Veiledere for etterlevelse av fire sikkerhetsstandarder

For å øke graden av etterlevelse for sikkerhetsrelaterte anbefalinger i Referansekatalogen for IT-standarder, har vi laget to veiledere.

Publisert: 17. des 2019, Sist endret: 17. des 2019

I 2018 ble det lagt inn to nye sikkerhetsrelaterte forvaltningsstandarder som anbefalinger i Referansekatalogen, og to av de eksisterende standardene ble oppdatert. 

De fire aktuelle forvaltningsstandardene er:

  • Anbefalte standarder for sikker datakommunikasjon
  • Anbefalt standard for transportsikring av e-post
  • Anbefalte standarder for å motvirke falske avsendere av e-post
  • Anbefalte standarder for sikker bruk av domenenavnsystemet

Årsaken til at vi har laget to veiledere er at etablering av tekniske tiltak for å etterleve standardene og test av at tjenester over tid faktisk etterlever standardene er to selvstendige oppgaver.

Veilederne er tilpasset en målgruppe med IT-kompetanse og skal være et hjelpemiddel i forbindelse med anskaffelser, tjenesteutsetting og drift og vedlikehold av egen IKT-infrastruktur. Vi har ikke kopiert tekst fra de tekniske spesifikasjonene hver forvaltningsstandard består av, men viser til de originale dokumentene. Dette gjøres for å fange opp feilrettinger og endringer som gjøres fortløpende av organisasjonen Internet Engineering Task Force (IETF) som fastsetter de tekniske standardene.

Forsvar i dybden

Vær oppmerksom på at et teknisk sikkerhetstiltak i seg selv ikke er noen garanti mot en uønsket hendelse. De er alle tiltak som reduserer en risiko og som må suppleres med andre tiltak for å redusere risikoen ytterligere. Dette kan være tekniske, menneskelige eller organisatoriske tiltak. Når det opprettes flere barrierer på forskjellige nivåer som hver for seg reduserer risikoen for en uønsket hendelse kalles det gjerne forsvar i dybden. Dette regnes som god praksis for å øke sikkerheten også i digitale systemer.

Om referansekatalogen for IT-standarder

Samstemt bruk av IT-standarder for digitale tjenester i offentlig forvaltning kan bidra til at tjenestene blir tilgjengelige for alle, brukervennlige, universelt utformet og sikre. Referansekatalogen for IT-standarder er en oversikt over IT-standarder som er obligatoriske eller anbefalte for offentlig sektor. Standardene kan være tekniske, semantiske eller organisatoriske, og er sortert etter aktuelle bruksområder. Katalogen samler tverrsektorielle krav til bruk av IT-standarder på ett sted, og lenker også til sektorspesifikke oversikter, som e-Helses referansekatalog.

En obligatorisk standard skal følges med mindre du kan vise til en unntaksordning i forskrift. En anbefalt standard skal følges med mindre du har gode grunner til ikke å følge den.

 

Deldette

Kontakt