§ 34. Forsvarlig sikkerhetsnivå for informasjon gradert KONFIDENSIELT eller høyere


Når en virksomhet håndterer en risiko knyttet til sikkerhetsgradert informasjon etter § 13, er kravet til et forsvarlig sikkerhetsnivå oppfylt dersom


a) uautoriserte personer ikke kan få tilgang til informasjon gradert KONFIDENSIELT eller høyere, uten at virksomheten oppdager det

b) uautoriserte personer ikke kan få tilgang til informasjon gradert HEMMELIG eller høyere, uten at virksomheten oppdager det og kan begrense skadefølgene

c) risikoen for at uautoriserte personer får tilgang til informasjon gradert STRENGT HEMMELIG reduseres til et ubetydelig nivå.

Tiltakene for beskyttelse av informasjon gradert KONFIDENSIELT skal være egnet til at virksomheten oppdager at informasjonen er kompromittert. Det vil si at tiltakene gjør det mulig å oppdage om en trusselaktør har fått tak i informasjonen.

For informasjon gradert HEMMELIG skal virksomheten i tillegg til å oppdage at kompromitteringen har skjedd, også være i stand til å begrense skadefølgene. Dette kan oppnås ved ha sikkerhetstiltak som varsler om kompromittering kombinert med ulike reaksjonstiltak. Det kan ytterligere skadebegrenses ved å ha etablert loggføring og sporing av den kompromitterte informasjonen, slik at den graderte informasjonen kan fjernes eller gjøres uvesentlig i ettertid.

For informasjon gradert STRENGT HEMMELIG skal det ikke være mulig for en trusselaktør å få tak i informasjonen. Dette kan oppnås ved at man har en kombinasjon av barrierer, deteksjon, verifikasjon og reaksjon som til sammen setter virksomheten i stand til å avverge kompromittering, for eksempel ved at destruksjon av dokumenter eller lagringsmedier vil kunne iverksettes.

Hvor omfattende tiltak som må etableres for å ha et forsvarlig sikkerhetsnivå, må besluttes på bakgrunn av virksomhetens risikovurdering.