Rapporteringspliktige sikkerhetstruende hendelser

Publisert: 24.06.2014

I tabellen under er en oversikt med overordnede kategorier av, samt definisjoner og eksempler på, selvforskyldte, observerte eller mulige sikkerhetstruende hendelser som virksomheter underlagt sikkerhetsloven plikter å rapportere til NSM.

Sikkerhetstruende hendelser

Definisjon

Eksempler - noen av mange mulige rapporteringspliktige sikkerhetstruende hendelser
1) Sikkerhetstruende virksomhet (bevisste handlinger) Forberedelse til, (forsøk på) gjennomføring av, og medvirkning til spionasje, sabotasje eller terrorhandlinger
  • Uvedkommende viser spesiell interesse for anlegg og installasjoner, personer,
    eller skjermingsverdig(e) informasjon/objekter/aktiviteter
  • Planlegging/gjennomføring av angrep mot vitale nasjonale IKT-systemer
    og/eller kritisk infrastruktur
  • Bevisst ulovlig utveksling av skjermingsverdig informasjon mellom norske og
    utenlandske personer/organisasjoner, med hensikt å misbruke denne
  • Bevisst lekkasje/salg av skjermingsverdig informasjon (f. eks til media)
  • Gjennomføring og/eller mistanke om ulovlig avlytting av, eller innsyn i, rom som
    er permanent sikret mot teknisk avlytting eller innsyn
2) Kompromittering av skjermingsverdig informasjon (ubevisste handlinger) Tap eller mistanke om tap av konfidensialitet, integritet eller tilgjengelighet for skjermingsverdig informasjon - herunder uønsket avhending, modifisering eller ødeleggelse
  • Skjermingsverdig informasjon kommuniseres og/eller lagres på ugradert system
  • Mistanke om kompromittering av skjermingsverdig informasjon fremkommet under tekniske undersøkelser
  • Brudd på bestemmelser for rom som er permanent sikret mot teknisk avlytting eller innsyn
  • HEMMELIG / STRENGT HEMMELIG informasjon omtales eller feilbehandles/ -oppbevares utenfor sperret område
  • Sikkerhetsbrudd ved nødrett og nødverge
Sikkerhetstruende hendelser rettet mot kryptosikkerhet
  • Tap eller feilhåndtering/-lagring av kryptonøkler eller annet kryptoutstyr
  • Feil eller mangelfull rapportering av kryptoregnskap (skal håndteres iht. forskrift om informasjonssikkerhet §§ 7-41 – 7-45).
3) Grove sikkerhetsbrudd Sikkerhetsbrudd som har medvirket, eller det er uvisst om har medvirket til sikkerhetstruende virksomhet eller kompromittering
  • En ulåst kontor-, hvelv- eller safedør til/i sperret område
  • Bruk av feil, eller ufullstendig, fysisk sikring (ikke-godkjent låsetype til sperret område, etc.)
  • Bruk av minnepinne med skjermingsverdig informasjon, eller som det har vært slik informasjon på, på ugradert system
  • Skjermingsverdig informasjon kommer bort eller behandles uforsvarlig utenfor beskyttet/sperret område
  • Manglende oversikt på hvem i virksomheten som har håndtert og/eller hatt tilgang til skjermingsverdig informasjon
  • Hendelse/brudd som virksomheten selv anser som alvorlig eller kritisk
Sikkerhetsbrudd som innebærer at flere sikkerhetsbarrierer er gjennombrutt eller som skyldes systematiske feil i virksomhetens forebyggende sikkerhetstjeneste
  • Gjentagende forekomst av: ulåst dør/skap, personell tar med nøkkel hjem, glemt å slå av PC eller lignende til/i kontrollert/beskyttet område
  • Permanent dårlig fysisk sikring av skjermingsverdig informasjon/objekt
  • Gjentatte brudd på virksomhetens interne sikkerhetsrutiner/-prosedyrer
4) Sikkerhetsbrudd - internasjonalt gradert informasjon Sikkerhetsbrudd relatert til mulig/faktisk kompromittering av skjermingsverdig informasjon/objekt gradert av utenlandsk myndighet eller internasjonal organisasjon
  • Sikkerhetstruende hendelser definert og omtalt i punkt 1), 2), og 3), som omfatter informasjon/utstyr/systemer gradert av utenlandsk myndighet eller internasjonal organisasjon, inkludert;
  • Uaktsom oppbevaring/fordeling/håndtering av skjermingsverdig utenlandsk
    informasjon, som kan medføre tap, eller mistanke om tap, av konfidensialitet,
    tilgjengelighet eller integritet for informasjonen, som f. eks. at et:
    1. ikke-NATO-medlem, eller uautorisert personell, gis/får/har tilgang til NATO-gradert informasjon
    2. NATO-gradert dokument blir feilaktig omgradert til norsk gradering, o.l.

Ved sikkerhetstruende hendelse må sikkerhetsansvarlig og ledelsen i virksomheten vurdere å orientere politiet eller om forholdet skal anmeldes. NSM må underrettes om politianmeldelse gjennomføres.