Informasjonssikkerhet
Overordnede regler for informasjonssikkerhet og risikovurderinger
eForvaltningsforskriften har som formål å legge til rette for sikker og effektiv bruk av elektronisk kommunikasjon med og i forvaltningen. Forskriften gjelder for elektronisk saksbehandling og kommunikasjon i forvaltningen når ikke annet er bestemt i lov eller forskrift, og gjelder også for bruk av eID.
Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi), jf. § 15 første ledd.
I den utstrekning det er relevant for sikkerhetsstrategien bør det inntas prosedyrer for anskaffelse, bruk, oppbevaring og sikring av signaturfremstillingsdata og passord/PIN-koder knyttet til det personlige sertifikatet, jf. § 15 fjerde ledd bokstav a. Dette gjelder også for bruk av eID og tilhørende utstyr. Hva som bør omtales i sikkerhetsstrategien har også en side til GDPR artikkel 32, som pålegger arbeidsgiver som behandlingsansvarlig å «gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen».
Digdir tilbyr generell veiledning for offentlige virksomheter og hvordan de kan etterleve eForvaltningsforskriftens krav, se lenkeboksen nedenfor.
Risikomomenter og sikringstiltak
Arbeidsgiver kan vurdere ulike sikringstiltak på bakgrunn av den eID-ordningen som er valgt. Egnede tiltak kan være både av teknisk og organisatorisk art, f.eks. informasjon, instrukser og opplæring, og kan begrunnes med utgangspunkt i for eksempel eForvaltningsforskriften § 15 og GDPR art. 32. Hvis det er aktuelt kan arbeidsgiver gjennomføre tiltak for å begrense muligheten for at arbeidstakere benytter eID-en uberettiget for eksempel at det legges til rette for sikker oppbevaring av en besittelsesbasert autentiseringsfaktor som brukes i jobbsammenheng.
Benytt gjerne veilederens kapittel om Risiko og fordeling av ansvar som et utgangspunkt ved undersøkelsen av risikoen for sikkerhetsbrudd. Risikofaktorene omfatter blant annet:
- Svindel
- Tap/Misbruk av utstyr og tilgangskoder
- Bruk av engangspålogging
- Angrep mot virksomhetens IKT-systemer
Single-sign-on eller «engangspålogging» betyr i denne sammenhengen at du bruker én innlogging til å logge inn på flere ulike tjenester. Engangspålogging er effektiviserende ved at brukerne unngår å måtte autentisere seg flere ganger for tilgang til ulike tjenester.
I et informasjonssikkerhetsperspektiv kan det ansees som en større risiko at brukeren får tilgang til flere tjenester i en og samme innloggingsøkt. Bruk av engangspålogging handler derfor om å finne en balanse, mellom brukervennlighet (færrest mulig innlogginger) og sikkerhet. Tjenesteeier bør foreta en vurdering av behovet for engangspålogging, og kan be om å deaktivere funksjon for engangspålogging dersom det ikke er ønskelig.
Arbeidsgiver bør også være kjent med risikoen, og om nødvendig gjennomføre risikoreduserende tiltak. Av effektivitetshensyn er det i mange tilfeller ønskelig å beholde engangspålogging, og da kan risikoen reduseres ved informasjon, opplæring og oppfølging av de ansatte. Et eksempel kan være tydelige retningslinjer som sier at ansatte må logge av en økt i det de forlater arbeidsplassen, ikke helt ulikt at ansatte skal logge av eller låse en PC.
Bransjenormer
Avhengig av hvilken sektor eller bransje virksomheten tilhører kan det finnes bransjenormer eller andre kilder som gir god veiledning for hvilke vurderinger som bør gjøres. Et viktig eksempel er Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren, også kalt «Normen».
Les om Normen på www.normen.no. Normen er en bransjenorm for informasjonssikkerhet og personvern og utarbeidet og forvaltet av organisasjoner og virksomheter i helsesektoren og mye har overføringsverdi til offentlig sektor generelt.