Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 2. juli 2004.
Staten har indgået aftale med Dansk Standard om brug af selskabets it-sikkerhedsstandard. Men Rådet for it-sikkerhed kritiserer, at staten ikke satser på den internationalt anerkendte standard.
IT- og Telestyrelsen har indgået en aftale med Dansk Standard om, at hele staten kan bruge it-sikkerhedsstandarden DS484, som den private, selvejende virksomhed har udarbejdet.
Der er reelt tale om kommerciel aftale - en slags licensaftale, som tilsyneladende bringer den tættere på at blive cementeret som obligatorisk standard i staten. Videnskabsminister Helge Sander (V) siger i en pressemeddelelse, at "aftalen betyder, at vi kommer nærmere en fælles standard for it-sikkerheden i staten". Aftalen fastlægger god praksis for, hvad en organisation skal gøre for at sikre sig et it-sikkerhedsniveau, der modsvarer organisationens operationelle sikkerhed, hedder det.
Rådet for it-sikkerhed, der blev nedsat af regeringen sidste år, anser det for et fejlskøn at satse på den danske standard. Herfra anbefales den internationale ISO 17799 standard, som stiller større krav til den enkelte organisation.
- Den danske standard er blot en mulig implementering af den internationale. Den er fordansket og forenklet. Vores bekymring er, at man får stillet fundamentale spørgsmål om de enkelte institutioners risikoprofil. Den svarer til konfektionstøj i modsætning til tøj, tilpasset den enkelte, siger rådets formand, Allan Fischer-Madsen, partner i Devoteam.
Rådet forstår de pragmatiske overvejelser om DS484, men mener det ville være mere perspektivrigt at satse på den internationale ISO 17799. Og i rådet er der stadig forhåbninger om, at man kaster blikket lidt videre ud, tilføjer han.
Et dårligt valg
Carsten Heilbuth, partner hos KPMG med ansvar for it-sikkerhedsområdet, lægger ikke fingrene imellem:
- Jeg synes, den rent danske løsning er et dårligt valg. Det er begrædeligt, at man ikke går efter det rigtige, når man nu gør så stort et arbejde på it-sikkerhedsområdet, siger Carsten Heilbuth, som i øvrigt også er medlem af Rådet for it-sikkerhed.
Regeringen besluttede i januar, at der inden for tre år skal implementeres en obligatorisk it-sikkerhedsstandard for staten.
Fra IT- og Telestyrelsen påpeger Yih-Jeou Wang, kontorchef i IT-sikkerhedskontoret, at mange statsinstitutioner allerede bruger DS 484 som reference for deres sikkerhedsarbejde, og at licensaftalen med Dansk Standard gør det muligt at have den som meget konkret udgangspunkt for, hvordan den kommende obligatoriske standard kan udmøntes.
- DS484 er mere operationelt orienteret end den internationale standard, den er baseret på. Men internationalt anerkendte standarder ligger naturligvis til grund for it-sikkerhedsarbejdet. Det, vi laver, bliver til i tæt samspil med statens institutioner. Indtil videre har vi søgt at nå frem til en fælles forståelse af, hvad det indebærer at følge en it-sikkerhedsstandard. I modsætning til tekniske standarder er den jo procesorienteret og i høj grad baseret på, at man skal hjem og selv arbejde i sin organisation. Ledelsen skal overveje, hvilken risiko man er parat til at tage, og dermed hvilket konkret sikkerhedsniveau man vil opnå i organisationen.
En arbejdsgruppe er nedsat under Statens it-råd, hvor den fælles standard skal udmøntes. Her ser man eksempelvis på best practices i de forskellige statslige organisationer, siger Yih-Jeou Wang.
Billedtekst: - Det er begrædeligt, at man ikke går efter det rigtige, når man nu gør så stort et arbejde på it-sikkerhedsområdet, siger Carsten Heilbuth, partner hos KPMG og medlem af Rådet
for it-sikkerhed.
Foto: Torben Klint
boks: Om DS 484 og ISO 1779
DS 484: Dansk Standard certificerer efter sin egen standard DS 484, Norm for edb-sikkerhed, der blev etableret i 2000. Den opererer med to skabeloner, henholdsvis basale og skærpede krav, under betegnelserne DS 484-1 og DS 484-2. Den er baseret på ISO 17799.
Yderligere info: www.ds.dk
ISO 17799: Den internationale ISO 17799 fra 1993 udspringer af det britiske handels- og industriministerium og gik i slutningen af 1990'erne under betegnelsen BS7799. Siden er den blevet international med input fra mange lande. Den indebærer individuel risikoanalyse af den enkelte organisation. Et stigende antal organisationer er akkrediteret til at certificere efter den. De øvrige nordiske lande har ophøjet ISO 17799 til deres standard på området.
Yderligere info: www.17799.com
