Kapittel 7. Beskyttelse av skjermingsverdige informasjonssystemer

§ 49. Forsvarlig sikkerhetsnivå for skjermingsverdige informasjonssystemer

Når en virksomhet håndterer en risiko knyttet til skjermingsverdige informasjonssystemer etter § 13, skal den oppnå et forsvarlig sikkerhetsnivå ved å

a.
beskytte data mot uønsket lesing og beskytte tjenester mot uønsket bruk
b.
beskytte data mot uønsket modifikasjon og beskytte tjenester mot uønsket modifikasjon og manipulasjon
c.
beskytte data mot uønsket sletting og beskytte tjenester mot uønsket reduksjon eller stans
d.
identifisere og autentisere brukere som kan påvirke informasjonssystemets funksjon, eller som kan få tilgang til data i systemet, før de gis tilgang til data og tjenester
e.
forhindre at falske data og tjenester introduseres i informasjonssystemet
f.
registrere bruk, misbruk og forsøk på misbruk av informasjonssystemet, tjenester og data
g.
systematisk kontrollere at sikkerhetstiltakene er korrekt implementert og ivaretar sikkerheten på en effektiv og hensiktsmessig måte.

Sikkerhetstiltakene skal være tilpasset systemets totale omfang og kompleksitet gjennom hele systemets levetid.

Sikkerhetstiltak som skal virke hurtig, eller som lett kan utløse feil når de utføres manuelt, skal automatiseres så langt det er praktisk mulig.

§ 50. Plikt til å sørge for godkjenning av skjermingsverdige informasjonssystemer

Når en virksomhet har besluttet å utvikle et skjermingsverdig informasjonssystem, skal den informere Nasjonal sikkerhetsmyndighet. Informasjonsplikten gjelder ikke dersom det ut fra § 51 er åpenbart at Nasjonal sikkerhetsmyndighet ikke trenger å godkjenne systemet.

En virksomhet skal sørge for at informasjonssystemer som skal behandle sikkerhetsgradert informasjon, er godkjent før de tas i bruk. Andre skjermingsverdige informasjonssystemer skal godkjennes så snart det er praktisk mulig. Virksomheten skal dekke kostnadene med godkjenningen.

§ 51. Godkjenningsmyndighet

Nasjonal sikkerhetsmyndighet godkjenner skjermingsverdige informasjonssystemer som er utpekt som, eller har avgjørende betydning for funksjonen til, et objekt eller en infrastruktur klassifisert KRITISK eller MEGET KRITISK.

Nasjonal sikkerhetsmyndighet godkjenner informasjonssystemer som behandler sikkerhetsgradert informasjon og som

a.
skal brukes i utlandet
b.
har forbindelse til informasjonssystemer i utlandet eller til andre virksomheters informasjonssystemer
c.
brukes eller har forbindelser utenfor områder virksomheten kontrollerer
d.
har brukere som ikke er sikkerhetsklarert for det graderingsnivået som behandles i informasjonssystemet eller informasjonssystemer dette har forbindelse til
e.
behandler informasjon som er gradert HEMMELIG, og som har brukere som ikke skal ha tilgang til all informasjon i informasjonssystemet eller de informasjonssystemer dette har forbindelse til
f.
behandler informasjon som er gradert STRENGT HEMMELIG.

En virksomhet som råder over et skjermingsverdig informasjonssystem som ikke er nevnt i første eller andre ledd, skal selv godkjenne systemet. Nasjonal sikkerhetsmyndighet og relevante tilsynsmyndigheter skal informeres om slike informasjonssystemer.

Nasjonal sikkerhetsmyndighet kan bestemme at en myndighet med tilsynsansvar eller virksomheten selv skal godkjenne et informasjonssystem som nevnt i andre ledd.

Departementet som har utpekt det skjermingsverdige objektet eller infrastrukturen, kan bestemme at godkjenning av skjermingsverdige informasjonssystemer etter første ledd skal gjøres av en myndighet med tilsynsansvar. Det skal gjøres en helhetsvurdering av om myndigheten har tilstrekkelig kompetanse til å godkjenne skjermingsverdige informasjonssystemer, eller kan få slik kompetanse uten uforholdsmessig store utgifter. En uttalelse fra Nasjonal sikkerhetsmyndighet skal inngå i vurderingen.

§ 52. Godkjenningen av et skjermingsverdig informasjonssystem

Godkjenningen av et skjermingsverdig informasjonssystem er en planlagt og systematisk gjennomgang av om virksomheten har oppnådd et forsvarlig sikkerhetsnivå. Virksomheten skal dokumentere at den på en tilfredsstillende måte har vurdert og håndtert risikoen, og den skal i forbindelse med dette ha

a.
identifisert behovet for beskyttelse, basert på informasjonssystemets funksjon og operative miljø
b.
fastsatt sikkerhetskrav ut fra behovet for beskyttelse
c.
etablert sikkerhetstiltak som oppfyller sikkerhetskravene gjennom hele informasjonssystemets levetid
d.
kontrollert at sikkerhetstiltakene fungerer etter sin hensikt.

§ 53. Godkjenningens varighet

En godkjenning av et skjermingsverdig informasjonssystem kan gis for inntil fem år. Hvis det oppstår en vesentlig endring som har betydning for beskyttelsen av informasjonssystemet og informasjonen, skal informasjonssystemet godkjennes på nytt.

§ 54. Midlertidig brukstillatelse

Foreligger det et særlig behov for å ta i bruk et skjermingsverdig informasjonssystem før det er godkjent, kan godkjenningsmyndigheten gi midlertidig brukstillatelse dersom

a.
behovet for beskyttelse er identifisert, basert på informasjonssystemets funksjon og operative miljø
b.
mangler som er forbundet med fastlegging av sikkerhetskrav, etablering av sikkerhetstiltak og sikkerhetstiltakenes funksjon, er identifisert og håndtert med kompenserende tiltak
c.
det foreligger en plan for å rette manglene.

Nasjonal sikkerhetsmyndighet kan i særlige tilfeller dispensere fra kravene i første ledd.

§ 55. Sammenkobling av informasjonssystemer som behandler sikkerhetsgradert informasjon

Dersom en sammenkobling av flere informasjonssystemer som behandler informasjon gradert KONFIDENSIELT eller høyere, medfører at systemene sikkerhetsmessig blir avhengige av hverandre på en uoversiktlig måte, skal sammenkoblingen skje via et eget informasjonssystem.

Slike sammenkoblinger skal reguleres i avtaler mellom de aktuelle virksomhetene. Avtalene skal avklare roller og ansvaret for sammenkoblingen og hvilken informasjon og hvilke tjenester som skal utveksles.