Klassifisering og beskyttelse av informasjon - NSM

More documents

Recommendations

Info

8.3 Beskyttelsestiltak i livssyklusInformasjon og systemer kan trenge beskyttelse i hele livssyklusen fra etablering til sletting.Det vil være forskjellige beskyttelsestiltak for ulike deler av denne livssyklusen. Foreksempel er det andre måter å beskytte informasjon som etableres enn informasjon somslettes. For å finne relevante beskyttelsestiltak knyttet til de forskjellige fasene og aktivitetenerundt informasjon, kan det være nyttig å lage en matrise for beskyttelsestiltak i etlivssyklusperspektiv. Følgende områder er relevante:A. Etablering – Omhandler beskyttelsestiltak som må ivaretas ved generering avinformasjon. Ved selvbetjent etablering av brukerkonti (som bestillingmobilabonnement, søknad om lån) skal det vurderes hvilke krav til identifisering avbrukeren (autentisering) det er behov for. Ved etablering skal det også vurderes omdet skal benyttes logger, og hvilken klassifisering og beskyttelse som er nødvendig forinformasjonen i loggene.B. Behandling/aksess – Omhandler beskyttelsestiltak i forhold til tilgangskontroller ogarbeidsflyt. Der hvor det er behov for forskjellige tiltak knyttet til hhv lesing ogendring av informasjon må dette komme fram.C. Overføring – Omhandler beskyttelsestiltak for å sikre informasjon som utvekslesmellom personer eller systemer.D. Lagring/Arkivering – Omhandler beskyttelsestiltak for å sikre at informasjon ikkeblir utsatt for uautorisert innsyn og endring på sin lagringsenhet samtsikkerhetskopiering.E. Sletting – omhandler beskyttelsestiltak for sikker avhending av informasjon når den erutdatert. Også håndteringen av informasjonen i logger ved sletting skal vurderes.32
8.4 Noen eksempler på beskyttelsestiltak i livssyklusNedenfor er det et utkast til beskyttelsestiltak i et livssyklusperspektiv for konfidensialitet,integritet og tilgjengelighet. Gruppens arbeid på dette området er ikke fullført, men er etinnspill til videre arbeid.Klasser/OmrådeLavMiddelsHøySværthøyKonfidensialitetInformasjonsomalle kan fåse, og somikke harnoen kravtil skjermingInformasjonsomkun ansatteog andreautorisertekan seBrukerID +Passord for åfå tilgangEksternemed tilgangmå signeretaushetserklæringLogging avaksess tilinformasjonLoggendringer idokument.Bruker måbekreftekjennskap tilbehandlingsreglermedaksess2 faktorautentiseringfor tilgang tilå behandledataAlleendringerskalgodkjennesav eierInformasjonderinnsyn måbegrensestil kun demedtjenstligbehovInformasjonsom erkritisk forvirksomheten og måbegrensestil et fåtallnøkkelpersonera)EtableringPubliserbarinformasjonbørkvalitetssikresavoverordnedeMerking avdokumentEtablerinformasjonibegrensede sonerMarkersensitivitet ifilegenskapeneEtableres ilukkederom.Bruk av nrkopireferanseBekreftidentitet tilbrukerb)Behandling/aksessKanbehandles ifelles ITsystemmedtilgang tilInternettc) OverføringKan sendesukryptert i e-postKanpubliseresMå sendes tilspesifisertemottakereKandiskuteres iåpne nettBørkrypteresmedminimum128 bitskrypteringsnøkkel vedoverføringSymmetriskkrypteringVedoverføring pååpent nettmå digitalsignatur ogPKI el.l.benyttesAsymmetriskkrypteringIkkebenektelsed)Lagring/arkiveringKan lagres påfelles-områder.Publisertinformasjonbør fryses.Bør lagres påbegrensedeområderMå lagres påbegrensedefilområderKryptertlagring (foreksempel 128bit nøkkel)Lagres påbeskyttedemedia.Kopiering fralagringsmediaforhindresSterkkryptering pålagring (foreksempel 256bit).e)SlettingIngenspesiellekravBør slettesved normaloppryddingvedforeldelseMakuler tryktinformasjon.Permanentsletting avelektroniskemediaSamle innalle merkedekopier.Permanentsletting.Tabell 8 Beskyttelsestiltak i et livssyklusperspektiv for konfidensialitet33
Page 4 and 5: TabellerTabell 1 Inndeling i klasse
Page 6 and 7: inndeling av informasjon i klasser,
Page 8 and 9: 2 MANDAT OG SAMMENSETNINGKoordineri
Page 10 and 11: 4 BEGREPSAVKLARINGERAutentisering:
Page 12 and 13: 5 EKSISTERENDE NASJONALE OG INTERNA
Page 14 and 15: omhandler klassifisering av informa
Page 16 and 17: SikkerhetslovenSikkerhetslovens for
Page 18 and 19: disse må om nødvendig samarbeide
Page 20 and 21: Forskriftens formål er å legge ti
Page 24 and 25: Det finnes noen enkle spørsmål so
Page 27 and 28: 7.3 Eksempler på bruk av klassifis
Page 29 and 30: KonfidensialitetIntegritetTilgjenge
Page 31: Klasser\OmrådeLavMiddelsHøyInform
Page 35 and 36: Klasser/OmrådeLavMiddelsHøySvært
Page 37 and 38: 9 VIDERE ARBEIDDenne rapporten vise

Klassifisering og beskyttelse av informasjon - NSM

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?