STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

Transkript

1 STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

2 STRATEGI FOR INFORMASJONSSIKKERHET / 3 FORORD Politiet står overfor store utfordringer i tiden som kommer, med et kriminalitetsbilde som er komplisert, alvorlig og grenseoverskridende. Fremtidens politi skal møte disse utfordringene ved å være enda mer kunnskapsbasert og effektivt med evne til kontinuerlig forbedring. En grunnleggende forutsetning for at vi skal kunne lykkes, er at vi har profesjonell informasjonsforvaltning. Politidirektør Odd Reidar Humlegård Informasjon er en av våre viktigste verdier. Informasjon som vi kan stole på, som vi håndterer forsvarlig og profesjonelt, er nødvendig for å utføre våre samfunnsoppgaver, å ivareta sikkerheten til våre ansatte og opprettholde tilliten befolkningen har til norsk politi. Vi skal etablere en tydeligere styring innen informasjonssikkerhet. Strategien viser hvor fokuset skal være i strategiperioden. Vi skal ha et tilfredsstillende nivå av sikkerhet i politiet. Tilfredsstillende nivå innebærer at vi har oversikt og kon troll, samt at vi implementerer balanserte, kostnadseffektive og hensiktsmessige sikkerhetstiltak. For at vi skal vite om vi har tilfredsstillende nivå av sikkerhet, skal det etableres målekriterier. Måleresultatene og annen informasjon om sikkerhetstilstanden, skal danne kunnskaps grunnlaget for styringen av informasjonssikkerheten i politiet. For å kunne lykkes med vårt mål med strategien, er det nødvendig at hele politiet er med. Dette setter særlige krav til lederne i politiet - krav som vil inngå i den ordinære virksomhetsstyringen. Med en profesjonell, forsvarlig og entydig forvaltning av informasjon, vil vi være godt rustet til å møte politiets utfordringer.

3 4 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 5 INNHOLD 1 INNLEDNING FORORD 3 1 INNLEDNING 5 2 SIKKERHETSUTFORDRINGER OG KRAV FRA OMVERDEN 6 3 MÅLBILDE 7 4 POLITIDIREKTORATETS ROLLE OG ANSVAR FOR INFORMASJONSSIKKERHET 8 5 RELISERING AV MÅLBILDE Ledelse av informasjonssikkerhet Daglig utøvelse av informasjonssikkerhet Kontroll og kontinuerlig forbedring av informasjonssikkerhet 11 Sikkerhet handler om at viktige verdier beskyttes mot uønskede hendelser, både tilsiktede og utilsiktede, slik at verdiene ikke forringes. Når verdien som skal beskyttes er informasjon, så omtales det som informasjonssikkerhet. Dette kan innebære beskyttelse mot uautorisert innsyn (konfidensialitet), uautorisert endring (integritet) eller for å sikre nødvendig tilgjengelighet. For at politiet skal kunne løse sine oppgaver best mulig, forutsettes det at informasjonssikkerheten ivaretas. Politiets strategi for informasjonssikkerhet er et styringsdokument for arbeidet med informasjonssikkerhet. Strategien fastsetter de rammer som skal etableres samt identifiserer fire strategiske prioriteringsområder. Strategien skal operasjonaliseres gjennom årlige handlingsplaner fastsatt fra POD. Handlingsplanene skal identifisere aktiviteter som skal gjennomføres i løpet av strategiperioden, samt hvem som har ansvaret for at aktiviteten blir igangsatt og gjennomført. 6 STRATEGISKE PRIORITERINGSOMRÅDER Tilgangsstyring Styrt utveksling av informasjon IT-systemers livssyklus Avviks- og hendelseshåndtering 12 7 ANSVAR FOR GJENNOMFØRING OG OPPFØLGING AV STRATEGIEN 13 8 ORD OG UTTRYKK 14

4 6 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 7 2 SIKKERHETSUTFORDRINGER OG KRAV FRA OMVERDENEN 3 MÅLBILDE Politiets utfordringer med informasjonssikkerhet samsvarer i stor grad med det som er beskrevet i Nasjonal strategi for informasjonssikkerhet og trusselvurderinger fra Nasjonal sikkerhetsmyndighet (NSM) og Politiets sikkerhetstjeneste (PST). Under nevnes noen av de mest sentrale sikkerhetsutfordringene politiet står overfor: Spionasje, sabotasje og infiltrasjon er en økende trussel for samfunnskritiske informasjonsverdier. Justissektoren, herunder politiet, er et spesielt utpekt mål. Kriminalitet blir stadig mer internasjonal og krever tett politisamarbeid på tvers av grensene. Informasjonen må derfor flyte uavhengig av grenser, og dette stiller særlige krav til informasjonens konfidensialitet, integritet og tilgjengelighet. Politiet behandler store mengder informasjon for å forebygge og bekjempe kriminalitet, samt skape trygghet for befolkningen. Tilgjengelighet til informasjon må balanseres mot behovet for å ivareta den enkeltes rett til personvern og beskyttelse av politiets operasjoner. IKT-løsningene blir stadig mer omfattende og komplekse, og vi samhandler stadig mer på tvers av virksomheter. Dette gjør det krevende å holde oversikt over avhengigheter og sårbarheter, samt å stille klare og presise krav til informasjonssikkerhet. Dagens IKTportefølje i politiet er til dels utdatert og tar ikke inn over seg utfordringene knyttet til informasjonssikkerhet i tilstrekkelig grad. Det stilles store krav til holdning og kompetanse hos de ansatte for å behandle informasjon tilfredsstillende. Informasjonsbehandlingen i politiet reguleres av en rekke regelverk, fra sikkerhetsloven til offentleglova. Regelverkene er tildels fragmenterte og vektlegger konfidensialitet, integritet og tilgjengelighet forskjellig. Det gjør det utfordrende å ha oversikt over alle kravene og sikre at behandlingen av informasjonen til enhver tid er i samsvar med disse. Omverdenen stiller dessuten en rekke krav til politiet og politiets virksomhet. Politiet har en samfunnskritisk rolle med særlige fullmakter, og er derfor en sentral aktør for tilsynsmyndigheter som NSM, Datatilsynet og Riksrevisjonen. For å møte politiets utfordringer og krav fra omverdenen, er det nødvendig at politiet etablerer helhetlig informasjons sikkerhetsstyring og -ledelse. Politiets oppdrag er å forebygge og bekjempe kriminalitet og skape trygghet i befolkningen. Samling om kjerneoppgaver, trygghet og tillit i befolkningen og effektiv ressursbruk er prioriterte områder i politiets strategi Oppdraget og de prioriterte områder beskrevet i strategien er alle avhengig av informasjon informasjon i form av lagret kunnskap og informasjon i form av den enkelte ansattes kompetanse. Drivkraften for politiets informasjonsbehandling, og politiarbeid for øvrig, er å fremme rettsikkerheten, tryggheten og velferden i samfunnet. Hva slags informasjon som behandles, og hvordan denne behandles, er avgjørende for hvordan politiet løser sin samfunnsoppgave. For å løse denne samfunnsoppgaven, skal politiet behandle informasjon på en forsvarlig måte. Dette innebærer å ha et riktig nivå av informasjonssikkerhet i henhold til regelverk, egne krav og føringer for å imøtekomme myndigheters og samfunnets forventninger. Informasjonen skal også behandles effektivt, gjennom rett informasjon til rett tid, for å løse politiets oppdrag. I tillegg skal det eksistere hensiktsmessige felles rammebetingelser, slik at informasjons behandlingen gjøres på en enhetlig måte. Med bakgrunn i politiets virksomhetsstrategi 1, Nasjonal strategi for informasjonssikkerhet 2 og gjeldende føringer for fagfeltet, har Politidirektoratet (POD) følgende overordnet målbilde for informasjonssikkerhetsarbeidet i politiet: 1 Politiets strategi Nasjonal strategi for informasjonssikkerhet, Regjeringen 2012 Politiet behandler informasjon på en forsvarlig, effektiv og enhetlig måte.

5 8 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 9 4 POLITIDIREKTORATETS ROLLE OG ANSVAR FOR INFORMASJONSSIKKERHET 5 REALISERING AV MÅLBILDE Politidirektøren er etatsleder i politiet og den øverste ansvarlige for informasjonssikkerheten i politiet. POD skal i strategiperioden etablere følgende rammer for sikkerhetsledelse: Politiet skal nærme seg det overordnede målbildet gjennom å gjøre forbedringer innen tre områder: Innenfor hvert av de tre områdene er det definert delområder som er beskrevet nærmere i påfølgende underkapittel. Politidirektøren med sin ledergruppe i POD skal utøve etatsstyring, herunder sikkerhetsstyring på etatsnivå. Ledelsen i politidistriktene og særorganene skal utøve sikkerhetsledelse. Sikkerhetsstyring innebærer å definere handlings rommet for sikkerhetsledelse, mens sikkerhetsledelse inne bærer å lede arbeidet med informasjonssikkerhet innenfor handlingsrommet. POD skal i sin styring sørge for at det defineres et tydelig og hensiktsmessig handlingsrom for utøvelse av sikkerhets ledelse i hele politiet. Dette betyr at POD setter rammene for risiko og verdivurderingen av politiets informasjon, samt at det skal etableres en felles struktur for dokumentasjon. Sikkerhetsledelse innebærer å sørge for at informasjonssikkerheten er tilfredsstillende ved hjelp av forebyggende, oppdagende og reagerende tiltak slik at man er innenfor akseptabel risiko. Risiko Risikostyring i politiet skal baseres på et felles rammeverk fastsatt av POD. POD skal på etatsnivå definere og fastsette politiets risikotoleranse, herunder hvilke nivåer av risiko som ikke er akseptable. Verdivurdering og klassifisering POD skal utarbeide en felles metode for verdivurdering og klassifisering av informasjon i hele politiet, og det skal defineres felles behandlingsregler. Hensikten er å sikre at informasjonsbehandlingen i politiet samsvarer med gjeldende regelverk, samt eksterne og interne føringer. Dokumentstruktur POD er ansvarlig for å etablere felles dokumentstruktur i politiet. Dokumentasjonen innenfor styringssystemet for informasjonssikkerhet skal være i samsvar med denne. Ledelse av informasjonssikkerhet Daglig utøvelse av informasjonssikkerhet Kontroll og kontinuerlig forbedring av informasjonssikkerhet Områdene er likeverdige og danner rammene for et styringssystem for informasjonssikkerhet (SSIS). Disse må virke sammen for å oppnå den ønskede tilstanden. Videre har POD, gjennom en kartlegging i etaten, utpekt fire strategiske prioriteringsområder som skal bidra til å nå det overordnede målebildet. Disse er beskrevet nærmere i kapittel 6. Et fungerende SSIS er en forutsetning for å kunne arbeide med de strategiske prioriteringsområdene. Figur 1 illustrerer rammene for et SSIS, samt de strategiske prioriteringsområdene som skal inngå i styringssystemet i strategiperioden. PODs sikkerhetsstyring innebærer i tillegg å evaluere at virksomhetenes sikkerhetsledelse fungerer etter sin hensikt og at målene i strategien for informasjonssikkerhet operasjonaliseres. Totalen over områder som skal inn i en kontinuerlig forbedring Styrt utveksling av informasjon Tilgangsstyring A B C D IT-systemers livssyklus Avviks- og hendelseshåndtering Utøvelse Utøvende dokumentasjon (hvordan realisere krav) Kompetanse og holdninger Kontinuerlig forbedring av informasjonssikkerhet Ledelse Sikkerhetsorganisasjon Styrende dokumentasjon (krav og føringer) Informasjonsverdier Risikostyring Kontroll og forbedring Kontroll og etterlevelse Læring og forbedring Figur 1: Rammer for et SSIS og de strategiske prioriteringsområdene i perioden KOMMENDE STRATEGIOMRÅDER STRATEGIPERIODE

6 10 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / Ledelse av informasjonssikkerhet MÅL + Politiet styrer og ivaretar tilfredsstillende informasjonssikkerhet som en integrert del av den helhetlige virksomhetsstyringen. + Krav til informasjonssikkerhet settes ut fra risiko bildet politiet står overfor. + En kompetent og tydelig sikkerhetsorganisasjon som er tilstrekkelig dimensjonert for oppgavene, leder og bistår i dette arbeidet. For å lykkes med sikkerhetsledelse, er det avgjørende at virksomhetslederne er bevisst eget sikkerhetsansvar og videre formidler viktigheten av god informasjonssikkerhet. Det er viktig at de aktivt bidrar til å lede sikkerhetsarbeidet i egen virksomhet, innenfor rammebetingelsene satt av POD. Innenfor Ledelse av informasjonssikkerhet, skal politiet fokusere på følgende delområder: Sikkerhetsorganisering En av forutsetningene for å kunne ivareta informasjonssikkerhet på en helhetlig og systematisk måte er en tydelig, kompetent og tilstrekkelig dimensjonert sikkerhetsorganisasjon. En slik organisasjon må være i stand til å håndtere de oppgaver som tilligger informasjonssikkerhetsområdet. I strategiperioden er målet at politiets virksomheter etablerer en kompetent og tilstrekkelig dimensjonert sikkerhetsorganisasjon, med klare roller og beslutningsstrukturer, som gir tydelig definert myndighet og ansvar for informasjonssikkerhetsoppgavene. Styrende dokumentasjon Strategi for informasjonssikkerhet for politiet er et av de styrende dokumentene som setter de strategiske rammene som skal sikre en enhetlig retning for informasjonssikkerhet i politiet. For å sikre dette, må de strategiske rammene operasjonaliseres. I et styringssystem utgjør slike krav et sett med styrende dokumenter, eksempelvis policyer og retningslinjer. I strategiperioden er målet at Politidirektoratet skal ut arbeide og forankre tydelige krav og føringer for hvordan politiet skal utøve informasjonssikkerhet. Informasjonsverdier Verdivurdering betyr å identifisere verdien av informasjon som kan medføre negative konsekvenser for politiet dersom den blir utilgjengelig, uautorisert endret eller kommer på avveie. I strategiperioden er målet å ha en oversikt over politiets informasjonsverdier og eierskapet til disse. Det er også et mål at politiets medarbeidere har tilgang til entydige behandlingsregler (klassifisering) som sikrer at informasjonen behandles i samsvar med verdien når det gjelder konfidensialitet, integritet og tilgjengelighet. Risikostyring Risikostyring er sentralt i arbeidet med informasjonssikkerhet, og krav til informasjonssikkerhet skal settes ut fra risikobildet politiet står overfor. Risikostyring, herunder risikoanalyser, skal bidra til at politiet identifiserer balanserte, hensiktsmessige og kosteffektive sikkerhetstiltak. I politiets risikobilde vil det fremkomme risikoer som det ikke er mulig å eliminere. Det vil også fremkomme risikoer som ut fra en avveining av ulike hensyn, skal tolereres. Det skal treffes tydelige beslutninger om slike risikoer. Målet i strategiperioden er at den enkelte virksomhetsleder definerer hva som kan tolereres av risiko i egen virksomhet, basert på etatens risikotoleranse. Risikovurderinger innenfor de strategiske prioriteringsområdene skal gjennomføres. 5.2 Daglig utøvelse av informasjonssikkerhet MÅL + Politiet ivaretar informasjonssikkerhet i sin daglige virksomhet med sikkerhetsbevissthet og støtte i tilgjengelig dokumentasjon. Ledere og medarbeidere har nødvendig kompetanse og kunnskap for å ivareta informasjonssikkerhet i det daglige arbeidet. Daglig utøvelse av informasjonssikkerhet handler om å oppnå og opprettholde tilfredsstillende sikkerhetstilstand for informasjonen politiet forvalter. Dette gjelder i enhver informasjonsbehandling uavhengig av medium eller form. Sikkerhetshendelser inntreffer daglig. Målinger viser blant annet at det er høy spionasjevirksomhet mot politiet, men også at verdifull informasjon kompromitteres av politiets egne medarbeidere, bevisst og ubevisst. Det må derfor settes sterkere fokus på opplæring, kompetanseheving og bevisstgjøring. Daglig utøvelse av informasjonssikkerhet forutsetter at utførende dokumentasjon utarbeides og benyttes, at det er kompetanse og en sikkerhetskultur for etterlevelse. Utførende dokumentasjon For å oppnå en tilfredsstillende informasjonssikkerhet må medarbeiderne vite hvilke regler som gjelder for behandling av politiets informasjon og hvor reglene finnes. Det skal være raskt og enkelt å finne frem til slik dokumentasjon. Det skal heller ikke være tvil om hvilke dokumenter som gjelder. I strategiperioden skal det utarbeides utførende dokumentasjon innenfor de fire strategiske prioriteringsområdene. Kompetanse og holdninger Politiets medarbeidere er informasjonsforvalterne i politietaten. For å lykkes i det daglige sikkerhetsarbeidet er det en forutsetning at disse har nødvendig kunnskap, kompetansen og holdninger knyttet til ivaretakelse av politiets informasjonsverdier. I strategiperioden er målet at politiets medarbeidere skal ha tilstrekkelig kompetanse i informasjonssikkerhet. Dette betyr at kompetansen skal tilpasses den enkeltes rolle slik at politiet sikrer balanse mellom oppgaver, ressurser og kompetanse. Kompetansen skal bidra til at den enkelte som behandler politiets informasjon er bevisst hva som er tilfredsstillende informasjonsforvaltning med hensyn til integritet, konfidensialitet og tilgjengelighet. Ledere og medarbeidere med utpekte roller knyttet til informasjons sikkerhet skal ha nødvendig kompetanse og holdninger for å kunne forstå sitt ansvar, fatte beslutninger innen sitt myndighetsområde og utøve sin tildelte rolle. 5.3 Kontroll og kontinuerlig forbedring av informasjonssikkerhet MÅL + For å unngå brudd på regelverk, overholde kontrakts messige forpliktelser og egne krav til sikkerhet, kontrollerer politiet jevnlig sin etterlevelse gjennom interne gjennomganger (intern kontroll) og revisjoner. Resultatet benyttes slik at kontinuerlig forbedring og læring ivaretas. Politiet skal gjennom jevnlig kontroll og revisjon av styringssystemet for informasjonssikkerhet, måle etterlevelse av de føringer som er gitt. Hensikten er å legge et fundament for kontinuerlig forbedring av informasjonssikkerheten i politiet. Resultatet av dette er en del av informasjonsgrunnlaget for ledelsens gjennomgang av styringssystemet, både for politidistriktene, særorgan og Politidirektoratet. Ledelsens gjennomgang er gjennomgang av virksomhetens etablerte prosesser for styring av informasjonssikkerhet. Gjennomgang og revisjon av etterlevelse I strategiperioden er målet at virksomhetene skal etablere prosesser for kontroll av etterlevelse. Måling av etterlevelse skal skje gjennom kontroll og revisjon. For de strategiske prioriterte områdene skal dette skje årlig. Resultatene skal gjennomgås i ledelsen. Resultatene fra ledelsens gjennomgang danner grunnlag for gjennomgang på etatsnivå i politiet. Kontinuerlig forbedring gjennom læring og effektivisering Ledelsens gjennomgang skal bidra til at politiet er i stand til kontinuerlig å forbedre og effektivisere prosesser for sikkerhetsledelse. I strategiperioden er målet at forbedring av informasjonssikkerhetsnivået sikres gjennom kontinuerlig evaluering og læring. Det skal gjennomføres kontroll med etterlevelse og læring og forbedring i form av implementerte tiltak for de strategiske prioriterte områdene.

7 12 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 13 6 STRATEGISKE PRIORITERINGSOMRÅDER 7 ANSVAR FOR GJENNOMFØRING OG OPPFØLGING AV STRATEGIEN I strategiperioden skal virksomhetene ha etablert lokal sikkerhets ledelse. Virksomhetene skal også ha utarbeidet og implementert utførende dokumentasjon, samt ha gjennomført kontroll innen de strategiske prioriteringsområdene: Tilgangsstyring Styrt utveksling av informasjon IT-systemers livssyklus Avviks- og hendelseshåndtering 6.1 Tilgangsstyring Tilgangsstyring er prosessen med å kontrollere hvem som har tilgang til hvilken informasjon. Et sentralt prinsipp er at tilganger skal være basert på krav i regelverk og tjenstlig behov. Med dette menes at ansatte kun skal ha tilgang til den informasjonen de trenger for å utføre sine arbeidsoppgaver. Tilganger til politiets informasjon ved hjelp av informasjonssystemer skal kontrolleres og administreres ut fra dette prinsippet. Informasjon er en av politiets viktigste verdier og dette området er derfor sentralt i politiets kontinuerlige sikkerhetsarbeid. Tilgangsstyring omfatter politiets administrasjon av brukere, herunder personell og systemer, og deres tilgang til informasjon. 6.2 Styrt utveksling av informasjon Politiet skal ha kontroll med hvilke eksterne aktører man utveksler informasjon med, hva slags informasjon som utveksles, og på hvilken måte dette skjer. Utveksling av informasjon skal skje i samsvar med regelverk og politiets egne krav. Styrt utveksling av informasjon innebærer at politiet skal ha formelle avtaler med eksterne aktører om utvekslingen av informasjon. I strategiperioden innebærer dette at politiet skal utarbeide en oversikt over de aktører man utveksler informasjon med. Deretter skal det utarbeides avtaler med de viktigste aktørene, hvor regelmessig og hyppig utveksling av informasjon skjer. 6.3 IT-systemers livssyklus Politiet er i høy grad avhengig av informasjonsteknologi som understøtter behandling og utveksling av informasjon. Sikkerhet skal ivaretas gjennom hele IT-systemets livssyklus, fra utvikling/anskaffelse, gjennom drift og forvaltning, til avhending. Dette skal blant annet realiseres gjennom en enhetlig sikkerhetsarkitektur for IT-systemer i hele politiet. 6.4 Avviks- og hendelseshåndtering Hendelser som kan true informasjonssikkerheten skjer kontinuerlig, og politiet må derfor ha tydelige prosesser og rapporteringslinjer for å håndtere hendelser. Informasjonssikkerhetshendelser skal identifiseres, håndteres og løses raskt og effektivt slik at konsekvenser for vanlig drift minimaliseres. Hendelseshåndteringen skal søke å identifisere den grunnleggende årsaken til hendelsen. Politiet skal nyttiggjøre seg erfaringene fra hendelser i sin kontinuerlige forbedring, herunder iverksette tiltak som reduserer risikoen for tilsvarende hendelser. Politidirektøren Informasjonssikkerhetsleder for politiet Virksomhetsledere for underlagte virksomheter Lokale informasjonssikkerhetsledere Eier av denne strategien. Utøvende premissgiver for informasjonssikkerheten på vegne av politidirektøren. Ansvar for oppdatering, vedlikehold og oppfølging av strategien. Iverksette arbeid for å følge opp strategien Planlegge og iverksette lokale tiltak for å bygge opp lokalt styringssystem. Følge opp og kontinuerlig forbedre informasjonssikkerheten

8 14 / STRATEGI FOR INFORMASJONSSIKKERHET STRATEGI FOR INFORMASJONSSIKKERHET / 15 8 ORD OG UTTRYKK IKT-løsning IKT-løsningers livssyklus IKT-portefølje Informasjon Informasjonssikkerhet Informasjonsverdi Integritet Kompromittering Konfidensialitet Sabotasje Spionasje Styringssystem for informasjonssikkerhet (SSIS) Tilgangsstyring Tilgjengelighet Ethvert system, enhver tjeneste eller infrastruktur for elektronisk informasjonsbehandling. Alle fasene i IKT-løsnings levetid, fra tidlig faser som konseptutvikling, kravspesifikasjoner osv. helt til systemet avhendes/fases ut. En helhetlig oversikt over IKT-løsninger. Enhver form for opplysninger i materiell eller immateriell form (sikkerhetsloven). I strategien omfatter også begrepet informasjon underlagt sikkerhetsloven. Beskyttelse mot brudd på konfidensialitet, integritet og tilgjengelighet for den informasjonen som behandles og oppbevares. (NORSIS) Også benevnt som informasjonsaktiva. All informasjon som har verdi for virksomheten (ISO/IEC Guide :2004). Sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter. En av tre egenskaper for informasjonssikkerhet sammen med konfidensialitet og tilgjengelighet (NORSIS) Tap eller mistanke om tap av konfidensialitet, integritet eller tilgjengelighet for informasjon, herunder uønsket avhending, modifisering eller ødeleggelse. Sikkerhet for at kun autoriserte personer får tilgang til sensitiv eller gradert informasjon, og at det på forhånd er foretatt en gyldig identifisering og autentisering av personen. En av tre egenskaper for informasjonssikkerhet sammen med integritet og tilgjengelighet. (NORSIS) Tilsiktet ødeleggelse, lammelse eller driftsstopp av utstyr, materiell, anlegg eller aktivitet, eller tilsiktet uskadeliggjøring av personer, utført av eller for en fremmed stat, organisasjon eller gruppering. (sikkerhetsloven) Innsamling av informasjon ved hjelp av fordekte midler i etterretningsmessig hensikt. (sikkerhetsloven) Den delen av det samlede styringssystemet i en virksomhet som, basert på en forretningsmessig risikotilnærming, etablerer, implementerer, drifter, overvåker, evaluerer, vedlikeholder og forbedrer informasjonssikkerhet. Tilgangsstyring er prosessen med å tildele en person, en datamaskin eller et program tillatelse til å bruke bestemte ressurser. Eksempler på en ressurs kan være filer, nettverksstasjoner, lokaler, arkivskap og prosesser. Sikkerhet for at en tjeneste oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig ved behov. En av tre egenskaper for informasjonssikkerhet sammen med konfidensialitet og integritet. (NORSIS)

9 Politidirektoratet 02/2014 Trykk: 3000 Layout: Fete typer Illustrasjon: Fete typer Opplag: 1. opplag POD-publikasjon nr. 2014/01 ISBN