Veileder for tilsyn med forebyggende sikkerhetsarbeid
Vurdering tiltak for å beskytte skjermingsverdig informasjon
Skjermingsverdig informasjon som ikke er sikkerhetsgradert, det vil si som må beskyttes av andre hensyn en konfidensialitet, vurderes i forhold til klassifiseringen for informasjonssystem, objekt eller infrastruktur som berøres dersom informasjonen går tapt, blir endret eller blir utilgjengelig
BEGRENSET
Informasjonssystemet skal være sikret slik at eget personell (med eller uten tilgang) ikke kan forårsake uønskede hendelser overfor skjermingsverdig informasjon sikkerhetsgradert BEGRENSET når de kun har grunnleggende kompetanse, informasjon fra åpne kilder og allment tilgjengelige ressurser – ved ubevisst uønsket handling. Eksterne skal ikke kunne forårsake slike hendelser selv med utvidet kompetanse, kjennskap til intern informasjon om funksjon og operativt miljø og tilpassede ressurser – ved bevisst opportunistiskhandling.
KONFIDENSIELT
Informasjonen skal være sikret slik at eget personell (med tilgang) ikke kan forårsake uønskede hendelser overfor informasjon sikkerhetsgradert KONFIDENSIELT når de kun har grunnleggende kompetanse, informasjon fra åpne kilder og allment tilgjengelige ressurser – ved ubevisst uønsket handling. Eget personell (uten tilgang) skal ikke kunne forårsake slike hendelser selv med utvidet kompetanse, kjennskap til intern informasjon om funksjon og operativt miljø og tilpassede ressurser – ved bevisst opportunistisk handling. Eksterne skal ikke kunne forårsake slike hendelser selv med tilpasset kompetanse, inngående kjennskap til funksjon og operativt miljø og nødvendige ressurser – selv om det foreligger hensikt og plan.
HEMMELIG
Informasjonen skal være sikret slik at eget personell (med tilgang) ikke kan forårsake uønskede hendelser overfor informasjon sikkerhetsgradert HEMMELIG selv med utvidet kompetanse, kjennskap til intern informasjon om funksjon og operativt miljø og tilpassede ressurser– ved bevisst opportunistisk handling. Verken eget personell (uten tilgang) eller eksterne skal kunne forårsake slike hendelser selv med tilpasset kompetanse, inngående kjennskap til funksjon og operativt miljø og nødvendige ressurser – selv om det foreligger hensikt og plan.
STRENGT HEMMELIG
Det skal ikke være mulig å forårsake uønskede hendelser overfor informasjon sikkerhetsgradert STRENGT HEMMELIG selv med tilpasset kompetanse, inngående kjennskap