Veileder i fysisk sikkerhet
Sperret sone (§ 41)
§ 41. Sperret sone
Sperret sone skal være tydelig merket med høyeste tillatte graderingsnivå og sikres i samsvar med dette graderingsnivået.
Personer som gis permanent adgang til en sperret sone, skal være sikkerhetsklarert og autorisert for informasjonen i området. Dersom andre personer skal gis adgang, skal adgangen registreres, og personen følges av personell som har permanent adgang.
Det skal være kontroll med adgangen til en sperret sone, og det skal være synlig hvem som har permanent adgang til sonen.
Sperret sone forstås som en sone der adgang kan gi direkte tilgang til sikkerhetsgradert informasjon gradert KONFIDENSIELT eller høyere.
Typiske sperrede soner kan være operasjonsrom, kommunikasjons- og serverrom, hvelv og arkiv hvor det er behov for å behandle og lagre sikkerhetsgradert informasjon. Dette kan være spesialrom hvor sikkerhetsgradert informasjon gradert KONFIDENSIELT eller høyere, er åpent eller lett tilgjengelig for den som har adgang.
Ved utforming av sikkerhetstiltak til en sperret sone, skal disse samsvare med kravene for gradsnivået av informasjonen som behandles der, samt det utstyret som er i rommet. Utforming av sikkerhetstiltak for den sperrede sonen må sees i sammenheng med sikkerhetstiltak benyttet i de utenforliggende sonene.
Eksempel: Dersom HEMMELIG informasjon skal behandles eller lagres i sonen, skal hele sonens sikkerhetstiltak utformes på en måte som sikrer at uautoriserte personer ikke kan få adgang til sonen uten at virksomheten oppdager dette, og kan begrense skadefølgene. Jf. § 34 c).
Sperret sone må i tillegg utformes på en måte som hindrer direkte innsyn til skjermingsverdig informasjon fra eksempelvis inngangsdør. Det bør etableres godkjente oppbevaringsmuligheter i sonen for å kunne minimere mengden gradert informasjon som til enhver tid er tilgjengelig.
Sonen skal tydelig merkes med høyeste tillate sikkerhetsgradsnivå.
Permanent adgang skal kun gis til personer som er sikkerhetsklarert og autorisert for informasjonen i sonen. Andre personer kan gis midlertidig adgang, men da kun i følge med person med permanent adgang. Dersom personen skal ha tilgang til informasjon gradert KONFIDENSIELT eller høyere, må de inneha gyldig sikkerhetsklarering og autoriseres for informasjonen det gis tilgang til. Besøksprotokoll etableres for å kunne loggføre besøk av personer uten fast adgang til sonen.
Oversikt over personell med fast adgang til sonen skal være oppdatert og lett tilgjengelig på innsiden av sonen for å sikre at kun autorisert personell får adgang. Denne oversikten bør kun være tilgjengelig for personer med tjenstlig behov for denne informasjonen.
Sikkerhetsgradert informasjon gradert KONFIDENSIELT eller høyere i form av tale, skal skje i sikrede rom og lokaler, slik at informasjonen ikke blir kjent for uautoriserte personer. jf. § 46. Virksomheten skal be Nasjonal sikkerhetsmyndighet vurdere om det skal gjennomføres en teknisk sikkerhetsundersøkelse før et rom eller lokale tas i bruk.