Forskrift om sikkerhetsadministrasjon.

DatoFOR-2001-06-29-723
DepartementForsvarsdepartementet
PublisertI 2001 hefte 8
Ikrafttredelse01.07.2001
Sist endretFOR-2012-06-22-580
EndrerFOR-1998-12-11-1193, FOR-1994-12-16-1110, FOR-1972-03-17-3352, FOR-1972-03-17-8580, FOR-1975-06-06-8583, FOR-1983-11-04-8584, FOR-1986-02-14-351
Gjelder forNorge
HjemmelLOV-1998-03-20-10-§5
Kunngjort29.06.2001
KorttittelForskrift om sikkerhetsadministrasjon

Kapitteloversikt:

Hjemmel: Fastsatt ved kgl.res. 29. juni 2001 med hjemmel i lov av 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven) § 5 femte ledd. Fremmet av Forsvarsdepartementet.
Endringer: Endret ved forskrift 22 juni 2012 nr. 580.

Kapittel 1. Alminnelige bestemmelser

§ 1-1.Formål og virkeområde

Forskriften har samme formål og virkeområde som sikkerhetsloven.

Forskriften gjelder den enkelte virksomhets sikkerhetsadministrasjon innen og på tvers av fagområdene informasjonssikkerhet, personellsikkerhet og sikkerhetsgraderte anskaffelser.

Forskriften gjelder sikkerhetsadministrasjon for å motvirke sikkerhetstruende virksomhet som spionasje, sabotasje og terrorhandlinger. Den enkelte virksomhets sikkerhetsadministrasjon skal samordnes og ses i sammenheng med forhold som skal motvirke andre tilsiktede hendelser, som for eksempel alminnelig vinningskriminalitet og skadeverk, og utilsiktede hendelser, som for eksempel naturkatastrofer og ulykker.

NSM kan gi nærmere bestemmelser om sikkerhetsadministrasjon i tilknytning til behandling av ATOMAL informasjon.

0Endret ved forskrift 22 juni 2012 nr. 580.
§ 1-2.Definisjoner

I forskriften forstås med:

1.Sikkerhetsadministrasjon; internkontroll ved gjennomføring av systematiske tiltak for å sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og revideres i samsvar med krav fastsatt i og i medhold av sikkerhetsloven.
2.Sikkerhetstruende hendelse; sikkerhetstruende virksomhet, kompromittering av skjermingsverdig informasjon og grove sikkerhetsbrudd.
3.Kompromittering; tap eller mistanke om tap av konfidensialitet, integritet eller tilgjengelighet for skjermingsverdig informasjon, herunder uønsket avhending, modifisering eller ødeleggelse.
4.Sikkerhetsbrudd; brudd på bestemmelse om sikkerhetstiltak gitt i sikkerhetsloven eller forskrifter til sikkerhetsloven.
5.Fagområder; informasjonssikkerhet, personellsikkerhet og sikkerhetsgraderte anskaffelser. Informasjonssikkerhet innen den enkelte virsomhet består av blant annet dokumentsikkerhet, informasjonssystemsikkerhet, fysisk sikring og administrativ kryptosikkerhet.

Kapittel 2. Ansvar og organisering

§ 2-1.Virksomhetens leder sitt ansvar

Virksomhetens leder har overordnet ansvar for den forebyggende sikkerhetstjeneste innen sitt ansvars- og myndighetsområde, herunder underlagte virksomheter.

Virksomhetens leder plikter å avsette nødvendige ressurser for å ivareta sikkerhetstjenesten.

§ 2-2.Den foresattes ansvar

Ivaretakelse og kontroll av sikkerheten skal integreres i virksomhetens øvrige aktiviteter. Enhver foresatt i virksomheten har ansvar for sikkerheten innen sitt ansvars- og myndighetsområde. Den foresattes ansvar gjelder også der utførelsen av sikkerhetsoppgaver er overlatt til private leverandører eller andre virksomheter.

Enhver foresatt skal påse at underordnede har en adferd som bidrar til å ivareta sikkerheten. Den foresatte skal løpende veilede underordnede. Anses en underordnet ikke å være sikkerhetsmessig skikket, skal den foresatte informere vedkommendes autorisasjonsansvarlige.

§ 2-3.Den enkeltes ansvar

Faste og midlertidig ansatte, samt innleid personell, skal i sitt arbeid eller oppdrag for virksomheten medvirke til en effektiv sikkerhetstjeneste.

Personellet skal

1.overholde krav til sikkerhet i sikkerhetsloven med forskrifter,
2.overholde instrukser for virksomhetens praktiske gjennomføring av sikkerhetstjenesten,
3.kjenne til sikkerhetsorganisasjonen ved virksomheten,
4.kjenne til prinsippene for risikohåndtering,
5.påpeke feil og mangler ved virksomhetens sikkerhetstjeneste, og
6.omgående rapportere sikkerhetstruende hendelser til sin nærmeste foresatte, virksomhetens leder eller den lederen bemyndiger.
§ 2-4.Fordeling av oppgaver

Virksomhetens leder skal så langt det er mulig innføre en fordeling av oppgaver og ansvar som reduserer muligheten for at enkeltpersoner kan undergrave sikkerheten i virksomheten. Utøvende og kontrollerende oppgaver innen sikkerhet skal fordeles på forskjellige medarbeidere i virksomheten.

§ 2-5.Virksomhetens sikkerhetsorganisasjon

Virksomhetens leder skal utpeke en sikkerhetsleder med stedfortreder og et tilstrekkelig antall personer i forhold til virksomhetens sikkerhetsbehov og fagområder som skal inngå i virksomhetens sikkerhetsorganisasjon. Dersom virksomheten har kryptomateriell skal det etableres en kryptosikkerhetsorganisasjon i samsvar med forskrift om informasjonssikkerhet. Dersom virksomheten har informasjonssystemer som håndterer sikkerhetsgradert informasjon skal det etableres en datasikkerhetsorganisasjon i samsvar med forskrift om informasjonssikkerhet.

Sikkerhetsleder og andre i sikkerhetsorganisasjonen skal forestå koordinering, rådgivning og kontroll av sikkerheten som foresatte og den enkelte er ansvarlig for. Sikkerhetsorganisasjonen skal være i stand til å håndtere generelle og tverrfaglige sikkerhetsmessige problemstillinger.

Oppgaven som sikkerhetsleder kan ivaretas av en som utfører sikkerhetsoppgaver innen et av fagområdene eller av en som er fristilt fra fagområdene. Sikkerhetsleder skal være norsk statsborger, med mindre NSM samtykker i annet. Sikkerhetslederen skal ha direkte tilgang til lederen i viktige sikkerhetssaker. Kryptosikkerhetsleder og ansvarlig for utøvelse av klareringsmyndighet skal ha direkte tilgang uavhengig av sikkerhetsleder, med mindre sikkerhetsleder selv ivaretar disse oppgavene. Virksomhetens leder kan bestemme at også ansvarlige for andre fagområder skal ha slik tilgang.

0Endret ved forskrift 22 juni 2012 nr. 580.
§ 2-6.Samordning

Ved større prosjekter eller anskaffelser som involverer sikkerhetsgradert informasjon skal det utpekes en prosjektsikkerhetsleder.

Den som foretar en anskaffelse er overordnet ansvarlig for sikkerheten hos leverandøren. Dette begrenser ikke leverandørens ansvar for egen sikkerhet. Forskrift om sikkerhetsgraderte anskaffelser § 2-4 tredje ledd regulerer det overordnede ansvaret for privat virksomhet som er leverandør til to eller flere offentlige virksomheter.

Dersom to eller flere virksomheter er tilkoblet et felles informasjonssystem, påhviler ansvaret for sikkerheten i informasjonssystemet felles overordnet virksomhet eller den denne utpeker, eller den som er utpekt i skriftlig avtale inngått mellom virksomhetene. I avtalen skal det fremgå hvilken sikkerhetsgrad informasjonssystemene er sikkerhetsgodkjent for, og hvilke sammenkoblinger med andre informasjonssystemer som tillates.

Kapittel 3. Veiledning, kompetanse og instrukser

§ 3-1.Veiledning

Virksomhetens leder skal sørge for at sikkerheten ivaretas i alle virksomhetens aktiviteter og at personellet jevnlig får veiledning. Lederen skal legge vekt på motivering og bevisstgjøring av behovet for sikkerhetstjeneste, herunder prinsippene for risikohåndtering.

Virksomheten skal sørge for at personellet har tilgang til og har lest og forstått de sikkerhetsbestemmelser som er relevante for den enkeltes arbeidsoppgaver.

§ 3-2.Kompetanse

Personell på alle nivåer i en virksomhet skal før de settes til tjeneste relatert til skjermingsverdig informasjon ha tilstrekkelig kompetanse i sikkerhetstjeneste tilpasset den enkeltes oppgaver.

Virksomheten skal sørge for at eget personell har gjennomført grunnleggende opplæring i sikkerhet.

Virksomheten skal ha oversikt over den sikkerhetsfaglige kompetansen til personellet generelt, og til personell i egen sikkerhetsorganisasjon spesielt. Virksomheten skal sørge for rutiner som sikrer at tilstrekkelig kompetanse i sikkerhetstjeneste utvikles og vedlikeholdes.

§ 3-3.Grunnlagsdokument for sikkerhet

Virksomhet med skjermingsverdig informasjon skal ha et ajourført grunnlagsdokument for sikkerhet. Grunnlagsdokumentet skal identifisere grunnleggende forutsetninger for virksomhetens håndtering av skjermingsverdig informasjon, herunder

1.sikkerhetsorganisasjonen og dens myndighet,
2.sikkerhetsmessig inndeling i fysiske områder ved virksomheten, og hvor sikkerhetsgradert informasjon tillates behandlet og oppbevart med angivelse av høyeste sikkerhetsgrad,
3.hvilke informasjonssystemer, herunder kryptosystemer, som håndterer sikkerhetsgradert informasjon, med angivelse av hvilken sikkerhetsgrad hvert system er sikkerhetsgodkjent for og i hvilke fysiske områder det enkelte system er plassert,
4.oversikt over kommunikasjon av sikkerhetsgradert informasjon som er etablert internt i virksomheten og mot andre virksomheter,
5.hvem som har behov for tilgang til hvilken type skjermingsverdig informasjon med tilhørende informasjonssystemer, og
6.planer, instrukser og annen dokumentasjon for sikkerhet.
§ 3-4.Instrukser for rutiner og prosedyrer

Virksomheten skal utarbeide skriftlige instrukser for rutiner og prosedyrer innenfor aktuelle fagområder. Instruksene skal tilpasses størrelsen og kompleksiteten på virksomheten, herunder virksomhetens sikkerhetsgraderte informasjon med tilhørende informasjonssystemer og styringssystemer.

Virksomheten skal ha oppdaterte lister over sikkerhetstiltak som kan iverksettes dersom risikoen øker ved for eksempel beredskap, krise eller krig. Det skal tas hensyn til behovet for å forsterke sikkerhetsorganisasjonen. Dersom det finnes en egen beredskapsorganisasjon ved virksomheten, skal forholdet mellom denne og sikkerhetsorganisasjonen være avklart. Beredskapsorganisasjonen og sikkerhetstiltakene skal dokumenteres i en beredskapsplan, og planen skal øves jevnlig og minst en gang i året.

§ 3-5.Stillingsbeskrivelser og arbeidsinstrukser

Myndighet, oppgaver og krav til kompetanse innen sikkerhetstjeneste skal beskrives i stillingsbeskrivelse eller arbeidsinstruks for de det gjelder.

Kapittel 4. Risikohåndtering og sikkerhetsrevisjon

§ 4-1.Risikohåndtering

Virksomhet med skjermingsverdig informasjon skal utøve risikohåndtering, ved å fastsette og gjennomføre sikkerhetstiltak etter en risikovurdering.

§ 4-2.Risikovurdering

Bestemmelsene om sikkerhetstiltak i sikkerhetsloven med forskrifter er minimumskrav. Disse kravene er basert på en generell risikovurdering i forhold til nivåene for sikkerhetsgradering og den generelle sikkerhetstrussel på nasjonalt nivå.

Den enkelte virksomhet skal foreta kontinuerlige risikovurderinger med utgangspunkt i grunnlagsdokumentet for sikkerhet. Det skal i risikovurderingen tas hensyn til lokale forhold av sikkerhetsmessig betydning for å

1.avdekke behov for tiltak utover minimumskravene i sikkerhetsloven med forskrifter,
2.avdekke overflødige og unødvendig overlappende sikkerhetstiltak, og
3.finne frem til mer kosteffektive tiltak som kan erstatte eksisterende tiltak.

Den enkelte ansatte og engasjerte som får befatning med skjermingsverdig informasjon skal foreta risikovurdering ved utførelse av aktivitet som kan få betydning for sikkerheten.

NSM kan pålegge en virksomhet å utarbeide skriftlig risikovurdering når særlige grunner foreligger, og bestemme hvilken vurderingsmetode som skal legges til grunn.

§ 4-3.Sikkerhetstiltak

Virksomheten skal sørge for gjennomføring og korrigering av sikkerhetstiltak med grunnlag i risikovurderingen de skal foreta i henhold til § 4-2 andre ledd.

§ 4-4.Sikkerhetsrevisjon og ledelsens evaluering

Virksomheten skal løpende kontrollere at sikkerhetstiltak som er pålagt eller besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Avvik som avdekkes ved sikkerhetsrevisjon skal fremlegges for virksomhetens leder for avklarering av tiltak som skal iverksettes.

Virksomhetens leder skal minst én gang i året evaluere den generelle sikkerhetstilstanden i virksomheten. Resultatet av sikkerhetsrevisjonen skal benyttes som et av grunnlagene for evalueringen.

Resultatet av sikkerhetsrevisjonen og ledelsens evaluering skal dokumenteres.

Kapittel 5. Reaksjon ved sikkerhetstruende hendelser

§ 5-1.Handling ved sikkerhetstruende hendelser

Ved sikkerhetstruende hendelser skal virksomheten der dette har skjedd

1.undersøke omstendighetene ved hendelsen, sikre eventuelle bevis, og gjennomgå relevante rutiner og systemer,
2.iverksette umiddelbare tiltak for å redusere skadeomfanget,
3.om nødvendig iverksette midlertidige eller permanente sikkerhetstiltak for å hindre gjentagelse, og
4.vurdere reaksjon overfor ansvarlige personer.
§ 5-2.Skadevurdering

Ved kompromittering av informasjon gradert KONFIDENSIELT eller høyere skal virksomheten som tilvirket informasjonen utarbeide skadevurdering. Skadevurderingen skal redegjøre for tiltak som kan redusere skaden, og adresseres til berørte virksomheter og andre som kan bidra til skadereduserende tiltak. I journal eller annet register hvor informasjonen er registrert, skal det registreres at kompromittering har skjedd med referanse til rapporter i saken. Kopi av skadevurderingen skal formidles til NSM.

§ 5-3.Sikkerhetsbrudd ved nødrett og nødverge

Sikkerhetsbrudd foretas uten straffansvar dersom vilkårene for nødrett eller nødverge i straffeloven § 47 eller § 48 er oppfylt. Forholdet skal rapporteres i samsvar med § 5-4 til § 5-6.

§ 5-4.Intern rapportering

Sikkerhetstruende hendelser skal snarest mulig rapporteres til virksomhetens leder.

Rapporterte sikkerhetstruende hendelser skal registreres. Registeret med tilhørende rapporter skal oppbevares i minst fem år.

§ 5-5.Rapportering mellom virksomheter

Virksomhet som oppdager kompromittering skal rapportere til virksomheten som har tilvirket informasjonen og andre virksomheter dette har betydning for. Rapporten skal redegjøre for mulig årsak til kompromitteringen og hva som er gjort for å hindre gjentagelse. Dersom forholdet skal rapporteres til NSM, kan kopi av rapportene til NSM benyttes ved rapportering til andre virksomheter.

§ 5-6.Rapportering til NSM

En virksomhet skal snarest mulig avgi foreløpig rapport til NSM dersom den oppdager:

1.sikkerhetstruende hendelser, eller
2.sikkerhetsbrudd vedrørende informasjon sikkerhetsgradert av utenlandske myndigheter eller internasjonal organisasjon.

Virksomheten skal avgi utfyllende rapport til NSM når det fremkommer ny viktig informasjon om et tidligere rapportert forhold.

Virksomheten skal avgi endelig rapport til NSM når saken anses avsluttet. Rapporten skal inneholde en sammenfatning av alle innhentede opplysninger og undersøkelser, og opplyse om tiltak som er gjennomført eller planlagt for å begrense muligheten for gjentakelse.

NSM skal i samsvar med gjeldende sikkerhetsavtaler avgjøre hvorvidt det skal rapporteres videre til fremmed stat eller internasjonal organisasjon.

NSM kan dispensere fra plikten til rapportering i første ledd.

0Endret ved forskrift 22 juni 2012 nr. 580.
§ 5-7.Rapportering til politiet

Virksomheten skal ved sikkerhetstruende hendelser vurdere å orientere eller avgi anmeldelse til politiet. Ved politianmeldelse skal NSM underrettes.

§ 5-8.Særbestemmelser for kryptosikkerhet

Ved sikkerhetstruende hendelser som retter seg mot kryptosikkerhet gjelder forskrift om informasjonssikkerhet § 7-41 til § 7-45 istedenfor denne forskrift.

Kapittel 6. Ikrafttredelse og endringer

§ 6-1.Endringer i andre forskrifter og instrukser

Fra den tid sikkerhetsloven trer i kraft gjøres følgende endringer i andre forskrifter og instrukser: --- 

6. Følgende regelverk oppheves:

-Instruks for behandling av dokumenter som av sikkerhetsmessige grunner må beskyttes (sikkerhetsinstruksen). Fastsatt ved kgl.res. av 17. mars 1972 nr. 8580.
-Forsvarssjefens utfyllende bestemmelser til sikkerhetsinstruksen. Fastsatt av Forsvarssjefen april 1989.
-Direktiv for beskyttelse av elektronisk informasjon sikkerhetsgradert etter sikkerhetsinstruksen eller beskyttelsesinstruksen (datasikkerhetsdirektivet). Fastsatt av Forsvarssjefen 28. januar 1998.
-Direktiv for vurdering av tempesttrusselen og fastsettelse av tempestmottiltak for elektronisk utstyr som skal behandle informasjon gradert etter sikkerhetsinstruksen eller beskyttelsesinstruksen (tempestdirektivet). Fastsatt av Forsvarssjefen 20. september 1994.
-Direktiv for kryptotjenesten i statsforvaltningen (kryptodirektivet). Utgitt av Forsvarets overkommando (udatert).
-Direktiv for klassifisering og behandling av CCI-materiell (CCI-direktivet). Utgitt av Forsvarets overkommando 1. juli 1998.
-Regler for kontroll og bruk av nasjonal kryptoalgoritme og -krets og kontroll og bruk av utstyr hvor kretsen inngår (NSK-direktivet). Utgitt av Forsvarets overkommando 15. mars 1996.
-Direktiv for monitoringstjenesten i Forsvaret. Fastsatt av Forsvarssjefen 12. mai 1980.
-Direktiv for TSU-tjenesten i Forsvaret. Fastsatt av Forsvarssjefen 1. januar 1980.
-Forskrift av 6. juni 1975 nr. 8583 om sikkerhetsmessig kontroll av utenlandske statsborgere som er tenkt nyttet i den sivile del av statsforvaltningen.
-Forskrift om personellsikkerhetstjenesten og personkontrolltjenesten innen den sivile forvaltning. Fastsatt ved Kronprinsreg.res. av 4. november 1983 nr. 8584.
-Direktiv for personellsikkerhetstjenesten i Forsvaret. Fastsatt av Forsvarsdepartementet februar 1990.
-Utfyllende bestemmelser til direktiv for personellsikkerhetstjenesten i Forsvaret. Fastsatt av Forsvarssjefen 12. juli 1990.
-Forsvarssjefens bestemmelser for sikkerhetsmessig ledelse og kontroll av vernepliktige mannskaper. Utgitt av Forsvarssjefen 30. mars 1995.
-Sikkerhetstjenesten i industrien. Sikkerhetsdirektiv for forvaltningsorganer ved anskaffelse av varer og tjenester. Fastsatt av Forsvarsdepartementet november 1989.
-Sikkerhetstjenesten i industrien. Sikkerhetsbestemmelser for leverandører av varer og tjenester til forvaltningsorganer. Fastsatt av Forsvarsdepartementet november 1989.
-Forsvarssjefens hovedretningslinjer for sikkerhetstjenesten. Utgitt av Forsvarets overkommando 20. januar 1994.
§ 6-2.Ikrafttredelse

Denne forskrift trer i kraft 1. juli 2001.