Veileder i fysisk sikkerhet
Forsvarlig sikkerhetsnivå for skjermingsverdig informasjon (§ 22)
§ 22. Forsvarlig sikkerhetsnivå for skjermingsverdig informasjon
Når en virksomhet håndterer en risiko knyttet til ugradert skjermingsverdig informasjon etter § 13, skal tiltakene som et minimum sørge for at informasjonen ikke kan gå tapt, endres eller gjøres utilgjengelig med enkle midler. Dersom risikoen tilsier det, skal informasjonen også beskyttes mot avanserte angrepsmetoder.
Når virksomheten håndterer en risiko knyttet til informasjon gradert BEGRENSET, er kravet til et forsvarlig sikkerhetsnivå oppfylt dersom informasjonen ikke med enkle midler kan bli kjent for uautoriserte personer.
Ved valg av sikkerhetstiltak skal virksomheten se behovet for å beskytte informasjonens konfidensialitet, integritet og tilgjengelighet i sammenheng og veie hensynene mot hverandre.
Begrepet informasjon skal forstås vidt og omfatter fysiske dokumenter, digitale og maskinlesbare signaler, film, lydopptak og muntlige opplysninger. Informasjon er skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig.
Å beskytte informasjon i sikkerhetslovens forstand innebærer å sikre informasjonens konfidensialitet, integritet og tilgjengelighet.
- Med konfidensialitet menes at det har en verdi at informasjonen ikke blir kjent for uvedkommende.
- Med integritet menes at det har en verdi at informasjonen er korrekt.
- Med tilgjengelighet menes at det har en verdi at informasjonen er tilgjengelig ved behov.
All skjermingsverdig informasjon skal beskyttes av integritet- og tilgjengelighetshensyn. Når det gjelder informasjonens konfidensialitet gjelder dette for informasjon gradert BEGRENSET eller høyere.
Fysiske sikkerhetstiltak skal derfor sikre at uvedkomne ikke, med enkle midler, får adgang til rom, bygninger, oppbevaringssteder der skjermingsverdig informasjon håndteres/tilvirkes. Med «enkle midler» forstås at man ikke trenger avansert verktøy, kunnskap eller vilje for å få tilgang til informasjonen.
Hva som er enkle midler vil imidlertid kunne være ulikt fra hva slags type sikkerhetstruende virksomhet man må beskytte seg mot, og må vurderes for de ulike verdiene. Det er virksomhetens risikovurdering som vil være avgjørende for hvilke tiltak som er nødvendig for å oppnå et forsvarlig sikkerhetsnivå.
Dersom identifisert risiko tilsier det, skal skjermingsverdig informasjon også beskyttes mot avanserte angrepsmetoder. Avanserte angrepsmetoder må ses opp mot hvilke trusselaktører, scenarier og metoder som er vurdert som relevante for virksomhetens skjermingsverdige verdier.