Nasjonal sikkerhetsmyndighet



Like dokumenter
Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

RHF og HF omfattes av sikkerhetsloven

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Forslag til forskrift om endringer i forskrift om personellsikkerhet og forskrift om sikkerhetsgraderte anskaffelser

Rapporteringsskjema for kryptoinstallasjon

Nasjonal sikkerhetsmyndighet

Vår ref.: 16/ Postadresse: 1478 LØRENSKOG Telefon: Sak 100/16 Oppfølging av sikkerhetsloven ved Akershus universitetssykehus HF

Brukermanual for Blancco Data Cleaner+ 4.5

Nasjonal sikkerhetsmyndighet. Veiledning UGRADERT UGRADERT. Utgitt av Nasjonal sikkerhetsmyndighet

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

SIKKERHETSAVTALE. esaf/doculivenummer: xxxxxxxxxxx. Inngått dato. mellom

Brukerinstruks. OntrackEraser Versjon 3.0. Ibas AS

Kan du holde på en hemmelighet?

Forskrift om objektsikkerhet

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Lov av i kraft

Rapportering av sikkerhetstruende hendelser til NSM

Veiledning i planlegging av graderte informasjonssystemer

Nasjonal sikkerhetsmyndighet

NSMs Risikovurdering 2006

Veiledning i risiko- og sårbarhetsanalyse

Sikkerhet og informasjonssystemer

Nasjonal sikkerhetsmyndighet

Ny sikkerhetslov og forskrifter

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet

Objektsikkerhet endringer i sikkerhetsloven

Sikkerhetsloven. Mobil Agenda Alexander Iversen Sjefingeniør, Sikkerhetsavdelingen

Sikkerhetsorganisering og sikkerhetsgradering i kommunene. Knut Bakstad, Sikkerhetsleder hos FMTL

Nasjonal sikkerhetsmyndighet

OVERSIKT SIKKERHETSARBEIDET I UDI

Personellsikkerhet. Frode Skaarnes Avdelingsdirektør

Direktiv Krav til sikkerhetsstyring i Forsvaret

Vår ref. Deres ref. Dato 2013/ Avklaring i forhold til arkivering av materiale gradert begrenset i kommuner

Sikkerhetsmessig verdivurdering

Nasjonal sikkerhetsmyndighet

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Fagdag sikring Ny sikkerhetslov og arbeidet med nye forskrifter. Svein Anders Eriksson Leder for sikring og standardisering Ptil

Sikkerhetslov og kommuner

Internkontroll og informasjonssikkerhet lover og standarder

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Kryptoløsninger I Hjemmekontor Og Mobile Klienter

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Nasjonal sikkerhetsmyndighet

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

NOTAT SAMMENDRAG. Høringsuttalelse om nye forskrifter til ny sikkerhetslov. Nye forskrifter til lov om nasjonal sikkerhet (sikkerhetsloven) Åpen


Sikre samfunnsverdier et samspill mellom virksomhetene og NSM

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Forord. Norsk Sikkerhetsforening kan i fremtiden utgjøre en viktig premissleverandør ved utforming av regelverk på området. Son, 16.6.

Høringsuttalelse til høringsnotat om forskrifter til ny

Sikkerhetsklareringskonferanse NTL. Direktør Gudmund Gjølstad. 3.april 2019

Sikkerhetsloven og kommunen - noen refleksjoner og erfaringer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

HØRINGSUTTALELSE TIL FORSLAG OM ENDRINGER I SIKKERHETSLOVEN

NASJONAL SIKKERHETSMYNDIGHET

PROSJEKT BYGGEARBEIDER RRA (REGJERINGENS REPRESENTASJONSANLEGG) BYGGELEDELSE H001. Informasjonsmøte 29. september 2016

Høringsnotat. Endringer i forskrifter til sikkerhetsloven (reduksjon av antall klareringsmyndigheter mv.)

Veiledning i sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Bilag 14 Databehandleravtale

Anbefalinger om åpenhet rundt IKT-hendelser

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

IKT-sikkerhet som suksessfaktor

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Overordnet IT beredskapsplan

RUTINER FOR SIKKERHET FOR PRODUKTREGISTERET OG FOR VIRKSOMHETER SOM BRUKER BESKYTTELSESGRADERT INFORMASJON FRA PRODUKTREGISTERET

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

NSMs risikovurdering 2005, UGRADERT versjon

Kan du halde på ei hemmelegheit?

Nasjonal sikkerhetsmyndighet

Bestemmelser om renholdstjenester

Høring - Forskrifter til ny sikkerhetslov. Overordnede kommentarer. Forsvarsdepartementet. Postboks 8126, Dep 0032 OSLO

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Retningslinje for Sikring innen Sikkerhetsstyring

Veileder for tilsyn med forebyggende sikkerhetsarbeid. Versjon: 1

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

Databehandleravtale. Denne avtalen er inngått mellom

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Retningslinje for Sikkerhetsstyring og leverandørstyring innen Sikkerhetsstyring

SIKKERHETSGRADERTE ANSKAFFELSER

Veileder i sikkerhetsstyring. Versjon: 1

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Sikkerhetsklarering i fremtiden

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Rapport om sikkerhetstilstanden 2009

FORSVARSDEPARTEMENTET HØRINGSNOTAT FORSLAG TIL FORSKRIFTER TIL NY SIKKERHETSLOV. 2. juli 2018

Databehandleravtaler

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Transkript:

Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende sikkerhetstjenesten. Dokumentet brukes som et arbeidsdokument for de som har forebyggende sikkerhet som oppgave. Det inneholder en oversikt over virksomhetens planer, instrukser og annen dokumentasjon for sikkerhet. Denne veiledningen viser hvordan Grunnlagsdokument for sikkerhet kan bygges opp.

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjeneste i Norge og forvalter lov om forebyggende sikkerhet av 20 mars 1998. Hensikten med forebyggende sikkerhet er å motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, primært spionasje, sabotasje og terrorhandlinger. Forebyggende sikkerhetstiltak skal ikke være mer inngripende enn strengt nødvendig, og skal bidra til et robust og sikkert samfunn. Hensikt med veiledning NSM sin veiledningsvirksomhet skal bygge kompetanse og øke sikkerhetsnivået i virksomhetene, gjennom økt motivasjon, evne og vilje til å gjennomføre sikkerhetstiltak. NSM gir jevnlig ut veiledninger til hjelp for implementering av de krav sikkerhetsloven stiller. NSM publiserer også veiledninger innen andre fagområder relatert til forebyggende sikkerhetsarbeid. Postadresse Sivil telefon/telefax Militær telefon/telefaks Internettadresse Postboks 14 +47 67 86 40 00/+47 67 86 40 09 515 40 00/515 40 09 www.nsm.stat.no 1306 BÆRUM E-postadresse POSTTERMINAL post@nsm.stat.no Side 2 av 10

Innhold 1 Innledning... 3 1.1 Bakgrunn...Feil! Bokmerke er ikke definert. 1.2 Hensikt...Feil! Bokmerke er ikke definert. 1.3 Referanser... 4 2 Grunnlagsdokument for sikkerhet... 5 2.1 Generelt... 5 2.2 Sikkerhetsorganisasjonen og dens myndighet... 5 2.3 Sikkerhetsmessig inndeling i fysiske områder... 6 2.4 Informasjonssystemer... 7 2.5 Sikkerhetsgradert kommunikasjon... 7 2.6 Behov for tilgang til sikkerhetsgradert informasjon... 7 2.7 Sikkerhetsdokumentasjon... 8 Vedlegg A Dokumenthistorie... 10 1 Innledning 1.1 Generelt Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende sikkerhetstjenesten. Styringsdokumentet må være et dynamisk dokument i den forstand at endringer i de grunnleggende forutsetningene for behandling av gradert informasjon ved virksomheten umiddelbart følges opp i dokumentet. Dokumentet er et arbeidsdokument for de som har forebyggende sikkerhet som oppgave. Grunnlagsdokumentet viser virksomhetens planer, instrukser og annen dokumentasjon for sikkerhet. Dokumentet har en sentral plass i virksomhetens sikkerhetsadministrasjon; internkontroll ved gjennomføring av systematiske tiltak for å sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og revideres i samsvar med krav fastsatt i og i medhold av sikkerhetsloven. 1. Planlegging 4. Revisjon Internkontroll 2. Gjennomføring 3. Utføring Resultat av løpende kontroll med sikkerhetstiltak og - rutiner sammen med risikovurderinger (analyser)vurdert sammen med virksomhetens grunnlagsdokument gir et godt fundament for lederens årlige evaluering av sikkerhetstilstanden, og for å kartlegge hvilke sikkerhetstiltak som skal iverksettes eller endres (skrives om). Side 3 av 10

En overordnet virksomhets grunnlagsdokument må være dekkende for hele virksomheten. Underliggende nivåer må likevel utarbeide et eget grunnlagsdokument basert på de føringer som er gitt fra overordnet virksomhet. Resten av dette dokumentet er ment å være en mal på hvordan Grunnlagsdokument for sikkerhet kan bygges opp. 1.2 Referanser Lov om forebyggende sikkerhet (sikkerhetsloven) av 20 mars 1998 nr 10 Forskrift om sikkerhetsadministrasjon Side 4 av 10

2 Grunnlagsdokument for sikkerhet 2.1 Generelt Innledningsvis bør dokumentet inneholde en kort beskrivelse av virksomheten og funksjon, inklusiv høyeste sikkerhetsgrad på informasjon som oppbevares og behandles ved virksomheten og andre grunnleggende forutsetninger for iverksetting av sikringstiltak. Grunnlagsdokument for sikkerhet skal sikkerhetsgraderes etter innhold. 2.2 Sikkerhetsorganisasjonen og dens myndighet Beskriv følgende: Lederens ansvar og myndighetsområde Sikkerhetspersonellets oppgaver (sikkerhetsorganisasjonen) Sikkerhetsrapportering (ansvar, varsling, tiltak og rapportering). Her listes sikkerhetsorganisasjonen opp med personell og stedfortredere. Den myndighet og det ansvaret som tilligger hver enkelt stilling skal angis. Eksempler på myndigheter er klareringsmyndighet, autorisasjonsmyndighet (delegering av denne), myndighet til å gi direkte pålegg om tiltak innen fagområdet. Sikkerhetsleder(e) ved underlagte ledd må tas med der det er aktuelt. Virksomhetens leder Sikkerhetsleder m/stedfortreder Datasikkerhetsleder m/stedfortreder Kryptosikkerhetsleder m/stedfortreder Vakt og sikring Arkivleder Kryptoforvalter m/stedfortreder Figur 1: Eksempel på en sikkerhetsorganisasjon. Alle større virksomheter bør ha et sikkerhetskompetanseforum eller sikkerhetsråd. Her må medlemmene i et slikt forum/råd listes og hvilke arbeidsoppgaver de har. Arbeidsoppgavene til et sikkerhetsforum/- råd kan være: Definere strategi for virksomhetens sikkerhetsarbeid. Fastlegge sikkerhetsmålsettinger. Definere og vedlikeholde sikkerhetspolicy. Godkjenne planlagte tiltak for å oppfylle sikkerhetsmålsettingene. Gjennomføre risikovurderinger, sikkerhetsrevisjon og bistå ledelsen med årlig evaluering. Være med og vurdere tiltak/reaksjon ved sikkerhetsbrudd og sikkerhetstruende hendelser, samt ivareta sikkerhetsrapportering. Side 5 av 10

Veilede og informere om forebyggende sikkerhet. 2.3 Sikkerhetsmessig inndeling i fysiske områder Beskriv følgende: Hvilke deler av virksomheten som er definert som kontrollert, beskyttet og sperret område, jf Forskrift om informasjonssikkerhet 6-4 til 6-6. Plassering av oppbevaringsenhetene som er godkjent for oppbevaring av BEGRENSET /KONFIDENSIELT /HEMMELIG/STRENGT HEMMELIG. Beskrivelse av vaktordninger og andre sikringstiltak kan tas med i dette kapittelet. Kontrollert område (Hvilket område/beskriv) Beskyttet område (Hvilket område/beskriv) Sperret område (Hvilket område/beskriv) Figur 2: Eksempel på sikkerhetsmessig inndeling i fysiske områder Bestemmelser for adgang til de enkelte fysiske områder skal beskrives i virksomhetens sikkerhetsinstruks. Side 6 av 10

2.4 Informasjonssystemer Beskriv følgende: Hvilke informasjonssystemer, herunder kryptosystemer, som er sikkerhetsgodkjent for lagring og behandling av sikkerhetsgradert informasjon. Angi hvilken sikkerhetsgrad hvert system er godkjent for, og i hvilke fysiske områder det enkelte system er plassert. System Funksjon Gradering Krypto Plassering Hvilket system Hva systemet brukes til Hvis kryptert Hva slags krypto Fysisk plassering av systemet Tabell 1: Eksempel på en oversikt over informasjonssystemer 2.5 Sikkerhetsgradert kommunikasjon Beskriv kommunikasjon som er etablert i virksomheten for å formidle sikkerhetsgradert informasjon internt og mot andre virksomheter: Hva slags informasjon Rapporter Meldinger Sak osv Til hvem Gradering Kommunikasjonssystem Aktører Hvem som mottar informasjonen internt/eksternt Graderingsnivå Graderingsnivå Hvordan informasjonen formidles Intranett Radiolinje Internett Post eller kurer Brukere eller brukergrupper Tabell 2: Eksempel på tabell som kan brukes 2.6 Behov for tilgang til sikkerhetsgradert informasjon Her skal de grunnleggende forutsetningene for personellsikkerhetstjenesten ved virksomheten beskrives. Grunnlagsdokumentet må angi hva som ev. kreves av klarering for tilgang til de forskjellige fysiske områdene i kapittel 2, f.eks at alle med fast adgang til et sperret område, et bygg, en leir osv skal ha en bestemt sikkerhetsklarering. Krav til sikkerhetsklarering og autorisasjon for personell som i stilling (funksjon) har behov for tilgang til sikkerhetsgradert informasjon må framgå av dokumentet.ta med personell som i stilling (funksjon) skal ha tilgang til de enkelte informasjonssystemene. Det skal også angis hvilke stillinger som krever klarering for STRENGT HEMMELIG eller COSMIC TOP SECRET. For CTS og SH skal det utarbeides en begrunnelse som konkret beskriver behovet. Side 7 av 10

2.7 Sikkerhetsdokumentasjon Lag en oversikt over de planer, instrukser og annen dokumentasjon for sikkerhet som er utarbeidet ved virksomheten. Her bør det samtidig defineres hvem som har oppgaver med ajourhold av den enkelte instruks. Merk at sikkerhetsinstrukser, planer og øvrig dokumentasjon ikke skal være en del av selve grunnlagsdokumentet. Alle planer, instrukser og annen dokumentasjon for sikkerhet ved virksomheten skal være godkjent av virksomhetens leder. Dokument Eksempler på sikkerhetsdokumentasjon som skal utarbeids og vedlikeholdes: Grunnlagsdokument for sikkerhet Autorisasjonsliste Instruks for sikkerhetsleder Instruks for datasikkerhetsleder Beskrivelse Dette dokument oppdateres fortløpende slik at det er i overensstemmelse med gjeldende organisasjon, ansvarsforhold og systemer. Jf Forskrift om sikkerhetsadministrasjon 3-3 Oversikt over alt personell med angivelse av klareringsnivå, autorisasjonsnivå og dato for henholdsvis klarerings- og autorisasjonsavgjørelse. Jf Forskrift om personellsikkerhet 5-6 Myndighet, oppgaver og krav til kompetanse skal beskrives (I stillingsbeskrivelse eller arbeidsinstruks) Myndighet, oppgaver og krav til kompetanse skal beskrives (I stillingsbeskrivelse eller arbeidsinstruks) Ansvarlig for, og oppdatering Sikkerhetsleder Virksomhetens leder eller Sikkerhetsleder Virksomhetens leder/sikkerhetsleder Virksomhetens leder/sikkerhetsleder Lokal sikkerhetsinstruks Generelle regler som beskriver sikkerhetsrutiner for de ansatte innen områder som: Dokumentsikkerhet Sikkerhetsleder Adgangskontroll Rapportering Osv Kryptosikkerhetsinstruks Lokale rutiner og ansvar for kryptosikkerhetsadministrasjon. Instruksen Kryptosikkerhetsleder Side 8 av 10

Dokument Eksempler på sikkerhetsdokumentasjon som skal utarbeids og vedlikeholdes: For hvert informasjonssystem Brukerinstruks Driftsinstruks Konfigurasjonsinstruks Konfigurasjon og Kabling Tempestrisikovurdering Kravspesifikasjon for sikkerhet (KSS) Aksjonsplaner Beskrivelse omfatter også ansvar og rutiner for nødmakulering. Sikkerhetsrutiner for bruk og drift av sikkerhetsgodkjente informasjonssystemer Se vedlegg til forskrift om informasjonssikkerhet nærmere bestemmelser om tempestsikkerhet Reaksjonstiltak ved utløste alarmer i tilknytning til de sikringstiltak som er innført. Skal være vedlegg til Instruks for adgangskontroll. Utarbeides/revideres Ansvarlig for, og oppdatering Datasikkerhetsleder Sikkerhetsleder Utnevnelse av sikkerhets personell Beredskapsplaner Sikkerhetspersonell herunder kryptosikkerhetsleder og kryptoforvalter, samt stedfortredere skal ha egen skriftlig utnevnelse. Ansvar angitt i stillingsbeskrivelse er IKKE tilstrekkelig. Oversikt over planer, instrukser som beskriver tiltak hvis virksomheten rammes av indre eller ytre hendelser som medfører evakuering, eller at landet settes i krigstilstand. Virksomhetens leder Sikkerhetsleder eller den/de som er ansvarlig for beredskapsplanlegging i virksomheten. Tabell 4: Eksempel på tabell over sikkerhetsdokumentasjon Sted og dato. Virksomhetens leder Side 9 av 10

Vedlegg A Dokumenthistorie 2006-11-08 Dokumentet konvertert til nytt format Side 10 av 10

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding