Í Samráðsgátt Stafræns Íslands sem er opið samráð stjórnvalda við almenning hefur bæst við skjal vegna öryggisflokkun gagna.
Birt á vef Ísland.is:
Til umsagnar
Umsagnarfrestur er 22.06.2022–19.08.2022. Umsagnir verða birtar jafnóðum og þær berast.
Senda inn umsögn
Málsefni
Öryggisflokkar gagna taka til allra gagna sem ríkisaðilar safna, vista, vinna með, búa til og gera aðgengileg, í þágu hlutverks síns, þ.m.t. gögn sem stafa frá eða gerð eru aðgengileg þriðja aðila.
Skjal til samráðs
- Skjal: Öryggisflokkun gagna íslenskra ríkisins
- Fylgiskjal: Öryggisflokkun gagna - tilgangur og markmið - kynning
Skjal þetta lýsir öryggisflokkun gagna í stjórnsýslu íslenska ríkisins:
• út frá öryggissjónarmiðum,
• í þágu skilvirkrar og samræmdrar hagnýtingar á gögnum og
• í samræmi við gildandi lög, reglugerðir og innlendar og alþjóðlegar skuldbindingar.
Öryggisflokkar gagna taka til allra gagna sem ríkisaðilar safna, vista, vinna með, búa til og gera aðgengileg, í þágu hlutverks síns, þ.m.t. gögn sem stafa frá eða gerð eru aðgengileg þriðja aðila.
Ríkisaðilar skulu styðjast við fjóra öryggisflokka:
• Opin gögn
• Varin gögn
• Sérvarin gögn
• Afmörkuð gögn
Hver flokkur kallar á tiltekna og viðeigandi öryggiseiginleika, byggt á mögulegum afleiðingum af gagnaleka, tapi, stillingu og virði gagnanna. Aukið öryggisstig gagna kallar á auknar varnir gegn utanaðkomandi vá. Að auki gætu upplýsingakerfi og þjónustur krafist sértækra varna til að stýra áhættu sem tengist heilleika og tiltækileika gagna. Hægt er að samræma ofangreinda öryggisflokka við eigin flokkunarkerfi eða notast við þá óbreytta.
Flokkun gagna í öryggisflokka er ein af lykilforsendum þess að hægt sé að ná markmiðum stjórnvalda um aukna hagnýtingu gagna. Öryggisflokkar segja til um hvers konar varnir og ráðstafanir þarf að viðhafa fyrir gögn í viðkomandi flokki. Engin samræmd flokkun hefur verið viðhöfð hingað til í íslenskri stjórnsýslu og hefur skortur á slíkri samræmingu í för með sér að ekki er heldur til samræmd sýn á til hvaða öryggisráðstafana þarf að grípa til að verja gögn ríkisins. Ósamræmið hefur í för með sér aukinn kostnað í ríkisrekstrinum á sama tíma og skilningur og sýn ríkisaðila á sömu eða sambærileg gögn getur verið ólík. Þannig gæti ein stofnun litið á tiltekið skilgreint mengi gagna sem viðkvæmt á meðan önnur stofnun litið á sama gagnasett sem minna viðkvæmt.
Samræming og sameiginleg sýn á gögn og öryggisstig þeirra er því þjóðþrifamál til að auka hagnýtingu gagna og vitund um hverju þarf að kosta til við varnir gegn utanaðkomandi vá eða gagnaleka.
Öryggisflokkun gagna hefur enn fremur áhrif á hvar og hvernig gögn eru geymd, hvort og hvernig þau eru unnin, samnýtt og gerð aðgengileg. Ein birtingarmynd í þessu samhengi er notkun skýjaþjónusta fyrir vistun og vinnslu gagna ríkisins. Ættu skýjaþjónustur t.d. að vera yfir höfuð leyfilegar við vistun gagna og er hægt að treysta vistun eða vinnslu gagna í skýjaþjónustum utan íslenskrar lögsögu? Eru gögn öruggari á netþjónum í rekstrarumhverfi tiltekinnar stofnunar? Til hvers konar stýringar og varna er hægt að grípa í umhverfi skýjaþjónustu í samanburði við staðbundna netþjóna?
Öryggisflokkun gagna er því í senn mikilvægt og gagnlegt tól til að svara áleitnum spurningum sem hafa mikil áhrif á rekstrarumhverfi og öryggisráðstafanir ríkisaðila.
Fjármála- og efnahagsráðuneytið hefur verið falið leiðandi hlutverk á sviði upplýsingatækni og stafrænni umbreytingu hins opinbera, þar á meðal samþættingu og notkun gagna innan ríkisrekstrarins.
Vinnuhópi var falið að leggja drög að öryggisflokkun gagna í nóvember 2021, í honum sátu fulltrúar forsætisráðuneytis, fjármála- og efnahagsráðuneytis, heilbrigðisráðuneytis og dómsmálaráðuneytis. Að auki sat í hópnum fulltrúi frá einkafyrirtækinu GRID. Vinnuhópurinn kynnti vinnu sína fyrir ráðuneytum og mikilvægum stofnunum sem framleiða, vista, vinna með og birta gögn.