Klassifisering og beskyttelse av informasjon - NSM

More documents

Recommendations

Info

inndeling av informasjon i klasser, med gitte generelle egenskaper knyttet til hver klasse.Videre har vi satt opp forslag til generelle beskyttelsesmåter for informasjon i hver klasse.Det å klassifisere informasjonen slik at den kan plasseres i passende klasse, er detvirksomheten selv som må gjøre. Som et ledd i en god informasjonshåndtering erverdivurdering en måte å gi virksomheten et bilde på verdien av informasjon. Informasjon ermer og mer virksomhetens verdi og må beskyttes deretter. På alle nivåer finnes detinformasjon som det er et behov for å beskytte i ulik grad. Det er ikke sikkert at de som ”eier”informasjon er like bevisste på hvilken verdi informasjonen kan ha, også med tanke påmisbruk. Informasjon kan ha krav både til konfidensialitet, integritet og tilgjengelighet.Verdivurdering av informasjon dreier seg om å analysere informasjon med tanke på hvilkekonsekvenser det kan få dersom denne informasjonen går tapt, endres eller kan bli misbruktav noen med ondsinnede hensikter.Et eksempel på hvor galt det kan gå er en virkelig hendelse i Norge. En privatbarnehage ble frastjålet sin bærbare administrative pc. På denne pc’en lå alle lønnsdatasamt personopplysninger om den enkelte ansatte. Ingen sikringstiltak vargjennomført. Resultatet ble at de ansattes kontoer ble tappet for tusenvis av kroner.En verdivurdering og klasseinndeling med gjennomføring av sikringstiltak i henholdtil klasseinndelingen, ville høyst sannsynelig ha ført til at denne informasjonen villeblitt beskyttet mot misbruk. 21.2 Konkrete problemer/utfordringerI Lov om brann- og eksplosjonsvern er eksplosiver, gasser, ulike kjemikalier m.v. definertsom farlige stoffer. Informasjon om farlige stoffer er opplysninger som enkeltvis ikke trengerå være sensitive, men som når opplysningene samles som lokale, regionale eller nasjonaleoversikter, kan bli det. Tilsynsmyndighetene, som først og fremst er DSB og kommunene vedbrannvesenet, er helt avhengige av til enhver tid å ha tilgang til disse opplysningene.Likeså vil mange aktører være helt avhengige av til en hver tid å ha tilgang til disseopplysningene for å sikre effektiv drift. Dette kan gjelde entreprenører, fabrikker ellertransportselskaper som er knyttet til ulike former for produksjon, lagring og transport avfarlige stoffer. For disse er det også et krav at tilgjengeligheten til informasjon er praktisk ogenkel. Videre er denne typen informasjon viktig i den kommunale planleggingen for å se hvasom produseres, lagres og transporteres i kommunen. Dette er nødvendig for i størst muliggrad å forebygge at uhell skal oppstå. Skulle det likevel skje uhell med slike farlige stoffer, erdet av stor betydning at informasjon om stofftype, mengde og egenskaper ved produktet rasktgjøres tilgjengelig for nød-etatene.Et annet eksempel er utveksling av informasjon ved forberedelse til stedlige tilsyn fraKredittilsynet. Kredittilsynet vil ofte ha behov for å få oversendt en stor mengde spesifisertdokumentasjon fra virksomheten. Deler av denne dokumentasjonen er av virksomheten ofteklassifisert som ”konfidensiell” i henhold til bedriftens eget sikkerhetsregime. Mange foretakvelger derfor å levere dokumentasjonen med kurér til Kredittilsynet, enten sompapirdokumenter eller på et elektronisk lagringsmedium. Andre foretak bruker dentradisjonelle postgangen til å sende dokumentasjonen. Bare unntaksvis velger foretaket åsende dokumentasjonen som vedlegg til e-post.2 Kilde: NorSIS6
Etter stedlig tilsyn skriver Kredittilsynet en foreløpig tilsynsrapport. Denne unntasoffentlighet etter Offvl § 5a, jf. kredttl § 7 og fvl § 13. Foretaket skal dermed ha enforvaltningsmessig forsikring om at informasjon i den foreløpige rapporten ikke blir forelagtandre enn dem. Den endelige rapporten er derimot offentlig og vil kunne være et mål forpressens interesse. Den foreløpige rapporten sendes i dag med ordinær postgang.Informasjon som kan påvirke kursen på verdipapirer på Oslo Børs er svært sensitiv. Slikinformasjon kan for eksempel være nye regnskapstall, planlagte emisjoner, planlagte oppkjøposv. i det børsnoterte selskapet. Dette er informasjon som skal offentliggjøres på et gitttidspunkt. Før dette tidspunktet betegnes informasjonen som innsideinformasjon og det eretter verdipapirhandel lovens § 2-1, ikke er lov å benytte informasjonen som grunnlag forhandel. Kun en sluttet gruppe personer i selskapet er kjent med informasjonen, men i periodenfør informasjonen frigis, kan det være at denne informasjonen må utveksles internt i selskapetfor eksempel via e-post eller andre kommunikasjonskanaler. Hvordan kan selskapet sikre slikutveksling av innsideinformasjon?Kraftforsyningen behandler store mengder sensitiv informasjon. Denne informasjonen vartidligere BEGRENSET etter sikkerhetsinstruksen, men er nå avgradert og erstattet avbeskyttelseskrav hjemlet i Energiloven. I tillegg er kraftforsyningens styresystemer i seg selvsvært sensitive, særlig med tanke på tilgjengelighet og konfidensialitet. Uvedkommende måhindres fra å hacke seg inn og overta styringen av kraftnettet. Forskriftskravet i dag(Beredskapsforskriftens § 6-2), er at sensitiv informasjon om kraftforsyningen ”til enhver tidskal avskjermes effektivt for uvedkommende”. Kraftforsyningsanlegg og driftskontrollsystemer i dag klassifisert i 3 klasser. Klassifiseringen er basert på anleggets viktighet og erretningsgivende også for hvordan informasjonen og driftskontrollsystemene skal beskyttes.Hva som er sensitiv informasjon om kraftforsyningen med særlig beskyttelseskrav, er gitt iBeredskapsforskriftens (BfK) § 6-2:a) Driftskontrollsystemer (oversikter over system, sikkerhetstiltak, sårbarhet ogliknende),b) detaljerte oversikter (kraftsystem, kart, tabeller og liknende) over sentral- ogregionalnett hvor status over transformatorytelser eller kraftlinjer med spenningsnivåog/eller overføringskapasitet er angitt,c) oversikter over fordelingsnett som leverer kraft til viktige forsvarsanlegg og andreberedskaps- og samfunnsviktige virksomheter,d) sikrings- og sikkerhetstiltak,e) beredskapsrom / kommandoplasser,f) detaljerte analyser av sårbarhet som følge av påført skade,g) oversikter over reservemateriellagre og reparasjonsmuligheter.I realiteten omfattes altså dette informasjon om sårbare punkt i kraftforsyningen som kanrammes ved et målrettet angrep fra en ondsinnet aktør. For eksempel vil det være brudd påomtrent samtlige punkter under beredskapsforskriftens § 6-2 å utlevere slike opplysningersom trengs for å slå ut kraftforsyningen til en samfunnsviktig funksjon, gjennom et målrettetfysisk eller logisk angrep.7
Page 4 and 5: TabellerTabell 1 Inndeling i klasse
Page 8 and 9: 2 MANDAT OG SAMMENSETNINGKoordineri
Page 10 and 11: 4 BEGREPSAVKLARINGERAutentisering:
Page 12 and 13: 5 EKSISTERENDE NASJONALE OG INTERNA
Page 14 and 15: omhandler klassifisering av informa
Page 16 and 17: SikkerhetslovenSikkerhetslovens for
Page 18 and 19: disse må om nødvendig samarbeide
Page 20 and 21: Forskriftens formål er å legge ti
Page 24 and 25: Det finnes noen enkle spørsmål so
Page 27 and 28: 7.3 Eksempler på bruk av klassifis
Page 29 and 30: KonfidensialitetIntegritetTilgjenge
Page 31 and 32: Klasser\OmrådeLavMiddelsHøyInform
Page 33 and 34: 8.4 Noen eksempler på beskyttelses
Page 35 and 36: Klasser/OmrådeLavMiddelsHøySvært
Page 37 and 38: 9 VIDERE ARBEIDDenne rapporten vise

Klassifisering og beskyttelse av informasjon - NSM

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?