schema-details.json

{
  "activities": {
 "LEV.1.1.1"    :{ "description":"Identifiser virksomhetens prioriterte mål og strategi, og hvilke regelverk, bransjenormer og avtaler som stiller krav til sikring av IKT-systemene. Dette er styrende for virksomhetens risikoprofil og derved hvilke sikkerhetsprioriteringer og sikringstiltak virksomheten gjennomfører."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Identifiser virksomhetens prioriterte mål og strategi"                         ,"proof"      : "" },
"LEV.1.1.2"    :{ "description":"Identifiser virksomhetens prioriterte leveranser og tilknyttede prosesser og aktiviteter basert på mål og strategi. Dette innebærer å se på hvilke verdikjeder som inngår i leveransene, hvem som eier leveransene og hvilke interne og eksterne avhengigheter virksomheten har. De interne eller eksterne aktiviteter virksomheten avhenger av for å sikre IKT-systemene, funksjoner eller organisasjonsledd bør kartlegges."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Identifiser virksomhetens prioriterte leveranser"                         ,"proof"      : "" },
"LEV.1.1.3"    :{ "description":"Kartlegg IKT-systemer, kritiske forretningsroller og informasjon, og gruppér i kritikalitetsnivåer. Kritikalitet er en vurdering av forretningsmessig påvirkning. Den bør beskrive krav til leveranser og konsekvenser dersom et system ikke fungerer eller informasjon kommer på avveie eller blir misbrukt. Kritikalitetsinndelingen skal benyttes for å forstå konsekvensen av en sikkerhetstruende hendelse mot systemet."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Kartlegg IKT-systemer, kritiske forretningsroller og informasjon, og gruppér i kritikalitetsnivåer"                         ,"proof"      : "" },
"LEV.1.1.4"    :{ "description":"Kartlegg organisatorisk informasjonsforvaltning, kommunikasjon og dataflyt i virksomheten. Virksomheten må ha kontroll over hvor virksomhetskritisk informasjon befinner seg. Etabler oversikt over systemflyt (system flowcharts) og modeller som beskriver forholdet mellom entiteter for å illustrere hvordan informasjon flyter gjennom systemet. Dette vil være viktige for å kunne kontrollere dataflyt mellom ulike soner i virksomheten. Både dataflyt mellom komponenter (internt i systemer), mellom systemer og mellom soner bør beskrives."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Kartlegg organisatorisk informasjonsforvaltning, kommunikasjon og dataflyt i virksomheten"                         ,"proof"      : "" },
"PRO.1.2.1"    :{ "description":"Utarbeid en oversikt over maskin- og programvare som er godkjent for bruk i virksomheten ved hjelp av automatiske discovery-verktøy. Denne oversikten over gyldig konfigurasjon, bør overvåkes av verktøy for integritetssjekking for å validere at den ikke har blitt endret. Oversikten bør inkludere eierskap."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Utarbeid en oversikt over maskin- og programvare som er godkjent for bruk"                         ,"proof"      : "" },
"PRO.1.2.2"    :{ "description":"Oppretthold en aktivabeholdning av entiteter som er koblet til nettverket for å få en oversikt over virksomhetens gjeldende konfigurasjon."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Oppretthold en aktivabeholdning av entiteter "                         ,"proof"      : "" },
"PRO.1.2.3"    :{ "description":"Etabler verktøy for oversikt over all programvare i hele virksomheten som dekker hvert operativsystem i bruk. Inventarsystemet for programvare bør spore versjon av det underliggende operativsystemet samt programmer som er installert på det. Inventarsystemet for programvare bør knyttes opp til aktivabeholdning av nettverksenheter slik at alle enheter og tilhørende programvare spores fra ett sted."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Etabler verktøy for oversikt over all programvare"                         ,"proof"      : "" },
"PRO.1.2.4"    :{ "description":"Automatiser prosessen med å opprettholde en aktivabeholdning. Ta i bruk et automatisert verktøy for å oppdage og samle inn informasjon om enheter i virksomhetens nettverk. Virksomhetens logger kan brukes som støtte til å detektere ukjente systemer i virksomhetens nettverk ved å overvåke avvik fra normaltilstand."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Automatiser prosessen med å opprettholde en aktivabeholdning. "                         ,"proof"      : "" },
"USR.1.3.1"    :{ "description":"Etabler prosess for vedlikehold av brukere, roller og tilganger slik at dette ivaretas gjennom hele livssyklusen til brukerne, fra opprettelse til avslutning av kontoer."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Etabler prosess for vedlikehold av brukere, roller og tilganger"                         ,"proof"      : "" },
"USR.1.3.2"    :{ "description":"Kartlegg og fastsett retningslinjer og regler for aksesskontroll basert på minste privilegiums prinsipp."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Kartlegg og fastsett retningslinjer og regler for aksesskontroll "                         ,"proof"      : "" },
"USR.1.3.3"    :{ "description":"Kartlegg og definer de ulike brukerkategorier som finnes i virksomheten for å definere tilgangsnivåer og behov for oppfølging og kontroll. Eksempler på brukerkategorier kan være: 'Vanlige brukere' med behov for tilgang til kontorstøttesystemer.Brukere med behov for utvidede rettigheter eller privilegier, Administratorbrukere, Systembrukere, Leverandører og konsulenter"
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Kartlegg og definer de ulike brukerkategorier som finnes i virksomheten "                         ,"proof"      : "" },
"USR.1.3.4"    :{ "description":"Kartlegg brukere, brukerkontoer (inkludert systemkontoer) og hvilke tjenester de ulike brukerne har behov for aksess til. Dette må forvaltes over tid og bør, i tillegg til de brukere som forvaltes i en katalogstruktur (eksempelvis AD eller LDAP), også inkludere system- og administratorkontoer som for eksempel administratorkontoer til databaser. Aksessbehov bør revideres jevnlig."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Kartlegg brukere, brukerkontoer (inkludert systemkontoer) og hvilke tjenester de ulike brukerne har behov for aksess til."                         ,"proof"      : "" },
"USR.1.3.5"    :{ "description":"Kartlegg roller og ansvar knyttet til IKT-sikkerhet for hele organisasjonen samt tredjeparts interessenter (f. eks. leverandører, kunder, partnere) og etabler dette der det mangler."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Kartlegg roller og ansvar knyttet til IKT-sikkerhet "                         ,"proof"      : "" },
"USR.1.3.6"    :{ "description":"Godkjenning av brukerrettigheter må kunne spores til en rolle og en ansvarlig person."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Godkjenning av brukerrettigheter må kunne spores"                         ,"proof"      : "" },
"UTV.2.1.1"    :{ "description":"Integrer sikkerhet i virksomhetens prosess for anskaffelse og utvikling, fra kravanalyse, prekvalifisering og design, til testing og idriftsetting. Fastsett krav til informasjonssikkerhet basert på anerkjente standarder og rammeverk slik at nødvendige aspekter relatert til konfidensialitet, integritet og tilgjengelighet adresseres i forbindelse med anskaffelse og utvikling. I tillegg til sikkerhetskrav for selve produktet eller tjenesten, bør det også stilles krav til funksjonalitet, analysekapasitet, overvåkbarhet, styring og integrasjon, herunder samsvar med virksomhetens sikkerhetsarkitektur. Kravene bør inkluderes i kontrakt for måling av etterlevelse."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Integrer sikkerhet i virksomhetens prosess for anskaffelse og utvikling"                         ,"proof"      : "" },
"DES.2.2.1"    :{ "description":"Etabler og vedlikehold en helhetlig sikkerhetsarkitektur som ivaretar en sikker og forsvarbar IKT-infrastruktur og gjenspeiler krav til leveranser. Påse at alle nødvendige og grunnleggende sikkerhetsteknologier omfattes med hensyn til valg av maskinvare, operativsystem, nettverksenheter, databaser og brannmurer."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Etabler og vedlikehold en helhetlig sikkerhetsarkitektur"                         ,"proof"      : "" },
"SKO.2.3.1"    :{ "description":"Installer og konfigurer systemet med kun nødvendig funksjonalitet for å understøtte virksomhetens forretningsprosesser. Kun autorisert programvare bør kjøre på virksomhetens enheter."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Installer og konfigurer systemet med kun nødvendig funksjonalitet "                         ,"proof"      : "" },
"INF.2.4.1"    :{ "description":"Segreger og segmenter virksomhetens IKT-infrastruktur inn i nettverk og soner som gjenspeiler virksomhetens risikoprofil og sikkerhetssoner. Trafikk for å administrere IKT-infrastrukturen bør skilles fra øvrig virksomhetsnettverk og autoriseres og autentiseres."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Segreger og segmenter virksomhetens IKT-infrastruktur inn i nettverk og soner"                         ,"proof"      : "" },
"KON.2.5.1"    :{ "description":"Sørg for at alle kontoer er personlige og har en utløpsdato. Oppretthold en god dialog med bruker av konto med hva som overvåkes og logges relatert til kontoen."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Sørg for at alle kontoer er personlige og har en utløpsdato. "                         ,"proof"      : "" },
"ADM.2.6.1"    :{ "description":"Personer med administrative privilegier (operatører) bør bruke separate kontoer når de utfører systemadministrasjon."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "separate kontoer når de utfører systemadministrasjon"                         ,"proof"      : "" },
"FLO.2.7.1"    :{ "description":"Benytt brannmurer med logging for å filtrere og kontrollere trafikken mellom de ulike sikkerhetssonene og mot internett ved kun å tillate ønsket trafikk mellom sonene. Brannmurregler bør ha en ansvarlig og beskrivelse av begrunnelse for åpning og bør revideres jevnlig."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Benytt brannmurer med logging for å filtrere"                         ,"proof"      : "" },
"DAT.2.8.1"    :{ "description":"Skru på kryptering i de tjenester som tilbyr slik funksjonalitet og sikre at kun anbefalte algoritmer og nøkkellengder benyttes."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Skru på kryptering i de tjenester som tilbyr slik funksjonalitet "                         ,"proof"      : "" },
"EPO.2.9.1"    :{ "description":"Sørg for at kun fullt støttede e-postklienter og nettlesere tillates å kjøre i virksomheten. Kun siste versjon av nettlesere bør benyttes slik at de siste sikkerhetsrettingene og den nyeste sikkerhetsfunksjonaliteten tas i bruk."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "kun fullt støttede e-postklienter og nettlesere tillates"                         ,"proof"      : "" },
"LOG.2.10.1"    :{ "description":"Logging må gjennomføres på en måte som sikrer ansvarlighet, tilgjengelighet og integritet. Logger må innsamles og håndteres på en måte som inngir tillit til det som står i loggen, at det som skal logges blir logget og at loggingen ikke er blitt stoppet, innholdet endret eller slettet. Logger skal kun benyttes til å ivareta sikkerheten i IKT-systemer og bør lagres i lang nok tid til at man kan oppdage og kartlegge uønsket aktivitet og bevegelse i etterkant av en hendelse."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Logging må gjennomføres på en måte som sikrer ansvarlighet, tilgjengelighet og integritet"                         ,"proof"      : "" },
"END.3.1.1"    :{ "description":"Etabler en formell prosess for å håndtere og dokumentere alle forslag til endringer i virksomheten. Endringer som bør behandles i en felles prosess inkluderer, men er ikke begrenset til, endrede forretningsprosesser, nye oppdateringer, utskifting av utstyr, endring av organisasjon (brukere eller roller), endring av konfigurasjonen til systemkomponenter, og så videre."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Etabler en formell prosess for å håndtere alle forslag til endringer"                         ,"proof"      : "" },
"SKA.3.2.1"    :{ "description":"Installer sikkerhetsoppdateringer så fort som mulig. Selv de beste produktene har feil og sårbarheter som kan utnyttes av angripere. Etabler et sentralt styrt regime for oppdatering av applikasjoner, operativsystemer og firmware (f. eks. BIOS-kode)."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Installer sikkerhetsoppdateringer så fort som mulig"                         ,"proof"      : "" },
"KON.3.3.1"    :{ "description":"Implementer og test et automatisert system for overvåkning av konfigurasjon som verifiserer alle eksternt testbare elementer for sikkerhetskonfigurasjon, og varsler når uautoriserte endringer forekommer. Dette inkluderer funksjonalitet for å oppdage endringer i brannmurkonfigurasjon (f.eks. åpning av nye porter), nye administrative brukere og nye tjenester som kjører på et system."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Implementer og test et automatisert system for overvåkning av konfigurasjon"                         ,"proof"      : "" },
"RED.3.4.1"    :{ "description":"Gjennomfør jevnlige eksterne og interne inntrengingstester for å identifisere sårbarheter og angrepsvektorer som kan bli brukt for å utnytte virksomhetens systemer og ressurser. Inntrengingstestingen bør gjennomføres fra utsiden av virksomhetens nettverksbarrierer (eksempelvis fra internett eller trådløse frekvenser i nærheten av virksomhetens lokaler) samt fra innsiden av barrierer (eksempelvis på det interne nettverket) for å simulere eksterne og interne angrep."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Gjennomfør jevnlige eksterne og interne inntrengingstester"                         ,"proof"      : "" },
"OA.3.5.1"    :{ "description":"Utarbeid en strategi for logging og fastsett hvor lenge logger skal oppbevares.  Gjennomfør en vurdering i hele virksomheten på hvilke behov som finnes for overvåkningsdata. Denne vurderingen bør gjøres jevnlig (minst en gang i året) og ved spesielle behov (f. eks. etter et en større hendelse eller ved et vellykket dataangrep)."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Utarbeid en strategi for logging"                         ,"proof"      : "" },
"KAP.3.6.1"    :{ "description":"Sikkerhetskopiering av data bør gjennomføres regelmessig av alle relevant data, basert på en sikkerhetskopieringsplan. En slik plan bør stille krav til gjenopprettingstid fra sikkerhetskopi for virksomhetens ulike systemer basert på en verdivurdering eller behov for tjenestekvalitet. Planen bør også beskrive målet for hva slags data som hentes tilbake (fra hvilket punkt hentes data fra)."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Sikkerhetskopiering av data bør gjennomføres regelmessig"                         ,"proof"      : "" },
"FOR.4.1.1"    :{ "description":"Etabler et planverk for hendelseshåndtering som ivaretar behovet for virksomhetskontinuitet i krise- og beredskapssituasjoner. Planverket bør inkludere personellroller for håndtering av hendelser og definere de ulike fasene innen hendelseshåndtering."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Etabler et planverk for hendelseshåndtering"                         ,"proof"      : "" },
"FOR.4.1.2"    :{ "description":"Tildel jobbtitler og plikter for håndtering av maskinvare og nettverk til spesifikke roller i virksomheten. Dersom dette må gjøres ad-hoc når en hendelse inntreffer kan det allerede være for sent."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Tildel jobbtitler og plikter for håndtering av maskinvare og nettverk"                         ,"proof"      : "" },
"VK.4.2.1"    :{ "description":"Gjennomgå loggdata og samle inn andre relevante data om hendelsen for å oppnå et godt beslutningsgrunnlag. Dette kan innebære innhenting og sammenstilling av data fra flere kilder, gjennomføre tester eller måling for å verifisere eller avkrefte en hendelse. Metode og omfang vil avhenge av type sikkerhetshendelse som har oppstått."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Gjennomgå loggdata"                         ,"proof"      : "" },
"KH.4.3.1"    :{ "description":"Undersøk hendelsen(e) som definert i henhold til klassifiseringsregime og kartlegg omfang og påvirkning på forretningsprosesser."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Undersøk hendelsen"                         ,"proof"      : "" },
"EL.4.4.1"    :{ "description":"Identifiser erfaringer og læringspunkter («lessons learned») fra sikkerhetshendelsen slik at både de momenter som virket videreføres og de som ikke virket optimalt kan forbedres."
,"resources"  : ["https://nsm.stat.no/publikasjoner/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/"], "objective" : "Identifiser erfaringer og læringspunkter fra sikkerhetshendelsen"                         ,"proof"      : "" }  
  }
}