Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-26: Utarbeidelse av brukerinstruks
Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjeneste i Norge og forvalter lov om forebyggende sikkerhet av 20 mars 1998. Hensikten med forebyggende sikkerhet er å motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, primært spionasje, sabotasje og terrorhandlinger. Forebyggende sikkerhetstiltak skal ikke være mer inngripende enn strengt nødvendig, og skal bidra til et robust og sikkert samfunn. Hensikt med veiledning NSM sin veiledningsvirksomhet skal bygge kompetanse og øke sikkerhetsnivået i virksomhetene, gjennom økt motivasjon, evne og vilje til å gjennomføre sikkerhetstiltak. NSM gir jevnlig ut veiledninger til hjelp for implementering av de krav sikkerhetsloven stiller. NSM publiserer også veiledninger innen andre fagområder relatert til forebyggende sikkerhetsarbeid. Postadresse Sivil telefon/telefax Militær telefon/telefaks Internettadresse Postboks 14 +47 67 86 40 00/+47 67 86 40 09 515 40 00/515 40 09 www.nsm.stat.no 1306 BÆRUM E-postadresse POSTTERMINAL post@nsm.stat.no Side 2 av 12
NSM Veiledning i utarbeidelse av brukerinstruks 2002-08-23 Om veiledningen Hjemmel Hjemmel for å utgi denne veiledningen er gitt Nasjonal Sikkerhetsmyndighet (NSM) gjennom Sikkerhetsloven 9 bokstav e. Veiledningen utdyper Forskrift om informasjonssikkerhet 5-26, som stiller krav til brukerinstruks. Formål med veiledningen Formålet med veiledningen er å gi en mer detaljert beskrivelse av hvordan en brukerinstruks kan utarbeides. Veiledningen er bygd opp slik at den kan brukes som en mal. En brukerinstruks bør være generell, for å omhandle flest mulig av virksomhetens informasjonssystemer. Spesielle forhold som kun gjelder ett eller få informasjonssystemer, kan beskrives i vedlegg til brukerinstruksen. Brukerinstruksen kan henvise til annen sikkerhetsdokumentasjon/lovverk der dette er enklere, eksempelvis forhold som gjelder beredskapsplanlegging. Innholdet i brukerinstruksen vil variere alt etter størrelsen og kompleksiteten på informasjonssystemet og definert sikkerhetskonsept. Side 3 av 12
Innhold 1 Innledning... 4 1.1 Formål og virkeområde... 4 1.2 Referanser og henvisninger... 4 1.3 Ajourhold... 5 1.4 Versjonskontroll av brukerinstruks... 5 2 Ansvarsforhold og sikkerhetsorganisasjon... 6 2.1 Sikkerhetsorganisasjon... 6 2.2 Tilgang til informasjonssystemer i henhold til autorisasjon... 6 2.3 Krav til brukerkunnskap... 6 2.4 Brukers plikt... 6 2.5 Registrering av hendelser... 7 2.6 Rapportering av sikkerhetsbrudd og sikkerhetstruende hendelser... 7 2.7 Reaksjoner ved sikkerhetsbrudd og sikkerhetstruende hendelser... 7 3 Bruk av virksomhetens informasjonssystemer... 7 3.1 Identifikasjon av virksomhetens informasjonssystemer... 7 3.1.1 Generelt... 7 3.1.2 Identifisering av virksomhetens informasjonssystemer... 8 3.2 Bruk og oppbevaring av passord... 8 3.3 Passord... 8 3.3.1 Passord styrke... 8 3.3.2 Fornying av passord... 8 3.4 Ondsinnet programvare... 8 3.5 Konfigurasjonskontroll... 9 3.6 Utlogging... 9 3.7 Vedlikehold og reparasjon av informasjonssystemer... 9 Vedlegg A Dokumenthistorie... 12 4 Håndtering av informasjon... 10 4.1 Utskrifter... 10 4.2 Elektronisk forsendelse... 10 4.3 Kopiering til uttagbare lagringsmedier... 10 5 Håndtering av lagringsmedia... 10 5.1 Merking... 10 5.2 Registrering av lagringsmedia... 10 5.3 Mottakskontroll/Viruskontroll... 10 5.4 Oppbevaring av lagringsmedia... 11 5.5 Omgradering, frigivelse, sletting og tilintetgjøring... 11 5.6 Utlevering av lagringsmedier... 11 6 Beredskapsplan for <virksomhetens> informasjonssystemer... 11 1 Innledning 1.1 Formål og virkeområde Brukerinstruksen skal beskrive rutiner for forskriftsmessig håndtering av sikkerhetsgradert informasjon på virksomhetens informasjonssystemer. 1.2 Referanser og henvisninger Lovverk Lov av 20 mars 1998 om forebyggende sikkerhetstjeneste (Sikkerhetsloven) med forskrifter. Interne sikkerhetsdokumenter for <virksomhetens> informasjonssystemer: Side 4 av 12
Driftsinstruks Kravspesifikasjon for sikkerhet (KSS) (eventuelt) Beredskapsplan Instruks for/skjema for sikkerhetsrevisjon Konfigurasjonskontroll Tempestrisikovurdering (eventuelt) Kryptosikkerhetsinstruks (eventuelt) Andre relevante instrukser 1.3 Ajourhold Sikkerhetsleder/datasikkerhetsleder er ansvarlig for ajourføring av brukerinstruksen, og at berørt personell blir informert. 1.4 Versjonskontroll av brukerinstruks Dato Versjon Endring Utført av Side 5 av 12
2 Ansvarsforhold og sikkerhetsorganisasjon 2.1 Sikkerhetsorganisasjon Sikkerheten ved <virksomheten> er organisert på følgende måte: Virksomhetens leder Sikkerhetsleder Stedfortreder for sikkerhetsleder Kryptosikkerhetsleder Stedfortreder for kryptosikkerhetsleder Datasikkerhetsleder Stedfortreder for datasikkerhetsleder Kryptoforvalter Stedfortreder for kryptoforvalter < Eventuelt link til organisasjonsoversikt > 2.2 Tilgang til informasjonssystemer i henhold til autorisasjon Sikkerhetsleder i <virksomheten> skal verifisere den enkelte brukers klarering og sørge for at vedkommende har undertegnet taushetserklæring. Virksomhetens leder eller den lederen bemyndiger skal autorisere brukeren for det enkelte informasjonssystem. Sikkerhetsleder/Datasikkerhetsleder eller stedfortreder skal påse at brukeren får rettigheter i systemet etter tjenstlig behov. (Det bør utarbeides et autorisasjonsskjema som forvaltes av virksomhetens sikkerhetsorganisasjon). 2.3 Krav til brukerkunnskap Virksomhetens leder eller den lederen bemyndiger skal påse at bruker gis nødvendig opplæring, slik at brukeren kan operere virksomhetens informasjonssystemer på en sikkerhetsmessig forsvarlig måte. 2.4 Brukers plikt Alt personell som gis tilgang til informasjonssystemer, plikter å sette seg inn i og følge pålegg i brukerinstruksen og annen relevant sikkerhetsdokumentasjon hvor dette er påkrevd. Bruker skal undertegne en erklæring (skjema) om at vedkommende har satt seg i gjeldende sikkerhetsdokumentasjon før det gis tilgang til <virksomhetens> informasjonssystem. Erklæringen skal oppbevares av Side 6 av 12
sikkerhetsleder/datasikkerhetsleder inntil brukeren ikke lenger skal ha tilgang til aktuelt system. (Eksempel på autorisajons-/erklæringsskjema er vedlagt) 2.5 Registrering av hendelser Bruk av informasjonssystemer som behandler informasjon gradert etter sikkerhetsloven, innebærer samtykke til hendelsesregistrering og revisjon. Loggene som hendelsesregistreringen genererer, er underlagt regelmessig revisjon og vil bli benyttet i forbindelse med analyse av hendelser, sikkerhetsbrudd eller mistanke om sikkerhetsbrudd. 2.6 Rapportering av sikkerhetsbrudd og sikkerhetstruende hendelser Alt personell har i sitt arbeid eller oppdrag for virksomheten ansvar for å ivareta sikkerhetsmessige hensyn, og plikter å bidra til forebyggende sikkerhetstjeneste. Sikkerhetsbrudd og sikkerhetstruende hendelser eller forsøk på slike skal snarest rapporteres til sikkerhetsleder/datasikkerhetsleder. Dette punkt gjelder også virus, ondsinnet programvare samt sikkerhetsbrudd utført i vanvare. Virksomheten iverksetter tiltak og rapportering som angitt i forskrift om sikkerhetsadministrasjon. 2.7 Reaksjoner ved sikkerhetsbrudd og sikkerhetstruende hendelser Den som forsettelig eller uaktsomt overtrer bestemmelser gitt i lov, forskrift eller denne instruks kan straffes med bøter eller fengsel; jf Sikkerhetsloven. Medvirkning kan straffes tilsvarende. 3 Bruk av virksomhetens informasjonssystemer 3.1 Identifikasjon av virksomhetens informasjonssystemer 3.1.1 Generelt Forskrift om sikkerhetsadministrasjon stiller krav til at virksomheter med skjermingsverdi informasjon skal ha et ajourført grunnlagsdokument for sikkerhet. Dette dokumentet skal blant annet identifisere hvilke informasjonssystemer, herunder kryptosystemer, som håndterer sikkerhetsgradert informasjon, med angivelse av hvilken sikkerhetsgrad hvert system er sikkerhetsgodkjent for og i hvilke fysiske områder det enkelte system er plassert. Side 7 av 12
3.1.2 Identifisering av virksomhetens informasjonssystemer <List virksomhetens informasjonssystemer med angivelse av hvilken sikkerhetsgrad hvert system er sikkerhetsgodkjent for og i hvilke fysiske områder det enkelte system er plassert. Det kan også vises til grunnlagsdokument eller vedlegg som beskriver spesifikke forhold som gjelder for det enkelte system.> 3.2 Bruk og oppbevaring av passord Passord skal læres og huskes. Om den enkelte ønsker å skrive ned passordet, skal dette legges i forseglet konvolutt og oppbevares tilsvarende systemets gradering. Det begås sikkerhetsbrudd dersom man lar andre låne passordet sitt! Ved å gjøre dette kan man bli ansvarlig for de handlinger andre gjør, med lånt brukeridentitet. Se pkt 3.6. 3.3 Passord Det skal benyttes personlig brukernavn og passord for å få tilgang til det enkelte informasjonssystem. Bruker blir gitt et midlertidig passord som vedkommende må skifte ved førstegangs innlogging. 3.3.1 Passord styrke Passordet skal: Bestå av minimum 14 tegn. (Anbefalt i NSMs systemtekniske veiledninger). Bestå av store og små bokstaver samt tall eller spesialtegn. Være ulikt brukerens tidligere passord. 3.3.2 Fornying av passord Passord skal utgå etter 90 dager. Systemet skal varsle om fornyelse av passord minst to uker før det utgår. Brukere med utgåtte passord skal avkreves et nytt passord i f m neste innlogging; alternativt skal konto sperres samme dag som passordet utgår. Brukere skal ikke kunne skifte passord som er yngre enn ett døgn. 3.4 Ondsinnet programvare Ondsinnet programvare (virus, orm, trojansk hest, logiske bomber, etc) utgjør en trussel mot informasjonssystemer. Dette dreier seg om utførbar programkode som, dersom den blir aktivert på en eller annen måte kan resultere i Svekket eller tapt konfidensialitet (kompromittering av informasjon) Svekket eller tapt tilgjengelighet Side 8 av 12
Svekket integritet Svekket eller tapt autentisitet Ved mistanke om eller påvist infeksjon av virus/ondsinnet programvare skal dette snarest rapporteres til driftspersonell og sikkerhetsleder/datasikkerhetsleder <Her kan et rapporteringsskjema utarbeides> 3.5 Konfigurasjonskontroll Konfigurasjonskontroll er kontroll av den funksjonelle og fysiske sammensetningen av maskin- og programvare i et informasjonssystem. Dette omfatter kontroll av : maskinvare programvare nettverksarkitektur brukere Målet med konfigurasjonskontroll er å unngå at endringer i godkjent konfigurasjon medfører redusert sikkerhet. Bruker skal derfor ikke utføre endringer i konfigurasjonen, som bl.a bytte skjerm, tastatur, installere CD/DVD spiller, modem m.m. Eventuelle behov for endringer eller relokalisering av utstyr, skal klareres med sikkerhetsleder eller driftsorganisasjon. 3.6 Utlogging Når arbeid avsluttes skal alle aktive programmer (lokalt og mot nettverk) avsluttes ved utlogging. Ved kortere fravær fra arbeidsplassen skal skjermsparer aktiviseres. 3.7 Vedlikehold og reparasjon av informasjonssystemer Ved behov for vedlikehold eller reparasjon av systemet eller noen av systemets komponenter, skal driftspersonell kontaktes. Dette gjelder både programvare og maskinvare. Sikkerhetsleder/datasikkerhetsleder skal holdes orientert. Se sikkerhetsorganisasjon. Side 9 av 12
4 Håndtering av informasjon 4.1 Utskrifter Sikkerhetsgradert informasjon som tas ut av informasjonssystemer på papir (utskrifter) skal behandles i henhold til regler angitt i forskrift om informasjonssikkerhet kapittel 4. 4.2 Elektronisk forsendelse Den som sender sikkerhetsgradert informasjon skal på forhånd forvisse seg om at mottaker(e) er autorisert. I informasjonssystemer med mange brukere, er det i tillegg viktig å forvisse seg om at man sender informasjonen til riktig mottaker. 4.3 Kopiering til uttagbare lagringsmedier Lagringsmediet må merkes og føres inn i medieregister. Dersom lagringsmediet skal sendes/overleveres andre virksomheter må man forvisse seg om at virksomheten er autorisert. 5 Håndtering av lagringsmedia 5.1 Merking Graderte lagringsmedia skal merkes med den høyeste sikkerhetsgradering mediet er godkjent for. Navn på eier (virksomheten) og dato for registrering skal også påføres. Maskinvare skal være merket "Sikkerhetsgodkjent for <høyeste godkjente sikkerhetsgradering> iht. Sikkerhetsloven 11 og 12 jf offentlighetsloven 5a. 5.2 Registrering av lagringsmedia Alle lagringsmedia som benyttes ved behandling av informasjon gradert KONFIDENSIELT eller høyere skal registreres i medieregister. 5.3 Mottakskontroll/Viruskontroll Ved mottak av maskinlesbare lagringsmedier eller elektronisk overførte data skal bruker kontrollere at de ikke inneholder filer eller programvare som er ødeleggende Side 10 av 12
eller på annen måte kan true sikkerheten. Dette gjøres ved å foreta en skanning med oppdatert anti-virus program. 5.4 Oppbevaring av lagringsmedia Lagringsmedier er omfattet av definisjonen dokument og skal derfor håndteres i samsvar med bestemmelser gitt i forskrift om informasjonssikkerhet kapittel 4. 5.5 Omgradering, frigivelse, sletting og tilintetgjøring Ved behov for omgradering, frigivelse, sletting eller tilintetgjøring av lagringsmedier kontaktes sikkerhetsleder / datasikkerhetsleder. 5.6 Utlevering av lagringsmedier Brukere som trenger medier for bruk til gradert informasjonsbehandling henvender seg på <hvor> hvor nødvendig antall medier blir merket og eventuelt registrert før de deles ut. 6 Beredskapsplan for <virksomhetens> informasjonssystemer Beredskapsplan for <virksomhetens> informasjonssystemer beskriver forebyggende tiltak i tilfelle en krisesituasjon oppstår. Side 11 av 12
Vedlegg A Dokumenthistorie 2002-08-14 Utkast, første versjon (1.0) 2002-08-23 Revidert versjon (2.0). Godkjent av avdelingssjef FO/S-2. 2007-02-07 Endret til ny dokument mal Side 12 av 12