Informasjonssikkerhet for skjermingsverdige verdier etter sikkerhetsloven
For virksomheter som er underlagt sikkerhetsloven, stilles det krav om å oppnå forsvarlig sikkerhet for skjermingsverdige verdier.
Om sikkerhetsloven
Lov om nasjonal sikkerhet (sikkerhetsloven) med forskrifter regulerer det forebyggende sikkerhetsarbeidet knyttet til nasjonale sikkerhetsinteresser i Norge. Formål med bestemmelsene i sikkerhetsloven er å trygge Norges suverenitet, territoriell integritet, demokratiske styreform og andre nasjonale sikkerhetsinteresser. Sikkerhetsloven skal bidra til å forebygge, avdekke og motvirke sikkerhetstruende virksomhet, og sørge for at sikkerhetstiltak gjennomføres i samsvar med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn.
- Grunnleggende nasjonale funksjoner (GNF) er tjenester, produksjon, og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta de nasjonale sikkerhetsinteressene.*
- Nasjonale sikkerhetsinteresser (NSI) er landets suverenitet, territorielle integritet og demokratiske styreform og overordnede sikkerhetspolitiske interesser knyttet til:
- de øverste statsorganers virksomhet, sikkerhet og handlefrihet,
- forsvar, sikkerhet og beredskap
- forholdet til andre stater og internasjonale organisasjoner
- økonomisk stabilitet og handlefrihet
- samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet.
Hva skal sikkerhetsloven beskytte?
Sikkerhetsloven stiller krav til sikring av skjermingsverdige verdier som informasjon, informasjonssystemer, og objekt- og infrastruktur. Disse kravene blir i sikkerhetsloven omtalt som «informasjonssikkerhet», «informasjonssystemsikkerhet» og «objekt- og infrastruktursikkerhet», og vil helt eller delvis inngå i en virksomhets helhetlige arbeid med informasjonssikkerhet.
Skjermingsverdig informasjon
Informasjon er skjermingsverdig etter sikkerhetsloven dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig. Skjermingsverdig informasjon kan være både gradert og ugradert, og informasjonen kan lagres og formidles på flere måter.
Skjermingsverdige informasjonssystemer
Et informasjonssystem er et system som anvendes for å løse en oppgave eller utføre en funksjon. Det omfatter menneskelig, organisatoriske og tekniske ressurser, metoder og teknikker, og er ment å favne alt fra systemer for innsamling, registrering, sammenstilling, lagring eller utlevering av skjermingsverdig informasjon. Eksempler er alt fra saksbehandlingssystemer, kontorstøttesystemer og rene kommunikasjonssystemer til kontroll- og styringssystem. Informasjonssystem er skjermingsverdig etter sikkerhetsloven dersom det behandler skjermingsverdig informasjon, eller dersom det i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner.
Skjermingsverdige objekter og infrastruktur
Informasjonssystemsikkerhet må ses i nær sammenheng med objekt- og infrastruktursikkerhet. Objekter og infrastruktur er skjermingsverdige etter sikkerhetsloven dersom det kan skade grunnleggende nasjonale funksjoner om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse.
Hvordan beskytte skjermingsverdige verdier
Sikkerhetsloven stiller krav om at virksomheten skal sørge for et forsvarlig sikkerhetsnivå for skjermingsverdige verdier. Dette innebærer å beskytte verdiene mot tilsiktede handlinger som direkte eller indirekte kan føre til konsekvenser for grunnleggende nasjonale funksjoner og nasjonale sikkerhetsinteresser, og sørge for at skjermingsverdig informasjonen ikke blir kjent for uvedkommende, går tapt, blir endret, eller blir utilgjengelig.
For å oppnå et forsvarlig sikkerhetsnivå stiller sikkerhetsloven krav til sikkerhetsstyring. Sikkerhetsstyring handler om å styre sikkerheten slik at nivået blir forsvarlig, og omfatter alle aktiviteter med betydning for det forebyggende sikkerhetsarbeidet. Styring av sikkerheten er avgjørende for at riktig tiltak identifiseres og implementeres. Dette skal gjennomføres planlagt og systematisk i form av et sikkerhetsstyringssystem. Et sikkerhetsstyringssystem skal kunne identifisere sårbarheter og sørge for at disse blir lukket. Sikkerhetsstyringen skal være del av virksomhetsstyringen for øvrig.
Videre lesing
NSM gir informasjon, råd og veiledning for å hjelpe virksomheter i sitt arbeid med forebyggende sikkerhet etter sikkerhetsloven. Les mer på NSMs fagsider om sikkerhetsstyring.