Det handler om at virksomheten har sikkerhetstiltak tilpasset sine behov, at de følger opp om disse er effektive og ikke har unødige negative sideeffekter, og at forvaltningen av sikkerhetstiltakene er kostnadseffektiv. Det handler også om i hvilken grad virksomheten følger opp anbefalinger fra myndigheter, og om det er tilstrekkelig omfang på forskjellige typer av sikkerhetstiltak.
En gjennomgang av denne delen vil gi deg som er etatsstyrer, en oversikt over om virksomheten er i stand til å etablere og forvalte de sikkerhetstiltakene den har behov for, samt følge opp at disse fungerer etter hensikten, og at forvaltningen av dem er kostnadseffektiv.
Indikatorene under inneholder en liste med utsagn eller beskrivelser av tilstand. Den første listen kan benyttes som indikatorer på god styring og kontroll, mens den andre listen beskriver forhold som kan indikere manglende styring og kontroll. Det er ikke direkte sammenheng mellom innholdet i de to listene, og alt har ikke en positiv og en negativ omtale. En del typiske og kjente problemsymptomer er vektlagt med forhold som kan indikere mangler i styring og kontroll.
Virksomheten har hensiktsmessig oversikt over etablerte sikkerhetstiltak.
Virksomheten er i stand til å etablere og forvalte de sikkerhetstiltak som de har behov for.
Det er tydelig hvem som er ansvarlig for at sikkerhetstiltak er etablert og virker etter hensikten.
Risikoeiere, eller de som skal bistå dem med å vurdere risiko, har god oversikt over eksisterende, etablerte sikkerhetstiltak.
Virksomheten har etablert et grunnleggende sett med sikkerhetstiltak for all sin informasjonsbehandling (kalt «fellessikring» i Digitaliseringsdirektoratets veiledning).
Virksomheten har brukt anerkjente tiltaksbanker (rammeverk med sikkerhetstiltak) i valg av sikkerhetstiltak.
Virksomheten har benyttet veiledning fra myndighetsorganer i arbeidet med grunnleggende sikkerhetstiltak. De har for eksempel plukket grunnleggende sikkerhetstiltak fra Nasjonal sikkerhetsmyndighets grunnprinsipper for IKT-sikkerhet.
Virksomheten har et balansert sett med sikkerhetstiltak, med sikte på å forebygge, oppdage og håndtere hendelser.
Virksomheten evaluerer etablerte sikkerhetstiltak regelmessig for å finne ut om tiltakene virker etter hensikten og ikke har utilsiktede negative sideeffekter.
Virksomheten er ikke i stand til å etablere og forvalte sikkerhetstiltakene de har behov for. Dette kan for eksempel skyldes
Virksomheten redegjør hovedsakelig for tekniske sikkerhetstiltak knyttet til IKT og snakker ikke om sikkerhetstiltak knyttet til fysisk og miljømessig sikring, tiltak rettet mot mennesker, tilrettelegging av arbeidsoppgaver eller andre relevante områder.
Virksomheten redegjør hovedsakelig for tiltak for å forebygge informasjonssikkerhetsbrudd og snakker ikke om evne til å oppdage og reagere på informasjonssikkerhetsbrudd.
Virksomheten jobber med å etablere alle sikkerhetstiltak fra en tiltaksbank (rammeverk med sikkerhetstiltak, f.eks. ISO/IEC 27002), uten å ha oversikt over risiko og egne behov.
En gjennomgang av denne delen vil gi deg som er etatsstyrer, en oversikt over om virksomheten har vurdert anbefalte sikkerhetstiltak fra anerkjente rammeverk som NSMs grunnprinsipper for IKT-sikkerhet i sitt arbeid med håndtering av risiko.
Regelverk spesifiserer i liten eller ingen grad detaljer i hvilke sikkerhetstiltak en virksomhet skal etablere. Å etablere alle disse sikkerhetstiltakene er derfor ikke påkrevet, og å etablere alle er heller ikke nødvendigvis tilstrekkelig for alle behov. De fleste virksomheter vil derimot ha behov for sikkerhetstiltak av alle typer, eller innen alle områder, som er nevnt her i denne delen.
Henvisningene av typen «[GP 1.1]» er referanser til NSMs grunnprinsipper for IKT-sikkerhet. Disse er tatt inn for å gjøre det enkelt å referere til utfyllende informasjon i veiledning fra Nasjonal sikkerhetsmyndighet.
Virksomheten har identifisert og kartlagt leveranser, verdikjeder og IKT-ressurser som kan virke inn på risiko og valg av sikringstiltak. Dette inkluderer prinsipper for å
Virksomheten har etablert hensiktsmessige sikkerhetstiltak for å beskytte sine informasjonssystemer basert på ønsket risikonivå og i henhold til beste praksis. Dette inkluderer disse prinsippene:
Virksomheten har etablert mekanismer for å opprettholde etablert sikkerhetstilstand i informasjonssystemene og oppdage avvik fra ønsket tilstand. Dette inkluderer disse prinsippene:
Virksomheten er forberedt på å håndtere eventuelle hendelser som oppstår. Dette inkluderer disse prinsippene:
Virksomheten følger god praksis for systemutvikling.
Informasjonssikkerhet er utformet og iverksatt i hele utviklingsprosessen til informasjonssystemer.
Virksomheten har etablert regler for utvikling av programvare og systemer og benytter dette i forbindelse med utvikling i hele organisasjonen.
Virksomheten følger god praksis for fysisk og miljømessig sikkerhet og har etablert gode rutiner for dette. Virksomheten har tatt hensyn til fysisk sikkerhet i forbindelse med sikre områder, inkludert
Virksomheten følger god praksis for personellsikkerhet og har etablert gode rutiner for dette.
Virksomheten jobber for å skape en god virksomhetskultur og har gode rutiner for informasjonssikkerhet ved ansettelse, oppfølging og opphør av ansettelsesforhold.
Virksomheten har innført gode rutiner for kompetanseheving, opplæring og bevisstgjøring av ansatte.
Virksomheten har bare delvis oversikt over kritiske IKT-systemer og informasjonsflyt til og fra disse systemene.
Virksomheten har ikke oversikt over autorisert og uautorisert maskin- og programvare som benyttes i virksomheten.
Virksomheten har manglende oversikt over hvilke brukergrupper, brukere og tilgangsbehov som finnes i virksomheten, og har ikke formaliserte retningslinjer for tilgangskontroll.
Informasjonssikkerhet er ikke en del av virksomhetens anskaffelsesprosess.
Virksomheten har ikke etablert en helhetlig sikkerhetsarkitektur og mangler eller har mangelfull implementering av viktige sikkerhetsfunksjoner (for eksempel katalogtjenester, kryptografiske moduler, brannmurer, antivirus og verktøy for systemovervåkning).
Alle brukere får lov til å laste ned, åpne og kjøre alle programmer fra e-post, fra nettleser eller fra USB-minnepinner.
Informasjonssystemene er ikke inndelt i logiske soner. Alle brukere har i praksis tilgang til alle nettverksressurser.
Maskin- og programvare er ikke tilstrekkelig konfigurert og tilpasses i liten grad for å tilfredsstille virksomhetens behov.
Virksomheten har ikke tilfredsstillende kontroll på livssyklusen til kontoer: fra de opprettes, til de brukes og endres, og til de deaktiveres eller slettes.
Virksomheten har manglende kontroll på tildeling og bruk av administrative privilegier.
Sensitive virksomhetsdata beskyttes ikke tilfredsstillende på bærbare enheter og når det sendes over usikre medier, som internett.
Virksomheten har gjort lite for å sikre e-post og nettlesere. Gamle programversjoner benyttes, og det er ikke aktivert tiltak for å verifisere avsender av e-post og sjekke vedlegg for skadevare.
Virksomheten mangler systematisk innsamling av logger og andre sikkerhetsrelevante data fra aktuelle systemer. Dataene gjennomgås og analyseres i liten grad.
Endringsprosessen i virksomheten er uformell og dokumenteres ikke. Det er vanskelig å få oversikt over hvilke endringer som er planlagt, hvilke endringer som er gjennomført, og hvordan endringene har blitt godtatt og testet.
Virksomheten har ikke oversikt over hvilke tiltak som er innført for å beskytte informasjonssystemene mot skadevare.
Virksomheten har en adhoc rutine for installering av sikkerhetsoppdateringer. Datamaskiner, servere og nettverksutstyr mangler mange viktige sikkerhetsoppdateringer.
Virksomheten mangler, eller har manglende implementering av, verktøy som beskytter mot kjent skadevare. Eksempler på slike verktøy er antivirus, brannmurer og antiskadevare.
Inntrengingstesting benyttes sjelden eller aldri for å undersøke motstandskraften til informasjonssystemene.
Virksomheten har mangelfulle rutiner for sikkerhetskopiering og gjenoppretting av data. Sikkerhetskopier og gjenoppretting testes sjelden eller aldri.
Virksomheten har et mangelfullt planverk for hendelseshåndtering for å ivareta behovet for virksomhetskontinuitet ved beredskap og krise. Planverket blir ikke testet tilstrekkelig i organisasjonen.
Virksomheten har mangelfulle rutiner for å vurdere og kategorisere hendelser.
Virksomheten har mangelfulle rutiner for kontrollere og håndtere hendelser.
Virksomheten har få eller ingen rutiner for å evaluere og lære av hendelser.
Informasjonssikkerhet er bare delvis integrert i virksomhetens utviklingsprosesser.
Virksomheten har ikke etablert klare regler for utvikling av programvare og systemer.
Nye systemer som innføres, testes ikke systematisk før produksjonssetting.
Virksomheten stiller få eller ingen krav til fysisk sikkerhet ved sikring av bygg, kontorer og øvrige rom og fasiliteter, inkludert fysisk adgangskontroll.
Virksomheten har liten mulighet til å oppdage fysiske sikkerhetsbrudd, og sikkerhetsbrudd som oppstår, rapporteres i liten grad til ledelsen.
Virksomheten har få eller ingen etablerte rutiner for bakgrunnssjekk og verifisering av kvalifikasjoner for kandidater før ansettelse.
Virksomheten er lite opptatt av kompetanseheving, opplæring og bevisstgjøring av ansatte.