1. Formål og anvendelse
Dette dokumentet fungerer som en sikkerhetsavtale mellom AGS IT-partner og kundebedriften. Hensikten er å etablere retningslinjer for å sikre korrekt håndtering av IT-sikkerhetshendelser og trusler. Disse retningslinjene består av konkrete prosedyreplaner som trinnvis redegjør for hvordan kundebedriften skal agere i møte ulike trusselsituasjoner. Se dokumentets avsnitt 2.
- Dokumentet er inkluderer også et rammeverk for sikkerhet bygget på NSM fire grunnprinsipper.
- Dokumentet inkluderer tilgang til flere vedlegg som utfyller og bygger videre på sikkerhetsavtalen.
- Dette inkluderer også utkast til flere sikkerhets-policyer for bedriften og malverk som kan benyttes fritt eller endres som sitt eget dersom bedriften har en kundeavtale med AGS IT-partner.
Dokumentet inneholder en veiledende anbefaling av hva slags sikkerhetstiltak kundebedriften bør implementere for å beskytte sine systemer (avsnitt 4). En ferdig utarbeidet generell og enhetsbasert sikkerhetspolicy (avsnitt 5), samt en anbefaling om kartlegging av bedriften for å sikre virksomhetens digitale ressurser (avsnitt 6). Dokumentet kan i tillegg benyttes for å bevisstgjøre og avtalefeste gjeldende IT-policy for egne ansatte.
1.2 Definisjon av en IT-sikkerhetshendelse
En IT-sikkerhetshendelse er enhver uønsket situasjon eller trussel som kan påvirke sikkerheten til de digitale ressursene i en bedrift. Dette kan inkludere virusangrep, uautorisert tilgang, datatap, eller andre uønskede hendelser som potensielt truer bedriftens digitale sikkerhet.
1.2.1 Rangering av hendelser etter alvorlighetsgrad
| Kategori | Risiko | Beskrivelse |
| 🟡 | Lav | Potensiell innvirkning. Kan løses med begrensede ressurser og har ingen vesentlig påvirkning på forretningsdrift. |
| 🟠 | Middels | Betydelig innvirkning. Kan kreve omfattende respons og kan forstyrre sentrale forretningsprosesser. |
| 🔴 | Høy | Kritisk innvirkning. Krever umiddelbar og omfattende respons, kan true organisasjonens eksistens. |
1.3 Om ansvar, informasjonsplikt og AGS Sikkerhetssenters rolle
Dette punktet er utarbeidet med forankring i informasjon hentet fra Datatilsynet sine hjemmesider, samt lovdata.no
1.3.1 Om ansvar, informasjonsplikt og AGS Sikkerhetssenters rolle
Daglig leder og styreleder i kundebedriften har det juridiske ansvaret for IT-sikkerheten i bedriften, som innebærer å sikre overholdelse av gjeldende lover og forskrifter, deriblant personvernsforordningen (GDPR) som er nedfelt i personvernsopplysningsloven.
- Alvorlige hendelser, som tap av forretningsinformasjon som inneholder personsensitive opplysninger behandles i personopplysningslovens artikkel 33 og 34.
- Tap av generell forretningsinformasjon og/eller forretningshemmeligheter favnes av andre, bransjespesifikke lovverk.
- Daglig leder innehar også ansvaret for konsekvensene av eventuelle IT-sikkerhetshendelser, og er forpliktet til å treffe nødvendige tiltak for å beskytte organisasjonens digitale ressurser.
Videre heter det i aksjelovens § 17-1 blant annet at daglig leder og styreleder kan stilles til ansvar hvis hens handlinger (forsettlig eller uforsettlig) fører til omfattende skade på virksomheten.
Det er for øvrig viktig at daglig leder samarbeider med IT-leverandør og juridiske rådgivere for å sikre at selskapet er godt forberedt på sikkerhetstrusler, og at de følger beste praksis for datasikkerhet.
1.3.2 Bedriftens informasjonsplikt
Avhengig av alvorlighetsgrad har kundebedriften ansvar for å informere følgende parter ved en IT-sikkerhetshendelse.
|
AGS |
Rapport av sikkerhetsbrudd til AGS support |
|
Bruker |
Informer bruker om tiltak og hendelsen |
|
Kunder |
Underrett kunder dersom sensitive data som omfatter dem er på avveie. |
|
Andre |
Leverandører eller samarbeidspartnere som er berørt av hendelsen. |
|
Datatilsynet |
Ved alvorlige hendelser bør du varsle datatilsynet om hendelsen. |
Ved behov for skriftlig rapportering kan AGS Sikkerhetssenter bistå med å utarbeide nødvendig rapportunderlag.
1.3.3 AGS Sikkerhetssenter rolle og informasjonsplikt
AGS Sikkerhetssenter har ikke det juridiske ansvar for IT-sikkerheten i kundebedriften, men tilbyr assistanse og veiledning ved IT-sikkerhetsrelaterte hendelser. AGS plikter å informere kundebedriften hvis en sikkerhetshendelse avdekkes ved Sikkerhetssenteret.
1.4 Definer sikkerhets-roller i bedriften
Kundebedriften må identifisere en ansatt som fungerer som IT-sikkerhetsansvarlig. Dette kan være daglig leder, som sitter med det juridiske ansvaret for IT-sikkerheten (se punkt 1.3.1), eller denne kan delegere og betro dette ansvaret til en medarbeider. Merk at selv om rollen som sikkerhetsansvarlig delegeres vekk fra daglig leder, sitter denne fortsatt med det overordnede juridiske ansvaret for IT-sikkerheten.
Dersom det ikke spesifiseres hvem som er sikkerhetsansvarlig for kundebedriften antas det at dette er daglig leder.
2. Prosedyrer for håndtering av IT-sikkerhetshendelser for kundebedrift
I dette avsnittet har AGS Sikkerhetssenter skissert konkrete scenarioer for ulike typer IT-sikkerhetstrusler, samt utarbeidet trinnvise prosedyrer for å håndtere disse utfordringene. De respektive scenarioene har blitt kategorisert etter grad av alvorlighet fra lav til høy (se punkt 1.2.2).
- Innledningsvis presenteres den standardiserte prosedyreplanen (2.1).
- Deretter følger plausible scenarioer som håndteres ved å følge denne planen (2.2).
- Enkelte sikkerhetstrusler løses ved å følge en fremgangsmåte som avviker fra denne standardiserte prosedyreplanen. (Punkt 2.3)
2.1 Standardprosedyre for håndtering av hendelser
| Standard prosedyreplan for håndtering IT-sikkerhetstrusler | |
| 1 | Ansatt(e) som oppdager sikkerhetstrussel kan ringe AGS Sikkerhetssenter hvis trusselen oppleves som høy, men det anbefales at den ansatte kontakter daglig leder eller sikkerhetsansvarlig i virksomheten først. |
| 2 |
Daglig leder eller sikkerhetsansvarlig kontakter AGS Sikkerhetssenter via chat, e-post eller telefon. AGS Sikkerhetssenter trenger følgende informasjon: |
| 3 |
AGS sikkerhetssenter kontakter brukeren for å undersøke omfanget av hendelsen. AGS kan eskalere saken dersom det viser seg at hendelsen er mer omfattende. (se punkt 7) |
| 4 |
AGS bytter passord på bruker, eller fryse brukerkonto for å stoppe tilgang. |
| 5 |
Hvis nødvendig skannes datamaskinen for å finne ut om den er infisert. Dersom maskinen er infisert av virus eller annen skadevare må den reinstalleres, eller isoleres fra andre enheter. |
| 6 |
Dersom PC er infisert, må bruker benytte en annen enhet. |
| 7 |
Saken eskaleres til 🟠 Kategori Middels eller 🔴Kategori Høy dersom hendelsen er en del av et større angrep. |
2.2 Plausible scenarioer som håndteres ved å følge standard prosedyreplan
| Scenario | Kategori | Hendelseshåndtering | |
| a) | Du har klikket på en lenke som viser seg å være skadelig/ondsinnet. | 🟡 | Følg standard prosedyreplan |
| b) | Hvis datamaskinen din har fått, eller du mistenker at den har fått virus. | 🟡 | Følg standard prosedyreplan |
| c) | Dersom du vet eller har mistanke om at passord og/eller brukernavn er på avveie. | 🟡 | Følg standard prosedyreplan |
| d) | E-post som sendes ut i ditt navn som er falske. | 🟡 | Følg standard prosedyreplan |
| e) | Data blir endret, eller blir borte/mistenkelig endret fra skytjenester. |
🟠 |
Følg standard prosedyreplan MERK! I tillegg vil det bli lagt tilbake backup |
2.3 Plausible scenarioer som avviker fra standard prosedyre
|
Scenario |
Prosedyre for å håndtere hendelsen | ||
🟠 Mistet/frastjålet PC eller mobil.
|
1 | Bruker/kunde kontakter AGS direkte. | |
| 2 | Følgende blir gjort av AGS sikkerhetssenter: • Bytter passord på konto/fryser konto • Hvis mulig Fjernslette data på maskinen/mobilen. |
||
| 3 | Informere daglig leder om hendelse. | ||
|
|
|||
|
🟠 Maskinen din blir kryptert av løspengevirus.
|
1 | Skru av, og koble maskinen av nettverket. | |
| 2 | Ansatt(e) som oppdager sikkerhetstrussel kan ringe AGS Sikkerhetssenter direkte, men det anbefales at den ansatte kontakter daglig leder eller sikkerhetsansvarlig, som i sin tur kontakter AGS Sikkerhetssenter | ||
| 3 | AGS sikkerhetssenter reinstallerer operativsystem og programvare på maskinen. | ||
| 4 | Benytt en annen enhet. | ||
| 5 | Forsikre at løsepengeviruset ikke har spredd seg til andre enheter. | ||
|
|
|||
🟠🔴Hvis du forstår at bedriften er hacket, eller at data er på avveie.
|
1 | Kontakt daglig leder eller sikkerhetsansvarlig så raskt som mulig | |
| 2 | Daglig leder eller sikkerhetsansvarlig kontakter AGS Sikkerhetssenter. | ||
| 3 | Ved mistanke om at bedriften har vært hacket over lengre tid må interessenter/berørte kontaktes. | ||
| 4 | Ved tap av personsensitive opplysninger må Datatilsynet kontaktes. | ||
| 5 | Ved tap av generell forretnings-informasjon og/eller forretnings-hemmeligheter, se bransjespesifikt lovverk. | ||
3. Prosedyrer for håndtering av IT-sikkerhetshendelser for AGS Sikkerhetssenter
Prosedyreplanen for håndtering av IT-sikkerhetshendelser ved AGS Sikkerhetssenter skisserer nøyaktig fremgangsmåte når sikkerhetstrusler oppdages ved Sikkerhetssenteret gjennom monitoreringen av kundebedriftens systemer. Innledningsvis presenteres den standardiserte prosedyreplanen, og deretter følger plausible scenarioer som håndteres ved å følge denne planen.
3.1 Standardprosedyre for håndtering IT-sikkerhetstrusler hos kundebedrift
| AGS Sikkerhetssenter: Standard prosedyreplan for håndtering IT-sikkerhetstrusler | |
| 1 | Potensiell sikkerhetstrussel hos kundebedrift avdekkes av AGS Sikkerhetssenter |
| 2 | AGS Sikkerhetssenter kontakter daglig leder eller sikkerhetsansvarlig i den aktuelle bedriften, og avklarer hvorvidt hendelsen er reel eller ikke. |
|
Hvis ikke reell |
Hvis reell |
| 1 | Vurdere hendelsen eskalere dersom nødvendig (🟡🟠🔴) | |
| Saken avsluttes | 2 | Bytte passord elle fryse konto |
| 4 | Skaffe kontaktinfo til bruker | |
| 5 | Kontakte bruker for å informere om tiltak |
3.2 Standardprosedyre for håndtering IT-sikkerhetstrusler hos kundebedrift
| Scenario | Kategori | Prosedyre | |
| a | Avdekker at bruker er logget på to steder samtidig, eller fra en lokasjon som er uvanlig eller mistenkelig. | 🟡 | Følg standard prosedyreplan |
| b | Avdekker bruker som plutselig har mistenkelig trafikk/aktivitet i Microsoft 365 | 🟡 | Følg standard prosedyreplan |
| c | Avdekker uvanlig administratoraktivitet. | 🟠 | Følg standard prosedyreplan |
| d | Brukernavn og passord på avveie. | 🟠 | Følg standard prosedyreplan |
3.3 Håndtering av scenarioer som avviker fra standard prosedyre
| Scenario | Prosedyre for å håndtere hendelsen | ||
🟠 Det oppdages uvanlig/mistenkelig trafikk eller virus på PC. |
1 | Avklarer alvorlighetsgraden på hendelsen. | |
| 2 | Hvis mulig vil PC isolere seg selv, hvis ikke ring bruker å be hen skru av pc og koble fra nettverk. | ||
| 3 | Informer daglig leder/sikkerhetsansvarlig ved bedriften. | ||
| 4 | Sende ut en driftstekniker til kunde for å reinstallere PC. | ||
| 5 | Bruker må benytte en annen enhet i mellomtiden. | ||
|
|
1 | Avklarer alvorlighetsgraden på hendelsen. | |
| 2 | Hvis mulig isoler/koble fra enhetene det gjelder. | ||
| 3 | Informer sikkerhetsansvarlig ved bedriften. | ||
| 4 | Ved behov, ta i bruk midlertidig nedetid for å hindre ytterligere skade mens situasjonen håndteres. | ||
| 5 | Start en grundig digital etterforskning for å identifisere kilden, omfanget og metoder brukt av angriperen. | ||
| 6 | Gjenopprett berørte systemer fra sikre sikkerhetskopier og gjennomfør en revisjon for å styrke sikkerheten ytterligere. | ||
| 7 | Informer/hold sikkerhetsansvarlig ved kundebedriften oppdatert på situasjonen. | ||
4. Anbefalt sikkerhetsstandard for kundebedrift
Den anbefalte sikkerhetsstandarder bygger på Norske sikkerhetsmyndigheters (NSMs) fire grunnprinsipper for IT-sikkerhet. Den er skreddersydd for å adressere dagens stadig mer komplekse trusler og utfordringer. Disse standardene representerer en helhetlig tilnærming som integrerer intelligente sikkerhetsløsninger for å sikre din virksomhets digitale verdier.
4.1.1 Antivirusprogram
Et antivirusprogram fungerer som en sikkerhetsvakt for datamaskinen. Den overvåker kontinuerlig og hindrer farlige datavirus og skadelige programmer fra å infiltrere maskinen din. Dette bidrar til å sikre bedriftens data. Hvis datavirus eller skadelige programmer får tilgang til datamaskinen, kan de forårsake skade ved å ødelegge filer, stjele personlig informasjon eller til og med låse datamaskinen din, og kreve betaling for å låse den opp igjen.
I NSMs grunnprinsipp nummer 2, som omhandler beskyttelse og opprettholdelse av data, blir det i punkt 2.3 betonet viktigheten av å ivareta en sikker konfigurasjon av bedriftens datapark. Dette innebefatter et krav om at antivirusprogram til enhver tid skal være installert og kjøre på alle virksomhetens maskiner. NSM 2.3 - Beskyttelse og opprettholdelse av data | 2.7 - Beskytt data i ro og transitt | 3.1 - Oppdage og fjern kjente sårbarheter og trusler.
4.1.2 To-faktor autentisering
To-faktor autentisering kan sees på som en ekstra lås på døra til datamaskinen din. Du bruker ikke bare et passord, men også en ekstra kode eller godkjenning. Dette gjør det mye vanskeligere for uvedkommende å få tilgang til dataene dine. Viktigheten av å ha sikkerhetsmekanismer på plass for systemtilgang understrekes i NSMs grunnprinsipp 2, under punkt 2.6, som omhandler kontroll på identiteter og tilganger. Vi anbefaler å bruke Microsofts løsning for to-faktor autentisering som inngår i Microsoft 365.
NSM 2.2 - Etablere en sikker IKT-arkitektur | 2.4 - Beskytte virksomhetens nettverk | 2.6 - Kontroll på identiteter og tilganger
4.1.3 Sikring av e-posttjeneste
Tiltak for sikring av bedriftens e-postkommunikasjon består av to komplementære sikkerhetsforanstaltninger:
4.1.3.1 Sikring av e-postdomene
Sikring av e-postdomenet handler om å ta grep for å forhindre uønsket tilgang og sikre at e-postkommunikasjonen i selskapet er pålitelig. Dette hjelper til med å beskytte viktig informasjon, unngå phishing og spoofing-angrep og skaper et trygt digitalt arbeidsmiljø.
NSM 2.8 - Avanserte sikkerhetstiltak for beskyttelse av e-post.
4.1.3.2 Avansert e-postbeskyttelse
Avansert e-postbeskyttelse gir høyere grad av sikkerhet enn den grunnleggende e-postbeskyttelsen som er standard for de fleste e-posttjenester. Den grunnleggende formen for beskyttelse fungerer som en vakt for e-posten din, som identifiserer kjente trusler og blokkerer dem. Avansert e-postbeskyttelse tar i tillegg sikte på å lære seg å gjenkjenne mer komplekse trusler, samt nye farer som stadig dukker opp. Slik kan den oppdage og blokkere de mer utspekulerte truslene som vanligvis ville gått under radaren.
NSMs grunnprinsipp 2, punkt 2.8, anbefaler spesifikt å implementere avanserte sikkerhetstiltak for beskyttelse av e-post. Vi anbefaler å bruke Microsofts løsning for avansert e-postbeskyttelse som inngår i Microsoft 365.
NSM 2.8 - Avanserte sikkerhetstiltak for beskyttelse av e-post. | 3.1 Oppdage og fjern kjente sårbarheter og trusler
4.1.4 Beskyttelse av nettleser
Nettleserbeskyttelse fungerer ved å identifisere og blokkere potensielle trusler når du besøker nettsteder. Dette inkluderer farer som skadelige annonser, ondsinnede koblinger og forsøk på å installere skadelig programvare på datamaskinen din uten din viten. Den fungerer også som en barriere mot phishing-forsøk, hvor angripere prøver å lure deg til å dele sensitive opplysninger. NSMs grunnprinsipp 2, punkt 2.8, anbefaler spesifikt å implementere avanserte sikkerhetstiltak for beskyttelse av nettleser. NSM 2.8 - Avanserte sikkerhetstiltak for beskyttelse av e-post. | 3.1 Oppdage og fjern kjente sårbarheter og trusler
4.1.5 Kryptering av data på PC og Mac
Kryptering er som å legge de viktige dokumentene dine i en digital safe. Når du bruker kryptering, blir all informasjon gjort uforståelig for de som ikke har tillatelse til å se den. Bare den som innehar nøkkelen til safen kan åpne den å lese dataen. NSMs grunnprinsipp 2, punkt 2.7, omhandler eksplisitt kryptering som virkemiddel for å beskytte data i ro og i transitt. Vi anbefaler å bruke Microsofts løsning for kryptering av data som inngår i Microsoft 365.
NSM 2.7 - Kryptering som virkemiddel for å beskytte data i ro og i transitt.
4.1.6 Administrasjon av sikkerhetspolicy på enheter
En sikkerhetspolicy for bedriftens enheter er et sett med regler og retningslinjer som alle må følge for å holde datasystemet trygt. Denne kan inkludere krav som å ha sterke passord, oppdatere programvare regelmessig, og følge beste praksis for datasikkerhet (les mer om sikkerhetspolicy i avsnitt 5).
Når man har en sikkerhetspolicy på plass, er det både viktig og praktisk å ha et verktøy som gjør det mulig å konfigurere, administrere og håndheve sikkerhetspolicyen på i bedriften. Dette kan inkludere å sørge for at alle enheter har de nødvendige sikkerhetsoppdateringene, at antivirusprogramvaren er aktivert, og at enhetene er konfigurert i samsvar med bedriftens sikkerhetsretningslinjer. Fordelen med dette er at det gir en konsistent og effektiv implementering av sikkerhetstiltak på tvers av alle enheter. Det reduserer risikoen for feil eller unnlatelser, og sikrer at sikkerhetspolicyen blir fulgt på en pålitelig måte.
I NSMs grunnprinsipp 1, punkt 1.1, heter det blant annet at det er ledelsens ansvar å utarbeide en IT-policy som en del av virksomhetens strukturer og prosesser for sikkerhetsstyring. Vi anbefaler å bruke Microsofts løsning for administrasjon av sikkerhetspolicy som inngår i Microsoft 365.
NSM 2.6 - Ha kontroll på identiteter og tilganger
4.1.7 Automatisk sikkerhetsoppdatering
Automatisk sikkerhetsoppdatering er en funksjon som lar datamaskiner og programvare automatisk motta og installere de nyeste sikkerhetsoppdateringene uten behov for manuell inngrep fra brukeren. Dette er viktig fordi det sørger for at operativsystemer, applikasjoner og annen programvare forblir oppdatert med de nyeste sikkerhetsverktøyene som beskytter mot potensielle trusler. Ved å automatisere denne prosessen reduseres risikoen for utnyttelse av sårbarheter, og datamaskinen opprettholder en sterk forsvarslinje mot stadig utviklende cybertrusler.
NSMs grunnprinsipp 2, punkt 2.3, som omhandler å ivareta en sikker konfigurasjon, vektlegger viktigheten av å foreta hyppige og regelmessige oppdateringer av systemene, og videre anbefales det at dette helst bør automatiseres.
NSM 2.3 - Ivareta en sikker konfigurasjon
4.1.8 Fjernsletting av mistet/stjålet enhet
Aktivering av fjernsletting på bedriftens enheter gir en betydelig sikkerhetsfordel ved å muliggjøre ekstern sletting av all informasjon på en gitt enhet. Dette sikrer bedriftens sensitive data og forhindrer uvedkommende tilgang til konfidensiell informasjon, som dokumenter og e-postkommunikasjon i tilfelle enheter blir stjålet, mistet, eller i tilfeller hvor den ansatte bytter arbeidsplass.
NSMs grunnprinsipp 2, punkt 2.3, vektlegger viktigheten av å ivareta en sikker konfigurasjon av maskin og programvare. Dette innebærer å legge til rette for muligheten for fjernsletting av data. Vi anbefaler å bruke Microsofts løsning for fjernsletting av data som inngår i Microsoft 365.
NSM 2.3 - Ivareta en sikker konfigurasjon
4.1.9 Sikring mot lekkasje på Darkweb
Darkweb er den skjulte delen av internett, utilgjengelig for vanlige søkemotorer og brukt for kriminelle aktiviteter. Det er viktig å sikre seg mot datalekkasje dit, da det kan få alvorlige konsekvenser, i form av identietstyveri og tap av omdømme.
Å sikre bedriften mot lekkasjer til Darkweb er i tråd med NSMs grunnprinsipp 2, punkt 2.3, som fokuserer på å ivareta sikker konfigurasjon av bedriftens datamaskiner. NSM 2.3 - Ivareta en sikker konfigurasjon
4.1.10 Opplæring og testing av ansatte for å øke sikkerhetsbevisstheten
Opplæring og testing for å øke sikkerhetsbevisstheten hos ansatte er viktig for å styrke organisasjonens overordnede sikkerhetskultur, redusere risikoen for menneskelige feil, og skape et felles ansvar for datasikkerhet blant de ansatte. Dette tiltaket er i tråd med NSMs grunnprinsipp 3 punkt 3.4, som handler om kontinuerlig testing av bedriftens personale for å lære å avdekke sikkerhetstrusler de kan bli utsatt for.
NSM 3.4 - Gjennomfør inntrengingstester | 4.4 - Evaluer og lær av hendelser
4.1.11 Etabler system for monitorering Internt eller eksternt (SOC)
Etablering av et system for monitorering av bedriftens datapark (Security Operation Center) er avgjørende for å styrke organisasjonens IT-sikkerhet. Dette gir kontinuerlig tilsyn med nettverk, systemer og digitale ressurser for å oppdage og respondere på potensielle trusler i sanntid. Ved å implementere monitorering kan organisasjonen identifisere unormale aktiviteter, tidlig varsle om mulige sikkerhetsbrudd og raskt iverksette tiltak for å hindre eller begrense skade. Dette gir ikke bare økt beskyttelse mot cybertrusler, men gir også en proaktiv tilnærming til å opprettholde en sikker digital infrastruktur.
Sikkerhetstiltak for monitorering av bedriften datapark forankres i NSMs grunnprinsipp 3 punkt 3.2, som eksplisitt oppfordrer til etableringen av et monitoreringssystem for bedriften IT-ressurser, og punkt 3.3 som sier at man burde analysere data fra sikkerhetsmonitoreringen
NSM 3.2 - Etabler sikkerhets overvåkning | 3.4 - Analyser data fra sikkerhets- overvåkning | 4.1 - Forbered virksomheten på håndtering av hendelser | 4.2 - Vurder og klassifiser hendelser | 4.3 - Kontroller og håndter hendelser | 3.2 - Etabler sikkerhets overvåkning | 3.4 - Analyser data fra sikkerhets- overvåkning | 4.1 - Forbered virksomheten på håndtering av hendelser | 4.2 - Vurder og klassifiser hendelser |
4.3 - Kontroller og håndter hendelser
4.2 Sikkerhetskopiering av data
Sikring av data gjennom regelmessig sikkerhetskopiering er avgjørende for å beskytte seg mot tap av informasjon, og for å sikre rask gjenoppretting i tilfelle uønskede hendelser. I henhold til lovverket er det daglig leder og/eller styreleder som har hovedansvaret for at det tas back up i kundebedriften.
Det er viktig å merke seg at ulike tilnærminger kreves, avhengig av om sikkerhetskopieringen skal utføres på lokale systemer, eller om dataen utelukkende er lagret i en skytjeneste. Dette blir nærmere belyst i det følgende. NSM 2.9 - Etabler evne for gjenoppretting av data
4.2.1 Backup av lokale IT-ressurser
Her følger en oversikt over viktige hensyn som bør tas i betraktning ved organiseringen av sikkerhetskopiering for lokale IT-ressurser:
4.2.1.1 Hva inkluderes i sikkerhetskopiene?
Hvilke IT-ressurser skal inkluderes i sikkerhetskopiene, for eksempel filer, databaser, og konfigurasjonsdata for lokale servere.
4.2.1.2 Hvor er sikkerhetskopiene lagret?
Dette spørsmålet omhandler den fysiske eller virtuelle plasseringen av sikkerhetskopiene for lokale IT-ressurser, for eksempel på dedikerte servere, eksterne lagringsenheter eller andre lokale backup-enheter.
4.2.1.3 Hvor er lenge lagres sikkerhetskopien?
Dette spørsmålet er vi ute etter hvor lenge backup lagres og hvor mange versjoner av filer som lagres.
4.2.1.4 Hvordan utføres gjenoppretting av data fra backup?
Hvordan er prosessen for å gjenopprette lokale IT-ressurser fra sikkerhetskopiene. Dette inkluderer trinnene som må tas og verktøyene som brukes i den lokale konteksten.
4.2.1.5 Det lages en plan for nødssituasjonsgjenoppretting (Disaster Recovery)?
Dette spørsmålet vurderer behovet for en plan som fokuserer på lokale nødssituasjonsgjenopprettingsscenarioer, for eksempel gjenoppretting av lokale IT-ressurser etter en systemfeil eller annen katastrofe.
4.2.1.6 Hvem er ansvarlig for håndtering av backupen?
Dette punktet identifiserer personen eller gruppen som er ansvarlig for administrasjonen og vedlikeholdet av sikkerhetskopiprosessene for lokale IT-ressurser.
4.2.1.7 Gjennomfør tester på backup-systemet årlig for å sikre effektivitet og pålitelighet.
Det er viktig å jevnlig teste sikkerhetskopisystemet for lokale IT-ressurser for å sikre pålitelig gjenoppretting ved behov.
4.2.2 Backup av skybaserte IT-tjenester
Her følger en oversikt over viktige hensyn som bør tas i betraktning ved organiseringen av sikkerhetskopiering for skybaserte IT-ressurser NB!! Det viktig å være oppmerksom på at leverandør av skytjenesten kun leverer en begrenset backup av data, og at hendelser etter denne perioden vil føre til tap av data.
AGS anbefaler en utvidet backup-tjeneste for å ta vare på og kunne gjenopprette data utover standard backup-periode.
4.2.2.1 Hvilke elementer inkluderes i sikkerhetskopiene?
Dette punktet handler om å identifisere hvilke digitale ressurser som skal inkluderes i sikkerhetskopiene, for eksempel filer, e-post, skylagring, tjenester, databaser, eller annet innhold som er lagret i skytjenesten.
4.2.2.2 Hvor blir sikkerhetskopiene lagret?
Dette spørsmålet omhandler plasseringen av sikkerhetskopiene for digitale ressurser i skytjenesten. Det kan inkludere informasjon om servere eller lagringsenheter som AGS IT-partner administrerer.
4.2.2.3 Hvor er lenge lagres sikkerhetskopien?
Dette spørsmålet er vi ute etter hvor lenge backup lagres og hvor mange versjoner av filer som lagres.
4.2.2.4 Hvordan utføres gjenoppretting av data fra sikkerhetskopiene?
Dette punktet fokuserer på prosessen for å gjenopprette digitale ressurser fra sikkerhetskopiene i skytjenesten. Her vil AGS Sikkerhetssenter være ansvarlig for å utføre gjenopprettingsprosedyrer og sikre at dataene blir korrekt gjenskapt.
For å lagre sikkerhetskopier i skytjenesten på ubegrenset tid, anbefaler vi Microsofts tjeneste for sikkerhetskopiering av Microsoft 365.
4.2.1.6 Hvem er ansvarlig for håndtering av backupen?
Dette punktet identifiserer personen eller gruppen som er ansvarlig for administrasjonen og monitorering av at sikkerhetskopiprosessene fungerer.
4.3 Miljøavtale for sikker gjenbruk/resirkulering av IKT-utstyr
Med en miljøavtale får du hjelp til håndtering av livssyklusen til gammelt eller utdatert IKT-utstyr på en forsvarlig, sikker og bærekraftig måte. Miljøavtalen leveres gratis av AGS IT-partner. Salgbare enheter rengjøres og videresendes til gjenbruk hos skoler, barnehager og institusjoner. Ikke-brukbare enheter sendes videre til en «Teardown»-linje på Miljøstasjonen, der utstyret demonteres og komponenter/materiale sorteres. Komponenter som blant annet prosessor, RAM og harddisk klargjøres for gjenbruk.
Det er viktig å ha på plass rutiner for at konfidensiell data blir slettet fra enhetene bedriften kvitter seg med. Gjennom miljøavtalen tilbys kunder tjenester for sikker sletting av data før enhetene går til gjenbruk eller gjenvinning. Etter utført tjeneste mottar kunden et «slettesertifikat» som bevis på at den respektive dataen er slettet. Vi anbefaler vår Miljøavtale for sikker gjenbruk/resirkulering av IKT-utstyr. NSM 2.2 - Etablere en sikker IKT-arkitektur | 2.7 - Beskytt data i ro og transitt
5. Anbefalt IT-sikkerhetspolicy
Implementering av IT-policyer er avgjørende for å sikre en robust og trygg digital arbeidsplattform for kundebedrifter. Disse policyene gir et klart rammeverk for å håndtere ulike aspekter av IT-sikkerhet, fra overordnede retningslinjer som dekker hele organisasjonen, til spesifikke retningslinjer rettet mot individuelle enheter. Ved å etablere slike policyer legger man grunnlaget for ansvarlig bruk av IT-ressurser, etterlevelse av gjeldende lover og regler, og beskyttelse mot potensielle trusler og sårbarheter. AGS anbefaler at alle kundebedrifter implementerer en todelt tilnærming til IT-sikkerhet gjennom følgende policyer:
5.1 Generell sikkerhetspolicy for kundebedrifter
Overordnede retningslinjer som dekker et bredt spekter av IT-sikkerhet for hele organisasjonen. Se vedlegg
NSM 2.2 - Etablere en sikker IKT-arkitektur
5.2 Enhetsbasert sikkerhetspolicy
Her skisseres spesifikke retningslinjer som adresserer sikkerhetsaspekter knyttet til bruk av individuelle enheter (PC/Mac – Android/iPhone/ipad).
Forslag til sikkerhetspolicyene for disse ligger som vedlegg til dette dokumentet. Se vedlegg
NSM 2.2 - Etablere en sikker IKT-arkitektur
6. Kartlegging av kundebedrift
AGS Sikkerhetssenter anbefaler at det gjøres en grundig kartlegging av kundebedriftens anvendelse av IKT-ressurser. Hensikten med en slik kartleggingen er å identifisere kritiske aspekter knyttet til IKT-sikkerheten i bedriften, med et overordnet mål om å ruste organisasjonen til å møte og håndtere potensielle trusler på en effektiv og proaktiv måte.
Kartleggingen er forankret i NSM grunnprinsipp 1 for IKT-sikkerhet. Resultatene fra kartleggingen vil danne grunnlaget for å implementere målrettede tiltak, slik at bedriften kan styrke sitt forsvar og reagere strategisk på identifiserte risikoer.
Det er viktig å understreke NSMs anbefaling om at sikkerhetsstyringen må tilpasses i henhold til bedriftens størrelse. Dette innebærer at kartleggingen og de påfølgende tiltakene skal skreddersys for å imøtekomme de spesifikke utfordringene og behovene til den aktuelle bedriften.
NSMs grunnprinsipp 1 består av tre punkter:
- NSM 1.1 Kartlegg styringsstrukturer, leveranser og understøttende systemer
- NSM 1.2 Kartlegg enheter og programvarer
- NSM 1.3 Kartlegg brukere og behov for tilgang
Automatisk og manuell kartlegging
Det finnes sentraliserte verktøy som kan gjennomføre deler av kartleggingen automatisk. Dette gjelder for punkt 1.1 (IKT-infrastruktur), samt punktene 2.1.1 (kartlegging av enheter) og punkt 2.1.2 (kartlegging av programvare).
Bedriften har likevel muligheten til å foreta hele kartleggingen manuelt, og som et verktøy for dette er det utarbeidet et Excel-skjema som kan benyttes for å innhente og organisere nødvendig informasjon. Hver av de påfølgende avsnittene er representert i dette skjemaet, og bedriften fyller selv inn relevant informasjon (se vedlegg 5).
Risikovurdering
| Kategori | Risiko | Beskrivelse |
| ⚪ | Ingen | Ingen innvirkning på forretningsdriften |
| 🟡 | Lav | Potensiell innvirkning og har ingen stor eller vesentlig påvirkning på forretningsdrift. |
| 🟠 | Middels | Betydelig innvirkning. Kan kreve omfattende respons og kan forstyrre sentrale forretningsprosesser. |
| 🔴 | Høy | Kritisk innvirkning. Krever umiddelbar og omfattende respons, kan true organisasjonens eksistens. |
6.1 Kartlegg styringsstrukturer, leveranser og understøttende systemer
Hva bør gjøres?
Virksomheten bør etablere klare planer og prosesser for å håndtere sikkerhet og risiko i IT-systemene. Bedriften bør også identifisere, prioritere og beskytte de viktigste leveransene.
Hvorfor er dette viktig?
Manglende organisering og vurdering av risiko kan begrense ledelsens evne til å prioritere og styre sikkerhetsarbeidet på en effektiv måte.
Manglende oversikt kan føre til at mindre kritiske deler av IT-systemet er godt beskyttet, mens avgjørende deler kan være utsatt for angrep. En helhetlig tilnærming til sikkerhetsarbeidet sikrer at både viktig og mindre viktig informasjon blir tilstrekkelig beskyttet.
6.1.1 Understøttende infrastruktur
Bedriften kartlegger de teknologiske og infrastrukturelle elementene som er nødvendige for å støtte organisasjonens IT-behov.
| Fysisk infrastruktur | Kartlegging |
| Nettverk | En oversikt over de ulike sonene innenfor bedriftens LAN (Local Area Network) og trådløse nettverk |
| Nettverkskomponenter | En kartlegging av nettverkskomponenter inkluderer alle rutere, brytere, trådløse aksesspunkter, brannmurer etc., som er koblet på nettverket. |
| Servere | List opp og beskriv serverne som støtter organisasjonens IT-infrastruktur. |
6.1.2 Understøttende systemer
Bedriften lager en detaljert oversikt over alle systemer som støtter organisasjonens hovedvirksomhet, og hvem som har ansvar for vedlikehold.
| Systemer | Kartleggingsveiledning |
|
Kartlegg hensiktsmessig informasjon om alle bedriftens understøttende systemer. Dette kan inkludere:
|
Systemtype – Hva slags system er det? |
| Produsent – Hvem har produsert systemet | |
| Integrasjon – Er systemet integrert med et annet system | |
| Lagring – Hvor lagres data fra systemet | |
| Backup – Tas det backup av systemet | |
| Support - Hvem har support av systemet | |
| Risikovurdering – Hvor viktig er systemet fra. Skala: 1-3. 🟡🟠🔴 |
6.2 Kartlegg enheter og programvarer
Hva bør gjøres?
Virksomheten bør kartlegge enheter og programvare på nettverket for å ha oversikt over forvaltede (og ikke-forvaltede) enheter og gjeldende konfigurasjon for disse.
Hvorfor er dette viktig?
Kartlegging av enheter og programvare er viktig for å få oversikt over hva som befinner seg i virksomheten. Kartleggingen av enheter bør avdekke både virksomhetsstyrte enheter, legitime enheter med begrensede rettigheter (for eksempel IoT-enheter) og ukjente enheter (kan være f.eks. ansattes privat utstyr eller ondsinnede enheter). Tilsvarende bør kartlegging av programvare dekke all programvare som benyttes i virksomheten, både installert av IT-avdelingen og uautorisert programvare. Det er viktig at virksomheten selv får oversikt over enheter, programvare og deres sårbarheter før angripere gjør det.
6.2.1 Kartlegg enheter i bruk i virksomheten
| Kartleggings område | Informasjon |
|
1) Kartlegg og registrer hensiktsmessig informasjon om hver enhet som er i bruk i virksomheten |
Produsent – Hvem har produsert systemet |
| Modell– Hvilken modell er det? | |
| Operativsystem – Hvilket operativsystem kjører enheten? | |
| Prosessor – Hva slags ytelse har maskinen? | |
| Minne– Hvor mye minnekapasitet har enheten? | |
| Garanti - Når går garanti ut på maskinene? | |
| Bruker – Hvem bruker maskinen? | |
|
2) Få oversikt over alle mobile enheter og lagringsmedier som benyttes utenfor virksomhetens nett som inneholder virksomhetsinformasjon
|
|
6.2.1 Kartlegg programvare i bruk i virksomheten
| Kartleggings område | Informasjon |
|
Kartlegg programvare som er utover bedriftens forretnings-systemer, både forretningstjenlige og ikke-forretningstjenlige. For eksempel Microsoft Teams (forretningstjenlig) eller Netflix (Ikke forretningstjenlig)
|
Navn – Hva heter applikasjonen |
| Produsent – Hvem har laget applikasjonen | |
| Formål/bruksområde - Hva brukes applikasjonen til | |
| Forretningstjenlige - Er applikasjonen nyttig for bedriften | |
| Risikovurdering – Hvor viktig er applikasjonen for bedriften Skala: 0-3. ⚪🟡🟠🔴 |
6.3 Kartlegg brukere og behov for tilgang
Hva bør gjøres?
For å styrke IKT-sikkerheten er det avgjørende for virksomheten å ha en omfattende oversikt over brukergrupper/roller og deres tilgangsbehov. Mange brukere kan ha unødvendig omfattende tilganger, og overflødige rettigheter utgjør en potensiell trussel. Eksempelvis bør man unngå at enkeltbrukere har administratortilgang.
Hvorfor er dette viktig?
Når en angriper får tilgang til et informasjonssystem, er ofte det første målet å øke tilgangen. Dette gjøres gjerne ved å ta over ulike kontoer og forsøke å eskalere rettigheter. Mange brukere kan ha tilgang til systemer og tjenester de ikke har behov for, og med mer rettigheter enn de trenger for å gjøre jobben sin. Hvis alle brukere har tilgang til for mye vil kompromittering av én bruker kunne kompromittere hele IKT-systemet. Tilgangen til de ulike delene av et informasjonssystem bør derfor deles opp for å redusere skaden fra en kompromittering eller utro ansatte. En virksomhet må derfor ha kontroll på de ulike brukerne, kontoene de disponerer og hvilke rettigheter en gitt konto har.
6.3.1 Kartlegg programvare i bruk i virksomheten
Kartlegg de ulike rollene i informasjonssystemene. Følgende informasjon kan det være hensiktsmessig å registrere:
| Informasjon | Spesifisering |
| Rolle | F.eks. salg, administrasjon, leder, kontorbruker, HR |
| Avdeling | Geografi eller avdeling |
| Rollens tilgangsbehov til IKT-systemer, tjenester/applikasjoner | Dette omfatter hvilke spesifikke informasjonssystemer, tjenester eller applikasjoner en brukerrolle trenger tilgang til for å utføre jobben sin. |
| Spesielle rettighetsbehov | Dette refererer til eventuelle ekstra tillatelser eller spesielle rettigheter som en bruker kan trenge ut over standardtilgang for å utføre spesifikke oppgaver eller ansvarsområder. |
6.3.2 Kartlegg og definer de ulike brukerkategoriene
Kartlegg og definer de ulike brukerkategoriene som finnes i virksomheten for å definere tilgangsnivåer og behov for oppfølging og kontroll.
Eksempler på brukerkategorier kan være:
| Informasjon | Spesifisering |
| Normale brukere som kun har behov for kontorstøtte | Dette omfatter vanlige ansatte som kun trenger tilgang til standard kontorstøtteapplikasjoner for å utføre daglige oppgaver |
| VIP brukere med spesialbehov, med behov for utvidede rettigheter, f.eks. utviklere | Dette gjelder brukere med spesifikke roller eller oppgaver som krever utvidede tilgangsrettigheter, for eksempel utviklere som trenger tilgang til kildekode og utviklingsverktøy. |
| Drift brukere som drifter virksomhetens systemer | Dette inkluderer ansatte med ansvar for å administrere og vedlikeholde virksomhetens IT-systemer, inkludert systemadministratorer og nettverksingeniører. |
| Eksterne leverandører og konsulenter | Dette refererer til eksterne parter, som leverandører eller konsulenter, som trenger spesifikke tilganger for å støtte eller levere tjenester til virksomheten. . |
| Systembrukere som f.eks. systemprosesser som sikkerhetskopiering og lignende som går i bakgrunnen | Dette gjelder systemprosesser eller tjenester som opererer i bakgrunnen, for eksempel automatiserte sikkerhetskopieringsprosesser, som krever tilgang til systemressurser. |
Vedlegg og linker
Vedlegg 1: Generell sikkerhetspolicy for brukere i bedriften
Vedlegg 2: Sikkerhetspolicy for PC, Mac og mobile enheter
Vedlegg 3: Anbefalt sikkerhetsstandard for bedriften
Vedlegg 4: Policy for backup og gjenoppretting
Vedlegg 5: Regneark - Mal for kartlegging av enheter, understøttende systemer og tilgang
Vedlegg 6: Illustrasjon og visualisering av standard prosedyre
Vedlegg 7: NSM Grunnprinsipper for IKT sikkerhet v2.0
Link Cybersjekk: NSM Cybersjekk
Link NIS2 veiledning: NIS2-samsvar - AGS IT-partner
Annen Informasjon
Denne avtale er i 2 – to eksemplarer, hvorav partene har hvert sitt.
Kontaktpunkt til Kundesenter eller Personvernombud
• Support og servicetelefon 33 29 10 20
• Support kan også sendes inn via e-post til support@ags.no
• Eller bruk vårt supportsystem via vårt Kundesenter.
• Saken registreres med eget id.nr., som gir tilgang og innsyn i saksgangen, samt muligheter for kommentarer til saksbehandler underveis. http://support.ags.no
• Melding til Personvernombud sendes til personvernombud@ags.no