Nasjonal sikkerhetsmyndighet



Like dokumenter
Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Veiledning i planlegging av graderte informasjonssystemer

Nasjonal sikkerhetsmyndighet

Kan du holde på en hemmelighet?

Brukerinstruks. OntrackEraser Versjon 3.0. Ibas AS

Nasjonal sikkerhetsmyndighet

RHF og HF omfattes av sikkerhetsloven

Brukermanual for Blancco Data Cleaner+ 4.5

Kryptoløsninger I Hjemmekontor Og Mobile Klienter

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

Sikring av industrielle automatiserte kontrollsystemer

Sikkerhet og informasjonssystemer

Vår ref.: 16/ Postadresse: 1478 LØRENSKOG Telefon: Sak 100/16 Oppfølging av sikkerhetsloven ved Akershus universitetssykehus HF

Nasjonal sikkerhetsmyndighet

Sikkerhetsmessig verdivurdering

SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE

Veileder for godkjenning av informasjonssystem. Versjon: 1

KONKURRANSEGRUNNLAG. Bilag 1 Kravspesifikasjon

Beskrivelse av informasjonssystemet

Direktiv Krav til sikkerhetsstyring i Forsvaret

Forslag til forskrift om endringer i forskrift om personellsikkerhet og forskrift om sikkerhetsgraderte anskaffelser

Objektsikkerhet endringer i sikkerhetsloven

Rapportering av sikkerhetstruende hendelser til NSM

Sikkerhetsmål og -strategi

Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Lov av i kraft

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Sikkerhetslov og kommuner

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Sikkerhetsloven. Mobil Agenda Alexander Iversen Sjefingeniør, Sikkerhetsavdelingen

Nasjonal sikkerhetsmyndighet

Veiledning i risiko- og sårbarhetsanalyse

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Nasjonal sikkerhetsmyndighet

Rapporteringsskjema for kryptoinstallasjon

Anbefalinger om åpenhet rundt IKT-hendelser

Bilag 7 Vedlegg 2 - Tjenestekatalog med standardpriser

Veileder for bruk av tynne klienter

Nasjonal sikkerhetsmyndighet. Veiledning UGRADERT UGRADERT. Utgitt av Nasjonal sikkerhetsmyndighet

IKT-sårbarhetsbildet Hvor trykker sikkerhetsskoen. Sjefingeniør Jørgen Botnan Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

FIRE EFFEKTIVE TILTAK MOT DATAANGREP

NSMs Risikovurdering 2006

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Sikkerhetsinstruks bruker

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

Rapport om sikkerhetstilstanden 2009

Ny sikkerhetslov og forskrifter

Nasjonal sikkerhetsmyndighet

Sikkerhetsklareringskonferanse NTL. Direktør Gudmund Gjølstad. 3.april 2019

Personellsikkerhet. Frode Skaarnes Avdelingsdirektør

NASJONAL SIKKERHETSMYNDIGHET

Trusselbildet og krav til sikkerhet mot tilsiktede handlinger

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Egenevalueringsskjema

Brukerveiledning Tilkobling internett

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Veileder for gjennomføring av valg. Fysisk sikring av lokaler og teknisk utstyr ved valg

Eksterne enheter. Dokumentdelenummer: Denne håndboken beskriver hvordan du kobler til eksterne enheter. Oktober 2005

Høringsuttalelse om endringer i sikkerhetsloven

Internkontroll i mindre virksomheter - introduksjon

Kravspesifikasjon. IT-infrastruktur. Kravspesifikasjon. Høgskolen i Oslo. Avdeling for Ingeniører. 23. mai 2008

Databehandleravtale etter personopplysningsloven

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet

Eksterne enheter Brukerhåndbok

Kan du halde på ei hemmelegheit?

God sikkerhetsatferd Hva er det og hvordan få det?

Guide for tilkobling til HIKT s Citrix løsning

Nasjonal sikkerhetsmyndighet

Høring - Forskrifter til ny sikkerhetslov. Overordnede kommentarer. Forsvarsdepartementet. Postboks 8126, Dep 0032 OSLO

NSMs risikovurdering 2005, UGRADERT versjon

2.12 Sikkerhetsinstruks bruker

Fagdag sikring Ny sikkerhetslov og arbeidet med nye forskrifter. Svein Anders Eriksson Leder for sikring og standardisering Ptil

Nasjonal sikkerhetsmyndighet

4.2 Sikkerhetsinstruks bruker

1. Intro om System Center

SIKKERHETSGRADERTE ANSKAFFELSER

Produksjonssettingsrapport

TI TILTAK FOR BESKYTTELSE AV DATAMASKINER

Vår digitale hverdag Et risikobilde i endring

Sikkerhetsorganisering og sikkerhetsgradering i kommunene. Knut Bakstad, Sikkerhetsleder hos FMTL

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

1. Systemsikkerhet Innledning. Innhold

Slik stoppes de fleste dataangrepene

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Endelig kontrollrapport

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

For kunder som bruker Windows for nettverkstilkobling

UGRADERT TRUSSELVURDERING 2007

Transkript:

Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-10: Gjennomføring av konfigurasjonskontroll

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjeneste i Norge og forvalter lov om forebyggende sikkerhet av 20 mars 1998. Hensikten med forebyggende sikkerhet er å motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, primært spionasje, sabotasje og terrorhandlinger. Forebyggende sikkerhetstiltak skal ikke være mer inngripende enn strengt nødvendig, og skal bidra til et robust og sikkert samfunn. Hensikt med veiledning NSM sin veiledningsvirksomhet skal bygge kompetanse og øke sikkerhetsnivået i virksomhetene, gjennom økt motivasjon, evne og vilje til å gjennomføre sikkerhetstiltak. NSM gir jevnlig ut veiledninger til hjelp for implementering av de krav sikkerhetsloven stiller. NSM publiserer også veiledninger innen andre fagområder relatert til forebyggende sikkerhetsarbeid. Postadresse Sivil telefon/telefax Militær telefon/telefaks Internettadresse Postboks 14 +47 67 86 40 00/+47 67 86 40 09 515 40 00/515 40 09 www.nsm.stat.no 1306 BÆRUM E-postadresse POSTTERMINAL post@nsm.stat.no Side 2 av 7

Innhold 1 Generelt... 3 1.1 Hjemmel... 3 1.2 Omfang... 3 1.3 Mål... 3 1.4 Ansvar... 4 1.5 Endringer... 4 2 Gjennomføring... 5 2.1 Maskinvare... 5 2.2 Programvare... 5 2.3 Nettverksarkitektur...6 2.4 Brukere... 7 Vedlegg A Dokumenthistorie... 7 3 Oppsummering... 7 1 Generelt 1.1 Hjemmel Hjemmel for å utgi denne veiledning er gitt Nasjonal sikkerhetsmyndighet (NSM) gjennom sikkerhetslovens 9 bokstav e. Veiledningen utdyper Forskrift om informasjonssikkerhets 5-10 som stiller krav til konfigurasjonskontroll. 1.2 Omfang Konfigurasjonskontroll er kontroll av den funksjonelle og fysiske sammensetningen av maskin- og programvare i et informasjonssystem, fra informasjonssystemet er sikkerhetsgodkjent og i hele systemets levetid. Konfigurasjonskontroll omfatter i denne sammenheng: maskinvare programvare nettverksarkitektur brukere Konfigurasjonskontroll relatert til informasjonssystemer omfatter ikke kontroll med trusselbildet eller overordnet og lokal sikkerhetsdokumentasjon. Ugraderte informasjonssystemer som må sikres på grunn av integritet eller tilgjengelighet, bør også underlegges konfigurasjonskontroll. 1.3 Mål Målet med konfigurasjonskontroll er å unngå at endringer i godkjent konfigurasjon medfører redusert sikkerhet. Side 3 av 7

1.4 Ansvar Sikkerhetsleder eller datasikkerhetslederen hvor denne er utnevnt, har ansvaret for at konfigurasjonskontroll blir gjennomført. 1.5 Endringer Endringer i godkjent konfigurasjon skal forelegges sikkerhetsleder eller datasikkerhetsleder hvor denne er utnevnt, eller prosjektsikkerhetsansvarlig for systemer som er underlagt sentral konfigurasjonskontroll Vesentlige endringer i maskinvare, nettverksarkitektur og programvare vil kunne medføre krav om fornyet sikker hets godkjenning. Slike endringer kan være: Nytt operativsystem Tilkobling av eksterne forbindelser Innføring av disker eller disketter i et disk-/diskettløst konsept Innføring av usertifisert program- eller maskinvare i et sertifisert system Innføring av ikke tempest utstyr i et tempestgodkjent system Endringer i forhold som ikke omfattes av konfigurasjonskontroll relatert til informasjonssystemer, kan også medføre behov for ny sikkerhetsgodkjenning. Side 4 av 7

2 Gjennomføring Konfigurasjonskontroll i et sikkerhetsaspekt skal registrere og analysere endringer i maskinvare programvare nettverksarkitektur brukere 2.1 Maskinvare Maskinvare kan være sentralutrusting består av servere og klienter med lagringsmedia. periferutstyr består av skrivere, skannere og annet eksternt utstyr tilknyttet en server eller klient All maskinvare i graderte informasjonssystemer skal registreres. Dette omfatter både plassering av nytt utstyr og endring i plassering og oppsett av eksisterende utstyr. Registreringen bør omfatte type, serienummerregistrering og plassering. Dette arbeidet vil normalt høre innunder driftsorganisasjonen. 2.2 Programvare Programvare er fellesbetegnelsen på nettverksoperativsystemer operativsystem applikasjoner patcher / fix script Programvare skal registreres ved navn, type, lisens- og versjonsnummer samt på hvilke maskiner den er installert. Dette omfatter både ny programvare og endringer i eksisterende. Dette arbeidet vil normalt høre innunder driftsorganisasjonen. NSM anbefaler at konfigurasjonskontroll gjennomføres elektronisk. Side 5 av 7

2.3 Nettverksarkitektur Med nettverksarkitektur menes kombinasjon av: sentralutrustning kabler patchepanel hub switch bridge brouter gateway / brannmur router nettverksprinter andre nettverkskomponenter Nettverksarkitektur skal dokumenteres. Dokumentasjonen skal inneholde informasjon om nettverkets topologi, fysiske lokalisering av sentralutrustning, nettverksadresser og alle nettverkskomponenter. Dokumentasjonen må vedlikeholdes / ajourføres. Graden av dokumentasjon vil måtte variere i forhold til systemets kompleksitet. Eksempel på nettverks diagram, som del av dokumentasjonen av nettverksarkitekturen. Side 6 av 7

2.4 Brukere Brukere av informasjonssystemet skal være klarert og autorisert av sikkerhetsleder eller datasikkerhetsleder. Under operativ drift vil det av naturlig årsaker over tid oppstå endringer i personellsituasjonen. Konfigurasjonskontroll med tanke på brukere må derfor ivareta: Nye brukeres tilgang til systemet Endring i eksisterende brukeres medlemskap i grupper og installert maskinog programvare. Oppfølging av brukere som ikke lenger skal ha tilgang til systemet Brukere av systemet skal registreres med navn, brukernavn, gruppemedlemskap med rettigheter og ressurser samt installert maskin- og programvare. Vedlegg A Dokumenthistorie 2002-08-14 Utkast, første versjon (1.0) 2002-08-23 Revidert versjon (2.0). Godkjent av avdelingssjef FO/S-2. 3 Oppsummering Sikkerhetsmessig konfigurasjonskontroll er nødvendig i hele systemets levetid. Alle endringer skal registreres, dokumenteres og godkjennes. Sikkerhetsleder / datasikkerhetsleder har ansvaret for at endringene ikke svekker sikkerheten. Kravene til konfigurasjonskontroll skal være beskrevet i KSS og ivaretatt i Driftsinstruks. Side 7 av 7

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding