Kortliste krav til krypto

Publisert: 07.03.2016 | Sist endret: 26.04.2018

Basert på NSM Cryptographic Requirements (NCR), har NSM publisert «Kortliste krav til krypto». Dette dokumentet inneholder de viktigste kravene fra NCR i tillegg til en liste over anvendelser man bør etablere for grunnleggende informasjonssikkerhet.

Rustne nøklerKryptografiske mekanismer er implementert i mange komponenter og moduler av IT-systemer og er en forutsetning for elektronisk informasjonssikkerhet. For å være sikker på at en mekanisme kan benyttes i graderte informasjonssystem og brukes til å beskytte gradert og sensitiv informasjon, må mekanismene oppfylle noen grunnleggende krav.

NSMs krav til krypto er spesifisert i NSM Cryptographic Requirements (NCR), tilgjengelig for nedlastning fra NSMs hjemmeside. NCR presenterer tre nivåer til styrke for kryptografiske mekanismer. De ulike nivåene gjelder i følgende tilfeller:

  • ENHANCED – Kryptografiske mekanismer for beskyttelse av gradert informasjon opp til og med STRENGT HEMMELIG mot enhver trussel.
  • STANDARD – Kryptografiske mekanismer for beskyttelse av BEGRENSET informasjon mot enhver trussel og kryptografisk separasjon av ulike informasjonssystem som kjører i partisjonert operasjonsmåte. NSM anbefaler i tillegg disse mekanismene for beskyttelse av svært sensitiv, men ugradert informasjon.
  • MODERATE – Kryptografiske mekanismer for beskyttelse av gradert informasjon innad i informasjonssystem som kjører i fellesnivå operasjonsmåte. NSM anbefaler i tillegg disse mekanismene for beskyttelse av sensitiv, men ugradert informasjon.

Kortlistene presenterer de viktigste kravene til STANDARD og MODERATE. Det kan forekomme ytterligere muligheter i NCR enn det som presenteres, men da presenteres de foretrukne mekanismene.

Kravene er bygd opp rundt tre søyler som alle må være på plass for helhetlig kryptosikkerhet; robuste kryptomekanismer, evaluerte implementasjoner og sikker nøkkelforvaltning.

Under hver søyle er det et spørsmål om eget system som skal besvares. Når alle tre spørsmålene er besvart har man et godt utgangspunkt for videre dialog med NSM, enten det gjelder godkjenning av kryptoløsninger i graderte systemer eller råd- og veiledning innen kryptoløsninger generelt.

Ved etablering av nye systemer, anbefales det å sende dette dokumentet til utviklere, leverandører og systemintegratorer og be dem besvare spørsmålene. På den måten kan man enkelt få oversikt over sikkerhetstilstanden og modenheten til ulike leverandører og produkter. Dersom man benytter utviklere i utlandet anbefales det å oversende NSM Cryptographic Requirements som er på engelsk.

Dokumentet er tilgjengelig for nedlastning herfra.

Siden formatet og dokumentet er nytt, er tilbakemeldinger på form og innhold ønsket. Disse kan merkes med «Kortliste krav til krypto» og sendes post@nsm.stat.no.

comments powered by Disqus