Öryggisflokkun gagna íslenska ríkisins
Öryggisflokkun gagna íslenska ríkisins er mikilvægur þáttur í því að styðja við og auka hagnýtingu upplýsingatækni og gagna hjá ríkisaðilum.
Ríkisaðilum er leiðbeint að styðjast við fjóra flokka gagna og nýta í sinni starfsemi. Horft er til þess að flokkunin verði skyldubundin þegar reglur um meðferð trúnaðarupplýsinga verða settar. Gögn skulu flokkuð eftir því öryggisstigi sem virði þeirra gerir kröfu um:
| 1 - Opin gögn | Ópersónugreinanleg gögn eða gögn sem eru opin og aðgengileg til notkunar og endurnotkunar. Svo gögn teljist opin þurfa þau að vera tiltæk án umsókna / beiðna og vera aðgengileg óháð tíma. |
| 2 - Varin gögn | Öll gögn önnur en opin gögn sem eru hluti af daglegum rekstri ríkisaðila. Varin gögn geta þó verið misviðkvæm og krafist sérsniðinna öryggisúrræða í samræmi við niðurstöður áhættumats. |
| 3 - Sérvarin gögn | Gögn sem vegna viðkvæmrar stöðu m.t.t. tímasetninga eða innihalds geta valdið víðtæku og langvarandi tjóni fyrir hópa einstaklinga, lögaðila eða ríkisaðila. |
| 4 - Afmörkuð gögn | Gögn sem eru viðkvæm fyrir samfélagið í heild eða stöðu þjóðarinnar á alþjóðavettvangi. |
Öryggisflokkun gagna hefur bein áhrif á hvernig notkun skýjaþjónusta er háttað og þar með hvar er t.d. leyfilegt að vista gögn ríkisaðila.
| Flokkur | Staðsetning vistunar | Öryggisúrræði (viðmið) |
| Opin gögn | Hjá hæfum aðila innan EES sem uppfyllir öryggiskröfur og er t.d. aðili að innkaupaferli Ríkiskaupa. Ríkisaðili getur talist hæfur að uppfylltum öryggiskröfum. | Tryggja réttleika og tiltækileika. |
| Varin gögn | Hjá hæfum aðila innan EES sem uppfyllir öryggiskröfur og er t.d. aðili að innkaupaferli Ríkiskaupa. Ríkisaðili getur talist hæfur að uppfylltum öryggiskröfum. | Dulritun í flutningi yfir óörugg net og varið í geymslu fyrir óviðkomandi aðgangi. Auðkenning hvers notenda og allra aðgerða. Atburðaskráning uppflettinga og aðgangstilrauna. |
| Sérvarin gögn | Hjá hæfum aðila innan EES sem uppfyllir öryggiskröfur og er t.d. aðili að innkaupaferli Ríkiskaupa. Ríkisaðili getur talist hæfur að uppfylltum öryggiskröfum. Sértæk lög og kröfur geta takmarkað vistunarstaði. | Dulritun (með eigin lykli eða aðferðum) í notkun, flutningi og geymslu. Sterk og margþátta auðkenning, atburðaskráning uppflettinga og aðgangstilrauna. Sérhönnuð upplýsingakerfi byggð á sértækum öryggis- og virknikröfum miðað við eðli og virði gagnanna. |
| Afmörkuð gögn | Á sértækum og aðskildum upplýsingakerfum í eigu viðkomandi ríkisaðila. | Allt ofangreint auk aðskilnaðar frá öðrum kerfum. |
Næstu skref eru að útbúa nánari leiðbeiningar, handhæg verkfæri og greinarbetri upplýsingum fyrir ríkisaðila.
Vinna við að leggja drög að öryggisflokkun gagna hófst í nóvember 2021 með skipun vinnuhóps. Í honum sátu fulltrúar forsætisráðuneytis, fjármála- og efnahagsráðuneytis, heilbrigðisráðuneytis og dómsmálaráðuneytis. Að auki sat í hópnum fulltrúi frá einkafyrirtækinu GRID. Vinnuhópurinn kynnti vinnu sína fyrir ráðuneytum og átti í mikilvægu samráði við stofnanir sem framleiða, vista, vinna með og birta gögn.
Allflest nágrannaríki Íslands hafa birt sambærilega flokkun í sama tilgangi. Í undirbúningsvinnunni var horft til flokkunar margra ríkja sem Ísland ber sig að jafnaði við. Einkum var þó horft til öryggisflokkunar Bretlands, sem þykir aðgengileg.
Sjá nánar:
- Öryggisflokkun gagna ríkisins, útgáfa 1.3, frá desember 2023
- Öryggisflokkun gagna ríkisins, útgáfa 1.2, frá maí 2023
- Öryggisflokkun gagna ríkisins,1.0
- Öryggisflokkun gagna - kynning
- Öryggis- og þjónustustefna um rekstrar- og hýsingarumhverfi (Stefna um notkun skýjalausna)
- Fullyrðingar og spurningar um rekstrar- og hýsingarumhverfi
Upplýsingatæknimál ríkisins
Ábendingin verður notuð til að bæta gæði þjónustu og upplýsinga á vef Stjórnarráðsins. Hikaðu ekki við að hafa samband ef þig vantar aðstoð.