Anbefalinger for arbeid med sikkerhet og beredskap i forskning og utdanning

I styringsdokumentet for arbeidet med sikkerhet og beredskap i Kunnskapsdepartementets sektor blir det stilt krav og forventninger til at norske forsknings- og utdanningsvirksomheter

• kjenner sine verdier
• forstår hvilke trusler de står ovenfor
• forstår hvilke lovkrav som skal etterleves
• forstår hvilke sårbarbarheter ved virksomhetene som må lukkes for å redusere risiko

Dette er grunnlaget for å få til sikkerhetsstyring i praksis.

Nasjonal sikkerhetsmyndighet skriver at sikkerhetsstyring handler om systematiske aktiviteter som er nødvendige for å oppnå og opprettholde et forsvarlig sikkerhetsnivå for en virksomhets verdier.

Hva som er å anse som forsvarlig sikkerhet vil avhenge av virksomhetens verdier og akseptkriteriene knyttet til disse, kombinert med den aktuelle risikovurderingen.

Siden forsvarlig sikkerhet vil forandre seg over tid, på bakgrunn av endring av risiko, skal sikkerhetsstyring også ivareta prinsippet om kontinuerlig forbedring av sikkerhetsarbeidet i virksomheten.

At forsvarlig sikkerhet forandrer seg over tid, er nettopp tiden vi nå er inne i et eksempel på.

I stortingsmeldingen om nasjonal kontroll og digital motstandskraft av 09.12.2022 redegjør regjeringen for behovet for en helhetlig og langsiktig tilnærming til nasjonal sikkerhet i hele samfunnet.

Meldingen gir en strategisk retning og viser hvordan regjeringen ønsker å styrke nasjonal og digital sikkerhet.

Sikkerhetsarbeidet er omfattende og kan tidvis virke uoversiktlig. Systematikk og gode rammeverk er viktige verktøy for å finne et «kart over terrenget», slik at vi kan vite hvor vi er, og hvor vi skal.

Anbefalingene fra Cybersikkerhetssenter for forskning og utdanning er hovedsakelig innenfor informasjonssikkerhetsområdet, og skal primært bidra til å møte kravene gitt i sektorstyringen av informasjonssikkerhet og personvern i høyere utdanning og forskning.

For at sikkerhetsarbeidet skal gi et forsvarlig sikkerhetsnivå, er det samtidig viktig å tenke helhetlig, slik nevnte styringsdokument også påpeker.

Dette har vi med oss som grunnlag når vi utarbeider våre anbefalinger, slik at tiltak innenfor ulike sikkerhetsområder kan virke sammen, og gjøre sårbarhetsflaten mindre.

Cybersikkerhetssenter for forskning og utdanning sine anbefalinger er i hovedsak innenfor informasjon og informasjonssystemer, IKT-tekniske tiltak og barrierer, deteksjon, verifikasjon og reaksjon.

Samtidig søker vi å bidra til gode overganger til også de øvrige sikkerhetsområdene.

Vi ser stor nytte av å bruke anerkjente rammeverk og nasjonale veiledere som utgangspunkt for våre anbefalinger.

På den måten legges våre og kunnskapssektorens delte erfaringer av en «beste praksis» inn i en systematisk tilnærming.

Den kan det så bygges videre på, både av du som velger å bruke våre anbefalinger, og oss i Cybersikkerhetssenter for forskning og utdanning i utøvelsen av disse.

De rammeverk og veiledninger vi støtter oss på, er i hovedsak følgende:

• NSMs grunnprinsipper for sikkerhetsstyring
• NSMs grunnprinsipper for IKT-sikkerhet
• ISO 27001:2013, ISO 2700:2022
• Digdir sitt veiledningsmateriell
• Sikresiden.no

Vi har valgt å strukturere anbefalingene våre inn i 3 kategorier:

• Sektorstandard
• Veiledere
• Maler

En sektorstandard skal være en metodikk eller en fremgangsmåte som er tilpasset kunnskapssektoren, gjennom erfaring og modning over tid.

Formålet med en sektorstandard er at den skal bidra til at utøvelsen av aktiviteten som sektorstandarden er til for, blir mer enhetlig i kunnskapssektoren.

Med en sektorstandard kan aktiviteten også digitaliseres for mer effektiv bruk, og gjøres kvalitetsmessig bedre.

En sektorstandard kan også være gjenstand for å utvikle felles opplæringsressurser og kulturbyggende tiltak til bruk for ulike målgrupper, som ledere, ansatte, forskere og studenter.

Eksempler på metodikk som med fordel kan utarbeides som en sektorstandard kan være gjennomføring av risikovurderinger, og klassifisering av informasjon.

En sektorstandard skal utvikles sammen med deltakere fra sektorsamarbeidet som fasiliteres av Cybersikkerhetssenter for forskning og utdanning, og den skal ha vært på høring i CISO-forum.

En veileder skal gi en tilnærming til et krevende område eller tema, og på den måten være et hjelpemiddel i sikkerhetsarbeidet.

En veileder vil ikke være en utredning av komplekse forhold. Den skal gi en praktisk rettet inngang og inspirasjon til å gjøre sikkerhetsarbeidet mer gjennomførbart.

Veilederen skal være basert på erfaringer i hovedsak fra kunnskapssektoren, men kan med fordel også ta inn gode erfaringer fra andre sektorer.

Eksempler på tema som er aktuelle for veiledere, er innenfor sikkerhetsstyring, ledelsessystem for informasjonssikkerhet, verdikartlegging, og beredskapsplanlegging.

Veiledere utvikles av Cybersikkerhetssenter for forskning og utdanning i nært samarbeid med kunnskapssektoren.

Maler skal være et forslag eller utgangspunkt til ulike styrende dokumentert for sikkerhetsarbeidet. Formålet med maler er å bidra med struktur og oppsett for å legge inn lokalt og virksomhetstilpasset innhold. På denne måten lettes arbeidet med å utvikle styrende dokumenter og planverk.

Eksempler på maler kan være maler for tiltakskort for håndtering av spesifikke hendelser (som for løsepengevirus), mal for retningslinje for kontinuitetsplanlegging, og mal for selve kontinuitetsplanen for et enkelt system eller tjeneste.

Maler utvikles av Cybersikkerhetssenter for forskning og utdanning, med bruk av referansepersoner fra CISO-forum.