1.1 Hva er NSMs grunnprinsipper for IKT-sikkerhet?

NSMs grunnprinsipper for IKT-sikkerhet er et sett med prinsipper og tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. Versjon 2.0 inneholder 21 prinsipper med 118 tilhørende sikkerhetstiltak. For store virksomheter vil de fleste tiltakene være relevante, mens mindre virksomheter i større grad må prioritere. Grunnprinsippene kan danne en basis for bransjenormer og kan utdype IKT- anbefalinger i sektorregelverk. De kan benyttes i egen virksomhet og være til hjelp ved kjøp av IKT- tjenester.

1.2 Hva er historien bak NSMs grunnprinsipper for IKT-sikkerhet og hensikten med disse?

NSM har publisert IKT-sikkerhetstiltak siden 1990-tallet. Man kan si at «oldefaren» til grunnprinsippene ble publisert på våre nettsider da.  Da var fokuset å bistå virksomheter som hadde IKT-systemer med sikkerhetsgradert informasjon. Dette gjaldt i all hovedsak Forsvaret og departementene.

I de senere år har NSM fått et større ansvar utenfor det sikkerhetsgraderte domenet. Man så et behov for å heve den generelle sikkerhetskompetansen i norske virksomheter. NSM, i samsvar med Forsvarsdepartementet og Justisdepartementet, valgte å gå bredere ut med offentlige anbefalinger.

Det er ofte de samme feilene som gjøres i mange norske virksomheter. Dette er noe vi har erfart over flere år. Anbefalingene i grunnprinsippene er utarbeidet for at norske virksomheter skal bli litt flinkere til å unngå disse feilene.

1.3 Hvem er målgruppen for NSMs grunnprinsipper for IKT-sikkerhet?

Grunnprinsippene er relevante for alle norske virksomheter, både offentlige og private. Særskilt gjelder det virksomheter som er ansvarlige for samfunnskritiske funksjoner. Også mindre virksomheter vil ha nytte av å lese grunnprinsippene selv om rådene i hovedsak er rettet mot virksomheter med en IT-avdeling.

Grunnprinsippene henvender seg i hovedsak til følgende roller i virksomheten: IT-ledere, sikkerhetsledere, IT-arkitekter og driftsledelse.

Innledningen og overskriftene i grunnprinsippene er laget med tanke på at det skal kunne leses av alle i virksomheten. Detaljene er i hovedsak beregnet for IKT- og sikkerhetsspesialister, men vil også være interessant lesing for flere.

1.4 Hva er nytt i grunnprinsipper for IKT-sikkerhet 2.0?

Grunnprinsippene har en del nyheter innen det teknologiske. For eksempel innen sky og virtualisering, IKT-arkitektur, sikkerhetsoppdatering, DevOps, IoT (Internett of things) og tilgangsstyring.

Det er en mer tydelig og konsekvent struktur, noen prinsipper er slått sammen og det er mer enhetlig bruk av ord og uttrykk.

Mer detaljert så har vi valgt å flytte kategorien «oppretthold» fra kategori 3 til kategori 2. Tilhørende prinsipper har blitt flyttet tilsvarende. Enkelte prinsipper har blitt slått sammen og en del tiltak har blitt flyttet litt på.

1.5 Hvilke fordeler er det ved å benytte grunnprinsippene og ikke andre sikkerhetsrammeverk?

Det finnes flere gode alternative rammeverk innen IKT-sikkerhet. Eksempler på dette er ISO-standarder, «CIS CSC 20», samt anbefalinger fra tyske, britiske og amerikanske myndigheter.

Generelt sett er det noen utfordringer med flere av disse: De er ukjent for mange, noen krever pålogging/betaling, og det kan være mye å sette seg inn i. De er laget i store, folkerike land og er til dels optimalisert for store virksomheter og store IT-avdelinger.

Norge er et lite land med små IT-avdelinger. Virksomhetene er mindre hierarkisk, har færre nivåer, og har mer delegert myndighet.

I lys av dette så er grunnprinsippene ment å være mer konkret og rett på sak enn det vi opplever i noen av de utenlandske rammeverkene.