Informasjonssikkerhet og personvern i IKT-anskaffelser

Før du kjøper IKT må du gjøre en risikoanalyse. Den hjelper deg til å få oversikt over hvilke behov du har for informasjonssikkerhet i det du skal anskaffe.

Publisert: 20. jun 2019, Sist endret: 20. Mar 2020

Informasjonssikkerhet

er å sørge for at systemer og tjenester er tilstrekkeleg sikret for slik at informasjon

  • ikke blir kjent tfor uvedkommande
  • ikke blir endret utilsiktet
  • er tilgjengelig ved behov

Hvordan får du oversikt over sikkerhetsbehovene dine?

Du må kartlegge

  • dine arbeidsprosesser
  • hva slags informasjon som behandles i arbeidsprosessene
  • hvilke sikkerhetsbehov du har knyttet til informasjonen

Sammenheng mellom risikovurderinger og anskaffelsesprosessen

Figur om risikovurdering
 
 

Generelle sikkerhetskrav

Eksempler på generelle sikkerhetskrav kan være:

  • Krav til teknisk sikkerheti løsningen,
  • Krav om tilgangsstyring hos kunde og leveradnør
  • Krav til håndtering av data
  • Sikkerhetskrav som fremgår av det regelverket systemet skal støtte

Du ma minimun sikre deg at:

  1. Systemet fungerer som det skal i henhold til spesifikasjonene dine.
  2. Uvedkomne ikke kan få tilgang til informasjon som behandles i systemet.
  3. Informasjonen som behandles i systemet ikke kan endres eller går tapt.
  4. Informasjonen som behandles i systemet, er tilgjengelig for de som har behov for det

Personvern

Databehandleravtale

Personvernforordningen (GDPR) stiller spesifikke krav om hvordan personopplysninger skal håndteres. Blant annet kreves det at du inngår en databehandleravtae med leverandører som behandler personopplysninger på din virksomhets vegne. Digitalseringsdirektoratet har utarbeidet en databehandleravtale som er egnet til enklere databehandlingsoppdrag: 
Digitaliseringsdirektoratets databehandleravtale.

Innebygd personvern

Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Dette skal sørge for at informasjonssystemene oppfyller personvernprinsippene og at de registrertes rettigheter ivaretas.

Personopplysningslovens artikkel 25 stiller krav til virksomheter om innebygd personvern.

Datatilsynet gir råd og veiledning for personvern.

På Datatilsynets nettsider finner du de syv stegene til innebygd personvern, også kjent som "Privacy by Design - the 7 Foundational Principles".

De syv stegene til innebygd personvern:

1. Vær i forkant, forebygg fremfor å reparere

2. Gjør personvern til standardinnstilling

3. Bygg personvern inn i designet

4. Skap full funksjonalitet

5. Ivareta informasjonssikkerheten fra start til slutt

6. Vis åpenhet

7. Respekter brukerens personvern

Alle som behandler personopplysninger må opptre i samsvar med personvernprinsippene, og det er viktig å kjenne til disse prisippene når du skal utvikle et system som skal behandle personopplysninger.

Datatilsynet har laget veileder om hvordan man går fram for å sikre innebygd personvern i et system eller en løsning, Programvareutvikling med innebygd personvern.

Sikkerhetsloven og offentlige anskaffelser

Alle offentlige virksomheter skal i utgangspunktet gjennomføre offentlige anskaffelser i henhold til  lov og forskrift om offenlige anskaffelser.

  • I forskrift om offentlige anskaffelse § 2-2 b er det unntak fra loven og forskriften hvis anskaffelsene er «erklært hemmelige eller bare kan utføres under særlige sikkerhetstiltak i henhold til lov, forskrift eller forvaltningsvedtak, og de aktuelle vesentlige interessene ikke kan sikres gjennom mindre inngripende tiltak.»
  • Hvis virksomheten skal gjøre en anskaffelse som innebærer at leverandører kan få tilgang til eller tilvirker sikkerhetsgradert informasjon eller får tilgang til et skjermingsverdig objekt eller infrastruktur, er dette en sikkerhetsgradert anskaffelse etter § 9-1 i Sikkerhetsloven. Anskaffelsen skal da gjennomføres som en sikkerhetsgradert anskaffelse i henhold til reglene i sikkerhetsloven kapitel 9 og virksomsikkerhetsforskriften kapitel 13, jf klareringsforskriften kapitel 4.
  • Sikkerhetsloven har også bestemmelser som retter seg mot anskaffelser som  som ikke er sikkerhetsgradert Dette gjelder anskaffelser av skjermingsverdige ugraderte informasjonssystemer. Disse anskaffelsene skal gjennomføres etter reglene i lov og forskrift om offentlige anskaffelser, men skal suppleres med enkelt bestemmelser i sikkerhetsloven.

Hva er et skjermingsverdig informasjonssystem?
Ifølge Sikkerhetslovens §6-1 er et informasjonssystem skjermingsverdig dersom det behandler skjermingsverdig informasjon. Det er også skjermingsverdig dersom det i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner.

Hva er skjermingsverdig informasjon?
Informasjon er skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig (Sikkerhetsloven § 5-1). Skjermingsverdi informasjon kan være ugradert og gradert. Skjermingsverdig informasjon skal sikkerhetsgraderes dersom det kan få skadefølger hvis uvedkommende får kjennskap til informasjonen.

Hva er grunnleggende nasjonale funksjoner?
Grunnleggende nasjonale funksjoner er tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale interesser. (Sikkerhetsloven §1-5). Departementene har ansvar for å identifisere og holde oversikt over grunnleggende nasjonale funksjoner innenfor sine ansvarsområder og melde inn oversikten til Nasjonal sikkerhetsmyndighet (NSM).

Anskaffelser av skjermingsverdige ugraderte informasjonssystemer.
Før du gjør anskaffelsen skal du  gjennomføre en egen risikovurdering hvor du vurderer risikoen for at anskaffelsen kan føre til at informasjonssystemet kan bli rammet av eller brukt til sikkerhetstruende virksomhet..  

Deretter utformer du sikkerhetskrav på basis av den risikovurderingen du har gjort. Du må stille krav om at systemet tilfredstiller gerenrelle sikkerhetskrav og andre krav som som er blitt avdekket i risikovurderingen. 

Der en anskaffelse gir tilgang til ugradert skjermingsverdige informasjonssystemer eller ugradert skjermingsverdig informasjon, skal det inngås en avtale mellom virksomheten og leverandøren hvor det fastsettes hvordan leverandøren skal forholde seg til kravene som gjelder for anskaffelsen.  (Virksomsikkerhetsforskriften § 18)

Veiledning til sikkerhetsloven
NSM forvalter sikkerhetsloven og utgir veiledere om hvordan loven skal forstås. Disse veilederne er å finne på NSMs hjemmeside.

 

Deldette

Hjelp oss å lage bedre nettsider

Fant du det du lette etter?

Hjelp oss å lage bedre nettsider
*