Sikkerhetsledelse

Sikkerhetsledelse er etablert som et kunnskapsområde i PRINSIX.
Hensikten er å beskytte skjermingsverdig informasjon, objekter, EBA, utstyr og materiell og iverksette personellsikkerhetstiltak i henhold til gjeldende bestemmelser i lov og forskrifter, og oppdaterte veiledere utgitt av Nasjonal sikkerhetsmyndighet (NSM). Sikkerhetsledelse omfatter utøvelse av forebyggende sikkerhetsarbeid (sikkerhetsstyring), fordeling av ansvar og myndighet for å ivareta krav til løsning og tilrettelegge for effektiv gjennomføring og oppfølging av det forebyggende sikkerhetsarbeidet. Målet med virksomhetens sikkerhetsstyring er å styre sikkerhetsarbeidet for å oppnå og opprettholde et forsvarlig sikkerhetsnivå, basert på den risiko virksomheten er eksponert for. Sikkerhetsstyring handler om systematiske aktiviteter som er nødvendige for å beskytte verdiene mot tilsiktede uønskede handlinger. Dette skal sikre at det tidlig i prosjektforløpet blir vurdert behov for deling av og/eller tilgang til skjermingsverdig; informasjon, objekt, informasjonssystem og infrastruktur. Videre skal dette også bidra til at prosjektet kan planlegge med eventuell støtte til virksomhetens søknad om godkjenning eller regodkjenning for bruk av nye eller oppdaterte systemer 
eller løsninger.

Virksomhetens risikovurdering og behov for skjerming og beskyttelse

Prosjekteier (PE) er som virksomhet ansvarlig for at det gjennomføres risikovurdering innen forebyggende sikkerhet (bestående av verdi-, trussel- og sårbarhetsvurdering) i henhold til virksomhetsikkerhetsforskriften. Risikovurderingen skal gjøres i forbindelse med konseptvalgutredningen (KVU) i konseptfasen, basert på den initiale og forenklede risikovurderingen som skal ha blitt gjennomført allerede under prosjektidéfasen. Dette oppdraget gis til virksomheten som er bruker av løsningen, normalt brukeransvarlig (BA)[1]. Denne risikovurderingen som er knyttet til fremtidig bruk i fred, krise og krig, skal følges opp og eventuelt oppdateres i forprosjektfasen, jf. sikkerhetsloven § 4-2 og virksomhetssikkerhetsforskriften § 12. Dette vil danne grunnlag for iverksetting av eventuelle forebyggende sikkerhetstiltak både for i fm. prosjektgjennomføringen og knyttet til senere bruk av løsningen. Prosjektdokumentene skal graderes og eller skjermes i henhold til verdivurderingen i risikovurderingen. Risikovurderinger er levende dokumenter. De skal oppdateres ved behov.

For alle prosjekter skal bruker (BA) i idéfasen, ifm. utarbeidelse av prosjektidé (PI), gjennomføre en overordnet risikovurdering innen forebyggende sikkerhet. PI skal det vedlegges/henvises til utfylt skjema angivelse av skjerming-/graderingsnivå.

For materiellprosjekter skal skjemaet «Angivelse av skjermingsnivå» FMA-INV-VEI-111V-03, som  første gang fylles ut i idéfasen, gjennomgås og oppdateres iht. risikovurderingen i prosjektets videre faser. Når prosjektet skal gjennomføre en markedsundersøkelse (RFI) som er skjermingsverdig og/eller når leverandør er valgt som aktuell for fremtidige leveranse av varer og tjenester, skal et ferdig utfylt og signert skjema sendes Industrisikkerhetskontoret FMA. Det signerte skjema for «Angivelse av skjermingsnivå» skal arkivføres og sendes til Industrisikkerhetskontoret i FMA gjennom saksbehandlingssystemet, ikke pr. post. Industrisikkerhetskontoret vil etter at de har mottatt skjemaet iverksette arbeidet med skjermings- eller sikkerhetsavtale. Prosjektet får tilbakemelding fra Industrisikkerhetskontoret så snart avtale er på plass.

For EBA-prosjekter finnes det en rekke instrukser og prosedyrer utviklet for å sikre den forebyggende sikkerheten i alle prosjektets faser. Disse er tilgjengelig i Forsvarsbyggs interne kvalitetssystem. Dette knytter seg til utpekingen av roller, ansvar for gjennomføring av risikovurderinger og ivaretakelsen av alle fagområdene i sikkerhetsloven. For EBA-prosjekter følges anbefalinger gitt i NS 5834:2016 (Samfunnssikkerhet – Beskyttelse mot tilsiktede uønskede handlinger – Planlegging av sikringstiltak i bygg, anlegg og eiendom) om hvordan virksomheter som har behov for å beskytte bygg, anlegg og eiendom mot tilsiktede uønskede handlinger, kan planlegge sikringstiltak på en effektiv måte for å nå definerte sikringsmål.

Prosjektansvarliges analyser og tester relatert til løsningens iboende evne til å møte krav til forebyggende sikkerhet

Prosjektansvarlig (PA) gjennomfører egne tekniske risikovurderinger og tester, blant annet på bakgrunn av risikovurderingen og krav fra bruker (BA). Dette gjøres for å avdekke tekniske sårbarheter i materiell og EBA. For EBA prosjekter skal det gjennomføres risikoanalyser som grunnlag for å implementere sikkerhetstiltak mot tilsiktede uønskede handlinger. Prosjektets risikovurdering skal oppdateres i alle faser i hele prosjektets levetid, eksempelvis ved faseoverganger, nye sårbarheter eller trusler, eller når bruker anmoder om endring av krav og bruksområde. Risikovurderingen skal oppdateres i forbindelse med overlevering til drift. Ny risikovurdering skal gjøres i forbindelse med avhending..

Ved store og komplekse prosjekter, for eksempel prosjekter som er spesielt viktige for grunnleggende nasjonale funksjoner eller innebærer sikkerhetsgodkjenning av informasjonssystemer, skal utnevnelse eller ansettelse av prosjektsikkerhetsleder (PSL) vurderes. Dette er noe Prosjektlederen (PL) må vurdere ut fra tilgjengelige ressurser og egen kompetanse innen fagområdet. En egen PSL skal utnevnes skriftlig med roller, ansvar og myndighet. Dette kan gjøres i prosjektssikkerhetsplanen. I prosjekter som ikke har en egen PSL, vil PL inneha denne rollen. Hvis anskaffelsen innebærer at systemer skal godkjennes iht. sikkerhetsloven må PL påse at dette fremgår av kravsettet, og at det er tilgjengelige ressurser og budsjett i prosjektet til å gjennomføre godkjenningsprosessen med tilhørende oppgaver samt at det er avsatt tid i prosjektplanen for implementering av aktivitetene. Virksomheten/BA må da, på tidlig tidspunkt, igangsette arbeid med sikkerhetsgodkjenning av informasjonssystemet.

Krav til personvern, jf personopplysningsloven (GDPR)

Bruker (BA) skal parallelt med arbeidet med risikovurdering gjennomføre en personvernkonsekvensanalyse (Data Protection Impact Assessment, DPIA) for løsningen, jf. EUs personvernforordning (GDPR), artikkel 35.

For prosjektleveranser til Forsvaret er DPIA todelt. Først skal det gjennomføres en forhåndsvurdering av behovet for DPIA, jf. Bestemmelse om behandling av personopplysninger i Forsvaret (Personopplysningsbestemmelsen). Deretter, hvis forhåndsvurderingen konkluderer at DPIA er nødvendig, skal det utarbeides en full personvernkonsekvensanalyse.
Prosedyre og mal for forhåndsvurdering og gjennomføring av DPIA følger som vedlegg til Personopplysningsbestemmelsen i FOBID.

Ved utvikling eller anskaffelse av nye systemer stiller personvernregelverket også krav om innebygde personvernløsninger, jf. GDPR artikkel 25. Dette kravet er knyttet til gjennomføring av DPIA. Krav om innebygd personvern innebærer å være i forkant med blant annet personvern som standardinnstilling, åpenhet, funksjonalitet og ivaretagelse av personvern og informasjonssikkerhet, fra start til slutt.

Brukers krav til informasjonsskjerming og håndtering av informasjon i løsningen

Bruker (BA) skal med bakgrunn i risikovurderingen og personvernkonsekvensanalyse (jf. GDPR artikkel 25) beskrive operasjonelle behov og krav til løsningen. Disse behovene skal være beskrevet i konseptfasen, og de må som regel utdypes som egne krav i forprosjektfasen.

I sentralt styringsdokument (SSD) skal arkivreferansen til brukers risikovurdering og DPIA-vurdering/-analysen alltid oppgis under referanser.

Bruker skal oppdatere den operative risikovurderingen med tanke på bruk av materiellet i fm. overlevering til drift før materiellet tas i bruk.

Skjermingsverdige anskaffelser og avtaler med leverandør

Hvis en leverandør kan få tilgang til eller skal tilvirke skjermingsverdig informasjon, herunder sikkerhetsgradert informasjon, eller skal ha tilgang til et skjermingsverdig objekt eller skjermingsverdig infrastruktur, er anskaffelsen å regne som en skjermingsverdig- eller sikkerhetsgradert anskaffelse.

For å avklare et eventuelt behov for sikkerhetsavtaler/leverandørklareringer skal den som er utpekt av PE til å ivareta virksomhetens sikkerhetsansvar (normalt BA), sammen med prosjektet (PA), gjennomføre en egen vurdering av anskaffelsen. Denne vurderingen skal dokumentere om hele eller deler av anskaffelsen er en sikkerhetsgradert anskaffelse, jf. ARF § 2-9 og jf. skjermingsverdig anskaffelser iht. sikkerhetsloven § 9-1.
Det skal da inngås skjermingsavtale[2] eller sikkerhetsavtale mellom forsvarssektoren og leverandøren.

Skjermings- eller sikkerhetsavtale skal være inngått før leverandøren kan få tilgang til eller tilvirke skjermingsverdig informasjon, herunder sikkerhetsgradert informasjon. Slike avtaler kan innebære krav til autorisasjon eller klarering av personell hos leverandøren for; inspeksjoner og sikkerhetsgodkjenning av informasjonssystemer hos leverandøren, leverandørklarering, m. v.
Alle disse forhold skal gjøres kjent i konkurransegrunnlaget.

Leverandørens personell skal alltid være autorisert før de gis tilgang til skjermingsverdig informasjon. For materiellanskaffelser skal det utarbeides «Angivelse av skjermingsnivå» for den enkelte (del-) anskaffelse og for den enkelte leverandør/underleverandører.  Hvis skjemaet «Angivelse av skjermingsnivå», eller tilsvarende vurderingsskjema for EBA-anskaffelser viser at anskaffelsen er skjermingsverdig, skal dokumentasjon på dette oversendes til sikkerhets- eller industrisikkerhetskontor på sentralt nivå hos PA med oppdrag om å inngå en skjermings- og eller sikkerhetsavtale. Ved å fastsette skjermingsnivå for de ulike deler av anskaffelsen skal forsvarssektoren gjennom avtaler stille lovpålagte krav til leverandører og underleverandører. En skjermings-/sikkerhetsavtale følger den enkelte (del-)anskaffelse.

For skjermingsverdige anskaffelser skal det etableres en prosjektsikkerhetsplan (PSP). Dette er en plan for hvordan prosjektgjennomføringen skal skjermes i henhold til gjennomført risikovurdering og hvordan prosjektet planlegger å ivareta forebyggende sikkerhet i prosjektet. PSP bygger på eksisterende styringssystem innen sikkerhet, slik at etablerte rutiner brukes. Planen skal dekke hele prosjektets levetid fra ide- til avslutningsfase. Planen må derfor oppdateres jevnlig og minimum ved oppstart av ny fase og ved hver kontraktsinngåelse og eller avrop. Prosjektet skal gjennomføre egen vurdering av prosjektsikkerhetsplanens skjermingsnivå.

Ved mindre prosjekter kan prosjektsikkerhetsplanen være en del av prosjektledelsesplan (PLP).

Godkjenning og bruk av informasjonssystemer

Skjermingsverdige informasjonssystemer er systemer som behandler skjermingsverdig informasjon eller systemer som i seg selv er avgjørende for grunnleggende nasjonale funksjoner (GNF). Skjermingsverdige informasjonssystemer er systemer for saksbehandling av sikkerhetsgradert og skjermingsverdig, ugradert informasjon og systemer for informasjonsbehandling, som i seg selv er avgjørende, eller som har avgjørende betydning for GNF.  Sikkerhetsgodkjenningsprosessen kan være krevende, spesielt ved store og komplekse systemer der det kreves kompetanse om teknologiske, fysiske, menneskelige og organisatoriske sikkerhetstiltak for å håndtere risikoen. Se NSMs Veileder for godkjenning av informasjonssystemer for mer informasjon om dette. Godkjenningsprosessen består av identifisering av beskyttelsesbehov, fastsettelse av sikkerhetskrav, etablering av sikkerhetstiltak og verifikasjon av at sikkerhetstiltakene fungerer etter sin hensikt. Derfor er det viktig at godkjenningsprosessen starter tidligst mulig i planarbeidet, slik at det er tatt høyde for og budsjettert med sikkerhetstiltakene som er nødvendig for at systemet skal bli godkjent. Gjennomføres risikovurderingene for sent i planprosessen vil sannsynlig integrering av beskyttelsestiltak medfører både ekstra arbeid og kostnader. Dette gjelder spesielt i prosjekter som innebærer internasjonalt materiellsamarbeid som følge av mer kompleks prosjektstruktur. Videre kan behov for endringer sent i prosessen medføre store ekstrakostnader, og eventuelt forsinkelser i leveransen

En virksomhet skal sørge for at informasjonssystemer som skal behandle sikkerhetsgradert informasjon er sikkerhetsgodkjent før de tas i bruk. Andre skjermingsverdige informasjonssystemer skal godkjennes så snart det er praktisk mulig. Virksomheten skal dekke kostnadene[3] med godkjenningen, jf. Virksomhetsikkerhetsforskriften §50. Det er derfor viktig at kostnadene synliggjøres allerede i forprosjektet. Kravene om sikkerhetsgodkjenningen gjelder også for informasjonssystemer hos leverandører.

Lovverk og veiledninger:

 

___

[1] Den virksomhet som normalt er hovedbruker vil være systemeier for løsningen. Systemeier stiller krav til løsning og vurderer verdien til systemet og aksepterer eventuell restrisiko til systemet før bruk. Rollen som systemeier vil også normalt være sammenfallende med rollen brukeransvarlig (BA).

[2] Avtale om sikkerhet i anskaffelsen (skjermingsavtale), iht. NSMs «Veileder i anskaffelser etter sikkerhetsloven» kapittel 3.1, jf. Virksomhetsikkerhetsforskriften § 18 annet ledd.

[3] En eventuell initial godkjenning/sertifisering for å ta løsningen(-e) i bruk finansieres av prosjektet forutsatt at omfanget er beskrevet og avtalt i oppdraget til prosjekt.g/sertifisering for å ta løsningen(-e) i bruk finansieres av prosjektet forutsatt at omfanget er beskrevet og avtalt i oppdraget til prosjekt.

---o0o---