Lovområ der og åktører - ntnu.no · datamaskinen din mot uvedkommende, er det viktig at du tar en del forholdsregler. Nettvett.no gir deg råd og hjelp til bruk av datamaskiner

side 1

Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag

Lovområder og aktører Olav Skundberg

Opphavsrett: Forfatter

Lovområ der og åktører Innhold

1. LÆRINGSUTBYTTER OG PENSUM ..................................................................................................... 1

2. INNLEDNING ............................................................................................................................................. 2

3. LOV OM ELEKTRONISK KOMMUNIKASJON .................................................................................. 2

3.1. NIVÅ 1: SAMFERDSELSDEPARTEMENTET .............................................................................................. 2 3.2. NIVÅ 2: POST- OG TELETILSYNET (PT) ................................................................................................. 3 3.3. NIVÅ 3: NETTVETT ............................................................................................................................... 3

4. LOV OM PERSONVERN .......................................................................................................................... 5

4.1. NIVÅ 1: JUSTIS- OG POLITIDEPARTEMENTET ......................................................................................... 5 4.2. NIVÅ 2: DATATILSYNET ........................................................................................................................ 6 4.3. NIVÅ 3: INTERESSEORGANISASJONER FOR PERSONVERN ...................................................................... 9

5. LOV OM FOREBYGGENDE SIKKERHETSTJENESTE .................................................................... 9

5.1. NIVÅ 1: FORSVARSDEPARTEMENTET .................................................................................................... 9 5.2. NIVÅ 2: NASJONAL SIKKERHETSMYNDIGHET (NSM) .......................................................................... 10 5.3. NIVÅ 2: NASJONALE UTREDNINGER OG STRATEGIER .......................................................................... 10 5.4. NIVÅ 2: NORSIS ................................................................................................................................. 11 5.5. NIVÅ 3: IT-SIKKERHETSFORUM (ISF): ............................................................................................... 12

6. REFERANSER .......................................................................................................................................... 13

1. Læringsutbytter og pensum

Detaljerte læringsutbytter

Kunne beskrive hva som omhandles innen lovområdene for

o elektronisk kommunikasjon

o personvern

o informasjonssikkerhet

Kunne identifisere sentrale aktører innenfor disse lovområdene

Pensum i læreboka

Kap 3 – Lover og forskrifter,

Med spesiell vekt på kap 3.5, 3.6 og 3.8. Ekomloven er ikke omtalt i læreboka

Kap 4.4 – Sikkerhetsrelaterte organer

Med spesiell vekt på 4.4.1, 4.4.2, 4.4.10, 4.4.14

Kap 4.5, 4.6 og 4.7


Informasjonssikkerhet

side 2 av 13

2. Innledning

Lovområder

Informasjonssikkerhet er et stort tema som faller inn under en rekke lovområder, og dermed

er det også en rekke aktører som er involvert i dette. Denne leksjonen har valgt ut tre

lovområder som spesielt relevante:

Elektronisk kommunikasjon (ekom-loven)

Personvern (Personvernloven)

Informasjonssikkerhet (Sikkerhetsloven)

Ansvarsfordeling og myndighet

Vi har en generell treleddet ansvars- og oppgavefordeling i samfunnet som aktørene kan

grupperes etter. Aktørenes betydning avhenger til dels av hvem de fått sitt mandat eller

oppgave fra. Eksempelvis er et direktorat finansiert av departementet, mens en

brukerorganisasjon er finansiert av sine medlemmer.

Nivå 1: Departement som jobber med lover og politiske retningslinjer

Nivå 2: Tilsyn eller direktorater som er satt til å forvalte lovene på vegne av

departementene.

Nivå 3: Interesseorganisasjoner og «sentere» som jobber for fremme av

sikkerhetskunnskap for sine målgrupper.

Målgrupper

Aktørene har ulike målgrupper, som også kan grupperes i en tredeling. Vi kan kategorisere

sikkerhetsbetydningen som

Nasjonale interesser (infrastruktur og statlig virksomhet)

Virksomhetskritisk (daglige aktiviteter)

Enkeltpersoner (personlig utstyr)

3. Lov om elektronisk kommunikasjon

3.1. Nivå 1: Samferdselsdepartementet

Samferdselsdepartemetet har gitt ”Lov om elektronisk kommunikasjon (ekomloven)”:

http://www.lovdata.no/all/nl-20030704-083.html

Loven gir politiske føringer, slik det uttrykkes i lovens formål: Å sikre brukerne i hele landet

gode, rimelige og fremtidsrettede elektroniske kommunikasjonstjenester, gjennom effektiv

bruk av samfunnets ressurser ved å legge til rette for bærekraftig konkurranse, samt stimulere

til næringsutvikling og innovasjon.

Loven bestemmer ansvar og oppgaver i § 1-4. Myndighet etter loven er Kongen,

departementet og Post- og teletilsynet. Videre sier loven hva denne myndigheten har til

oppgave (§ 10-1): Myndigheten skal føre tilsyn med at krav fastsatt i, eller i medhold av,

loven er oppfylt.




side 3 av 13

3.2. Nivå 2: Post- og teletilsynet (PT)

På hjemmesiden http://www.npt.no for PT finner vi at ”PT er underlagt Samferdselsdepartementet

og driver tilsyn med dem som tilbyr post- og teletjenester. Loven gir politiske føringer, slik det

uttrykkes i lovens formål: Å sikre brukerne i hele landet gode, rimelige og fremtidsrettede

elektroniske kommunikasjonstjenester, gjennom effektiv bruk av samfunnets ressurser ved å

legge til rette for bærekraftig konkurranse, samt stimulere til næringsutvikling og

innovasjon. .

PT fører også tilsyn etter esignaturloven med utstedere av kvalifiserte sertifikater (fra 2001).

PT fører tilsyn med sertifikatutstedere etter den frivillige selvdeklarasjonsordningen basert på

kravspesifikasjonen for PKI i offentlig sektor (fra 2005).

PT driver nettstedet www.nettvett.no som gir informasjon, råd og veiledning om sikker bruk av

Internett.

PT deltar i omfattende øvingsvirksomhet for et sikrere samfunn, og har et tett samarbeid blant

annet med Direktoratet for samfunnssikkerhet og beredskap (DSB).

PT har altså en rolle som tilsyn for sikkerhet og beredskap i telekomnettet og gir informasjon

om hvilke plikter tilbyderne har, hva en bruker med samfunnskritisk funksjon er og hvilke

plikter og rettigheter han har. Regulatoriske virkemidler som lover, forskrifter eller

enkeltvedtak er vurdert som nødvendig for å få tilbyderne til å investere i tiltak rettet mot

sikkerhet og beredskap.

I tillegg til å føre tilsyn med sikkerhet i infrastruktur, fører også PT tilsyn med utstedere av

visse typer sertifikater for digital signering og identifisering.

Det siste som trekkes fram er at PT er involvert i å fremme alminnelig brukersikkerhet

gjennom et organ som heter Nettvett. Nettvett.no.

3.3. Nivå 3: Nettvett

PT driver opplysningsvirksomhet gjennom et nettsted som heter Nettvett. På hjemmesiden til

Nettvett http://www.nettvett.no/ finner vi at:

Nettvett.no er et nettsted hvor du finner informasjon, råd og veiledning om sikker bruk av

Internett. Informasjonen er rettet både mot forbrukere og små og mellomstore bedrifter.

Nettvett.no er laget av Post- og teletilsynet på oppdrag fra Samferdselsdepartementet og i

samarbeid med andre myndigheter, IKT-bransjen og representanter for brukerne.

På forsiden av nettvett kan man raskt få et overblikk over hva de gir råd om:

http://www.npt.no/

http://www.nettvett.no/




side 4 av 13

Under ”Beskytt datamaskinen” finner man følgende informasjon. Jeg har kopiert inn dette for

å vise hvilket detaljeringsnivå Nettvett holder seg på:

Slik sikrer du datamaskinen din

Lær å sikre datamaskinen mot trusler fra Internett. Det handler om det enkle fra hvordan du

surfer trygt - til det mer kompliserte om hvordan du setter opp en brannmur. For å sikre

datamaskinen din mot uvedkommende, er det viktig at du tar en del forholdsregler.

Nettvett.no gir deg råd og hjelp til bruk av datamaskiner og Internett på en sikker og god

måte.

Antivirus For å sikre seg mot direkte infisering av datamaskinen din er det viktig å ha et forsvarsverk.

Antivirusprogrammer fungerer som en vakt som sjekker alt og alle som kommer inn i

datamaskinen.

Hvis det viser seg at antivirusprogrammet har fått beskjed om at en fil eller program ikke er

sikkert, vil antivirusprogrammet hindre filen eller programmet i å virke og sette det i

karantene. Du vil da kunne gi beskjed til antivirusprogrammet om at filen er sikker og at den

skal slippes gjennom, eller slette den uten at den har fått gjort skade.

Brannmur

Brannmuren fungerer som et stengsel mot Internett. Den hindrer at andre datamaskiner og

programmer får tilgang til din datamaskins programmer. Det er viktig å ikke åpne for mange

porter i brannmuren da det kan gjøre det lettere for uvedkommende å snike seg inn i

datamaskinen din uten at du vet det.

Program og systemoppdatering

Programmene du har på datamaskinen blir gjerne utviklet. Det kan være at det er oppdaget et

sikkerhetshull i programmet eller at det kommer ny funksjonalitet. Mange programmer har

automatisk oppdatering. Det vil si at du får beskjed om at det finnes en oppdatering til

programmet og at du kan laste den ned.

I de tilfellene programvareleverandøren ikke tilbyr automatisk oppdatering, er du selv

ansvarlig for å sjekke etter oppdateringer. Det er viktig å gjøre det med jevne mellomrom.

Kommentar: Det er mange syn på hva som er gode råd til relativt uerfarne brukere. For min

del ville jeg føyd til adferd (sunn fornuft) på listen. Antivirusdatabaser er aldri helt oppdatert,

det utvikles stadig nye virus. Og program/operativsystem er aldri uten sikkerhetshull selv om

du har siste oppdatering. Derfor slipper man ikke unna med uforsiktigheter, man må kunne

vurdere hva slags nettsider man er inne på og hva slags filer man laster ned.



side 5 av 13

4. Lov om personvern

4.1. Nivå 1: Justis- og politidepartementet

Justis- og politidepartementet har laget ”Lov om behandling av personopplysninger

(personopplysningsloven)”: http://www.lovdata.no/all/nl-20000414-031.html. Formålet med

loven er gitt i § 1. Formålet med denne loven er å beskytte den enkelte mot at personvernet

blir krenket gjennom behandling av personopplysninger.

Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende

personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig

kvalitet på personopplysninger.

Det er i denne loven at datatilsynet får sitt mandat (§ 42): Datatilsynet er et uavhengig

forvaltningsorgan administrativt underordnet Kongen og departementet. Kongen og

departementet kan ikke gi instruks om eller omgjøre Datatilsynets utøving av myndighet i

enkelttilfeller etter loven.

Merk at loven definerer forskjellen på personopplysninger og sensitive personopplysninger.

Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson

Med sensitive personopplysninger menes opplysninger om

rasemessig eller etnisk bakgrunn,

politisk, filosofisk eller religiøs oppfatning

at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling

helseforhold

seksuelle forhold

medlemskap i fagforeninger

Loven stiller krav til hvordan informasjonssikkerhet skal ivaretas. Kjernen i dette er at

sikkerheten skal dokumenteres, slik at Datatilsynet kan vurdere denne. Og også fordi ansatte

skal kunne sette seg inn i hvordan informasjonssikkerheten ivaretas.

§ 13. Informasjonssikkerhet

Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske

tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet,

integritet og tilgjengelighet ved behandling av personopplysninger.

For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og

databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen

skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos

databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og

Personvernnemnda.

Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplysninger,

herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak.




side 6 av 13

Det står altså ikke i selve loven hva som er ”tilfredsstillende informasjonssikkerhet”, noe som

virksomheten må bestemme gjennom sin informasjonssikkerhetspolicy. Derimot står det i

loven at Kongen (myndigheten) kan gi forskrifter og regler om dette. Vi finner forskrifter i

”Personopplysningsforskriften”

http://www.lovdata.no/cgi-wift/ldles?doc=/sf/sf/sf-20001215-1265.html

og videre veiledning og kommentarer til denne fra Datatilsynet:

http://www.datatilsynet.no/upload/Dokumenter/infosik/veiledere/SV100_00.pdf

Vi skal se spesielt på forskrifter om innsyn i e-post i sammenheng med Datatilsynet.

4.2. Nivå 2: Datatilsynet

http://www.datatilsynet.no/

”Datatilsynet er oppretta for å sjå til at personopplysningslova vert fulgt. Formålet med lova

er å verne den einskilde mot krenking av personvernet gjennom bruk av personopplysningar.

Datatilsynet er både tilsyn og ombud. Datatilsynet er eit uavhengig forvaltningsorgan

administrativ underordna Kongen og departementet.”

Hjemmesiden til datatilsynet viser hvilke saker de har befatning med:

Jeg vil spesielt trekke frem spørsmålet om virksomheters rett til innsyn i ansattes e-post og

hva Datatilsynet gir av retningslinjer for dette. Personopplysningsforskriften sier dessuten at

Reglene gjelder så langt de passer for universiteters og høyskolers innsyn i studenters e-

postkasse.

Her er kopiert inn fra Datatilsynet det de sier om e-post, og hvor jeg har markert med gulskrift

spesielt relevant tekst:

Arbeidsgivers rett til innsyn i ansattes e-post . .

Her følger en oppdatert oversikt som i korte trekk viser reglene for innsyn i ansattes e-post og filområder. Reglene trådte i kraft 1. mars 2009. .






side 7 av 13

Bestemmelsene, som ble vedtatt 28. januar 2009, vil inngå som nytt kap. 9 i personopplysningsforskriften.

Bestemmelsene gjelder for innsyn i arbeidstakers e-postkasse mv. Formuleringen omfatter innsyn i eventuelle e-postkasser den ansatte har fått i virksomheten til bruk i sitt arbeide,

men også innsyn i og gjennomsøking av arbeidstakerens personlige område i virksomhetens

datanett og innsyn i annet elektronisk utstyr. Forutsetningen er at det er arbeidsgiver som

eier utstyret, og at arbeidstakeren har fått utlevert utstyret eller tilgang til det for bruk i sitt arbeid.

Bestemmelsene gjelder dermed ikke for innsyn i utstyr som den ansatte selv eier, selv om

dette fra tid til annen benyttes i arbeidet ved virksomheten. Arbeidsgiver vil som hovedregel være avskåret fra innsyn i slikt privateid utstyr.

Bestemmelsene gjelder heller ikke for innsyn i opplysninger som er lagret på fellesområder

eller e-postkasser som er felles for hele virksomheten. Her vil arbeidsgiver ha rett til innsyn uten at særlige vilkår må oppfylles først. De nye bestemmelsene er i hovedprinsippet i tråd med Datatilsynets tidligere praksis for innsyn i e-post.

ARBEIDSGIVERENS RETTIGHETER

Arbeidsgivere har bare rett til å gjennomsøke, åpne eller lese e-post i arbeidstakerens e-

postkasse dersom vilkår satt i § 9-2 (i personopplysningsforskriften /anm) er oppfylt.

Bestemmelsen inneholder flere alternative vilkår, og det er tilstrekkelig at ett av dem er

oppfylt. Bestemmelsene skiller ikke på om innholdet er å anse som privat eller virksomhetsrelatert. Vilkårene er imidlertid utformet slik at det bare unntaksvis vil være anledning til innsyn i private e-poster.

Innsyn skal alltid være saklig begrunnet. Hvis opplysningene lett kan fremskaffes uten innsyn

i e-post, vil kravet til saklig begrunnelse ikke være oppfylt. Prøv derfor å få tak i informasjonen på annen måte før innsyn gjøres. Merk også at det er forskjell på innsyn i

konkrete tilfeller som kan skje dersom vilkårene er oppfylt, og kontinuerlig overvåkning av den ansattes e-postkorrespondanse. Slik kontinuerlig overvåkning er ikke tillatt.

I følgende situasjoner kan innsyn være aktuelt:

* Når det er nødvendig for å ivareta den daglige driften.

Typisk ved arbeidstagerens fravær dersom det er god grunn til å tro at det er kommet

virksomhetsrelaterte meldinger i e-postkassen som arbeidsgiver trenger av driftshensyn.

Tidsaspektet har stor betydning og korte akseptfrister kan begrunne innsyn selv ved kortere fravær.

* Når det er nødvendig for å ivareta andre berettigede interesser ved virksomheten. Målestokken er hva man i alminnelighet anser som legitime hensyn ved en virksomhet. Det

kan for eksempel tenkes at innsyn kan begrunnes med et legitimt behov for å ivareta

virksomhetens rykte.

* Ved begrunnet mistanke om at bruk av e-postkassen medfører grovt brudd på de plikter

som følger av arbeidsforholdet. Pliktbruddet må være grovt. Kravet vil typisk være oppfylt

dersom e-postkassen benyttes til å gjennomføre straffbare forhold, for eksempel at den

ansatte laster ned og/eller videresender bilder av utuktig omgang med barn (barnepornografi) eller til ulovlig fildeling.

* Ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen kan gi grunnlag for oppsigelse eller avskjed. Situasjoner som er nevnt i merknadene er mistanke om at e-posten

benyttes til trakassering av kolleger eller til utsending av spam eller e-post med skadelig innhold.



side 8 av 13

Det er ikke anledning til å avtale innsyn i andre situasjoner enn det som følger av denne

bestemmelsen til arbeidstakerens ugunst. Hva som er til ugunst for arbeidstakeren må

vurderes konkret, men regler som gir arbeidsgiver større adgang til innsyn vil som hovedregel

være til ugunst for arbeidstakeren. Bestemmelsen er imidlertid ikke til hinder for at

arbeidstakeren selv uoppfordret gir arbeidsgiver rett til innsyn, for eksempel ved uventet sykdom.

Når innsyn skal gjennomføres

Arbeidstakeren skal så langt mulig varsles før innsyn og få anledning til å uttale seg før innsyn blir gjennomført! Varselet skal innholde informasjon om

Hvorfor vilkårene for innsyn anses oppfylt

Hvilke rettigheter arbeidstakeren har etter forskriften

Arbeidstakeren skal så langt mulig gis anledning til å være tilstede under innsynet og har rett

til å la seg bistå av tillitsvalgt eller annen representant. Arbeidstageren kan imidlertid fritt avstå fra å være tilstede eller avstå fra å ha noen representant.

Dersom innsyn skjer uten forutgående varsel, for eksempel dersom tidsaspektet tilsier at man

ikke rekker å varsle før innsyn eller den ansatte ikke er mulig å få tak i, skal den ansatte

underrettes i etterkant av innsynet.

Underretningen skal inneholde informasjon om

Hvorfor vilkårene for innsyn anses som oppfylt

Hvilke rettigheter arbeidstakeren har etter forskriften

Hvilken metode som er benyttet ved innsynet

Hvilke e-poster eller andre dokumenter som er åpnet samt

Resultatet av innsynet.

Ved arbeidsforholdets opphør

Det følger av § 9-4 at arbeidstakers e-postkasse skal avsluttes når arbeidsforholdet opphører.

Arbeidsgiver kan imidlertid kreve at arbeidstaker sorterer ut og arkiverer virksomhetsrelatert

e-post før e-postkassen slettes. Innsyn i e-postkassen før avslutning av denne vil eventuelt være begrenset av reglene som er beskrevet over.

Datatilsynet anbefaler

.Ha klare og tydelige retningslinjer om bruk av virksomhetens datasystem. Legg særlig vekt på

tiltak som kan hindre behovet for innsyn. Dette kan for eksempel være bruk av såkalt

fraværsassistent ved planlagt fravær. Videre må det tydelig gå frem om det skal være tillatt å benytte den personlige e-post adressen til privat bruk.

Dersom virksomheten tillater privat bruk, må man være konkret. Unngå uklare ord og fraser i

beskrivelsen av omfang, som for eksempel at ”rimelig privat bruk” og ”begrenset privat bruk”

er tillatt.

Definer hva som anses som et grovt brudd som kan føre til e-postinnsyn i virksomheten.



side 9 av 13

Definer når det kan bli aktuelt med innsyn i e-post, hvem som kan beslutte at innsyn skal skje, og hvilken fremgangsmåte man vil benytte i slike tilfeller.

Lag egne e-postadresser til tillitsvalgte som kan benyttes i deres tillitsverv.

RÅD TIL ARBEIDSTAKERE - RETTIGHETER

Begrens de private aktivitetene på arbeidsgivers datasystem. Datasystemet er ment for å

utføre arbeidsoppgaver. Prøv å unngå korrespondanse som ikke er jobbrelatert via e-posten på jobben.

Krev klare og tydelige retningslinjer for hva som er akseptabel/uakseptabel bruk av jobbens

datasystem, og om det er lov å bruke det til private gjøremål. Merk e-poster som er private

med ”privat” i emnelinjen og/eller lagre disse i et mappesystem som tydelig viser at innholdet er privat.

Husk at alt du foretar deg både på Internett og med e-postsystemet vil kunne spores tilbake til deg.

Så langt det er mulig, skal du varsles før innsyn eventuelt foretas. Du har krav på informasjon

om saken. Dette skal naturlig inneholde dokumentasjon for hvorfor det ble foretatt innsyn,

hvordan innsynet ble foretatt, hvilke e-poster eller andre dokumenter som ble åpnet og hva

man fant under innsynet.

4.3. Nivå 3: Interesseorganisasjoner for personvern

Digitalt personvern

• Opprettet august 2011 som respons på at Stortinget vedtok implementering av

DLD (Datalagringsdirektivet)

• http://www.digitaltpersonvern.no

Elektronisk Forpost Norge (EFN)

• EFN er en elektronisk borgerrettsorganisasjon - en rettighetsorganisasjon for

ALLES rettigheter - som jobber med medborgerskap og juridiske rettigheter i

IT-samfunnet.

• http://efn.no

5. Lov om forebyggende sikkerhetstjeneste

5.1. Nivå 1: Forsvarsdepartementet

Sikkerhetsloven trådte i kraft juli 2001 og sorterer under Forsvarsdepartementet. Formålet

med loven er å:

Motvirke trusler mot rikets sikkerhet

Ivaretas den enkeltes rettssikkerhet

Kontroll med forebyggende sikkerhetstjeneste

http://www.digitaltpersonvern.no/

http://www.digitaltpersonvern.no/

http://efn.no/

http://efn.no/



side 10 av 13

Denne loven etablerer Nasjonal Sikkerhetsmyndighet (NSM) med ansvar for å koordinere

forebyggende sikkerhetstiltak og kontrollere sikkerhetstilstanden.

5.2. Nivå 2: Nasjonal sikkerhetsmyndighet (NSM)

https://www.nsm.stat.no/

NSM skal holde Forsvarsdepartementet og Justisdepartementet orientert om

trygghetstilstanden i militær og sivil sektor. NSM er et direktorat underlagt

Forsvarsdepartementet.

Sett i forhold til IKT og sikkerhet så kan man merke seg at NSM står bak

SERTIT - sertifisering av IT-produkter

NorCERT - Norges nasjonale senter for håndtering av alvorlige dataangrep mot

samfunnskritisk infrastruktur og informasjon.

Årlig NSM sikkerhetskonferanse

Månedsrapport med en forenklet oppsummering av risikoen for alvorlige dataangrep

mot kritisk digital infrastruktur i Norge.

Fra månedsrapporten for august 2010 kan man lese i oppsummeringen, som her er vist for å få

et bilde av nivået de opererer på:

”Pulsen har vært forhøyet i nesten 2 uker. Den ble senket noen dager etter at lnk-sårbarheten på Microsoft Windows som blant annet Stuxnet brukte for spredning, ble patchet. Adobe kom med out-of-cycle oppdatering i uke 33 som dekker kritiske sårbarheter, deriblant en sårbarhet som ble presentert på BlackHat. Denne måneden hadde Microsoft tidenes største patchetirsdag. De sendte ut sikkerhetsoppdateringer for 31 sårbarheter hvorav 16 var definert som kritiske. I tillegg har det dukket opp en ny angrepsvektor på Microsoft Windows som omtales som "DLL load Hijacking". En midlertidig løsning for dette ble lansert siste uke i august. Denne perioden har som tidligere perioder vært preget av mye håndtering, koordinering og analyse i forbindelse med målrettede trojanere rettet mot NorCERT medlemmer og partnere. Av rutinesaker er det fortsatt mange phishing-saker, malware og infiserte maskiner som blir rapportert om til internettleverandørene. I august har Stuxnet fortsatt vært et viktig tema. NorCERTs avdelingsdirektør Christophe Birkeland har uttalt seg om Stuxnet i Aftenposten og på NRK Dagsrevyen. Stuxnet ble varslet av NorCERT til deltagere og andre potensielle brukere av SCADA-systemer i juli.”

5.3. Nivå 2: Nasjonale utredninger og strategier

Departementene kan iverksette utredninger av saker med samfunnsmessig interesse. Et slikt

område er nasjonal sikkerhet i IKT infrastruktur. Vi skal nå se forhistorien til etablering av

NorSIS og satsing på IKT-sertifisering. Det startet med utredningen ”Et sårbart samfunn” og

ble fulgt opp i ”Nasjonal strategi for informasjonssikkerhet”.

Justisdepartementet iverksatte en utredning som het ”Et sårbart samfunn”. Utredningen ble

lagt frem som Norges Offentlige Utredninger (NOU) nr 24 i år 2000, og betegnes derfor som

NOU 2000:24.


https://www.nsm.stat.no/Arbeidsomrader/Internettsikkerhet-NorCERT/Internettsikkerhet---NorCERT/Manedsrapport/

http://www.regjeringen.no/nb/dep/jd/dok/NOUer/2000/NOU-2000-24.html?id=143248



side 11 av 13

Et av de foreslåtte tiltakene i denne utredningen var å etablere et nasjonalt

sikkerhetssenter SIS. Senteret var i prøveperioden et samarbeidsprosjekt mellom

SINTEF og UNINETT og lokalisert i Trondheim.

Et annet av de foreslåtte tiltakene var å styrke IKT-tilsyn og sertifiseringsordninger,

dette handler om kvalitetssikring gjennom prosedyrebeskrivelser.

(Det kan i parentes bemerkes at utredningen også foreslår at IKT-sikkerhet etableres som eget

fag ved høgskoler og universitet. Sånn sett er dette faget i tråd med utredningens tilrådinger.)

Forsvars-, Nærings- og Justisdepartementet la så fram strategien ”Nasjonal strategi for

informasjonssikkerhet” i juni 2003.

Denne strategien sa at SIS skulle evalueres etter prøveperioden og vurderes for permanent

etablering (kap 6-III, side 21): Forsøksprosjektet Senter for informasjonssikring skal evalueres innen utgangen av 2004 og et forslag til en evt. permanent ordning fremmes. Senterets hovedoppgaver er å fremskaffe et helhetlig bilde av truslene mot norske IKT-systemer, formidle informasjon, kompetanse og kunnskap om trusler og mottiltak samt ivareta kontakt og samarbeid med tilsvarende organisasjoner i andre land. Det skal stimuleres til at flest mulig virksomheter, offentlige som private, innrapporterer sikkerhetshendelser til senteret i forsøksperioden.

Strategien forslo også at man skal satse på sertifisering av IT-sikkerhet (kap 6-IX, side 24): Etablerte sertifiseringsordninger for IT-sikkerhets implementering i organisasjoner (BS7799-ordningen under Norsk Akkreditering) og for IT-sikkerhet i produkter og systemer (SERTIT i Nasjonal sikkerhetsmyndighet) bør tas bredere i bruk av norske virksomheter.

5.4. Nivå 2: NorSIS

http://www.norsis.no/

Etter prøveperioden i Trondheim ble senteret permanent etablert som Nasjonalt senter for

informasjonssikring (NorSIS) i 01.01.2006 og plassert i Gjøvik.

Aktivitetene til NorSIS, og spesielt i tilknytning til informasjonssikkerhet i virksomheter, er

tema for neste leksjon, men på deres hjemmeside kan man lese:

”Norsk senter for informasjonssikring (NorSIS) er en del av regjeringens helhetlig satsing

på informasjonssikkerhet i Norge. NorSIS jobber for at informasjonssikkerhet skal bli

en naturlig del av hverdagen, gjennom å:

Bevisstgjøre om trusler og sårbarheter

Opplyse om konkrete tiltak gjennom nyheter, råd og veiledninger

Påvirke til gode holdninger innen informasjonssikkerhet

Målgruppen er norske virksomheter i privat og offentlig sektor, og NorSIS skal så langt som

mulig også imøtekomme innbyggernes behov. Alle samfunnsgrupper skal kunne dra nytte av

våre tjenester. NorSIS er faglig underlagt Fornyings-, administrasjons- og

kirkedepartementet.”

http://www.regjeringen.no/upload/kilde/mod/red/2000/0002/ddd/pdfv/249054-nasjonal_strategi_for_informasjonssikkerhet.pdf





side 12 av 13

5.5. Nivå 3: IT-SikkerhetsForum (ISF):

http://www.isf.no/

I motsetning til Nettvett og NorSIS, som er drevet og bekostet av det offentlige, er ISF en

interesseorganisasjon som bekostes av medlemmene. Stikkordet er nettverksbygging.

”ISF er en ideell organisasjon som skal arbeide med informasjonssikkerhet for medlemmene.

Medlemmene er organisasjoner innen så vel offentlig forvaltning som privat næringsliv og

felles for oss alle er interessen for informasjonssikkerhet. Målet er å samarbeide i prosjekter -

basert på medlemmenes kompetanse og erfaringer - for å belyse og avklare trusler og

sårbarheter for den enkelte organisasjon. I tillegg vil medlemmene opparbeide et nyttig

kontaktnett hvor de kan ta del i og samarbeide med andre i sikkerhetsarbeidet.”

http://www.isf.no/



side 13 av 13

6. Referanser Sortert i den rekkefølgen de dukker opp i leksjonen:

Ekomloven


Post- og teletilsynet (PT)

http://www.npt.no

Nettvett


Personopplysningsloven

http://www.lovdata.no/all/nl-20000414-031.html.

Personopplysningsforskriften


Personopplysningsforskriften, veiledning og kommentarer fra Datatilsynet:


Datatilsynet


Et sårbart samfunn


Nasjonal strategi for informasjonssikkerhet:

http://www.regjeringen.no/upload/kilde/mod/red/2000/0002/ddd/pdfv/249054-

nasjonal_strategi_for_informasjonssikkerhet.pdf

NorSIS


Norsk Akkreditering

http://www.akkreditert.no/no/

SERTIT

http://sertit.no/

Nasjonal sikkerhetsmyndighet (NSM)


Månedsrapport fra NSM

https://www.nsm.stat.no/Arbeidsomrader/Internettsikkerhet-NorCERT/Internettsikkerhet---

NorCERT/Manedsrapport/

ISF (IT sikkerhetsforum)

http://www.isf.no/


http://www.npt.no/










http://www.akkreditert.no/no/

http://sertit.no/




http://www.isf.no/

Documents

Lovområ der og åktører - ntnu.no · datamaskinen din mot uvedkommende, er det viktig at du tar en del forholdsregler. Nettvett.no gir deg råd og hjelp til bruk av datamaskiner