Ekspert: 'Sikkerhedsstandarden DS484 er noget pjat'

Det er rigtigt, at der for længe siden blev lavet en dansk variant (DS484) af en gammel ISO standard (ISO-17799), der for længst er udgået.

Det er meget navlebeskuende at holde sig til en gammel dansk standard, når der eksisterer moderne opdaterede internationale standarder for samme område. Verden bliver mindre og mindre, og vi kommer til at arbejde mere og mere internationalt.

Så det virker som om staten ønsker at holde liv i Dansk Standard i stedet for at holde liv i en moderne statsadministration.

MVH
Jan - der har implementeret begge standarder hos kunder.

Sikke da noget fis at fyre af.

DS484 beskriver sund fornuft, adfærd og meget mere, som har været god latin siden slut '70erne.

Hvis man skal holde sig fra, så beskriv gerne hvad der er forkert i DS484.

Hvis man skal *holde sig fra*, så beskriv gerne hvad der er *forkert* i DS484.

Prøv at læse artiklen. Pointen er ikke at der er noget der er forkert, men at der er en anden ISO standard som både er bedre (mere fleksibel) og international.

Mvh
Carsten

DS484 indikerer at virksomheden har vurderet en tidsvarende IT-politik!
- At alle dokumenter gemmes krypteret (LDAP)
Og derved evt. fortrolige oplysninger ikke umiddelbart er tilgængelige for uvedkommende - må da være rimeligt betryggende!!

Enhver (rådgivende) ingeniør tør stole på at Dansk Standard er iorden og rimelig up-to-date.

ISO er tungt og dyrt

Hvad er bedre end ingen standard?

At alle dokumenter gemmes krypteret (LDAP)

Hvad er det præcis du mener med LDAP i den sammenhæng?

Og derved evt. fortrolige oplysninger ikke umiddelbart er tilgængelige for uvedkommende - må da være rimeligt betryggende!!

Det er da også betryggende. Men nu er der jo meget mere til DS484 end lige det - og beskyttelse af dokumenter kunne man vel sagtens opnå uden en DS484.

"ISO er tungt og dyrt"

Hvad mener du med det?

Min erfaring - efter at have implementeret begge standardere - er ikke, at ISO 27000 standarderne er tungere og dyrere end den gamle DS484.

MVH
Jan

Tror I ikke at det er muligt at problemet er at valg af specifikke standarter, som f.eks. denne, er foretaget af folketinget.

Specielt fordi folketinget er normalt sætter en stor tidsgrænse hvornår standarten skal være implementeret...
Hvilket betyder at nyere og bedre standarter bliver udviklet.

Var løsningen ikke at man istedet gjorde valg af specifikke standarter og løsninger på problemer til at administrativ opgave. Og overlod det til politikerne at lave politik, nemlig hvilke problemer der skal løses og hvordan de skal prioriteres etc...

Michael Steenfeldt:

At alle dokumenter gemmes krypteret (LDAP)

Jeg er meget interesseret i at høre om kryptering med en kommunikationsprotokol. Fortæl, fortæl.

Tror I ikke at det er muligt at problemet er at valg af specifikke standarter, som f.eks. denne, er foretaget af folketinget.

Nej, DS484 er kommet til som en anbefaling fra VTU/ITST og eller XML-projeketet/Digitale taskforce (been there).

Det var eet stort samrbejde, så jeg ved ikke rigtig hvem der var hvem.

Der blev kigget på ISO-17799 også.
Beslutningskriteriet for DS484 kender jeg ikke i detaljer.

Men hele projektet/projekterne går ud på man skal have fælles fordslag inden for hele den offentlige sektor med henblik på vidensdeling og samarbejde.

Det er principielt ligegyldigt om det er den ene eller den anden - fælles er nøgleordet.
Deraf følger gevinster ved erfaringsudveksling og samarbejde.

Den tid hvor alle offentlige institutioner 'konkurrerede' med hinanden er forbi.

Hvis man mener DS484 ikke er fyldestgørende, så er det mere hensigtsmæssigt at 'opgradere' den fremfor at skifte hest, og fragmetere den offentlige sektor (igen).

LDAP is a protocol designed to allow quick, efficient searches of directory services. Built around Internet technologies, LDAP makes it possible to easily update and query directory services over standard TCP/IP connections, and includes a host of powerful features
- including security, access control, data replication and support for Unicode.

• er det "fortælling" nok?

>>- At alle dokumenter gemmes krypteret (LDAP)

som standard bruger f.ex.openldap (en meget udbredt ldap implementation) IKKE en krypteret storage backend.
Så at anvende LDAP er IKKE nogen garanti for at data gemmes krypteret (det er enddog meget usandsynligt at de bliver det).

OpenLDAP og mange andre, understøtter dog ldaps kommunikation, så man kan kommunikere med ldap serveren krypteret (LDAP+SSL).
Bemærk man KAN - bare fordi der anvendes LDAP - betyder det bestemt ikke at der anvendes nogen form for kryptering.

Jeg har f.ex. konstateret at Xerox kopimaskiner, der kan sættes op til at slå div. brugerdata op i et AD eller anden LDAP server og iflg. deres tekniker var den "sikkerhedsgodkendt" efter høje amerikanske standarder, ikke anvender nogen form for kryptering (andet end https til webinterfacet til den).
For at lukke munden på teknikeren, sniffede jeg trafikken fra den (med et test brugernavn/kodeord til AD'et) og så var det ligesom bevist at den KUN snakkede LDAP, uden kryptering og efter nærmere eftersyn fandt jeg at den slet ikke understøttede LDAPS eller i det mindste LDAP+TLS.

Meget ringe implementation hvis du spørger mig.

Det kunne være man skulle læse overskriften 'ordentligt'.

Det er nok 5 år siden DS484 blev valgt som den standard man anbefalede at læne sig op ad.

At der skulle gå så lang tid før det blev et 'krav' at indføre en sikkerhedspolitik vidner nok lidt om den enorme inerti der ligger i at 'geare' om inden for den offentlige sektor.

Husk at man startede med et totalt anarkistisk 'landskab' uden nogen form for sikkerhedspolitik.

Politiken er jo værdiløs hvis den ikke sikrer men blot tjener til formål at placere ansvar.

Jeg forstår ikke din kommentar.
Måske er det forkert at kalde det anarkistisk.

Men hvis vi spoler tilbage til omkring årtusindeskiftet hvor vi inførte Navision Stat, havde mange (statslige) institutioner kun '3270-systemet' samt Officepakke.

På det gamle økonomisystem m.m. lå det hele hos CSC, der centralt stod for sikkerheden.

De IT medarbejdere, der nu skulle til at have ansvar for deres egne systemer, havde ikke noget forhold til sikkerhed.

I det projekt blev der dog udarbejdet sikkerhedsinstrukser til hver enkelt institution, der skulle godkendes af Rigsrevisionen.

Så jo, ansvaret er skam placeret.

Sikkerhed er ikke kun sikring mod angreb, vira osv.
Det omhandler også 'forsyningssikkerhed', indretning af serverrum,fysisk adgang m.m.

Jeg har selv besøgt 200+ IT afdelinger i staten, og nogle af serverrummene ville jeg nok karaterisere som 'kosteskab'.

Men pointen var, at de kom fra - lad os kalde det ingen/'heterogene' sikkerhedspolitikker, idet de omtalte sikkerhedsinstrukser var mere eller mindre indivduelle i stedet for at tage udgangspunkt i f.eks. DS484.

Hvis ikke regeringen havde besluttet, at statsinstitutioner pr. den 1. januar 2007! skulle efterleve sikkerhed i informationshåndteringen efter dansk standard DS484, var vi ikke nået så langt, som vi rent faktisk er.
Om man i dag vælger at følge DS484:2005 eller ISO17799:2005 synes jeg er mindre væsentligt. Det er min klare opfattelse, efter at have parallellæst begge standarder, at vælger man at følge DS484:2005 kan man også med god samvittighed sige at ISO17799:2005 efterleves, mens det omvendte ikke er tilfældet.
Generelt synes jeg, at DS484:2005 er en særdeles god og brugbar standard for håndtering af informationssikkerheden, men den skal bruges med fornuft, som Dansk Standard meget rigtigt også påpeger andet sted.
At en sikkerhedsekspert udtaler, at det er pjat, at bruge DS484, men at man i stedet skal bruge den nye ISO 27000 serie, tager jeg som udtryk for en journalistisk uheldig formulering. Informationssikkerhed er ikke pjat, om det så er at følge den gamle eller de nye standards, og selvfølgelig skal man bruge de nye hvis muligheden er til stede.

Lars Neupart har naturligvis ret til at fremme sine egne holdninger til sikkerhedsstandarder, men han har tilsyneladende overset en fundamental ide med DS 484:2005, og hans henvisning til funktionsadskillelse viser, at han ikke har læst standarden ordentligt.

Den danske standard kræver ikke, at en lille virksomhed for en hver pris implementerer funktionsadskillelse. Der står helt klart i pkt. ”10.1.3 Funktionsadskillelse”:
” Hvis funktionsadskillelse ikke kan gennemføres i eksempelvis mindre virksomheder, skal der
iværksættes kompenserende kontrolforanstaltninger, fx overvågning, logning eller lignende”

Dette afspejler netop, at der i den danske standard er taget højde for, at det ikke er alle tiltag, der er relevante for alle størrelser af organisationer.

Flere af kommentarerne herinde afspejler desuden klar mangel på viden om DS 484, ISO 17799 og 27002. F.eks. er det åbenbart ikke gået op for flere, at ISO 27002 er præcis mangen til ISO 17799, man har blot omdøbt den i forbindelse med indførslen af den nye serie af sikkerhedsstandarder.

Lars Neupart har ret i, at en international standard som 17799/27002 er mere fleksibel. Men det skyldes alene, at denne alene nævner en række kontrolforanstaltninger, man kan vælge at implementere, den beskriver ikke, hvad man skal implementere.

Hvis en organisation skriver, at de følger ISO 27002 ved man derfor reelt ikke noget som helst om denne organisations it-sikkerhedsniveau, før man har læst en dokumentation for, hvilke kontrolforanstaltninger de har valgt og fravalgt at implementere.

Hvis en organisation derimod skriver, at de lever op til DS 484:2005, så ved man, at de har implementeret de ”sikrings- og kontrolforanstaltninger, der i henhold til god praksis bør være grundlaget for informationssikkerheden i enhver virksomhed.” Man ved samtidigt, at den følger it-sikkerhedskrav fra dansk lovgivning vedr. bl.a. persondata og bogføring, fordi krav herfra er indarbejdet i standarden.
Hvis man fulgte ISO 17799 med den frie valg mht. implementering af kontrolforanstaltninger, ville man efterfølgende skulle kontrollere, om man levede op til dansk lovgivning.

Og det behøver ikke at være så vanskeligt. Som der også står i DS 484:2005: ” Langt de fleste af disse foranstaltninger vil sandsynligvis allerede være etableret, om end måske ikke videre systematisk og struktureret. Her vil standarden være en god hjælp som checkliste ved en systematisk gennemgang.”

Endeligt burde det være klart for enhver, der har læst DS 484:2005 og ISO 17799/27002, at hvis man overholder den danske standard, vil man også overholde så godt som hele den internationale standard. Samtidigt er det gjort let at lave et mapningsdokument, der viser, hvilke dele af den internationale standard, man har valgt at implementere, idet "Standarden tager sit udgangspunkt i ISO/IEC 17799:2005, Code of Practice for Information Security Management. Standarden er udarbejdet på en sådan måde, at det er muligt at referere mellem de to dokumenter"

Uanset om man er en del af det offentlige Danmark eller en er en virksomhed, får derfor det bedste resultat på den letteste måde ved at implementere DS 484 først og evt. lave en mapning til ISO-standarden bagefter. At fortælle sine kunder noget andet er ikke bare noget "pjat", det er dårlig rådgivning.