Instruks og sjekkliste for ansatte på reise i/gjennom/til land som er definert som risikoområde grønt og gult i henhold til «International SOS» reiseråd. Gjelder for bruk og håndtering av PC, mobiltelefon, nettbrett, eksterne lagringsmedier og annet digitalt utstyr på reise.
Alle er selv ansvarlig for å følge virksomhetens rutiner og vurdere risiko når det gjelder reisedestinasjon og behov for å medbringe elektronisk utstyr. Utover de generelle kravene må den enkelte (sammen med f.eks. nærmeste leder/sikkerhetsansvarlig) vurdere behovet for andre nødvendige tiltak slik som bruk av eget digitalt utstyr egnet for reisen, skjermfilter/innsynsfilter og godkjente forseglingsposer/sikkerhetsposer. Hvis du er i tvil om hvilke tiltak du må følge på reisen, ta kontakt med personvernombud i god tid før avreise.
Viktig: For reise i/gjennom/til land som er definert som risikoområde høyere enn gult gjelder i tillegg helt egne krav og rutiner. Du må før slike reiser ha gjennomført nødvendig opplæring og sikkerhetssamtale med personvernombud. Risikoen ved slike reiser må være akseptert av både deg som reiser og av virksomheten før reisen kan godkjennes.
Generelle krav på reise
- Privat utstyr skal ikke under noen omstendighet benyttes til å håndtere virksomhetens informasjon dersom dette ikke er skriftlig godkjent.
- Ha kun med digitalt utstyr som er helt nødvendig og kun utstyr som er tillatt å medbringe.
- Sensitive/skjermingsverdige data skal før avreise ha blitt fjernet på en sikker måte fra digitalt utstyr som medbringes.
- Alle data/disker skal være kryptert.
- Digitalt utstyr skal alltid være i eiers varetekt og skal kun benyttes av den som har fått utdelt utstyret eller er gitt bruksrett til utstyret av virksomheten.
- Dersom en elektronisk enhet må etterlates uten tilsyn skal den være avslått, kryptert og sikret tilstrekkelig. Vær oppmerksom på at f.eks. en låst hotel-safe ikke er et sikkert oppbevaringssted. Enheter som må forlates i en safe/låsbart skap skal alltid ligge i en godkjent forseglingspose/sikkerhetspose slik at det er enklere å oppdage misbruk.
- Benytt alltid biometrisk pålogging der det er mulig for å hindre at brukernavn, passord og koder kommer på avveie.
- Inntasting av passord og koder skal skjermes på tilsvarende måte som man beskytter inntasting av pinkode i en minibank.
- Det må på generelt grunnlag utvises aktsomhet når man sender/mottar data, uansett hvor og hvordan dette foregår. Det eksisterer alltid en risiko for at elektronisk kommunikasjon kan avlyttes.
- Det skal ikke kommuniseres sensitiv/skjermingsverdig informasjon over telefon via de vanlige tjenestene som teleselskapene tilbyr (f.eks. samtale, SMS og MMS). All slik kommunikasjon må anses som kompromittert.
- For å sikre kommunikasjon skal det benyttes en godkjent tjeneste for kryptering av all trafikk mellom avsender og mottaker.
Krav før avreise
- Les og følg UDs reiseråd for land du reiser i/gjennom/til.
- Les og følg International SOS reiseråd for land du reiser i/gjennom/til.
- Følg virksomhetens reiserutiner for land du reiser i/gjennom/til.
- Ta aldri med deg mer utstyr enn du trenger.
- Sørg for at mobiltelefon og nettbrett er oppdatert før og under reisen.
- Sørg for at PC og annet digitalt utstyr er oppdatert før og under reisen.
- Mobiltelefon og nettbrett skal benytte innlogging med fingeravtrykk eller ansiktspålogging slik at PIN-koden ikke kan fanges opp av andre
- PC skal om mulig benytte ansiktspålogging slik at passord ikke kan fanges opp av andre.
- Fjern sensitive/skjermingsverdige data fra alt digitalt utstyret du skal ha med deg.
- Skru av Bluetooth/blåtann og IR-funksjoner på alle digitale enheter. Disse skal/bør ikke benyttes på reise.
- Skru alltid av WLAN/WiFi-funksjoner når de ikke benyttes.
- Skjermfilter til bruk på PC, mobil og nettbrett for å hindre innsyn skal vurderes og monteres i så fall på før avreise (dette må bestilles i god tid til ditt utstyr).
- Ta med nødvendig antall forseglingsposer/sikkerhetsposer
Krav på reise
- Ingen andre enn deg skal benytte utstyret du har fått utlevert fra virksomheten.
- Vær oppmerksom og varsom.
- Følg nøye med på hva som skjer med medbrakt digitalt utstyr gjennom kontroller (f.eks. toll hvor du kan bli tatt til siden for kroppsskanning). Plasser digitalt utstyr i godkjent forseglingspose/sikkerhetspose før kontroll.
- Om du må forlate elektronisk utstyr uten tilsyn skal det skrus av, låses inn og forsegles i medbrakt sikkerhetspose.
- Ved bruk av forseglingspose/sikkerhetspose, sjekk alltid at denne er hel og uten skader før du tar utstyret ut igjen.
- Logg på med fingeravtrykk/ansiktsgjenkjenning på nettbrett, mobil og PC.
- Skjul alltid inntasting av passord og koder godt.
- Vær forsiktig ved bruk av trådløse nett. Husk at elektronisk kommunikasjon kan avlyttes.
- Ikke koble ukjent utstyr (minnepinner, harddisker, minnekort, printere, ladere og lignende) til virksomhetens digitale enheter.
- Digitale gaver du mottar (f.eks. minnepinner) skal ikke kobles til virksomhetens digitale enheter.
- Vær skeptisk til forespørsler fra andre. Forsøk alltid å få bekreftet personers identitet.
- Tenk over hva du prater om i andres nærvær.
- Vær forsiktig ved bruk av digitalt utstyr i andres nærvær. Sørg alltid for at andre ikke kan se skjermen din, hva du skriver eller lytte til samtaler du har (unntatt når du selv ønsker det).
- Ved mistanke om, eller tegn på uønskede hendelser/kompromittering av utstyr eller andre forhold du mener kan ha sikkerhetsmessig betydning.
Krav ved hjemkomst
- Bytt passord/koder som kan være kommet på avveie (dersom du skriver inn passord på offentlige steder blir du observert/filmet, og passord/koder er da på avveie).
- Bytt PIN-kode på telefon/nettbrett dersom du har logget på med dette på et offentlig sted.
- Formater eksterne lagringsmedia du har med hjem før videre bruk.
- Lever tilbake spesialutstyr du har benyttet på reisen, ikke koble dette til virksomhetens vanlige utstyr/nettverk.
- Ta kontakt så raskt som mulig med personvernombud om du har opplevd forhold av sikkerhetsmessig betydning (uvanlige eller uønskede hendelser).
- Etter reise i/gjennom/til land som er definert som risikoområde høyere enn gult skal du ha en samtale med personvernombud.
Ved mistanke om, eller tegn på uønsket hendelser/kompromittering av utstyr på reisen ta snarest kontakt med FARTT-Service.
Kilder
- Internasjonal SOS reiseråd
- UDs reiseinformasjon
- PST Sikker reise
- NSM reisevettregler
- Mobilråd for sommeren
Instruksen er laget av JustisCERT