-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathschema.json
88 lines (87 loc) · 8.58 KB
/
schema.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
{
"config": {
"schema" : "NSM-Grunnprinsipper",
"version": "1"
},
"metadata": [
"team",
"security-champion",
"source-code-repo",
"issue-tracking",
"wiki",
"ci-server",
"created-by",
"hide-from-stats"
],
"domains":
{
"Identifisere og kartlegge" : { "practices": ["Kartlegg leveranser og verdikjeder" , "Kartlegg enheter og programvare" , "Kartlegg brukere og behov for tilgang" ]},
"Beskytte" : { "practices": ["Ivareta sikkerhet i anskaffelse- og utviklingsprosesser" , "Ivareta sikker design av IKT-miljø" , "Ivareta en sikker konfigurasjon" ,"Ha kontroll på IKT-infrastruktur","Ha kontroll på kontoer","Kontroller bruk av administrative privilegier","Kontroller dataflyt","Beskytt data i ro og i transitt","Beskytt e-post og nettleser","Etabler hensiktsmessig logging" ]},
"Opprettholde og oppdage" : { "practices": ["Sørg for god endringshåndtering","Beskytt mot skadevare","Verifiser konfigurasjon","Gjennomfør inntrengingstester og «red-team»-øvelser","Overvåk og analyser IKT-systemet","Etabler kapabilitet for gjenoppretting av data"]},
"Håndtere og gjenopprette" : { "practices": ["Forbered virksomheten på håndtering av hendelser","Vurder og kategoriser hendelser","Kontroller og håndter hendelser (effektivt)","Evaluer og lær av hendelser"]}
},
"practices":
{
"Kartlegg leveranser og verdikjeder" : { "key": "LEV" , "activities": [ "LEV.1.1.1" , "LEV.1.1.2" ,"LEV.1.1.3" ,"LEV.1.1.4" ]},
"Kartlegg enheter og programvare" : { "key": "PRO" , "activities": [ "PRO.1.2.1" , "PRO.1.2.2" ,"PRO.1.2.3" ,"PRO.1.2.4" ]},
"Kartlegg brukere og behov for tilgang" : { "key": "USR" , "activities": [ "USR.1.3.1" , "USR.1.3.2" ,"USR.1.3.3" ,"USR.1.3.4" ,"USR.1.3.5" ,"USR.1.3.6" ]},
"Ivareta sikkerhet i anskaffelse- og utviklingsprosesser" : { "key": "UTV" , "activities": [ "UTV.2.1.1" ]},
"Ivareta sikker design av IKT-miljø" : { "key": "DES" , "activities": [ "DES.2.2.1" ]},
"Ivareta en sikker konfigurasjon" : { "key": "SKO" , "activities": [ "SKO.2.3.1" ]},
"Ha kontroll på IKT-infrastruktur" : { "key": "INF" , "activities": [ "INF.2.4.1" ]},
"Ha kontroll på kontoer" : { "key": "KON" , "activities": [ "KON.2.5.1" ]},
"Kontroller bruk av administrative privilegier" : { "key": "ADM" , "activities": [ "ADM.2.6.1" ]},
"Kontroller dataflyt" : { "key": "FLO" , "activities": [ "FLO.2.7.1" ]},
"Beskytt data i ro og i transitt" : { "key": "DAT" , "activities": [ "DAT.2.8.1" ]},
"Beskytt e-post og nettleser" : { "key": "EPO" , "activities": [ "EPO.2.9.1" ]},
"Etabler hensiktsmessig logging" : { "key": "LOG" , "activities": [ "LOG.2.10.1" ]},
"Sørg for god endringshåndtering" : { "key": "END" , "activities": [ "END.3.1.1" ]},
"Beskytt mot skadevare" : { "key": "SKA" , "activities": [ "SKA.3.2.1" ]},
"Verifiser konfigurasjon" : { "key": "KON" , "activities": [ "KON.3.3.1" ]},
"Gjennomfør inntrengingstester og «red-team»-øvelser" : { "key": "RED" , "activities": [ "RED.3.4.1" ]},
"Overvåk og analyser IKT-systemet" : { "key": "OA" , "activities": [ "OA.3.5.1" ]},
"Etabler kapabilitet for gjenoppretting av data" : { "key": "KAP" , "activities": [ "KAP.3.6.1" ]},
"Forbered virksomheten på håndtering av hendelser" : { "key": "FOR" , "activities": [ "FOR.4.1.1" ]},
"Vurder og kategoriser hendelser" : { "key": "VK" , "activities": [ "VK.4.2.1" ]},
"Kontroller og håndter hendelser (effektivt)" : { "key": "KH" , "activities": [ "KH.4.3.1" ]},
"Evaluer og lær av hendelser" : { "key": "EL" , "activities": [ "EL.4.4.1" ]}
},
"activities":
{
"LEV.1.1.1" :{ "level" :"1", "name" : "Identifiser virksomhetens prioriterte mål og strategi" },
"LEV.1.1.2" :{ "level" :"1", "name" : "Identifiser virksomhetens prioriterte leveranser" },
"LEV.1.1.3" :{ "level" :"2", "name" : "Kartlegg IKT-systemer, kritiske forretningsroller og informasjon, og gruppér i kritikalitetsnivåer" },
"LEV.1.1.4" :{ "level" :"3", "name" : "Kartlegg organisatorisk informasjonsforvaltning, kommunikasjon og dataflyt i virksomheten" },
"PRO.1.2.1" :{ "level" :"1", "name" : "Utarbeid en oversikt over maskin- og programvare som er godkjent for bruk" },
"PRO.1.2.2" :{ "level" :"1", "name" : "Oppretthold en aktivabeholdning av entiteter " },
"PRO.1.2.3" :{ "level" :"2", "name" : "Etabler verktøy for oversikt over all programvare" },
"PRO.1.2.4" :{ "level" :"3", "name" : "Automatiser prosessen med å opprettholde en aktivabeholdning. " },
"USR.1.3.1" :{ "level" :"1", "name" : "Etabler prosess for vedlikehold av brukere, roller og tilganger" },
"USR.1.3.2" :{ "level" :"1", "name" : "Kartlegg og fastsett retningslinjer og regler for aksesskontroll " },
"USR.1.3.3" :{ "level" :"1", "name" : "Kartlegg og definer de ulike brukerkategorier som finnes i virksomheten " },
"USR.1.3.4" :{ "level" :"1", "name" : "Kartlegg brukere, brukerkontoer (inkludert systemkontoer) og hvilke tjenester de ulike brukerne har behov for aksess til." },
"USR.1.3.5" :{ "level" :"1", "name" : "Kartlegg roller og ansvar knyttet til IKT-sikkerhet " },
"USR.1.3.6" :{ "level" :"1", "name" : "Godkjenning av brukerrettigheter må kunne spores" },
"UTV.2.1.1" :{ "level" :"1", "name" : "Integrer sikkerhet i virksomhetens prosess for anskaffelse og utvikling" },
"DES.2.2.1" :{ "level" :"1", "name" : "Etabler og vedlikehold en helhetlig sikkerhetsarkitektur" },
"SKO.2.3.1" :{ "level" :"1", "name" : "Installer og konfigurer systemet med kun nødvendig funksjonalitet " },
"INF.2.4.1" :{ "level" :"1", "name" : "Segreger og segmenter virksomhetens IKT-infrastruktur inn i nettverk og soner" },
"KON.2.5.1" :{ "level" :"1", "name" : "Sørg for at alle kontoer er personlige og har en utløpsdato. " },
"ADM.2.6.1" :{ "level" :"1", "name" : "separate kontoer når de utfører systemadministrasjon" },
"FLO.2.7.1" :{ "level" :"1", "name" : "Benytt brannmurer med logging for å filtrere" },
"DAT.2.8.1" :{ "level" :"1", "name" : "Skru på kryptering i de tjenester som tilbyr slik funksjonalitet " },
"EPO.2.9.1" :{ "level" :"1", "name" : "kun fullt støttede e-postklienter og nettlesere tillates" },
"LOG.2.10.1" :{ "level" :"1", "name" : "Logging må gjennomføres på en måte som sikrer ansvarlighet, tilgjengelighet og integritet" },
"END.3.1.1" :{ "level" :"1", "name" : "Etabler en formell prosess for å håndtere alle forslag til endringer" },
"SKA.3.2.1" :{ "level" :"1", "name" : "Installer sikkerhetsoppdateringer så fort som mulig" },
"KON.3.3.1" :{ "level" :"1", "name" : "Implementer og test et automatisert system for overvåkning av konfigurasjon" },
"RED.3.4.1" :{ "level" :"1", "name" : "Gjennomfør jevnlige eksterne og interne inntrengingstester" },
"OA.3.5.1" :{ "level" :"1", "name" : "Utarbeid en strategi for logging" },
"KAP.3.6.1" :{ "level" :"1", "name" : "Sikkerhetskopiering av data bør gjennomføres regelmessig" },
"FOR.4.1.1" :{ "level" :"1", "name" : "Etabler et planverk for hendelseshåndtering" },
"FOR.4.1.2" :{ "level" :"1", "name" : "Tildel jobbtitler og plikter for håndtering av maskinvare og nettverk" },
"VK.4.2.1" :{ "level" :"1", "name" : "Gjennomgå loggdata" },
"KH.4.3.1" :{ "level" :"1", "name" : "Undersøk hendelsen" },
"EL.4.4.1" :{ "level" :"2", "name" : "Identifiser erfaringer og læringspunkter fra sikkerhetshendelsen" }
}
}