Veileder i fysisk sikkerhet
Prinsipper ved valg og utforming av sikkerhetstiltak (§ 15)
§ 15. Prinsipper ved valg og utforming av sikkerhetstiltak
Når en virksomhet velger ut og utformer sikkerhetstiltak, skal følgende prinsipper legges til grunn:
a) Sikkerhetstiltakene skal ikke ha en annen funksjonalitet eller større kompleksitet enn nødvendigb) Det skal ikke gis en mer omfattende tilgang til skjermingsverdige verdier enn nødvendig.
c) Svikt i ett enkelt tiltak skal ikke kunne føre til kompromittering av skjermingsverdige verdier.
d) Sikkerhetstiltak skal i minst mulig grad være avhengige av hverandre, og flere sikkerhetstiltak skal dermed ikke kunne svekkes eller settes ut av funksjon samtidig, for eksempel som følge av én enkelt feil eller hendelse.
e) Effekten av sikkerhetstiltakene skal være tilnærmet lik for alle skjermingsverdige verdier med samme sikkerhetsbehov.
Sikkerhetstiltakene skal være samordnet. Kostnadene ved et sikkerhetstiltak skal stå i et rimelig forhold til det som kan oppnås ved tiltaket.
En virksomhet skal ikke bruke mer inngripende sikkerhetstiltak enn nødvendig for å håndtere en aktuell risiko. Virksomheten skal her særlig ta hensyn til enkeltpersoners rettssikkerhet og personvern. Det skal ikke behandles personopplysninger i større grad enn det som er nødvendig ut fra formålet med sikkerhetstiltaket.
Når et sikkerhetstiltak kan gripe inn i enkeltpersoners rettssikkerhet eller personvern, skal virksomheten kunne dokumentere hvorfor inngrepet er nødvendig.
Sikkerhetstiltakene skal samlet ha som mål å oppnå forsvarlig sikkerhetsnivå. Tiltakene må virke etter sin hensikt, og fungere sammen for å oppnå samspill mellom mennesker, teknologi og organisasjon. Når en virksomhet skal velge ut og utforme sine sikkerhetstiltak, er det flere prinsipper som må legges til grunn:
a) Virksomheten må påse at det ikke velges løsninger med unødig funksjonalitet og kompliserte styringsmekanismer, som i verste fall kan føre til en forringelse av sikkerheten. Tiltak som ikke er hensiktsmessige og praktisk utformet kan av enkelte oppleves som hindringer i hverdagen, og kan dermed resultere i at noen omgår bestemmelser og rutiner. Det er derfor av stor betydning at virksomhetene er bevisste på dette når sikkerhetstiltak og prosedyrer etableres. God sikkerhetskultur i virksomheten er en avgjørende faktor for at de etablerte sikkerhetstiltakene skal fungere etter sin hensikt.
Ved anskaffelse av eksempelvis et automatisk adgangskontrollanlegg anbefales det at man setter seg inn i ulike produsenters løsninger for å få et anlegg som er tilpasset det faktiske behovet. Det anbefales at anskaffelse alltid gjøres hos en seriøs leverandør som også har et godt serviceapparat. Det bør ikke overlates til leverandøren alene å komme opp med et forslag til leveranse, men virksomhetens sikkerhetsansvarlig og leverandøren bør gå sammen om å finne de mest hensiktsmessige løsningene.
b) Hensikten med å styre tilgangen til en skjermingsverdig verdi er å hindre at uvedkommende får tilgang til verdien. «Uvedkommende» i denne sammenheng er alle som ikke har behov for tilgang. Det skal ikke gis mer omfattende adgang enn det som er nødvendig for å ivareta en funksjon, eller for å gi tilgang til informasjon.
For internt personell tilsier prinsippet at ikke alle ansatte i virksomheten skal ha adgang til alle områder og kontorer i bedriften, eksempelvis trenger ikke andre enn de som skal drifte en server adgang til serverrommet. For eksterne personer, må man vurdere hvilke områder f.eks. leverandører av varer og tjenester strengt tatt må ha adgang til, samt vurdere om antall leverandører kan reduseres. Se også Veileder i håndtering og beskyttelse av sikkerhetsgradert informasjon.
c) En skjermingsverdig verdi må beskyttes på en slik måte at verdien ikke blir kompromittert selv om det kan være svikt i ett enkelt tiltak. For å kunne sikre dette er det viktig at man etablerer sikring i dybden, ved å etablere flere lag med fysiske, elektroniske, menneskelige og organisatoriske barrierer mellom usikret område og de verdiene man ønsker å sikre. Dette innebærer at det skal være flere sikkerhetstiltak for å beskytte en verdi, slik at sikkerheten ikke skal være avhengig av bare ett sikkerhetstiltak.
Bruk av soner for beskyttelse av sikkerhetsgradert informasjon er et eksempel på sikring i dybden. Flere lag med sikkerhetstiltak vil gjøre det vanskeligere og mer tidkrevende for en inntrenger å komme seg forbi sikkerhetstiltakene. I tillegg til den fysiske sikringen er det anbefalt å etablere vakthold, deteksjon, alarmer, adgangskontroll og kontrollrutiner i forbindelse med sonene.
d) Tiltakene som iverksettes skal i minst mulig grad være avhengige av hverandre, slik at de ikke kan svekkes eller settes ut av funksjon samtidig med samme type handling. For å kunne sikre dette er det viktig at man sikrer verdiene både med barrierer, deteksjon, verifikasjon og reaksjon.
Dersom man for eksempel har en rekke sikkerhetstiltak som alle er avhengige av strøm, vil en aktør enkelt kunne sette disse ut av funksjon ved å kutte strømleveransen.
Virksomheten må iverksette alternative tiltak for å opprettholde funksjonen til sikkerhetstiltaket med redundans. Tiltak kan være av en type som direkte reduserer sannsynligheten for at hendelser rammer et spesifikt objekt eller en infrastruktur. Eksempler på dette er ulike former for barrierer, systemer for tidlig deteksjon av uønskede hendelser, verifikasjonssystemer og ulike former for reaksjon for å stoppe eller redusere omfanget av slike hendelser. Reduksjon av risiko kan også bestå av tiltak som reduserer skadevirkningene dersom en hendelse inntreffer. Dette kan enten være tiltak som baseres på økt redundans eller økt motstandsdyktighet, eller en kombinasjon av slike tiltak. Høy redundans innebærer at det er flere enheter eller delsystemer som bidrar til å opprettholde funksjonen. Dersom noen av enhetene eller delsystemene mister sin funksjon, vil de øvrige kunne fylle funksjonen til den eller de som er falt ut, og dermed forhindre alvorlige konsekvenser.
e) Effekten av sikkerhetstiltakene skal være tilnærmet lik for alle skjermingsverdige verdier med samme sikkerhetsbehov. Med dette menes at virksomhetens skjermingsverdige verdier med likt sikkerhetsbehov kan sikres med ulike tiltak, så fremt de oppnår samme effekt. De ulike inngangene til en skjermingsverdig verdi skal beskyttes like sterkt. Det må være en balanse i tiltakene, og en helhetlig sikring i forhold til aktuell trussel. Dører, vegger og vindu må for eksempel ha samme motstandskraft mot inntrengning. Sikkerheten blir aldri bedre enn det svakeste leddet.
Tidsregnskap kan brukes som en metode for å dokumentere at man har etablert en effektiv sikring mot en definert trusselaktør.
Det skal tas hensyn til enkeltpersoners rettsikkerhet og personvern ved valg av sikkerhetstiltak, og det skal ikke behandles personopplysninger i større grad enn nødvendig ut fra formålet med sikkerhetstiltaket. Der et tiltak kan være inngripende vil det være en plikt til å gjøre en skriftlig nødvendighets- og proporsjonalitetsvurdering.