Hoppa yfir valmynd

Úttektir og prófanir

Fjarskiptastofa ber ábyrgð á eftirliti með fjarskipta- og netöryggislögum. Stofnunin gerir reglulegar úttektir og prófanir til að ná heildstæðari mynd af fylgni stærstu fjarskiptafyrirtækja og rekstraraðila stafrænna grunnvirkja við lög og reglugerðir.  Umfang úttekta og prófana er valið með hliðsjón af áhættu og forgangsröðun með tilliti til fjármagns, mannafla og annara aðfanga.

Við mat á öryggisskipulagi, ráðstöfunum og áhættustýringu fjarskiptafyrirtækis skal Fjarskiptastofa m.a. horfa til hagsmuna notenda fjarskiptaþjónustu af því að hún haldist órofin, almannahagsmuna og þjóðaröryggis samkvæmt 9. mgr. 78 gr. fjarskiptalaga.

Við framkvæmd eftirlits er stuðst við mismunandi matsaðferðir, svo sem yfirferð á skjölum og gögnum, viðtöl og vettvangsskoðanir. Framkvæmd úttektar getur stuðst við eina, tvær eða fleiri tegundir matsaðferða, allt eftir umfangi og markmiðum úttektar.

Hér að neðan eru dæmi um mismunandi tegundir úttekta og prófana

Yfirferð á gögnum (skrifborðsúttekt)

Almennt eru skrifborðsúttektir, þar sem farið er yfir skjöl og gögn, nauðsynlegur hluti allra úttekta. Þessi gögn geta t.d. verið öryggisstefnur, áhættumat og valdar öryggisráðstafanir, neyðaráætlanir, einstaka hlutverk aðila og dreifing ábyrgða, , verklagsreglur og verklýsingar, lýsingar á hönnun og uppbyggingu kerfa sem og niðurstöður innri prófana og úttektir ytri aðila.

Viðtöl

Mat í formi viðtala getur verið framkvæmt bæði eitt og sér sem og til viðbótar við skrifborðsúttektir. Með viðtölum má gjarnan afla gagnlegra upplýsinga þar sem viðmælendum gefst tækifæri til að ræða djúpt, huglægt og á sveigjanlegan hátt um ýmis málefni. Fjöldi viðmælenda getur verið mismunandi eftir stærð fyrirtækja og dreifingu ábyrgðar á net og upplýsingakerfum innan þeirra.

Vettvangsskoðun

Mat með vettvangsskoðun felur í sér að farið er í viðkomandi kerfi og/eða tækjarými fjarskiptafyrirtækja og rekstraraðila stafrænna grunnvirkja og kannað hvort öryggisráðstafanir séu til staðar og virkni þeirra staðfest með skoðun. Vettvangsskoðun getur bæði verið framkvæmd af starfsmanni Fjarskiptastofu og/eða ytri aðila á vegum stofnunarinnar.

Tæknilegar prófanir

Með tæknilegum prófunum eru öryggisráðstafanir fjarskiptafyrirtækja og rekstraraðila stafrænna grunnvirkja prófaðar, t.d. með veikleikaskönnun eða innri og/eða ytri innbrotsprófun (e. penetration test). Afmörkun prófana hverju sinni er ákvörðuð m.t.t. ástandsvitundar netöryggis og niðurstaðna sjálfsmats, úttekta, fyrri prófana og forskoðana og rannsókna á atvikum.

Veikleikakönnun felst í því að leitað er eftir veikleikum í innra og ytra umhverfi fyrirtækja, þar á meðal veikleikum í verklagi og öryggisveikleikum í búnaði. Innbrotsprófun felur í sér að prófunaraðili setur á sig hatt óprúttins árásaraðila og kannar hvaða öryggisráðstafanir hann getur brotið eða hvaða veikleika hann getur nýtt sér til að valda truflun eða rofi á þjónustu. Almennt er leitast eftir því að prófunin sé framkvæmd í góðu samstarfi við viðkomandi fyrirtæki og/eða rekstraraðila.

Mat á fylgni

Fjarskiptastofa viðhefur samræmda matsaðferð og einkunnagjöf en það gerir stofnuninni betur kleift að bera saman stöðu fyrirtækja og þar með öðlast yfirsýn yfir öryggi þjónustu  og rekstur aðila.

Mikilvægur liður í samræmdu eftirliti er samræmi í mati á fylgni við lög og afleiddar réttarheimildir er varða öryggi upplýsinga og þjónustu.

Úttektir og prófanir eru afmarkaðar við þá þætti þar sem áhættan er talin hvað mest. Það felur í sér að ekki er tekin út heildarfylgni við alla þætti viðkomandi laga eða staðla sem eiga við viðkomandi starfsemi hverju sinni.  Dæmi um afmörkun í úttekt á netöryggislögum er fylgni við ákvæði um skipulagslegar ráðstafanir sem hefur fimm skoðunarliði, sbr. mynd hér að neðan.

Niðurstöður úttektar og prófunar

Að lokinni upplýsingaöflun, framkvæmd matsaðferða og mati á fylgni fær fyrirtækið drög að skýrslu  til yfirlestrar. Yfirlesturinn er hluti af rannsókn málsins og er til þess fallinn að tryggja að málið sé nægilega upplýst og að andmælaréttur sé virtur áður en ákvörðun er tekin. Þar gefst fyrirtækinu kostur á að kynna sér niðurstöðurnar, leiðrétta misskilning og miðla frekari upplýsingum til stofnunarinnar ef þörf er á.

Ef niðurstaða úttektar eða prófunar leiðir í ljós að fyrirtæki fylgja ekki einhverjum þeim kröfum sem settar eru fram í þeim lögum og afleiddum réttarheimildum sem skoðunin afmarkast við  mun Fjarskiptastofa krefjast þess að úr verði bætt með því að gefa út bindandi fyrirmæli. Hlutaðeigandi aðili fær þá hæfilegan frest til úrbóta sem tekur mið af alvarleika niðurstöðu úttektar og einkunnagjafar.

Tímamörk á viðbrögð fyrirtækis sem og dagsektir eða önnur stjórnsýsluviðurlög taka mið af einkunnum. Ljóst er þó að ávallt verður leitast við að gefa fyrst út bindandi fyrirmæli og tryggja eftirfylgni við þau, áður en meira íþyngjandi úrræðum verður beitt.

Einkunnir

Í töflunni hér á eftir eru forsendur þeirra viðmiða sem tölulegar einkunnir byggja á. Um er að ræða fjórar einkunnir, frá 0-3, ásamt litakóðum til að auðvelda úrvinnslu og yfirsýn.