Tekniske minimumskrav skal sikre et højt cyber- og informationssikkerhedsniveau i staten
Alle statslige myndigheder skal pr. 1. januar efterleve en række tekniske minimumskrav for at sikre et højt cyber- og informationssikkerhedsniveau.
1. oktober, 2019 - Kl. 11.00
[Oprindeligt publiceret af Center for Cybersikkerhed]
Beskyttelse af statslige arbejdspladser og af kommunikation med borgerne
Det er blevet besluttet som led i den nationale strategi for cyber- og informationssikkerhed, at alle statslige myndigheder skal efterleve en række tekniske minimumskrav.De i alt tyve krav har primært til formål at beskytte statslige it-arbejdspladser, herunder arbejdsnetværk og arbejdsstationer, mod ondsindede cyber- og informationssikkerhedshændelser som fx hackerangreb og spredning af malware.
Størstedelen af kravene følger af eksisterende vejledninger og anbefalinger på området fra Center for Cybersikkerhed, Digitaliseringsstyrelsen og Datatilsynet. De øvrige krav er udarbejdet på baggrund af udbredt best practice.
”Når de statslige myndigheder lever op til de tekniske minimumskrav, vil vi være nået et stykke vej med beskyttelsen mod ondsindede cyberangreb fra hackere, der ønsker at sprede malware, der ødelægger og forstyrrer systemerne eller kriminelle der søger økonomisk vinding. Det er i vores alles interesse,” udtaler centerchef Thomas Lund-Sørensen, Center for Cybersikkerhed.
Kravene dækker kategorierne mails, webløsninger, mobiltelefoni, klienter og netværk, og er udarbejdet med henblik på at beskytte kommunikation til og fra de statslige myndigheder.
”Som myndigheder skal vi have fokus på sikkerheden i vores it-systemer, så vi kan være med til at beskytte borgerne og virksomheder mod forsøg på svindel. Med implementering af forskellige tekniske løsninger kan vi sikre, at det ikke er muligt at misbruge en myndigheds mailadresse til at sende svindel-mails. Det er helt centralt at have fokus på sikkerheden, så borgere og virksomheder kan have tillid til kommunikationen fra myndighederne,” siger direktør for Digitaliseringsstyrelsen, Rikke Hougaard Zeberg.
Mens kravene primært angår statslige it-arbejdspladser, er der også visse krav til hjemmesider og mail-kommunikation, som har til formål at sikre borgere, virksomheder og myndigheder mod f.eks. phishing, kompromittering af oplysninger og man-in-the-middle angreb.
Anbefalede teknologier og standarder
De statslige myndigheders arbejde med cyber- og informationssikkerhed tager sit udgangspunkt i konkrete risikovurderinger i de enkelte myndigheder. Dette princip fastholdes, men det er vurderingen, at der i dag eksisterer en række teknologier og standarder mv. der er så kendte og velprøvede, at de bør betragtes som obligatoriske for alle statslige myndigheder uanset størrelse.
Minimumskravene omfatter både konkrete teknologier (herunder f.eks. DNS-SEC og DMARC), som har karakter af egentlige standarder, men også typer af teknologier inden for hvilke den enkelte myndighed har frihed til at vælge den konkrete implementering (f.eks. i forhold til kryptering og beskyttelse mod skadelige hjemmesider).
Følg eller forklar
Det vil som udgangspunkt ikke være muligt at fravige kravene. Såfremt et krav undtagelsesvist ikke bliver efterlevet, skal myndigheden kunne redegøre for årsagen hertil samt den forventede tidshorisont for implementering af kravet ud fra ’Følg eller forklar’-princippet.
Kravene er minimumskrav, som ikke fritager myndighederne fra at foretage egne risikovurderinger og implementere yderligere sikkerhedstiltag i relevant omfang.
Se listen her https://sikkerdigital.dk/myndighed/tekniske-tiltag/tekniske-minimumskrav/
Beskyttelse af statslige arbejdspladser og af kommunikation med borgerne
Det er blevet besluttet som led i den nationale strategi for cyber- og informationssikkerhed, at alle statslige myndigheder skal efterleve en række tekniske minimumskrav.De i alt tyve krav har primært til formål at beskytte statslige it-arbejdspladser, herunder arbejdsnetværk og arbejdsstationer, mod ondsindede cyber- og informationssikkerhedshændelser som fx hackerangreb og spredning af malware.
Størstedelen af kravene følger af eksisterende vejledninger og anbefalinger på området fra Center for Cybersikkerhed, Digitaliseringsstyrelsen og Datatilsynet. De øvrige krav er udarbejdet på baggrund af udbredt best practice.
”Når de statslige myndigheder lever op til de tekniske minimumskrav, vil vi være nået et stykke vej med beskyttelsen mod ondsindede cyberangreb fra hackere, der ønsker at sprede malware, der ødelægger og forstyrrer systemerne eller kriminelle der søger økonomisk vinding. Det er i vores alles interesse,” udtaler centerchef Thomas Lund-Sørensen, Center for Cybersikkerhed.
Kravene dækker kategorierne mails, webløsninger, mobiltelefoni, klienter og netværk, og er udarbejdet med henblik på at beskytte kommunikation til og fra de statslige myndigheder.
”Som myndigheder skal vi have fokus på sikkerheden i vores it-systemer, så vi kan være med til at beskytte borgerne og virksomheder mod forsøg på svindel. Med implementering af forskellige tekniske løsninger kan vi sikre, at det ikke er muligt at misbruge en myndigheds mailadresse til at sende svindel-mails. Det er helt centralt at have fokus på sikkerheden, så borgere og virksomheder kan have tillid til kommunikationen fra myndighederne,” siger direktør for Digitaliseringsstyrelsen, Rikke Hougaard Zeberg.
Mens kravene primært angår statslige it-arbejdspladser, er der også visse krav til hjemmesider og mail-kommunikation, som har til formål at sikre borgere, virksomheder og myndigheder mod f.eks. phishing, kompromittering af oplysninger og man-in-the-middle angreb.
Anbefalede teknologier og standarder
De statslige myndigheders arbejde med cyber- og informationssikkerhed tager sit udgangspunkt i konkrete risikovurderinger i de enkelte myndigheder. Dette princip fastholdes, men det er vurderingen, at der i dag eksisterer en række teknologier og standarder mv. der er så kendte og velprøvede, at de bør betragtes som obligatoriske for alle statslige myndigheder uanset størrelse.
Minimumskravene omfatter både konkrete teknologier (herunder f.eks. DNS-SEC og DMARC), som har karakter af egentlige standarder, men også typer af teknologier inden for hvilke den enkelte myndighed har frihed til at vælge den konkrete implementering (f.eks. i forhold til kryptering og beskyttelse mod skadelige hjemmesider).
Følg eller forklar
Det vil som udgangspunkt ikke være muligt at fravige kravene. Såfremt et krav undtagelsesvist ikke bliver efterlevet, skal myndigheden kunne redegøre for årsagen hertil samt den forventede tidshorisont for implementering af kravet ud fra ’Følg eller forklar’-princippet.
Kravene er minimumskrav, som ikke fritager myndighederne fra at foretage egne risikovurderinger og implementere yderligere sikkerhedstiltag i relevant omfang.
Se listen her https://sikkerdigital.dk/myndighed/tekniske-tiltag/tekniske-minimumskrav/