Veiledere for etterlevelse av fire sikkerhetsstandarder - etablering og testing
For å øke graden av etterlevelse for fire sikkerhetsrelaterte standarder i Referansekatalogen for IT-standarder, har vi laget to veiledere. Den ene er en veileder for å etablere tekniske tiltak for å etterleve standardene, og den andre er en veileder for å teste etterlevelsen over tid.
Standardene i Referansekatalogen for IT-standarder kalles også forvaltningsstandarder. Hver forvaltningsstandard viser til en eller flere tekniske standarder og har gjerne en kort beskrivelse av hvordan de tekniske standardene skal brukes sammen.
De fire aktuelle forvaltningsstandardene er:
- Anbefalte standarder for sikker datakommunikasjon
- Anbefalt standard for transportsikring av e-post
- Anbefalte standarder for å motvirke falske avsendere av e-post
- Anbefalte standarder for sikker bruk av domenenavnsystemet
Samstemt bruk av IT-standarder for digitale tjenester i offentlig forvaltning kan bidra til at tjenestene blir tilgjengelige for alle, brukervennlige, universelt utformet og sikre. Referansekatalogen for IT-standarder er en oversikt over IT-standarder som er obligatoriske eller anbefalte for offentlig sektor. Standardene kan være tekniske, semantiske eller organisatoriske, og er sortert etter aktuelle bruksområder. Katalogen samler tverrsektorielle krav til bruk av IT-standarder på ett sted, og lenker også til sektorspesifikke oversikter, som e-Helses referansekatalog.
En obligatorisk standard skal følges med mindre du kan vise til en unntaksordning i forskrift. En anbefalt standard skal følges med mindre du har gode grunner til ikke å følge den.
To veiledere
Vi har laget to veiledere fordi etablering av tekniske tiltak for å etterleve standardene og test av at tjenester over tid faktisk etterlever standardene, er to selvstendige oppgaver.
Veilederne er tilpasset en målgruppe med IT-kompetanse og er et hjelpemiddel i forbindelse med anskaffelser, tjenesteutsetting, og drift og vedlikehold av egen IKT-infrastruktur.
Vi har ikke kopiert tekst fra de tekniske spesifikasjonene hver forvaltningsstandard består av, men viser til de originale dokumentene. Dette gjøres for å fange opp feilrettinger og endringer som gjøres fortløpende av organisasjonen Internet Engineering Task Force (IETF) som fastsetter de tekniske standardene.
Forsvar i dybden
Vær oppmerksom på at et teknisk sikkerhetstiltak i seg selv ikke er noen garanti mot en uønsket hendelse. De er alle tiltak som reduserer en risiko og som må suppleres med andre tiltak for å redusere risikoen ytterligere. Dette kan være tekniske, menneskelige eller organisatoriske tiltak. Når det opprettes flere barrierer på forskjellige nivåer som hver for seg reduserer risikoen for en uønsket hendelse kalles det gjerne forsvar i dybden. Dette regnes som god praksis for å øke sikkerheten også i digitale systemer.