Dansk Standard: Kom og skriv ny it-sikkerhedsstandard

Alle kan være med til at skrive de fremtidige versioner af ISO-27000-sikkerhedsstandarderne, forklarer den danske repræsentant. Dermed kan danske erfaringer fra DS484 overføres til de internationale standarder, som med tiden kan erstatte DS484.

Lad os overføre det bedste fra den danske it-sikkerhedsstandard DS484 til de internationale ISO 27000-standarder og så skifte over til dem. Sådan lød tidligere på ugen et forslag fra Erik Sørup Andersen, der stod i spidsen for indførelsen af DS484 som en standard, alle Danmarks statslige institutioner i dag skal leve op til.

Og det ønske er i høj grad muligt, forklarer Niels Madelung, projektchef i Dansk Standard. Han er lige vendt hjem fra et møde i den internationale ISO-organisation, hvor arbejdet med de kommende udgaver af ISO-standarderne nu er skudt i gang. Helt præcist gælder det informationssikkerhedsstandarderne ISO/IEC 27001 og 27002.

»Revideringen af ISO 27000-standarderne starter nu, så hvis nogle har forslag til, hvordan de kan blive bedre og stærkere, så er det nu, de skal melde sig,« siger Niels Madelung, der er blevet valgt til én af de i alt fire redaktører på verdensplan, der skal samle alle forslag og skrive standarderne om.

Første deadline for input ligger omkring nytår, hvorefter redaktørerne samler dem og præsenterer et udkast for en ny tekst på et internationalt møde i maj 2009. Denne proces gentages, indtil der er enighed om resultatet, hvilket Niels Madelung regner med tager to til tre år.

»Det er meget centrale standarder, så der vil være meget fokus på dem og mange inputs. Hvor lang tid, det præcist vil tage, afhænger af, hvor meget uenighed, der er,« forklarer han.

Mens Niels Madelung var den eneste danske repræsentant ved det internationale møde i sidste uge, sender for eksempel Sverige en delegation på ti mand af sted til hvert møde, mens Norge sender tre og Finland to repræsentanter. Det viser hvor stor vægt, der bliver lagt på disse standarder i de andre skandinaviske lande, forklarer han.

Et ekstra lag på toppen

Ideen om, at Danmark erstatter DS484 med en international ISO-standard, kan Niels Madelung også se fordelene i. Især hvis ISO-standarderne så suppleres med et ekstra lag, der for eksempel kan målrettes den danske stat.

»Der vil altid være et niveau, der skal tilpasses det enkelte lands lovgivning. Og så kan man skærpe kravene der, hvor man finder det nødvendigt og ændre 'kan' til 'skal'. Det betyder også, at man i Danmark ikke skal skrive sig helt øm i fingrene med en hel standard, men kan nøjes med et dansk lag på toppen af ISO-standarderne,« forklarer Niels Madelung.

Arbejdet med at samle danske inputs til de reviderede ISO-standarder foregår i regi af Dansk Standard, hvor alle interesserede organisationer og virksomheder kan deltage i arbejdet og få udkast til gennemsyn. Det kræver et medlemskab til 12.000 kr. om året.

DS484 er en dansk standard for informationssikkerhed, som alle statslige institutioner siden 1. januar 2007 har skullet følge. Andre dele af den offentlige sektor har fulgt trop, mens nogle virksomheder også er begyndt at bruge standarden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Arbejdet med at samle danske inputs til de reviderede ISO-standarder foregår i regi af Dansk Standard, hvor alle interesserede organisationer og virksomheder kan deltage i arbejdet og få udkast til gennemsyn. Det kræver et medlemskab til 12.000 kr. om året.

Det siger jo alt om hvordan sikkerhedsstandarder udarbejdes. Ikke blot skal du bruge en masse tid på noget som du reelt ikke har indflydelse på fordi det er et kommercielt projekt.

Hvordan skulle noget sådan på nogen måde kunne føre til kvalitet som kan bruges?

Du skal på no time lave noget som vi andre er midt i store forskningsprojekter omkring. Vi er med i HYDRA projektet som bl.a. arbejder med at lave standarder for Semantisk Interoperabilitet, herunder på sikkerhedsområdet. Det er et 4-årigt forskningsprojekt med 15 partnere og et budget på 100 mDKK.

Man kan se på de såkaldte ICAO pas "standarder" som er i færd med at ødelægge passystemet. Det er noget forhastet makværk dirigeret af kommercielle særinteresser i at malke de offentlige kasser for uforsvarlige biometriske teknologier der slet ikke er gennemtænkt.

Måske var det på tide at man stiller spørgsmålet om vi vil have sikkerhed eller blot en kanal hvor de store kommercielle virksomheder kan afhandle deres kortsigtede interesser.

Den nuværende tilgang går helt galt.

  • 0
  • 0
Jesper Lund Stocholm Blogger

Hans,

Jeg er imponeret hvis det lykkedes DS at få nogen til at deltage efter OOXML-sagen. Det er jo helt til grin at sidde med i de udvalg når resultatet er bestemt på forhånd.

Så du mener seriøst, at næste gang du ser en virksomhed reklamere med, at de er ISO-9001 certificerede, så vil du tænke, at "det giver jeg ikke en skid for - den standard er jo sikkert købt og betalt af en stor virksomhed"? Eller tilsvarende når du på stranden ser et blåt flag (der er en ISO-standard for udførsel af målinger, der afgør om flaget må være blåt) så vil du tænke, at du ikke kan bruge flaget til noget, fordi du er imod at ISO godkendte OOXML? Eller når du ser, at babymadens nitritindhold er specificeret ud fra en DS-standard (DS/EN 12014-5:1997), så vil du tænke, at "det tør jeg ikke købe - DS stemte jo "Ja" til OOXML"?

Jeg bliver til stadighed mere og mere imponeret over din tankegang og argumentationsteknik.

  • 0
  • 0
Kristian Thy

Så du mener seriøst, at næste gang du ser en virksomhed reklamere med, at de er ISO-9001 certificerede, så vil du tænke, at "det giver jeg ikke en skid for - den standard er jo sikkert købt og betalt af en stor virksomhed"?

Flot stråmand. Det var ikke det, Hans skrev.

  • 0
  • 0
Nicholas Colding

Det er tydeligt, at DS kæmper for at genvinde deres anseelse, som en seriøs virksomhed.
Der går nok ikke længe før de omdeler slik-bamser til børnefamilier i Bilka og gratis vaskeskind hos Q8.

For øvrigt er det ingen overraskelse, at se Jesper Lund Stocholm (MS) bære fanen for DS. Men på den anden side så beskytter vi vel alle vores økonomiske interesser...

VH
Nicholas

  • 0
  • 0
Jesper Lund Stocholm Blogger

Kristian,

Flot stråmand. Det var ikke det, Hans skrev.

Hans skrev, at pga OOXML-processen i DS er det "helt til grin at sidde med i de udvalg når resultatet er bestemt på forhånd". Han skrev også, at "DS er spild af tid".

Det kan ikke tolkes på andre måder end at "Pga processen omkring OOXML kan man ikke have tillid til arbejdet i DS med DS484". De to ting har jo intet med hinanden at gøre, så hvorfor skulle Hans' ubehag ikke også dække andre standarder?

Jeg kan ikke på nogen måde se, at min fortolkning er urimelig.

  • 0
  • 0
Thorbjørn L_.

Nu hvor nogen fra DS rent faktisk rører på sig ...

Prøv lige at se:

http://validator.w3.org/check?uri=http%3A%2F%2Fwww.ds.dk%2Fen-GB%2FSider...

Nu er det nok ikke fordi mange herinde vil blive overrasket over, at et MS værktøj ikke overholder standarder, men at DS på den måde sætter MS værktøjer over standarder er direkte pinligt.

Ret dog jeres side så I bakker op omkring standarder!

  • 0
  • 0
Anonym

Jesper Lund Stocholm skrev:

Så du mener seriøst, at næste gang du ser en virksomhed reklamere med, at de er ISO-9001 certificerede, så vil du tænke, at "det giver jeg ikke en skid for - den standard er jo sikkert købt og betalt af en stor virksomhed"?

På den ene side er ISO-9001 en "kvalitets"-standard som ikke garanterer kvalitet, men blot at man bliver ved med at producere det samme "skidt" - ligesom en "sikkerhedstandard" ikke garanterer sikkerhed.

På den anden side er et af de store problemer med standardiseringsprocessen at deltagelsen er ekstremt skæv og at den oftest tilsidesætter markedsprcoesserne længe inden forbrugerne har haft et ord at skulle have sagt.

Vi har en lang række standarder som dels virker som udenomsparlamentarisk lovgivning, dels skaber fastlåste karteller (og den dermed følgende konkurrenceforvridning) og dels blokerer for interoperabilitet og innovation.

(Vi har også gode standarder som er karakteriseret ved at være neutrale eller semantisk dækkende uden at have mistet rummeligheden for innovation).

Sikkerhed af alle områder lider alvorligt under at man aldrig har standardiseret sikkerhed semantisk, men fastfroset sikkerhed omkring nogle bestemte teknologier (e.g. fingeraftryk eller Digital signatur) til identifikation eller formelle procedurer.

Men eftersom identifikation er destruktiv for sikkerhed og overser at man identificerer af hensyn til nogle specifikke aspekter som alle burde dækkes UDEN identifikation, ender næsten alle sikkerhedsstandarder reelt med at være sikkerheds-destruktive i deres grundtilgang.

Standarderne er pt. det største problem for sikkerheden - at man ikke fokuserer på at skabe dynamik, opgradering og interoperabilitet på et tidspunkt hvor stort set alle sikkerhedsteknologier og kommunikationsprotokoller må forventes at bryde sammen indenfor planlægningshorisonten af enhver teknologi og system som er under implementering.

Som et helt simpelt eksempel kender vi i dag ikke en hash som vi tror på har en levetid over 10-max 15 år. Vi kender ingen sikkerhedsteknologier som har levetider over ca. 25 år - og hvordan laver man f.eks. livsforsikringer, arkiver, EPJ-systemer, id-modeller hvor løbetiderne er langt længere?

Hvor er den standard som agerer i den realitet, som vi lever i? Hvor er det tiltag som har til formål at skabe andet end en undskyldning og påstand om at "nu har man gjort noget"?

Til hvis interesse laver man disse "standarder"? For at konsulentfirmaerne kan påstå at de har "fulgt standarden" og dermed leveret "kvalitet" og skabt "sikkerhed" på trods af at det har meget lidt med realitererne at gøre?

Det meste "standardiseringsarbejde" synes mere at have noget at gøre med at "nogen" ønsker deres interesser ophøjet til lov for andre af hensyn til profit snarere end at man operationaliserer et område så man kan løse interoperabilitetsproblemer på det semantiske lag.

  • 0
  • 0
Hans Schou

Niels Madelung,

En af de ting jeg vil anbefale Dansk Standard at tage op til alvorlig overvejselse, er denne tavshedspligt udvalgsmedlemmerne er påtvunget.

I forbindelse med OOXML-sagen stemte et flertal af udvalgsmedlemmerne imod OOXML i februar 2008. Udvalgsformanden informerede så medlemmerne om at "en væsentlig stor forbruger af dokumenter stemte for OOXML", og denne anbefalede et ja, og sådan blev det. Således havde udvalget brugt en masse tid til ingen verdens nytte.

Jeg forstår på ingen måde hvorfor dette krav om tavshedspligt. Udvalget sidder ikke med personsager som læger, præster og socialarbejdere gør. Det virker som om man har denne tavshedspligt, med det formål at omgå udvalgets indstilling.

Min anbefaling til DS vil således være at fjerne denne klausul om tavshedspligt, og så ihærdigt arbejde på at genoprette befolkningens tillid. Ellers er det ikke sikkert DS bliver taget særligt seriøst fremover. Såfremt DS ikke mener der er tabt noget tillid, så har jeg og DS vel sådan set ikke noget at tale om.

Iøvrigt undre det mig at Stephan Engberg ikke blev inviteret til kaffe. Han ville sikkert også takke nej, men han ved lissom noget om emnet sikkerhed.

Hvis fakta om DS udvalgsarbejde "på godt og ondt" ikke tåler dagens lys, så er jeg bestemt ikke den rette at fortælle det til. Så tag heller og fortæl her på version2, hvad det går ud på.

  • 0
  • 0
Anonym

For god ordens skyld ar Niels og jeg intet formelt problem. Jeg er bare uenig i at vi skal bruge så mange kræfter på standarder for standarderne skyld istedet for at løse problemerne. Eftersom Niels er ansat i Dansk Standard har han selvfølgelig en anden opfattelse.

Standarder er kun gavnlige så længe de skaber interoperabilitet. De er destruktive når de begynder at begrænse, herunder at gennemtvinge monokulturer uden rummelighed og plads for innovation. Og det problem fylder stadigt mere - specielt på sikkerhedsområdet hvor man bruger standarder til at skabe lock-in og overvågning istedet for at gavne samfundet.

  • 0
  • 0
Jesper Lund Stocholm Blogger

Hans,

I forbindelse med OOXML-sagen stemte et flertal af udvalgsmedlemmerne imod OOXML i februar 2008.

Der var ingen, der stemte på mødet - men det er korrekt, at der var flere til stede på mødet, der var imod OOXML end tilhængere.

Men kunne man slet ikke forestille sig andre årsager end korruption/manipulation til, at DS ikke fulgte holdningen til flertallet på mødet?

Lad os lige tage en hurtig gennemgang af sagen i DS fra start til slut:

Man definerede i begyndelsen af 2007 opgaven i DS til at være at sikre den danske vinkel - som var resultatet af den danske høringsrunde.

I løbet af høringsrunden indløb omkring 500 specifikke kommentarer.

Disse 500 kommentarer blev reduceret til 168. Denne liste blev godkendt af udvalget.

De 168 kommentarer blev sendt til ISO med kommentaren "Nej, men hvis de 168 kommentarer bliver imødekommet, så ændres den danske stemme".

Fra referatet fra 24. august står der:

[i][u]"Der var i udvalget konsensus om at arbejde for, at OOXML bliver en standard såfremt de danske kommentarer indeholdt i short-listen indføres i OOXML"[/u][/i]

(og "shortlisten" var faktisk kun de første 40 på listen over 168 kommentarer)

Herefter gik et teknisk underudvalg i gang med at bearbejde svarene fra ISO på de danske kommentarer. I sidst ende blev [u]alle 168 kommentarer[/u] fra ISO godkendt af udvalget. Dette skete på det sidste møde inden BRM blev afholdt.

I forbindelse med BRM blev [u]alle 168 kommentarer vedtaget[/u] enten i oprindelig eller forbedret form (bortset fra en enkelt, hvor den den danske delegation overså en detalje, der omhandlede sortering af punkt-opstillinger for nogle sprog-varianter)

Så ved det sidste møde var faktum, at udgangpunktet fra september 2007 for arbejdet var, at hvis de 168 kommentarer (eller faktisk kun de vigtigste 40 af dem) blev indført, så ville man ændre stemmen.

Sammenhold dette med resultatet fra BRM, hvor alle de danske kommentarer var blevet godkendt - bortset fra en enkelt, der omhandlede sortering af punktopstillinger for nogle sprogvarianter.

Kunne man forestille sig, at grunden til at DS stemte "Ja" var, at "Nej-siden" havde en ualmindelig dårlig sag at argumentere for?

Og til Morten Kjærsgaard: Inden du begynder at snakke om, at jeg nu har refereret fra lukkede møder, så vil jeg godt understrege, at alt ovenfor kan dokumenteres via de offentliggjorte dokumenter og referater fra http://www.ds.dk/da-dk/ydelser/standardisering/s-udvalg/s-445/Sider/defa...

Udvalgsformanden informerede så medlemmerne om at "en væsentlig stor forbruger af dokumenter stemte for OOXML", og denne anbefalede et ja, og sådan blev det. Således havde udvalget brugt en masse tid til ingen verdens nytte.

Så det du siger er, at Mogens Kühn har udtalt ovenstående til medlemmerne af udvalget? Har du noget imod at fortælle, hvor du har den information fra, for jeg har ikke hørt Mogens Kühn udtale dette.

Er du sikker på, at du har fået rigtigt fat i det?

Og endelig: Jeg mener virkeligt, at I smider skidt efter de forkerte i jeres forsøg på at få afløb for jeres frustration over godkendelsen af OOXML. I stedet for at gå efter DS, så burde I i stedet spørge OSL, DKUUG og andre om, hvordan de på den ene side kunne

1) Sige, at man ville stemme "Ja" til OOXML, hvis de 168 kommentarer blev imødekommet

2) Sige "Ja" til svarene fra ISO på deres forslag til imødekommelse af de 168 danske kommentarer

... og så stadig sige: "Nej, vi vil ikke have OOXML".

?

  • 0
  • 0
Niels Madelung

I stedet for at sidde udenfor og kritisere det internationale standardiseringsarbejde og derved de over 40 lande og tusindvis af personer som rent faktisk aktivt deltager, så opfordre jeg endnu engang til at man deltager selv. ISO er et af de få steder hvor Danmark står fuldstændig på ligefod med alle andre lande - et land en stemme.

Hvis der derfor er nogle som ønsker at få be- eller afkræftet sin billede af (forudfattethed om) standardiserings arbejdet og danmarks indflydelse, så står tilbudet om et kaffemøde forsat ved magt.

Mvh
Niels Madelung

  • 0
  • 0
Hans Schou

Jesper,

Så det du siger er, at Mogens Kühn har udtalt ovenstående til medlemmerne af udvalget? Har du noget imod at fortælle, hvor du har den information fra, for jeg har ikke hørt Mogens Kühn udtale dette.

Er du sikker på, at du har fået rigtigt fat i det?

Undskyld, titlen var forkert. Jeg ved ikke præcist hvilken position han havde, men han var ikke med i udvalget, men mere bestemmende end udvalget eller på anden måde oven over udvalget. Han var nok bare direktør eller noget.

Mogens Kühn har forbindelser til CBS, men CBS er bestemt ikke nogen stor forbruger. Hvis nogen fra CBS prøvede at presse DS, så kan jeg kun forestille mig at DS ville være ret ligeglade.

Staten er en stor forbruger af dokumenter. For staten vil det have væsentlig betydning om der blev stemt ja eller nej. Så det kunne meget vel være en der havde forbindelser til staten der har presset på.

Kunne man forestille sig, at grunden til at DS stemte "Ja" var, at "Nej-siden" havde en ualmindelig dårlig sag at argumentere for?

Nej, for så havde DS sagt at det var derfor man stemte "ja".

  • 0
  • 0
Jesper Lund Stocholm Blogger

Hans,

Udvalgsformanden informerede så medlemmerne om at "en væsentlig stor forbruger af dokumenter stemte for OOXML"

Han var nok bare direktør eller noget.

Du må da vide, hvem der har sagt det - specielt siden du bruger citationstegn omkring "citatet", så det giver indtryk af, at nogen har udtalt det.

Du skriver at udvalgsformanden har orienteret medlemmerne om noget. Det må jo i sagens natur have været på et møde eller via email. Jeg har ikke hørt dit citat af nogen - hverken på møderne eller via email.

Det kunne være, at det var Jesper Jerlang, men jeg har nu gennemlæst de interviews han har lavet, og jeg har ikke kunnet finde dit citat.

Skal jeg forstå det således, at du altså har et "citat" som du ikke ved hvem har sagt og heller ikke hvornår?

{quote]Nej, for så havde DS sagt at det var derfor man stemte "ja".[/quote]
Hvordan kan du være så sikker på det? Kan [u]du[/u] forklare mig, hvordan man kan blive ved med at insistere på et "nej", når grundlaget som jeg har beskrevet ovenfor er væk?

I øvrigt: du talte om den fortrolighedsaftale som udvalget indgik og brokkede dig over DS i den foranledning. Det er værd at bemærke, at [i]udgangspunket[/i] for udvalget på oprettelsestidspunktet var, at der var fortrolighed omkring arbejdet. Men det er noget som det enkelte udvalg selv bestemmer. I stedet for at kaste skidt på DS over et [i]udgangspunkt[/i] - hvorfor kaster du dig så ikke over "dine egne" over, at de ikke én eneste gang har fået sat et punkt på dagsordenen, der skulle afskaffe denne fortrolighed? Det er jo et ofte fremført argument, at "processen har været alt for lukket", "den er ikke gennemsigtig" og lignende. OSL, DKUUG, DTU, IBM, ORACLE og alle medlemmer i udvalget har haft mulighed for at fjerne fortrolighedsaftalen - hvorfor tror du, at de ikke har benyttet sig af den?

  • 0
  • 0
Anonym

Med stor respekt for de stærke interessekonflikter i diskussionen om dokument-standarder, så er det et sidetrack og reelt en væsentligt mindre samfundsrelevant diskussion.

Vi taler her om at DS vil have folk til at legitimere en ny "sikkerhedsstandard" ved at tage noget fra DS484 og overføre til ISO. Men eftersom DS484 er en åbenlyst fiasko - vis mig gerne et offentligt system med blot et rimeligt niveau af sikkerhed udviklet emd DS484 - er det efter min opfattelse en forkert vej at gå.

Hvad der reelt ligger bag er en process hvor standarderne misbruges af store kommercielle einteresser. Her helt konkret ser vi Google (og et par andre) i gang med at forsøge at lave udenomsparlamentarisk lovgivning så de kan fortsætte deres destrukive profileringsmaskine og blot henholde sig til en "sikkerhedsstandard".

Vi så¨det samme med misbruget af ICAO til at indfører uforsvarlig omgang med bioemtri i de pas som er i færd med et underminere sikkerheden i ikke bare pas-systemet, men generelt.

Vi kan lave samfundsgavnlige sikkerhedsstandarder, hvis vi løfter området så sikkerhed bliver semantisk interóperabelt og ikke bare en kartel-understøttende konstruktion.

Men det er ikke den proces vi taler om - og jeg tillader mig at tvivle på om man overhovedet er klar til at tage den diskussion.

Problemet er at det er en politisk diskussion der skal tages INDEN man laver lovgivning via standarder.

  • 0
  • 0
Jesper Lund Stocholm Blogger

Stephan,

Med stor respekt for de stærke interessekonflikter i diskussionen om dokument-standarder, så er det et sidetrack og reelt en væsentligt mindre samfundsrelevant diskussion.

Enig - OOXML har intet med DS484 at gøre og dokumentformat-kontroversen betyder langt mindre end nærværende artikels omdrejningspunkt eller de fleste andre af de åbne standarder, der blev "godkendt" ifbm B103.

På et eller andet tidpsunkt blev der på v2.dk opfordret til, at man ikke hijackede alle diskussioner til at diskutere OOXML (jeg har dog ikke kunnet finde artiklen lige nu) og det har jeg forøgt at huske på siden. Jeg syntes dog ikke, at Hans Schous bøvs skulle stå uimodsagt, men jeg havde dog ikke regnet med, at [u]hele[/u] debatten ville løbe ud af en tangent.

Jeg har dog ikke en kvalificeret holdning til DS484, så forvent ikke guldkorn fra min side om lige netop dette emne.

:o)

  • 0
  • 0
Jesper Lund Stocholm Blogger

id,

Herefter gik et teknisk underudvalg i gang med at bearbejde svarene fra ISO på de danske kommentarer. I sidst ende blev alle 168 kommentarer fra ISO godkendt af udvalget. Dette skete på det sidste møde inden BRM blev afholdt.

Jeg er i dag på mødet i Dansk Standard blevet blevet gjort opmærksom på, at jeg har formuleret mig forkert i ovenstående tekststump.

Formuleringen

"I sidst ende blev alle 168 kommentarer fra ISO godkendt af udvalget"

skulle have været

"I sidst ende blev alle 168 kommentarer fra ISO [i][u]accepteret[/u][/i] af udvalget"

http://www.ds.dk/da-DK/ydelser/Standardisering/S-udvalg/S-445/Documents/...

Jeg beklager.

  • 0
  • 0
Log ind eller Opret konto for at kommentere