Risikotrekant

Sikkerhetsledelse

 - forebyggende sikkerhet i prosjekter

Hensikten med sikkerhetsledelse er å ivareta forebyggende sikkerhet i prosjekter best mulig, og i tilstrekkelig grad, beskytte skjermingsverdig informasjon, objekter, EBA, utstyr og materiell og iverksette personellsikkerhetstiltak i henhold til gjeldende bestemmelser i lov og forskrifter, og veiledere utgitt av Nasjonal sikkerhetsmyndighet (NSM). Sikkerhetsledelse omfatter utøvelse av forebyggende sikkerhetsarbeid (sikkerhetsstyring), fordeling av ansvar og myndighet for å ivareta krav til løsning og tilrettelegge for effektiv gjennomføring og oppfølging av det forebyggende sikkerhetsarbeidet. Målet med virksomhetens sikkerhetsstyring er å styre sikkerhetsarbeidet for å oppnå og opprettholde et forsvarlig sikkerhetsnivå, basert på den risiko virksomheten er eksponert for. Sikkerhetsstyring handler om systematiske aktiviteter som er nødvendige for å beskytte verdiene mot tilsiktede uønskede handlinger. Dette skal sikre at det tidlig i prosjektforløpet blir vurdert behov for deling av og/eller tilgang til skjermingsverdig; informasjon, objekt, informasjonssystem og infrastruktur. Videre skal dette også bidra til at prosjektet kan planlegge med eventuell støtte til virksomhetens søknad om godkjenning eller regodkjenning for bruk av nye eller oppdaterte systemer eller løsninger.

Virksomhetens risikovurdering og behov for skjerming og beskyttelse

Prosjekteier (PE) er som virksomhet ansvarlig for at det gjennomføres risikovurdering innen forebyggende sikkerhet (bestående av verdi-, trussel- og sårbarhetsvurdering) i henhold til virksomhetssikkerhetsforskriften. Risikovurderingen skal gjøres i forbindelse med konseptvalgutredningen (KVU) i konseptfasen, basert på den initiale og forenklede risikovurderingen som skal ha blitt gjennomført allerede under prosjektidéfasen. Dette oppdraget gis til virksomheten som er bruker av løsningen, normalt brukeransvarlig (BA)[1]. Denne risikovurderingen som er knyttet til fremtidig bruk i fred, krise og krig, skal følges opp og eventuelt oppdateres i forprosjektfasen, jf. sikkerhetsloven § 4-2 og virksomhetssikkerhetsforskriften § 12. Dette vil danne grunnlag for iverksetting av eventuelle forebyggende sikkerhetstiltak både for prosjektgjennomføringen og knyttet til senere bruk av løsningen. Prosjektdokumentene skal graderes og eller skjermes i henhold til verdiene i risikovurderingen utarbeidet av PE. Risikovurderinger er levende dokumenter. De skal oppdateres ved behov.

For alle prosjekter skal bruker (BA) i idéfasen, ifm. utarbeidelse av prosjektidé (PI), gjennomføre en overordnet risikovurdering innen forebyggende sikkerhet.  Forsvarets egne skjema for verdivurdering skal ved behov oppdateres og være vedlagt risikovurderingen for prosjektet i alle faser

For materiell- og IKT-prosjekter

For materiellprosjekter skal skjemaet «Angivelse av skjermingsnivå» FMA-INV-VEI-111V-03, som første gang fylles ut i idéfasen, gjennomgås og oppdateres iht. risikovurderingen i prosjektets videre faser. Når prosjektet skal gjennomføre en markedsundersøkelse (RFI) som er skjermingsverdig og/eller når leverandør er valgt som aktuell for fremtidige leveranse av varer og tjenester, skal et ferdig utfylt og signert skjema sendes Anskaffelser i FMA ved Industrisikkerhetsseksjonen. Det signerte skjema for «Angivelse av skjermingsnivå» skal arkivføres og sendes til Industrisikkerhetsseksjonen gjennom saksbehandlingssystemet, ikke pr. e-post. Industrisikkerhetsseksjonen vil etter at de har mottatt skjemaet iverksette arbeidet med sikkerhetsavtale. Prosjektet får tilbakemelding fra Industrisikkerhetsseksjonen så snart avtale er på plass. Skjermingsavtaler signeres etter egen prosedyre av prosjektleder (PL) med bistand fra sikkerhetsleder (SL) eller prosjektsikkerhetsleder (PSL). Forsvares skadevurderingsskjema fylles ut av BA ved behov.

For EBA-prosjekter
For EBA-prosjekter finnes det en rekke instrukser og prosedyrer utviklet for å sikre den forebyggende sikkerheten i alle prosjektets faser. Disse er tilgjengelig i Forsvarsbyggs interne kvalitetssystem. Dette knytter seg til utpekingen av roller, ansvar for gjennomføring av risikovurderinger og ivaretakelsen av alle fagområdene i sikkerhetsloven. For EBA-prosjekter følges anbefalinger gitt i NS 5834:2016 (Samfunnssikkerhet – Beskyttelse mot tilsiktede uønskede handlinger – Planlegging av sikringstiltak i bygg, anlegg og eiendom) om hvordan virksomheter som har behov for å beskytte bygg, anlegg og eiendom mot tilsiktede uønskede handlinger, kan planlegge sikringstiltak på en effektiv måte for å nå definerte sikringsmål.

Prosjektansvarliges analyser og tester relatert til løsningens iboende evne til å møte krav til forebyggende sikkerhet
Prosjektets risikovurdering skal oppdateres i alle faser i hele prosjektets levetid, eksempelvis ved faseoverganger, nye sårbarheter eller trusler, eller når bruker anmoder om endring av krav og bruksområde. Risikovurderingen skal oppdateres i forbindelse med overlevering til drift. Ny risikovurdering skal gjøres i forbindelse med avhending..

Ved store og komplekse prosjekter, for eksempel prosjekter som er spesielt viktige for grunnleggende nasjonale funksjoner eller innebærer sikkerhetsgodkjenning av informasjonssystemer, skal utnevnelse eller ansettelse av prosjektsikkerhetsleder (PSL) vurderes. Dette er noe Prosjektlederen (PL) må vurdere ut fra tilgjengelige ressurser og egen kompetanse innen fagområdet. En egen PSL skal utnevnes skriftlig med roller, ansvar og myndighet. Dette kan gjøres i prosjektssikkerhetsplanen. I prosjekter som ikke har en egen PSL, vil PL inneha denne rollen. Hvis anskaffelsen innebærer at systemer skal godkjennes iht. sikkerhetsloven må PL påse at dette fremgår av kravsettet, og at det er tilgjengelige ressurser og budsjett i prosjektet til å gjennomføre godkjenningsprosessen med tilhørende oppgaver samt at det er avsatt tid i prosjektplanen for implementering av aktivitetene. Virksomheten/BA må da, på tidlig tidspunkt, igangsette arbeid med sikkerhetsgodkjenning av informasjonssystemet.

For EBA-prosjekter

Gjennomføringsansvarlig (GA) gjennomfører egne tekniske risikovurderinger og tester, blant annet på bakgrunn av risikovurderingen og behovsbeskrivelse og de overordnede funksjonsbeskrivelsene fra bruker (BA). Dette gjøres for å avdekke tekniske sårbarheter i materiell og EBA. For EBA prosjekter skal det gjennomføres risikoanalyser som grunnlag for å implementere sikkerhetstiltak mot tilsiktede uønskede handlinger.

Krav til personvern, jf personopplysningsloven (GDPR)

Bruker (BA) skal parallelt med arbeidet med risikovurdering innen forebyggende sikkerhet gjennomføre en personvernkonsekvensanalyse (Data Protection Impact Assessment, DPIA) for løsningen, jf. EUs personvernforordning (GDPR), artikkel 35.

For prosjektleveranser til Forsvaret er DPIA todelt. Først skal det gjennomføres en forhåndsvurdering av behovet for DPIA, jf. Bestemmelse om behandling av personopplysninger i Forsvaret (Personopplysnings-bestemmelsen). Deretter, hvis forhåndsvurderingen konkluderer at DPIA er nødvendig, skal det utarbeides en full personvernkonsekvensanalyse.
Prosedyre og mal for forhåndsvurdering og gjennomføring av DPIA følger som vedlegg til Personopplysningsbestemmelsen i FOBID.

Ved utvikling eller anskaffelse av nye systemer stiller personvernregelverket også krav om innebygde personvernløsninger, jf. GDPR artikkel 25. Dette kravet er knyttet til gjennomføring av DPIA. Krav om innebygd personvern innebærer å være i forkant med blant annet personvern som standardinnstilling, åpenhet, funksjonalitet og ivaretagelse av personvern og informasjonssikkerhet, fra start til slutt.

Brukers krav til informasjonsskjerming og håndtering av informasjon i løsningen
Bruker (BA) skal med bakgrunn i risikovurderingen og personvernkonsekvensanalyse (jf. GDPR artikkel 25) beskrive operasjonelle behov og krav til løsningen. Disse behovene skal være beskrevet i konseptfasen, og de må som regel utdypes som egne krav i forprosjektfasen.

I sentralt styringsdokument (SSD) skal arkivreferansen til brukers risikovurdering og DPIA-vurdering/-analysen alltid oppgis under referanser.

Bruker skal oppdatere den operative risikovurderingen med tanke på bruk av materiellet i fm. overlevering til drift før materiellet tas i bruk.

Skjermingsverdige anskaffelser og avtaler med leverandør
Ved å fastsette skjermingsnivå for de ulike deler av anskaffelsen skal forsvarssektoren gjennom avtaler stille lovpålagte krav til leverandører og underleverandører.

Hvis en leverandør kan få tilgang til eller skal tilvirke skjermingsverdig informasjon, herunder sikkerhetsgradert informasjon, eller skal ha tilgang til et skjermingsverdig objekt eller skjermingsverdig infrastruktur, er anskaffelsen å regne som en skjermingsverdig- eller sikkerhetsgradert anskaffelse.

For å avklare et eventuelt behov for sikkerhetsavtaler/leverandørklareringer skal den som er utpekt av PE til å ivareta virksomhetens sikkerhetsansvar (normalt BA), sammen med prosjektet (PA), gjennomføre en egen vurdering av anskaffelsen. Denne vurderingen skal dokumentere om hele eller deler av anskaffelsen er en sikkerhetsgradert anskaffelse, jf. RAF § 2-3, og for tilgang til og/eller anskaffelser til skjermingsverdig informasjonssystem, objekt eller infrastruktur, fm sikkerhetsloven § 9-1 og § 9-4.
Det skal da inngås skjermingsavtale[2] eller sikkerhetsavtale mellom forsvarssektoren og leverandøren.

Skjermings- eller sikkerhetsavtale skal være inngått før leverandøren kan få tilgang til eller tilvirke skjermingsverdig informasjon, herunder sikkerhetsgradert informasjon. Slike avtaler kan innebære krav til autorisasjon eller klarering av personell hos leverandøren for; inspeksjoner og sikkerhetsgodkjenning av informasjonssystemer hos leverandøren, leverandørklarering, m. v.
Alle disse forhold skal gjøres kjent i konkurransegrunnlaget.

Leverandørens personell skal alltid være autorisert før de gis tilgang til skjermingsverdig informasjon. For materiellanskaffelser skal det utarbeides «Angivelse av skjermingsnivå» for den enkelte (del-) anskaffelse og for den enkelte leverandør/underleverandører.  En skjermings-/sikkerhetsavtale følger den enkelte (del-)anskaffelse.

Hvis skjemaet «Angivelse av skjermingsnivå», eller tilsvarende vurderingsskjema for EBA-anskaffelser viser at anskaffelsen er skjermingsverdig, skal dokumentasjon på dette oversendes til sikkerhets- eller industrisikkerhetskontor på sentralt nivå hos GA med oppdrag om å inngå en skjermings- og eller sikkerhetsavtale.

For skjermingsverdige anskaffelser skal det etableres en prosjektsikkerhetsplan (PSP). Dette er en plan for hvordan prosjektgjennomføringen skal skjermes i henhold til gjennomført risikovurdering og hvordan prosjektet planlegger å ivareta forebyggende sikkerhet i prosjektet. PSP bygger på eksisterende styringssystem innen sikkerhet, slik at etablerte rutiner brukes. Planen skal dekke hele prosjektets levetid fra ide- til avslutningsfase. Planen må derfor oppdateres jevnlig og minimum ved oppstart av ny fase og ved hver kontraktsinngåelse og eller avrop. Prosjektet skal gjennomføre egen vurdering av prosjektsikkerhetsplanens skjermingsnivå.

Ved mindre prosjekter kan prosjektsikkerhetsplanen være en del av prosjektledelsesplan (PLP).

Godkjenning og bruk av informasjonssystemer
Skjermingsverdige informasjonssystemer er systemer som behandler skjermingsverdig informasjon eller systemer som i seg selv er avgjørende for grunnleggende nasjonale funksjoner (GNF). Skjermingsverdige informasjonssystemer er systemer for saksbehandling av sikkerhetsgradert og skjermingsverdig, ugradert informasjon og systemer for informasjonsbehandling, som i seg selv er avgjørende, eller som har avgjørende betydning for GNF.  Sikkerhetsgodkjenningsprosessen kan være krevende, spesielt ved store og komplekse systemer der det kreves kompetanse om teknologiske, fysiske, menneskelige og organisatoriske sikkerhetstiltak for å håndtere risikoen. Se NSMs Veileder for godkjenning av informasjonssystemer for mer informasjon om dette. Godkjenningsprosessen består av identifisering av beskyttelsesbehov, fastsettelse av sikkerhetskrav, etablering av sikkerhetstiltak og verifikasjon av at sikkerhetstiltakene fungerer etter sin hensikt. Derfor er det viktig at godkjenningsprosessen starter tidligst mulig i planarbeidet, slik at det er tatt høyde for og budsjettert med sikkerhetstiltakene som er nødvendig for at systemet skal bli godkjent. Gjennomføres risikovurderingene for sent i planprosessen vil sannsynlig integrering av beskyttelsestiltak medfører både ekstra arbeid og kostnader. Dette gjelder spesielt i prosjekter som innebærer internasjonalt materiellsamarbeid som følge av mer kompleks prosjektstruktur. Videre kan behov for endringer sent i prosessen medføre store ekstrakostnader, og eventuelt forsinkelser i leveransen

En virksomhet skal sørge for at informasjonssystemer som skal behandle sikkerhetsgradert informasjon er sikkerhetsgodkjent før de tas i bruk. Andre skjermingsverdige informasjonssystemer skal godkjennes så snart det er praktisk mulig. Virksomheten skal dekke kostnadene[3] med godkjenningen, jf. Virksomhetsikkerhetsforskriften §50. Det er derfor viktig at kostnadene synliggjøres allerede i forprosjektet. Kravene om sikkerhetsgodkjenningen gjelder også for informasjonssystemer hos leverandører.

Lovverk og veiledninger:

  • Lov av 1. juni 2018 nr. 24 Lov om nasjonal sikkerhet (sikkerhetsloven) med forskrifter.
  • Virksomhetsikkerhetsforskriften (VSF)
  • Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen)
  • Veiledninger og håndbøker utarbeidet av NSM til sikkerhetsloven samt forskrifter er tilgjengelig på:
    https:///nsm.no/regelverk-og-hjelp/veileder-og-handbøker-til-sikkerhetsloven
  • Personopplysningsloven (GDPR)
  • Personopplysningsbestemmelsen (se FOBID)
    • Bestemmelse om personellsikkerhet
    • Bestemmelse om behandling av personopplysninger
  • Lov om offentlige anskaffelser (LOA)
  • Forskrift om offentlige anskaffelser (FOA)
  • Retningslinjer for anskaffelser i forsvarssektoren (RAF)
  • Forskrift om forsvars- og sikkerhetsanskaffelser (FOSA)
  • NS 5834:2016 Samfunnssikkerhet – Beskyttelse mot tilsiktede uønskede handlinger – Planlegging av sikringstiltak i bygg, anlegg og eiendom

___

[1] Den virksomhet som normalt er hovedbruker vil være systemeier for løsningen. Systemeier stiller krav til løsning og vurderer verdien til systemet og aksepterer eventuell restrisiko til systemet før bruk. Rollen som systemeier vil også normalt være sammenfallende med rollen brukeransvarlig (BA).

[2] Avtale om sikkerhet i anskaffelsen (skjermingsavtale), iht. NSMs «Veileder i anskaffelser etter sikkerhetsloven» kapittel 3.1, jf. Virksomhetsikkerhetsforskriften § 18 annet ledd.

[3] En eventuell initial godkjenning/sertifisering for å ta løsningen(-e) i bruk finansieres av prosjektet forutsatt at omfanget er beskrevet og avtalt i oppdraget til prosjekt.

 

---o0o---