Til startsiden

Regelverk Skjemaer Ledige stillinger
English

Kapittel 10. Inntrengningstesting, testing av sikkerhetstiltak og kommunikasjons- og innholdskontroll av informasjonssystemer

§ 61. Fellesregler for inntrengningstesting, testing av sikkerhetstiltak og kommunikasjons- og innholdskontroll av informasjonssystemer

§ 61. Fellesregler for inntrengningstesting, testing av sikkerhetstiltak og kommunikasjons- og innholdskontroll av informasjonssystemer

Det skal inngås avtale med den aktuelle virksomheten om hvilket personell som, i samsvar med sikkerhetsloven § 6-5, § 6-6 og § 7-4, skal
  1. a.
    forsøke å trenge inn i virksomhetens skjermingsverdige informasjonssystemer
  2. b.
    kontrollere om virksomhetens informasjonssystemer behandler sikkerhetsgradert informasjon utover det systemets sikkerhetsgodkjenning tillater
  3. c.
    forsøke å forsere etablerte sikkerhetstiltak.

Avtalen skal også regulere hva denne testingen eller kontrollen skal omfatte.

Den som gjennomfører tester, kontroller og undersøkelser etter første ledd, skal rapportere resultatene til virksomheten og myndigheten som fører tilsyn etter loven. Rapporten skal kun i nødvendig grad inneholde informasjon som identifiserer enkeltpersoner som har begått sikkerhetsbrudd.
Informasjonen fra slike undersøkelser, testing og kontroller skal slettes senest innen tre måneder etter at oppdraget er avsluttet. Informasjonen kan likevel bevares lengre enn tre måneder når dette er nødvendig for å håndtere sårbarheter eller sikkerhetstruende virksomhet. Det samme gjelder dersom det er nødvendig av hensyn til kontrollvirksomheten til Stortingets kontrollorgan for etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-utvalget).

§ 62. Bruk av tredjeparter til å utføre inntrengningstesting, testing av sikkerhetstiltak og kommunikasjons- og innholdskontroll av informasjonssystemer

§ 62. Bruk av tredjeparter til å utføre inntrengningstesting, testing av sikkerhetstiltak og kommunikasjons- og innholdskontroll av informasjonssystemer

Nasjonal sikkerhetsmyndighet kan la andre virksomheter utføre inntrengningstesting, testing av sikkerhetstiltak og kommunikasjons- og innholdskontroll av informasjonssystemer etter § 61. Virksomhetene skal være leverandørklarert og ha personell med nødvendig klarering og kompetanse til å utføre slike undersøkelser.
Nasjonal sikkerhetsmyndighet skal inngå avtale med virksomheter som nevnt i første ledd om hvordan testene og kontrollene skal gjennomføres.