Grunnprinsipper for IKT-sikkerhet

Publisert: 28.08.2017 | Sist endret: 29.08.2017

"NSMs grunnprinsipper for IKT-sikkerhet" definerer et sett med prinsipper for hvordan IKT-systemer bør sikres for å beskytte verdier og leveranser. Grunnprinsippene beskriver hva en virksomhet bør gjøre for å sikre et IKT-system. De beskriver også hvorfor det bør gjøres, men ikke hvordan.

Hva er de mest kritiske områdene innenfor IKT-sikkerhet vi bør adressere, og hvordan skal virksomheter ta første steg for å modne risikostyringen? Hvordan kan vi sikre at vi starter i riktig ende og med de mest grunnleggende stegene, og sørge for at vi får på plass fundamentale prinsipper for sikring, måling og forbedring som følges opp over tid?

Disse spørsmålene er bakgrunnen for utviklingen av NSMs grunnprinsipper for IKT-sikkerhet.

I menyen nedenfor kan du gå direkte til de ulike kapitlene i grunnprinsippene.

Du kan laste ned hele dokumentet som en PDF-fil her: NSMs grunnprinsipper for IKT-sikkerhet.

Har du spørsmål eller innspill til dokumentet, kontakt oss på grunnprinsipper@nsm.stat.no

Introduksjon
Hva er NSMs grunnprinsipper for IKT-sikkerhet?
De fire kategoriene
Målgruppe
Grunnprinsippene sett opp mot andre regelverk, standarder og rammeverk

Gjennomgående vurderinger for god IKT-sikkerhet
Beslutt tjenestemodell
Sentraliser og automatiser drift og forvaltning

1. Identifisere og kartlegge
1.1         Kartlegg leveranser og verdikjeder
1.2         Kartlegg enheter og programvare
1.3         Kartlegg brukere og behov for tilgang

2. Beskytte
2.1         Ivareta sikkerhet i anskaffelse- og utviklingsprosesser
2.2         Ivareta sikker design av IKT-miljø
2.3         Ivareta en sikker konfigurasjon (av maskin- og programvare)
2.4         Ha kontroll på IKT-infrastruktur
2.5         Ha kontroll på kontoer
2.6         Kontroller bruk av administrative privilegier
2.7         Kontroller dataflyt
2.8         Beskytt data i ro og i transitt
2.9         Beskytt e-post og nettleser
2.10       Etabler hensiktsmessig logging

3. Opprettholde og oppdage
3.1         Sørg for god endringshåndtering
3.2         Beskytt mot skadevare
3.3         Verifiser konfigurasjon
3.4         Gjennomfør inntrengingstester og «red-team»-øvelser
3.5         Overvåk og analyser IKT-systemet
3.6         Etabler kapabilitet for gjenoppretting av data

4. Håndtere og gjenopprette
4.1         Forbered virksomheten på håndtering av hendelser
4.2         Vurder og kategoriser hendelser
4.3         Kontroller og håndter hendelser (effektivt)
4.4         Evaluer og lær av hendelser

Koblingstabell mellom Grunnprinsipper for IKT-sikkerhet og ISO/IEC 27002:2017