrivna hot är alltid avsiktliga. I denna handbok<br />
omfattar en säkerhetsanalys även bedömning av icke aktörsdrivna hot vilka<br />
kan påverka identifierade skyddsvärda tillgångar på ett negativt sätt. Generellt<br />
finns tre kategorier av icke aktörsdrivna hot; naturliga fenomen (t ex<br />
naturkatastrofer och sjukdomar), fel i tekniska system (t ex buggar och materialfel),<br />
icke uppsåtliga mänskliga gärningar (t ex slarv och olyckor). Ett<br />
exempel på ett sådant hot eller oönskad händelse kan vara en brand i en<br />
serverhall vilken kan resultera i såväl förstörd materiel som förlorad information.<br />
I de exempel på utdrag ur kalkylblad som redovisas i detta kapitel<br />
kan ett sådant hot beskrivas under kolumnen aktör eller i en egen kolumn.<br />
En bedömning av säkerhetshotet svarar därför på frågorna:<br />
• Vilka aktörer utövar ett hot mot våra skyddsvärda tillgångar?<br />
• Vilken kapacitet har aktörerna att genomföra säkerhetshotande verksamhet?<br />
• Vilken intention (vilja) har aktörerna att realisera säkerhetshoten?<br />
• Vilka tillfällen ges aktörerna att i tid och rum realisera säkerhetshoten?<br />
På samma sätt som skyddsvärda tillgångar indelas i fem generella kategorier,<br />
brukar säkerhetshoten indelas i fem övergripande kategorier:<br />
• Främmande underrättelseverksamhet<br />
• Kriminalitet<br />
• Sabotage<br />
• Subversion<br />
• Terrorism<br />
Säkerhetsunderrättelsetjänsten har i uppgift att identifiera och klarlägga den<br />
säkerhetshotande verksamheten. Säkerhetshotbedömning kräver omfattande<br />
resurser och kunskaper att genomföra varför lokal och regional säkerhetsorganisation<br />
i regel är beroende av stöd utanför egen organisation för<br />
att rätt kunna bedöma säkerhetshotet. Säkerhetsunderrättelsetjänsten använder<br />
sig av alla tillgängliga resurser, inklusive underrättelsetjänsten i<br />
övrigt vid bedömning av den säkerhetshotande verksamheten.<br />
Den säkerhetshotbedömning som erhålls genom säkerhetsunderrättelsetjänsten<br />
anpassas till lokala eller regionala förutsättningar i syfte att genomföra<br />
en väl balanserad säkerhetsanalys.<br />
Ska hotbedömningen vara användbar räcker det i regel inte med att endast<br />
redovisa bedömd hotnivå. Hotbedömningen bör även svara på frågorna;<br />
vem, var, när, hur och mot vad?<br />
293
10 Säkerhetsplanering<br />
Exempel 10:1 Bedömd hotnivå med hotbeskrivning. .<br />
Under attachébesöket vid F21 i Luleå v 735 kommer vi sannolikt stå inför<br />
ett högt hot avseende främmande underrättelseverksamhet från Aktör A,<br />
riktat mot den skyddsvärda tillgången JAS 39 jaktradar genom personbaserad<br />
inhämtning mot svensk nyckelpersonal.<br />
I denna handbok redogörs inte för hur säkerhetsunderrättelsetjänst bedrivs<br />
och därmed inte heller hur en fullständig bedömning av den säkerhetshotande<br />
verksamheten går till. För ytterligare information om hot och hotbedömningar<br />
hänvisas till H <strong>SÄK</strong> Säkund (hemlig), H <strong>SÄK</strong> Hot, <strong>Försvarsmakten</strong><br />
UndH samt Metodanvisning <strong>Försvarsmakten</strong>s gemensamma riskhanteringsmodell.<br />
Med hjälp av erhållen säkerhetshotbedömning ska däremot även personal<br />
som inte är utbildad i säkerhetsunderrättelsetjänst kunna genomföra en säkerhetsanalys.<br />
Den som ska genomföra en säkerhetsanalys ansvarar för att i god tid hos<br />
närmast högre chef hemställa om stöd avseende säkerhetshotbedömning.<br />
Tillsammans med hemställan om stöd med säkerhetshotbedömning ska ingångsvärden<br />
från steg 1 av säkerhetsanalysen bifogas.<br />
Tabell 10:2 Hotbedömningen resulterar i en bedömd hotnivå enligt en femgradig<br />
skala<br />
Bedömning av säkerhetshot<br />
5<br />
Mycket högt hot En aktör bedöms ha minst en av hotkomponenterna kapacitet, intention<br />
och tillfälle i nivån mycket hög a) och ingen i nivån icke<br />
synbar. Alternativt bedöms de sammanvägda hotkomponenterna<br />
hos flera aktörer resultera i motsvarande nivå.<br />
4<br />
Högt hot En aktör bedöms ha minst en av hotkomponenterna kapacitet, intention<br />
och tillfälle i nivån hög och ingen i nivån icke synbar.<br />
Alternativt bedöms de sammanvägda hotkomponenterna hos flera<br />
aktörer resultera i motsvarande nivå<br />
3<br />
Förhöjt hot En aktör bedöms ha minst en av hotkomponenterna kapacitet, intention<br />
och tillfälle i nivån förhöjd och ingen i nivån icke synbar.<br />
Alternativt bedöms de sammanvägda hotkomponenterna hos flera<br />
aktörer resultera i motsvarande nivå<br />
2<br />
Lågt hot En aktör bedöms ha minst en av hotkomponenterna kapacitet, intention<br />
och tillfälle i nivån låg och ingen i nivån icke synbar. Alternativt<br />
bedöms de sammanvägda hotkomponenterna hos flera<br />
aktörer resultera i motsvarande nivå<br />
1<br />
Inget identifierat hot En aktör bedöms ha minst en hotkomponent i nivån icke synbar.<br />
Alternativt saknas aktörer som bedöms utgöra potentiella motståndare.<br />
a) En hotkomponent bedöms i stigande ordning i nivåerna icke synbar, låg, förhöjd, hög och<br />
mycket hög.<br />
294
Oönskade<br />
händelser<br />
Inbrott i<br />
datalektionssal<br />
och omfattande<br />
förstöring eller<br />
stöld av<br />
datorutrustning.<br />
(Inbrott) i<br />
datalektionssal<br />
och begränsad<br />
stöld av<br />
datorutrustning.<br />
Stöld eller förlust<br />
på annat sätt av<br />
bärbara PC.<br />
Aktör Kapacitet Intention (behov) Tillfälle Bedömning av<br />
hot<br />
5 – Mycket<br />
högt<br />
4 – Högt<br />
3 – Förhöjt<br />
2 – Lågt<br />
1 – Inget<br />
identifierat<br />
Enskilda eller<br />
grupp av<br />
kriminella<br />
Har nödvändig<br />
kunskap och<br />
verktyg<br />
Insiders Kräver kunskap<br />
och verktyg då<br />
salen alltid låses<br />
efter bruk.<br />
Enskilda eller<br />
grupp av<br />
kriminella<br />
Mycket god<br />
kapacitet<br />
(kunskap,<br />
utrustning etc.)<br />
Insiders Kräver ingen<br />
särskild kapacitet<br />
eller metod.<br />
Hög intention. Tillfälle erbjuds främst<br />
nattetid och under<br />
helger.<br />
Ingen identifierad<br />
intention.<br />
Hög intention, särskilt<br />
om tillfälle erbjuds.<br />
Under den senaste<br />
10 <strong>års</strong> perioden har<br />
inga insiderstölder av<br />
PC ägt rum.<br />
Många tillfällen<br />
erbjuds, främst under<br />
kvällstid.<br />
Få tillfällen inom<br />
kasernområde, kräver i<br />
regel inbrott. Fler<br />
tillfällen i fall den<br />
anställde medför PC<br />
utanför enheten.<br />
Mycket goda tillfällen<br />
erbjuds så gott som<br />
dagligen<br />
Bild 10:5 Exempel på utdrag ur kalkylblad avseende steg 2 av säkerhetsanalysen.<br />
10.2.4 Steg 3 - Bedömning av sårbarhet<br />
10 Säkerhetsplanering<br />
En sårbarhetsbedömning syftar till att identifiera de brister eller svagheter i<br />
skyddet vilka kan utnyttjas för att få tillgång till eller påverka tillgångarna<br />
på ett negativt sätt.<br />
4<br />
1<br />
5<br />
2<br />
295
10 Säkerhetsplanering<br />
Bedömningen omfattar:<br />
• Identifiering av existerande skyddsåtgärder.<br />
• Identifiering av potentiella sårbarheter genom en bedömning av hur effektiva<br />
existerande skyddsåtgärder är att reducera specifika svagheter<br />
relaterat till bestämda skyddsvärda tillgångar eller specifika hot.<br />
• Bedömning av sårbarhet (nivå) relativt varje skyddsvärd tillgång och<br />
oönskad händelse.<br />
För att identifiera potentiella sårbarheter krävs att alla möjliga metoder och<br />
händelser vilka kan påverka skyddsvärda tillgångar analyseras. Resultatet<br />
blir att de svagheter som kan utnyttjas för att få tillgång till eller påverka<br />
skyddsvärda tillgångar på ett negativt sätt kan upptäckas. Varje svaghets<br />
relativa betydelse analyseras, dels genom att svagheter ställs i relation till<br />
varandra, dels genom att de relateras till bestämda tillgångar och specifika<br />
hot.<br />
För att identifiera existerande skyddsåtgärder kan indelningen av säkerhetsskyddet<br />
under steg 5 användas som utgångspunkt. Enskilda skyddsåtgärder<br />
identifieras genom att respektive kategori bryts ner i detalj och<br />
relateras till hur effektiva dessa är att reducera specifika sårbarheter. Ger<br />
nuvarande skyddsåtgärder de effekter som förväntas eller bygger den förväntade<br />
effekten på antaganden utan grund?<br />
En bedömning av hur effektiva existerande skyddsåtgärder är kräver i regel<br />
en dialog med experter inom respektive område.<br />
Efterhand skyddsåtgärder identifieras kan följande frågeställningar användas<br />
som hjälp att bedöma den reella effekten:<br />
• Vad är syftet med skyddsåtgärden?<br />
• Vad är resultatet av skyddsåtgärden?<br />
- Avskräckning, detektering, fördröjning eller förhindring<br />
• Vilken typ av hot eller oönskad händelse skyddar den mot?<br />
- Inbrott, skadegörelse, stöld, manipulation, röjande av hemliga uppgifter,<br />
brand osv.<br />
• När är skyddsåtgärden effektiv?<br />
- Alltid, vid bestämda tider eller under vissa förutsättningar<br />
• Var är skyddsåtgärden effektiv?<br />
• Finns det rapporter om felfunktioner i skyddsåtgärden?<br />
• Finns det ett samband mellan skyddsåtgärden och inrapporterade säkerhetshändelser<br />
vilket visar på att effekten av åtgärden uteblivit eller reducerats?<br />
• Har skyddet kontinuerligt uppdaterats eller underhållits?<br />
296
Vilka faktorer som avgör graden av sårbarhet kommer att variera med hänsyn<br />
till vilken tillgång som ska skyddas och var tillgången befinner sig.<br />
Följande frågeställningar kan bidra till att bestämma nivån av sårbarhet:<br />
• Är tillgången sårbar med anledning av en eller flera svagheter i skyddet?<br />
• Gör arten av sårbarhet att den är svår eller lätt att utnyttja?<br />
• Reduceras eller elimineras sårbarheten av effektiva och av varandra oberoende<br />
skyddsåtgärder?<br />
Tabell 10:3 Sårbarhetsbedömningen resulterar i en bedömd sårbarhet enligt en femgradig<br />
skala.<br />
Bedömning av sårbarhet<br />
5<br />
4<br />
3<br />
2<br />
1<br />
Mycket hög<br />
sårbarhet<br />
Inga eller endast enstaka skyddsåtgärder är vidtagna. Tillgång till<br />
eller påverkan av det skyddsvärda är mycket lätt att åstadkomma.<br />
Hög sårbarhet <strong>Skydd</strong>såtgärder existerar, men ett flertal sårbarheter möjliggör tillgång<br />
till eller påverkan av det skyddsvärda.<br />
Förhöjd sårbarhet<br />
Effektiva skyddsåtgärder är implementerade, men enstaka sårbarheter<br />
förekommer vilka kan utnyttjas för tillgång till eller påverkan av<br />
det skyddsvärda.<br />
Låg sårbarhet Effektiva och av varandra oberoende skyddsåtgärder är implementerade.<br />
Tillgång till eller påverkan av det skyddsvärda är mycket svårt<br />
att åstadkomma.<br />
Ingen identifieradsårbarhet<br />
10 Säkerhetsplanering<br />
Flera effektiva och av varandra oberoende skyddsåtgärder är implementerade.<br />
Inga kända sårbarheter är identifierade.<br />
297
10 Säkerhetsplanering<br />
Tillgång<br />
Personal<br />
Identifierade sårbarheter Bedömning av sårbarhet<br />
5 – Mycket hög<br />
4 – Hög<br />
3 – Förhöjd<br />
2 – Låg<br />
1 – Ingen identifierad<br />
Materiel<br />
Datorutrustning<br />
Information<br />
Anläggningar<br />
Verksamhet<br />
Datalektionssal <strong>Skydd</strong>snivå 1 på salen. Olarmad. Ligger på markplan<br />
ca 20 m från kasernstaket. Går i mörker att ta sig<br />
osedd från staket till salens fönster. Inifrån krävs att 1<br />
larmad dörr passeras för att komma till salens dörr.<br />
Salens dörr är olarmad.<br />
Bärbar PC Skall förvaras inlåst i säkerhetsskåp då den ej<br />
används. Oklara regler om vad som gäller vid<br />
medförsel.<br />
Bild 10:6 Exempel på utdrag ur kalkylblad avseende steg 3 ur säkerhetsanalysen.<br />
10.2.5 Steg 4 - Bedömning av risk<br />
Riskbedömning innebär en systematisk sammanvägning av sannolikheten<br />
för och konsekvensen av att ett hot inträffar. Risken bedöms enligt en femgradig<br />
skala. Som underlag för riskbedömningen används resultaten av<br />
bedömningarna i steg 1-3.<br />
En riskbedömning svarar på frågorna:<br />
• Hur stor är sannolikheten för att ett visst hot inträffar?<br />
• Hur omfattande är konsekvensen?<br />
• Hur stor är den bedömda risken?<br />
Sannolikhet = Hot och Sårbarhet<br />
Risk = Sannolikhet och Konsekvens<br />
Bild 10:7 Sambandet mellan begreppen hot, sårbarhet, sannolikhet, konsekvens och<br />
risk.<br />
298<br />
5<br />
3
Sannolikheten för att ett visst hot ska inträffa är ett resultat av en sammanvägd<br />
bedömning av identifierade sårbarheter och bedömningen av specifika<br />
hot. Hot och sårbarhet har tidigare beskrivits och värderats under steg 2 och<br />
3 varför dessa inte behöver analyseras ytterligare i detta steg. Tidigare<br />
bedömningar av hot och sårbarheter utgör därmed direkta ingångsvärden<br />
vid bedömning av sannolikhet. Sannolikheten bedöms i en femgradig skala.<br />
110<br />
Om hotet har bedömts som högt samtidigt som sårbarheten är hög ökar sannolikheten<br />
för att hotet ska inträffa. Om hotet däremot har bedömts som lågt<br />
samtidigt som sårbarheten bedömts som låg minskar sannolikheten för att<br />
hotet ska inträffa. I tabellen för bedömning av sannolikhet finns procentuella<br />
värden medtagna. Dessa bör ses som ett stöd och inte som absoluta värden.<br />
Att bedöma sannolikheten för att ett visst hot ska inträffa är inte en matematisk<br />
beräkning utan en medveten, om än subjektiv, bedömning.<br />
Tabell 10:4 Sannolikhetsbedömningen resulterar i en bedömd sannolikhet enligt en<br />
femgradig skala.<br />
Bedömning av sannolikhet<br />
Sannolik (9-10) > 50%<br />
5<br />
4<br />
3<br />
2<br />
1<br />
Trolig (7-8) < 50%<br />
Möjlig (5-6) < 25%<br />
Ej trolig (3-4) < 5%<br />
Osannolik (1-2) < 1%<br />
10 Säkerhetsplanering<br />
Risken bedöms därefter genom att sannolikheten för att ett hot ska inträffa<br />
sammanvägs med konsekvensen av att hotet inträffar. Konsekvensen av att<br />
ett hot inträffar har tidigare beskrivits och värderats under steg 1 varför<br />
denna inte behöver analyseras ytterligare i detta steg. Tidigare konsekvensbedömningar<br />
utgör därmed ett direkt ingångsvärde vid bedömning av risk<br />
under steg 4.<br />
110. Vid bedömning av konsekvens och sannolikhet kan en tiogradig skala användas vilket<br />
underlättar och förfinar den slutliga riskbedömningen.<br />
299
10 Säkerhetsplanering<br />
Sannolikhet<br />
1 2 3 4 5<br />
Risknivå<br />
3-4<br />
Risknivå<br />
1-3<br />
Konsekvens<br />
Risknivå<br />
4-5<br />
Risknivå<br />
3-4<br />
1 2 3 4 5<br />
Bild 10:8 Vid bedömning av risk används ovanstående matris indelad i fyra kvadranter<br />
för att bedöma risknivån.<br />
Riskbedömning innebär en sammanvägning av två relativt subjektiva<br />
bedömningar vilket i sin tur kan innebära att resultatet blir ännu mer osäkert.<br />
Därför bör den bedömda risken alltid värderas och jämföras med övriga<br />
bedömda risker med avseende på reliabilitet, det vill säga; hur tillförlitlig är<br />
bedömningen?<br />
I de fall sannolikheten för att en oönskad händelse ska inträffa eller att konsekvensen<br />
av att en oönskad händelse inträffar har bedömts vara så låg att<br />
nivån för sannolikhet eller konsekvens närmar sig noll, ska det övervägas<br />
huruvida risken överhuvudtaget ska bedömas. En sådan bedömning riskerar<br />
annars att leda till orealistiska bedömningar av risknivån. Till exempel<br />
kan en bedömning av sannolikheten som närmar sig noll, samtidigt som<br />
konsekvensen av en oönskad händelse är stor, resultera i en bedömd risk i<br />
nivå 3-4 och därmed leda till införande av skyddsåtgärder vilka inte står i<br />
proportion till den faktiska risken.<br />
Alla riskbedömningar skall därför vara resultatet av ett väl medvetet ställningstagande<br />
och alltid kunna motiveras.<br />
300
1<br />
2 3 4 5 6<br />
Sannolikhet<br />
7<br />
8<br />
9 10<br />
B<br />
D<br />
C<br />
10 Säkerhetsplanering<br />
1<br />
2<br />
3<br />
4<br />
5<br />
6<br />
7<br />
8<br />
9<br />
10 Konsekvens<br />
Bild 10:9 Bilden visar på hur sannolikhet och konsekvens vägs samman för att bedöma<br />
risken. Exempel A-D är hämtade från bild 10.10.<br />
Principen för hur bedömning av risker går till framgår av bild 10.9 i kombination<br />
med exemplen i bild 10.10. Risk B i bild 10.9 är ett exempel på en risk<br />
som skulle kunnat bedömas som en förhöjd (3) risk. Anledningen till att<br />
risken bedömts som låg (2) är att en insider mest sannolikt inte bryter sig in<br />
i datalektionssalen för att stjäla eller förstöra merparten av utrustningen utan<br />
i stället är ute efter särskild materiel (exempelvis dator, skrivare och bildprojektor)<br />
vilken personen redan tidigare identifierat. Konsekvensen blir<br />
därmed lägre. 111<br />
Indelningen av riskmatrisen i fyra olika kvadranter med respektive risknivåer<br />
får därmed inte ses som en absolut sanning. Den ska i stället ses som<br />
riktlinjer vilka kan tjäna som stöd vid riskbedömningen.<br />
111. En insider skulle i detta exempel även kunna samarbeta med kriminella genom att öppna<br />
t ex fönstren i datalektionssalen och därigenom åstadkomma en mycket större konsekvens.<br />
Den möjligheten har dock inte legat till grund för nämnda exempel.<br />
A<br />
301
10 Säkerhetsplanering<br />
Tabell 10:5 Riskbedömningen resulterar i en bedömd risk enligt en femgradig skala<br />
Bedömning av risk<br />
5<br />
4<br />
3<br />
2<br />
1<br />
Mycket hög risk<br />
Hög risk<br />
Förhöjd risk<br />
Låg risk<br />
Ingen synbar risk<br />
Den bedömda risken i detta skede tar inte hänsyn till de förslag till eller<br />
beslut om skyddsåtgärder som vidtas under steg 5. Först efter att förslag till<br />
skyddsåtgärder är framtagna kan förnyade konsekvens-, hot- och sårbarhetsbedömningar<br />
ligga till grund för en ny riskbedömning som visar på<br />
förväntade effekter av föreslagna åtgärder.<br />
Den verkliga effekten av föreslagna åtgärder kan inte värderas förrän åtgärderna<br />
är beslutade och implementerade.<br />
302
Oönskade<br />
händelser<br />
Inbrott i<br />
datalektionssal<br />
och omfattande<br />
förstöring eller<br />
stöld av<br />
datorutrustning.<br />
(Inbrott) i<br />
datalektionssal<br />
och begränsad<br />
stöld av<br />
datorutrustning.<br />
Hot Sårbarhet Sannolikhet<br />
5 – Sannolik<br />
4 – Trolig<br />
3 – Möjlig<br />
2 – Ej trolig<br />
1 – Osannolik<br />
Konsekvens Riskbedömning<br />
5 – Mycket hög<br />
4 – Hög<br />
3 – Förhöjd<br />
2 – Låg<br />
1 – Ingen synbar<br />
4 5 5 (9) 4 (8) 5<br />
1 5 3 (5) 2 (3) 2<br />
Stöld eller förlust<br />
på annat sätt av<br />
5 3 4 (7) 2 (4) 3<br />
bärbara PC. 2 3 2 (3) 2 (4) 2<br />
Bild 10:10 Exempel på utdrag ur kalkylblad avseende steg 4 av säkerhetsanalysen.<br />
10.2.6 Steg 5 - Prioritera och hantera risker<br />
(riskhanteringsbeslut)<br />
10 Säkerhetsplanering<br />
Säkerhetsanalysens sista steg innebär att prioritera de risker som identifierats<br />
i föregående steg och därefter fatta beslut om hur riskerna ska hanteras.<br />
Beslut om hur riskerna ska hanteras, riskhanteringsbeslut, innebär medvetna<br />
och dokumenterade chefsbeslut.<br />
303
10 Säkerhetsplanering<br />
Steg 5: Prioritera och hantera risker (riskhanteringsbeslut)<br />
Beslut om riskacceptans Ja Är risken acceptabel?<br />
Uppfylls regelverkets krav?<br />
Begäran om undantag<br />
alt. begäran om stöd<br />
från högre chef<br />
START<br />
Nej<br />
Beslut om skyddsåtgärder<br />
Ja<br />
Kan risken hanteras?<br />
Bild 10:11 Schematisk bild avseende arbetsgången av steg 5<br />
Nej<br />
Steg 1-3<br />
4: förnyad<br />
riskbedömning<br />
När hela steg 5 genomförts är målsättningen att beslut om riskacceptans föreligger<br />
för samtliga bedömda risker.<br />
Steg 5 inleds med att riskerna bedömda under steg 4 prioriteras. Därefter<br />
hanteras riskerna i prioritetsordning med början på de risker som bedömts<br />
som störst.<br />
Inledningsvis bedöms huruvida risken är acceptabel eller inte. När det gäller<br />
risker rörande säkerhetstjänst finns det i regel tydliga krav på säkerhetsskydd<br />
varför bedömningen i normala fall tar ställning till om regelverkskraven<br />
är uppfyllda. Är kraven uppfyllda och hotbilden i övrigt inte ger<br />
anledning att vidta skyddsåtgärder utöver kraven accepteras risken. I praktiken<br />
innebär det att nuvarande skyddsåtgärder bedöms som tillräckliga.<br />
Om bedömningen innebär att riskerna är oacceptabla eller att brister i uppfyllnaden<br />
av regelverkets krav avseende säkerhetsskydd har identifierats<br />
måste riskerna hanteras. Den första åtgärden blir därför att ta fram förslag<br />
till skyddsåtgärder vilka resulterar i att bedömda risker anses vara acceptabla<br />
eller att regelverkskraven uppfylls.<br />
<strong>Skydd</strong>såtgärder vidtas normalt i syfte att minska sårbarheten, men kan även<br />
vidtas i syfte att påverka hotet.<br />
Risker med hög sannolikhet, men låg konsekvens, åtgärdas främst genom<br />
skyddsåtgärder som syftar till att minska sannolikheten för att ett säkerhetshot<br />
ska inträffa. Sannolikheten minskas genom att reducera sårbarhet<br />
och/eller hot.<br />
Risker med låg sannolikhet, men hög konsekvens, åtgärdas främst genom<br />
åtgärder som syftar till att reducera konsekvensen om hotet trots allt inträffar.<br />
304
10 Säkerhetsplanering<br />
<strong>Skydd</strong>såtgärder omfattar åtgärder främst inom ramen för:<br />
• Informationssäkerhet<br />
• IT-säkerhet<br />
• Tillträdesbegränsning<br />
• Säkerhetsprövning<br />
• Säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA)<br />
• Kontrollverksamhet<br />
• Utbildning och information<br />
• Signalskydd<br />
<strong>Skydd</strong>såtgärder kan beroende på typ av hot även omfatta andra områden,<br />
exempel på sådana åtgärder kan utgöras av brandskyddsåtgärder.<br />
Med åtgärder som påverkar säkerhetshotet avses åtgärder som riktar sig<br />
direkt mot den eller de aktörer som utövar ett säkerhetshot. Syftet med dessa<br />
åtgärder kan vara att identifiera och/eller bekämpa den säkerhetshotande<br />
verksamheten. Exempel på sådana åtgärder kan vara genomförande av säkerhetsoperationer,<br />
men även informationsoperationer kan utgöra exempel<br />
på åtgärder riktade direkt eller indirekt mot den eller de aktörer som utövar<br />
ett säkerhetshot. 112<br />
Förslag till skyddsåtgärder beskrivs avseende bedömd effekt och kostnad<br />
(en form av kostnads- och nyttokalkyl). Med effekt avses resultatet av<br />
skyddsåtgärden i form av minskad sårbarhet, lägre hot eller reducerad konsekvens.<br />
Med kostnad avses de resurser införandet av skyddsåtgärden<br />
kommer att kräva i form av bland annat tid, personal, materiel och ekonomi.<br />
Förslagen loopas därefter tillbaka in i steg 1-4 för att resultera i förnyade<br />
riskbedömningar. Resultatet av den förnyade riskbedömningen ligger till<br />
grund för val av skyddsåtgärd, men kan även innebära att bedömningen<br />
resulterar i att risken inte kan hanteras. Anledningen till att risken inte<br />
bedöms kunna hanteras beror oftast på att sårbarheten inte kan minskas beroende<br />
på avsaknad av nödvändiga resurser eller att hotet inte kan påverkas,<br />
men kan även bero på andra omständigheter.<br />
Kan inte en risk hanteras på ett sätt som uppfyller regelverkets krav eller i<br />
övrigt resulterar i en acceptabel risk ska den chef som ansvarar för verksamheten<br />
snarast anmäla detta till högre chef. En sådan anmälan kan dels<br />
innebära en begäran om stöd för att kunna hantera risken på ett acceptabelt<br />
sätt, dels innebära en hemställan om undantag från regelverkets krav.<br />
112. Se H <strong>SÄK</strong> Säkund (hemlig) för utförligare beskrivning av säkerhetsoperationer.<br />
305
10 Säkerhetsplanering<br />
Krav avseende säkerhetsskydd är noga reglerat i olika regelverk. Regelverken<br />
anger vilken nivå av säkerhetsskydd som minst krävs för att uppfylla<br />
regelverkets krav.<br />
Vid beslut om skyddsåtgärder med avseende på säkerhetsskyddskrav innebär<br />
det att endast följande alternativ är möjliga:<br />
1. Säkerhetsskyddsåtgärder vidtas i enlighet med regelverkets krav.<br />
2. Alternativa åtgärder vidtas i syfte att erhålla motsvarande säkerhetsnivå<br />
som regelverket kräver och därmed uppfylla regelverkets krav. 113<br />
3. Säkerhetsskyddsåtgärder vidtas utöver regelverkets krav, främst med<br />
anledning av bedömt säkerhetshot.<br />
4. Varken säkerhetsskyddsåtgärder eller alternativa åtgärder kan vidtas<br />
för att uppfylla regelverkets krav. Att inte uppfylla regelverkets krav på<br />
säkerhetsskydd innebär en sådan medveten risktagning att det kräver<br />
ett undantagsbeslut av Överbefälhavaren eller den han utser.<br />
Av ovanstående framgår även att med hänsyn till aktuell hotbild kan ett<br />
beslut om en skyddsåtgärd i enlighet med gällande regelverk innebära en<br />
hög risktagning om hotet bedöms överstiga vår nivå av säkerhetsskydd. Ett<br />
sådant beslut innebär dock inte krav på undantag från gällande regelverk.<br />
En hemställan om undantag från regelverkets krav ska minst omfatta:<br />
• En beskrivning av vilken eller vilka risker som inte kan hanteras och varför<br />
dessa inte kan hanteras<br />
• En redogörelse för vilken regel hemställan begär undantag från 114<br />
• En konsekvensbeskrivning av uteblivet beslut om undantag<br />
• En redovisning av vilka tidsförhållanden som är aktuella, det vill säga hur<br />
brådskande ett eventuellt beslut om undantag är<br />
Beslut om riskacceptans samt beslut om skyddsåtgärder fattas genom att<br />
ansvarig chef fastställer resultatet av säkerhetsanalysen. Beslutet dokumenteras.<br />
Begäran om stöd eller undantag fattas i särskild ordning.<br />
113. Vilka alternativa åtgärder som resulterar i motsvarande nivå av säkerhetsskydd i enlighet<br />
med regelverkets krav avgörs av den militära underrättelse- och säkerhetstjänsten (MUST).<br />
114. I detta avseende räcker det inte med att t ex begära undantag från <strong>Försvarsmakten</strong>s föreskrifter<br />
om säkerhetsskydd. För att den som har rätt att fatta beslut om undantag ska kunna<br />
bereda ärendet krävs att undantaget är preciserat, exempelvis genom att undantag begärs<br />
avseende 2 kap. 12 § <strong>Försvarsmakten</strong>s interna bestämmelser om säkerhetsskydd och skydd<br />
av viss materiel.<br />
306
Oönskade<br />
händelser<br />
Inbrott i<br />
datalektionssal<br />
och omfattande<br />
förstöring eller<br />
stöld av<br />
datorutrustning.<br />
(Inbrott) i<br />
datalektionssal<br />
och begränsad<br />
stöld av<br />
datorutrustning.<br />
Stöld eller förlust<br />
på annat sätt av<br />
bärbara PC.<br />
Risk acceptabel?<br />
Regelverkskrav?<br />
Nej<br />
<strong>Skydd</strong>såtgärder<br />
(alternativ)<br />
Förstärkt<br />
tillträdesbegränsni<br />
ng (larm, fönster,<br />
dörr)<br />
Endast förstärkning<br />
av fönster<br />
Effekt Kostnad Val av<br />
skyddsåtgärd<br />
< Sårbarhet. IBSS<br />
kan vara på plats<br />
inom 10 min vilket<br />
förhindrar<br />
omfattande stöld<br />
< Sårbarhet.<br />
Intrång fördröjs<br />
med ca 20 min,<br />
men hindrar ej<br />
stöld<br />
Nej Innerdörr larmas < Sårbarhet.<br />
Intrång från<br />
insidan upptäcks<br />
och IBSS kan vara<br />
på plats inom 10<br />
Ja, men bör om<br />
möjligt minskas<br />
Förbjud medförsel<br />
av PC<br />
Ja Påminn om krav<br />
samt låt VB<br />
kontrollera<br />
efterlevnad<br />
min<br />
< Tillfälle (hot).<br />
Kommer sannolikt<br />
ej efterlevas samt<br />
reducerar nyttan<br />
av bärbar PC<br />
Hårddiskkrypto < Sårbarhet.<br />
Förhindrar tillgång<br />
till information,<br />
men inte förlusten<br />
av information<br />
Ca 100 kkr Ja. Effekten<br />
motiverar initial<br />
kostnad.<br />
Ca 30 kkr Nej<br />
Ca 10 kkr Nej<br />
Ingen kostnad Nej, men utarbeta<br />
tydliga regler samt<br />
orientera<br />
fortlöpande om<br />
Ca 50 kkr<br />
(licenskostnad)<br />
Personalkostnad<br />
(administration,<br />
felfunktioner etc.)<br />
10 Säkerhetsplanering<br />
hotbild.<br />
Nej, effekten<br />
uteblir<br />
< Tillfälle (hot) Ingen kostnad Ja, förstärk<br />
nuvarande<br />
skyddsåtgärder.<br />
Bild 10:12 Exempel på utdrag ur kalkylblad avseende steg 5 av säkerhetsanalysen,<br />
utvisande hur förslag till skyddsåtgärder tas fram genom att bedöma effekt och kostnad<br />
av respektive förslag.<br />
307
10 Säkerhetsplanering<br />
Oönskade Förnyad riskbedömning<br />
händelser Hot Sårbarhet Sannolikhet Konsekvens Slutlig Riskbedömning Risk acceptabel?<br />
Inbrott i<br />
datalektionssal<br />
och omfattande<br />
förstöring eller<br />
stöld av<br />
datorutrustning.<br />
(Inbrott) i<br />
datalektionssal<br />
och begränsad<br />
stöld av<br />
datorutrustning.<br />
4 2 2 (4) 4 (8) 3 Ja<br />
1 2 1 (2) 2 (3) 2 Ja<br />
Stöld eller förlust<br />
på annat sätt av<br />
4 3 4 (7) 2 (4) 3 Ja<br />
bärbara PC. 1 3 2 (3) 2 (4) 2 Ja<br />
Bild 10:13 Exempel på utdrag ur kalkylblad avseende steg 5 av säkerhetsanalysen,<br />
utvisande hur föreslagna skyddsåtgärder ligger till grund för förnyade riskbedömningar.<br />
10.3 Säkerhetsplan<br />
Säkerhetsplanen är en direkt fortsättning av säkerhetsanalysen och syftar till<br />
att reglera hur vi ska skydda tillgångarna mot säkerhetshoten för att erhålla<br />
nödvändig skyddsnivå. I säkerhetsplanen ska riskhanteringsbesluten omsättas<br />
i en konkret handlingsplan som ska säkerställa att besluten om<br />
skyddsåtgärder verkligen genomförs.<br />
En säkerhetsplan svarar bl a på frågorna:<br />
• Vilka åtgärder ska vidtas?<br />
• Vem/vilka är ansvariga?<br />
• När ska åtgärderna vara utförda?<br />
308
Till säkerhetsplanen kan höra bilagor omfattande:<br />
• Utbildningsplan avseende säkerhetstjänst (se vidare i kap 8)<br />
• Plan avseende internkontroller av säkerhetsskyddet (se vidare i kap 9)<br />
• IT-säkerhetsplan 115<br />
• Signalskyddsinstruktion 116<br />
En säkerhetsplan ska beslutas av ansvarig chef.<br />
Exempel på disposition av en säkerhetsplan framgår av bilaga 10.2.<br />
10.4 Säkerhetsbestämmelser<br />
Säkerhetsbestämmelser innehåller instruktioner för bl a säkerhetsmän, säkerhetsansvariga<br />
och övrig personal samt reglerar den enskildes ansvar för<br />
hur det dagliga arbetet bedrivs med hänsyn till säkerhetstjänstens krav. Säkerhetsbestämmelser<br />
regleras i exempelvis säkerhetsinstruktion, arbetsordning,<br />
stående stabsorder, operationsplan eller SOP (Standing Operating<br />
Procedure).<br />
Säkerhetsbestämmelser svarar bland annat på frågorna:<br />
• Vem/vilka har ett säkerhetsansvar?<br />
• Vad innebär ansvaret?<br />
• Hur ska den enskilde bete sig för att uppfylla säkerhetskraven?<br />
• Vilka åtgärder ska vidtas och av vem i händelse av en säkerhetsincident?<br />
Exempel 10:2 .<br />
Av regelverket framgår att muntlig delgivning av hemliga uppgifter som<br />
har placerats i informationssäkerhetsklass HEMLIG/CONFIDENTIAL<br />
eller högre endast får ske i lokaler eller inom områden som är godkända<br />
från säkerhetsskyddssynpunkt. I säkerhetsbestämmelser anpassas regelverket<br />
till lokala förutsättningar i stället för att enbart återupprepas.<br />
Muntlig delgivning av hemliga uppgifter.<br />
Muntlig delgivning av hemliga uppgifter vilka är placerade i informationssäkerhetsklass<br />
H/C eller högre får endast ske i följande lokaler vilka<br />
är godkända från säkerhetsskyddssynpunkt:<br />
- Stabshuset; konferensrum VESSLAN<br />
115. Se H <strong>SÄK</strong> IT (2006) avseende innehåll i sådan plan.<br />
116. Se H TST Grunder (<strong>2007</strong>) avseende innehåll i sådan instruktion.<br />
10 Säkerhetsplanering<br />
309
10 Säkerhetsplanering<br />
- Skolhuset; konferensrum ILLERN<br />
Muntlig delgivning av hemliga uppgifter placerade i informationssäkerhetsklass<br />
H/C eller högre inom andra lokaler eller områden får endast<br />
ske efter godkännande av garnisonschefen.<br />
Exempel på disposition av säkerhetsbestämmelser framgår av bilaga 10.3.<br />
310
Bilaga 10:1 Exempel på disposition av<br />
säkerhetsanalys<br />
1 Uppgiften<br />
1.1 Uppgiftens innebörd ur säkerhetssynpunkt<br />
1.1.1 Syfte<br />
1.1.2 Omfattning<br />
1.1.3 Ansvarsförhållanden<br />
1.1.4 Tidsplan<br />
1.1.5 Styrande ingångsvärden<br />
1.2 Slutsatser<br />
1.3 Omedelbara åtgärder<br />
2 Identifiering och prioritering av skyddsvärda tillgångar<br />
2.1 <strong>Skydd</strong>svärda tillgångar vilka kräver säkerhetsskydd med hänsyn till rikets<br />
säkerhet eller skyddet mot terrorism<br />
2.2 Övriga skyddsvärda tillgångar vilka kräver skyddsåtgärder<br />
2.3 Prioritering av skyddsvärda tillgångar<br />
2.4 Slutsatser<br />
2.5 Omedelbara åtgärder<br />
3 Bedömning av säkerhetshot<br />
3.1 Främmande underrättelseverksamhet<br />
3.2 Kriminalitet<br />
3.3 Sabotage<br />
3.4 Subversion<br />
3.5 Terrorism<br />
3.6 Övriga hot<br />
3.7 Slutsatser<br />
3.8 Omedelbara åtgärder<br />
4 Bedömning av sårbarhet<br />
4.1 Nuvarande skyddsåtgärder och dess effekt<br />
4.2 Identifiering av potentiella sårbarheter<br />
4.3 Sårbarhetsbedömning<br />
4.4 Slutsatser<br />
4.5 Omedelbara åtgärder<br />
5 Bedömning av risk<br />
5.1 Riskbedömning<br />
311
Bilaga 10:1 Exempel på disposition av säkerhetsanalys<br />
5.2 Slutsatser<br />
5.3 Omedelbara åtgärder<br />
6 Riskhantering<br />
6.1 Prioritering av risker<br />
6.2 (Förslag) på skyddsåtgärder<br />
6.2.1 Säkerhetsskyddsåtgärder<br />
6.2.2 Övriga skyddsåtgärder<br />
6.3 Medveten risktagning<br />
6.4 Krav på undantagsbeslut<br />
6.5 Slutsatser<br />
6.6 Omedelbara åtgärder<br />
7 Sammanfattning<br />
7.1 Sammanfattande slutsatser<br />
7.2 Fortsatta åtgärder<br />
7.2.1 Organisation<br />
7.2.2 Ansvarsförhållanden<br />
7.2.3 Riktlinjer<br />
7.2.4 Tidsplan<br />
312
Bilaga 10.2 Exempel på disposition av<br />
säkerhetsplan<br />
1 Grundläggande bestämmelser<br />
1.1 Omfattning och syfte<br />
1.2 (Säkerhetspolicy)<br />
1.3 Ingångsvärden från säkerhetsanalys<br />
2 Ledning och ansvar<br />
2.1 Säkerhetstjänstens organisation<br />
2.2 Ansvarsförhållanden<br />
2.3 Samordning (med signalskyddstjänsten)<br />
2.4 Samverkan med polis och övriga myndigheter<br />
2.5 Delgivning<br />
2.6 Rapportering<br />
3 Funktionsvisa bestämmelser (inklusive tidsplan)<br />
3.1 Inriktning av säkerhetstjänsten<br />
3.2 Säkerhetsunderrättelsetjänst<br />
3.3 Säkerhetsskydd allmänt<br />
3.4 Informationssäkerhet<br />
3.5 IT-säkerhet 1)<br />
3.6 Tillträdesbegränsning<br />
3.7 Säkerhetsprövning<br />
3.8 SUA<br />
3.9 Utbildning och information<br />
3.9.1 Utbildningsplan säkerhetstjänst (separat bilaga)<br />
3.9.2 Förteckning över utbildad personal (separat bilaga)<br />
3.10 Kontroll och uppföljning<br />
3.10.1 Internkontrollplan (separat bilaga)<br />
1) Redovisas i regel i separat IT-säkerhetsplan. Se vidare i H <strong>SÄK</strong> IT (2006)<br />
313
Bilaga 10:3 Exempel på disposition av<br />
säkerhetsbestämmelser<br />
1 Allmänt<br />
1.1 Säkerhetstjänstens organisation<br />
1.1.1 Säkerhetsmän<br />
1.2 Ansvarsförhållanden<br />
1.3 Styrande dokument<br />
1.4 Rapportering<br />
2 Säkerhetsbestämmelser<br />
2.1 Utbildning i säkerhetstjänst<br />
2.2 Informationssäkerhet<br />
2.2.1 Upprättande av sekretessbelagda handlingar som rör rikets säkerhet<br />
(hemliga handlingar)<br />
2.2.2 Upprättande av sekretessbelagda handlingar som inte rör rikets säkerhet<br />
2.2.3 Behörighet att ta del av hemliga uppgifter<br />
2.2.3.2 Sekretessbevis<br />
2.2.4 Registrering av hemlig handling<br />
2.2.5 Kvittering<br />
2.2.5.2 Kvittering vid mottagande av hemlig handling<br />
2.2.5.3 Kvittering vid delgivning av hemlig uppgift muntligt eller genom visning<br />
2.2.5.4 Signaturlista<br />
2.2.6 Delgivning<br />
2.2.6.2 Godkända lokaler och områden<br />
2.2.7 Förvaring av hemlig handling<br />
2.2.7.2 Samförvaringsbeslut<br />
2.2.7.3 Gemensam användning av hemlig handling<br />
2.2.7.4 Medförande av hemliga handlingar<br />
2.2.8 Kopiering av eller utdrag ur hemlig handling<br />
2.2.9 Förstöring av hemlig handling<br />
2.2.10 Inventering av hemlig handling<br />
2.2.11 Distribution av hemlig handling<br />
2.2.11.2 Distribution av hemlig handling inom organisationsenheten<br />
2.2.11.3 Distribution av hemlig handling utanför organisationsenheten<br />
2.2.11.4 Distribution av hemlig handling till utlandet<br />
2.2.12 Förlust av hemlig handling<br />
2.3 Tillträdesbegränsning<br />
315
Bilaga 10:3 Exempel på disposition av säkerhetsbestämmelser<br />
2.3.1 Legitimation och inpasseringsbevis<br />
2.3.2 Besöksrutiner<br />
2.3.2.1 Medförande av elektronisk utrustning<br />
2.3.3 Förvaring<br />
2.3.3.1 Stöldbegärlig utrustning<br />
2.3.3.2 Nycklar och koder<br />
2.3.3.3 Rutiner vid öppning av förvaringsutrymme utan närvaro av medarbetaren<br />
2.3.4 Rutiner för larm och bevakning<br />
2.4 IT-säkerhet<br />
2.4.1 Laptop, mobiltelefon, PDA etc<br />
2.4.2 Digitala lagringmedia<br />
2.5 Säkerhetsprövning<br />
2.5.1 Inför nyanställning och nyantagning<br />
2.5.2 Under anställning och tjänstgöring<br />
2.5.3 <strong>Skydd</strong>ssamtal<br />
2.5.4 Säkerhetssamtal<br />
2.6 SUA<br />
316
Bilaga Referenser<br />
Referens<br />
3:1 2005-04-05 HKV<br />
10 700:65482<br />
Datum Beteckning Ärendemening Anm<br />
3:2 2006-01-31 HKV<br />
10 700:61686<br />
3:4 2004-05-18 HKV<br />
10 440:68631<br />
3:5 2006-09-25 HKV<br />
10 817:74529<br />
3:6 2005-12-21 HKV<br />
09 884:794 57<br />
3:7 1990-12-27 Överbefälhavaren<br />
USL 903:64258<br />
3:8 1991-02-15 Chefen för flygvapnet<br />
903:60394<br />
3:9 1992-11-13 Upplands flygflottilj<br />
DET BÅLSTA<br />
903:2232<br />
Beslut om <strong>Försvarsmakten</strong>sinformationssäkerhetspolicy<br />
Översättning till engelska<br />
av <strong>Försvarsmakten</strong>sinformationssäkerhetspolicy<br />
Riktlinjer vid inplacering<br />
av hemliga uppgifter<br />
i informationssäkerhetsklass<br />
Beslut om handläggning<br />
av ärenden rörande<br />
menbedömningar<br />
Tillämpningsbeslut<br />
avseende gallring av<br />
handlingar av tillfällig<br />
eller ringa betydelse<br />
Gemensamt nyttjande<br />
av hemliga handlingar<br />
Gemensamt nyttjande<br />
av hemliga handlingar<br />
Säkerhetsskyddsföreskrifter<br />
för BUSH<br />
Skall inte längre<br />
tillämpas.<br />
Skall inte längre<br />
tillämpas.<br />
Skall inte längre<br />
tillämpas.<br />
317
<strong>Försvarsmakten</strong> Mårten Wallén (projektledare)<br />
Birgit Carlsson<br />
Dan Brundin<br />
Helena Rozi<br />
Helle Vikman Öijwall<br />
Kim Hakkarainen<br />
Lars-Erik Uhlegård<br />
Lars-Henning Persson<br />
Martin Waern<br />
Peter Nilsson<br />
Robert Jansson<br />
Stefan Nacksten<br />
Stefan Styrenius<br />
Thomas Ruthberg<br />
Zenobia Rosander<br />
Patrik Lind<br />
Sörman Information & Media AB Anne-Marie Löf (projektledare)<br />
Lena Eriksson<br />
Stefan Mattsson<br />
Leif Sundberg (illustrationer)