Tímalína máls

1

Til umsagnar

  • 22.6.–19.8.2022

2

Í vinnslu

  • 20.8.–17.10.2022

3

Samráði lokið

  • 18.10.2022

Skjöl til samráðs

Mál nr. S-103/2022

Birt: 21.6.2022

Fjöldi umsagna: 5

Annað

Fjármála- og efnahagsráðuneytið

Hagskýrslugerð og grunnskrár

Öryggisflokkun gagna íslenska ríkisins

Niðurstöður

Alls bárust fimm umsagnir og tekur ráðuneytið undir flestar þeirra. Óskýru orðalagi hefur verið breytt með hliðsjón af innsendum umsögnum. Ráðuneytið telur þó ekki þörf á umtalsverðum efnislegum breytingum á drögum um öryggisflokka íslenska ríkisins í kjölfar samráðs.

Málsefni

Öryggisflokkar gagna taka til allra gagna sem ríkisaðilar safna, vista, vinna með, búa til og gera aðgengileg, í þágu hlutverks síns, þ.m.t. gögn sem stafa frá eða gerð eru aðgengileg þriðja aðila.

Nánari upplýsingar

Skjal þetta lýsir öryggisflokkun gagna í stjórnsýslu íslenska ríkisins:

• út frá öryggissjónarmiðum,

• í þágu skilvirkrar og samræmdrar hagnýtingar á gögnum og

• í samræmi við gildandi lög, reglugerðir og innlendar og alþjóðlegar skuldbindingar.

Öryggisflokkar gagna taka til allra gagna sem ríkisaðilar safna, vista, vinna með, búa til og gera aðgengileg, í þágu hlutverks síns, þ.m.t. gögn sem stafa frá eða gerð eru aðgengileg þriðja aðila.

Ríkisaðilar skulu styðjast við fjóra öryggisflokka:

• Opin gögn

• Varin gögn

• Sérvarin gögn

• Afmörkuð gögn

Hver flokkur kallar á tiltekna og viðeigandi öryggiseiginleika, byggt á mögulegum afleiðingum af gagnaleka, tapi, stillingu og virði gagnanna. Aukið öryggisstig gagna kallar á auknar varnir gegn utanaðkomandi vá. Að auki gætu upplýsingakerfi og þjónustur krafist sértækra varna til að stýra áhættu sem tengist heilleika og tiltækileika gagna. Hægt er að samræma ofangreinda öryggisflokka við eigin flokkunarkerfi eða notast við þá óbreytta.

Flokkun gagna í öryggisflokka er ein af lykilforsendum þess að hægt sé að ná markmiðum stjórnvalda um aukna hagnýtingu gagna. Öryggisflokkar segja til um hvers konar varnir og ráðstafanir þarf að viðhafa fyrir gögn í viðkomandi flokki. Engin samræmd flokkun hefur verið viðhöfð hingað til í íslenskri stjórnsýslu og hefur skortur á slíkri samræmingu í för með sér að ekki er heldur til samræmd sýn á til hvaða öryggisráðstafana þarf að grípa til að verja gögn ríkisins. Ósamræmið hefur í för með sér aukinn kostnað í ríkisrekstrinum á sama tíma og skilningur og sýn ríkisaðila á sömu eða sambærileg gögn getur verið ólík. Þannig gæti ein stofnun litið á tiltekið skilgreint mengi gagna sem viðkvæmt á meðan önnur stofnun litið á sama gagnasett sem minna viðkvæmt.

Samræming og sameiginleg sýn á gögn og öryggisstig þeirra er því þjóðþrifamál til að auka hagnýtingu gagna og vitund um hverju þarf að kosta til við varnir gegn utanaðkomandi vá eða gagnaleka.

Öryggisflokkun gagna hefur enn fremur áhrif á hvar og hvernig gögn eru geymd, hvort og hvernig þau eru unnin, samnýtt og gerð aðgengileg. Ein birtingarmynd í þessu samhengi er notkun skýjaþjónusta fyrir vistun og vinnslu gagna ríkisins. Ættu skýjaþjónustur t.d. að vera yfir höfuð leyfilegar við vistun gagna og er hægt að treysta vistun eða vinnslu gagna í skýjaþjónustum utan íslenskrar lögsögu? Eru gögn öruggari á netþjónum í rekstrarumhverfi tiltekinnar stofnunar? Til hvers konar stýringar og varna er hægt að grípa í umhverfi skýjaþjónustu í samanburði við staðbundna netþjóna?

Öryggisflokkun gagna er því í senn mikilvægt og gagnlegt tól til að svara áleitnum spurningum sem hafa mikil áhrif á rekstrarumhverfi og öryggisráðstafanir ríkisaðila.

Fjármála- og efnahagsráðuneytið hefur verið falið leiðandi hlutverk á sviði upplýsingatækni og stafrænni umbreytingu hins opinbera, þar á meðal samþættingu og notkun gagna innan ríkisrekstrarins.

Vinnuhópi var falið að leggja drög að öryggisflokkun gagna í nóvember 2021, í honum sátu fulltrúar forsætisráðuneytis, fjármála- og efnahagsráðuneytis, heilbrigðisráðuneytis og dómsmálaráðuneytis. Að auki sat í hópnum fulltrúi frá einkafyrirtækinu GRID. Vinnuhópurinn kynnti vinnu sína fyrir ráðuneytum og mikilvægum stofnunum sem framleiða, vista, vinna með og birta gögn.

Samráði lokið

Umsagnir voru birtar jafnóðum og þær bárust. Skoða umsagnir.

Umsjónaraðili

Skrifstofa stjórnunar og umbóta

einar.g.thoroddsen@fjr.is