Sikre informasjon

Vit hva som er verdifull informasjon
– slik at du kan beskytte den

Student jobber på laptop. Foto: Thomas Ekström/sikresiden
Student jobber på laptop. Foto: Thomas Ekström/sikresiden
Ikon for sikre informasjon – dokument med hengelås

Sikre informasjon

Vit hva som er verdifull informasjon
– slik at du kan beskytte den

Student jobber på laptop. Foto: Thomas Ekström/sikresiden
Ikon for sikre informasjon – dokument med hengelås

Sikre informasjon

 

Verdifull informasjon skal beskyttes

Spør deg selv:

  • Hvor verdifull er informasjonen for meg, for studie- eller arbeidsstedet eller for andre?
  • Hva har det kostet å skape informasjonen og hvor vanskelig eller dyrt er det å gjenskape den?
  • Hvor skadelig (tap av tillit, omdømme, penger) er det hvis den kommer på avveier og hvordan kan informasjonen misbrukes?

Verdien av informasjon kan endre seg over tid. For eksempel skal eksamensoppgaver sikres godt før eksamen, mens de kan legges åpent ut etterpå.

Hvor viktig er det at informasjonen ikke blir kjent for uvedkommende? 
Eksempler på informasjon hvor konfidensialitet er viktig, er helseopplysninger, eksamensoppgaver før de er gitt og forskningsresultater før de er publisert.

Hvor viktig er det at informasjonen ikke endres av uvedkommende eller ved et uhell? Integriteten er viktig for all informasjon. Vi trenger å kunne stole på at den er riktig. Eksempler er karakterer, opptak til studier, forskningsdata og søknadsfrister.

Hvor kritisk er det å miste tilgang til informasjonen i en periode, eller at den går tapt for alltid? Eksempler på informasjon hvor tilgjengeligheten er viktig, er fagsystemer i kritiske faser for studentopptak og eksamensavvikling, store student- eller forskningsarbeider, eksamensbesvarelser og forskningsdata.

Hvordan informasjon skal beskyttes, kan være lovpålagt, avtalt med samarbeidspartnere eller utledet av en risikovurdering. 

De ulike studie- eller arbeidsstedene har ulike modeller for klassifisering av informasjon når det gjelder konfidensialitet (for eksempel åpen, intern og fortrolig), integritet og tilgjengelighet. Du må sette deg inn i hvordan dette gjøres der du studerer eller jobber.

Les mer i UNINETTs veileder for klassifisering av informasjon

Klassifisering av informasjon

De ulike studie- eller arbeidsstedene har ulike modeller for klassifisering av informasjon når det gjelder konfidensialitet, integritet og tilgjengelighet. Du må sette deg inn i hvordan dette gjøres der du studerer eller jobber. Beskrivelsen under er en klassifisering de fleste institusjonene har blitt enige om å bruke.

Konfidensialitetsklasser

Konfidensialitetsklassene beskriver grad av beskyttelse som kreves for informasjon.

Eksempler på informasjon hvor konfidensialiteten er viktig er helseopplysninger, eksamensoppgaver før de er gitt og forskningsresultater som ikke er publisert.

Det er definert fire klasser for konfidensialitet. De tre laveste klassene Åpen, Intern og Fortrolig er de som oftest vil bli brukt. Klassene Fortrolig og Strengt fortrolig er harmonisert med Beskyttelsesinstruksen.

 

Åpen (Grønn): Informasjon kan være tilgjengelig for alle uten særskilte tilgangsrettigheter.

Eksempler på slik informasjon er en webside som presenterer en avdeling eller enhet som legges åpent ut på internett eller studiemateriell for et emne eller kurs som ligger åpent, men som er merket med en gitt lisens eller opphavsrett.

 

Intern (Gul): Informasjonen må ha en viss beskyttelse og kan være tilgjengelig for både eksterne og interne, med kontrollerte tilgangsrettigheter. Benyttes dersom det vil kunne forårsake en viss skade for institusjonen, eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende.

Eksempler på slik informasjon er enkelte arbeidsdokumenter, informasjon som er unntatt offentlighet, personopplysninger, karakterer, store studentarbeider, eksamensbesvarelser, forskningsdata og -arbeider.

 

Fortrolig (Rød): Benyttes hvis det vil forårsake skade for offentlige interesser, institusjonen, enkeltperson eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende. Informasjonen skal ha strenge tilgangsrettigheter.

Eksempler på slik informasjon er enkelte strategidokumenter, store mengder av sensitive personopplysninger, helseopplysninger, eksamensoppgaver før de er gitt, enkelte typer forskningsdata og -arbeider.

 

Hvis man har behov for et fjerde og høyere nivå for konfidensialitet kan man bruke klassen

Strengt fortrolig (Sort) og gjøre en avgrensning mellom den og Fortrolig. Strengt fortrolig benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, institusjonen, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende. Informasjonen skal ha de strengeste tilgangsrettigheter.

Eksempler på slik informasjon er informasjon om personer som har adressesperre kode 7 eller som har behov for annen særlig beskyttelse og svært konfidensielle forskningsdata og -arbeider.

 

Integritetsklasser

Hvor viktig det er at ikke informasjonen kan endres av uvedkommende eller ved et uhell? Hvis det er krav til at informasjonen ikke skal endres av uvedkommende eller ved et uhell må den sikres spesielt. Aktuelle sikringstiltak kan være spesielle krav til pålogging for å få mulighet til å endre dokumentet, skrivebeskyttelse eller digital signering av dokument.

Eksempler på krav til beskyttelse av dokumenters integritet:
 

Lavt krav til integritet
En-faktor autentisering

Medium krav til integritet
To-faktor autentisering.

Høyt krav til integritet
To-faktor autentisering. Skrivebeskyttelse. Digital signering. Logging.


At integriteten overholdes er viktig for all informasjon, men noen eksempler på informasjon hvor integriteten er spesielt viktig er søknadsfrister, karakterer og forskningsdata.

 

Tilgjengelighetsklasser

Hvor lenge man kan akseptere at informasjonen er utilgjengelig? Noen systemer eller tjenester er kritiske for at virksomheten skal fungere. Akseptabel nedetid kan for noen systemer variere gjennom året i forhold til for eksempel eksamen, opptak, rapporteringer m.m.

Eksempler på perioder er:

1 time, 1 dag, 1 uke eller 1 måned

 

Man må også vurdere om informasjonen kan lagres i skyen. Da er man avhengig av at man har internettilgang helt frem til datasenteret som tilbyr skytjenesten.

Eksempler på informasjon hvor tilgjengeligheten er viktig er fagsystemer i kritiske faser for studentopptak og eksamensavvikling, store student- eller forskningsarbeider, eksamensbesvarelser og forskningsdata.

 

Les mer i UNINETTs veileder for klassifisering av informasjon

Hvordan jobbe med konfidensiell informasjon?

Fortrolig, konfidensiell, hemmelig, taushetsbelagt, følsom eller sensitiv er alle ulike begreper for informasjon som trenger ekstra beskyttelse for at konfidensialiteten skal være ivaretatt. Det er viktig at informasjonen ikke blir kjent for uvedkommende. 

Informasjon som må beskyttes av hensyn til konfidensialitet skal:

  • ikke lagres ukryptert på privat utstyr eller mobile lagringsmedier (minnepinner og eksterne harddisker)
  • kun lagres i systemer som er sikret for slik informasjon
  • ikke overføres og lagres ukryptert på skytjenester utenfor institusjonens avtaleverk
  • ikke legges åpent ut på internett
  • ikke sendes med ukryptert e-post. Det gjelder også fødselsnummer
  • krypteres eller slettes før maskinen sendes til reparasjon
  • slettes med egnet sletteprogram før lagringsmediet kastes eller destrueres

Kontakt brukerstøtte på ditt studie- eller arbeidssted for å finne gode løsninger tilpasset dine behov for sikring av informasjon der konfidensialiteten skal ivaretas. 

Deling på nettet

Det du deler på nettet mister du kontrollen med for alltid

Spør deg selv:

  • Hvilken rolle har jeg? Representerer jeg andre enn meg selv?
  • Kan informasjonen jeg deler om meg selv misbrukes av noen?
  • Har jeg fått samtykke til å legge ut bilder eller informasjon om andre?
  • Er informasjonen taushetsbelagt?
  • Er det kritikk eller påstander som kan oppfattes som ærekrenkelser?
  • Har jeg tillatelse til å publisere dette, eller er det beskyttet av opphavsrett?

Les mer om sosiale medier på nettvett.no

Kryptering

Kryptering brukes for å beskytte informasjon som lagres eller overføres. Vær oppmerksom på at et åpnet dokument, er tilgjengelig for uvedkommende hvis enheten din (mobil, PC, nettbrett) er blitt hacket slik at uvedkommende har tilgang til den.

  • Lagringsmedier kan krypteres med ulike typer programvare, for eksempel Microsofts BitLocker og Apples FileVault. 
  • Dokumenter fra Word, Excel og PowerPoint kan krypteres med passord. Gå til filmenyen. Velg "Informasjon", "Beskytt dokument/arbeidsbok/presentasjon" og "Krypter med passord". 
  • E-post-vedlegg kan krypteres med for eksempel 7-ZIP 
  • E-post-meldinger i Outlook kan krypteres via S/MIME.
  • E-post-meldinger og vedlegg kan krypteres med OpenPGP.
  • Trafikken mellom egen PC og studie- eller arbeidssted kan krypteres ved hjelp av VPN - virtual private network

Sjekk med brukerstøtte om ditt studie- eller arbeidssted har egne løsninger for kryptering. 

Papirdokumenter

Dokumenter med krav til høy konfidensialitet skal:

  • være forsvarlig låst i skap når de ikke er i bruk
  • sendes i lukket konvolutt og sikres ut i fra informasjonens verdi
  • ikke kastes i søpla, men makuleres eller kastes i låste bokser for sikker makulering
  • kun skrives ut hvis nødvendig, hent utskriften med en gang

Lagring, arkivering og sletting

Informasjon som er arkivverdig, skal arkiveres. Dette kan være vitnemål, karakterer, masteroppgaver og andre dokumenter med juridisk, historisk eller virksomhetskritisk verdi. Eksempel på slik informasjon er prosjektarkiver eller forskningsdata som skal lagres på grunn av etterprøvbarhet. Du må alltid forholde deg til det lovverket som regulerer den informasjonen du ønsker eller er pålagt å arkivere eller slette.

Arbeidsdokumenter og informasjon som ikke har bevaringsverdi, kan etter en vurdering slettes.

Informasjon som ikke må bli tilgjengelig for uvedkommende, skal slettes med spesiell sletteprogramvare slik at den ikke kan gjenopprettes. Vanlig sletting er ikke godt nok. Sjekk hva som brukes på ditt studie- eller arbeidssted.

Taushetsplikt

Taushetsplikt betyr at du plikter å hindre at andre får adgang eller kjennskap til taushetsbelagt informasjon.

Ulike typer informasjon kan være taushetsbelagt som følge av lov eller avtale, for eksempel personopplysninger og informasjon av teknisk, kommersiell eller strategisk art. 

Når du skriver under på en taushetserklæring forplikter du deg til å sette deg inn i hva det innebærer. Informasjon som er taushetsbelagt skal behandles varsomt både muntlig, digitalt og på papir.

Taushetsplikten gjelder også etter at du har avsluttet studiene eller sluttet i jobben.

 

Lær mer

Lær mer