Veileder i håndtering og beskyttelse av sikkerhetsgradert informasjon
Behandling av BEGRENSET
Kravet til forsvarlig sikkerhetsnivå ved behandling av informasjon sikkerhetsgradert BEGRENSET er regulert av sikkerhetsloven § 5-2 og virksomhetsikkerhetsforskriften § 22. For nærmere veiledning om hva som ligger til grunn for forståelsen av forsvarlig sikkerhetsnivå, se NSMs veileder i sikkerhetsstyring kapittel 2 om risikostyring.
Når virksomheten håndterer risiko knyttet til informasjon gradert BEGRENSET, er kravet til et forsvarlig sikkerhetsnivå oppfylt dersom informasjonen ikke med enkle midler kan bli kjent for uautoriserte personer. Dette muliggjør at virksomheten på visse betingelser kan tillate behandling av BEGRENSET informasjon utenfor områder virksomheten kontrollerer, f.eks. hjemmekontor. Informasjonen må hele tiden beskyttes på en slik måte at den ikke blir gjort tilgjengelig for uautorisert personell. Under vises tre tenkte eksempler på hva som ikke vil være å anse som tilstrekkelig beskyttelse av sikkerhetsgradert informasjon.
Eksempel A
Situasjon: En sikkerhetsklarert ansatt i en virksomhet omfattet av sikkerhetsloven medbringer et dokument med innhold sikkerhetsgradert BEGRENSET.
Scenario: Den ansatte leser dokumentet på offentlig transportmiddel.
Vurdering: Øvrige passasjerer (uautorisert personell) vil relativt enkelt kunne stille seg bak eller ved siden av den ansatte som leser dokumentet, og således forsettlig, selv med liten kapasitet kunne tilegne seg informasjonen i dokumentet. Dette er å anse som «med enkle midler». Beskyttelsen ikke tilstrekkelig. Sikkerhetsnivået er ikke forsvarlig.
Eksempel B
Situasjon: En sikkerhetsklarert ansatt i en virksomhet omfattet av sikkerhetsloven medbringer et dokument med innhold sikkerhetsgradert BEGRENSET. Dokumentet er forskriftsmessig emballert.
Scenario: Den ansatte har plassert brevpakken med dokumentet på nabosetet i togkupéen, og holder ikke øye med denne.
Vurdering: Øvrige passasjerer (uautorisert personell) vil da uten store vanskeligheter i et ubevoktet øyeblikk kunne gripe og ta med seg pakken (forsettlig, selv med liten kapasitet), dersom den ansatte ikke er tilstrekkelig påpasselig. Manglende reell kontroll muliggjør et handlingsrom for at en uautorisert person «med enkle midler» kan tilegne seg pakken, og med det kunne få tilgang til informasjonen. Beskyttelsen kan ikke ansees som tilstrekkelig. Sikkerhetsnivået er ikke forsvarlig.
Eksempel C
Situasjon: En sikkerhetsklarert ansatt i en virksomhet omfattet av sikkerhetsloven medbringer et fysisk lite lagringsmedium (minnepinne) inneholdende informasjon sikkerhetsgradert BEGRENSET, tenkt til bruk i et møte. Lagringsmediet er ikke passordbeskyttet.
Scenario: Den ansatte mister kontroll over lagringsmediet, og kan ikke gjøre rede for hvordan det har blitt borte eller hvor det kan ha blitt av.
Vurdering: Et fysisk lite lagringsmedium som en minnepinne vil meget enkelt og umerkelig kunne komme på avveie om man ikke er tilstrekkelig årvåken, og vil da kunne være vanskelig å gjenfinne. Det vil da være utfordrende å forhindre at «uautorisert personell ikke med enkle midler», vil kunne tilegne seg lagringsmediet og dermed også informasjonen dette inneholder, med mindre lagringsmediet er godt beskyttet gjennom elektroniske barrierer. Beskyttelsen i dette eksempelet kan ikke anses som tilstrekkelig. Sikkerhetsnivået er ikke forsvarlig.