FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

DSB-veileder

5.3.2 FUNKSJONSEVNE - KAPABILITETER

DSB: Samfunnets kritiske funksjoner · 2016-12-01

FOA-vurdering

Informasjonssikkerhet, arkiv og gradert informasjon

Kapitlet peker på tre regelsett som må ses i sammenheng når en virksomhet håndterer informasjon i forvaltningen: styring og kontroll med informasjonssikkerhet, arkivbevaring og sikkerhetskrav for skjermingsverdig eller gradert informasjon. Poenget er at løsningen ikke bare må fungere teknisk, men også må kunne ivareta sikkerhet, tilgjengelighet og dokumentasjon. Det får betydning ved anskaffelser av systemer som skal behandle arkivmateriale, sensitiv informasjon eller gradert informasjon. For slike systemer trekker teksten frem at informasjon kan være klassifisert i kategoriene begrenset, konfidensielt, hemmelig og strengt hemmelig, og at informasjonssystemer som håndterer dette må forhåndsgodkjennes av NSM. NSM er også tilsynsmyndighet og kan teste om virksomheten bruker uautoriserte kommunikasjonskanaler.

Betydning for anskaffelser

Brukes når anskaffelsen gjelder IKT-, arkiv- eller kommunikasjonsløsninger som skal håndtere informasjonssikkerhet, dokumentasjon eller gradert/skjermingsverdig informasjon. Relevansen ligger i valg av kravspesifikasjon, sikkerhetskrav, godkjenningsbehov, kontrolltiltak og vurdering av om løsningen kan tas i bruk i forvaltningen. Teksten er særlig nyttig ved spørsmål om systemets sikkerhetsnivå, håndtering av arkiv, og om virksomheten kan motta eller lagre gradert informasjon.

Sentrale kildepunkter

  • Tilnærmingen til informasjonssikkerhet er risikobasert, men det stilles krav om styring og kontroll.
  • Arkivloven knyttes til trygging av arkiv med kulturell, forskningsmessig, forvaltningsmessig eller rettslig dokumentasjon.
  • Sikkerhetsloven er relevant for registre og arkiver som er skjermingsverdige objekter eller inneholder skjermingsverdig informasjon.
  • Graderte opplysninger deles i kategoriene begrenset, konfidensielt, hemmelig og strengt hemmelig.
  • Informasjonssystemer som håndterer denne typen informasjon må forhåndsgodkjennes av NSM.
  • NSM er tilsynsmyndighet og kan teste virksomheters systemer for å kontrollere bruk av uautoriserte kommunikasjonskanaler.

Berørte bestemmelser

  • EFORVALTNINGSFORSKRIFTEN – Teksten viser til bestemmelser om styring og kontroll med informasjonssikkerheten i elektronisk kommunikasjon med og i forvaltningen.
  • ARKIVLOVEN – Knyttes til trygging av arkiv og tilgjengelighet til dokumentasjon med forvaltningsmessig eller rettslig betydning.
  • SIKKERHETSLOVEN – Oppgis som relevant for skjermingsverdige objekter, skjermingsverdig informasjon og graderte opplysninger.
Fulltekst

styring og kontroll med informasjonssikkerheten. Tilnærmingen til informasjonssikkerhet i loven er risikobasert, men den stiller krav om at virksomheten Lov om arkiv (arkivloven) har som formål å trygge arkiv med kulturelt, forskningsmessig eller forvaltningsmessig eller rettslig dokumentasjon for å sikre tilgjengeligheten til denne informasjonen. Lov om forbyggende sikkerhetstjeneste (sikkerhetsloven) er relevant for registre og arkiver som er vurdert å være skjermingsverdige objekter www.arkivverket.no B e f ol k nin g e ns si k k e rh e t eller inneholde skjermingsverdig informasjon, og/ eller registre og arkiver som inneholder graderte opplysninger. Skjermingsverdig informasjon klassifiseres etter sensitivitet i kategoriene begrenset, konfidensielt, hemmelig og strengt hemmelig. Informasjonssystemer som håndterer denne typen informasjon må forhåndsgodkjennes av Nasjonal sikkerhetsmyndighet (NSM). NSM er også tilsynsmyndighet for slike informasjonssystemer og kan i tillegg foreta tester av virksomheters systemer for å kontrollere om de bruker uautoriserte kommunikasjonskanaler for gradert informasjon.