Rapporteringsskjema for kryptoinstallasjon



Like dokumenter
Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Rapportering av sikkerhetstruende hendelser til NSM

RHF og HF omfattes av sikkerhetsloven

Nasjonal sikkerhetsmyndighet

SIKKERHETSAVTALE. esaf/doculivenummer: xxxxxxxxxxx. Inngått dato. mellom

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Lov av i kraft

Brukermanual for Blancco Data Cleaner+ 4.5

Veiledning i planlegging av graderte informasjonssystemer

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

Nasjonal sikkerhetsmyndighet

Sikkerhetsloven. Mobil Agenda Alexander Iversen Sjefingeniør, Sikkerhetsavdelingen

Kan du holde på en hemmelighet?

NSMs kryptoaktiviteter

Forskrift om objektsikkerhet

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

Veiledning i sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur

Forslag til forskrift om endringer i forskrift om personellsikkerhet og forskrift om sikkerhetsgraderte anskaffelser

Veileder i håndtering og beskyttelse av sikkerhetsgradert informasjon

Vår ref. Deres ref. Dato 2013/ Avklaring i forhold til arkivering av materiale gradert begrenset i kommuner

Nasjonal sikkerhetsmyndighet

Vår ref.: 16/ Postadresse: 1478 LØRENSKOG Telefon: Sak 100/16 Oppfølging av sikkerhetsloven ved Akershus universitetssykehus HF

Veileder i fysisk sikkerhet. Versjon: 1

Kryptoløsninger I Hjemmekontor Og Mobile Klienter

Brukerinstruks. OntrackEraser Versjon 3.0. Ibas AS

Veileder for godkjenning av informasjonssystem. Versjon: 1

Bestemmelser om renholdstjenester

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Tilleggsveileder for utfylling av Datatilsynets skjema for søknad om konsesjon i forbindelse med gjennomføring av dopingkontroller på treningssentre

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet

Ny sikkerhetslov og forskrifter

Nasjonal sikkerhetsmyndighet

Sikkerhetsorganisering og sikkerhetsgradering i kommunene. Knut Bakstad, Sikkerhetsleder hos FMTL

Nasjonal sikkerhetsmyndighet

OVERSIKT SIKKERHETSARBEIDET I UDI

NSMs Risikovurdering 2006

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

eforum: drøfting av Seid leveranse 2

Nasjonal sikkerhetsmyndighet

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Sikkerhet og informasjonssystemer

Veileder i sikkerhetsstyring. Versjon: 1

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

Sikkerhetsloven og kommunen - noen refleksjoner og erfaringer

Bestilling av adgang til Telenors arealer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

D2-R Skjema for rapportering til byggherren


Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Fagdag sikring Ny sikkerhetslov og arbeidet med nye forskrifter. Svein Anders Eriksson Leder for sikring og standardisering Ptil

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Veileder for tilsyn med forebyggende sikkerhetsarbeid. Versjon: 1

Kommunens Internkontroll

Forespørsel om informasjon (RFI) - Fremtidens datasentre for Politiet. Saksnummer Politiets IKT-tjenester

1. Generelt om tilsynene

NOTAT SAMMENDRAG. Høringsuttalelse om nye forskrifter til ny sikkerhetslov. Nye forskrifter til lov om nasjonal sikkerhet (sikkerhetsloven) Åpen

ABONNENTAVTALENS HOVEDDEL (DEL 1 AV 4)

Databehandleravtale for NLF-medlemmer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Godkjent av: [] Generelle krav til organisasjoner som sjømåler

Sikkerhetsklarering i fremtiden

Nasjonal sikkerhetsmyndighet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

SIKKERHETSGRADERTE ANSKAFFELSER

Jernbaneverket. Kap. D Spesielle kontraktsbestemmelser for drift- og vedlikeholdstjenester

Veiledning i risiko- og sårbarhetsanalyse

Direktiv Krav til sikkerhetsstyring i Forsvaret

AVTALE OM SERTIFISERING - ØKOLOGI

RAMMEAVTALE INTERIØRAKRITEKT-, LANDSKAPSARKITEKT- OG ARKITEKTTJENESTER Avtalenummer 2015-(00000)

SØKNAD OM GODKJENNING - DEL 1

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale etter personopplysningsloven

Fjernet all beskrivelse av sikkerhetsklarering og adgangskontroll. Dette er nå beskrevet i en ny prosedyre L-238

Forord. Norsk Sikkerhetsforening kan i fremtiden utgjøre en viktig premissleverandør ved utforming av regelverk på området. Son, 16.6.

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

HMS håndbok og internkontroll for Askøy Håndballklubb

INSTRUKS FOR STYRET HELSEFORETAKENES SENTER FOR PASIENTREISER ANS. Vedtatt i styremøte 28. februar 2011

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

Instruks for varme arbeider og utkobling av brannvarslingsanlegget ved Oslo Lufthavn AS

Veiledning for revisors særattestasjon

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Personellsikkerhet. Frode Skaarnes Avdelingsdirektør

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

Sikre samfunnsverdier et samspill mellom virksomhetene og NSM

Prosedyre for personvern

SHA-plan Plan for sikkerhet, helse og arbeidsmiljø

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

SØKNAD OM GODKJENNING - DEL 1

Transkript:

Rapporteringsskjema for kryptoinstallasjon Opplysningene i denne rapporten inngår i grunnlaget for NSMs godkjenning av bruk av kryptoutstyr og kryptosystemer, og kryptosikkerheten i den enkelte virksomhet før virksomheten kan ta kryptomateriell i bruk. Utfylt skjema skal signeres av virksomhetens leder og av kryptosikkerhetsleder. Skjemaet vedlegges søknad om godkjenning av kryptoinstallasjon. Virksomhet 1. Virksomhetens navn/enhet: 2. Virksomhetens leder: 3. Adresse/sted (lokasjon): Kryptosikkerhetsorganisasjon 4. Kryptosikkerhetsleder (KSL): 5. KSL stedfortreder: 6. Kryptoforvalter (KF): 7. KF stedfortreder: Org./Avd*: Kryptoutstyr Org./Avd*: 8. Type kryptoutstyr: 9. Serienummer: 10. Stasjonær/mobil kryptoinstallasjon: 11. Fysisk plassering av kryptoutstyr: Stasjonær Mobil 12. Navn på tilknyttet informasjonssystem: 13. Graderingsnivå og operasjonsmåte: 14. Referanse til godkjenning av plassering av kryptorom: 15. Referanse til sikkerhetsgodkjenning av informasjonssystem: Fysisk sikring Ja / Nei / IR 1 16. Er den aktuelle installasjonen innenfor sperret område? FoI 2 7-35, 6-9 17. Er fysiske områder hvor kryptoutstyret er plassert, sikret i henhold til FoI kap. 6, kap 7G, krav for aktuell sikkerhetsgrad? veiledere 3 1 Hvis punktet ikke er relevant, angis dette ved å krysse av i boks merket IR (Ikke Relevant). 2 FoI forskrift om informasjonssikkerhet 3 NSM veiledere «Fysisk sikring mot ulovlig inntrengning» og «Veiledning for sikring av kryptorom» Side 1 av 3 sider

18. Er nødvendige tiltak for beskyttelse mot TEMPEST implementert (basert på tempestrisikovurdering)? Kryptosikkerhet Ja / Nei / IR FoI 5-11, 5-38, veileder 4 19. Foreligger skriftlig utnevnelse av kryptosikkerhetspersonellet? FoS 5 2-5, FoI 7-6, 7-7 20. Har kryptosikkerhetsleder, kryptoforvalter og stedfortredere vært ansatt i minst ett år? FoI 7-6 21. Foreligger dokumentasjon på kryptoautorisasjon av kryptosikkerhetspersonellet? FoI 7-12 22. Er det utarbeidet tilfredsstillende prosedyrer og rutiner for ivaretakelse av kryptosikkerhetstjenesten? FoI 7-8 23. Blir utførelsen av kryptosikkerhetstjenesten jevnlig kontrollert? FoI 7-7 24. Foreligger oversikt over personell med permanent adgang og besøkende til kryptorom? FoI 7-37 25. Er leveransen av kryptotjenester tilstrekkelig avklart? Se forklaring til pkt. 6. og 7. 26. Gjennomføres tilfredsstillende øvelser for evakuering og ekstraordinær tilintetgjøring av kryptomateriell? FoI 7-8, 7-34 27. Har virksomheten oversikt over kryptosystemene og deres plassering? All dokumentasjon må kunne forevises NSM på forespørsel. FoS 3-3 Opplysningene gitt i rapporten er fullstendig og korrekt utfylt av: Dato: Signatur: Kryptosikkerhetsleder Opplysningene gitt i rapporten bekreftes for fullstendighet og korrekthet av: Dato: Signatur: Virksomhetens leder For NSM: Installasjon godkjent for produksjon av kryptonøkkel: Dato: Saksref: Nasjonal sikkerhetsmyndighet 4 NSM veileder «Tempestsikring av IKT-systemer» 5 FoS forskrift om sikkerhetsadministrasjon Side 2 av 3 sider

Merknader (benyttes av virksomheten ved behov for å utdype svar i skjemaet) Virksomhet 1. 2. 3. Kryptosikkerhetsorganisasjon 4. 5. 6. 7. Kryptoutstyr 8. 9. 10. 11. 12. 13. 14. 15. Fysisk sikring 16. 17. 18. Kryptosikkerhet 19. 20. 21. 22. 23. 24. 25. 26. 27. Side 3 av 3 sider V1.0, 20.2.2015

Forklaring til Rapporteringsskjema for kryptoinstallasjon Virksomhet (FoI 6 7-6) 1. Virksomhetens navn/enhet: Navn på virksomhet/enhet som besitter kryptoutstyr og er bruker av tilhørende informasjonssystem. 2. Virksomhetens leder: Navn på leder av virksomhet/enhet som besitter kryptoutstyr og er bruker av tilhørende informasjonssystem. 3. Adresse/sted (lokasjon): Lokasjon eller adresse til virksomheten som besitter kryptoutstyr og er bruker av tilhørende informasjonssystem. Kryptosikkerhetsorganisasjon (FoS 7 2-5, FoI 7-6, 7-7, 7-8, 7-9) 4. Kryptosikkerhetsleder (KSL): Navn på virksomhetens KSL, skriftlig utpekt av virksomhetens leder. 5. KSL stedfortreder: Navn på stedfortredende KSL, skriftlig utpekt av virksomhetens leder. 6. Kryptoforvalter (KF): Navn på virksomhetens KF, skriftlig utpekt av virksomhetens leder. Org/Avd: * Fylles ut dersom en annen virksomhet (f.eks. CYFOR) drifter og forvalter kryptomateriell for virksomheten i rollen som kryptoforvalter. Organisasjon, avdeling og navn på kryptoforvalter fra tjenesteleverandør påføres. Tjenesteleveransen skal være avtalt mellom partene. 7. KF stedfortreder: Navn på stedfortredende KF, skriftlig utpekt av virksomhetens leder. Org/Avd: * Fylles ut dersom en annen virksomhet (f.eks. CYFOR) drifter og forvalter kryptomateriell for virksomheten i rollen som kryptoforvalter. Organisasjon, avdeling og navn på stedfortredende kryptoforvalter fra tjenesteleverandør påføres. Tjenesteleveransen skal være avtalt mellom partene. Kryptoutstyr (SL 8 14, FoI Kap. 7) 8. Type kryptoutstyr: Type/modell på kryptoenhet. Kun kryptosystemer som er godkjent av NSM tillates brukt for beskyttelse av skjermingsverdig informasjon. 9. Serienummer: Serienummer er et unikt nummer for hver enkelt kryptoenhet. Nummeret vil være å finne på enheten og på stedsrapport for kryptoinstallasjon, utfylt av kryptoinstallatør. (Ved kryptoenhet type TCE 621 føres gjerne også Logisk navn og Pzi under punkt 9 på arket for «Merknader»). 6 Forskrift om informasjonssikkerhet (FoI) 7 Forskrift om sikkerhetsadministrasjon (FoS) 8 Sikkerhetsloven (SL) Side 1

Forklaring til rapporteringsskjema for kryptoinstallasjon 10. Stasjonær/mobil kryptoinstallasjon: Med stasjonær installasjon menes utstyr som er fast installert på ett sted uten at det flyttes på. Mobil installasjon er når krypto ikke kun benyttes/installeres på et fast sted, men for eksempel er montert i en kommunikasjonsmodul. 11. Fysisk plassering av kryptoutstyr: Ved stasjonær installasjon oppgis lokasjonsnavn, bygg, etasje, romnummer (eventuelt også sikkerhetsskap/verdiskap med typebetegnelse). Ved mobil installasjon påføres mobil enhets faste base når den ikke er i operasjon. 12. Navn på tilknyttet informasjonssystem: Navn på informasjonssystem den aktuelle kryptoenhet er knyttet til. 13. Graderingsnivå og operasjonsmåte: Sikkerhetsgradering på tilknyttet informasjonssystem/informasjon. For informasjonssystemets operasjonsmåte, se forskrift om informasjonssikkerhet 5-7. 14. Referanse til godkjenning av plassering av kryptorom: Saksreferanse til godkjenning gitt for plasseringen av kryptorommet hvor enheten er installert. 15. Referanse til sikkerhetsgodkjenning av informasjonssystem: Saksreferanse til sikkerhetsgodkjenning gitt for informasjonssystemet. Dersom informasjonssystemet ennå ikke er sikkerhetsgodkjent, oppgis dato for fremsendelse av søknad om sikkerhetsgodkjenning. Fysisk sikring (FoI kapittel 6, kapittel 7G, NSM veiledere) 16. Er den aktuelle installasjonen innenfor sperret område? (FoI 7-35, 6-9). Kryptorom som det stilles krav om kryptoautorisasjon for å bruke skal installeres i kryptorom. Det skal i tillegg opprettes sperret område. 17. Er fysiske områder hvor kryptoutstyret er plassert, sikret i henhold til krav for aktuell sikkerhetsgrad? (FoI kap. 6, kap 7G, NSM veiledere A ). Forskriften gir krav til kryptorommets dører, vegger, himling, eventuelle vinduer, ventiler, kanaler og tilsvarende åpninger. Kryptorom skal minimum sikres tilsvarende som sperret område med informasjon gradert KONFIDENSIELT. Se krav til sperret område for henholdsvis KONFIDENSIELT, HEMMELIG eller STRENGT HEMMELIG. 18. Er nødvendige tiltak for beskyttelse mot TEMPEST implementert (basert på tempestrisikovurdering)? (FoI 5-38). Kryptoutstyr skal beskyttes i samsvar med FoI 5-11: Informasjonssystem for KONFIDENSIELT eller høyere og informasjonssystem for BEGRENSET eller høyere i utenrikstjenesten eller norskkontrollert område i utlandet, skal beskyttes mot at uvedkommende kan få tilgang til sikkerhetsgradert informasjon ved å motta og analysere kompromitterende elektromagnetisk stråling (TEMPEST) fra et informasjonssystem. Virksomhetens leder er ansvarlig for at det blir utarbeidet en skriftlig TEMPEST risikovurdering i samsvar med FoI 5-11. Side 2

Forklaring til rapporteringsskjema for kryptoinstallasjon (FoI 5-11, NSM veileder B ). Kryptoutstyr skal beskyttes i samsvar med FoI 5-11. Alle enheter i et informasjonssystem skal installeres slik at de på en tilstrekkelig måte hindrer at uvedkommende får tilgang til systemet, sender uautorisert informasjon gjennom systemet, eller skader systemet. NSM fastsetter nødvendige tiltak som må iverksettes for å beskytte et informasjonssystem mot TEMPEST. Se NSM veileder: Tempestsikring av IKT-systemer (B). Det fremgår av veilederen i hvilke tilfeller NSM skal kontaktes for å finne riktig type utstyr og riktige installasjonskrav. Kryptosikkerhet (FoS 2-5, FoI kap. 7) 19. Foreligger skriftlig utnevnelse av kryptosikkerhetspersonellet? (FoS 2-5, FoI 7-6, 7-7). Dersom virksomheten har kryptomateriell skal det etableres en kryptosikkerhetsorganisasjon med kryptosikkerhetsleder og kryptoforvalter med stedfortredere. Virksomhetens leder er ansvarlig for at disse utpekes skriftlig. 20. Har kryptosikkerhetsleder, kryptoforvalter og stedfortredere vært ansatt i minst ett år? (FoI 7-6). Bare personell som har vært fast ansatt i virksomheten i minst ett år kan utpekes til kryptosikkerhetsleder eller kryptoforvalter, men mindre NSM i det enkelte tilfellet samtykker i annet. 21. Foreligger dokumentasjon på kryptoautorisasjon av kryptosikkerhetspersonellet? (FoI 7-12). Kryptoautorisasjon kreves for tilgang til kryptomateriell uten manipulasjonssikring godkjent av NSM eller informasjon merket KRYPTO. Kryptoautorisasjon kan gis av virksomhetens leder når sikkerhetsklarering og kryptokvalifisering foreligger. Virksomheten skal føre oversikt over eget kryptoautorisert personell. 22. Er det utarbeidet tilfredsstillende prosedyrer og rutiner for ivaretakelse av kryptosikkerhetstjenesten? (FoI kap. 7, 7-8). Lokale instrukser for kryptosikkerhet skal utarbeides av kryptosikkerhetsleder og godkjennes av virksomhetens leder. Dette innebærer blant annet etablering av tilfredsstillende rutiner for tilintetgjøring av kryptomateriell (kryptodokumenter, kryptonøkler og kryptoutstyr) og klare instrukser for rapportering av sikkerhetstruende hendelser. 23. Blir utførelsen av kryptosikkerhetstjenesten jevnlig kontrollert? (FoI 7-7). Virksomhetens leder er ansvarlig for minimum en gang i året å kontrollere utførelsen av kryptosikkerhetstjenesten i egen virksomhet. 24. Foreligger oversikt over personell med permanent adgang og besøkende til kryptorom? (FoI 7-37). Det skal gjennomføres kontroll med adgangen til kryptorom. Det skal foreligge en liste over personell som har permanent adgang. Listen skal signeres av virksomhetens leder. Side 3

Forklaring til rapporteringsskjema for kryptoinstallasjon Besøkende med tjenstlig behov kan få adgang dersom det er godkjent av virksomhetens leder og de ledsages av personell med permanent adgang. Besøkende skal legitimere seg og registreres i protokoll eller lignende besøksregister. Besøksregisteret skal oppbevares i minst ti år. 25. Er leveransen av kryptotjenester tilstrekkelig avklart? (Se punkt 6. og 7.). Dersom en annen virksomhet (f.eks CYFOR) drifter og forvalter kryptomateriell for virksomheten, skal denne tjenesteleveransen være avklart mellom partene. Dette kan være regulert i en Samhandlingsavtale for leveranse av kryptotjenester. Informasjon om eventuell tjenesteleverandør føres opp under for punkt 25 på arket for «Merknader». 26. Gjennomføres tilfredsstillende øvelser for evakuering og ekstraordinær tilintetgjøring av kryptomateriell? (FoI 7-8, 7-34, kap. 7F). Kryptosikkerhetsleder skal utarbeide plan for evakuering og tilintetgjøring av kryptomateriell og sørge for at nødvendig utstyr er tilgjengelig for å gjennomføre planen. Planen skal være utstyrsspesifikk. 27. Har virksomheten oversikt over kryptosystemene og deres plassering? (FoS 3-3). Grunnleggende forutsetninger for virksomhetens håndtering av skjermingsverdig informasjon som håndterer sikkerhetsgradert informasjon, herunder kryptosystemer, skal identifiseres. Lov og forskrifter: - Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) av 20. mars 1998 nr. 10 - Forskrift om informasjonssikkerhet av 1. juli 2001 nr. 744 med endringer ved forskrift 22. juni 2012 nr. 653 - Forskrift om sikkerhetsadministrasjon av 29. juni 2001 nr. 723 med endringer ved forskrift 22. juni 2012 nr. 580 NSM veiledere: - Veiledning for sikring av kryptorom (NSMs hjemmeside) - Fysisk sikring mot ulovlig inntrengning (NSMs hjemmeside) - Tempestsikring av IKT-systemer (B) (på forespørsel) - Veiledning i administrativ kryptosikkerhet (NSMs hjemmeside) A NSM veiledere «Fysisk sikring mot ulovlig inntrengning» og «Veiledning for sikring av kryptorom» B NSM veileder «Tempestsikring av IKT-systemer» Side 4

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding