Ofte stilte spørsmål om sky og tjenesteutsetting
Spørsmål særskilt relatert til sikkerhetsloven
Ny sikkerhetslov trådte i kraft 1. januar 2019. Loven skal forebygge, avdekke og motvirke sikkerhetstruende virksomhet. Flere har spørsmål knyttet til sikkerhetsloven og bruk av tjenesteutsetting herunder skytjenester. Her er noen av de vanligste spørsmålene vi får:
13. Vi har blitt underlagt sikkerhetsloven. Hvor begynner jeg?
Du finner det du trenger for å komme i gang på våre hjemmesider www.nsm.no. Her finner du innføring i sikkerhetsloven, lenker til loven, forskrifter og våre veiledere. Det første du må gjøre er å lese vedtaket fra overordnet departement grundig. Hva er omfanget av vedtaket? Er hele eller deler av virksomheten omfattet? For noen virksomheter gjelder loven direkte, andre må underlegges gjennom beslutning. For begge gjelder hele loven. Gå i dialog med fagdepartementet hvis det er uklarheter.
14. Hva er forskjellen på skjermingsverdig og sikkerhetsgradert?
Informasjon er skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig. Skjermingsverdig informasjon kan være ugradert eller gradert.
Informasjon er sikkerhetsgradert dersom det kan skade nasjonale sikkerhetsinteresser om uvedkommende får tilgang til informasjonen.
Følgende sikkerhetsgrader skal benyttes:
-
STRENGT HEMMELIG dersom det kan få helt avgjørende skadefølger
-
HEMMELIG dersom det kan få alvorlige skadefølger
-
KONFIDENSIELT dersom det kan få skadefølger
-
BEGRENSET dersom det i noen grad kan få skadefølger. (SL § 5-3)
Les mer om skjermingsverdig informasjon (ugradert og gradert) i Veileder for verdivurdering og Veileder for godkjenning av informasjonssystem.
15. Hva er et skjermingsverdig informasjonssystem?
Et skjermingsverdig informasjonssystem er et system for innsamling, registrering, sammenstilling, lagring og utlevering av skjermingsverdig informasjon og/eller et system som har avgjørende betydning for en grunnleggende nasjonal funksjon. Slike systemer må sikres av hensyn til konfidensialitet, tilgjengelighet eller integritet.
Les mer i Veileder for godkjenning av informasjonssystem.
16. Kan jeg bruke skytjenester og samtidig være underlagt sikkerhetsloven?
Ja. Det er ingenting i veien for at virksomheter kan bruke skytjenester for systemer som ikke er skjermingsverdig og samtidig ha andre informasjonssystemer som er underlagt sikkerhetsloven.
Det er heller ikke et eksplisitt forbud i loven mot å tjenesteutsette informasjonssystemer underlagt sikkerhetsloven til en skytjenesteleverandør.
Det kan derimot være utfordrende å imøtekomme sikkerhetslovens krav ved bruk av skytjenester, samt få systemet sikkerhetsmessig godkjent. Virksomheten må foreta en risikovurdering og basert på denne gjennomføre de tiltak som sikkerhetsloven krever for å oppnå et forsvarlig sikkerhetsnivå. Virksomhetene må også vurdere om det skal initieres en dialog med NSM rundt godkjenning av systemet. Hvorvidt bruk av skytjenester er akseptabelt vil blant annet avhenge av informasjonssystemets verdi.
17. Krever sikkerhetsloven at alle systemer driftes av norsk personell?
Nei, ikke nødvendigvis. Men statsborgerskap vil være en faktor i autorisasjons- og klareringsprosessen. Personell som drifter IKT-systemer som behandler sikkerhetsgradert informasjon har, i kraft av sine arbeidsoppgaver og roller, tilgang til den høyeste sikkerhetsgradert informasjon IKT-systemet bærer.
-
Personell skal sikkerhetsklareres dersom de skal ha tilgang til informasjon gradert KONFIDENSIELT eller høyere (SL § 8-1).
-
Tilgang til informasjon gradert BEGRENSET og skjermingsverdig ugraderte informasjonssystemer trenger ikke sikkerhetsklareres.
-
Personell med tilgang til skjermingsverdige informasjonssystemer som klassifiseres som objekt eller infrastruktur (jf. SL § 7-2) kan bli underlagt adgangsklarering (SL § 8-3).
Les mer om personellsikkerhet i Veileder for personellsikkerhet.
Les mer om adgangsklarering i Veileder om søknad og vedtak om adgangsklarering.
18. Må alt av driftspersonell sikkerhetsklareres?
Nei. Se svar på spørsmål over. Les mer om personellsikkerhet i Veileder for personellsikkerhet.
19. Krever sikkerhetsloven at alle systemer er lokalisert på norsk jord?
Nei. Men det kan være vanskelig å imøtekomme sikkerhetslovens krav og få systemet sikkerhetsmessig godkjent ved å benyttes seg av tjenester levert fra utlandet. Det er avhengig av verdien til informasjonssystemet, om informasjonssystemet bærer skjermingsverdig informasjon og hvilke risikoreduserende tiltak som er iverksatt.
20. Kan vi bruke skytjenester som ikke har datasenter på norsk jord?
Se svar på spørsmål over.
21. Vår basis- og applikasjonsdriftsleverandøren har datasenter i Stockholm, kan jeg benytte de på skjermingsverdig ugradert informasjonssystemer?
Kanskje. Det avhenger av om de funksjonelle kravene til IKT-sikkerhet kan bli imøtekommet.
Les mer i Veileder for godkjenning av informasjonssystem og Håndbok for beskyttelse av skjermingsverdig ugraderte informasjonssystem.
22. Må NSM sikkerhetsgodkjenne alle systemer?
Nei. Virksomheten kan godkjenne enkelte systemer selv, men NSM må alltid informeres. Les mer i Veileder for godkjenning av informasjonssystem.
23. Hva er «krisespennet»? Hva har krisespennet med tjenesteutsetting og skytjenester å gjøre?
Med krisespennet mener vi i fred, krise og krig. Noen IKT-systemer er så kritiske for nasjonen at de må fungere i hele krisespennet. Det er nærliggende å vurdere graden av nasjonal autonomi og nasjonal kontroll ved en eskalering i krisespennet.
Noen virksomheter bør vurdere i hvilken grad nasjonal kontroll er viktig i lavere del av krisespennet og ved en eskalering i krisespennet.
For noen virksomheter bør bruk av tjenesteutsetting og skytjenester vurderes opp mot nasjonal autonomi, nasjonal kontroll og krisespennet. Vil tjenesten fungere i hele krisespennet? Må den fungere i hele krisespennet? Kan tjenesten/verdiene flyttes raskt hjem ved en eskalering i krisespennet?
En virksomhet med et skjermingsverdig informasjonssystem må kunne opprettholde og tilby sine avtalte leveranser med forsvarlig sikkerhet etter de behov som er stilt i fred, krise og krig. Dette kan bety at det må stilles større krav til robusthet og tilgjengelighet enn for vanlige kommersielle systemer.
24. Er det noe krav til nasjonal autonomi ved bruk av skytjenester?
En virksomhet med et skjermingsverdig informasjonssystem må kunne opprettholde og tilby sine leveranser med forsvarlig sikkerhet i hele krisespennet (fred, krise og krig) om dette er et krav. Dette betyr at det må stilles større krav til robusthet og tilgjengelighet enn for vanlige kommersielle systemer.
25. Hvordan er sammenhengen mellom sikkerhetsloven og NATO-krav?
Virksomheter som er underlagt NATO-reglement må etterfølge egne NATO-krav. Virksomhetene må innfri disse kravene for å oppnå et forsvarlig sikkerhets nivå etter sikkerhetsloven.