Fara beint í efnið

26. október 2022

Öryggisflokkun gagna bætir upplýsingaöryggi

Vinnu við öryggisflokkun gagna ríkisins (e. data security classification) er nú lokið. Tilgangur vinnunnar er að leiðbeina stofnunum og tryggja öryggi upplýsinga einstaklinga og fyrirtækja sem ríkinu ber að halda utan um.

oryggisflokkun

Við þróun og gerð öryggisflokkunar gagna er stuðst við eftirfarandi viðmið (e. principles) sem gefa notendum flokkunarinnar leiðsögn ef vafi er um rétta meðferð og flokkun.

Öll gögn hafa virði fyrir stjórnvald, einstakling, lögaðila eða samfélagið í heild.

Viðhafa þarf viðeigandi og gagnsæja meðferð og viðeigandi öryggisúrræði gagna byggt á virði þeirra og tilgangi.

Gögn skulu vera opin og aðgengileg öllum nema hagsmunir stjórnvalda, lögaðila, einstaklinga, almennings eða alþjóðasamstarf krefjist annars.

Aðgangsstýringar sem beitt er til að verja gögn skulu byggja á lágmörkun réttinda, þ.e. aðeins þau sem þurfa aðgang hafi hann.

Allir sem meðhöndla gögn í vörslu ríkisaðila, starfsfólk, þriðju aðilar og þjónustuaðilar skulu hafa viðeigandi kunnáttu í vörslu, umsýslu og öryggi gagna.

Vinna skal út frá þeim megináherslum að lýsa nálgun og veita leiðsögn um útfærslu flokkunarkerfisins og notkun þess.

  1. Gögn skulu vera opin nema annað sé ákveðið

  2. Öryggi gagna sé tryggt á viðeigandi hátt

  3. Flokkun gagna skal vera kerfisbundin og samræmd

  4. Afleiðingar flokkunar skulu vera skýrar og skilgreindar

Ríkisaðilum er leiðbeint að styðjast við fjóra flokka gagna og nýta í sinni starfsemi. Horft er til þess að flokkunin verði skyldubundin þegar reglur um meðferð trúnaðarupplýsinga verða settar. Gögn skulu flokkuð eftir því öryggisstigi sem virði þeirra gerir kröfu um:

  1. Opin gögn
    Ópersónugreinanleg gögn eða gögn sem eru opin og aðgengileg til notkunar og endurnotkunar. Dæmi um slík gögn eru nöfn, lögheimili og fasteignaskrá.

  2. Varin gögn
    Öll gögn önnur en opin gögn sem eru hluti af daglegum rekstri ríkisaðila. Dæmi um slík gögn eru sakaskrá einstalinga, launaupplýsingar ríkisstarfsfólks og frumvörp í vinnslu.

  3. Sérvarin gögn

    Gögn sem vegna viðkvæmrar stöðu m.t.t. tímasetninga eða innihalds geta valdið víðtæku og langvarandi tjóni fyrir hópa einstaklinga, lögaðila eða ríkisaðila. Dæmi um slík gögn eru mál á rannsóknarstigi hjá lögreglunni og fundargerðir ríkisstjórnar.

  4. Afmörkuð gögnGögn sem eru viðkvæm fyrir samfélagið í heild eða stöðu þjóðarinnar á alþjóðavettvangi.

oryggisflokkun

Öryggisflokkun gagna hefur bein áhrif á hvernig notkun skýjaþjónusta er háttað og þar með hvar er t.d. leyfilegt að vista gögn ríkisaðila.

Næstu skref eru að útbúa nánari leiðbeiningar, handhæg verkfæri og greinarbetri upplýsingum fyrir ríkisaðila.

Vinna við að leggja drög að öryggisflokkun gagna hófst í nóvember 2021 með skipun vinnuhóps. Í honum sátu fulltrúar forsætisráðuneytis, fjármála- og efnahagsráðuneytis, heilbrigðisráðuneytis og dómsmálaráðuneytis. Að auki sat í hópnum fulltrúi frá einkafyrirtækinu GRID. Vinnuhópurinn kynnti vinnu sína fyrir ráðuneytum og átti í mikilvægu samráði við stofnanir sem framleiða, vista, vinna með og birta gögn.

Sjá nánar: