Klassifisering og beskyttelse av informasjon - NSM

More documents

Recommendations

Info

8 METODE/VERKTØY8.1 Metode for verdivurdering (klassifisering)Til hjelp for å vurdere alle relevante forhold ved informasjon som skal klassifiseres, kan detvære nyttig å benytte et skjema som vist nedenfor. For hvert av vurderingstemaene i venstrekolonne kan det angis grad av kritikalitet /skadepotensial i forhold til de tre egenskapene vedinformasjonssikkerhet. For å kunne vurdere skadepotensial og dertil klassifisering, er detfornuftig å bruke en felles referansetabell innenfor virksomheten. Et eksempel på en slikreferansetabell er gjengitt i vedlegg. Generelt vil informasjonens klassifisering gis sammegrad som høyeste skadevurdering i hver av de tre sikkerhetsområdene.Listen over vurderingstemaer er ikke uttømmende. For de enkelte virksomheter bør dennegjennomgåes og suppleres med temaer som er særlig relevante.Skadens art Konfidensialitet IntegritetSkader på liv og helseAlvorlig ulempe og/eller skade forsamfunnetRedusert ytelse / tjenestenivåSkadet omdømme, renommé ogtillitØkonomiske / finansielle tapBrudd på lovverkBrudd på kontrakt/avtaleSkade på tredjepartTap av styring og kontrollSvekket vekstKritikalitetsvurderingTilgjengelighet inkltidsintervallTabell 6 Klassifisering på bakgrunn av konsekvens8.2 BeskyttelsestiltakSom hovedregel bør beskyttelsestiltak dekke krav til beskyttelse på lavere nivåer i tillegg tilsitt eget nivå. Enkelte beskyttelsestiltak kan være felles på tvers av konfidensialitet, integritetog tilgjengelighet (KIT), og styrken på tiltaket avgjøres av klasse.I den påfølgende tabellen, er relevante beskyttelsestiltak i forhold til konfidensialitet,integritet og tilgjengelighet oppsummert. Beskyttelsestiltakene er strukturert i forhold til åtilfredsstille sikringskravene fra klassifiseringen av informasjon og systemer. Tabellen er enoverordnet beskrivelse i stikkordsform og må videreføres til en beskrivelse avbeskyttelsestiltak i informasjonens livssyklus.30
Klasser\OmrådeLavMiddelsHøyInformasjonder innsynmåbegrensestil kun demedtjenstligbehovLagres internsoneMerking avdokumentAutentiseringsnivåsom for brukav intranett.Lagres itilgangsbeskyttedefilområderTilgangsloggOverføreskryptertAutentiseringsnivåhøyere ennintranettSikkersletting /makuleringIntegritetInformasjonder feil ikkepåvirkerbeslutningsprosesserDersom feiloppstår vildet kunneføre tilbetydeligmerarbeidå rette opp,begrensetskade ellerverditap,eller der feilkan gibruker ellerandre dårligomdømmeInformasjonsom direktepåvirkerbeslutninger og der feilkan føre tilbetydeligskade ellerverditapVersjonshåndteringog endringsloggAutentiseringsnivå som forintranettMulighet forå låsedokument forendringBruk avsjekksumSikring mot ålagreondartetkodeAutentiseringsnivå høyereenn intranett(foreksempelsignering avendringer)Arbeidsflytog flereautorisasjons-nivåerIkkebenektingBeskyttsystem iegne sonerInformasjondervedvarendeutilgjengelighetkun førertil etterslepInformasjonderutilgjengelighetvil føre tilstoreetterslep ellervesentligstans itjenesteleveransenKonfidensialitetInformasjonsom allekan få se,og somikke harnoen kravtil skjermingInformasjonsom kunansatte ogandreautorisertekan seBeskyttelsestiltakInformasjonkanpubliseres ogautentiseringbør ikkebrukesBeskyttelsestiltakIngen tiltak utover enkelsikring motondartetkode ogphishingTilgjengelighetInformasjonbruker klarerseg uten ilengreperioderBeskyttelsestiltakIngenspesielle utover enkelsikkerhetskopiRegelmessigsikkerhetskopieringEnkle tiltak forsikring avkontinuerligdriftPlanlagte tiltakfor sikring avdrifskontinuitetsom: SpeilingRedundansSystemovervåking medalarmerUPS/nødstrømSværthøyInformasjonsom erkritisk forvirksomheten og måbegrensestil et fåtallnøkkelpersonerSterkkrypteringNummerertekopierSikkeravhendingInformasjonder feil ibeslutningsgrunnlagetvil kunneføre til feilvurderingermed fatalekonsekvenserValideringskontrollerFullstendighetskontroll,gyldighet,nøyaktighetInformasjonder selvkortereavbrudd vilføre tilkritiskesituasjoner.Fullredundans ialle leddKontinuerligproaktivovervåkingTabell 7 Beskyttelsestiltak for konfidensialitet, integritet og tilgjengelighet31
Page 4 and 5: TabellerTabell 1 Inndeling i klasse
Page 6 and 7: inndeling av informasjon i klasser,
Page 8 and 9: 2 MANDAT OG SAMMENSETNINGKoordineri
Page 10 and 11: 4 BEGREPSAVKLARINGERAutentisering:
Page 12 and 13: 5 EKSISTERENDE NASJONALE OG INTERNA
Page 14 and 15: omhandler klassifisering av informa
Page 16 and 17: SikkerhetslovenSikkerhetslovens for
Page 18 and 19: disse må om nødvendig samarbeide
Page 20 and 21: Forskriftens formål er å legge ti
Page 24 and 25: Det finnes noen enkle spørsmål so
Page 27 and 28: 7.3 Eksempler på bruk av klassifis
Page 29: KonfidensialitetIntegritetTilgjenge
Page 33 and 34: 8.4 Noen eksempler på beskyttelses
Page 35 and 36: Klasser/OmrådeLavMiddelsHøySvært
Page 37 and 38: 9 VIDERE ARBEIDDenne rapporten vise

Klassifisering og beskyttelse av informasjon - NSM

Create successful ePaper yourself

Delete template?

Save as template?