Nasjonal sikkerhetsmyndighet

Transkript

1 Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende sikkerhetstjenesten. Dokumentet brukes som et arbeidsdokument for de som har forebyggende sikkerhet som oppgave. Det inneholder en oversikt over virksomhetens planer, instrukser og annen dokumentasjon for sikkerhet. Denne veiledningen viser hvordan Grunnlagsdokument for sikkerhet kan bygges opp.

2 Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjeneste i Norge og forvalter lov om forebyggende sikkerhet av 20 mars Hensikten med forebyggende sikkerhet er å motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, primært spionasje, sabotasje og terrorhandlinger. Forebyggende sikkerhetstiltak skal ikke være mer inngripende enn strengt nødvendig, og skal bidra til et robust og sikkert samfunn. Hensikt med veiledning NSM sin veiledningsvirksomhet skal bygge kompetanse og øke sikkerhetsnivået i virksomhetene, gjennom økt motivasjon, evne og vilje til å gjennomføre sikkerhetstiltak. NSM gir jevnlig ut veiledninger til hjelp for implementering av de krav sikkerhetsloven stiller. NSM publiserer også veiledninger innen andre fagområder relatert til forebyggende sikkerhetsarbeid. Postadresse Sivil telefon/telefax Militær telefon/telefaks Internettadresse Postboks / / BÆRUM E-postadresse POSTTERMINAL post@nsm.stat.no Side 2 av 10

3 Innhold 1 Innledning Bakgrunn...Feil! Bokmerke er ikke definert. 1.2 Hensikt...Feil! Bokmerke er ikke definert. 1.3 Referanser Grunnlagsdokument for sikkerhet Generelt Sikkerhetsorganisasjonen og dens myndighet Sikkerhetsmessig inndeling i fysiske områder Informasjonssystemer Sikkerhetsgradert kommunikasjon Behov for tilgang til sikkerhetsgradert informasjon Sikkerhetsdokumentasjon... 8 Vedlegg A Dokumenthistorie Innledning 1.1 Generelt Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende sikkerhetstjenesten. Styringsdokumentet må være et dynamisk dokument i den forstand at endringer i de grunnleggende forutsetningene for behandling av gradert informasjon ved virksomheten umiddelbart følges opp i dokumentet. Dokumentet er et arbeidsdokument for de som har forebyggende sikkerhet som oppgave. Grunnlagsdokumentet viser virksomhetens planer, instrukser og annen dokumentasjon for sikkerhet. Dokumentet har en sentral plass i virksomhetens sikkerhetsadministrasjon; internkontroll ved gjennomføring av systematiske tiltak for å sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og revideres i samsvar med krav fastsatt i og i medhold av sikkerhetsloven. 1. Planlegging 4. Revisjon Internkontroll 2. Gjennomføring 3. Utføring Resultat av løpende kontroll med sikkerhetstiltak og - rutiner sammen med risikovurderinger (analyser)vurdert sammen med virksomhetens grunnlagsdokument gir et godt fundament for lederens årlige evaluering av sikkerhetstilstanden, og for å kartlegge hvilke sikkerhetstiltak som skal iverksettes eller endres (skrives om). Side 3 av 10

4 En overordnet virksomhets grunnlagsdokument må være dekkende for hele virksomheten. Underliggende nivåer må likevel utarbeide et eget grunnlagsdokument basert på de føringer som er gitt fra overordnet virksomhet. Resten av dette dokumentet er ment å være en mal på hvordan Grunnlagsdokument for sikkerhet kan bygges opp. 1.2 Referanser Lov om forebyggende sikkerhet (sikkerhetsloven) av 20 mars 1998 nr 10 Forskrift om sikkerhetsadministrasjon Side 4 av 10

5 2 Grunnlagsdokument for sikkerhet 2.1 Generelt Innledningsvis bør dokumentet inneholde en kort beskrivelse av virksomheten og funksjon, inklusiv høyeste sikkerhetsgrad på informasjon som oppbevares og behandles ved virksomheten og andre grunnleggende forutsetninger for iverksetting av sikringstiltak. Grunnlagsdokument for sikkerhet skal sikkerhetsgraderes etter innhold. 2.2 Sikkerhetsorganisasjonen og dens myndighet Beskriv følgende: Lederens ansvar og myndighetsområde Sikkerhetspersonellets oppgaver (sikkerhetsorganisasjonen) Sikkerhetsrapportering (ansvar, varsling, tiltak og rapportering). Her listes sikkerhetsorganisasjonen opp med personell og stedfortredere. Den myndighet og det ansvaret som tilligger hver enkelt stilling skal angis. Eksempler på myndigheter er klareringsmyndighet, autorisasjonsmyndighet (delegering av denne), myndighet til å gi direkte pålegg om tiltak innen fagområdet. Sikkerhetsleder(e) ved underlagte ledd må tas med der det er aktuelt. Virksomhetens leder Sikkerhetsleder m/stedfortreder Datasikkerhetsleder m/stedfortreder Kryptosikkerhetsleder m/stedfortreder Vakt og sikring Arkivleder Kryptoforvalter m/stedfortreder Figur 1: Eksempel på en sikkerhetsorganisasjon. Alle større virksomheter bør ha et sikkerhetskompetanseforum eller sikkerhetsråd. Her må medlemmene i et slikt forum/råd listes og hvilke arbeidsoppgaver de har. Arbeidsoppgavene til et sikkerhetsforum/- råd kan være: Definere strategi for virksomhetens sikkerhetsarbeid. Fastlegge sikkerhetsmålsettinger. Definere og vedlikeholde sikkerhetspolicy. Godkjenne planlagte tiltak for å oppfylle sikkerhetsmålsettingene. Gjennomføre risikovurderinger, sikkerhetsrevisjon og bistå ledelsen med årlig evaluering. Være med og vurdere tiltak/reaksjon ved sikkerhetsbrudd og sikkerhetstruende hendelser, samt ivareta sikkerhetsrapportering. Side 5 av 10

6 Veilede og informere om forebyggende sikkerhet. 2.3 Sikkerhetsmessig inndeling i fysiske områder Beskriv følgende: Hvilke deler av virksomheten som er definert som kontrollert, beskyttet og sperret område, jf Forskrift om informasjonssikkerhet 6-4 til 6-6. Plassering av oppbevaringsenhetene som er godkjent for oppbevaring av BEGRENSET /KONFIDENSIELT /HEMMELIG/STRENGT HEMMELIG. Beskrivelse av vaktordninger og andre sikringstiltak kan tas med i dette kapittelet. Kontrollert område (Hvilket område/beskriv) Beskyttet område (Hvilket område/beskriv) Sperret område (Hvilket område/beskriv) Figur 2: Eksempel på sikkerhetsmessig inndeling i fysiske områder Bestemmelser for adgang til de enkelte fysiske områder skal beskrives i virksomhetens sikkerhetsinstruks. Side 6 av 10

7 2.4 Informasjonssystemer Beskriv følgende: Hvilke informasjonssystemer, herunder kryptosystemer, som er sikkerhetsgodkjent for lagring og behandling av sikkerhetsgradert informasjon. Angi hvilken sikkerhetsgrad hvert system er godkjent for, og i hvilke fysiske områder det enkelte system er plassert. System Funksjon Gradering Krypto Plassering Hvilket system Hva systemet brukes til Hvis kryptert Hva slags krypto Fysisk plassering av systemet Tabell 1: Eksempel på en oversikt over informasjonssystemer 2.5 Sikkerhetsgradert kommunikasjon Beskriv kommunikasjon som er etablert i virksomheten for å formidle sikkerhetsgradert informasjon internt og mot andre virksomheter: Hva slags informasjon Rapporter Meldinger Sak osv Til hvem Gradering Kommunikasjonssystem Aktører Hvem som mottar informasjonen internt/eksternt Graderingsnivå Graderingsnivå Hvordan informasjonen formidles Intranett Radiolinje Internett Post eller kurer Brukere eller brukergrupper Tabell 2: Eksempel på tabell som kan brukes 2.6 Behov for tilgang til sikkerhetsgradert informasjon Her skal de grunnleggende forutsetningene for personellsikkerhetstjenesten ved virksomheten beskrives. Grunnlagsdokumentet må angi hva som ev. kreves av klarering for tilgang til de forskjellige fysiske områdene i kapittel 2, f.eks at alle med fast adgang til et sperret område, et bygg, en leir osv skal ha en bestemt sikkerhetsklarering. Krav til sikkerhetsklarering og autorisasjon for personell som i stilling (funksjon) har behov for tilgang til sikkerhetsgradert informasjon må framgå av dokumentet.ta med personell som i stilling (funksjon) skal ha tilgang til de enkelte informasjonssystemene. Det skal også angis hvilke stillinger som krever klarering for STRENGT HEMMELIG eller COSMIC TOP SECRET. For CTS og SH skal det utarbeides en begrunnelse som konkret beskriver behovet. Side 7 av 10

8 2.7 Sikkerhetsdokumentasjon Lag en oversikt over de planer, instrukser og annen dokumentasjon for sikkerhet som er utarbeidet ved virksomheten. Her bør det samtidig defineres hvem som har oppgaver med ajourhold av den enkelte instruks. Merk at sikkerhetsinstrukser, planer og øvrig dokumentasjon ikke skal være en del av selve grunnlagsdokumentet. Alle planer, instrukser og annen dokumentasjon for sikkerhet ved virksomheten skal være godkjent av virksomhetens leder. Dokument Eksempler på sikkerhetsdokumentasjon som skal utarbeids og vedlikeholdes: Grunnlagsdokument for sikkerhet Autorisasjonsliste Instruks for sikkerhetsleder Instruks for datasikkerhetsleder Beskrivelse Dette dokument oppdateres fortløpende slik at det er i overensstemmelse med gjeldende organisasjon, ansvarsforhold og systemer. Jf Forskrift om sikkerhetsadministrasjon 3-3 Oversikt over alt personell med angivelse av klareringsnivå, autorisasjonsnivå og dato for henholdsvis klarerings- og autorisasjonsavgjørelse. Jf Forskrift om personellsikkerhet 5-6 Myndighet, oppgaver og krav til kompetanse skal beskrives (I stillingsbeskrivelse eller arbeidsinstruks) Myndighet, oppgaver og krav til kompetanse skal beskrives (I stillingsbeskrivelse eller arbeidsinstruks) Ansvarlig for, og oppdatering Sikkerhetsleder Virksomhetens leder eller Sikkerhetsleder Virksomhetens leder/sikkerhetsleder Virksomhetens leder/sikkerhetsleder Lokal sikkerhetsinstruks Generelle regler som beskriver sikkerhetsrutiner for de ansatte innen områder som: Dokumentsikkerhet Sikkerhetsleder Adgangskontroll Rapportering Osv Kryptosikkerhetsinstruks Lokale rutiner og ansvar for kryptosikkerhetsadministrasjon. Instruksen Kryptosikkerhetsleder Side 8 av 10

9 Dokument Eksempler på sikkerhetsdokumentasjon som skal utarbeids og vedlikeholdes: For hvert informasjonssystem Brukerinstruks Driftsinstruks Konfigurasjonsinstruks Konfigurasjon og Kabling Tempestrisikovurdering Kravspesifikasjon for sikkerhet (KSS) Aksjonsplaner Beskrivelse omfatter også ansvar og rutiner for nødmakulering. Sikkerhetsrutiner for bruk og drift av sikkerhetsgodkjente informasjonssystemer Se vedlegg til forskrift om informasjonssikkerhet nærmere bestemmelser om tempestsikkerhet Reaksjonstiltak ved utløste alarmer i tilknytning til de sikringstiltak som er innført. Skal være vedlegg til Instruks for adgangskontroll. Utarbeides/revideres Ansvarlig for, og oppdatering Datasikkerhetsleder Sikkerhetsleder Utnevnelse av sikkerhets personell Beredskapsplaner Sikkerhetspersonell herunder kryptosikkerhetsleder og kryptoforvalter, samt stedfortredere skal ha egen skriftlig utnevnelse. Ansvar angitt i stillingsbeskrivelse er IKKE tilstrekkelig. Oversikt over planer, instrukser som beskriver tiltak hvis virksomheten rammes av indre eller ytre hendelser som medfører evakuering, eller at landet settes i krigstilstand. Virksomhetens leder Sikkerhetsleder eller den/de som er ansvarlig for beredskapsplanlegging i virksomheten. Tabell 4: Eksempel på tabell over sikkerhetsdokumentasjon Sted og dato. Virksomhetens leder Side 9 av 10

10 Vedlegg A Dokumenthistorie Dokumentet konvertert til nytt format Side 10 av 10