Forskrift om objektsikkerhet

Like dokumenter
Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Lov av i kraft

Objektsikkerhet endringer i sikkerhetsloven

Nasjonal sikkerhetsmyndighet

EnergiNorge. Forslag til ny forskrift om objektsikkerhet - kommentarer fra Energi Norge DES 2009

Forslag til forskrift om endringer i forskrift om personellsikkerhet og forskrift om sikkerhetsgraderte anskaffelser

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

Rapportering av sikkerhetstruende hendelser til NSM

Ny sikkerhetslov og forskrifter

Nasjonal sikkerhetsmyndighet

Kjetil Tveitan. Underdirektør, Folkehelseavdelingen. Norsk Vanns årskonferanse Kristiansand 1. september 2015

Sikkerhetsloven. Mobil Agenda Alexander Iversen Sjefingeniør, Sikkerhetsavdelingen

Rapporteringsskjema for kryptoinstallasjon

Nasjonal sikkerhetsmyndighet

RHF og HF omfattes av sikkerhetsloven

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Ny sikkerhetslov og betydningen for sikring i offentlig sektor og det private. Christer Veen Tjessem Seniorrådgiver Oslo, 10.

Nasjonal sikkerhetsmyndighet

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

14DES Forsvarsdepartementet. Postboks 8126 Dep 0032 OSLO

Direktiv Krav til sikkerhetsstyring i Forsvaret

Fagdag sikring Ny sikkerhetslov og arbeidet med nye forskrifter. Svein Anders Eriksson Leder for sikring og standardisering Ptil

SIKKERHETSAVTALE. esaf/doculivenummer: xxxxxxxxxxx. Inngått dato. mellom


Veileder i sikkerhetsstyring. Versjon: 1

Brukermanual for Blancco Data Cleaner+ 4.5

Nasjonal sikkerhetsmyndighet

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Sikre samfunnsverdier et samspill mellom virksomhetene og NSM

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

FORSVARSDEPARTEMENTET HØRINGSNOTAT FORSLAG TIL FORSKRIFTER TIL NY SIKKERHETSLOV. 2. juli 2018

HØRING NOU 2016:19 SAMHANDLING FOR SIKKERHET

Nasjonal sikkerhetsmyndighet

OVERSIKT SIKKERHETSARBEIDET I UDI

Prop. 46 L. ( ) Proposisjon til Stortinget (forslag til lovvedtak)

Innst. O. nr. 33. ( ) Innstilling til Odelstinget fra forsvarskomiteen. Ot.prp. nr. 21 ( )

Veileder i fysisk sikkerhet. Versjon: 1

NSMs Risikovurdering 2006

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Sikkerhetsloven og kommunen - noen refleksjoner og erfaringer

Nasjonal sikkerhetsmyndighet

NOTAT SAMMENDRAG. Høringsuttalelse om nye forskrifter til ny sikkerhetslov. Nye forskrifter til lov om nasjonal sikkerhet (sikkerhetsloven) Åpen

Internkontroll og informasjonssikkerhet lover og standarder

Sikkerhetsorganisering og sikkerhetsgradering i kommunene. Knut Bakstad, Sikkerhetsleder hos FMTL

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Vår ref.: 16/ Postadresse: 1478 LØRENSKOG Telefon: Sak 100/16 Oppfølging av sikkerhetsloven ved Akershus universitetssykehus HF

Sikkerhet og informasjonssystemer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Høringsnotat. Endringer i forskrifter til sikkerhetsloven (reduksjon av antall klareringsmyndigheter mv.)

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Risikovurderinger i regi av Avinor Tarald Johansen, Sikkerhets- og beredskapsdirektør Minoru Stende Jensen, Fagleder 26.

Kan du holde på en hemmelighet?

Bestemmelser om renholdstjenester

1. Generelt om tilsynene

Sikkerhetsmessig verdivurdering

Anbefalinger om åpenhet rundt IKT-hendelser

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Samfunnets sikkerhet og beredskap - sett fra Riksrevisjonen. Riksrevisor Per-Kristian Foss. Samfunnssikkerhetskonferansen. 4. januar 2018.

Høring om forslag til ny forskrift om krav til internkontrollsystem for måleredskap og målinger

Brukerinstruks. OntrackEraser Versjon 3.0. Ibas AS

Deres ref Vår ref Dato 2015/3139-7/FD V 3/MAY 16/

Retningslinjer for observasjon og utelukkelse fra Statens pensjonsfond utland

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Sikring av vannforsyning mot tilsiktede uønskede hendelser (security) VA - DAGENE I VRÅDAL

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Olje- og energidepartementet

Bestilling av adgang til Telenors arealer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Veiledning i sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

SOS Sikkerhet Og Samarbeid Nytt Regjeringskvartal

Justis- og beredskapsdepartementet

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

3.1 Prosedyremal. Omfang

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Revisjon av informasjonssikkerhet

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Veiledning i verdivurdering

Veiledning i risiko- og sårbarhetsanalyse

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

NASJONAL SIKKERHETSMYNDIGHET

Instruks om innføring av internkontroll og systemrettet tilsyn med det sivile beredskapsarbeidet i departementene

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Veileder i departementenes identifisering av grunnleggende nasjonale funksjoner. Versjon: 1

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

F orsvarsdepartementet

HELSETILSUI'IET tilsyn med barnevern, sosial- og helsetjenestene

Endelig kontrollrapport

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Overordnet IT beredskapsplan

Transkript:

Arbeidsutkast tid forskrift 1 Forskrift om objektsikkerhet Fastsatt ved kgl. res. xx. måned 200x med hjemmel i lov 20. mars 1998 nr. 10 om forebyggende sikkerhets jeneste (sikkerhetsloven ) 17 andre ledd. Fremmet av Forsvarsdepartementet. Kapittel 1. Alminnelige bestemmelser 1-1. Formål og virkeområde Forskriften har samme formål og virkeområde som sikkerhetsloven. 1-2. Forkortelser Nasjonal sikkerhetsmyndighet er i denneforskrift forkortet til NSM. Kapittel 2. Utvelgelse og klassifisering av skjermingsverdige objekter 2-1. Utpeking av skjermingsverdige objekter Hvert enkelt departement utpeker skjermingsverdige objekter innen sitt myndighetsområde. Virksomheten skal overfor vedkommende fagdepartement levere en dokumentert skadevurdering over hvilke objekter som kan være skjermingsverdige. Der det finnes tilsynsorgan for sektoren, kan disse foreslå skjermingsverdige objekter uavhengig av objekteiers forslag. NSM kan også foreslå skjermingsverdige objekter for departementene. Utvelgelsen skal ikke skje i større utstrekning enn nødvendig. Dersom et objekt er avhengig av andre objekter for å kunne fungere etter sin hensikt, skal dette meddeles virksomhet som rår over det understøttende objekt. I meddelelsen skal avhengighetsgrad og skadefølger beskrives slik at dette kan inngå i vurderingsgrunnlaget ved klassifisering av det understøttende objekt jf. 2-2. Dersom et objekt foreslås som skjermingsverdig hos en virksomhet som ikke er underlagt sikkerhetsloven, skal det departement som har ansvar for vedkommende sektor ta initiativ til å bringe saken inn for Forsvarsdepartementet. 2-2. Klassifiseringen Vedkommende departement skal fastsette klassifiseringsgrad for objekter innen sitt myndighetsområde. Klassifisering av skjermingsverdige objekter skal skje etter en vurdering slik det er beskrevet i sikkerhetsloven 17a. Det skal også tas hensyn til følgende: a. Det skal ikke brukes høyere klassifiseringsgrad enn nødvendig.

2 Beskyttelse av skjermingsverdige objekter b. Bare skjermingsverdige deler av objektet skal omfattes av klassifiseringen, og objektet kan inndeles i forskjellige klassifiseringsgrader. Ved klassifiseringen skal det tas hensyn til objektets betydning for andre objekter. 2-3. Omklassifisering Ved endring av forhold som er relevante for skadevurderingen av objektet i henhold til sikkerhetslovens 17, skal vedkommende fagdepartement foreta en ny skadevurdering og eventuelt en omklassifisering. Omklassifisering kan foretas for å gi et objekt høyere (oppklassifisering) eller lavere (nedklassifisering) klassifiseringsgrad eller for å avklassifisere objektet. Omklassifisering kan gjelde hele objektet eller kun deler av det. Et avklassifisert objekt regnes ikke som skjermingsverdig objekt etter sikkerhetsloven. 2-4. Registrering og koordinering, De enkelte departementer skal føre register over skjermingsverdige objekter og klassifiseringen av disse innen eget myndighetsområde. Alle skjermingsverdige objekter skal meldes til NSM med angivelse av klassifiseringsgrad. Ved omklassifisering etter 2-3, skal endringer i tidligere foretatt klassifisering meldes til NSM. Opplysning om at et objekt er sikkerhetsklassifisert er ugradert. Opplysning om hvilken klassifiseringsgrad et skjermingsverdig objekt har, skal sikkerhetsgraderes minst BEGRENSET. En oversikt over samtlige eller større antall av skjermingsverdige objekter med angivelse av klassifisering, skal sikkerhetsgraderes minst KONFIDENSIELT. NSM skal i samarbeid med fagdepartementene ivareta nødvendig koordinering, slik at det blir tatt hensyn til tverrsektoriell avhengighet ved utvelgelse og klassifisering. Kapittel 3. Beskyttelse av skjermingsverdige objekter 3-1. Generelle krav til beskyttelsen Sikkerhetstiltakene som skal implementeres etter sikkerhetslovens 17 b skal planlegges, gjennomføres og vedlikeholdes som permanent grunnsikring for objektene. Virksomheten skal også planlegge for og gjennomføre påbygging av grunnsikringen ved økt risiko, jf forskrift om sikkerhetsadministrasjon 3-4. Grunnsikringen skal oppfylle kravene innen den aktuelle klassifiseringsgrad, jf. sikkerhetslovens 17 b. Tiltakene skal bestå av en kombinasjon av barrierer, deteksjon, verifikasjon og reaksjon som er tilpasset det enkelte objekt. Barrierer skal forhindre eller redusere muligheten for at sikkerhetstruende hendelser kan inntreffe. Barrierene kan være av fysisk, elektronisk eller administrativ art. Deteksjonstiltak skal etableres for å avdekke hvorvidt etablerte barrierer brytes eller blir forsøkt brutt fra innsiden eller utsiden. Verifikasjonstiltak skal ta sikte på å etablere en situasjonsforståelse hvis en sikkerhetstruende hendelse inntreffer. Tiltakene skal ha som formål å kunne identifisere og avdekke aktører, identifisere skadeomfang og identifisere de midler som eventuelt er anvendt av en aktør.

Reaksjonstiltak skal sikre opprettholdelse av objektets funksjonalitet ved en sikkerhetstruende hendelse, eller sikre forutsetninger for gjenopprettelse av funksjonalitet etter en slik hendelse. Aktuelle reaksjonstiltak skal være forberedt som en del av grunnsikringen. Dersom grunnsikring etter sikkerhetsloven 17b ikke kan gjennomføres uten at dette kommer i konflikt med de informasjonssikkerhetstiltak som virksomheten skal implementere etter sikkerhetslovens kapittel 4, skal det etableres tilpassede sikkerhetstiltak etter en risikovurdering hvor de ulike sikkerhetshensyn avveies. Dersom slike tilpassede sikkerhetstiltak fraviker bestemmelser gitt i eller i medhold av sikkerhetslovens kapittel 4, skal tiltakene forelegges NSM for godkjenning før de gjennomføres. Som grunnlag for fastsettelse av sikkerhetstiltak skal objekteier foreta risikovurdering og sikkerhetsrevisjon etter forskrift om sikkerhetsadministrasjon kapittel 4. 3-2. Tiltak mot etterretningsaktivitet Objekteier skal beskytte objektet mot informasjonsinnhenting som kan ha til hensikt å forberede sabotasje eller terrorhandling. Sikkerhetstiltakene skal ta sikte på i nødvendig grad å redusere muligheten for uønsket innhenting av opplysninger om funksjoner, betydning, kapasitet, sårbarhet og sikkerhetstiltak knyttet til objektet. Når informasjon om et skjermingsverdig objekt må beskyttes av sikkerhetsmessige grunner, skal den sikkerhetsgradenes etter sitt innhold, og beskyttes etter bestemmelsene gitt i og i medhold av sikkerhetslovens kapittel 4. 3-3. Tilrettelegging for beskyttelse av IKT-infrastruktur Dersom tilknytning til internett utgjør en sårbarhet for sikkerheten til et skjermingsverdig objekt, kan NSM i samråd med virksomheten og vedkommende departement bestemme at objekteier skal være tilknyttet et sentralt system for varsling av koordinerte angrep via internett. NSM kan gi nærmere bestemmelser om hvordan tilknytningen skal settes opp og forvaltes. 3-4. Tiltak mot elektromagnetiskpuls og høyfrekventemikrobølger Ved gjennomføring av risikovurdering og sikkerhetsrevisjon etter forskrift om informasjonssikkerhet kapittel 4 skal behovet for å beskytte elektroniske systemer mot elektromagnetisk puls (EMP) og høyfrekvente mikrobølger (HPM) vurderes. 3-5. Tilrettelegging for bruk av sikringsstyrker Objekteier eller den som råder over et skjermingsverdig objekt utvalgt i henhold til bestemmelsene i denne forskriften, plikter å legge til rette for at sikringsstyrker kan forberede, øve og gjennomføre tiltak på og ved objektet for å beskytte dette. 3-6. Sikkerhetsklarering og autorisasjon Vedkommende departement kan bestemme at enhver som skal gis permanent adgang til skjermingsverdig objekt klassifisert som KRITISK eller MEGET KRITISK skal være autorisert og sikkerhetsklarert før slikadgang gis. Sikkerhetsklarering skal ikke foretas der dette ikke anses som et egnet virkemiddel. Dersom objekteier mener det bør stilles krav til sikkerhetsklarering for person som skal ha permanent adgang til objektet, må dette nærmere begrunnes.

4 Administrative bestemmelser Dersom det kreves sikkerhetsklarering, skal det for adgang til objekt eller del av objekt klassifisert KRITISK, kreves sikkerhetsklarering for KONFIDENSIELT eller høyere, og for objekter klassifisert MEGET KRITISK kreves sikkerhetsklarering for HEMMELIG eller høyere. Ved sikkerhetsklarering og autorisasjon gjelder bestemmelsene gitt i og i medhold av sikkerhetslovens kapittel 6. NSM skal informeres om hvilke skjermingsverdige objekter det kreves sikkerhetsklarering for. Besøkende som ledsages av autorisert representant behøver ikke sikkerhetsklareres. Før besøkende gis adgang til skjermingsverdig objekt eller del av objekt klassifisert som KRITISK eller MEGET KRITISK, skal det forsikres om at deres identitet er korrekt. Alle besøkende skal registreres, og registreringen skal oppbevares i minimum fem år. For representanter for annen stat, internasjonal organisasjon eller utenlandsk rettssubjekt skal det også forsikres om at disse faktisk representerer vedkommende stat, organisasjon eller utenlandske rettssubjekt. Det enkelte departement kan innen den sektor departementet forvalter fatte beslutning om nærmere sikkerhetsprosedyrer for godkjenning og gjennomføring av besøk fra representanter for fremmede stater, internasjonale organisasjoner og utenlandske rettssubjekter. Kapittel 4. Administrative bestemmelser 4-1. Iverksettelse av tiltak - kostnaderog dispensasjon Den enkelte virksomhet skal dekke egne kostnader som følge av tiltak eller pålegg i eller i medhold av sikkerhetslovens kapittel 5 og denne forskrift. Virksomheten kan i særlige tilfeller søke om dispensasjon fra sikkerhetstiltak der dette anses forsvarlig. Slik søknad avgjøres av vedkommende fagdepartement, om nødvendig etter konsultasjon med NSM. 4-2. Internkontroll Objekteier skal utføre internkontrolltiltak i samsvar med forskrift om sikkerhetsadministrasjon. 4-3. Tilsyn og påleggskompetanse NSM skal føre tilsyn med at utvelgelse og klassifisering av skjermingsverdige objekter skjer i henhold til sikkerhetsloven og denne forskrift, og eventuelt gi nødvendige pålegg i samsvar med sikkerhetslovens 9 litra c. NSM skal føre overordnet tilsyn med at sikkerhetstiltak implementeres i henhold til denne forskriften. Der det finnes tilsynsorganer med ansvar for forebyggende sikkerhet i en sektor, skal primært dette tilsynsorganet føre tilsyn med at sikkerhetstiltakene i de enkelte virksomhetene tilfredsstiller de funksjonelle kravene i sikkerhetsloven kap 5 og denne forskrift. Kapittel 5. Sluttbestemmelser 5-1. Ikrafttredelse Denne forskriften trer i kraft xx.xx.xxxx.

5 5-2. Overgangsbestemmelser Første gangs fastsettelse av sikkerhetsklassifisering, jf. kapittel 2, vurdering av tiltak etterretningstrussel i forbindelse med klassifisering, jf. 3-2 andre ledd, skal skje senest e etter ikrafttredelsen. Gjennomføring av sikkerhetstiltak i samsvar med kapittel 3 på bakgrunn av fastsatt sikkerhetsklassifisering og tilrettelegging for sikringsstyrker i samsvar med 4-2, skal skje raskt som mulig og senest to år etter ikrafttredelsen. Gjennomføringen og tilretteleggingen etter søknad til NSM utsettes ytterligere med inntil ett år. Opprettelse av internkontrollsystem, jf. 4-2, skal skje senest tre år etter ikrafttredels

1 Forska til endrin er i forskrift om sikkerhetsadministrasjon: I forskrift av 29. juni 2001 nr. 723 om sikkerhetsadministrasjon gjøres følgende endringer (endringer i kursiv): 1-1 annet ledd skal I de: Forskriften gjelder den enkelte virksomhets sikkerhetsadministrasjon innen og på tvers av fagområdene informasjonssikkerhet, objektsikkerhet,personellsikkerhet og sikkerhetsgraderte anskaffelser. 1-2 skal lyde: I forskriften forstås med: 1. Sikkerhetsadministrasjon ; internkontroll ved gjennomføring av systematiske tiltak for å sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og revideres i samsvar med krav fastsatt i og i medhold av sikkerhetsloven. 2. Sikkerhetstruende hendelse ; sikkerhetstruende virksomhet, kompromittering av skjermingsverdig informasjoneller objekt og grove sikkerhetsbrudd. 3. Kompromittering; tap eller mistanke om tap av konfidensialitet, integritet eller tilgjengelighet for skjermingsverdig informasjon, herunder uønsket avhending, modifisering eller ødeleggelse, eller tap eller mistanke om tap av funksjonalitet eller rettmessig kontroll med skjermingsverdig objekt. 4. Sikkerhetsbrudd; brudd på bestemmelse om sikkerhetstiltak gitt i sikkerhetsloven eller forskrifter til sikkerhetsloven. 5. Fagområder; informasjonssikkerhet,objektsikkerhet,personellsikkerhet og sikkerhetsgraderte anskaffelser. Informasjonssikkerhet innen den enkelte virksomhet består av blant annet dokumentsikkerhet, informasjonssystemsikkerhet, fysisk sikring og administrativ kryptosikkerhet. 2-6 første ledd skal I de: Ved større prosjekter eller anskaffelser som involverer sikkerhetsgradert informasjon eller skjermingsverdig objekt skal det utpekes en prosjektsikkerhetsleder. 2-6 trede ledd skal I de: Dersom to eller flere virksomheter er tilkoblet et felles informasjonssystem, eller sammen råder over eller eier skjermingsverdig objekt påhviler ansvaret for sikkerheten i informasjonssystemet eller for objektet felles overordnet virksomhet eller den denne utpeker, eller den som er utpekt i skriftlig avtale inngått mellom virksomhetene. I avtalen skal det fremgå hvilken sikkerhetsgrad informasjonssystemene er sikkerhetsgodkjent for, og hvilke sammenkoblinger med andre informasjonssystemer som tillates, eller hvilken klassifiseringsgrad objektet innehar. boefi:\temp\nsms_ forslag_til_endring i forskrift om st'kkerhetsadministrasjondoc

2 3-3 skal lyde: Virksomhet med skjermingsverdig informasjon eller objekt skal ha et ajourført grunnlagsdokument for sikkerhet. Grunnlagsdokumentet skal identifisere grunnleggende forutsetninger for virksomhetens håndtering av skjermingsverdig informasjon eller objekt, herunder: 1. sikkerhetsorganisasjonen og dens myndighet, 2. sikkerhetsmessig inndeling i fysiske områder ved virksomheten, og hvor sikkerhetsgradert informasjon tillates behandlet og oppbevart med angivelse av høyeste sikkerhetsgrad, og hvor skjermingsverdig objekt befinner seg, 3. hvilke informasjonssystemer, herunder kryptosystemer, som håndterer sikkerhetsgradert informasjon, med angivelse av hvilken sikkerhetsgrad hvert system er sikkerhetsgodkjent for og i hvilke fysiske områder det enkelte system er plassert, 4. oversikt over kommunikasjon av sikkerhetsgradert informasjon som er etablert internt i virksomheten og mot andre virksomheter, 5. hvem som har behov for tilgang til hvilken type skjermingsverdig informasjon med tilhørende informasjonssystemer,eller adgang til skjermingsverdig objekt og 6. planer, instrukser og annen dokumentasjon for sikkerhet. 3-4 første ledd skall de: Virksomheten skal utarbeide skriftlige instrukser for rutiner og prosedyrer innenfor aktuelle fagområder. Instruksene skal tilpasses størrelsen og kompleksiteten på virksomheten, herunder virksomhetens sikkerhetsgraderte informasjon eller klassifiserte objektermed tilhørende informasjonssystemer og styringssystemer. 4-1 skal lyde: Virksomhet med skjermingsverdig informasjon eller objekt skal utøve risikohåndtering, ved å fastsette og gjennomføre sikkerhetstiltak etter en risikovurdering. 4-2 andre ledd første unkt skal 1 de: Den enkelte virksomhet skal foreta kontinuerlige skriftlige risikovurderinger med utgangspunkt i grunnlagsdokument for sikkerhet 4-2 erde ledd skal 1 de: Når det foreligger særlige grunner kannsm bestemme hvilken vurderingsmetode skal leggestil grunn for risikovurderingen. som 5-2 n annet ledd skal I de: Ved kompromittering av objekt klassifisert KRITISK eller høyere skal virksomheten som eier eller råder over objektet utarbeide skadevurdering. Skadevurderingen skal redegjøre for tiltak som kan redusere skaden, og adresseres til berørte virksomheter og andre som kan bidra til skadereduserende tiltak. Kopi av skadevurderingen skal formidles til NSM.

3 5-5 skal lyde: Virksomhet som oppdager kompromittering skal rapportere til virksomheten som ha tilvirket informasjonen eller som eier eller råder over objektet, og andre virksomheter dette har betydning for. Rapporten skal redegjøre for mulig årsak til kompromitteringen og hva som gjort for å hindre gjentagelse. Dersom forholdet skal rapporteres til NSM, kan kopi av rapp til NSM benyttes ved rapportering til andre virksomheter. 5-6 første ledd skal 1 de: En virksomhet skal snarest mulig avgi foreløpig rapport til NSM dersom den oppdager: a. sikkerhetstruende hendelser, eller b. sikkerhetsbrudd vedrørende informasjon sikkerhetsgradert av utenlandske myndigh eller internasjonal organisasjon, eller c. kompromittering av klassifiserte objekter.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding