Regelverkskrav

Innhold

1 Bakgrunn

Alle virksomheter bør ha en egeninteresse i et systematisk arbeid med informasjonssikkerhet. Offentlige virksomheter (forvaltningsorgan iht. forvaltningslovens § 1) er også pålagt dette gjennom ulikt regelverk. For å utdype kravene og forståelsen av disse tar vi i det videre utgangspunkt i eForvaltningsforskriften § 15. Derfra kommer vi inn på sammenhengen med annet regelverk på informasjonssikkerhetsområdet og spesielle forhold ved noen av disse.

2 Omfang

eForvaltningsforskriften §15 stiller krav om styring og kontroll med informasjonssikkerheten generelt i all informasjonsbehandling som offentlige virksomheter har ansvaret for. Andre lover og forskrifter har til dels overlappende og til dels mer detaljerte krav for ulike typer informasjon og informasjonsbehandling.

Mens eForvaltningsforskriften gjelder forvaltningsorgan, gjelder de andre lovene og forskriftene gjerne også for private virksomheter. Kravene i de andre lovene og forskriftene vil imidlertid i mange tilfeller bare være aktuelle for enkelte typer virksomheter eller spesielle deler av virksomhetene. Det er hva virksomhetene arbeider med, og hvilken informasjon de behandler, som avgjør om bestemmelsene er relevante.

Et avgjørende grep for de fleste virksomheter som omfattes av flere tilgrensende regelverk, er å se disse i sammenheng og etablere en oppgaveutføring, informasjonsbehandling og internkontroll som etterlever generelle regler gjennomgående og spesifikke regler der de er relevante.

3 Overordnet om mål, strategi og internkontroll

Offentlige virksomheter skal i henhold til eForvaltningsforskriften §15 etablere mål og strategi for informasjonssikkerhet og et tilfredsstillende system for internkontroll. Forskriften benytter kortformene sikkerhetsmål og sikkerhetsstrategi i sin videre omtale av mål og strategi for informasjonssikkerhet. Det vil derfor vi også gjøre i denne gjennomgangen.

4 Mål for informasjonssikkerhet

Sikkerhetsmålene bør beskrive både formål med informasjonsbehandlingen i forvaltningsorganet og overordnede føringer for informasjonsbehandling og bruk av IKT. Disse føringene vil naturlig uttrykkes som mål med vekt på konfidensialitet, integritet og tilgjengelighet i virksomhetens informasjonsbehandling og bruk av IKT.

Sikkerhetsmålene skal medvirke til at informasjonsbehandlingen på en best mulig måte realiserer virksomhetens samlede mål, er kostnadseffektiv og er i samsvar med lover og regler.

5 Strategi for informasjonssikkerhet

Sikkerhetsstrategien omfatter sentrale valg og prioriteringer i sikkerhetsarbeidet. Sikkerhetsstrategien består naturlig av to hoveddeler: 

  1. Retningslinjer for hvordan sikkerhetsarbeidet skal organiseres og gjennomføres 
  2. Retningslinjer for relevante tiltaksområder.

De siste bør etableres etter risikovurderinger i internkontrollarbeidet.

Retningslinjene for organisering og gjennomføring av sikkerhetsarbeidet må klargjøre roller, myndighet og ansvar. De bør også omfatte krav og føringer til en systematisk organisering og gjennomføring av aktivitetene i internkontrollarbeidet. Aktivitetene og gjennomføringen skal baseres på anerkjente standarder for styringssystem for informasjonssikkerhet (jf. eForvaltningsforskriften §15 andre ledd, første setning). Internkontrollen på informasjonssikkerhetsområdet bør samtidig være en integrert del av virksomhetens helhetlige internkontroll og styringssystem (jf. eForvaltningsforskriften §15 andre ledd, andre setning).

6 Omfang, detaljeringsnivå og begrepsbruk

Det er virksomhetens kompleksitet, risiko og behov som bør avgjøre innretning, omfang og detaljeringsnivå på sikkerhetsmål, sikkerhetsstrategi og internkontrollen forøvrig.

Forvaltningsorgan kan velge å bruke andre begrep enn sikkerhetsmål, sikkerhetsstrategi og retningslinjer om det som er omtalt over. Ledelsen må imidlertid vite hvordan eForvaltningsforskriftens krav til sikkerhetsmål, sikkerhetsstrategi og internkontroll er tilfredsstilt i forvaltningsorganet.

7 Informasjonssikkerhet og personopplysningslov og -forskrift

Personopplysningsloven §13 og personopplysningsforskriften kap. 2 har krav til informasjonssikkerhet rundt behandling av personopplysninger i alle typer virksomheter.  Disse kravene har samtidig mye felles med kravene i eForvaltningsforskriften §15, som gjelder all informasjonsbehandling i forvaltningsorgan.

Kravet til internkontroll i eForvaltningsforskriften §15 (styring og kontroll) på informasjonssikkerhetsområdet er i stor grad overlappende med kravene til planmessig og systematisk arbeid med informasjonssikkerhet slik personopplysningsloven § 13 og personopplysningsforskriften kap. 2 krever. 

Kravene til sikkerhetsmål og sikkerhetsstrategi er i hovedsak sammenfallende i de to forskriftene. Forskjellen er at kravene i personopplysningsforskriften er avgrenset til personopplysninger, mens de for eForvaltningsforskriften §15 gjelder all informasjonsbehandling i forvaltningsorganet.

Flere av paragrafene i personopplysningsforskriftens kap. 2 har dessuten direkte sammenfall med de hovedaktivitetene i internkontrollarbeidet som følger ved bruk av anerkjente standarder for styringssystem for informasjonssikkerhet, slik eForvaltningsforskriften §15 stiller krav om.  

På noen få punkter har personopplysningsforskriftens kap. 2 spesifikke tilleggskrav. eForvaltningsforskriften forutsetter imidlertid at slike særkrav inkluderes i sikkerhetsstrategien og internkontrollen – jf.  bestemmelsen i eForvaltningsforskriften § 15 om å «inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks».

Informasjonssikkerhetskravene i personopplysningsregelverket kan på denne bakgrunn etterleves med utgangspunkt i eForvaltningsforskriftens §15. 

I forbindelse med ovennevnte er det viktig å være klar over at vårt siktemål i veiledningsmateriellet er informasjonssikkerhet. Dette temaet omfatter bare en del av kravene i personopplysningsloven (dvs. §13) og personopplysningsforskriften (dvs. kapittel 2). Det er denne delen av personopplysningsloven og -forskriften som har ovennevnte sammenfall med eForvaltningsforskriften §15.

Personopplysningsloven stiller i § 14 også krav om nødvendig internkontroll for å etterleve de øvrige kravene i eller i medhold av loven, eksempelvis gyldig behandlingsgrunnlag, grunnkrav til behandlingen, innsyn, retting, sletting mv. Det må offentlige virksomheter sikre gjennom virksomhetens øvrige internkontroll. Dette tilsvarer lignende krav om internkontroll for å sikre regelverksetterlevelse som andre lover og forskrifter har på andre områder.

Personopplysningsforskriften § 3-1 stiller i tillegg konkrete krav om at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon, tilgjengelighet på dokumentasjon samt rutiner for oppfyllelse av sine plikter og de registrertes rettigheter etter det til enhver tid gjeldende personvernregelverk. Paragrafen lister også opp en ikke uttømmende liste over rutiner som den behandlingsansvarlige skal ha. For konkret innhold viser vi til forskriftens § 3-1.

For mer informasjon om personopplysningsloven og -forskriften spesielt viser vi til Datatilsynet.

 

8 Informasjonssikkerhet i andre særlover

For forvaltningsorgan vil kravene etter eForvaltningsforskriften §15 i stor grad også være sammenfallende med flere andre særlover med forskrifters krav om sikkerhetsmål, sikkerhetsstrategi o.l. innen informasjonssikkerhet. Merk, som omtalt over, at eventuelle spesifikke krav i andre lover, forskrifter og instrukser må inkluderes spesielt for de områder de gjelder.

Det er hva virksomheten arbeider med og hvilken informasjonsbehandling den utfører, som avgjør hvilke regelverk som er relevante. Her er kommunene rimelig like mens de statlige virksomhetene er svært forskjellige.

9 Om sikkerhetsloven spesielt

Sikkerhetsloven skal legge forholdene til rette for at rikets selvstendighet og andre vitale nasjonale sikkerhetsinteresser vernes mot spionasje, sabotasje eller terror (dvs. sikkerhetstruende virksomhet).

Sikkerhetsloven gjelder for forvaltningsorgan, for private virksomheter i forbindelse med en sikkerhetsgradert anskaffelse og for andre virksomheter som er inkludert i sikkerhetslovens virkeområde etter enkeltvedtak fra Forsvarsdepartementet (jf. https://www.nsm.stat.no/publikasjoner/regelverk/lover/).

Loven og tilhørende forskrifter stiller spesifikke krav til tiltak, organisering og gjennomføring av sikkerhetsarbeidet rundt det loven definerer som skjermingsverdig informasjon og objekt.

9.1 Skjermingsverdig informasjon og objekter

Skjermingsverdig informasjon skal merkes med sikkerhetsgrad fordi det kan skade eller medføre skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende (jf. sikkerhetsloven § 3 og § 11). Sikkerhetsgradering skal ikke skje i større utstrekning enn strengt nødvendig (jf. sikkerhetsloven § 11). For informasjon som omfattes av loven, gis det i lov og tilhørende forskrifter bestemmelser om sikringstiltak som skal implementeres.

Skjermingsverdig objekt er i henhold til sikkerhetsloven eiendom som må beskyttes mot sikkerhetstruende virksomhet av hensyn til rikets eller alliertes sikkerhet eller andre vitale nasjonale sikkerhetsinteresser. (jf. sikkerhetsloven § 3). Avgjørelse av om et objekt er skjermingsverdig eller ikke, tas av ansvarlig departement. Objekteier skal foreslå hvilke objekter som er skjermingsverdige. Disse skal utpekes og klassifiseres i henhold til reglene i lovens §§ 17 og 17a.

Mange offentlige virksomheter har i utgangspunktet ikke skjermingsverdig informasjon eller objekter, og disse vil i liten grad måtte forholde seg til sikkerhetslovens bestemmelser.

Alle virksomheter må imidlertid vurdere om de har skjermingsverdig informasjon eller objekter. De som har dette, må følge kravene i sikkerhetsloven med forskrifter for den aktuelle informasjonen og objektene. Alle virksomheter bør også vurdere om de i gitte situasjoner må kunne motta gradert informasjon, eksempelvis i krisesituasjoner. Disse virksomhetene må legge til rette for at klarert personell kan motta og håndtere gradert informasjon. Dette behøver ikke å være omfattende eller komplekst.

9.2 Tilnærming til sikkerhetsarbeid i sikkerhetsloven

Det er svært mange fellestrekk mellom den grunnleggende systematikken og tilnærmingen til sikkerhetsarbeid som kreves i sikkerhetsloven med forskrifter, og systematikken og tilnærmingen til sikkerhetsarbeid i anerkjente standarder for styringssystem for informasjonssikkerhet. Det er slike anerkjente standarder eForvaltningsforskriften §15 krever at offentlige virksomhetene skal basere seg på i sin internkontroll på informasjonssikkerhetsområdet.

Et informasjonssikkerhetsarbeid basert på eForvaltningsforskriften § 15 vil dermed også være et godt fundament om sikkerhetsloven skulle komme til anvendelse. Identifiseringen av om virksomheten behandler informasjon som faller inn under sikkerhetsloven, følger av et systematisk arbeid i henhold til anerkjente standarder. Dersom systematiske og risikobaserte tiltak er på plass, vil sikkerhetslovens krav representere noen tilleggskrav i sikkerhetsstyring og håndtering av sikkerhetsgradert informasjon.

For informasjon om sikkerhetsloven spesielt viser vi til fagmyndigheten for sikkerhetsloven, Nasjonal sikkerhetsmyndighet (NSM).

10 eForvaltningsforskriften § 15 som helhetlig utgangspunkt

Som vist over vil eForvaltningsforskriften §15 med sitt fokus på all informasjonsbehandling i virksomhetene være et naturlig utgangspunkt for alt informasjonssikkerhetsarbeid i alle forvaltningsorgan.  Arbeidet med informasjonssikkerhetskravene i annet regelverket vil da i hovedsak handle om å sjekke ut og eventuelt inkludere spesielle tilleggskrav disse har for den type informasjon og behandlinger disse reglene gjelder for. Dette kan gi en helhetlig og styrket tilnærming til informasjonssikkerhet i forvaltningsorganet.