Høringssvar fra Statsbygg

Generelt

Statsbygg stiller seg positiv til forslaget til en tredeling av forskriftene til ny sikkerhetslov. Utkast til de nye forskriftene legger opp større grad av fortolkning av forskriftene og med et stort ansvar for den enkelte virksomhet å kartlegge, tolke og vurdere tiltak for å oppnå et forsvarlig sikkerhetsnivå. Dette kan medføre risiko for at mindre virksomheter eller virksomheter med liten grad av sikkerhetsgradert informasjon har den nødvendige kompetanse og de nødvendige ressurser til å ivareta dette på en forsvarlig måte. For å lykkes med et forsvarlig sikkerhetsnivå i virksomhetene er det nødvendig at det i tilstrekkelig grad utarbeides veiledninger til forskriftene.

«Departementet ber høringsinstansenes syn på om det bør gis mer detaljerte krav til sikring av infrastruktur, og i så fall hvilke krav som bør stilles» fremkommer det i høringsnotatet punkt 4.1.1:

• Statsbygg mener det vil bidra til en bedre sikkerhetstilstand om Nasjonal sikkerhetsmyndighet gis fullmakt til å orientere aktuelle tredjeparter (som for eksempel Statsbygg etter en behovsvurdering) om hvilke objekter som er utpekt som skjermingsverdige, samt deres skjermingsgrad. Som eiendomsforvalter vil Statsbygg i større grad kunne bidra med nødvendig beskyttelse av informasjon om eventuelle skjermingsverdige objekter som er utpekt hos virksomheter som er leietakere i Statsbyggs eiendomsportefølje.

«Departementet ber om høringsinstansenes syn på hvem som bør være klareringsmyndighet for leverandørklarering» fremkommer det i høringsnotatet punkt 4.6.5:

• Statsbygg støtter forslaget om å samle klareringsvirksomhet hos Sivil klareringsmyndighet. Hovedsakelig med bakgrunn i de faglige og administrative synergier som kan oppnås. I tråd med argumentasjonen forutsettes det også at Sivil klareringsmyndighet i leverandørklareringer vil ha et sektorovergripende ansvar for både sivil og militær sektor.

 Utkast til forskrift om klarering av leverandører og personell

1. § 26. Samtykke til å autorisere utenlandske statsborgere for BEGRENSET.

Statsbygg har stort behov for å autorisere utenlandske statsborgere for BEGRENSET ved gjennomføring av sikkerhetsgraderte byggeprosjekter for effektiv gjennomføring. Dette begrunnes med at utenlandsk arbeidskraft har kompetanse som ikke besittes av norske statsborgere. Byggebransjens utøvende ledd består av mye utenlandsk arbeidskraft, og det er i stor grad disse som er tilgjengelig for denne type arbeidsoppgaver i byggeprosjektene. Å innhente fyldig informasjon om hver enkelt utenlands arbeidstaker inkludert kopi av pass før autorisasjonssamtale vil kunne medføre risiko for fremdriften i byggeprosjektene. Noe som igjen kan medføre betydelige økonomiske konsekvenser for staten. Statsbygg foreslår at ordlyden i bestemmelsen endres slik at det legges til rette for på en effektiv måte å innhente tillatelse til autorisasjon for autorisasjon for utenlandske statsborgere for BEGRENSET. For eksempel kan klareringsmyndigheten angi overfor autorisasjonsansvarlig hvilke land som det ikke vil bli gitt tillatelse for.

Utkast til forskrift om virksomhetens arbeid med forebyggende sikkerhet

1. Forskriften legger opp til at informasjon gradert BEGRENSET kan behandles utenfor beskyttet og sperret sone. Dette kan medføre risiko for oppbevaring og behandling av informasjon gradert BEGRENSET for eksempel på hjemmekontor. Ordlyden i forskriften bør tydeliggjøre i hvilken grad informasjon gradert BEGRENSET kan oppbevares og behandles utenfor offentlige virksomheter.  
2. Forskriften regulerer ikke noe om offentlig journal og offentlighetens rett til innsyn. I gjeldende forskrift om informasjonssikkerhet er det beskrevet hva som kan føres i hvilken journal og hvor elektroniske dokumenter kan lagres. Dokumenter gradert BEGRENSET kan føres i åpen journal eller gradert, men kan ikke lagres elektronisk i åpen journal. Det vil si at det i praksis har vært slik at hvis man har elektronisk arkiv for begrenset, så har det ikke vært på offentlig journal og hvis man har papirarkiv for BEGRENSET så har det vært på åpen journal i og med at denne skal publiseres. Det er allerede i dag uklart om graderte dokumenter er omfattet av kravet om offentlig journal, men det har vært tolket som om det er valgfritt for BEGRENSET og at øvrige graderte dokumenter ikke skal på offentlig journal.

Videre står det i dagens forskrift at «I den kopi av journalen som i samsvar med reglene om offentlighet i forvaltningen fremlegges for noen som ber om innsyn, skal det benyttes nøytrale kjennetegn, utelatelser eller overstrykninger av opplysninger som er sikkerhetsgradert.» Dette begrunnes med:

• Det er en for stor risiko å ta at gradert informasjon kan komme ut på offentlig journal
• Sammenstilling av informasjon fra den enkelte virksomhets journal eller en sammenstilling av flere virksomheters journaler til sammen kan røpe graderte opplysninger

1. I §26 fremkommer det at varigheten for graderingen skal stå påført dokumentene og lagringsmediene. Det er ikke alltid klart ved opprettelse av et dokument at utsteder med sikkerhet kan fastslå varigheten på en gradering. Det foreslås at det gis åpning i forskriften om at denne vurderingen også kan gjøres når en logisk avgrenset dokumentasjonsmengde (for eksempel en arkivdel) vurderes avlevert til arkivdepot?
2. I §35 kommer det ikke frem at interne dokumenter gradert KONFIDENSIELT eller høyere er omfattet av arkiverings- og journalføringsplikten. Statsbygg foreslår å videreføre dagens praksis med arkiverings- og journalføringsplikt for dette. Dette er også i tråd med arkivlova.
3. Forskriftens § 47 bokstav b) og c) er noe upresis, og kan føre til at NSM defineres som godkjenningsansvarlig på løsninger hvor det ikke er nødvendig.  Eksempelvis vil tekniske løsninger (som for eksempel en diode-løsning eller «datapumpe») for innlasting programvareoppdateringer, virusdefinisjoner m.m. kunne føre til at NSM blir godkjenningsansvarlig for hele systemet.

Bokstav b og c gjelder elektronisk overføring av sikkerhetsgradert informasjon via infrastruktur virksomheten ikke kontrollerer gjennom eierskap eller avtale som gir full sikkerhetsmessig kontroll.

Det sentrale her er «overføring av sikkerhetsgradert informasjon». I høringsnotatet på side 63 om § 45 tredje ledd er det beskrevet at sikkerhetstiltak som skal virke hurtig, eller som lett kan utløse feil når de utføres manuelt, skal automatiseres. Videre kommer det frem i høringsnotatet side 63 at:

«Tredje ledd bestemmer i hvilke tilfeller det er krav om automatisering av sikkerhetstiltakene, blant annet for å spare tid og for å unngå manuelle feil. Eksempler på funksjonalitet det vil være naturlig å automatisere er funksjoner for å håndtere forvaltning av informasjonssystemer, som utrulling av oppdateringer, konfigurasjonsstyring, systemovervåkning, brukerhåndtering og sikkerhetskonfigurasjon og verifikasjon.»

Det bør vurderes nærmere om det er riktig at automatisering av denne type funksjoner medfører at NSM trer inn som godkjenningsansvarlig. En uheldig konsekvens kan være at virksomhetene velger enklere løsninger (minnepinner og manuelle rutiner) for oppdatering fremfor automatiserte løsninger, og dermed velger løsninger med dårligere sikkerhet for å unngå at NSM blir godkjenningsmyndighet.