Grunnleggende datakommunikasjon

Bruksområdet gjelder protokoller for grunnleggende datakommunikasjon.

Publisert: 23. nov 2015, Sist endret: 17. mar 2019

Anbefalte og obligatoriske standarder

Offentlige virksomheter bør ha støtte for alle standardene innenfor dette bruksområdet. Andre standarder kan støttes i tillegg. Her er de anbefalte kravene til standarder innenfor dette bruksområdet:

Anbefalte standarder for sikker datakommunikasjon

Anbefalingen om sikker datakommunikasjon fra offentlige nettsteder ble innført 12.09.2017 og sist oppdatert 26.10.2018.

Det anbefales at offentlige kommunikasjonstjenester har støtte for HTTP over TLS [RFC 2818] ved bruk av protokollene HTTP/1.1 [RFC 7230 til RFC 7235] og TLS 1.3 [RFC 8446].

Dersom en tjeneste får en forespørsel med bruk at HTTP uten bruk av sikker overføring med bruk av TLS skal tjenesten svare ved omdirigering til samme URI med bruk HTTP over TLS. Det anbefales også at HTTP Strict Transport Security (RFC 6797) blir brukt, men dersom den ansvarlige for nettstedet har behov for å logge omdirigeringer er dette tilstrekkelig begrunnelse for å ikke bruke RFC 6797 i perioden hvor det logges.

Krav til bruk av standarder

RFC 7230-7235 - HTTP/1.1:

  • RFC 7230 – Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing
  • RFC 7231 - Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content
  • RFC 7232 - Hypertext Transfer Protocol (HTTP/1.1): Conditional Requests
  • RFC 7233 - Hypertext Transfer Protocol (HTTP/1.1): Range Requests
  • RFC 7234 - Hypertext Transfer Protocol (HTTP/1.1): Caching
  • RFC 7235 - Hypertext Transfer Protocol (HTTP/1.1): Authentication

RFC 2818 – HTTP Over TLS (Mai 2000)

RFC 8446 – The Transport Layer Security (TLS) Protocol – Version 1.3 (August 2018)

RFC 5246 – The Transport Layer Security (TLS) Protocol Version 1.2

RFC 6797 HTTP Strict Transport Security (HSTS)

Disse standardene revideres enkeltvis av IETF og Difi vil oppdatere anbefalingen med gjeldende versjon av hver standard når dette skjer, Dersom en revisjon medfører større endringer vil Difi vurdere behovet for å revidere hele anbefalingen. Revisjoner som medfører større endringer vil behandles av Standardiseringsrådet.

Anbefalte standarder for sikker bruk av domenenavnsystemet

Anbefalingen om sikker bruk av domenenavnsystemet ble innført 30.10.2018.

Det anbefales å benytte Domain Name System Security Extensions (DNSSEC) [RFC 4033, RFC 4034 og RFC 4035] for alle domenenavn en virksomhet har registrert, og at det kun benyttes resolvere som validerer DNS-oppslag.

Krav til bruk av standarder

  • RFC 4033 – DNS Security Introduction and Requirements
  • RFC 4034 – Resource Records for the DNS Security Extensions
  • RFC 4035 – Protocol Modifications for the DNS Security Extensions

Disse standardene revideres enkeltvis av IETF og Difi vil oppdatere anbefalingen med gjeldende versjon av hver standard når dette skjer, Dersom en revisjon medfører større endringer vil Difi vurdere behovet for å revidere hele anbefalingen. Revisjoner som medfører større endringer vil behandles av Standardiseringsrådet.

Anbefalt standard for transportsikring av e-post

Anbefalingen om transportsikring av e-post mellom e-postservere ble innført 1.12.2016 og sist oppdatert 11.1.2019.

Det anbefales å benytte transportsikring av e-post mellom e-post servere, både ved sending av e-post til offentlige virksomheter og ved sending av e-post til innbyggere og næringsliv. Som prioritert løsning anbefales det å benytte SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (RFC 7672). Dersom motpart i utvekslingen av en e-postmelding ikke støtter denne spesifikasjonen skal SMTP Service Extension for Secure SMTP over Transport Layer Security (RFC 3207) i opportunistisk modus brukes. Det anbefales også at «SMTP TLS Reporting» (RFC 8460) brukes.

Dette gjelder e-post utveksling som går over Internett (SMTP), og ikke annen meldingsutveksling som skal foregå ved hjelp av løsning for utveksling av meldinger mellom offentlige virksomheter.»

Krav til bruk av standarder

RFC 7672 – SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS)

RFC 7671 – The DNS-Based Authentication of Named Entities (DANE) Protocol: Updates and Operational Guidance

RFC 3207 – SMTP Service Extension for Secure SMTP over Transport Layer Security

RFC 8460 – SMTP TLS Reporting

RFC 8446 – The Transport Layer Security (TLS) Protocol – Version 1.3 (August 2018)

RFC 5246 – The Transport Layer Security (TLS) Protocol Version 1.2

Disse standardene revideres enkeltvis av IETF og Difi vil oppdatere anbefalingen med gjeldende versjon av hver standard når dette skjer, Dersom en revisjon medfører større endringer vil Difi vurdere behovet for å revidere hele anbefalingen. Revisjoner som medfører større endringer vil behandles av Standardiseringsrådet.

Anbefalte standarder for å motvirke falske avsendere av e-post

Anbefalingen for å motvirke falske avsendere av e-post ble innført 01.11.2018.

Det anbefales å benytte Domain-based Message Authentication, Reporting, and Conformance (DMARC) (RFC 7489) og minst en av de underliggende standardene Sender Policy Framework (SPF) (RFC 7208) og Domain Keys Identified Mail (DKIM) (RFC 6376) for å sikre utveksling av e-post mellom e-post servere, både ved sending av e-post til offentlige virksomheter og ved sending av e-post til innbyggere og næringsliv.

Det anbefales at man for domener som ikke benyttes til sending av e-post bruker Sender Policy Framework (SPF) for å angi at det ikke sendes e-post fra domenet.

Dette gjelder e-post utveksling som går over Internett (SMTP), og ikke annen meldingsutveksling som skal foregå ved hjelp av løsning for utveksling av meldinger mellom offentlige virksomheter.

Krav til bruk av standarder

  • RFC 7489 – Domain-based Message Authentication, Reporting, and Conformance (DMARC)
  • RFC 7208 – Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1
  • RFC 7372 – Email Authentication Status Codes
  • RFC 6376 – DomainKeys Identified Mail (DKIM) Signatures
  • RFC 6377 – DomainKeys Identified Mail (DKIM) and Mailing Lists

Disse standardene revideres enkeltvis av IETF og Difi vil oppdatere anbefalingen med gjeldende versjon av hver standard når dette skjer, Dersom en revisjon medfører større endringer vil Difi vurdere behovet for å revidere hele anbefalingen. Revisjoner som medfører større endringer vil behandles av Standardiseringsrådet.

(Obligatoriske) Protokoller for kommunikasjon på internett

Anbefalingen om Dual stack IPv4 og IPv6 ble innført 30.10.2012.

IPv4 og IPv6 er grunnleggende protokoller for kommunikasjon på internett. Alt IT-utstyr som det offentlige anskaffer, bør ha støtte for IPv4 og IPv6. Dette gjelder både programvare og maskinvare.
"Forskrift om IT-standarder i offentlig sektor", som er på ESA-høring, har en ny paragraf, men forskriften er ennå ikke offisiell:

§ 11 Obligatoriske grunnleggende nettverksstandarder

Det er obligatorisk for offentlige virksomheter å sette krav til støtte av både IPv4 og IPv6 i alt nytt nettverksutstyr og all IP-avhengig programvare som kjøpes.

Det er obligatorisk for offentlige virksomheter å gjøre alle nye og eksisterende, eksternt publiserte tjenester tilgjengelig både på IPv4 og IPv6, med unntak av peer-to-peer-kommunikasjon mellom offentlige virksomheter, der man kan legge over på best egnet tidspunkt.

Alle interne klienter i offentlige virksomheter skal ha tilsvarende tilgang til eksterne tjenester publisert på IPv4 og Ipv6.

Nye interne nett og løsninger i offentlige virksomheter skal ha støtte for IPv6, det er tillatt å støtte IPv4 i tillegg.

Anbefalte standarder for filoverføring

Offentlige kommunikasjonstjenester bør ha støtte for FTP som er en protokoll for filoverføring. Den er i utstrakt bruk, men har begrensninger når det gjelder sikkerhet.

Kravet betyr kun at virksomheten din skal ha en mulighet til å ta imot filer ved hjelp av FTP. Dere må ikke bruke FTP, men kan velge andre overføringsmetoder for batch-filer hvis dere ønsker/har behov for dette. FTP bør brukes over en sikker kommunikasjonskanal.

Protokoller for å styre trafikken i nettverk basert på IP

Alle offentlige kommunikasjonstjenester bør ha støtte for TCP (Transmission Control Protocol). Dette er en grunnleggende protokoll for å styre trafikken i nettverk basert på IP. Som for IP finnes det også tilhørende protokoller til TCP. Det er viktig at disse protokollene sees på som en helhet.

Alle offentlige kommunikasjonstjenester bør ha støtte for UDP (User Datagram Protocol). Dette er også en grunnleggende protokoll for å styre trafikken i nettverk basert på IP. Som for IP finnes det også tilhørende protokoller til UDP. Det er viktig at disse protokollene sees på som en helhet.

Hjemmel

Kravene er gjeldende.

Veileder

Nettsted som brukes av virksomheter i offentlig sektor bør etablere en teknisk løsning som bruker HTTP over TLS (HTTPS) for alle deler av nettstedet.

Difi anbefaler at NSMs veileder «HTTP over TLS» (se nederst på siden) følges så langt det er hensiktsmessig og ikke i konflikt med annet regelverk for å ivareta sikker implementasjon og vurdering av kompenserende tiltak for kjente sårbarheter.

NSMs veiledere

Det er viktig at nettstedene settes opp korrekt, og det vises til veiledning fra Nasjonal sikkerjetsmyndighet (NSM).

IT-veiledning for ugraderte systemer nr. 15 (U-15)

Nasjonal sikkerhetsmyndighet (NSM) har utarbeidet en veiledning for å etablere HTTP over TLS (HTTPS):
«Hypertext Transport Protocol Secure – Hvordan autentisere nettsteder og konfidensialitets- og integritetsbeskytte webtrafikk»
(Se nederst på denne siden)

IT-veiledning for ugraderte systemer nr. 14 (U14)

Nasjonal sikkerhetsmyndighet (NSM) har utarbeidet en veiledning for grunnleggende tiltak for sikring av kommunikasjon over usikre nett ved hjelp av TLS.

Veilederne forvaltes av Nasjonal sikkerhetsmyndighet og gir en sikkerhetsfaglig vurdering av hvordan HTTPS bør implementeres og hvordan kommunikasjon kan sikres med TLS. For at kommunikasjonen skal sikres i nødvendig og tilstrekkelig grad, er det viktig at standardene implementeres korrekt. Veilederne NSM forvalter omhandler implementasjon av HTTP over TLS (HTTPS).

IT-veiledning for ugraderte systemer nr. 02 (U-02)

Nasjonal sikkerhetsmyndighet (NSM) har utarbeidet en veiledning for grunnleggende tiltak for sikring av overføring av e-post mellom e-posttjenere. Denne veilederen dekker standardene for STARTTLS, DMARC, SPF og DKIM.

Relevante standarder

Se nedenfor.

Deldette

Hjelp oss å bli bedre

Fant du det du lette etter?

Tilbakemeldinger blir ikke besvart. Gå til siden med kontaktinformasjon hvis du trenger hjelp.

* Påkrevd

Hjelp oss å bli bedre
*