Nasjonal sikkerhetsmyndighet

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "Nasjonal sikkerhetsmyndighet"

Transkript

1 Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: Veiledning i grunnleggende sikkerhetsarkitektur og -funksjonalitet for PARTISJONERT operasjonsmåte Dette dokumentet veileder om krav som Forskrift om informasjonssikkerhet stiller til systemteknisk sikkerhet i partisjonerte datasystemer uten tilknytning til andre systemer. Kravene adresserer sikkerhet i operativsystemer og basistjenester.

2 Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjeneste i Norge og forvalter lov om forebyggende sikkerhet av 20 mars Hensikten med forebyggende sikkerhet er å motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, primært spionasje, sabotasje og terrorhandlinger. Forebyggende sikkerhetstiltak skal ikke være mer inngripende enn strengt nødvendig, og skal bidra til et robust og sikkert samfunn. Hensikt med veiledning NSM sin veiledningsvirksomhet skal bygge kompetanse og øke sikkerhetsnivået i virksomhetene, gjennom økt motivasjon, evne og vilje til å gjennomføre sikkerhetstiltak. NSM gir jevnlig ut veiledninger til hjelp for implementering av de krav sikkerhetsloven stiller. NSM publiserer også veiledninger innen andre fagområder relatert til forebyggende sikkerhetsarbeid. Postadresse Sivil telefon/telefax Militær telefon/telefaks Internettadresse Postboks / / BÆRUM E-postadresse POSTTERMINAL Side 2 av 11

3 Innhold 1 Generelt Bakgrunn Målgruppe Formål Innhold Introduksjon Partisjonert operasjonsmåte Høye og lave partisjoner Formålet med partisjonering Partisjonering vha fellesnivåfunksjonalitet Anvendelser Sikkerhetsdokumentasjon KSS systemteknisk sikkerhet Brukerinstruks systemteknisk sikkerhet Driftsinstruks systemteknisk sikkerhet Sikkerhetskonsept Operasjonsmåte Eksterne forbindelser Designprinsipper Sikkerhetskrav Systemdesign Autentisitet Konfidensialitet Integritet Tilgjengelighet Ansvarlighet Dokumenthistorie Generelt Dette dokumentet veileder om krav som Forskrift om informasjonssikkerhet stiller til systemteknisk sikkerhet i partisjonerte datasystemer uten tilknytning til andre systemer. Kravene adresserer sikkerhet i operativsystemer og basistjenester. For andre operasjonsmåter henvises til Veiledning i grunnleggende sikkerhetsarkitektur og - funksjonalitet for fellesnivå operasjonsmåte (V-FN-01). 1.1 Bakgrunn V-FN-01 beskriver grunnleggende krav til fellesnivå operasjonsmåte, hvor alle brukerne har klarering og autorisasjon for høyeste gradering som behandles i systemet. For systemer med brukere uten full klarering og autorisasjon har det tradisjonelle alternativet vært multinivå operasjonsmåte. Selv om mange produkter for multinivå operasjonsmåte finnes i markedet, er det en oppfatning at disse produktene sammenliknet med produkter for fellesnivå operasjonsmåte ikke leverer ønsket brukerfunksjonalitet og er for krevende mht konfigurasjon, drift og bruk. Dokumentet beskriver konsept og krav for partisjonert operasjonsmåte, som er en av mange mulige operasjonsmåter i grenselandet mellom fellesnivå og fullverdig multinivå. Partisjonert operasjonsmåte tilrettelegger for at nasjonale datasystemer skal kunne støtte et tett samarbeid med våre NATO-partnere, samtidig som sensitive nasjonal informasjon gis nødvendig beskytt- Side 3 av 11

4 else. Målet er at nasjonale brukere på en sikker, effektiv og brukervennlig måte skal kunne behandle både NATO- og nasjonal informasjon på én og samme arbeidsstasjon. Partisjonert operasjonsmåte tilrettelegger tilsvarende for at lavgraderte datasystemer skal kunne knyttes til ikke-godkjente systemer (f eks Internet), samtidig som lavgradert informasjon gis nødvendig beskyttelse. En viktig rettesnor i arbeidet har vært at partisjonerte systemer i størst mulig grad skal kunne implementeres vha produkter for fellesnivå operasjonsmåte og relativt enkelt skal kunne tilføres eksisterende fellesnivåløsninger. Veiledningen baserer seg på V-FN-01 og angir i hovedsak det tillegget som er nødvendig for å oppnå partisjonert operasjonsmåte. Som for fellesnivå, blir systemeiers utfordring i hovedsak å sette sammen hyllevaren til et helhetlig og konsistent system, og å konfigurere og bruke systemet på en sikker måte. 1.2 Målgruppe Målgruppen for dette vedlegget er systemeiere, systemadministratorer, datasikkerhetsledere og annet personell som planlegger, utvikler, administrerer eller godkjenner graderte datasystemer. 1.3 Formål Dokumentet veileder om krav som Forskrift om informasjonssikkerhet stiller til systemteknisk sikkerhet i partisjonerte datasystemer uten tilknytning til andre systemer. Kravene adresserer sikkerhet i basistjenester. Eksterne tilknytninger og tilleggskomponenter, f eks, brannmurer, meldingstjeneste/gruppevare, web og databaser, dekkes ikke av dette dokumentet, men vil dekkes av egne retningslinjer som adresserer særtrekk ved disse utvidelsene; utvidelser av denne type kan dessuten medføre skjerpede retningslinjer for basistjenestene. 1.4 Innhold Kapittel 2 gir en kort introduksjon til noen sentrale begreper som omtales senere i dokumentet. Kapittel 3 beskriver påkrevd systemteknisk sikkerhetsdokumentasjon. Kapittel 4 beskriver det systemtekniske sikkerhetskonseptet. Kapittel 5 beskriver tilhørende systemtekniske sikkerhetskrav. 2 Introduksjon Denne seksjonen gir en kort introduksjon til noen sentrale begreper som omhandles senere i dokumentet. 2.1 Partisjonert operasjonsmåte Partisjonert operasjonsmåte kjennetegnes ved at: Alle brukere har klarering for høyeste gradering som behandles 1 Ikke alle brukere er autoriserte for alle graderinger 2 Tilgang til data reguleres iht brukeres autorisasjon og tjenestelige behov Systemet, inkludert applikasjoner, beskyttes mot endringer og manipulasjon fra brukere uten administrative rettigheter Sikkerhetsrelevante hendelser registreres slik at evt sikkerhetsbrudd kan avsløres og skadeomfang og individuelt ansvar kan beregnes Partisjonerte systemer beskytter data iht brukeres autorisasjon. Forøvrig gjelder retningslinjer for fellesnivå operasjonsmåte. 1 Brukere har enten norsk klarering eller tilsvarende klarering fra en nasjon/organisasjon som Norge har de nødvendige sikkerhetsavtaler med. 2 Ikke-norske brukere vil typisk ikke være autoriserte for norske graderinger. Side 4 av 11

5 2.2 Høye og lave partisjoner En partisjon er en delmengde av systemets data med tilhørende krav til autorisasjon. En partisjon X er høy ift en partisjon Y hvis X krever autorisasjoner som Y ikke krever. Tilsvarende er en partisjon X lav ift en partisjon Y hvis Y krever autorisasjoner som X ikke krever. 2.3 Formålet med partisjonering Hovedhensikten med partisjonert operasjonsmåte er å kunne kontrollere og logge tilgang til data iht autorisasjon. Partisjonert operasjonsmåte skal kunne: Hindre at brukere som et resultat av uhell, skjødesløshet eller tilsiktet handling får tilgang til data som de ikke er autoriserte for. Hindre at autoriserte brukere som et resultat av uhell eller skjødesløshet overfører data til ikke-autoriserte brukere. Fullt ut kunne spore overføringer fra høy til lav partisjon (også innhold). Partisjonert operasjonsmåte prøver bare i beskjeden grad å forhindre at ondsinnede autoriserte brukere overfører data til ikke-autoriserte brukere. Ambisjonene er kun å detektere slike handlinger. Dette er en vesentlig forskjell fra tradisjonell multinivå operasjonsmåte. En annen viktig hensikt med partisjonert operasjonsmåte er å plassere en lav partisjon som en buffer mellom en sensitiv høy partisjon og sårbare eksterne tilknytninger. Inntregninger og aktivering av ulovlig innført programkode (f eks virus og Trojanske hester) vil da ikke direkte påvirke sikkerheten i den høye partisjonen. 2.4 Partisjonering vha fellesnivåfunksjonalitet Fellesnivåfunksjonalitet kan benyttes for å implementere partisjonert operasjonsmåte. Tillitsnivået til partisjonsmekanismer skal da i størst mulig grad tilsvare Common Criteria (CC) EAL4. Hver partisjon betraktes som et fellesnivåsystem. Det kan føres gode argumenter for at fellesnivåfunksjonalitet med CC EAL4 tillit tilfredsstillende kan beskytte data mot tilgang fra ikke-autoriserte brukere særlig når partisjonene separeres av en EAL4- sertifisert brannmur. Utfordringen er heller å kontrollere og logge autoriserte brukeres overføringer mellom partisjoner. Dette vanskeliggjøres ved at vanlig fellesnivåfunksjonalitet tillater at brukere med skrivetilgang til flere partisjoner fritt kan kopiere data mellom partisjonene vha lokale verktøy. I multinivå løses dette problemet vha obligatoriske mekanismer basert på sikkerhetsmerker knyttet til data og graderingskrav knyttet til grensesnitt. I partisjonert operasjonsmåte kompenseres mangel på multinivåfunksjonalitet i overføringsmekanismen ved at det etableres et lite og strengt regulert grensesnitt mellom partisjonene. Grensesnittet kan bare støtte enkel funksjonalitet, så komplekse tjenester/protokoller kan vanskelig spenne over flere partisjoner. Kontrollert flyt mellom partisjoner oppnås ved at: En bruker tildeles ulike brukerkonti i ulike partisjoner Brukerkonti har ikke direkte tilgang til andre partisjoner Overføring av data mellom partisjoner skjer bare via spesielle overføringssoner, dataområder og kopieringsmekanismer som er spesielt tilpasset denne oppgaven For å lykkes i å tvinge overføringer av data mellom partisjoner til å skje via utvalgte og sentralt kontrollerte overføringsmekanismer må alle ukontrollerte grensesnitt mellom partisjoner sperres. Det etableres derfor et partisjoneringskonsept basert på terminaltjenester, der relativt enkle og kontrollerbare terminalklienter på arbeidsstasjonen benyttes for å logge inn på terminalservere i andre partisjoner. Kommunikasjon mellom arbeidsstasjoner og andre partisjoner kan da begrenses til terminalserverprotokoller. Side 5 av 11

6 Brukere kan ikke starte uønskede sesjoner fra arbeidsstasjonen mot andre partisjoner pga brannmuren (f eks oppkobling av nettverksdisker med alternativ brukeridentitet) Kopiering mellom sesjoner vha cut-and-paste i GUI eller via lokale media kan deaktiveres i terminalklientene. Løsningen avhenger av at partisjonens applikasjoner faktisk kan kjøre på terminalserver. Applikasjoner som ikke kan kjøre på terminalserver må kjøres på arbeidsstasjoner som er plassert internt i partisjonen. Servere for høye tjenester (lokale) Brannmur Høy partisjon Terminalservere for høye tjenester Servere for lave tjenester (lokale) Lav partisjon Arbeidsstasjoner Overføringssone Server for filoverføring mellom partisjoner Figur 1 Eksempel på partisjonering av et lokalnett slik at høy partisjon bruker terminaltjenester Figur 1 gir eksempel på hvordan et lokalnett kan partisjoneres i en lav partisjon som bruker arbeidsstasjoner og en høy partisjon som bruker terminalservere. 3 Overføringsmekanismen er filbasert. All kommunikasjon mellom soner/partisjoner går via brannmuren og overføringssonen har tillit til brukerkonti i både høy og lav partisjon, men ikke omvendt. Følgende interaksjon finner sted mellom sonene. 1. Fra sin lave konto på arbeidsstasjonen kan en bruker, i tillegg til å arbeide mot lokale lave tjenester, opprette en terminalklientsesjon mot terminalserver i høy partisjon og logge inn med sin høye konto der. Sistnevnte gir tilgang til applikasjoner og data i høy partisjon. 2. Fra sin høye konto på terminalserver kan brukeren hhv lese og skrive data på en nettverksdisk knyttet til overføringsmekanismen. 3. Fra sin lave konto på arbeidsstasjonen kan brukeren hhv lese og skrive data på en nettverksdisk knyttet til overføringsmekanismen. Overføringsmekanismen vil utføre nødvendig kontroll og logging av data som overføres. Typisk vil deler av overføringsmekanismer for partisjonert operasjonsmåte måtte spesialutvikles, da all påkrevd funksjonalitet normalt ikke finnes i fellesnivåsystemer. NSM godkjenner i utgangspunktet bare overføringsmekanismer som benytter filbaserte teknikker, da disse er relativt enkle å utvikle, administrere og godkjenne. Gjenbruk av allerede etablerte løsninger vil sterkt kunne forenkle og fremskynde godkjenningsarbeidet. Brukere møter overføringsmekanismen som et overføringsvindu på høyt og lavt skrivebord (begge skrivebord er tilgjengelig på samme skjerm). En bruker overfører filer mellom partisjoner/skrivebord 3 Plassering av partisjoner kan selvfølgelig byttes om. Side 6 av 11

7 ved å slipper filer i overføringsvinduet på det ene skrivebordet slik at filene «overføres» til motsvarende overføringsvindu på det andre skrivebordet. Overføringsmekanismen bør være slik at overføring iverksettes straks brukeren slipper filen(e). Et viktig bidrag fra systemeier ifm partisjonering er å fordele brukernes arbeidsoppgaver på de ulike partisjonene på en slik måte at behovet for overføringer reduseres til et minimum. En uhensiktsmessig fordeling av oppgaver på tvers av partisjoner vil sterkt bidra til å undergrave brukervennligheten og effektiviteten til løsningen. I større systemer med et intranett som knytter sammen lokalnett, kan en partisjon basert på terminaltjenester være: Sentralisert og tilgjengelig for utvalgte lokalnett Lokal for ett lokalnett En slik partisjon bør fortrinnsvis plasseres i et fåtall sentrale sikkerhetssoner fremfor mange lokale sikkerhetssoner, da sistnevnte gir mange brannmurer og krevende administrasjon. Sammenkobling av flere sikkerhetssoner som tilhører samme partisjon i et slags «partisjonert» intranett medfører dessuten krav om separasjon fra intranettkomponenter som tilhører andre partisjoner. 2.5 Anvendelser Partisjonert operasjonsmåte har i utgangspunktet to anvendelser: Partisjonering av HEMMELIG og NATO SECRET Partisjonering av lavgradert og ugradert NSM er godkjenningsmyndighet for partisjonerte systemer Partisjonering av HEMMELIG og NATO SECRET Partisjonert operasjonsmåte kan benyttes av systemer som har NATO-brukere og samtidig skal behandle norsk HEMMELIG informasjon som ikke er frigitt til NATO. Systemet får to partisjoner: Norsk (høy) partisjon: Brukere har norsk HEMMELIG klarering samt autorisasjon for HEMMELIG og NATO SECRET. Partisjonen inneholder data som krever norsk HEMME- LIG klarering og autorisasjon. Partisjonen kan også inneholde NATO-data som er direkte relatert til arbeid med partisjonens nasjonale data. NATO (lav) partisjon: Brukere har HEMMELIG klarering fra annet NATO-land samt autorisasjon for NATO SECRET. Partisjon inneholder bare data som krever NATO autorisasjon. Det forventes et relativt lite volum på overføringene mellom partisjonene, da NATO-data fortrinnsvis lagres og bearbeides i NATO-partisjonen. Norsk personell bruker sin konto i NATO-partisjonen for interaksjon med NATO-personell. Norsk informasjon som frigis til NATO skal samtidig overføres fra norsk partisjon til NATO-partisjonen. Dokumentene sikres der tilsvarende som NATO SECRET. Regler for merking og registrering av HEMMELIGE dokumenter som frigis til NATO gjelder fullt ut i partisjonert operasjonsmåte. Personell uten norsk HEMMELIG klarering kan være systemadministratorer i NATO-partisjoner dersom NSM finner at dette ikke svekker partisjoneringen Partisjonering av lavgradert og ugradert Partisjonert operasjonsmåte kan også benyttes av systemer som behandler gradert innformasjon som ikke krever klarering og som har ugradert tilknytning til systemer som ikke er godkjente for gradert databehandling (f eks Internet eller kommersielle tjenestetilbydere). Systemet får to partisjoner: Side 7 av 11

8 GRADERT (høy) partisjon: Brukere har avgitt taushetserklæring. Partisjonen inneholder graderte data som ikke krever klarering, dvs BEGRENSET, FORTROLIG, NATO RE- STRICTED og NATO UNCLASSIFIED. Partisjonen kan også inneholde sensitive ugraderte data, samt tiltrodde ugraderte data importert fra ugradert partisjon. UGRADERT 4 (lav) partisjon: Brukere har avgitt taushetserklæring. Partisjonen inneholder ugraderte data og data importert fra lite tiltrodde eller ukjente kilder. Partisjonen kan også inneholde data som er gradert NATO UNCLASSIFIED og eksplisitt tillatt overført ukryptert i åpne nettverk (merket «NATO UNCLASSIFIED Releasable for Internet Transmission»). Det forventes normalt et lite til moderat volum på overføringene mellom partisjonene, da bare Internetrelaterte data i hovedsak lagres og bearbeides i ugradert (lav) partisjon. Systemer som utveksler store mengder ugraderte data med tiltrodde partnere over Internet får relativt stort volum på overføringene mellom partisjonene når utvekslede data bearbeides i gradert (høy) partisjon. Sikring av eksterne tilknytninger fra ugradert partisjon dekkes ikke av denne veiledningen, men et vesentlig poeng med partisjonert operasjonsmåte er at bare konti i ugradert partisjon har interaksjon med disse systemene. Brukere må nøye vurdere om importerte data kan inneholde uønsket programkode eller trojanske hester før de initierer overføring av slike data fra ugradert til gradert partisjon. 3 Sikkerhetsdokumentasjon Sikkerhetsdokumentasjon for partisjonert operasjonsmåte har samme mal som sikkerhetsdokumentasjon for fellesnivå operasjonsmåte. 3.1 KSS systemteknisk sikkerhet Systemteknisk KSS for partisjonert operasjonsmåte blir et tillegg til systemets eksisterende KSS for fellesnivå operasjonsmåte. 3.2 Brukerinstruks systemteknisk sikkerhet «Brukerinstruks systemteknisk sikkerhet» for partisjonert operasjonsmåte blir et tillegg til systemets eksisterende brukerinstruks for fellesnivå operasjonsmåte 3.3 Driftsinstruks systemteknisk sikkerhet «Driftsinstruks systemteknisk sikkerhet» for partisjonert operasjonsmåte blir et tillegg til systemets eksisterende driftsinstruks for fellesnivå operasjonsmåte 4 Sikkerhetskonsept Det systemtekniske sikkerhetskonseptet setter rammer for og skisserer de viktigste trekkene ved den ønskede systemtekniske sikkerhetsløsningen. Unntak fra konseptet skal dokumenteres i systemets systemtekniske KSS og inngå i systemets risikovurdering. Kompenserende tiltak kan være påkrevd for å bringe risiko for sikkerhetsbrudd ned på et akseptabelt nivå. 4.1 Operasjonsmåte a. Det totale systemet skal ha partisjonert operasjonsmåte. b. Hver partisjon skal ha fellesnivå operasjonsmåte. 4 Selv om lav partisjon her betegnes som «UGRADERT» skal hele det partisjonerte systemet beskyttes som for BEGREN- SET inkludert utstyr i lav partisjon som ikke har interaksjon med høy partisjon. Hensikten med lavgradert partisjonert operasjonsmåte er å tillate tilknytning til ikke-godkjente systemer, ikke å unnta utstyr i lav partisjon fra krav om beskyttelse. Side 8 av 11

9 4.2 Eksterne forbindelser Eksterne forbindelser er ikke dekket av dette dokumentet. 4.3 Designprinsipper I tillegg til prinsippene for fellesnivå operasjonsmåte gjelder at hver partisjon er selvbeskyttende. 5 Sikkerhetskrav Påfølgende krav gjelder kun selve partisjoneringen. Unntak fra kravene skal dokumenteres i systemets systemtekniske KSS og inngå i systemets risikovurdering. Kompenserende tiltak kan være påkrevd for å bringe risiko for sikkerhetsbrudd ned på et akseptabelt nivå. 5.1 Systemdesign Sikkerhetssoner a. Komponenter for en partisjon skal plasseres i sikkerhetssoner øremerket partisjonen. 5 b. Komponenter for overføring mellom partisjoner skal plasseres i sikkerhetssoner øremerket overføring. c. Sikkerhetssonene skal være selvbeskyttende og separeres av brannmurer Overføring av data mellom partisjoner a. Dataområder for overføring mellom partisjoner skal være personlige. b. Overføringsområdene skal være tydelig adskilt fra andre områder. c. Brukere skal ikke ha tilgang til andre mekanismer/dataområder for overføring mellom partisjoner (f eks vha GUI eller lokal lagring på arbeidsstasjon). d. Overføringer mellom partisjoner skal bare kunne initieres av avsender (push). e. Brukere skal bare kunne overføre data mellom egne brukerkonti (overføringsmekanismen skal ikke også måtte håndtere tilgang iht tjenestelige behov). f. Overføringsmekanismen skal avkreve en interaktiv bekreftelse fra bruker før overføring fra høy til lav partisjon iverksettes. g. Overføringsmekanismen skal verifisere at brukerdata er tilfredsstillende merket for frigivelse før overføring fra høy til lav partisjon iverksettes Autentisitet Partisjonsspesifikke brukerkonti Partisjoner skal ha egne brukerkonti og brukergrupper Kontonavn a. Kontonavn skal være unike på tvers av partisjoner. b. Kontonavn skal tydelig indikerer partisjonstilhørighet (f eks vha et prefiks). 5 Arbeidsstasjoner er naturligvis unntatt dette kravet. 6 Her kreves ikke formelle sikkerhetsmerker. Det kan f eks kreves at dokumenter skal inneholde en spesifikk tekststreng i et bestemt format for å signalere at dokumentet er frigitt. Side 9 av 11

10 5.2.3 Tillit a. Partisjoner skal ikke ha tillit til hverandres konti. b. Overføringsmekanismen skal ha tillit til involverte partisjoners konti, men ikke omvendt. 5.3 Konfidensialitet Tilgang til partisjoner Bare autorisere brukere skal kunne lese data i en partisjon Tilgang til overføringsområder mellom partisjoner Bare eier av et personlig overføringsområde mellom partisjoner skal kunne lese data i området Kryptering av data Data tilhørende en partisjon skal (dobbel)krypteres ved overføring i nettverkssegmenter som deles med ikke-autoriserte brukere Integritet Tilgang til partisjoner Bare autorisere brukere skal kunne modifisere data i en partisjon Tilgang til overføringsområder mellom partisjoner Bare eier av et personlig overføringsområde mellom partisjoner skal kunne skrive data i området Inntrengningsdeteksjon Datasystemer med eksterne tilknytninger til ikke-godkjente systemer skal ha verktøy for inntrengningsdeteksjon på brannmurer mellom partisjoner. 5.5 Tilgjengelighet Tilgang til partisjoner Bare autorisere brukere skal kunne slette data i en partisjon Tilgang til overføringsområder mellom partisjoner a. Bare eier av et personlig overføringsområde mellom partisjoner skal kunne slette data i området. b. Data i personlige overføringsområder skal automatisk slettes av overføringsmekanismen senest ett døgn etter overføringen ble initiert. 7 F eks (i) kryptering av trafikk mellom høye terminaltjenere og arbeidsstasjoner i lavt lokalnett og (ii) egne VPN for intranettrafikk mellom høye sikkerhetssoner når intranettkomponenter deles med lavere sikkerhetssoner. 8 Selve overføringsmekanismen har naturligvis også nødvendig tilgang til overføringsområdet. Side 10 av 11

11 5.6 Ansvarlighet Overføring av data mellom partisjoner a. Systemet skal alltid logge overføringer mellom partisjoner. b. Systemet skal alltid logge innholdet i overføringer fra høy til lav partisjon Rapport om overføringer til lav partisjon Brukere skal regelmessig informeres om overføring de har gjort fra høy til lav partisjon, bl a skal det informeres om overføringsmåte, tidspunkt, dokumentnavn og dokumentstørrelse. 6 Dokumenthistorie Presisering av krav om beskyttelse av hele systemet. Se fotnote til beskrivelse av UGRADERT (lav) partisjon (avsnitt 2.5.2) La på ny dokumentmal. Side 11 av 11

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-25: Utarbeidelse av driftsinstruks Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag-

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-10: Gjennomføring av konfigurasjonskontroll Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-26: Utarbeidelse av brukerinstruks Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag-

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-12-12 Veiledning i grunnleggende sikkerhetsarkitektur og -funksjonalitet for FELLESNIVÅ operasjonsmåte Dette dokumentet veileder om krav som

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 14 (U-14) Oppdatert: 2016-09-30 Transport Layer Security (TLS) Sikring av kommunikasjon med TLS Beskrivelse av grunnleggende tiltak for sikring

Detaljer

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

Veiledning i planlegging av graderte informasjonssystemer

Veiledning i planlegging av graderte informasjonssystemer Veiledning Sist oppdatert: 2016-03-09 Veiledning i planlegging av graderte informasjonssystemer 1 av 16 er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjeneste i Norge og forvalter

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 7 (U-07) Oppdatert: 2015-10-08 Windows Grunnsikring av Office 2013 Ved bruk av Security Compliance Manager (SCM) sikkerhetsbaseliner Dette dokumentet

Detaljer

Brukerinstruks. OntrackEraser Versjon 3.0. Ibas AS

Brukerinstruks. OntrackEraser Versjon 3.0. Ibas AS Brukerinstruks For datasletting med OntrackEraser Versjon 3.0 fra Ibas AS Dokkumentversjon 0.3 S I D E 1 Dokumentlogg Dato Type Versjon Endring Gjennomgang/Godkjenning 27.12.2007 Utkast 0.1 NSM (gjennomgang)

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 6 (U-06) Oppdatert: 2015-10-08 Windows Grunnsikring av Windows 7 SP1 Ved bruk av Security Compliance Manager (SCM) sikkerhetsbaseliner Dette dokumentet

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2010-12-16 Veiledning for sikkerhetsgraderte anskaffelser Fastsatt av Nasjonal sikkerhetsmyndighet med hjemmel i lov av 20. mars 1998 om forebyggende

Detaljer

Brukermanual for Blancco Data Cleaner+ 4.5

Brukermanual for Blancco Data Cleaner+ 4.5 Brukermanual for Blancco Data Cleaner+ 4.5 11.12.2006 Dokument versjon: 1.2 B U Y S E C A S D Y R M Y R G T 47, 3611 KONGSBER G S I D E 1 Dokumentlogg Dato Type Versjon Endring Gjennomgang/Godkjenning

Detaljer

RHF og HF omfattes av sikkerhetsloven

RHF og HF omfattes av sikkerhetsloven Helse Sør-Øst RHF Gode og likeverdige helsetjenester til alle som trenger det, når de trenger det, uavhengig av alder, bosted, etnisk bakgrunn, kjønn og økonomi. RHF og HF omfattes av sikkerhetsloven Oppfølging

Detaljer

Rapportering av sikkerhetstruende hendelser til NSM

Rapportering av sikkerhetstruende hendelser til NSM (NSM) Rundskriv 1/11 Rapportering av sikkerhetstruende hendelser til NSM 1 Bakgrunn og hensikt Dette rundskrivet omhandler sikkerhetstruende hendelser som virksomheter underlagt sikkerhetsloven plikter

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2010-02-25 Veiledning i informasjonssikkerhet Merking av sikkerhetsgradert informasjon og informasjonssystemer Denne veiledningen er ment å være

Detaljer

Sikkerhetsmessig verdivurdering

Sikkerhetsmessig verdivurdering For DECRIS 12 juni 2008 Sikkerhetsmessig verdivurdering Stein Henriksen Stab Navn Navnesen stein.henriksen@nsm.stat.no Avdeling www.nsm.stat.no navn.navnesen@nsm.stat.no www.nsm.stat.no 1 Nasjonal sikkerhetsmyndighet

Detaljer

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften Vår saksbehandler Simon Kiil Vår dato Vår referanse 2013-09-10 A03 - S:13/02202-5 Deres dato Deres referanse 2013-06-11 13/1249 Antall vedlegg Side 1 av 5 Fornyings-, administrasjonskirkedepartementet

Detaljer

Kryptoløsninger I Hjemmekontor Og Mobile Klienter

Kryptoløsninger I Hjemmekontor Og Mobile Klienter Kryptoløsninger I Hjemmekontor Og Mobile Klienter Norsk kryptoseminar 2002. Trondheim 17-18 oktober. Anders Paulshus, forsker ved seksjon for teknisk krypto apaulshus@mil.no FO / Sikkerhetsstaben Nasjonal

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2011-09-07 Sikring mot avlytting Veiledning til forskrift om informasjonssikkerhet Forskrift om informasjonssikkerhet stiller krav til forebyggende

Detaljer

Kan du holde på en hemmelighet?

Kan du holde på en hemmelighet? Kan du holde på en hemmelighet? Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Hvis vi ser på Norge som en eiendom passer NSM på gjerdene, E-tjenesten følger med på dem som er utenfor gjerdet, og PST

Detaljer

Sikring av industrielle automatiserte kontrollsystemer

Sikring av industrielle automatiserte kontrollsystemer Veiledning Sist oppdatert: 2014-03-26 Sikring av industrielle automatiserte kontrollsystemer 1 av 11 2014-03-26 A03 - G:14/687 01 (NSM) er et direktorat for forebyggende sikkerhetstjeneste. NSM skal innen

Detaljer

Beskrivelse av informasjonssystemet

Beskrivelse av informasjonssystemet Beskrivelse av informasjonssystemet Side 1 av 5 Beskrivelse av informasjonssystemet NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

Slik stoppes de fleste dataangrepene

Slik stoppes de fleste dataangrepene Slik stoppes de fleste dataangrepene Oktober 2014, Nasjonal sikkerhetsmåned John Bothner Avdeling for Teknologi Nasjonal sikkerhetsmyndighet 1 Agenda 1. De mest populære sikkerhetstiltakene er lite effektive

Detaljer

NSMs kryptoaktiviteter

NSMs kryptoaktiviteter NSMs kryptoaktiviteter Norsk kryptoseminar 2007 Terje Jensen Seksjon for kryptoteknologi terje.jensen@nsm.stat.no www.nsm.stat.no Norwegian National Security Authority Making Society Secure 20. november,

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

God IT-skikk. - Informasjonssikkerhet i Norsvin -

God IT-skikk. - Informasjonssikkerhet i Norsvin - God IT-skikk - Informasjonssikkerhet i Norsvin - 1 God IT-skikk i Norsvin Norsvin er en bedrift hvor Informasjonsteknologi (IT) benyttes i stor grad. Utstyr som behandler bedriftens informasjon skal være

Detaljer

Technical Integration Architecture Teknisk integrasjonsarkitektur

Technical Integration Architecture Teknisk integrasjonsarkitektur Kap. 6 Technical Integration Architecture Studentpresentasjon av Cato Haukeland Oversikt Introduksjon -spesifikasjon Krav Beskrivelse Servicenivå Sikkerhet Plan Best practices Introduksjon Masterdokument

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Lov av i kraft

Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Lov av i kraft Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Lov av 20.03.1998 i kraft 01.07.2001 1 Lovens formål Formålet med loven er å: a) legge forholdene til rette for effektivt å kunne motvirke trusler

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Veiledning i risiko- og sårbarhetsanalyse

Veiledning i risiko- og sårbarhetsanalyse Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-12-05 Veiledning i risiko- og sårbarhetsanalyse Del I i denne veiledningen beskriver risikohåndtering som en kontinuerlig forbedringsprosess.

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Forskriftsspeil forskriftsutkast gjeldende kravforskrift

Forskriftsspeil forskriftsutkast gjeldende kravforskrift Forskriftsspeil forskriftsutkast gjeldende kravforskrift Forskriftsutkast Gjeldende kravforskrift Kommentarer Kapittel 1. Innledende bestemmelser 1-1. Formål 1-2. Virkeområde første ledd 1-1 første ledd

Detaljer

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og

Detaljer

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder HØRINGSNOTAT Høring av forslag til nye eller reviderte forvaltningsstandarder Dato for utsendelse 23.01.17 Behandles i Standardiseringsrådet 22.03.17 Frist for høringssvar 27.02.17 Implementeres i referansekatalogen

Detaljer

Sikkerhet og informasjonssystemer

Sikkerhet og informasjonssystemer Sikkerhet og informasjonssystemer IFEA 19.10.2011 Datasikkerhet i industri og offentlig infrastruktur. Helge Rager Furuseth seniorrådgiver, siv.ing. Avdeling for sikkerhetsforvaltning Nasjonal sikkerhetsmyndighet

Detaljer

Tekniske krav til portal med publiseringsløsning (fase 1)

Tekniske krav til portal med publiseringsløsning (fase 1) Avdeling for strategi og helsefag UTVIKLING AV IT-LØSNING: FJERNBASERT BEHANDLING FOR SPILLEAVHENGIGE SAK NR 200700210 VEDLEGG A2 TIL KONKURRANSEGRUNNLAG TEKNISKE OG SIKKERHETSMESSIGE KRAV Innledning og

Detaljer

IKT-sårbarhetsbildet Hvor trykker sikkerhetsskoen. Sjefingeniør Jørgen Botnan Nasjonal sikkerhetsmyndighet pentest@nsm.stat.no

IKT-sårbarhetsbildet Hvor trykker sikkerhetsskoen. Sjefingeniør Jørgen Botnan Nasjonal sikkerhetsmyndighet pentest@nsm.stat.no IKT-sårbarhetsbildet Hvor trykker sikkerhetsskoen Sjefingeniør Jørgen Botnan Nasjonal sikkerhetsmyndighet pentest@nsm.stat.no Sikkerhetskonferansen 2014 Hvem og hva er vi? Seksjon for inntrengingstesting

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Veileder i sikkerhetsarkitektur. For virksomheter som behandler personopplysninger og sensitive personopplysninger. August 2011

Veileder i sikkerhetsarkitektur. For virksomheter som behandler personopplysninger og sensitive personopplysninger. August 2011 Veileder i sikkerhetsarkitektur For virksomheter som behandler personopplysninger og sensitive personopplysninger. August 2011 Innhold Innledning... 3 Krav i regelverket... 5 Hva er informasjonssikkerhet?...

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

SIKKERHETSAVTALE. esaf/doculivenummer: xxxxxxxxxxx. Inngått dato. mellom

SIKKERHETSAVTALE. esaf/doculivenummer: xxxxxxxxxxx. Inngått dato. mellom SIKKERHETSAVTALE esaf/doculivenummer: xxxxxxxxxxx Inngått dato mellom Forsvaret, ved Forsvarets logistikkorganisasjon som anskaffelsesmyndighet og Navn på leverandør Organisasjonsnr: Besøksadresse Postboksadresse

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2010-07-01 Sikkerhetsadministrasjon Veiledning til bestemmelser om sikkerhetsstyring i sikkerhetsloven med forskrifter. Dette dokumentet veileder

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 5 (U-05) Oppdatert: 2015-10-08 Windows Grunnsikring av Windows Server 2012 Ved bruk av Security Compliance Manager (SCM) sikkerhetsbaseliner Dette

Detaljer

2.13 Sikkerhet ved anskaffelse

2.13 Sikkerhet ved anskaffelse 2.13 Sikkerhet ved anskaffelse Gjennomføringsansvar: Alle som gjennomfører IT-anskaffelser i Midt-Telemarkkommunene kan bruke denne prosedyren som rettesnor. Hensikten med denne planen er: Danne grunnlag

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Vår ref.: 16/ Postadresse: 1478 LØRENSKOG Telefon: Sak 100/16 Oppfølging av sikkerhetsloven ved Akershus universitetssykehus HF

Vår ref.: 16/ Postadresse: 1478 LØRENSKOG Telefon: Sak 100/16 Oppfølging av sikkerhetsloven ved Akershus universitetssykehus HF Styresak Dato dok.: 01.12.2016 Administrerende direktør Møtedato: 14.12.2016 Vår ref.: 16/04208-7 Postadresse: 1478 LØRENSKOG Telefon: +47 02900 Vedlegg: 1. Instruks for sikkerhetsleder 2. Instruks for

Detaljer

Digitale eller trykte utgaver av håndboken kan i sin helhet distribueres fritt til alle brukere av EPiServer CMS.

Digitale eller trykte utgaver av håndboken kan i sin helhet distribueres fritt til alle brukere av EPiServer CMS. Copyright Denne håndboken er beskyttet av opphavsrettsloven. Endring av innhold eller delvis kopiering av innhold er ikke tillatt uten tillatelse fra opphavsrettsinnehaveren.. Digitale eller trykte utgaver

Detaljer

Hvilken rolle spiller sikkerhetspolicy for UUS? Heidi Thorstensen IKT-sikkerhetssjef/Personvernombud

Hvilken rolle spiller sikkerhetspolicy for UUS? Heidi Thorstensen IKT-sikkerhetssjef/Personvernombud Hvilken rolle spiller sikkerhetspolicy for UUS? Heidi Thorstensen IKT-sikkerhetssjef/Personvernombud Hva slags opplysninger håndteres? Sykehuset har store mengder svært sensitive personopplysninger om

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 10 (U-10) Oppdatert: 2016-03-14 Windows Grunnsikring av Windows Server 2012 R2 Ved bruk av Security Compliance Manager (SCM) sikkerhetsbaseliner

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser Motiv: Oslofjorden Foto: Vann- og avløpsetaten Informasjon om sikkerhetsgraderte anskaffelser Vedlegg til sikkerhetsgraderte anskaffelser Innhold 1 Generelt... 2 2 Sikkerhetsavtale... 2 2.1.1 Generelt...

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker

Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker Erlend Dyrnes NextGenTel AS Tekna 30.03.2011 Mobilt bredbånd - LTE - WiMAX 1 Om presentasjonen Introduksjon

Detaljer

Brukerutvalg 28. oktober 2015

Brukerutvalg 28. oktober 2015 Brukerutvalg 28. oktober 2015 André Hoddevik Avdeling for offentlige anskaffelser Seksjon for teknologi og støttesystemer Digitalisering av anskaffelser En forutsetning for forenkling både for kjøpere

Detaljer

FIRE EFFEKTIVE TILTAK MOT DATAANGREP

FIRE EFFEKTIVE TILTAK MOT DATAANGREP FIRE EFFEKTIVE TILTAK MOT DATAANGREP Olav Ligaarden Nasjonal sikkerhetsmyndighet Offentlig seminar SINTEF, Oslo 2016-01-22 SLIDE 1 Innhold Motivasjon Fire effektive, enkle og viktige tiltak Tre andre enkle

Detaljer

Bredbånd og pc Brukerveiledning. Dette er en utdatert brukerveiledning som kan omhandle utgåtte tjenester og utstyr

Bredbånd og pc Brukerveiledning. Dette er en utdatert brukerveiledning som kan omhandle utgåtte tjenester og utstyr Bredbånd og pc Brukerveiledning Dette er en utdatert brukerveiledning som kan omhandle utgåtte tjenester og utstyr 1 Klar 2 Tips 3 Oppkobling 4 Koble 5 Koble 6 Opprette 7 Sikkerhet for Altibox fra Lyse?

Detaljer

SIKKERHETSINSTRUKS - Informasjonssikkerhet

SIKKERHETSINSTRUKS - Informasjonssikkerhet SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI Asylavdelingen (ASA) i UDI forbereder seg til høsten 2010 der avdelingen skal begynne med fullelektronisk saksbehandling (esak). UDI har innført en løsning

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

INF329,HØST

INF329,HØST TTHROUGH THROUGH THE FIREWALL KAPITTEL 16 BUILDING SECURE SOFTWARE INF329,HØST 2005 Isabel Maldonado st10900@student.uib.no 1 Innledning Kort om firewall Hva er det som foresaker at en brannmur blokkerer

Detaljer

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

SIKKERHETSGRADERTE ANSKAFFELSER

SIKKERHETSGRADERTE ANSKAFFELSER SIKKERHETSGRADERTE ANSKAFFELSER Sikkerhetskonferansen 2015 Anders Aarø Dahl Avdeling for sikkerhetsstyring www.nsm.stat.no SLIDE 1 Du store verden så liten den har blitt SLIDE 2 AGENDA SLIDE 3 AGENDA SLIDE

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2009-04-14 Veiledning i verdivurdering Dette er et grunnleggende prinsipp i vårt demokrati å tilstrebe mest mulig åpenhet i forvaltningen, og i utgangspunktet

Detaljer

Overordnet beskrivelse av de viktigste områdene et IAM-system skal hjelpe oss med.

Overordnet beskrivelse av de viktigste områdene et IAM-system skal hjelpe oss med. 1 Overordnet beskrivelse av de viktigste områdene et IAM-system skal hjelpe oss med. Vi skal anskaffe en standard hyllevare med et «standard» innføringsprosjekt for å ta løsningen i bruk i vår organisasjon.

Detaljer

Direktiv Krav til sikkerhetsstyring i Forsvaret

Direktiv Krav til sikkerhetsstyring i Forsvaret Direktiv Krav til sikkerhetsstyring i Forsvaret Forsvarssjefen fastsetter Direktiv Krav til sikkerhetsstyring i Forsvaret til bruk i Forsvaret Oslo, 10. desember 2010 Harald Sunde General Forsvarssjef

Detaljer

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON Retningslinjer for ansattes bruk av IKT-tjenester RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON Vedlagt vil du finne Retningslinjer for ansattes bruk av IKT-tjenester. Retningslinjer for

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

TI TILTAK FOR BESKYTTELSE AV DATAMASKINER

TI TILTAK FOR BESKYTTELSE AV DATAMASKINER TI TILTAK FOR BESKYTTELSE AV DATAMASKINER 2015-03 NSMs Sikkerhetskonferanse John Bothner Avdeling for Teknologi Nasjonal sikkerhetsmyndighet SLIDE 1 NASJONAL SIKKERHETSMYNDIGHET TRUSLER OG VERDIER Tiltak:

Detaljer

Brukerveiledning K-Link for Windows 9.00

Brukerveiledning K-Link for Windows 9.00 K-Link for Windows 9.00 Dersom du har spørsmål, ring Brukerstøtte Bedrift på telefon 6002, valg 3 Fra utlandet:+47 915 06002. Overførsel Utland +47 22 48 64 70 INNHOLD PÅLOGGING TIL K-LINK FOR WINDOWS...

Detaljer

Sikkerhet i Pindena Påmeldingssystem

Sikkerhet i Pindena Påmeldingssystem Sikkerhet i Pindena Påmeldingssystem Versjon: 4.2.0 Oppdatert: 30.08.2017 Sikkerhet i Pindena Påmeldingssystem 2 Innhold Om dokumentet 3 Sikkerhet på klientsiden 3 Sikkerhetstiltak i koden 3 Rollesikkerhet

Detaljer

Bilag 3: Beskrivelse av det som skal driftes

Bilag 3: Beskrivelse av det som skal driftes Bilag 3: Beskrivelse av det som skal driftes 1 Innledning I dette bilaget beskrives arkitektur og systemlandskap for Visma Flyt PPT. 2 Visma Flyt Plattform Visma Flyt PPT er bygget på Vismas Flyt Plattform

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugraderte systemer nr. 16 (U-16). Oppdatert: 2016-10-13 Universal 2nd Factor (U2F) Brukerautentisering mot nettsteder Hvordan oppnå tilfredsstillende autentisering

Detaljer

eforum: drøfting av Seid leveranse 2

eforum: drøfting av Seid leveranse 2 eforum: drøfting av Seid leveranse 2 16. februar 2006 John Bothner Teknisk Avdeling john.bothner@nsm.stat.no www.nsm.stat.no Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1 Agenda Kort om NSM Om Seid

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster? BYOD Bring Your Own Disaster? SUHS-13 Per Arne Enstad, CISA/CISM/CRISC BYOD eller ikke BYOD? BYOD har en del positive trekk som ikke kan overses: Gartner Group antyder en kostnadsbesparelse på 9-40% hvis

Detaljer

Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang.

Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang. Haraldsplass DIAKONALE SYKEHUS Bergen Diakon isse k j em Datatilsynet Postboks 8177 Dep 0034 Oslo Deres ref: 12/00302-1 /HVE Vår ref: Bergen, 13.04.2012 Svar på varsel om vedtak - Uautorisert uthenting

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE

SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE John Bothner & Olav Ligaarden Nasjonal sikkerhetsmyndighet Sikkerhetskonferansen 2017 Oslo Kongressenter 28 29.03.2017 SLIDE 1

Detaljer

INF130 Databehandling og analyse

INF130 Databehandling og analyse 28.01.15 INF130 Databehandling og analyse Introduksjon Knut Kvaal 28.01.15 1.1 Administrasjon Gruppearbeid og øvinger Du skal registere deg for gruppe etc https://docs.google.com/spreadsheets/d/1n4vqedksrkflh6273wk5zqd852me_mtshunh6dfzzma/edit?usp=sharing

Detaljer

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02 Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr:

Detaljer