Det er viktig at all IT-bruk er sikker. Utstyr styres av IT-systemer, penger utveksles ved hjelp av IT-systemer og beslutninger støttes av IT-systemer. Vi ønsker at dette kan gjennomføres uten at systemene brytes ned og uvedkommende overtar og lar systemene utføre oppgaver de ikke var tiltenkt.

Omfanget av cyberangrep, industrispionasje og produktkopiering vokser. Dette er globale utfordringer og omfatter alle virksomheter, små som store. Også norske virksomheter og myndigheter rapporterer om økning i antall dataangrep.

Det er viktig å kjenne til virksomhetenes verdier, trusselbildet og trusselaktørene for å kunne beskytte sin informasjon på best mulig måte. Trusselbildet er komplekst, der trusselen gjerne kommer fra aktører med klart motiv, kompetanse og ressurser. Dette medfører det økende behov for kontroll med deling av informasjon for å forebygge, avdekke og håndtere slike hendelser.

Å fastslå identiteten til en reisende skjer på mange måter. Det er viktig å gjøre dette på en sikker måte og samtidig så smidig som mulig for den reisende.

Ny EU-forordning om personvern
Nasjonal Sikkerhetsmyndighet (NSM) er gitt i oppdrag av Justis- og beredskapsdepartementet å gi et nasjonalt risikobilde. Dette er publisert i NSM sin rapport "Sikkerhetsfaglig råd 2015". NSM foreslår tiltak for å styrke IKT-sikkerheten, ved blant annet å innføre EUs direktiv for nettverks- og informasjonssikkerhet.

EU arbeider med den nye personvernforordningen som skal erstatte dagens personverndirektiv og som vil medføre en større grad av harmonisering i Europa. Reglene for kontroll og behandling av personopplysninger er relevant for de aller fleste norske bedrifter og organisasjoner. Forordningen vil erstatte «personverndirektivet» og innføre likere regler i EU/EØS-landene. Det vil dermed bli begrensede muligheter til nasjonal særlovgivning.

Det er forventet at den nye forordningen vil redusere kravene til administrasjon og oppfølging mot Datatilsynet for små og mellomstore bedrifter. Dette legger derimot et enda større ansvar på virksomhetene for å oppfylle kravene, bl. a. gjennom plikt til å gjøre konsekvensanalyser, innebygd personvern, revisjon av internkontroll hvert annet år og kravet til dokumentasjon forsterkes. Datatilsynet antyder at de prinsippene vi kjenner i dagens lovgivning vil bli videreført, samtykke, formålsbegrensning og dataminimalisering.

Standarder som verktøy for økt personvern
Personvern og standardisering beskjeftiger seg med utvikling av personvernteknikker. Det utvikles rammeverk for personidentifiserbare data. Det setter krav til de som skal behandle personlig identifiserbar informasjon, og hvordan anonymisering og mulige sammenkoblingsmuligheter for persondata kan administreres. Det overordnede målet er å sikre identitetsverifisering ved observasjon av attributter ved den som skal identifiseres. Dette vil gjøre det mulig å fastsette personens identitet.

Forprosjekt om IKT-sikkerhet og personvern
På bakgrunn av en henvendelse fra sentrale aktører innenfor IKT- og finansmiljøet (Finans Norge, BankID, FinansCERT, Bankenes Standardiseringskontor), Virke og Abelia, har Standard Norge initiert prosjektet «IKT-sikkerhet og personvern». Målet med prosjektet er å identifisere aktørenes behov og i hvilken grad det eksisterer relevante internasjonale standarder gjennom ISO og CEN og i hvilken grad det er behov for å utvikle nye nasjonale standarder eller internasjonale som behandler IKT-sikkerhet og personvern. Det har også vært et mål å avdekke aktørenes holdning til behovet for økt tverrsektorielt samarbeid.

I sin henvendelse ber også aktørene Standard Norge om å etablere en nøytral arena for tverrsektorielt samarbeid for utvikling av felles standarder på området. IKT-sikkerhet og personvern er en grunnleggende forutsetning for økt digitalisering hvor det er behov for en nasjonal koordinering og etablering av et felles nasjonalt program for å forebygge, avdekke og håndtere fremtidige dataangrep.

Eksisterende standarder
Det finnes allerede standarder på området, og de mest sentrale er

• NS-EN ISO/IEC 27001 Informasjonsteknologi - Sikringsteknikker - Ledelsessystemer for informasjonssikkerhet – Krav
• NS-EN ISO/IEC 27002 Informasjonsteknologi - Sikringsteknikker - Tiltak for informasjonssikring

NS-ISO/IEC 27001 inneholder kravene en kan sertifisere virksomhetens styringssystem for informasjonssikring etter, mens NS-ISO/IEC 27002 gir gode råd til tiltak for å innføre et styringssystem med kravene skissert i NS-ISO/IEC 27001.