Klassifisering og beskyttelse av informasjon - NSM

More documents

Recommendations

Info

5 EKSISTERENDE NASJONALE OG INTERNASJONALESTANDARDEREn av målsetningene med å bruke standarder for informasjonssikkerhet er at virksomhetersom utveksler informasjon, får et felles rammeverk og begrepsapparat. Det gjør det lettere åetablere tillit til hverandres sikkerhet og forstå grunnlaget for de verdivurderinger som angirhva som er tilfredsstillende beskyttelsesbehov. Etablering av standarder vil også etablere ensystematikk som gjør det lettere å klassifisere informasjon.Informasjonssikkerhet er vanligvis en del av en helhetlig sikkerhetsaktivitet i en organisasjonog vil følgelig være innrettet etter de standarder og metoder som hele sikkerhetsaktivitetenfølger. Dersom man ser informasjonssikkerhet isolert, vil det fremdeles være nødvendig å tamed problemstillinger som fysisk sikkerhet, personellsikkerhet, tilgangskontroll,beredskapsplanlegging osv. I en større virksomhet vil en eller flere av disse gjerne være egneansvarsområder i en sikkerhetsorganisasjon.Ved innføring av standarder og valg av metoder for sikkerhetsaktiviteten er det viktig at manforholder seg til den eksisterende sikkerhetskulturen i virksomheten. Det er gjerne kultureltbetingede oppfatninger som preger en organisasjons forståelse av risiko og håndtering avtrusler. Fra dette utgangspunktet kan sikkerhetskulturen planmessig og systematisk utviklesog forbedres som en del av sikkerhetsaktiviteten.I mange sammenhenger er det lagt stor vekt på datasikkerhet som er et smalere område eninformasjonssikkerhet generelt. På området datasikkerhet eksisterer det flere standarder somfokuserer på de tekniske systemene og løsningene, på vedlikehold av eksisterendeprogramvare og utvikling av ny programvare.Pålitelig sikkerhetsarbeid krever at sikkerhetsaktiviteten er underlagt kvalitetsstyring ogderfor vil standarder som ISO 9000-serien, inngå som en del av rammeverket forsikkerhetsledelse.Sikkerhetsaktiviteten vil som regel også omfatte et system for revisjon ved internkontroll. INorge blir det ofte referert til internkontrollforskriften som brukes i HMS-arbeidet.Internasjonalt blir det gjerne referert til COSO-rammeverket (Committee of SponsoringOrganizations of the Treadway Commission). Dette er et generelt rammeverk for finansiellinternkontroll som kan utvides til å være en prosess for å styre hele virksomheten. I dennedelen av sikkerhetsarbeidet er det viktig at det er virksomhetens ledelse som beslutter hvasom er tilstrekkelig sikkerhet og akseptabel risiko.5.1 Standarder for informasjonssikkerhetISO/IEC 27000-serien er standarder for informasjonssikkerhet. Kun noen få deler av serien erferdige, men serien gir en helhetlig tilnærming til et strukturert system for administrasjon avinformasjonssikkerhet.Den sentrale standarden er ISO/IEC 27002 som er utviklet fra britisk standard BS 7799-1:1999. ISO/IEC 27002 het ISO/IEC 17799:2005 fram til juli 2007. Standarden anbefalerretningslinjer og generelle prinsipper for å opprette, iverksette og vedlikeholde et system for12
administrasjon av informasjonssikkerhet. Målsetningen er at en organisasjon skal oppnådokumenterte mål som oppfyller krav som er fastsatt gjennom en risikovurdering.Det er mulig å tilpasse ISO/IEC 27002 til de metodene og strukturen som brukes avstandarder som COBIT og ITIL, og den generelle standarden vil derfor ikke være ikonkurranse med disse spesialiserte standardene. ISO/IEC 27002 vil trolig kunne være etbindeledd til virksomhetens helhetlige sikkerhetsaktiviteter.Kapittel 7.2 i ISO/IEC 27002 omhandler klassifisering av informasjon og er relevant fortemaet som behandles i denne rapporten. I følge standarden skal informasjon klassifiseres iforhold til informasjonens verdi, rettslige og regulatoriske krav, hvor sensitiv informasjonener og hvor kritisk den er for organisasjonen.Kapittel 13 i ISO/IEC 27002 omhandler håndtering av sikkerhetshendelser relatert tilinformasjonssikkerhet. Utfyllende informasjon om dette finnes i ISO/IEC TR 18044 som eren teknisk rapport om samme tema.ISO/IEC 27001 er en standard som inneholder krav for sertifisering av systemet foradministrasjon av informasjonssikkerhet og er ment å brukes i sammenheng med ISO/IEC27002.ISO/IEC 27005 vil bli en standard for risikostyring av informasjonssikkerhet. Dennestandarden er fremdeles under arbeid.ISO/IEC 27004 vil bli en standard for å måle og rapportere effektiviteten av et system foradministrasjon av informasjonssikkerhet. Denne standarden er fremdeles under arbeid.Arbeidet med å gjøre BS 7799 til en ISO-standard møtte noe motstand i starten, og lenge blearbeidet med en annen standard, ISO/IEC TR 13335 Guidelines for the management of ITSecurity (GMITS), sett på som et konkurrerende arbeid. Denne standarden er i ferd med åomarbeides til ISO/IEC 13335 Management of Information and Communications SecurityTechnology. Dette er en standard som i større grad beskriver IKT-sikkerhet, og denne typenstandarder omtales i det følgende kapittel.5.2 Standarder for datasikkerhetStandardene for datamaskinsikkerhet er de standardene som ofte blir brukt derinformasjonssikkerhet har blitt systematisert som en følge av innføring av IKT. På 1980-tallet ble det utviklet nasjonale standarder for datamaskinsikkerhet i flere land. På 1990-talletble det tatt initiativ for å utarbeide ensartede kriterier som kunne få bred internasjonalanerkjennelse. Dette arbeidet resulterte i Common Criteria for Information TechnologySecurity Evaluation (Common Criteria), og i 1999 ble versjon 2.0 til standarden ISO/IEC15408 – Evalueringskriterier for IT-sikkerhet.FIPS (Federal Information Processing Standard) er et sett standarder for bruk i den sivileoffentlige sektor i USA. Denne serien omfatter flere standarder relatert til sikkerhet ogsikkerhetsteknologier. Den standarden som er mest relevant for denne rapporten er FIPS 199Standards for Security Categorization of Federal Information and Information Systems.Denne standarden behandler klassifisering av informasjon særskilt, og den delen som13
Page 4 and 5: TabellerTabell 1 Inndeling i klasse
Page 6 and 7: inndeling av informasjon i klasser,
Page 8 and 9: 2 MANDAT OG SAMMENSETNINGKoordineri
Page 10 and 11: 4 BEGREPSAVKLARINGERAutentisering:
Page 14 and 15: omhandler klassifisering av informa
Page 16 and 17: SikkerhetslovenSikkerhetslovens for
Page 18 and 19: disse må om nødvendig samarbeide
Page 20 and 21: Forskriftens formål er å legge ti
Page 24 and 25: Det finnes noen enkle spørsmål so
Page 27 and 28: 7.3 Eksempler på bruk av klassifis
Page 29 and 30: KonfidensialitetIntegritetTilgjenge
Page 31 and 32: Klasser\OmrådeLavMiddelsHøyInform
Page 33 and 34: 8.4 Noen eksempler på beskyttelses
Page 35 and 36: Klasser/OmrådeLavMiddelsHøySvært
Page 37 and 38: 9 VIDERE ARBEIDDenne rapporten vise

Klassifisering og beskyttelse av informasjon - NSM

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?