Klassifisering og beskyttelse av informasjon - NSM

More documents

Recommendations

Info

omhandler klassifisering av informasjonssystemer er også relevant for klassifisering avinformasjonssamlinger. En svakhet med denne standarden er at den legger for stor vekt påkonfidensialitet i forhold til integritet og tilgjengelighet. FIPS 199 kan med fordel suppleresav NIST SP 800-60 Guide to Mapping Types of Information and Information Systems toSecurity Categories. En annen standard som også er relevant, om enn i noe mindre grad, erFIPS 200 Minimum Security Requirements for Federal Information and Information Systems.COBIT (Control Objectives for Information and related Technology) er et rammeverk medbest practices for å styre IT-virksomheten i en organisasjon som en del av corporategovernance. En del av COBIT adresserer datasikkerhet. COBIT ble utviklet av InformationSystems Audit and Control Association (ISACA) og blir i dag utgitt av IT GovernanceInstitute (ITGI). Sikkerhetsdelen av COBIT lar seg avbilde i rammeverket til ISO/IEC 17799,men omfatter kun deler av denne.ITIL (Information Technology Infrastructure Library) er et sett av begreper og teknikker forutvikling, drift og administrasjon av IKT infrastruktur og løsninger. ITIL eies av det britiskeOffice of Government Commerce (OGC), men er videreført som britisk standard BS 1500 ogISO/IEC 20000. En del av ITIL adresserer datasikkerhet, og denne delen er basert på ISO/IEC17799, men legger større vekt på fysisk sikkerhet og er svakere på logisk sikkerhet.14
6 REGELVERK MED KRAV TIL BESKYTTELSE AV SENSITIVINFORMASJONI mandatet for arbeidsgruppen inngår det å peke på relevant lovverk som stiller krav tilbeskyttelse av ulike former for sensitiv informasjon. Informasjon som er definert til å være aven slik karakter at den av ulike hensyn bør skjermes, kan komme inn underbeskyttelsesregimet til flere ulike lover.Nedenfor gis et kort innblikk i ulike lover og forskrifters virkeområder og hvordan disseomtaler behovet for og stiller krav til beskyttelse av informasjon.Arbeidsgruppen anser følgende lovverk som relevant:• Offentlighetsloven• Forvaltningsloven• Sikkerhetsloven• Beskyttelsesinstruksen• Personopplysningsloven, samt Personopplysningsforskriften• Ekomloven• eSignaturloven• Helseregisterloven• Forskrift om beredskap i kraftforsyningen• eForvaltningsforskriften• Plan- og bygningsloven• Kommuneloven• Forskrift om sikkerhet og tilsyn med vassdragsanlegg• Kredittilsynsloven• Verdipapirhandelsloven• StraffelovenOffentlighetslovenLovens hovedregel, slik det fremgår av §2, er at forvaltningens saksdokumenter er offentligeså langt det ikke er gjort unntak i lov eller i medhold av lov. For forvaltningen er dessutennedfelt prinsippet om meroffentlighet. Dette innebærer at forvaltningsorgan, også dersomloven gir mulig unntak fra offentlighet, skal vurdere hvorvidt dokumentet likevel kanoffentliggjøres. Loven gir unntak fra hovedbestemmelsen om offentlighet i noen tilfeller somer angitt i §4 (om utsatt offentlighet)ForvaltningslovenForvaltningslovens §13 omhandler taushetsplikt. Enhver som utfører tjeneste eller arbeid foret forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han iforbindelse med tjenesten eller arbeidet får vite om: 1) noens personlige forhold, eller2) tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vilvære av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningenangår. Det fremgår også av loven at dokumenter og annet materiale som inneholderopplysninger undergitt taushetsplikt, skal forvaltningsorganet oppbevare på betryggendemåte.15
Page 4 and 5: TabellerTabell 1 Inndeling i klasse
Page 6 and 7: inndeling av informasjon i klasser,
Page 8 and 9: 2 MANDAT OG SAMMENSETNINGKoordineri
Page 10 and 11: 4 BEGREPSAVKLARINGERAutentisering:
Page 12 and 13: 5 EKSISTERENDE NASJONALE OG INTERNA
Page 16 and 17: SikkerhetslovenSikkerhetslovens for
Page 18 and 19: disse må om nødvendig samarbeide
Page 20 and 21: Forskriftens formål er å legge ti
Page 24 and 25: Det finnes noen enkle spørsmål so
Page 27 and 28: 7.3 Eksempler på bruk av klassifis
Page 29 and 30: KonfidensialitetIntegritetTilgjenge
Page 31 and 32: Klasser\OmrådeLavMiddelsHøyInform
Page 33 and 34: 8.4 Noen eksempler på beskyttelses
Page 35 and 36: Klasser/OmrådeLavMiddelsHøySvært
Page 37 and 38: 9 VIDERE ARBEIDDenne rapporten vise

Klassifisering og beskyttelse av informasjon - NSM

Create successful ePaper yourself

Delete template?

Save as template?