Vinnu lokið við öryggisflokkun gagna ríkisins
Vinnu við öryggisflokkun gagna ríkisins (e. data security classification) er nú lokið í kjölfar opins samráðs. Fimm athugasemdir bárust og var unnið úr þeim eftir að samráðsferli lauk þann 19. ágúst sl.
Öryggisflokkun gagna íslenska ríkisins er mikilvægur þáttur í því að styðja við og auka hagnýtingu upplýsingatækni og gagna hjá ríkisaðilum. Allflest nágrannaríki Íslands hafa birt sambærilega flokkun í sama tilgangi. Í undirbúningsvinnunni var horft til flokkunar margra ríkja sem Ísland ber sig að jafnaði við. Einkum var þó horft til öryggisflokkunar Bretlands, sem þykir aðgengileg.
Ríkisaðilum er leiðbeint að styðjast við fjóra flokka gagna og nýta í sinni starfsemi. Horft er til þess að flokkunin verði skyldubundin þegar reglur um meðferð trúnaðarupplýsinga verða settar. Gögn skulu flokkuð eftir því öryggisstigi sem virði þeirra gerir kröfu um:
1 - Opin gögn |
Ópersónugreinanleg gögn eða gögn sem eru opin og aðgengileg til notkunar og endurnotkunar. Svo gögn teljist opin þurfa þau að vera tiltæk án umsókna / beiðna og vera aðgengileg óháð tíma. |
2 - Varin gögn |
Öll gögn önnur en opin gögn sem eru hluti af daglegum rekstri ríkisaðila. Varin gögn geta þó verið misviðkvæm og krafist sérsniðinna öryggisúrræða í samræmi við niðurstöður áhættumats. |
3 - Sérvarin gögn |
Gögn sem vegna viðkvæmrar stöðu m.t.t. tímasetninga eða innihalds geta valdið víðtæku og langvarandi tjóni fyrir hópa einstaklinga, lögaðila eða ríkisaðila. |
4 - Afmörkuð gögn |
Gögn sem eru viðkvæm fyrir samfélagið í heild eða stöðu þjóðarinnar á alþjóðavettvangi. |
Öryggisflokkun gagna hefur bein áhrif á hvernig notkun skýjaþjónusta er háttað og þar með hvar er t.d. leyfilegt að vista gögn ríkisaðila.
Flokkur |
Staðsetning vistunar |
Öryggisúrræði (viðmið) |
Opin gögn |
Hjá hæfum aðila innan EES sem uppfyllir öryggiskröfur og er t.d. aðili að innkaupaferli Ríkiskaupa. Ríkisaðili getur talist hæfur að uppfylltum öryggiskröfum. |
Tryggja réttleika og tiltækileika. |
Varin gögn |
Hjá hæfum aðila innan EES sem uppfyllir öryggiskröfur og er t.d. aðili að innkaupaferli Ríkiskaupa. Ríkisaðili getur talist hæfur að uppfylltum öryggiskröfum. |
Dulritun í flutningi yfir óörugg net og varið í geymslu fyrir óviðkomandi aðgangi. Auðkenning hvers notenda og allra aðgerða. Atburðaskráning uppflettinga og aðgangstilrauna. |
Sérvarin gögn |
Hjá hæfum aðila innan EES sem uppfyllir öryggiskröfur og er t.d. aðili að innkaupaferli Ríkiskaupa. Ríkisaðili getur talist hæfur að uppfylltum öryggiskröfum. Sértæk lög og kröfur geta takmarkað vistunarstaði. |
Dulritun (með eigin lykli eða aðferðum) í notkun, flutningi og geymslu. Sterk og margþátta auðkenning, atburðaskráning uppflettinga og aðgangstilrauna. Sérhönnuð upplýsingakerfi byggð á sértækum öryggis- og virknikröfum miðað við eðli og virði gagnanna. |
Afmörkuð gögn |
Á sértækum og aðskildum upplýsingakerfum í eigu viðkomandi ríkisaðila. |
Allt ofangreint auk aðskilnaðar frá öðrum kerfum. |
Næstu skref eru að útbúa nánari leiðbeiningar, handhæg verkfæri og greinarbetri upplýsingum fyrir ríkisaðila og birta á opnu vefsvæði ásamt öðru sem tengist öryggisflokkuninni og stefnu um notkun rekstrar- og hýsingarumhverfis (skýjalausna), m.a.:
- Leiðbeiningar um almenna útfærslu á öryggisúrræðum til að bregðast við flokkun.
- Viðmið um notkun og innkaup skýjalausna (tæknigrunnar skýjalausna)
- Áhættumatsgrunnur fyrir algengar og mikið notaðar skýjalausnir.
- Sniðmát og verkfæri til að styðja við kortlagningu og mat á flokkun gagna.
- Kynningar, fræðsla og upplýsingamiðlun bæði til stjórnenda, tæknilegra ábyrgðaraðila og almennt til starfsfólks um meðferð upplýsinga, hvað flokkun þýðir og hvaða afleiðingar þær hafa í daglegum störfum.
Vinna við að leggja drög að öryggisflokkun gagna hófst í nóvember 2021 með skipun vinnuhóps. Í honum sátu fulltrúar forsætisráðuneytis, fjármála- og efnahagsráðuneytis, heilbrigðisráðuneytis og dómsmálaráðuneytis. Að auki sat í hópnum fulltrúi frá einkafyrirtækinu GRID. Vinnuhópurinn kynnti vinnu sína fyrir ráðuneytum og átti í mikilvægu samráði við stofnanir sem framleiða, vista, vinna með og birta gögn.
Sjá nánar: