Öryggisflokkun gagna íslenska ríkisins
Öryggisflokkun gagna íslenska ríkisins er mikilvægur þáttur í því að styðja við og auka hagnýtingu upplýsingatækni og gagna hjá ríkisaðilum.
Ríkisaðilum er leiðbeint að styðjast við fjóra flokka gagna og nýta í sinni starfsemi. Horft er til þess að flokkunin verði skyldubundin þegar reglur um meðferð trúnaðarupplýsinga verða settar. Gögn skulu flokkuð eftir því öryggisstigi sem virði þeirra gerir kröfu um:
| 1 - Opin gögn |
Ópersónugreinanleg gögn eða gögn sem eru opin og aðgengileg til notkunar og endurnotkunar. Svo gögn teljist opin þurfa þau að vera tiltæk án umsókna / beiðna og vera aðgengileg óháð tíma. |
| 2 - Varin gögn |
Öll gögn önnur en opin gögn sem eru hluti af daglegum rekstri ríkisaðila. Varin gögn geta þó verið misviðkvæm og krafist sérsniðinna öryggisúrræða í samræmi við niðurstöður áhættumats. |
| 3 - Sérvarin gögn |
Gögn sem vegna viðkvæmrar stöðu m.t.t. tímasetninga eða innihalds geta valdið víðtæku og langvarandi tjóni fyrir hópa einstaklinga, lögaðila eða ríkisaðila. |
| 4 - Afmörkuð gögn |
Gögn sem eru viðkvæm fyrir samfélagið í heild eða stöðu þjóðarinnar á alþjóðavettvangi. |
Öryggisflokkun gagna hefur bein áhrif á hvernig notkun skýjaþjónusta er háttað og þar með hvar er t.d. leyfilegt að vista gögn ríkisaðila.
| Flokkur |
Staðsetning vistunar |
Öryggisúrræði (viðmið) |
| Opin gögn |
Hjá hæfum aðila innan EES sem uppfyllir öryggiskröfur og er t.d. aðili að innkaupaferli Ríkiskaupa. Ríkisaðili getur talist hæfur að uppfylltum öryggiskröfum. |
Tryggja réttleika og tiltækileika. |
| Varin gögn |
Hjá hæfum aðila innan EES sem uppfyllir öryggiskröfur og er t.d. aðili að innkaupaferli Ríkiskaupa. Ríkisaðili getur talist hæfur að uppfylltum öryggiskröfum. |
Dulritun í flutningi yfir óörugg net og varið í geymslu fyrir óviðkomandi aðgangi. Auðkenning hvers notenda og allra aðgerða. Atburðaskráning uppflettinga og aðgangstilrauna. |
| Sérvarin gögn |
Hjá hæfum aðila innan EES sem uppfyllir öryggiskröfur og er t.d. aðili að innkaupaferli Ríkiskaupa. Ríkisaðili getur talist hæfur að uppfylltum öryggiskröfum. Sértæk lög og kröfur geta takmarkað vistunarstaði. |
Dulritun (með eigin lykli eða aðferðum) í notkun, flutningi og geymslu. Sterk og margþátta auðkenning, atburðaskráning uppflettinga og aðgangstilrauna. Sérhönnuð upplýsingakerfi byggð á sértækum öryggis- og virknikröfum miðað við eðli og virði gagnanna. |
| Afmörkuð gögn |
Á sértækum og aðskildum upplýsingakerfum í eigu viðkomandi ríkisaðila. |
Allt ofangreint auk aðskilnaðar frá öðrum kerfum. |
Næstu skref eru að útbúa nánari leiðbeiningar, handhæg verkfæri og greinarbetri upplýsingum fyrir ríkisaðila.
Vinna við að leggja drög að öryggisflokkun gagna hófst í nóvember 2021 með skipun vinnuhóps. Í honum sátu fulltrúar forsætisráðuneytis, fjármála- og efnahagsráðuneytis, heilbrigðisráðuneytis og dómsmálaráðuneytis. Að auki sat í hópnum fulltrúi frá einkafyrirtækinu GRID. Vinnuhópurinn kynnti vinnu sína fyrir ráðuneytum og átti í mikilvægu samráði við stofnanir sem framleiða, vista, vinna með og birta gögn.
Allflest nágrannaríki Íslands hafa birt sambærilega flokkun í sama tilgangi. Í undirbúningsvinnunni var horft til flokkunar margra ríkja sem Ísland ber sig að jafnaði við. Einkum var þó horft til öryggisflokkunar Bretlands, sem þykir aðgengileg.
Sjá nánar:
Upplýsingatæknimál ríkisins
Ábendingin verður notuð til að bæta gæði þjónustu og upplýsinga á vef Stjórnarráðsins. Hikaðu ekki við að hafa samband ef þig vantar aðstoð.