Bedömande vid informationssäkerhetsklassificering

Detta är en Kandidat-uppsats från Högskolan i Halmstad/Akademin för ekonomi, teknik och naturvetenskap

Författare: Joakim Marklund; Tomas Hedström; [2019]

Nyckelord: användarperspektiv; säkerhetsskyddsanalys; säkerhetsskyddslagen; informationssamhället; digitaliseringen; bedömande; informationssäkerhet; informationssäkerhetsklassificering; konsekvent; klassificering; komplext; kontext; beslutsstödsgrupper; 4k; kommunikation; makt; inflytande; mångfald;

Sammanfattning: Utvecklingen i informationssamhället påverkar i allt större grad Försvarsmaktens verksamhetsprocesser. Det innebär att kraven och förutsättningarna för säkerhetsskydd av IT-system och därmed informationssäkerhetsklassning av handlingar och uppgifter förändras.  Denna studie undersöker under vilka förutsättningar som informationssäkerhetsklassificering genomförs i Försvarsmakten idag. Anledningen är att det förekommer inkonsekventa värderingar av uppgifter och handlingar, vilket försvårar samverkan, ger onödiga IT kostnader och säkerhetsrisker. Syftet med denna studie är att utreda vilka problem som medarbetare uppfattar finns inom Försvarsmakten idag, samt att om möjligt identifiera ändamålsenliga utvecklingsåtgärder. För att ta reda på detta har tjugotvå användare svarat på enkäter med öppna frågor, samt fem semistrukturerade intervjuer genomförts med experter inom lagar och förordningar, IT-system, metod och informationssäkerhet. Resultatet visar att de uppfattade problemen ligger i att förstå hur den egna informationen ska värderas i ett större sammanhang och att det är svåröverskådligt hur ens egen uppgift kan kombineras med andras uppgifter. Detta får flera konsekvenser, bl.a. svårigheter att göra ’skada och men’ bedömningar i förhållande till olika informationssäkerhetsklasser. Vidare visar resultatet att Försvarsmaktens metod för informationssäkerhetsklassificering har utvecklingspotential inom gällande lagar och förordningar, samt att orsakerna till de uppfattade problemen kan bemötas med riktade åtgärder. Vi utvecklade därför en teori med utvecklingsåtgärder för att hantera orsakerna till de uppfattade problemen med hänsyn till vad som idag är realiserbart. Syftet med teorin är att stärka förmågan till konsekvent informationssäkerhetsklassificering i komplext kontext, vilket åstadkommes genom förbättrad kommunikation och analytiskt stöd. Väsentliga element i teorin är tillgång till flera perspektiv genom mångfald i nätverk med lokala beslutsstödsgrupper, att andra kan inkluderas i bedömandet med externa representationstekniker och motivering av sekretessbeslut, samt att viktiga analysmoment är tydliggjorda. Uppsatsen bidrar med ett nödvändigt användareperspektiv till dagens högaktuella informationssäkerhetsdiskussion.

  HÄR KAN DU HÄMTA UPPSATSEN I FULLTEXT. (följ länken till nästa sida)