Veiledning for systemteknisk sikkerhet

Publisert: 18.06.2014 | Sist endret: 09.01.2018

NSM har en rekke veiledninger som beskriver krav til systemteknisk sikkerhet. Disse veiledningene tar for seg forskjellig typer sikring av IT-systemer: servere, klienter, nettverk, krypto, mm. Den primære målgruppen for disse dokumentene er teknologer som skal etablere og drifte slike systemer.

Denne siden omtaler:

  • veiledninger som beskriver sikkerhetskrav i graderte IT-systemer. Disse veiledningene kan også benyttes for sikring av ugraderte systemer.  
  • veiledninger som inneholder sikkerhetsråd for ugraderte systemer.

NSM har i tillegg også en del andre veiledninger for systemteknisk sikkerhet.  Disse kan av sikkerhetsmessige hensyn ikke omtales på en offentlig webside. Virksomheter underlagt sikkerhetsloven kan ved behov ta kontakt for å få også disse dokumentene.  

Veiledninger for graderte systemer

NSMs veiledningene for systemteknisk sikkerhet er krav gitt av rammebetingelsene i sikkerhetsloven samt underliggende forskrifter. 
Loven og forskriftene gir ikke detaljert teknisk hjelp mhp å sikre et system med gradert informasjon. NSM bistår derfor virksomhetene med bl. a. skriftlige veiledninger som utdyper nærmere kravene i lov og forskrift.   Dette er hjemlet i forskrift: NSM fastsetter hvilken systemteknisk sikkerhetsfunksjonalitet som kreves for informasjonssystemer, samt hvordan denne sikkerhetsfunksjonaliteten skal organiseres, installeres, konfigureres, testes, dokumenteres, brukes og driftes (§ 5-9 1.ledd).   I tillegg har NSM et spesielt ansvar for å utvikle krav til krypto, se §14 i sikkerhetsloven.  
De skriftlige systemtekniske veiledningene kan være både generelle og mer spesielle. Noen generelle veiledninger omtaler produktnøyttale og teknologinøytrale sikkerhetskrav. Andre veiledninger kan gå mer detaljert til verks og også i noen tilfeller omtale konkrete sikkerhetsinstillinger i konkrete produkter. 

Veiledning i grunnleggende sikkerhetsarkitektur og -funksjonalitet for FELLESNIVÅ operasjonsmåte

Dette dokumentet veileder om krav som Forskrift om informasjonssikkerhet stiller til systemteknisk sikkerhet i fellesnivå datasystemer uten tilknytning til andre systemer. Kravene adresserer sikkerhet i operativsystemer og basistjenester. [PDF

Veiledning i grunnleggende sikkerhetsarkitektur og -funksjonalitet for PARTISJONERT operasjonsmåte

Dette dokumentet veileder om krav som Forskrift om informasjonssikkerhet stiller til systemteknisk sikkerhet i partisjonerte datasystemer uten tilknytning til andre systemer. Kravene adresserer sikkerhet i operativsystemer og basistjenester. [PDF

N-01 Veiledning i nettverkssikkerhet

Dokumentet gir veiledning i og krav til sikkerhetsfunksjonalitet i nettverk for graderte systemer. [PDF]

N-03 Veiledning i bruk av svitsjer og rutere

Dokumentet er en utdypning av kravene i N-01 for anvendelse på svitsjer og rutere. Veiledningen gir generelle sikkerhetskrav og anbefalinger til funksjonalitet i lag 2 (link) og lag 3 (nettverk) i OSI modellen. [PDF]

NSMs kryptografiske krav

Dokumentet angir NSMs krav til kryptografiske mekanismer for beskyttelse av skjermingsverdig informasjon og anbefalinger til kryptografiske mekanismer for beskyttelse av sensitiv, men ugradert informasjon. Dokumentet angir både krav til funksjonalitet, som algoritmer, nøkkellengder, digitale sertifikater og nøkkelforvaltning, og tillit, som evaluering og sertifisering. Kravene gjelder for beskyttelse av skjermingsverdig informasjon gjelder i hovedsak BEGRENSET informasjon, men disse gjelder også innad i høyere graderte informasjonssystemer for need-to-know-separasjon. [PDF

I tillegg til hoveddokumentet er det utgitt en kortversjon av kravene. I motsetning til NSM Cryptographic Requirements, er dette dokumentet skrevet på norsk. Dette dokumentet anbefales derfor som introduksjon til NSMs krav og anbefalinger til krypto. Kravnivåene som er beskrevet i ovennevnte dokument er her komprimtert til én side hver. [PDF]

Veiledning i bruk av svitsjebokser for delte periferienheter 

Dokumentet beskriver bruk av KVM svitsjer for deling av skjerm, tastatur og mus mellom flere datamaskiner. Dokumentet er gradert BEGRENSET og er kun tilgjengelig på forespørsel for virksomheter underlagt sikkerhetsloven. 

Veiledninger for ugraderte systemer

Følgende dokument(er) inneholder råd om forebyggende tilltak for systemer som ikke er underlagt kravene i sikkerhetsloven.

S-01 Sjekkliste: Fire effektive tiltak mot dataangrep

Dette dokumentet beskriver fire enkle, men effektive tekniske tiltak som systemeiere i offentlige sektor bør benytte for å beskytte sine ugraderte systemer mot internett-relaterte dataangrep. Tiltakene er også beskrevet i NSMs dokument U-01. [PDF]

S-02 Sjekkliste: Ti viktige tiltak mot dataangrep

Dette dokumentet beskriver ti effektive tekniske tiltak som systemeiere i offentlig sektor bør benytte for å beskytte sine ugraderte systemer mot internett-relaterte dataangrep. Tiltakene er beskrevet i mer detalj i NSMs dokument U-01. [PDF]  

S-03 Sjekkliste: Ti grunnleggende tiltak for sikring av egne nettverk

Dette dokumentet beskriver ti grunnleggende tiltak for sikring av egne nettverk. [PDF] [WEB]

U-01 Grunnleggende tiltak for sikring av Windows 7

Dokumentet gir uformell og uforpliktende veiledning i noen grunnleggende tiltak for sikring av ugraderte IT-systemer som tar i bruk Windows 7. Målgruppen er personell som arbeider med ugraderte systemer i offentlig forvaltning, primært departementer og andre store sentrale enheter. Dokumentet er ikke ment brukt ifm formell sikkerhetsgodkjenning av graderte systemer.  [ZIP]

U-02 Grunnleggende tiltak for sikring av e-post

Dette dokumentet er NSMs anbefaling for grunnleggende sikring av overføring av e-post mellom e-posttjenere. Målgruppen er personell som utvikler og forvalter ugraderte systemer i offentlig forvaltning. Dokumentet er ikke ment brukt ifm. formell sikkerhetsgodkjenning av graderte systemer. [PDF

U-03 Sikring av Windows TLS

U-03 inneholder NSMs anbefalinger for herding av Transport Layer Security (TLS) på ugraderte IT-systemer som anvender Windows 7 SP1, Windows Server 2008 R2 og senere versjoner. Formålet med U-03 er å gi anbefalinger om hvilke TLS-protokoller og kryptografiske algoritmer som bør brukes av Microsoft sin implementasjon av TLS, også kjent som Secure Channel (Schannel). Med U-03 følger eksempler på konfigurasjonsfiler som velger anbefalte TLS-protokoller og kryptografiske algoritmer. Målgruppen for U-03 er personell som administrerer ugraderte Windows systemer i offentlig forvaltning. [PDF] [ZIP]

U-04 Grunnleggende tiltak for forebygging av DDoS 

Dette dokumentet beskriver noen grunnleggende tiltak for å sikre ugraderte IKT-systemer mot distribuerte tjenestenektangrep («DDoS - Distributed Denial of Service»).  Tiltakene er ment å utfylle «commercial best practice».  Målgruppen er personell som utvikler og forvalter ugraderte systemer i offentlig forvaltning. Dokumentet er ikke ment brukt ifm. formell sikkerhetsgodkjenning av graderte systemer.  [PDF]

U-05 Grunnsikring av Windows Server 2012

U-05 inneholder NSMs anbefalinger for grunnsikring av ugraderte IT-systemer som anvender Windows Server 2012. Med U-05 følger eksempler på konfigurasjonsfiler, i form av sikkerhetsbaseliner, for herding av Windows Server 2012 domenekontrollere, medlemsservere og Active Directory (AD) domener. Målgruppen for U-05 er personell som utvikler og administrerer ugraderte systemer i offentlig forvaltning. U-05 utgjør også første byggestein i herding av graderte systemer som anvender Windows Server 2012. [Kun PDF] [ZIP]

U-06 Grunnsikring av Windows 7 SP1

U-06 inneholder NSMs anbefalinger for grunnsikring av ugraderte IT-systemer som anvender Windows 7 SP1. Med U-06 følger eksempler på konfigurasjonsfiler, i form av sikkerhetsbaseliner, for herding av Windows 7 SP1 klienter. Målgruppen for U-06 er personell som utvikler og administrerer ugraderte systemer i offentlig forvaltning. U-06 utgjør også første byggestein i herding av graderte systemer som anvender Windows 7 SP1. [Kun PDF] [ZIP]

U-07 Grunnsikring av Office 2013

U-07 inneholder NSMs anbefalinger for grunnsikring av ugraderte IT-systemer som anvender Microsoft Office 2013. Med U-07 følger eksempler på konfigurasjonsfiler, i form av sikkerhetsbaseliner, for herding av Microsoft Office 2013 på klienter. Målgruppen for U-07 er personell som utvikler og administrerer ugraderte systemer i offentlig forvaltning. U-07 utgjør også første byggestein i herding av graderte systemer som anvender Microsoft Office 2013. [Kun PDF] [ZIP]

U-08 Sikkerhetsbaseliner

Sikkerheten til et Microsoft produkt styres gjennom en rekke innstillinger. Vi referer til en samling sikkerhetsinnstillinger og deres anbefalte verdier som en sikkerhetsbaseline. U-08 inneholder NSMs anbefalinger for hvordan man kan implementere, teste og dokumentere tiltak fra sikkerhetsbaseliner i IT-systemer som anvender Microsoft produkter, samt hvordan man kan håndtere avvik fra NSMs anbefalte tiltak. U-08 er ment å brukes i sammenheng med veiledninger som beskriver konkrete sikkerhetsbaseliner, som for eksempel «U-05 Grunnsikring av Windows Server 2012», «U-06 Grunnsikring av Windows 7 SP1» og «U-07 Grunnsikring av Office 2013». Med U-08 følger en sjekkliste for testing av tiltak fra sikkerhetsbaseliner og Windows PowerShell scripts. Målgruppen for U-08 er personell som utvikler og administrerer ugraderte systemer i offentlig forvaltning. [Kun PDF] [ZIP]

U-09 Sikring av Network Time Protocol (NTP)

Dette dokumentet beskriver hvordan Network Time Protocol (NTP) virker og hvordan man kan sikre denne protokollen for å oppnå høyere tillit til at tids-synkroniseringen er korrekt og kommer fra en autoritativ kilde. Målgruppen for denne veiledningen er personer som administrerer IT-systemer hvor tillit til synkronisert og korrekt tid er viktig. [PDF]

U-10 Grunnsikring av Windows Server 2012 R2

U-10 inneholder NSMs anbefalinger for grunnsikring av ugraderte, men sensitive IT-systemer som anvender Windows Server 2012 R2. Med U-10 følger eksempler på konfigurasjonsfiler, i form av sikkerhetsbaseliner, for herding av Windows Server 2012 R2 domenekontrollere, medlemsservere og Active Directory (AD) domener. Målgruppen for U-10 er personell som utvikler og administrerer ugraderte systemer i offentlig forvaltning. U-10 utgjør også første byggestein i herding av graderte systemer som anvender Windows Server 2012 R2. [Kun PDF] [ZIP]

U-11 Systemovervåking ved bruk av ELK-stakken

Dokumentet beskriver systemovervåking av et IT-system ved bruk av ELK-stakken. ELK-stakken kombinerer programmene Elasticsearch, Logstash og Kibana. Dokumentet beskriver bruksområder og fordeler ved ELK-stakken på Linux-plattformen. Dokumentet anbefaler tiltak for sikring av ELK-stakken og beskriver en stegvis eksempelinstallasjon.

Målgruppen for veiledningen er primært sensitive og graderte offentlige systemer som ikke er store nok til å ta i bruk noen av de kommersielle enterprise-verktøyene for systemovervåking fra f.eks SPLUNK, Microsoft, IBM, HP, Nagios, ol. [PDF]

U-12 Veiledning i DNS-filtrering

Dokumentet gir veiledning i filtrering av Domain Name System (DNS)-forespørsler ved bruk av Response Policy Zone (RPZ)-svartelister. Målgruppen er personell som drifter ugraderte, men sensitive systemer. De beskrevne tiltakene er ment å reflektere commercial best practice og bidrar til å filtrere uønsket trafikk over en tradisjonelt åpen og lett tilgjengelig kommunikasjonskanal. Tiltakene forutsetter ikke at man har en DNS-server fra før. [PDF]

U-14 Sikring av kommunikasjon med TLS

NSM anbefaler at mest mulig kommunikasjon benytter TLS for autentisering, integritets- og konfidensialitetsbeskyttelse. Dette vil sikre enorme mengder data over internett, hvor fortsatt under halvparten av kommunikasjonen er sikret. Denne veiledningen er en beskrivelse av grunnleggende tiltak for sikring av kommunikasjon over usikre nett ved hjelp av TLS. [PDF] [WEB]

U-15 Hypertext Transport Protocol Secure

NSM anbefaler at mest mulig webtrafikk autentiseres, integritets- og konfidensialitetsbeskyttes. Formålet med denne veiledningen er å gi anbefalinger om hvordan man kan etablere sikker overføring av webtrafikk ved å bruke HTTPS. Ved å implementere anbefalingene vil man øke tilliten til at webtrafikken overføres sikkert. [PDF] [WEB]

U-16 Brukerautentisering mot nettsteder

Universal 2nd Factor (U2F) er en åpen protokoll for to-faktor autentisering. NSM anbefaler at flest mulig nettsteder med brukerpålogging tilbyr autentisering ved hjelp av denne protokollen og fysiske sikkerhetsnøkler. Denne veiledningen beskriver hvorfor man bør benytte to-faktor autentisering, hvordan U2F fungerer og hvorfor denne protokollen bør benyttes. [PDF] [WEB]