2.1 Er grunnprinsippene tilstrekkelig for å tilfredsstille kravene i sikkerhetsloven?

Grunnprinsipper for IKT-sikkerhet kan ses på som en første byggestein i å sikre IKT-systemer. Sikkerhetsloven, sektorregelverk og bransjestandarder har som regel flere krav som kommer i tillegg. Et IKT-system som for eksempel inneholder gradert informasjon iht. sikkerhetsloven vil ha større krav til konfidensialitet og tillit enn det grunnprinsippene legger opp til.

2.2 Hvordan vet man om man tilfredsstiller grunnprinsippene?

Virksomheten må selv fastsette hvilket sikkerhetsnivå de har behov for basert på ledelsens risikovillighet. Alle tiltakene i grunnprinsippene vil være relevante, men virksomheten må likevel selv avgjøre hvilke tiltak som skal prioriteres, hvor de skal implementeres og hvor grundig hvert tiltak skal skrus til. Om sikkerheten er god nok må vurderes ut ifra virksomhetens eget skjønn og egne revisjoner av sikkerheten (eventuelt med ekstern bistand).

Et av støtteproduktene vi gir ut er et regneark som lister opp alle kategorier, prinsipper og tiltak. Dette kan være til hjelp dersom man ønsker å vurdere etterlevelse av grunnprinsippene.

2.3 For noen virksomheter kan grunnprinsippene være overveldende. Hvor begynner man?

Grunnprinsippene inneholder over hundre sikkerhetstiltak. Det kan virke overveldende med så mange tiltak. NSM har derfor valgt å hjelpe til med å prioritere blant disse.

Det er flere måter å prioritere tiltak på. NSM har valgt å gruppere tiltakene etter hva vi erfarer gir sikkerhetsmessig størst effekt, basert på NSMs erfaringer med norske virksomheter.

NSM har delt tiltakene inn i tre prioriteringsgrupper.

  • Gruppe 1 inneholder relativt få tiltak og fokuserer på de mest kritiske tiltakene og omfatter noen av rot-årsakene til vellykkede dataangrep.
  • Gruppe 2 inneholder også relativt få tiltak. Disse er naturlig å implementere når virksomheten er fornøyd med implementeringen av tiltakene i gruppe 1.
  • Gruppe 3 inneholder resten av sikkerhetstiltakene og er den største gruppen. Over halvparten av tiltakene er i denne gruppen.  Disse er naturlig å vurdere når virksomheten er fornøyd med implementeringen av tiltakene i gruppe 1 og 2.

2.4 Det er veldig mange punkter i kategorien "Beskytte og opprettholde". Skal vi tolke det som at å beskytte informasjonen vår er viktigst?

Kategori 2 inneholder flere prinsipper og tiltak enn de andre kategoriene. Det betyr ikke nødvendigvis at denne kategorien er viktigere enn de andre kategoriene. NSM har lenge erfart at «god sikkerhet» betyr «balansert sikkerhet». Sikkerhet bør sees i hele sin bredde.

2.5 Hvor viktig er det å ta kategoriene i angitt rekkefølge?

Det vil være naturlig å jobbe med grunnprinsippene ut i fra rekkefølgen på kategoriene og prinsippene. Dette vil likevel variere avhengig av flere faktorer i virksomheten. Det kan være status på eksisterende sikkerhetsarbeid, prioritering og kompetanse. Noe av det viktigste er å komme i gang og jobbe systematisk og kontinuerlig med sikkerhet.

En vanlig fallgruve er at man anskaffer nye sikkerhetsløsning/sikkerhetsprodukter før man har kartlagt nåværende status og fremtidige behov. En konsekvens kan bli at man investerer i sikkerhetstiltak som ikke beskytter de viktigste verdiene i virksomheten.