FOA-vurdering
Informasjonssikkerhet i registre, personvern og IKT-hendelser
Kilden beskriver hvilke funksjoner som må være ivaretatt for at samfunnskritiske registre, arkiver og IKT-systemer skal fungere forsvarlig. Hovedkravet er tilstrekkelig tilgjengelighet, integritet og konfidensialitet, vurdert ut fra risiko. Den klargjør også at både felleskomponenter og andre offentlige og private registre kan være omfattet når de er nødvendige for kritiske samfunnsfunksjoner eller inneholder rettighetsinformasjon. Virksomhetsinterne systemer faller utenfor denne kapabiliteten hvis de ikke inneholder slik informasjon, men de har likevel samme grunnprinsipper for informasjonssikkerhet. For personvern viser teksten at registre med taushetsbelagte personopplysninger skal sikres mot innsyn og endring av uvedkommende. Den peker også på behovet for hendelseshåndtering: å oppdage, begrense og gjenopprette etter IKT-hendelser så raskt som mulig.
Betydning for anskaffelser
Brukes når anskaffelsen gjelder systemer, registre, arkivløsninger, drift eller beredskapstjenester hvor tilgjengelighet, integritet, konfidensialitet, personvern og hendelseshåndtering må beskrives som krav eller vurderingsgrunnlag. Teksten er relevant ved utforming av sikkerhetskrav, risikovurdering, kontraktsvilkår og vurdering av om leveransen inngår i en kritisk funksjon. Den er også relevant når det må avklares om et system er en felleskomponent, et rettighetsregister eller et internt system som likevel krever samme sikkerhetsstyring.
Sentrale kildepunkter
- Tilstrekkelig sikkerhet skal bygge på risikovurdering.
- Kravet gjelder tilgjengelighet, integritet og konfidensialitet.
- Kapabiliteten omfatter databaser, systemer, tjenester, funksjoner, registre og arkiver.
- Felleskomponenter som Altinn, Folkeregisteret og Matrikkelen nevnes som eksempler.
- Virksomhets- og sektorinterne systemer uten rettighetsinformasjon faller utenfor denne kapabiliteten.
- Registre med taushetsbelagte personopplysninger skal sikres mot uvedkommende tilgang og endring.
- Hendelseshåndtering skal avdekke, begrense skade og gjenopprette normal drift raskt.
Berørte bestemmelser
- LOV OM BEHANDLING AV PERSONOPPLYSNINGER – Nevnes som grunnlag for at personopplysninger kan være taushetsbelagte og skal sikres.
- FORVALTNINGSLOVEN – Nevnes som lov med bestemmelser om taushetsbelagte opplysninger.
- FORURENSINGSLOVEN – Lenger ute i utdraget markeres overgangen til natur og miljø, men dette er ikke hovedinnholdet i den aktuelle delen.
Fulltekst
Funksjonsevnen innen dette området er beskrevet i tre kapabiliteter: Sikre registre, arkiver m.v, Personvern, og Hendelseshåndtering i informasjonsog kommunikasjonssystemer. Sikre registre, arkiver mv. Evne til å opprettholde tilstrekkelig tilgjengelighet, integritet og konfidensialitet i databaser, systemer, registre og arkiver som er nødvendige for å ivareta kritiske samfunnsfunksjoner og/eller personers og virksomheters rettigheter. Kapabiliteten omfatter databaser, systemer, tjenester, funksjoner, registre og arkiver som er nødvendige for opprettholdelsen av kritiske samfunnsfunksjoner eller som inneholder informasjon om enkeltmenneskers eller virksomheters rettigheter og forpliktelser, herunder eiendom, finansielle forhold, konsesjoner, sertifikater mv. Med «tilstrekkelig» menes at sikkerhetsnivået er definert på grunnlag av en risikovurdering der både informasjonens verdi og de trusler og farer som er knyttet til systemene og driften av dem, er tatt hensyn til. De systemene som er definert som felleskomponenter (se omtale over), for eksempel Altinn, Folkeregisteret, Matrikkelen mfl. inngår i kapabiliteten sammen med en rekke andre offentlige og private registre som enten leverer viktige data til virksomheter med kritisk samfunnsfunksjon og/eller inneholder informasjon om enkeltpersoners eller virksomheters rettigheter av ulike slag. Virksomhets- og sektorinterne systemer inngår ikke i denne kapabiliteten hvis de ikke inneholder rettighetsinformasjon, men inngår i stedet som forutsetninger for ivaretakelsen av mange av de kapabilitetene som er definert innenfor de ulike samfunnsfunksjonene. Prinsippene for styringen av informasjonssikkerheten i slike systemer vil imidlertid være de samme. Informasjon i sivilie systemer som må beskyttes av hensyn til rikets selvstendighet, sikkerhet og andre nasjonale sikkerhetsinteresser inngår i kapabiliteten Konstitusjonelle organer og forvaltningen, jf. kap 4.1. Ansvar og involverte: • Justis- og beredskapsdepartementet • Kommunal- og moderniseringsdepartementet • Nærings- og fiskeridepartementet • Arbeids- og sosialdepartementet • Samferdselsdepartementet • Andre departementer • Nasjonal sikkerhetsmyndighet • NorSIS • Arkivverket • Nasjonal kommunikasjonsmyndighet • Offentlige systemeiere, for eksempel Arbeidsog velferdsetaten, Skatteetaten, Kartverket, Brønnøysundregistrene, Difi. • Private systemeiere for eksempel i finanssektoren. Personvern Evne til å sikre konfidensialitet og integritet i registre og arkiver som inneholder taushetsbelagte personopplysninger. Kapabiliteten omfatter registre og arkiver som inneholder personopplysninger som i henhold til Lov om behandling av personopplysninger er å anse som taushetsbelagte og uavhengig av om registrene i seg selv er å anse som kritiske for samfunns sikkerheten. Også forvaltningsloven inneholder slike bestemmelser. B e f ol k nin g e ns si k k e rh e t Personvern er knyttet til retten til å ha en egen privat sfære som en selv kontrollerer og dreier seg om forholdet mellom individ og samfunn. Den enkelte skal ha trygghet for at opplysninger av personlig art ikke er tilgjengelig for uvedkommende. Ansvar og involverte: • Kommunal og moderniseringsdepartementet • Datatilsynet • Systemeiere Hendelseshåndtering i informasjons- og kommunikasjonssystemer NSM NorCERT er nasjonalt IKT-responsmiljø og skal koordinere håndteringen av alvorlige IKThendelser mot samfunnskritisk infrastruktur og informasjon. Det er opprettet egne CERT-funksjoner i flere sektorer, for eksempel FinansCERT og HelseCERT. Ansvar og involverte: • Justis- og beredskapdepartementet • Forsvardepartementet • Nasjonal sikkerhetsmyndighet • Sektormyndigheter • Cert-funksjoner i sektorene • Systemeiere Evne til å avdekke informasjonssikkerhetshendelser, begrense skade og raskt gjenopprette normal drift i registre og systemer med kritisk samfunnsfunksjon og/eller som inneholder taushetsbelagte personopplysninger. Kapabiliteten er generell i den forstand at den omfatter alle de systemer som inngår i de tre foregående kapabilitetene under denne funksjonen. Det vil neppe være til å unngå at det fra tid til annen inntreffer uønskede hendelser i et IKT-system. Det er vesentlig at enhver systemeier er i stand til å detektere slike uønskede hendelser så snart som mulig for å begrense skade og gjenopprette systemets funksjona litet og sikkerhet. En inntrenger som ikke blir oppdaget, kan utrette nærmest ubotelig skade og også benytte systemet som utgangspunkt for inn trenging i andre systemer. B e f ol k nin g e ns si k k e rh e t 5.5 Sentrale lover og forskrifter: NATUR OG MILJØ 5.5.1 • Lov om vern mot forurensinger og om avfall (forurensingsloven) BESKRIVELSE, ANSVAR, REGULERING Denne samfunnsfunksjonen er knyttet til sam funnets beredskap mot akutt forurensing av miljøet gjennom uønskede utslipp av fast stoff, væske eller gass til luft, vann eller i grunnen. Beredskap mot utslipp som også medfører umiddelbar fare for menneskers liv og helse, inngår i samfunnsfunksjonen Redningstjeneste.