Utredning av standarder for styring av informasjonssikkerhet 26. standardiseringsrådsmøte Beslutningssak 16.03.2011
Bakgrunn I 23.rådsmøte (2.- 3. juni) ble forprosjektsrapporten og arbeidsgruppens innstilling presentert 1. Sikker SMTP e-post (og meldingsboks) 2. Standarder for styring av informasjonssikkerhet Standardiseringsrådet støttet anbefalingen fra arbeidsgruppen om å prioritere følgende underområder innen sikkerhet, for videre utredninger: 3. Standarder for anvendelse av eid-løsninger 4. Standarder for risikostyring og vurdering (ISO/IEC27005) 5. Kryptoalgoritmer og nøkkellengder
Hovedpunkter fra diskusjonen i rådsmøtet (2.- 3. juni) Det kom innspill på at det må avgrenses tydeligere mot sikkerhetsloven og de deler av sikkerhetsarbeidet som er underlagt NSM sitt myndighetsområdet Det aller viktigste er sikkerhet knyttet til samhandling. I tillegg er det viktig å fokusere på sikkerheten i felleskomponenter. Viktig å sikre jobbpc ene, selv om brukere ikke jobber med beskyttelseverdig informasjon. Dette med tanke på e-post som allikevel kan inneholde beskyttelsesverdig informasjon. Generelle retningslinjer for krypteringsalgoritmer og nøkkellengder. Brukere har med seg pc overalt. + VPN
Anvendelse av standardene I utredningen blir det gitt forslag til hvordan ISO/IEC 27001 og ISO/IEC 27001 kan anvendes. Standardene foreslås som: Anbefalt Obligatorisk Obligatorisk og styringssystemet sertifisert (ISO/IEC 27001)
Sikkerhetsmekanismer som er lagt til grunn for samfunns- og virksomhetskritisk Konfidensialitet Det forhold at informasjon ikke er tilgjengelig for uautoriserte personer eller ikke-godkjente systemer Integritet Informasjon og objekters nøyaktighet og fullstendighet, samt pålitelighet av transaksjoner. Tilgjengelighet Tilgang til objekter, tjenester og informasjon ved behov og uten unødvendig forsinkelse Dato
Alternative modeller for anvendelsesområder Alternativ 1 Utpekte anvendelsesområder er skissert hver for seg 7 områder hvorav 3 har ytterligere 3 underområder Alternativ 2 Anvendelsesområder er slått sammen i størst mulig grad 2 områder Dato
Anvendelsesområder Informasjonsbehandling - for sikring av informasjon med spesielt beskyttelsesbehov. Elektronisk kommunikasjon og samhandling med og i offentlig sektor gjennom avtaler eller andre reguleringer Dato
Anvendelsesområder Virksomhetsintern drift - i offentlig sektor av samfunnskritisk infrastruktur eller -funksjoner Virksomhetsintern drift - i offentlig sektor av virksomhetskritisk infrastruktur eller -funksjoner Virksomhetsintern drift - i offentlige sektor av ikke kritisk infrastruktur eller -funksjoner Dato
Anvendelsesområder Felles intern drift - i offentlig sektor for flere offentlige virksomheter av samfunnskritisk infrastruktur eller -funksjoner Felles intern drift - i offentlig sektor for flere offentlige virksomheter av virksomhetskritisk infrastruktur eller -funksjoner Felles intern drift - i offentlig sektor for flere offentlige virksomheter av ikke kritisk infrastruktur eller -funksjoner
Anvendelsesområder Ekstern drift - samfunnskritisk infrastruktur eller -funksjoner Ekstern drift virksomhetskritisk infrastruktur eller -funksjoner Ekstern drift ikke kritisk infrastruktur eller funksjoner Dato
Anvendelsesområder Styringsdialogen oppfølging av informasjonssikkerhet i intern og underliggende virksomhet (-er) Sikkerhetskrav strukturering av sikkerhetskrav og forslag til sikringstiltak Dato
Informasjonsbehandling Elektronisk kommunikasjon og samhandling Samfunnskritisk Virksomhetskritisk Ikke-kritisk Samfunnskritisk Virksomhetskritisk Ikke-kritisk Samfunnskritisk Virksomhetskritisk Ikke-kritisk Styringsdialog (rapportering) Strukturering av Sikkerhetskrav Anvendelsesområder Alternativ 1 Drift - Ekstern Drift intern virksomhet Drift felles offentlig sektor Anbefalt Obligatorisk Sertifisert
Elektronisk kommunikasjon og samhandling Samfunnskritisk Virksomhetskritisk Samfunnskritisk Virksomhetskritisk Samfunnskritisk Virksomhetskritisk Styringsdialog (rapportering) Drift ikke-kritisk Strukturering av Ikke-kritisk Sikkerhetskrav og forslag til sikringstiltak Anvendelsesområder Alternativ 2 Behandling av beskyttelsesverdig, herunder samfunns- og virksomhetskritisk informasjon Drift - Ekstern Drift intern virksomhet Drift felles offentlig sektor Anbefalt Obligatorisk Sertifisert
Unntak Foreløpig er det ikke identifisert behov for unntak. Behov for unntak kan imidlertid fremkomme i konsekvensutredningen.
Rådet bør vurdere om: standardene skal gjøres anbefalte våren/sommeren 2011, ved publisering av neste delversjon av referansekatalogen en konsekvensvurdering av et obligatorisk krav og sertifisering på utvalgte områder bør gjennomføres umiddelbart, eller om standardene bør være anbefalt noen år før et eventuelt obligatorisk tiltak. alternativt om standardene kun gjøres obligatorisk for en mindre gruppe offentlige virksomheter