Innhold

• Bakgrunn
• Omfang
• Overordnet om Overordnet om mål, strategi og internkontroll
• Mål for informasjonssikkerhet
• Strategi for informasjonssikkerhet
• Omfang, detaljeringsnivå og begrepsbruk
• Informasjonssikkerhet i personopplysningsloven og personvernforordningen (GDPR)
• Informasjonssikkerhet i andre særlover
• Om sikkerhetsloven spesielt
• eForvaltningsforskriften § 15 som helhetlig utgangspunkt

1 Bakgrunn

Alle virksomheter bør ha en egeninteresse i et systematisk arbeid med informasjonssikkerhet. Offentlige virksomheter (forvaltningsorgan iht. forvaltningslovens § 1) er også pålagt dette gjennom ulikt regelverk. For å utdype kravene og forståelsen av disse tar vi i det videre utgangspunkt i eForvaltningsforskriften § 15. Derfra kommer vi inn på sammenhengen med annet regelverk på informasjonssikkerhetsområdet og spesielle forhold ved noen av disse.

2 Omfang

eForvaltningsforskriften §15 stiller krav om styring og kontroll med informasjonssikkerheten generelt i all informasjonsbehandling som offentlige virksomheter har ansvaret for. Andre lover og forskrifter har til dels overlappende og til dels mer detaljerte krav for ulike typer informasjon og informasjonsbehandling.

Mens eForvaltningsforskriften gjelder forvaltningsorgan, gjelder de andre lovene og forskriftene gjerne også for private virksomheter. Kravene i de andre lovene og forskriftene vil imidlertid i mange tilfeller bare være aktuelle for enkelte typer virksomheter eller spesielle deler av virksomhetene. Det er hva virksomhetene arbeider med, og hvilken informasjon de behandler, som avgjør om bestemmelsene er relevante.

Et avgjørende grep for de fleste virksomheter som omfattes av flere tilgrensende regelverk, er å se disse i sammenheng og etablere en oppgaveutføring, informasjonsbehandling og internkontroll som etterlever generelle regler gjennomgående og spesifikke regler der de er relevante.

3 Overordnet om mål, strategi og internkontroll

Offentlige virksomheter skal i henhold til eForvaltningsforskriften §15 etablere mål og strategi for informasjonssikkerhet og et tilfredsstillende system for internkontroll. Forskriften benytter kortformene sikkerhetsmål og sikkerhetsstrategi i sin videre omtale av mål og strategi for informasjonssikkerhet. Det vil derfor vi også gjøre i denne gjennomgangen.

4 Mål for informasjonssikkerhet

Sikkerhetsmålene bør beskrive både formål med informasjonsbehandlingen i forvaltningsorganet og overordnede føringer for informasjonsbehandling og bruk av IKT. Disse føringene vil naturlig uttrykkes som mål med vekt på konfidensialitet, integritet og tilgjengelighet i virksomhetens informasjonsbehandling og bruk av IKT.

Sikkerhetsmålene skal medvirke til at informasjonsbehandlingen på en best mulig måte realiserer virksomhetens samlede mål, er kostnadseffektiv og er i samsvar med lover og regler.

5 Strategi for informasjonssikkerhet

Sikkerhetsstrategien omfatter sentrale valg og prioriteringer i sikkerhetsarbeidet. Sikkerhetsstrategien består naturlig av to hoveddeler: 

1. Retningslinjer for hvordan sikkerhetsarbeidet skal organiseres og gjennomføres 
2. Retningslinjer for relevante tiltaksområder.

De siste bør etableres etter risikovurderinger i internkontrollarbeidet.

Retningslinjene for organisering og gjennomføring av sikkerhetsarbeidet må klargjøre roller, myndighet og ansvar. De bør også omfatte krav og føringer til en systematisk organisering og gjennomføring av aktivitetene i internkontrollarbeidet. Aktivitetene og gjennomføringen skal baseres på anerkjente standarder for styringssystem for informasjonssikkerhet (jf. eForvaltningsforskriften §15 andre ledd, første setning). Internkontrollen på informasjonssikkerhetsområdet bør samtidig være en integrert del av virksomhetens helhetlige internkontroll og styringssystem (jf. eForvaltningsforskriften §15 andre ledd, andre setning).

6 Omfang, detaljeringsnivå og begrepsbruk

Det er virksomhetens kompleksitet, risiko og behov som bør avgjøre innretning, omfang og detaljeringsnivå på sikkerhetsmål, sikkerhetsstrategi og internkontrollen forøvrig.

Forvaltningsorgan kan velge å bruke andre begrep enn sikkerhetsmål, sikkerhetsstrategi og retningslinjer om det som er omtalt over. Ledelsen må imidlertid vite hvordan eForvaltningsforskriftens krav til sikkerhetsmål, sikkerhetsstrategi og internkontroll er tilfredsstilt i forvaltningsorganet.

7 Informasjonssikkerhet i personopplysningsloven og personvernforordningen (GDPR)

Forordningens regler om informasjonssikkerhet følger av artikkel 32. Bestemmelsen fastslår at både den behandlingsansvarlige og databehandleren plikter å «gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen», jf. artikkel 32 nr. 1. Eksempler på slike tiltak fremgår av bokstav a til d.

Det følger av artikkel 32 nr. 2 at det ved vurderingen av egnet sikkerhetsnivå skal tas særlig hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. 

Fra dette kan man utlede at det ikke finnes ett nivå for sikkerhet som passer alle. Det sikkerhetsnivået som er passende for din virksomhet vil være avhengig av faktorene i vurderingen over. Dette betyr at du bør ha en risikobasert tilnærming til å bestemme hvilket behov du har for informasjonssikkerhet.

Disse kravene har samtidig mye til felles med kravene i eForvaltningsforskriften §15, som gjelder all informasjonsbehandling i forvaltningsorganer. Kravet til internkontroll i eForvaltningsforskriften § 15 (styring og kontroll) på informasjonssikkerhetsområdet er i stor grad overlappende med kravene til planmessig og systematisk arbeid med informasjonssikkerhet i forordningen.

I forbindelse med ovennevnte er det viktig å være klar over at vår målsetning i veiledningsmateriellet er informasjonssikkerhet. Dette temaet omfatter bare en del av kravene i personopplysningsloven og forordningen.

Forordningen stiller også krav om nødvendig internkontroll for å etterleve de øvrige kravene i forordningen og loven. Artikkel 24 om den behandlingsansvarliges ansvar fastsetter en forpliktelse til å gjennomføre «egnede tekniske og organisatoriske tiltak». Tiltakene skal både «sikre» og «påvise» at behandlingen utføres i samsvar med forordningens regler. Det skal tas hensyn til «behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter». Etter artikkel 24 nr. 2 skal tiltakene omfatte «iverksetting av egnede retningslinjer for vern av personopplysninger» dersom dette står i et rimelig forhold til behandlingsaktivitetene. Disse kravene må offentlige virksomheter sikre gjennom virksomhetens øvrige internkontroll.

Datatilsynet veileder på lovens og forordningens område. Du finner mer informasjon på www.datatilsynet.no.

8 Informasjonssikkerhet i andre særlover

For forvaltningsorgan vil kravene etter eForvaltningsforskriften §15 i stor grad også være sammenfallende med flere andre særlover med forskrifters krav om sikkerhetsmål, sikkerhetsstrategi o.l. innen informasjonssikkerhet. Merk, som omtalt over, at eventuelle spesifikke krav i andre lover, forskrifter og instrukser må inkluderes spesielt for de områder de gjelder.

Det er hva virksomheten arbeider med og hvilken informasjonsbehandling den utfører, som avgjør hvilke regelverk som er relevante. Her er kommunene rimelig like mens de statlige virksomhetene er svært forskjellige.

9 Om sikkerhetsloven spesielt

Sikkerhetsloven skal legge forholdene til rette for at rikets selvstendighet og andre vitale nasjonale sikkerhetsinteresser vernes mot spionasje, sabotasje eller terror (dvs. sikkerhetstruende virksomhet).

Sikkerhetsloven gjelder for forvaltningsorgan, for private virksomheter i forbindelse med en sikkerhetsgradert anskaffelse og for andre virksomheter som er inkludert i sikkerhetslovens virkeområde etter enkeltvedtak fra Forsvarsdepartementet (jf. https://www.nsm.stat.no/publikasjoner/regelverk/lover/).

Loven og tilhørende forskrifter stiller spesifikke krav til tiltak, organisering og gjennomføring av sikkerhetsarbeidet rundt det loven definerer som skjermingsverdig informasjon og objekt.

9.1 Skjermingsverdig informasjon og objekter

Skjermingsverdig informasjon skal merkes med sikkerhetsgrad fordi det kan skade eller medføre skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende (jf. sikkerhetsloven § 3 og § 11). Sikkerhetsgradering skal ikke skje i større utstrekning enn strengt nødvendig (jf. sikkerhetsloven § 11). For informasjon som omfattes av loven, gis det i lov og tilhørende forskrifter bestemmelser om sikringstiltak som skal implementeres.

Skjermingsverdig objekt er i henhold til sikkerhetsloven eiendom som må beskyttes mot sikkerhetstruende virksomhet av hensyn til rikets eller alliertes sikkerhet eller andre vitale nasjonale sikkerhetsinteresser. (jf. sikkerhetsloven § 3). Avgjørelse av om et objekt er skjermingsverdig eller ikke, tas av ansvarlig departement. Objekteier skal foreslå hvilke objekter som er skjermingsverdige. Disse skal utpekes og klassifiseres i henhold til reglene i lovens §§ 17 og 17a.

Mange offentlige virksomheter har i utgangspunktet ikke skjermingsverdig informasjon eller objekter, og disse vil i liten grad måtte forholde seg til sikkerhetslovens bestemmelser.

Alle virksomheter må imidlertid vurdere om de har skjermingsverdig informasjon eller objekter. De som har dette, må følge kravene i sikkerhetsloven med forskrifter for den aktuelle informasjonen og objektene. Alle virksomheter bør også vurdere om de i gitte situasjoner må kunne motta gradert informasjon, eksempelvis i krisesituasjoner. Disse virksomhetene må legge til rette for at klarert personell kan motta og håndtere gradert informasjon. Dette behøver ikke å være omfattende eller komplekst.

9.2 Tilnærming til sikkerhetsarbeid i sikkerhetsloven

Det er svært mange fellestrekk mellom den grunnleggende systematikken og tilnærmingen til sikkerhetsarbeid som kreves i sikkerhetsloven med forskrifter, og systematikken og tilnærmingen til sikkerhetsarbeid i anerkjente standarder for styringssystem for informasjonssikkerhet. Det er slike anerkjente standarder eForvaltningsforskriften §15 krever at offentlige virksomhetene skal basere seg på i sin internkontroll på informasjonssikkerhetsområdet.

Et informasjonssikkerhetsarbeid basert på eForvaltningsforskriften § 15 vil dermed også være et godt fundament om sikkerhetsloven skulle komme til anvendelse. Identifiseringen av om virksomheten behandler informasjon som faller inn under sikkerhetsloven, følger av et systematisk arbeid i henhold til anerkjente standarder. Dersom systematiske og risikobaserte tiltak er på plass, vil sikkerhetslovens krav representere noen tilleggskrav i sikkerhetsstyring og håndtering av sikkerhetsgradert informasjon.

For informasjon om sikkerhetsloven spesielt viser vi til fagmyndigheten for sikkerhetsloven, Nasjonal sikkerhetsmyndighet (NSM).

10 eForvaltningsforskriften § 15 som helhetlig utgangspunkt

Som vist over vil eForvaltningsforskriften §15 med sitt fokus på all informasjonsbehandling i virksomhetene være et naturlig utgangspunkt for alt informasjonssikkerhetsarbeid i alle forvaltningsorgan.  Arbeidet med informasjonssikkerhetskravene i annet regelverket vil da i hovedsak handle om å sjekke ut og eventuelt inkludere spesielle tilleggskrav disse har for den type informasjon og behandlinger disse reglene gjelder for. Dette kan gi en helhetlig og styrket tilnærming til informasjonssikkerhet i forvaltningsorganet.