§ 6.9 Digitale informasjonssystemer

Digitale informasjonssystemer	Samlebetegnelse for informasjons- og kommunikasjonsteknologi som en virksomhet anvender til operasjonelle og administrative formål. Systemer for generering, samling, lagring, behandling, forvaltning og formidling av data og informasjon, inkludert kommunikasjon og samhandling. Informasjonssystemer kan avgrenses mot styrings-/kontrollsystemer
Konfidensialitet, integritet og tilgjengelighet	De tre klassiske målene for informasjonssikkerhet. Konfidensialitet betyr beskyttelse av informasjon mot innsyn fra uautoriserte personer eller prosesser. Integritet betyr beskyttelse av informasjon mot utilsiktet eller uautorisert endring. Tilgjengelighet betyr tilgang for rettmessige brukere.
Verdi	Med verdi menes virksomhetens leveranser av for eksempel elektrisk energi og fjernvarme, tjenester og produkter. Verdier er også anleggsmidler og informasjon inklusive intellektuelle rettigheter. Listen er ikke prioritert eller uttømmende.
Sikringstiltak	Tiltak for å redusere risiko forbundet med uønskede handlinger
Risikovurdering	Se § 2-3
Sektorvist responsmiljø	Se § 3-6
Uønsket hendelse	Uønskede hendelser omfatter både tilsiktede handlinger og utilsiktede hendelser. Begge deler kan påvirke sikkerhetsverdiene konfidensialitet, integritet og tilgjengelighet. Uønskede hendelser kan gi opphav til ekstraordinære situasjoner.
Hendelseshåndtering	Aktiviteter med formål om å stanse eller begrense skade av uønskede hendelser på berørte IKT-systemer og nettverksressurser, og deretter gjenopprette sikker tilstand.
Tjenesteutsetting	Ekstern utførelse av basisdrift, applikasjonsdrift eller applikasjonsforvaltning med en tjenesteleverandør. Tjenesteutsetting (outsourcing), utkontraktering og konkurranseutsetting er likeverdige betegnelser
Sikkerhetsrevisjon	Virksomhetens interne og eksterne kontroll av eget sikkerhetsarbeid.

 

Kbf § 6-9 plasserer ansvaret for digital sikkerhet i virksomheten. I tillegg detaljeres krav til grunnsikring. Kravene bygger på NSMs grunnprinsipper for IKT-sikkerhet.

NSMs grunnprinsipper for IKT-sikkerhet bygger igjen på internasjonale anerkjente standarder og veiledninger, spesielt ISO/IEC 27002. NSM har på sin nettside om grunnprinsippene laget en oversikt over hvordan grunnprinsippene samsvarer med ISO 27002.  NSM har også gitt ut grunnprinsipper for sikkerhetsstyring.

Grunnprinsippene forteller hva du må gjøre, men ikke hvordan. Hvert grunnprinsipp beskriver en kontinuerlig aktivitet som må gjennomføres og vurderes i hele systemets levetid, fra planlegging og etablering til avhending. Flere av grunnprinsippene bygger på hverandre, og enkelte er en forutsetning for at andre skal kunne gjennomføres effektivt. NSM har derfor kategorisert grunnprinsippene i tre kategorier, 1, 2 og 3, der man starter med kategori 1 tiltak. I sum inkluderer grunnprinsippene bredden av sikringstiltak som består av barrierer, deteksjon, verifikasjon og reaksjon for å etablere god sikkerhet i dybden.

NVE anbefaler virksomheter å sette seg inn i NSMs grunnprinsipper for IKT-sikkerhet og NSMs grunnprinsipper for sikkerhetsstyring. Mer detaljerte råd om konfigurasjon og teknisk sikkerhet gis av Center for Internet Security. Også standarder er nyttige kilder til mer informasjon. De har ofte mye felles, og man kan velge den som passer virksomheten best, og supplere med tiltak fra andre rammeverk om man ønsker det.

Som et minimum bør virksomhetene tilstrebe å ha et sikkerhetsnivå tilsvarende kategori 1 og 2 tiltak. For større virksomheter kommer i praksis alle grunnprinsippene under de ulike hovedkategoriene til anvendelse. Nedenfor følger en gjennomgang av kravene i bokstav a til f.

Virksomheten skal ha en grunnsikring for digitale informasjonssystemer i henhold til anerkjente standarder og normer. Her vektlegger kravet at virksomheten bør se til standarder og normer for sikring av digitale systemer.

Virksomheten skal identifisere og dokumentere verdier, leveranser, tjenester, systemer og brukere i sine digitale informasjonssystemer. Dokumentasjonen skal holdes oppdatert.

Aktiviteten er grunnlaget for effektiv innføring av de øvrige kravene. Hensikten er å forstå virksomhetens leveranser og tjenester, få oversikt over hvilke teknologiske ressurser som bør sikres, og de roller og brukere virksomheten består av. I kravet til å identifisere og dokumentere inngår følgende grunnprinsipper:

• 1 kartlegg styringsstrukturer, leveranser og understøttende systemer
• 2 kartlegg enheter (inventar) og programvare
• 3 kartlegg brukere og behov for tilgang

 

NVE anbefaler i tillegg at normal nettverkstrafikk kartlegges.

Dokumentasjonen skal holdes oppdatert. Det innebærer at virksomheten må ha prosedyre og system som sørger for oppdatering og at endringer blir registrert.

Store virksomheter og virksomheter med klasse 2 og klasse 3 driftskontrollsystem bør iverksette samtlige grunnprinsipper og tilhørende tiltak. Alle virksomheter må iverksette kategori 1 og 2 tiltak – dette utgjør totalt 35 tiltak.

Virksomheten skal gjennomføre risikovurdering ved systemendringer. Risikovurderingen skal holdes oppdatert.

Risiko skal generelt vurderes for både konfidensialitet, integritet og tilgjengelighet. Risikovurderinger kan ha ulik oppløsning og innretting. Se § 2-3. Risikovurdering. Direktoratet for IKT og fellestjenester i høyere utdanning og forskning har utviklet veiledere for risikovurdering av IKT-sikkerhet i administrative systemer og i skytjenester. De viser hvordan en risikovurdering av administrative systemer og skytjenester kan gjøres.

Større virksomheter og virksomheter med klassifiserte driftskontrollssystemer bør følge en anerkjent standard, veiledning eller norm for risikovurdering. NVE gir ikke føringer for hvilken metode, norm eller rammeverk som skal brukes. NVE viser til § 2-3 og understreker at risikovurderingens hensikt er å styre risiko slik at virksomheten velger de rette tiltakene og reduserer risikoen til et akseptabelt nivå.

Virksomheten skal sikre sine digitale informasjonssystem for å motstå eller begrense skaden fra uønskede hendelser. Krav til sikring henger sammen med informasjonsverdi, for eksempel kraftsensitiv informasjon (se kbf § 6-2), bedriftshemmeligheter, personopplysninger (se personopplysningsloven) eller gradert informasjon (se sikkerhetsloven). Annen informasjon vil være åpen informasjon.

I kravet til å sikre inngår følgende grunnprinsipper

• 2.1 ivareta sikkerhet i anskaffelses- og utviklingsprosesser
• 2.2 ivareta en sikker IKT-arkitektur
• 2.3 ivareta en sikker konfigurasjon (av maskin- og programvare)
• 2.4 beskytt virksomhetens datanettverk
• 2.5 kontroller dataflyt
• 2.6 ha kontroll på identiteter og tilganger
• 2.7 beskytt data i ro og i transitt
• 2.8 beskytt e-post og nettleser
• 2.9 etablere evne til gjenoppretting av data
• 2.10 integrer sikkerhet i prosess for endringshåndtering

For å oppfylle kravet om å sikre, må virksomheten i praksis som et minimum prioritere følgende tiltak:

• blokkere kjøring av ikke-autoriserte programmer
• oppgradere program- og maskinvare
• installere sikkerhetsoppdateringer fortløpende
• begrense tildelingen av administratorrettigheter og logge endringer

Virksomheter skal overvåke sine digitale informasjonssystemer slik at uønskede hendelser oppdages og registreres.

I kravet til å oppdage inngår følgende grunnprinsipper:

• 3.1 oppdag og fjern kjente sårbarheter og trusler
• 3.2 etabler sikkerhetsovervåkning
• 3.3 analyser data fra sikkerhetsovervåkning
• 3.4 gjennomfør inntrengningstester

Virksomheten skal varsle uønskede hendelser i sine digitale informasjonssystemer til den beredskapsmyndigheten bestemmer.

Virksomheten skal varsle uønskede hendelser som for eksempel datainnbrudd, nektelsesangrep, oppdagelse av skadevare eller sabotasjeforsøk til det sektorvise responsmiljøet. KraftCERT skal motta alle varsler på uønskede IKT-hendelser. Når virksomhetene er flinke til å varsle til KraftCERT, er det lettere å lage et situasjonsbilde over trusselsituasjonen i bransjen. Et oppdatert situasjonsbilde er nyttig for å treffe med sikringstiltak og beredskap. I tillegg skal ekstraordinære situasjoner varsles til beredskapsmyndigheten (NVE) uten ugrunnet opphold, se § 2-5 og uønskede hendelser skal rapporteres til NVE, se § 2-6.

Virksomheten skal håndtere uønskede hendelser i sine digitale informasjonssystemer og gjenopprette normaltilstand uten ugrunnet opphold.

Virksomheten må ha system, prosedyre og plan for å håndtere sikkerhetsbrudd og gjenopprette systemer og data når systemene feiler. Til hendelseshåndtering hører også vurdering av skadeomfang, begrense skadeomfanget, sikre bevis, skaffe bistand og eksperthjelp, og varsle og rapportere som forskriften krever. Tiltak og aktiviteter bør dokumenteres underveis, mens evaluering, læring og forbedring er del av oppfølgingen i etterkant av hendelsen. Følgende grunnprinsipper inngår:

• 4.1 forbered virksomheten på håndtering av hendelser
• 4.2 vurder og klassifiser hendelser
• 4.3 kontroller og håndter hendelser
• 4.4 evaluer og lær av hendelser

For anskaffelse av tjenesteleverandør til hendelseshåndtering og etterforskning i systemene henviser NVE til NSMs kvalitetsordning for leverandører.

Virksomheten skal sørge for at sikkerhetsnivået opprettholdes eller forbedres ved utsetting av tjenester.

Virksomheten må ha tilstrekkelig kompetanse om anskaffelse og IKT-sikkerhet. Kompetente rådgivere må hentes inn eksternt dersom virksomheten selv mangler tilstrekkelig kompetanse. Sikkerhet må tas hensyn til tidlig i prosessen mens virksomhetene enda har forhandlingsrom og påvirkningsmulighet.

Virksomheten må dokumentere det eksisterende systemet og sikkerhetsnivået, før virksomheten går i gang med tjenesteutsetting. Dokumentasjonen må være så detaljert at det er mulig å kontrollere endringer i sikkerhetsnivå, system og kompetanse før og etter utsetting.

Virksomheter må velge løsninger som tilbyr minst like god IKT-sikkerhet som eksisterende løsning. I tillegg må løsningen tilfredsstille de andre kravene som forskriften stiller, herunder krav til dokumentasjon, risikovurdering og jevnlig revisjon.

IT-industrien er global og benytter underleverandører spredt over hele verden. Virksomheter som planlegger tjenesteutsetting, har derfor behov for å vurdere landrisiko for å sørge for at sikkerhetsnivået opprettholdes. Garantikassen for eksportkreditt (GIEK) har en nettside med samlet vurdering av landrisiko for alle land i verden, og NSM har utarbeidet en veileder for landrisikovurdering. For tjenesteutsetting av IKT-systemer som behandler kraftsensitiv informasjon (se. § 6-2), gjelder særlige hensyn for å sikre at taushetsplikten ivaretas. Se også NVEs sjekkliste for IKT-sikkerhet og NSMs veileder for tjenesteutsetting. Aktuelle leverandører bør være sertifisert i henhold til én eller flere internasjonalt anerkjente sikkerhetsstandarder. Eksempler på slike er NIST Cyber Security Framework og ISO/IEC 27000-serien. I slike tilfeller bør virksomheten be om å få se tredjeparts revisjonsrapport eller sertifiseringsbevis.

Følgende arbeidsoppgaver inngår ved tjenesteutsetting av IKT-drift:

• dokumentere eksisterende system (se. §6-9 a) og organisasjonens IKT-sikkerhetskompetanse
• gjennomføre behovsanalyse
• vurdere forretningsmodeller for IKT-drift og spesifisere krav til leveranse og leverandør
• prekvalifisere leverandører, utlyse anbudskonkurranse og gjennomføre eventuelle forhandlingsmøter
• velge kvalifisert leverandør, gjennomføre kontraktsforhandlinger og inngå kontrakt med kvalifisert(e) leverandør(er)
• innføre og forvalte ny løsning, og bygge opp nødvendig kompetanse
• dokumentere nytt system/tjenestemodell, se. § 6-9 a og ivareta behov for tilgang til IKT-sikkerhetskompetanse
• overføre kunnskap fra tidligere leverandør til ny leverandør, avslutte eksisterende løsning(er) og sørge for at kraftsensitiv informasjon er slettet hos tidligere leverandør

Virksomheter skal jevnlig gjennomføre revisjoner av iverksatte sikringstiltak for digitale informasjonssystemer. Revisjoner skal påse at tiltakene faktisk er etablert og fungerer etter sin hensikt. Hver revisjon kan ta for seg deler av sikringstiltakene.

Revisjon av iverksatte sikringstiltak for digitale informasjonssystemer skal være en gjentakende aktivitet. Som minimum må revisjonen kontrollere organisering av sikkerhetsarbeidet, inkludert plassering av ansvar, og tiltak for å beskytte kraftsensitiv informasjon mot uautorisert tilgang. Revisjon av systemer som er driftet av ekstern leverandør, kan omfatte kontroll av tredjepartsrevisjonsrapport og -sertifiseringer. Resultatene og konklusjonene fra sikkerhetsrevisjonene må dokumenteres. Avvik og feil må håndteres i henhold til virksomhetens internkontrollsystem, kbf § 2-10. NVE krever ikke at alle leverandører skal revideres årlig, men virksomheten må gjøre et valg av leverandører basert på risiko og vesentlighet. Revisjonsrapporter må være et tema i virksomhetens ledermøter eller andre relevante fora i virksomheten.

Veiledere

NIST Guide for Conducting Risk Assessment

Risikostyring av IKT-sikkerhet i leverandørkjeder

NSM Grunnprinsipper i sikkerhetsstyring

Digdir Helhetlig styring og kontroll av informasjonssikkerhet

NSM grunnprinsipper for IKT-sikkerhet 2.0  

Kvalitetsordning for leverandører som håndterer IKT-hendelser, NSM

Landvurdering ved tjenesteutsetting av IKT-tjenester - Nasjonal sikkerhetsmyndighet (nsm.no)

Garantikassen for eksportkreditt – landrisikovurdering

Sikkerhetsfaglige anbefalinger ved tjenesteutsetting, NSM (/2020)

Sjekkliste for IKT-sikkerhet i anskaffelser og tjenesteutsetting i norsk kraftforsyning  (norsk)

Sjekkliste for IKT-sikkerhet i anskaffelser og tjenesteutsetting i norsk kraftforsyning (engelsk)

Metode for å finne kraftsensitiv informasjon på internett

Veileder i håndtering og beskyttelse av sikkerhetsgradert informasjon

Nettvett, Sikker sletting

Digdir_Veileder for testing av etterlevelse av sikkerhetsstandarder

Tiltak mot skadevare og løsepengevirus, NSM

CIS Benchmarks - konfigurasjonsråd for mange produkter

Sikkerhetsveileder for kraftsensitiv informasjon i skytjenester, FSK (november 2021).  

NVE Veileder 2/2024: Veiledning for risikovurdering av IT og OT

Risikovurdering av IKT-systemer.pdf (nsm.no)

Vedlegg- Mal for risikovurdring IKT-systemer.xlsx NSM

#StopRansomware Guide (cisa.gov)

Standarder

• ISO/IEC 27001
• ISO/IEC 27002
• NIST Cyber Security Framework (CSF) 2.0

Krysskoplinger

• § 2.3 Risikovurdering
• § 2.4 Beredskapsplanlegging
• § 2.5 Varsling
• § 2.6 Rapportering
• § 2.7 Øvelser
• § 2.9 Evaluering
• § 2.10 Internkontrollsystem
• § 6.5 Anskaffelser
• § 6.6 Begrenset anbudsinnbydelse