Försvarsmaktens instruktion för säkerhetsackreditering

Uppdatering av tidigare krav på säkerhetsfunktioner (KSF v3.1)

Lagom till semestern har Försvarsmakten fastställt en instruktion för säkerhetsackreditering (ISA) och instruktion med säkerhetskrav på informationssystem (ISK). Sedan 2014 har Försvarsmaktens krav på säkerhetsfunktioner (KSF v3.1) använts för kravställning av IT-säkerhetsförmågor i IT-system inom Försvarsmakten och i andra försvarsnära organisationer.

Sedan KSF v3.1 fastställdes har Sverige gått med i NATO och det hänt en hel del i omvärlden, teknikutveckling och även när det gäller reglering. Hotbilden är en helt annan och det har under tiden kommit en ny säkerhetsskyddslag, säkerhetsskyddsförordning och uppdaterade föreskrifter från Försvarsmakten inom säkerhetsskydd (FFS 2025:3) som träder ikraft om någon vecka. Det har ryktats om en uppdatering av KSF och är efterlängtat av många.

Instruktionen för säkerhetsackreditering innehåller en tydlig process för hur it- och informationssäkerhet omhändertas i ett systems livscykel från anskaffning och utveckling samt i efterföljande drift, förvaltning och förändring. I instruktionen har roller och ansvar tydliggjorts på ett bra sätt för hur säkerhetsarbetet ska bedrivas och vilken roll som har vilket ansvar.

Har man tidigare arbetat med KSF v3.1 kommer man känna igen sig i instruktionen med säkerhetskrav på informationssystem. Kraven har fått en välbehövlig uppfräschning och är likt tidigare uppdelade i två kategorier med tekniska förmågekrav och metodkrav (tidigare assurans). Nytt är att konsekvensnivåer görs i 6 nivåer och omfattar hela skalan från ej sekretess, sekretess och säkerhetskydd som omsätts i två kravnivåer – grund och utökad. Nytt är också att kravställningen inte enbart tar upp konfidentialitet utan numera också tillgänglighet och riktighet.

Det kommer bli en spännande höst för många att sätta sig in i det nya, anpassa mallar men framför allt att fortsätta bedriva ett aktivt säkerhetsarbete.