Veileder i søknad og vedtak om adgangsklarering
Virksomhetens vurdering av adgangsklarering
Virksomheter underlagt sikkerhetsloven plikter å ha et forsvarlig sikkerhetsnivå for skjermingsverdige objekter og infrastruktur, jf. SL § 4-3 og VF kapittel 2 og 3. De spesifikke kravene til forsvarlig sikkerhetsnivå for skjermingsverdige objekter og infrastruktur følger av VF § 58. For å oppnå forsvarlig sikkerhetsnivå skal virksomheten dokumentere at det er foretatt en konkret vurdering av risiko, og at nødvendige sikkerhetstiltak er iverksatt for å håndtere den.
Klassifiseringsnivåene VIKTIG, KRITISK og MEGET KRITISK (jf. VF § 58) gir føringer for hvilke forhold virksomheten skal legge vekt på når den vurderer egnetheten til de iverksatte sikkerhetstiltakene.
Virksomhetens vurdering av behov for adgangsklarering har følgende forutsetninger:
- Virksomhetens risikovurdering har funnet at forsvarlig sikkerhetsnivå ikke er oppnådd med de sikkerhetstiltakene som er gjennomført, og at
- andre mulige sikkerhetstiltak ikke i tilstrekkelig grad er egnet til å oppnå et forsvarlig sikkerhetsnivå.
Gitt disse forutsetningene må virksomheten vurdere hvorvidt adgangsklarering er et egnet tiltak for å oppnå forsvarlig sikkerhetsnivå. Med utgangspunkt i at objektet eller infrastrukturen kan være mål for ikke-statlige eller statlige tilsiktede anslag2 , må virksomheten vurdere om personer med fysisk eller logisk tilgang har mulighet til å utføre tilsiktede anslag som kan ha konsekvenser for objektet eller infrastrukturens funksjonalitet.
Om virksomheten finner at adgangsklarering er et egnet sikkerhetstiltak må virksomheten vurdere tiltaket opp mot VF § 15 om prinsipper ved valg og utforming av sikkerhetstiltak. Særlig relevant i denne sammenheng er prinsippet om at det ikke skal gis en mer omfattende tilgang enn nødvendig (bokstav b). Eksempelvis bør antallet brukere med administratorrettigheter begrenses til kun dem som behøver dette for å ivareta funksjonaliteten i systemet. Dette må også ses i sammenheng med prinsipp c, om at svikt i ett enkelt tiltak skal ikke kunne føre til kompromittering av skjermingsverdige verdier. Krav om adgangsklarering kan altså ikke være det eneste tiltaket som skal beskytte funksjonaliteten til objektet eller infrastrukturen. I tillegg må virksomheten implementere andre sikkerhetstiltak, eksempelvis tiltak for skadebegrensning og gjenopprettelse.
VF § 15 tredje ledd sier at en virksomhet ikke skal bruke mer inngripende sikkerhetstiltak enn nødvendig for å håndtere en aktuell risiko, og at virksomheten skal ta særlig hensyn til personers rettssikkerhet og personvern. Tiltakets proporsjonalitet opp mot disse interessene må derfor også vurderes. Dette understreker at adgangsklarering ikke kan benyttes for andre formål enn å oppnå forsvarlig sikkerhetsnivå.