Grunnleggende datakommunikasjon

Bruksområdet gjelder protokoller for grunnleggende datakommunikasjon.

Anbefalte og obligatoriske standarder

Offentlige virksomheter bør ha støtte for alle standardene innenfor dette bruksområdet. Andre standarder kan støttes i tillegg. Her er de anbefalte kravene til standarder innenfor dette bruksområdet:

Anbefalte standarder for sikker datakommunikasjon

Anbefalingen om sikker datakommunikasjon fra offentlige nettsteder ble innført 12.09.2017.

Det anbefales at offentlige kommunikasjonstjenester har støtte for HTTP over TLS [RFC 2818] ved bruk av protokollene HTTP/1.1 [RFC 7230] og TLS 1.2 [RFC 5246].

HTTP/1.1 er en grunnleggende protokoll for overføring av informasjon på web. Støtte for denne protokollen er en forutsetning for å lage nettjenester for brukere. Denne protokollen bør settes opp med bruk av TLS, vanligvis omtalt som HTTPS, slik at informasjonen overføres gjennom en sikker forbindelse.

Støtte for betyr at virksomheten skal kunne ha en mulighet for å bruke protokollen HTTP, ikke at dere alltid skal benytte HTTP. Andre protokoller kan benyttes/brukes der dere ønsker eller har behov for det.

Krav til bruk av standarder

RFC 7230 – Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing (Juni 2014)

RFC 2818 – HTTP Over TLS (Mai 2000)

RFC 5246 – The Transport Layer Security (TLS) Protocol – Version 1.2 (August 2008)

Disse standardene revideres enkeltvis av IETF og Difi vil oppdatere anbefalingen med gjeldende versjon av hver standard når dette skjer, Dersom en revisjon medfører større endringer vil Difi vurdere behovet for å revidere hele anbefalingen. Revisjoner som medfører større endringer vil behandles av Standardiseringsrådet.

Anbefalt standard for transportsikring av e-post

Anbefalingen om transportsikring av e-post mellom e-postservere ble innført 1.12.2016.

Det anbefales å benytte SMTP Service Extension for Secure SMTP over Transport Layer Security (RFC 3207) i opportunistisk modus for transportsikring av e-post mellom e-post servere, både ved sending av e-post til offentlige virksomheter og ved sending av e-post til innbyggere og næringsliv.

Dette gjelder e-post utveksling som går over Internett (SMTP), og ikke annen meldingsutveksling som skal foregå ved hjelp av løsning for utveksling av meldinger mellom offentlige virksomheter.

(Obligatoriske) Protokoller for kommunikasjon på internett

Anbefalingen om Dual stack IPv4 og IPv6 ble innført 30.10.2012.

IPv4 og IPv6 er grunnleggende protokoller for kommunikasjon på internett. Alt IT-utstyr som det offentlige anskaffer bør ha støtte for IPv4 og IPv6. Dette gjelder både programvare og maskinvare.
"Forskrift om IT-standarder i offentlig sektor" som p.t. er på ESA-høring har en ny paragraf, men forskriften er ennå ikke offisiell:

§ 11 Obligatoriske grunnleggende nettverksstandarder
Det er obligatorisk for offentlige virksomheter å sette krav til støtte av både IPv4 og IPv6 i alt nytt nettverksutstyr og all IP-avhengig programvare som kjøpes.
Det er obligatorisk for offentlige virksomheter å gjøre alle nye og eksisterende, eksternt publiserte tjenester tilgjengelig både på IPv4 og IPv6, med unntak av peer-to-peer-kommunikasjon mellom offentlige virksomheter, der man kan legge over på best egnet tidspunkt.

Alle interne klienter i offentlige virksomheter skal ha tilsvarende tilgang til eksterne tjenester publisert på IPv4 og Ipv6.
Nye interne nett og løsninger i offentlige virksomheter skal ha støtte for IPv6, det er tillatt å støtte IPv4 i tillegg.

Anbefalte standarder for filoverføring

Offentlige kommunikasjonstjenester bør ha støtte for FTP som er en protokoll for filoverføring. Den er i utstrakt bruk, men har begrensninger når det gjelder sikkerhet.

Kravet betyr kun at virksomheten din skal ha en mulighet til å ta imot filer ved hjelp av FTP. Dere må ikke bruke FTP, men kan velge andre overføringsmetoder for batch-filer hvis dere ønsker/har behov for dette. FTP bør brukes over en sikker kommunikasjonskanal.

Protokoller for å styre trafikken i nettverk basert på IP

Alle offentlige kommunikasjonstjenester bør ha støtte for TCP (Transmission Control Protocol). Dette er en grunnleggende protokoll for å styre trafikken i nettverk basert på IP. Som for IP finnes det også tilhørende protokoller til TCP. Det er viktig at disse protokollene sees på som en helhet.

Alle offentlige kommunikasjonstjenester bør ha støtte for UDP (User Datagram Protocol). Dette er også en grunnleggende protokoll for å styre trafikken i nettverk basert på IP. Som for IP finnes det også tilhørende protokoller til UDP. Det er viktig at disse protokollene sees på som en helhet.

 Hjemmel

Kravene er gjeldende.

Veileder

Nettsted som brukes av virksomheter i offentlig sektor bør etablere en teknisk løsning som bruker HTTP over TLS (HTTPS) for alle deler av nettstedet.

Difi anbefaler at NSMs veileder «HTTP over TLS» (se nederst på siden) følges så langt det er hensiktsmessig og ikke i konflikt med annet regelverk for å ivareta sikker implementasjon og vurdering av kompenserende tiltak for kjente sårbarheter.

NSMs veileder

IT-veiledning for ugraderte systemer nr. 15 (U-15)

Nasjonal sikkerhetsmyndighet (NSM) har utarbeidet en veiledning for å etablere HTTP over TLS (HTTPS):
«Hypertext Transport Protocol Secure – Hvordan autentisere nettsteder og konfidensialitets- og integritetsbeskytte webtrafikk»
(Se nederst på denne siden)

Veilederen forvaltes av Nasjonal sikkerhetsmyndighet og gir en sikkerhetsfaglig vurdering av hvordan HTTPS bør implementeres. For at kommunikasjonen skal sikres i nødvendig og tilstrekkelig grad, er det viktig at standardene implementeres korrekt. Veilederen NSM forvalter omhandler implementasjon av HTTP over TLS (HTTPS).

Relevante standarder

Se nedenfor.

Publisert: 23. nov 2015, Sist endret: 16. apr 2018

Deldette

Hjelp oss å bli bedre

Fant du det du lette etter?

Tilbakemeldinger blir ikke besvart. Gå til siden med kontaktinformasjon hvis du trenger hjelp.

* Påkrevd

Hjelp oss å bli bedre
*