Hvordan velge det riktige rammeverket for informasjonssikkerhet?

Skrevet av Berit Bekkevold, senior informasjonssikkerhetskonsulent

Vi vil her gi en kort gjennomgang av de mest kjente standardene her i Norge samt kriteriene som ligger til grunn for valg av standarder og rammeverk, og hvordan de mest kjente standardene oppfyller disse kriteriene.

ISO/IEC 27001-standarden

ISO/IEC 27001 er en internasjonal anerkjent standard for informasjonssikkerhetsstyring som stiller krav til en risikobasert tilnærming til planlegging og implementering av tiltak for å ivareta informasjonssikkerheten i en virksomhet. Standarden krever også overvåking, oppfølging og forbedring av tiltakene. På denne måten bidrar standarden til at virksomheten systematisk sikrer ivaretakelse og forbedring av informasjonssikkerheten over tid.

Standardens vedlegg «Anneks A» lister opp 114 konkrete sikkerhetstiltak som virksomheten skal vurdere implementert. ISO/IEC 27002 er en supplerende veiledende standard med anbefalinger tilknyttet beste praksis for implementasjon av disse sikkerhetstiltakene, og ISO IEC 27003 er en veiledende standard med anbefalinger knyttet til beste praksis for implementasjon av de kravene beskrevet i hoveddelen til ISO/IEC 27001 (klausul 4-10). ISO/IEC 27001-standarden og de veiledende standardene kan kjøpes på nett fra blant annet Standard Norge og ISO.

Selv om mange norske og internasjonale virksomheter bruker ISO/IEC 27001 som basis for sitt styringssystem uten at virksomheten er sertifisert, er en ISO/IEC 27001-sertfisering stadig oftere et kundekrav til leverandører av IT- og skytjenester.

NIST Cyber Security Framework

NIST Cyber Security Framework er i utgangspunktet utarbeidet for kritisk infrastruktur og offentlige virksomheter i USA, men kan fint brukes av virksomheter her i Norge. Rammeverket er gratis og tilgjengelig for alle, og er mye brukt på universiteter og høgskoler i forbindelse med studier i informasjonssikkerhet. Kjernen av rammeverket er kategorier og underkategorier av sikkerhetstiltak under de 5 sikkerhetsfunksjonene: Identifisere, Beskytte, Oppdage, Respondere og Gjenopprette.

Rammeverkets implementeringslag (Tiers) angir i hvilken grad og på hvilket nivå sikkerhetstiltakene skal innføres. Rammeverkets profiler brukes for å angi gjeldende status eller målsetning for spesifikke cybersikkerhetsaktiviteter og er basert på sammenlikningen mellom funksjoner, kategorier og underkategorier samt virksomhetens krav, risikotoleranse og ressurser i virksomheten. Selv om lagene og rammeverksprofilene ikke skal forveksles med modenhetsgrader, kan de være nyttige for å vise ambisjonsnivået i virksomheten når det gjelder informasjonssikkerhet.

ISF Standard of Good Practice for Information Security

The ISF Standard of Good Practice for Information Security er et rammeverk som inneholder sikkerhetstiltak fordelt på 20 områder og 97 temaer, hvorav tiltakene deles inn i grunnleggende og spesialiserte tiltak. I tillegg inneholder rammeverket deler som beskriver sikkerhetsstyring, sikkerhetskrav, samt overvåkning og forbedring. Rammeverket skal sikre at virksomheten er i tråd med kravene i ISO/IEC 27001, er tilgjengelig for betalende medlemmer av det internasjonale Information Security Forum (ISF) og brukes ofte av store norske virksomheter.

CIS Controls

CIS Controls er utarbeidet av Center for Internet Security, og er et mer teknisk rammeverk for informasjonssikkerhet. Rammeverket er åpent tilgjengelig og baserer seg på de 5 prinsippene for effektivt cyberforsvar; angrep informerer forsvar, prioritering, måling og beregninger, kontinuerlig diagnostikk og skadebegrensning samt automatisering. 

CIS Controls er et differensiert rammeverk som egner seg for alt fra små bedrifter, til mellomstore virksomheter og større organisasjoner. Tiltakene angis egnet for en eller flere av de angitte implementeringsgruppene, og delt inn i tre områder for å ivareta informasjonssikkerheten, basic, fundational og organisational.

NSMs Grunnprinsipper for IKT-sikkerhet

NSMs Grunnprinsipper for IKT-sikkerhet 2.0 ble lansert av Nasjonal sikkerhetsmyndighet (NSM) våren 2020, og er et utvalg sikkerhetstiltak og prinsipper for informasjonssikkerhet. Dette rammeverket er åpent tilgjengelig og utarbeidet for, og med, virksomheter med samfunnskritiske funksjoner og samfunnskritisk infrastruktur i Norge, men er også aktuelt for andre virksomheter.

Rammeverket består av 4 kategorier av sikkerhetstiltak; Identifisere og kartlegge, Beskytte og opprettholde, Oppdage samt Håndtere og Gjenopprette. Kjernen av rammeverket er «IKT-sikkerhet», men NSM planlegger å utvide til å inkludere informasjonssikkerhet på sikt.

Hvilket rammeverk eller standard passer din virksomhet?

Både NIST og NSMs rammeverk er laget med utgangspunkt i en risikovurdering som virksomheten skal ha gjort på forhånd. NIST viser til NIST 800-37, rammeverk for risikostyring, men både dette og NSMs rammeverk kan kombineres med ISO/IEC 27001.

ISO/IEC 27001, NIST CSF og NSM kan alle brukes som grunnlag for anskaffelser eller vurdering av leverandører i oppfølging av leveranser, men de er også gode ressurser i internrevisjon eller som en hjelp- og sjekkliste i tilknytning til implementering av nytt informasjonssikkerhetsstyringssystem eller revidering av et eksisterende system.

Hvilket rammeverk eller standard som passer best for deres virksomhet kan være avhengig av størrelse på virksomheten, hvilken bransje dere hører til, hvilken mulighet dere har til å følge opp informasjonssikkerhetsaktivitetene selv, hvilken kompetanse som kreves av nøkkelpersoner og andre faktorer.

Vi har god kjennskap til alle disse rammeverkene og kan bistå dere i valg av rammeverk, og med implementeringen og oppfølging av rammeverket i deres styringssystem.

Nyttige linker:

• https://www.standard.no/
• https://www.iso.org/
• https://www.nist.gov/cyberframework
• https://www.securityforum.org/
• https://www.cisecurity.org/controls/
• https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet-2-0/introduksjon-1/