Sikkerhetsledelse

Sikkerhetsledelse som et kunnskapsområde i PRINSIX, er etablert for å ivareta skjermingsverdig informasjon, utstyr og materiell i henhold til gjeldende bestemmelser (sikkerhetslov, forskrifter, retningslinjer, direktiver og bestemmelser utgitt av myndigheter, FD, Forsvaret, osv.). Sikkerhetsledelse omfatter etablering av prinsipper for forebyggende sikkerhetsarbeid, fordeling av ansvar og myndighet, ivareta krav til løsning og tilrettelegge for effektiv gjennomføring og oppfølging av det forebyggende sikkerhetsarbeidet. På denne måten skal dette sikre at forsvarssektoren, ved gjennomføring av investeringsprosjekter, vurderer behovet for deling av skjermingsverdi informasjon og om investeringen er en sikkerhetsgradert anskaffelse.

Virksomhetens risikoanalyse og behov for skjerming av informasjon
Prosjekteier (PE) er ansvarlig for at det gjennomføres en risikovurdering ifm. konseptvalgutredningen (KVU) i konseptfasen. Dette oppdraget gis til den virksomheten som er bruker av løsningen, normalt til brukeransvarlig (BA)[1], og omfatter; verdivurdering, skadevurdering, trusselvurdering og sårbarhetsvurdering ifm. planlegging av prosjektet. Risikovurderingen skal følges opp og eventuelt revideres i forprosjektfasen, jf. sikkerhetsloven § 4-2 og virksomhetssikkerhetsforskriften § 12. Dette vil danne grunnlag for iverksetting av forebyggende sikkerhetstiltak. Prosjektdokumentene skal graderes/skjermes i henhold til det som fremkommer i skadevurderingen.

Prosjektansvarliges analyser og tester knyttet løsningens iboende evne til å møte sikkerhetskrav
Prosjektansvarlig (PA) gjennomfører egne tekniske risikovurderinger og tester, blant annet på bakgrunn av risikovurderingen og krav fra bruker (BA). Dette gjøres for å avdekke tekniske sårbarheter i materiell og EBA. Den tekniske risikovurderingen skal løpende oppdateres i hele prosjektets levetid og den kan endres ved oppdateringer eller endringer av bl.a. krav og brukerscenarier i prosjektet.

Ved store og komplekse prosjekter som for eksempel i prosjekter hvor det skal gjennomføres sikkerhetsgodkjenninger, skal det vurderes om det skal utpekes en egen Prosjektsikkerhetsleder. Dette er noe Prosjektlederen må vurdere ut fra tilgjengelige ressurser og egen kompetanse innen fagområdet. En egen prosjektsikkerhetsleder skal utnevnes skriftlig med roller, ansvar og myndighet. Dette kan gjøres i prosjektssikkerhetsplanen. I prosjekter som ikke har en egen prosjektssikkerhetsleder, vil Prosjektleder inneha denne rollen. Hvis anskaffelsen innebærer at systemer krever en sikkerhetsgodkjenning må prosjektleder påse at det stilles krav om dette, og at det er tilgjengelige ressurser til dette i prosjektet.

Krav til personvern, jf personopplysningsloven (GDPR)
Bruker (BA) skal parallelt med arbeidet med risikovurdering i konseptfasen gjennomføre en personvernkonsekvensanalyse (Data Protection Impact Assessment, DPIA) for løsningen, jf. EUs personvernforordning (GDPR) artikkel 35.

For prosjektleveranser til Forsvaret er DPIA todelt; først skal det gjennomføres en forhåndsvurdering av behovet for DPIA. jf. Bestemmelse om behandling av personopplysninger i Forsvaret (Pesonopplysningsbestemmelsen). Prosedyre og mal for forhåndsvurdering og gjennomføring av DPIA følger som vedlegg til Personopplysningsbestemmelsen i FOBID. Om forhåndsvurderingen konkluderer at DPIA er nødvendig skal det utarbeides en full personvernkonsekvensanalyse.

Ved utvikling eller anskaffelse av nye systemer stiller personvernregelverket også krav om innebygde personvernløsninger, jf. GDPR artikkel 25. Dette kravet er knyttet til  gjennomføring av DPIA. Krav om innebygd personvern innebærer å være i forkant med blant annet personvern som standardinnstilling, åpenhet, funksjonalitet og ivaretagelse av personvern og informasjonssikkerhet fra start til slutt.

Brukers krav til informasjonsskjerming og håndtering av informasjon i løsningen
Bruker (BA) skal med bakgrunn i risikovurderingen og personvernkonsekvensanalyse (jf. GDPR artikkel 25) fastsette krav til løsningen. Disse kravene skal være beskrevet i prosjektets kravdokument vedlegg B (kravdokument i KVU), og kravene må som regel utdypes i forprosjektfasen.

I sentralt styringsdokument (SSD) skal arkivreferansen til brukers risikovurdering og DPIA-vurdering/-analysen alltid oppgis under referanser.

Sikkerhetsgraderte anskaffelser og avtaler med leverandør
For å avklare et eventuelt behov for sikkerhetsavtaler/leverandørklareringer skal den som er utpekt av PE til å ivareta virksomhetens sikkerhetsansvar (normalt BA), sammen med prosjektet (PA), gjennomføre en egen vurdering av anskaffelsen for å dokumentere om hele eller deler av anskaffelsen er en sikkerhetsgradert anskaffelse, jf. ARF § 2-9 og sikkerhetsloven § 9-1.

Hvis en leverandør kan få tilgang til eller tilvirke skjermingsverdig informasjon herunder sikkerhetsgradert informasjon, eller tilgang til et skjermingsverdig objekt eller infrastruktur, er det tale om en sikkerhetsgradert anskaffelse. Det skal da inngås sikkerhetsavtale mellom Forsvarssektoren og leverandøren.
Sikkerhetsavtale skal være inngått før leverandøren kan få tilgang til eller tilvirke skjermingsverdig informasjon, herunder sikkerhetsgradert informasjon. Slike avtaler kan innebære klareringsbehov for personell hos leverandøren, inspeksjoner, godkjennelse av systemer hos leverandøren, leverandørklarering, m. v. Det skal tas forbehold om at slike forhold må kunne tilfredsstilles i konkurransegrunnlaget.

Personell skal i nødvendig grad sikkerhetsklareres og alltid være autorisert før tilgang til skjermingsverdig informasjon kan gis. Hvis det konkluderes med at det er en sikkergradert anskaffelse skal prosjektet sende egen dokumentasjon på dette til sikkerhetskontor på sentralt nivå hos PA. For den enkelte (del-)anskaffelse, skal det utarbeides en graderingsspesifikasjon for den enkelte leverandør og eventuelle underleverandører. Graderingsspesifikasjonen fastsetter graderingsnivå for de ulike deler av anskaffelsen slik at forsvarssektoren kan stille riktige krav til leverandør/underleverandører. Hvis denne graderingsspesifikasjonen viser at anskaffelsen er gradert, skal egen dokumentasjon på dette til sikkerhetskontor på sentralt nivå hos PA med oppdraget om å inngå avtale. For materiellprosjekter er dette 'Verdivurdering for sikkerhetsgraderte anskaffelser' (verdivurderingsskjemaet) [2] som sendes til Industrisikkerhetskontoret i FMA.
Sikkerhetsavtalene følger den enkelte (del-)anskaffelser.

For sikkerhetsgraderte anskaffelser skal det etableres en prosjektsikkerhetsplan. Dette er en plan for hvordan prosjektgjennomføringen skal skjermes i henhold til gjennomført risikovurdering og hvordan man implementerer forebyggende sikkerhet i prosjektet. Planen skal bygges på eksisterende styringssystem innen sikkerhet, slik at etablerte rutiner brukes. Planen skal dekke hele prosjektets levetid fra Ide- til Avslutningsfase. Planen må derfor oppdateres jevnlig og minimum ved oppstart av ny fase.

Ved mindre prosjekter kan prosjektsikkerhetsplanen være en del av prosjektledelsesplan (PLP).

Godkjenning og bruk av informasjonssystemer
Skjermingsverdige informasjonssystemer er systemer for behandling av skjermingsverdig informasjon eller systemer som i seg selv er avgjørende for grunnleggende nasjonale funksjoner. Eksempler på skjermingsverdige informasjonssystemer er systemer for saksbehandling av sikkerhetsgradert informasjon, systemer for informasjonsbehandling i våpensystemer og prosesstyringssystemer som i seg selv er, eller som har avgjørende betydning for grunnleggende nasjonale funksjoner. Sikkerhetsgodkjenningsprosessen kan være krevende, spesielt ved store kompleksere våpensystemer der det kreves dybdekunnskap for å kunne finne alle sårbarhetene. Se forørig NSM's Veileder For Godkjenning Av Informasjonssystem.

En virksomhet skal sørge for at informasjonssystemer som skal behandle sikkerhetsgradert informasjon, er godkjent før det de tas i bruk. Andre skjermingsverdige informasjonssystemer skal godkjennes så snart det er praktisk mulig. Virksomheten skal dekke kostnadene[3] med godkjenningen, jf. Virksomhetsikkerhetsforskriften §50.
Disse kravene om godkjenningen gjelder også for informasjonssystemer hos leverandør.

Lovverk og veiledninger:

Veiledninger og håndbøker utarbeidet av NSM er tilgjengelig på: https://www.nsm.stat.no/publikasjoner/regelverk/veiledninger/

___

[1] Den virksomhet som er normalt er hovedbruker er systemeier. Systemeier stiller krav til løsning og vurderer verdien til systemet og aksepterer eventuell restrisiko til systemet før bruk. Systemeier rollen vil også normalt sammenfallende med rollen brukeransvarlig (BA).

[2] Se forøvrig 'Skjemaer til bruk ved leverandørklarering' nede på siden https://www.nsm.stat.no/publikasjoner/skjema/

[3] En eventuell initial godkjenning/sertifisering for å ta løsningen(-e) i bruk finansieres av prosjektet forutsatt at omfanget er beskrevet og avtalt i oppdraget til prosjekt.



---o0o---