Introduksjon

Publisert: 28.08.2017 | Sist endret: 29.08.2017

Digitalisering av samfunnet skaper kontinuerlig nye verdier og utviklingsmuligheter, men utvider også sårbarhetsflatene til det vi ønsker å beskytte. Vi ser stadige eksempler på tap av informasjon og at virksomheter ikke får levert tjenester de har behov for.

Det er ingen mangel på tilgjengelig informasjon om hvordan en virksomhet skal sikre sine IKT-systemer og infrastruktur. Mange virksomheter må i tillegg forholde seg til ulike regelverk med tilhørende forvaltere. All denne informasjonen kan fort bli en jungel av konkurrerende muligheter og krav som distraherer beslutningstakere fra å ta riktige valg.

Den stadig økende bruk av digitale tjenester, innebærer blant annet at brukere blir mer mobile og bruken av skybaserte tjenester øker. Denne situasjonen gir fordeler, men innebærer også økt kompleksitet ved at data og applikasjoner blir distribuert til flere enheter og lokasjoner. Konsekvenser av dette er økt avhengighet til tredjeparter og at sikringsbehovet for virksomheter og deres informasjonsverdier strekker seg ut over egen virksomhet. Med dette, følger også nye typer trusler som må adresseres.

Man må derfor spørre seg hvordan vi kan holde kunnskap og teknologi oppdatert og sikret i lys av hurtig utviklende IKT-miljøer med tilsynelatende uendelig antall mulige løsninger? Hva er de mest kritiske områdene vi bør adressere, og hvordan skal virksomheter ta første steg for å modne risikostyringen? Hvordan kan vi sikre at vi starter i riktig ende og med de mest grunnleggende stegene, og sørge for at vi får på plass fundamentale prinsipper for sikring, måling og forbedring som følges opp over tid?

Disse spørsmålene er bakgrunnen for utviklingen av grunnprinsippene. Basert på forslag fra NSM i Sikkerhetsfaglig råd, har vi fått et oppdrag å utforme et felles nasjonalt rammeverk for sikring av IKT-systemer. Dette vil hjelpe de ulike virksomhetene i utvelgelsen av sikringstiltak, og gi regelverksforvaltere et rammeverk de kan peke til i sin kravstilling og veiledning.  Målet er at dette skal bli et levende og tidsaktuelt produkt som oppdateres jevnlig basert på innspill fra brukere og fagmiljøer fra offentlig og privat sektor.

Vi vil takke bidragsytere til denne første versjonen av grunnprinsippene. Gjennom 2017 har vi hatt møter med aktører fra offentlig og privat sektor som har gitt viktige innspill og bidrag. Vi vil rette en spesiell takk til Norges vassdrags- og energidirekorat (NVE) , Nasjonal kommunikasjonsmyndighet (Nkom), Telenor, Statoil, Direktoratet for forvaltning og IKT (Difi) og Datatilsynet.

Hva er NSMs grunnprinsipper for IKT-sikkerhet?

NSMs grunnprinsipper for IKT-sikkerhet definerer et sett med prinsipper for hvordan IKT-systemer bør sikres for å beskytte verdier og leveranser.

Grunnprinsippene beskriver hva en virksomhet bør gjøre for å sikre et IKT-system. De beskriver også hvorfor det bør gjøres, men ikke hvordan. Grunnprinsippene kompletterer, men erstatter ikke en virksomhets sikkerhetsstyringsarbeid. Viktige suksessfaktorer for å lykkes med å implementere grunnprinsippene er at ledelsen involverer seg, at man har sikkerhetskompetanse i virksomheten og etablerte styrings- og risikosløyfer. Dette er videre adressert i NSMs veileder i sikkerhetsstyring. Grunnprinsippene bør benyttes som en del av virksomhetsstyringen og gi retning for implementasjons- og driftsnivået i en virksomhet.

Utvelgelse av sikringstiltak bør baseres på det ordinære risikoarbeidet, men grunnprinsippene vil hjelpe virksomhetene med å velge ut riktige sikringstiltak. De kan også brukes for å identifisere risiko når anbefalte sikringstiltak utelates. En virksomhet som ikke implementerer et anbefalt sikringstiltak, vil i de aller fleste tilfeller ha økt risiko som må håndteres. Denne risikoen må vurderes opp i mot virksomhetens kommersielle risikotoleranse, i tillegg til krav i lovverk, bransjenormer og avtaler. Dersom risikoen ikke kan aksepteres, må kompenserende tiltak vurderes.

Utvikling av gode sikringstiltak er en kontinuerlig prosess, og NSM vil videreutvikle grunnprinsippene i tråd med trussel- og sårbarhetsbildet samt den teknologiske utviklingen i samfunnet.

Grunnprinsippene er strukturert i fire kategorier som vist i Figur 1. Et grunnprinsipp er for eksempel «Beskytt data i ro og i transitt» som er en del av kategorien «Beskytte». Hvert grunnprinsipp har underliggende sikringstiltak som beskriver hva som bør gjøres. Hvert grunnprinsipp er en kontinuerlig aktivitet som må vurderes i hele systemets levetid, fra planlegging og etablering til avhending. Flere av grunnprinsippene bygger på hverandre, og enkelte er en forutsetning for at andre skal kunne implementeres effektivt. I sum inkluderer grunnprinsippene bredden av sikringstiltak som består av barrierer, deteksjon, verifikasjon og reaksjon for å etablere god sikkerhet i dybden. Tiltakene vil være gjeldende for både utilsiktede og tilsiktede handlinger, men hovedfokus har vært på tilsiktede handlinger.

Første versjon av grunnprinsippene handler om teknologiske og organisatoriske tiltak for å sikre IKT-systemer. Det menneskelige perspektivet og fysisk sikkerhet vil inkluderes i senere versjoner.

Figur 1 - oversikt over grunnprinsippene 

De fire kategoriene

Identifisere og kartlegge – opparbeide og forvalte forståelse om virksomheten herunder leveranser, tjenester, systemer og brukere.

Dette er grunnlaget for en effektiv implementering av de øvrige grunnprinsippene. Hensikten er å forstå virksomhetens leveranser og tjenester, få oversikt over hvilke teknologiske ressurser som må sikres og de roller og brukere virksomheten består av. Dette gjør det mulig å fokusere og prioritere sikringstiltakene i tråd med risikostyringsstrategien og forretningsbehovene. Kategorien fokuserer også på å etablere prosesser for å forvalte kunnskapen over tid.

Beskytte – ivareta en forsvarlig sikring av IKT-miljøet.

Prinsippene som må til for å ivareta en sikker tilstand for IKT-miljøet for å motstå eller begrense skaden fra dataangrep. Det innebærer å sikre hvordan IKT-infrastrukturen anskaffes, designes og konfigureres slik at ønsket sikkerhet oppnås.

Opprettholde og oppdage – opprettholde den sikre tilstanden over tid og ved endringer, og oppdage sikkerhetstruende hendelser.

Prinsippene i denne kategorien ivaretar behovet for å håndtere endringer, både planlagte endringer, feilretting og sikkerhetsoppdateringer. Sentralt her er å overvåke IKT-miljøet opp imot ønsket, sikker tilstand og danne oppdatert situasjonsforståelse.

Håndtere og gjenopprette – håndtere sikkerhetstruende hendelser effektivt.

Her finner du prinsipper for å få på plass aktiviteter for å håndtere sikkerhetstruende hendelser. Dette innebærer prinsipper for å vurdere, kontrollere og håndtere, gjenopprette normaltilstand og forbedre sikkerheten basert på erfaringer fra hendelseshåndteringen. 

Målgruppe

Grunnprinsippene er utarbeidet for å dekke et bredt spekter av virksomheter, både i form av størrelse og type leveranser. De er relevante for alle virksomheter, både offentlige og private, uavhengig om de behandler sikkerhetsgradert informasjon, eller ikke.

I den enkelte virksomhet er forretnings- og IT-ledelsen ofte bindeleddet mellom toppledelse og implementasjons- og driftsnivå, som vist i Figur 2. Dette inkluderer IT-ledelse og systemeiere, sikkerhetsledere og forretnings- og prosesseiere. Disse er hovedmålgruppen for NSMs grunnprinsipper.

Ofte har IT-avdelingen implementert gode og fornuftige sikringstiltak. Men tiltakene ikke er forankret i ledelsen. Ledelsen får dermed ikke prioritert sikkerhetsarbeidet på en hensiktsmessig måte som del av den løpende styringen av virksomheten. Vi har flere ganger sett at sikringstiltak er fokusert på feil verdier i en virksomhet. Viktige verdier er utelatt eller glemt fordi det ikke er lagt til grunn en helhetstankegang ved valg av tiltak. I verste fall kan sikringstiltakene virke mot sin hensikt.
«Sikringstiltakene er riktig implementert, men er det de riktige sikringstiltakene som er implementert på rett sted?»

Sikkerhet må være en integrert del av virksomhetsprosessene hvor både ansvar og oppgaver for å utøve sikkerhet ligger hos den enkelte medarbeider og leder. De fleste virksomheter har likevel nøkkelroller med stor påvirkning på virksomhetens informasjonssikkerhetsarbeid. Sikkerhetsleder eller informasjonssikkerhetsleder har ofte delegert det formelle ansvaret for informasjonssikkerheten. Sikkerheten i IKT-systemer vil ofte skapes i IT-driftsorganisasjonen slik at IT-ledelsen og systemeiere i praksis legger forutsetningene for informasjonssikkerheten i virksomheten. Tilsvarende er det forretnings- og IT-ledelse som kjenner virksomhetens leveranser og legger premissene for sikkerhetskrav.

Forretnings- og IT-ledelsen beslutter rammeverk og retningslinjer som angir hvilke sikringstiltak som skal implementeres. For å understøtte utvelgelsen beskriver grunnprinsippene hva en virksomhet bør gjøre. Prosess- og systemeiere må også kommunisere et korrekt risikobilde til toppledelsen og andre risikoeiere. Grunnprinsippene vil hjelpe målgruppen med å beskrive hvorfor de anbefalte tiltakene bør implementeres.

Toppledelsen har fokus på organisatorisk risiko og bruker IKT-sikkerhet som styringsparameter. Det er avgjørende at toppledelsen tar eierskap og driver sikkerhetsarbeidet i egen virksomhet gjennom styringsvirkemidler.

NSM vil i løpet av 2017 produsere en veileder i bruk av grunnprinsippene rettet mot toppledere.

Figur 2 – informasjons- og beslutningsflyt i en virksomhet 

Grunnprinsippene sett opp mot andre regelverk, standarder og rammeverk

Relevante rammeverk, standarder og veiledninger virksomheter kan benytte:
- NSM veileder i sikkerhetsstyring
- NSM håndbok i risikovurdering
- ISO/IEC 27001:2017
- ISO/IEC 27002:2017
- Cyber Essentials
- NIST Cyber Security Framework
- CIS CSC Top 20 Security controls
- BSI Deutche grundschutz
- Cobit5
- ISF SoGP

NSMs grunnprinsipper er et supplement til eksisterende nasjonale og internasjonale regelverk, standarder og rammeverk innen IKT-sikkerhet.  Grunnprinsippene, som har et sektorovergripende fokus, uthever de viktigste sikringstiltakene i ISO/IEC 27002:2017 som vist i Figur 3. Grunnprinsippene er koblet mot relevante sikringstiltak i denne standarden. Kategori-inndelingen i prinsippene er i stor grad sammenfallende med gjeldende inndeling i «Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven)» og «NIST Cyber Security Framework». Andre rammeverk som er benyttet som inspirasjon, og vil være gjenkjennbare i grunnprinsippene, er «Cyber Essentials» og «CIS CSC Top 20».

NSM har et sett med veiledninger som understøtter grunnprinsippene. Et eksempel er sjekklistene S-01 «Fire effektive tiltak mot dataangrep» og U-15 «Sikring av webtrafikk (HTTPS)». NSM vil koble disse veilederne mot grunnprinsippene i senere versjoner.

Der det finnes bransje-, teknologi- eller sektorspesifikke materiale bør dette benyttes i tillegg til de generiske standardene som ISO/IEC 27000-serien og NSMs grunnprinsipper.

Figur 3 – Deler av NSMs veiledningsmateriale sett opp mot utvalgte standarder i ISO/IEC 27000-serien