Grunnprinsipper for IKT-sikkerhet
Beskytt data i ro og i transitt
Målet med prinsippet: Virksomheten beskytter data som ligger på ulike lagringsmedium og når den formidles over ulike informasjonskanaler.
Hvorfor er dette viktig?
Kryptering er en forutsetning for beskyttelse av IKT-systemer. En virksomhet forvalter informasjon av ulik verdi med ulik behov for beskyttelse. Informasjonen lagres på og overføres over ulike medium med ulik tillit på lokasjoner der virksomheten har varierende kontroll.
Hvis man ikke krypterer virksomhetsdata vil uvedkommende kunne lese eller manipulere den, dvs. at informasjonens konfidensialitet og integritet kan brytes. Den samme risiko løper man hvis programvaren eller maskinvaren som benyttes er implementert med utilsiktede sårbarheter eller hvis krypteringsnøkler er svakt beskyttet.
Anbefalte tiltak: Beskytt data i ro og i transitt
Data bør beskyttes uansett hvor virtualisert («sky-basert») man velger å ha sin infrastruktur.
ID | Beskrivelse |
---|---|
2.7.1 | Etabler en strategi for håndtering av kryptografi i virksomheten. Strategien bør inneholde valg av kryptografiske verktøy, håndtering av sertifikater, hvordan utøve sikker nøkkelgenerering, hvordan nøkler/passord oppbevares, sikkerhetskopiering av nøkler, fornyelse av nøkler og hvordan håndtere kompromittering av nøkler. For nøkkelhåndtering bør det skilles på langtidsnøkler og sesjonsnøkler, der langtidsnøkler bør beskyttes særskilt. |
2.7.2 | Aktiver kryptering i de tjenestene som tilbyr slik funksjonalitet og sikre at kun anbefalte algoritmer og nøkkellengder benyttes. Se lenke 1. |
2.7.3 | Krypter lagringsmedier som holder konfidensiell data og som lett kan mistes eller kompromitteres, eksempelvis mobile klienter. Definer hvordan ulike typer data skal beskyttes, eksempelvis med kryptering av enkeltfiler, partisjoner eller hele disker. |
2.7.4 | Benytt kryptering når konfidensiell informasjon overføres eller når tilliten til informasjonskanalen er lav. For de ulike kanalene må det bestemmes på hvilket nivå krypteringen gjennomføres, for eksempel i applikasjonen (TLS), på nettverkslaget (IPsec) eller på datalinklaget (MACsec). |
2.7.5 | Definer krav til sikringsnivå for ulike typer informasjon med ulikt behov for konfidensialitetsbeskyttelse. Definer både for informasjon som lagres på ulike medier og for informasjon som overføres over ulike informasjonskanaler. |
Utdypende informasjon
Lenker
NSM Cryptographic Recommendations
Digitaliseringsdirektoratet: anbefalte standarder for grunnleggende datakommunikasjon