Nasjonal sikkerhetsmyndighet

Transkript

1 Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: Veiledning til 5-25: Utarbeidelse av driftsinstruks

2 Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjeneste i Norge og forvalter lov om forebyggende sikkerhet av 20 mars Hensikten med forebyggende sikkerhet er å motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, primært spionasje, sabotasje og terrorhandlinger. Forebyggende sikkerhetstiltak skal ikke være mer inngripende enn strengt nødvendig, og skal bidra til et robust og sikkert samfunn. Hensikt med veiledning NSM sin veiledningsvirksomhet skal bygge kompetanse og øke sikkerhetsnivået i virksomhetene, gjennom økt motivasjon, evne og vilje til å gjennomføre sikkerhetstiltak. NSM gir jevnlig ut veiledninger til hjelp for implementering av de krav sikkerhetsloven stiller. NSM publiserer også veiledninger innen andre fagområder relatert til forebyggende sikkerhetsarbeid. Postadresse Sivil telefon/telefax Militær telefon/telefaks Internettadresse Postboks / / BÆRUM E-postadresse POSTTERMINAL post@nsm.stat.no Side 2 av 5

3 Innhold 1 Generelt Driftsinstruks Hovedkapitler Referanser Innledning Anskaffelse av maskin- og programvare Merking av maskinvare Journalføring i medieregister og merking av lagringsmedier Konfigurasjonskontroll Systeminstallasjon og oppsett Kommunikasjon Systemovervåking Brukeradministrasjon / tilgangskontroll Fjernadministrasjon Beredskapstiltak Vedlikehold og reparasjon Avhending og tilintetgjøring... 5 Vedlegg A Dokumenthistorie Generelt Hjemmel for å utgi denne veiledning er gitt Nasjonal sikkerhetsmyndighet (NSM) gjennom sikkerhetslovens 9 bokstav e. Forskrift om informasjonssikkerhet 5-25 krever at det skal utarbeides en driftsinstruks for informasjonssystemet som beskriver rutiner for sikker drift. Disse rutinene blir virksomhetens tiltak for å tilfredstille krav gitt i KSS. Instruksen skal blant annet omhandle systeminstallasjon og oppsett, brukeradministrasjon, tilgangskontroll, maskin- og programvarekonfigurasjon, systemovervåkning, konfigurasjonskontroll, beredskapstiltak som f.eks sikkerhetskopiering og tiltak, mot ødeleggende programvare, og reservedrift. Driftsinstruks bør også utarbeides for ugraderte informasjonssystemer. Inn holdet i driftsinstruksen vil variere fra system til system alt etter det sikkerhetsmessige konseptet. Driftsinstruksen skal være konkret og fullstendig og beskrive de rutiner og retningslinjer som skal følges eller referere til andre instrukser der dette er enklere. Både daglige og periodiske rutiner skal beskrives. Instruksen skal holdes oppdatert i hele systemets levetid. Det er i stikkords form angitt de momenter som skal inngå i driftsinstruksen. Driftsinstruksen vil gi betydelig informasjon om sikkerheten i systemet og bør graderes deretter. Driftsinstruksen inngår i grunnlaget for sikkerhetsgodkjenning av informasjonssystemet. Side 3 av 5

4 2 Driftsinstruks 2.1 Hovedkapitler Driftsinstruksen bør inneholde følgende kapitler: Referanser Listing av alle relevante dokumenter for driftspersonell Innledning Nøkkelpersonell og oppgaver i driftsorganisasjonen Anskaffelse av maskin- og programvare Beskrivelse av rutiner for anskaffelse av maskin, programvare og testing av dette før det tas i bruk i produksjonsmiljø Merking av maskinvare Merking av maskinvare skal skje i h t lov og forskrift. Beskrivelse av avdelingens rutiner for fremstilling/innkjøp av etiketter og merking av maskinvare Journalføring i medieregister og merking av lagringsmedier Journalføring og merking av lagringsmedier skal skje i h t forskriftene. Beskrivelse av avdelingens rutiner for journalføring og merking av lagringsmedier Konfigurasjonskontroll Registrering av maskin- og programvare. Oversikt over nettverksarkitektur med plassering av komponenter. Oversikt over brukere Systeminstallasjon og oppsett Beskrivelse av hvordan utstyr og kabler skal plasseres med tanke på at informasjon ikke skal kunne kompromitteres som følge av utilsiktet elektromagnetisk stråling. Beskrivelse av konfigurasjon av nettverkskomponenter, servere, klienter og annet periferiutstyr Kommunikasjon Beskrivelse av hva som brukes av kryptering for å beskytte eksterne linjer. Lag en oversikt over hvilke protokoller og porter som er åpne Systemovervåking Lag en oversikt over rutiner for sikkerhetslogging og hva som logges. Side 4 av 5

5 Brukeradministrasjon / tilgangskontroll Prosess for etablering av nye brukere Tildeling av rettigheter Tildeling av dataområder Tildeling av andre ressurser i nettet Prosess for sletting av brukere Fjernadministrasjon Beskrivelse av hvordan en eventuell fjernadministrasjon utføres og hvilke tiltak som er gjort for å beskytte muligheten til å fjernadministrere Beredskapstiltak Beskrivelse av rutiner for sikkerhetskopiering, viruskontroll, reservedrift. Identifisering av nøkkelpersonell og oppgaver Vedlikehold og reparasjon Sikkerhetsklarering, autorisasjon og sikkerhetsavtale Servicenivå avtaler (SNA) Avhending og tilintetgjøring Beskrivelse av avdelingens rutiner for avhending og tilintetgjøring av materiell og lagringsmedier. Vedlegg A Dokumenthistorie Utkast, første versjon (1.0) Revidert versjon (2.0). Godkjent av avdelingssjef FO/S-2. Side 5 av 5