Sammenstillingen benyttes for vurdering av klassifisert objekt og infrastruktur. Den benyttes også for vurdering av informasjonssystem som ikke selv er klassifisert (som objekt) men som har avgjørende betydning for klassifisert objekt eller infrastruktur, og sammenstillingen benyttes for vurdering av skjermingsverdig informasjon som ikke er sikkerhetsgradert, det vil si som må beskyttes av andre hensyn enn konfidensialitet. Vurderingen gjennomføres da i forhold til klassifiseringen for objekter eller infrastruktur som berøres dersom informasjon går tapt, blir endret eller blir utilgjengelig.

Figur 3

Figur 3: Vurdering av tiltak for å beskytte skjermingsverdig informasjonssystem, infrastruktur eller objekt

Leseveiledning til Figur 3:

UNDERSTØTTER
Eget personell (med eller uten tilgang) skal ikke kunne forårsake uønskede hendelser som påvirker funksjon i informasjonssystem som UNDERSTØTTER skjermingsverdig objekt, eller infrastruktur, dersom de kun har grunnleggende kompetanse, informasjon fra åpne kilder og allment tilgjengelige ressurser – gjennom ubevisst uønsket handling.

Eksterne skal ikke kunne forårsake slike hendelser selv med utvidet kompetanse, kjennskap til intern informasjon om funksjon og operativt miljø og tilpassede ressurser (middels kapasitet) – ved bevisst opportunistisk handling.

VIKTIG
Eget personell (med tilgang) skal ikke kunne forårsake uønskede hendelser som påvirker funksjon i informasjonssystem4 , objekt eller infrastruktur som er klassifisert VIKTIG dersom de kun har grunnleggende kompetanse, informasjon fra åpne kilder og allment tilgjengelige ressurser – gjennom ubevisst uønsket handling.

Eget personell (uten tilgang) skal ikke kunne forårsake slike hendelser selv med utvidet kompetanse, kjennskap til intern informasjon om funksjon og operativt miljø og tilpassede ressurser (middels kapasitet) – ved bevisst opportunistisk handling.

Eksterne skal ikke kunne forårsake slike hendelser selv med tilpasset kompetanse, inngående kjennskap til funksjon og operativt miljø og nødvendige ressurser (stor kapasitet) – med hensikt og plan.

KRITISK
Eget personell (med tilgang) skal ikke kunne forårsake uønskede hendelser som påvirker funksjon i informasjonssystem5 , objekt eller infrastruktur klassifisert KRITISK, selv med utvidet kompetanse, kjennskap til intern informasjon om funksjon og operativt miljø og tilpassede ressurser (middels kapasitet) – ved bevisst opportunistisk handling.

Eget personell (uten tilgang) eller eksterne skal ikke kunne forårsake slike hendelser selv med tilpasset kompetanse, inngående kjennskap til funksjon og operativt miljø og nødvendige ressurser (stor kapasitet) – med hensikt og plan.

MEGET KRITISK
Eget personell (med eller uten tilgang) skal ikke kunne forårsake uønskede hendelser som påvirker funksjon i informasjonssystem5 , objekt eller infrastruktur klassifisert MEGET KRITISK, selv med tilpasset kompetanse, inngående kjennskap til funksjon og operativt miljø og nødvendige ressurser (stor kapasitet) – med hensikt og plan.

Eksempler på vurdering av sikkerhetstiltak i Figur 3:

UNDERSTØTTER
Situasjon: Virksomheten har medarbeidere med tilganger til informasjonssystem som understøtter en skjermingsverdig verdi. Virksomheten har ikke regler for oppdatering av tilgangsstyring og påloggingsrutiner, når ansatte slutter.

Scenario: Tidligere ansatte (eksterne) benytter gammel påloggingsdata og kjennskap til virksomhetens rutiner for å få tilgang til informasjonssystemet, og kan med dette forårsake uønskede hendelser overfor den skjermingsverdige verdien.

Vurdering: Gjeldende sikkerhetsnivå muliggjør at eksterne med utvidet kompetanse, kjennskap til intern informasjon om funksjon og operativt miljø og tilpassede ressurser, bevisst kan påvirke funksjonen i informasjonssystemet. Sikkerhetsnivået er følgelig ikke forsvarlig.

VIKTIG
Situasjon: Tjener i informasjonssystem klassifisert VIKTIG er plassert i felles serverrom der også driftspersonell uten tjenstlig (kun med behov knyttet til den aktuelle tjeneren) har adgang.

Scenario: Medarbeidere uten tilgang til det aktuelle informasjonssystemet kan gjennom adgang til serverrommet forårsake driftsavbrudd for tjeneren i det klassifiserte informasjonssystemet.

Vurdering: Gjeldende sikkerhetsnivå muliggjøre at egne medarbeidere uten tilgang og som (gjennom sin stilling) har utvidet kompetanse, kjennskap til intern informasjon om funksjon og operativt miljø og tilpassede ressurser, bevisst kan påvirke funksjonen i informasjonssystem som er klassifisert VIKTIG. Sikkerhetsnivået er følgelig ikke forsvarlig.

KRITISK
Situasjon: Medarbeidere med tilgang til informasjonssystem klassifisert KRITISK har rettigheter for bruk av systemet utover tjenstlig behov.

Scenario: Medarbeidere med tilgang til det aktuelle informasjonssystemet kan benytte utvidede rettigheter for bruk av systemet til uønsket modifikasjon av data og til å hindre registrering av bruk av systemet.

Vurdering: Gjeldende sikkerhetsnivå muliggjør at egne medarbeidere med tilgang og med tilpassede ressurser (gjennom utvidede rettigheter), bevisst kan påvirke funksjonen i informasjonssystem som er klassifisert KRITISK. Sikkerhetsnivået er følgelig ikke forsvarlig.

MEGET KRITISK
Situasjon: Datasenter klassifisert MEGET KRITISK er plassert i et eget avlåst lokale i en fjellhall hvor også andre virksomheter leier lokaler. Fjellhallen eies og driftes av et privat aksjeselskap som har ansvar for vakthold, drift og leveranse av strøm og kjøling. Alle virksomhetene som er lokalisert i fjellhallen har selvstendig tilgang til felles kjøle- og strømanlegg.

Scenario: Personell fra andre virksomheter kan forårsake svikt i kjøle- eller strømanlegg.

Vurdering: Gjeldende sikkerhetsnivå muliggjør at eksterne med tilpasset kompetanse, nødvendige ressurser og med hensikt og plan vil kunne forårsake uønskede hendelser overfor skjermingsverdig objekt klassifisert MEGET KRITISK. Sikkerhetsnivået er følgelig ikke forsvarlig.


3 Sannsynlighet for bortfall

4 Med understøtter menes informasjonssystem som ikke er skjermingsverdig, det vil si som ikke har avgjørende betydning for klassifisert objekt (og heller ikke selv er klassifisert), men som likevel har betydning for slike. Sikkerhetslovens krav om forsvarlig sikkerhetsnivå skal forstås slik at også slike systemer må sikres i nødvendig grad. Det er imidlertid ikke krav om godkjenning av disse informasjonssystemene.

4 Informasjonssystem som selv er klassifisert eller som har avgjørende betydning for klassifisert objekt eller infrastruktur.