|
Sikkerhetsloven og beskyttelsesinstruksen gir retningslinjer om informasjon som må skjermes av nasjonale sikkerhetshensyn eller av andre grunner. Også disse retningslinjene får konsekvenser for arkivdanningen, ettersom opplysninger og dokument som inneholder informasjon som skal skjermes etter disse reglene, må håndteres særskilt. Sikkerhetsloven gjelder for hele forvaltningen, mens beskyttelsesinstruksen bare gjelder for statsforvaltningen. Sikkerhetsloven - arkivfaglig viktige paragrafer:
§ 5-3.Sikkerhetsgradert informasjon
En virksomhet som tilvirker informasjon, skal sikkerhetsgradere og merke informasjonen dersom det kan skade nasjonale sikkerhetsinteresser om den blir kjent for uvedkommende. Følgende sikkerhetsgrader skal benyttes:
a. STRENGT HEMMELIG dersom det kan få helt avgjørende skadefølger
b. HEMMELIG dersom det kan få alvorlige skadefølger
c. KONFIDENSIELT dersom det kan få skadefølger
d. BEGRENSET dersom det i noen grad kan få skadefølger.
Sikkerhetsgradering skal ikke brukes i større utstrekning eller for lengre tid enn nødvendig. Dersom ikke annet er bestemt, bortfaller sikkerhetsgraderingen etter 30 år.
Kongen kan gi forskrift om sikkerhetsgradering og beskyttelse av informasjon som mottas eller gis innenfor rammen av en gjensidig overenskomst med en fremmed stat eller en internasjonal organisasjon. § 12. Plikt til å beskytte sikkerhetsgradert informasjon Enhver som får tilgang til sikkerhetsgradert informasjon som ledd i arbeid, oppdrag eller verv for en virksomhet, plikter å hindre at uvedkommende får kjennskap til informasjonen. Taushetsplikten gjelder også etter at vedkommende har avsluttet arbeidet, oppdraget eller vervet. Sikkerhetsgradert informasjon skal bare overlates til personer som har tjenstlig behov for tilgang til den. Taushetsplikten er likevel ikke til hinder for at sikkerhetsgradert informasjon blir gitt til andre når dette har særskilt hjemmel i lov eller i generell forskrift fastsatt av Kongen. Kongen gir nærmere regler om håndteringen av sikkerhetsgradert informasjon, herunder om journalisering, oppbevaring, forsendelse og tilintetgjøring. Kongen kan også gi regler om plikt til å legge forholdene til rette for at sikkerhetsgradert informasjon er korrekt, fullstendig og tilgjengelig. § 13. Sikkerhetsmessig godkjenning av informasjonssystemer Før skjermingsverdig informasjon behandles, lagres eller transporteres i et informasjonssystem, skal Nasjonal sikkerhetsmyndighet, eller den Nasjonal sikkerhetsmyndighet bemyndiger, godkjenne systemet for angjeldende sikkerhetsgrad. Nasjonal sikkerhetsmyndighet er sertifiseringsmyndighet for informasjonssystemer som skal håndtere skjermingsverdig informasjon. Nasjonal sikkerhetsmyndighet kan godkjenne at andre virksomheter utfører tjenester for sikring av informasjonssystemer som skal håndtere skjermingsverdig informasjon. Nasjonal sikkerhetsmyndighet gir nærmere forskrifter om sikkerhetsmessig godkjenning av informasjonssystemer. § 14. Kryptosikkerhet Bare kryptosystemer som er godkjent av Nasjonal sikkerhetsmyndighet, tillates brukt for beskyttelse av skjermingsverdig informasjon. Nasjonal sikkerhetsmyndighet er nasjonal forvalter av kryptomateriell og leverandør av kryptosikkerhetstjenester til virksomheter. Nasjonal sikkerhetsmyndighet kan likevel godkjenne andre leverandører av kryptosikkerhetstjenester. Disse skal undertegne en særskilt avtale om dette med Nasjonal sikkerhetsmyndighet. Nasjonal sikkerhetsmyndighet skal godkjenne kryptoalgoritmer som brukes i utstyr som tenkes eksportert. Nærmere bestemmelser fastsettes av Nasjonal sikkerhetsmyndighet. § 15. Monitoring av og inntrengning i informasjonssystemer En virksomhet kan gi Nasjonal sikkerhetsmyndighet adgang til gjennom monitoring å kontrollere om informasjonssystemer i vedkommende virksomhet lagrer, behandler eller transporterer skjermingsverdig informasjon uten at de er godkjent for dette. Virksomhetens ansatte skal på forhånd ha blitt orientert om kontrollen. Monitoring skal ikke i noe tilfelle omfatte privat kommunikasjon eller kommunikasjon som blir formidlet til eller fra andre enn virksomheter. En virksomhet kan gi Nasjonal sikkerhetsmyndighet adgang til å forsøke og eventuelt gjennomføre inntrengning i informasjonssystemer som lagrer, behandler eller transporterer skjermingsverdig informasjon, for å kontrollere motstandskraften i systemene. Virksomhetens ansatte skal på forhånd ha blitt orientert om kontrollen. Informasjon som Nasjonal sikkerhetsmyndighet blir kjent med ved kontrollvirksomhet etter første og annet ledd, skal makuleres når den ikke lenger har betydning for kontrollen. Kongen gir nærmere bestemmelser, herunder om varsling og gjennomføring av monitoring og inntrengning og om oppbevaring og makulering av informasjon. § 16. Tekniske sikkerhetsundersøkelser Nasjonal sikkerhetsmyndighet, eller den Nasjonal sikkerhetsmyndighet bemyndiger, kan foreta undersøkelser av lokaler, bygninger og andre objekter som eies, brukes eller på annen måte kontrolleres av en virksomhet, i den hensikt å fastslå hvorvidt uvedkommende med eller uten tekniske hjelpemidler kan skaffe seg tilgang til skjermingsverdig informasjon gjennom avtitting, avlytting av tale eller avlesing av elektroniske signaler. Kongen gir nærmere forskrifter om gjennomføring av tekniske sikkerhetsundersøkelser. Sikkerhetsloven i fulltekst hos Lovdata. Beskyttelsesinstruksen i fulltekst hos Lovdata. |