En av måtene virksomhetene håndterer risiko på, er ved å etablere og forvalte (informasjons)sikkerhetstiltak. Når disse er etablert og virker etter hensikten, er virksomheten i stand til å forebygge, oppdage og reagere på informasjonssikkerhetshendelser.
Det handler om at virksomheten har sikkerhetstiltak tilpasset sine behov, at de følger opp om disse er effektive og ikke har unødige negative sideeffekter, og at forvaltningen av sikkerhetstiltakene er kostnadseffektiv. Det handler også om i hvilken grad virksomheten følger opp anbefalinger fra myndigheter, og om det er tilstrekkelig omfang på forskjellige typer av sikkerhetstiltak.
Effektiv etablering og forvaltning av sikkerhetstiltak
Hensikt
En gjennomgang av denne delen vil gi deg som er etatsstyrer, en oversikt over om virksomheten er i stand til å etablere og forvalte de sikkerhetstiltakene den har behov for, samt følge opp at disse fungerer etter hensikten, og at forvaltningen av dem er kostnadseffektiv.
Overordnede spørsmål:
- Er virksomheten i stand til å etablere og forvalte sikkerhetstiltak i et omfang som er hensiktsmessig?
- Har virksomheten tilstrekkelig oversikt over etablerte sikkerhetstiltak?
God eller manglende styring og kontroll?
Indikatorene under inneholder en liste med utsagn eller beskrivelser av tilstand. Den første listen kan benyttes som indikatorer på god styring og kontroll, mens den andre listen beskriver forhold som kan indikere manglende styring og kontroll. Det er ikke direkte sammenheng mellom innholdet i de to listene, og alt har ikke en positiv og en negativ omtale. En del typiske og kjente problemsymptomer er vektlagt med forhold som kan indikere mangler i styring og kontroll.
Indikerer god styring og kontroll
Virksomheten har hensiktsmessig oversikt over etablerte sikkerhetstiltak.
Virksomheten er i stand til å etablere og forvalte de sikkerhetstiltak som de har behov for.
Det er tydelig hvem som er ansvarlig for at sikkerhetstiltak er etablert og virker etter hensikten.
Risikoeiere, eller de som skal bistå dem med å vurdere risiko, har god oversikt over eksisterende, etablerte sikkerhetstiltak.
Virksomheten har etablert et grunnleggende sett med sikkerhetstiltak for all sin informasjonsbehandling (kalt «fellessikring» i Digitaliseringsdirektoratets veiledning).
Virksomheten har brukt anerkjente tiltaksbanker (rammeverk med sikkerhetstiltak) i valg av sikkerhetstiltak.
Virksomheten har benyttet veiledning fra myndighetsorganer i arbeidet med grunnleggende sikkerhetstiltak. De har for eksempel plukket grunnleggende sikkerhetstiltak fra Nasjonal sikkerhetsmyndighets grunnprinsipper for IKT-sikkerhet.
Virksomheten har et balansert sett med sikkerhetstiltak, med sikte på å forebygge, oppdage og håndtere hendelser.
Virksomheten evaluerer etablerte sikkerhetstiltak regelmessig for å finne ut om tiltakene virker etter hensikten og ikke har utilsiktede negative sideeffekter.
Kan indikere manglende styring og kontroll
Virksomheten er ikke i stand til å etablere og forvalte sikkerhetstiltakene de har behov for. Dette kan for eksempel skyldes
- budsjett
- kompetanse
Virksomheten redegjør hovedsakelig for tekniske sikkerhetstiltak knyttet til IKT og snakker ikke om sikkerhetstiltak knyttet til fysisk og miljømessig sikring, tiltak rettet mot mennesker, tilrettelegging av arbeidsoppgaver eller andre relevante områder.
Virksomheten redegjør hovedsakelig for tiltak for å forebygge informasjonssikkerhetsbrudd og snakker ikke om evne til å oppdage og reagere på informasjonssikkerhetsbrudd.
Virksomheten jobber med å etablere alle sikkerhetstiltak fra en tiltaksbank (rammeverk med sikkerhetstiltak, f.eks. ISO/IEC 27002), uten å ha oversikt over risiko og egne behov.
Etablering av anbefalte sikkerhetstiltak
Hensikt
En gjennomgang av denne delen vil gi deg som er etatsstyrer, en oversikt over om virksomheten har vurdert anbefalte sikkerhetstiltak fra anerkjente rammeverk som NSMs grunnprinsipper for IKT-sikkerhet i sitt arbeid med håndtering av risiko.
Regelverk spesifiserer i liten eller ingen grad detaljer i hvilke sikkerhetstiltak en virksomhet skal etablere. Å etablere alle disse sikkerhetstiltakene er derfor ikke påkrevet, og å etablere alle er heller ikke nødvendigvis tilstrekkelig for alle behov. De fleste virksomheter vil derimot ha behov for sikkerhetstiltak av alle typer, eller innen alle områder, som er nevnt her i denne delen.
Henvisningene av typen «[GP 1.1]» er referanser til NSMs grunnprinsipper for IKT-sikkerhet. Disse er tatt inn for å gjøre det enkelt å referere til utfyllende informasjon i veiledning fra Nasjonal sikkerhetsmyndighet.
Overordnede spørsmål
- Benytter de anerkjente anbefalinger og veiledning, som NSMs grunnprinsipper for IKT-sikkerhet, når de velger og utformer sikkerhetstiltak?
- Har virksomheten alle relevante typer sikkerhetstiltak?
God eller manglende styring og kontroll?
Indikerer god styring og kontroll
Virksomheten har identifisert og kartlagt leveranser, verdikjeder og IKT-ressurser som kan virke inn på risiko og valg av sikringstiltak. Dette inkluderer prinsipper for å
- [GP 1.1] Kartlegge leveranser og verdikjeder
- [GP 1.2] Kartlegge enheter og programvare
- [GP 1.3] Kartlegge brukere og behov for tilgang
Virksomheten har etablert hensiktsmessige sikkerhetstiltak for å beskytte sine informasjonssystemer basert på ønsket risikonivå og i henhold til beste praksis. Dette inkluderer disse prinsippene:
- [GP 2.1] Ivareta sikkerhet i anskaffelsesprosesser
- [GP 2.2] Ivareta sikker design av IKT-miljø
- [GP 2.3] Ivareta en sikker konfigurasjon
- [GP 2.4] Ha kontroll på IKT-infrastruktur
- [GP 2.5] Ha kontroll på kontoer
- [GP 2.6] Ha kontroll på bruk av administrative privilegier
- [GP 2.7] Kontrollerer dataflyt
- [GP 2.8] Beskytte data i ro og i transitt
- [GP 2.9] Beskytte e-post og nettleser
- [GP 2.10] Etablere hensiktsmessig logging
Virksomheten har etablert mekanismer for å opprettholde etablert sikkerhetstilstand i informasjonssystemene og oppdage avvik fra ønsket tilstand. Dette inkluderer disse prinsippene:
- [GP 3.1] Sørge for god endringshåndtering
- [GP 3.2] Beskytte mot skadevare
- [GP 3.3] Verifiserer konfigurasjon
- [GP 3.4] Gjennomfører inntrengingstester og «red-team»-øvelser
Virksomheten er forberedt på å håndtere eventuelle hendelser som oppstår. Dette inkluderer disse prinsippene:
- [GP 4.1] Forberede virksomheten på håndtering av hendelser
- [GP 4.2] Vurdere og kategorisere hendelser
- [GP 4.3] Kontrollere og håndtere hendelser
- [GP 4.4] Evaluere og lære av hendelser
Virksomheten følger god praksis for systemutvikling.
Informasjonssikkerhet er utformet og iverksatt i hele
utviklingsprosessen til informasjonssystemer.
Virksomheten har etablert regler for utvikling av programvare og
systemer og benytter dette i forbindelse med utvikling i hele
organisasjonen.
Virksomheten følger god praksis for fysisk og miljømessig sikkerhet og har etablert gode rutiner for dette. Virksomheten har tatt hensyn til fysisk sikkerhet i forbindelse med sikre områder, inkludert
- fysiske sikkerhetssoner
- fysisk adgangskontroll
- sikring av kontorer, rom og fasiliteter
- beskyttelse mot eksterne og miljømessige trusler
- arbeid i sikre områder
- områder for varelevering
- Virksomheten har tatt hensyn til fysisk sikkerhet i forbindelse med bruk av IKT-utstyr, inkludert
- plassering og beskyttelse av utstyr
- understøttende utstyr
- kablingssikkerhet
- vedlikehold av utstyr
- fjerning av aktiva
- sikring av utstyr og aktiva utenfor organisasjonen
- sikker avhending eller gjenbruk av utstyr
- uovervåket brukerutstyr
- policy for ryddig arbeidsplass og låst skjerm
Virksomheten følger god praksis for personellsikkerhet og har
etablert gode rutiner for dette.
Virksomheten jobber for å skape en god virksomhetskultur og har
gode rutiner for informasjonssikkerhet ved ansettelse, oppfølging
og opphør av ansettelsesforhold.
Virksomheten har innført gode rutiner for kompetanseheving,
opplæring og bevisstgjøring av ansatte.
Kan indikere manglende styring og kontroll
Virksomheten har bare delvis oversikt over kritiske IKT-systemer
og informasjonsflyt til og fra disse systemene.
Virksomheten har ikke oversikt over autorisert og uautorisert
maskin- og programvare som benyttes i virksomheten.
Virksomheten har manglende oversikt over hvilke brukergrupper,
brukere og tilgangsbehov som finnes i virksomheten, og har ikke
formaliserte retningslinjer for tilgangskontroll.
Informasjonssikkerhet er ikke en del av virksomhetens
anskaffelsesprosess.
Virksomheten har ikke etablert en helhetlig sikkerhetsarkitektur og
mangler eller har mangelfull implementering av viktige
sikkerhetsfunksjoner (for eksempel katalogtjenester, kryptografiske
moduler, brannmurer, antivirus og verktøy for
systemovervåkning).
Alle brukere får lov til å laste ned, åpne og kjøre alle programmer
fra e-post, fra nettleser eller fra USB-minnepinner.
Informasjonssystemene er ikke inndelt i logiske soner. Alle brukere
har i praksis tilgang til alle nettverksressurser.
Maskin- og programvare er ikke tilstrekkelig konfigurert og
tilpasses i liten grad for å tilfredsstille virksomhetens
behov.
Virksomheten har ikke tilfredsstillende kontroll på livssyklusen
til kontoer: fra de opprettes, til de brukes og endres, og til de
deaktiveres eller slettes.
Virksomheten har manglende kontroll på tildeling og bruk av
administrative privilegier.
Sensitive virksomhetsdata beskyttes ikke tilfredsstillende på
bærbare enheter og når det sendes over usikre medier, som
internett.
Virksomheten har gjort lite for å sikre e-post og nettlesere. Gamle
programversjoner benyttes, og det er ikke aktivert tiltak for å
verifisere avsender av e-post og sjekke vedlegg for skadevare.
Virksomheten mangler systematisk innsamling av logger og andre
sikkerhetsrelevante data fra aktuelle systemer. Dataene gjennomgås
og analyseres i liten grad.
Endringsprosessen i virksomheten er uformell og dokumenteres ikke.
Det er vanskelig å få oversikt over hvilke endringer som er
planlagt, hvilke endringer som er gjennomført, og hvordan
endringene har blitt godtatt og testet.
Virksomheten har ikke oversikt over hvilke tiltak som er innført
for å beskytte informasjonssystemene mot skadevare.
Virksomheten har en adhoc rutine for installering av
sikkerhetsoppdateringer. Datamaskiner, servere og nettverksutstyr
mangler mange viktige sikkerhetsoppdateringer.
Virksomheten mangler, eller har manglende implementering av,
verktøy som beskytter mot kjent skadevare. Eksempler på slike
verktøy er antivirus, brannmurer og antiskadevare.
Inntrengingstesting benyttes sjelden eller aldri for å undersøke
motstandskraften til informasjonssystemene.
Virksomheten har mangelfulle rutiner for sikkerhetskopiering og
gjenoppretting av data. Sikkerhetskopier og gjenoppretting testes
sjelden eller aldri.
Virksomheten har et mangelfullt planverk for hendelseshåndtering
for å ivareta behovet for virksomhetskontinuitet ved beredskap og
krise. Planverket blir ikke testet tilstrekkelig i
organisasjonen.
Virksomheten har mangelfulle rutiner for å vurdere og kategorisere
hendelser.
Virksomheten har mangelfulle rutiner for kontrollere og håndtere
hendelser.
Virksomheten har få eller ingen rutiner for å evaluere og lære av
hendelser.
Informasjonssikkerhet er bare delvis integrert i virksomhetens
utviklingsprosesser.
Virksomheten har ikke etablert klare regler for utvikling av
programvare og systemer.
Nye systemer som innføres, testes ikke systematisk før
produksjonssetting.
Virksomheten stiller få eller ingen krav til fysisk sikkerhet
ved sikring av bygg, kontorer og øvrige rom og fasiliteter,
inkludert fysisk adgangskontroll.
Virksomheten har liten mulighet til å oppdage fysiske
sikkerhetsbrudd, og sikkerhetsbrudd som oppstår, rapporteres i
liten grad til ledelsen.
Virksomheten har få eller ingen etablerte rutiner for
bakgrunnssjekk og verifisering av kvalifikasjoner for kandidater
før ansettelse.
Virksomheten er lite opptatt av kompetanseheving, opplæring og
bevisstgjøring av ansatte.