Veileder for informasjonssikkerhet <UTKAST> Tittel: Veileder for informasjonssikkerhet Utarbeidet av: Norge digitalt Søkeord: Veileder, informasjonssikkerhet, nedlastingstjenester, leveranser, NSDI, SDI, Infrastruktur for stedfestet informasjon, Norge digitalt. Opplagstall: 1 elektronisk Versjon: Utkast 0.2 Dato: 23.04.2014 Dok. status: Utkast
Utgiver Kartverket 2013. Veilederen utgis av Kartverket som nasjonal geodatakoordinator.
Revisjonshistorikk Versjon Produsert av Dato Endring 0.1 Kartverket 2013-11-08 Initiell versjon 0.2 Kartverket 2014-04-23 Oppdatert linker i dokumentet i forbindelse med ny nasjonal geoportal Utkast versjon 0.2 3
Innholdsfortegnelse Utgiver... 2 Revisjonshistorikk... 3 Innholdsfortegnelse... 4 1 Forord... 6 2 Innledning... 7 2.1 Formål... 7 2.2 Målgruppe... 7 2.3 Forholdet til andre dokumenter... 7 2.4 Dokumentets oppbygning... 7 3 Ord og begreper... 10 4 Hva er informasjonssikkerhet?... 12 4.1 Hvorfor informasjonssikkerhet?... 12 4.2 Nasjonal sikkerhetsmyndighet... 12 4.3 Nasjonal strategi for informasjonssikkerhet... 12 5 Informasjonssikkerhet i Norge digitalt... 14 5.1 Prinsipper for informasjonssikkerhet i ND... 14 5.2 Sikkerhetsutfordringer... 15 5.3 Føringer for ND innen informasjonssikkerhet... 15 5.4 ND-tiltak som følge av nasjonal strategi for informasjonssikkerhet... 16 5.5 Fremgangsmåte... 19 5.6 Kontroll av sikkerhetsrutiner... 20 5.7 Arbeidsgruppe... 20 6 Risikovurdering... 21 7 Konfidensialitet... 22 8 Angrepsbeskyttelse... 23 9 Tilgangsregime... 24 10 Sårbarhetspunkter... 25 11 Håndtering av krisesituasjoner... 26 12 Gjeldende krav og anbefalinger... 27 12.1 Krav... 27 12.2 Anbefalinger... 27 13 Figurliste... 28 Utkast versjon 0.2 4
Utkast versjon 0.2 5
1 Forord Dette veilederdokumentet er 1 av en rekke veiledningsdokumenter i Norge digitalt. Veilederdokumentene er tilgjengelige norske etater som skal følge opp Geodataloven fra www.geonorge.no. Denne veilederen omhandler Utkast versjon 0.2 6
2 Innledning Dette dokumentet er laget for å ivareta Generelle vilkår i Norge digitalt avtalen, samt lover og forskrifter, spesielt Sikkerhetsloven. 2.1 Formål Skape visshet rundt hvilke sikkerhetsvurderinger og tiltak som skal gjennomføres i samarbeidet. Skape visshet rundt ansvarsfordeling innen informasjonssikkerhet. Skape bedre generell bevissthet rundt informasjonssikkerhet i Norge digitalt. 2.2 Målgruppe Norge digitalt partene og systemleverandører. 2.3 Forholdet til andre dokumenter Denne veilederen gir viktig informasjon i forbindelse med norske etaters forpliktelser i henhold til Norge digitalt avtalens generelle vilkår, Sikkerhetsloven m.m. For sammenhengen mellom de ulike standardene, dokumentene og lover/forskrifter, se skissen nedenfor. 2.4 Dokumentets oppbygning Iso27000 til grunn, spesielt 27002. Denne veilederen bør holdes tynn. Sende Trond for evaluering av veilederen underveis. Utkast versjon 0.2 7
Noe mer i Bilag omkring hvilke datasett som inngår i kriseberedskap og hvor disse kan fås på (analog/digital) backup (kart, minnepinne etc) NSM har egen veileder for verdivurderinger for leveranser. Nsm.stat.no. Verdivurderinger bør omfatte bruk av datasettene i krisesituasjoner hvor egnet er de? Ikke gjenskrive info fra andre veiledere henvise til disse. Veileder til forskrift av NVE (beredskapsforskriften) se NVEs sider? Arbeidsgruppe: NGU, NVE, FMGT, DSB, S&L, kommuner (Oslo?). Starte opp i tidlig 2014. Sende ut info om behovet for en slik gruppe raskt. Informere om planer. Legge på ND-sidene under møteplasser. - Ta ansvaret for en najsonal risikoanalyse i ND, ND sikkerhetsplan iht risikoanalysen. Oppdatere denne minimum årlig. Arbeidsgruppe kartverket (internt): Tore, Knut, Trond Skyseth/Pål Arnesen, Kåre/Tone K/Hanne Baug (sitter i sikkerhetsforum). Invitere andre inn ved behov (Henrik, Unn, I3 osv) - Ta ansvaret for risikoanalyse, sikkerhetspolicy, sikkerhetsplan og viktige innspill til innhold i veilederen. Vurdere Generelle vilkår. Sikkerhetsloven har ikke reguleringer for ND når det gjelder graderte data. Data i ND er ikke graderte. Skjermingsverdige objekter kan likevel befinne seg innen for SL sine forskrifter; objektsikkerhetsforskriften. Matrikkelen vil bli et skjermingsverdig objekt, likedan mange andre kartdata som KV forvalter. Vi må fortolke objektsikkerhetsforskriften for å vite hvordan vi forholder oss til dennes krav/føringer. Mange av partene har også skjermingsverdige objekter. Skisse som viser hvilke lover/forskrifter/hensyn som må tas med i betraktningene. Trond lager denne. Denne skissen er til bruk internt. Vi må lage en avledet skisse til bruk i veiledningen/partene. 18.des kurs i sikkerhetsstyring påmelding via kartverksskolen. Vurdere pålagt kursdeltagelse på infosikkerhetskurs for et utvalg ansatte for hver divisjon. Sikrer et minimum av kompetanse innen emnet for hver divisjon/avdeling. Ansvaret ligger i Geodatakoordinatorseksjonen. Spille på jurister for eksempel for personvernloven (Nina/Laila?) Vi må se på varslingsrutiner for uønskede hendelser, vurdere sektorcert, sektorvis responsmiljø, noen har hacket da informerer vi kun berørte. Noen finner hull inn i våre ND-data vi responderer kun til interne i første omgang. ND kan kanskje være en node i en geodatacert/sektor. Tas til våren. Se NSM.stat.no Lese oss opp på NSMssider. Utkast versjon 0.2 8
Figur 1 - Sammenhengen mellom de ulike veilederdokumentene og relaterte dokumenter Utkast versjon 0.2 9
3 Ord og begreper Applikasjonsskjema APP ASF Atom feed Atompub Feed FE GML Liten informasjonssamling som kan utveksles over internett mellom nettsteder, webklienter eller webtjenester. Ofte XMLbasert. GMLapplikasjonsskjema GML-skjema HTTP IETF Datamodell for beskrivelse av data tilhørende en applikasjon eller et fagdomene. På dataformatuavhengig nivå brukes ofte UML. På datafomatsnivå med XML, er skjemaet beskrevet som XSD. Atom Publishing Protocol. HTTP-basert protokoll for uthenting, endring, oppretting og sletting av feeds iht webstandarden IETF RFC 5023 Atom Publishing Protocol http://tools.ietf.org/html/rfc5023. Brukes ofte som transportmekanismen i en Atom feed. Atom Syndication Format. XML-basert format for utveksling av feeds iht webstandarden IETF RFC 4287 The Atom Syndication Format http://tools.ietf.org/html/rfc4287. Utgjør selve innholdsbeskrivelsen i en Atom feed. Samlebetegnelse for utveksling av små informasjonssamlinger over internett ved bruk av APP og ASF. Samme som Atom feed, se over. Opprinnelig kallenavnet på standardiseringsgruppen som oppfant Atom feed (Atom Publishing Format and Protocol Working Group). Filter Encoding International Standard beskriver spørring mot databaser vha XML (NS-EN ISO 19143). Geographic Markup Language (GML) beskriver geografiske data vha XML (NS-EN ISO 19136). Et XSD skjema som er generert fra UMLmodellen/applikasjonsskjemaet. Skjemaet beskriver datastrukturen slik den skal lages i GML. Et GML-skjema definerer grunnleggende geografiske figurer vha XML på en form som kalles et skjema (XSD). Hyper Text Transfer Protocol. En standardisert mekanisme som brukes til transport av informasjon over internet. Det finnes flere andre mekanismer også men HTTP brukes i dag for de aller fleste nettsider. Internet Engineering Task Force (http://www.ietf.org/) ISO International Standardization Organization Utkast versjon 0.2 10
OGC Open GIS Consortium REST RSS SOSI SOSI-format Representational State Transfer. En tilleggsmekanisme til HTTP som forenkler kall mot tjenester via HTTP. Den første kjente typen feed. Forkortelse for Rich Site Summary, RDF Site Summary eller Really Simple Syndication (ingen vet riktig hvilken av disse som er den virkelige betydningen lenger) SOSI (Samordnet Opplegg for Stedfestet Informasjon) er en norsk standard for utveksling av digitale kartdata. Norsk format for utveksling av geografisk informasjon. UTF-8 UML Tegnkoding som dekker alle Unicode tegn, og som i praksis dekker alle europeiske tegn Unified Modeling Language UMLapplikasjonsskjema WFS WFS-T WMS XML XSD Datamodell som er beskrevet i UML. Også kalt applikasjonsskjemapakke i modelleringsarbeidet. Web Feature Service (WFS) er en tjenestetype for tilgang til geografiske vektordata (GML) beskrevet med et XML-grensesnitt (ISO 19142). WFS Transaction (WFS-T) beskriver metoder for innlegging, oppdatering og sletting av geografiske data (ISO 19142). Web Map Service (WMS) er en tjeneste som leverer kartbilder og egenskapsinformasjon om kartobjekter (ISO 19128). Extensible Markup Language (XML) er et språk for å kommunisere mellom maskiner. XML Schema Definition (XSD) definerer gyldige elementer og typer i et XML-dokument vha XML. Utkast versjon 0.2 11
4 Hva er informasjonssikkerhet? 4.1 Hvorfor informasjonssikkerhet? Sikre konfidensialitet, integritet og tilgjengelighet Sikkerhet er en del av ND leveranser Modernisering er også robusthet Felles risikoforståelse Krav, behov og forventninger til robuste prosesser, verktøy og leveranser Verdivurderinger Trusselvurderinger Sårbarhetsvurderinger Internasjonalt, nasjonalt, sektor, part 4.2 Nasjonal sikkerhetsmyndighet 4.3 Nasjonal strategi for informasjonssikkerhet Fire overordnede mål: 1. Styrket samordning og felles situasjonsforståelse 2. Robust og sikker IKT-infrastruktur i hele samfunnet 3. Sterk evne til å håndtere uønskede IKT-hendelser 4. Høy kompetanse og sikkerhetsbevissthet Syv strategiske prioriteringer for operasjonalisering av mål: 1. Ivareta informasjonssikkerhet på en mer helhetlig og systematisk måte 2. Styrke IKT-infrastrukturen 3. Sørge for felles tilnærming til informasjonssikkerhet i statsforvaltningen 4. Sikre samfunnets evne til å oppdage, varsle og håndtere alvorlige IKT-hendelser Utkast versjon 0.2 12
5. Sikre samfunnets evne til å forebygge, avdekke og etterforske datakriminalitet 6. Kontinuerlig innsats for bevisstgjøring og kompetanseheving 7. Høy kvalitet på nasjonal forskning og utvikling innen informasjonsog kommunikasjonssikkerhet Utkast versjon 0.2 13
5 Informasjonssikkerhet i Norge digitalt Generelle vurderinger: Forholdet mellom åpenhet og skjerming Hvem har ansvar for å vurdere og følge opp misbruk ved sammenstilling av åpne datasett, og på hvilket grunnlag skal man vurdere dette? Angrep på infrastruktur Teknisk sammenbrudd Tilgangskontroll og autentisitet Sårbarhet i verktøy, prosesser, verdikjeder og kritiske avhengigheter Hvor operative skal ND være i en krisesituasjon? Hva er forsvarlig sikkerhet og akseptabel risiko? Manglende eller upresise krav og forventninger på sikkerhet + Felles risikoanalyse mangler i ND Viktig å være kjent med risikobildet 5.1 Prinsipper for informasjonssikkerhet i ND Hver part skal (ref. generelle vilkår, pkt 7): formulere sikkerhetsmål og akseptabelt sikkerhetsnivå oppfylle krav i gjeldende regelverk sikre at informasjon som skal unntas fra allmennheten ikke kommer ut gjennomføre interne opplæringstiltak Geodatakoordinator har overordnet ansvar for veiledning om informasjonssikkerhet og for at krav til informasjonssikkerhet blir ivaretatt for fellesløsninger for tilgjengeliggjøring Utilstrekkelig som prinsipp alene! utfordringer på tvers og for helheten i nasjonale geografiske infrastruktur Krever økt oppmerksomhet på verdi-, trussel- og sårbarhetsvurderinger på tvers i ND som grunnlag for retning, nivå og prioritering av sikkerhetstiltak Utkast versjon 0.2 14
5.2 Sikkerhetsutfordringer Eksempler: Forholdet mellom åpenhet og skjerming Hvem har ansvar for å vurdere og følge opp misbruk ved sammenstilling av åpne datasett, og på hvilket grunnlag skal man vurdere dette? Angrep på infrastruktur Teknisk sammenbrudd Tilgangskontroll og autentisitet Sårbarhet i verktøy, prosesser, verdikjeder og kritiske avhengigheter Hvor operative skal ND være i en krisesituasjon? Hva er forsvarlig sikkerhet og akseptabel risiko? Manglende eller upresise krav og forventninger på sikkerhet + Felles risikoanalyse mangler Viktig å være kjent med risikobildet 5.3 Føringer for ND innen informasjonssikkerhet Generelt: Lover/forskrifter: Veldig overordnet, lite konkrete og operasjonaliserbare krav Generelle: Spesielle: EU og Inspire Compliance/etterlevelse er vanskelig og ikke tilstrekkelig Sikkerhetslov, Personopplysningslov, Offentlighetsloven, Beskyttelsesinstruks, Arkivlov. Geodatalov, Plan og bygningslov med kart og planforskrift, Matrikkellov, Beredskapsforskrift innen kraftforsyning... Generelle vilkår i Norge digitalt, pkt 7 Informasjonssikkerhet Strategi for åpne kart- og eiendomsdata Tilgangsbegrensninger vs åpenhet Div. føringer fra departementer om informasjonstryggleik Ref. siste stortingsprop. Stortingsmeldinger, spesielt 29 om Samfunnssikkerhet Utkast versjon 0.2 15
Samvirkeprinsipp, kritisk samfunnsinfrastruktur, kritiske avhengigheter, krav til oppdatert kartgrunnlag, øvelser på tvers, bedre planverk, risikovurderinger osv. Sivilt beredskapssystem Kartverket, ND og geodatastøtte nevnes eksplisitt Nasjonal strategi for informasjonssikkerhet med handlingsplan Legge til grunn også i ND Knagger for tiltak 5.4 ND-tiltak som følge av nasjonal strategi for informasjonssikkerhet Tiltak 0.1: Etablere forbedret informasjonsgrunnlag for IKT-risikobildet Tiltak ND: Felles risikoforståelse basert på risikoanalyse på tvers i sektoren Etablering av sektorvis CSIRT, kartlegging og innrapportering av uønskede hendelser I samarbeid med NSM Tiltak 0.2: Videreføring av kartleggingen av kritiske samfunnsfunksjoner, herunder understøttende infrastruktur og innsatsfaktorer Tiltak ND: sektorvis konkretisering av hva som ligger i de ulike kritiske samfunnsfunksjonene og innsatsfaktorer, sårbarheter og avhengigheter I samarbeid med DSB 5.4.1 ND tiltak som følge av nasjonalt tiltak 1: Fra handlingsplan: Tiltak 1.1 Styringssystem for informasjonssikkerhet i statsforvaltningen basert på standarder Anbefalt ISO 27001 for struktur, ISO 27002 for innhold kobles med andre eksisterende styringssystem Tiltak ND: Legge ISO 27000-serien til grunn for styringssystem for informasjonssikkerhet Kompetanseutvikling og veiledninger med bakgrunn i standarden Felles risikopolicy i ND som strekker seg utover det som står i generelle vilkår i dag (med føringer om standardisering) Utkast versjon 0.2 16
5.4.2 ND-tiltak som følge av nasjonalt tiltak 2: Fra handlingsplan: Tiltak 2.1 Styrke arbeid med objektsikkerhet iht. sikkerhetsloven Vurdering av egenbeskyttelse av datasentre, kabler og kritiske digitale knutepunkter (noder) i fysiske og logisk distribuerte systemer Tverrsektoriell tilnærming som tar hensyn til avhengigheter på tvers Egenbeskyttelsestiltak innen utløpet av 2013 Tiltak ND: Kartverkets felles løsninger som knutepunkt Klarlegge forholdet til objektsikkerhet i og mellom partene I samarbeid med NSM Partene har her et viktig selvstendig ansvar for sikkerhetstiltak 5.4.3 ND-tiltak som følge av nasjonalt tiltak 3 Fra handlingsplan: Tiltak 3.2 evt. 3.3 Innføring av evne til gradert datakommunikasjon eller sikker mobilkommunikasjon Tiltak ND: Tiltak 3.4 Elektronisk ID Vurdere behov for mulighet til kommunikasjon av gradert eller sensitiv informasjon, ref. Sivilt beredskapssystem Rapportere til arbeidsgruppe i JD Tiltak ND: Vurdere gjeldende krav, føringer og anbefalinger for tilgangskontroll og autentisering ved felles løsninger 5.4.4 ND-tiltak som følge av nasjonalt tiltak 4 Fra handlingsplan: Tiltak 4.2: Etablering av sektorvise responsmiljøer Tiltak ND: Utkast versjon 0.2 17
Vurdere etablering av et sektorvist responsmiljø i ND; geodatacsirt (CSIRT - computer security incident response team) Minimumsløsning er å etablere kontaktpunkt i sektoren med varslingsrutiner internt og mot NORCERT, med felles risikoforståelse I første omgang prioritere god informasjonsflyt og deling, deretter evt. teknisk og kompetansemessig samarbeid rundt hendelseshåndtering Kartverket undersøker dette i samarbeid med NSM og NORCERT, forslag til tiltak kommer senere Felles øvelser Øvelse 21.11.13, brudd på informasjonssikkerhet Øvelse i 2014? 5.4.5 ND-tiltak som følge av nasjonalt tiltak 5 ND: Ingen egne tiltak? 5.4.6 ND-tiltak som følge av nasjonalt tiltak 6 Tiltak ND: Foredrag på teknologiforum fra ny seksjon for informasjonssikkerhet i DIFI Egen sesjon på teknologiforum om informasjonssikkerhet Utarbeide relevant veiledningsmateriale Felles risikoanalyser som grunnlag for både forebyggende sikkerhet og bevisstgjøring i ND Etablere permanent arbeidsgruppe innen informasjonssikkerhet med dimensjonerende aktører Mandat og forankring? Interne og felles opplæringstiltak koordinering basert på standarder og felles veiledninger For eksempel innen ISO 27000, ref. DIFIs tilbud Utkast versjon 0.2 18
5.4.7 ND-tiltak som følge av nasjonalt tiltak 7 ND: Ingen egne tiltak? Evt. vurdere samarbeid med Høyskolen i Gjøvik som har stor satsning på informasjonssikkerhet (et nasjonalt kompetansesenter for informasjonssikkerhet) og kompetanse på GIS Se på kritiske avhengigheter i verdikjeder og nettverk i Norge digitalt? 5.4.8 Ytterligere tiltak Klargjøre NDs rolle innen krisestøtte og beredskap Oppdatere og operasjonalisere Sivilt beredskapssystem Egen beredskapsplan for ND Div beredskapstiltak, forebyggende og korrigerende Må regne med at uønskede hendelser vil skje, vektlegge hendelsehåndtering Dokumentasjon Felles risikoanalyse Felles sikkerhetspolicy Oppdatere generelle vilkår Organisering Klargjøre hvordan skal man følger opp partenes sikkerhetsarbeid Andre sikkerhetstiltak? Ref. pkt 7: Geodatakoordinator skal følge opp at partene foretar nødvendige vurderinger av informasjonssikkerhet 5.5 Fremgangsmåte Permanent arbeidsgruppe innen informasjonssikkerhet Minimum årlige evalueringsmøter for å fange opp gjeldende trusselbilde oppdatere sikkerhetsstrategien Risikoanalyse fra arbeidsgruppe Sikkerhetspolicy Fra arbeidsgruppe Utkast versjon 0.2 19
Øvelse Kompetansetiltak Kurs Veiledninger Beredskap: Felles kontaktpunkt, varslingsrutiner og lister Vurdere geodatacert 5.6 Kontroll av sikkerhetsrutiner Geodatakoordinator skal informere om gjeldende krav til informasjonssikkerhet i samarbeidet Norge digitalt. Geodatakoordinator skal ha kunnskap om hvorvidt den enkelte part ivaretar krav til informasjonssikkerhet i Norge digitalt. 5.7 Arbeidsgruppe ND bør ha en permanent arbeidsgruppe for informasjonssikkerhet. Gruppen har følgende formål og mandat: Gjennomføre en årlig risikoanalyse Definere og forvalte en forsvarlig sikkerhetspolicy Arbeidsoppgaver gruppen bør håndtere: ND bør gjennomføre en årlig sikkerhetsøvelse. Det bør etableres kompetansetiltak (kurs) om informasjonssikkerhet. Det bør etableres en ND-beredskapsplan som beskriver kontaktpunkt, varslingsrutiner og nødvendige lister med kontaktinformasjon. Vurdere geodatacert Utkast versjon 0.2 20
6 Risikovurdering Utkast versjon 0.2 21
7 Konfidensialitet Utkast versjon 0.2 22
8 Angrepsbeskyttelse Utkast versjon 0.2 23
9 Tilgangsregime Utkast versjon 0.2 24
10 Sårbarhetspunkter Utkast versjon 0.2 25
11 Håndtering av krisesituasjoner Utkast versjon 0.2 26
12 Gjeldende krav og anbefalinger 12.1 Krav ID Krav Merknad 1 Alle leveranser skal benytte UTF-8 som tegnsettkoding, både i datasett, tjenester og dokumentasjon, ref Forskrift om ITstandarder i offentlig forvaltning (http://www.lovdata.no/for/sf/fa/fa- 20130315-0285.html) 2 3 4 5 6 7 8 9 10 12.2 Anbefalinger ID Anbefaling Merknad 1 2 3 4 5 6 7 8 9 Utkast versjon 0.2 27
13 Figurliste Figur 1 - Sammenhengen mellom de ulike veilederdokumentene og relaterte dokumenter... 9 Utkast versjon 0.2 28