Overordnede IKT-arkitekturprinsipper for offentlig sektor ... - Difi
Overordnede IKT-arkitekturprinsipper for offentlig sektor ... - Difi
Overordnede IKT-arkitekturprinsipper for offentlig sektor ... - Difi
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Sikkerhet<br />
Hva er sikkerhet som arkitekturprinsipp?<br />
Med sikkerhet i denne sammenheng menes at in<strong>for</strong>masjon og tjenester i <strong>IKT</strong>-systemene skal<br />
tilfredsstille <strong>for</strong>melle og risikobaserte krav til konfidensialitet, integritet og tilgjengelighet i<br />
<strong>for</strong>hold til alle potensielle brukergrupper<br />
Formålet med sikkerhet som arkitekturprinsipp er å sikre at <strong>offentlig</strong>e <strong>IKT</strong>-løsninger blir<br />
etablert og driftet på en sikkerhetsmessig god måte, samtidig som in<strong>for</strong>masjon og tjenester<br />
blir elektronisk tilgjengelig <strong>for</strong> de som behov <strong>for</strong> og/eller rettigheter til disse. Samtidig skal<br />
det bidra til å styrke <strong>offentlig</strong>e virksomheters kompetanse, organisering, kultur og<br />
regelverksetterlevelsesevne rundt in<strong>for</strong>masjonssikkerhet.<br />
Hvordan skal prinsippet <strong>for</strong>stås?<br />
Sikkerhetsprinsippet er det viktigste <strong>for</strong> å opprettholde tilliten til <strong>offentlig</strong> <strong>sektor</strong>. Prinsippet er<br />
blant annet hjemlet i personopplysningsloven, <strong>for</strong>valtningsloven, sikkerhetsloven,<br />
tjenestemannsloven og regler om taushetsplikt.<br />
Sikkerhetsprinsippet kan begrense andre prinsipper. I tilfeller hvor det skjer skal<br />
sikkerhetsprinsippet settes først dersom dette er avgjørende <strong>for</strong> tilliten til <strong>offentlig</strong> <strong>sektor</strong>. Det<br />
<strong>for</strong>utsetter at det er utarbeidet en klassifisering og denne klart viser hvor et eller flere andre<br />
prinsipp blir begrenset.<br />
Enhver tjeneste som etableres skal defineres til et gitt sikkerhetsnivå basert på en<br />
risikoanalyse (klassifisering), og være konstruert på en slik måte at sikkerhetsnivået kan<br />
endres.<br />
Krav til konfidensialitet skal oppfylles. In<strong>for</strong>masjonen skal kun være tilgjengelig <strong>for</strong> den som<br />
har et tjenestelig behov <strong>for</strong> in<strong>for</strong>masjonen. Det skal være mulig å spore tilbake når og av<br />
hvem en endring er <strong>for</strong>etatt.<br />
Integritet skal være ivaretatt. In<strong>for</strong>masjonen skal ha rett og kjent kvalitet og ikke kunne endres<br />
av uautoriserte personer.<br />
In<strong>for</strong>masjonen skal være tilgjengelig i de tidsperioder som er angitt <strong>for</strong> brukeren av<br />
in<strong>for</strong>masjonen og innen<strong>for</strong> de rammer som er satt <strong>for</strong> hvem som skal ha tilgang til<br />
in<strong>for</strong>masjonen.<br />
Beslutninger om utvikling og bruk av løsninger krever at det dokumenteres hvilket nivå <strong>for</strong><br />
sikkerhet tjenesten er tilpasset, slik at det blir helt klart <strong>for</strong> den som tar løsningen i bruk hvilke<br />
krav som er oppfylt.<br />
I <strong>for</strong>hold til prinsippet om in<strong>for</strong>masjonssikkerhet må også relevant regelverk etterleves, og<br />
konkrete krav til gjennomføring følger av både regelverk, standarder <strong>for</strong><br />
in<strong>for</strong>masjonssikkerhet og sertifiseringsordninger.<br />
Arkitekturprinsipper <strong>Difi</strong> versjon 1.0 Side 5 av 8 03.04.2009