Utkast til forskrift om virksomhetens arbeid med forebyggende sikkerhet
Videre står det i dagens forskrift at «I den kopi av journalen som i samsvar med reglene om offentlighet i forvaltningen fremlegges for noen som ber om innsyn, skal det benyttes nøytrale kjennetegn, utelatelser eller overstrykninger av opplysninger som er sikkerhetsgradert.» Dette begrunnes med:
Bokstav b og c gjelder elektronisk overføring av sikkerhetsgradert informasjon via infrastruktur virksomheten ikke kontrollerer gjennom eierskap eller avtale som gir full sikkerhetsmessig kontroll.
Det sentrale her er «overføring av sikkerhetsgradert informasjon». I høringsnotatet på side 63 om § 45 tredje ledd er det beskrevet at sikkerhetstiltak som skal virke hurtig, eller som lett kan utløse feil når de utføres manuelt, skal automatiseres. Videre kommer det frem i høringsnotatet side 63 at:
«Tredje ledd bestemmer i hvilke tilfeller det er krav om automatisering av sikkerhetstiltakene, blant annet for å spare tid og for å unngå manuelle feil. Eksempler på funksjonalitet det vil være naturlig å automatisere er funksjoner for å håndtere forvaltning av informasjonssystemer, som utrulling av oppdateringer, konfigurasjonsstyring, systemovervåkning, brukerhåndtering og sikkerhetskonfigurasjon og verifikasjon.»
Det bør vurderes nærmere om det er riktig at automatisering av denne type funksjoner medfører at NSM trer inn som godkjenningsansvarlig. En uheldig konsekvens kan være at virksomhetene velger enklere løsninger (minnepinner og manuelle rutiner) for oppdatering fremfor automatiserte løsninger, og dermed velger løsninger med dårligere sikkerhet for å unngå at NSM blir godkjenningsmyndighet.
Bokstav b og c gjelder elektronisk overføring av sikkerhetsgradert informasjon via infrastruktur virksomheten ikke kontrollerer gjennom eierskap eller avtale som gir full sikkerhetsmessig kontroll.
Det sentrale her er «overføring av sikkerhetsgradert informasjon». I høringsnotatet på side 63 om § 45 tredje ledd er det beskrevet at sikkerhetstiltak som skal virke hurtig, eller som lett kan utløse feil når de utføres manuelt, skal automatiseres. Videre kommer det frem i høringsnotatet side 63 at:
«Tredje ledd bestemmer i hvilke tilfeller det er krav om automatisering av sikkerhetstiltakene, blant annet for å spare tid og for å unngå manuelle feil. Eksempler på funksjonalitet det vil være naturlig å automatisere er funksjoner for å håndtere forvaltning av informasjonssystemer, som utrulling av oppdateringer, konfigurasjonsstyring, systemovervåkning, brukerhåndtering og sikkerhetskonfigurasjon og verifikasjon.»
Det bør vurderes nærmere om det er riktig at automatisering av denne type funksjoner medfører at NSM trer inn som godkjenningsansvarlig. En uheldig konsekvens kan være at virksomhetene velger enklere løsninger (minnepinner og manuelle rutiner) for oppdatering fremfor automatiserte løsninger, og dermed velger løsninger med dårligere sikkerhet for å unngå at NSM blir godkjenningsmyndighet.