Samráð fyrirhugað 22.06.2022—19.08.2022
Til umsagnar 22.06.2022—19.08.2022
Niðurstöður í vinnslu frá 19.08.2022
Niðurstöður birtar

Öryggisflokkun gagna íslenska ríkisins

Mál nr. 103/2022 Birt: 21.06.2022
  • Fjármála- og efnahagsráðuneytið
  • Annað
  • Málefnasvið:
  • Hagskýrslugerð og grunnskrár

Niðurstöður í vinnslu

Umsagnarfrestur er liðinn (22.06.2022–19.08.2022). Umsagnir voru birtar jafnóðum og þær bárust. Skoða umsagnir. Niðurstöður samráðsins verða birtar þegar unnið hefur verið úr þeim ábendingum og athugasemdum sem bárust.

Málsefni

Öryggisflokkar gagna taka til allra gagna sem ríkisaðilar safna, vista, vinna með, búa til og gera aðgengileg, í þágu hlutverks síns, þ.m.t. gögn sem stafa frá eða gerð eru aðgengileg þriðja aðila.

Skjal þetta lýsir öryggisflokkun gagna í stjórnsýslu íslenska ríkisins:

• út frá öryggissjónarmiðum,

• í þágu skilvirkrar og samræmdrar hagnýtingar á gögnum og

• í samræmi við gildandi lög, reglugerðir og innlendar og alþjóðlegar skuldbindingar.

Öryggisflokkar gagna taka til allra gagna sem ríkisaðilar safna, vista, vinna með, búa til og gera aðgengileg, í þágu hlutverks síns, þ.m.t. gögn sem stafa frá eða gerð eru aðgengileg þriðja aðila.

Ríkisaðilar skulu styðjast við fjóra öryggisflokka:

• Opin gögn

• Varin gögn

• Sérvarin gögn

• Afmörkuð gögn

Hver flokkur kallar á tiltekna og viðeigandi öryggiseiginleika, byggt á mögulegum afleiðingum af gagnaleka, tapi, stillingu og virði gagnanna. Aukið öryggisstig gagna kallar á auknar varnir gegn utanaðkomandi vá. Að auki gætu upplýsingakerfi og þjónustur krafist sértækra varna til að stýra áhættu sem tengist heilleika og tiltækileika gagna. Hægt er að samræma ofangreinda öryggisflokka við eigin flokkunarkerfi eða notast við þá óbreytta.

Flokkun gagna í öryggisflokka er ein af lykilforsendum þess að hægt sé að ná markmiðum stjórnvalda um aukna hagnýtingu gagna. Öryggisflokkar segja til um hvers konar varnir og ráðstafanir þarf að viðhafa fyrir gögn í viðkomandi flokki. Engin samræmd flokkun hefur verið viðhöfð hingað til í íslenskri stjórnsýslu og hefur skortur á slíkri samræmingu í för með sér að ekki er heldur til samræmd sýn á til hvaða öryggisráðstafana þarf að grípa til að verja gögn ríkisins. Ósamræmið hefur í för með sér aukinn kostnað í ríkisrekstrinum á sama tíma og skilningur og sýn ríkisaðila á sömu eða sambærileg gögn getur verið ólík. Þannig gæti ein stofnun litið á tiltekið skilgreint mengi gagna sem viðkvæmt á meðan önnur stofnun litið á sama gagnasett sem minna viðkvæmt.

Samræming og sameiginleg sýn á gögn og öryggisstig þeirra er því þjóðþrifamál til að auka hagnýtingu gagna og vitund um hverju þarf að kosta til við varnir gegn utanaðkomandi vá eða gagnaleka.

Öryggisflokkun gagna hefur enn fremur áhrif á hvar og hvernig gögn eru geymd, hvort og hvernig þau eru unnin, samnýtt og gerð aðgengileg. Ein birtingarmynd í þessu samhengi er notkun skýjaþjónusta fyrir vistun og vinnslu gagna ríkisins. Ættu skýjaþjónustur t.d. að vera yfir höfuð leyfilegar við vistun gagna og er hægt að treysta vistun eða vinnslu gagna í skýjaþjónustum utan íslenskrar lögsögu? Eru gögn öruggari á netþjónum í rekstrarumhverfi tiltekinnar stofnunar? Til hvers konar stýringar og varna er hægt að grípa í umhverfi skýjaþjónustu í samanburði við staðbundna netþjóna?

Öryggisflokkun gagna er því í senn mikilvægt og gagnlegt tól til að svara áleitnum spurningum sem hafa mikil áhrif á rekstrarumhverfi og öryggisráðstafanir ríkisaðila.

Fjármála- og efnahagsráðuneytið hefur verið falið leiðandi hlutverk á sviði upplýsingatækni og stafrænni umbreytingu hins opinbera, þar á meðal samþættingu og notkun gagna innan ríkisrekstrarins.

Vinnuhópi var falið að leggja drög að öryggisflokkun gagna í nóvember 2021, í honum sátu fulltrúar forsætisráðuneytis, fjármála- og efnahagsráðuneytis, heilbrigðisráðuneytis og dómsmálaráðuneytis. Að auki sat í hópnum fulltrúi frá einkafyrirtækinu GRID. Vinnuhópurinn kynnti vinnu sína fyrir ráðuneytum og mikilvægum stofnunum sem framleiða, vista, vinna með og birta gögn.

Innsendar umsagnir

Afrita slóð á umsögn

#1 Björn Leví Gunnarsson - 22.06.2022

Það vantar flokkun sem tekur tillit til upplýsingalaga. Hvort gögnin eru með undanþágu og þá ástæðu og rökstuðning undanþágu.

Afrita slóð á umsögn

#2 Margrét Dóra Ragnarsdóttir - 23.06.2022

Það stendur varðandi staðsetningu vistunar (öll stig):

Hjá hæfum aðila innan EES sem uppfyllir öryggiskröfur skv. útboðslýsingu og er aðili að innkaupaferli Ríkiskaupa.

Ég hnaut þarna um "...og er aðili að innkaupaferli Ríkiskaupa."

Tvennt:

1) Ekki öll kaup á stafrænni tækni fara í gegnum innkaupaferli Ríkiskaupa. Einhver gæti verið hagræða í rekstri með því að skipta um hýsingaraðila eða verkefni er ekki nógu stórt fyrir útboð og fellur undir verðkönnun.

Þarf þá ekki að taka tillit til þessara krafna? Eru þær bara krafa þegar um útboð er að ræða sem fellur undir innkaupaferli Ríkiskaupa?

2) Þegar samið er um útfærslu á vef og rekstur á honum við þá er meira en líklegt að vefstofan/þjónustuaðilinn sé að nýta skýjaþjónustu. Það getur verið nánast ómögulegt að átta sig á hvar vefurinn nýtir 3rd party skýjaþjónustur á einhvern hátt til að bæta öryggi, uppitíma, viðbragð og fleira. Þessi skýjaþjónustufyrirtæki, eins og Heroku, vefumsýslukerfi eins og Prismic eða Contentful, CDN eins og Cloudflare svo einhver dæmi séu nefnd, eru ekki aðilar að innkaupaferli Ríkiskaupa. Varla er meiningin að banna notkun á svona 3rd party skýjaþjónustum? Ef að íslenskar vefstofur eða opinberir aðilar þyrftu sjálfir að halda úti svona fjölbreyttri þjónustu þá er ljóst að kostnaður færi upp úr öllu valdi fyrir alla aðila og erfitt að sjá að þjónustan yrði jafn góð.

Afrita slóð á umsögn

#3 Böðvar Tómasson - 19.07.2022

Öryggisflokkun gagna í stjórnsýslu íslenska ríkisins er mikið framfaramál út frá öryggissjónarmiðum og lykilþáttur í mati á nauðsynlegum öryggisráðstöfunum vegna geymslu þeirra. Eins og segir í fyrirliggjandi lýsingu: „Öryggisflokkar segja til um hvers konar varnir og ráðstafanir þarf að viðhafa fyrir gögn í viðkomandi flokki.“ Í skilgreiningu á öryggisflokkum vantar þó umfjöllun um kröfur til raunlægra varna geymslustaða. Örlítið er vikið að þessu í kafla 8, Viðmið og meðhöndlun, undir „Raunlægar öryggiskröfur og merkingar“, en þar er þó einungis fjallað um hverjir skulu hafa aðgengi að gögnum.

Aðgangsstýring gagna dugar ekki ein og sér til að tryggja að óviðkomandi hafi ekki aðgengi að gagnageymslum, heldur þarf að setja kröfur um raunlægar varnir m.t.t. öryggisflokkunar gagnanna (varin, sérvarin og afmörkuð). Þetta er gert í öllum þeim löndum sem borið er saman við og vísað er í, þ.e. Ástralía, Bandaríkin, Bretland, Noregur, Finnland, Nýja-Sjáland, sjá „Öryggisflokkun gagna ríkisins – Almenn kynning“. Raunlægar varnir fyrir geymslu á gögnum taka meðal annars til skiptingar gagnageymsla í mismunandi svæði, krafna til veggja, hurða og lásabúnaðar, og krafna til rafræns öryggisbúnaðar. Þegar kemur að heildaröryggi gagna er þetta ein af grunnstoðum gagnaöryggis, sjá t.d. Nasjonal sikkerhetsmyndighet í Noregi.

Grunnöryggisflokkar gagna (opin, varin, sérvarin og afmörkuð) eru vel rökstuddir út frá rafrænu öryggi en ekki er búið að fjalla raunlægar varnir, sem nauðsynlegar eru til að tryggja heildaröryggi gagna á viðunandi hátt.

Afrita slóð á umsögn

#4 Ríkislögreglustjóri - 19.08.2022

Meðfylgjandi er umsögn embættir ríkislögreglustjóra vegna máls nr. 103/2022 á Samráðsgáttinni.

Viðhengi
Afrita slóð á umsögn

#5 Samtök iðnaðarins - 19.08.2022

Meðfylgjandi er umsögn Samtaka iðnaðarins (SI) um öryggisflokkun gagna íslenska ríkisins.

Viðhengi