Nasjonal sikkerhetsmyndighet

Transkript

1 Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: Veiledning i grunnleggende sikkerhetsarkitektur og -funksjonalitet for PARTISJONERT operasjonsmåte Dette dokumentet veileder om krav som Forskrift om informasjonssikkerhet stiller til systemteknisk sikkerhet i partisjonerte datasystemer uten tilknytning til andre systemer. Kravene adresserer sikkerhet i operativsystemer og basistjenester.

2 Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjeneste i Norge og forvalter lov om forebyggende sikkerhet av 20 mars Hensikten med forebyggende sikkerhet er å motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, primært spionasje, sabotasje og terrorhandlinger. Forebyggende sikkerhetstiltak skal ikke være mer inngripende enn strengt nødvendig, og skal bidra til et robust og sikkert samfunn. Hensikt med veiledning NSM sin veiledningsvirksomhet skal bygge kompetanse og øke sikkerhetsnivået i virksomhetene, gjennom økt motivasjon, evne og vilje til å gjennomføre sikkerhetstiltak. NSM gir jevnlig ut veiledninger til hjelp for implementering av de krav sikkerhetsloven stiller. NSM publiserer også veiledninger innen andre fagområder relatert til forebyggende sikkerhetsarbeid. Postadresse Sivil telefon/telefax Militær telefon/telefaks Internettadresse Postboks / / BÆRUM E-postadresse POSTTERMINAL post@nsm.stat.no Side 2 av 11

3 Innhold 1 Generelt Bakgrunn Målgruppe Formål Innhold Introduksjon Partisjonert operasjonsmåte Høye og lave partisjoner Formålet med partisjonering Partisjonering vha fellesnivåfunksjonalitet Anvendelser Sikkerhetsdokumentasjon KSS systemteknisk sikkerhet Brukerinstruks systemteknisk sikkerhet Driftsinstruks systemteknisk sikkerhet Sikkerhetskonsept Operasjonsmåte Eksterne forbindelser Designprinsipper Sikkerhetskrav Systemdesign Autentisitet Konfidensialitet Integritet Tilgjengelighet Ansvarlighet Dokumenthistorie Generelt Dette dokumentet veileder om krav som Forskrift om informasjonssikkerhet stiller til systemteknisk sikkerhet i partisjonerte datasystemer uten tilknytning til andre systemer. Kravene adresserer sikkerhet i operativsystemer og basistjenester. For andre operasjonsmåter henvises til Veiledning i grunnleggende sikkerhetsarkitektur og - funksjonalitet for fellesnivå operasjonsmåte (V-FN-01). 1.1 Bakgrunn V-FN-01 beskriver grunnleggende krav til fellesnivå operasjonsmåte, hvor alle brukerne har klarering og autorisasjon for høyeste gradering som behandles i systemet. For systemer med brukere uten full klarering og autorisasjon har det tradisjonelle alternativet vært multinivå operasjonsmåte. Selv om mange produkter for multinivå operasjonsmåte finnes i markedet, er det en oppfatning at disse produktene sammenliknet med produkter for fellesnivå operasjonsmåte ikke leverer ønsket brukerfunksjonalitet og er for krevende mht konfigurasjon, drift og bruk. Dokumentet beskriver konsept og krav for partisjonert operasjonsmåte, som er en av mange mulige operasjonsmåter i grenselandet mellom fellesnivå og fullverdig multinivå. Partisjonert operasjonsmåte tilrettelegger for at nasjonale datasystemer skal kunne støtte et tett samarbeid med våre NATO-partnere, samtidig som sensitive nasjonal informasjon gis nødvendig beskytt- Side 3 av 11

4 else. Målet er at nasjonale brukere på en sikker, effektiv og brukervennlig måte skal kunne behandle både NATO- og nasjonal informasjon på én og samme arbeidsstasjon. Partisjonert operasjonsmåte tilrettelegger tilsvarende for at lavgraderte datasystemer skal kunne knyttes til ikke-godkjente systemer (f eks Internet), samtidig som lavgradert informasjon gis nødvendig beskyttelse. En viktig rettesnor i arbeidet har vært at partisjonerte systemer i størst mulig grad skal kunne implementeres vha produkter for fellesnivå operasjonsmåte og relativt enkelt skal kunne tilføres eksisterende fellesnivåløsninger. Veiledningen baserer seg på V-FN-01 og angir i hovedsak det tillegget som er nødvendig for å oppnå partisjonert operasjonsmåte. Som for fellesnivå, blir systemeiers utfordring i hovedsak å sette sammen hyllevaren til et helhetlig og konsistent system, og å konfigurere og bruke systemet på en sikker måte. 1.2 Målgruppe Målgruppen for dette vedlegget er systemeiere, systemadministratorer, datasikkerhetsledere og annet personell som planlegger, utvikler, administrerer eller godkjenner graderte datasystemer. 1.3 Formål Dokumentet veileder om krav som Forskrift om informasjonssikkerhet stiller til systemteknisk sikkerhet i partisjonerte datasystemer uten tilknytning til andre systemer. Kravene adresserer sikkerhet i basistjenester. Eksterne tilknytninger og tilleggskomponenter, f eks, brannmurer, meldingstjeneste/gruppevare, web og databaser, dekkes ikke av dette dokumentet, men vil dekkes av egne retningslinjer som adresserer særtrekk ved disse utvidelsene; utvidelser av denne type kan dessuten medføre skjerpede retningslinjer for basistjenestene. 1.4 Innhold Kapittel 2 gir en kort introduksjon til noen sentrale begreper som omtales senere i dokumentet. Kapittel 3 beskriver påkrevd systemteknisk sikkerhetsdokumentasjon. Kapittel 4 beskriver det systemtekniske sikkerhetskonseptet. Kapittel 5 beskriver tilhørende systemtekniske sikkerhetskrav. 2 Introduksjon Denne seksjonen gir en kort introduksjon til noen sentrale begreper som omhandles senere i dokumentet. 2.1 Partisjonert operasjonsmåte Partisjonert operasjonsmåte kjennetegnes ved at: Alle brukere har klarering for høyeste gradering som behandles 1 Ikke alle brukere er autoriserte for alle graderinger 2 Tilgang til data reguleres iht brukeres autorisasjon og tjenestelige behov Systemet, inkludert applikasjoner, beskyttes mot endringer og manipulasjon fra brukere uten administrative rettigheter Sikkerhetsrelevante hendelser registreres slik at evt sikkerhetsbrudd kan avsløres og skadeomfang og individuelt ansvar kan beregnes Partisjonerte systemer beskytter data iht brukeres autorisasjon. Forøvrig gjelder retningslinjer for fellesnivå operasjonsmåte. 1 Brukere har enten norsk klarering eller tilsvarende klarering fra en nasjon/organisasjon som Norge har de nødvendige sikkerhetsavtaler med. 2 Ikke-norske brukere vil typisk ikke være autoriserte for norske graderinger. Side 4 av 11

5 2.2 Høye og lave partisjoner En partisjon er en delmengde av systemets data med tilhørende krav til autorisasjon. En partisjon X er høy ift en partisjon Y hvis X krever autorisasjoner som Y ikke krever. Tilsvarende er en partisjon X lav ift en partisjon Y hvis Y krever autorisasjoner som X ikke krever. 2.3 Formålet med partisjonering Hovedhensikten med partisjonert operasjonsmåte er å kunne kontrollere og logge tilgang til data iht autorisasjon. Partisjonert operasjonsmåte skal kunne: Hindre at brukere som et resultat av uhell, skjødesløshet eller tilsiktet handling får tilgang til data som de ikke er autoriserte for. Hindre at autoriserte brukere som et resultat av uhell eller skjødesløshet overfører data til ikke-autoriserte brukere. Fullt ut kunne spore overføringer fra høy til lav partisjon (også innhold). Partisjonert operasjonsmåte prøver bare i beskjeden grad å forhindre at ondsinnede autoriserte brukere overfører data til ikke-autoriserte brukere. Ambisjonene er kun å detektere slike handlinger. Dette er en vesentlig forskjell fra tradisjonell multinivå operasjonsmåte. En annen viktig hensikt med partisjonert operasjonsmåte er å plassere en lav partisjon som en buffer mellom en sensitiv høy partisjon og sårbare eksterne tilknytninger. Inntregninger og aktivering av ulovlig innført programkode (f eks virus og Trojanske hester) vil da ikke direkte påvirke sikkerheten i den høye partisjonen. 2.4 Partisjonering vha fellesnivåfunksjonalitet Fellesnivåfunksjonalitet kan benyttes for å implementere partisjonert operasjonsmåte. Tillitsnivået til partisjonsmekanismer skal da i størst mulig grad tilsvare Common Criteria (CC) EAL4. Hver partisjon betraktes som et fellesnivåsystem. Det kan føres gode argumenter for at fellesnivåfunksjonalitet med CC EAL4 tillit tilfredsstillende kan beskytte data mot tilgang fra ikke-autoriserte brukere særlig når partisjonene separeres av en EAL4- sertifisert brannmur. Utfordringen er heller å kontrollere og logge autoriserte brukeres overføringer mellom partisjoner. Dette vanskeliggjøres ved at vanlig fellesnivåfunksjonalitet tillater at brukere med skrivetilgang til flere partisjoner fritt kan kopiere data mellom partisjonene vha lokale verktøy. I multinivå løses dette problemet vha obligatoriske mekanismer basert på sikkerhetsmerker knyttet til data og graderingskrav knyttet til grensesnitt. I partisjonert operasjonsmåte kompenseres mangel på multinivåfunksjonalitet i overføringsmekanismen ved at det etableres et lite og strengt regulert grensesnitt mellom partisjonene. Grensesnittet kan bare støtte enkel funksjonalitet, så komplekse tjenester/protokoller kan vanskelig spenne over flere partisjoner. Kontrollert flyt mellom partisjoner oppnås ved at: En bruker tildeles ulike brukerkonti i ulike partisjoner Brukerkonti har ikke direkte tilgang til andre partisjoner Overføring av data mellom partisjoner skjer bare via spesielle overføringssoner, dataområder og kopieringsmekanismer som er spesielt tilpasset denne oppgaven For å lykkes i å tvinge overføringer av data mellom partisjoner til å skje via utvalgte og sentralt kontrollerte overføringsmekanismer må alle ukontrollerte grensesnitt mellom partisjoner sperres. Det etableres derfor et partisjoneringskonsept basert på terminaltjenester, der relativt enkle og kontrollerbare terminalklienter på arbeidsstasjonen benyttes for å logge inn på terminalservere i andre partisjoner. Kommunikasjon mellom arbeidsstasjoner og andre partisjoner kan da begrenses til terminalserverprotokoller. Side 5 av 11

6 Brukere kan ikke starte uønskede sesjoner fra arbeidsstasjonen mot andre partisjoner pga brannmuren (f eks oppkobling av nettverksdisker med alternativ brukeridentitet) Kopiering mellom sesjoner vha cut-and-paste i GUI eller via lokale media kan deaktiveres i terminalklientene. Løsningen avhenger av at partisjonens applikasjoner faktisk kan kjøre på terminalserver. Applikasjoner som ikke kan kjøre på terminalserver må kjøres på arbeidsstasjoner som er plassert internt i partisjonen. Servere for høye tjenester (lokale) Brannmur Høy partisjon Terminalservere for høye tjenester Servere for lave tjenester (lokale) Lav partisjon Arbeidsstasjoner Overføringssone Server for filoverføring mellom partisjoner Figur 1 Eksempel på partisjonering av et lokalnett slik at høy partisjon bruker terminaltjenester Figur 1 gir eksempel på hvordan et lokalnett kan partisjoneres i en lav partisjon som bruker arbeidsstasjoner og en høy partisjon som bruker terminalservere. 3 Overføringsmekanismen er filbasert. All kommunikasjon mellom soner/partisjoner går via brannmuren og overføringssonen har tillit til brukerkonti i både høy og lav partisjon, men ikke omvendt. Følgende interaksjon finner sted mellom sonene. 1. Fra sin lave konto på arbeidsstasjonen kan en bruker, i tillegg til å arbeide mot lokale lave tjenester, opprette en terminalklientsesjon mot terminalserver i høy partisjon og logge inn med sin høye konto der. Sistnevnte gir tilgang til applikasjoner og data i høy partisjon. 2. Fra sin høye konto på terminalserver kan brukeren hhv lese og skrive data på en nettverksdisk knyttet til overføringsmekanismen. 3. Fra sin lave konto på arbeidsstasjonen kan brukeren hhv lese og skrive data på en nettverksdisk knyttet til overføringsmekanismen. Overføringsmekanismen vil utføre nødvendig kontroll og logging av data som overføres. Typisk vil deler av overføringsmekanismer for partisjonert operasjonsmåte måtte spesialutvikles, da all påkrevd funksjonalitet normalt ikke finnes i fellesnivåsystemer. NSM godkjenner i utgangspunktet bare overføringsmekanismer som benytter filbaserte teknikker, da disse er relativt enkle å utvikle, administrere og godkjenne. Gjenbruk av allerede etablerte løsninger vil sterkt kunne forenkle og fremskynde godkjenningsarbeidet. Brukere møter overføringsmekanismen som et overføringsvindu på høyt og lavt skrivebord (begge skrivebord er tilgjengelig på samme skjerm). En bruker overfører filer mellom partisjoner/skrivebord 3 Plassering av partisjoner kan selvfølgelig byttes om. Side 6 av 11

7 ved å slipper filer i overføringsvinduet på det ene skrivebordet slik at filene «overføres» til motsvarende overføringsvindu på det andre skrivebordet. Overføringsmekanismen bør være slik at overføring iverksettes straks brukeren slipper filen(e). Et viktig bidrag fra systemeier ifm partisjonering er å fordele brukernes arbeidsoppgaver på de ulike partisjonene på en slik måte at behovet for overføringer reduseres til et minimum. En uhensiktsmessig fordeling av oppgaver på tvers av partisjoner vil sterkt bidra til å undergrave brukervennligheten og effektiviteten til løsningen. I større systemer med et intranett som knytter sammen lokalnett, kan en partisjon basert på terminaltjenester være: Sentralisert og tilgjengelig for utvalgte lokalnett Lokal for ett lokalnett En slik partisjon bør fortrinnsvis plasseres i et fåtall sentrale sikkerhetssoner fremfor mange lokale sikkerhetssoner, da sistnevnte gir mange brannmurer og krevende administrasjon. Sammenkobling av flere sikkerhetssoner som tilhører samme partisjon i et slags «partisjonert» intranett medfører dessuten krav om separasjon fra intranettkomponenter som tilhører andre partisjoner. 2.5 Anvendelser Partisjonert operasjonsmåte har i utgangspunktet to anvendelser: Partisjonering av HEMMELIG og NATO SECRET Partisjonering av lavgradert og ugradert NSM er godkjenningsmyndighet for partisjonerte systemer Partisjonering av HEMMELIG og NATO SECRET Partisjonert operasjonsmåte kan benyttes av systemer som har NATO-brukere og samtidig skal behandle norsk HEMMELIG informasjon som ikke er frigitt til NATO. Systemet får to partisjoner: Norsk (høy) partisjon: Brukere har norsk HEMMELIG klarering samt autorisasjon for HEMMELIG og NATO SECRET. Partisjonen inneholder data som krever norsk HEMME- LIG klarering og autorisasjon. Partisjonen kan også inneholde NATO-data som er direkte relatert til arbeid med partisjonens nasjonale data. NATO (lav) partisjon: Brukere har HEMMELIG klarering fra annet NATO-land samt autorisasjon for NATO SECRET. Partisjon inneholder bare data som krever NATO autorisasjon. Det forventes et relativt lite volum på overføringene mellom partisjonene, da NATO-data fortrinnsvis lagres og bearbeides i NATO-partisjonen. Norsk personell bruker sin konto i NATO-partisjonen for interaksjon med NATO-personell. Norsk informasjon som frigis til NATO skal samtidig overføres fra norsk partisjon til NATO-partisjonen. Dokumentene sikres der tilsvarende som NATO SECRET. Regler for merking og registrering av HEMMELIGE dokumenter som frigis til NATO gjelder fullt ut i partisjonert operasjonsmåte. Personell uten norsk HEMMELIG klarering kan være systemadministratorer i NATO-partisjoner dersom NSM finner at dette ikke svekker partisjoneringen Partisjonering av lavgradert og ugradert Partisjonert operasjonsmåte kan også benyttes av systemer som behandler gradert innformasjon som ikke krever klarering og som har ugradert tilknytning til systemer som ikke er godkjente for gradert databehandling (f eks Internet eller kommersielle tjenestetilbydere). Systemet får to partisjoner: Side 7 av 11

8 GRADERT (høy) partisjon: Brukere har avgitt taushetserklæring. Partisjonen inneholder graderte data som ikke krever klarering, dvs BEGRENSET, FORTROLIG, NATO RE- STRICTED og NATO UNCLASSIFIED. Partisjonen kan også inneholde sensitive ugraderte data, samt tiltrodde ugraderte data importert fra ugradert partisjon. UGRADERT 4 (lav) partisjon: Brukere har avgitt taushetserklæring. Partisjonen inneholder ugraderte data og data importert fra lite tiltrodde eller ukjente kilder. Partisjonen kan også inneholde data som er gradert NATO UNCLASSIFIED og eksplisitt tillatt overført ukryptert i åpne nettverk (merket «NATO UNCLASSIFIED Releasable for Internet Transmission»). Det forventes normalt et lite til moderat volum på overføringene mellom partisjonene, da bare Internetrelaterte data i hovedsak lagres og bearbeides i ugradert (lav) partisjon. Systemer som utveksler store mengder ugraderte data med tiltrodde partnere over Internet får relativt stort volum på overføringene mellom partisjonene når utvekslede data bearbeides i gradert (høy) partisjon. Sikring av eksterne tilknytninger fra ugradert partisjon dekkes ikke av denne veiledningen, men et vesentlig poeng med partisjonert operasjonsmåte er at bare konti i ugradert partisjon har interaksjon med disse systemene. Brukere må nøye vurdere om importerte data kan inneholde uønsket programkode eller trojanske hester før de initierer overføring av slike data fra ugradert til gradert partisjon. 3 Sikkerhetsdokumentasjon Sikkerhetsdokumentasjon for partisjonert operasjonsmåte har samme mal som sikkerhetsdokumentasjon for fellesnivå operasjonsmåte. 3.1 KSS systemteknisk sikkerhet Systemteknisk KSS for partisjonert operasjonsmåte blir et tillegg til systemets eksisterende KSS for fellesnivå operasjonsmåte. 3.2 Brukerinstruks systemteknisk sikkerhet «Brukerinstruks systemteknisk sikkerhet» for partisjonert operasjonsmåte blir et tillegg til systemets eksisterende brukerinstruks for fellesnivå operasjonsmåte 3.3 Driftsinstruks systemteknisk sikkerhet «Driftsinstruks systemteknisk sikkerhet» for partisjonert operasjonsmåte blir et tillegg til systemets eksisterende driftsinstruks for fellesnivå operasjonsmåte 4 Sikkerhetskonsept Det systemtekniske sikkerhetskonseptet setter rammer for og skisserer de viktigste trekkene ved den ønskede systemtekniske sikkerhetsløsningen. Unntak fra konseptet skal dokumenteres i systemets systemtekniske KSS og inngå i systemets risikovurdering. Kompenserende tiltak kan være påkrevd for å bringe risiko for sikkerhetsbrudd ned på et akseptabelt nivå. 4.1 Operasjonsmåte a. Det totale systemet skal ha partisjonert operasjonsmåte. b. Hver partisjon skal ha fellesnivå operasjonsmåte. 4 Selv om lav partisjon her betegnes som «UGRADERT» skal hele det partisjonerte systemet beskyttes som for BEGREN- SET inkludert utstyr i lav partisjon som ikke har interaksjon med høy partisjon. Hensikten med lavgradert partisjonert operasjonsmåte er å tillate tilknytning til ikke-godkjente systemer, ikke å unnta utstyr i lav partisjon fra krav om beskyttelse. Side 8 av 11

9 4.2 Eksterne forbindelser Eksterne forbindelser er ikke dekket av dette dokumentet. 4.3 Designprinsipper I tillegg til prinsippene for fellesnivå operasjonsmåte gjelder at hver partisjon er selvbeskyttende. 5 Sikkerhetskrav Påfølgende krav gjelder kun selve partisjoneringen. Unntak fra kravene skal dokumenteres i systemets systemtekniske KSS og inngå i systemets risikovurdering. Kompenserende tiltak kan være påkrevd for å bringe risiko for sikkerhetsbrudd ned på et akseptabelt nivå. 5.1 Systemdesign Sikkerhetssoner a. Komponenter for en partisjon skal plasseres i sikkerhetssoner øremerket partisjonen. 5 b. Komponenter for overføring mellom partisjoner skal plasseres i sikkerhetssoner øremerket overføring. c. Sikkerhetssonene skal være selvbeskyttende og separeres av brannmurer Overføring av data mellom partisjoner a. Dataområder for overføring mellom partisjoner skal være personlige. b. Overføringsområdene skal være tydelig adskilt fra andre områder. c. Brukere skal ikke ha tilgang til andre mekanismer/dataområder for overføring mellom partisjoner (f eks vha GUI eller lokal lagring på arbeidsstasjon). d. Overføringer mellom partisjoner skal bare kunne initieres av avsender (push). e. Brukere skal bare kunne overføre data mellom egne brukerkonti (overføringsmekanismen skal ikke også måtte håndtere tilgang iht tjenestelige behov). f. Overføringsmekanismen skal avkreve en interaktiv bekreftelse fra bruker før overføring fra høy til lav partisjon iverksettes. g. Overføringsmekanismen skal verifisere at brukerdata er tilfredsstillende merket for frigivelse før overføring fra høy til lav partisjon iverksettes Autentisitet Partisjonsspesifikke brukerkonti Partisjoner skal ha egne brukerkonti og brukergrupper Kontonavn a. Kontonavn skal være unike på tvers av partisjoner. b. Kontonavn skal tydelig indikerer partisjonstilhørighet (f eks vha et prefiks). 5 Arbeidsstasjoner er naturligvis unntatt dette kravet. 6 Her kreves ikke formelle sikkerhetsmerker. Det kan f eks kreves at dokumenter skal inneholde en spesifikk tekststreng i et bestemt format for å signalere at dokumentet er frigitt. Side 9 av 11

10 5.2.3 Tillit a. Partisjoner skal ikke ha tillit til hverandres konti. b. Overføringsmekanismen skal ha tillit til involverte partisjoners konti, men ikke omvendt. 5.3 Konfidensialitet Tilgang til partisjoner Bare autorisere brukere skal kunne lese data i en partisjon Tilgang til overføringsområder mellom partisjoner Bare eier av et personlig overføringsområde mellom partisjoner skal kunne lese data i området Kryptering av data Data tilhørende en partisjon skal (dobbel)krypteres ved overføring i nettverkssegmenter som deles med ikke-autoriserte brukere Integritet Tilgang til partisjoner Bare autorisere brukere skal kunne modifisere data i en partisjon Tilgang til overføringsområder mellom partisjoner Bare eier av et personlig overføringsområde mellom partisjoner skal kunne skrive data i området Inntrengningsdeteksjon Datasystemer med eksterne tilknytninger til ikke-godkjente systemer skal ha verktøy for inntrengningsdeteksjon på brannmurer mellom partisjoner. 5.5 Tilgjengelighet Tilgang til partisjoner Bare autorisere brukere skal kunne slette data i en partisjon Tilgang til overføringsområder mellom partisjoner a. Bare eier av et personlig overføringsområde mellom partisjoner skal kunne slette data i området. b. Data i personlige overføringsområder skal automatisk slettes av overføringsmekanismen senest ett døgn etter overføringen ble initiert. 7 F eks (i) kryptering av trafikk mellom høye terminaltjenere og arbeidsstasjoner i lavt lokalnett og (ii) egne VPN for intranettrafikk mellom høye sikkerhetssoner når intranettkomponenter deles med lavere sikkerhetssoner. 8 Selve overføringsmekanismen har naturligvis også nødvendig tilgang til overføringsområdet. Side 10 av 11

11 5.6 Ansvarlighet Overføring av data mellom partisjoner a. Systemet skal alltid logge overføringer mellom partisjoner. b. Systemet skal alltid logge innholdet i overføringer fra høy til lav partisjon Rapport om overføringer til lav partisjon Brukere skal regelmessig informeres om overføring de har gjort fra høy til lav partisjon, bl a skal det informeres om overføringsmåte, tidspunkt, dokumentnavn og dokumentstørrelse. 6 Dokumenthistorie Presisering av krav om beskyttelse av hele systemet. Se fotnote til beskrivelse av UGRADERT (lav) partisjon (avsnitt 2.5.2) La på ny dokumentmal. Side 11 av 11