Til innhold
JavaScript deaktivert !
Du må aktivere JavaScript for at denne nettsiden skal fungere riktig.
English
Aktuelt
Ledige stillinger
Kontakt
Varsling
Gå til forsiden
Meny
Søk
Fagområder
Digital sikkerhet
Personellsikkerhet
Fysisk sikkerhet
Sikkerhetsstyring
Kurs og konferanser
NSM kurssenter
Sikkerhetskonferansen
Foredrag fra NSM
Oversikt over alle kurs og arrangementer
Regelverk og hjelp
Sikkerhetsloven og forskrifter
Veiledere og håndbøker til sikkerhetsloven
Råd og anbefalinger
Rapporter
Andre publikasjoner
Skjemaer
Tjenester
Varslingssystem (VDI)
Allvis NOR
Inntrengingstjenester
Forbudsområder for luftbårne sensorsystemer
Dmarc.no
SERTIT
Om NSM
Ledelse
Presse
Dette er NSM
Ledige stillinger
Historien om NSM
Årsrapport
Kontakt oss
Hold deg oppdatert
Aktuelt
Meninger
Podcaster
Sårbarhetsvarsler
Mediebrief
Regelverk og hjelp
Veiledere og håndbøker til sikkerhetsloven
Veileder i søknad og vedtak om adgangsklarering
Veileder i departementenes identifisering av grunnleggende nasjonale funksjoner
Veileder i personellsikkerhet
Veileder i sikkerhetsstyring
Veileder i fysisk sikkerhet
Veileder i håndtering og beskyttelse av sikkerhetsgradert informasjon
Håndbok i beskyttelse av skjermingsverdig ugradert informasjonssystem
Veileder for godkjenning av informasjonssystem
Veileder for virksomheters håndtering av uønskede hendelser
Veileder for tilsyn med forebyggende sikkerhetsarbeid
Veileder i anskaffelser etter sikkerhetsloven
Veileder i verdivurdering av informasjon
Håndbok i verdivurdering av informasjon
Håndbok i skadevurdering
Håndbok i autorisasjon og autorisasjonssamtale
Aktuelt
Ledige stillinger
Kontakt
Varsling
English
Forsiden
Regelverk og hjelp
Veiledere og håndbøker til sikkerhetsloven
Veileder i fysisk sikkerhet
Regelverk og hjelp
Sikkerhetsloven og forskrifter
Veiledere og håndbøker til sikkerhetsloven
Veileder i søknad og vedtak om adgangsklarering
Om denne veilederen
Innledning
Bakgrunn og formål
Oppbygning, avgrensning og forhold til annet veiledningsmateriale
Begreper og formuleringer
Om adgangsklarering
Virksomhetens rolle
Virksomhetens vurdering av adgangsklarering
Virksomhetens søknad om krav om adgangsklarering
Departmentets rolle
Departementets vurdering
Vedtaksbrevets utforming og innhold
Etter at krav om adgangsklarering er fattet
Unntaksbestemmelser for krav om adgangsklarering
Overgangsregler i forbindelse med overgang til nytt lovverk
Vedlegg
Veileder i departementenes identifisering av grunnleggende nasjonale funksjoner
Om denne veilederen
Tema for veilederen
Innledning
Hovedprosess og oversikt over veiledere og håndbøker
Grunnleggende nasjonale funksjoner
Virksomheter
GNF og samfunnets kritiske funksjoner
Metode for identifisering av GNF og virksomheter
Kartlegg ansvarsområder mot nasjonale sikkerhetsinteresser (steg 1)
Nasjonale sikkerhetsinteresser
Kriterium: Betydning for statens evne (steg 2)
Avgrensninger og grenseverdier for kapasitet / kvalitet / varighet
Departementets GNF – beskrivelse og avgrensning (steg 3)
GNF oppløsningsnivå
Ivaretar én virksomhet funksjonen? (steg 4)
Konkretisering av funksjon til underfunksjoner (steg 5)
Hierarkisk nedbrytning
Fatte vedtak etter §1-3 dersom virksomheten ikke er omfattet av sikkerhetsloven (steg 6)
Virksomheten gjennomfører skadevurdering (steg 7)
Klassifisering av objekt / infrastruktur (steg 8)
Risikovurdering, avhengigheter og departementenes oversikt (steg 9)
Vedlegg
Veileder i personellsikkerhet
Om denne veilederen
Innledning
Sikkerhetslovens kapittel 8
§ 8-1 Krav om sikkerhetsklarering, adgangsklarering og autorisasjon
§ 8-2 Sikkerhetsklarering
§ 8-3 Adgangsklarering
§ 8-4 Avgjørelse om klarering
§ 8-5 Gjennomføring av personkontroll
§ 8-6 Bruk av vilkår ved klarering
§ 8-7 Klarering av personer med utenlandsk statsborgerskap
§ 8-8 Tilbakekallelse, nedsettelse eller suspensjon av klarering
§ 8-9 Autorisasjon
§ 8-10 Nedsettelse, suspensjon eller tilbakekallelse av autorisasjon
§ 8-11 Varslingsplikt om forhold som kan påvirke sikkerhetsmessig skikkethet
§ 8-12 Utlevering av informasjon til Politiets sikkerhetstjeneste
§ 8-13 Begrunnelse for og melding om avgjørelse i klareringssaker
§ 8-14 Innsyn i klareringssaker
§ 8-15 Oversendelse til særskilt oppnevnt advokat
§ 8-16 Klareringsmyndigheter og sentralt register for klareringsavgjørelser
§ 8-17 Klage på avgjørelse om klarering
Virksomhetsikkerhetsforskriften
§ 7 Ressurser og kompetanse
§ 60 Behovet for bruk av adgangsklarering
§ 67 Vilkår for å gi autorisasjon
§ 68 Autorisasjonssamtale
§ 69 Autorisasjon av autorisasjonsansvarlig og personell hos leverandøren
§ 70 Autorisasjon av utenlandske statsborgere
§ 71 Tilgang uten autorisasjon
§ 72 Oversikt over personell med autorisasjon
§ 73 Dokumentasjon på autorisasjon
§ 74 Nedsettelse, suspensjon og tilbakekallelse av autorisasjon
§ 75 Begrunnelse og dokumentasjon ved forespørsel om klarering
§76 Merking av personkontrollopplysninger for klarering og autorisasjon
§ 77 Beskyttelse av personkontrollopplysninger for klarering og autorisasjon
§ 78 Bevaring og kassasjon av opplysninger i saker om autorisasjon og klarering
Forskrift om sikkerhetsklarering og annen klarering
§ 1 Klareringsmyndighet
§ 2 Definisjoner
§ 3 Hvem som kan be om klarering
§ 4 Kontroll og avvisning av en forespørsel om personkontroll
§ 5 Hvilke personer som inngår i personkontrollen
§ 6 Sikkerhetsklarering – krav til egenopplysninger
§ 7 Adgangsklarering – krav til egenopplysninger
§ 8 Registeropplysninger til personkontrollen ved sikkerhetsklarering
§ 9 Registeropplysninger til personkontrollen ved adgangsklarering
§ 10 Innhenting av personkontrollopplysninger fra andre stater
§ 11 Behandlingsansvarliges plikter ved utlevering av opplysninger
§ 12 Utlevering og bruk av opplysninger mellom Nasjonal sikkerhetsmyndighet, politiet og Politiets sikkerhetstjeneste
§ 12 Utlevering og bruk av opplysninger mellom NSM, politiet og PST
§ 13 Vurdering av personkontrollopplysninger
§ 14 Personer med tjeneste i utlandet for den norske stat og deres nærstående
§ 15 Når et departement kan fatte vedtak om adgangsklarering og utvidet adgangsklarering
§ 16 Forholdet mellom adgangsklarering og sikkerhetsklarering
§ 17 Vurderingsgrunnlaget for adgangsklarering
§ 18 Grunnlaget for vurdering av tilknytning og sikkerhetsmessig betydning
§ 19 Sikkerhetssamtale
§ 20 Betydningen av forhold som er vurdert ved en tidligere klareringsavgjørelse
§ 21 Vurdering av om lavere klareringsnivå kan gis og bruk av vilkår
§ 22 Karantenetid før ny klareringsvurdering
§ 23 Melding om klareringsavgjørelse
§ 24 Innsyn i opplysninger fra PST, politiet og opptak av egen sikkerhetssamtale
§ 25 Oppnevning av advokater etter sikkerhetsloven § 8-15
§ 26 Gyldighetstid for sikkerhetsklarering og adgangsklarering
§ 27 Unntak fra krav om klarering
§ 28 Registre over avgjørelser om personklarering
§ 29 Utlevering av opplysninger om klarering og fra personkontroll til andre staters myndigheter
§ 30 Bevaring, kassasjon og avlevering av dokumenter i klareringssaker
§ 31 Dekning av kostnader ved klarering
Særbestemmelse for domstolene
§ 41 Klareringsmyndighet og autorisasjonsansvarlig i domstolene
§ 42 Utpeking av domstoler for enkeltstående rettergangsskritt i straffesaker
§ 43 Anvendelse av sikkerhetsloven § 3-1, § 3-4 og § 3-6
Veileder i sikkerhetsstyring
Om denne veilederen
Sikkerhetsstyring
Krav om sikkerhetsstyring
Risikostyring
Krav om risikovurderinger
Scenarioer
Aktører
Tilhørighet
Kapasitet (eller evne)
Intensjon (eller vilje)
Krav om risikohåndtering
Tiltaksvurdering for å oppnå forsvarlig sikkerhet
Vurdering av tiltak for å beskytte skjermingsverdig objekt eller infrastruktur
Avhengigheter
Sikkerhetsledelse
Ressurser og kompetanse
Sikkerhetsorganisering
Krav om sikkerhetsorganisering
Roller i det forebyggende sikkerhetsarbeidet
Taushetsplikt
Sikkerhet ved fratredelse
Sikkerhetstiltak
Krav om sikkerhetstiltak
Beredskap
Prinsipper for valg av sikkerhetstiltak
Forholdet til andre virksomheter
Krav knyttet til forholdet til andre virksomheter
Sikkerhetsoppfølging
Krav om sikkerhetsoppfølging
Håndtering av uønskede hendelser
Årlig evaluering
Ledelsens gjennomgang
Sikkerhetsdokumentasjon
Krav om sikkerhetsdokumentasjon
Beskyttelse av sikkerhetsdokumentasjon
Veileder i fysisk sikkerhet
Om denne veilederen
Innledning
Målgruppe
Formål
Avgrensning
Veiledning til bestemmelser om fysisk sikkerhet
Generelt om sikkerhetstiltak (§ 14)
Prinsipper ved valg og utforming av sikkerhetstiltak (§ 15)
Krav om bruk av evaluerte produkter og tjenester (§ 16)
Sertifisering av produkter og tjenester (§ 17)
Forsvarlig sikkerhetsnivå for skjermingsverdig informasjon (§ 22)
Forsvarlig sikkerhetsnivå for informasjon gradert KONFIDENSIELT eller høyere (§ 34)
Soneinndeling (§ 38)
Kontrollert sone (§ 39)
Beskyttet sone (§ 40)
Sperret sone (§ 41)
Fysisk sikring av skjermingsverdige informasjonssystemer (§ 49)
Fysisk sikring av klassifiserte objekt og infrastruktur (§ 58)
Eksempel på valg av fysiske sikkerhetstiltak
Veileder i håndtering og beskyttelse av sikkerhetsgradert informasjon
Om denne veilederen
Innledning
Merking av sikkerhetsgradert informasjon
Soneinndeling og oppbevaring av dokumenter og lagringsmedia
Soneinndeling
Oppbevaring
Behandling av dokumenter og lagringsmedier med sikkerhetsgradert informasjon
Behandling av BEGRENSET
Behandling av KONFIDENSIELT og høyere
Risikovurdering tilknyttet behandling og oppbevaring av gradert informasjon utenfor beskyttet eller sperret sone
Forsendelse – med og uten bruk av kurér
Elektronisk overføring og fysisk forsendelse
Kurértransport
Kurérsertifikat
Transportplan
Kvittering for mottak
Hvem kan være kurér – innenlands
Hvem kan være kurér – utenlands
Krav til oversikt over dokumenter og lagringsmedier
Destruksjon av dokument eller lagringsmedium
Rapportering av informasjon gradert STRENGT HEMMELIG
Utlevering av sikkerhetsgradert informasjon til fremmede stater og internasjonale organisasjoner (§§25-26)
Referanser
Vedlegg
Håndbok i beskyttelse av skjermingsverdig ugradert informasjonssystem
Om denne håndboken
Introduksjon og målgruppe
Hvorfor er temaet viktig
Oppbygging og innhold
Generelle krav til forebyggende sikkerhetsarbeid
Beskyttelse av skjermingsverdig informasjon
Informasjonssystemsikkerhet
Vurdér risiko
Forholdet til andre virksomheter
Tjenesteutsetting
Sikkerhet i anskaffelser
Håndtere risiko
Sikker IKT-infrastruktur
Eksisterende informasjonssystemer
Informasjonssystemer under etablering
Bruk av evaluerte produkter og tjenester
Kryptering
Testing
Systemdokumentasjon
Sikker drift og hendelseshåndtering
Roller, ansvar og kompetanse
Tilgangsstyring
Logging
Varslingssystemet for digital infrastruktur (VDI)
Håndtere hendelser
Identifisere sårbarheter
Gjennomføre beredskapsøvelser
Godkjenning
Objekt- og infrastruktursikkerhet
Personellsikkerhet
Veileder for godkjenning av informasjonssystem
Om denne veilederen
Sikkerhetsgodkjenning
Krav om sikkerhetsgodkjenning
Skjermingsverdige informasjonssystemer
Sikkerhetsgodkjenning ved sammenkobling
Godkjenningsmyndighet
Sikkerhetsgodkjenningens varighet
Midlertidig brukstillatelse
Fakturering
Grunnlag for sikkerhetsgodkjenning
Krav om forsvarlig sikkerhetsnivå
Krav til sikkerhetsgodkjenning
Funksjon og operativt miljø (systembeskrivelse)
Beskyttelsesbehov
Sikkerhetstiltak
Kontroll av sikkerhetstiltak
Evaluering av produkter og tjenester
Vedlegg
Veileder for virksomheters håndtering av uønskede hendelser
Om denne veilederen
Uønskede hendelser
Krav knyttet til hendelser og tiltak
Håndtering av uønskede hendelser
Krav om håndtering av uønskede hendelser
Deteksjon
Varsling
Umiddelbare tiltak ved uønskede hendelser
Varige tiltak for grunnsikring og påbygging
Evaluering av tiltakene
Dokumentering
Andre krav til håndtering av uønskede hendelser
Behandling av personopplysninger
Krav til behandling av personopplysninger
Undersøkelser knyttet til enkeltindivider
Referanser
Vedlegg
Veileder for tilsyn med forebyggende sikkerhetsarbeid
Om denne veilederen
Tilsyn
Tilsynsmyndigheter
Sektormyndighet med tilsynsansvar
Sikkerhetsmyndigheten
Samarbeid om tilsyn
Pålegg om gjennomføring av tilsyn
Tilsynsobjekter
Systemrevisjon
Tilsyn ved hjelp av systemrevisjon
IKT-revisjon
Tilsyn ved hjelp av IKT-revisjon
Planlegging og gjennomføring av tilsyn
Risikobasert tilsyn
Årlig tilsynsprogram
Tilsynsplan
Varsel
Gjennomføring
Rapportering
Opplysninger fra tilsyn
NSMs tilsynsmetodikk
Reaksjoner etter tilsyn
Pålegg
Tvangsmulkt
Overtredelsesgebyr
Politianmeldelse
Vedlegg A - Kriterier for forsvarlig sikkerhetsnivå
Scenarioer
Aktører
Tilhørighet
Kapasitet (eller evne)
Intensjon (eller vilje)
Tiltaksvurdering
Vurdering av tiltak for å beskytte skjermingsverdig info
Vurdering av tiltak for å beskytte skjermingsverdig objekt
Vedlegg B - Kriterier for sikkerhetsstyring
Sikkerhetsledelse
Ressurser og kompetanse
Sikkerhetsorganisering
Roller i det forebyggende sikkerhetsarbeidet
Taushetsplikt
Sikkerhet ved fratredelse
Sikkerhetstiltak og -prosedyrer
Beredskap
Prinsipper for valg av sikkerhetstiltak- og prosedyrer
Forholdet til andre virksomheter
Sikkerhetsoppfølging
Håndtering av uønskede hendelser
Evaluering av forebyggende sikkerhetsarbeid
Øvelser
Leders gjennomgang av forebyggende sikkerhetsarbeid
Sikkerhetsdokumentasjon
Vedlegg C - Kriterier for risikostyring
Risikostyring
Risikohåndtering
Avhengigheter
Veileder i anskaffelser etter sikkerhetsloven
Om denne veilederen
Innledning
Generelt om regler for anskaffelser
Sikkerhetsgraderte anskaffelser
Sikkerhetsavtale
Leverandørklarering
Krav om leverandørklarering
Forespørsel om leverandørklarering
Internasjonale sikkerhetsgraderte anskaffelser
Kontroll av om leverandøren oppfyller sikkerhetskravene
Tilbakekall av leverandørklarering
Oversikt over sikkerhetsgraderte anskaffelser
Ugraderte anskaffelser til skjermingsverdige verdier
Felles regler for anskaffelser etter sikkerhetsloven
Varslingsplikt ved «ikke ubetydelig risiko»
Plikten til å vurdere risiko
Risikoreduserende tiltak
Krav til varsel etter § 9-4
Oppdragsgivers oppfølging av leverandør
Tilsyn
Veileder i verdivurdering av informasjon
Om denne veilederen
Innledning
Skjermingsverdig informasjon
Sikkerhetsgradert informasjon
Sikkerhetsgradering
Skadefølger
Sikkerhetsgraden STRENGT HEMMELIG
Sikkerhetsgraden HEMMELIG
Sikkerhetsgraden KONFIDENSIELT
Sikkerhetsgraden BEGRENSET
Tidspunkt for avgradering
Omgradering
Punktgradering og sammenstilling
Punktgradering
Sammenstilling
Håndbok i verdivurdering av informasjon
Om denne håndboken
Tema for håndbok
Formål
Virksomhetens rolle
Fremgangsmåte
Før verdivurderingen
Verdivurderingsprosessen
Beskyttelse av sikkerhetsgradert informasjon
Referanser
Håndbok i skadevurdering
Om denne håndboken
Tema for håndbok
Bakgrunn og formål
Omfang
Skadevurderingens plass i forebyggende sikkerhetsarbeid
Fremgangsmåte for skadevurdering
Avklare virksomhetens betydning for GNF
Kartlegge objekter og infrastruktur
Skadevurdere objekter og infrastrukturer (3)
Dokumentere skadevurderingen
Andre skjermingsverdige objekter eller infrastrukturer
Referansedokumenter
Vedlegg A Objekt og infrastruktur
Vedlegg B Dokumentasjon av skadevurdering
Vedlegg C Eksempel på skadevurdering
Håndbok i autorisasjon og autorisasjonssamtale
Råd og anbefalinger
Grunnprinsipper for IKT-sikkerhet 2.0
Introduksjon
Målgruppe
Hva er NSMs grunnprinsipper for IKT-sikkerhet?
De fire kategoriene
Forholdet mellom kategori, prinsipp og tiltak
Andre relevante råd og anbefalinger
Begreper
Bruk av tjenesteutsetting og skytjenester
Identifisere og kartlegge
Kartlegg styringsstrukturer, leveranser og understøttende systemer
Kartlegg enheter og programvare
Kartlegg brukere og behov for tilgang
Beskytte og opprettholde
Ivareta sikkerhet i anskaffelses- og utviklingsprosesser
Etabler en sikker IKT-arkitektur
Ivareta en sikker konfigurasjon
Beskytt virksomhetens nettverk
Kontroller dataflyt
Ha kontroll på identiteter og tilganger
Beskytt data i ro og i transitt
Beskytt e-post og nettleser
Etabler evne til gjenoppretting av data
Integrer sikkerhet i prosess for endringshåndtering
Oppdage
Oppdag og fjern kjente sårbarheter og trusler
Etabler sikkerhetsovervåkning
Analyser data fra sikkerhetsovervåkning
Gjennomfør inntrengningstester
Håndtere og gjenopprette
Forbered virksomheten på håndtering av hendelser
Vurder og klassifiser hendelser
Kontroller og håndter hendelser
Evaluer og lær av hendelser
Støtteprodukter
Eldre versjoner
Råd for systemteknisk sikkerhet
Sjekkliste: Ti viktige tiltak mot dataangrep
Sjekkliste: Fire effektive tiltak mot dataangrep
NSM Cryptographic recommendations
Sjekkliste: Ti grunnleggende tiltak for sikring av egne nettverk
Grunnleggende tiltak for sikring av e-post
Grunnleggende tiltak for forebygging av DDoS
Sikring av Network Time Protocol (NTP)
Veiledning i DNS-filtrering
Sikring av kommunikasjon med TLS
Hypertext Transport Protocol Secure
Brukerautentisering mot nettsteder
Veiledning i nettverkssikkerhet
Veiledning i bruk av svitsjer og rutere
Systemovervåking ved bruk av ELK-stakken
Sikkerhetsbaseliner
Grunnsikring av Windows 7 SP1
Grunnleggende tiltak for sikring av Windows 7
Grunnsikring av Office 2013
Sikring av Windows TLS
Grunnsikring av Windows Server 2012
Grunnsikring av Windows Server 2012 R2
Sikkerhetsfaglige anbefalinger ved tjenesteutsetting
Introduksjon
Bakgrunn
Sikkerhetsfaglige anbefalinger ved tjenesteutsetting
God bestillerkompetanse
Oversikt og kontroll på hele livsløpet
Gode risikovurderinger for å kunne ta riktig beslutning
Riktige og gode krav til IKT-tjenesten og til leverandør
Riktig beslutning på riktig nivå
Dokumenthistorikk
Rapporter
Risiko 2020
Forord
Risikobildet
Sårbare grunnleggende nasjonale funksjoner
Avhengigheter mellom samfunnsfunksjoner
Stabile kraftleveranser og verdikjeder
Elektronisk kommunikasjon
Satelittbaserte tjenester
Trusselaktører utnytter sårbarhetene våre
Etterretning, spionasje og påvirkning
Kartlegging gjennom fysisk og teknisk innhenting
Sammensatt virkemiddelbruk og påvirkning
Innsiderisiko
Strategiske investeringer og oppkjøp
Nettverksoperasjoner
Forstyrrelse av satellittbaserte systemer
Droner
Sårbarheter i et digitalt samfunn i rask utvikling
Åpenhetens dilemma
Din nettaktivitet påvirker virksomhetens risiko
Digitale verdikjeder og «grenseløse» avhengigheter
Skytjenester og tjenesteutsetting
Redundansutfordringer
«Smarte byer» og tingenes internett
Sikkerhetshull kan avdekkes
Informasjon og kompetanse i forebyggende sikkerhetsarbeid
Helhetlig digitalt risikobilde
Temarapport om innsidere
Felles temarapport med Kripos: Løsepengevirus
Sikkerhetsfaglige anbefalinger ved tjenesteutsetting
Om temarapporten
Bakgrunn
Sikkerhetsfaglige anbefalinger for tjenesteutsetting
Oversikt og kontroll på hele livsløpet
God bestillerkompetanse
Gode risikovurderinger for å kunne ta riktig beslutning
Riktige og gode krav til IKT-tjenesten og til leverandør
Riktig beslutning på riktig nivå
Risikorapporter fra 2019 og tidligere
Andre publikasjoner
Rammeverk for håndtering av IKT-hendelser
Skjemaer
Veileder i fysisk sikkerhet
Skriv ut
Tips en venn
Del på:
Del på Facebook
Del på LinkedIn
Del på Twitter
Finner du det du leter etter?
Ja
Nei