Grunnprinsipper for IKT-sikkerhet
Hva er NSMs grunnprinsipper for IKT-sikkerhet?
NSMs grunnprinsipper for IKT-sikkerhet er en samling med prinsipper og tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. Samlingen er basert på NSMs erfaringer og tilbakemeldiger fra en rekke offenlige og private virksomheter. Ved å implementere de anbefalte tiltakene vil virksomheter etablere et godt forsvar mot cybertrusler, men det er ingen garanti for at de ikke blir rammet.
Selv om vi anbefaler alle virksomheter å følge prinsippene betyr ikke det at virksomheten oppfyller sikkerhetsloven ved å følge dem. Men grunnprinsippene kan være en nyttig, første byggestein for IKTsystemer som er eller kan bli underlagt sikkerhetsloven. Grunnprinsippene fokuserer på teknologiske og organisatoriske tiltak. Tiltak som dekker fysisk sikkerhet og det menneskelige perspektiv omtales i liten grad. Tiltakene gjelder for både utilsiktede og tilsiktede handlinger, men hovedfokus er på tilsiktede handlinger.
Grunnprinsippene erstatter ikke virksomhetenes sikkerhetsstyringsarbeid. Viktige suksessfaktorer for å lykkes med implementeringen er involvering fra ledelsen, IKT-sikkerhetskompetanse i virksomheten og etablerte styrings- og rapporteringslinjer, se Figur 1.
Valg av sikkerhetstiltak baseres på virksomhetens ordinære risikoarbeid, men grunnprinsippene kan hjelpe til med utvelgelsen. En virksomhet som ikke implementerer et anbefalt sikkerhetstiltak kan ha en økt risiko som må håndteres. Denne risikoen må vurderes opp mot virksomhetens risikotoleranse, i tillegg til krav i lovverk, bransjenormer og avtaler. Dersom risikoen ikke kan aksepteres, må kompenserende tiltak vurderes.
Figur 2 - Oversikt over NSMs grunnprinsipper for IKT-sikkerhet.