Frågor och svar

Här har vi samlat vanliga frågor och ger svar på dessa



  • IT-säkerhetsarkitektur

    • Kan man använda samma komponenter och teknik?

      De olika näten har olika användningsområden och olika typ av uppbyggnad. Således skiljer sig exempelvis utrustning, konfigurationer och metodik i tillämpningen, allt för att optimera för respektive tillämponingsområde.

    • Vad är diod- eller vattenfallsteknik i IT arkitektursammanhang?

      Diod- eller vattenfallsteknik utgörs av IT funktionalitet (oftast en kombination av hård- och mjukvara) som separerar eller kraftigt begränsar datautbytet mellan olika nät/nätsegment i en IT-infrastruktur. Vanligen tillåts en definierad begränsad mängd data i en riktning och då enligt förutbestämda format och/eller protokoll.

    • Vad är en IT-säkerhetsarkitektur?

      Det är en sammanhållen beskrivning av de principer, koncept och metoder samt nivåer och kvaliteter av dessa, som används för att skapa ett holistiskt skydd och skyddsnivå i IT-säkerhetssammanhang

    • Vad är innebörden av en zonmodell i IT arkitektursammanhang?

      En zonmodell innebär att man genom att tillämpa olika typer av tekniska skyddsfunktioner (brandväggar, datadioder eller galvanisk separation) separerar, segmenterar eller begränsar datautbytet mellan olika nät/nätsegment i en IT-infrastruktur. Vanligen tillåts en definierad begränsad mängd data i en riktning (från den mer kritiska zonen till en mindre kritiska zon) enligt givna format.

    • Vad har man för nytta av en IT-säkerhetsarkitektur?

      Alla har inte de resurser som större bolag har. Då kan det vara bra att ha ett befintligt, genomarbetat exempel på en IT-arkitektur där säkerhet har varit ett grundvärde i utformningen redan från början.

    • Vad skiljer en IT-säkerhetsstruktur i det administrativa nätet mot en IT-säkerhetsarkitektur för ICS/SCADA/ProcessIT?

      De olika näten har olika användningsområden och olika typ av uppbyggnad. Således skiljer sig exempelvis utrustning, konfigurationer och metodik i tillämpningen, allt för att optimera för respektive tillämpningsområde.


  • Svenska kraftnäts hotkatalog

    • Är det inte dumt att beskriva hoten öppet?

      Hotkatalogen är en sammanställning av existerande kunskap, kunskap som ofta finns dokumenterad på Internet och andra ställen i form av nyhetsartiklar, forskningsrapporter, testrapporter, youtubefilmer, med mera.

    • Det kommer nya hot hela tiden, så hur tänker ni uppdatera hotkatalogen.

      Hotkatalogen kommer att uppdateras löpande vid behov och med regelbundna intervall genom insatser från Svenska kraftnät.

    • Det saknas hot i hotkatalogen? Hur kan jag förmedla hot jag tycker ska vara med?

      Dels är hotkatalogen inriktad mot IT- och informationssäkerhet, så alla typer av hot är inte listade. Dels är det ett levande dokument. Nya hot uppstår eller tillkommer hela tiden. Dokumentet är avsett att uppdateras, så skicka gärna in förslag på specifika hot som saknas till de som är satta att underhålla och förvalta dokumentet! Förslag kommer att kunna delges via energisäkerhetsportalen.

    • Hur skall jag använda hotkatalogen?

      Den naturliga användningen av hotkatalogen är som ett referensverk i samband med att man utför hot- och riskanalys. Det är källmaterial för att se att man systematiskt kan få med olika typer av hot mot det analysobjekt som risk- och sårbarhetsanalysen avser

    • Vad är en hotkatalog

      Det är ett dokument med en samling kända hot som kategoriserats och redovisats på ett användbart sätt.

    • Vad är meningen med en hotkatalog?

      Poängen med denna sammanställning är flera: • Att de som arbetar med säkerhetsfrågor ska få en översikt över vilka hot som finns • Att det finns en bra startpunkt i samband med att man skall utföra en risk- och sårbarhetsanalys • Att ha som checklista i samband med utveckling eller förändringsarbeten


  • Svenska kraftnäts föreskrifter


  • Svenska kraftnäts säkerhetshöjande projekt


  • Svenska kraftnäts vägledning IS/IT-säkerhet samt säkerhetsskydd


  • Säkerhetsskydd, allmänt

    • Har inte SÄPO ansvaret för säkerhetsskyddet i Sverige?

      Om SÄPO kan man i deras eget material om deras uppgifter inom säkerhetsskydd läsa: ”Säkerhetsskydd handlar om rådgivning till och tillsyn av myndigheter och vissa företag i syfte att skydda verksamheter som har betydelse för rikets säkerhet och för att förebygga terrorism. Det innebär också att genomföra registerkontroller efter begäran från berörda myndigheter.” Ansvaret för att tillämpa säkerhetsskydd på företagsnivå åligger företagen själva.

    • Hur fungerar Facility security clearance

      Se vidare Vägledning IS/IT-säkerhet och säkerhetsskydd Kap. 9.4 Interaktion och utbyte med personal, företag och myndigheter från andra länder.

    • Hur kontrollerar man utländska medborgare som jobbar i Sverige ur säkerhetssynpunkt?

      Se vidare Vägledning IS/IT-säkerhet och säkerhetsskydd Kap.9.4 Interaktion och utbyte med personal, företag och myndigheter från andra länder.

    • Hur vet jag vilka befattningar som ska placeras i säkerhetsklass?

      Se i första hand bilaga 1 och bilaga 2 i Svenska kraftnäts föreskrifter och allmänna råd om säkerhetsskydd 2013:1. Vidare ska resultatet från genomförd säkerhetsanalys vid företaget ligga till grund för bedömningar om vilka befattningar som ska inplaceras i säkerhetsklass.

    • Säkerhetsskydd handlar väl bara om lås, larm och fysiskt skydd?

      Nej! Det handlar om UPPGIFTER. Med uppgifter kan menas saker som en person vet om något, något som är nedtecknat på papper, ritning eller motsvarande, men också information som förekommer i IT-system. Detta har de senaste decennierna blivit mycket viktigare då i stort sett all information hanteras i IT system. Det bör även nämnas att säkerhetsskyddslagstiftningen genomgår en översyn och kommer att förändras. Det innebär att lagstiftningen på området kommer att moderniseras och på ett tydligare sätt återspegla den tidsålder vi lever i.

    • Vad är skillnad mellan säkerhetsskyddschef, informationssäkerhetschef och IT-säkerhetschef?

      Titlarna avser olika ansvarsområden. Säkerhetsskyddschefen ansvarar för allt som rör säkerhetsskyddet. De övriga två för sina respektive områden beroende på hur företaget har definierat dessa uppgifter och områden. Läs mer i Kap. 7 i Vägledning IS/IT-säkerhet och säkerhetsskydd.

    • Vad är skillnaden mellan ansvaret för en säkerhetsskyddschef, informationssäkerhetschef och IT-säkerhetschef?

      Läs mer i Kap. 7 i Vägledning IS/IT-säkerhet och säkerhetsskydd.

    • Vad gör en säkerhetsskyddschef?

      I säkerhetsskyddsförordningen (1996:633) 6 § står bland annat följande: ”Hos myndigheter och andra som förordningen gäller för skall det, om det inte är uppenbart obehövligt, finnas en säkerhetsskyddschef som utövar kontroll över säkerhetsskyddet…” Detta innebär i förlängningen att företag som omfattas av Svenska Kraftnäts föreskrifter är skyldiga att ha någon utpekad som ansvarig för säkerhetsskyddsarbetet. Detta i sin tur innebär åtgärder och aktiviteter som utförs som följd av föreskrifterna.

    • Vad händer vid utfall av registerkontrollen eller om personen vid lämplighetsbedömning bedöms ha tveksam vandel för det uppdrag personen är tänkt att genomföra.

      Sektormyndigheten, Svenska kraftnät, är den som slutligen fattar beslut om en person kan genomföra uppdrag som kräver inplacering i säkerhetsklass. Om tveksamheter framkommer i samband med lämplighetsbedömningen så ska sektormyndigheten, Svenska kraftnät, kontaktas i ärendet.

    • Vad innebär en säkerhetsprövning?

      En säkerhetsprövning består av tre huvudsakliga beståndsdelar. Personlig kännedom och referenser samt registerkontroll för den som kontrolleras. Vad gäller personlig kännedom och referenser så ligger ansvaret för detta på företaget. Svenska kraftnät ansvarar för att genomföra registerkontrollen. Det är viktigt att denna aktivitet genomförs på ett strukturerat sätt och dokumenteras, exempelvi enligt mall för lämplighetsbedömning. Se vidare på energisäkerhetsportalen under mallar, mall för lämplighetsbedömning.

    • Vad innebär säkerhetsskydd?

      Säkerhetsskydd är i Sverige skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet. Säkerhetsskydd ska även i övrigt skydda uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) och som rör rikets säkerhet. Säkerhetsskydd omfattar även skydd mot terroristbrott, även om sådana brott inte hotar rikets säkerhet. I olika rättsfall har det konstaterats att elförsörjningen i Sverige rör rikets säkerhet eller skyddet mot terrorism. Det bör här särskilt påpekas att även mindre företag kan omfattas av detta. Det är betydelsen i det stora hela som avgör, där kan exempelvis betydelse för dödnätsstart inom ett område avgöra.

    • Var hittar jag blanketter som rör registerkontrollprocessen?

      Alla tillämpliga blanketter finns på energisäkerhetsportalen under Dokument->Stöddokument->Mallar och blanketter.


  • Säkerhetsskydd, säkerhetsanalys

    • Vad är en säkerhetsanalys?

      En säkerhetsanalys är definierad i 5 § säkerhetsskyddsförordningen (1996:633) som följer; ”Myndigheter och andra som förordningen gäller för skall undersöka vilka uppgifter i deras verksamhet som skall hållas hemliga med hänsyn till rikets säkerhet och vilka anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism. Resultatet av denna undersökning (säkerhetsanalys) skall dokumenteras.” Genom föreskrifter har Svenska kraftnät angett att detta gäller för bolag inom elbranschen för vilka Svenska kraftnät har föreskriftsrätt.

    • Vad skiljer en riskanalys från en säkerhetsanalys?

      En riskanalys syftar, som namnet avslöjar, till att identifiera hot samt analysera och kartlägga risker. En säkerhetsanalys, såsom definierad i säkerhetsskyddsförordningen, syftar däremot till att kartlägga, eller inventera, vilken information som rör rikets säkerhet och/eller skyddet mot terrorism. Det måste dock påpekas att det svårligen går att genomföra en säkerhetsanalys om man inte redan genomfört en riskanalys. Detta följer av att hotbilden mot ett specifikt objekt eller en specifik information, direkt eller implicit genom beroenden, kan avgöra dess värde, i.e. om det rör rikets säkerhet och/eller skyddet mot terrorism.

    • Vem får, och ska, ta del av resultatet av en säkerhetsanalys?

      På företaget bestämmer företagets högste chef, vanligen VD, vem som får ta del av säkerhetsanalysen. Brukligt är dock den personal som är ansvariga inom olika säkerhetsområden (säkerhetschef etc.) praktiskt hanterar analysen. Vidare behöver naturligtvis de som berörs av åtgärder kopplade till analysen ta del av innehållet. Kortfattat kan man säga att den som behöver ta del av innehållet för att utföra sitt arbete korrekt också ska ta del av analysen. Svenska Kraftnät kan begära av företag att ta del av säkerhetsanalysen. Företaget är då skyldiga att delge denna till Svenska Kraftnät.

    • Vilken nytta har man av en säkerhetsanalys?

      Resultatet av en väl genomförd säkerhetsanalys ger information om vilka resurser (anläggningar och information) som behöver ges ett skydd som regleras i lag och förordning. Under förutsättning att man hanterar utfallet från analysen och bemöter denna med adekvata åtgärder så förebygger detta incidenter där företrädare för företaget kan komma att ställas till ansvar gentemot gällande säkerhetsskyddslagstiftning.


  • Övriga frågor