Klassifisering og beskyttelse av informasjon - NSM

More documents

Recommendations

Info

disse må om nødvendig samarbeide om sikkerheten. Tilbyder har etter denne bestemmelsenogså plikt til å varsle bruker i de tilfeller det er særlig risiko for brudd på sikkerheten.Det er antagelig unødvendig å utdype ekomlovens § 2-9 Taushetsplikt i denne rapporten.Ekomforskriftens § 9-4. Taushetsplikt og sikring pålegger eier av privat elektroniskkommunikasjonsnett taushetsplikt i samsvar med ekomlovens § 2-9.Ekomlovens § 2-10 Sikkerhet og beredskap er ment som et supplement til sikkerhetsloven ogaddresserer krav til tilgjengelighet.Ekomlov og –forskrift må forholde seg til flere EU-direktiver, og i forbindelse medinformasjonssikkerhet har direktivet om kommunikasjonsvern (2002/58/EF) relevans. Medutgangspunkt i informasjonssikkerhet generelt må det understrekes at dette direktivetshovedformål er å beskytte personvernrettigheter innenfor området elektroniskkommunikasjon.Ekomloven gir et eksempel på klassifisering av informasjon. Lov og forskrift beskriver enrekke forskjellige typer informasjon, men i dette eksempelet vises det kun til fire av disse.Informasjon om sluttbrukere (ekomforskriften § 6-2) skal identifisere den enkelte sluttbrukerog deler av denne informasjonen vil ofte være tilgjengelig gjennom opplysningstjenester ogkataloger. Trafikkdata (ekomloven § 2-7 og ekomforskriften § 7-1) og lokaliseringsdata(ekomforskriften § 7-2) blir omhandlet som mer sensitiv informasjon.Kommunikasjonsinnholdet (ekomloven § 2-9 og straffeprosessloven kap 16a) er megetsensitiv informasjon.eSignaturlovenFormålet med denne loven er å legge til rette for en sikker og effektiv bruk av elektronisksignatur ved å fastsette krav til kvalifiserte sertifikater, til utstederne av disse sertifikatene ogtil sikre signaturfremstillingssystemer.HelseregisterlovenFormålet med denne loven er å bidra til å gi helsetjenesten og helseforvaltningen informasjonog kunnskap uten å krenke personvernet, slik at helsehjelp kan gis på en forsvarlig og effektivmåte. Gjennom forskning og statistikk skal loven bidra til informasjon og kunnskap ombefolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom foradministrasjon, kvalitetssikring, planlegging og styring. Loven skal sikre at helseopplysningerblir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet forpersonlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger.Helseopplysninger er taushetsbelagte opplysninger i henhold til helsepersonellovens §21 ogandre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold somkan knyttes til en enkeltperson. Loven inneholder også definisjon av avidentifiserte ogpseudonyme helseopplysninger hvor sikringstiltakene og det å ivareta taushetsplikten, kandeles opp i svakere beskyttelsestiltak mot opplysningene, mens beskyttelsestiltakene motnøklene for avidentifiseringen eller pseudonymiseringen forsterkes.Helseregisterloven gjelder for behandling av helseopplysninger i helsetjenesten oghelseforvaltingen som helt eller delvis skjer med elektroniske hjelpemidler og annenbehandling av helseopplysninger når disse inngår i et helseregister. Loven gjelder for bådeoffentlig og privat virksomhet. Lovens tolkningsansvar ligger hos direktoratet, mens18
helsefaglig tilsyn er hos helsetilsynet og Datatilsynet fører tilsyn med personvern oginformasjonssikkerhet.Loven inneholder bestemmelser om taushetsplikt i henhold til forvaltningslovens § 13 oghelsepersonelloven. For personvern er loven et supplement til personopplysningsloven pårelevante områder for dette, for øvrig gjelder personopplysningsloven. Tilsvarende er detviktig å være klar over at de fleste konkrete reguleringer av fagområdet finnes i en rekkesærlover om helse som helsepersonelloven, kommunehelseloven og pasientrettighetslovenmv.§16 regulerer sikkerhet i henhold til internkontrollprinsippet basert på risikovurdering.Sikkerhetsbestemmelsene er personopplysningsforskriften kapitel 2, men omfatter ogsåkvalitet i helseopplysningene. For nærmere omtale av sikkerhetsbestemmelsene vises det tilpersonopplysningsloven.Sektoren sammen med de regulerende offentlige myndigheter har etablert bransjenormen forinformasjonssikkerhet i helsesektoren. Virksomheter som knytter seg til Helsenettundertegner en avtale som forplikter dem til å innrette seg i samsvar med denne normen.Forskrift om beredskap i kraftforsyningenForskrift om beredskap i kraftforsyningen er hjemlet i Energilov og forskrift. Energiloven girrammene for organiseringen av kraftforsyningen i Norge. Den inneholder et samlet regelverksom tidligere var spredt på flere lover og instrukser. Loven trådte i kraft 1. januar 1991 og lagrunnlaget for en markedsbasert produksjon og omsetning av kraft. Loven omhandler blantannet anleggs-, område- og omsetningskonsesjon og konsesjon for fjernvarmeanlegg. Videregir loven regler om saksbehandling, beredskap, sanksjoner m.m.Historisk utvikling av krav til informasjonssikkerhet i kraftforsyningenLov om forsvarmessig sikring av kraftforsyningen av 1948 ga hjemmel til arbeidetmed å sikre viktige kraftforsyningsanlegg mot skade fra krigshandlinger. 1951 komInstruks om adgangsrestriksjoner for å beskytte sensitiv informasjon om kraftanlegg. I1990 ble bestemmelsene inntatt i energiloven og utvidet til å gjelde driftssentraler,sambandssystemer og dataanlegg. 1995 kom IKT-relaterte krav om elektronisktilgangskontroll og krav til redundans i viktige IKT systemer. 2000 åpnet enlovutvidelse for at sikringskravene også kan omfatte IKT relaterte tiltak.Sikringskravene var basert på klassifisering etter viktighet som styrende parameter.Dette gjaldt også for driftssentraler og sambandsanlegg.I 2003 ble ovennevnte regelverk erstattet av Beredskapsforskriften. Her legges vekt påfunksjonelle krav basert på lokale risiko- og sårbarhetsanalyser. Forskriften har generelle kravtil f.eks. beredskapsplaner, og til sikkerhet generelt. Kravene gjelder også IKT-systemer.Kravene til sikringstiltak differensieres etter NVEs vedtak om anleggets klasse og omfatterogså driftskontrollsystemer, som for eksempel fysisk og elektronisk sikring, nødstrøm m.m.Forskriften har et eget kapittel om informasjonssikkerhet. Her stilles bl.a. krav til beskyttelseav sensitiv informasjon, sikkerhetskopiering, driftskontrollsystemer, driftsradio og sambandfor vern av kraftsystemet.eForvaltningsforskriften19
Page 4 and 5: TabellerTabell 1 Inndeling i klasse
Page 6 and 7: inndeling av informasjon i klasser,
Page 8 and 9: 2 MANDAT OG SAMMENSETNINGKoordineri
Page 10 and 11: 4 BEGREPSAVKLARINGERAutentisering:
Page 12 and 13: 5 EKSISTERENDE NASJONALE OG INTERNA
Page 14 and 15: omhandler klassifisering av informa
Page 16 and 17: SikkerhetslovenSikkerhetslovens for
Page 20 and 21: Forskriftens formål er å legge ti
Page 24 and 25: Det finnes noen enkle spørsmål so
Page 27 and 28: 7.3 Eksempler på bruk av klassifis
Page 29 and 30: KonfidensialitetIntegritetTilgjenge
Page 31 and 32: Klasser\OmrådeLavMiddelsHøyInform
Page 33 and 34: 8.4 Noen eksempler på beskyttelses
Page 35 and 36: Klasser/OmrådeLavMiddelsHøySvært
Page 37 and 38: 9 VIDERE ARBEIDDenne rapporten vise

Klassifisering og beskyttelse av informasjon - NSM

Create successful ePaper yourself

Delete template?

Save as template?