Grunnleggande datakommunikasjon

Bruksområdet gjeld protokollar for grunnleggande datakommunikasjon.

Anbefalte og obligatoriske standardar

Offentlege verksemder bør ha støtte for alle standardane innanfor dette bruksområdet. Andre standardar kan støttast i tillegg. Her er dei anbefalte krava til standardar innanfor dette bruksområdet:

Anbefalinga om sikker datakommunikasjon frå offentlege nettstader vart innført 12.09.2017 og sist oppdatert 26.10.2018.

Det er anbefalt at offentlege kommunikasjonstenester har støtte for HTTP over TLS [RFC 2818] ved bruk av protokollane HTTP/1.1 [RFC 7230 til RFC 7235] og TLS 1.3 [RFC 8446].

Dersom ei teneste får ein førespurnad med bruk av HTTP utan bruk av sikker overføring med bruk av TLS skal tenesta svare ved omdirigering til same URI med bruk av HTTP over TLS. Det er også anbefalt at HTTP Strict Transport Security [RFC 6797] vert brukt, men dersom den ansvarlege for nettstaden har behov for å logge omdirigeringar er dette grunngjeving nok for å ikkje bruke RFC 6797 i perioden når det vert logga.

Krav til bruk av standardar

RFC 7230-7235 - HTTP/1.1:

  • RFC 7230 – Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
  • RFC 7231 - Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
  • RFC 7232 - Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests
  • RFC 7233 - Hypertext Transfer Protocol (HTTP/1.1): Range Requests
  • RFC 7234 - Hypertext Transfer Protocol (HTTP/1.1): Caching
  • RFC 7235 - Hypertext Transfer Protocol (HTTP/1.1): Authentication

RFC 2818 – HTTP Over TLS (Mai 2000)

RFC 8446 – The Transport Layer Security (TLS) Protocol – Version 1.3 (August 2018)

RFC 5246 – The Transport Layer Security (TLS) Protocol Version 1.2

RFC 6797 HTTP Strict Transport Security (HSTS)

Desse standardane vert reviderte enkeltvis av IETF og Digitaliseringsdirektoratet vil oppdatere anbefalinga med gjeldande versjon av kvar standard når dette skjer. Dersom ein revisjon fører til større endringar vil Digitaliseringsdirektoratet vurdere behovet for å revidere heile anbefalinga. Revisjonar som fører til større endringar vil verte behandla av Standardiseringsrådet.

Anbefalinga om sikker bruk av domenenamnsystemet vart innført 30.10.2018.

Det er anbefalt å nytte Domain Name System Security Extensions (DNSSEC) [RFC 4033, RFC 4034 og RFC 4035] for alle domenenamn ei verksemd har registrert, og at det berre vert nytta resolvarar som validerer DNS-oppslag.

Krav til bruk av standardar

  • RFC 4033 – DNS Security Introduction and Requirements
  • RFC 4034 – Resource Records for the DNS Security Extensions
  • RFC 4035 – Protocol Modifications for the DNS Security Extensions

Desse standardane vert reviderte enkeltvis av IETF og Digitaliseringsdirektoratet vil oppdatere anbefalinga med gjeldande versjon av kvar standard når dette skjer. Dersom ein revisjon fører til større endringar vil Digitaliseringsdirektoratet vurdere behovet for å revidere heile anbefalinga. Revisjonar som fører til større endringar vil verte behandla av Standardiseringsrådet.

Anbefalinga om transportsikring av e-post mellom e-postservarar vart innført 1.12.2016 og sist oppdatert 11.1.2019.

Det er anbefalt å nytte transportsikring av e-post mellom e-post servarar, både ved sending av e-post til offentlege verksemder og ved sending av e-post til innbyggarar og næringsliv. Som prioritert løysing er det anbefalt å nytte SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (RFC 7672). Dersom motpart i utvekslinga av ei e-postmelding ikkje støttar denne spesifikasjonen skal SMTP Service Extension for Secure SMTP over Transport Layer Security (RFC 3207) i opportunistisk modus brukast. Det er også anbefalt at «SMTP TLS Reporting» (RFC 8460) vert brukt.

Dette gjeld e-post utveksling som går over Internett (SMTP), og ikkje anna meldingsutveksling som skal gå føre seg ved hjelp av løysing for utveksling av meldingar mellom offentlege verksemder.

Krav til bruk av standardar

RFC 7672 – SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS)

RFC 7671 – The DNS-Based Authentication of Named Entities (DANE) Protocol: Updates and Operational Guidance

RFC 3207 – SMTP Service Extension for Secure SMTP over Transport Layer Security

RFC 8460 – SMTP TLS Reporting

RFC 8446 – The Transport Layer Security (TLS) Protocol – Version 1.3 (August 2018)

RFC 5246 – The Transport Layer Security (TLS) Protocol Version 1.2

Desse standardane vert reviderte enkeltvis av IETF og Digitaliseringsdirektoratet vil oppdatere anbefalinga med gjeldande versjon av kvar standard når dette skjer. Dersom ein revisjon fører til større endringar vil Digitaliseringsdirektoratet vurdere behovet for å revidere heile anbefalinga. Revisjonar som fører til større endringar vil verte behandla av Standardiseringsrådet.

Anbefalte standardar for å motverke falske avsendarar av e-post

Anbefalinga for å motverke falske avsendarar av e-post vart innført 01.11.2018.

Det er anbefalt å nytte Domain-based Message Authentication, Reporting, and Conformance (DMARC) (RFC 7489) og minst ein av de underliggande standardane Sender Policy Framework (SPF) (RFC 7208) og Domain Keys Identified Mail (DKIM) (RFC 6376) for å sikre utveksling av e-post mellom e-post servarar, både ved sending av e-post til offentlege verksemder og ved sending av e-post til innbyggarar og næringsliv.

Det er anbefalt at ein for domene som ikkje vert nytta til sending av e-post bruker Sender Policy Framework (SPF) for å angi at det ikkje vert sendt e-post frå domenet.

Dette gjeld e-post utveksling som går over Internett (SMTP), og ikkje anna meldingsutveksling som skal gå føre seg ved hjelp av løysing for utveksling av meldingar mellom offentlege verksemder.

Krav til bruk av standardar

  • RFC 7489 – Domain-based Message Authentication, Reporting, and Conformance (DMARC)
  • RFC 7208 – Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1
  • RFC 7372 – Email Authentication Status Codes
  • RFC 6376 – DomainKeys Identified Mail (DKIM) Signatures
  • RFC 6377 – DomainKeys Identified Mail (DKIM) and Mailing Lists

Desse standardane vert reviderte enkeltvis av IETF og Digitaliseringsdirektoratet vil oppdatere anbefalinga med gjeldande versjon av kvar standard når dette skjer. Dersom ein revisjon fører til større endringar vil Digitaliseringsdirektoratet vurdere behovet for å revidere heile anbefalinga. Revisjonar som fører til større endringar vil verte behandla av Standardiseringsrådet.

Anbefalinga om Dual stack IPv4 og IPv6 vart innført 30.10.2012.

IPv4 og IPv6 er grunnleggande protokollar for kommunikasjon på internett. Alt IT-utstyr som det offentlege anskaffar bør ha støtte for IPv4 og IPv6. Dette gjeld både programvare og maskinvare.
"Forskrift om IT-standarder i offentlig sektor", som er på ESA-høring, har ein ny paragraf, men forskrifta er enno ikkje offisiell:

§ 11 Obligatoriske grunnleggende nettverksstandarder

Det er obligatorisk for offentlige virksomheter å sette krav til støtte av både IPv4 og IPv6 i alt nytt nettverksutstyr og all IP-avhengig programvare som kjøpes.

Det er obligatorisk for offentlige virksomheter å gjøre alle nye og eksisterende, eksternt publiserte tjenester tilgjengelig både på IPv4 og IPv6, med unntak av peer-to-peer-kommunikasjon mellom offentlige virksomheter, der man kan legge over på best egnet tidspunkt.

Alle interne klienter i offentlige virksomheter skal ha tilsvarende tilgang til eksterne tjenester publisert på IPv4 og Ipv6.

Nye interne nett og løsninger i offentlige virksomheter skal ha støtte for IPv6, det er tillatt å støtte IPv4 i tillegg.

Offentlege kommunikasjonstenester bør ha støtte for FTP som er ein protokoll for filoverføring. Den er i utstrakt bruk, men har avgrensingar når det gjeld sikkerheit.

Kravet betyr berre at verksemda di skal ha ei moglegheit til å ta imot filer ved hjelp av FTP. De må ikkje bruke FTP, men kan velje andre overføringsmetodar for batch-filer viss de ønsker/har behov for dette. FTP bør brukast over ein sikker kommunikasjonskanal.

Protokollar for å styre trafikken i nettverk basert på IP

Alle offentlege kommunikasjonstenester bør ha støtte for TCP (Transmission Control Protocol). Dette er ein grunnleggande protokoll for å styre trafikken i nettverk basert på IP. Som for IP finst det også tilhøyrande protokollar til TCP. Det er viktig at desse protokollane vert sett på som ein heilskap.

Alle offentlege kommunikasjonstenester bør ha støtte for UDP (User Datagram Protocol). Dette er også ein grunnleggande protokoll for å styre trafikken i nettverk basert på IP. Som for IP finst det også tilhøyrande protokollar til UDP. Det er viktig at desse protokollane vert sett på som ein heilskap.

Heimel

Krava er gjeldande.

Rettleiar

Nettstader som vert brukte av verksemder i offentleg sektor bør etablere ei teknisk løysing som bruker HTTP over TLS (HTTPS) for alle deler av nettstaden.

Digitaliseringsdirektoratet anbefaler at NSMs rettleiar «HTTP over TLS» (sjå nedst på sida) vert følgt så langt det er føremålstenleg og ikkje i konflikt med anna regelverk, for å ta vare på sikker implementasjon og vurdering av kompenserande tiltak for kjende sårbarheiter.

Det er viktig at nettstadene vert sette opp korrekt, og det vert vist til rettleiing frå Nasjonal sikkerheitsmyndigheit (NSM).

IT-rettleiing for ugraderte system nr. 15 (U-15)

Nasjonal sikkerheitsmyndigheit (NSM) har utarbeidd ei rettleiing for å etablere HTTP over TLS (HTTPS):
«Hypertext Transport Protocol Secure – Hvordan autentisere nettsteder og konfidensialitets- og integritetsbeskytte webtrafikk»
(Sjå nedst på denne sida)

IT-rettleiing for ugraderte system nr. 14 (U14)

Nasjonal sikkerheitsmyndigheit (NSM) har utarbeidd ei rettleiing for grunnleggande tiltak for sikring av kommunikasjon over usikre nett ved hjelp av TLS.

Rettleiarane vert forvalta av Nasjonal sikkerheitsmyndigheit og gir ei sikkerheitsfagleg vurdering av korleis HTTPS bør implementerast og korleis kommunikasjon kan sikrast med TLS. For at kommunikasjonen skal sikrast i nødvendig og tilstrekkeleg grad, er det viktig at standardane vert implementerte korrekt. Rettleiarane NSM forvaltar handlar om implementasjon av HTTP over TLS (HTTPS).

IT-rettleiing for ugraderte system nr. 02 (U-02)

Nasjonal sikkerheitsmyndigheit (NSM) har utarbeidd ei rettleiing for grunnleggande tiltak for sikring av overføring av e-post mellom e-posttenarar. Denne rettleiaren dekkjer standardane for STARTTLS, DMARC, SPF og DKIM.