Veiledning i administrativ kryptosikkerhet - NSM

More documents

Recommendations

Info

NSM 2007-04-19 UGRADERT Virksomhetens leder behøver ikke kryptokvalifisering for å utøve kontroll i samsvar med § 7-7 nr. 2. Leder som ikke er kryptokvalifisert skal ikke ha tilgang til kryptonøkler i klartekst. 4.2 Til § 7-13 Kryptokvalifiserende myndighet Kryptokvalifisering gis av NSM eller virksomhet som NSM utpeker. 4.3 Til § 7-14 Krav til kryptokvalifisering grad 2 Kryptokvalifisering grad 2 kan bare gis når personellet har tjenstlig behov, har sikkerhetsklarering for HEMMELIG/tilsvarende eller høyere, er norsk statsborger og har gjennomført opplæring som nevnt i § 7-11 første ledd. Tjenstlig behov etter første ledd foreligger bare dersom det er nødvendig å gi personell tilgang til 1. kryptonøkler for testformål eller operativ bruk gradert til og med HEMMELIG, 2. å kryptere eller dekryptere mellom to forbindelsespunkter, Kryptering og dekryptering mellom to forbindelsespunkter, dvs to punkt til punkt forbindelser eller en forbindelse som involverer Managementcenter. Personell som håndterer kryptomateriell utover dette skal være kryptokvalifisert grad I, ref § 7-15. 3. informasjon merket KRYPTO, eller 4. kryptoutstyr for det formål å reparere eller vedlikeholde utstyret. 5 D. Distribusjon og forvaltning av kryptomateriell 5.1 Til § 7-15. Krav til kryptokvalifisering grad 1 Kryptokvalifisering grad 1 kan bare gis når personellet har tjenstlig behov, har sikkerhetsklarering for STRENGT HEMMELIG/tilsvarende, er norsk statsborger og har gjennomført opplæring som nevnt i § 7-11 første ledd. Tjenstlig behov etter første ledd foreligger bare dersom det er nødvendig å gi personell tilgang til 1. kryptonøkler sikkerhetsgradert STRENGT HEMMELIG, 2. kryptonøkler for kryptering og dekryptering mellom flere enn to forbindelsespunkter, 3. å produsere kryptonøkler, eller 4. å operere kryptosystem godkjent for ATOMAL, STRENGT HEMMELIG, KRYPTO, EKSKLUSIV Side 14 av 28 UGRADERT
NSM 2007-04-19 UGRADERT eller tilsvarende. 5.2 Til § 7-16. Tilbakekallelse av kryptokvalifisering NSM eller kryptokvalifiserende myndighet kan tilbakekalle en kryptokvalifisering gitt til person som ikke lenger har tilfredsstillende kunnskaper eller ferdigheter i kryptosikkerhet. NSM skal umiddelbart underrettes om tilbakekallingen. Sikkerhetsloven § 24 gjelder for kryptoautorisasjon så langt den passer. D. Distribusjon og forvaltning av kryptomateriell 5.3 Til § 7-17 Klassifisering og merking Kryptomateriell skal identifiseres med en langtittel som beskriver innholdet eller utstyret, og en korttittel som skal brukes for regnskapsføring. Kryptomateriell kan også identifiseres med et annet navn enn korttittel. Korttittel eller annet navn bestemmes og tildeles av NSM. Individuell korttittel skal være ugradert. Langtittelen sikkerhetsgraderes etter sitt innhold. Ved nyanskaffelse skal anskaffelsesmyndigheten avklare med NSM hvordan materiellet skal klassifiseres og merkes. Produsent av kryptoutstyr og kryptonøkler skal påføre et entydig registreringsnummer. Når kryptomateriell er merket med serienummer brukes dette normalt som registreringsnummer i kryptoregnskapet. Dersom det oppstår tvil om dette, skal NSM avgjøre hva som skal brukes som registreringsnummer. I tillegg til identifikasjon med langtittel, korttittel og registreringsnummer, kan kryptomateriell identifiseres med alfabetiske eller numeriske utgaver. Alfabetisk eller numerisk merking brukes for å skille mellom ulike utgaver av kryptomateriell med samme tittel, feks. på kryptonøkler, publikasjoner, utstyr, osv. Utgavemerking brukes også for å identifisere effektiv kryptoperiode for krypto nøkkelmateriell i henhold til utgitte publikasjoner (NMSG 30 for nasjonalt kryptomateriell og AMSG 600 for NATO kryptomateriell). Slik informasjon kan også være meddelt på annen måte av overordnet myndighet. Eksempel: NMST 502 AAK (Kort tittel: NMST 502, utgave: AAK) Informasjon om kryptonøkler, kryptoalgoritmer, sikkerhetsspesifikasjoner om kryptosystemer og detaljer som omhandler egenskaper til kryptosystemer, skal merkes KRYPTO. Dette omfatter blant annet diagrammer og fotografier, informasjon om endringer av kryptosystemer, resultat av sikkerhetstester, detaljert nøkkelinformasjon og spesifikasjon av sikkerhetsstandarder for produksjon av kryptonøkler, og prosesser og metoder for å analysere kryptosystemer. NSMs sertifiserte kryptoalgoritme skal merkes NSK. Virksomhet som anskaffer kryptoutstyr kan overfor NSM foreslå klassifiseringen kontrollert kryptoutstyr (CCI) av spesifiserte ugraderte elektroniske eller akustiske komponenter eller utstyr, som tillates benyttet til håndtering av sikkerhetsgradert informasjon i informasjonssystemet. NSM avgjør klassifiseringen. Kontrollert kryptoutstyr tilsvarer NATOs betegnelse « Controlled Cryptographic Item » (CCI) og skal merkes CCI. Side 15 av 28 UGRADERT
Page 1 and 2: UGRADERT Nasjonal sikkerhetsmyndigh
Page 3 and 4: NSM 2007-04-19 UGRADERT Innhold 1 I
Page 5 and 6: NSM 2007-04-19 UGRADERT 2 Generelt
Page 7 and 8: NSM 2007-04-19 UGRADERT oppbevares
Page 9 and 10: NSM 2007-04-19 UGRADERT 4. Snarest
Page 11 and 12: NSM 2007-04-19 UGRADERT 3. Utføre
Page 13: NSM 2007-04-19 UGRADERT 3.11 Til §
Page 17 and 18: NSM 2007-04-19 UGRADERT Skjema for
Page 19 and 20: NSM 2007-04-19 UGRADERT 3. RK 3: Ma
Page 21 and 22: NSM 2007-04-19 UGRADERT 6.7 Til §
Page 23 and 24: NSM 2007-04-19 UGRADERT 7.4 Til §
Page 25 and 26: NSM 2007-04-19 UGRADERT og skal bar
Page 27 and 28: NSM 2007-04-19 UGRADERT 6. mangfold

Veiledning i administrativ kryptosikkerhet - NSM

Create successful ePaper yourself

Delete template?

Save as template?