Nasjonal sikkerhetsmyndighet

Like dokumenter
Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Brukermanual for Blancco Data Cleaner+ 4.5

Brukerinstruks. OntrackEraser Versjon 3.0. Ibas AS

Nasjonal sikkerhetsmyndighet

RHF og HF omfattes av sikkerhetsloven

Nasjonal sikkerhetsmyndighet

Rapporteringsskjema for kryptoinstallasjon

Nasjonal sikkerhetsmyndighet

Rapportering av sikkerhetstruende hendelser til NSM

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

Nasjonal sikkerhetsmyndighet

Forslag til forskrift om endringer i forskrift om personellsikkerhet og forskrift om sikkerhetsgraderte anskaffelser

Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Lov av i kraft

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Vår ref.: 16/ Postadresse: 1478 LØRENSKOG Telefon: Sak 100/16 Oppfølging av sikkerhetsloven ved Akershus universitetssykehus HF

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

Direktiv Krav til sikkerhetsstyring i Forsvaret

Sikkerhetsorganisering og sikkerhetsgradering i kommunene. Knut Bakstad, Sikkerhetsleder hos FMTL

SIKKERHETSAVTALE. esaf/doculivenummer: xxxxxxxxxxx. Inngått dato. mellom

Kan du holde på en hemmelighet?

Forskrift om objektsikkerhet

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Veiledning i planlegging av graderte informasjonssystemer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Nasjonal sikkerhetsmyndighet

Anbefalinger om åpenhet rundt IKT-hendelser

Kommunens Internkontroll

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

NSMs Risikovurdering 2006

Sikkerhetsloven. Mobil Agenda Alexander Iversen Sjefingeniør, Sikkerhetsavdelingen

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Databehandleravtale etter personopplysningsloven

Sikkerhetsinstruks bruker

Databehandleravtale for NLF-medlemmer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

IKT-reglement for Norges musikkhøgskole

NOTAT SAMMENDRAG. Høringsuttalelse om nye forskrifter til ny sikkerhetslov. Nye forskrifter til lov om nasjonal sikkerhet (sikkerhetsloven) Åpen

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

OVERSIKT SIKKERHETSARBEIDET I UDI

Sikkerhetskrav for systemer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Sikkerhetskrav for systemer

RUTINER FOR SIKKERHET FOR PRODUKTREGISTERET OG FOR VIRKSOMHETER SOM BRUKER BESKYTTELSESGRADERT INFORMASJON FRA PRODUKTREGISTERET

Krav til informasjonssikkerhet

2.4 Bruk av datautstyr, databehandling

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Objektsikkerhet endringer i sikkerhetsloven

Veiledning i risiko- og sårbarhetsanalyse

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Veileder for godkjenning av informasjonssystem. Versjon: 1

4.2 Sikkerhetsinstruks bruker

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Sikkerhet og informasjonssystemer

Rapport om sikkerhetstilstanden 2009

Nasjonal sikkerhetsmyndighet

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON. [Virksomhetens navn] [Virksomhetens navn]

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Kriminalomsorgen. Taushetserklæring

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"


CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Overordnet IT beredskapsplan

Sikkerhetskrav for systemer

Nettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0.

Veiledning i sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur

Endelig kontrollrapport

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

Sikkerhetsmessig verdivurdering

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Veileder i sikkerhetsstyring. Versjon: 1

Sikkerhetsmål og -strategi

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Ny sikkerhetslov og forskrifter

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Nasjonal sikkerhetsmyndighet

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Sikkerhetslov og kommuner

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Nasjonal sikkerhetsmyndighet. Veiledning UGRADERT UGRADERT. Utgitt av Nasjonal sikkerhetsmyndighet

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Transkript:

Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-26: Utarbeidelse av brukerinstruks

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjeneste i Norge og forvalter lov om forebyggende sikkerhet av 20 mars 1998. Hensikten med forebyggende sikkerhet er å motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, primært spionasje, sabotasje og terrorhandlinger. Forebyggende sikkerhetstiltak skal ikke være mer inngripende enn strengt nødvendig, og skal bidra til et robust og sikkert samfunn. Hensikt med veiledning NSM sin veiledningsvirksomhet skal bygge kompetanse og øke sikkerhetsnivået i virksomhetene, gjennom økt motivasjon, evne og vilje til å gjennomføre sikkerhetstiltak. NSM gir jevnlig ut veiledninger til hjelp for implementering av de krav sikkerhetsloven stiller. NSM publiserer også veiledninger innen andre fagområder relatert til forebyggende sikkerhetsarbeid. Postadresse Sivil telefon/telefax Militær telefon/telefaks Internettadresse Postboks 14 +47 67 86 40 00/+47 67 86 40 09 515 40 00/515 40 09 www.nsm.stat.no 1306 BÆRUM E-postadresse POSTTERMINAL post@nsm.stat.no Side 2 av 12

NSM Veiledning i utarbeidelse av brukerinstruks 2002-08-23 Om veiledningen Hjemmel Hjemmel for å utgi denne veiledningen er gitt Nasjonal Sikkerhetsmyndighet (NSM) gjennom Sikkerhetsloven 9 bokstav e. Veiledningen utdyper Forskrift om informasjonssikkerhet 5-26, som stiller krav til brukerinstruks. Formål med veiledningen Formålet med veiledningen er å gi en mer detaljert beskrivelse av hvordan en brukerinstruks kan utarbeides. Veiledningen er bygd opp slik at den kan brukes som en mal. En brukerinstruks bør være generell, for å omhandle flest mulig av virksomhetens informasjonssystemer. Spesielle forhold som kun gjelder ett eller få informasjonssystemer, kan beskrives i vedlegg til brukerinstruksen. Brukerinstruksen kan henvise til annen sikkerhetsdokumentasjon/lovverk der dette er enklere, eksempelvis forhold som gjelder beredskapsplanlegging. Innholdet i brukerinstruksen vil variere alt etter størrelsen og kompleksiteten på informasjonssystemet og definert sikkerhetskonsept. Side 3 av 12

Innhold 1 Innledning... 4 1.1 Formål og virkeområde... 4 1.2 Referanser og henvisninger... 4 1.3 Ajourhold... 5 1.4 Versjonskontroll av brukerinstruks... 5 2 Ansvarsforhold og sikkerhetsorganisasjon... 6 2.1 Sikkerhetsorganisasjon... 6 2.2 Tilgang til informasjonssystemer i henhold til autorisasjon... 6 2.3 Krav til brukerkunnskap... 6 2.4 Brukers plikt... 6 2.5 Registrering av hendelser... 7 2.6 Rapportering av sikkerhetsbrudd og sikkerhetstruende hendelser... 7 2.7 Reaksjoner ved sikkerhetsbrudd og sikkerhetstruende hendelser... 7 3 Bruk av virksomhetens informasjonssystemer... 7 3.1 Identifikasjon av virksomhetens informasjonssystemer... 7 3.1.1 Generelt... 7 3.1.2 Identifisering av virksomhetens informasjonssystemer... 8 3.2 Bruk og oppbevaring av passord... 8 3.3 Passord... 8 3.3.1 Passord styrke... 8 3.3.2 Fornying av passord... 8 3.4 Ondsinnet programvare... 8 3.5 Konfigurasjonskontroll... 9 3.6 Utlogging... 9 3.7 Vedlikehold og reparasjon av informasjonssystemer... 9 Vedlegg A Dokumenthistorie... 12 4 Håndtering av informasjon... 10 4.1 Utskrifter... 10 4.2 Elektronisk forsendelse... 10 4.3 Kopiering til uttagbare lagringsmedier... 10 5 Håndtering av lagringsmedia... 10 5.1 Merking... 10 5.2 Registrering av lagringsmedia... 10 5.3 Mottakskontroll/Viruskontroll... 10 5.4 Oppbevaring av lagringsmedia... 11 5.5 Omgradering, frigivelse, sletting og tilintetgjøring... 11 5.6 Utlevering av lagringsmedier... 11 6 Beredskapsplan for <virksomhetens> informasjonssystemer... 11 1 Innledning 1.1 Formål og virkeområde Brukerinstruksen skal beskrive rutiner for forskriftsmessig håndtering av sikkerhetsgradert informasjon på virksomhetens informasjonssystemer. 1.2 Referanser og henvisninger Lovverk Lov av 20 mars 1998 om forebyggende sikkerhetstjeneste (Sikkerhetsloven) med forskrifter. Interne sikkerhetsdokumenter for <virksomhetens> informasjonssystemer: Side 4 av 12

Driftsinstruks Kravspesifikasjon for sikkerhet (KSS) (eventuelt) Beredskapsplan Instruks for/skjema for sikkerhetsrevisjon Konfigurasjonskontroll Tempestrisikovurdering (eventuelt) Kryptosikkerhetsinstruks (eventuelt) Andre relevante instrukser 1.3 Ajourhold Sikkerhetsleder/datasikkerhetsleder er ansvarlig for ajourføring av brukerinstruksen, og at berørt personell blir informert. 1.4 Versjonskontroll av brukerinstruks Dato Versjon Endring Utført av Side 5 av 12

2 Ansvarsforhold og sikkerhetsorganisasjon 2.1 Sikkerhetsorganisasjon Sikkerheten ved <virksomheten> er organisert på følgende måte: Virksomhetens leder Sikkerhetsleder Stedfortreder for sikkerhetsleder Kryptosikkerhetsleder Stedfortreder for kryptosikkerhetsleder Datasikkerhetsleder Stedfortreder for datasikkerhetsleder Kryptoforvalter Stedfortreder for kryptoforvalter < Eventuelt link til organisasjonsoversikt > 2.2 Tilgang til informasjonssystemer i henhold til autorisasjon Sikkerhetsleder i <virksomheten> skal verifisere den enkelte brukers klarering og sørge for at vedkommende har undertegnet taushetserklæring. Virksomhetens leder eller den lederen bemyndiger skal autorisere brukeren for det enkelte informasjonssystem. Sikkerhetsleder/Datasikkerhetsleder eller stedfortreder skal påse at brukeren får rettigheter i systemet etter tjenstlig behov. (Det bør utarbeides et autorisasjonsskjema som forvaltes av virksomhetens sikkerhetsorganisasjon). 2.3 Krav til brukerkunnskap Virksomhetens leder eller den lederen bemyndiger skal påse at bruker gis nødvendig opplæring, slik at brukeren kan operere virksomhetens informasjonssystemer på en sikkerhetsmessig forsvarlig måte. 2.4 Brukers plikt Alt personell som gis tilgang til informasjonssystemer, plikter å sette seg inn i og følge pålegg i brukerinstruksen og annen relevant sikkerhetsdokumentasjon hvor dette er påkrevd. Bruker skal undertegne en erklæring (skjema) om at vedkommende har satt seg i gjeldende sikkerhetsdokumentasjon før det gis tilgang til <virksomhetens> informasjonssystem. Erklæringen skal oppbevares av Side 6 av 12

sikkerhetsleder/datasikkerhetsleder inntil brukeren ikke lenger skal ha tilgang til aktuelt system. (Eksempel på autorisajons-/erklæringsskjema er vedlagt) 2.5 Registrering av hendelser Bruk av informasjonssystemer som behandler informasjon gradert etter sikkerhetsloven, innebærer samtykke til hendelsesregistrering og revisjon. Loggene som hendelsesregistreringen genererer, er underlagt regelmessig revisjon og vil bli benyttet i forbindelse med analyse av hendelser, sikkerhetsbrudd eller mistanke om sikkerhetsbrudd. 2.6 Rapportering av sikkerhetsbrudd og sikkerhetstruende hendelser Alt personell har i sitt arbeid eller oppdrag for virksomheten ansvar for å ivareta sikkerhetsmessige hensyn, og plikter å bidra til forebyggende sikkerhetstjeneste. Sikkerhetsbrudd og sikkerhetstruende hendelser eller forsøk på slike skal snarest rapporteres til sikkerhetsleder/datasikkerhetsleder. Dette punkt gjelder også virus, ondsinnet programvare samt sikkerhetsbrudd utført i vanvare. Virksomheten iverksetter tiltak og rapportering som angitt i forskrift om sikkerhetsadministrasjon. 2.7 Reaksjoner ved sikkerhetsbrudd og sikkerhetstruende hendelser Den som forsettelig eller uaktsomt overtrer bestemmelser gitt i lov, forskrift eller denne instruks kan straffes med bøter eller fengsel; jf Sikkerhetsloven. Medvirkning kan straffes tilsvarende. 3 Bruk av virksomhetens informasjonssystemer 3.1 Identifikasjon av virksomhetens informasjonssystemer 3.1.1 Generelt Forskrift om sikkerhetsadministrasjon stiller krav til at virksomheter med skjermingsverdi informasjon skal ha et ajourført grunnlagsdokument for sikkerhet. Dette dokumentet skal blant annet identifisere hvilke informasjonssystemer, herunder kryptosystemer, som håndterer sikkerhetsgradert informasjon, med angivelse av hvilken sikkerhetsgrad hvert system er sikkerhetsgodkjent for og i hvilke fysiske områder det enkelte system er plassert. Side 7 av 12

3.1.2 Identifisering av virksomhetens informasjonssystemer <List virksomhetens informasjonssystemer med angivelse av hvilken sikkerhetsgrad hvert system er sikkerhetsgodkjent for og i hvilke fysiske områder det enkelte system er plassert. Det kan også vises til grunnlagsdokument eller vedlegg som beskriver spesifikke forhold som gjelder for det enkelte system.> 3.2 Bruk og oppbevaring av passord Passord skal læres og huskes. Om den enkelte ønsker å skrive ned passordet, skal dette legges i forseglet konvolutt og oppbevares tilsvarende systemets gradering. Det begås sikkerhetsbrudd dersom man lar andre låne passordet sitt! Ved å gjøre dette kan man bli ansvarlig for de handlinger andre gjør, med lånt brukeridentitet. Se pkt 3.6. 3.3 Passord Det skal benyttes personlig brukernavn og passord for å få tilgang til det enkelte informasjonssystem. Bruker blir gitt et midlertidig passord som vedkommende må skifte ved førstegangs innlogging. 3.3.1 Passord styrke Passordet skal: Bestå av minimum 14 tegn. (Anbefalt i NSMs systemtekniske veiledninger). Bestå av store og små bokstaver samt tall eller spesialtegn. Være ulikt brukerens tidligere passord. 3.3.2 Fornying av passord Passord skal utgå etter 90 dager. Systemet skal varsle om fornyelse av passord minst to uker før det utgår. Brukere med utgåtte passord skal avkreves et nytt passord i f m neste innlogging; alternativt skal konto sperres samme dag som passordet utgår. Brukere skal ikke kunne skifte passord som er yngre enn ett døgn. 3.4 Ondsinnet programvare Ondsinnet programvare (virus, orm, trojansk hest, logiske bomber, etc) utgjør en trussel mot informasjonssystemer. Dette dreier seg om utførbar programkode som, dersom den blir aktivert på en eller annen måte kan resultere i Svekket eller tapt konfidensialitet (kompromittering av informasjon) Svekket eller tapt tilgjengelighet Side 8 av 12

Svekket integritet Svekket eller tapt autentisitet Ved mistanke om eller påvist infeksjon av virus/ondsinnet programvare skal dette snarest rapporteres til driftspersonell og sikkerhetsleder/datasikkerhetsleder <Her kan et rapporteringsskjema utarbeides> 3.5 Konfigurasjonskontroll Konfigurasjonskontroll er kontroll av den funksjonelle og fysiske sammensetningen av maskin- og programvare i et informasjonssystem. Dette omfatter kontroll av : maskinvare programvare nettverksarkitektur brukere Målet med konfigurasjonskontroll er å unngå at endringer i godkjent konfigurasjon medfører redusert sikkerhet. Bruker skal derfor ikke utføre endringer i konfigurasjonen, som bl.a bytte skjerm, tastatur, installere CD/DVD spiller, modem m.m. Eventuelle behov for endringer eller relokalisering av utstyr, skal klareres med sikkerhetsleder eller driftsorganisasjon. 3.6 Utlogging Når arbeid avsluttes skal alle aktive programmer (lokalt og mot nettverk) avsluttes ved utlogging. Ved kortere fravær fra arbeidsplassen skal skjermsparer aktiviseres. 3.7 Vedlikehold og reparasjon av informasjonssystemer Ved behov for vedlikehold eller reparasjon av systemet eller noen av systemets komponenter, skal driftspersonell kontaktes. Dette gjelder både programvare og maskinvare. Sikkerhetsleder/datasikkerhetsleder skal holdes orientert. Se sikkerhetsorganisasjon. Side 9 av 12

4 Håndtering av informasjon 4.1 Utskrifter Sikkerhetsgradert informasjon som tas ut av informasjonssystemer på papir (utskrifter) skal behandles i henhold til regler angitt i forskrift om informasjonssikkerhet kapittel 4. 4.2 Elektronisk forsendelse Den som sender sikkerhetsgradert informasjon skal på forhånd forvisse seg om at mottaker(e) er autorisert. I informasjonssystemer med mange brukere, er det i tillegg viktig å forvisse seg om at man sender informasjonen til riktig mottaker. 4.3 Kopiering til uttagbare lagringsmedier Lagringsmediet må merkes og føres inn i medieregister. Dersom lagringsmediet skal sendes/overleveres andre virksomheter må man forvisse seg om at virksomheten er autorisert. 5 Håndtering av lagringsmedia 5.1 Merking Graderte lagringsmedia skal merkes med den høyeste sikkerhetsgradering mediet er godkjent for. Navn på eier (virksomheten) og dato for registrering skal også påføres. Maskinvare skal være merket "Sikkerhetsgodkjent for <høyeste godkjente sikkerhetsgradering> iht. Sikkerhetsloven 11 og 12 jf offentlighetsloven 5a. 5.2 Registrering av lagringsmedia Alle lagringsmedia som benyttes ved behandling av informasjon gradert KONFIDENSIELT eller høyere skal registreres i medieregister. 5.3 Mottakskontroll/Viruskontroll Ved mottak av maskinlesbare lagringsmedier eller elektronisk overførte data skal bruker kontrollere at de ikke inneholder filer eller programvare som er ødeleggende Side 10 av 12

eller på annen måte kan true sikkerheten. Dette gjøres ved å foreta en skanning med oppdatert anti-virus program. 5.4 Oppbevaring av lagringsmedia Lagringsmedier er omfattet av definisjonen dokument og skal derfor håndteres i samsvar med bestemmelser gitt i forskrift om informasjonssikkerhet kapittel 4. 5.5 Omgradering, frigivelse, sletting og tilintetgjøring Ved behov for omgradering, frigivelse, sletting eller tilintetgjøring av lagringsmedier kontaktes sikkerhetsleder / datasikkerhetsleder. 5.6 Utlevering av lagringsmedier Brukere som trenger medier for bruk til gradert informasjonsbehandling henvender seg på <hvor> hvor nødvendig antall medier blir merket og eventuelt registrert før de deles ut. 6 Beredskapsplan for <virksomhetens> informasjonssystemer Beredskapsplan for <virksomhetens> informasjonssystemer beskriver forebyggende tiltak i tilfelle en krisesituasjon oppstår. Side 11 av 12

Vedlegg A Dokumenthistorie 2002-08-14 Utkast, første versjon (1.0) 2002-08-23 Revidert versjon (2.0). Godkjent av avdelingssjef FO/S-2. 2007-02-07 Endret til ny dokument mal Side 12 av 12

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding