Skriftlig spørsmål fra Ine Eriksen Søreide (H) til forsvarsministeren

Dokument nr. 15:412 (2009-2010)
Innlevert: 23.12.2009
Sendt: 04.01.2010
Besvart: 14.01.2010 av forsvarsminister Grete Faremo

Ine Eriksen Søreide (H)

Spørsmål

Ine Eriksen Søreide (H): I utkast til instruks om sikkerhetstjeneste i Forsvaret legges ansvaret for sikkerhetsmessig overvåking av graderte og ugraderte informasjonssystemer til driftsorganisasjonen i Forsvaret. Dagens modell ivaretar personvern blant annet gjennom en atskillelse av sikkerhetsovervåkning og normal IT-drift.
Hva er begrunnelsen for at man nå i sterkere grad vil integrere disse to funksjonene, og hvordan mener statsråden at personvern best kan ivaretas med den nye instruksen?

Grete Faremo (A)

Svar

Grete Faremo: Forsvarssjefen er som etatsleder ansvarlig for informasjonssikkerheten i egne datasystemer. Dette gjelder også i forhold til sikkerhetsgradert informasjon og ved behandling av personopplysninger. Som en del av dette arbeidet skal forsvarssjefen ivareta konfidensialitet, integritet og tilgjengelighet til informasjonen i systemene.
Når det gjelder graderte systemer, følger det av forskrift om sikkerhetsadministrasjon at utøvende og kontrollerende oppgaver innen sikkerhet skal fordeles på forskjellige medarbeidere i virksomheten. I en stor virksomhet som Forsvaret er det her viktig med et tydelig skille, i form av at personellet som utfører utøvende oppgaver ikke inngår i den del av virksomheten som innehar kontrollfunksjonen. Forsvarets sikkerhetstjeneste (FOST) er av forsvarssjefen tillagt det overordnede og kontrollerende ansvaret for forebyggende sikkerhetstjeneste i Forsvaret. I dag utfører imidlertid FOST også en rekke utøvende oppgaver innenfor systemovervåkning. Departementet er av den oppfatning at det skisserte skillet i utkastet til ny instruks i større grad enn gjeldende modell, vil oppfylle forskriftens krav til at utøvende og kontrollerende oppgaver fordeles på forskjellige aktører i virksomheten.
Det presiseres at dette ikke skal undergrave FOSTs rolle som koordinerende og kontrollerende myndighet innen forebyggende sikkerhet i Forsvaret. Det vil fortsatt være FOSTs oppgave å kontrollere at driftsorganisasjonen ivaretar sine oppgaver med å sikre datasystemene.
En samling av all systemovervåkning i samme organisasjon vil gi klare fordeler ved at driftsorganisasjonen får et mer komplett bilde av sikkerhetstilstanden i datasystemene. Dette vil også gi kompetansemessig synergieffekt i driftsorganisasjonen. FOST vil fortsatt ha som oppgave å påse at driftsorganisasjonen utfører de nødvendige tiltak og aktiviteter for å opprettholde systemenes sikre tilstand.
Hensynet til personvernet vil ivaretas blant annet gjennom de grunnleggende krav til behandling av personopplysninger som følger av sikkerhetsloven og personopplysningsloven, begge med forskrifter. Dette er også tatt inn som et eget kapittel i utkastet til instruks. Videre pålegges det i utkastet at forsvarssjefen skal etablere et internkontrollsystem som blant annet skal sikre opplysningenes kvalitet, samt ivareta rettssikkerheten og personvernet. Retningslinjene for behandling av personopplysninger skal forelegges Forsvarsdepartementet for godkjenning. Uttrykkelige krav til notoritet i saksbehandlingen vil også bidra til at hensynet til personvern og rettssikkerhet blir ivaretatt. Dette vil også bidra til at både egenkontroll og tilsyn kan gjennomføres på en hensiktsmessig måte.
Før ny instruks fastsettes vil Forsvarsdepartementet nøye gjennomgå høringsuttalelsene til instruksutkastet, herunder vurdere eventuelle innspill til de problemstillinger som er omtalt ovenfor.