Staten sylter DS484 og vælger ISO-standard for it-sikkerhed
Siden 1. januar 2007 har standarden for statens it-sikkerhed adlydt navnet DS484, men nu skifter staten i stedet til den internationale standard ISO 27001.
Ifølge IT- og Telestyrelsen er der flere gode grunde til at skifte den hjemlige sikkerhedsstandard ud med en international af slagsen.
Blandt andet får den danske stat bedre mulighed for at samarbejde med andre lande ved at benytte en international standard, og det vil også blive nemmere at sammenligne emner indenfor it-sikkerheden med udlandet.
Derudover sker skiftet som en del af vedligeholdelsen af sættet af åbne standarder og »som et led i regeringens handlingsplan for afbureaukratisering,« som det hedder i en skrivelse fra IT- og Telestyrelsen.
Det er op til de enkelte myndigheder, om de vil skifte standard allerede nu, eller om de vil vente til næste revision af standarden er gennemført, formodentlig i 2013.
DS484 mødt med kritik DS484 blev oprindeligt indført, fordi staten havde brug for et fælles fundament til at håndtere it-sikkerheden i det offentlige.
Standarden fastlægger en række ledelsesprincipper og rammer for, hvordan it-sikkerheden afstemmes med de enkelte, statslige institutioners behov for at udnytte it forsvarligt på de forskellige ministerområder.
Standarden er tidligere blevet debatteret ivrigt på Version2, hvor den blandt andet er blevet kritiseret for at være for ufleksibel.
Samtidig har blandt andet rådgivningsfirmaet Neupart sat spørgsmålstegn ved DS484's eksistensberettigelse, når man i stedet kunne fordanske de internationale sikkerhedsstandarder.
Kommentarer (5)
Der er i det danske offentlige system en tendens til at opfinde egne løsninger, hvor der allerede findes udmærkede løsninger andre steder, som man nemt kunne bruge med en smule tilpasning. DS484 er et eksempel, men der er mange andre:
- Den digitale tinglysning.
- IC4.
- Digital signatur.
- Elektroniske patientjournaler.
Og så videre. De hjemmelavede løsninger bliver i reglen dyre, forsinkede og fulde af mangler. Færdiglavede (og gennemprøvede) løsninger er måske ikke er lige så fancy som det, en eller anden konsulent kan skitsere i en Powerpointpræsentation, men de er i reglen billigere (selv om de skal tilpasses) og man undgår de værste hovsa-problemer.
Men det er måske et spørgsmål om prestige -- det ser bedre ud på en embedsmands CV, at han har været i spidsen for et stort nyudviklingsprojekt end for indkøb og tilpasning af et standardprodukt. Det er lidt ligesom politikere, der hellere vil bygge nye sportshaller end vedligeholde skoler og veje.
-
0 -
0
Det er er ikke helt retfærdig kritik. DS484 er en gamle standard som ved sidste revision fik elementer fra ISO 17799 med ind, samt diverse krav og kontroller som ikke var i ISO standarden. ISO har senere fået defineret ISO 27001, hvor krav og kontroller er med og ISO 17799 er omdøbt til ISO 27002. IT-sikkerhedsstandarderne er ved at blive samlet og koordineres. Så det er den genvist staten nu kan høste.
-
0
-
0
Generelt er sikkerhedsstandarderne stærkt mangefulde i og med at de gennemgående tager udgangspunkt i en internt betragtning, men ofte glemmer at de fleste risici skylde designfejl.
F.eks. ser vi ofte standarder behandle data som aktiver og glemme at de er passiver fordi det er andres risiko man grundet designfejl har overtaget ansvaret for uden at kunne håndtere forsvarligt.
En god sikkerhedsstandard behandler mennesker som det mest værdifulde og samtidig mest sårbare subjekt og dermed også som en ekstern interessent (både som kunde, leverandør, ansat eller på anden måde) man skal undgå at angribe.
Det savner vi endnu at se en ISO-standard respektere. De har en tendens til at behandle mennesker som ting, man kan eje hvorved man alledere i valget af analysemodel skaber
uhåndterlige sikkerhedsproblemer.
-
0
-
0
Hvorfor dette udfald mod embedsmænd?
DS 484 er godkendt af Dansk Standard på et tidspunkt, hvor ISO 27001 ikke fandtes. Det var på mange måder et banebrydende skridt for it-sikkerhed i Danmark, hvor budskabet blev formidlet på en måde og et sprog, som folk kunne forstå - også uden for universiteterne. Dansk Standards ansatte er mig bekendt ikke embedsmænd.
Hvad er det helt konkret for nogle embedsmænd, der hentydes til i blogindlægget og hvad er det for nogle standardsystemer, man kunne have valgt i stedet?
Hvis man på DIKU ligger inde med oplysninger, som kunne have gjort DS484-arbejdet, tinglysning, IC4, Digital Signatur og EPJ-systemerne billigere, har man så ikke groft svigtet skatteborgerne i Danmark ved ikke at fortælle om alternativerne?
-
0
-
0
ISO's standarder er kun rammen for en virksomheds IT-sikkerhed. Det er et guide for hvad man bør/skal tage stilling i organisationen. IT-sikkerhedspolitik definere det sammen med en vurdering af risici. Og det vil være naturlig at inddrage andet som fx ITIL, retninglinjer fra OWASP og www.cisecurity.org. Og sårbarheder skal naturligvis også håndteres uanset om det kommer indefra eller ekstern. Og en af de værste fare er brand. Hvis en virksomhed ikke er ordenligt forbedret på en totalskade er den død efter den hændelse. Mens et virusangreb overlever man nemt i den sammenligning.
-
0
-
0
