Vigdis Grønhaug, NSM.
Download
Report
Transcript Vigdis Grønhaug, NSM.
Sikkerhetsgodkjenning av
informasjonssystemer
En ”sikker” gevinst
Vigdis Grønhaug
Avdelingsdirektør
Avdeling for systemsikkerhet
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
1
Innhold
Hvorfor sikkerhetsgodkjenne
Hva er en sikkerhetsgodkjenning
Endring av roller i
godkjenningsprosessen
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
2
Hvorfor sikkerhetsgodkjenne?
Sikkerhetsloven §13
”Før skjermingsverdig informasjon behandles,
lagres eller transporteres i et informasjonssystem,
skal NSM eller den NSM bemyndiger, godkjenne
systemet for angjeldende sikkerhetsgrad.”
Beskyttelsesinstruksen §12
”Dokumenter gradert etter denne instruksen skal så
langt det passer, behandles elektronisk i samsvar
med (bl.a.) kapittel 5 i Sikkerhetslovens forskrift om
informasjonssikkerhet.”
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
3
Hvorfor sikkerhetsgodkjenne
Sikkerhetstruende
virksomhet
Uønskede
konsekvenser
Informasjon på avveie
Spionasje
Sabotasje
Terror
Tap av informasjon
Falsk/modifisert
informasjon
Reduksjon av
informasjon og tjenesteTilgjengelighet
Former for
dataangrep
Hacking
Misbruk av privilegier
Ormer/virus
Sikkerhetshuller
Tjenestenekt (DoS)
Fysisk angrep
Tyveri av maskinvare
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
4
Hva er en sikkerhetsgodkjenning?
Forskrift om informasjonssikkerhet
Sikkerhetsgodkjenning av
informasjonssystemet gjennomføres på
grunnlag av sikkerhetskonsept, valgt
operasjonsmåte, sikkerhetsdokumentasjon
og verifikasjon av sikkerhetstiltak.
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
5
Sikring av informasjon
Informasjon
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
6
Sikkerhetsdokumentasjon
Grunnlagsdokument for sikkerhet
Overordnet sikkerhetskonsept
Godkjenningsstrategi
Kravspesifikasjoner for sikkerhet (KSS)
Brukerinstruks
Driftsinstruks
Beredskapsplan
Kryptoinstruks
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
7
Sikkerhetskonsept
Faktorer som er avgjørende
Systemet hensikt og bruksområde
Verdivurdering av informasjonen
Brukernes klarering og autorisasjon
Tempestrisiko
Geografisk og fysisk plassering
Datakommunikasjon og kryptering
Sammenkobling med andre systemer
Operasjonsmåte
Evaluering og sertifisering
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
8
Fasene i en godkjenningsprosess
Overordnet
sikkerhetskonsept
Systemteknisk
sikkerhetskonsept
Godkjenningsstrategi
Krav/Tiltak
Evaluering/Testing
Risikohåndtering
Sikkerhetsgodkjenning
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
9
To dimensjoner
Teknisk løsning/referanseløsning
Lokal sikkerhetsgodkjenning
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
10
Endring av roller
Policy,
retningslinjer
Råd og
veiledning
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
Sikkerhetsgodkjenning
Systemteknisk
tilsyn
11
Roller i godkjenningsprosessen
NSM
Fagmyndighet
Systemeier/virksomhetens leder
Ansvar
Samsvarserklæring
Risikotaking
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
12
Balansering av sikkerhetsarbeidet
Penger
Funksjonalitet
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
Sikkerhet
13
Konklusjon
Sats på sikkerhet. Det lønner seg!
Spørsmål?
Nasjonal sikkerhetsmyndighet – Sikre samfunnsverdier
14