Veiledning til informasjonssikkerhetsforskriften kapittel 9 og 10 - NSM
Veiledning til informasjonssikkerhetsforskriften kapittel 9 og 10 - NSM
Veiledning til informasjonssikkerhetsforskriften kapittel 9 og 10 - NSM
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
1<br />
<strong>Veiledning</strong><br />
<strong>til</strong> <strong>informasjonssikkerhetsforskriften</strong><br />
<strong>kapittel</strong> 9 <strong>og</strong> <strong>10</strong><br />
Sikring av konferanserom med mer mot uønsket avlytting <strong>og</strong><br />
innsyn <strong>og</strong> Tekniske Sikkerhetsundersøkelser (TSU)
2<br />
1 Innledning<br />
Lov av 20.04.1998 nr. <strong>10</strong> om forebyggende sikkerhetstjeneste (sikkerhetsloven) §<br />
16 <strong>og</strong> forskrift av 01.07.2001 nr. 744 om informasjonssikkerhet<br />
(<strong>informasjonssikkerhetsforskriften</strong>) <strong>kapittel</strong> 9 <strong>og</strong> <strong>10</strong> gir bestemmelser om sikring<br />
av rom med mer mot uønsket avlytting <strong>og</strong> innsyn, <strong>og</strong> om tekniske<br />
sikkerhetsundersøkelser.<br />
Kapitel 9 i forskriften gir bestemmelser om sikring mot avlytting <strong>og</strong> innsyn ved<br />
møtevirksomhet eller annen virksomhet der det er behov for å presentere<br />
informasjon gradert KONFIDENSIELT eller høyere i konferanserom eller<br />
spesialrom.<br />
Kapittel <strong>10</strong> i forskriften gir bestemmelser om ”Tekniske sikkerhetsundersøkelser”.<br />
Med TSU forstås etter <strong>informasjonssikkerhetsforskriften</strong> § <strong>10</strong>-1:<br />
• Forebyggende kontroll <strong>og</strong> iverksetting av sikkerhets<strong>til</strong>tak for å påvise<br />
sårbarhet som kan utnyttes <strong>til</strong> uønsket avlytting <strong>og</strong> innsyn.<br />
• Avdekke <strong>og</strong> motvirke forsøk på uønsket avlytting <strong>og</strong> innsyn.<br />
TSU kan kun gjennomføres av Nasjonal sikkerhetsmyndighet (<strong>NSM</strong>) eller<br />
virksomhet bemyndiget av <strong>NSM</strong>, jf. <strong>informasjonssikkerhetsforskriften</strong> § <strong>10</strong>-3.<br />
2 Krav <strong>til</strong> sikring av rom mot uønsket avlytting <strong>og</strong> innsyn<br />
Informasjonssikkerhetsforskriften <strong>kapittel</strong> 9 omhandler to typer sikring av rom<br />
hvor gradert informasjon skal presenteres:<br />
• Permanent sikring av rom<br />
Rommet skal permanent sikres mot avlytting. Et permanent sikret rom skal<br />
ikke benyttes <strong>til</strong> andre formål enn nevnt i <strong>informasjonssikkerhetsforskriften</strong><br />
§ 9-1 dersom det kan svekke sikkerheten. Rommet autoriseres normalt for<br />
gradering tom HEMMELIG eller STRENGT HEMMELIG. <strong>NSM</strong> vil kun<br />
godkjenne at VTC sikkerhetsgradert KONFIDENSIELT eller høyere<br />
etableres i permanent sikret rom.<br />
• Midlertidig sikring av rom<br />
Med midlertidig sikring av rom menes sikring av et lokale med beliggenhet<br />
utenfor ”beskyttet område”. Begrepet ”beskyttet område” er nærmere<br />
forklart i <strong>informasjonssikkerhetsforskriften</strong>s § 6-8. Sikringen av<br />
rommet/lokalet vil være av begrenset varighet normalt oppad <strong>til</strong> 1-2 uker. Et<br />
typisk eksempel er et gradert møte avholdt på hotell.
3<br />
3 Permanente konferanserom <strong>og</strong> spesialrom beliggende innenlands - definisjoner<br />
<strong>og</strong> krav basert på trussel<br />
Permanent sikret rom/ konferanserom<br />
Med et permanent sikret rom/konferanserom menes eksempelvis Forsvarssjefens<br />
konferanserom. Dette er et rom som skal benyttet i forbindelse med møter hvor det<br />
kan bli utvekslet informasjon gradert HEMMELIG eller høyere, med kun<br />
autoriserte brukere. En slik type rom skal sikres iht alle gitte krav som s<strong>til</strong>les, ref<br />
<strong>informasjonssikkerhetsforskriften</strong>s § 9-3 tom § 9-<strong>10</strong>. (Gjeldene lyddempningskrav<br />
etter <strong>informasjonssikkerhetsforskriften</strong> § 9-5, andre ledd er iht Norsk standard NS<br />
8175 klasse A på 52 dB).<br />
VTC rom for informasjonsutveksling fra KONFIDENSIELT<br />
Det vil i slike rom være behov for svært god akustisk dempning da lydtrykket fra et<br />
VTC system vil være høyt. Informasjonen gitt over et slikt system vil være tom<br />
HEMMELIG. Det vil således settes krav <strong>til</strong> at lyddempningen <strong>til</strong>freds<strong>til</strong>ler den<br />
standard som <strong>NSM</strong> fastsetter. Gjeldende lyddempningskrav er iht Norsk standard<br />
NS 8175 klasse A på 52 dB.<br />
VTC rom for informasjonsutveksling tom BEGRENSET<br />
Det vil for slike rom ikke være behov for TSU. Det settes heller ingen formelle<br />
krav <strong>til</strong> lyddempning.<br />
Situasjonssenter<br />
I situasjonssentre vil det kunne bli utvekslet informasjon HEMMELIG eller<br />
høyere.<br />
Dersom det etableres VTC i situasjonssenter gjelder krav <strong>til</strong> lyddemping som for<br />
VTC rom for informasjonsutveksling tom HEMMELIG. I de <strong>til</strong>feller hvor det<br />
ikke er montert VTC i et situasjonssenter er gjeldene lyddempningskrav iht Norsk<br />
standard NS 8175 klasse A på 44 dB.<br />
Kontorer hvor det kan bli utvekslet informasjon gradert HEMMELIG eller<br />
høyere<br />
Mellom kontorer innbyrdes samt mellom kontorer <strong>og</strong> fellesarealer felles gang <strong>og</strong><br />
korridorer vil gjeldende lyddempningskrav være iht Norsk standard NS 8175<br />
klasse A på 44 dB.<br />
Sal<br />
En sal vil, på bakgrunn av bruksområde, bli sett på som et midlertidig sikret rom.<br />
Andre spesialrom<br />
Dette må bli tatt opp i hvert enkelt <strong>til</strong>felle
4<br />
4 Varsel <strong>til</strong> <strong>NSM</strong>, ansvar <strong>og</strong> plikter<br />
<strong>NSM</strong> skal varsles, <strong>og</strong> vurdere behovet for gjennomføring av TSU, etter reglene i<br />
<strong>informasjonssikkerhetsforskriften</strong> § 9-2. En virksomhet kan <strong>og</strong>så i andre <strong>til</strong>feller<br />
anmode om TSU, jf. <strong>informasjonssikkerhetsforskriften</strong> § <strong>10</strong>-2.<br />
Når det er behov for permanent sikring av et lokale, <strong>og</strong> eier <strong>og</strong> bruker av lokalene<br />
ikke er samme virksomhet, er det bruker som plikter å varsle <strong>NSM</strong> <strong>og</strong> påse at<br />
nødvendige sikkerhets<strong>til</strong>tak blir utført.<br />
Når det benyttes et lokale med behov for midlertidig sikring, er arrangøren av<br />
møtet/aktiviteten (brukeren) ansvarlig for å varsle <strong>NSM</strong> <strong>og</strong> forestå sikrings<strong>til</strong>tak i<br />
samsvar med <strong>informasjonssikkerhetsforskriften</strong> § 9-11.<br />
Presentasjon av informasjon gradert KONFIDENSIELT eller høyere i lokale<br />
beliggende utenfor beskyttet område, samt enhver presentasjon av gradert<br />
informasjon innenfor norsk kontrollert område i utlandet, krever i <strong>til</strong>legg at <strong>NSM</strong><br />
har godkjent lokalet, jf. <strong>informasjonssikkerhetsforskriften</strong> § 9-1. Norsk gradert<br />
informasjon bør ikke presenteres utenfor norsk kontrollert område i utlandet, da<br />
<strong>NSM</strong> i disse <strong>til</strong>fellene ikke vil kunne vurdere om lokalet er <strong>til</strong>strekkelig sikret.<br />
Hvis en slik presentasjon likevel fremstår som påkrevd, må lokalet være TSUgodkjent<br />
av vertsnasjonen/ vertsorganisasjonen.<br />
Innhold i en ”anmodning om teknisk sikkerhetsundersøkelse” (TSU)<br />
Varsel etter <strong>informasjonssikkerhetsforskriften</strong> § 9-2 eller anmodning om TSU etter<br />
<strong>informasjonssikkerhetsforskriften</strong> § <strong>10</strong>-2 skal sendes skriftlig <strong>og</strong> skal graderes<br />
BEGRENSET. Anmodning fra FMO sendes FSA for videreformidling <strong>til</strong> <strong>NSM</strong>.<br />
Anmodning fra alle andre virksomheter sendes <strong>til</strong> <strong>NSM</strong>.<br />
I anmodningen skal det fremkomme om det ønskes en<br />
akkreditering/reakkreditering av permanent sikret konferanserom eller spesialrom,<br />
eller om forespørselen gjelder midlertidig sikring av rom. <strong>NSM</strong> anbefaler at<br />
permanent sikret lokaler reakkrediteres hvert tredje år.<br />
Gjelder anmodningen midlertidig sikring av lokale må denne sendes snarest mulig<br />
etter at kurs eller møte er berammet. Anmodningen bør minimum være <strong>NSM</strong> i<br />
hende en måned før lokalet skal benyttes.<br />
Følgende minimumsopplysninger bes gitt i varselet/anmodningen:<br />
1. Kontaktmann<br />
2. Hvilke konferanserom, spesialrom eller rom som skal undersøkes<br />
3. Tidsrom konferanserom, spesialrom eller rom kan reserveres for TSU
5<br />
4. Dersom det finnes skisse av lokalet, samt tegninger over sterk- <strong>og</strong><br />
svakstrøm, VVS <strong>og</strong> lignende ønskes dette vedlagt anmodningen<br />
I <strong>til</strong>legg for midlertidig sikring av rom:<br />
5. Saksområde <strong>og</strong> høyeste gradering som skal behandles, anslagsvis del av<br />
møte denne graderingen gjelder<br />
6. Antall møtedeltakere<br />
7. Når møtet begynner <strong>og</strong> slutter ( dato <strong>og</strong> klokkeslett)<br />
8. Hvor lang tid arrangøren trenger <strong>til</strong> forberedelser i møterommet før<br />
møtestart (må koordineres med TSU)<br />
9. Hvilke tekniske hjelpemidler som skal brukes i fm møtet, <strong>og</strong> hvor<br />
hjelpemidlene skaffes fra<br />
<strong>NSM</strong> har utarbeidet et flytdiagrammet som vil være <strong>til</strong> hjelp for varsling <strong>og</strong><br />
vurdering av behovet for Teknisk Sikkerhetsundersøkelse (TSU). Flytdiagrammet<br />
er gradert BEGRENSET.<br />
Ved tjenestelig behov kan dette dokumentet fås ved henvendelse <strong>til</strong> <strong>NSM</strong>.