Kapittel 6. Beskyttelse av informasjon gradert KONFIDENSIELT eller høyere

§ 34. Forsvarlig sikkerhetsnivå for informasjon gradert KONFIDENSIELT eller høyere

Når en virksomhet håndterer en risiko knyttet til sikkerhetsgradert informasjon etter § 13, er kravet til et forsvarlig sikkerhetsnivå oppfylt dersom

a.
uautoriserte personer ikke kan få tilgang til informasjon gradert KONFIDENSIELT eller høyere, uten at virksomheten oppdager det
b.
uautoriserte personer ikke kan få tilgang til informasjon gradert HEMMELIG eller høyere, uten at virksomheten oppdager det og kan begrense skadefølgene
c.
risikoen for at uautoriserte personer får tilgang til informasjon gradert STRENGT HEMMELIG reduseres til et ubetydelig nivå.

§ 35. Sending av informasjon gradert KONFIDENSIELT eller høyere

Når informasjon som er gradert KONFIDENSIELT eller høyere, skal sendes fysisk, skal det brukes en kurér. Dersom informasjonen er gradert HEMMELIG eller STRENGT HEMMELIG, skal i tillegg mottakeren kvittere for at sendingen er mottatt.

Dersom informasjon med ulik sikkerhetsgradering sendes sammen, skal det ligge ved en liste med oversikt over informasjonen og sikkerhetsgradene.

§ 36. Pakking av informasjon gradert KONFIDENSIELT eller høyere

Når informasjon som er gradert KONFIDENSIELT eller høyere, skal sendes fysisk, skal emballasjen være dobbel, ugjennomsiktig og av solid kvalitet. Emballasjen skal ikke kunne åpnes uten at det er sporbart. Den ytre emballasjen skal ikke vise at sendingen inneholder sikkerhetsgradert informasjon. Den indre emballasjen skal forsegles og merkes med sikkerhetsgrad.

§ 37. Krav til oversikt over informasjon gradert KONFIDENSIELT eller høyere

En virksomhet skal ha en oversikt over hvor dens egne dokumenter og lagringsmedier med informasjon som er gradert KONFIDENSIELT eller høyere, til enhver tid befinner seg. I tillegg skal virksomheten ha en oversikt over hvilke dokumenter og lagringsmedier med informasjon som er gradert KONFIDENSIELT eller høyere, som er mottatt fra eller sendt til andre virksomheter.

§ 38. Soneinndeling for informasjon gradert KONFIDENSIELT eller høyere

Virksomheter som har informasjon som er gradert KONFIDENSIELT eller høyere, skal etablere en kontrollert og beskyttet sone for å beskytte den sikkerhetsgraderte informasjonen.

Dersom virksomheten har et område med direkte tilgang til informasjon gradert KONFIDENSIELT eller høyere, skal det etableres en sperret sone rundt området.

§ 39. Kontrollert sone

En kontrollert sone skal være et tydelig avgrenset område der virksomheten skal kunne ha kontroll med personer, kjøretøy og annen aktivitet.

Ved særlig høy risiko skal adgang og ferdsel kontrolleres med en fysisk avgrensning.

§ 40. Beskyttet sone

En beskyttet sone skal ha en fysisk avgrensing der sikkerhetstruende virksomhet skal kunne oppdages.

I en beskyttet sone skal dokumenter og lagringsmedier med informasjon som er gradert KONFIDENSIELT eller høyere, lagres i en oppbevaringsenhet godkjent av Nasjonal sikkerhetsmyndighet, eller være under stedlig vakthold.

Personer som skal gis permanent adgang til en beskyttet sone, skal være sikkerhetsklarert for KONFIDENSIELT. Dersom andre personer skal gis adgang, skal adgangen registreres, og personene skal følges av personer med permanent adgang.

Det skal være kontroll med adgangen til en beskyttet sone, og det skal være synlig hvem som har permanent adgang dit.

§ 41. Sperret sone

En sperret sone skal være tydelig merket med det høyeste tillatte graderingsnivået og sikres i samsvar med dette graderingsnivået.

Personer som skal gis permanent adgang til en sperret sone, skal være sikkerhetsklarert og autorisert for informasjonen i området. Dersom andre personer skal gis adgang, skal adgangen registreres, og personene følges av personell som har permanent adgang.

Det skal være kontroll med adgangen til en sperret sone, og det skal være synlig hvem som har permanent adgang til sonen.

§ 42. Behandling av informasjon gradert KONFIDENSIELT eller høyere

Dokumenter eller lagringsmedier med informasjon som er gradert KONFIDENSIELT eller høyere, skal bare oppbevares og behandles i en beskyttet eller sperret sone.

Slike dokumenter eller lagringsmedier kan likevel oppbevares og behandles utenfor en beskyttet eller sperret sone når dette er godkjent av virksomheten på bakgrunn av en vurdering av risiko. Virksomheten skal holde oversikt over slike godkjenninger.

Dersom sikkerhetsgradert informasjon behandles eller oppbevares utenfor en beskyttet eller sperret sone, skal virksomheten gjennomføre nødvendige tiltak for å beskytte informasjonen, slik at den ikke blir kjent for uautoriserte personer, går tapt, blir endret eller blir gjort utilgjengelig.

Dokumenter eller lagringsmedier med informasjon gradert KONFIDENSIELT kan tas med til et NATO-land eller en stat Norge har en sikkerhetsavtale med, dersom en person som er klarert for innholdet, tar vare på informasjonen gjennom hele reisen, og det er mulig å deponere informasjonen ved en norsk utenriksstasjon eller et annet norskkontrollert område ved ankomst. Informasjon gradert HEMMELIG eller STRENGT HEMMELIG må sendes med en kurér, jf. § 45.

§ 43. Særlige krav for informasjon gradert HEMMELIG eller høyere

Når dokumenter eller lagringsmedier gradert HEMMELIG eller høyere skal fordeles internt i en virksomhet, skal mottakeren bekrefte mottaket.

Destruering av informasjon gradert HEMMELIG eller høyere skal kontrolleres og bekreftes av minst to autoriserte personer.

§ 44. Rapportering av informasjon gradert STRENGT HEMMELIG

Virksomheter som har dokumenter eller lagringsmedier med informasjon gradert STRENGT HEMMELIG, skal hvert år kontrollere at dokumentene og lagringsmediene befinner seg i virksomheten. Kontrollen skal foretas på grunnlag av oversikten per 31. desember. Virksomheten skal innen utgangen av januar hvert år sende en oversikt over slike dokumenter og lagringsmedier til det departementet som er ansvarlig for det forebyggende sikkerhetsarbeidet innenfor sektoren. Departementet skal innen utløpet av februar hvert år sende Nasjonal sikkerhetsmyndighet en samlet oversikt over dokumenter og lagringsmedier med informasjon gradert STRENGT HEMMELIG innenfor sin sektor. Oversiktene skal graderes HEMMELIG.

Forsvarsdepartementet kan dispensere fra kravet i første ledd tredje punktum.

§ 45. Krav til forsendelse med kurér

Virksomheter som utfører kurérposttjeneste, skal sikre at informasjonen ikke blir kjent for uautoriserte personer. Avsenderen skal utstede et kurérsertifikat for hvert oppdrag og legge en plan for gjennomføringen av oppdraget. Kureren skal være sikkerhetsklarert for sikkerhetsgraden på den informasjonen som fraktes.

Med mindre Nasjonal sikkerhetsmyndighet gir tillatelse til noe annet, skal kurérpost til utlandet sendes som diplomatisk post, eller med en kurér fra Forsvaret eller utenrikstjenesten.

§ 46. Beskyttelse av rom og lokaler for tale som oppfyller vilkårene for å bli gradert KONFIDENSIELT eller høyere

Tale som inneholder informasjon som oppfyller vilkårene for å være gradert KONFIDENSIELT eller høyere dersom den nedtegnes eller tas opp, skal skje i sikrede rom og lokaler, slik at informasjonen ikke blir kjent for uautoriserte personer.

En virksomhet skal føre oversikt over hvilke personer som har selvstendig tilgang til et rom eller lokale som nevnt i første ledd, og det skal føres en oversikt over hvem som har besøkt rommet eller lokalet. Det skal være tydelig merket i rommet eller lokalet hvilket graderingsnivå informasjonen som framkommer der, kan oppfylle vilkårene for.

En virksomhet skal be Nasjonal sikkerhetsmyndighet vurdere om det skal gjennomføres en teknisk sikkerhetsundersøkelse før et rom eller lokale som nevnt i første ledd tas i bruk. Dersom det gjennomføres en slik undersøkelse, skal virksomheten legge Nasjonal sikkerhetsmyndighets rapport fra undersøkelsen til grunn når den sikrer rommet eller lokalet. Virksomheten skal også be Nasjonal sikkerhetsmyndighet om teknisk sikkerhetsundersøkelse dersom det skjer vesentlige endringer i et rom eller lokale som nevnt i første ledd, ved mistanke om at informasjon som nevnt i første ledd er blitt kjent for uautoriserte, og ved mistanke om at uvedkommende har hatt adgang til rommet eller lokalet.

§ 47. Tekniske sikkerhetsundersøkelser (TSU)

I vurderingen av om tekniske sikkerhetsundersøkelser etter sikkerhetsloven § 5-5 skal gjennomføres, skal det legges vekt på

a.
om den aktuelle virksomheten kontrollerer områdene som grenser til lokalet, bygningen eller objektet
b.
om lokalet, bygningen eller objektet befinner seg i utlandet
c.
hvilket graderingsnivå informasjonen i tale som skal forekomme i lokalet, bygningen eller objektet, oppfyller vilkårene for
d.
om det er en risiko for at uvedkommende har hatt tilgang til lokalet, bygningen eller objektet siden forrige tekniske sikkerhetsundersøkelse der.

Det skal inngås en avtale med virksomheten om hvilket personell som skal stå for undersøkelsen, og hva undersøkelsen skal omfatte.

Nasjonal sikkerhetsmyndighet skal forhåndsvarsle Politiets sikkerhetstjeneste om at tekniske sikkerhetsundersøkelser skal gjennomføres. Varslingsplikten gjelder ikke ved gjennomføring av tekniske sikkerhetsundersøkelser i Forsvaret.

Nasjonal sikkerhetsmyndighet skal rapportere resultatene av tekniske sikkerhetsundersøkelser til virksomheten som råder over lokalet, bygningen eller objektet, og myndigheten som etter loven fører tilsyn med virksomheten. Rapporten skal kun i nødvendig grad inneholde informasjon som identifiserer enkeltpersoner som har begått sikkerhetsbrudd.

Informasjonen fra den tekniske sikkerhetsundersøkelsen skal slettes senest innen tre måneder etter at oppdraget er avsluttet. Informasjonen kan likevel bevares lengre enn tre måneder, dersom dette er nødvendig for å håndtere sårbarheter eller sikkerhetstruende virksomhet. Det samme gjelder dersom det er nødvendig av hensyn til kontrollvirksomheten til Stortingets kontrollorgan for etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-utvalget).

§ 48. Bruk av tredjepart til å utføre tekniske sikkerhetsundersøkelser

Nasjonal sikkerhetsmyndighet kan la andre virksomheter utføre tekniske sikkerhetsundersøkelser. Virksomhetene skal være leverandørklarert og ha personell med nødvendig klarering og kompetanse til å utføre slike undersøkelser. Nasjonal sikkerhetsmyndighet skal inngå en avtale med den aktuelle virksomheten om hvordan de tekniske sikkerhetsundersøkelsene skal gjennomføres.