Informasjonssikkerhet

Difi er statens kompetansemiljø for informasjonssikkerhet. Vi jobber for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

NIFS-møte 13. februar

Informasjonssikkerhet handler om å sikre at informasjonen

  • ikke blir kjent for uvedkommende (konfidensialitet)
  • ikke blir endret utilsiktet eller av uvedkommende (integritet)
  • er tilgjengelig ved behov (tilgjengelighet)

Aktuelt

Anbefaling for transportsikring av e-post oppdatert med to nye standarder

Siden 2016 har Referansekatalogen for IT-standarder anbefalt bruk av mekanismen STARTTLS som beskrevet i standarden «SMTP Service Extension for Secure SMTP over Transport Layer Security» (RFC 3207) for transportsikring av e-post mellom e-post servere. Bruken av denne mekanismen gjør at de aller fleste e-postmeldinger i dag er sikret med kryptering når de overføres mellom e-post servere, men RFC 3207 har noen kjente sårbarheter. Det er utviklet flere løsninger som reduserer risikoen for brudd på transportsikringen og vi har derfor oppdatert anbefalingen.

Difis rolle

  • Som et tiltak i realiseringen av Nasjonal strategi for informasjonssikkerhet, har Difi fått i oppdrag å arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. I 2013 etablerte Difi et kompetansemiljø for informasjonssikkerhet.
  • Ett av fokusområdene er å styrke informasjonssikkerheten gjennom økt bruk av styringssystem for informasjonssikkerhet. I rapport 2012:15 har Difi sett på erfaringer med innføring av slike systemer, og gir råd om innføringen.
  • Difi forvalter også kravspesifikasjonen for pki i offentlig sektor. Den skal brukes ved anskaffelse av pki-baserte e-ID-løsninger i staten. Dessuten forvalter Difi rammeverket for autentisering og uavviselighet  i elektronisk kommunikasjon med og i offentlig sektor. Rammeverket fastsetter veiledende risiko- og sikkerhetsnivå for identitetskontroll og bevissikring.
  • Difi tilbyr dessuten sikkerhetsløsninger for forvaltningen. ID-porten er en felles innloggingsløsning for offentlig sektor, som muliggjør innlogging på høyt eller mellomhøyt sikkerhetsnivå.

Kontakt