Nasjonal sikkerhetsmyndighet



Like dokumenter
Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Rapporteringsskjema for kryptoinstallasjon

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Rapportering av sikkerhetstruende hendelser til NSM

Kan du holde på en hemmelighet?

RHF og HF omfattes av sikkerhetsloven

Forslag til forskrift om endringer i forskrift om personellsikkerhet og forskrift om sikkerhetsgraderte anskaffelser

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Lov av i kraft

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

Forskrift om objektsikkerhet

Sikkerhetsorganisering og sikkerhetsgradering i kommunene. Knut Bakstad, Sikkerhetsleder hos FMTL

Objektsikkerhet endringer i sikkerhetsloven

SIKKERHETSAVTALE. esaf/doculivenummer: xxxxxxxxxxx. Inngått dato. mellom

Ny sikkerhetslov og forskrifter

Sikkerhetsmessig verdivurdering

Sikkerhetsloven. Mobil Agenda Alexander Iversen Sjefingeniør, Sikkerhetsavdelingen

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Personellsikkerhet. Frode Skaarnes Avdelingsdirektør

Direktiv Krav til sikkerhetsstyring i Forsvaret

Veileder for gjennomføring av valg. Fysisk sikring av lokaler og teknisk utstyr ved valg

OVERSIKT SIKKERHETSARBEIDET I UDI

Nasjonal sikkerhetsmyndighet

Anbefalinger om åpenhet rundt IKT-hendelser

Brukermanual for Blancco Data Cleaner+ 4.5

Veileder i fysisk sikkerhet. Versjon: 1

Sikkerhetslov og kommuner

Sikre samfunnsverdier et samspill mellom virksomhetene og NSM

Vår ref.: 16/ Postadresse: 1478 LØRENSKOG Telefon: Sak 100/16 Oppfølging av sikkerhetsloven ved Akershus universitetssykehus HF

Sikkerhet og informasjonssystemer

Sikkerhetsloven og kommunen - noen refleksjoner og erfaringer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

NSMs Risikovurdering 2006

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Veiledning i planlegging av graderte informasjonssystemer

Plikter og ansvar ved opphold og arbeid i Telenors tekniske arealer

BILAG 5. Sikkerhetsvedlegg

Veiledning i risiko- og sårbarhetsanalyse

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

PROSJEKT BYGGEARBEIDER RRA (REGJERINGENS REPRESENTASJONSANLEGG) BYGGELEDELSE H001. Informasjonsmøte 29. september 2016

Kommunens Internkontroll

Nasjonal sikkerhetsmyndighet

Retningslinje for Sikring innen Sikkerhetsstyring

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?


Kan du halde på ei hemmelegheit?

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

NASJONAL SIKKERHETSMYNDIGHET

NSMs risikovurdering 2005, UGRADERT versjon

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

NOTAT SAMMENDRAG. Høringsuttalelse om nye forskrifter til ny sikkerhetslov. Nye forskrifter til lov om nasjonal sikkerhet (sikkerhetsloven) Åpen

Vår ref. Deres ref. Dato 2013/ Avklaring i forhold til arkivering av materiale gradert begrenset i kommuner

Veileder i sikkerhetsstyring. Versjon: 1

Internkontroll og informasjonssikkerhet lover og standarder

1.6 Sentrale lover og forskrifter

FOR ET TRYGGERE NORGE NASJONALT KOMPETANSESENTER FOR SIKRING AV BYGG

Strategi for Informasjonssikkerhet

Nasjonal sikkerhetsmyndighet

1. Generelt om tilsynene

BILAG 5. Sikkerhetsvedlegg

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

Høring - Forskrifter til ny sikkerhetslov. Overordnede kommentarer. Forsvarsdepartementet. Postboks 8126, Dep 0032 OSLO

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

4.2 Sikkerhetsinstruks bruker

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Brukerinstruks. OntrackEraser Versjon 3.0. Ibas AS

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Sikring av vannforsyning mot tilsiktede uønskede hendelser (security) VA - DAGENE I VRÅDAL

IKT-reglement for Norges musikkhøgskole

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

Nasjonal sikkerhetsmyndighet. Veiledning UGRADERT UGRADERT. Utgitt av Nasjonal sikkerhetsmyndighet

Sikkerhetsklareringskonferanse NTL. Direktør Gudmund Gjølstad. 3.april 2019

HØRINGSUTTALELSE TIL FORSLAG OM ENDRINGER I SIKKERHETSLOVEN

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Veileder for godkjenning av informasjonssystem. Versjon: 1

Vår referanse (bes oppgitt ved svar)

Veiledning i verdivurdering

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Nasjonal sikkerhetsmyndighet

IKT-sikkerhet som suksessfaktor

Taushetsplikt og skjerming av informasjon v/ Tone Gotheim, seniorrådgiver, juridisk avdeling, Statens jernbanetilsyn

NASJONAL SIKKERHETSMYNDIGHET

Felles datanett for kommunene Inderøy, Verran og Steinkjer

NASJONAL SIKKERHETSMYNDIGHET

Transkript:

Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2011-09-07 Sikring mot avlytting Veiledning til forskrift om informasjonssikkerhet Forskrift om informasjonssikkerhet stiller krav til forebyggende sikkerhetstiltak mot uønsket avlytting og innsyn. Bestemmelsene gjelder for alle virksomheter som faller inn under sikkerhetslovens virkeområde. Denne veilederen inneholder både forskriften i sin helhet, og veiledning til de enkelte paragrafer, slik at disse enkelt kan ses i en sammenheng.

NSM <short title> 2012-01-26 Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjeneste i Norge og forvalter lov om forebyggende sikkerhet av 20. mars 1998. Hensikten med forebyggende sikkerhet er å motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, primært spionasje, sabotasje og terrorhandlinger. Forebyggende sikkerhetstiltak skal ikke være mer inngripende enn strengt nødvendig, og skal bidra til et robust og sikkert samfunn. Hensikt med veiledning NSM sin veiledningsvirksomhet skal bygge kompetanse og øke sikkerhetsnivået i virksomhetene, gjennom økt motivasjon, evne og vilje til å gjennomføre sikkerhetstiltak. NSM gir jevnlig ut veiledninger til hjelp for implementering av de krav sikkerhetsloven stiller. NSM publiserer også veiledninger innen andre fagområder relatert til forebyggende sikkerhetsarbeid. Postadresse Sivil telefon/telefax Militær telefon/telefaks Internettadresse Postboks 14 +47 67 86 40 00/+47 67 86 40 09 515 40 00/515 40 09 www.nsm.stat.no 1306 BÆRUM E-postadresse POSTTERMINAL post@nsm.stat.no Side 2 av 9

Innhold 1 Innledning... 3 2 Generelt... 3 3 Kapittel 9. Sikring av konferanserom med mer mot uønsket avlytting og innsyn... 4 A. Krav om sikring av rom og varsling for eventuell teknisk sikkerhetsundersøkelse... 4 B. Permanent sikring av rom... 5 C. Midlertidig sikring av rom... 8 4 Kapittel 10. Tekniske sikkerhetsundersøkelser... 8 1 Innledning Denne veilederen er gitt i medhold av lov om forebyggende sikkerhetstjeneste 9, og innholdet er relatert til bestemmelser i kapittel 9 og 10 i forskrift om informasjonssikkerhet. Målet er sikring av sikkerhetsgradert informasjon, men prinsippene er allmenngyldige og kan benyttes overalt hvor konfidensialitet er ønskelig. Forskrift om informasjonssikkerhet regulerer i kapittel 9 detaljerte krav til romplassering og sikringstiltak basert på informasjonens sikkerhetsgrad. Formuleringen som benyttes er Presentasjon i konferanserom eller spesialrom. Hva som er å betrakte som konferanserom eller spesialrom kan diskuteres, og således kan det være tvil om når forskriftens krav er gjeldende. Hensikten er imidlertid klar; sårbarhet og risiko for avlytting skal reduseres. NSM oppfordrer derfor virksomhetene til å benytte en vid tolkning, og sikre alle typer møterom og kontorer der sensitive samtaler forekommer. Dersom det er behov for sårbarhetsreduserende tiltak utover de som er omhandlet i denne veiledningen, kan NSM bistå virksomhetene med råd. Vår e-postadresse er post@nsm.stat.no og på vår hjemmeside www.nsm.stat.no finnes ytterligere informasjon og linker til relevante lover, forskrifter og andre veiledninger og publikasjoner innen NSMs ansvars- og myndighetsområde. 2 Generelt De teknologiske mulighetene for å avlytte andre er store. Alt fra enkle mikrofoner og kameraer til avansert utstyr er i dag kommersielt tilgjengelig. Det hele er et spørsmål om ressurser og vilje. Det er imidlertid mye som kan gjøres for å vanskeliggjøre og motvirke forsøk på avlytting. En systematisk gjennomgang av lokaler kan avdekke svakheter, som kan utbedres med enkle midler. Regelmessige undersøkelser kan også avsløre om avlyttingsutstyr er plassert i et rom. Men, teknisk sikring, utstyr og finesser gir ikke god sikkerhet uten gode rutiner. Den enkeltes holdninger og bevissthet om hva som kan sies hvor vil være avgjørende. Grunnregelen er at all sikkerhetsgradert informasjon kun skal formidles innenfor et beskyttet område. Dette reduserer risiko ved at de man har rundt seg enten skal være sikkerhetsklarert og autorisert, eller er besøkende med et avklart tjenstlig behov for å være der. Videre reduseres faren for tilfeldig overhøring av sensitiv informasjon og mulighetene for utenforstående til å plassere avlyttingsutstyr. Side 3 av 9

3 Kapittel 9. Sikring av konferanserom med mer mot uønsket avlytting og innsyn A. Krav om sikring av rom og varsling for eventuell teknisk sikkerhetsundersøkelse. 9-1. Romplassering, sikring og godkjenning Presentasjon 1 av KONFIDENSIELT eller høyere i konferanserom eller spesialrom 2 kan bare finne sted dersom rommet er plassert innenfor beskyttet område. Presenteres HEMMELIG eller STRENGT HEMMELIG skal rommet i tillegg sikres permanent i samsvar med 9-3 til 9-10 3. Presentasjon av KONFIDENSIELT eller høyere i konferanserom eller spesialrom utenfor beskyttet område kan bare finne sted etter samtykke fra NSM i det enkelte tilfelle 4. Rommet skal i så fall sikres midlertidig i samsvar med 9-11. Presentasjon av sikkerhetsgradert informasjon i konferanserom eller spesialrom i norsk kontrollert område i utlandet kan bare finne sted etter at rommet er godkjent av NSM for dette formål og sikret som nevnt i første og andre ledd med henvisninger 5. 1. Kapittel 9 i forskrift om informasjonssikkerhet omhandler kun rom som skal benyttes til presentasjon av TALE på gradert nivå. Det påpekes likevel at regler for hindring av innsyn der det behandles gradert informasjon må følges i alle rom der dette skjer, uavhengig av om tale forkommer eller ikke. 2. Med spesialrom innenfor beskyttet område menes alle rom som benyttes til samtaler på KONFIDENSIELT nivå eller høyere. Lokal sjef kan godkjenne egnede rom for KONFIDENSIELT. NSM anbefaler at man søker å finne rom som samsvarer med kravene i 9-3 - 9-10 i størst mulig grad. 3. Det stilles spesifikke krav til rom som skal benyttes til presentasjon av HEMMELIG eller STRENGT HEMMELIG. Disse er listet opp i 9-3 til 9-10 med veiledninger til disse. 4. Det gis ikke anledning til å opprette permanente rom for presentasjon av KONFIDENSIELT eller høyere utenfor beskyttet område. I tilfeller der man har behov for en midlertidig løsning, for eksempel et møte, skal man søke NSM om godkjenning for dette. Nærmere beskrivelse rundt dette er beskrevet i 9 11. 5. På norskkontrollert område i utlandet skal all gradert presentasjon, også BEGRENSET, foregå i rom som er sikret i samsvar med 9 3 til 9 10, evt. 9 11. Rom(ene) skal godkjennes av NSM. 9-2. Varsling og vurdering av behovet for teknisk sikkerhetsundersøkelse Virksomheten skal varsle NSM ved 1 1. etablering og etterkontroll av permanent sikrede konferanserom eller spesialrom, 2. presentasjon av KONFIDENSIELT eller høyere i konferanserom eller spesialrom utenfor beskyttet område, 3. mistanke om ulovlig avlytting eller innsyn i rom for presentasjon av sikkerhetsgradert informasjon, og Side 4 av 9

4. brudd på 9-3 til 9-10. Varselet skal sikkerhetsgraderes etter sitt innhold og minst BEGRENSET 2. NSM avgjør etter en risikovurdering i det enkelte tilfelle om teknisk sikkerhetsundersøkelse skal gjennomføres. 1. Varsel om TSU sendes skriftlig gjennom egen sikkerhetsorganisasjon med kopi direkte til NSM. 2. All informasjon om TSU bør begrenses til et strengt tjenstlig behov, også internt i virksomheten. Dette gjelder spesielt i forkant av undersøkelsen. B. Permanent sikring av rom 9-3. Generelle krav Rommet skal sikres mot innsyn og lydgjennomgang 1. Et sikret rom skal ikke benyttes til andre formål enn nevnt i 9-1 dersom det kan svekke sikkerheten 2. 1. Se 9-4 til 9-6 2. For å opprettholde god sikring for rommet over tid er det viktig at rommet holdes under kontroll. Annen bruk av rommet er imidlertid tillatt dersom dette ikke anses å svekke sikkerheten. Forutsetningen for slik bruk er at en autorisert person alltid er til stede, og at alt utstyr som bringes inn i forbindelse med møtet, fjernes umiddelbart etter at møtet er over. Uautorisert personell skal føres i besøksprotokoll. 9-4. Rommets plassering Rommet skal plasseres i beskyttet området og om mulig slik at tilstøtende lokaler og områdene over og under rommet kan kontrolleres. Dersom slik plassering ikke er praktisk mulig på grunn av byggets beskaffenhet eller størrelse, kan rommet likevel plasseres annet sted innenfor det beskyttede området 1. 1. Dersom det ikke er mulig å kontrollere tilstøtende lokaler (ved siden av, over eller under), skal plassering av rommet skje i samråd med NSM. 9-5. Lydisolasjon og fysiske avgrensing Vegger, tak og gulv i det sikrede rommet skal ikke brukes til fremføring av rør, kabler, skorsteiner eller kanaler utover det som er nødvendig for selve rommet. Rommet skal ha en lyddemping som tilfredsstiller den standard NSM bestemmer skal gjelde for lyddemping 1. Side 5 av 9

Nødvendige kanaler og lignende skal utstyres med lydfeller 2 som monteres inne i rommet eller like utenfor. Paneler, himling og gulvbelegg skal være av en slik art at de ikke helt eller delvis kan løsnes uten at det vises 3. Nedfelte himlinger skal utstyres med en eller flere plomberte luker som muliggjør kontroll. 1. Lydisolasjonen for møterom med lydforsterkning (mikrofon/høyttaleranlegg), f. eks VTC-rom, skal som et minimum ha lyddemping på 52dB med referanse til Norsk Standard 8175 (NS-EN ISO 717-1). Lydisolasjonen for møterom hvor det ikke forekommer lydforsterkning skal som et minimum ha lyddemping på 44dB med referanse til NS 8175 (NS-EN ISO 717-1). 2. Lydfeller skal monteres både på ventilasjonssystemets innluft og utluft. Det er vesentlig at lydfellene monteres så nært inntil gjennomføringen som mulig. 3. Løse himlingsplater i tak og parkett på gulv tillates. 9-6. Adkomstveier og vinduer Uvedkommende skal hindres adgang ved avlåsing eller annen adgangskontroll til området 1. Bare særskilt utpekt personell skal få adgang til rommet uten ledsagelse. Dører skal lydisoleres på samme nivå som rommet for øvrig, f.eks. ved bruk av dobbelte dører, polstring eller tetningslister. Ytre dør som har hengsler på utsiden skal sikres i bakkant og ha lås godkjent av NSM i forhold til den høyeste sikkerhetsgrad som behandles i rommet. Bare utpekt personell skal ha tilgang til nøkler til rommet. Vinduer skal lydisoleres på samme nivå som rommet for øvrig og innsyn under ulike lysforhold skal hindres. Gardiner skal være ugjennomsiktige ved bruk av lampelys. Vinduene skal monteres slik at forsering utenfra lett kan oppdages. Det skal i sikringen tas hensyn til lokal risikovurdering av blant annet muligheten for innbrudd og rettet avlyttingsutstyr mot vinduer 2. Nøkler til rommet skal oppbevares i henhold til høyeste sikkerhetsgrad på informasjonen som presenteres i rommet 3. 1. Det skal benyttes en lås som er godkjent av NSM for minimum KONFIDENSIELT. Normalt vil det si en FG-godkjent sikkerhetslås. Låsen skal ha en unik nøkkel; det vil si at den ikke skal være en del av et låssystem. For særlig viktige rom bør det brukes lås godkjent for HEMMELIG. Bruk av et automatisk adgangskontrollanlegg i tillegg vil gi en sikkerhetsmessig gevinst. Kodelåser og tastaturer bør plasseres slik at det er enkelt for brukeren å skjerme inntasting av koden. 2. Vinduer i slike areal bør unngås. Har arealet vinduer skal NSM kontaktes for vurdering av kompenserende tiltak. 3. Nøkkel til lås skal minimum oppbevares som KONFIDENSIELT. Side 6 av 9

9-7. Inventar Rommet skal møbleres etter sin funksjon og supplering eller utlån av møbler skal ikke finne sted. Benyttes det hjelpemidler, f.eks. tavle, lerret eller fremvisere, skal hjelpemidlene anskaffes spesielt for rommet. Inventar eller hjelpemidler som er nytt eller har vært til vedlikehold eller reparasjon skal sikkerhetsundersøkes før det kan bringes inn i rommet 1. 1. NSM skal kontaktes dersom hjelpemidler/utstyr har behov for vedlikehold eller trenger å bli erstattet, eller dersom annet type utstyr ønskes installert. 9-8. Elektriske installasjoner og informasjonssystemer 1 Dersom oppvarming 2 ikke kan gjøres i forbindelse med ventilasjon, skal oppvarmingen skje elektrisk. 1. Informasjonssystemer og kabling til disse, skal installeres i henhold til kravene som stilles til slikt utstyr. Ref: Veiledning, Tempest sikring av IKT-systemer (BEGRENSET) 2. Væskefylte installasjoner som vannbåren varme, kjølesystemer og lignende, tillates normalt ikke. 9-9. Tilstøtende lokaler Innredning i og bruk av tilstøtende lokaler 1 skal om mulig være kontrollerbart av virksomheten som disponerer rommet som skal sikres. Tilstøtende lokaler skal ikke ha en funksjon som medfører at uvedkommende jevnlig kan oppholde seg der 2. Vegg i tilstøtende lokaler som vender mot rommet skal være lett å kontrollere og ikke ha fastmontert inventar. 1. Med tilstøtende lokaler menes alle arealer, også i etasjen rett over og rett under. 2. Eksempler på uønskede naborom er toalett, vaskerom og garderobe. 9-10. Prosedyrebeskrivelse Det skal foreligge instruks 1 for ansvarlige brukere av rommet som angir rutiner for låsing, oppbevaring av nøkler, beskyttelse mot innsyn, drift av eventuelle ventilasjonssystemer og forbud mot å bringe inventar inn eller ut av rommet 2. 1. Godkjenningsbevis, rominstruks, inventarliste og autorisasjonsliste skal være tilgjengelige i arealet. All dokumentasjon skal være oppdatert. 2. Se vedlegg A: Forslag til rominstruks Side 7 av 9

C. Midlertidig sikring av rom 9-11. Midlertidig sikret rom Virksomheten som arrangerer møtet eller leder aktiviteten skal velge lokale ut i fra en risikovurdering basert på risikofaktorer som 1. bygningens beliggenhet og naboer, 2. behov for vakthold og andre fysiske sikringstiltak, 3. behov for sikkerhetskontroll av personer med tilknytning til lokalet, og om nødvendig sikkerhetsklarering, 4. lokalets størrelse i relasjon til formålet, 5. innsyn, lydisolasjon og muligheten for kontroll med tilstøtende lokaler, og 6. Interiør og utstyr som i særlig grad vil komplisere sikringen. Når virksomheten har varslet NSM i samsvar med 9-2, skal NSM gi anvisninger på nødvendige forberedelser og gjennomføring av ytterligere sikkerhetstiltak. 4 Kapittel 10. Tekniske sikkerhetsundersøkelser 10-1. Hensikten med tekniske sikkerhetsundersøkelser Hensikten med tekniske sikkerhetsundersøkelser (TSU) er å ved forebyggende kontrollvirksomhet og sikkerhetstiltak påvise sikkerhetsmessig sårbarhet som kan utnyttes til uønsket avlytting og innsyn som beskrevet i sikkerhetsloven 16, avdekke og motvirke forsøk på uønsket avlytting og innsyn, og gi NSM grunnlag for å gi råd eller pålegg om hvordan slik sårbarhet kan reduseres eller fjernes. 10-2. Iverksettelse av tekniske sikkerhetsundersøkelser En virksomhet eller dennes overordnede virksomhet kan skriftlig anmode NSM eller den NSM har bemyndiget om TSU av lokaler, gjenstander eller annen eiendom som virksomheten råder over. Dersom anmodningen rettes til bemyndiget organ, skal kopi av anmodningen sendes NSM. NSM kan også iverksette TSU på eget initiativ. Virksomhetens leder skal være skriftlig orientert før TSU gjennomføres, med mindre særlige grunner av sikkerhetsmessig art foreligger. Politiets overvåkingstjeneste skal på forhånd orienteres av NSM om TSU, med mindre TSU gjennomføres i Forsvaret eller særlige grunner av sikkerhetsmessig art foreligger. 10-3. Hvem som kan utføre tekniske sikkerhetsundersøkelser TSU i Forsvaret og i utenrikstjenesten kan bare utføres av NSM. For øvrig kan NSM generelt eller for det enkelte tilfelle fastsette at en bestemt type TSU kan utføres av virksomhet som bemyndiges av NSM for dette formål. Privat virksomhet som bemyndiges skal inneha leverandørklarering for HEMMELIG eller høyere. Side 8 av 9

Personell som av NSM benyttes til TSU skal inneha sikkerhetsklarering og være autorisert for STRENGT HEMMELIG/tilsvarende. Personell i virksomheter som er bemyndiget av NSM til å utføre TSU skal inneha sikkerhetsklarering og være autorisert for HEMMELIG/tilsvarende. Personell som benyttes til TSU av kryptorom, kryptoinstallasjoner og kryptoutstyr skal inneha kryptokvalifisering for minimum grad 2. NSM er autorisasjonsmyndighet for personell som skal utføre TSU. Personellet skal ha gjennomført særskilt opplæring i TSU i samsvar med opplæringsprogram godkjent av NSM. NSM kan fastsette faglige og andre relevante krav til virksomheter som bemyndiges for gjennomføring av TSU og for personell som skal utføre TSU. 10-4. Adgangsbegrensning Den som skal utføre TSU kan etter samråd med virksomhetens leder fastsette adgangsbegrensning1 til områder hvor TSU skal utføres. 1. Bruker vil normalt ikke ha adgang til rommet når TSU gjennomføres. 10-5. Rapportering og etterarbeide Virksomhet som har utført TSU skal skriftlig rapportere til virksomhetens leder om resultatet. Er det en virksomhet bemyndiget av NSM som har stått for gjennomføringen, skal kopi av rapporten sendes til NSM. Dersom det ved TSU oppstår mistanke om kompromittering av sikkerhetsgradert informasjon, skal dette rapporteres i samsvar med forskrift om sikkerhetsadministrasjon eller denne forskrifts 7-41 til 7-45. Virksomhet som utfører TSU skal føre register over alle gjennomførte undersøkelser. Registeret skal som minimum inneholde opplysninger om hva som var gjenstand for TSU, tidsrom for gjennomføringen, ansvarshavende og medvirkende personell, sikkerhetsbrudd, og mistanke om eller avdekking av uønsket avlytting eller innsyn eller forsøk på dette. 10-6. Skjermingsbehov Informasjon om utstyr, teknikker og kapasiteter for gjennomføring av TSU skal sikkerhetsgraderes etter sitt innhold og minst BEGRENSET. NSM kan bestemme at nærmere bestemt utstyr som benyttes til TSU skal være å anse som skjermingsverdige objekter. Side 9 av 9

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding