Redaksjonen. Skrevet 3. september 2019 Del Skrevet 3. september 2019 KOMMENTAR: – Ikke mye hjelp å få i NSMs veiledning til ny sikkerhetslov Lenke til kommentar
Gjest Slettet-t8fn5F Skrevet 3. september 2019 Del Skrevet 3. september 2019 2 klikk på NSM sine sider, så kommer dette opp og er veldig hands on hva som skal gjøres. At NSM ikke lager en "hvordan gjør man dette" er fullt forståelig. Man skal ikke ha enhver noldus til å sette opp et nettverk eller systemer. https://www.nsm.stat.no/publikasjoner/regelverk/veiledninger/veiledning-for-systemteknisk-sikkerhet/ Lenke til kommentar
JarleLangeland Skrevet 3. september 2019 Del Skrevet 3. september 2019 2 klikk på NSM sine sider, så kommer dette opp og er veldig hands on hva som skal gjøres. At NSM ikke lager en "hvordan gjør man dette" er fullt forståelig. Man skal ikke ha enhver noldus til å sette opp et nettverk eller systemer. https://www.nsm.stat.no/publikasjoner/regelverk/veiledninger/veiledning-for-systemteknisk-sikkerhet/ Veiledningene for graderte systemer på nettsiden du viser til er til dels gamle, og alle laget for gammel sikkerhetslov. Den gamle loven, og veiledningen til den, var mange steder ganske konkret. Derfor henvisningen til nostalgi i artikkelen vår. Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 3. september 2019 Del Skrevet 3. september 2019 Jeg vet ikke hva denne sikkerhetsloven egentlig gjør, f.eks. hvem den er ment for eller hvilke følger det får å bryte den.Kan du bli domfelt ved ikke å benytte segregert nettverk hjemme ?Er dette noe slags pålegg kun for statlige foretak eller gjelder det selskaper generelt ?Datasikkerhet er prinsippielt tre ting; Oppmerksomhet. Det må ha fokus i tillegg til produksjonen i et selskap, det er ikke noe "it-avdelingen" kan ta seg av alene. F.eks. for å forhindre at brukeres krav til "lettvindt" går på bekostning av nettopp datasikkerhet. Personlig. Den største risikoen er, og vil alltid være, personlig oppførsel. Det er utrolig mye lettere å lure folk enn å bryte seg forbi tekniske sperrer. Så alle ansatte må være skeptiske, men faren er naturligvis større jo mer tilgang den enkelte har. Teknologi. Nettverk og denslags er den enkleste biten å få på plass. Dog, det må finnes gehør for å dekke kostnadene involvert. Lenke til kommentar
JarleLangeland Skrevet 3. september 2019 Del Skrevet 3. september 2019 Jeg vet ikke hva denne sikkerhetsloven egentlig gjør, f.eks. hvem den er ment for eller hvilke følger det får å bryte den. Kan du bli domfelt ved ikke å benytte segregert nettverk hjemme ? Er dette noe slags pålegg kun for statlige foretak eller gjelder det selskaper generelt ? Den gjelder for offentlige virksomheter, og for de private virksomhetene som får et vedtak rettet mot seg. Kriteriene for når et slikt vedtak skal fattes er kompliserte, men det handler om stats- og samfunnsikkerhet. Nettverket hjemme er derfor ikke i faresonen med det første, og hvis virksomheten du jobber i er omfattet vil du nok få høre det. For øvrig enig i prinsippene du setter opp, ville kanskje lagt til styring og system sammen med oppmerksomhet. Lenke til kommentar
Gjest Slettet-t8fn5F Skrevet 3. september 2019 Del Skrevet 3. september 2019 (endret) Veiledningene for graderte systemer på nettsiden du viser til er til dels gamle, og alle laget for gammel sikkerhetslov. Den gamle loven, og veiledningen til den, var mange steder ganske konkret. Derfor henvisningen til nostalgi i artikkelen vår. Det er en stor fordel å ha utdannelse innenfor sikkerhet, når slike veiledninger leses. Det er nok vanskelig for en advokat å forstå de, men ikke for en med rette utdannelsen. Det er vel like vanskelig for en it-mann å lese å forstå lovtekster og finner like lite hjelp i de, som en advokat finner hjelp i NSM sine forskrifter. Endret 3. september 2019 av Slettet-t8fn5F Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 3. september 2019 Del Skrevet 3. september 2019 Den gjelder for offentlige virksomheter, og for de private virksomhetene som får et vedtak rettet mot seg.Aha. Med "vedtak" antar jeg du her mener et pålegg om å følge hva loven beskriver. For øvrig enig i prinsippene du setter opp, ville kanskje lagt til styring og system sammen med oppmerksomhet.Gjerne det. Poenget mitt er at loven bør sette krav til det praktiske/politiske (opplæring/rutiner/styring) vel så mye som krav til det tekniske. Det er lite av det tekniske som hjelper dersom Pettersen, som har tilgang til alle avtaler, lar seg sjarmere av "feil" personer. Eller dersom Jensen, med tilgang til alle personalopplysningene, finner på kreative løsninger for gjøre ting mer lettvindt for seg selv. Den samme gamle greia altså. Det rent tekniske kan en løse med noen ressurspersoner som følger opp løsningene benyttet i statlige virksomheter. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå