5 Anbefaling om bruk av sikkerhetsnivåer

Hver offentlig virksomhet er selv ansvarlig for å forvalte sine oppgaver på en forsvarlig måte, og er blant annet hva angår personopplysninger definert som behandlingsansvarlig i personopplysningsloven. Hver offentlig virksomhet må derfor selv vurdere hva som er et akseptabelt risikonivå og hvilke sikkerhetsløsninger som gir forholdsmessig akseptabel sikkerhet for virksomheten.

 

Dette dokumentets anbefalinger om hvilket sikkerhetsnivå som egner seg for de definerte risikonivåer fritar derfor ikke den offentlige virksomheten fra krav til selv å vurdere sikkerhetsbehovet i forhold til den konkrete tjenesten som skal tilbys.

 

Når en offentlig virksomhet skal kommunisere elektronisk må de gjennomføre en Risiko- og sårbarhetsanalyse. På bakgrunn av den analysen kan de iht. kapittel 3 vurdere hvilket risikonivå som bør tilordnes den aktuelle type elektronisk kommunikasjon. Dette rammeverket gir følgende anbefaling om hvilke sikkerhetsnivåer definert i kapittel 4 som egner seg for de forskjellige risikonivåer definert i kapittel 3:

 

Risikonivå 1  ->  Sikkerhetsnivå 1
Risikonivå 2  ->  Sikkerhetsnivå 2
Risikonivå 3  ->  Sikkerhetsnivå 3
Risikonivå 4  ->  Sikkerhetsnivå 4

 

Dette rammeverket er et generelt verktøy for offentlige virksomheter, som kan brukes til å “plassere” tjenester eller samhandling mht. sikkerhetsnivå og til påfølgende valg av løsning for autentisering eller uavviselighet. Rammeverket kan også brukes til å velge sikkerhetsnivå eller sikkerhetsløsning for offentlige løsninger (portaler) der en autentisering kan gi adgang til flere tjenester. Rammeverket kan også benyttes i forhold til å vurdere gjenbruk av andres sikkerhetsløsninger eller felles sikkerhetsløsninger mot egne tjenester.
Det vil bli utarbeidet en veileder med en mer grundig innføring i risikovurderinger og bruken av dette rammeverket.


 

Til toppen