Ekspert: 'Sikkerhedsstandarden DS484 er noget pjat'

Siden 1. januar 2008 har alle i staten skulle køre it-sikkerhed efter standarden DS484. Nu begynder nogle virksomheder at følge trop, men rådgiver mener, at virksomhederne skal holde sig fra DS484.

Da Folketinget i 2004 besluttede at indføre åbne standarder i alle statslige organer, var sikkerhedsreglementet DS484 med i pakken. Inden 1. januar 2008 skulle den være indført i alle dele af staten, og flere kommuner og virksomheder har fulgt trop.

Men det er ikke smart for virksomhederne at bruge en ren dansk standard, mener Lars Neupart, direktør i rådgivningsfirmaet Neupart, der arbejder med compliance og standarder.

Han anbefaler virksomheder at bruge ISO-standarderne 27001 og 27002 i stedet for DS484, fordi det er noget udenlandske partnere kan genkende og forstå.

»Jeg synes, det er noget pjat med en dansk standard. I en globaliseret verden skal vi hellere have danske udgaver af de internationale standarder. Vores nabolande opfinder heller ikke deres egne standarder for it-sikkerhed,« siger Lars Neupart.

Derudover synes han, at ISO-standarderne giver mere fleksibilitet.

»Man tog to ISO-standarder og gjorde den til én dansk, da man skabte DS484. Og samtidigt fjernede man fleksibiliteten. Hvis du er en lille virksomhed, har du ikke brug for det samme som en stor virksomhed, for eksempel i forhold til funktionsadskillelse, hvor databaseadministratoren ikke må se dataene,« siger Lars Neupart.

Læser for snævert

Specialkonsulent i IT- og Telestyrelsen Lars Thomsen mener, at mange læser DS484 for snævert og for bogstaveligt.

»Nogle har syntes, det var for rigidt, navnlig de små organisationer. Men det hænger også sammen med, at nogle har været for stramme i deres tolkning af ordlyden. Det er vigtigt at huske at bruge væsentlighedskriteriet og se på, hvilke punkter der har betydning for ens organisation,« siger han.

I statslig sammenhæng fornemmer han, at tilfredsheden med at bruge DS484 stiger hen ad vejen.

»Jeg tror efterhånden, at de fleste har fået en bedre forståelse for standardens ånd. Efterhånden som den er indført og deres it-processer modnes, kan de godt se ræson i det. Og nogle begynder også at bruge standarden på andre processer end it-sikkerhed,« siger Lars Thomsen.

Inden for staten glæder han sig over, at der er kommet en dansk standard, som alle nu skal følge.

»Når vi sender fra institution til institution er det en fordel, at alle følger samme standard. Det ville være vanskeligere, hvis nogle brugte ISO, andre brugte ITIL og så videre,« siger Lars Thomsen.

DS484 er en danskudviklet standard for it-sikkerhed og dækker som en slags checkliste alt fra risikovurdering af systemerne i forhold til, hvor kritiske de er for organisationen, til muligheden for fysisk adgang til serverrummene. Læs mere om standarden i det eksterne link herunder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jan E. Sørensen

Det er rigtigt, at der for længe siden blev lavet en dansk variant (DS484) af en gammel ISO standard (ISO-17799), der for længst er udgået.

Det er meget navlebeskuende at holde sig til en gammel dansk standard, når der eksisterer moderne opdaterede internationale standarder for samme område. Verden bliver mindre og mindre, og vi kommer til at arbejde mere og mere internationalt.

Så det virker som om staten ønsker at holde liv i Dansk Standard i stedet for at holde liv i en moderne statsadministration.

MVH Jan - der har implementeret begge standarder hos kunder.

  • 0
  • 0
#4 Michael Steenfeldt

DS484 indikerer at virksomheden har vurderet en tidsvarende IT-politik! - At alle dokumenter gemmes krypteret (LDAP) Og derved evt. fortrolige oplysninger ikke umiddelbart er tilgængelige for uvedkommende - må da være rimeligt betryggende!!

Enhver (rådgivende) ingeniør tør stole på at Dansk Standard er iorden og rimelig up-to-date.

ISO er tungt og dyrt

Hvad er bedre end ingen standard?

  • 0
  • 0
#5 Lars Hansen

At alle dokumenter gemmes krypteret (LDAP)

Hvad er det præcis du mener med LDAP i den sammenhæng?

Og derved evt. fortrolige oplysninger ikke umiddelbart er tilgængelige for uvedkommende - må da være rimeligt betryggende!!

Det er da også betryggende. Men nu er der jo meget mere til DS484 end lige det - og beskyttelse af dokumenter kunne man vel sagtens opnå uden en DS484.

  • 0
  • 0
#7 Jonas Finnemann Jensen

Tror I ikke at det er muligt at problemet er at valg af specifikke standarter, som f.eks. denne, er foretaget af folketinget.

Specielt fordi folketinget er normalt sætter en stor tidsgrænse hvornår standarten skal være implementeret... Hvilket betyder at nyere og bedre standarter bliver udviklet.

Var løsningen ikke at man istedet gjorde valg af specifikke standarter og løsninger på problemer til at administrativ opgave. Og overlod det til politikerne at lave politik, nemlig hvilke problemer der skal løses og hvordan de skal prioriteres etc...

  • 0
  • 0
#9 Stig Johansen

Tror I ikke at det er muligt at problemet er at valg af specifikke standarter, som f.eks. denne, er foretaget af folketinget.

Nej, DS484 er kommet til som en anbefaling fra VTU/ITST og eller XML-projeketet/Digitale taskforce (been there).

Det var eet stort samrbejde, så jeg ved ikke rigtig hvem der var hvem.

Der blev kigget på ISO-17799 også. Beslutningskriteriet for DS484 kender jeg ikke i detaljer.

Men hele projektet/projekterne går ud på man skal have fælles fordslag inden for hele den offentlige sektor med henblik på vidensdeling og samarbejde.

Det er principielt ligegyldigt om det er den ene eller den anden - fælles er nøgleordet. Deraf følger gevinster ved erfaringsudveksling og samarbejde.

Den tid hvor alle offentlige institutioner 'konkurrerede' med hinanden er forbi.

Hvis man mener DS484 ikke er fyldestgørende, så er det mere hensigtsmæssigt at 'opgradere' den fremfor at skifte hest, og fragmetere den offentlige sektor (igen).

  • 0
  • 0
#10 Michael Steenfeldt

LDAP is a protocol designed to allow quick, efficient searches of directory services. Built around Internet technologies, LDAP makes it possible to easily update and query directory services over standard TCP/IP connections, and includes a host of powerful features - including security, access control, data replication and support for Unicode.

  • er det "fortælling" nok?
  • 0
  • 0
#11 Anonym

Megen af bevæggrunden bag en standard som DS 484 er at vaske hænder. Ansvaret er decentraliseret uden at indflydelsen eller muligheden for at løse problemerne følger med. Derfor falder sikkerhedsniveauet kraftigt i den offentlige sektor samtidig med at omkostningerne og tiden brugt på at beskæftige sig med sikkerhed stiger.

Det er f.eks. diskuteret her. http://www.computerworld.dk/brugerblog/39695/9746?a=block&i=160

Man kan jo bare se på Finansministeiet og VTU selv. Når de gang på gang laver single-point-of-failure systemer hvor kontrollen ligger alle andre steder end hos dem som mærker problemerne, så går det galt.

DanId, portalerne, dokumentboks, embedsfolkenes "adgang til data", nem-kontrol etc. etc. Alt sammen sikkerhedsmæssigt destruktivt uden nogen form for værdiskabelse udover at give embedsfolkene mere magt for magtens egen skyld.

  • 0
  • 0
#12 Klavs Klavsen
  • At alle dokumenter gemmes krypteret (LDAP)

som standard bruger f.ex.openldap (en meget udbredt ldap implementation) IKKE en krypteret storage backend. Så at anvende LDAP er IKKE nogen garanti for at data gemmes krypteret (det er enddog meget usandsynligt at de bliver det).

OpenLDAP og mange andre, understøtter dog ldaps kommunikation, så man kan kommunikere med ldap serveren krypteret (LDAP+SSL). Bemærk man KAN - bare fordi der anvendes LDAP - betyder det bestemt ikke at der anvendes nogen form for kryptering.

Jeg har f.ex. konstateret at Xerox kopimaskiner, der kan sættes op til at slå div. brugerdata op i et AD eller anden LDAP server og iflg. deres tekniker var den "sikkerhedsgodkendt" efter høje amerikanske standarder, ikke anvender nogen form for kryptering (andet end https til webinterfacet til den). For at lukke munden på teknikeren, sniffede jeg trafikken fra den (med et test brugernavn/kodeord til AD'et) og så var det ligesom bevist at den KUN snakkede LDAP, uden kryptering og efter nærmere eftersyn fandt jeg at den slet ikke understøttede LDAPS eller i det mindste LDAP+TLS.

Meget ringe implementation hvis du spørger mig.

  • 0
  • 0
#13 Stig Johansen

Det kunne være man skulle læse overskriften 'ordentligt'.

Det er nok 5 år siden DS484 blev valgt som den standard man anbefalede at læne sig op ad.

At der skulle gå så lang tid før det blev et 'krav' at indføre en sikkerhedspolitik vidner nok lidt om den enorme inerti der ligger i at 'geare' om inden for den offentlige sektor.

Husk at man startede med et totalt anarkistisk 'landskab' uden nogen form for sikkerhedspolitik.

  • 0
  • 0
#14 Anonym

"At der skulle gå så lang tid før det blev et 'krav' at indføre en sikkerhedspolitik vidner nok lidt om den enorme inerti der ligger i at 'geare' om inden for den offentlige sektor.

Husk at man startede med et totalt anarkistisk 'landskab' uden nogen form for sikkerhedspolitik."

Politiken er jo værdiløs hvis den ikke sikrer men blot tjener til formål at placere ansvar.

  • 0
  • 0
#15 Stig Johansen

Politiken er jo værdiløs hvis den ikke sikrer men blot tjener til formål at placere ansvar.

Jeg forstår ikke din kommentar. Måske er det forkert at kalde det anarkistisk.

Men hvis vi spoler tilbage til omkring årtusindeskiftet hvor vi inførte Navision Stat, havde mange (statslige) institutioner kun '3270-systemet' samt Officepakke.

På det gamle økonomisystem m.m. lå det hele hos CSC, der centralt stod for sikkerheden.

De IT medarbejdere, der nu skulle til at have ansvar for deres egne systemer, havde ikke noget forhold til sikkerhed.

I det projekt blev der dog udarbejdet sikkerhedsinstrukser til hver enkelt institution, der skulle godkendes af Rigsrevisionen.

Så jo, ansvaret er skam placeret.

Sikkerhed er ikke kun sikring mod angreb, vira osv. Det omhandler også 'forsyningssikkerhed', indretning af serverrum,fysisk adgang m.m.

Jeg har selv besøgt 200+ IT afdelinger i staten, og nogle af serverrummene ville jeg nok karaterisere som 'kosteskab'.

Men pointen var, at de kom fra - lad os kalde det ingen/'heterogene' sikkerhedspolitikker, idet de omtalte sikkerhedsinstrukser var mere eller mindre indivduelle i stedet for at tage udgangspunkt i f.eks. DS484.

  • 0
  • 0
#16 Anonym

Det at have en sikkerhedspolitik skaber ikke sikkerhed. Det afhænger af indholdet.

DDR havde også en økonomisk politik, men det skabte ikke god økonomi. Det havde været bedre ikke at have en politik overhovedet.

Rusland og Kina har også valg, men det skaber ikke demokrati. Nogen vil mene at det legitimerer magtmisbruget.

Omkring CSCs og ministeriernes "kosteskabe". Server-side sikkerhed er døende og giver ikke mening i en totalt integreret verden - i den gammeldags forståelse med "CSC tog sig af sikkerheden" akkumulerer risikoen helt ud af kontrol fordi angreb og fejl skalerer.

Decentral sikkerhed er nød til at blive bedre så det ikke skabe åbne indgange til (totalt usikrede) centrale systemer. Hovedaspekter er her at kontrollen skal flyttes helt ud til den enkelte PERSON med tæt fokus på at minimere damage ved failure uanset årsag - og ikke bare ansvarliggørelse af brugerrollen som vist er den simpleste beskrivelse af det nuværende makværk af en statlig sikkerhedspolitik.

Der er intet galt i at have en standard for hvordan man skaber sikkerhedspolitikker med gode eksempler og best practise indbygget. Alt andet lige er det glimrende.

Men DS484 bygger på en før-internet "stol på mig" systemtankegang og er dermed farligere end ingen standard - fokus er de facto på at maksimere central kontrol istedet for at minimere og forebygge risici.

En stor del af problemet stammer fra den administrative selvforståelse som fokuserer på kontrol over overvågning, men den tekniske sikkerhedsforståelse er ikke meget at skrive hjem om. Man glemmer det fundamentale at forebygge skalerende problemer - hvis serverens sikkerhed ryger med de modeller vi pt. ser, så ryger alles sikkerhed.

Se på DanId som et skrækeksempel på hvad man absolut ikke MÅ gøre - med må mener jeg både juridisk, økonomisk og sikkerhedsmæssigt. Finansministeriets "adgang til data" er et andet eksempel på åbenlys fejldesign men hvor applikationslaget dikterer fejlsdesign de underliggende lag.

Se på Skat, se på hospitalerne, se på bankerne. Hvad sker der når angriberne kommer indenfor dørene - og er de ikke allerede det? I Danmark spilder vi måske langt flere penge på ineffektiviserende central statslig planøkonomisk styring end samtlige kriminelle handlinger tilsammen.

Man er nødt til at se sikkerhed bredere end som mistillid til mennesker.

  • 0
  • 0
#17 Kurt Bjernemose

Hvis ikke regeringen havde besluttet, at statsinstitutioner pr. den 1. januar 2007! skulle efterleve sikkerhed i informationshåndteringen efter dansk standard DS484, var vi ikke nået så langt, som vi rent faktisk er. Om man i dag vælger at følge DS484:2005 eller ISO17799:2005 synes jeg er mindre væsentligt. Det er min klare opfattelse, efter at have parallellæst begge standarder, at vælger man at følge DS484:2005 kan man også med god samvittighed sige at ISO17799:2005 efterleves, mens det omvendte ikke er tilfældet. Generelt synes jeg, at DS484:2005 er en særdeles god og brugbar standard for håndtering af informationssikkerheden, men den skal bruges med fornuft, som Dansk Standard meget rigtigt også påpeger andet sted. At en sikkerhedsekspert udtaler, at det er pjat, at bruge DS484, men at man i stedet skal bruge den nye ISO 27000 serie, tager jeg som udtryk for en journalistisk uheldig formulering. Informationssikkerhed er ikke pjat, om det så er at følge den gamle eller de nye standards, og selvfølgelig skal man bruge de nye hvis muligheden er til stede.

  • 0
  • 0
#18 Deleted User

Lars Neupart har naturligvis ret til at fremme sine egne holdninger til sikkerhedsstandarder, men han har tilsyneladende overset en fundamental ide med DS 484:2005, og hans henvisning til funktionsadskillelse viser, at han ikke har læst standarden ordentligt.

Den danske standard kræver ikke, at en lille virksomhed for en hver pris implementerer funktionsadskillelse. Der står helt klart i pkt. ”10.1.3 Funktionsadskillelse”: ” Hvis funktionsadskillelse ikke kan gennemføres i eksempelvis mindre virksomheder, skal der iværksættes kompenserende kontrolforanstaltninger, fx overvågning, logning eller lignende”

Dette afspejler netop, at der i den danske standard er taget højde for, at det ikke er alle tiltag, der er relevante for alle størrelser af organisationer.

Flere af kommentarerne herinde afspejler desuden klar mangel på viden om DS 484, ISO 17799 og 27002. F.eks. er det åbenbart ikke gået op for flere, at ISO 27002 er præcis mangen til ISO 17799, man har blot omdøbt den i forbindelse med indførslen af den nye serie af sikkerhedsstandarder.

Lars Neupart har ret i, at en international standard som 17799/27002 er mere fleksibel. Men det skyldes alene, at denne alene nævner en række kontrolforanstaltninger, man kan vælge at implementere, den beskriver ikke, hvad man skal implementere.

Hvis en organisation skriver, at de følger ISO 27002 ved man derfor reelt ikke noget som helst om denne organisations it-sikkerhedsniveau, før man har læst en dokumentation for, hvilke kontrolforanstaltninger de har valgt og fravalgt at implementere.

Hvis en organisation derimod skriver, at de lever op til DS 484:2005, så ved man, at de har implementeret de ”sikrings- og kontrolforanstaltninger, der i henhold til god praksis bør være grundlaget for informationssikkerheden i enhver virksomhed.” Man ved samtidigt, at den følger it-sikkerhedskrav fra dansk lovgivning vedr. bl.a. persondata og bogføring, fordi krav herfra er indarbejdet i standarden. Hvis man fulgte ISO 17799 med den frie valg mht. implementering af kontrolforanstaltninger, ville man efterfølgende skulle kontrollere, om man levede op til dansk lovgivning.

Og det behøver ikke at være så vanskeligt. Som der også står i DS 484:2005: ” Langt de fleste af disse foranstaltninger vil sandsynligvis allerede være etableret, om end måske ikke videre systematisk og struktureret. Her vil standarden være en god hjælp som checkliste ved en systematisk gennemgang.”

Endeligt burde det være klart for enhver, der har læst DS 484:2005 og ISO 17799/27002, at hvis man overholder den danske standard, vil man også overholde så godt som hele den internationale standard. Samtidigt er det gjort let at lave et mapningsdokument, der viser, hvilke dele af den internationale standard, man har valgt at implementere, idet "Standarden tager sit udgangspunkt i ISO/IEC 17799:2005, Code of Practice for Information Security Management. Standarden er udarbejdet på en sådan måde, at det er muligt at referere mellem de to dokumenter"

Uanset om man er en del af det offentlige Danmark eller en er en virksomhed, får derfor det bedste resultat på den letteste måde ved at implementere DS 484 først og evt. lave en mapning til ISO-standarden bagefter. At fortælle sine kunder noget andet er ikke bare noget "pjat", det er dårlig rådgivning.

  • 0
  • 0
Log ind eller Opret konto for at kommentere