Informasjonssystemsikkerhet

Publisert: 17.06.2014

God sikkerhet i informasjonssystemer er avgjørende for å beskytte skjermingsverdig informasjon. IKT-sikkerhet er viktig fordi de store volumer av gradert informasjon befinner seg nettopp i slike systemer. Sikkerhet i graderte informasjonssystemer er derfor en sentral del av NSMs virksomhet.

Mens informasjonssystemer før ofte var isolerte systemer som det var ukomplisert å sikre, er de i dag i større grad sammenkoblet for økt funksjonalitet. Samtidig er det ønsker om mer mobile løsninger, for eksempel økende bruk av bærbare datamaskiner. En slik utvikling øker nytteverdi og bruksfelt.  Avhengighet av datasystemer har økt, tilgjengelighet er derfor også svært viktig. Samtidig så åpner man opp for nye sårbarheter og trusler som man må være oppmerksom på.

I graderte systemer benyttes i dag både kommersielt tilgjengelige produkter og produkter spesielt tilpasset gradert bruk. Det er viktig at slike produkter vurderes grundig mhp. flere faktorer, eksempelvis: 

  • produktets funksjonalitet
  • at kan man ha tillit til produktet 
  • at produkter og systemene brukes og driftes rett
  • at omgivelsene for bruk og drift er sikret

NSMs fagmiljøer har lenge arbeidet med slike problemstillinger.  Disse fagmiljøene representerer en unik nasjonal samling av kompetanse rettet mot det å bistå organisasjoner som er underlagt sikkerhetsloven i å ha nødvendig sikring av sine systemer.  Denne kompetansen er nødvendig for å kunne utføre NSMs lovpålagte ansvar for graderte IKT systemer, herunder:

  • utvikle retningslinjer for IKT-sikkerhet
  • bidra med råd og veiledning for IKT-sikkerhetstiltak
  • godkjenne IKT-sikkerhetstilltak
  • gjennomføre kontroll av IKT-sikkerhetstilltak
  • holde oversikt over sikkerhetstilstanden

For å støtte opp om slike oppgaver gjennomfører NSM FOU-aktiviteter for å videreutvikle sikkerhetstiltak, deriblant utstrakt internasjonalt samarbeide.  Eksempelvis er det NSM som representerer Norge i internasjonale sikkerhetsfora som NATO

Vær oppmerksom på at et informasjonssystem skal være sikkerhetsgodkjent før det kan tas i bruk til behandling av gradert informasjon. Det kan være lurt å ha med tidlig i en prosjektplan at man må ha sikkerhetsgodkjenning, og før man begynner å velge løsninger.

Det er også mange andre sider ved et gradert IKT-system som må vurderes. Tidlig bør man vurdere verdien av informasjonen som skal beskyttes, det vil si hvilken gradering man vurderer informasjonen til. Systemet skal være fysisk sikret i tråd med sikkerhetsgraderingen. For informasjon som er høyt gradert er det spesielle krav til skjerming av systemets elektromagnetiske stråling, dette omtales som Tempest-krav.  I spesielle tilfeller kreves det også at produkter som benyttes er sertifiserte.  Administrasjonen av systemet skal foregå etter bestemte rutiner, det er bl.a. krav til hvordan personell organiseres, hvordan rutiner dokumenteres og gjennomføres, og ikke minst hvordan systemet forvaltes, driftes og brukes. I tillegg må et gradert IKT-system sikres slik at uvedkommende ikke har innsyn i, eller kan manipulere, gradert informasjon. Derfor er det krav til bruk av krypto.