Regelverkskrav

Innhold

1 Bakgrunn

Alle virksomheter bør ha en egeninteresse i et systematisk arbeid med informasjonssikkerhet. Offentlige virksomheter (forvaltningsorgan iht. forvaltningslovens § 1) er også pålagt dette gjennom ulikt regelverk. For å utdype kravene og forståelsen av disse tar vi i det videre utgangspunkt i eForvaltningsforskriften § 15. Derfra kommer vi inn på sammenhengen med annet regelverk på informasjonssikkerhetsområdet og spesielle forhold ved noen av disse.

2 Omfang

eForvaltningsforskriften §15 stiller krav om styring og kontroll med informasjonssikkerheten generelt i all informasjonsbehandling som offentlige virksomheter har ansvaret for. Andre lover og forskrifter har til dels overlappende og til dels mer detaljerte krav for ulike typer informasjon og informasjonsbehandling.

Mens eForvaltningsforskriften gjelder forvaltningsorgan, gjelder de andre lovene og forskriftene gjerne også for private virksomheter. Kravene i de andre lovene og forskriftene vil imidlertid i mange tilfeller bare være aktuelle for enkelte typer virksomheter eller spesielle deler av virksomhetene. Det er hva virksomhetene arbeider med, og hvilken informasjon de behandler, som avgjør om bestemmelsene er relevante.

Et avgjørende grep for de fleste virksomheter som omfattes av flere tilgrensende regelverk, er å se disse i sammenheng og etablere en oppgaveutføring, informasjonsbehandling og internkontroll som etterlever generelle regler gjennomgående og spesifikke regler der de er relevante.

3 Overordnet om mål, strategi og internkontroll

Offentlige virksomheter skal i henhold til eForvaltningsforskriften §15 etablere mål og strategi for informasjonssikkerhet og et tilfredsstillende system for internkontroll. Forskriften benytter kortformene sikkerhetsmål og sikkerhetsstrategi i sin videre omtale av mål og strategi for informasjonssikkerhet. Det vil derfor vi også gjøre i denne gjennomgangen.

4 Mål for informasjonssikkerhet

Sikkerhetsmålene bør beskrive både formål med informasjonsbehandlingen i forvaltningsorganet og overordnede føringer for informasjonsbehandling og bruk av IKT. Disse føringene vil naturlig uttrykkes som mål med vekt på konfidensialitet, integritet og tilgjengelighet i virksomhetens informasjonsbehandling og bruk av IKT.

Sikkerhetsmålene skal medvirke til at informasjonsbehandlingen på en best mulig måte realiserer virksomhetens samlede mål, er kostnadseffektiv og er i samsvar med lover og regler.

5 Strategi for informasjonssikkerhet

Sikkerhetsstrategien omfatter sentrale valg og prioriteringer i sikkerhetsarbeidet. Sikkerhetsstrategien består naturlig av to hoveddeler: 

  1. Retningslinjer for hvordan sikkerhetsarbeidet skal organiseres og gjennomføres 
  2. Retningslinjer for relevante tiltaksområder.

De siste bør etableres etter risikovurderinger i internkontrollarbeidet.

Retningslinjene for organisering og gjennomføring av sikkerhetsarbeidet må klargjøre roller, myndighet og ansvar. De bør også omfatte krav og føringer til en systematisk organisering og gjennomføring av aktivitetene i internkontrollarbeidet. Aktivitetene og gjennomføringen skal baseres på anerkjente standarder for styringssystem for informasjonssikkerhet (jf. eForvaltningsforskriften §15 andre ledd, første setning). Internkontrollen på informasjonssikkerhetsområdet bør samtidig være en integrert del av virksomhetens helhetlige internkontroll og styringssystem (jf. eForvaltningsforskriften §15 andre ledd, andre setning).

6 Omfang, detaljeringsnivå og begrepsbruk

Det er virksomhetens kompleksitet, risiko og behov som bør avgjøre innretning, omfang og detaljeringsnivå på sikkerhetsmål, sikkerhetsstrategi og internkontrollen forøvrig.

Forvaltningsorgan kan velge å bruke andre begrep enn sikkerhetsmål, sikkerhetsstrategi og retningslinjer om det som er omtalt over. Ledelsen må imidlertid vite hvordan eForvaltningsforskriftens krav til sikkerhetsmål, sikkerhetsstrategi og internkontroll er tilfredsstilt i forvaltningsorganet.

7 Informasjonssikkerhet i personopplysningsloven og personvernforordningen (GDPR)

Forordningens regler om informasjonssikkerhet følger av artikkel 32. Bestemmelsen fastslår at både den behandlingsansvarlige og databehandleren plikter å «gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen», jf. artikkel 32 nr. 1. Eksempler på slike tiltak fremgår av bokstav a til d.

Det følger av artikkel 32 nr. 2 at det ved vurderingen av egnet sikkerhetsnivå skal tas særlig hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. 

Fra dette kan man utlede at det ikke finnes ett nivå for sikkerhet som passer alle. Det sikkerhetsnivået som er passende for din virksomhet vil være avhengig av faktorene i vurderingen over. Dette betyr at du bør ha en risikobasert tilnærming til å bestemme hvilket behov du har for informasjonssikkerhet.

Disse kravene har samtidig mye til felles med kravene i eForvaltningsforskriften §15, som gjelder all informasjonsbehandling i forvaltningsorganer. Kravet til internkontroll i eForvaltningsforskriften § 15 (styring og kontroll) på informasjonssikkerhetsområdet er i stor grad overlappende med kravene til planmessig og systematisk arbeid med informasjonssikkerhet i forordningen.

I forbindelse med ovennevnte er det viktig å være klar over at vår målsetning i veiledningsmateriellet er informasjonssikkerhet. Dette temaet omfatter bare en del av kravene i personopplysningsloven og forordningen.

Forordningen stiller også krav om nødvendig internkontroll for å etterleve de øvrige kravene i forordningen og loven. Artikkel 24 om den behandlingsansvarliges ansvar fastsetter en forpliktelse til å gjennomføre «egnede tekniske og organisatoriske tiltak». Tiltakene skal både «sikre» og «påvise» at behandlingen utføres i samsvar med forordningens regler. Det skal tas hensyn til «behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter». Etter artikkel 24 nr. 2 skal tiltakene omfatte «iverksetting av egnede retningslinjer for vern av personopplysninger» dersom dette står i et rimelig forhold til behandlingsaktivitetene. Disse kravene må offentlige virksomheter sikre gjennom virksomhetens øvrige internkontroll.

Datatilsynet veileder på lovens og forordningens område. Du finner mer informasjon på www.datatilsynet.no.

8 Informasjonssikkerhet i andre særlover

For forvaltningsorgan vil kravene etter eForvaltningsforskriften §15 i stor grad også være sammenfallende med flere andre særlover med forskrifters krav om sikkerhetsmål, sikkerhetsstrategi o.l. innen informasjonssikkerhet. Merk, som omtalt over, at eventuelle spesifikke krav i andre lover, forskrifter og instrukser må inkluderes spesielt for de områder de gjelder.

Det er hva virksomheten arbeider med og hvilken informasjonsbehandling den utfører, som avgjør hvilke regelverk som er relevante. Her er kommunene rimelig like mens de statlige virksomhetene er svært forskjellige.

9 Om sikkerhetsloven

Lov om nasjonal sikkerhet (sikkerhetsloven) skal bidra til å sikre Norges suverenitet, territorielle integritet og demokratiske styreform og andre nasjonale sikkerhetsinteresser mot sikkerhetstruende virksomhet (tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser, f.eks. spionasje, sabotasje og terror).

Sikkerhetsloven gjelder for statlige, fylkeskommunale og kommunale organer, for private virksomheter i forbindelse med en sikkerhetsgraderte anskaffelser og for virksomheter som er inkludert i sikkerhetslovens virkeområde etter enkeltvedtak i et departement.

Loven og tilhørende forskrifter stiller krav til sikkerhetsstyring og gjennomføring av sikkerhetsarbeidet, og forsvarlig sikkerhetsnivå for det som skal sikres iht. loven.

9.1 Skjermingsverdige verdier

For å ivareta nasjonale sikkerhetsinteresser og grunnleggende nasjonale funksjoner stiller lov om nasjonal sikkerhet (sikkerhetsloven) krav til forsvarlig sikkerhetsnivå for

  • Skjermingsverdig informasjon (§ 5-1)
  • Skjermingsverdige informasjonssystemer (§ 6-1)
  • Skjermingsverdige objekter og infrastruktur (§ 7-1)

Forskrift til loven benytter «skjermingsverdige verdier» som samlebetegnelse for disse.

Skjermingsverdig informasjon er informasjon hvor det at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig kan skade nasjonale sikkerhetsinteresser.

Skjermingsverdige informasjonssystemer er system som benyttes til behandling av slik skjermingsverdig informasjon, og system som i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner.

Sikkerhetsgradert informasjon (§ 5-3) skal merkes med sikkerhetsgrad og beskyttes dersom det kan skade nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende (konfidensialitetsbehov). Sikkerhetsgradering skal ikke brukes i større utstrekning enn strengt nødvendig. Tilhørende forskrifter har bestemmelser om spesifikke sikkerhetsstiltak som skal etableres for behandling av sikkerhetsgradert informasjon.

Dersom redusert funksjonalitet, skadeverk, ødeleggelse eller rettsstridig overtakelse av objekter og infrastruktur kan skade grunnleggende nasjonale funksjoner er disse å anse som skjermingsverdige objekter og infrastruktur, og de skal beskyttes mot sikkerhetstruende virksomhet. Avgjørelse av om objekt eller infrastruktur er skjermingsverdig eller ikke, tas av ansvarlig departement. Disse skal utpekes og klassifiseres i henhold til reglene i lovens §§ 7-1 og 7-2.

Mange offentlige virksomheter har i utgangspunktet få eller ingen skjermingsverdig verdier iht. sikkerhetsloven, og må i liten grad forholde seg til regelverket.

Alle offentlige virksomheter må imidlertid ha tilstrekkelig oversikt for å være i stand til gjøre gode vurderinger, og kunne identifisere skjermingsverdig informasjon og skjermingsverdige informasjonssystemer.

Alle virksomheter bør også vurdere om de i gitte situasjoner må være i stand til å motta og håndtere sikkerhetsgradert informasjon, eksempelvis i krisesituasjoner. Disse virksomhetene må legge til rette for at klarert personell kan motta og håndtere gradert informasjon.

9.2 Tilnærming til sikkerhetsarbeid i sikkerhetsloven

Sikkerhetsloven legger opp til at arbeidet med å ivareta nasjonale sikkerhetsinteresser i virksomhetene skal inngå i virksomhetsstyringen, i et helhetlig arbeid med styring og kontroll.

NOU 2016:19 (Traavik-utvalget):

«Selv om utvalget ikke foreslår en all hazards-tilnærming i den nye loven, vil utvalget presisere viktigheten av at virksomhetene har en helhetlig tilnærming til hvordan risiko skal håndteres når det kommer til operasjonaliseringene av de krav som stilles til virksomhetene, både etter en ny sikkerhetslov og etter øvrig regelverk som er relevant for den enkelte virksomhet.»

Lovproposisjonen s.80:

«Det følger av utvalgets forslag at forebyggende sikkerhet skal innarbeides som en del av virksomhetens styringssystem, som departementet foreslår som ny § 4-1. Departementet mener dette er et viktig prinsipp som bør lovfestes. Dette er også støttet av flere av høringsinstanser blant andre NSM og Nkom.»

Høringsnotatet til forskriftene til sikkerhetsloven:

«formålet med å stille krav om styringssystem er at virksomhetene i større grad skal tenke helhetlig i det forebyggende sikkerhetsarbeidet. Virksomheter som allerede har et eksisterende styringssystem for f.eks. virksomhetsstyring, IKT-sikkerhet eller HMS kan bygge videre på dette for å ivareta kravene i forskriftene. Slik departementet ser det vil de fleste virksomhetene gjør endringer for å oppfylle kravene i forskriften om virksomhetens arbeid med forebyggende sikkerhet.»

Det er i praksis samsvar mellom systematikken og tilnærmingen til sikkerhetsarbeid som kreves i sikkerhetsloven med forskrifter, og systematikken og tilnærmingen til sikkerhetsarbeid i anerkjente standarder for styringssystem for informasjonssikkerhet. Kravene til virksomhetenes sikkerhets- og risikostyring i forskrift til loven er basert på tilnærmingen i ISO 31000 og ISO/IEC 27001. Det er slike anerkjente standarder eForvaltningsforskriften § 15 krever at de offentlige virksomhetene skal basere seg på i sin internkontroll på informasjonssikkerhetsområdet.

Et informasjonssikkerhetsarbeid basert på slike anerkjente standarder og denne veiledningen fra Difi vil dermed også være et godt fundament dersom sikkerhetsloven skulle komme til anvendelse. Identifiseringen av om virksomheten behandler informasjon, eller forvalter informasjonssystemer, som faller inn under sikkerhetsloven, følger av et systematisk arbeid. Dersom systematiske aktiviteter og risikobaserte sikkerhetstiltak allerede er på plass, vil dette regelverket medføre en del tilleggskrav til sikkerhetsarbeidet, og ekstra krav til sikkerhetstiltak som skal være etablert for relevante deler av informasjonsbehandlingen, slik at virksomheten oppnår et forsvarlig sikkerhetsnivå for det som skal beskyttes etter loven.

Nasjonal sikkerhetsmyndighet (NSM) er ansvarlig for å gi informasjon, råd og veiledning om sikkerhetsarbeid etter loven og krav til tiltak. De har omfattende veiledning for forståelse og bruk av regelverket.

10 eForvaltningsforskriften § 15 som helhetlig utgangspunkt

Som vist over vil eForvaltningsforskriften §15 med sitt fokus på all informasjonsbehandling i virksomhetene være et naturlig utgangspunkt for alt informasjonssikkerhetsarbeid i alle forvaltningsorgan.  Arbeidet med informasjonssikkerhetskravene i annet regelverket vil da i hovedsak handle om å sjekke ut og eventuelt inkludere spesielle tilleggskrav disse har for den type informasjon og behandlinger disse reglene gjelder for. Dette kan gi en helhetlig og styrket tilnærming til informasjonssikkerhet i forvaltningsorganet.