Veileder i fysisk sikkerhet
Fysisk sikring av skjermingsverdige informasjonssystemer (§ 49)
§ 49. Forsvarlig sikkerhetsnivå for skjermingsverdige informasjonssystemer
Når en virksomhet håndterer en risiko knyttet til skjermingsverdige informasjonssystemer etter § 13, skal den oppnå et forsvarlig sikkerhetsnivå ved å
a) beskytte data mot uønsket lesing og beskytte tjenester mot uønsket brukb) beskytte data mot uønsket modifikasjon og beskytte tjenester mot uønsket modifikasjon og manipulasjon
c) beskytte data mot uønsket sletting og beskytte tjenester mot uønsket reduksjon eller stans
d) identifisere og autentisere brukere som kan påvirke informasjonssystemets funksjon, eller som kan få tilgang til data i systemet, før de gis tilgang til data og tjenester
e) forhindre at falske data og tjenester introduseres i informasjonssystemet
f) registrere bruk, misbruk og forsøk på misbruk av informasjonssystemet, tjenester og data
g) systematisk kontrollere at sikkerhetstiltakene er korrekt implementert og ivaretar sikkerheten på en effektiv og hensiktsmessig måte.
Sikkerhetstiltakene skal være tilpasset systemets totale omfang og kompleksitet gjennom hele systemets levetid.
Sikkerhetstiltak som skal virke hurtig, eller som lett kan utløse feil når de utføres manuelt, skal automatiseres så langt det er praktisk mulig.
I et skjermingsverdig informasjonssystem vil de fysiske komponentene som bærer sikkerhetsgradert informasjon være å anse som utsatt for kompromittering og manipulasjon på de steder uautoriserte har adgang. Komponentene skal med det beskyttes i henhold til høyeste sikkerhetsgrad for oppbevaring som systemet er godkjent for.
Der hvor skjermingsverdig informasjon er tilgjengelig i et informasjonssystem skal alle fysiske komponenter sikres slik at de møter kravene til beskyttelse av skjermingsverdig informasjon i henhold til § 22.
Informasjonssystemer som behandler sikkerhetsgradert informasjon KONFIDENSIELT eller høyere skal beskytte alle fysiske komponenter i henhold til §§ 38 – 41, der hvor det er fysisk og teknisk mulig å hente ut informasjon.
For informasjonssystemer som behandler informasjon sikkerhetsgradert BEGRENSET eller skjermingsverdig informasjon uten sikkerhetsgrad, bør de samme prinsippene benyttes i utforming og plassering av komponenter så langt dette er mulig.
Sikkerhetstiltakene skal i sum utformes på en måte som hindrer uvedkomne tilgang til skjermingsverdig informasjon eller sikkerhetsgraderte komponenter, samtidig som man opprettholder tilgjengelighet til systemet.