Transcript Vigdis Grønhaug, NSM.

Sikkerhetsgodkjenning av
informasjonssystemer
En ”sikker” gevinst
Vigdis Grønhaug
Avdelingsdirektør
Avdeling for systemsikkerhet
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
1
Innhold
 Hvorfor sikkerhetsgodkjenne
 Hva er en sikkerhetsgodkjenning
 Endring av roller i
godkjenningsprosessen
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
2
Hvorfor sikkerhetsgodkjenne?
 Sikkerhetsloven §13
 ”Før skjermingsverdig informasjon behandles,
lagres eller transporteres i et informasjonssystem,
skal NSM eller den NSM bemyndiger, godkjenne
systemet for angjeldende sikkerhetsgrad.”
 Beskyttelsesinstruksen §12
 ”Dokumenter gradert etter denne instruksen skal så
langt det passer, behandles elektronisk i samsvar
med (bl.a.) kapittel 5 i Sikkerhetslovens forskrift om
informasjonssikkerhet.”
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
3
Hvorfor sikkerhetsgodkjenne
Sikkerhetstruende
virksomhet
Uønskede
konsekvenser
Informasjon på avveie
Spionasje
Sabotasje
Terror
Tap av informasjon
Falsk/modifisert
informasjon
Reduksjon av
informasjon og tjenesteTilgjengelighet
Former for
dataangrep
Hacking
Misbruk av privilegier
Ormer/virus
Sikkerhetshuller
Tjenestenekt (DoS)
Fysisk angrep
Tyveri av maskinvare
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
4
Hva er en sikkerhetsgodkjenning?
 Forskrift om informasjonssikkerhet
 Sikkerhetsgodkjenning av
informasjonssystemet gjennomføres på
grunnlag av sikkerhetskonsept, valgt
operasjonsmåte, sikkerhetsdokumentasjon
og verifikasjon av sikkerhetstiltak.
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
5
Sikring av informasjon
Informasjon
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
6
Sikkerhetsdokumentasjon
 Grunnlagsdokument for sikkerhet
 Overordnet sikkerhetskonsept
 Godkjenningsstrategi
 Kravspesifikasjoner for sikkerhet (KSS)
 Brukerinstruks
 Driftsinstruks
 Beredskapsplan
 Kryptoinstruks
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
7
Sikkerhetskonsept
 Faktorer som er avgjørende
 Systemet hensikt og bruksområde
 Verdivurdering av informasjonen
 Brukernes klarering og autorisasjon
 Tempestrisiko
 Geografisk og fysisk plassering
 Datakommunikasjon og kryptering
 Sammenkobling med andre systemer
 Operasjonsmåte
 Evaluering og sertifisering
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
8
Fasene i en godkjenningsprosess
Overordnet
sikkerhetskonsept
Systemteknisk
sikkerhetskonsept
Godkjenningsstrategi
Krav/Tiltak
Evaluering/Testing
Risikohåndtering
Sikkerhetsgodkjenning
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
9
To dimensjoner
 Teknisk løsning/referanseløsning
 Lokal sikkerhetsgodkjenning
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
10
Endring av roller
Policy,
retningslinjer
Råd og
veiledning
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
Sikkerhetsgodkjenning
Systemteknisk
tilsyn
11
Roller i godkjenningsprosessen
 NSM
 Fagmyndighet
 Systemeier/virksomhetens leder
 Ansvar
 Samsvarserklæring
 Risikotaking
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
12
Balansering av sikkerhetsarbeidet
Penger
Funksjonalitet
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
Sikkerhet
13
Konklusjon
Sats på sikkerhet. Det lønner seg!
Spørsmål?
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
14