I. KAFLI

1. gr.

Markmið þessara reglna er að auka neytendavernd og treysta stoðir upplýsinga­samfélagsins með því að gera auknar kröfur til öryggis fjarskiptakerfa sem almenningur og fyrirtæki nota. Með reglum þessum er kveðið á um þær ráðstafanir sem Póst- og fjarskiptastofnun telur nauðsynlegt að fjarskiptafyrirtækin geri til að tryggja vernd umferðar og upplýsinga í almennum fjarskiptanetum. Samkvæmt þeim skal leitast við að tryggja leynd upplýsinga, lögmætan aðgang að þeim, tiltækileika þeirra og réttleika. Bætt öryggi næst með ráðstöfunum sem lúta að takmörkuðum aðgangi að upplýsingum, aukinni vernd fjarskiptaneta og þjónustu.

2. gr.

Reglur þessar ná til net- og upplýsingaöryggis í fjarskiptanetum, þ.e. í hinum eiginlegu fjarskiptanetum svo og upplýsingakerfum sem þau styðjast við og tengjast, á gildissviði laga nr. 81/2003 um fjarskipti. Reglurnar ná til fjarskiptafyrirtækja sem reka fjarskipta­þjónustu í almennum fjarskiptanetum.

Þær gilda um almenn fjarskiptanet, til og með nettengipunkti fyrir innan inntak, en taka ekki til innanhússlagna, búnaðar og aðstöðu hjá viðskiptavinum þeirra. Sérstaklega er fjallað um innanhússlagnir í reglum Póst- og fjarskiptastofnunar um innanhúss­fjarskiptalagnir nr. 1109/2006.

Til hliðsjónar má styðjast við staðlana ISO/IEC 27001 (Stjórnkerfi upplýsingaöryggis) og ISO/IEC 17799 (Starfsvenjur fyrir stjórnun upplýsingaöryggis). Fara skal eftir nýjustu útgáfu staðlanna á hverjum tíma. Staðlana má ennfremur nota sem leiðbeiningar um ráðstafanir sem innleiða má til að uppfylla kröfur reglnanna.

Um öryggi persónuupplýsinga gilda ákvæði 11.-13. gr. laga nr. 77/2000 um persónu­vernd og meðferð persónuupplýsinga og reglur nr. 299/2001 um öryggi persónu­upplýsinga.

3. gr.

Merking orða og hugtaka í reglum þessum er sem hér segir:

Aðgangsstýring: Aðferð til þess að tryggja að einungis aðilar með heimild hafi aðgang að fjarskiptaneti, t.d. að skilgreindum svæðum og gögnum, hvort sem þau eru á tölvutæku formi eða ekki.

Almennt fjarskiptanet: Fjarskiptanet sem er notað að öllu eða að mestu leyti til að bjóða almenna fjarskiptaþjónustu.

Fjarskiptafyrirtæki: Einstaklingur eða lögaðili sem hefur tilkynnt Póst- og fjarskipta­stofnun um fyrirhugaðan rekstur fjarskiptaþjónustu eða fjarskiptanets.

Fjarskiptanet: Sendikerfi og þar sem það á við skiptistöðvar, beinar og önnur úrræði sem gera mögulegt að miðla merkjum eftir þræði, þráðlaust, með ljósbylgjum, rafdreifikerfi, háspennulínum eða með öðrum rafsegulaðferðum, þ.m.t. net fyrir hljóð- og sjónvarp og kapalsjónvarp.

Fjarskiptaþjónusta: Þjónusta sem að nokkru eða öllu leyti felst í því að beina merkjum um fjarskiptanet, þ.m.t. tölvupóstþjónusta og netaðgangur.

IP fjarskiptanet: Fjarskiptanet sem flytur gagnapakka samkvæmt IP (Internet Protocol) staðli.

IP þjónusta: Vefsíður, skráaflutningur, spjallrásir o.fl. sem flutt er yfir IP fjarskiptanet.

Leynd: Vernd upplýsinga gegn óviðkomandi aðgangi, bæði á meðan þær eru sendar milli staða og þar sem þær eru vistaðar.

Net- og upplýsingaöryggi: Hæfni fjarskiptaneta til að tryggja að ákveðin fyrirfram skilgreind öryggismörk standist þegar ógnir steðja að eða ef veilur myndast, t.d. vegna mannlegra mistaka eða skemmdarverka, sem stofna í hættu leynd, réttleika og til­tæki­leika upplýsinga í fjarskiptanetum. Það getur auk þess falið í sér aðra eiginleika, svo sem ósvikni, ábyrgni, óhrekjanleika og áreiðanleika.

Netaðgangur: Eiginlegur aðgangur að fjarskiptanetum og tengd þjónusta, þ.m.t. þjónusta sem ber kennsl á notendur, þjónusta sem staðfestir hver notandinn er og óbeinn flutn­ingur. Ennfremur sú stuðningsþjónusta sem veitt er, s.s. veiting IP vistfanga, léna og vefþjónusta.

Netárás: Árás í gegnum fjarskiptanet, sem miðar að því að skerða þjónustu eða trufla virkni neta og kerfa.

Nettengipunktur: Efnislegur tengipunktur þar sem áskrifanda er veittur aðgangur að almennu fjarskiptaneti.

Óbeinn flutningur: Milliliður í flutningi fjarskiptaumferðar viðskiptavina sem að öllu jöfnu hylur skráð IP vistfang sendanda en sýnir í staðinn IP vistfang milliliðsins, t.d. svokölluð proxy þjónusta.

Óhrekjanleiki: Aðferð sem tryggir að sendandi upplýsinga geti ekki afneitað því að hafa sent tilteknar upplýsingar eða móttakandi að hafa tekið á móti þeim.

Raunlægur: Merkir áþreifanlegan efnislegan hlut eða raunverulegt umhverfi.

Réttleiki: Eiginleiki upplýsinga sem felst í því að upplýsingarnar eru nákvæmar og réttar. Engu hefur verið eytt, engu bætt við eða breytt og ekkert vantar í upplýsingarnar. Þetta á einnig við um varðveislu þessara eiginleika ef upplýsingar eru sendar, mótteknar og vistaðar hjá viðtakanda.

Skilaboð: símhringing, tölvupóstur, SMS skilaboð, talskilaboð, myndskilaboð, sjónvarps­dagskrá, IP þjónusta eða önnur sambærileg skilaboð sem flutt eru milli aðila, eða til óskilgreindra móttakenda í fjarskiptaneti.

Tiltækileiki: Merkir að upplýsingar séu aðgengilegar og þjónusta tiltæk þegar á þarf að halda, eða eins og mögulegt er svo sem við rafmagnsleysi, náttúruhamfarir, slys eða netárásir.

Upplýsingar: Eru hvers konar tákn, merki, skrift, mynd og hljóð sem send eru eða mót­tekin eða hvers konar boðmiðlun eftir leiðslum, með þráðlausri útbreiðslu eða öðrum rafsegulmiðlum.

Öryggisatburður: Það að upp kemur staða kerfis, þjónustu eða nets sem gefur til kynna hugsanlegt brot gegn öryggisstefnu eða bilun í öryggisráðstöfun, eða þá áður óþekkt staða sem getur skipt máli fyrir öryggi.

Öryggisatvik: Atvik sem er gefið til kynna með einum eða fleiri óæskilegum eða óvæntum öryggisatburðum sem talsverðar líkur eru á að stofni rekstrarþáttum í hættu og ógni upplýsingaöryggi.

Öryggishópur: Öryggishópur sem stuðlar að vernd gegn öryggisatvikum, ótryggri virkni og tortryggilegum atvikum í upplýsinga- og fjarskiptanetum á Íslandi.

II. KAFLI

4. gr.

Fjarskiptafyrirtæki skulu gera viðeigandi ráðstafanir til þess að tryggja vernd almennrar fjarskiptaþjónustu og fjarskiptaneta sem þau reka, m.a. verja upplýsingar sem um þau fara gegn ólöglegri eyðileggingu, glötun eða breytingum fyrir slysni eða vegna óleyfilegs aðgangs. Þessar ráðstafanir skulu, að teknu tilliti til tæknistigs og kostnaðar við fram­kvæmdina, tryggja hæfilegt öryggisstig miðað við þá áhættu sem um er að ræða.

5. gr.

Fjarskiptafyrirtæki skulu tryggja að viðskiptavinir þeirra njóti verndar gagnvart hlustun, hlerun, geymslu eða annars konar hindrun eða vöktun fjarskipta, þ.m.t. skilaboða og auðkenna, sem fara um fjarskiptanet þeirra, nema að slíkt fari fram með samþykki viðskiptavinanna eða samkvæmt heimild í lögum. Undanþegin er tímabundin tækni­leg geymsla upplýsinga meðan þær eru í flutningi enda sé innihald þeirra ekki birt á neinn hátt.

Ennfremur skal tryggja að geymsla eða aðgengi fjarskiptafyrirtækjanna að upplýsingum í endabúnaði viðskiptavina sé aðeins heimiluð ef notandanum eru gefnar greinargóðar upplýsingar um tilganginn og gert kleift að hafna því. Þetta skal þó heimilt í þeim tækni­lega tilgangi að flytja rafræn boð yfir fjarskiptanet eða sem hluti af reglulegum upp­færslum.

6. gr.

Fjarskiptafyrirtæki skulu tryggja réttleika upplýsinga viðskiptavina sinna á þann hátt að þær verði ekki fyrir breytingum, bæði þeirra upplýsinga sem eru í flutningi um almenn fjarskiptanet og aðrar fjarskiptaupplýsingar.

7. gr.

Fjarskiptafyrirtæki skulu útbúa og viðhalda skjalfestri lýsingu á stjórnkerfi sem tryggir upplýsingaöryggi í fjarskiptaþjónustu og fjarskiptanetum. Þetta stjórnkerfi upplýsinga-öryggis skal að lágmarki felast í eftirtöldu:

Fjarskiptafyrirtæki skal setja sér skriflega öryggisstefnu. Í henni skal m.a. koma fram almenn lýsing á afstöðu æðsta stjórnanda fjarskiptafyrirtækis til öryggis­mála. Í stefnunni skulu koma fram markmið og meginreglur upplýsinga­öryggis samkvæmt rekstrarstefnu og rekstrarmarkmiðum. Stefnan skal kynnt öllum starfsmönnum fjarskiptafyrirtækisins sem hafa með fjarskiptarekstur að gera. Við mótun öryggisstefnu skal taka mið af því hvaða upplýsingar skuli vernda, hvernig skuli vernda þær, þeirri aðferð sem viðhöfð verður við vinnslu þeirra og hver beri ábyrgð á öryggi þeirra. Skal öryggisstefnan birt starfsmönnum.
Fjarskiptafyrirtæki skal skilgreina aðferðarfræði áhættumats um upplýsingaöryggi og henni fylgt eftir með skriflegu áhættumati um upplýsingaöryggi sem tengist fjarskiptanetum og fjarskiptaþjónustu. Áhættumat skal bera kennsl á áhættuþætti, umfang þeirra og forgangsraða þeim miðað við ásættanlega áhættu og þau markmið sem skipta máli fyrir fyrirtækið. Áhættumat skal skilgreina eignir og gera á þeim einfalt mat og mat á þeim áhrifum sem myndast af völdum rofs á leynd, réttleika og tiltækileika. Miklir veikleikar og ógnir eru skilgreind fyrir eignirnar, ásamt mati á líkindum þeirra. Áhættan fyrir hvert atriði er reiknuð út og hún borin saman við fyrirframgerðan mælikvarða um ásættanlegt áhættustig um öryggi upplýsinga, órofinn rekstur og þjónustustig. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum og skal það endurskoðað reglulega.
Fjarskiptafyrirtæki skulu setja sér verklagsreglur um örugga meðferð upplýsinga og eyðingu þeirra. Gerðar skulu öryggisráðstafanir og settar fram skriflegar lýsingar á þeim. Tilgreina skal hvaða öryggisráðstöfunum verði beitt og hvernig þær verði útfærðar, þ. á m. við hönnun, þróun, rekstur, prófun og viðhald hvers kerfis. Þá skal og tekið fram hvernig brugðist verði við áföllum í rekstri fjarskipta­neta og fjarskiptaþjónustu. Öryggisráðstafanir skal endurskoða reglulega. Skriflegar leiðbeiningar skulu vera til staðar fyrir einstaka ferla sem nauðsynlegir eru fyrir upplýsingaöryggi fjarskiptaneta og fjarskiptaþjónustu. Fjarskiptafyrirtækið skal sjá til þess að ákvæðum stefnunnar um upplýsingaöryggi sé framfylgt, líka þegar verktakar vinna fyrir fyrirtækið. Fjarskiptafyrirtækið skal sjá til þess að starfsmenn þess framfylgi stefnunni um upplýsingaöryggi.

8. gr.

Viðhafa skal innra eftirlit til að tryggja að unnið sé í samræmi við öryggisstefnu og skjal­festar verklags- og öryggisreglur öryggisskipulags og að uppbygging þess sé í sam­ræmi við lög og reglur. Innra eftirlit skal framkvæma kerfisbundið samkvæmt fyrir­fram skilgreindri aðferð. Tíðni og umfang eftirlitsins skal ákveðið með hliðsjón af skilgreindri áhættu, eðli þeirra upplýsinga sem um er að ræða, tækni sem notuð er til að tryggja öryggi þeirra og kostnaði af framkvæmd eftirlitsins. Það skal þó framkvæmt eigi sjaldnar en árlega. Fjarskiptafyrirtæki skulu gera skýrslu um niðurstöður innra eftirlits.

III. KAFLI

9. gr.

Gerðar skulu sérstakar ráðstafanir til að tryggja öryggi upplýsinga komi til þjónusturofs, s.s. vegna bilunar, óhappa eða annarra atvika sem ógnað geta öryggi fjarskiptaneta. Póst- og fjarskiptastofnun mælir nánar fyrir um slíkar ráðstafanir í reglum nr. 1222/2007 um virkni almennra fjarskiptaneta.

10. gr.

Í þeim tilgangi að fyrirbyggja og takmarka tjón vegna mistaka, svika og annarrar misnotkunar, skulu fjarskiptafyrirtæki að lágmarki grípa til eftirfarandi öryggisráðstafana varðandi þá starfsmenn sem vegna starfa sinna hafa aðgang að upplýsingum í fjarskiptanetum.

Kanna hvort tilefni sé til að afla sakavottorðs umsækjanda áður en starf er veitt.
Láta starfsmenn undirrita trúnaðaryfirlýsingar.
Fræða starfsmenn um ábyrgð sína samkvæmt IX. kafla laga nr. 81/2003 um fjarskipti.
Fjarskiptafyrirtæki skulu skilgreina ábyrgð og skyldur starfsmanna í tengslum við upplýsingaöryggi. Hlutverkaskipting og ábyrgð á framkvæmd hinna ýmsu ferla er lúta að öryggi skal vera skilgreind með skýrum hætti og kveða skal á um bann við skoðun upplýsinga nema í starfstengdum tilgangi.
Tryggja að starfsmönnum sé með reglubundnum hætti gerð grein fyrir starfsskyldum sínum og þeim afleiðingum sem það getur haft í för með sér að brjóta þær.
Veita skal starfsmönnum viðeigandi menntun og þjálfun í upplýsinga­öryggismálum.
Fjarskiptafyrirtæki skulu skoða áhættu varðandi lykilmenn upplýsingaöryggis og m.a. tryggja að ávallt sé hægt að ná í þá eða varamenn þeirra í neyð.

11. gr.

Í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum óheimils raunlægs aðgangs, svo sem aðgengi að aðstöðu og tækjabúnaði, skulu fjarskiptafyrirtæki grípa að lágmarki til eftirtalinna ráðstafana eftir því sem við á:

Stýra aðgangi að húsnæði og búnaði fjarskiptaneta með úthlutun aðgangskorta, lykilorða, eða með öðrum fullnægjandi hætti þar sem því verður við komið.
Fjarskiptabúnað, s.s. senda, skiptikerfi og aðra innviði fjarskipta, skal aðgreina á raunlægan hátt frá öðrum búnaði, t.d. í lokuðum skápum. Þessi ráðstöfun kemur þó ekki í veg fyrir að fjarskiptafyrirtæki geti samnýtt aðstöðu.
Þjónustuaðila með stöðu þriðja aðila skal aðeins veita takmarkaðan aðgang að mikilvægum svæðum þegar þörf krefur. Slíkur aðgangur á að vera háður heimild og einnig vöktun ef svo ber undir.

12. gr.

Fjarskiptafyrirtæki skulu viðhafa nauðsynlegar tæknilegar og skipulagslegar ráðstafanir til að verja almenn fjarskiptanet sín. Skulu fjarskiptafyrirtæki m.a. gera eftirfarandi ráðstafanir eftir því sem við á:

Stýringar fjarskiptabúnaðar skulu vera varðar gegn óheimilum aðgangi að skila­boðum og auðkennum í flutningi, svo sem með dulkóðun eða lokuðum stýri­netum.
Nota aðgangsheimildir, aðgangsstýringu og óhrekjanleika.
Staðfesta skal að óskir um breytingu á fjarskiptaþjónustu komi frá áskrifanda hennar, eða séu með samþykki hans.
Tryggja óhrekjanleika aðgerða.
Tryggja rekjanleika uppflettinga og vinnsluaðgerða.
Takmarka aðgang starfsmanna að upplýsingum við þær sem eru þeim nauðsyn­legar til að þeir geti sinnt starfi sínu, og við þann tíma sem nauðsynlegur er.
Upplýsingaöflun vegna afgreiðslu og reikningagerðar, skal aðskilja frá öflun upplýsinga um fjarskiptaumferð sem nýtast kann í þágu rannsókna opinberra mála og almannaöryggis, t.d. innihald fjarskipta.
Viðhalda órofinni slóð sönnunargagna sem nýst gætu vegna öryggisatburða. Skilgreina búnað og vinnslu fyrirfram á þann hátt að sem flest mikilvæg þess háttar tilvik komi með skýrum hætti fram í eftirlitskerfum.
Halda skrá um aðgangsheimildir og aðgangsréttindi og yfirfara reglulega. Skal fjarskiptabúnaður vera stilltur til samræmis við þá skráningu.
Viðhafa skal viðeigandi ráðstafanir til að tryggja öryggi upplýsinga í boðskiptum endanna á milli við eftirtaldar aðstæður:
1. Starfsmenn vinna í fjarvinnslu við viðkvæm fjarskiptakerfi.
2. Fjarskiptafyrirtæki veita viðskiptavinum sínum sérstakt fjarvinnsluaðgengi að kerfum viðskiptavinarins, með stýringu og viðkomu í kerfum fjarskipta­fyrirtækisins, svo sem aðgengi að pósthúsum eða gagna­geymslum fyrir­tækja frá farsíma.

IV. KAFLI

13. gr.

Fjarskiptafyrirtæki er heimilt að semja við þriðja aðila um að annast, í heild eða að hluta, rekstur fjarskiptanets. Stjórnunarlegri ábyrgð og áhættustýringu verður þó ekki útvistað. Skilyrði slíks samnings er þó að fjarskiptafyrirtæki hafi sannreynt að umræddur aðili hafi sett sér öryggisstefnu og geti framkvæmt nauðsynlegar öryggisráðstafanir samkvæmt reglum þessum ásamt innra eftirliti. Gerður skal skriflegur samningur til að tryggja þetta. Samningurinn skal m.a.:

Kveða á um skyldu vistunaraðila að starfa í samræmi við fyrirmæli fjarskipta­fyrirtækis og ákvæði reglna þessara.
Innihalda lýsingu á þeirri þjónustu sem inna skal af hendi og tiltaka það þjónustustig sem stefnt er að. Enn fremur þær ráðstafanir sem gripið skal til ef þjónustan uppfyllir ekki þau ákvæði.
Hafa ákvæði um þagnarskyldu og með honum skal tryggt að farið sé að ákvæðum fjarskiptalaga þar að lútandi.
Tryggja að fjarskiptafyrirtækið eigi rétt til eftirlits með þeirri starfsemi sem samn­ingurinn tekur til.
Tryggja aðgang Póst- og fjarskiptastofnunar að upplýsingum frá vistunaraðila og að stofnunin geti í þágu eftirlits framkvæmt athuganir á starfsstöð hans.

14. gr.

Fjarskiptafyrirtæki skulu útfæra og viðhalda tengingum við nettengipunkt með öryggi í huga og m.a. viðhafa eftirfarandi ráðstafanir:

Þegar fjarskiptafyrirtæki veitir tengingar sem eru samnýttar með öðrum viðskipta­vinum, skal fyrirtækið aðgreina umferð þeirra á þann hátt að viðskipta­vinir geti ekki fylgst með umferð hvers annars.
Aftengja skal viðskiptavini, eða þjónustu þeirra, frá fjarskiptanetinu ef tenging þeirra að miklu leyti stofnar upplýsingaöryggi og tiltækileika fjarskiptaneta í hættu. Aftengingin og endurtengingin skal gerð í samræmi við fyrirfram ákveðna ferla og leiðbeiningar fjarskiptafyrirtækisins. Við framkvæmdina má taka tillit til sérstakra aðstæðna, svo sem hvers konar tenging á við.

15. gr.

Tilkynna skal viðskiptavinum um þau öryggisatvik sem valda truflunum á samfelldri fjarskiptaþjónustu, ef leynd á tilteknu fjarskiptaneti eða upplýsingar viðskiptavina eru í stórfelldri hættu af völdum öryggishættu í fjarskiptanetum.

Fjarskiptafyrirtæki skulu vera með skýra og skilvirka ferla vegna fyrrgreindra til­kynninga. Þjónustuviðmið þar að lútandi skulu koma fram á heimasíðu fyrirtækisins eða eftir sambærilegum leiðum, t.d. í viðskiptamannasamningum. Í tilkynningunum þarf að lágmarki að koma fram hvaða áhrif atvikið hefur eða getur haft, og þær ráðstafanir sem fjarskiptafyrirtækið muni gera, ásamt ráðleggingum til viðskiptamanna ef svo ber undir.

Ef þær ráðstafanir sem fjarskiptafyrirtæki gera í fjarskiptanetum sínum ná ekki til til­tekins öryggisatviks, skulu fjarskiptafyrirtækin gefa viðskiptavinum sínum ráðleggingar gegn veikleikum sem geta leitt til frekari útbreiðslu öryggisatviksins hjá þeim, t.d. með notkun sérstaks hugbúnaðar eða dulkóðunartækni í almennum IP fjarskiptanetum, þ.m.t. internet.

Í þeim tilgangi að auka heildstæði og öryggi fjarskiptaneta á Íslandi, getur Póst- og fjarskiptastofnun ákveðið að gögn er varða öryggi upplýsinga og tortryggileg atvik í fjarskiptanetum, skulu afhent öryggishópum sem starfa skv. 25. gr. reglna nr. 1223/2007 um vernd, virkni og gæði IP fjarskiptaþjónustu.

16. gr.

Fjarskiptafyrirtæki skulu afhenda Póst- og fjarskiptastofnun eða fulltrúa hennar allar upplýsingar um skipulag upplýsingaöryggis, þ.m.t. öryggisstefnu, áhættumat, áætlun um órofinn rekstur, lýsingu á öryggisráðstöfunum og skýrslur um innra eftirlit, hvenær sem stofnunin óskar eftir því. Einnig getur stofnunin óskað eftir nánari skýringum og gögnum um einstök öryggisatvik sem upp geta komið í starfsemi fjarskiptafyrirtækja.

17. gr.

Póst- og fjarskiptastofnun er heimilt að prófa öryggi upplýsinga í fjarskipanetum og gera úttektir á því hvort farið er eftir reglum þessum. Gildir einu hvort það er að eigin frum­kvæði eða skv. ábendingum. Prófanir taka m.a. til almennra fjarskiptaneta, fjarskipta­þjónustu og tengdra upplýsingakerfa. Stofnunin ákveður fyrirkomulag prófana eða úttekta.

Póst- og fjarskiptastofnun getur ákveðið að fela sjálfstætt starfandi sérfræðingi að annast framkvæmd úttektar og skila stofnuninni skýrslu um niðurstöðu hennar. Skal hann bundinn þagnarskyldu um störf sín í þágu stofnunarinnar. Fjarskiptafyrirtækjum skal gefinn kostur á því að gera athugasemdir við val stofnunarinnar á slíkum sérfræðingi.

18. gr.

Þessar reglur taka gildi þann 1. júlí 2008.

19. gr.

Póst- og fjarskiptastofnun hefur gefið út þessar reglur um virkni almennra fjarskiptaneta samkvæmt heimild í b-lið 9. gr. laga nr. 39/2007 um breytingu á lögum um fjarskipti nr. 81/2003.