Godkjenningsprosess for graderte informasjonssystemer

Publisert: 17.06.2014

Ved planlegging av nye graderte informasjonssystemer må det tas hensyn til at systemet skal sikkerhetsgodkjennes. Ved anskaffelse av større informasjonssystemer anbefaler NSM at virksomheten, allerede i planleggingsfasen, tar kontakt med NSM for råd og veiledning om godkjenningsprosessen.

Sikkerhetsloven stiller krav om at et informasjonssystem skal være sikkerhetsgodkjent før det tas i bruk til behandling, lagring eller transport av skjermingsverdig informasjon. I tillegg til å tilfredsstille kravene i sikkerhetsloven, vil en sikkerhetsgodkjenning blant annet bidra til en kvalitetssikring av systemet, som vil gi brukere og samarbeidspartnere økt tillit til informasjonssystemet. Godkjenningsprosessen vil videre bidra til en sikkerhetsmessig bevisstgjøring av personell som er involvert i utvikling og anskaffelse av systemet.

En sikkerhetsgodkjenning av et informasjonssystem er en formell avgjørelse om å ta systemet i bruk til gradert informasjonsbehandling. Denne avgjørelsen blir tatt av godkjenningsansvarlig. Godkjenningsansvarlig er enten NSM, virksomhetens leder eller den NSM bemyndiger. Hvem som godkjenner er avhengig av graderingsnivå og kompleksiteten til systemet. 
For å sikkerhetsgodkjenne et informasjonssystem, må godkjenningsansvarlig vurdere alle fagområder som har innvirkning på sikringen av systemet. Dette kan for eksempel være personellsikkerhet, informasjonsteknologi, fysisk sikring og tempest.

Godkjenningsprosessen der NSM er godkjenningsansvarlig

Prosessen starter med at virksomheten henvender seg til NSM med en forespørsel om råd og veiledning i forbindelse med sikkerhetsgodkjenning av informasjonssystemet. 
De første leveransene i prosessen er følgende:

  • Overordnet sikkerhetskonsept
  • Systemteknisk sikkerhetskonsept
  • Godkjenningsstrategi

Hensikten med disse dokumentene er å klargjøre omfanget av godkjenningen og etablere en plan for det videre godkjenningsløpet. Dokumentene er styrende for hvilke sikkerhetskrav som skal stilles til informasjonssystemet. En eventuell utviklings- eller anskaffelseskontrakt med leverandør bør ikke inngås før ovennevnte dokumenter er akseptert av NSM.

Den neste leveransen er:

  • Kravspesifikasjoner for sikkerhet (KSS’er)

KSS’ene beskriver sikkerhetskravene som skal legges til grunn for at informasjonssystemet kan bli sikkerhetsgodkjent. Når sikkerhetskravene er akseptert av NSM må systemeieren beskrive hvordan tiltakene er implementert. For å sikre at tiltakene fungerer som beskrevet i sikkerhetsdokumentasjonen må systemet testes. Ved eventuelle avvik må systemeieren utarbeide en risikovurdering. 
Etter at sikkerhetsdokumentasjonen er akseptert av NSM, vil NSM foreta en verifikasjon av sikkerhetstiltakene. En verifikasjon innebærer en kontroll av om tiltakene er implementert og fungerer som beskrevet i sikkerhetsdokumentasjonen.

På bakgrunn av søknad, kan NSM sikkerhetsgodkjenne informasjonssystemet når alle krav er innfridd, eventuelt gi midlertidig brukstillatelse. Krav til midlertidig brukstillatelse står beskrevet i forskrift om informasjonssikkerhet § 5-17.

Prosessen der virksomhetens leder er godkjenningsansvarlig

Virksomhetens leder kan godkjenne enkle informasjonssystemer i henhold til forskrift om informasjonssikkerhet § 5-16. Alle godkjenninger skal være dokumentert, og rapporteres til NSM.