Sikre kommunikasjonskanaler

Bruksområdet omfatter design, implementering, konfigurering, sikring, overvåking og vedlikehold av sikre kommunikasjonskanaler (VPN).

VPN protokoller (Virtual private Network ) brukes primært for å sette opp en sikker kommunikasjonskanal mellom to eller flere endepunkter som kommuniserer over åpne nett. Kryptering og andre sikkerhetsmekanismer brukes for å sikre at kun autoriserte endepunkter får tilgang til data som oversendes i denne kanalen.

Meldingskryptering kan også brukes, men er ikke en del av dette bruksområdet.

Anbefalte standarder skal benyttes med mindre du har en god grunn til å la være.

Vi anbefaler å bruke ISO/IEC 18028-5:2006 ved planlegging og valg av protokoll for sikring av kommunikasjonskanaler.

Når VPN-protokoll først er valgt, anbefaler vi å benytte seg av følgende standarder for å sikre den enkelte implementasjon:

  • Ved implementasjon av SSL/TLS VPN anbefaler vi å følge NIST Special Publication (SP) 800-113 - Guide to SSL VPNs.
  • Ved implementasjon av SSH VPN for sikker fjernadministrasjon av server, anbefaler vi å følge RFC 4251.
  • Ved implementasjon av IPsec VPN anbefaler vi å følge NIST Special Publication (SP) 800-77 - Guide to IPsec VPNs .
  • Ved implementasjon av L2VPN anbefaler vi å følge RFC 4664 og RFC 4665.

Ved bruk av disse protokollene vil sikkerheten være avhengig av krypteringsalgoritmer og nøkkellengder, håndtering av nøkkeladministrasjon og en rekke andre forhold. Hvilke krav som settes til dette vil igjen være avhengig av sikkerhetsbehov og sikkerhetspolitikk.

Hjemmel

Kravene er gjeldende. De ble innført 30.10.2012.

Det er ingen tidligere krav på bruksområdet.

Veileder

Det er ingen konkret veileder på nettopp disse standardene. Digitaliseringsdirektoratet har derimot et kompetansemiljø, som er pådrivere for god informasjonssikkerhet i forvaltningen. De gir generell veiledning på informasjonssikkerhetsområdet.