Rapporteringsskjema for kryptoinstallasjon Opplysningene i denne rapporten inngår i grunnlaget for NSMs godkjenning av bruk av kryptoutstyr og kryptosystemer, og kryptosikkerheten i den enkelte virksomhet før virksomheten kan ta kryptomateriell i bruk. Utfylt skjema skal signeres av virksomhetens leder og av kryptosikkerhetsleder. Skjemaet vedlegges søknad om godkjenning av kryptoinstallasjon. Virksomhet 1. Virksomhetens navn/enhet: 2. Virksomhetens leder: 3. Adresse/sted (lokasjon): Kryptosikkerhetsorganisasjon 4. Kryptosikkerhetsleder (KSL): 5. KSL stedfortreder: 6. Kryptoforvalter (KF): 7. KF stedfortreder: Org./Avd*: Kryptoutstyr Org./Avd*: 8. Type kryptoutstyr: 9. Serienummer: 10. Stasjonær/mobil kryptoinstallasjon: 11. Fysisk plassering av kryptoutstyr: Stasjonær Mobil 12. Navn på tilknyttet informasjonssystem: 13. Graderingsnivå og operasjonsmåte: 14. Referanse til godkjenning av plassering av kryptorom: 15. Referanse til sikkerhetsgodkjenning av informasjonssystem: Fysisk sikring Ja / Nei / IR 1 16. Er den aktuelle installasjonen innenfor sperret område? FoI 2 7-35, 6-9 17. Er fysiske områder hvor kryptoutstyret er plassert, sikret i henhold til FoI kap. 6, kap 7G, krav for aktuell sikkerhetsgrad? veiledere 3 1 Hvis punktet ikke er relevant, angis dette ved å krysse av i boks merket IR (Ikke Relevant). 2 FoI forskrift om informasjonssikkerhet 3 NSM veiledere «Fysisk sikring mot ulovlig inntrengning» og «Veiledning for sikring av kryptorom» Side 1 av 3 sider
18. Er nødvendige tiltak for beskyttelse mot TEMPEST implementert (basert på tempestrisikovurdering)? Kryptosikkerhet Ja / Nei / IR FoI 5-11, 5-38, veileder 4 19. Foreligger skriftlig utnevnelse av kryptosikkerhetspersonellet? FoS 5 2-5, FoI 7-6, 7-7 20. Har kryptosikkerhetsleder, kryptoforvalter og stedfortredere vært ansatt i minst ett år? FoI 7-6 21. Foreligger dokumentasjon på kryptoautorisasjon av kryptosikkerhetspersonellet? FoI 7-12 22. Er det utarbeidet tilfredsstillende prosedyrer og rutiner for ivaretakelse av kryptosikkerhetstjenesten? FoI 7-8 23. Blir utførelsen av kryptosikkerhetstjenesten jevnlig kontrollert? FoI 7-7 24. Foreligger oversikt over personell med permanent adgang og besøkende til kryptorom? FoI 7-37 25. Er leveransen av kryptotjenester tilstrekkelig avklart? Se forklaring til pkt. 6. og 7. 26. Gjennomføres tilfredsstillende øvelser for evakuering og ekstraordinær tilintetgjøring av kryptomateriell? FoI 7-8, 7-34 27. Har virksomheten oversikt over kryptosystemene og deres plassering? All dokumentasjon må kunne forevises NSM på forespørsel. FoS 3-3 Opplysningene gitt i rapporten er fullstendig og korrekt utfylt av: Dato: Signatur: Kryptosikkerhetsleder Opplysningene gitt i rapporten bekreftes for fullstendighet og korrekthet av: Dato: Signatur: Virksomhetens leder For NSM: Installasjon godkjent for produksjon av kryptonøkkel: Dato: Saksref: Nasjonal sikkerhetsmyndighet 4 NSM veileder «Tempestsikring av IKT-systemer» 5 FoS forskrift om sikkerhetsadministrasjon Side 2 av 3 sider
Merknader (benyttes av virksomheten ved behov for å utdype svar i skjemaet) Virksomhet 1. 2. 3. Kryptosikkerhetsorganisasjon 4. 5. 6. 7. Kryptoutstyr 8. 9. 10. 11. 12. 13. 14. 15. Fysisk sikring 16. 17. 18. Kryptosikkerhet 19. 20. 21. 22. 23. 24. 25. 26. 27. Side 3 av 3 sider V1.0, 20.2.2015
Forklaring til Rapporteringsskjema for kryptoinstallasjon Virksomhet (FoI 6 7-6) 1. Virksomhetens navn/enhet: Navn på virksomhet/enhet som besitter kryptoutstyr og er bruker av tilhørende informasjonssystem. 2. Virksomhetens leder: Navn på leder av virksomhet/enhet som besitter kryptoutstyr og er bruker av tilhørende informasjonssystem. 3. Adresse/sted (lokasjon): Lokasjon eller adresse til virksomheten som besitter kryptoutstyr og er bruker av tilhørende informasjonssystem. Kryptosikkerhetsorganisasjon (FoS 7 2-5, FoI 7-6, 7-7, 7-8, 7-9) 4. Kryptosikkerhetsleder (KSL): Navn på virksomhetens KSL, skriftlig utpekt av virksomhetens leder. 5. KSL stedfortreder: Navn på stedfortredende KSL, skriftlig utpekt av virksomhetens leder. 6. Kryptoforvalter (KF): Navn på virksomhetens KF, skriftlig utpekt av virksomhetens leder. Org/Avd: * Fylles ut dersom en annen virksomhet (f.eks. CYFOR) drifter og forvalter kryptomateriell for virksomheten i rollen som kryptoforvalter. Organisasjon, avdeling og navn på kryptoforvalter fra tjenesteleverandør påføres. Tjenesteleveransen skal være avtalt mellom partene. 7. KF stedfortreder: Navn på stedfortredende KF, skriftlig utpekt av virksomhetens leder. Org/Avd: * Fylles ut dersom en annen virksomhet (f.eks. CYFOR) drifter og forvalter kryptomateriell for virksomheten i rollen som kryptoforvalter. Organisasjon, avdeling og navn på stedfortredende kryptoforvalter fra tjenesteleverandør påføres. Tjenesteleveransen skal være avtalt mellom partene. Kryptoutstyr (SL 8 14, FoI Kap. 7) 8. Type kryptoutstyr: Type/modell på kryptoenhet. Kun kryptosystemer som er godkjent av NSM tillates brukt for beskyttelse av skjermingsverdig informasjon. 9. Serienummer: Serienummer er et unikt nummer for hver enkelt kryptoenhet. Nummeret vil være å finne på enheten og på stedsrapport for kryptoinstallasjon, utfylt av kryptoinstallatør. (Ved kryptoenhet type TCE 621 føres gjerne også Logisk navn og Pzi under punkt 9 på arket for «Merknader»). 6 Forskrift om informasjonssikkerhet (FoI) 7 Forskrift om sikkerhetsadministrasjon (FoS) 8 Sikkerhetsloven (SL) Side 1
Forklaring til rapporteringsskjema for kryptoinstallasjon 10. Stasjonær/mobil kryptoinstallasjon: Med stasjonær installasjon menes utstyr som er fast installert på ett sted uten at det flyttes på. Mobil installasjon er når krypto ikke kun benyttes/installeres på et fast sted, men for eksempel er montert i en kommunikasjonsmodul. 11. Fysisk plassering av kryptoutstyr: Ved stasjonær installasjon oppgis lokasjonsnavn, bygg, etasje, romnummer (eventuelt også sikkerhetsskap/verdiskap med typebetegnelse). Ved mobil installasjon påføres mobil enhets faste base når den ikke er i operasjon. 12. Navn på tilknyttet informasjonssystem: Navn på informasjonssystem den aktuelle kryptoenhet er knyttet til. 13. Graderingsnivå og operasjonsmåte: Sikkerhetsgradering på tilknyttet informasjonssystem/informasjon. For informasjonssystemets operasjonsmåte, se forskrift om informasjonssikkerhet 5-7. 14. Referanse til godkjenning av plassering av kryptorom: Saksreferanse til godkjenning gitt for plasseringen av kryptorommet hvor enheten er installert. 15. Referanse til sikkerhetsgodkjenning av informasjonssystem: Saksreferanse til sikkerhetsgodkjenning gitt for informasjonssystemet. Dersom informasjonssystemet ennå ikke er sikkerhetsgodkjent, oppgis dato for fremsendelse av søknad om sikkerhetsgodkjenning. Fysisk sikring (FoI kapittel 6, kapittel 7G, NSM veiledere) 16. Er den aktuelle installasjonen innenfor sperret område? (FoI 7-35, 6-9). Kryptorom som det stilles krav om kryptoautorisasjon for å bruke skal installeres i kryptorom. Det skal i tillegg opprettes sperret område. 17. Er fysiske områder hvor kryptoutstyret er plassert, sikret i henhold til krav for aktuell sikkerhetsgrad? (FoI kap. 6, kap 7G, NSM veiledere A ). Forskriften gir krav til kryptorommets dører, vegger, himling, eventuelle vinduer, ventiler, kanaler og tilsvarende åpninger. Kryptorom skal minimum sikres tilsvarende som sperret område med informasjon gradert KONFIDENSIELT. Se krav til sperret område for henholdsvis KONFIDENSIELT, HEMMELIG eller STRENGT HEMMELIG. 18. Er nødvendige tiltak for beskyttelse mot TEMPEST implementert (basert på tempestrisikovurdering)? (FoI 5-38). Kryptoutstyr skal beskyttes i samsvar med FoI 5-11: Informasjonssystem for KONFIDENSIELT eller høyere og informasjonssystem for BEGRENSET eller høyere i utenrikstjenesten eller norskkontrollert område i utlandet, skal beskyttes mot at uvedkommende kan få tilgang til sikkerhetsgradert informasjon ved å motta og analysere kompromitterende elektromagnetisk stråling (TEMPEST) fra et informasjonssystem. Virksomhetens leder er ansvarlig for at det blir utarbeidet en skriftlig TEMPEST risikovurdering i samsvar med FoI 5-11. Side 2
Forklaring til rapporteringsskjema for kryptoinstallasjon (FoI 5-11, NSM veileder B ). Kryptoutstyr skal beskyttes i samsvar med FoI 5-11. Alle enheter i et informasjonssystem skal installeres slik at de på en tilstrekkelig måte hindrer at uvedkommende får tilgang til systemet, sender uautorisert informasjon gjennom systemet, eller skader systemet. NSM fastsetter nødvendige tiltak som må iverksettes for å beskytte et informasjonssystem mot TEMPEST. Se NSM veileder: Tempestsikring av IKT-systemer (B). Det fremgår av veilederen i hvilke tilfeller NSM skal kontaktes for å finne riktig type utstyr og riktige installasjonskrav. Kryptosikkerhet (FoS 2-5, FoI kap. 7) 19. Foreligger skriftlig utnevnelse av kryptosikkerhetspersonellet? (FoS 2-5, FoI 7-6, 7-7). Dersom virksomheten har kryptomateriell skal det etableres en kryptosikkerhetsorganisasjon med kryptosikkerhetsleder og kryptoforvalter med stedfortredere. Virksomhetens leder er ansvarlig for at disse utpekes skriftlig. 20. Har kryptosikkerhetsleder, kryptoforvalter og stedfortredere vært ansatt i minst ett år? (FoI 7-6). Bare personell som har vært fast ansatt i virksomheten i minst ett år kan utpekes til kryptosikkerhetsleder eller kryptoforvalter, men mindre NSM i det enkelte tilfellet samtykker i annet. 21. Foreligger dokumentasjon på kryptoautorisasjon av kryptosikkerhetspersonellet? (FoI 7-12). Kryptoautorisasjon kreves for tilgang til kryptomateriell uten manipulasjonssikring godkjent av NSM eller informasjon merket KRYPTO. Kryptoautorisasjon kan gis av virksomhetens leder når sikkerhetsklarering og kryptokvalifisering foreligger. Virksomheten skal føre oversikt over eget kryptoautorisert personell. 22. Er det utarbeidet tilfredsstillende prosedyrer og rutiner for ivaretakelse av kryptosikkerhetstjenesten? (FoI kap. 7, 7-8). Lokale instrukser for kryptosikkerhet skal utarbeides av kryptosikkerhetsleder og godkjennes av virksomhetens leder. Dette innebærer blant annet etablering av tilfredsstillende rutiner for tilintetgjøring av kryptomateriell (kryptodokumenter, kryptonøkler og kryptoutstyr) og klare instrukser for rapportering av sikkerhetstruende hendelser. 23. Blir utførelsen av kryptosikkerhetstjenesten jevnlig kontrollert? (FoI 7-7). Virksomhetens leder er ansvarlig for minimum en gang i året å kontrollere utførelsen av kryptosikkerhetstjenesten i egen virksomhet. 24. Foreligger oversikt over personell med permanent adgang og besøkende til kryptorom? (FoI 7-37). Det skal gjennomføres kontroll med adgangen til kryptorom. Det skal foreligge en liste over personell som har permanent adgang. Listen skal signeres av virksomhetens leder. Side 3
Forklaring til rapporteringsskjema for kryptoinstallasjon Besøkende med tjenstlig behov kan få adgang dersom det er godkjent av virksomhetens leder og de ledsages av personell med permanent adgang. Besøkende skal legitimere seg og registreres i protokoll eller lignende besøksregister. Besøksregisteret skal oppbevares i minst ti år. 25. Er leveransen av kryptotjenester tilstrekkelig avklart? (Se punkt 6. og 7.). Dersom en annen virksomhet (f.eks CYFOR) drifter og forvalter kryptomateriell for virksomheten, skal denne tjenesteleveransen være avklart mellom partene. Dette kan være regulert i en Samhandlingsavtale for leveranse av kryptotjenester. Informasjon om eventuell tjenesteleverandør føres opp under for punkt 25 på arket for «Merknader». 26. Gjennomføres tilfredsstillende øvelser for evakuering og ekstraordinær tilintetgjøring av kryptomateriell? (FoI 7-8, 7-34, kap. 7F). Kryptosikkerhetsleder skal utarbeide plan for evakuering og tilintetgjøring av kryptomateriell og sørge for at nødvendig utstyr er tilgjengelig for å gjennomføre planen. Planen skal være utstyrsspesifikk. 27. Har virksomheten oversikt over kryptosystemene og deres plassering? (FoS 3-3). Grunnleggende forutsetninger for virksomhetens håndtering av skjermingsverdig informasjon som håndterer sikkerhetsgradert informasjon, herunder kryptosystemer, skal identifiseres. Lov og forskrifter: - Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) av 20. mars 1998 nr. 10 - Forskrift om informasjonssikkerhet av 1. juli 2001 nr. 744 med endringer ved forskrift 22. juni 2012 nr. 653 - Forskrift om sikkerhetsadministrasjon av 29. juni 2001 nr. 723 med endringer ved forskrift 22. juni 2012 nr. 580 NSM veiledere: - Veiledning for sikring av kryptorom (NSMs hjemmeside) - Fysisk sikring mot ulovlig inntrengning (NSMs hjemmeside) - Tempestsikring av IKT-systemer (B) (på forespørsel) - Veiledning i administrativ kryptosikkerhet (NSMs hjemmeside) A NSM veiledere «Fysisk sikring mot ulovlig inntrengning» og «Veiledning for sikring av kryptorom» B NSM veileder «Tempestsikring av IKT-systemer» Side 4