Før sikkerhetsgradert informasjon i fysiske dokumenter eller lagringsmedia kan tas med utenfor beskyttet eller sperret sone, må virksomheten utarbeide en risikovurdering.

Risikovurderingen må omfatte en gjennomgang av forhold som negativt kan påvirke virksomhetens evne til beskyttelse av informasjonen, – og det må iverksettes kompenserende tiltak for at informasjonen skal ikke bli tilgjengelig for uvedkommende, mistes, endres, eller bli utilgjengelig. Virksomheten som tillater oppbevaring eller behandling av informasjonen må sørge for at disse hensynene ivaretas hele tiden som de aktuelle graderte dokumenter eller lagringsmedier befinner seg utenfor beskyttet eller sperret sone.

Det må i risikovurderingen skilles mellom oppbevaring og behandling. Ved oppbevaring er ikke informasjonen i bruk, og således ikke eksponert. Behandling av informasjon innebærer på den annen side eksponering av informasjon.

For behandling av gradert informasjon utenfor beskyttet og sperret sone etter forskriftens § 42 annet og tredje ledd, anbefaler NSM at det så langt det lar seg gjøre, tilstrebes å etablere en beskyttelse av informasjonen som i en beskyttet sone, for at kravet til forsvarlig sikkerhetsnivå i §§ 22 og 34 skal kunne oppnås.

I dette ligger at behandlingen foregår i et miljø der personen som skal behandle informasjonen har reell kontroll over informasjonen. NSM anbefaler at virksomheten innfører allmenne virksomhetsspesifikke krav sett opp mot sikkerhetslovens krav om forsvarlig sikkerhetsnivå, for regulering av de ansattes mulighet for behandling av gradert informasjon utenfor beskyttet og sperret område.

NSM anbefaler at følgende risikofaktorer inngår i virksomhetens risikovurdering:

  • Hvordan er mulighetene for fysisk avgrensning av en sone med reell kontroll over informasjonen?
  • Er det interiør og utstyr som utfordrer mulighet for reell kontroll i sonen – elektronisk utstyr med sende-, mottager- og/eller opptaksfunksjon?
  • Hva med omgivelsenes karakter mht personer og naturmessige og bygningsmessige forhold – er sonen skjermet for innsyn, har lydisolasjon og er det mulighet for kontroll med tilstøtende soner?
  • Behov for vakthold eller fysiske sikringstiltak i eller rundt sonen?
  • Behov for kontroll av personer som ankommer sonen?

NSM vil gjøre oppmerksom på sårbarhetene ved å benytte fysisk små elektroniske lagringsmedier (som f. eks. minnebrikker og USB-lagringsmedier) i forbindelse med fysisk transportering av sikkerhetsgradert informasjon - både ved medbringelse og ved forsendelse. Fysisk små lagringsmedier (som kan inneholde store mengder informasjon) utfordrer virksomheten med hensyn til reell kontroll over og beskyttelse av slike lagringsmedier, jf eksempel C i tekstboks over.