Kvalitetsordning for bruk av leverandører av tjenester innen IKT-hendelseshåndtering

Nasjonal sikkerhetsmyndighet (NSM) har opprettet en godkjenningsordning for leverandører som tilbyr tjenester innen håndtering av dataangrep.

Hensikten med ordningen

Hensikten med NSMs kvalitetsordning for bruk av tredjepart innen IKT-hendelseshåndtering er å gjøre det mulig for virksomheter å velge leverandører som NSM anser har tilfredsstillende tjenestekvalitet.  Ordningen skal videre bidra til å heve den generelle sikkerhetskompetansen i Norge.

Omfanget av hendelseshåndtering som definert i kvalitetsordningen

Hendelseshåndtering er en prosess for å identifisere og respondere på en IKT-sikkerhetshendelse. En IKT-sikkerhetshendelse har oppstått om en aktør har eller har hatt uønsket tilgang til ett eller flere informasjonssystemer, eller det er mistanke om at noen har skaffet seg en slik tilgang. Intensjonen bak en uønsket tilgang kan være å få adgang til sensitiv informasjon, eller å ødelegge, skade eller endre informasjon på systemene mtp. konfidensialitet, autentisitet, integritet og/eller tilgjengelighet. Hendelseshåndteringsprosessen er en kvalitetsprosess som blant annet inneholder tiltak for å:

  1. Identifisere og klassifisere hva som har skjedd, uønsket aktør og/eller skadevare, angrepsvektor og verktøy samt aktørens modus operandi
  2. Kartlegge hvordan tilgangen er skaffet til veie, og omfang av aktørens eller skadevarens aktiviteter på informasjonssystemene
  3. Begrense og ev. hindre videre uønsket aktivitet på systemet, samt registrere hvorledes dette utføres
  4. Sikre elektroniske bevis
  5. Gjenopprette normaltilstand ved informasjonssystemet
  6. Utarbeide læringspunkter og anbefalte tiltak til oppdragsgiver for å øke sikkerheten
  7. Rapportere omfanget av ovenstående til oppdragsgiver

 

NSMs kvalitetsordning innen hendelseshåndtering innebærer at bedrifter må dokumentere at de tilfredsstiller definerte krav på ni områder. De ni områdene er:

  1. Referanser, dvs. ha praktisk erfaring innen hendelseshåndtering.
  2. Cyber-trusseletterretning, dvs. ha innsikt i og forståelse for eksisterende og potensielle cyber-trusler og -teknikker.
  3. Verktøy, dvs. ha evne til å utvikle, tilpasse og bruke verktøy og teknikker som en del av etterforskning av digitale operasjoner.
  4. Prosess, dvs. ha en hensiktsmessig, repetérbar og effektiv hendelseshåndteringprosess.
  5. Beskrivelse av utført oppdrag, dvs. ha beskrevet en tidligere gjennomført hendelseshåndtering inkludert relevante tilhørende aktiviteter.
  6. Eksempel på sluttrapport, dvs. ha en klar og konsis rapportering til både teknisk og ikke-teknisk personell etter en hendelseshåndtering.
  7. Egenbeskyttelse, dvs. ha evne til å beskytte sensitiv informasjon.
  8. Læringssløyfe, dvs. bruke situasjonsforståelsen av cyber-trusler, teknikker og/eller verktøy til å forbedre beskyttelsen av egne systemer og nettverk.
  9. Robusthet, dvs. ha evne til å opprettholde operasjoner, forretningsvirksomhet og operative informasjonssystemer over tid.

Pilotordning

NSM presiserer at kvalitetsordningen innen hendelseshåndtering er en pilotordning, som vil bli evaluert på et senere tidspunkt for å vurdere faglig innhold og måloppnåelse. NSM tar derfor forbehold om at ordningen vil kunne bli endret eller avsluttet.

Bedrifter som tilfredsstiller NSMs krav

Nedenstående bedrifter er evaluert av NSM og er ved søknadstidspunktet funnet å tilfredsstille NSMs kvalitetskrav innen hendelseshåndtering.

LISTEN VIL BLI OPPDATERT FORTLØPENDE.

 

Søknadsprosess

Bedrifter/organisasjoner som ønsker å søke om å bli godkjent iht. NSMs kvalitetsordning for hendelseshåndtering skal fylle ut søknadsskjemaet og sende dette til NSM. Skjemaet kan sendes som brevpost eller som e-post til følgende adresse:

Nasjonal sikkerhetsmyndighet
Postboks 814
1306 Sandvika
E-post: post@nsm.stat.no

For nærmere detaljer om søknadsprosessen viser NSM til ordningens søknads- og kravdokument.

Personellisten som etterspørres under punkt 4 i søknadsdokumentet sendes inn per e-post som en csv-fil med semikolon-separerte felter. Filen bør krypteres med NorCERTs offentlige pgp-nøkkel for å beskytte informasjonen under transport. Mal med eksempel-innhold finnes her.

NSMs evalueringsprosess er estimert å ta normalt åtte uker. NSM tar forbehold om at saksbehandlingen kan ta lenger tid pga. stor søknadsmengde.