§5-1. Skjermingsverdig informasjon Informasjon er skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig

Sikkerhetsloven og forskriftenes bruk av begrepet informasjon legger til grunn en vid forståelse av hva begrepet kan omfatte. Måten informasjon er tilvirket på og hvilken form informasjonen har er ikke relevante momenter i vurderingen av om noe er å betrakte som informasjon. Begrepet omfatter for eksempel opplysninger gitt i fysiske dokumenter, digitale og maskinlesbare signaler, film, lydopptak og muntlige opplysninger.

 

 Forholdet mellom skjermingsverdig og sikkerhetsgradert informasjon

Figur 1: Illustrasjonen viser forholdet mellom skjermingsverdig og sikkerhetsgradert informasjon og hvilke sikkerhetsbehov virksomhetens informasjon kan ha. Kilde: Prop. 153 L Lov om nasjonal sikkerhet (sikkerhetsloven) s. 97

Begrepet skjermingsverdig informasjon er en samlebetegnelse som favner all informasjon som skal beskyttes etter loven, av hensyn til de skadefølger som kan påføres nasjonale sikkerhetsinteresser dersom informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig. Hva som inngår i begrepet nasjonale sikkerhetsinteresser er beskrevet i NSMs veileder i departementenes identifisering av grunnleggende nasjonale funksjoner. 

Dersom det kan få skadefølger for nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, så må informasjonens konfidensialitet beskyttes. Med uvedkommende menes alle som ikke er sikkerhetsklarert og autorisert for informasjonen, og som ikke har et tjenstlig behov for å være kjent med informasjonen. Om uvedkommende blir kjent med informasjonen anses det som et konfidensialitetsbrudd.

Dersom det kan få skadefølger for nasjonale sikkerhetsinteresser at informasjonen går tapt eller blir utilgjengelig, så må informasjonens tilgjengelighet beskyttes. Med tilgjengelighet menes at informasjonen er tilgjengelig for virksomheten innenfor det tidsrommet som virksomheten har behov for å bruke den. Dersom slik informasjon går tapt, eller blir gjort utilgjengelig, anses det som et tilgjengelighetsbrudd. Virksomheten må vurdere tilgjengelighetsbehovene til informasjonen den besitter, og identifisere konsekvenser for nasjonale sikkerhetsinteresser dersom informasjonen ikke er tilgjengelig for de riktige brukerne eller systemene til rett tid.

Dersom det kan få skadefølger for nasjonale sikkerhetsinteresser at informasjonen blir endret, så må informasjonens integritet beskyttes. Med integritet menes at informasjonen er korrekt og fullstendig sett i sammenheng med emnet og omfanget som informasjonen har til hensikt å omfatte. Integritetsbeskyttelse innebærer å sørge for at det ikke lar seg gjøre urettmessig å endre innholdet i informasjonen.

Begrepet «ugradert skjermingsverdig informasjon» som benyttes i virksomhetssikkerhetsforskriften §22 brukes om informasjon som er skjermingsverdig etter §5-1, men som ikke er sikkerhetsgradert etter §5-3.

Konfidensialitet, integritet og tilgjengelighet er ikke motsetninger. Tilgjengelighet må ikke forveksles med prinsippet meroffentlighet, og er sågar ikke en motpol til konfidensialitet. I mange tilfeller vil en verdivurdering kunne vise at det er behov for å ivareta både konfidensialiteten, integriteten og tilgjengeligheten til en informasjonsmengde. Nasjonale beredskapsplaner er et eksempel på dokumenter med informasjon der alle tre aspektene må ivaretas. Om opplysningene i planene er kjent for en trusselaktør, kan de lett bli mindre effektive. Integriteten må ivaretas slik at man kan stole på at opplysningene i planene er korrekte. Tilgjengeligheten må også ivaretas slik at de som skal iverksette tiltak har planene for hånden når situasjonen krever det.

I andre tilfeller vil informasjonen kunne ha et større tilgjengelighets- og integritetsbehov enn et konfidensialitetsbehov. Et eksempel kan være informasjonen som en flygeleder som overvåker og dirigerer sivil flytrafikk. Flygelederen har som hovedoppgave å forhindre sammenstøt av fly i luften eller på bakken, og for å sørge for rask og effektiv trafikkavvikling. Flygelederens oppgaveløsning er avhengig av en uavbrutt strøm av korrekte opplysninger fra radarsystemer og kommunikasjonssystemer. Dette for å ha et oppdatert situasjonsbilde av hvilke fly som befinner seg i luftrommet, og hvor de befinner seg i forhold til hverandre. Informasjonens tilgjengelighet og integritet er derfor avgjørende for flygelederens evne til å løse sin oppgave. Hvorvidt informasjon om flyenes plassering i luftrommet er åpent tilgjengelig er ikke av betydning for flygelederens oppgaveløsning, og denne informasjonen har derfor ikke et konfidensialitetsbehov.

Det vil kunne forekomme situasjoner hvor forholdene mellom informasjonens behov for konfidensialitet, integritet, og tilgjengelighet endres. Når det gjelder informasjon av betydning for nasjonale sikkerhetsinteresser vil slike endringer som oftest være forårsaket av pågående sikkerhetstruende virksomhet. Virksomheten må derfor kunne avveie hvilket behov som totalt sett er viktigst å ivareta av hensyn til nasjonale sikkerhetsinteresser.