Standard for informationssikkerhed - medarbejdere.au.dkmedarbejdere.au.dk/fileadmin/Resources/dmuintranet/Udvalg og moder... · DS/EN 5414. osv. Hvis der efter nr. er angivet et

Dansk standard

DS 484

1. udgave

2005-09-20

Standard for informationssikkerhed

Code of practice for information security management

ak

Eksemplar til brug i staten

DS-publikationstyper Dansk Standard udgiver forskellige publikationstyper. Typen på denne publikation fremgår af forsiden. Der kan være tale om: Dansk standard

• standard, der er udarbejdet på nationalt niveau, eller som er baseret på et andet lands nationale standard, eller • standard, der er udarbejdet på internationalt og/eller europæisk niveau, og som har fået status som dansk standard

DS-information • publikation, der er udarbejdet på nationalt niveau, og som ikke har opnået status som standard, eller • publikation, der er udarbejdet på internationalt og/eller europæisk niveau, og som ikke har fået status som standard, fx en

teknisk rapport, eller • europæisk præstandard DS-håndbog • samling af standarder, eventuelt suppleret med informativt materiale

DS-hæfte • publikation med informativt materiale

Til disse publikationstyper kan endvidere udgives

• tillæg og rettelsesblade DS-publikationsform Publikationstyperne udgives i forskellig form som henholdsvis

• fuldtekstpublikation (publikationen er trykt i sin helhed) • godkendelsesblad (publikationen leveres i kopi med et trykt DS-omslag) • elektronisk (publikationen leveres på et elektronisk medie)

DS-betegnelse Alle DS-publikationers betegnelse begynder med DS efterfulgt af et eller flere præfikser og et nr., fx DS 383, DS/EN 5414 osv. Hvis der efter nr. er angivet et A eller Cor, betyder det, enten at det er et tillæg eller et rettelsesblad til hovedstandarden, eller at det er indført i hovedstandarden. DS-betegnelse angives på forsiden. Overensstemmelse med anden publikation: Overensstemmelse kan enten være IDT, EQV, NEQ eller MOD

• IDT: Når publikationen er identisk med en given publikation. • EQV: Når publikationen teknisk er i overensstemmelse med en given publikation, men

præsentationen er ændret. • NEQ: Når publikationen teknisk eller præsentationsmæssigt ikke er i overensstemmelse med en

given standard, men udarbejdet på baggrund af denne. • MOD: Når publikationen er modificeret i forhold til en given publikation.

DS 484:2005 København DS projekt: M205538 ICS: 35.020; 35.040 Første del af denne publikations betegnelse er: DS, hvilket betyder, at det er en standard udarbejdet på nationalt niveau. DS-publikationen er på dansk. Denne publikation erstatter: DS 484-1:2000 og DS 484-2:2000.

BRUG AF DS 484 I STATEN

IT- og Telestyrelsen har indgået en aftale med Dansk Standard om brug af sikkerhedsstandarden DS 484 i staten.

Aftalen giver alle statsinstitutioner ret til at benytte DS 484 i forbindelse med institutionernes sikkerhedsarbejde.

Du må:

� Frit benytte DS 484, så længe brugen af standarden (samlet eller dele deraf) benyttes i forbindelse med statens al-mindelige arbejde. Standarden kan fx benyttes som grundlag for en udarbejdelse af en institutionsspecifik vej-ledning.

� Offentliggøre det arbejde, hvor standarden (samlet eller dele deraf) har været benyttet, når det sker som led i ud-førelsen af statens almindelige arbejde. Det er fx tilladt at offentliggøre en sikkerhedspolitik på institutionenshjemmeside med citater fra DS 484.

� Tage kopier af standarden, både elektronisk og fysisk, så længe kopien bliver i en statslig institution. Modtagereaf kopier af standarden skal gøres opmærksomme på denne aftale.

Du må ikke:

� Distribuere standarden til brugere uden for staten.

� Offentliggøre standarden (fx på en hjemmeside) i oprindelig form eller i en form, hvorfra standarden let kan gen-dannes.

Dette eksemplar af standarden er identisk med DS 484, 1. udgave 2005-09-20, med undtagelse af forsiden og denneside.

Hvis du er i tvivl om brugen af standarden, er du velkommen til at kontakte:

IT- og TelestyrelsenIT-sikkerhedskontoretHolsteinsgade 632100 København ØTlf. 3545 0000E-mail: [email protected]

DS 484:2005

Indholdsfortegnelse

Forord.................................................................................................................................................................................... 7

0 Indledning ................................................................................................................................................................... 80.1 Hvad er informationssikkerhed? ................................................................................................................... 80.2 Hvorfor er informationssikkerhed nødvendig?........................................................................................... 80.3 Formulering af sikkerhedsbehov .................................................................................................................. 80.4 Opgørelse af sikkerhedsbehov...................................................................................................................... 80.5 Valg af sikringsforanstaltninger..................................................................................................................... 90.6 Det basale udgangspunkt............................................................................................................................... 90.7 Kritiske succesfaktorer .................................................................................................................................... 90.8 Virksomhedens specifikke sikkerhedsretningslinjer .................................................................................. 10

1 Formål .......................................................................................................................................................................... 11

2 Termer og definitioner ............................................................................................................................................. 122.1 Ordforklaring.................................................................................................................................................... 122.2 Tilknyttede standarder med videre............................................................................................................... 19

3 Standardens opbygning .......................................................................................................................................... 21

4 Risikovurdering og -håndtering ............................................................................................................................. 224.1 Vurdering af sikkerhedsrisici.......................................................................................................................... 224.2 Risikohåndtering.............................................................................................................................................. 22

5 Overordnede retningslinjer ..................................................................................................................................... 235.1 Informationssikkerhedsstrategi..................................................................................................................... 23

5.1.1 Formulering af en informationssikkerhedspolitik....................................................................... 235.1.2 Løbende vedligeholdelse ............................................................................................................... 23

6 Organisering af informationssikkerhed................................................................................................................ 256.1 Interne organisatoriske forhold..................................................................................................................... 25

6.1.1 Ledelsens rolle ................................................................................................................................. 256.1.2 Koordinering af informationssikkerhed ....................................................................................... 256.1.3 Ansvarsplacering............................................................................................................................. 266.1.4 Godkendelsesprocedure ved anskaffelser................................................................................... 266.1.5 Tavshedserklæringer ...................................................................................................................... 276.1.6 Kontakt med myndigheder ............................................................................................................ 276.1.7 Fagligt samarbejde med grupper og organisationer ................................................................. 276.1.8 Periodisk opfølgning ....................................................................................................................... 28

6.2 Eksterne samarbejdspartnere........................................................................................................................ 286.2.1 Identifikation af risici i forbindelse med eksternt samarbejde................................................... 286.2.2 Sikkerhedsforhold i relation til kunder.......................................................................................... 296.2.3 Samarbejdsaftaler ........................................................................................................................... 30

7 Styring af informationsrelaterede aktiver............................................................................................................ 327.1 Identifikation af og ansvar for informationsrelaterede aktiver.................................................................. 32

7.1.1 Fortegnelse over informationsaktiver .......................................................................................... 327.1.2 Ejerskab............................................................................................................................................. 327.1.3 Accepteret brug af aktiver............................................................................................................... 33

7.2 Klassifikation af informationer og data ........................................................................................................ 337.2.1 Klassifikation .................................................................................................................................... 337.2.2 Mærkning og håndtering af informationer og data.................................................................... 34

8 Medarbejdersikkerhed ............................................................................................................................................. 358.1 Sikkerhedsprocedure før ansættelse............................................................................................................ 35

8.1.1 Opgaver og ansvar .......................................................................................................................... 358.1.2 Efterprøvning ................................................................................................................................... 358.1.3 Aftale om ansættelse ...................................................................................................................... 36

8.2 Ansættelsesforholdet...................................................................................................................................... 368.2.1 Ledelsens ansvar ............................................................................................................................. 378.2.2 Uddannelse, træning og oplysning om informationssikkerhed............................................... 378.2.3 Sanktioner......................................................................................................................................... 37

8.3 Ansættelsens ophør........................................................................................................................................ 388.3.1 Ansvar ved ansættelsens ophør.................................................................................................... 388.3.2 Returnering af aktiver...................................................................................................................... 38

3

DS 484:2005

8.3.3 Inddragelse af rettigheder .............................................................................................................. 39

9 Fysisk sikkerhed......................................................................................................................................................... 409.1 Sikre områder .................................................................................................................................................. 40

9.1.1 Fysisk afgrænsning ......................................................................................................................... 409.1.2 Fysisk adgangskontrol .................................................................................................................... 409.1.3 Sikring af kontorer, lokaler og udstyr............................................................................................ 419.1.4 Beskyttelse mod eksterne trusler .................................................................................................. 419.1.5 Arbejdsmæssige forhold i sikre områder .................................................................................... 419.1.6 Områder til af- og pålæsning med offentlig adgang.................................................................. 42

9.2 Beskyttelse af udstyr ....................................................................................................................................... 429.2.1 Placering af udstyr........................................................................................................................... 429.2.2 Forsyningssikkerhed ....................................................................................................................... 439.2.3 Sikring af kabler ............................................................................................................................... 439.2.4 Udstyrs og anlægs vedligeholdelse.............................................................................................. 449.2.5 Sikring af udstyr uden for virksomhedens overvågning ........................................................... 449.2.6 Sikker bortskaffelse eller genbrug af udstyr ................................................................................ 449.2.7 Fjernelse af virksomhedens informationsaktiver........................................................................ 45

10 Styring af netværk og drift ...................................................................................................................................... 4610.1 Operationelle procedurer og ansvarsområder ........................................................................................... 46

10.1.1 Driftsafviklingsprocedurer.............................................................................................................. 4610.1.2 Ændringsstyring.............................................................................................................................. 4610.1.3 Funktionsadskillelse ........................................................................................................................ 4710.1.4 Adskillelse mellem udvikling, test og drift ................................................................................... 47

10.2 Ekstern serviceleverandør.............................................................................................................................. 4710.2.1 Serviceleverancen ........................................................................................................................... 4810.2.2 Overvågning og revision af serviceleverandøren....................................................................... 4810.2.3 Styring af ændringer hos ekstern serviceleverandør................................................................. 48

10.3 Styring af driftsmiljøet .................................................................................................................................... 4910.3.1 Kapacitetsstyring ............................................................................................................................. 4910.3.2 Godkendelse af nye eller ændrede systemer.............................................................................. 49

10.4 Skadevoldende programmer og mobil kode.............................................................................................. 5010.4.1 Beskyttelse mod skadevoldende programmer........................................................................... 5010.4.2 Beskyttelse mod mobil kode.......................................................................................................... 50

10.5 Sikkerhedskopiering ....................................................................................................................................... 5110.5.1 Sikkerhedskopiering........................................................................................................................ 51

10.6 Netværkssikkerhed.......................................................................................................................................... 5110.6.1 Netværket ......................................................................................................................................... 5210.6.2 Netværkstjenester ........................................................................................................................... 52

10.7 Databærende medier...................................................................................................................................... 5210.7.1 Bærbare datamedier ....................................................................................................................... 5210.7.2 Destruktion af datamedier.............................................................................................................. 5310.7.3 Beskyttelse af datamediers indhold.............................................................................................. 5310.7.4 Beskyttelse af systemdokumentation........................................................................................... 54

10.8 Informationsudveksling.................................................................................................................................. 5410.8.1 Informationsudvekslingsretningslinjer og -procedurer............................................................. 5410.8.2 Aftaler om informationsudveksling.............................................................................................. 5510.8.3 Fysiske datamediers sikkerhed under transport ......................................................................... 5610.8.4 Elektronisk post og dokumentudveksling.................................................................................... 5610.8.5 Virksomhedens informationssystemer........................................................................................ 57

10.9 Elektroniske forretningsydelser..................................................................................................................... 5710.9.1 Elektronisk handel ........................................................................................................................... 5710.9.2 Onlinetransaktioner......................................................................................................................... 5810.9.3 Offentligt tilgængelige informationer........................................................................................... 58

10.10 Logning og overvågning................................................................................................................................ 5910.10.1 Opfølgningslogning ........................................................................................................................ 5910.10.2 Overvågning af systemanvendelse .............................................................................................. 5910.10.3 Beskyttelse af log-oplysninger....................................................................................................... 6010.10.4 Administrator- og operatørlog....................................................................................................... 6110.10.5 Fejllog................................................................................................................................................ 6110.10.6 Tidssynkronisering.......................................................................................................................... 61

11 Adgangsstyring.......................................................................................................................................................... 6211.1 De forretningsmæssige krav til adgangsstyring......................................................................................... 62

4

DS 484:2005

11.1.1 Retningslinjer for adgangsstyring................................................................................................. 6211.2 Administration af brugeradgang................................................................................................................... 62

11.2.1 Registrering af brugere................................................................................................................... 6311.2.2 Udvidede adgangsrettigheder....................................................................................................... 6311.2.3 Adgangskoder.................................................................................................................................. 6411.2.4 Periodisk gennemgang af brugernes adgangsrettigheder ....................................................... 64

11.3 Brugernes ansvar ............................................................................................................................................ 6511.3.1 Brug af adgangskoder..................................................................................................................... 6511.3.2 Uovervåget udstyr........................................................................................................................... 6511.3.3 Beskyttelse af datamedier på den personlige arbejdsplads...................................................... 66

11.4 Styring af netværksadgang............................................................................................................................ 6611.4.1 Retningslinjer for brug af netværkstjenester ............................................................................... 6611.4.2 Autentifikation af brugere med ekstern netværksforbindelse .................................................. 6711.4.3 Identifikation af netværksudstyr.................................................................................................... 6711.4.4 Beskyttelse af diagnose- og konfigurationsporte ....................................................................... 6811.4.5 Opdeling af netværk........................................................................................................................ 6811.4.6 Styring af netværksadgang............................................................................................................ 6811.4.7 Rutekontrol i netværk...................................................................................................................... 69

11.5 Styring af systemadgang ............................................................................................................................... 6911.5.1 Sikker log-on..................................................................................................................................... 6911.5.2 Identifikation og autentifikation af brugere.................................................................................. 7011.5.3 Styring af adgangskoder ................................................................................................................ 7111.5.4 Brug af systemværktøjer ................................................................................................................ 7111.5.5 Automatiske afbrydelser ................................................................................................................ 7211.5.6 Begrænset netværksforbindelsestid............................................................................................. 72

11.6 Styring af adgang til brugersystemer og informationer............................................................................ 7211.6.1 Begrænset adgang til informationer............................................................................................. 7211.6.2 Isolering af særligt kritiske brugersystemer ................................................................................ 73

11.7 Mobilt udstyr og fjernarbejdspladser ........................................................................................................... 7311.7.1 Mobilt udstyr og datakommunikation.......................................................................................... 7311.7.2 Fjernarbejdspladser......................................................................................................................... 74

12 Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer ..................................... 7612.1 Sikkerhedskrav til informationsbehandlingssystemer .............................................................................. 76

12.1.1 Analyse og specifikation af krav til sikkerhed .............................................................................. 7612.2 Korrekt informationsbehandling................................................................................................................... 76

12.2.1 Validering af inddata ....................................................................................................................... 7712.2.2 Kontrol af den interne databehandling......................................................................................... 7712.2.3 Meddelelsers integritet ................................................................................................................... 7812.2.4 Validering af uddata ........................................................................................................................ 78

12.3 Kryptografi........................................................................................................................................................ 7812.3.1 Retningslinjer for brugen af kryptografi ....................................................................................... 7912.3.2 Nøglehåndtering.............................................................................................................................. 79

12.4 Styring af driftsmiljøet .................................................................................................................................... 8012.4.1 Sikkerhed ved systemtekniske filer............................................................................................... 8112.4.2 Sikring af testdata............................................................................................................................ 8112.4.3 Styring af adgang til kildekode ...................................................................................................... 82

12.5 Sikkerhed i udviklings- og hjælpeprocesser................................................................................................ 8212.5.1 Ændringsstyring.............................................................................................................................. 8212.5.2 Teknisk gennemgang af forretningssystemer efter ændringer i styresystemerne ............... 8312.5.3 Begrænsninger i ændringer til standardsystemer...................................................................... 8312.5.4 Lækage af informationer ................................................................................................................ 8412.5.5 Systemudvikling udført af en ekstern leverandør....................................................................... 84

12.6 Sårbarhedsstyring........................................................................................................................................... 8512.6.1 Sårbarhedssikring ........................................................................................................................... 85

13 Styring af sikkerhedshændelser ............................................................................................................................ 8713.1 Rapportering af sikkerhedshændelser og svagheder................................................................................ 87

13.1.1 Rapportering af sikkerhedshændelser ......................................................................................... 8713.1.2 Rapportering af svagheder............................................................................................................. 88

13.2 Håndtering af sikkerhedsbrud og forbedringer........................................................................................... 8813.2.1 Ansvar og forretningsgange.......................................................................................................... 8813.2.2 At lære af sikkerhedsbrud............................................................................................................... 8913.2.3 Indsamling af beviser...................................................................................................................... 89

5

DS 484:2005

14 Beredskabsstyring..................................................................................................................................................... 9114.1 Beredskabsstyring og informationssikkerhed............................................................................................. 91

14.1.1 Informationssikkerhed i beredskabsstyringen............................................................................ 9114.1.2 Beredskab og risikovurdering........................................................................................................ 9214.1.3 Udarbejdelse og implementering af beredskabsplaner ............................................................ 9214.1.4 Rammerne for beredskabsplanlægningen.................................................................................. 9314.1.5 Afprøvning, vedligeholdelse og revurdering af beredskabsplaner ......................................... 93

15 Overensstemmelse med lovbestemte og kontraktlige krav ........................................................................... 9515.1 Overensstemmelse med lovbestemte krav................................................................................................. 95

15.1.1 Identifikation af relevante eksterne krav....................................................................................... 9515.1.2 Ophavsrettigheder........................................................................................................................... 9515.1.3 Sikring af virksomhedens kritiske data......................................................................................... 9615.1.4 Beskyttelse af personoplysninger ................................................................................................. 9715.1.5 Beskyttelse mod misbrug af informationsbehandlingsfaciliteter ............................................ 9715.1.6 Lovgivning vedrørende kryptografi .............................................................................................. 98

15.2 Overensstemmelse med sikkerhedspolitik og -retningslinjer .................................................................. 9815.2.1 Overensstemmelse med virksomhedens sikkerhedsretningslinjer......................................... 9815.2.2 Opfølgning på tekniske sikringsforanstaltninger........................................................................ 98

15.3 Beskyttelsesforanstaltninger ved revision af informationsbehandlingssystemer ................................ 9915.3.1 Sikkerhed i forbindelse med systemrevision .............................................................................. 9915.3.2 Beskyttelse af revisionsværktøjer.................................................................................................. 100

Anneks A – Eksempel på en informationssikkerhedspolitik ..................................................................................... 101

Informationssikkerhedspolitik for Virksomhed NN.................................................................................................... 101A.1 Indledning......................................................................................................................................................... 101A.2 Formål ............................................................................................................................................................... 101A.3 Omfang ............................................................................................................................................................. 101A.4 Sikkerhedsniveau ............................................................................................................................................ 102A.5 Sikkerhedsbevidsthed .................................................................................................................................... 102A.6 Brud på informationssikkerheden................................................................................................................. 102

Bilag 1 – Anvendelse i praksis .......................................................................................................................................... 103

Anneks B – Risikovurdering ............................................................................................................................................. 104B.1 Den anvendte terminologi ............................................................................................................................. 104B.2 Fremgangsmåde i praksis.............................................................................................................................. 105B.3 Eksempel .......................................................................................................................................................... 107B.4 Konklusion........................................................................................................................................................ 109

6

DS 484:2005

Forord

Denne standard indeholder en række bestemmelser, der sigter mod at gøre informationssikkerhed til en specificer-bar kvalitet. Standardens krav er i størst muligt omfang funktionelt betingede og baserede på teknisk og administra-tiv viden. Det er så vidt muligt undgået at give regler for standardiserede projekteringsmetoder, udførelsesmåder el-ler fysiske dele. I teksten forekommer henvisninger til andre danske og udenlandske standarder. Det vil dog kun isærlige tilfælde være nødvendigt at supplere med disse standarder.

Standarden tager sit udgangspunkt i ISO/IEC 17799:2005, Information technology – Security techniques – Code ofpractice for information security management. Standarden er udarbejdet på en sådan måde, at det er muligt at refe-rere mellem de to dokumenter. ISO/IEC 17799 er imidlertid af ren vejledende karakter. Der er ingen krav om konkretimplementering af de enkelte sikrings- og kontrolforanstaltninger. En del af disse er dog karakteriseret ved:

• at være omfattet af generelle danske lov- og myndighedskrav, fx Persondataloven og Bogføringsloven

• at være et nødvendigt grundlag for overhovedet at anvende standarden, fx en overordnet risikovurdering og for-mulering af en informationssikkerhedspolitik

• at være så almene, at de ud fra en generel vurdering af god praksis bør være fundamentet for informationssikker-heden i enhver virksomhed.

Disse foranstaltninger betegnes i den danske udgave som de basale sikringsforanstaltninger, der som minimumskal være etableret, for at en virksomhed kan påberåbe sig, at den lever op til DS 484.

Herudover beskriver standarden en række skærpede sikringsforanstaltninger, som en virksomhed bør etablere,såfremt særlige forhold gør sig gældende. Disse forhold kan være:

• Særlige lovkrav, eksempelvis for banker, sparekasser, forsikringsselskaber, realkreditinstitutter, arbejdsløsheds-kasser og offentlige virksomheder.

• Særlige branchenormer, hvor brancheforeninger anbefaler deres medlemmer at etablere nogle supplerende sik-ringsforanstaltninger af hensyn til branchens etiske regler, omdømme osv.

• Særlige tilfælde, hvor risikoen for eller konsekvensen af et brud på informationssikkerheden er så stor, at skærpe-de sikringsforanstaltninger er påkrævet.

• Særlige forretningssystemer, eksempelvis elektronisk handel og kundevendte banksystemer, hvor den åbne kon-taktflade og brugen af offentlige netværk samt kundernes forventninger til tilgængelighed nødvendiggør skærpe-de sikringsforanstaltninger.

Det er således op til brugeren af denne standard selv at vurdere, om særlige forhold giver anledning til krav omskærpede sikringsforanstaltninger. De skærpede sikringsforanstaltninger er markeret med en *.

Standardens krav skal vurderes og anvendes i overensstemmelse med dens hensigt og med hensyntagen til denudvikling, der finder sted inden for dens område. Derfor forudsættes det, at standardens brugere har et vist genereltkendskab til informationsbehandling.

I visse tilfælde forekommer der henvisninger til love eller cirkulærer mv., hvor de har relevant sammenhæng medbeskrivende tekster og vejledninger. Det forudsættes i øvrigt, at standardens brugere har fornødent kendskab til lov-givningen og andre eksterne bestemmelser, der har betydning for standardens praktiske brug.

7

DS 484:2005

0 Indledning

0.1 Hvad er informationssikkerhed?

Information er et aktiv, der i lighed med øvrige virksomhedsaktiver er væsentlig for virksomhedens forretningsakti-viteter og derfor skal beskyttes på passende vis. Dette er specielt vigtigt med den øgede digitale informationsudvek-sling, som har medført en forøgelse af både trusler og sårbarheder, jf. eksempelvis OECD Guidelines.

Information kan eksistere i mange former. Det kan være skrevet på papir, lagret elektronisk, transmitteret via kablereller gennem luften, ligge på en film eller være fremført i en konversation. Uanset formen skal information beskyttesi henhold til dens betydning for virksomheden.

Informationssikkerhed defineres som den samlede mængde af beskyttelsesforanstaltninger, der skal sikre virksom-hedens daglige drift, minimere skader, samt beskytte virksomhedens investeringer og sikre grundlaget for nye for-retningsmuligheder.

Informationssikkerhed opnås ved at implementere, overvåge, revurdere og løbende ajourføre et passende sæt afbeskyttelsesforanstaltninger bestående af politikker, praksis, procedurer, organisatoriske tiltag og system- eller ma-skintekniske funktioner.

0.2 Hvorfor er informationssikkerhed nødvendig?

Information og informationsbehandlingsprocesser, -systemer og -netværk er væsentlige virksomhedsaktiver. At de-finere, etablere og vedligeholde en passende informationssikkerhed kan være afgørende for virksomhedens kon-kurrencedygtighed, rentabilitet, omdømme og efterlevelse af gældende lovgivning.

Virksomhederne udsættes for en bred vifte af trusler spændende fra svindel, industrispionage, sabotage og terror tilildebrand og oversvømmelse. Trusler som skadevoldende programmer (virus m.m.), uautoriseret indtrængen ogblokering af transmissionsforbindelser bliver mere og mere almindelige og mere og mere sofistikerede, jf. anneks B,Risikovurdering.

Informationssikkerhed er væsentlig både for den offentlige og den private sektor og for at beskytte kritisk infrastruk-tur. En troværdig informationssikkerhed er en afgørende forudsætning for digital forvaltning og e-handel. Samtidigtgiver det øgede antal adgangsmuligheder, hjemmearbejdspladser og private brugere en øget sårbarhed, da det ikkelængere er muligt at forlade sig på traditionelle, centrale sikringsforanstaltninger.

Mange informationssystemer er ikke konstrueret med et forsvarligt sikkerhedsniveau. Det er derfor begrænset, hvormeget sikkerhed der kan opnås med en ren teknisk indsats. Den fornødne sikkerhed må følgelig etableres ved hjælpaf organisatoriske og ledelsesmæssige foranstaltninger. Etablering af disse foranstaltninger kræver omhyggelig ogdetaljeret planlægning.

Implementeringen af en optimal informationssikkerhed kræver som minimum en aktiv medvirken fra alle i virksom-heden. Herudover kan det også kræve medvirken fra leverandører, samarbejdspartnere, kunder og andre eksterneinteressenter. Det kan endvidere være påkrævet at søge yderligere ekstern bistand.

0.3 Formulering af sikkerhedsbehov

Det er af afgørende betydning, at virksomheden definerer sine sikkerhedsbehov. Man kan her tage udgangspunkt itre hovedkilder:

1. Virksomhedens egen risikovurdering baseret på virksomhedens forretningsstrategi og -målsætning. Her vurde-res trusselbilledet, virksomhedens sårbarhed og de forretningsmæssige konsekvenser, hvis et uheld skulle ske.

2. Eksterne krav til virksomheden, dens samarbejdspartnere og dens leverandører. Disse krav kan være lovgivning,bekendtgørelser, forordninger, samarbejdsaftaler eller hensyn til det omgivende samfund.

3. Interne krav afledt af virksomhedens egne kvalitetskrav for at støtte en specifik forretningsmålsætning.

0.4 Opgørelse af sikkerhedsbehov

Sikkerhedsbehov identificeres ved en metodisk vurdering af sikkerhedsrisici. Udgifterne til sikringsforanstaltningerskal holdes op mod de forretningsmæssige tab herunder også de immaterielle tab som fx dårligt omdømme ved engiven sikkerhedsbrist. En risikovurdering kan gennemføres for den samlede virksomhed, for enkelte afdelinger ellerfor specifikke informationssystemer, systemkomponenter eller -ydelser.

8

DS 484:2005

En risikovurdering omfatter en analyse af virksomhedens aktiver, trusler, sårbarheder og uheldskonsekvenser for atskabe et samlet risikobillede og derved afdække de enkelte risicis væsentlighed. I anneks B findes en yderligere ud-dybning af teknikken bag en risikovurdering. Mere detaljerede beskrivelser kan findes i BS 7799-2:2002, Informationsecurity management – Specification with guidance for use, og ISO/IEC TR 13335-3, Information technology – Guidelines for the management of IT Security – Part 3: Techniques for the management of IT Security.

Resultatet af risikovurderingen indgår i virksomhedsledelsens risikostyring, hvor de enkelte risici prioriteres, og detbesluttes, hvilke sikringsforanstaltninger der skal iværksættes. Det vil i mange tilfælde være nødvendigt at gennem-føre risikovurderingen i flere trin for at bevare det samlede overblik.

Endelig skal det understreges, at en risikovurdering skal gentages regelmæssigt og ved større organisatoriske ellerteknologiske ændringer.

0.5 Valg af sikringsforanstaltninger

Når virksomhedens sikkerhedsbehov og risici er afdækket, og risiciene er prioriterede i henhold til deres væsentlig-hed, skal de basale sikringsforanstaltninger og relevante skærpede sikringsforanstaltninger udvælges og imple-menteres for at sikre, at risiciene bliver reduceret til et acceptabelt niveau. I enkelte specielle tilfælde kan det blivenødvendigt at udvikle og implementere yderligere foranstaltninger. Man skal dog være opmærksom på, at ingensikringsforanstaltninger kan give fuldstændig sikkerhed. De skal altid suppleres med en ledelsesmæssig overvåg-ning og en løbende ajourføring for at sikre deres effektivitet.

En given risiko kan ofte reduceres med forskellige sikringsforanstaltninger. Det konkrete valg afhænger af risikoensvæsentlighed og omkostningerne ved sikringsforanstaltningen.

For at reducere omkostningerne og øge effektiviteten bør sikringsforanstaltninger integreres i en given system-løsning så tidligt som muligt i udviklingsforløbet. Jo senere i forløbet de integreres, jo større bliver omkostningerne,og man risikerer i værste fald, at det bliver umuligt at opnå en tilfredsstillende sikkerhed.

0.6 Det basale udgangspunkt

Som nævnt i forordet er standardens sikringsforanstaltninger delt i to kategorier for at gøre det lettere og hurtigerefor virksomhederne at få etableret og vedligeholdt et rimeligt og betryggende sikkerhedsniveau. De basale sikrings-foranstaltninger er de sikrings- og kontrolforanstaltninger, der i henhold til god praksis bør være grundlaget for in-formationssikkerheden i enhver virksomhed. Langt de fleste af disse foranstaltninger vil sandsynligvis allerede væreetableret, om end måske ikke videre systematisk og struktureret. Her vil standarden være en god hjælp som tjeklisteved en systematisk gennemgang.

Herudover skal der gennemføres en overordnet risikovurdering for at afdække, om virksomheden har nogle sikker-hedsbehov, som ikke er dækket af de basale sikringsforanstaltninger.

0.7 Kritiske succesfaktorer

Erfaringen har vist, at der er en række faktorer, som er afgørende for implementeringen af en betryggende informa-tionssikkerhed i en virksomhed:

a) En sikkerhedspolitik, -målsætning og -strategi, som afspejler virksomhedens forretningsmæssige målsætning.

b) En organisatorisk tilgang til sikkerhedsimplementering, -vedligeholdelse, -overvågning og -ajourføring, som er ioverensstemmelse med virksomhedens kultur.

c) Ledelsens synlige støtte og engagement.

d) En god forståelse for sikkerhedsbehov, risikovurdering og risikostyring.

e) En effektiv markedsføring af sikkerhed over for ledelse og medarbejdere.

f) God vejledning om sikkerhedspolitik og -retningslinjer til ledelse og medarbejdere.

g) Tilstrækkelige midler til at gennemføre de nødvendige styringsaktiviteter.

h) Tilstrækkelige midler til at gennemføre den nødvendige træning og uddannelse.

i) Etablering af et effektivt hændelsesstyringssystem.

j) Et ledelsesrapporteringssystem, som løbende kan vurdere sikringsforanstaltningernes effektivitet og sikre op-følgning på forslag til forbedringer.

9

DS 484:2005

0.8 Virksomhedens specifikke sikkerhedsretningslinjer

Al sikkerhedsrelateret dokumentation i form af sikkerhedspolitik, -strategi og de mere specifikke retningslinjer og in-strukser skal være samlet og struktureret på en sådan måde, at den er umiddelbart tilgængelig for de relevante per-soner.

10

DS 484:2005

1 Formål

Det er denne standards formål at:

• udgøre et generelt grundlag for en virksomheds sikkerhedsmålsætning med henblik på udvikling, implemente-ring, indførelse og effektiv styring af sikkerhedsmæssige kontroller, forholdsregler og sikringsforanstaltninger

• være generel referenceramme for virksomhedens interne og eksterne brug af informationsteknologiske faciliteter

• skabe grundlag for tillid til virksomhedens informationsbehandling både internt og eksternt

• være referenceramme ved anskaffelse og kontrahering af informationsteknologiske produkter og tjenesteydelser.

11

DS 484:2005

2 Termer og definitioner

Nedenfor findes en ordforklaring for de begreber, som anvendes i denne standard. Begreberne er tilpasset internati-onale standarder i den udstrækning, det har været muligt. For de præcise internationale definitioner henvises tilISO/IEC Guide 73 og SC 27 Standing Document 6.

2.1 Ordforklaring

adgangskontrol – fysisk

Enhver fysisk sikringsforanstaltning mod uautoriseret adgang til et sikkerhedsområde.

adgangskontrol – logisk

Enhver programmerbar sikringsforanstaltning mod uautoriseret anvendelse af en virksomheds informationsaktiver.

adgangskontrolliste

En liste over brugere og deres tildelte autorisationer og rettigheder til at anvende virksomhedens informationsakti-ver.Se også “autorisation” og “rettigheder”.

adgangskode (password)

Kombination af tegn, som benyttes til verifikation af en brugers identitet.

adgangskort

Et adgangskort er en identifikationsbærer, der fx er udformet som et “plastikkort”. Kortets dataindhold identificererden person, kortet er udstedt til.

aktiver

Alt, der har værdi for virksomheden – således også immaterielle værdier som fx informationsbehandlingssystemer,data, procedurer og dokumentation.Se også ”informationsaktiver”.

anråb/svarsystem

En sikringsmekanisme, der validerer, hvorvidt en opkaldende brugers forsøg på at få tilladelse til at anvende et in-formationsbehandlingssystem kan godkendes. Inden godkendelsen gives, sender den opkaldte node et “anråb” tilden opkaldende node med krav om et autenticitetsbevis. Kun, hvis det modtagne “svar”/autenticitetsbevis godken-des, gives der tilladelse. På engelsk kaldes det ”Challenge/Respons”-system.

applikationssystem

Se “informationsbehandlingssystemer”.

arbejdsstation/plads

Betegnelse på en PC, skærmterminal eller lignende, der benyttes af en enkelt bruger, og som er tilkoblet et netværk,der giver mulighed for at anvende fælles ressourcer og datakommunikation.

arkiv (dataarkiv)

Opbevaringssted, hvor man systematisk opbevarer data på maskinlæsbare medier.

autenticitet

Egenskab, der sikrer, at en ressource eller person er den hævdede (anvendes fx ved log-on og elektronisk under-skrift/digital signatur).

autentificering/autentifikation

Verifikation af en afsenders eller en modtagers autenticitet.

autorisation

Rettighed til at udføre specifikke funktioner samt tilladelse til at anvende på forhånd tildelte ressourcer.

12

DS 484:2005

backup af data

Sikkerhedskopieringsaktivitet. Lagring af vigtige data og programmer på et eksternt lagermedie, der kan opbevaressikkert og anvendes i tilfælde af, at de originale data er gået tabt.

barriere

Fysisk afgrænsning, der har til formål at danne en adskillelse mellem et bestemt område og omgivelserne. Afgræns-ningen kan være reel (fx væg) eller eventuelt være symbolsk (fx malet linje på gulv suppleret af adgang forbudt-skilt).

basissystemer

Opdeles i operativsystem(er) og hjælpeprogrammer. Se også “informationsbehandlingssystemer”.

beredskabsplan

En skriftlig, opdateret dokumentation for, hvad der skal iværksættes af definerede redningsaktioner, og hvem derskal igangsætte disse, hvis der indtræder en forstyrrende afbrydelse af virksomhedens forretningsprocesser, derkræver en redningsaktion.

bibliotek (for data og programmer)

Et system, der registrerer opbevaring af og fører kontrol med til- og afgang af fx basis- og netværksprogrammer,brugerprogrammer, udviklings- og testprogrammer, programkildekoder og data, samt hvilke brugere der har fåettilladelse til at anvende disse. De forskellige biblioteksdele holdes adskilt.

brugerprogram/system


centralt udstyr

Informationsbehandlingsudstyr, hvor flere arbejdsstationer (klienter) er tilsluttet en server eller en samling af serve-re (”cluster”).Se også “informationsbehandlingsudstyr”.

CE-mærke

Et mærke, der påføres elektrisk udstyr, og som herved garanterer, at EU-regler og -direktiver er overholdt med hen-syn til personsikkerhed og EMC.

data

En formaliseret repræsentation af kendsgerninger eller instruktioner.Se også “information”.

dataansvarlig

En person der er udpeget til at have sikkerhedsmæssigt ansvar for et system- og/eller data.Se også “ejer”.

dataarkiv

Se “arkiv”.

dataintegritet

Se “integritet”.

datamedier

Fysiske lagringsmedier, hvorpå der ad elektronisk vej er lagret data, fx på disketter, bånd, diske, CD-ROM, EPROM,USB-lagringsenheder.

dekryptering

Den modsatrettede proces af en kryptering.

13

DS 484:2005

diagnoseport

Tilkoblingsstik i informationsbehandlingsudstyr til kommunikationsforbindelse med ekstern servicetjeneste. Viakommunikationsforbindelsen kan en servicetekniker fra et andet geografisk sted registrere udstyrets driftstekniskedata, statusinformationer og øvrige informationer samt foretage fejlrettelser, under forudsætning af at diagnosepor-ten er aktiv/åben. Se også “port”.

digital signatur

En digital signatur dannes ved en kryptografisk transformation af en hashværdi beregnet ved hjælp af meddelelsen,og som knyttes til denne. Bruges til verifikation af meddelelsens integritet og til verifikation af afsenderens autentici-tet.

“ejer”

For manuelle systemer er der ofte i en virksomhed en naturlig forventning til, hvem der er “ejer” af et system og detsinformationer, og at “ejeren” har såvel ansvar som rettigheder vedrørende informationerne. Bogholderen ”ejer” definansielle informationer, salgslederen ”ejer” de afsætningsmæssige informationer, og lagerforvalteren ”ejer” debeholdningsmæssige informationer. Ansvar for og rettigheder til systemer og informationer bliver ofte mere diffust,når et system digitaliseres. Derfor er det nødvendigt, at der gøres noget aktivt for at bibeholde dette ansvar. “Ejeren”bestemmer, hvilke brugere der kan anvende et system og dets informationer.

engangskode

En logisk adgangskontrolmetode, hvorved den opkaldte parts valideringssystem er synkroniseret med en brugerstransportable kodeomsætter (kan være elektronisk eller blot en udskrevet liste). Brugeren benytter et givet kodeord iomsætteren, der omsætter til en engangskode ved hjælp af en indbygget algoritme eller ved simpelt tabelopslag.Den nye kode kan kun benyttes en gang. I visse systemer skal den benyttes øjeblikkeligt, idet den kun er gyldigt i enkort periode.

entitet

En uafhængig enhed, der har selvstændig eksistens, fx en node/en person.

firewall

Se “logisk filter”.

fortrolighed

Egenskaben, at informationen ikke gøres tilgængelig eller kan afsløres for uautoriserede personer, entiteter ellerprocesser.Se også “konfidentialitet”.

fysisk sikring

Sikringsforanstaltninger, der baserer sig på fysiske eller mekaniske foranstaltninger for imødegåelse af tyveri, ind-trængning, hærværk, eller anden ødelæggelse af aktiver. Se også “tyverisikring, mekanisk“.

hacking

Betegner den ulovlige handling, at en ukendt og uautoriseret person i det skjulte anvender andres informationsbe-handlingsudstyr, systemer, informationer eller data. Handlingen udføres fx ved hjælp af teknisk omgåelse af de logi-ske adgangskontrolsystemer. Se også “penetrering”.

hashværdi

En gentagelig beregning med hjælp af bestemte algoritmer af fx et programs ”tværsum” til verifikation af, at selveprogrammet ikke er ændret.

hemmeligholdelse

Sikkerhed for, at indholdet af en meddelelse ikke kan afsløres af uvedkommende.

hjælpeprogram

Standardbetegnelse for værktøjsprogrammer, der anvendes til fx editering, filkopiering, filsammenligning, fejlrettel-ser og optimering.

14

DS 484:2005

identitetskort (ID-kort)

Et kort eller lignende, der identificerer indehaveren, som legalt er i besiddelse af identifikationen (fx pas, betalings-kort og kørekort).

inddata

Alle data, der overføres til eller indrapporteres i et informationsbehandlingssystem.

information

Den mening, der tillægges en mængde af data.Se også “data”.

informationsaktiver

De aktiver, der har tilknytning til og er nødvendige for virksomhedens informationsbehandling.

informationsbehandlingssystemer

Betegnelsen for en samling programmer til løsning af en samlet mængde opgaver. Grundlæggende opdeles infor-mationsbehandlingssystemer i to hovedgrupper:– Basissystemer, der oftest er hardwareafhængige, består af operativsystem(er) og hjælpeprogram(mer). Basis-

systemer, ofte benævnt styre-, system- eller driftssystemer, er grundlaget for al informationsbehandling og skalvære i funktion, før alle andre programmer kan anvendes. Operativsystemerne styrer kommunikationen mellemdatamaskinen, andre datamaskiner, andet udstyr og brugerprogrammer og brugere.Hjælpeprogrammerne er værktøjer, der benyttes til fx at rette fejl i operativsystemet eller foretage optimering afdriften på informationsbehandlingsudstyret.

– Brugersystemer, der er afhængige af det valgte basissystem, opdeles i egenudviklede systemer og standardsy-stemer.Egenudviklede systemer er unikke, specialudviklede programmer til specifikke opgaveløsninger eller sammen-hængende opgavekomplekser i en virksomhed eller mellem flere virksomheder. De udvikles som en specialopga-ve af en udvalgt programleverandør eller af en virksomheds egne programmører.Standardsystemer er universelle programmer til løsning af virksomheders generelle arbejdsopgaver som fx bog-holderi, lønningsregnskab, ordre- og lagerstyring, kalkulation, tekstbehandling og illustrationstegning. Standard-systemer anskaffes fra mange forskellige lagerførende leverandører. De kan af den enkelte bruger ved at vælgemellem nogle indbyggede parametermuligheder tilpasses dennes ønsker om opsætning og de regelsæt, hvoref-ter standardsystemet skal fungere. Ofte sammensættes flere af ovennævnte programtyper til en integreret pro-grampakke/office suite.

informationssikkerhed

Alle aspekter relateret til definering, gennemførelse og vedligeholdelse af fortrolighed, integritet, tilgængelighed,ansvarlighed, autenticitet og pålidelighed omkring informationsbehandlingssystemer.

informationssikkerhedspolitik

Ledelsens overordnede retningslinjer for strategier, direktiver og forretningsgange, der regulerer, hvordan virksom-hedens informationer, inklusive følsomme oplysninger, anvendes, styres, beskyttes og distribueres i virksomhedenog dens informationsbehandlingssystemer.

integritet

Sikkerhed for, at indholdet af en meddelelse eller en post i et register er korrekt og komplet.

IT-sikkerhedschef

En person, der er ansvarlig for udarbejdelse af regler og procedurer for sikringsforanstaltninger for en virksomhedsinformationsbehandling.

IT-revision

Aktivitet, der udføres til kontrol af, at den ønskede informationssikkerhed i henhold til virksomhedens politik for in-formationssikkerhed og forskrifter for informationsbehandling er til stede og efterleves. Revisionen dokumenteresog forelægges virksomhedens ledelse.

karakter

Ethvert stort eller lille bogstav, tal eller tegn, der anvendes enkeltstående eller som en tilladelig sekvens.

15

DS 484:2005

kildekode

Et informationsbehandlingsprogram, der er skrevet i et symbolsk og standardiseret programmeringssprog.

klartekst

Ubeskyttet og umiddelbar læselig tekst.

kompatibilitet

Den forenelighed, der skal være til stede, for at noget (et system) kan virke sammen med noget andet (andre syste-mer).

konfidentialitet

Se “hemmeligholdelse”.

kontrolspor

En specificeret udtrækning og samling af data, hvormed det kan konstateres, hvilke transaktioner der er udført,hvornår og af hvem, og hvilke direkte og indirekte konsekvenser de har haft på tidligere eller oprindelige data.

kryptering

Omsætning (kodning) af læsbar klartekst, således at teksten ikke er læsbar for udenforstående, uden at de er i besid-delse af krypteringsforskriften og krypteringsnøglen.

log-off

Er den afsluttende procedure for brugeren af et informationsbehandlingssystem, hvorved forbindelsen mellem enarbejdsstation og programmerne afbrydes.

log-on

Er den nødvendige indledende procedure, hvormed en bruger etablerer sin tilladelse til at anvende informationsbe-handlingsudstyr og -systemer.

logisk bombe

En række destruktive programmer eller makroer, der er skjult i et i øvrigt normalt informationsbehandlingssystem,der regelmæssigt køres. Den destruktive kode aktiveres, når nogle forudsatte betingelser er opfyldt. Man kan fx tæn-ke sig en logisk bombe indlagt i et firmas lønberegningssystem. Den logiske bombe udløses, når en medarbejderikke længere er på lønningslisten. Bomben ødelægger fx vitale firmadata.

logisk filter

Et filtreringssystem, fx en kombination af en router og nogle programmerede kontroller ved den grænse, hvorigen-nem datakommunikationen skal passere for at komme fra et netværk til et andet netværk. Ved grænsen bliver data-kommunikationen tilladt, videredirigeret eller nægtet passage baseret på et sæt vedtagne regler.

lokalnetværk (LAN)

Et netværk, der benyttes til datatransmissioner mellem forskelligt informationsbehandlingsudstyr inden for sammevirksomhed, og som i nogle tilfælde kobles sammen med andre interne og eksterne netværk, med offentlige net-værk eller andre datakommunikationsforbindelser.Se også “netværk”.

makulering

Destruktion, opstrimling eller sønderrivning af læsbare medier i strimmel- eller flagestørrelser, der ikke kan gensam-mensættes til læsbare informationer.

mikroprocessorenhed

Speciel form for identifikationsbærer baseret på fx et plastikkort eller en USB-enhed med indlagt datahukommelseog dataprocessor. Ud over at identificere ejeren kan kortet indeholde et stort antal data (evt. kryptograferet), der kanopdateres og regulere kortets anvendelsesmuligheder ved hjælp af specielle autorisationskoder og algoritmer, fxcertifikater til digital signatur.

netværk

Generel betegnelse, der dækker alle typer af sammenhængende datakommunikationsforbindelser mellem “centraltudstyr”, servere, arbejdsstationer og andet kommunikationsudstyr.

16

DS 484:2005

node

Adresserbart punkt på et datanetværk (fx en arbejdsstation, printer, switch, netværksomskifter, router).

objektkode

Et maskinlæsbart program, der umiddelbart kan afvikles på en datamaskine.

operativsystem

Et grundlæggende program eller programkompleks, der foretager den overordnede styring af alt, hvad der kan af-vikles på informationsbehandlingsudstyr.

opgradering

Udskiftning af hidtil anvendt informationsbehandlingsudstyr og -systemer med andet kompatibelt materiel, somkan yde mere eller muliggøre bedre rationel anvendelse.

opkobling

Etablering af en datakommunikationsforbindelse.

orm

Et selvstændigt program, der er i stand til at lave kopier af sig selv hele tiden uden at være afhængig af et andet pro-gram. Kan spredes via datanetværk og databærende medier m.v. til andet udstyr, hvor ormen starter sig selv og der-ved stjæler datakraft fra udstyret, som herved “overbelastes”.

overvåget område

Et afgrænset område, der fx elektronisk tyveri- og brandovervåges af et automatisk alarmeringsanlæg.

password

Se “adgangskode”.

penetrering

At skaffe sig mulighed for ulovligt at anvende informationer, data eller datasystemer uden at have den fornødne au-torisation og uden at blive opdaget. Se også “hacking”.

piratkopiering

At foretage kopiering af et informationsbehandlingsprogram eller information i strid med lovgivningen om licensaf-taler.

port

Generel betegnelse for elektriske kredsløb, der virker som interface mellem informationsbehandlingsudstyr, ar-bejdsstation og andre ydre tilsluttede enheder via datakommunikationsforbindelser.

privilegier

Betegnelsen for de rettigheder, som specificeres for en autoriseret bruger til legalt at anvende en vedtagendelmængde af informationsbehandlingsressourcer, herunder data, til sine arbejdsopgaver.

protokoller

Regler, som er reguleret af standarder, normer, tekniske metoder og specifikationer, der er fastsat med det formål atkunne fortolke og udveksle data.

pålidelighed

Egenskab, der sikrer, at den forventede opførsel og de forventede resultater opnås.

rettigheder

Se “privilegier”.

revision, økonomisk

En kontrol af, hvorvidt en virksomheds regnskaber, hvad enten de fremstilles manuelt eller elektronisk, udføres be-tryggende og i overensstemmelse med bogføringspligten, lovgivningen og virksomhedens bestemmelser og for-retningsgange.

17

DS 484:2005

risiko

Det beregnede eller konstaterbare resultat af en kombination af hyppigheden af en uønsket hændelse og omfangetaf konsekvenserne (tabene).

risikoanalyse

En detaljeret og systematisk procedure til at afdække virksomhedens trusler og sårbarheder samt konsekvenserneaf uønskede hændelser.

risikostyring

Den ledelsesmæssige styring af virksomhedens indsats for at imødegå forretningsmæssige risici.

risikovurdering

En overordnet afvejning af virksomhedens risikobillede.

sikkerhed

Resultatet af alle de sikringsforanstaltninger, der er foretaget for at imødegå de aktuelle trusler.

sikkerhedsmiljø

Det samlede sæt af sikringsforanstaltninger og kontroller, virksomheden har etableret for at sikre, at sikkerhedspoli-tikken bliver efterlevet.

sikkerhedsrevision

Se “IT-revision”.

sikkerhedsstyring

En løbende proces, hvor ledelsen gennem en systematisk rapportering om ændringer i risikobilledet, observeredesvagheder samt konkrete hændelser til stadighed kan revurdere den fastlagte sikkerhedsstrategi og foretage de for-nødne justeringer for at fastholde det ønskede sikkerhedsniveau.

sikret område

Et område, hvis afgrænsninger er mekanisk/fysisk indbrudssikrede.

sikringsforanstaltning

En praksis, procedure eller mekanisme, der reducerer sårbarheden. Dvs. alle de bestræbelser, forholdsregler og for-anstaltninger, der tages i anvendelse for at modvirke såvel utilsigtede som tilsigtede fejl, tab og misbrug af datasamt sikring af tilgængelighed for de autoriserede brugeres anvendelse af udstyr og data.

single sign-on-procedure

Log-on-procedure, der bevirker, at det ikke er nødvendigt efter den første log-on-procedure at foretage selvstændigelog-on til flere specifikke systemer.

skrivebeskyttelse

Sikringsforanstaltning, der har til formål at forhindre utilsigtede tilføjelser, ændringer eller sletninger af eksisterendedata på datamedier.

standardsystem


systemrevision

Se ”IT-revision”.

sårbarhed

Mangel på sikkerhed, som kan medføre uønskede hændelser.

test

Verifikation af kvaliteten af et givet system og/eller program.

tilgængelighed

Egenskaben at være tilgængelig og anvendelig ved anmodning fra en autoriseret entitet.

18

DS 484:2005

transaktionsspor

Se “kontrolspor”.

trojansk hest

Et program, der ser ud og virker som et almindeligt program, men som indeholder en eller flere uautoriserede pro-gramkommandoer eller programsekvenser.

trussel

En potentiel årsag til en uønsket hændelse, som kan forvolde skade på virksomheden.

tyverisikring, mekanisk

Hensigtsmæssig anvendelse af bygningsdele, låseenheder mv., således at tyveri og utilsigtet gennembrydning elleroplukning vanskeliggøres. Bygningsdele kan fx være specielt udformede eller forstærkede.

uddata

Alle data, der efter endt behandling i informationsbehandlingsudstyret enten placeres i et baggrundslager eller eteksternt datamedie eller overføres til en printer for udskrift.

uafviselighed

En procedure, der beviser, at en specifik bruger på et givet tidspunkt har sendt en anden specifik bruger en bestemtmeddelelse.

validering

Kalkulation og kontrol af, at indrapporterede datas værdi eller et givet tegn eller ord er indeholdt i et forudbestemtgyldigt værdiinterval, fx er datoen den 30. gyldig for januar men ikke for februar måned.

virus

En programkode, der er skjult og udfører handlinger, som brugeren ikke har tiltænkt. Handlingen har typisk en ska-dende eller ødelæggende virkning på data eller programmer. En virus laver kopier af sig selv og kan sprede sig selvtil harddiske og netværk eller til andet udstyr via netværk og flytbare datalagringsmedier.

åbent net

Et netværk, som er umiddelbart og offentligt tilgængeligt for alle, der har indgået en anvendelsesaftale, og som hardet nødvendige udstyr, fx internet og telefonnettet.

2.2 Tilknyttede standarder med videre

BS 7799-2:2002, Information security management – Specification with guidance for use

DS/EN 1047, Værdiopbevaringsenheder. Klassifikation og metoder til prøvning af modstandsevne mod brand

IEEE P1363-2000, Standard Specifications for Public-Key Cryptography

ISO 10007:2003, Quality management systems – Guidelines for configuration management

ISO 15489-1:2001, Information and documentation – Records management – Part 1: General

ISO 19011:2002, Guidelines for quality and/or environmental managemet systems auditing

ISO/IEC 9796-2:2002, Information technology – Security techniques – Digital signature schemes giving massage re-covery – Part 2: Integer factorization based mechanisms

ISO/IEC 9796-3:2000, Information technology – Security techniques – Digital signature schemes giving massage re-covery – Part 3: Discrete logarithm based mechanisms

ISO/IEC 11770-1:1996, Information technology – Security techniques – Key management – Part 1: Framework

ISO/IEC 12207:1995, Information technology – Software life cycle processes

ISO/IEC 13335-1:2004, Information technology – Security techniques – Management of information and communi-cations technology security – Part 1: Concepts and models for informatin and communications technology securitymanagement

ISO/IEC 13888-1:1997, Information technology – Security techniques – Non-repudiation – Part 1: General

ISO/IEC 14888-1:1998, Information technology – Security techniques – Digital signature with appendix – Part 1: Ge-neral

19

DS 484:2005

ISO/IEC 15408-1:1999, Information technology – Security techniques – Evaluation Criteria for IT security – Part 1: In-troduction and general model

ISO/IEC 17799:2005, Information technology – Security techniques – Code of practice for information security ma-nagement

ISO/IEC 18028-4, Information technology – Security techniques – IT network security – Part 4: Securing remote access

ISO/IEC Guide 2:1996, Standardization and related activities – General vocabulary

ISO/IEC Guide 73:2002, Risk management – Vocabulary – Guidelines for use in standards

ISO/IEC TR 13335-3:1998, Information technology – Guidelines for the management of IT Security – Part 3: Tech-niques for the management of IT Security

ISO/IEC TR 14516:2002, Information technology – Security techniques – Guidelines for the use and management ofTrusted Third Party services

ISO/IEC TR 18044, Information technology – Security techniques – Information security incident management

OECD Guidelines for Cryptography Policy, 1997

OECD Guidelines for the security of Information Systems and Networks: “Towards a Culture of Security”, 2002.

20

DS 484:2005

3 Standardens opbygning

Sikringsforanstaltningerne i denne standard er opdelt i to kategorier. De basale sikringsforanstaltninger er de sik-rings- og kontrolforanstaltninger, der i henhold til god praksis bør være grundlaget for informationssikkerheden i envirksomhed. Hvis en virksomhed ønsker at påberåbe sig, at den efterlever denne standard, skal alle de basale sik-ringsforanstaltninger og implementeringsretningslinjer være etableret.

Den anden kategori er de skærpede sikringsforanstaltninger, som i særlige tilfælde kan være påkrævede, jf. 0.6. Dis-se er markeret med en * under de specifikke implementeringsretningslinjer.

Standarden beskriver 39 sikringsområder fordelt over kapitlerne 5 - 15. Hvert sikringsområde har en overordnet be-skrivelse af områdets sikringsformål. For hvert område er der beskrevet en eller flere sikringsforanstaltninger, somkan tilfredsstille sikringsformålet.

Foranstaltninger er beskrevet i hvert sit underafsnit med følgende opbygning:

SikringsforanstaltningHer beskrives selve sikrings- eller kontrolforanstaltningen.

ImplementeringsretningslinjerHer beskrives det mere specifikke indhold af sikringsforanstaltningen.

BemærkningerHer beskrives andre forhold, som måtte have betydning for den konkrete sikringsforanstaltning.

21

DS 484:2005

4 Risikovurdering og -håndtering

4.1 Vurdering af sikkerhedsrisici

En risikovurdering skal identificere og prioritere risici med udgangspunkt i virksomhedens forretningsmæssige for-hold. Resultatet skal bidrage til at fastlægge og prioritere de nødvendige ledelsesindgreb og sikringsforanstaltningerfor at imødegå relevante risici.

En risikovurdering skal dels omfatte en overordnet vurdering af de forretningsmæssige risici, en virksomhed er ud-sat for, når den benytter sig af informationsteknologi, dels mere dybtgående analyser på konkrete områder, fx loka-ler, systemer, databaser og systemudviklingsprocesser. Ofte anvendes den overordnede risikovurdering til at få ud-peget de kritiske områder, der skal gøres til genstand for dyberegående analyser.

En analyse af risici vil i første omgang resultere i et trusselbillede, med opgørelse af konsekvensen af og sandsynlig-heden for skadevoldende hændelser, og siden i et samlet risikobillede, hvor der tillige er taget hensyn til indflydel-sen fra det eksisterende sikkerhedsmiljø, jf. eksempelvis anneks B.

Risikovurderinger skal gennemføres regelmæssigt og ved væsentlige ændringer i risikobilledet, herunder organisa-toriske eller teknologiske ændringer. En risikovurdering skal gennemføres metodisk og systematisk, så resultaterneer sammenlignelige og reproducerbare, jf. eksempelvis ISO/IEC TR 13335-3.

4.2 Risikohåndtering

Såfremt en risikovurdering afdækker et relevant sikkerhedsbehov, skal de nødvendige sikringsforanstaltninger ud-vælges og implementeres for at få reduceret risikoen til et acceptabelt niveau. Man skal her tage hensyn til:

a) virksomhedens forretningsmæssige forhold

b) nationale og internationale love og forordninger

c) operationelle krav og begrænsninger

d) omkostningerne ved implementering og drift af sikringsforanstaltningerne i forhold til den reducerede risiko

e) en afvejning af de forretningsmæssige konsekvenser af et sikkerhedsbrud i forhold til de samlede omkostningerved sikringsforanstaltningen.

Sikringsforanstaltningerne kan udvælges fra standarden eller i særlige tilfælde udvikles til at imødegå specielle risi-ci.

Man skal være opmærksom på, at ingen sikringsforanstaltninger kan give fuldstændig sikkerhed. De skal altid sup-pleres med en ledelsesmæssig overvågning og løbende ajourføres for at sikre, at de både effektivt og hensigtsmæs-sigt understøtter virksomhedens mål.

Der kan være enkelte situationer, hvor den optimale sikringsforanstaltning ikke kan implementeres, eksempelvis kandet være vanskeligt at gennemføre en konsekvent funktionsadskillelse i en mindre virksomhed. Her må man findeandre foranstaltninger, som, så vidt det er muligt, giver den samme beskyttelse.

22

DS 484:2005

5 Overordnede retningslinjer

5.1 Informationssikkerhedsstrategi

FormålStrategien skal indeholde ledelsens sikkerhedsmålsætning, -politik og overordnede handlingsplan.

Det er vigtigt, at ledelsen med udgangspunkt i virksomhedens forretningsmæssige behov og en overordnet risiko-vurdering samt eksterne og interne krav udstikker en klar målsætning og viser sin støtte og sit engagement gennemudstedelsen af og opfølgning på en sikkerhedspolitik og en overordnet handlingsplan med en prioritering af res-sourceindsatsen.

5.1.1 Formulering af en informationssikkerhedspolitik

SikringsforanstaltningLedelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres til allerelevante interessenter, herunder alle virksomhedens medarbejdere.

ImplementeringsretningslinjerInformationssikkerhedspolitikken skal fastlægge det overordnede sikkerhedsniveau og de nødvendige organisatori-ske rammer samt de overordnede retningslinjer for udformning af kontroller, procedurer og sikringsforanstaltnin-ger. Politikken skal indeholde følgende punkter:

a) en definition af virksomhedens informationssikkerhed, dennes formål, omfang og betydning samt ledelsens kravtil virksomhedens sikkerhedsniveau

b) en understregning af ledelsens støtte og engagement

c) ledelsens overordnede sikkerhedskrav, herunder kravene til risikovurdering og risikostyring

d) en kort beskrivelse af de generelle krav til:1. overholdelse af udefrakommende forpligtelser og krav, herunder relevant lovgivning2. uddannelse, træning og bevidstgørelse3. beredskabsplaner, herunder den maksimalt acceptable utilgængelighed for kritiske forretningssystemer4. konsekvenser ved overtrædelse af politikken

e) en beskrivelse af ansvarsplaceringen, herunder også rapportering af sikkerhedstruende hændelser og svagheder

f) referencer til øvrig sikkerhedsdokumentation, eksempelvis standarder og mere specifikke sikkerhedsregler ogretningslinjer.

BemærkningerI anneks A findes et eksempel på en informationssikkerhedspolitik.

5.1.2 Løbende vedligeholdelse

SikringsforanstaltningInformationssikkerhedsstrategien skal revurderes med planlagte intervaller eller ved væsentlige ændringer for atsikre dens fortsatte relevans og effektivitet.

ImplementeringsretningslinjerInformationssikkerhedsstrategien skal have udpeget en ejer, som er ansvarlig for udviklingen, vedligeholdelsen ogrevurderingen af sikkerhedsstrategien. Vedligeholdelsen skal omfatte en vurdering af mulighederne for at styrke sik-kerhedsstrategien og sikkerhedsstyringen, når der er ændringer af organisatorisk, forretningsmæssig, lovgivnings-mæssig eller teknisk karakter.

Revurderingen af sikkerhedsstrategien skal tage udgangspunkt i en tilbagevendende ledelsesvurdering af informati-onssikkerheden baseret på:

a) tilbagemeldinger fra interessenter

b) resultatet af uafhængige gennemgange, jf. 6.1.8

c) status på de forebyggende og korrigerende handlinger, jf. 6.1.8 og 15.2.1

23

DS 484:2005

d) resultatet af tidligere ledelsesvurderinger

e) den daglige drift og overholdelsen af sikkerhedspolitikken

f) ændringer, som kunne have indflydelse på sikkerhedsstyringen, eksempelvis organisatoriske, forretningsmæssi-ge, ressourcemæssige, kontraktlige, lovgivningsmæssige eller tekniske ændringer

g) ændringer i trusler og sårbarheder

h) rapporterede sikkerhedshændelser, jf. 13.1

i) anbefalinger fra relevante myndigheder, jf. 6.1.6.

Ledelsesvurderingen skal resultere i konkrete beslutninger og handlinger vedrørende:

I. forbedringer i virksomhedens sikkerhedsstyring

II. ændringer til ledelsens overordnede sikkerhedskrav

III. ændringer til ressourceallokeringer og/eller ansvarsplaceringer.

Ledelsesvurderingen skal dokumenteres.

Når den samlede sikkerhedsstrategi er revurderet, skal den på ny godkendes af ledelsen.

BemærkningerOpfølgningen skal ske minimum en gang om året.

24

DS 484:2005

6 Organisering af informationssikkerhed

6.1 Interne organisatoriske forhold

FormålStyring af virksomhedens informationssikkerhed.

Der skal etableres et ledelsessystem til at varetage ansvarsplacering, udmøntning af de generelle retningslinjer ispecifikke forretningsgange og instrukser samt den løbende opfølgning på implementeringen og efterlevelsen.

Den ansvarlige for sikkerhedsimplementeringen skal endvidere vurdere brud på sikkerheden, nye trusler og sårbar-heder og nye muligheder for sikringsforanstaltninger, samt påse, at disse informationer tilgår ledelsen og indgår iden løbende ajourføring af den overordnede risikovurdering.

6.1.1 Ledelsens rolle

SikringsforanstaltningLedelsen skal støtte virksomhedens informationssikkerhed ved klare retningslinjer, synligt engagement og præcisplacering af ansvar.

ImplementeringsretningslinjerLedelsen skal påse:

a) at sikkerhedsmålsætningen er formuleret i overensstemmelse med de forretningsmæssige krav, og at de beslut-tede sikringsforanstaltninger er budgetterede og indgår i de relevante handlingsplaner

b) at sikkerhedsstrategien bliver løbende revurderet og godkendt, jf. 5.1.2

c) at sikkerhedsstrategien bliver implementeret på en hensigtsmæssig og effektiv måde

d) at relevante sikkerhedsinitiativer støttes aktivt

e) at de nødvendige ressourcer afsættes

f) at det specifikke ansvar for de enkelte sikkerhedsopgaver placeres entydigt

g) at der foreligger handlingsplaner for den løbende sikkerhedsbevidstgørelse

h) at implementeringen af sikringsforanstaltninger er tværorganisatorisk koordineret.

Ledelsen skal endvidere vurdere behovet for ekstern rådgivning ud fra en realistisk bedømmelse af virksomhedensegen erfaring og ekspertise på informationssikkerhedsområdet generelt eller inden for specifikke risikoområderog/eller særlige sikringsforanstaltninger. Såfremt det skønnes, at der er behov for ekstern bistand, skal ledelsenpåse, at der indgås en formel aftale med den pågældende rådgiver i henhold til afsnit 6.2.2.

BemærkningerRådgivere skal have erfaring i aktuel informationssikkerhed. Kvaliteten af deres undersøgelser af sikkerhedstruslerog deres råd om sikringsforanstaltninger er afgørende for effektiviteten af virksomhedens sikkerhedsstrategi. Detstørste udbytte af rådgiverne opnås, hvis de har adgang til direkte samtaler med og oplysninger fra funktionsledereog de personer, der har ansvar for det tekniske udstyr og systemer.

Rådgiverne bør konsulteres på det tidligst mulige tidspunkt efter forekomsten af en mistænkelig hændelse eller etsikkerhedsbrud.

6.1.2 Koordinering af informationssikkerhed

SikringsforanstaltningInformationssikkerhedsaktiviteter skal koordineres på tværs i virksomheden.

ImplementeringsretningslinjerDen tværgående koordinering skal:

a) sikre at sikkerhedsaktiviteter udføres i overensstemmelse med informationssikkerhedspolitikken

b) fastlægge håndteringen af mangelfuld efterlevelse af sikkerhedspolitikken, jf. 8.2.3

c) sikre ensartede metoder og procedurer for eksempelvis risikovurdering og sikkerhedsklassifikation

25

DS 484:2005

d) sikre overvågning af ændringer i trusselbilledet

e) vurdere effektiviteten og tilstrækkeligheden af specifikke sikringsforanstaltninger i nye informationsbehandlings-systemer

f) være støttefunktion for virksomhedens informationssikkerhedsuddannelse, -træning og -bevidstgørelse

g) sikre overvågning og opfølgning på sikkerhedshændelser, herunder anbefaling af konkrete løsningstiltag.

Til støtte for den tværgående koordinering skal der etableres et sikkerhedsstyringssystem efter tilsvarende retnings-linjer som for et kvalitetssikringssystem. Dvs. at et sådant system vil udgøre den organisatoriske struktur med til-hørende ansvarsfordeling, procedurer og metoder, der er nødvendige for at gennemføre risikovurdering, målfast-læggelse, planlægning, gennemførelse, overvågning og opfølgning – i en tilbagevendende cyklus, se eksempelvisBS 7799-2:2002 for yderligere beskrivelse.

BemærkningerI større virksomheder kan der være behov for at lade en tværorganisatorisk gruppe med ledelsesrepræsentanter fravirksomhedens vigtigste afdelinger styre sikkerhedsområdet. I andre virksomheder vil det være tilstrækkeligt at ladeden daglige ledelse styre sikkerheden. I begge tilfælde på basis af indstillinger og opfølgningsrapporter fra en udpe-get sikkerhedskoordinator.

6.1.3 Ansvarsplacering

SikringsforanstaltningAnsvaret for alle informationssikkerhedsaktiviteter, herunder beskyttelse af virksomhedens informationsaktiver ogudførelsen af særlige sikkerhedsprocedurer skal være klart defineret og placeret.

ImplementeringsretningslinjerDe ansvarlige personer kan delegere specifikke sikkerhedsopgaver til andre. De vil dog stadig være ansvarlige foropgaven og skal verificere, at opgaven bliver korrekt udført.

Ansvarsplaceringen skal omfatte følgende aktiviteter:

a) Virksomhedens væsentlige informationsaktiver og sikkerhedsprocedurer skal være identificeret og klart define-ret.

b) Der skal udpeges en ansvarlig “ejer”, og ejerskabet skal dokumenteres, jf. 7.1.2.

c) Ejerens beføjelser skal være klart defineret og dokumenteret.

BemærkningerI mange virksomheder har man en sikkerhedskoordinator, som har ansvaret for udvikling og implementering af degenerelle sikringsforanstaltninger.

Ansvaret for ressourceanvendelse og implementering af sikringsforanstaltninger i de enkelte informationsbehand-lingssystemer ligger imidlertid ofte hos en forretningsansvarlig leder. Det vil derfor være almindelig praksis at udpe-ge ham som ejer af systemet og dermed også som ansvarlig for systemets specifikke sikkerhed.

6.1.4 Godkendelsesprocedure ved anskaffelser

SikringsforanstaltningDer skal være en godkendelsesprocedure for anskaffelse og installation af nyt informationsbehandlingsudstyr og -systemer.

ImplementeringsretningslinjerGodkendelsesproceduren skal omfatte:

a) En godkendelse fra den forretningsansvarlige, hvor formålet med det nye udstyr eller system er defineret, samten godkendelse fra den driftsansvarlige, hvor de sikkerhedsmæssige konsekvenser er vurderet.

b) Ved større eller forretningskritiske nyanskaffelser skal det verificeres, at de ikke kompromitterer det fastlagte sik-kerhedsniveau.

c) Brugen af personligt informationsbehandlingsudstyr, herunder bærbart udstyr, fra fx hjemmearbejdspladser el-ler fjernarbejdspladser introducerer nye sårbarheder og kræver derfor en omhyggelig godkendelsesprocedure.

26

DS 484:2005

BemærkningerIngen.

6.1.5 Tavshedserklæringer

SikringsforanstaltningDer skal foreligge en forretningsgang for afgivelse af tavshedserklæring, som afspejler virksomhedens krav til be-handling af følsomme/fortrolige informationer.

ImplementeringsretningslinjerForretningsgangen skal omfatte:

a) en definition af de informationer, tavshedserklæringen omfatter, eksempelvis virksomhedens følsomme oplys-ninger

b) den fastlagte løbetid, som kan være længere end ansættelses- eller kontraktforholdet

c) foranstaltninger ved erklæringens udløb

d) underskriverens ansvar og virksomhedens foranstaltninger for at undgå brud på fortroligheden

e) ophavsrettigheder i relation til tavshedspligten

f) underskriverens adgangs- og brugsrettigheder

g) virksomhedens ret til overvågning af og opfølgning på overholdelse af tavshedspligten

h) procedure for advisering og rapportering af brud på fortroligheden

i) betingelser for returnering eller destruktion af informationsaktiver ved aftalens ophør

j) sanktioner ved brud på tavshedspligten.

Tavshedserklæringer skal løbende revurderes, specielt ved opsigelser og ændringer i ansættelses- eller kontraktfor-holdet.

BemærkningerVirksomhedens sikkerhedskrav kan medføre et behov for yderligere punkter i tavshedserklæringen.

6.1.6 Kontakt med myndigheder

SikringsforanstaltningDer skal være procedurer for kontakten med relevante myndigheder. Herunder også hvem der har ansvaret for ogbemyndigelse til at tage kontakt.

ImplementeringsretningslinjerVed brud eller mistanke om brud på sikkerheden er det væsentligt, at der er etableret en procedure for håndtering afbevismateriale og kontakt med politi og/eller relevante samarbejdspartnere.

BemærkningerAngreb via eksterne netværk kan i nogle tilfælde imødegås ved serviceudbyderens eller teleselskabets indsats overfor angriberen.

Andre kontakter kan være nyttige som informationskanaler vedrørende ændringer i love og bestemmelser, som kanhave indflydelse på virksomhedens forhold.

Endvidere kan sundheds- og miljømyndigheder, kommunens tekniske forvaltning, det lokale brandvæsen og vand-forsyningen være relevante kontakter.

6.1.7 Fagligt samarbejde med grupper og organisationer

SikringsforanstaltningDer skal være etableret de fornødne informationskanaler, herunder samarbejde med relevante eksterne interesse-grupper og sikkerhedsorganisationer.

27

DS 484:2005

ImplementeringsretningslinjerDer skal udpeges en ansvarlig for eksternt samarbejde for at sikre, at virksomheden:

a) til stadighed har ajourført viden om bedste praksis

b) har det bredest mulige kendskab til hele informationssikkerhedsområdet

c) holder sig ajour med sikkerhedsadvarsler og forholdsregler mod nye trusler

d) har adgang til kompetent sikkerhedsrådgivning

e) modtager information om ny teknologi og nye produkter

f) har et godt kontaktnet til drøftelse af sikkerhedshændelser.

BemærkningerEksternt samarbejde skal ligge i faste rammer, så fortrolige oplysninger ikke tilflyder uvedkommende personer.

6.1.8 Periodisk opfølgning

SikringsforanstaltningDer skal med planlagte intervaller, dog altid ved væsentlige ændringer, foretages en uafhængig vurdering af, hvor-dan informationssikkerhedspolitikken, -strategien og de vedtagne retningslinjer i praksis gennemføres, om den dag-lige praksis afspejler politikken, strategien og retningslinjerne, og om de overholdes.

ImplementeringsretningslinjerLedelsen skal fastlægge, hvilke sikkerhedsområder der skal vurderes, og godkende den plan, som vurderingen gen-nemføres efter. For de udvalgte områder skal effektiviteten af regler, procedurer, kontroller og sikringsforanstaltnin-ger vurderes. Vurderingen skal ske på basis af informationssikkerhedspolitikken og de foreliggende aftaler om an-svar og retningslinjer for informationssikkerhed, jf. 15.2 og 15.3.

Den periodiske vurdering skal gennemføres af en kompetent person, som er uafhængig af den del af virksomheden,der bliver vurderet, fx en ekstern revisor, en intern revisor eller en ekstern konsulent.

Resultaterne af vurderingen skal dokumenteres, og de skal forelægges virksomhedens ledelse sammen med even-tuelle forslag til forbedringer. Hvis vurderingen viser, at den daglige praksis ikke er i overensstemmelse med ret-ningslinjerne i sikkerhedspolitikken, skal ledelsen foretage de nødvendige korrektioner.

BemærkningerDen periodiske opfølgning supplerer, men kan ikke erstatte, den løbende overvågning og kontrol.

ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing, giver yderligere vej-ledning i gennemførelse af periodisk opfølgning.

6.2 Eksterne samarbejdspartnere

FormålAt fastholde virksomhedens ønskede sikkerhedsniveau ved enhver form for samarbejde med andre parter.

Det kan udgøre en risiko at give en samarbejdspartners medarbejdere adgang til interne faciliteter og informationer,blandt andet fordi samarbejdspartnerens styring af sikkerhed kan være utilstrækkelig. Hvor der er et forretnings-mæssigt behov for data- og/eller systemadgang, skal der foretages en risikovurdering.

Hvis risikovurderingen viser, at der er en væsentlig risiko forbundet med en samarbejdspartners adgang til virksom-hedens informationsbehandlingsfaciliteter eller andre former for samarbejde, skal samarbejdet baseres på en for-mel kontrakt. Begge parter skal være enige i de sikkerhedskonditioner, der er knyttet til samarbejdet. Kontrakten skalfærdigbehandles og underskrives, før dens tekniske og kontrolmæssige indhold implementeres.

6.2.1 Identifikation af risici i forbindelse med eksternt samarbejde

SikringsforanstaltningVed samarbejde med andre parter, der har adgang til virksomhedens informationsaktiver, skal der gennemføres enrisikovurdering, og relevante sikringsforanstaltninger skal identificeres og implementeres.

28

DS 484:2005

ImplementeringsretningslinjerRisikovurderingen skal omfatte:

a) de informationsbehandlingsfaciliteter samarbejdspartneren skal have adgang til

b) hvilken form for adgang samarbejdspartneren skal have:• fysisk adgang• logisk adgang• om adgangen skal være via internt net eller via opkobling

c) den forretningsmæssige værdi af de involverede informationsaktiver

d) beskyttelsesforanstaltninger for informationsaktiver, der ikke er omfattet af samarbejdet

e) samarbejdspartnerens personale

f) autorisations- og verifikationsprocedurer

g) samarbejdspartnerens informationslagrings-, behandlings- og kommunikationsudstyr og de hertil knyttede sik-ringsforanstaltninger

h) konsekvenserne af manglende tilgængelighed og ukorrekte informationer

i) procedurer for håndtering af sikkerhedsrelaterede hændelser

j) særlig lovgivning, samarbejdspartneren skal tage hensyn til, og andre kontraktforhold, virksomheden og/ellersamarbejdspartneren skal tage hensyn til

k) hvorledes samarbejdet vil påvirke øvrige interessenter.

Samarbejdspartneren må ikke få adgang til virksomhedens informationer før risikovurderingen er gennemført, derelevante sikringsforanstaltninger er implementeret, og der, hvor det er påkrævet, er indgået en formel samarbejds-aftale (se afsnit 6.2.2 og 6.2.3).

Det skal sikres, at samarbejdspartneren er klar over sine forpligtelser og sit ansvar i forbindelse med den indgåedeaftale.

BemærkningerEksterne samarbejdspartneres adgang til virksomhedens informationer stiller store krav til præcise samarbejdsafta-ler og særlige sikringsforanstaltninger.

Ved eksterne samarbejdspartnere forstås alle former for formaliseret samarbejde, eksempelvis:

• serviceudbydere som internetudbydere, telefonselskaber og teknisk vedligeholdelse

• serviceydelser fra vagtselskaber

• kunder

• drifts- og vedligeholdelsesydelser fra driftsleverandører og registrerings- og kundeservicevirksomheder

• virksomhedskonsulenter og revisorer

• systemleverandører

• rengørings- og kantineleverandører

• midlertidigt personale.

6.2.2 Sikkerhedsforhold i relation til kunder

SikringsforanstaltningAlle sikkerhedsforhold skal være afklaret, før virksomhedens kunder får adgang til virksomhedens informationsbe-handlingssystemer.

29

DS 484:2005

ImplementeringsretningslinjerNedenstående punkter skal vurderes ud fra kundens konkrete adgangsrettigheder:

a) Beskyttelse af informationsaktiver inkl.:1. beskyttelsesprocedurer, herunder styring af kendte sårbarheder2. opklarende foranstaltninger til konstatering af eventuel kompromittering af virksomhedens informationsakti-

ver3. foranstaltninger til sikring af informationsaktivernes integritet4. begrænsninger vedrørende kopiering og videregivelse af oplysninger

b) beskrivelse af det produkt eller den serviceydelse, kunden får adgang til

c) den forretningsmæssige begrundelse for at give kunden adgang

d) adgangskontrolforanstaltninger, herunder:1. tilladte adgangs- og identifikationsmetoder2. brugerautorisation og rettighedstildeling3. præcisering af at enhver uautoriseret adgang er forbudt4. procedure for spærring af adgangsrettigheder

e) procedurer for rapportering, advisering og efterforskning af kompromittering og andre sikkerhedshændelser ogbrud på sikkerheden

f) en beskrivelse af de tilgængelige serviceydelser

g) serviceydelsernes kvalitetsmål

h) virksomhedens ret til at overvåge og afbryde den aftalte serviceydelse

i) virksomhedens og kundens ansvarsforpligtelser

j) eventuelle lovgivningskrav og deres konsekvenser

k) ophavsrettigheder.

BemærkningerIngen.

6.2.3 Samarbejdsaftaler

SikringsforanstaltningEthvert formaliseret eksternt samarbejde skal være baseret på en samarbejdsaftale, som sikrer, at virksomhedenssikkerhedsmålsætning ikke kompromitteres.

ImplementeringsretningslinjerFølgende punkter skal vurderes ved indgåelse af aftalen:

a) virksomhedens informationssikkerhedsmålsætning

b) de aftalte sikringsforanstaltninger som eksempelvis:1. procedurer til beskyttelse af virksomhedens informationsaktiver2. eventuelle fysiske beskyttelsesforanstaltninger3. beskyttelse mod skadevoldende programmer, jf. 10.4.14. procedurer for konstatering af eventuelle sikkerhedsbrud5. procedurer for returnering eller destruktion af information ved aftalens udløb eller på andet aftalt tidspunkt (se

eksempelvis Persondatalovens § 41, stk. 4)6. procedurer til beskyttelse af integritet, tilgængelighed og autenticitet7. restriktioner vedrørende kopiering og videregivelse

c) brugeruddannelse

d) brugerbevidstgørelse

e) mulighed for eventuel udveksling af personale

30

DS 484:2005

f) ansvaret for installation og vedligehold af informationsbehandlingsudstyr og programmel

g) rapporteringsomfang, -struktur og -format

h) procedurer for ændringsstyring

i) adgangskontrolprocedurer1. den forretningsmæssige begrundelse for at give samarbejdspartneren adgang2. tilladte adgangs- og identifikationsmetoder3. autorisationsprocedure for brugeradgang og tildeling af rettigheder med præcisering af, at adgangstildeling

og -rettigheder skal være strengt arbejdsbetinget4. krav til lister over brugeradgang og -beføjelser5. præcisering af at enhver uautoriseret adgang er forbudt6. procedure for spærring af adgangsrettigheder

j) procedurer for rapportering og efterforskning af sikkerhedsbrud og -hændelser samt overtrædelse af samar-bejdsaftalen

k) beskrivelse af det informationsbehandlingsudstyr, de systemer og de informationer (inkl. klassifikation, jf. 7.2.1),der er omfattet af aftalen

l) det aftalte kvalitetsmål for serviceydelsen

m) beskrivelse af de aftalte servicemål, deres overvågning og afrapportering

n) retten til at overvåge og afbryde den aftalte serviceydelse

o) retten til revision af kontraktens overholdelse, evt. ved brug af ekstern revisor

p) eskaleringsprocedure ved problemhåndtering

q) beredskabsplaner, herunder krav til maksimal retableringstid

r) de respektive parters ansvarsforhold i relation til aftalen

s) ansvarlighed i forhold til lovbestemmelser, fx Persondataloven. Dette er specielt vigtigt ved aftaler med uden-landske samarbejdspartnere

t) forhold omkring ophavsrettigheder og licenser

u) aftaleforhold i forbindelse med samarbejdspartnerens eventuelle underleverandører

v) betingelserne for genforhandling/afslutning af samarbejdsaftalen1. ved brud på aftalen2. ved ændringer til sikkerhedskravene3. dokumentationen af aftalens indhold og omfang, licenser, aftaler og rettigheder skal til stadighed holdes

ajour.

BemærkningerHvis samarbejdsaftalen vedrører drifts- og vedligeholdelsesydelser hos en driftsleverandør (outsourcing/facility ma-nagement el.lign.), skal aftalen beskrive, hvorledes leverandøren vil sikre det aftalte sikkerhedsniveau ved ændrin-ger i risikobilledet. Endvidere skal alle forhold i forbindelse med en eventuel afbrydelse af samarbejdet være beskre-vet, specielt hvis afbrydelsen skyldes leverandørens manglende evne til at levere den aftalte ydelse.

31

DS 484:2005

7 Styring af informationsrelaterede aktiver

7.1 Identifikation af og ansvar for informationsrelaterede aktiver

FormålAt sikre og vedligeholde den nødvendige beskyttelse af virksomhedens informationsaktiver.

Alle virksomhedens fysiske og funktionsmæssige informationsrelaterede aktiver skal identificeres, og der skal udpe-ges en ansvarlig “ejer”.

7.1.1 Fortegnelse over informationsaktiver

SikringsforanstaltningAlle informationsaktiver skal identificeres, og der skal etableres en ajourført fortegnelse over alle væsentlige aktiver.

ImplementeringsretningslinjerI forbindelse med identifikationen og registreringen skal aktivets betydning for virksomheden vurderes. Herudfrafastlægges aktivets behov for beskyttelse.

Yderligere fastlægges og registreres aktivets ejer, jf. 7.1.2, og dets sikkerhedsklassifikation, jf. 7.2, samt dets fysiskeplacering (for fysiske aktiver).

BemærkningerVirksomhedens informationsrelaterede aktiver er eksempelvis:

• informationsaktiver: databaser, filer, systemdokumentation, interne håndbøger, undervisningsmateriale, drifts-vejledninger, beredskabsplaner, nødplaner, kontrakter

• systemaktiver: brugersystemer, styresystemer, udviklings- og hjælpeværktøjer

• fysiske aktiver: informationsbehandlingsudstyr, kommunikationsudstyr, lagringsmedier, nødstrømsforsyning,møbler, lokaler

• serviceaktiver: serviceydelser, kritiske forretningsgange, forsyninger

• menneskelige aktiver: medarbejdere, deres kvalifikationer, ekspertise og erfaring

• immaterielle aktiver som omdømme og goodwill.

Fortegnelsen over virksomhedens aktiver bidrager til at sikre en effektiv retablering ved større uheld og kan ogsåindgå i andre forretningsmæssige sammenhænge som eksempelvis forsikringsovervejelser og virksomhedenssamlede risikostyring. Yderligere vejledning kan findes i ISO/IEC TR 13335-3.

7.1.2 Ejerskab

SikringsforanstaltningHvert informationsrelateret aktiv skal have udpeget en ejer.

ImplementeringsretningslinjerMed ejer menes en person eller en organisatorisk enhed, som har fået tildelt det ledelsesmæssige ansvar for be-handling, vedligeholdelse og anvendelse af samt adgang til et givet aktiv. En ejer har således ikke nødvendigvis no-get juridisk ejerskab af aktivet.

Ejerskab skal udpeges til de i 7.1.1 nævnte aktiver, herunder:

1. de overordnede forretningsprocesser

2. de enkelte forretningsgange

3. de enkelte informationsbehandlingssystemer

4. Dde enkelte databaser.

Det er ejerens ansvar:

a) at sikre, at aktivet er klassificeret

32

DS 484:2005

b) at fastlægge og løbende revurdere adgangsrettigheder i overensstemmelse med virksomhedens generelle ad-gangspolitik.

BemærkningerEjerens opgaver kan delegeres til en anden medarbejder, men ansvaret påhviler stadig ejeren.

I komplekse informationsbehandlingssystemer kan det være hensigtsmæssigt at gruppere flere sammenhængendeaktiver i en samlet funktion eller ydelse og placere det samlede ansvar hos en ejer.

7.1.3 Accepteret brug af aktiver

SikringsforanstaltningDer skal foreligge retningslinjer for accepteret brug af virksomhedens informationsaktiver.

ImplementeringsretningslinjerAlle brugere skal være informeret om og følge virksomhedens retningslinjer for accepteret anvendelse af virksom-hedens informationsaktiver, herunder:

a) brugen af elektronisk post og internet

b) brugen af mobilt udstyr, specielt uden for virksomheden.

BemærkningerAlle brugere skal ligeledes være informeret om sanktionerne ved misbrug, jf. 8.2.3.

7.2 Klassifikation af informationer og data

FormålAt sikre at informationsaktiver får et passende beskyttelsesniveau.

Virksomhedens kritiske informationer og data skal identificeres og klassificeres. Informationer og data kan have va-rierende sensitivitets- og væsentlighedskriterier – nogle har behov for særlige sikringsforanstaltninger og specielleprocedurer for at sikre informationernes tilgængelighed, integritet og fortrolighed.

7.2.1 Klassifikation

SikringsforanstaltningInformationer og data skal klassificeres på grundlag af forretningsmæssig værdi, følsomhed og behovet for fortro-lighed.

ImplementeringsretningslinjerKlassifikation af og det hertil hørende sikkerhedsniveau for informationer og data skal afbalanceres mellem behovetfor brugernes indsigt og nødvendigheden af at pålægge adgangsrestriktioner, vurderet ud fra konsekvenserne, hvisuautoriserede får adgang.

Klassifikationsproceduren skal omfatte en periodisk revurdering, jf. 11.1.1.

Den udpegede ejer, jf. 7.1.2, er ansvarlig for klassifikationen og den periodiske revurdering.

Klassifikationen skal tage hensyn til den “ophobningseffekt”, der omtales i 10.7.2.

BemærkningerI Statsministeriets cirkulære nr. 204 af 7. december 2001 vedrørende sikkerhedsbeskyttelse af informationer af fællesinteresse for landene i NATO, EU eller WEU, andre klassificerede informationer samt informationer af sikkerheds-mæssig beskyttelsesinteresse i øvrigt findes en referencemodel for, hvorledes en klassifikationsordning kan etable-res.

En noget mindre omfattende klassifikation kunne være følgende:

• Offentlige informationer og data – defineret som informationer og data, som alle, der udtrykker et ønske om det,kan få adgang til, fx salgs- og brochuremateriale.

33

DS 484:2005

• Interne informationer og data – defineret som informationer og data, der kun må anvendes og kommunikeres in-ternt, og som i den daglige drift er nødvendige for de brugere, der skal anvende dem, fx styklister og rabatordnin-ger.

• Følsomme informationer og data – defineret som de informationer og data, som kun særligt betroede brugere kanfå adgang til for at kunne udøve deres betroede arbejdsfunktioner, og hvor et brud på fortroligheden kan have ska-delig virkning for virksomheden eller dens samarbejdspartnere, fx personrelaterede data, kontrakter, produk-tions-, proces- eller regnskabsdata.

• Fortrolige informationer og data – defineret som informationer og data, der har en særlig sensitiv karakter, somkun ledelsen kan få adgang til, eller informationer som kun særligt betroede medarbejdere får adgang til i forbin-delse med betroede arbejdsfunktioner, og hvor et brud på fortroligheden kan have særdeles skadelig virkning, fxoplysninger vedrørende samarbejde med advokat, revisor, myndigheder, samt oplysninger om provisioner, re-cepter, patentforslag, omsætnings- og lønningsforhold.

Alt for komplekse klassifikationssystemer vil ofte være unødigt ressourcekrævende. Man skal endvidere være op-mærksom på, at behovet for beskyttelse kan ændre sig hurtigt for mange typer af data.

7.2.2 Mærkning og håndtering af informationer og data

SikringsforanstaltningDer skal være en procedure for mærkning og håndtering af virksomhedens informationer og data.

ImplementeringsretningslinjerProceduren skal omfatte både fysiske og elektroniske informationsaktiver.

Følsomme/fortrolige data skal mærkes i henhold til deres klassifikation.

For hvert klassifikationsniveau skal der være retningslinjer for behandling, lagring, transmission og destruktion samtden hertil relaterede logning.

Ved samarbejde med andre virksomheder skal begge parters mærkningsregler være aftalt.

BemærkningerHvis det ikke er muligt at anvende fysisk mærkning, må andre mærkningsteknikker anvendes, fx via brugervejled-ninger eller som en tekst på et skærmbillede.

34

DS 484:2005

8 Medarbejdersikkerhed

8.1 Sikkerhedsprocedure før ansættelse

FormålAt sikre at alle nye medarbejdere er opmærksomme på deres særlige ansvar og rolle i forbindelse med virksomhe-dens informationssikkerhed for derigennem at minimere risikoen for menneskelige fejl, tyveri, svindel og misbrug afvirksomhedens informationsaktiver.

Sikkerhedsansvar skal være fastlagt før ansættelsen gennem en fyldestgørende stillingsbeskrivelse og i form af vil-kår i ansættelseskontrakten.

Alle ansøgere til såvel faste som midlertidige stillinger skal kontrolleres før en aftale indgås, specielt hvis de skal va-retage følsomme opgaver i virksomheden.

Medarbejdere, der anvender virksomhedens systemer, skal, hvor det er relevant, underskrive en tavshedserklæring,jf. 6.1.5.

8.1.1 Opgaver og ansvar

SikringsforanstaltningSikkerhedsopgaver og -ansvar skal være fastlagt i overensstemmelse med virksomhedens retningslinjer og infor-mationssikkerhedspolitik (jf. 5.1).

ImplementeringsretningslinjerBeskrivelsen af sikkerhedsopgaver og -ansvar skal omfatte medarbejderens ansvar for:

a) at overholde virksomhedens sikkerhedsretningslinjer og -politik

b) at beskytte virksomhedens informationsaktiver mod misbrug

c) eventuelle specifikke sikkerhedsopgaver

d) egne handlinger

e) at rapportere sikkerhedshændelser og -trusler.

Sikkerhedsopgaver og -ansvar skal være klart definerede og forklares tydeligt til ansøgere under ansættelsessamta-len.

BemærkningerStillings- og funktionsbeskrivelser kan bruges til at dokumentere roller og ansvar i forbindelse med sikkerhed. Perso-ner, der ikke gennemgår virksomhedens almindelige ansættelsesprocedure, fx konsulenter og vikarer, skal også in-formeres tydeligt om roller og ansvar i forbindelse med sikkerhed.

8.1.2 Efterprøvning

SikringsforanstaltningDer skal udføres en efterprøvning af ansøgere, før en aftale indgås. Efterprøvningen skal foretages i overensstem-melse med gældende lovgivning, regler og etik, og skal vurderes i forhold til virksomhedens krav til informationssik-kerhed og de relevante risici.

ImplementeringsretningslinjerEfterprøvningen skal tage hensyn til relevante love vedrørende privatlivets fred, datalovgivningen samt eventuellelokale regler for ansættelse. Efterprøvningen skal, hvor det er relevant, omfatte følgende:

a) en personlig reference

b) ansøgerens curriculum vitæ

c) uddannelser og professionelle kvalifikationer

d) identitetskontrol (fx gennem pas, kørekort eller lignende)

e) * straffeattest.

35

DS 484:2005

Når en medarbejder ansættes, forfremmes eller får nye opgaver og derigennem får adgang til (yderligere) informa-tioner eller systemer, skal virksomheden gennemføre en yderligere vurdering af medarbejderen, i særdeleshed hvisdenne skal behandle følsomme/fortrolige informationer, som fx finansielle informationer eller personoplysninger.

Der skal være beskrevet procedurer og kriterier for en sådan vurdering, fx om hvem der kan og må udføre den, samthvornår og hvorfor den udføres, og om den skal omfatte en straffeattest eller en særlig sikkerhedsgodkendelse.

Der skal gennemføres en tilsvarende efterprøvning af midlertidige ansatte. Hvor konsulenter og vikarer tilknyttesgennem et bureau, skal der i kontrakten med bureauet være tydelige regler for bureauets forpligtelser i forbindelsemed efterprøvning. Der skal være beskrevet regler for, hvorledes bureauet informerer virksomheden, hvis der veden efterprøvning findes oplysninger, der kan give anledning til bekymringer.

Ansøgeren skal informeres om, at der vil blive foretaget en efterprøvning.

BemærkningerIngen.

8.1.3 Aftale om ansættelse

SikringsforanstaltningSom en del af aftaleindgåelsen med såvel faste som midlertidige medarbejdere skal der underskrives en aftale/kon-trakt, der beskriver virksomhedens og medarbejderens ansvar og forpligtelser vedrørende informationssikkerhed.

ImplementeringsretningslinjerBetingelserne for ansættelsen skal referere til virksomhedens informationssikkerhedspolitik og -retningslinjer foru-den at uddybe og fastslå følgende:

a) underskrevet tavshedserklæring, hvis medarbejderen skal have adgang til fortrolige/følsomme informationer

b) det retslige ansvar og rettigheder for medarbejderen, fx angående ophavsret og datalovgivningen, jf. 15.1.1 og15.1.2

c) ansvaret for klassifikation og håndtering af virksomhedens data

d) medarbejderens ansvar i forbindelse med behandling af udefrakommende informationer

e) virksomhedens ansvar i forbindelse med håndtering af personfølsomme data vedrørende den ansatte

f) ansvar, der rækker udenfor virksomhedens fysiske område og normale arbejdstid, fx i tilfælde af arbejde hjem-mefra (se også 9.2.5 og 11.7.1)

g) retningslinjer for, hvad der skal ske, hvis medarbejdere ignorerer arbejdsgivers krav til sikkerhed (se også 8.2.3).

Hvor det er relevant, skal ansvaret og forpligtelserne, beskrevet i ansættelsesaftalen, være gældende i en fastlagt pe-riode efter endt ansættelsesforhold (se også 8.3).

BemærkningerIngen.

8.2 Ansættelsesforholdet

FormålAt sikre at alle medarbejdere er opmærksomme på relevante sikkerhedstrusler og sårbarheder, og at de har den for-nødne viden og uddannelse til at udføre deres daglige arbejde inden for rammerne af virksomhedens informations-sikkerhedspolitik og -retningslinjer.

Ledelsens ansvar skal beskrives med henblik på at sikre, at den ønskede informationssikkerhed opretholdes igen-nem hele ansættelsesperioden.

For at minimere mulige informationssikkerhedsrisici skal alle medarbejdere have et tilstrækkeligt opmærksomheds-niveau samt mulighed for uddannelse og træning i informationssikkerhedsprocedurer. En formel sanktionsproce-dure i tilfælde af sikkerhedsbrud skal være beskrevet og implementeret, jf. 8.2.3.

36

DS 484:2005

8.2.1 Ledelsens ansvar

SikringsforanstaltningLedelsen skal sikre sig, at alle medarbejdere implementerer og fastholder informationssikkerhed i overensstemmel-se med virksomhedens sikkerhedspolitik, retningslinjer og procedurer.

ImplementeringsretningslinjerLedelsens ansvar omfatter følgende for alle medarbejdere:

a) At de er blevet tilstrækkeligt informeret om deres roller og ansvar i forbindelse med sikkerhed, før de tildeles ad-gang til virksomhedens systemer og data.

b) At de er gjort bekendt med de nødvendige retningslinjer, således at de kan leve op til virksomhedens informati-onssikkerhedspolitik.

c) At de er motiverede for at leve op til virksomhedens informationssikkerhedspolitik og retningslinjer.

d) At de opnår et opmærksomhedsniveau i spørgsmål vedrørende informationssikkerhed, der er i overensstem-melse med deres roller og ansvar i virksomheden (jf. 8.2.2).

e) At de holder sig inden for de retningslinjer og bestemmelser, der er for ansættelsen, inkl. virksomhedens infor-mationssikkerhedspolitik og korrekte arbejdsmetoder.

BemærkningerHvis medarbejderne ikke gøres opmærksomme på deres ansvar i forbindelse med informationssikkerhed, kan de forårsage omfattende skade på virksomheden. Motiveret personale har en tilbøjelighed til at være mere pålideligeog skabe færre sikkerhedstruende hændelser.

Manglende ledelsesmæssig opmærksomhed kan gøre medarbejderne uengagerede, med det resultat at de er årsagtil forringet informationssikkerhed i virksomheden. Fx at informationssikkerhed ignoreres, eller at virksomhedensaktiver misbruges.

8.2.2 Uddannelse, træning og oplysning om informationssikkerhed

SikringsforanstaltningAlle virksomhedens medarbejdere skal løbende gøres opmærksomme på og uddannes i virksomhedens sikker-hedspolitik og -procedurer.

ImplementeringsretningslinjerLøbende opmærksomhedskampagner og træning skal indledes med en formel introduktion til virksomhedens in-formationssikkerhedspolitik og -forventninger og skal indeholde følgende:

a) virksomhedens krav til informationssikkerhed

b) ansvar ifølge dansk lovgivning

c) forretningsbetingede sikringsforanstaltninger

d) træning i korrekt anvendelse af virksomhedens systemer, fx log-on-procedurer

e) brug af systemer, hjælpeværktøjer og lignende

f) virksomhedens regler om sanktioner (jf. 8.2.3).

BemærkningerOplysning og træning skal være passende og relevant for medarbejdernes arbejdsopgaver, ansvarsområde og ev-ner og skal inkludere aktuelle informationer om kendte trusler, og hvem der skal kontaktes for yderligere råd an-gående informationssikkerhed.

8.2.3 Sanktioner

SikringsforanstaltningDer skal være en formel sanktionsprocedure for medarbejdere, der bryder virksomhedens retningslinjer for infor-mationssikkerhed.

37

DS 484:2005

ImplementeringsretningslinjerSanktionsproceduren for brud på informationssikkerheden må ikke igangsættes, før det med sikkerhed er konstate-ret, at der har været et brud på informationssikkerheden (se også 13.2.3 vedrørende indsamling af beviser).

Den formelle procedure skal sikre korrekt og fair behandling af medarbejdere, der er mistænkt for at have forårsagetet brud på informationssikkerheden. Proceduren skal give mulighed for en differentieret håndtering, afhængigt afomfanget og om det er personens første brud, eller om der er tale om gentagne brud på informationssikkerheden,samt om personen var tilstrækkeligt uddannet, om gældende lovgivning og kontrakter og om andre relevante fakto-rer.

BemærkningerEn konsekvent og kendt sanktionsprocedure vil have en præventiv effekt.

8.3 Ansættelsens ophør

FormålAt sikre en for medarbejderen korrekt og for virksomheden betryggende behandling af medarbejdere, når ansættel-sesaftalen ophører eller ændres.

Ansvar for proceduren ved medarbejderes fratrædelse skal være klart defineret og placeret, således at ansættelsensophør håndteres korrekt og betryggende, og sikre, at alt udlånt udstyr returneres, og at den fratrådtes adgangsret-tigheder ophører.

8.3.1 Ansvar ved ansættelsens ophør

SikringsforanstaltningAnsvaret for fratrædelsesproceduren skal være klart defineret og placeret, således at den fratrådte får klar beskedvedrørende sit ansvar efter endt ansættelse i virksomheden.

ImplementeringsretningslinjerVed ansættelsens ophør skal det sikres, at den fratrådte informeres om gældende krav til informationssikkerhedenog de juridiske regler, den fratrådte er underlagt. Hvis der i en tavshedserklæring eller i ansættelsesaftalen er forplig-telser, der løber efter fratrædelsen, skal den fratrådte informeres udtrykkeligt om disse før fratrædelsen.

BemærkningerDen personaleansvarlige er generelt ansvarlig for de overordnede procedurer i forbindelse med fratrædelser og ar-bejder sammen med den fratrådtes leder med henblik på at dække alle sikkerhedsaspekter ved fratrædelsen.

Det kan være nødvendigt at informere øvrige medarbejdere, leverandører og samarbejdspartnere om ændringer iansættelser og samarbejdsaftaler.

8.3.2 Returnering af aktiver

SikringsforanstaltningMedarbejderen skal aflevere alle udleverede virksomhedsaktiver ved samarbejdets ophør eller ved opsigelse.

ImplementeringsretningslinjerOpsigelsesproceduren skal være formel og dokumenteret og indeholde retningslinjer for returnering af alle udleve-rede virksomhedsaktiver, fx systemer, virksomhedsdokumenter, bærbart udstyr, kreditkort, adgangskort, manualersamt informationer lagret på andre medier.

I de tilfælde, hvor en medarbejder køber noget af virksomhedens udstyr eller anvender sit eget udstyr, skal procedu-ren sikre, at al lagret information på dette udstyr overføres til virksomheden og efterfølgende slettes fra det anvend-te udstyr.

I de tilfælde, hvor medarbejderen er i besiddelse af viden, der er vigtig for virksomheden, skal det sikres, at denne vi-den dokumenteres og overføres til virksomheden.

BemærkningerIngen.

38

DS 484:2005

8.3.3 Inddragelse af rettigheder

SikringsforanstaltningAlle medarbejderens adgangsrettigheder skal inddrages ved samarbejdets ophør.

ImplementeringsretningslinjerDet skal afgøres, om det er nødvendigt at slette disse rettigheder, eller om det blot er tilstrækkeligt af spærre disse.De rettigheder, der skal spærres eller slettes, inkluderer fysisk adgang, identifikationskort, adgang til systemer, abon-nementer, samt al yderligere dokumentation, der kan angive, at personen fortsat er tilknyttet virksomheden.

Ved vurderingen af rettighedsinddragelsen skal følgende faktorer overvejes:

a) om ansættelsesforholdet er blevet bragt til ophør af medarbejderen eller af virksomheden

b) medarbejderens ansvarsområde

c) værdien af de aktiver, der kan tilgås af den opsagte.

BemærkningerUnder særlige omstændigheder, hvor rettigheder er tildelt igennem et gruppe-ID, fx gennem et organisatorisk til-hørsforhold, og derfor er påkrævet for flere end den opsagte, skal der være retningslinjer, der sikrer, at alle øvrigepersoner med samme tilhørsforhold adviseres om, at den opsagte ikke længere må have adgang.

39

DS 484:2005

9 Fysisk sikkerhed

9.1 Sikre områder

FormålAt beskytte virksomhedens lokaler og informationsaktiver mod uautoriseret fysisk adgang samt fysiske skader ogforstyrrelser.

Kritisk informationsbehandlingsudstyr og tilhørende lagringsmedier skal huses i sikre områder beskyttet af de nød-vendige fysiske barrierer og adgangskontroller.

De fysiske beskyttelsesforanstaltninger skal afpasses efter de forretningsmæssige risici.

9.1.1 Fysisk afgrænsning

SikringsforanstaltningVirksomheden skal etablere en sikker fysisk afgrænsning for at beskytte områder med informationsbehandlingsud-styr og lagringsmedier.

ImplementeringsretningslinjerFølgende punkter skal implementeres:

a) De sikre områder skal være klart afgrænset og beskyttet i henhold til en risikovurdering og sikkerhedskravene forde informationsaktiver, der opbevares i området.

b) * Afgrænsningen og beskyttelsen skal være konsistent, dvs. uden svage punkter. Ydervæggene skal være solideog yderdøre skal være passende sikret med bolte, alarmer, låse m.m. Døre og vinduer skal være lukket, når deikke er overvåget. Vinduer i stueetage og andre steder med mulighed for adgang udefra skal være særligt sikret.

c) * Der skal være etableret fysisk adgangskontrol, så kun autoriserede personer kan få adgang.

d) Fysiske barrierer skal være udformet, så de forhindrer uautoriseret adgang og skader fra det fysiske miljø.

e) * Alle branddøre til et sikret område skal lukke automatisk og være forsynet med alarm.

f) Passende indbrudsalarmer skal være etableret og afprøvet regelmæssigt.

g) Virksomhedens eget informationsbehandlingsudstyr skal være adskilt fra eventuelle serviceleverandørers ud-styr.

BemærkningerInden for den fysiske afgrænsning kan der være behov for særligt sikre områder med yderligere beskyttelsesforan-staltninger. Dette skal afdækkes af risikovurderingen nævnt under punkt a).

9.1.2 Fysisk adgangskontrol

SikringsforanstaltningSikre områder skal beskyttes af adgangskontrol, så kun autoriserede personer kan få adgang.


a) * Gæster i sikre områder skal være overvåget eller sikkerhedsgodkendt og dato og tidspunkt for deres ankomstog afgang skal registreres. De skal kun have adgang med et godkendt formål og skal være instrueret om områ-dets sikkerheds- og nødprocedurer.

b) * Adgang til områder, hvor følsomme informationer behandles, skal være beskyttet med et adgangskontrolsy-stem, hvor enhver adgang logges.

c) * Alle personer skal bære en synlig identifikation.

d) En serviceleverandør kan kun få adgang til sikre områder, når dette er påkrævet, jf. 6.2.3 l) og 9.1.5 b).

e) * Adgangsrettigheder til sikre områder skal gennemgås og ajourføres regelmæssigt.

40

DS 484:2005

BemærkningerIngen.

9.1.3 Sikring af kontorer, lokaler og udstyr

SikringsforanstaltningEn virksomhed skal tilrettelægge en passende fysisk sikkerhed for kontorer, lokaler og udstyr.


a) Den fysiske sikkerhed skal tage hensyn til relevante helbreds- og sikkerhedsbestemmelser og standarder.

b) Forretningskritisk udstyr skal placeres så utilgængeligt for uvedkommende som muligt.

c) * Hvor det skønnes påkrævet, skal bygninger og lokaler, som benyttes til informationsbehandling og/eller -lag-ring være så lidt iøjnefaldende som muligt.

d) * Offentligt tilgængelige oplysninger må så vidt muligt ikke afsløre placeringen af sikre områder.

BemærkningerOpbevaring af eksempelvis kontormateriale bør ikke ske i sikre lokaler med kritisk informationsbehandlingsudstyr.

9.1.4 Beskyttelse mod eksterne trusler

SikringsforanstaltningEn virksomhed skal tilrettelægge sin fysiske sikkerhed, så skadevirkninger fra brand, oversvømmelser, jordskælv,eksplosioner, civile optøjer, terrorisme og andre former for natur- eller menneskeskabte trusler minimeres.

ImplementeringsretningslinjerVed tilrettelæggelsen skal der tages hensyn til skadevirkninger fra omgivelserne, naboer, trafikanlæg m.m.

Følgende punkter skal implementeres:

a) Farlige eller brandbare materialer skal lagres i sikker afstand fra sikre områder.

b) Reserveanlæg og -udstyr og datamedier med sikkerhedskopier skal opbevares i sikker afstand for at undgå ska-devirkninger fra et uheld på det primære anlæg.

c) Passende brandsikringsudstyr skal forefindes og være korrekt placeret, jf. gældende lovgivning.

BemærkningerIngen.

9.1.5 Arbejdsmæssige forhold i sikre områder

SikringsforanstaltningUd over de fysiske sikringsforanstaltninger skal der etableres forretningsgange og procedurer til beskyttelse af kriti-ske/følsomme informationsaktiver i sikre områder.

ImplementeringsretningslinjerFølgende foranstaltninger skal etableres:

a) Oplysninger om sikre områder og deres funktion skal alene gives ud fra et arbejdsbetinget behov.

b) * Arbejde i sikre områder skal så vidt muligt være overvåget.

c) * Ubenyttede lokaler i sikre områder skal være aflåst og inspiceres jævnligt.

d) * Uautoriseret optageudstyr såsom foto- og videoudstyr skal ikke være tilladt i sikre områder.

Sikringsforanstaltningerne gælder også for eksterne leverandører, jf. 6.2.3.

41

DS 484:2005

BemærkningerIngen.

9.1.6 Områder til af- og pålæsning med offentlig adgang

SikringsforanstaltningAf- og pålæsningsområder samt andre områder, hvor offentligheden kan få adgang, skal være overvåget.


a) Adgang til af- og pålæsningsområder udefra skal så vidt muligt begrænses til identificerede og autoriserede per-soner.

b) Af- og pålæsningsområder skal være etableret, så leverandører ikke får uautoriseret adgang til virksomhedensøvrige områder.

c) * Yderdøre til et af- og pålæsningsområde skal være lukkede, når indvendige døre er åbne.

d) * Leveret materiale skal inspiceres for mulige trusler, jf. 9.2.1 d), før materialet viderebringes fra aflæsningsområ-det.

e) Leverancer skal registreres i overensstemmelse med retningslinjerne for lagerstyring, jf. 7.1.1.

f) * Indkommende og udgående leverancer skal så vidt muligt adskilles fysisk.

BemærkningerOvervågning af områder med offentlig adgang skal følge lovgivningens krav.

9.2 Beskyttelse af udstyr

FormålAt undgå tab af, skader på eller kompromittering af virksomhedens informationsaktiver samt forstyrrelser af virk-somhedens forretningsaktiviteter.

Udstyr skal beskyttes mod fysiske trusler.

Beskyttelse af udstyr, herunder også eksternt placeret udstyr, er påkrævet for at minimere risikoen for uautoriseretdataadgang, tab og skader. Beskyttelsesforanstaltningerne skal også omfatte destruktion af forældet eller beskadi-get udstyr samt nødvendige forsyninger som el, vand og ventilation samt kabelinstallationer.

9.2.1 Placering af udstyr

SikringsforanstaltningUdstyr skal placeres eller beskyttes, så risikoen for skader og uautoriseret adgang minimeres.


a) Udstyr skal placeres, så behovet for uvedkommendes adgang til arbejdsområdet minimeres.

b) Udstyr, hvorpå der behandles kritiske/følsomme informationer, skal placeres, så informationerne ikke kan ses afuvedkommende.

c) Udstyr, som kræver særlig beskyttelse, skal placeres særskilt for at undgå unødige generelle beskyttelsesforan-staltninger.

d) Udstyr skal placeres eller beskyttes, så risikoen for mulige fysiske trusler som tyveri, brand, varme, eksplosioner,røg, vand, støv, rystelser, kemiske påvirkninger, strømforstyrrelser, kommunikationsforstyrrelser, elektromagne-tisk stråling, hærværk osv. minimeres.

e) Der skal være klare retningslinjer for fortæring og rygning i nærheden af udstyr.

f) * Trusler fra omgivelserne, som eksempelvis temperatur og fugtighed, skal overvåges.

42

DS 484:2005

g) * Der skal være etableret beskyttelse mod lyn og overspænding på alle indkommende elektricitets- og kommuni-kationslinjer, jf. DS/IEC 1024-1.

h) I særligt forurenende områder skal særlige beskyttelsesforanstaltninger etableres, fx beskyttelse af tastatur.

i) * Udstyr, der benyttes til behandling af følsomme informationer, skal om fornødent beskyttes mod udstråling forat undgå kompromittering.

BemærkningerGrænseværdier for temperaturer og relativ luftfugtighed kan findes i DS/EN 1047.

9.2.2 Forsyningssikkerhed

SikringsforanstaltningUdstyr skal sikres mod forsyningssvigt i overensstemmelse med udstyrets betydning for kritiske forretningssyste-mer.

ImplementeringsretningslinjerFølgende forhold skal indgå i sikringen:

a) Alle forsyninger som elektricitet, vand, kloak, varme og ventilation skal have den fornødne kapacitet og løbendeinspiceres for at forebygge uheld.

b) * Kritisk udstyr skal forsynes med elektricitet via nødstrømsanlæg (uninteruptible power supply – UPS), som sik-rer en hensigtsmæssig nedlukning ved svigt i den primære elektricitetsforsyning. Nødstrømsanlæg skal testesregelmæssigt.

c) * Der skal foreligge en nødplan for svigt af nødstrømsanlægget, jf. pkt. 14.

d) * Hvis de kritiske forretningssystemer tilsiger det, skal der etableres alternativ strømforsyning med egen genera-tor. Den alternative strømforsyning skal testes regelmæssigt, og brændstofbeholdningen skal løbende kontrolle-res.

e) * Der skal være nødafbrydere nær nødudgangene og nødbelysning i rum med informationsbehandlingsudstyr.

f) * Vandforsyningen skal være stabil og tilstrækkelig til eventuelle køle-, befugtnings- og brandbekæmpelsesan-læg, og der skal være alarm ved svigtende vandforsyning.

g) * Telekommunikationsforbindelser for kritiske forretningssystemer skal etableres via minimum to adgangsveje.

BemærkningerEn forøgelse af forsyningssikkerheden kan opnås ved at etablere flere forsyningsindgange, fx for elektricitetsforsy-ningen.

9.2.3 Sikring af kabler

SikringsforanstaltningKabler til elektricitetsforsyning og datakommunikation skal være sikret mod skader og uautoriserede indgreb.

ImplementeringsretningslinjerFølgende punkter skal indgå i sikringen:

a) Kabler til elektricitet og datakommunikation skal så vidt muligt fremføres under jorden eller beskyttes på andenvis.

b) * Kabler til datakommunikation skal beskyttes mod uautoriserede indgreb og skader, fx ved fremføring i rør.

c) * Elektricitetskabler skal være etableret på en sådan måde, at interferens med datakommunikationskabler und-gås.

d) Faste kabler og udstyr skal mærkes klart og entydigt.

e) Dokumentationen skal ajourføres ved enhver ændring af den faste kabelføring.

f) For kritiske eller følsomme forretningssystemer skal det overvejes:1. * at fremføre datakommunikationskabler i armerede rør og beskytte krydsfelter og endepunkter i aflåste

skabe

43

DS 484:2005

2. * at etablere alternative kommunikationsveje3. * at bruge lysleder4. * at beskytte kablerne med et elektromagnetisk skjold5. * at kontrollere netværket regelmæssigt for uautoriseret udstyr6. at begrænse den fysiske adgang til kabelfelter og -lokaler.

BemærkningerIngen.

9.2.4 Udstyrs og anlægs vedligeholdelse

SikringsforanstaltningUdstyr skal vedligeholdes efter forskrifterne for at sikre dets tilgængelighed og pålidelighed.

ImplementeringsretningslinjerFølgende punkter skal efterleves:

a) Udstyr skal vedligeholdes efter leverandørens anvisninger.

b) Kun godkendte personer må udføre reparationer og vedligeholdelse.

c) * Der skal føres log over alle fejl og mangler samt reparationer og forebyggende vedligeholdelse.

d) Hvis udstyr repareres eller vedligeholdes uden for virksomheden, skal det kontrolleres, at kritiske/følsomme in-formationer er slettet, jf. 9.2.6, eller at reparationsvirksomheden overholder de fornødne sikkerhedskrav, jf. 6.2.3.

e) Eventuelle forsikringskrav skal overholdes.

BemærkningerIngen.

9.2.5 Sikring af udstyr uden for virksomhedens overvågning

SikringsforanstaltningUdstyr, der benyttes uden for virksomheden, skal beskyttes efter samme retningslinjer, som gælder for udstyr indenfor virksomheden, under hensyntagen til de særlige risici ved ekstern anvendelse.

ImplementeringsretningslinjerUanset ejerskab skal behandling og lagring af virksomhedens informationsaktiver på udstyr uden for virksomhedengodkendes af ledelsen.

Følgende punkter skal efterleves:

a) Udstyr og databærende medier må ikke efterlades uovervågede på offentlige steder. Bærbart udstyr skal med-bringes som håndbagage under rejser.

b) * Leverandørens instruktioner for beskyttelse mod eksempelvis stærke magnetiske felter skal overholdes.

c) Hjemmearbejdspladser og deres kommunikationsforbindelser skal beskyttes i overensstemmelse med kravenetil de informationer og forretningssystemer, de benyttes til.

d) Forsikringsdækningen ved opbevaring og anvendelse af udstyr uden for virksomheden skal afklares.

BemærkningerSe 11.7.1 for yderligere retningslinjer vedrørende mobilt udstyr som eksempelvis mobiltelefoner og bærbart ellerhåndholdt udstyr.

9.2.6 Sikker bortskaffelse eller genbrug af udstyr

SikringsforanstaltningAlt udstyr med lagringsmedier skal kontrolleres for at sikre, at kritiske/følsomme informationer og licensbelagte sy-stemer er fjernet eller overskrevet, i forbindelse med at udstyret bortskaffes eller genbruges.

44

DS 484:2005

ImplementeringsretningslinjerEnheder med kritiske/følsomme informationer skal enten fysisk destrueres eller overskrives i henhold til en aner-kendt metode.

BemærkningerStandardslettefunktioner og reformatering er ikke tilstrækkelig beskyttelse, da informationerne stadig ligger på data-mediet.

9.2.7 Fjernelse af virksomhedens informationsaktiver

SikringsforanstaltningVirksomhedens informationsaktiver må ikke fjernes fra virksomheden uden fornøden autorisation.

ImplementeringsretningslinjerFølgende punkter skal efterleves:

a) Virksomhedens aktiver må ikke fjernes uden autorisation.

b) Det skal være kendt, hvem der kan tildele autorisation.

c) Udlån af udstyr skal være tidsbegrænset.

d) Hvis aktivets klassifikation eller forretningsmæssige værdi tilsiger det, skal det registreres, når aktivet fjernes, ognår det returneres.

e) Hvis en risikovurdering tilsiger det, skal der indføres stikprøvevis kontrol med uautoriseret fjernelse.

f) Hvis der er etableret stikprøvekontrol, skal dette være kendt i virksomheden.

BemærkningerIngen.

45

DS 484:2005

10 Styring af netværk og drift

10.1 Operationelle procedurer og ansvarsområder

FormålAt sikre en korrekt og betryggende driftsafvikling af virksomhedens informationssystemer.

Ansvar og retningslinjer for styring og drift af virksomhedens informationssystemer skal være fastlagt. Herunderdriftsinstruktioner og reaktionsprocedurer til imødegåelse af uønskede hændelser.

For at reducere risici på grund af uagtsomhed eller overlagt misbrug skal funktionsadskillelse gennemføres, hvor deter relevant.

10.1.1 Driftsafviklingsprocedurer

SikringsforanstaltningDriftsafviklingsprocedurer for forretningskritiske systemer skal være dokumenterede, ajourførte og tilgængelige fordriftsafviklingspersonalet og andre med et arbejdsbetinget behov.

ImplementeringsretningslinjerDriftsafviklingsprocedurer er en del af virksomhedens informationsaktiver og skal derfor indgå i en formaliseret æn-dringsstyring, herunder en ledelsesmæssig godkendelse. Procedurerne skal omfatte samtlige informationsbehand-lingsopgaver, herunder:

a) behandling og håndtering af information

b) sikkerhedskopiering, jf. 10.5

c) afviklingsplanlægning, herunder driftsmæssige bindinger til andre systemer og fastlagte tidsterminer

d) fejl- og undtagelseshåndtering, herunder begrænsninger vedrørende brug af systemhjælpeværktøjer, jf. 11.5.4

e) kontaktpersoner ved operationelle eller tekniske problemer

f) procedurer for håndtering af særlige uddata og databærende medier, eksempelvis brug af særlige blanketter el-ler håndtering af fortrolige/følsomme uddata, herunder også sikker destruktion af fejlbehæftede uddata, jf. 10.7.2og 10.7.3

g) retablerings- og genstartsprocedurer ved systemfejl

h) styringen af kontrolspor og øvrige systemtekniske logninger, jf. 10.10.

Hvor det er teknisk muligt, skal virksomhedens informationssystemer styres og dokumenteres efter ensartede ret-ningslinjer.

BemærkningerIngen.

10.1.2 Ændringsstyring

SikringsforanstaltningÆndringer til forretningskritisk informationsbehandlingsudstyr, -systemer og -procedurer skal styres gennem enformaliseret procedure.

ImplementeringsretningslinjerProceduren skal indeholde følgende:

a) entydig identifikation og registrering af væsentlige ændringer

b) krav til planlægning og afprøvning af ændringer

c) vurdering af ændringens konsekvenser, herunder sikkerhedskonsekvenser inkl. konsekvenser for beredskabs-planen, jf. 14.1.5

d) en formaliseret godkendelsesprocedure

e) en informationsformidlingsprocedure

46

DS 484:2005

f) nødprocedure ved fejlslagne ændringer

g) logningsprocedure, jf. 10.10.

BemærkningerMangelfuld ændringsstyring er en af de hyppigste årsager til uheld og nedbrud, specielt overgangen fra udvikling tildrift kan være kritisk, jf. 12.5.1.

Ændringer bør kun gennemføres, når de er forretningsmæssigt velbegrundede. Det bør nøje overvejes om eksem-pelvis enhver systemteknisk ændring fra en systemleverandør er relevant.

10.1.3 Funktionsadskillelse

SikringsforanstaltningFunktionsadskillelse er en organisatorisk sikringsforanstaltning til minimering af risikoen for fejlagtig eller bevidstmisbrug af systemer. Der skal etableres funktionsadskillelse for at minimere risikoen for uautoriserede eller utilsigte-de ændringer eller misbrug af virksomhedens informationsaktiver.

ImplementeringsretningslinjerDet skal sikres, at samme person ikke har adgang til at tilgå, ændre og anvende informationsaktiver, uden at dette ergodkendt eller vil blive opdaget. Samme person må ikke både godkende og initiere en given handling. Ved tilrette-læggelse af funktionsadskillelse skal risikoen for indbyrdes aftaler medarbejderne imellem indgå.

Hvis funktionsadskillelse ikke kan gennemføres i eksempelvis mindre virksomheder, skal der iværksættes kompen-serende kontrolforanstaltninger, fx overvågning, logning eller lignende.

BemærkningerIngen.

10.1.4 Adskillelse mellem udvikling, test og drift

SikringsforanstaltningUdviklings-, test- og driftsaktiviteter skal adskilles for at undgå uautoriseret adgang til eller ændringer i driftsmiljøet.

ImplementeringsretningslinjerFølgende punkter skal være implementeret:

a) Retningslinjer for overførsel af forretningskritiske systemer fra udviklings- og testmiljøet til driftsmiljøet.

b) * Udviklings- og testmiljøet skal være systemteknisk eller fysisk adskilt fra driftsmiljøet.

c) Udviklings- og hjælpeværktøjer må kun findes i driftsmiljøet, hvis det er påkrævet, jf. 11.5.4.

d) Testmiljøet skal være så identisk med driftsmiljøet som muligt.

e) * Hvis en bruger har behov for adgang til både udviklings-, test- og driftsmiljøerne, skal vedkommende benytteforskellige brugerprofiler.

f) Følsomme/fortrolige data må ikke benyttes i udviklings- og testmiljøet, medmindre adgangskontrolforanstaltnin-gerne er lige så restriktive som i driftsmiljøet, jf. 12.4.2.

BemærkningerManglende adskillelse mellem udvikling, test og drift er en af de største trusler mod både tilgængelighed, integritetog fortrolighed, hvad enten truslen skyldes uagtsomhed eller bevidst misbrug.

10.2 Ekstern serviceleverandør

FormålAt sikre implementeringen og opretholdelsen af det ønskede sikkerhedsniveau ved samarbejde med en ekstern ser-viceleverandør, idet virksomheden skal være opmærksom på, at den fortsat har det overordnede ansvar for infor-mationssikkerheden.

47

DS 484:2005

Virksomheden skal verificere implementeringen af det aftalte sikkerhedsniveau og løbende overvåge, at niveauetfastholdes, og at eksempelvis ændringer i serviceleverandørens driftsmiljø ikke forringer sikkerhedsniveauet.

Der skal være udpeget en ansvarlig kontakt både i virksomheden og hos serviceleverandøren.

10.2.1 Serviceleverancen

SikringsforanstaltningVirksomheden skal sikre sig, at der er indgået en aftale, og at de aftalte sikrings- og kontrolforanstaltninger, servicey-delser og servicemål bliver etableret, leveret og opretholdt, jf. 6.2.

ImplementeringsretningslinjerFor at sikre aftalens overholdelse er det vigtigt, at virksomheden løbende har indsigt i og forholder sig kritisk til:

a) serviceleverandørens løbende kapacitetstilpasning

b) kvaliteten af og realismen i serviceleverandørens beredskabsplaner.

Herudover skal en eventuel overgangsperiode planlægges omhyggeligt.

BemærkningerIngen.

10.2.2 Overvågning og revision af serviceleverandøren

SikringsforanstaltningVirksomheden skal regelmæssigt overvåge serviceleverandøren, gennemgå de aftalte rapporter og logninger samtudføre egentlige revisioner, for at sikre at aftalen overholdes, og at sikkerhedshændelser og -problemer håndteresbetryggende.

ImplementeringsretningslinjerFølgende aktiviteter skal gennemføres løbende:

a) overvågning af det aftalte serviceniveau

b) * regelmæssige møder med gennemgang af driftsrapport, herunder sikkerhedshændelser

c) gennemgang af og opfølgning på sikkerhedshændelser, driftsproblemer, fejl og nedbrud

d) gennemgang af sikkerheds- og driftsrelaterede logninger

e) indgåelse af aftale, planlægning og opfølgning på løsningen af udestående problemer.

BemærkningerDen egentlige revision skal gennemføres af en anerkendt revisionsvirksomhed, jf. 6.2.3. Det kan eventuelt være ser-vicevirksomhedens egen revisor, som i så fald afgiver en erklæring om revisionen og dens resultat. Hvis revisor ob-serverer væsentlige forhold, der kræver umiddelbare foranstaltninger, skal det være aftalt, at han varskor begge par-ter.

10.2.3 Styring af ændringer hos ekstern serviceleverandør

SikringsforanstaltningVirksomheden skal sikre sig, at ændringsstyring af serviceleverandørens ydelser følger samme retningslinjer somvirksomhedens egen ændringsstyring, jf. 10.1.2.

ImplementeringsretningslinjerÆndringsstyring hos en serviceleverandør skal tage højde for følgende specielle forhold:

a) * virksomhedens egne ændringsønsker:1. udvidelser af de eksisterende serviceydelser2. udvikling af nye systemer3. ændringer i virksomhedens politikker og procedurer4. nye sikringsforanstaltninger til forbedring af sikkerheden

48

DS 484:2005

b) * serviceleverandørens ændringsønsker:1. ændringer af netværk2. ny teknologi3. nye styresystemer eller nye versioner af eksisterende4. nye udviklingsværktøjer og -miljøer5. bygningsmæssige ændringer6. nye underleverandører.

BemærkningerKravene til ændringsstyring skal også omfatte eventuelle underleverandører, jf. 6.2.3 u).

10.3 Styring af driftsmiljøet

FormålAt minimere risikoen for teknisk betingede nedbrud.

En vis grad af langtidsplanlægning er påkrævet for at sikre tilstrækkelig kapacitet. Der skal derfor foretages en løben-de kapacitetsfremskrivning baseret på de forretningsmæssige forventninger til vækst og nye aktiviteter og de herafafledte kapacitetskrav.

10.3.1 Kapacitetsstyring

SikringsforanstaltningRessourceforbruget skal overvåges og tilpasses, og der skal foretages fremskrivninger af det forventede kapacitets-behov.

ImplementeringsretningslinjerKapacitetsstyring skal omfatte:

a) løbende overvågning og justering for at sikre optimal anvendelse af kapaciteten

b) * varslingssystemer som i tide advarer om eventuelle kapacitetsproblemer

c) de forretningsmæssige forventninger til ressourceforbruget i eksisterende forretningssystemer

d) de forretningsmæssige forventninger til ressourcebehovet i nye forretningssystemer.

BemærkningerEn effektiv kapacitetsstyring er i særlig grad påkrævet for ressourcer med lang leveringstid eller relativt høje om-kostninger, hvor en unødig overkapacitet vil være økonomisk uforsvarlig.

10.3.2 Godkendelse af nye eller ændrede systemer

SikringsforanstaltningDer skal foreligge generelle godkendelseskriterier for nye systemer og nye versioner eller opdateringer af eksiste-rende systemer samt de afprøvninger, der skal foretages, før de kan godkendes og sættes i drift.

ImplementeringsretningslinjerFølgende punkter skal overvejes i forbindelse med godkendelsen:

a) systemets kapacitetskrav, herunder krav til svartider og lignende

b) fejlhåndtering og genstartsprocedurer samt beredskabsplaner

c) forberedelse og afprøvning af driftsprocedurerne i overensstemmelse med fastlagte driftsstandarder

d) aftalte sikkerhedsprocedurer

e) systemets krav til manuelle procedurer

f) systemets krav til retablering ved større uheld, jf. 14.1

g) vurdering af systemets indflydelse på eksisterende systemer

h) vurdering af systemets indflydelse på det generelle sikkerhedsniveau

49

DS 484:2005

i) systemets krav til særlig uddannelse og træning

j) brugervenlighed, da dette har betydning for brugerfejl og -effektivitet.

BemærkningerFor større eller kritiske systemer vil det være hensigtsmæssigt at involvere driftsafdelingen på et tidligt tidspunkt iudviklingsprocessen for at sikre størst mulig overensstemmelse med de driftsmæssige krav. Det kan endvidere inogle tilfælde være nødvendigt med en formaliseret efterprøvning af sikkerheden, før systemet sættes i drift.

10.4 Skadevoldende programmer og mobil kode

FormålAt beskytte mod skadevoldende programmer, som eksempelvis virus, orme, trojanske heste og logiske bomber.

Der skal træffes foranstaltninger til at forhindre og konstatere angreb af skadevoldende programmer.

Informationsbehandlingssystemer er sårbare over for angreb fra skadevoldende programmer. Beskyttelsen hviler ihøj grad på brugernes opmærksomhed og adfærd. Mobil kode udgør dog en særlig trussel, da den ikke forudsætterbrugerinitierede handlinger.

10.4.1 Beskyttelse mod skadevoldende programmer

SikringsforanstaltningDer skal etableres både forebyggende, opklarende og udbedrende sikrings- og kontrolforanstaltninger, herunderden nødvendige uddannelses- og oplysningsindsats for virksomhedens brugere af informationssystemer.

ImplementeringsretningslinjerFølgende foranstaltninger skal etableres:

a) Et formelt forbud mod anvendelse af uautoriserede systemer, jf. 15.1.2.

b) Præcise retningslinjer for håndtering af datafiler fra eksterne netværk eller andre eksterne medier, jf. 11.5.4 og11.5.5.

c) * Regelmæssig gennemgang af system- og datafiler til kritiske forretningssystemer, hvor uautoriserede filer ogsystemændringer undersøges omhyggeligt.

d) Installering og løbende opdatering af systemværktøjer til:1. at undersøge alle filoverførsler fra åbne netværk eller fra en ukendt eller uautoriseret kilde2. at undersøge al elektronisk post for vedhæftede filer eller anden tilknyttet programkode. Denne undersøgelse

bør gennemføres flere steder, fx i virksomhedens logiske netværksfilter, i udstyret til behandling af elektroniskpost eller i udstyret på den enkelte arbejdsplads

3. * at beskytte imod skadevoldende programmer fra internethjemmesider.

e) Dokumenterede procedurer for håndteringen, rapporteringen og udbedringen af angreb af skadevoldende pro-grammer, jf. 13.1 og 13.2.

f) En betryggende beredskabsplan, jf. pkt. 14.

g) * Procedurer som sikrer, at virksomheden løbende informeres fra seriøse og pålidelige kilder om nye trusler omog forholdsregler mod skadevoldende programmer.

h) Retningslinjer for, hvorledes medarbejderne skal reagere, hvis de rammes af et skadevoldende program eller afadvarsler mod skadevoldende programmer.

BemærkningerBeskyttelsen mod skadevoldende programmer kan i nogle situationer øges ved at benytte beskyttelsesværktøjer fraforskellige leverandører på virksomhedens driftsplatforme.

10.4.2 Beskyttelse mod mobil kode

SikringsforanstaltningAnvendelse af mobil kode skal begrænses til et afgrænset driftsmiljø.

50

DS 484:2005

ImplementeringsretningslinjerFølgende beskyttelsesforanstaltninger skal implementeres:

a) * Mobil kode må kun anvendes i et logisk eller fysisk isoleret driftsmiljø.

b) * Det skal ikke være muligt at anvende mobil kode i andre miljøer.

c) * Det skal ikke være muligt at modtage mobil kode i andre miljøer.

d) * Andre systemtekniske foranstaltninger til at beskytte mod mobil kode.

e) * Overvågning af potentielle adgangsveje for mobil kode.

f) * Sikre entydig kryptografisk autentifikation af mobil kode, jf. 12.3, hvis de forretningsmæssige behov nødven-diggør anvendelsen af mobil kode.

BemærkningerMobil kode anvendes hovedsageligt i forbindelse med mobile agentsystemer, eksempelvis ActiveX og Java Applets. Uhensigtsmæssig systemopsætning og utilstrækkelige sikringsforanstaltninger kan føre til alvorlige sikker-hedsbrud.

10.5 Sikkerhedskopiering

FormålAt sikre den ønskede tilgængelighed til virksomhedens informationsaktiver.

Der skal være etableret faste procedurer for sikkerhedskopiering og løbende afprøvning af kopiernes anvendelig-hed.

10.5.1 Sikkerhedskopiering

SikringsforanstaltningDer skal tages sikkerhedskopier af alle virksomhedens væsentlige informationsaktiver, herunder eksempelvis para-meteropsætninger og anden driftskritisk dokumentation, i henhold til fastlagte retningslinjer.

ImplementeringsretningslinjerFølgende punkter skal være implementeret:

a) Behovet for sikkerhedskopiering skal være fastlagt.

b) En fortegnelse over, hvilke data og systemer der skal sikkerhedskopieres, hvor hyppigt og på hvilke medier, samthvor og hvor længe de skal opbevares, jf. 15.1.3. Endvidere skal gendannelsesproceduren være beskrevet.

c) Omfanget og hyppigheden skal afspejle de forretningsmæssige behov og systemernes væsentlighed.

d) Sikkerhedskopier skal opbevares adskilt fra virksomhedens øvrige informationsbehandlingsudstyr, så et uheldikke vil skade sikkerhedskopierne.

e) Sikkerhedskopierne skal i øvrigt beskyttes i henhold til de omfattede datas klassifikation og det aftalte sikkerheds-niveau.

f) Sikkerhedskopier skal afprøves regelmæssigt for at sikre, at de stadig er anvendelige.

g) Gendannelsesprocedurer skal ligeledes afprøves regelmæssigt for at sikre, at de fungerer og kan udføres indenfor den aftalte tidsramme.

h) * Hvis fortrolighedskravet tilsiger det, skal sikkerhedskopierne beskyttes med kryptering.

BemærkningerSikkerhedskopiering kan i vid udstrækning automatiseres. Sådanne automatiserede løsninger skal afprøves omhyg-geligt, før de tages i brug.

10.6 Netværkssikkerhed

FormålAt beskytte transmitterede data og den underliggende infrastruktur.

51

DS 484:2005

Sikkerheden i netværk skal styres, specielt hvis følsomme/fortrolige informationer transmitteres over åbne netværk,jf. Persondataloven.

10.6.1 Netværket

SikringsforanstaltningNetværk skal beskyttes mod trusler for at sikre netværksbaserede systemer og de transmitterede data.

ImplementeringsretningslinjerDen netværksansvarlige skal sikre, at der er implementeret den fornødne beskyttelse mod uautoriseret adgang, her-under:

a) funktionsadskillelse, jf. 10.1.3

b) procedurer og ansvar for styring af netværksudstyr inkl. fjernarbejdspladser

c) * ved brug af åbne net og trådløse net skal behovet for særlig beskyttelse vurderes, jf. 11.4 og 12.3

d) de fornødne lognings- og overvågningsprocedurer skal være etableret, jf. 10.10

e) styringen af virksomhedens netværk skal koordineres for at sikre en optimal udnyttelse og et sammenhængendesikkerhedsniveau.

BemærkningerYderligere beskrivelse af netværkssikkerhed kan findes i ISO/IEC 18028 Network Security.

10.6.2 Netværkstjenester

SikringsforanstaltningAftalen vedrørende netværkstjenester skal beskrive de aftalte sikringsforanstaltninger og servicemål, uanset om tje-nesten leveres af en intern eller en ekstern leverandør.

ImplementeringsretningslinjerNetværksleverandørens evne til at efterleve de aftalte betingelser skal vurderes og løbende overvåges. Mulighedenfor en uvildig revision skal være aftalt.

Netværksleverandøren skal kunne levere:

a) de nødvendige teknologiske muligheder for autentifikation, kryptering og overvågning

b) de nødvendige tekniske opsætninger til at sikre opkoblinger i overensstemmelse med samarbejdsaftalen

c) adgangskontrol, som sikrer mod uvedkommendes adgang.

BemærkningerMan skal være opmærksom på, at aftalen med netværksleverandøren også kan omfatte supplerende ydelser someksempelvis logiske filtre og indbrudsalarmer.

10.7 Databærende medier

FormålDatabærende medier skal beskyttes og deres distribution skal styres i overensstemmelse med de lagrede datas klas-sifikation og forretningsmæssige betydning.

10.7.1 Bærbare datamedier

SikringsforanstaltningDer skal foreligge procedurer for modtagelse, registrering, behandling, opbevaring, forsendelse og sletning afbærbare datamedier som eksempelvis papir, magnetbånd, disketter, flytbare diske, mobile lagringsenheder, CD-rom’er m.m.

52

DS 484:2005

ImplementeringsretningslinjerProcedurerne skal være i overensstemmelse med de lagrede datas klassifikation og skal omfatte:

a) sletning af data, hvis datamediet skal genbruges

b) autorisation til og logning af flytning af bærbare datamedier, hvis de lagrede datas klassifikation og/eller krav omkontrolspor tilsiger det

c) opbevaring i overensstemmelse med de lagrede datas klassifikation og datamediets tekniske specifikationer, jf.10.7.3 f)

d) lagring på alternativt medium, hvis data skal være tilgængelige længere end datamediets angivne levetid

e) overvejelse af registrering af bærbare datamedier for at undgå datatab

f) forretningsmæssig begrundelse for eventuel adgang til at benytte bærbare datamedier.

Procedurer og eventuelle autorisationskrav skal være dokumenteret.

BemærkningerVed sletning af data skal der anvendes en metode, som i overensstemmelse med de pågældende datas klassifikati-on sikrer, at data ikke kan genskabes. En “reformatering” er ikke tilstrækkelig beskyttelse for følsomme/fortroligedata.

10.7.2 Destruktion af datamedier

SikringsforanstaltningDer skal foreligge en procedure for destruktion af datamedier, som ikke længere skal anvendes.

ImplementeringsretningslinjerProceduren for destruktion af datamedier skal være i overensstemmelse med de lagrede datas klassifikation medsærligt hensyn til beskyttelsen af følsomme oplysninger:

a) Destruktionsmetoden skal være effektiv, dvs. enten afbrænding, opstrimling eller lignende.

b) Der skal foreligge retningslinjer for de enkelte datamediers destruktionsmetode.

c) Hvis man benytter en ekstern leverandør til destruktion af virksomhedens datamedier, skal man sikre sig, at hanefterlever de aftalte sikkerhedskrav, jf. 6.2.1 og 6.2.3.

d) Destruktion af følsomme, fortrolige eller kritiske data skal logges af hensyn til kontrolsporet.

Ved valg af destruktionsmetode skal man være opmærksom på, at store mængder af lavt eller uklassificeret materi-ale kan blive mere følsomt på grund af “ophobningseffekten”.

BemærkningerLemfældige destruktions- og sletteprocedurer kan medføre, at uvedkommende får adgang til klassificerede oplys-ninger.

Det vil i mange tilfælde være enklere at foretage en sikker destruktion af samtlige kasserede datamedier uanset da-taindhold.

10.7.3 Beskyttelse af datamediers indhold

SikringsforanstaltningDer skal være forretningsgange for beskyttelse af følsomme og fortrolige data mod uvedkommende adgang og mis-brug.

ImplementeringsretningslinjerDer skal foreligge forretningsgange, som i overensstemmelse med klassifikationen sikrer beskyttelse af følsommeog fortrolige data såvel på bærbare arbejdsstationer, mobiltelefoner og andre håndholdte enheder som på doku-menter, disketter, magnetbånd, udskrifter, rapporter, CD-rom’er, mobile lagringsenheder, værdiblanketter m.m.:

a) håndtering og mærkning

53

DS 484:2005

b) adgangsbegrænsning

c) log over tildelte autorisationer

d) afstemningsprocedurer

e) beskyttelse af midlertidigt lagrede data

f) fysiske krav til opbevaringssted, fx temperatur og luftfugtighed ifølge leverandørens specifikationer

g) minimering af distribution

h) klar markering af alle kopier

i) regelmæssig gennemgang af distributions- og autorisationslister.

BemærkningerProcedurer for blanke værdiblanketter skal også omfatte kontrol med nummersekvens, opbevaring, forbrug og ma-kulering. Værdiblanketter findes som fx checks, betalingskort, betalingsoverførsler, postudbetalingskort, fakturaer,bestillinger, bekræftelser, følgesedler og andre blanketter, der kan have økonomiske konsekvenser.

10.7.4 Beskyttelse af systemdokumentation

SikringsforanstaltningSystemdokumentation kan indeholde fortrolige oplysninger, der beskriver et systems processer, datastrukturer, au-torisationer m.m., og skal derfor beskyttes mod uautoriseret adgang.

ImplementeringsretningslinjerFølgende foranstaltninger skal være implementeret:

a) systemdokumentation skal lagres sikkert

b) adgangsrettighederne skal holdes på et minimum og godkendes af systemets ejer

c) ved overførsler via åbne net skal dokumentationen beskyttes i overensstemmelse med dens forretningsmæssigebetydning.

BemærkningerSystemdokumentation kan indeholde en række følsomme oplysninger, eksempelvis behandlingsprocesser, dia-grammer, datastrukturer og autorisationsprocedurer.

10.8 Informationsudveksling

FormålAt fastholde informationssikkerheden under forsendelse, transmission og anden udveksling af information både in-ternt og eksternt.

Udveksling af information skal være baseret på faste retningslinjer, og der skal være procedurer og regler for be-skyttelse af information under forsendelse, transmission og anden udveksling.

10.8.1 Informationsudvekslingsretningslinjer og -procedurer

SikringsforanstaltningDer skal foreligge retningslinjer og procedurer for enhver form for informationsudveksling både fysisk og elektro-nisk.

ImplementeringsretningslinjerRetningslinjer og procedurer for informationsudveksling skal omfatte:

a) beskyttelse mod misbrug, modifikation, fejlforsendelser, tab og destruktion

b) forholdsregler til opdagelse af og beskyttelse mod skadevoldende programmer, jf. 10.4.1

c) geskyttelse af følsomme oplysninger i form af vedhæftede data

d) retningslinjer for virksomhedens brug af dataudvekslingsfaciliteter

e) brug af trådløs kommunikation

54

DS 484:2005

f) virksomhedens etiske regler for god opførsel for at undgå eksempelvis ærekrænkelser, chikane, kædebreve, uau-toriserede indkøb og udveksling af ulovligt materiale

g) * brug af kryptografiske teknikker til beskyttelse af fortrolighed, integritet og autenticitet, jf. 12.3

h) * opbevaring af meddelelser, som kan have betydning ved eventuelle retstvister

i) forbud mod at efterlade følsomme oplysninger i kopimaskiner, printere, faxmaskiner og lignende, hvis disse kantilgås af uvedkommende

j) sikringsforanstaltninger og begrænsninger ved videresendelse af elektroniske forsendelser, fx automatisk vide-resendelse af elektronisk post

k) retningslinjer for telefonisk udveksling af følsomme oplysninger for at undgå afsløring for uvedkommende speci-elt ved:1. brug af mobiltelefoner2. aflytning ved fysiske indgreb eller andet aflytningsudstyr3. medhør hos modtageren

l) forbud mod at efterlade beskeder indeholdende følsomme oplysninger på ubeskyttede telefonsvarere

m) retningslinjer for brug af telefax for at undgå:1. uautoriseret adgang til faxmaskinens hukommelse2. bevidst eller hændelig afsendelse til uvedkommende3. fejlagtige opkald

n) retningslinjer for videregivelse af elektroniske postadresser og lignende for at undgå uautoriseret anvendelse,eksempelvis uønsket post (spam-mail)

o) medarbejderne skal orienteres om, at moderne fax- og fotokopieringsmaskiner i tilfælde af fejl gemmer data,som automatisk udskrives, når fejlen er rettet.

Herudover skal der være retningslinjer for drøftelse af følsomme/kritiske oplysninger på offentligt tilgængelige ste-der.

BemærkningerInformationsudveksling kan ske via en række medier og services, fx trådløse og fysiske netværk, telefoni, samtale,DVD og video med forskellige sårbarheder.

10.8.2 Aftaler om informationsudveksling

SikringsforanstaltningDer skal foreligge aftaler om informationsudveksling, hvad enten udvekslingen sker fysisk eller elektronisk. Aftalenssikringsforanstaltninger skal være i overensstemmelse med klassifikationen af de informationer, der udveksles, ogderes forretningsmæssige betydning.

ImplementeringsretningslinjerFølgende skal specificeres:

a) placering og omfang af ansvar for styring af, kontrol med og varsling ved forsendelse eller transmission af infor-mation for såvel afsender som modtager

b) * procedurer for transmissionskvitteringer for såvel afsendelse som modtagelse

c) * procedurer til sikring af sporbarhed og uafviselighed

d) tekniske specifikationer for pakning, formatering og transmission

e) eventuelle deponeringsaftaler

f) retningslinjer for identifikationsprocedurer

g) ansvarsfordeling og erstatningsansvar i tilfælde af datatab

h) entydig og præcis mærkning af følsomme eller kritiske informationer for at sikre den nødvendige beskyttelse

i) ejerskabsforhold for data og programmer, ansvar for databeskyttelse, afklaring af ophavsrettigheder m.m., jf.15.1.2 og 15.1.4

55

DS 484:2005

j) tekniske specifikationer for ind- og udlæsning af data og programmer

k) eventuelle særlige sikringsforanstaltninger for at beskytte vigtige eller fortrolige forhold og emner, fx krypte-ringsnøgler.

BemærkningerAftaler om informationsudveksling kan være digitale eller på papir og kan være en formel kontrakt eller en ansættel-sesaftale.

10.8.3 Fysiske datamediers sikkerhed under transport

SikringsforanstaltningFysiske datamedier skal beskyttes mod tab, forvanskning og misbrug under transport.

ImplementeringsretningslinjerFølgende skal implementeres:

a) Kun pålidelige transportører må anvendes.

b) Der skal foreligge en liste over autoriserede transportører.

c) Der skal være aftalt en procedure for legitimation af autoriserede transportører.

d) Emballagen skal kunne beskytte indholdet mod enhver fysisk ødelæggelse, som med rimelig sandsynlighed kanopstå under transporten, eksempelvis fugt.

e) For følsomme oplysninger skal det overvejes at benytte særlige sikringsforanstaltninger, som eksempelvis af-låste transportkasser, personlig aflevering, forsegling eller fremsendelse i mindre enheder ad forskellige kanaler.

BemærkningerIngen.

10.8.4 Elektronisk post og dokumentudveksling

SikringsforanstaltningElektroniske meddelelser i form af elektronisk post, dokumentudveksling, fildeling og lignende kommunikationsfor-mer skal beskyttes.

ImplementeringsretningslinjerFølgende sikringsforanstaltninger skal være implementeret:

a) beskyttelse mod uautoriseret adgang og ændringer i overensstemmelse med de transmitterede informationersklassifikation

b) forholdsregler mod ukorrekt adressering og fejlrutning

c) tilstrækkelig kapacitet og tilgængelighed til at sikre de forretningsmæssige krav

d) elektronisk post, der anvendes til at indgå bindende aftaler eller lignende, skal have særlige beskyttelsesforan-staltninger, fx digital signatur

e) retningslinjer for medarbejdernes brug af elektronisk post, fildeling (fx “chatting” og “instant messaging”) og lig-nende, herunder håndtering af forretningsrelevant post sendt til fraværende personer

f) eventuelt skærpede krav til kontrol af afsenderens autenticitet eller etablering af filtre for at undgå uønsket elek-tronisk post (spam-mail) ved brug af offentlige netværk.

BemærkningerVed udveksling af elektronisk post skal man sikre sig, at man ikke medsender informationer, som ikke er tiltænktmodtageren. Korrektur og lignende kan eksempelvis hænge ved et tekstbehandlet dokument.

56

DS 484:2005

10.8.5 Virksomhedens informationssystemer

SikringsforanstaltningMange virksomheder betjener sig af en række kommunikationsmedier for at dække medarbejdernes, samarbejds-parternes og omverdenens informationsbehov: papir, elektronisk post, intranet, fælles kalendersystem, multimedi-er, almindelig post og telefax. Efterhånden som vægten på disse medier ændrer sig og integrationen øges, opstårder nye risici, som virksomheden skal forholde sig til. Der skal derfor være retningslinjer for brug og integration afvirksomhedens informationssystemer.

ImplementeringsretningslinjerFølgende sikringsforanstaltninger skal være etableret:

a) en analyse af de integrerede informationssystemers sårbarheder

b) retningslinjer for håndtering af virksomhedens kommunikationsmidler, fx logning af telefonopkald, lagring af te-lefax, åbning og fordeling af post

c) retningslinjer for styring af virksomhedens informationsudveksling

d) specifikation af, hvilke informationsklassifikationer der må distribueres på hvilke medier

e) eventuelle adgangsbegrænsninger til fx udvalgte personers kalendere

f) hvem der må få adgang til de forskellige medier, og hvorfra de må tilgås

g) eventuelle restriktioner på specifikke anvendelser

h) retningslinjer for oprettelse og indhold af fx medarbejderoversigt (”telefonbog”)

i) sikkerhedskopiering og opbevaringsperiode for de enkelte medier, jf. 10.5.1

j) eventuelle nødløsninger, jf. pkt. 14.

BemærkningerIngen.

10.9 Elektroniske forretningsydelser

FormålAt sikre elektroniske forretningsydelser, herunder onlineydelser og andre offentligt tilgængelige ydelser.

10.9.1 Elektronisk handel

SikringsforanstaltningInformationer i forbindelse med elektronisk handel over offentlige netværk skal beskyttes mod svindel, kontraktligeuoverensstemmelser samt uautoriseret adgang og ændringer.

ImplementeringsretningslinjerFølgende foranstaltninger skal være fastlagt:

a) krav til kontrol af autenticitet af både køber og sælger

b) procedure for tildeling af autorisationer til at indgå bindende købs- og salgsaftaler

c) procedure for verifikation af autorisationer

d) krav til fortrolighed, integritet og uafviselighed for både køber og sælger, fx i forbindelse med kontraktindgåelse

e) krav til troværdighed af sælgers prisliste

f) krav til fortrolighed for følsomme oplysninger

g) krav til fortrolighed og integritet for alle købsordrer, betalingsoplysninger, leveringsadresser og kvitteringer

h) kontrolprocedure for betalingsoplysninger

i) krav til en sikker og hensigtsmæssig betalingsprocedure

j) krav til beskyttelse af fortrolighed og integritet for ordreoplysninger

k) beskyttelse mod tab eller gentagelse af transaktioner

57

DS 484:2005

l) ansvarsplacering ved bedrageri

m) forsikringsforhold.

Elektronisk handel mellem virksomheder skal være understøttet af en formel aftale, som forpligter begge parter til etsæt af handelsbetingelser.

Offentligt tilgængelige systemer til elektronisk handel skal oplyse deres handelsbetingelser til potentielle købere.

Ved brug af systemer til elektronisk handel skal man være opmærksom på, at det ikke er tilstrækkeligt at sikre selveinformationsudvekslingen. Beskyttelsesforanstaltningerne på de tilknyttede informationsbehandlingsanlæg skal li-geledes have et niveau, der svarer til de særlige risici ved elektronisk handel, jf. 6.2.1 og 6.2.3 vedrørende risici vedeksternt samarbejde.

BemærkningerMange af de særlige beskyttelsesforanstaltninger i forbindelse med elektronisk handel kan kun etableres betryggen-de ved brug af krypteringsværktøjer, jf. 12.3.

10.9.2 Onlinetransaktioner

SikringsforanstaltningVed systemer, hvor eksterne brugere tilbydes mulighed for direkte opdatering i virksomhedens databaser, fx mangebanksystemer, skal der indføres særlige sikringsforanstaltninger for at forhindre transmissionsfejl, fejladressering,manipulation samt uautoriseret adgang og retransmission.

ImplementeringsretningslinjerDe særlige sikringsforanstaltninger omfatter:

a) * brug af digital signatur eller tilsvarende autentifikations- og integritetssikringsværktøj

b) * sikring af både brugerens og de transmitterede informationers autenticitet og fortrolighed

c) * sikring af at transmissionsvejen mellem de involverede parter er krypteret betryggende

d) * sikring af transmissionsprotokollen mellem de involverede parter

e) * sikring af de lagrede transaktioner

f) * sikring af certifikatudsteders troværdighed.

BemærkningerHvis et onlinesystem er placeret i et andet land eller transaktionerne passerer andre lande, skal man være opmærk-som på eventuelle lovgivningsmæssige forskelle.

10.9.3 Offentligt tilgængelige informationer

SikringsforanstaltningVed offentligt tilgængelige systemer, som eksempelvis en hjemmeside, er der ingen begrænsninger i brugeradgangog ingen form for brugeraftaler. Informationsindholdet skal derfor vurderes nøje og gennem en formel godkendel-sesprocedure. Der skal endvidere være stærke beskyttelsesforanstaltninger mod uautoriserede ændringer.

ImplementeringsretningslinjerFølgende foranstaltninger skal være implementeret for at sikre:

a) at eventuel registrering af data fra eksterne brugere er i overensstemmelse med lovgivningen, jf. 15.1.4

b) at behandling af eventuelle data fra brugerne sker korrekt, fuldstændigt og inden for den lovede tidsramme

c) at følsomme oplysninger beskyttes mod uvedkommende både under behandling og under lagring

d) at adgang til et offentligt tilgængeligt system ikke giver utilsigtet adgang til bagvedliggende systemer.

BemærkningerUautoriserede ændringer i offentligt tilgængelige systemer kan være skadelige for virksomhedens troværdighed ogomdømme. Sådanne systemer skal derfor testes omhyggeligt og eventuelle data fra brugerne skal valideres og ve-rificeres.

58

DS 484:2005

10.10 Logning og overvågning

FormålAt afsløre uautoriserede handlinger.

Informationsbehandlingssystemer skal overvåges og sikkerhedsrelaterede hændelser skal registreres. Der skalvære en logning, som sikrer, at uønskede forhold konstateres.

Overvågning skal verificere, at sikringsforanstaltningerne fungerer efter hensigten.

10.10.1 Opfølgningslogning

SikringsforanstaltningAlle brugeraktiviteter, afvigelser og sikkerhedshændelser skal logges og opbevares i en fastlagt periode af hensyn tilopfølgning på adgangskontroller og eventuel efterforskning af fejl og misbrug.

ImplementeringsretningslinjerOpfølgningsloggen skal, så vidt det er muligt, indeholde:

a) brugeridentifikation

b) dato og klokkeslæt for væsentlige aktiviteter som eksempelvis log-on og log-off

c) arbejdsstationens identitet

d) registrering af systemadgange og forsøg herpå

e) registrering af dataadgange og forsøg herpå

f) ændringer i systemkonfigurationen

g) brug af særlige rettigheder

h) brug af hjælpeværktøjer

i) benyttede datafiler

j) benyttede netværk og protokoller

k) alarmer fra adgangskontrolsystemet

l) aktivering og deaktivering af beskyttelsessystemer, fx antivirus og indbrudsalarmer.

BemærkningerOpfølgningsloggen vil ikke altid være tilstrækkelig til at opfylde kravene til kontrol- og transaktionsspor i Bogførings-loven. Systemer, der skal efterleve disse krav, må derfor have supplerende logning.

Hvis det er muligt, skal systemadministratorer og andre med særlige rettigheder ikke have mulighed for at slette log-ningen af deres egne aktiviteter, jf. 10.10.3.

En opfølgningslog vil ofte indeholde personhenførbare data og skal derfor beskyttes i overensstemmelse med Per-sondataloven.

10.10.2 Overvågning af systemanvendelse

SikringsforanstaltningBrugen af virksomhedens informationsbehandlingssystemer skal overvåges og løbende følges op.

ImplementeringsretningslinjerNiveauet for overvågning skal fastlægges ud fra en risikovurdering og lovgivningens krav.

Følgende områder skal indgå i vurderingen:

a) autoriseret adgang:1. brugeridentifikation2. dato og klokkeslæt3. hændelsestype

59

DS 484:2005

4. benyttede datafiler5. benyttede programmer

b) anvendelse af særlige rettigheder:1. anvendte rettigheder, fx systemadministrator2. start og stop af systemer3. til- og frakobling af udstyr

c) uautoriserede adgangsforsøg:1. fejlslagne og afviste brugerhandlinger2. fejlslagne og afviste dataadgangsforsøg3. advarsler fra logiske netværksbeskyttelsesfiltre4. alarmer fra logiske indbrudsalarmsystemer

d) systemtekniske alarmer:1. alarmer og meddelelser fra det overordnede styresystem2. undtagelsesrapporteringer3. alarmer og meddelelser fra netværkets styresystem4. alarmer fra adgangskontrolsystemet

e) ændringer og forsøg på ændringer af sikkerhedsopsætninger og sikringsforanstaltninger.

Frekvensen af overvågningsaktiviteterne afgøres af en risikovurdering, hvor følgende risikofaktorer skal indgå i vur-deringen:

• informationsbehandlingssystemets forretningsmæssige betydning

• de behandlede informationers forretningsmæssige betydning og følsomhed

• virksomhedens erfaringer med misbrug, trusler og sårbarheder

• informationssystemets anvendelse af eksterne forbindelser, specielt offentlige netværk

• pålideligheden af logningsfaciliteterne.

BemærkningerOvervågning er nødvendig for at sikre, at brugerne kun har mulighed for at gøre det, de eksplicit er autoriseret til.

Log-gennemgang kræver en god forståelse for de trusler, et informationssystem er udsat for, og hvorledes disse yt-rer sig. I 13.1.1 findes eksempler på hændelser, som kan kræve yderligere undersøgelser.

10.10.3 Beskyttelse af log-oplysninger

SikringsforanstaltningBåde log-faciliteter og log-oplysninger, skal beskyttes mod manipulation og tekniske fejl.

ImplementeringsretningslinjerEn log skal beskyttes mod:

a) enhver form for ændringer af indholdet

b) sletninger og ændringer af logfiler

c) tekniske fejl, eksempelvis overskrivninger, fordi der ikke er afsat tilstrækkelig plads på lagringsmediet.

BemærkningerSom udgangspunkt skal en log aldrig ændres. Man kan derfor ikke tale om autoriserede ændringer. Hvis der er fejl ien log, må eventuelle korrektioner fremgå af efterfølgende logninger.

En generel systemlog vil ofte indeholde store mængder af information, som ikke har sikkerhedsmæssig interesse.Dette problem kan afhjælpes ved enten automatisk at overføre sikkerhedsrelevante informationer til en egentlig op-følgningslog eller ved at benytte særlige udtræksværktøjer til at fremfinde sikkerhedsrelevante informationer.

60

DS 484:2005

10.10.4 Administrator- og operatørlog

SikringsforanstaltningAktiviteter udført af systemadministratorer og -operatører samt andre med særlige rettigheder skal logges.

ImplementeringsretningslinjerLoggen skal omfatte:

a) tidspunktet for en given handling

b) oplysninger om handlingen, fx filhåndtering. Ved fejlhåndtering skal de korrigerende og eventuelle kompense-rende foranstaltninger fremgå

c) den udførende persons identitet

d) de benyttede procedurer, værktøjer og systemer

e) * loggen skal løbende gennemgås af en uvildig person, jf. 10.1.3.

Bemærkninger

Et særligt indbrudsalarmsystem, som ikke er underlagt systemadministratorens kontrol, kan benyttes til at overvågebrugen af særlige rettigheder og systemværktøjer.

10.10.5 Fejllog

SikringsforanstaltningFejl skal logges og analyseres, og nødvendige udbedringer og modforholdsregler gennemføres.

ImplementeringsretningslinjerBåde brugerrapporterede og systemregistrerede fejl skal fremgå af fejlloggen. Der skal være klare retningslinjer forfejlhåndtering:

a) Regelmæssig gennemgang af fejlloggen, for at sikre at alle fejl er rettet tilfredsstillende.

b) Regelmæssig gennemgang af de korrigerende og kompenserende foranstaltninger, for at sikre at virksomhe-dens sikkerhed ikke er blevet kompromitteret, og at de gennemførte foranstaltninger er autoriseret.

BemærkningerHvis informationsbehandlingssystemet har en automatisk fejlregistreringsfunktion, skal denne være aktiv, såfremten risikovurdering viser, at dette er forretningsmæssigt velbegrundet.

10.10.6 Tidssynkronisering

SikringsforanstaltningAlle ure i virksomhedens informationsbehandlingsanlæg skal være synkroniseret med en præcis tidsangivelseskil-de.

ImplementeringsretningslinjerDer skal være en procedure for en løbende kontrol med og eventuel korrektion af tidsangivelsen i virksomhedens in-formationsbehandlingsanlæg.

BemærkningerEn præcis tidsangivelse kan være kritisk i forbindelse med indgåelse af bindende aftaler, realtidstransaktioner ellerefterforskning ved hjælp af logningsinformationer.

61

DS 484:2005

11 Adgangsstyring

11.1 De forretningsmæssige krav til adgangsstyring

FormålAt styre adgangen til virksomhedens systemer, informationer og netværk med udgangspunkt i de forretnings- oglovgivningsbetingede krav.

11.1.1 Retningslinjer for adgangsstyring

SikringsforanstaltningDer skal foreligge dokumenterede og ajourførte retningslinjer for virksomhedens adgangsstyring.

ImplementeringsretningslinjerRetningslinjerne for adgangsstyring skal fastlægge adgangsregler og -rettigheder for brugere eller grupper af bru-gere af virksomhedens informationsaktiver. Adgangsstyring omfatter både logisk og fysisk adgang. Både brugereog eksterne samarbejdsparter skal være bekendt med de forretningsmæssige krav, der ligger til grund for adgangs-styringen. Retningslinjerne for adgangsstyring skal omfatte følgende:

a) de enkelte forretningssystemers sikkerhedskrav

b) identifikation af de enkelte forretningssystemers informationsaktiver og de hertil knyttede risici

c) retningslinjer for adgangstildeling og -autorisation med udgangspunkt i arbejdsbetingede behov samt informati-onsaktivernes klassifikation og de hertil knyttede beskyttelseskrav, jf. 7.2

d) konsistens mellem adgangsstyringen og kravene til informationsbeskyttelse i virksomhedens forskellige infor-mationsbehandlingssystemer og netværk

e) lovgivningsmæssige og kontraktlige forpligtelser vedrørende adgangsstyring

f) fastlæggelse af generelle brugerprofiler for generelle arbejdsopgaver, jf. 11.2.1

g) styring af adgangsrettigheder i distribuerede systemer på alle systemtekniske platforme

h) adskillelse af de forskellige adgangsstyringsfunktioner: adgangsansøgning, adgangsautorisation og adgangsad-ministration

i) kravene til formel autorisation af adgangsansøgninger, jf. 11.2.1

j) kravene til periodisk gennemgang af tildelte rettigheder, jf. 11.2.4

k) sletning af adgangsrettigheder, jf. 8.3.3.

BemærkningerVed fastlæggelse af de specifikke retningslinjer for adgangsstyring skal man overveje:

• om retningslinjerne er en del af virksomhedens ufravigelige regelsæt eller skal baseres på en specifik risikovurde-ring

• om reglerne skal tage udgangspunkt i “Alt er forbudt, hvis det ikke specifikt er tilladt”, eller ”Alt er tilladt, hvis detikke specifikt er forbudt”

• de ændringer af informationsklassifikationsmærkningen, jf. 7.2, som udløses automatisk i informationsbehand-lingssystemet, og de ændringer, der kan ske på initiativ fra en bruger

• de ændringer af brugeradgangen, som udløses automatisk af informationsbehandlingssystemer, og de ændrin-ger, en administrator foretager

• hvilke specifikke regler, der kræver formel godkendelse før ikrafttrædelse.

Specifikke regler for adgangsstyring skal være understøttet af formaliserede forretningsgange og en klar ansvars-placering, jf. eksempelvis 6.1.3, 10.4.1, 11.3 og 11.6.

11.2 Administration af brugeradgang

FormålAt sikre autoriserede brugeres adgang og forhindre uautoriseret adgang.

62

DS 484:2005

Der skal være formaliserede forretningsgange til at styre tildelingen af adgangsrettigheder.

Forretningsgangene skal dække alle trin fra registrering af nye brugere til nedlæggelse af brugere, som ikke længereskal have adgang.

Tildeling af adgangsrettigheder med udvidede beføjelser, som giver brugeren mulighed for at omgå de systemtek-niske beskyttelsesforanstaltninger, skal have særlig opmærksomhed.

11.2.1 Registrering af brugere

SikringsforanstaltningDer skal være en formaliseret forretningsgang for tildeling og afbrydelse af brugeradgang.

ImplementeringsretningslinjerForretningsgangen skal omfatte:

a) Brug af en entydig brugeridentitet som gør det muligt at spore en given handling til en given person. Brug af enfælles brugeridentitet skal godkendes og dokumenteres og må kun tillades, når forretningsbetingede eller opera-tionelle forhold nødvendiggør det.

b) Verifikation af brugerens autorisation fra informationsbehandlingssystemets eller informationsaktivets ejer. Au-torisation fra ledelsen kan også være påkrævet i særlige tilfælde.

c) Verifikation af rettighedsniveauets overensstemmelse med det forretningsmæssige behov, jf. 11.1, og virksom-hedens generelle sikkerhedsretningslinjer, eksempelvis funktionsadskillelse, jf. 10.1.3.

d) * Skriftlig bekræftelse af de tildelte rettigheder til brugeren.

e) * Brugerens formelle accept af betingelserne for de tildelte rettigheder.

f) Sikkerhed for at tjenesteleverandører ikke giver adgang til de aftalte tjenester, før der foreligger en autorisations-procedure.

g) Forretningsgang for oprettelse og vedligeholdelse af en fortegnelse over alle brugere af et givet informationsbe-handlingssystem eller -tjeneste.

h) Forretningsgang for øjeblikkelig spærring af en brugers adgangsrettigheder ved organisatoriske eller arbejds-mæssige ændringer, jf. eksempelvis 8.3.3.

i) Forretningsgang for periodisk opfølgning på og justering af oprettede brugere og deres rettigheder, jf. 11.2.4.

j) Beskyttelse mod tildeling af nedlagte brugeridentiteter til nye brugere.

BemærkningerDet skal overvejes, om det er muligt at definere nogle typiske brugerprofiler med ensartede adgangsbehov. Ved atrubricere den enkelte bruger i en generel brugerprofil lettes brugeradministrationen og den periodiske opfølgning.

Det skal endvidere overvejes, om der i ansættelses- og samarbejdsaftaler, jf. 6.2.3 og 8.1.3, skal indføres sanktioner,jf. 8.2.3, også ved forsøg på uautoriseret adgang.

11.2.2 Udvidede adgangsrettigheder

SikringsforanstaltningTildeling og anvendelse af udvidede adgangsrettigheder skal begrænses og overvåges.

ImplementeringsretningslinjerFlerbrugersystemer, som har behov for beskyttelse mod uautoriseret adgang, skal have følgende formaliserede for-retningsgang for tildeling af udvidede rettigheder:

a) De udvidede adgangsrettigheder til de enkelte elementer i informationsbehandlingssystemet, fx styresystemet,databaseadministrationen og brugerprogrammerne, og de hertil knyttede brugere skal identificeres.

b) Udvidede adgangsrettigheder må kun tildeles i begrænset omfang og alene ud fra et arbejdsbetinget behov.

c) Tildeling af udvidede adgangsrettigheder skal registreres og må ikke sættes i kraft, før den fornødne autorisationer indhentet.

63

DS 484:2005

d) For at begrænse behovet for tildeling af udvidede rettigheder skal automatiserede systemtekniske processer an-vendes i videst muligt omfang.

e) De enkelte brugerprogrammer skal så vidt muligt tilrettelægges, så de begrænser behovet for indgreb med udvi-dede rettigheder.

f) Af hensyn til overvågning og opfølgning skal udvidede rettigheder knyttes til særlige brugeridentiteter.

BemærkningerUkorrekt anvendelse af udvidede rettigheder er en hyppig årsag til misbrug og kompromittering.

11.2.3 Adgangskoder

SikringsforanstaltningTildeling af adgangskoder skal styres ved en formaliseret proces.

ImplementeringsretningslinjerProcessen skal omfatte følgende:

a) Brugerne skal, eventuelt i forbindelse med ansættelsen, skrive under på, at personlige adgangskoder er fortroli-ge, og at eventuelle gruppeadgangskoder kun må kendes af gruppens medlemmer.

b) Hvis brugerne selv skal forny deres adgangskoder, skal brugeren ved oprettelsen forsynes med en sikker, midler-tidig adgangskode, jf. 11.3.1, som skal ændres umiddelbart efter første anvendelse.

c) En forretningsgang for verifikation af brugerens identitet før udlevering af en ny midlertidig adgangskode.

d) Tildeling af midlertidige adgangskoder skal ske på en sikker måde, eksempelvis skal fremsendelse i klar tekstover åbne netværk undgås.

e) Midlertidige adgangskoder skal være unikke og må ikke kunne gættes.

f) * Brugerne skal bekræfte modtagelsen af adgangskoder.

g) Adgangskoder må aldrig lagres elektronisk i klar tekst.

h) Standardadgangskoder fra systemleverandører skal ændres efter installationen af systemet.

BemærkningerAdgangskoder er den almindelige metode til at verificere en brugers identitet i forbindelse med styringen af adgan-gen til et informationsbehandlingssystem eller -tjeneste. Det bør overvejes, om der er særlige lovgivningsmæssigeeller forretningsbetingede krav, som nødvendiggør andre metoder til brugeridentifikation og autentifikation, eksem-pelvis biometriske metoder i form af maskinel verifikation af brugerens fingeraftryk, iris, stemme osv. eller kryptolo-giske metoder baseret på en matematisk verifikation af et brugerspecifikt digitalt certifikat.

11.2.4 Periodisk gennemgang af brugernes adgangsrettigheder

SikringsforanstaltningBrugernes adgangsrettigheder skal gennemgås regelmæssigt efter en formaliseret forretningsgang.

ImplementeringsretningslinjerGennemgangen skal omfatte følgende:

a) Brugernes adgangsrettigheder skal gennemgås regelmæssigt, fx hver 6. måned, og i forbindelse med ændringeri brugeres arbejdsmæssige forhold, jf. 11.2.1.

b) En brugers adgangsrettigheder skal revurderes ved organisatoriske ændringer.

c) Autorisationer til udvidede adgangsrettigheder, jf. 11.2.2, skal gennemgås hyppigere, fx hver 3. måned.

d) Udvidede adgangsrettigheder skal gennemgås regelmæssigt for at sikre, at ingen har fået uautoriserede rettig-heder.

e) Ændringer i autorisationer til udvidede adgangsrettigheder skal logges og gennemgås regelmæssigt.

64

DS 484:2005

BemærkningerRegelmæssig gennemgang af adgangsrettigheder er nødvendig for at sikre, at ingen har fået uautoriseret adgang tilvirksomhedens informationsaktiver.

11.3 Brugernes ansvar

FormålAt forhindre uautoriseret adgang til og kompromittering eller misbrug af virksomhedens informationsaktiver.

Brugernes ansvarsfølelse og samarbejde er afgørende for informationssikkerheden.

Brugerne skal gøres opmærksomme på deres ansvar, specielt vedrørende personlige adgangskoder og informati-onsbehandlingsudstyr.

Det skal herudover indskærpes, at fortrolige/følsomme informationer på papir eller andre medier ikke må kunne til-gås eller misbruges af uautoriserede personer.

11.3.1 Brug af adgangskoder

SikringsforanstaltningVirksomhedens retningslinjer for brugernes valg og anvendelse af adgangskoder skal være i overensstemmelsemed god skik og brug.

ImplementeringsretningslinjerBrugerne skal:

a) holde deres personlige adgangskoder hemmelige

b) undlade at nedskrive eller på anden måde lagre deres adgangskoder, medmindre virksomheden har anvist engodkendt metode

c) skifte adgangskode ved enhver mistanke om kompromittering

d) vælge adgangskode med en sådan sammensætning og længde, at de:1. er nemme at huske2. ikke kan gættes eller udledes af let tilgængelige oplysninger om eksempelvis navne, telefonnumre, fødselsda-

toer osv.3. ikke findes i ordbøger eller andre ordlister (dictionary attack)4. ikke indeholder flere på hinanden følgende ens tal eller bogstaver eller kun tal eller bogstaver

e) skifte adgangskode med faste intervaller eller efter et antal anvendelser og ikke genbruge gamle adgangskoder.Adgangskoder til udvidede adgangsrettigheder skal skiftes hyppigere end ordinære adgangskoder

f) skifte midlertidige adgangskoder, første gang de logger på

g) ikke inkludere adgangskoden i nogen automatisk log-on-procedure

h) ikke dele personlige adgangskoder med andre

i) ikke bruge samme adgangskoder til private og arbejdsmæssige formål.

Hvis en bruger har behov for adgang til forskellige systemer eller forskelligt udstyr, kan den samme adgangskodebenyttes, forudsat adgangskodebeskyttelsen i samtlige systemer og udstyr er betryggende.

BemærkningerAdministrationen af adgangskoder, herunder tildeling af nye ved forglemmelser, skal tilrettelægges omhyggeligt,da den kan være et mål for et angreb på sikkerheden omkring adgangskoder.

11.3.2 Uovervåget udstyr

SikringsforanstaltningBrugeren skal sikre sig, at uovervåget udstyr er beskyttet.

65

DS 484:2005

ImplementeringsretningslinjerBrugerne skal informeres om virksomhedens krav til og forretningsgange til beskyttelse af uovervåget udstyr samtderes ansvar for at implementere denne beskyttelse:

a) Brugerne skal afslutte de enkelte brugerprogrammer, når disse ikke længere skal benyttes, medmindre de kanbeskyttes med en generel låsemekanisme som eksempelvis en adgangskodebeskyttet skærmlås.

b) Brugerne skal logge sig helt af systemet, når dette ikke skal benyttes længere. Det er ikke tilstrækkeligt blot atslukke for skærmen.

c) * Når udstyret ikke benyttes, skal brugerne sikre deres udstyr mod uautoriseret brug med en adgangskode elleren fysisk nøgle.

BemærkningerUdstyr, som ikke er placeret i særligt sikrede lokaler, kan have behov for særlige sikringsforanstaltninger, når det ikkeer overvåget.

11.3.3 Beskyttelse af datamedier på den personlige arbejdsplads

SikringsforanstaltningVirksomheden skal have retningslinjer for beskyttelse af datamedier på den personlige arbejdsplads.

ImplementeringsretningslinjerDer skal være retningslinjer for, hvorledes brugerne skal beskytte datamedier i forbindelse med deres arbejdsplads(skrivebord, informationsbehandlingsudstyr). Retningslinjerne skal afspejle informationerne klassifikation, jf. 7.2,eventuelle kontraktlige og lovgivningsmæssige forpligtelser, jf. 15.1, risikobilledet og virksomhedens sædvaner:

a) Følsomme/fortrolige informationer på papir og andre flytbare datamedier skal opbevares med den fornødne be-skyttelse (i pengeskab eller anden form for sikret skab), i særdeleshed når arbejdspladsen forlades.

b) Informationsbehandlingsudstyr skal være logget af eller midlertidigt beskyttet med en skærm- eller tastaturlåsved kortvarige afbrydelser og være beskyttet med en fysisk nøgle, adgangskode eller lignende, når det forlades.

c) Fysisk postforsendelse og faxudstyr skal beskyttes.

d) Uautoriseret brug af fotokopieringsudstyr, dataskannere og lignende skal forhindres.

e) Følsomme/fortrolige udskrifter skal hurtigst muligt fjernes fra uovervågede og ubeskyttede printere.

BemærkningerOpbevaring af uovervågede datamedier i pengeskab eller lignende beskytter ikke alene mod uautoriseret adgang ogmisbrug, men kan også beskytte mod fysiske skader, fx brand.

Det bør overvejes at beskytte udskrivningen af følsomme/fortrolige oplysninger med personlige adgangskoder tilprinteren.

11.4 Styring af netværksadgang

FormålAt beskytte både interne og eksterne netværkstjenester mod uautoriseret adgang.

Følgende punkter indgår i styringen:

• Der skal være etableret de fornødne grænseflader mellem virksomhedens netværk, eventuelle samarbejdspartersnetværk og offentlige netværk.

• Der skal være etableret værktøjer til at verificere brugeres og udstyrs autenticitet.

• Brugeradgangen skal kontrolleres.

11.4.1 Retningslinjer for brug af netværkstjenester

SikringsforanstaltningBrugere skal kun have adgang til de tjenester, de er autoriseret til at benytte.

66

DS 484:2005

ImplementeringsretningslinjerRetningslinjerne for brug af netværkstjenester skal omfatte:

a) fortegnelse over de netværk og de tjenester, der må tilgås

b) forretningsgang for brugerautorisation

c) forretningsgange for overvågning og styring af adgangen til netværk og tjenester

d) fortegnelse over tilladte opkoblingsmåder.

Retningslinjerne for brug af netværkstjenester skal være i overensstemmelse med virksomhedens generelle ad-gangsretningslinjer, jf. 11.1.

BemærkningerUautoriserede og usikre forbindelser til netværkstjenester kan have konsekvenser for hele virksomheden. Dette gæl-der i særlig grad for forretningskritiske tjenester og tjenester med følsomme/fortrolige oplysninger samt forbindel-ser til brugere placeret uden for virksomhedens sikrede områder.

11.4.2 Autentifikation af brugere med ekstern netværksforbindelse

SikringsforanstaltningBrugere med ekstern netværksforbindelse skal autentificeres i overensstemmelse med klassifikationen af de infor-mationer, forbindelsen giver adgang til.

ImplementeringsretningslinjerDer findes en række teknikker og metoder til at sikre netværksforbundne brugeres autenticitet:

• digitale signaturer baseret på enten specifikke brugercertifikater eller på certifikater til specifikt udstyr (servercerti-fikater)

• krypteringsudstyr, fx til etablering af virtuelle private netværk (VPN) og beskyttelse af trådløse netværk

• lukkede netværk

• ”anråb og svar”-systemer (“challenge/response”)

• tilbagekald, her skal man være særlig opmærksom på risikoen ved viderestilling.

Der skal derfor gennemføres:

a) en risikovurdering for at fastlægge det specifikke sikringsbehov

b) en udvælgelse og implementering af de nødvendige beskyttelsesforanstaltninger.

BemærkningerVed anvendelse af trådløse netværk skal man være opmærksom på den særlige risiko for ikke-sporbar aflytning.

11.4.3 Identifikation af netværksudstyr

SikringsforanstaltningAutomatisk identifikation af informationsbehandlingsudstyret i et netværk skal etableres, hvis det er væsentligt, atkommunikationen kun må ske fra specifikt udstyr.

ImplementeringsretningslinjerFølgende skal gennemføres:

a) * Udstyret skal forsynes med et identifikationsmiddel, eksempelvis et certifikat, jf. 11.4.2.

b) * Identifikationsmidlet skal kunne anvendes til styring af udstyrets rettigheder.

c) * Det skal vurderes, om identifikationsmidlet kræver særlig fysisk beskyttelse af udstyret.

BemærkningerIdentifikation af netværksudstyr kan i nogle situationer være et relevant supplement til autentifikation af eksternt op-koblede brugere, jf. 11.4.2.

67

DS 484:2005

11.4.4 Beskyttelse af diagnose- og konfigurationsporte

SikringsforanstaltningFysisk og logisk adgang til diagnose- og konfigurationsporte skal kontrolleres.

ImplementeringsretningslinjerMange informationsbehandlingssystemer og hertil hørende udstyr og netværk er forsynet med opkoblingsfacilite-ter til diagnose- og konfigurationsformål. For at forhindre uautoriseret anvendelse skal følgende være implemente-ret:

a) Porte, tjenester og tilsvarende faciliteter skal afbrydes eller fjernes, hvis de ikke har et forretningsbetinget formål.

b) Der skal være udarbejdet en forretningsgang for styring af adgangen til diagnose- og konfigurationsporte, herun-der administration af eventuelle fysiske nøgler og tildeling af adgangsrettigheder.

BemærkningerIngen.

11.4.5 Opdeling af netværk

SikringsforanstaltningFor at styre sikkerheden i store netværk kan det være nødvendigt at opdele dem efter adskilte tjenester, brugergrup-per eller informationsbehandlingssystemer.

ImplementeringsretningslinjerVed opdeling af netværket kan virksomheden graduere sine sikringsforanstaltninger. Følgende skal derfor gennem-føres:

a) En risikovurdering for at afdække behovene for sikringsforanstaltninger med udgangspunkt i virksomhedens ret-ningslinjer for adgangsstyring og adgangskrav, jf. 11.1. Værdien og klassifikationen af de involverede informati-onsaktiver, den forretningsmæssige betydning og konsekvenserne af driftsforstyrrelser samt omkostningerneved en opdeling skal indgå i vurderingen.

b) * Opdeling i separate logiske netværksdomæner, fx et internt og et eksternt netværksdomæne, som hvert især erbeskyttet af en klart afgrænset perimetersikkerhed. En varierende mængde af sikringsforanstaltninger kan bru-ges i forskellige logiske netværksdomæner til yderligere at opdele netværkets sikkerhedsmiljø, fx i offentlige sy-stemer, interne netværk samt kritiske informationsaktiver. Domænerne skal defineres ud fra en risikovurderingog de forskellige sikkerhedskrav i hvert enkelt af domænerne.

c) * Implementering af den fornødne perimetersikkerhed, herunder en sikker forbindelse mellem de to netværk.Denne vil kunne kontrollere adgange og informationsveje mellem de to domæner. Forbindelsen skal konfigure-res til at kunne filtrere trafikken mellem disse domæner, jf.11.4.6 og 11.4.7, og blokere uautoriseret adgang i over-ensstemmelse med virksomhedens retningslinjer for adgangsstyring, jf. 11.1. Et eksempel på denne type forbin-delse kunne være et logisk filter (firewall). En anden metode til at opdele separate logiske domæner er at be-grænse netværksadgang ved at bruge virtuelle private netværk (VPN) mellem brugergrupperne i virksomheden.

d) * Overvejelse om opdeling ved at bruge funktionaliteten i selve netværksenheden. Separate domæner kan såle-des implementeres ved at kontrollere netværksdatavejene ved at bruge rutekontrolfunktionaliteter såsom ad-gangskontrollister.

e) * Overvejelse om opdeling af trådløse netværk fra de interne og private netværk. En risikovurdering skal udføresi de tilfælde, hvor grænserne mellem trådløse netværk ikke er veldefineret, for at identificere sikringsforanstalt-ninger (fx stærk autentifikation, kryptografiske metoder, frekvensvalg) til at vedligeholde netværksopdelingen.

BemærkningerNetværksbaserede tjenester er en stigende forretningsmæssig nødvendighed. Det stiller store krav til fleksible og ef-fektive sikringsforanstaltninger, som også kan fungere uden for virksomhedens traditionelle grænser.

11.4.6 Styring af netværksadgang

SikringsforanstaltningFor at undgå uautoriseret anvendelse af fælles netværk og hertil knyttede tjenester skal brugernes adgang styres ioverensstemmelse med netværkets fælles adgangsretningslinjer og forretningsbetingede krav.

68

DS 484:2005

ImplementeringsretningslinjerAdgangsrettighederne skal styres, når brugerne logger sig på netværket. Der skal udarbejdes retningslinjer for bru-gen af:

a) elektronisk post

b) filoverførsler

c) interaktiv adgang

d) adgang til brugersystemer.

BemærkningerAdgangsbegrænsninger kan eventuelt gælde i særlige tidsrum eller på særlige datoer.

11.4.7 Rutekontrol i netværk

SikringsforanstaltningRutekontroller for netværk skal implementeres for at sikre, at forbindelser og informationsveje ikke omgår virksom-hedens generelle retningslinjer for adgangskontrol.

ImplementeringsretningslinjerFølgende retningslinjer skal gennemføres:

a) * Rutekontroller skal være baseret på verifikation af både afsenderens og modtagerens netværksadresser, fx IP-adresser. Ved automatisk netværksadressekonvertering (NAT), skal verifikationsmetoden tage højde herfor.

b) * Sikkerhedsforbindelser kan bruges til at validere kilde- eller destinationsadresser hos interne og eksterne net-værkskontrolpunkter, hvis proxy1)- og/eller NAT-teknologier er i brug. Ved implementering af kontrollerne skalman være bevidst om både styrker og svagheder i de sikringsmekanismer, som anvendes. Kravene til rutekon-trollerne skal være baseret på virksomhedens retningslinjer for adgangsstyring, jf. 11.1.

BemærkningerDelte netværk, særligt hvis de strækker sig ud over de organisatoriske grænser, kan kræve yderligere rutekontroller.Dette gælder specielt, når netværk er delt med eksterne samarbejdspartneres brugere.

11.5 Styring af systemadgang

FormålAt forhindre uautoriseret adgang til informationsbehandlingssystemer.

Adgangsstyringen skal omfatte:

• brugerautentifikation

• logning af gennemførte og afviste autentifikationer

• logning af anvendelsen af særlige rettigheder

• alarmering ved brud på sikkerhedsretningslinjerne

• tilfredsstillende autentifikationsværktøjer

• mulighed for tidsbegrænset adgang.

11.5.1 Sikker log-on

SikringsforanstaltningSystemadgang skal beskyttes af en sikker log-on-procedure.

––––––––––1) “Stedfortræder”, der fungerer som stødpude for det bagvedliggende netværk i kommunikationen med omverdenen.

69

DS 484:2005

ImplementeringsretningslinjerLog-on-proceduren skal minimere mulighederne for uautoriseret adgang ved at afsløre så lidt som muligt om syste-met. Proceduren skal:

a) * ikke afsløre systemspecifikke oplysninger, før log-on-proceduren er gennemført

b) * tydeligt markere, at systemet kun må tilgås af autoriserede brugere

c) ikke indeholde fejlmeddelelser eller lignende, som kan misbruges af en uautoriseret bruger

d) først validere log-on-oplysningerne, når alle oplysningerne er registreret. Hvis der opstår en fejl, må fejlmedde-lelsen ikke indeholde oplysninger, som kan bruges i et eventuelt angrebsforsøg

e) begrænse antallet af fejlslagne log-on-forsøg til eksempelvis tre forsøg, og:1. * logge fejlslagne og gennemførte forsøg2. indlægge en tidsforsinkelse, før nye forsøg tillades, eller afvise nye forsøg, medmindre der foreligger en spe-

cifik autorisation

3. * afbryde en eventuel netværksforbindelse

4. * alarmere en eventuel overvågningsfunktion ved fejlslagne log-on-forsøg

5. fastlægge antallet af log-on-forsøg ud fra en vurdering af værdien af det beskyttede informationsaktiv oglængden af adgangskoden

f) * begrænse det tilladelige tidsforbrug for en log-on

g) * når en log-on er gennemført, skal systemet vise:1. * tid og dato for seneste forudgående log-on2. * specifikation af eventuelle fejlslagne log-on-forsøg siden sidste gennemførte log-on

h) forhindre visning af adgangskode under indtastningen

i) ikke transmittere adgangskoder i klar tekst.

BemærkningerHvis adgangskoder transmitteres i klar tekst, kan det opsnappes ved hjælp af en række udbredte ”lytte”-program-mer (“sniffer”-programmer).

11.5.2 Identifikation og autentifikation af brugere

SikringsforanstaltningAlle brugere skal have en unik identitet til personlig brug, og der skal vælges en passende autentifikationsteknik tilverifikation af brugernes identitet.

ImplementeringsretningslinjerFølgende sikringsforanstaltninger skal omfatte alle former for brugere, inkl. teknisk støttepersonale, driftspersonale,netværksadministratorer, systemteknikere og databaseadministratorer:

a) Brugeridentiteten skal kunne bruges til at spore den person, som er ansvarlig for en given aktivitet.

b) * Lavt klassificerede aktiviteter må ikke udføres med en brugeridentitet, hvortil der er knyttet udvidede rettighe-der, jf. 11.2.2.

c) Fælles brugeridentiteter for en gruppe brugere eller for en specifik opgave kan benyttes, hvis det er forretnings-mæssigt forsvarligt. Brugen af fælles brugeridentiteter skal godkendes af ledelsen. For at sikre en individuel bru-geransvarlighed vil det være nødvendigt at indføre kompenserende sikringsforanstaltninger.

d) Hvis adgangsrettighederne kun giver mulighed for at udføre funktioner og handlinger, som ikke kræver sporbar-hed, eller hvis der er implementeret kompenserende sikringsforanstaltninger, eksempelvis streng fysisk ad-gangskontrol og logning af adgange, er det ikke påkrævet at anvende unikke, personlige identiteter.

e) Hvis brugeridentiteten skal have adgang til funktioner eller informationer, hvor klassifikationen kræver stærk au-tentifikation, skal der anvendes kryptografiske eller biometriske metoder eller særlig fysiske identifikationsmidler,jf. nedenfor.

BemærkningerBrugeridentitet kombineret med en adgangskode, se 11.3.1, er den mest udbredte måde at sikre en brugers autenti-citet på.

70

DS 484:2005

Hvis klassifikationen af de tilgåede informationer kræver en stærkere autentifikation, kan man bruge kryptografiskemetoder, fx digital signatur, fysiske identifikationsmidler, som fx “anråb- og svarenheder” eller biometrisk verifikati-on af en persons fysiske kendetegn, fx fingeraftryk. Den højeste autenticitetssikkerhed fås ved at kombinere de for-skellige metoder og teknikker.

11.5.3 Styring af adgangskoder

SikringsforanstaltningerSystemer til styring af adgangskoder skal være interaktive og sikre, at der kun benyttes adgangskoder med den fast-lagte kvalitet.

ImplementeringsretningslinjerEt system til styring af adgangskoder skal:

a) sikre brugen af personlige brugeridentiteter og adgangskoder for at opretholde sporbarhed

b) tillade brugerne at vælge og udskifte egen adgangskode med en bekræftelsesfunktion og mulighed for korrekti-on ved fejl

c) sikre adgangskoder med en fastlagt kvalitet, jf. 11.3.1

d) sikre skift af adgangskoder med fastlagte intervaller, jf. 11.3.1

e) tvinge brugerne til at skifte midlertidige adgangskoder ved første log-on, jf. 11.2.3

f) lagre et fastlagt antal tidligere brugte adgangskoder for at forhindre genbrug

g) ikke vise adgangskoder på skærmen, når de indtastes

h) lagre filer med adgangskoder adskilt fra brugerdata

i) lagre og transmittere adgangskoder i krypteret form.

BemærkningerNogle systemer kræver, at adgangskoden tildeles af en uafhængig instans. I så fald bortfalder punkt b, d og e.

11.5.4 Brug af systemværktøjer

SikringsforanstaltningBrugen af systemværktøjer, som kan omgå virksomhedens sikringsforanstaltninger, skal begrænses og styres effek-tivt.

ImplementeringsretningslinjerFølgende retningslinjer skal være implementeret:

a) Der skal være forretningsgange for identifikation, autentifikation og autorisation i forbindelse med brug af sy-stemværktøjer.

b) Systemværktøjer skal være adskilt fra brugersystemer.

c) Brug af systemværktøjer skal være begrænset til et minimum af betroede og autoriserede brugere, jf. 11.2.2.

d) Der skal være en forretningsgang for autorisation ved ad hoc-anvendelse af systemværktøjer.

e) Der skal være begrænset tilgængelighed til systemværktøjer, fx kun i forbindelse med en autoriseret ændring.

f) Al brug af systemværktøjer skal logges.

g) Autorisationsniveauer skal være defineret og dokumenteret.

h) Alle unødvendige systemværktøjer skal være fjernet eller slået fra.

i) Hvor funktionsadskillelse er påkrævet, må brugere ikke have adgang til både systemværktøjer og brugersyste-mer.

BemærkningerStørsteparten af alt informationsbehandlingsudstyr har systemværktøjer, som kan omgå sikringsforanstaltninger-ne.

71

DS 484:2005

11.5.5 Automatiske afbrydelser

SikringsforanstaltningFunktioner i et informationsbehandlingssystem, som ikke har været aktive i et fastlagt tidsrum, skal afbrydes auto-matisk.

ImplementeringsretningslinjerFor at forhindre uautoriseret systemadgang, specielt i uovervågede lokaler og lokaler med offentlig adgang, skal:

a) inaktive funktioner/sessioner afbrydes automatisk efter et fastlagt tidsrum

b) tidsrummet fastlægges efter en risikovurdering, som bl.a. inkluderer lokalernes tilgængelighed, informationer-nes klassifikation og systemets forretningsmæssige væsentlighed

c) tidsrummet kunne gradueres, så dataskærmen slettes, brugergrænsefladen låses, og forbindelsen til brugersy-stemet og netværket afbrydes efter et yderligere tidsrum.

BemærkningerIngen.

11.5.6 Begrænset netværksforbindelsestid

SikringsforanstaltningFor brugersystemer med særlig høj risiko skal der være begrænsninger på netværksforbindelsestiden.

ImplementeringsretningslinjerFor særligt kritiske brugersystemer skal der, specielt hvis disse kan tilgås fra offentlige lokaler eller lokaler uden forvirksomhedens kontrol, være begrænsninger på systemets netværksforbindelsestid, eksempelvis:

a) ved kun at benytte fastlagte tidsintervaller

b) ved kun at tillade netværksforbindelse inden for normal arbejdstid, hvis der ikke er et forretningsbetinget behovfor udvidet adgangstid

c) * ved at kræve fornyet autentifikation med fastlagte intervaller.

BemærkningerVed at begrænse netværksforbindelsestiden, begrænses mulighederne for at opnå uautoriseret adgang, samt mu-lighederne for at misbruge en autoriseret adgang.

11.6 Styring af adgang til brugersystemer og informationer

FormålAt undgå uautoriseret adgang til informationer gennem brugersystemer.

Brugersystemer skal:

a) sikre, at adgangen til systemets funktioner og informationer er i overensstemmelse med virksomhedens ret-ningslinjer

b) beskytte mod uautoriseret adgang fra systemværktøjer, styresystemer og skadevoldende programmer, som kanomgå adgangskontrollerne

c) forhindre kompromittering af andre brugersystemer med adgang til fælles informationer.

11.6.1 Begrænset adgang til informationer

SikringsforanstaltningAdgang for brugere og hjælpepersonale til brugersystemers funktioner og informationer skal begrænses i overens-stemmelse med de fastlagte forretningsbetingede krav og informationernes klassifikation.

72

DS 484:2005

ImplementeringsretningslinjerFølgende adgangsbegrænsende foranstaltninger skal være implementeret:

a) Menustyret adgang til brugersystemets forskellige funktioner

b) Kontrol af den enkelte brugers rettigheder, fx læse, skrive, slette og udføre

c) Kontrol af andre brugersystemers adgangsrettigheder

d) * Sikring af følsomme/fortrolige uddata, så de kun indeholder relevant information og kun sendes til autoriseredemodtagere og lokationer.

BemærkningerIngen.

11.6.2 Isolering af særligt kritiske brugersystemer

SikringsforanstaltningSærligt kritiske brugersystemer skal placeres på isoleret informationsbehandlingsudstyr.

ImplementeringsretningslinjerHvis et brugersystem er særligt forretningsmæssigt kritisk, eller systemets informationer er særligt følsomme, skalsystemets ejer, jf. 7.1.2:

a) eksplicit dokumentere hvorfor

b) specifikt tillade, at systemet afvikles på udstyr fælles med andre brugersystemer efter en vurdering af den herafafledte risiko.

Bemærkninger

En isolation behøver ikke at være fysisk. Tilfredsstillende isolation kan i nogle situationer opnås ved en systemtek-nisk adskillelse.

11.7 Mobilt udstyr og fjernarbejdspladser

FormålAt beskytte virksomhedens informationer ved brugen af mobilt udstyr og fjernarbejdspladser.

Mobilt udstyr og fjernarbejdspladser skaber behov for yderligere sikringsforanstaltninger, da anvendelsen findersted uden for virksomhedens kontrollerede område.

11.7.1 Mobilt udstyr og datakommunikation

Sikringsforanstaltning

Virksomheden skal have retningslinjer for anvendelsen af mobilt udstyr uden for virksomhedens kontrollerede om-råde, og de nødvendige beskyttelsesforanstaltninger skal være etableret.

ImplementeringsretningslinjerRetningslinjerne for anvendelse af mobilt udstyr, fx PDA’er, bærbare PC’er og mobiltelefoner, skal omfatte følgende:

a) Mobilt udstyr skal have de nødvendige faciliteter, fx kryptering, til at beskytte lagret information.

b) Brugerne skal instrueres i brugen af mobilt udstyr og om risikoen ved at anvende mobilt udstyr, herunder uved-kommendes mulighed for at aflæse eksempelvis skærmen.

c) Der skal være en forretningsgang, som sikrer, at mobilt udstyr løbende opdateres med den nødvendige beskyt-telse mod skadevoldende programmer.

d) Der skal være en forretningsgang, som sikrer, at der bliver taget de nødvendige sikkerhedskopier af væsentligeinformationer på bærbart udstyr.

e) Ved anvendelse af netværksforbindelser fra mobilt udstyr skal der foretages identifikation og autentifikation afudstyret, inden der gives adgang til klassificeret information. De transmitterede data skal være beskyttet i over-ensstemmelse med deres klassifikation.

73

DS 484:2005

f) * Mobilt udstyr skal beskyttes mod fysisk tyveri fra eksempelvis biler og andre transportmidler.

g) Der skal være en forretningsgang for håndtering af tyveri eller bortkomst af mobilt udstyr.

h) Mobilt udstyr med følsomme, fortrolige og/eller andre kritiske informationer må ikke efterlades uovervåget ogskal, om muligt, opbevares på et aflåst sted.

BemærkningerMobilt udstyr med netværksforbindelse via et trådløst netværk er udsat for en særlig risiko, som skal indgå i valget afbeskyttelsesforanstaltninger.

11.7.2 Fjernarbejdspladser

SikringsforanstaltningVirksomheden skal have retningslinjer for anvendelsen og opsætningen af fjernarbejdspladser.

ImplementeringsretningslinjerFjernarbejdspladser skal kun tillades, hvis der kan etableres tilfredsstillende beskyttelse af virksomhedens informati-oner.

Fjernarbejdspladser skal autoriseres og styres af ledelsen, som skal sikre sig, at det fastlagte sikkerhedsniveau kanfastholdes.

Følgende punkter skal indgå i ledelsens overvejelser:

a) fjernarbejdspladsens fysiske sikkerhed

b) den tekniske opsætning af fjernarbejdspladsen

c) kravene til beskyttelsen af netværksforbindelsen

d) risikoen for uautoriseret adgang, fx for andre medlemmer af husholdningen

e) risikoen ved eventuelle lokale netværk, herunder specielt trådløse netværk

f) aftale vedrørende ophavsret til programmer og systemer udviklet for virksomheden på privat udstyr

g) virksomhedens ret til adgang til privat udstyr anvendt som fjernarbejdsplads i forbindelse med den løbende sik-kerhedsopfølgning eller en undersøgelse

h) licensforhold hvis virksomhedens licensbelagte systemer skal anvendes på udstyr, som ikke ejes af virksomhe-den

i) krav til fjernarbejdspladsudstyrets beskyttelse mod skadevoldende programmer og netværksangreb.

De konkrete retningslinjer skal omfatte:

1. anskaffelse af det nødvendige udstyr, herunder eventuelle aflåselige skabe, hvis privat udstyr ikke kan anvendes

2. en beskrivelse af arbejdsopgaverne og deres omfang, herunder hvilke systemer, tjenester og informationer dermå tilgås fra hjemmearbejdspladsen

3. anskaffelse af en passende netværksforbindelse, inklusive metoder til sikring af forbindelsen

4. fysisk sikkerhed

5. regler for families og besøgendes adgang til udstyr og informationer

6. aftale om teknisk støtte og vedligeholdelse

7. forsikring

8. forretningsgang for sikkerhedskopiering og beredskab

9. revisionsadgang og sikkerhedsovervågning

10. inddragelse af autorisationer og adgangsrettigheder og returnering af udstyr eller sletning af virksomhedens in-formationer på privat udstyr, når fjernarbejdspladsaftalen ophører.

74

DS 484:2005

BemærkningerVed fjernarbejdsplads forstås en permanent arbejdsplads uden for virksomhedens lokaler, hvorfra medarbejderenkan udføre sit arbejde via en netværksforbindelse.

75

DS 484:2005

12 Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer

12.1 Sikkerhedskrav til informationsbehandlingssystemer

FormålAt sikkerhed indgår som en integreret del af virksomhedens informationbehandlingssystemer.

Informationsbehandlingssystemer omfatter styresystemer, infrastruktur, forretningssystemer (både egenudvikledesystemer og hyldevare-systemer), brugerudviklede systemer og tjenesteydelser. Design, udvikling og implemente-ring af de systemer, der understøtter virksomhedens daglige drift, kan have afgørende betydning for sikkerheden.Kravene til sikkerhed skal være identificeret og aftalt før udvikling og implementering af informationsbehandlings-systemer.

Alle krav til sikkerhed, inklusiv behovet for at gå tilbage til tidligere versioner, skal være identificeret i forbindelsemed kravspecifikationen i et projekt. Sikkerhedskravene skal være begrundede, aftalte og dokumenterede, som ennaturlig del af den forretningsmæssige begrundelse for systemet.

12.1.1 Analyse og specifikation af krav til sikkerhed

SikringsforanstaltningVirksomhedens krav og ønsker til nye såvel som bestående systemer skal indeholde krav til sikkerheden med ud-gangspunkt i en risikovurdering, jf. 4.1.

ImplementeringsretningslinjerFølgende punkter skal indgå i kravspecifikationen:

a) Ved specifikationen af sikkerhedskravene skal det overvejes, hvilke sikringsforanstaltninger der skal indlægges isystemet, og hvilke der skal udføres manuelt. Tilsvarende overvejelser skal foretages ved evaluering af eksterntudviklede systemer.

b) Krav til sikkerhed og kontrolforanstaltninger skal afspejle forretningsværdien af de informationsaktiver, der er in-volveret, jf. 7.2, samt den potentielle risiko ved ikke at have sikret systemerne tilstrækkeligt.

c) Krav til sikkerhed samt forretningsgange for implementering af sikkerhed skal integreres i de tidlige faser af infor-mationsbehandlingsprojekter. Sikringsforanstaltninger, der implementeres i starten, er betydeligt billigere at im-plementere og vedligeholde end foranstaltninger, der implementeres efterfølgende.

d) Der skal være en formel forretningsgang for indkøb og test af eksternt udviklede systemer. Kontrakter med leve-randører skal specificere virksomhedens krav til sikkerhed. Hvis sikkerhedsfunktionaliteten ikke lever op til de stil-lede krav i det foreslåede produkt, skal de deraf afledte risici og kontrolbehov revurderes før anskaffelse af pro-duktet. Hvor yderligere funktionalitet stilles til rådighed med øget risiko som resultat, skal det vurderes, om virk-somheden kan drage fordel af denne funktionalitet. Hvis ikke, skal funktionaliteten gøres ubrugelig.

BemærkningerVed køb af eksternt udviklede systemer kan det være en fordel at købe produkter, der er evalueret og certificeret af enuafhængig 3.-part. Yderligere informationer om kriterier for evaluering af sikkerhedsprodukter kan findes i ISO/IEC15408 eller andre evaluerings- og certificeringsstandarder.

Anneks B vejleder i processerne for risikovurdering med det formål at identificere kravene til sikringsforanstaltnin-ger.

12.2 Korrekt informationsbehandling

FormålAt forhindre fejl, tab, uautoriserede ændringer eller misbrug af informationer i systemerne.

Passende sikringsforanstaltninger skal indarbejdes i virksomhedens systemer, med det formål at sikre korrekt data-behandling. Disse sikringsforanstaltninger skal inkludere valideringen af data, der sendes ind i systemet, intern data-behandling samt de data, der efterfølgende leveres af systemet.

Yderligere sikringsforanstaltninger skal implementeres, hvor databehandlingen kan have indflydelse på følsomme,værdifulde eller kritiske informationsaktiver. Sådanne sikringsforanstaltninger skal implementeres på baggrund afkravene til systemets sikkerhed samt risikovurderinger for systemet.

76

DS 484:2005

12.2.1 Validering af inddata

SikringsforanstaltningData, der sendes ind i systemerne, skal valideres for korrekthed.

ImplementeringsretningslinjerDer skal være inddatakontroller for forretningstransaktioner, stamdata (navne, adresser, kreditgrænser, kundenum-re m.m.) og øvrige parametre (salgspriser, vekselkurser, skatteprocenter m.m.). Det skal vurderes, hvilke af følgendekontroller der er nødvendige:

a) dobbelt indtastning eller andre indtastningskontroller såsom grænsekontroller eller begrænsning af felter til spe-cificerede grænseværdier med det formål at afdække følgende fejl:1. data uden for tilladte værdier2. invalide karakterer3. manglende eller ufuldstændige data4. overskridelse af øvre/nedre værdier5. uautoriserede eller inkonsistente data

b) periodisk gennemgang af nøgledata for at bekræfte deres validitet og integritet

c) gennemgang af papirdokumenter til indtastning for at afsløre evt. uautoriserede ændringer (alle ændringer tilindtastningsdokumenter skal være autoriserede)

d) forretningsgange for rapportering af valideringsfejl

e) forretningsgange for test af om data virker plausible, før de sendes ind i systemerne

f) beskrive alle involverede medarbejderes ansvar i forbindelse med indtastning af data

g) generering af log over de aktiviteter, der involverer data, der sendes ind i systemerne, jf. 10.10.1.

BemærkningerAutomatiske gennemgange og valideringer af inddata kan overvejes, hvor der er hensigtsmæssigt, for at reducererisikoen for fejl og for at forhindre angreb inklusive indsættelse af skjulte eller kamuflerede uautoriserede data ogkode (fx bufferover- og underflows).

12.2.2 Kontrol af den interne databehandling

SikringsforanstaltningKontrol af datas korrekthed skal indarbejdes i virksomhedens systemer med det formål at afsløre, om data er blevetmodificeret, enten på grund af systemfejl eller bevidste handlinger.

ImplementeringsretningslinjerI udviklingen og implementeringen af informationsbehandlingssystemer skal det sikres, at risikoen for fejl, der førertil tab af dataintegritet, minimeres. Følgende områder skal vurderes:

a) Brugen af funktionerne tilføj, rediger og slet data.

b) Forretningsgange, der sikrer, at programmer afvikles i den korrekte sekventielle orden, og at sekvensen afbrydesved fejl, jf. 10.1.1.

c) Anvendelse af værktøjer, der sikrer korrekt genskabelse af data efter fejl.

d) Beskyttelse mod angreb fra skjulte eller kamuflerede uautoriserede data og kode.

For at kontrollere korrektheden skal der være udarbejdet en tjekliste med tilhørende dokumentation. Følgende punk-ter skal vurderes som mulige punkter i tjeklisten:

• kontroller, der sammenholder balancer efter transaktionsbehandlingen

• kontrol af balancer for at sammenligne åbningsbalancer med foregående afslutningsbalance for:1. regelmæssigt tilbagevendende opgaver, fx dagskørsler eller månedskørsler2. totaler i opdaterede filer3. ved opgaver, hvor flere programmer køres efter hinanden

• validering af systemgenererede data

77

DS 484:2005

• kontrol af integriteten, autenticiteten eller andre sikkerhedskontroller af data, der er hentet via netværksforbindel-ser fra andet informationsbehandlingsudstyr

• kontrol af tjeksummer for data og filer

• kontroller, der sikrer, at programmer afvikles på korrekte tidspunkter

• kontroller, der sikrer, at programmer afvikles i den korrekte rækkefølge og stopper i tilfælde af fejl, og at program-merne først genstartes, når fejlen er rettet

• generering af log over de aktiviteter, der er involveret i processen, jf. 10.10.1.

BemærkningerInformationer, der er indlæst korrekt, kan blive forvansket eller ødelagt af fejl i udstyr, ukorrekt databehandling ellerbevidste handlinger. Vurderingen af ovenstående kontroller vil afhænge af, hvilken type programmer der anvendes,samt de konsekvenser eventuelle datafejl vil have for virksomheden.

12.2.3 Meddelelsers integritet

SikringsforanstaltningKrav til sikring af datas autenticitet og integritet i elektroniske meddelelser skal identificeres, og dertil passende sik-ringsforanstaltninger skal identificeres og implementeres.

ImplementeringsretningslinjerDer skal foretages en risikovurdering af, om det er nødvendigt at beskytte meddelelsers integritet samt den mesthensigtsmæssige metode at implementere dette på.

BemærkningerKryptografi, jf. 12.3, kan anvendes som et hensigtsmæssigt værktøj til at sikre meddelelsers integritet.

12.2.4 Validering af uddata

SikringsforanstaltningData fra systemer skal valideres med det formål at sikre, at de, under de givne omstændigheder, er korrekte.

ImplementeringsretningslinjerValidering af data fra systemer skal indeholde følgende:

a) Sandsynlighedskontrol for at kontrollere, om data er fornuftige.

b) Kontrol af, at alle data er blevet behandlet.

c) Sikre tilstrækkelig information, således at en efterfølgende læser eller efterbehandlingssystem kan verificere denforudgående behandlings nøjagtighed, fuldstændighed, korrekthed og klassifikationen af data.

d) Forretningsgange for håndtering af resultatet af valideringerne.

e) Ansvarsplacering for alt personale, der er involveret i uddatabehandlingen.

f) Generering af en log over aktiviteterne i forbindelse med uddatavalideringen.

BemærkningerNår systemer konstrueres, kontrolleres og testes, antages det ofte, at data, der kommer fra systemet, er korrekt. Den-ne antagelse er ikke altid korrekt, idet systemer, der er blevet testet, stadig kan producere fejlbehæftede resultaterunder særlige omstændigheder.

12.3 Kryptografi

FormålAt sikre fortrolighed, autenticitet og integritet af informationer ved hjælp af kryptografiske metoder.

Der skal være udarbejdet retningslinjer for anvendelsen af kryptografi. Der skal være etableret et nøglehåndterings-system til støtte for anvendelsen af kryptografi.

78

DS 484:2005

12.3.1 Retningslinjer for brugen af kryptografi

SikringsforanstaltningDer skal være udarbejdet retningslinjer for anvendelse af kryptografi til at beskytte virksomhedens informationer.

ImplementeringsretningslinjerVed udarbejdelse af retningslinjerne for anvendelse af kryptografi skal følgende indgå:

a) Ledelsens holdning til brugen af kryptografiske teknikker i hele virksomheden, inklusive de generelle principperfor sikringen af virksomhedens informationer, jf. 5.1.1.

b) Baseret på en risikovurdering skal kravene til kryptografisk beskyttelse identificeres, herunder hvilken styrke ogkvalitet den ønskede krypteringsbeskyttelse skal have.

c) * Brugen af kryptografi til sikring af følsomme informationer, der transporteres på bærbare medier og mobilt ud-styr eller over kommunikationslinjer.

d) * Forretningsgang for nøglehåndteringen, inklusive metoder til sikring af krypteringsnøgler og genskabelse afkrypterede informationer, hvis nøglen mistes, kompromitteres eller beskadiges.

e) * Roller og ansvar for:1. implementering af retningslinjerne2. nøglehåndteringen, inklusive generering af nøgler, jf. 12.3.2.

f) * Standarderne for implementering i hele virksomheden (hvilke løsninger skal anvendes til hvilke forretningspro-cesser), jf. bemærkningerne nedenfor.

g) * Konsekvenserne af at anvende krypterede informationer i forhold til indholdskontrolsystemer, fx antivirussy-stemer.

Før kryptering anvendes i virksomheden, skal det sikres, at alle nationale love og regler overholdes. Der skal også fo-retages en vurdering af love og regler i de lande, informationerne eventuelt passerer igennem, jf. 15.1.6.

Kryptografi kan anvendes til sikring af flere forskellige formål:

• Fortrolighed: Til sikring af følsomme og kritiske informationer, både lagrede og transmitterede informationer.

• Integritet og autenticitet: Ved anvendelse af digital signatur kan både autenticiteten og integriteten sikres.

• Uafviselighed: Ved anvendelse af krypteringsteknikker kan der opnås vished for, om en hændelse eller en hand-ling har eller ikke har fundet sted.

BemærkningerVurderingen af kryptering skal ses som en del af en bred vurdering af alle risici og mulige sikringsforanstaltninger.Denne vurdering kan senere bruges som grundlag for at beslutte, om virksomheden skal anvende kryptering, og igivet fald hvilken kryptering der skal anvende og til hvilke formål.

For at maksimere udbyttet og minimere risikoen ved anvendelse af kryptografiske værktøjer er det nødvendigt, atder udarbejdes retningslinjer for anvendelsen i virksomheden. Hvis der anvendes digitale signaturer, skal gældenderegler og love vurderes, især hvor juridisk bindende en digital signatur er, jf. 15.1.

Specialister kan i nogle situationer inddrages for at:

• bistå med at fastlægge det fornødne sikkerhedsniveau

• specificere den løsning, der vil give den ønskede sikkerhed

• understøtte implementeringen af et sikkert nøglehåndteringssystem, jf. 12.3.2.

ISO/IEC JTC1 SC27 har udarbejdet flere standarder relateret til brugen af kryptografi, jf. den bibliografiske oversigt.Yderligere informationer kan findes i IEEE P1363 og OECD ”Guidelines on Cryptography”.

12.3.2 Nøglehåndtering

SikringsforanstaltningDer skal være etableret et nøglehåndteringssystem, som understøtter virksomhedens anvendelse af kryptografi.

79

DS 484:2005

ImplementeringsretningslinjerAlle krypteringsnøgler skal sikres mod modifikation, tab og destruktion. Herudover skal hemmelige nøgler sikresmod uautoriseret adgang. Udstyr, der anvendes til generering, lagring og arkivering af nøgler, skal sikres fysisk.

Et system til nøglehåndtering skal være baseret på et aftalt sæt af standarder, forretningsgange og sikre metoder for:

a) generering af nøgler til forskellige krypteringssystemer og forskellige brugersystemer

b) generering af og adgang til offentlige nøglecertifikater

c) distribution af nøgler til de tiltænkte brugere, samt hvorledes nøglerne aktiveres ved modtagelse

d) lagring af nøgler, inklusive hvorledes autoriserede brugere får adgang til disse

e) ændring og opdatering af nøgler, samt regler for hvornår og hvordan nøgler skal ændres

f) håndtering af kompromitterede nøgler

g) tilbagekaldelse af nøgler, inklusive hvorledes nøgler trækkes tilbage eller inaktiveres, fx hvis en nøgle er blevetkompromitteret, eller når en bruger forlader virksomheden

h) genskabe nøgler, der er gået tabt eller er blevet ødelagt, som en del af beredskabsplanlægningen

i) arkivering af nøgler

j) destruering af nøgler

k) logning og overvågning af aktiviteter i forbindelse med nøglehåndteringen.

For at reducere sandsynligheden for kompromittering skal aktiverings- og inaktiveringsdatoer for nøgler være angi-vet, så de kun er gyldige i en fastlagt periode. Denne periode er afhængig af de omstændigheder, hvorunder en gi-ven kryptografisk beskyttelse anvendes, og den dermed forbundne risiko.

Ud over en sikker håndtering af hemmelige nøgler skal autenticiteten af nøglecertifikater sikres. Kontrollen af auten-ticiteten kan effektiviseres ved anvendelse af certifikater, som er udstedt af et certificeringscenter. Dette skal være enanerkendt organisation med tilstrækkelige sikringsforanstaltninger og forretningsgange til at sikre tilliden til de ud-stedte certifikater.

Indholdet i en samarbejdsaftale eller en kontrakt med eksterne leverandører af kryptografiske ydelser som fx et cer-tificeringscenter skal dække områder som ansvar, tillid til den leverede ydelse samt svartider for disse ydelser, jf.6.2.3.

BemærkningerHåndteringen af kryptografiske nøgler er et af de vigtigste elementer i en effektiv anvendelse af kryptografi. ISO/IEC11770 giver yderligere informationer om nøglehåndtering. Der er to typer af kryptografiske metoder – disse er:

• Symmetriske metoder, hvor to eller flere deler den samme nøgle til både kryptering og dekryptering. En sådannøgle skal hemmeligholdes, da enhver med adgang til denne vil være i stand til at dekryptere alle informationerkrypteret med nøglen eller at introducere uautoriserede informationer ved brug af nøglen.

• Asymmetriske metoder, hvor hver bruger har et nøglepar: en offentlig nøgle (som kan udleveres til alle) og enhemmelig, personlig nøgle, som kun ejeren har adgang til. Asymmetriske metoder kan anvendes til både krypte-ring og til at producere digitale signaturer med (se også ISO/IEC 9796 og ISO/IEC 14888).

Der er en risiko for, at man kan forfalske en digital signatur ved at udskifte en brugers offentlige nøgle med sin egen.Dette problem adresseres ved at anvende et anerkendt offentligt nøglecertifikat.

Kryptografisk beskyttelse kan også anvendes til sikring af krypteringsnøgler. Der skal udarbejdes forretningsgangefor adgang til krypteringsnøgler, fx kan det være nødvendigt at fremlægge krypteret information i et dekrypteret for-mat som bevismateriale i forbindelse med en eventuel retssag.

12.4 Styring af driftsmiljøet

FormålAt sikre de systemtekniske filer i driftsmiljøet.

Adgang til systemtekniske filer og kildekode skal være kontrolleret. Informationsbehandlingsprojekter samt støtte-funktioner skal udføres på en sikker måde. Det skal sikres, at følsomme informationer ikke offentliggøres i testmil-jøer.

80

DS 484:2005

12.4.1 Sikkerhed ved systemtekniske filer

SikringsforanstaltningDer skal være forretningsgange for installation af systemer i driftsmiljøer.

ImplementeringsretningslinjerFor at sikre driftsmiljøet skal følgende retningslinjer for ændringer være implementeret:

a) Opdatering af styresystemer, brugersystemer samt system- og databiblioteker i drift må kun udføres af kvalifice-rede administratorer, efter autorisation fra ledelsen, jf. 12.4.3.

b) * Driftsmiljøer må kun indeholde godkendt eksekverbar kode og ikke kildekode og oversættere (“compilers”).

c) Styresystemer og brugersystemer må kun implementeres efter tilstrækkelig og tilfredsstillende test. Testen skalindeholde test af brugbarhed, sikkerhed, indvirkning på andre systemer og brugervenlighed og skal udføres i etseparat miljø, jf. 10.1.4. Det skal sikres, at alle tilhørende biblioteker med kildekode er korrekt opdateret.

d) Der skal være etableret et konfigurationsstyringssystem for at sikre fuld kontrol med alle implementerede syste-mer samt den tilhørende dokumentation.

e) Der skal være en plan for tilbagerulning, før ændringer implementeres.

f) Der skal være en log med beskrivelse af alle opdateringer af driftsmiljøet.

g) Tidligere versioner af bruger- og styresystemer skal opbevares i tilfælde af behov for indlæsning af disse.

h) Ældre versioner af bruger- og styresystemer skal arkiveres sammen med de dertilhørende informationer, para-metre, forretningsgange, konfigurationsinformationer samt yderligere anvendte støttesystemer. Disse skal op-bevares i samme tidsperiode som de arkiverede informationer.

Leverandørsystemer, der anvendes i driftsmiljøet, skal vedligeholdes på et versionsniveau, der understøttes af leve-randøren. Alle beslutninger om opgraderinger skal træffes på baggrund af de forretningsbetingede krav til ændrin-ger samt en sikkerhedsvurdering af den nye version, fx om den nye version introducerer ny sikkerhedsfunktionalitet,og eventuelle risici ved den nye version. Systemrettelser skal implementeres, hvis de kan medvirke til en reduceringaf svagheder, jf. 12.6.1.

Leverandører må kun få fysisk eller netværksbaseret adgang, når det er nødvendigt, og det må kun finde sted medledelsens accept. Leverandørers aktiviteter skal overvåges.

Systemer kan være afhængige af eksternt leverede systemer. Disse skal ligeledes overvåges og kontrolleres, såle-des at uautoriserede ændringer og adgange, som kan introducere yderligere risici, forhindres.

BemærkningerDriftsmiljøer skal kun opgraderes, når der er velbegrundede behov herfor, fx hvis de ikke længere opfylder de forret-ningsbetingede krav. Opgraderinger bør ikke finde sted, blot fordi der er en ny version. Nye versioner kan have fleresikkerhedshuller, være ustabile, og brugerne kan mangle forståelse for dette.

12.4.2 Sikring af testdata

SikringsforanstaltningData, der anvendes til test, skal udvælges omhyggeligt, kontrolleres nøje og beskyttes i henhold til dets klassifikati-on.

ImplementeringsretningslinjerDriftsdatabaser med personfølsomme eller andre kritiske informationer må ikke anvendes til test. Hvis der er behovfor at anvende personfølsomme informationer, skal disse informationer ændres i en sådan grad, at de ikke længerekan genkendes og henføres til personer, før de anvendes til test. Alternativt skal følsomme driftsdata, der anvendestil test, beskyttes efter følgende retningslinjer:

a) Forretningsgangene for adgangskontrol til driftsmiljøet skal også gælde for adgangen til testsystemer.

b) Der skal være en formel godkendelse, før data fra driftsmiljøet kopieres til et testmiljø.

c) Data fra driftsmiljøet, der anvendes i testmiljøer, skal slettes omgående efter afsluttet test.

d) Kopiering og brug af data fra driftsmiljøet skal logges for at sikre kontrolsporet.

81

DS 484:2005

BemærkningerSystem- og driftoverdragelsestest stiller ofte krav til store mængder testdata, der ligner ægte data fra driftsmiljøet.

12.4.3 Styring af adgang til kildekode

SikringsforanstaltningAdgang til kildekode skal begrænses.

ImplementeringsretningslinjerAdgang til kildekode og den tilhørende dokumentation, fx designspecifikationer, diagrammer og testplaner, skalkontrolleres strengt for at forhindre uautoriseret funktionalitet og utilsigtede ændringer. For kildekode til program-mer kan dette opnås ved at lagre kildekoden under streng kontrol, helst i særlige kildebiblioteker. De følgende ret-ningslinjer skal gennemføres jf. pkt. 11 for at kontrollere adgangen til disse biblioteker, således at risikoen for kom-promittering af programmer minimeres:

a) * Kildekode må ikke opbevares i driftsmiljøet.

b) Kildekode og bibliotekerne med disse skal styres i overensstemmelse med de etablerede forretningsgange.

c) Hjælpepersonale må kun have specifikt autoriseret adgang til kildebiblioteker.

d) Opdatering af kildebiblioteker og den tilhørende dokumentation samt udleveringen af kildekode til systemudvik-lere må kun finde sted, efter at der er indhentet tilladelse hertil.

e) Udskrifter af kildekode skal opbevares sikkert, jf. 10.7.4.

f) * Alle adgange til kildebibliotekerne skal logges.

g) Vedligeholdelse og kopiering af kildekode skal følge dokumenterede forretningsgange for ændringsstyring, jf.12.5.1.

BemærkningerKildekode er den kode, systemudviklerne bruger til detailspecifikation af en løsning. Koden oversættes og bindessammen således, at der skabes eksekverbare filer. Nogle programmeringssprog skelner ikke mellem kildekode ogeksekverbare filer, da den eksekverbare kode genereres hver gang, den skal bruges.

Standarderne ISO 10007 og ISO/IEC 12207 giver yderlige informationer om konfigurations- og udviklingsstyring.

12.5 Sikkerhed i udviklings- og hjælpeprocesser

FormålAt opretholde sikkerheden i virksomhedens brugersystemer.

Udviklings- og hjælpemiljøer skal være under streng kontrol.

Ejerne af brugersystemer, jf. 7.1.2, skal også være ansvarlige for de hertilknyttede udviklings- og hjælpemiljøer. Deskal sikre, at alle foreslåede ændringer gennemgås og sikre, at de ikke kompromitterer sikkerheden i hverken syste-met eller det bagvedliggende styresystem.

12.5.1 Ændringsstyring

SikringsforanstaltningImplementeringen af ændringer skal være styret af en formel forretningsgang.

ImplementeringsretningslinjerDer skal være udarbejdet formelle forretningsgange for ændringsstyring. Disse skal være implementeret således, atrisikoen for kompromittering af virksomhedens informationer minimeres. Introduktion af nye systemer og størreændringer til de eksisterende systemer skal følge en formel forretningsgang med dokumentation, specifikationer,test, kvalitetskontrol og styret implementering.

Denne forretningsgang skal indeholde en risikovurdering, en analyse af den virkning, ændringerne vil have, samt enspecifikation af de sikringsforanstaltninger, ændringen medfører. Forretningsgangen skal også sikre, at de eksiste-rende sikringsforanstaltninger ikke kompromitteres, og at udviklerne kun får adgang til de dele af systemet, der ernødvendige for deres arbejde, samt at der opnås en formel accept og godkendelse af ændringen.

82

DS 484:2005

Hvor det er praktisk muligt skal forretningsgange for ændringsstyring for brugersystemer og driftsmiljøer integreresmed hinanden, jf. 10.1.2. Forretningsgangen for ændringsstyring skal opfylde følgende krav:

a) Beskrivelse af de aftalte niveauer af autorisationer.

b) Sikre at ændringer rekvireres af de dertil autoriserede brugere.

c) Gennemgang af sikringsforanstaltninger og integritetskontroller for at sikre, at disse ikke forringes med imple-mentering af ændringen.

d) Identifikation af alle bruger- og styresystemer, informationer, databaser og udstyr, der skal ændres.

e) Indhente formel godkendelse af ændringen, før arbejdet med den går i gang.

f) Sikre at autoriserede brugere accepterer ændringen, før den implementeres.

g) Sikre at systemdokumentationen opdateres ved hver ændring, og at forældet dokumentation arkiveres eller de-strueres.

h) Vedligeholdelse af en versionsstyring for alle systemændringer.

i) Vedligeholdelse af et kontrolspor for alle ændringer.

j) Sikre at driftsdokumentation og forretningsgangene for brugerne ændres, således at de stadig er gældende.

k) Sikre at implementeringen foretages på det aftalte tidspunkt, og at den ikke forstyrrer de involverede forretnings-ydelser.

BemærkningerÆndringer i systemer kan have indflydelse på driftsmiljøet.

Mange virksomheder vedligeholder et miljø, hvor det er muligt at teste nye systemer, adskilt fra driftsmiljøet, jf.10.1.4. Dette giver mulighed for at bevare kontrollen med nye systemer og sikre eventuelle anvendte testdata fradriftsmiljøet. Dette bør også anvendes ved rettelser og opdateringer. Automatisk opdatering bør ikke anvendes påkritiske systemer, da dette kan forårsage, at kritiske systemer fejler, jf. 12.6.

12.5.2 Teknisk gennemgang af forretningssystemer efter ændringer i styresystemerne

SikringsforanstaltningNår driftsmiljøerne ændres skal kritiske forretningssystemer gennemgås og testes for at sikre, at det ikke har utilsig-tede afledte virkninger på virksomhedens daglige drift og sikkerhed.

ImplementeringsretningslinjerForretningsgangen skal dække følgende:

a) Gennemgang af systemkontroller og integritetsprocedurer, for at sikre at de ikke er blevet kompromitteret vedændringen i driftsmiljøet.

b) Sikre at der afsættes midler til gennemgang og test af systemer i forbindelse med ændringer i driftsmiljøet.

c) Sikre at ændringer i driftsmiljøerne annonceres i god tid, således at der er god tid til gennemgang og test før im-plementeringen.

d) Sikre at beredskabsplanen tilrettes i overensstemmelse med de nye ændringer jf. pkt. 14.

En eller flere medarbejdere skal udpeges som ansvarlig for overvågning af nye sårbarheder og svagheder samt le-verandørernes frigivelser af sikkerhedsrettelser til styresystemets komponenter, jf. 12.6.

BemærkningerIngen.

12.5.3 Begrænsninger i ændringer til standardsystemer

SikringsforanstaltningÆndringer til standardsystemer skal begrænses til de nødvendige ændringer, og alle sådanne ændringer skal styresomhyggeligt.

83

DS 484:2005

ImplementeringsretningslinjerI den udstrækning det er muligt, skal standardsystemer anvendes uden ændringer. Hvis et sådant system alligevelskal ændres, skal følgende punkter nøje overvejes:

a) risikoen for at indbyggede sikringsforanstaltninger og integritetssikring kompromitteres

b) om der skal indhentes tilladelse fra leverandøren

c) mulighed for, at leverandøren udarbejder ændringen som en del af en standardopdatering

d) konsekvenserne, hvis virksomheden selv bliver ansvarlig for vedligeholdelse af systemet på grund af denne æn-dring.

Hvis ændringer er nødvendige, skal den originale udgave af systemet bevares, og ændringerne skal udføres på entydeligt identificeret kopi. Der skal være udarbejdet og implementeret en forretningsgang, der sikrer, at de nyestegodkendte opdateringer installeres på alle autoriserede systemer, jf. 12.6. Alle ændringer skal være testet og doku-menteret således, at de kan implementeres igen senere, hvis det bliver nødvendigt. Hvis virksomheden finder detnødvendigt, kan ændringen testes af en uafhængig 3.-part.

BemærkningerIngen.

12.5.4 Lækage af informationer

SikringsforanstaltningDer skal implementeres beskyttelsesforanstaltninger, der begrænser risikoen for lækage af informationer gennemfx skjulte kanaler.

ImplementeringsretningslinjerFor at begrænse risikoen for lækager skal følgende overvejes:

a) * scanning efter skjulte informationer i al udgående trafik – både fysiske medier og elektronisk kommunikation

b) * maskering og sløring af systemer og kommunikation med det formål at mindske risikoen for at uautoriseredekan uddrage informationer af et fast mønster

c) * anvendelse af systemer og udstyr, der har et højt niveau af integritet, fx ved anvendelse af evaluerede og certi-ficerede produkter (se ISO/IEC 15408)

d) * jævnlig overvågning af medarbejdere og systemer, hvor lovgivningen tillader det

e) * overvågning af ressourceforbruget i udstyr og systemer.

BemærkningerSkjulte kanaler er metoder og informationsveje, der ikke er tænkt til udveksling af informationer, men som alligeveleksisterer i systemer og netværk. Fx kan manipulation af bits i en kommunikationsstrøm anvendes til udveksling afskjulte informationer. Det er i sagens natur yderst vanskeligt at forhindre alle skjulte kanaler, måske endda umuligt.Trojansk kode bliver ofte brugt til etablering af sådanne kanaler, jf. 10.4.1. Beskyttelse mod trojansk kode kan derforreducere udnyttelsen af skjulte kanaler.

Sikring mod uautoriseret netværksadgang, jf. 11.4, samt regler og forretningsgange har en afskrækkende virkningpå medarbejdernes misbrug af informationer, jf. 15.1.5, og vil hjælpe i forsøget på at undgå skjulte kanaler.

12.5.5 Systemudvikling udført af en ekstern leverandør

SikringsforanstaltningUdviklingen af systemer foretaget af eksterne leverandører skal overvåges og styres omhyggeligt.

ImplementeringsretningslinjerVirksomheder, der får udviklet systemer af en ekstern leverandør, skal overveje følgende punkter:

a) licenser, ejerskab af kildekoden, andre intellektuelle rettigheder, jf. 15.1.2

b) sikring af kvaliteten og nøjagtigheden af det udførte arbejde

c) * deponering af kildekode for at undgå problemer ved et utilsigtet ophør af samarbejdet

84

DS 484:2005

d) adgangsrettigheder i forbindelse med revision af kvaliteten og nøjagtigheden af det udførte arbejde

e) kontraktuelle krav til kvalitet og sikkerhedsfunktionalitet i koden

f) test af nye versioner og rettelser før implementering for at sikre mod skadevoldende kode og trojansk kode.

BemærkningerIngen.

12.6 Sårbarhedsstyring

FormålAt forhindre skader fra angreb, som udnytter kendte sårbarheder.

Beskyttelse mod tekniske sårbarheder skal implementeres effektivt og systematisk med løbende målinger, der sikrereffektiviteten. Disse overvejelser skal omfatte driftsmiljøer og samtlige brugersystemer.

12.6.1 Sårbarhedssikring

SikringsforanstaltningVirksomheden skal løbende indhente informationer om eventuelle sårbarheder i de anvendte systemer. Sårbarhe-derne skal evalueres, og passende foranstaltninger skal implementeres for at modvirke de nye risici.

ImplementeringsretningslinjerEn opdateret og fuldstændig liste over virksomhedens informationsaktiver, jf. 7.1, er en forudsætning for en effektivsikring mod sårbarheder. Specifikke informationer om mulige sårbarheder inkluderer producenten, versionsnum-meret, en liste over, hvilke systemkomponenter der er installeret på hvilke systemer, samt en liste over de medar-bejdere, der er ansvarlige for systemkomponenterne.

Der skal udvises rettidig omhu i reaktionen på identifikationen af nye sårbarheder. Følgende retningslinjer skal føl-ges for at etablere en effektiv sikring mod sårbarheder:

a) Virksomheden skal udpege og informere om hvem, der har ansvaret for håndtering af sårbarheder, inklusiveovervågning af sårbarheder, risikovurderingen ved sårbarheder, udbedring, sporing af aktiver, og den nødvendi-ge koordinering.

b) Identifikation af de informationskilder, der anvendes til identifikation af sårbarheder og fastholdelse af opmærk-somhed mod disse, både for systemer og udstyr (baseret på listen over informationsaktiver, jf. 7.1.1), skal opda-teres, når listen over aktiver ændres, eller hvis nye brugbare informationskilder dukker op.

c) Der skal defineres en tidsfrist for reaktion på oplysninger om potentielle relevante sårbarheder.

d) Når en sårbarhed er blevet identificeret, skal virksomheden vurdere de afledte risici, samt hvad der skal foreta-ges, eksempelvis opdatering af sårbare systemer og/eller implementering af yderligere sikringsforanstaltninger.

e) Afhængigt af hvor hurtigt sårbarheden skal udbedres, skal alle ændringer følge den gældende forretningsgangfor ændringsstyring, jf. 12.5.1, eller særlige forretningsgange for ændringer i forbindelse med sårbarheder, jf.12.2.

f) Hvis en opdatering er til rådighed, skal risikoen ved implementering af denne vurderes mod risikoen ved ikke atopdatere systemet.

g) Opdateringer skal testes og evalueres, før de installeres, således at virksomheden sikrer sig, at de er effektive ogikke resulterer i utilsigtede og uacceptable bivirkninger. Hvis der ikke er opdateringer til rådighed, skal der ind-føres kompenserende sikringsforanstaltninger som fx at:1. stoppe tjenesten eller systemanvendelsen relateret til svagheden2. tilpasse eller tilføje adgangskontroller, fx i de logiske filtre ved indgangene til netværket, jf. 11.4.53. udvide overvågningen for at opdage og forhindre udnyttelse af svagheden4. øge opmærksomheden på svagheden.

h) * Der skal udarbejdes en log over alle de handlinger, der finder sted.

i) Forretningsgangene for sårbarhedssikring skal løbende gennemgås og evalueres, for at sikre at de til stadigheder effektive.

j) Systemerne med den højeste risiko og væsentlighed skal udbedres først.

85

DS 484:2005

BemærkningerEn korrekt håndtering af en virksomheds sårbarheder er ofte meget kritisk, hvorfor forretningsgangene for dettejævnligt skal gennemgås. En nøjagtig liste over virksomhedens informationsaktiver er essentiel for at kunne identifi-cere potentielle sårbarheder.

Håndteringen af sårbarheder kan ses som en del af ændringsstyringen og kan derfor gøre god nytte af forretnings-gangene for denne, jf. 10.1.2 og 12.5.1.

Leverandører er ofte under stort pres for at levere opdateringer hurtigst muligt, hvorfor en opdatering kan risikeredels ikke at fjerne sårbarheden helt og dels at have negative bivirkninger. Det kan i nogle tilfælde være vanskeligt atfjerne en opdatering, når den først er installeret.

Hvis det ikke er muligt at foretage en tilstrækkelig test af opdateringen, på grund af fx manglende ressourcer, kanvirksomheden overveje at afvente installation af denne, indtil andre har afprøvet den, og dermed bruge deres erfa-ringer med installationen.

86

DS 484:2005

13 Styring af sikkerhedshændelser

13.1 Rapportering af sikkerhedshændelser og svagheder

FormålAt opnå at sikkerhedshændelser og svagheder i virksomhedens informationsbehandlingssystemer rapporteres påen sådan måde, at det er muligt at foretage korrektioner rettidigt.

Forretningsgange for rapportering og eskalering skal være på plads. Alle medarbejdere, samarbejdspartnere ogøvrige brugere skal være bekendt med forretningsgangene for rapportering af forskellige typer hændelser og svag-heder, der kan have indflydelse på sikkerheden for virksomhedens aktiver. Sikkerhedshændelser og svagheder skalhurtigst muligt rapporteres til et enkelt udpeget kontaktpunkt.

13.1.1 Rapportering af sikkerhedshændelser

SikringsforanstaltningSikkerhedshændelser skal rapporteres til ledelsen hurtigst muligt.

ImplementeringsretningslinjerDer skal være en forretningsgang, som beskriver rapportering, eventuelle umiddelbare udbedringsaktiviteter samtden videre behandling af hændelsesrapporteringen. Der skal være etableret et enkelt kontaktpunkt, hvortil sikker-hedshændelser rapporteres. Det skal sikres, at alle i organisationen er bekendt med dette kontaktpunkt, og at det al-tid er i stand til at give tilstrækkelige og rettidige svar.

Alle medarbejdere, samarbejdspartnere og andre brugere skal gøres opmærksom på deres ansvar for hurtigst mu-ligt at rapportere sikkerhedshændelser. De skal være gjort bekendt med forretningsgangen for rapportering af sik-kerhedshændelser samt kontaktpunktet for dette. Forretningsgangen for rapportering skal indeholde følgende:

a) Tilbagemeldinger, således at den, der har indrapporteret, får besked om resultatet, efter at hændelsen er blevetafklaret og lukket.

b) * Formularer, så vidt muligt elektroniske, til indrapportering af sikkerhedshændelser for at støtte indrapporterin-gen og for at hjælpe den, der indrapporterer, med at huske alle nødvendige handlinger i forbindelse med en sik-kerhedshændelse.

c) Den korrekte reaktion i tilfælde af en sikkerhedshændelse som fx:1. øjeblikkeligt at notere alle vigtige detaljer (fx typen af brud, opståede fejl, beskeder på skærmen, usædvanlige

hændelser)2. intet at gøre selv, men i stedet at rapportere til kontaktpunktet øjeblikkeligt.

d) Reference til en formel sanktionsprocedure for medarbejdere, samarbejdspartnere og andre brugere, der begårsikkerhedsbrud, jf. 8.2.3.

I højrisikoområder kan man etablere en overfaldsalarm, hvormed en person, som er eller føler sig truet, kan signale-re en trusselsituation. Reaktionsproceduren skal afspejle alvoren i en sådan sikkerhedshændelse.

BemærkningerEksempler på sikkerhedshændelser og -brud er:

• tab af tilgængelighed, udstyr eller faciliteter

• systemfejl eller overbelastning

• menneskelige fejl

• hvis forretningsgange eller vejledninger ikke følges

• brud på den fysiske sikkerhed

• ukontrollerede ændringer i systemer

• fejl i operativsystemer eller udstyr

• brud på adgangskontrollerne.

87

DS 484:2005

Med den fornødne hensyntagen til fortrolighed kan sikkerhedshændelser anvendes i kampagner og uddannelse, jf.8.2.2, som eksempler på, hvad der kan ske, hvorledes der skal reageres på sikkerhedshændelser, og hvorledes disseundgås i fremtiden. For at kunne håndtere sikkerhedshændelser korrekt er det nødvendigt at indsamle beviser hur-tigst muligt efter hændelsen, jf. 13.2.3.

Fejl og andre situationer, hvor systemer opfører sig unormalt, kan være en indikator for et angreb, eller at et sikker-hedsbrud har fundet sted, og skal derfor altid rapporteres som en sikkerhedshændelse.

Yderligere informationer om sikkerhedshændelser og håndtering af sikkerhedshændelser kan findes i ISO/IEC TR18044.

13.1.2 Rapportering af svagheder

SikringsforanstaltningAlle medarbejdere, samarbejdspartnere og andre brugere af systemer og tjenester skal have pligt til at notere ograpportere alle observerede svagheder eller mistanker om svagheder i systemer og tjenester.

ImplementeringsretningslinjerAlle medarbejdere, samarbejdspartnere og andre brugere skal rapportere disse ting enten til ledelsen eller direkte tilderes eksterne leverandør hurtigst muligt med det formål at forhindre sikkerhedsbrud. Rapporteringsprocedurenskal være så let og tilgængelig som muligt. De skal informeres om, at de ikke under nogen omstændigheder selvskal forsøge at bevise en mistænkt svaghed.

BemærkningerNår medarbejdere, samarbejdspartnere og andre brugere ikke selv skal forsøge at bevise svagheden, er det for atbeskytte dem selv. Eventuel test af svagheder kan blive opfattet som et forsøg på at foretage et sikkerhedsbrud ogkan forårsage skade på systemer og tjenester og resultere i et retsligt efterspil for den, der forsøger at teste svaghe-den.

13.2 Håndtering af sikkerhedsbrud og forbedringer

FormålSikre en ensartet og effektiv håndteringen af sikkerhedsbrud.

Ansvar og procedurer for håndteringen af sikkerhedsbrud og svagheder skal være på plads, således at disse kanhåndteres effektivt, når de opstår. Der skal være etableret en proces til løbende forbedringer af reaktioner på, over-vågning af og vurdering af sikkerhedsbrud.

Hvor der kræves beviser, skal disse indsamles således, at de opfylder lovgivningens krav.

13.2.1 Ansvar og forretningsgange

SikringsforanstaltningLedelsens ansvar og de nødvendige forretningsgange skal være fastlagt for at sikre en hurtig, effektiv og metodiskhåndtering af sikkerhedsbrud.

ImplementeringsretningslinjerUd over rapportering af sikkerhedshændelser og svagheder, jf. 13.1, skal overvågningen af systemer, alarmer ogsårbarheder bruges til at konstatere sikkerhedshændelser. Følgende retningslinjer skal være etableret:

a) Procedurer til håndtering af forskellige typer af sikkerhedsbrud, herunder:1. fejl i systemer og tab af tilgængelighed.2. skadevoldende kode3. blokering af tjenester (“denial of service”)4. fejl forårsaget af ufuldstændige og unøjagtige forretningsdata5. brud på fortrolighed og integritet6. misbrug af systemer.

88

DS 484:2005

b) Ud over aktiviteterne i beredskabsplanerne, jf. 14.1.3, skal procedurerne også omfatte følgende:1. en analyse og identifikation af, hvad der forårsagede bruddet2. inddæmning af skadevirkningerne3. planlægning og implementering af korrigerende handlinger, for at forebygge at bruddet gentages4. kommunikation med dem, der er berørt af eller involveret i retableringen efter bruddet5. rapportering af handlingerne til relevante myndigheder.

c) Opfølgningslog og lignende beviser skal indsamles, jf. 13.2.3, og sikres til brug for:1. intern analyse af problemet2. dokumentation af tekniske beviser i relation til potentielle kontraktbrud eller lovgivningsmæssige krav i tilfæl-

de af en civil eller kriminel retssag under gældende lovgivning om misbrug af data3. forhandling om kompensation fra leverandører af systemer eller tjenester.

d) Retablering efter et sikkerhedsbrud og rettelse af systemfejl skal styres omhyggeligt og i overensstemmelse medprocedurerne. Procedurerne skal sikre, at:1. kun identificerede og autoriserede medarbejdere har adgang til produktionssystemer og data, jf. 6.22. alle handlinger i forbindelse med et brud dokumenteres detaljeret3. handlinger i forbindelse med et brud rapporteres til ledelsen og gennemgås systematisk, jf. 13.2.24. integriteten af at virksomhedens systemer og sikringsforanstaltninger skal bekræftes hurtigst muligt.

Målet med håndtering af sikkerhedsbrud skal være fastlagt af ledelsen, og det skal sikres, at de, der har ansvaret forhåndtering af sikkerhedsbrud, forstår virksomhedens forretningsmæssige prioritering i forbindelse med håndteringaf sikkerhedsbrud.

BemærkningerSikkerhedsbrud kan overskride virksomhedens såvel som landets grænser. I forsøget på at dæmme op for sådannebrud er der et stigende behov for en koordineret indsats og videndeling i samarbejde med eksterne organisationer.

13.2.2 At lære af sikkerhedsbrud

SikringsforanstaltningDer skal være implementeret et system, der kan kvantificere og overvåge typerne og omfanget af samt omkostnin-gerne ved håndteringen af sikkerhedsbrud.

ImplementeringsretningslinjerInformationer, der er indsamlet i forbindelse med sikkerhedsbrud, skal anvendes til identifikation af gentagne brudog brud med store konsekvenser.

BemærkningerEn systematisk gennemgang af virksomhedens sikkerhedsbrud kan afdække, om der er behov for yderligere sik-ringsforanstaltninger, der kan begrænse hyppigheden af samt skaderne og omkostningerne ved fremtidige brud, el-ler om der skal tages højde for disse ved næste gennemgang af sikkerhedsstrategien, jf. 5.1.2.

13.2.3 Indsamling af beviser

SikringsforanstaltningHvis et sikkerhedsbrud afstedkommer et retsligt efterspil, skal der, uanset om sikkerhedsbruddet er foretaget af enperson eller en virksomhed, indsamles, opbevares og præsenteres et fyldestgørende bevismateriale, der er i over-ensstemmelse med reglerne for bevismaterialers antagelighed under gældende lovgivning.

ImplementeringsretningslinjerAf hensyn til eventuelle disciplinære sager i virksomheden skal det overvejes at udarbejde interne retningslinjer forindsamling og præsentation af bevismateriale.

Eventuelle retningslinjer for bevismateriale skal dække:

a) * bevisernes antagelighed – om bevismaterialet kan fremlægges i en retssag

b) * bevismaterialets styrke, kvalitet af bevismaterialet, samt om det er komplet.

89

DS 484:2005

Virksomheden skal sikre, at gældende regler for fremstilling af bevismateriale følges.

Al efterforskning må kun udføres på kopier af det egentlige bevismateriale for at beskytte dettes integritet.

BemærkningerSikringen af bevisets styrke sker gennem etablering af et bevisspor, der beviser kvaliteten og fuldstændigheden afde arbejdsgange og sikringsforanstaltninger, der er anvendt til beskyttelse af bevismaterialet i den periode, hvor be-vismaterialet er blevet indsamlet og opbevaret. Generelt kan et stærkt bevisspor etableres under følgende betingel-ser:

• For papirdokumentations vedkommende skal denne opbevares sikkert med en journal, der beskriver, hvem derhar fundet dokumentet, hvor dokumentet blev fundet, hvornår dokumentet blev fundet, og hvem der var vidner tilfundet. Det skal ved enhver efterforskning sikres, at der ikke er blevet ændret ved de originale dokumenter.

• For informationer på elektroniske medier skal der tages kopier af ethvert flytbart medie samt af informationer påinterne lagringsenheder eller i udstyrets hukommelse, for at sikre at informationerne er til rådighed. Loggen overalle handlinger i forbindelse med kopieringen skal opbevares og processen bevidnes af en betroet medarbejder.En kopi af medierne og loggen skal opbevares sikkert.

Når en sikkerhedshændelse første gang opdages, er det ikke altid muligt at afgøre, om dette vil afstedkomme et rets-ligt efterspil. Derfor er der en risiko for, at bevismateriale ødelægges enten ved en fejl eller bevidste handlinger, in-den situationens alvor går op for virksomheden. Det er derfor tilrådeligt at søge råd hos enten jurister eller politi omindsamling af bevismaterialet så tidligt som muligt.

Bevismateriale kan overskride virksomheds- og landegrænser. I sådanne tilfælde skal virksomheden sikre sig, at denhar ret til at anvende de indsamlede informationer som bevismateriale. Kravene fra de forskellige retslige instanserfra andre lande skal inddrages i overvejelserne for at øge sandsynligheden for, at bevismaterialet er antageligt påtværs af landegrænser.

90

DS 484:2005

14 Beredskabsstyring

14.1 Beredskabsstyring og informationssikkerhed

FormålBeredskabsstyring skal:

• modvirke afbrydelser i virksomhedens forretningsaktiviteter

• beskytte kritiske informationsaktiver mod effekten af et større nedbrud eller en katastrofe og

• sikre hurtig retablering.

Virksomheden skal implementere beredskabsstyring som en løbende opgave med det formål at begrænse konse-kvenserne af tab af informationsaktiver forårsaget af katastrofer og sikkerhedsbrister til et acceptabelt niveau samt atgenoprette situationen gennem en kombination af forebyggende og udbedrende foranstaltninger. I forbindelsemed beredskabsstyringen skal virksomhedens kritiske forretningsaktiviteter identificeres, og beredskabskravenevedrørende informationssikkerhed skal integreres med andre beredskabskrav vedrørende drift, personale, materiel,transport og øvrige faciliteter.

Konsekvenserne ved katastrofer, sikkerhedsbrud og mistet tilgængelighed skal analyseres ud fra de forretnings-mæssige konsekvenser. Beredskabsplaner skal udarbejdes og implementeres med det formål at sikre, at forretnin-gen kan retableres inden for en fastsat tidsfrist. Informationssikkerhed skal være en integreret del af virksomhedensoverordnede beredskabsstyring.

Beredskabsstyringen skal indeholde procedurer, der identificerer og reducerer risici, begrænser konsekvenserneved skadelige hændelser og sikrer rettidig retablering af kritiske forretningsprocesser.

14.1.1 Informationssikkerhed i beredskabsstyringen

SikringsforanstaltningDer skal udarbejdes og vedligeholdes en tværorganisatorisk beredskabsstyringsproces, som skal behandle de kravtil informationssikkerhed, der er nødvendige for virksomhedens fortsatte drift.

ImplementeringsretningslinjerProcessen skal samle følgende kritiske elementer i beredskabsstyringen:

a) Forståelse for de risici, virksomheden løbende udsættes for ud fra sandsynligheden for, at de indtræffer og kon-sekvenserne heraf, inklusive identifikation og prioritering af de kritiske forretningsprocesser, jf. 14.1.2.

b) Identifikation af alle informationsaktiver, der indgår i de kritiske forretningsprocesser, jf. 7.1.1.

c) Forståelse for de konsekvenser, afbrydelser vil få for virksomheden (det er vigtigt, at der bliver fundet løsningerpå små såvel som alvorlige hændelser, der kan true virksomhedens fortsatte drift), og fastlæggelse af virksom-hedens forretningsmæssige afhængighed af dens informationsbehandlingssystemer.

d) Overveje forsikringer, der kan indgå som en del af beredskabsstyringen og den generelle risikostyring.

e) * Identificere og overveje implementeringen af yderligere forebyggende sikringsforanstaltninger.

f) Identificere tilstrækkelige finansielle, organisatoriske, tekniske og infrastrukturelle ressourcer til at tilgodese deidentificerede sikkerhedskrav.

g) Sikkerheden for medarbejdere og beskyttelsen af informationsbehandlingsfaciliteter og virksomhedens øvrigeaktiver.

h) Formulere og dokumentere beredskabsplaner i overensstemmelse med den aftalte strategi, jf. 14.1.3.

i) Jævnlig afprøvning og opdatering af beredskabsplanerne, jf. 14.1.5.

j) Sikre at arbejdet med beredskabsstyring er indarbejdet i virksomhedens retningslinjer og struktur. Ansvaret forberedskabsstyringen skal placeres på et tilstrækkeligt højt ledelsesniveau i virksomheden, jf. 6.1.1.

BemærkningerIngen.

91

DS 484:2005

14.1.2 Beredskab og risikovurdering

SikringsforanstaltningSikkerhedshændelser, der kan forårsage afbrydelser i forretningsprocesserne, skal identificeres, og sandsynlighe-den for, at disse indtræffer, og hvilken effekt, disse hændelser kan have, skal vurderes.

ImplementeringsretningslinjerInformationssikkerhedens betydning for beredskabet skal baseres på identifikation af sikkerhedshændelser (eller se-kvens af hændelser), der kan forårsage afbrydelser i virksomhedens forretningsprocesser ved fx fejl på udstyr, men-neskelige fejl, tyveri, brand, naturkatastrofer og terrorisme. Dette skal efterfølges af en risikovurdering for at fast-lægge sandsynligheden for og omfanget af sådanne afbrydelser med fokus på tid, skadens omfang og den tid, dettager at retablere.

Risikovurderinger i forbindelse med beredskabsplanlægningen skal udføres med deltagelse fra ejerne af virksomhe-dens aktiver og forretningsprocesser. Disse vurderinger skal tage højde for alle virksomhedens kritiske forretnings-processer, og ikke begrænses til informationsbehandlingssystemer og -udstyr.

Det er vigtigt at sammenholde de forskellige risikoaspekter med hinanden for at opnå et fuldt overblik over bered-skabskravene i hele virksomheden. Vurderingen skal identificere, kvantificere og prioritere de forskellige risici i for-hold til virksomhedens forretningsrelaterede målsætninger og krav, inklusive kritiske ressourcer, konsekvenser vedafbrydelser, tilladeligt tidsrum for nedbrud og prioriteringen af retablering. Afhængigt af resultatet af risikovurderin-gen skal der udarbejdes en strategi for beredskabsplanlægningen for at beslutte den overordnede tilgang til denne.Når strategien er udarbejdet, skal den godkendes af virksomhedens ledelse.

BemærkningerIngen.

14.1.3 Udarbejdelse og implementering af beredskabsplaner

SikringsforanstaltningDer skal udarbejdes planer for vedligeholdelse og retablering af virksomhedens forretningsaktiviteter inden for denfastsatte tidsramme efter en afbrydelse af eller fejl i virksomhedens kritiske forretningsprocesser.

ImplementeringsretningslinjerBeredskabsplanen skal omfatte følgende:

a) Identifikation af og aftale om alle ansvarsområder og beredskabsprocedurer.

b) Identifikation af acceptabelt tab af informationer og tilgængelighed.

c) Implementering af beredskabsprocedurer, der sikrer retablering inden for den fastsatte tidsfrist. Der skal rettessærlig opmærksomhed mod både interne og eksterne afhængigheder og de hertilknyttede kontrakter.

d) Operationelle procedurer, der skal følges under arbejdet med retablering og genstart.

e) Dokumentation af aftalte procedurer.

f) Tilstrækkelig uddannelse af medarbejdere i de aftalte beredskabsprocedurer, inklusive krisehåndtering.

g) Afprøvning og opdatering af planerne.

Planlægningen skal fokusere på virksomhedens forretningsmæssige krav, fx retablering af specifikke kundeydelserinden for en acceptabel tidsfrist. De ressourcer og ydelser, der skal til for at sikre dette, skal identificeres, herunderpersonale, infrastrukturelle ressourcer samt nødfaciliteter til informationsbehandling. Sådanne nødfaciliteter kansikres gennem gensidige aftaler med andre parter eller kommercielle serviceaftaler.

Beredskabsplaner beskriver sårbarheder i virksomheden og kan derfor indeholde fortrolige informationer, der skalbeskyttes derefter. Kopier af beredskabsplanen skal altid opbevares således, at kopien ikke berøres af en katastrofe iselve virksomheden. Ledelsen skal sikre, at disse kopier altid er opdaterede og beskyttet på samme niveau som ivirksomheden. Andre aktiver, der er nødvendige for at gennemføre beredskabsplanen, skal også opbevares i sikkerafstand.

Hvis midlertidige lokaler benyttes, skal det sikres, at disse lever op til samme sikkerhedskrav som virksomhedensdaglige driftslokaler.

92

DS 484:2005

BemærkningerPlaner for krisehåndtering og -aktiviteter, jf. 14.1.3 f), kan være forskellige fra beredskabsplanerne, idet en krise kantænkes løst ved normale ledelsesprocesser.

14.1.4 Rammerne for beredskabsplanlægningen

SikringsforanstaltningDer skal fastlægges en ensartet ramme for virksomhedens beredskabsplaner for at sikre, at alle planerne er sam-menhængende og tilgodeser alle sikkerhedskrav samt for at fastlægge prioriteringen af afprøvning og vedligehol-delse.

ImplementeringsretningslinjerHver beredskabsplan skal beskrive behovet for beredskab, fx behovet for at sikre informationerne og informations-behandlingssystemets tilgængelighed og sikkerhed.

Hver beredskabsplan skal klart beskrive betingelserne for dens aktivering samt de personer, der har ansvaret for deenkelte dele af planen. Når der identificeres nye krav, skal alle nødplaner, fx planer for evakuering eller andre planerfor nødfaciliteter, om fornødent ajourføres. Beredskabsplaner skal inkluderes i virksomhedens ændringshåndteringfor at sikre, at virksomhedens fortsatte drift altid bliver tilgodeset.

Hver beredskabsplan skal have en ejer. Ansvaret for beredskabsplanerne, manuelle nødprocedurer og retablerings-planer er placeret hos ejeren af de enkelte informationsaktiver. Ansvaret for beredskabsplaner i forbindelse mednødfaciliteter påhviler normalt den anvendte leverandør af nødfaciliteterne.

Rammerne for beredskabsplanlægning skal indeholde følgende:

a) Betingelser for aktivering af beredskabsplanerne og de procedurer, der skal følges (hvorledes situationen skalvurderes, hvem skal involveres osv.), før beredskabsplanerne iværksættes.

b) Procedurer, der beskriver de handlinger, der skal foretages efter en hændelse, der truer virksomhedens drift.

c) Nødprocedurer, der beskriver de handlinger, der eventuelt skal foretages for at flytte virksomhedens vigtigste ak-tiviteter til udvalgte nødfaciliteter, og for at få virksomheden operationsklar inden for den fastsatte tidsfrist.

d) Midlertidige driftsprocedurer, der skal følges efter retablering og genstart.

e) Retableringsprocedurer, der beskriver planerne, for hvorledes virksomheden returnerer til normal drift.

f) En plan for vedligeholdelse af beredskabsplanerne, der beskriver, hvordan og hvornår planen skal afprøves, ogretningslinjer for vedligeholdelsen af planen, jf. 14.1.5.

g) Kampagner og uddannelse i virksomheden med det formål at skabe forståelse for beredskabsplanerne og sikre,at beredskabsplanerne fortsat er effektive.

h) Beskrivelser af, hvem der er ansvarlig for hvilke dele af planen. Der skal være udnævnt stedfortrædere.

i) De kritiske aktiver og ressourcer, der er nødvendige for at være i stand til at udføre nød-, retablerings- og gen-startsprocedurerne.

BemærkningerIngen.

14.1.5 Afprøvning, vedligeholdelse og revurdering af beredskabsplaner

SikringsforanstaltningBeredskabsplaner skal løbende afprøves og opdateres for at sikre, at de er tidssvarende og effektive.

ImplementeringsretningslinjerAfprøvning af beredskabsplanerne skal sikre, at alle medlemmer af beredskabsgruppen og andet relevant persona-le er bekendt med planerne, deres ansvar og deres opgaver, når planen iværksættes. Afprøvningsplanen for bered-skabsplanerne skal beskrive, hvordan og hvornår hvert element i planen skal afprøves. Det anbefales at afprøve deenkelte elementer i planerne regelmæssigt.

93

DS 484:2005

Der skal anvendes forskellige teknikker ved afprøvning af planerne for at sikre, at de vil fungere i en virkelig nødsitu-ation. De anvendte teknikker skal være:

a) skrivebordstest af forskellige scenarier (diskussioner af beredskabsplanerne ved brug af eksempler på nedbrud)

b) simuleringer (med henblik på at træne deltagerne i håndtering af deres roller efter episoden)

c) teknisk retablering (sikring af at tekniske systemer kan retableres effektivt)

d) * afprøvning af retablering i andre lokaler end de oprindelige (gennemføre parallel drift i andre lokaler)

e) * afprøvning af leverandørers faciliteter og ydelser (sikre at eksterne ydelser og produkter lever op til betingelser-ne i kontrakten)

f) * total afprøvning (afprøve at virksomheden, personalet, udstyret, faciliteterne og nødprocedurerne kan håndte-re katastrofer).

Ovenstående teknikker kan anvendes af alle virksomheder. De skal anvendes på en sådan måde, at de er relevantefor de specifikke beredskabsplaner. Resultatet af de gennemførte afprøvninger skal dokumenteres, og forbedringeraf planerne skal udføres, hvor det er nødvendigt.

Der skal være en ansvarlig for regelmæssig gennemgang af hver beredskabsplan. Ændringer i virksomheden, derendnu ikke er implementeret i beredskabsplanerne, skal følges op af relevante ændringer i beredskabsplanerne.Denne formelle ændringsstyring skal sikre, at den opdaterede plan distribueres og indarbejdes i regelmæssige gen-nemgange af den totale plan.

Eksempler på situationer, der kan afstedkomme opdateringer i planerne, er anskaffelse af nyt udstyr eller opgrade-ring af operativsystemer og ændringer i:

• personale

• adresser eller telefonnumre

• virksomhedens forretningsstrategier

• lokaler, faciliteter eller ressourcer

• lovgivning

• leverandører eller kunder

• nye, ændrede eller annullerede retningslinjer

• ændring i risikobilledet (drift eller finansielle)

BemærkningerIngen.

94

DS 484:2005

15 Overensstemmelse med lovbestemte og kontraktlige krav

15.1 Overensstemmelse med lovbestemte krav

FormålAt forhindre brud på alle relevante sikkerhedskrav i lovgivningen, bekendtgørelser, cirkulærer og myndighedsfor-ordninger i øvrigt samt i indgåede kontraktlige forpligtelser.

Udvikling, drift, anvendelse og styring af informationsbehandlingssystemer kan være underlagt offentlige eller kon-traktlige krav til informationssikkerhed.

Den fornødne juridiske ekspertise skal inddrages i vurderingen af disse krav. Man skal specielt være opmærksom pånationale lovgivningsforskelle.

15.1.1 Identifikation af relevante eksterne krav

SikringsforanstaltningAlle relevante eksterne sikkerhedskrav og virksomhedens håndtering heraf skal klarlægges, dokumenteres ogløbende vedligeholdes for hvert enkelt af virksomhedens informationssystemer og for hele virksomheden.

ImplementeringsretningslinjerDe konkrete sikringsforanstaltninger til imødegåelse af de eksterne sikkerhedskrav og ansvaret herfor skal fast-lægges og dokumenteres.

BemærkningerIngen.

15.1.2 Ophavsrettigheder

SikringsforanstaltningVirksomheden skal have implementeret de fornødne forretningsgange til beskyttelse af 3.-parts ophavsrettighedersamt anvendelse af ejendomsretbeskyttede programmer.

ImplementeringsretningslinjerFølgende punkter skal indgå i beskyttelsen af enhver form for ophavsrettigheder:

a) Retningslinjer for ophavsretsbeskyttelse, som fastlægger korrekt brug af systemer og informationer, der er om-fattet af ophavsret.

b) Retningslinjer for anskaffelse af systemer, så dette kun sker gennem seriøse leverandører, der sikrer, at eventuel-le ophavsrettigheder ikke krænkes.

c) Fastholdelse af høj opmærksomhed på ophavsretsbeskyttelse og advisering om de sanktioner, et brud vil med-føre.

d) Vedligeholdelse af fortegnelse over informationsaktiver, jf. 7.1.1, med angivelse af de aktiver, som er omfattet afophavsret.

e) Vedligeholdelse af dokumentation for ejendomsret til licenser, originalmateriale, manualer m.m.

f) Sikringsforanstaltninger, som forhindrer, at en eventuel øvre grænse for antallet af brugere ikke bliver overskre-det.

g) * Løbende stikprøvekontroller for at sikre, at der kun er installeret autoriserede systemer med korrekte licenser.

h) Retningslinjer for opretholdelse af relevante licenser.

i) * Retningslinjer for afvikling eller overdragelse af systemer til andre.

j) * Anvendelse af relevante revisionsværktøjer.

k) Overholdelse af vilkår og betingelser for anvendelse af offentligt tilgængelige systemer og informationer.

l) Forbud mod kopiering, konvertering eller udtrækning af information fra kommercielle optagelser, medmindredette er specifikt tilladt.

m) Forbud mod kopiering helt eller delvist af bøger, artikler, rapporter eller andre dokumenter, medmindre dette erspecifikt tilladt.

95

DS 484:2005

BemærkningerOphavsrettigheder omfatter informationsbehandlingssystemer, herunder også eventuel kildekode, dokumenter,design, varemærker, patenter osv.

Eksternt leverede systemer leveres oftest med en licensaftale, som specificerer licensvilkårene, fx at systemerne kunmå anvendes på specifikt udstyr, eller at de kun må kopieres som et led i sikkerhedskopieringen.

Ophavsrettighederne for internt udviklede systemer skal være fastlagt i de interne retningslinjer.

Ophavsrettigheder kan begrænse mulighederne for at kopiere materiale. Dette kan medføre, at virksomheden kunkan benytte materiale, den selv har rettighederne til, eller materiale, den har købt eller fået overdraget rettighedernetil. Krænkelse af ophavsrettigheder kan retsforfølges og kan medføre erstatningskrav.

15.1.3 Sikring af virksomhedens kritiske data

SikringsforanstaltningVirksomhedens kritiske data skal beskyttes mod tab, ødelæggelse og forfalskning i overensstemmelse med lovgiv-ningsmæssige og kontraktlige og forretningsbetingede krav.

ImplementeringsretningslinjerVirksomhedens kritiske data skal identificeres med angivelse af deres formål, klassifikation, jf. 7.2.1, opbevaringspe-riode og opbevaringsmedium.

Opbevaringsmediet skal vælges under hensyntagen til opbevaringsperioden og mediets tekniske levetid. Lagringog håndtering skal være i overensstemmelse med producentens anvisninger. Ved langtidsopbevaring bør anven-delse af papir og mikrofilm overvejes.

Ved valg af elektronisk lagring skal det sikres, at data kan tilgås i hele opbevaringsperioden uanset systemmæssigeeller teknologiske ændringer.

Tilgangen skal være mulig inden for en rimelig tidsfrist og i et hensigtsmæssigt format under hensyn til behovet her-for.

Lagrings- og håndteringssystemet skal sikre en klar og entydig identifikation af data og deres opbevaringsperiodeunder hensyn til eventuelle myndighedskrav hertil. Systemet skal endvidere muliggøre en hensigtsmæssig destruk-tion af data efter opbevaringsperiodens udløb, jf. 10.7.2.

For at sikre virksomhedens kritiske data skal følgende være implementeret:

a) retningslinjer for opbevaring, lagring, håndtering og bortskaffelse af kritiske data

b) opbevaringsperiode for de forskellige typer af kritiske data

c) fortegnelse over kilderne til virksomhedens kritiske data

d) relevante beskyttelsesforanstaltninger for at forhindre tab, ødelæggelse og forfalskning af kritiske data.

BemærkningerVirksomhedens kritiske data kan eksempelvis være:

• data, som virksomheden er lovgivningsmæssigt forpligtet til at fremlægge, fx som bevis for, at den arbejder i over-ensstemmelse med lovbestemte regulativer (moms og afgifter)

• data til sikring mod potentielt erstatningsansvar

• data, der underbygger virksomhedens finansielle situation i relation til aktionærer, samarbejdspartnere og reviso-rer

• elektronisk registrerede regnskabsdata, som bogføringsloven stiller krav til, fx transaktions- og kontrolspor

• data, som virksomheden lovgivningsmæssigt er forpligtet til at administrere, fx vedrørende anvendelse eller frem-bringelse af kemikalier eller farligt affald

• data, der i øvrigt er underkastet datalovgivningen og dennes bestemmelser

• kryptografiske nøgler til verifikation af digitale signaturer eller dekryptering af krypterede data, jf. 12.3.

Yderligere oplysninger om beskyttelse af kritiske data kan findes i ISO 15489-1.

96

DS 484:2005

15.1.4 Beskyttelse af personoplysninger

SikringsforanstaltningPersonoplysninger, dvs. enhver form for information om en identificeret eller identificerbar fysisk person, skal be-skyttes i overensstemmelse med gældende lovgivning og eventuelle kontraktlige forpligtelser.

ImplementeringsretningslinjerLov om behandling af personoplysninger1) fastlægger i overensstemmelse med EU’s direktiver dansk lovgivningsgenerelle krav til beskyttelse af personoplysninger for både offentlige og private virksomheder. Hertil kommer enrække supplerende bekendtgørelser om særlige virksomheders, herunder offentlige myndigheders, behandling afpersonoplysninger samt nogle uddybende vejledninger fra Datatilsynet.

Herudover findes der specifikke bestemmelser om beskyttelse af personoplysninger i en række love og forordnin-ger. En fuldstændig fortegnelse over danske bestemmelser kan ses på Datatilsynets hjemmesidewww.datatilsynet.dk.

Endvidere kan der være særlige branchebestemte etiske normer for beskyttelse af eksempelvis patient- eller klient-oplysninger.

Endelig kan virksomhedens ledelse af forretningsmæssige årsager fastlægge nogle beskyttelseskrav, fx i forbindel-se med elektroniske forretningsydelser, jf. 10.9.

De samlede krav til beskyttelse af personoplysninger kan således være omfattende og komplekse. Der skal derforudarbejdes og implementeres retningslinjer herfor. Disse skal sikre, at følgende gennemføres:

a) Ledelsen skal udpege en person, som skal vejlede lederne, brugerne og serviceleverandører om deres ansvar oggældende procedurer.

b) Der skal træffes de nødvendige tekniske sikkerhedsforanstaltninger.

BemærkningerDen danske lovgivning afspejler beskyttelseskravene inden for Den Europæiske Union. Lande uden for Den Euro-pæiske Union kan have andre beskyttelseskrav.

15.1.5 Beskyttelse mod misbrug af informationsbehandlingsfaciliteter

SikringsforanstaltningForhindre at virksomhedens informationsbehandlingsfaciliteter bruges til uautoriserede formål.

ImplementeringsretningslinjerFølgende retningslinjer skal være etableret:

a) Ledelsen skal godkende anvendelse af virksomhedens informationsbehandlingsfaciliteter. Enhver anvendelse tilprivate formål uden ledelsens forudgående accept heraf eller uautoriseret anvendelse skal betragtes som uberet-tiget anvendelse. Såfremt en sådan uberettiget anvendelse identificeres, skal nærmeste foresatte orienteres her-om med henblik på eventuelle sanktioner.

b) * I forbindelse med implementeringen af overvågningsprocedurer til afdækning af uberettiget anvendelse skalen juridisk vurdering heraf foretages.

c) Alle brugere skal kende deres rettigheder og de procedurer, som er implementeret til overvågning mod misbrug.Dette kan opnås ved at lade brugerne underskrive et dokument med relevant information herom.

d) * Ved log-on på informationsbehandlingsfaciliteter skal brugerne adviseres om, at disse tilhører virksomheden,og at uautoriseret adgang ikke er tilladt, dette skal accepteres af brugeren for at log-on-processen kan fortsætte.

BemærkningerDet kan være en lovovertrædelse at anvende informationsbehandlingsfaciliteter til uautoriserede formål, jf. straffe-lovens § 279 a.

Hertil kommer, at privat anvendelse kan påføre virksomheden en erstatningspligt.

––––––––––1) Lov nr. 429 af 31. maj 2000 med senere ændringer.

97

DS 484:2005

Overvågning af brugernes adfærd kan være i konflikt med Lov om beskyttelse af personoplysninger eller indgåedesamarbejdsaftaler. Brugerne skal derfor adviseres om en eventuel overvågning.

15.1.6 Lovgivning vedrørende kryptografi

SikringsforanstaltningSikre at anvendelsen af kryptografi ikke er i konflikt med lovgivningen.

ImplementeringsretningslinjerEnkelte lande har forbud mod anvendelse af kryptografi i særlige tilfælde. Ved anvendelse af kryptografiske beskyt-telsesteknikker eller -udstyr uden for Danmark skal eventuel særlovgivning i de berørte lande vurderes.

Følgende punkter skal indgå i sikring af at lovgivning vedrørende kryptografi ikke overtrædes:

a) eventuelle begrænsninger ved eksport af udstyr og/eller systemer til kryptografiske formål

b) eventuelle begrænsninger ved eksport af udstyr og/eller systemer med kryptografisk funktionalitet

c) eventuelle begrænsninger i anvendelse af kryptering, eksempelvis i bærbart udstyr

d) påbudte eller indirekte adgangsmuligheder for lokale myndigheder til krypteret information

BemærkningerIngen.

15.2 Overensstemmelse med sikkerhedspolitik og -retningslinjer

FormålAt sikre at virksomhedens sikkerhedspolitik og -retningslinjer er implementeret og efterleves.

Fastholdelse af det af ledelsen ønskede sikkerhedsniveau er en vedvarende proces, som kræver tilbagevendendeopfølgning.

Opfølgningen skal tage udgangspunkt i virksomhedens sikkerhedspolitik og -retningslinjer samt relevante imple-menteringsstandarder og fastlagte forretningsgange.

15.2.1 Overensstemmelse med virksomhedens sikkerhedsretningslinjer

SikringsforanstaltningHver enkelt leder skal løbende sikre informationssikkerheden inden for eget ansvarsområde.

ImplementeringsretningslinjerHvis opfølgningen afdækker en uoverensstemmelse i forhold til virksomhedens fastlagte sikkerhedsretningslinjer,skal lederen:

a) fastslå årsagen til uoverensstemmelsen

b) vurdere behovet for indgreb, som sikrer, at uoverensstemmelsen ikke opstår igen

c) udvælge og gennemføre relevante udbedrende foranstaltninger

d) følge op på effekten af de udbedrende foranstaltninger.

Resultaterne af lederens løbende opfølgning og eventuelle udbedrende foranstaltninger skal dokumenteres og rap-porteres til den person, som har det overordnede ansvar for den periodiske opfølgning, jf. 6.1.8.

BemærkningerEgentlig overvågning af informationsbehandlingssystemer er beskrevet i 10.10.

15.2.2 Opfølgning på tekniske sikringsforanstaltninger

SikringsforanstaltningInformationssystemernes tekniske sikringsforanstaltninger skal regelmæssigt kontrolleres og vurderes.

98

DS 484:2005

ImplementeringsretningslinjerDe tekniske sikringsforanstaltninger omfatter eksempelvis logiske filtre (“firewalls”) og beskyttelse mod skadevol-dende programmer (“antivirus”), jf. 10.4.1.

Opfølgning på tekniske sikringsforanstaltninger skal gennemføres enten manuelt, eventuelt ved anvendelse afsærlige systemværktøjer, af en medarbejder med relevant erfaring eller ved automatiske værktøjer, som generereren teknisk rapport til efterfølgende fortolkning af en kompetent medarbejder.

Hvor sikringen vurderes ved anvendelse af angrebsforsøg eller sårbarhedsvurderinger, skal man være varsom forikke at risikere en generel kompromittering af sikkerheden. Angrebsforsøg skal planlægges, dokumenteres og værereproducerbare.

Kontrol af tekniske sikringsforanstaltninger må kun udføres af kompetente og bemyndigede personer eller underovervågning af en sådan person.

BemærkningerAngrebsforsøg og sårbarhedsvurderinger giver kun et øjebliksbillede af virksomhedens sikkerhed for et specifiktområde og kan ikke gøre det ud for en egentlig risikovurdering af den samlede sikkerhed.

15.3 Beskyttelsesforanstaltninger ved revision af informationsbehandlingssystemer

FormålAt optimere systemrevisionsprocessen og minimere eventuelle forstyrrelser i forbindelse med processen.

Der skal være sikringsforanstaltninger, som beskytter virksomhedens informationsbehandlingssystemer og revisi-onsværktøjer, jf. 15.3.2, under systemrevisionsprocessen.

Der skal ligeledes være beskyttelse mod misbrug af revisionsværktøjer.

15.3.1 Sikkerhed i forbindelse med systemrevision

Sikringsforanstaltning

Revisionskrav og revisionshandlinger i forbindelse med systemer i drift skal planlægges omhyggeligt og aftalesmed de involverede for at minimere risikoen for forstyrrelser af virksomhedens forretningsaktiviteter.

ImplementeringsretningslinjerFølgende retningslinjer skal være etableret:

a) Revisionskrav skal aftales med de relevante ledere og systemejere.

b) Formålet med de planlagte revisionshandlinger skal afhandles og følges op.

c) De planlagte revisionshandlinger må kun omfatte læseadgang til systemer og data.

d) Hvis revisionen nødvendiggør mere end læseadgang, må dette kun tillades på kopier af de berørte filer. Kopierneskal slettes efter revisionen eller beskyttes i overensstemmelse med deres klassifikation, hvis de skal opbevaressom dokumentation for revisionen.

e) De nødvendige ressourcer til at gennemføre de planlagte revisionshandlinger skal identificeres og stilles til rådig-hed.

f) Behovet for afvikling af særlige informationsbehandlingsopgaver skal identificeres og aftales.

g) Al adgang i forbindelse med revision skal logges, jf. 10.10.

h) Alle forretningsgange, krav og ansvarsområder skal dokumenteres.

i) De personer, som udfører revisionen, skal være uafhængige af det reviderede område.

BemærkningerIngen.

99

DS 484:2005

15.3.2 Beskyttelse af revisionsværktøjer

SikringsforanstaltningAdgangen til revisionsværktøjer skal begrænses for at forhindre misbrug.

ImplementeringsretningslinjerRevisionsværktøjer skal adskilles fra udviklings- og driftsmiljøer og må ikke opbevares i generelt tilgængelige biblio-teker, medmindre de har den fornødne beskyttelse.

Hvis revisionen udføres af en ekstern samarbejdspartner, skal der indgås en formel samarbejdsaftale, jf. 6.2.

BemærkningerVed revisionsværktøjer forstås systemer, som kan analysere og udtrække informationer fra eksempelvis program-biblioteker, adgangskontrolsystemer og brugersystemer.

100

DS 484:2005

Anneks A

Eksempel på en informationssikkerhedspolitik

Dette anneks har status som en vejledning og er udformet som en informationssikkerhedspolitik for en konkret virk-somhed, Virksomhed NN.

Informationssikkerhedspolitik for Virksomhed NN

A.1 Indledning

Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos Virksomhed NN.Politikken understøtter Virksomhed NN’s værdigrundlag:

• {Indsæt her virksomhedens formål, mål og værdisæt}

Som et led i den overordnede sikkerhedsstyring tager ledelsen på grundlag af den løbende overvågning og rappor-tering informationssikkerhedspolitikken op til revurdering mindst én gang om året.

A.2 Formål

Informationer og informationssystemer er nødvendige og livsvigtige for Virksomhed NN, og informationssikkerhe-den har derfor vital betydning for virksomhedens troværdighed og funktionsdygtighed.

Formålet med informationssikkerhedspolitikken er at definere en ramme for beskyttelse af virksomhedens informa-tioner og særligt at sikre, at kritiske og følsomme informationer og informationssystemer bevarer deres fortrolighed,integritet og tilgængelighed.

Derfor har Virksomhed NN’s ledelse besluttet sig for et beskyttelsesniveau, der er afstemt efter risiko og væsentlig-hed samt overholder lovkrav og indgåede aftaler, herunder licensbetingelser.

Ledelsen vil oplyse medarbejderne om ansvarlighed i relation til virksomhedens informationer og informationssy-stemer.

Hensigten med sikkerhedspolitikken er endvidere at tilkendegive over for alle, som har en relation til virksomheden,at anvendelse af informationer og informationssystemer er underkastet standarder og retningslinjer.

På den måde kan sikkerhedsproblemer forebygges, eventuelle skader kan begrænses, og retablering af informatio-ner kan sikres.

A.3 Omfang

Politikken omfatter Virksomhed NN’s informationer, som er enhver information, der tilhører virksomheden – herud-over også informationer, som ikke tilhører virksomheden, men som Virksomhed NN kan gøres ansvarlig for. Detteinkluderer fx alle data om personale, data om finansielle forhold, alle data, som bidrager til administrationen af virk-somheden, produktionsdata og anlægsdata samt informationer, som er overladt Virksomhed NN af andre. Dissedata kan være faktuelle oplysninger, optegnelser, registreringer, rapporter, forudsætninger for planlægning eller en-hver anden information, som kun er til intern brug.

Denne politik omfatter alle virksomhedens informationer, ligegyldigt hvilken form de opbevares og formidles på.

Denne politik gælder for alle ansatte uden undtagelse, både fastansatte og personer, som midlertidigt arbejder forVirksomhed NN. Alle disse personer bliver her betegnet som ”medarbejderne”.

Ved udlicitering af dele af eller hele IT-driften skal det sikres i samarbejdet med serviceleverandøren, at VirksomhedsNN’s sikkerhedsniveau fastholdes, således at serviceleverandøren, dennes faciliteter og de medarbejdere, som haradgang til Virksomhed NN’s informationer, mindst lever op til Virksomhed NN’s informationssikkerhedsniveau.

101

DS 484:2005

A.4 Sikkerhedsniveau

Det er Virksomhed NN’s politik at beskytte sine informationer og udelukkende tillade brug, adgang og offentlig-gørelse af informationer i overensstemmelse med virksomhedens retningslinjer og under hensyntagen til den til en-hver tid gældende lovgivning.

Virksomhed NN fastlægger på baggrund af en risikovurdering et sikkerhedsniveau som svarer til betydningen af depågældende informationer. Virksomhed NN vil gennemføre en afbalanceret risiko- og konsekvensvurdering underhensyntagen til de økonomiske forhold.

Der gennemføres mindst en gang årligt en risikovurdering, så ledelsen kan holde sig informeret om det aktuelle risi-kobillede. Der foretages ligeledes en risikovurdering ved større forandringer i organisationen.

Ledelsen har besluttet sig for at udvikle og administrere informationssikkerhedsstrategier, som sikrer et informati-onssikkerhedsniveau, der mindst svarer til de basale beskyttelsesforanstaltninger i DS 484:2005, og at dette er be-skrevet i en sikkerhedshåndbog.

Det operationelle ansvar for den daglige styring af informationssikkerhedsindsatsen, jf. bilag 1, er placeret hos [denansvarliges titel og/eller navn]. Denne sikrer, at de aktiviteter, standarder, retningslinjer, kontroller og foranstaltnin-ger, der er beskrevet i sikkerhedshåndbogen, gennemføres og efterleves. Ligeledes er det væsentligt, at informati-onssikkerhed integreres i alle forretningsgange, driftsopgaver og projekter.

A.5 Sikkerhedsbevidsthed

Informationssikkerhed vedrører virksomhedens samlede informationsflow, og gennemførelse af en informations-sikkerhedspolitik kan ikke foretages af ledelsen alene. Alle medarbejdere har et ansvar for at bidrage til at beskytteVirksomhed NN’s informationer mod uautoriseret adgang, ændring og ødelæggelse samt tyveri. Alle medarbejdereskal derfor løbende uddannelse i informationssikkerhed i relevant omfang.

Som brugere af Virksomhed NN’s informationer må alle medarbejdere følge informationssikkerhedspolitikken ogde retningslinjer, der er afledt heraf. Medarbejderne må kun anvende virksomhedens informationer i overensstem-melse med det arbejde, de udfører i virksomheden, og skal beskytte informationerne på en måde, som er i overens-stemmelse med informationernes følsomhed, særlige og/eller kritiske natur.

A.6 Brud på informationssikkerheden

Såfremt en medarbejder opdager trusler mod informationssikkerheden eller brud på denne, skal dette straks med-deles til den ansvarlige for den daglige ledelse af informationssikkerhedsindsatsen.

Medarbejdere, som bryder informationssikkerhedspolitikken eller deraf afledte retningslinjer, vil blive udsat for di-sciplinære forholdsregler i overensstemmelse med Virksomhed NN’s gældende regler og personalepolitik.

102

DS 484:2005

Bilag 1 – Anvendelse i praksis

De retningslinjer samt sikkerheds- og kontrolforanstaltninger, der gælder i Virksomhed NN, samles i en sikkerheds-håndbog, der skal følge den samme punktinddeling, som anvendes i DS 484:2005.

Sikkerhedshåndbogen skal indeholde en beskrivelse af de informationssikkerhedsområder, der er relevante for Virk-somhed NN.

Som minimum omfatter det operationelle ansvar:

• at sikre, at informationssikkerhedspolitikken og afledte retningslinjer implementeres

• at sikre en bestemmelse af værdien af de informationer, som er nødvendige for Virksomhed NN, samt at træffe ri-melige forholdsregler til beskyttelse af disse informationer, herunder at afse de nødvendige midler og ressourcerhertil

• at der udpeges system- og informationsejere for samtlige informationer og informationssystemer

• at klassificere og beskytte de informationer, som virksomheden har ansvaret for

• at forebygge og begrænse risici til en for Virksomhed NN kendt og accepteret størrelse

• at udarbejde regler for informationskontrol og beskyttelse, som skal følges af de medarbejdere, der behandler oganvender informationerne

• at etablere regler for adgang og brug af informationer samt at sikre, at reglerne bliver revideret med jævne mel-lemrum

• at definere reglerne for arkivering af informationer, således at disse altid kan genskabes senere inden for en kendtog accepteret tidshorisont

• at udarbejde en brugbar plan til at retablere daglig drift, såfremt informationerne eller informationssystemerneødelægges, uanset af hvilken grund, således:o at omfanget af og konsekvenserne ved nødsituationen kan minimereso at væsentligste dele af den daglige forretningsmæssige drift i Virksomhed NN kan gennemføres via alternative

forretningsgangeo at alle relevante berørte parter kan holdes orienteret i fornødent omfango at den fulde drift af informationssystemerne kan genoptages inden for en kendt og accepteret tidshorisont

• at sikre, at enhver sikkerhedsmæssig følsom informationsaktivitet kan henføres til den person, som har udført ak-tiviteten, samt at sikre gennemførelse af de fornødne kontroller til opdagelse af misbrug eller forsøg herpå

• at etablere regler for rettighedstildeling og funktionsadskillelse, som skal forebygge og begrænse konsekvenseraf fejl, uheld og negative handlinger, der bevidst er foretaget af enkeltpersoner

• at sikre, at Virksomhed NN’s udvikling og implementering af systemer udføres under iagttagelse af betryggendesikkerhedsforanstaltninger

• at sikre, at Virksomhed NN’s leverandører overholder de sikkerhedsforskrifter, som er gældende for VirksomhedNN’s informationer, faciliteter og medarbejdere i samarbejdet med virksomheden

• at træffe de nødvendige forholdsregler for at sikre, at informationssikkerhedspolitikken og afledte retningslinjerbliver overholdt

• at sikre den fornødne ledelsesrapportering af status for informationssikkerheden, herunder aktiviteter og hændel-ser.

103

DS 484:2005

Anneks B

Risikovurdering

Dette anneks har status som vejledning.

Den i det følgende beskrevne form for risikovurdering anvendes til at undersøge, hvilke forretningsmæssige risici envirksomhed er udsat for, når den benytter sig af informationsteknologi. Herefter kan den resulterende vurdering seti sammenhæng med lovgivningskrav, indgåede aftaler og andre forretningsmæssige forhold anvendes som grund-lag for beslutning om, hvilke sikringsforanstaltninger og procedurer, der skal iværksættes – under skyldig hensynta-gen til de tekniske og administrative omkostninger der vil følge heraf.

Med andre ord lægger brug af risikovurdering (og på det mere detaljerede niveau af risikoanalyse) op til, at man ikkeskal have informationssikkerhed for enhver pris, og at den sikkerhed, man beslutter sig for, skal lægges på et niveau,der modsvarer de trusler, der realistisk set kan forekomme, idet der samtidig tages hensyn til, hvor kritisk IT-anven-delsen er for virksomheden.

I en risikoanalyse indgår en listning af potentielle trusler forbundet med virksomhedens anvendelse af IT, et estimataf konsekvenserne af uønskede hændelser samt en vurdering af sandsynligheden for forekomst af sådanne hænd-elser og en angivelse af, hvor sårbare de indgående informationsaktiver er.

En risikovurderingsproces kan være særdeles omfattende, og mange mindre virksomheder eller virksomheder meden ikke-kritisk IT-anvendelse kan i stedet med fordel benytte sig af foreliggende standarder for informationssikker-hed, når der skal vælges og implementeres sikringsforanstaltninger. Heri ligger imidlertid også en form for risiko-vurdering, idet standarder oftest bliver til med udgangspunkt i en sammenfatning af en række virksomheders indivi-duelle risikovurderinger.

Svagheden ved at benytte sig af en sådan fremgangsmåde er, at virksomheder uden at vide det kan vælge det for-kerte sikkerhedsniveau, dvs. enten skyde over målet og ofre for mange ressourcer på sagen eller satse for lavt ogderved udsætte sig for unødigt store risici. Hvis man er i tvivl om de forretningsmæssige risici ved IT-anvendelsen,bør man selv iværksætte en risikovurdering, fx ved brug af én af modellerne nævnt i det følgende.

Ifølge ISO/IEC TR 13335-3, Information technology – Guidelines for the management of IT Security – Part 3: Techniques for the management of IT Security (som ultimo 2005 forventes at blive afløst af en standard med sammebetegnelse, men med nummer ISO/IEC 13335-2:2005), bør store virksomheder og virksomheder med mere kritisk IT-anvendelse gå videre end at følge en standard for grundlæggende informationssikkerhed (en såkaldt ”baseline se-curity”) og supplere med brug af en af følgende tre modeller for udførelse af risikovurdering:

• en uformel gennemgang af virksomhedens risikobillede (“Informal Approach”)

• en dybtgående analyse, der følger en struktureret metode (“Detailed Risk Analysis”)

• en fremgangsmåde, hvor der indledes med en overordnet analyse af risikobilledet, efterfulgt af en detaljeret ana-lyse af de mest kritiske områder i prioriteret orden kombineret med brug af baseline-sikkerhed på alle øvrige om-råder (“Combined Approach”).

B.1 Den anvendte terminologi

En risiko udtrykker muligheden for, at der indtræffer en hændelse (en konkret udmøntning af en trussel), der påvir-ker fastlagte mål og strategier i uønsket retning, med det implementerede sikkerhedsmiljø inddraget i vurderingen.En risiko udtrykkes således ved sin sandsynlighed og konsekvens.

Forretningsmæssige risici forbundet med en virksomheds IT-anvendelse eller med andre ord de risici, der almin-deligvis omtales som IT-risici, er således de potentielle skadevoldende hændelser, der med en vis sandsynlighedpåføres virksomheden, når der sker et brud på fortroligheden, integriteten eller tilgængeligheden af informationsak-tiverne (data, systemer, netværk, servere osv.).

En skadevoldende eller sikkerhedstruende hændelse, der potentielt kan medføre (betydelig) skade for en organisati-on/virksomhed, betegnes som en trussel. Når trusler opgøres, medtages såvel de trusler, der er forekommet indenfor de seneste år, som trusler, der kan tænkes at forekomme i fremtiden. Trusler kan bl.a. omfatte naturskabte tru-sler, trusler forårsaget af mennesker, program- eller maskinfejl og trusler af kriminel karakter. En trussel beskrivesved sandsynlighed for forekomst (lav/middel/høj) samt ved hvor høj grad af skade (lav/middel/høj), den kan voldevirksomheden. Kombineret tales om et trusselniveau.

104

DS 484:2005

Et godt sikkerhedsmiljø kan mindske sandsynligheden for, at trusler realiseres, mens et miljø med svage sikrings-foranstaltninger må karakteriseres som sårbart, og det øger dermed sandsynligheden for truslers realisering. Etsårbart informationsaktiv er således et aktiv, der befinder sig i et svagt sikkerhedsmiljø.

En risikoanalyse er en proces, hvorved trusler registreres og relateres til sikkerhedsmiljøet med henblik på at opnåen vurdering af det foreliggende risikoniveau, karakteriseret ved betegnelserne på en skala: acceptabel/delvis accep-tabel/uacceptabel.

Det samlede risikobillede, som er resultatet af risikoanalysen, kan fx præsenteres i et ”scorecard” eller i en over-sigtsmatrix med indbyggede prioriteringer.

B.2 Fremgangsmåde i praksis

I ISO/IEC TR 13335-3 anbefales den kombinerede fremgangsmåde, hvor der indledes med en overordnet risikovur-dering for alle informationssystemer med fokus på de forretningsmæssige værdier knyttet til informationssystemer-ne samt på de trusler, som disse er udsat for. Når en sådan vurdering evt. har peget på nogle kritiske områder, hvorder er forekommet informationssikkerhedsproblemer, eller hvor der i forbindelse med en kommende IT-anvendelseforudses problemer, anbefales det at gennemføre afgrænsede risikoanalyser relateret til de systemer, databaser el-ler andre informationsaktiver, der konkret er truet. Vælges denne kombinerede fremgangsmåde foreslås følgendeaktivitetstrin:

Trin Aktivitet Uddybende kommentarer

1 OpgavestartPersonen med ansvar for/ejerskab til det Deltagerne bør have flere års erfaring med informationsaktiv, der ønskes udført en anvendelsen af det konkrete informationsaktiv, risikoanalyse for, specificerer opgaven og med de trusler og sårbarheder, der kan udpeger deltagerne i analysen. Dels fra forekomme, og med de forretningsmæssige forretningssiden, dels fra IT-området konsekvenser, en sikkerhedsbrist vil have

2 Trusselliste Der skal medtages trusler relateret til alle Der opstilles en liste over sikkerhedstruende hovedkategorier: fortrolighed, integritet og hændelser, der er forekommet eller kan tænkes tilgængelighed.at forekomme i fremtiden. Listen nummereres og grupperes under ca. 10 hovedoverskrifter Hovedoverskrifter kan fx være:

• menneskelige fejl• fejl i systemer• driftsproblemer• manglende overholdelse af procedurer• personafhængighed• uautoriserede eller kriminelle interne aktiviteter• eksterne angreb• organisatoriske problemer• uforudsete konsekvenser af ændringer

3 Sandsynlighed og konsekvens Der foreslås anvendt vurderingsskalaer af Listen gennemgås, og der påføres en følgende art:sandsynlighedsvurdering samt en vurdering af mulige forretningsmæssige konsekvenser.De mindst væsentlige elementer i listen, dvs. med lav sandsynlighed og lille konsekvens, elimineres.De resterende elementer beskrives så konkret, at den forretningsmæssige konsekvens af en sikkerhedsbrist vil være umiddelbart forståelig for ledelsen.De forretningsmæssige konsekvenser opgøres oftest på en kvalitativ skala, fordi det sjældent er muligt at fastlægge en konkret værdi (se eksempel på skala)

105

DS 484:2005

• for sandsynlighed:1. indtræffer meget sjældent (LAV),

dvs. en teoretisk mulighed2. forekommer af og til (MIDDEL),

dvs. mindst én gang3. forekommer hyppigt (STOR),

dvs. er observeret flere gange

• for forretningsmæssig konsekvens:1. ingen signifikant skade (LAV)2. væsentlig skade (MIDDEL)3. yderst alvorlig skade (STOR)

Trin Aktivitet Uddybende kommentarer

4 Trusselniveauet sammenfattes i et diagram Til beskrivelse af trusselniveauet benyttes ”trusselbillede” (fig. 1A) med skadevirkning/ også skalaen: høj – middel – lav, som er konsekvens og sandsynlighed som akser, synliggjort ved farverne rød – gul – grøn i idet alle sikkerhedstruende hændelser markeres diagrammet. Det vil sige, at markeringer ved deres numre og derved bliver indplaceret placeret i grønt område er uden væsentlig et sted på den skrå punkterede skala for betydning, mens markeringer i rødt område er trusselniveauet kritiske. Et overblik over trusselniveauet vil man

derfor umiddelbart kunne opnå alene på grundlag af, hvor markeringerne synligt ophobersig

5 Sikkerhedsmiljøet For beskrivelse af sikkerhedsmiljøet benyttes Under gennemførelse af trusselvurderingen skalaen: stærk – middel – lav.har vi set bort fra virkningen af sikkerhedsmiljøet. Som alternativ synsvinkel vedr. vurdering af Derfor skal nu alle eksisterende sikrings- sikkerhedsmiljøet kunne fokuseres på foranstaltninger og procedurer relateret til den sårbarheder. Dvs. en opgørelse af eksisterende sikkerhedstruende hændelse identificeres og svagheder i procedurer, af manglende vurderes overholdelse af procedurer og regler samt

af ufuldstændige sikringsforanstaltninger. Svarende til en skala: små – middel – store, i retning modsat sikkerhedsmiljøets skala

6 Det samlede risikobillede I risikovurderingsdiagrammet er skalaen vedr. Her holdes trusselniveauet op imod risikoniveau (langs den punkterede streg):sikkerhedsmiljøet/sårbarhederne med henblik 1. uacceptabel – rødt feltpå at nå frem til en vurdering af det samlede 2. delvis acceptabel – gult feltrisikoniveau eller det, der kan betegnes som et overordnet risikobillede. 3. acceptabel – grønt feltDet sker på den måde, at hver enkelt synliggjort ved de angivne farver. Det vil sige, nummererede trussel markeres i diagrammet at markeringer placeret i grønt område er uden ”risikobillede” (fig. 1B) ved sit trusselniveau væsentlig betydning, mens markeringer i rødt (fra fig. 1A) og ved niveauet af de til truslen område er kritiske.modsvarende sikringsforanstaltninger (sikkerhedsmiljøet) Et overblik over risikoniveauet vil man derfor

umiddelbart kunne opnå på grundlag af, hvornummermarkeringerne synligt ophober sig

7 Risikobegrænsning Ledelsen vil måske sætte sig som mål at få Hvis risikoniveauet er for højt (ophobning af fjernet alle markeringer i rødt område samt de markeringer i rødt og gult område), er idéen fleste markeringer i gult område, men også herefter gradvist at introducere flere sikrings- andre modeller for risikobegrænsning kan foranstaltninger og procedurer med henblik på tænkes.at flytte markeringerne for sikkerhedstruende Her er det imidlertid, at økonomiske overvejelser hændelser tilbage på ”risikoniveau”-skalaen, kommer ind i billedet, idet enhver virksomhed dvs. fra rødt til gult til grønt område må overveje omkostningerne og besværet ved

at introducere mere sikkerhed op imod de risici,man er udsat for

106

DS 484:2005

Fig. 1A – Trusselbillede Fig. 1B – Risikobillede

B.3 Eksempel

Virksomhed NN har fra revisorerne fået bemærkninger om utilstrækkelig fysisk sikkerhed og vil derfor lade en risiko-analyse gennemføre. Virksomheden er meget afhængig af, at e-handelsfaciliteterne fungerer uden afbrydelse. Derønskes en risikoanalyse af virksomhed NN’s IT-maskinstue, og den gennemføres i følgende 5 trin:

Trin 1Listning af sikkerhedstruende hændelser, der er forekommet eller kan tænkes at forekomme i fremtiden, med be-skrivelse af mulige konsekvenser. Se risikoanalyseskema, kolonne 1-2.

Trin 2Vurdering af hver enkelt sikkerhedstruende hændelse for sandsynlighed og konsekvens på en skala LAV – MIDDEL –STOR. Se risikoanalyseskema, kolonne 2.

Trin 3I et diagram ”trusselbillede” (fig. 2A) med skadevirkning/konsekvens og sandsynlighed som akser markeres alle sik-kerhedstruende hændelser ved deres numre og bliver derved indplaceret et sted på den skrå punkterede skala, somangiver trusselniveauet, synliggjort ved farvemarkeringer:

Uacceptabel – Rødt felt Delvis acceptabel – Gult felt Acceptabel – Grønt felt

Trin 4For beskrivelse af sikkerhedsmiljøet relateret til de observerede sikkerhedstruende hændelser benyttes graduerin-gen: STÆRKT – MIDDEL – SVAGT. Se risikoanalyseskema, kolonne 3.

Trin 5I fig. 2B omsættes trusselbilledet til et risikobillede ved en overføring af hver enkelt nummererede trussel fra det ven-stre til det højre diagram, således at der sker en markering af trusselniveauet og af niveauet af de til truslen modsva-rende sikringsforanstaltninger (sikkerhedsmiljøet). I risikobilledet er skalaen vedr. risikoniveau (langs den punktere-de streg):

Uacceptabel – Rødt felt Delvis acceptabel – Gult felt Acceptabel – Grønt felt

som er synliggjort ved de angivne farver. Det vil sige, at markeringer placeret i grønt område er uden væsentlig be-tydning, mens markeringer i rødt område er kritiske. Herved fremkommer et samlet risikoniveau, eller det, der kanbetegnes som et overordnet risikobillede. Et visuelt overblik over risikobilledet opnås ved at konstatere, hvor num-mermarkeringerne ophober sig i diagrammet.

Trin 6Vi kan i dette eksempel konstatere, at to af de observerede trusler (nr. 3 og 6) ligger i det gule felt. Hvis risikoniveaueter for højt (ophobning af markeringer i rødt og gult område), bør der muligvis introduceres flere sikringsforanstalt-ninger og procedurer med henblik på at flytte markeringerne for sikkerhedstruende hændelser tilbage på ”risikoni-veau”-skalaen, dvs. fra rødt til gult til grønt område. Derfor kan virksomhedens ledelse vurdere det nødvendigt at fågennemført forbedringstiltag, jf. risikoanalyseskema, kolonne 4, så sikkerhedsmiljøet styrkes – i dette tilfælde for deobserverede trusler nr. 3 og 6 med et enkelt niveau (se fig. 2C).

107

DS 484:2005

Lav

Lav

Middel Høj Stærkt Middel Lavt

Lav

Middel

Høj Høj

Middel

Trusselniveau Risikoniveau

Sandsyn-lighed

Konse-kvens

Sikkerheds-miljø

Trussel-niveau

Fig. 2A – Trusselbillede

Fig. 2B – Trusselbillede omsat til risikobillede

108

DS 484:2005

Lav Middel Høj Lav Middel Høj

Lav

Middel

Høj

RisikoniveauTrusselniveau

Trus

seln

ivea

u

Kon

sekv

ens

RisikobilledeSikkerhedsmiljø

Trusselniveau

Sandsynlighed

Sandsynlighed

Lav Middel Høj

Lav

Middel 3

Høj

7, 8

1, 2, 4, 5 6

Trusselniveau

Kon

sekv

ens

1, 2, 4, 5 6

7, 8 3

Lav

Middel

Høj

63

1, 2 4, 5, 7, 8

Fig. 2C

B.4 Konklusion

Anvendelse af den skitserede fremgangsmåde for gennemførelse af risikoanalyser, hvor en overordnet risikovurde-ring kombineres med detaljerede risikoanalyser efter behov, vil sammen med de basale sikringsforanstaltninger ud-peget i DS 484 give de fleste virksomheder og organisationer et både økonomisk og sikkerhedsmæssigt forsvarligtinformationssikkerhedsniveau.

109

DS 484:2005

Stærkt Middel Svagt Stærkt Middel Svagt

RisikoniveauRisikoniveau

Trus

seln

ivea

u

Trus

seln

ivea

u

Risikobillede FØR

Sikkerhedsmiljø

Risikobillede EFTER

Sikkerhedsmiljø

Risikoanalyseskema

Trusler samt mulige konsekvenser Sikkerhedsmiljøet Forbedringstiltag

Sandsynlighed/konsekvens Graduering

1 Ved medarbejderes afgang fra virksom- Procedure findes, men følges ikke i Der indføres en særlig procedure heden er der ingen, der systematisk praksis vedr. inddragelse og blokering af sørger for at ID-kort inddrages eller ID ved medarbejderes afgang fra blokeres i systemet. En fyret medarbej- Sikkerhedsmiljø: MIDDEL virksomhedender ville kunne skade virksomheden

LAV/HØJ

2 Der gives ikke alarm fra adgangs- Svaghed i adgangskontrol- Adgangskontrolsystemets alarm kontrolsystemet i tilfælde af, at døre systemets opsætning. Alarmen slås til, således at døre, der holdes holdes åbnet i længere tid. Enhver er koblet fra åbnet i mere end 5 minutter vil person med gang i huset vil kunne udløse alarmen. Afvigelse herfra benytte sig af den åbne dør til at skade Sikkerhedsmiljø: MIDDEL skal godkendes af ledelsenvirksomheden. Der mangler en alarm

LAV/HØJ

3 Strømforsyningen har de seneste år Virksomheden er beliggende i et Der etableres et nødstrømsanlæg med jævne mellemrum været afbrudt i industriområde med aktiviteter, der (UPS), der kan opretholde normal kortere tid. Strømforstyrrelser kan giver strømforstyrrelser drift i 2 timer, når der sker strøm-medføre spildtid hos størsteparten afbrydelse. De to timer besluttes på af virksomhedens medarbejder Sikkerhedsmiljø: MIDDEL basis af en detaljeret risikoanalyse

MIDDEL/MIDDEL

4 I travle perioder står døren til maskin- Regel mangler, og sikkerheds- I tilfælde af, at det er nødvendigt at stuen åben – blokeret af en fysisk kile. bevidsthed savnes holde adgangskontrollerede døre Der mangler en regel herom. åbne i længere tid, skal én bestemt Enhver person med gang i huset vil Sikkerhedsmiljø: SVAGT person overvåge, at ingen kunne benytte sig af den åbne dør til uautoriserede personer får adgangat skade virksomheden

LAV/HØJ

5 Sikkerhedskopier opbevares i Fundamental svaghed, der kan Der indføres en procedure for at brandskab placeret i maskinstuen. imødegås ved ekstern opbevaring opbevare sikkerhedskopier En storbrand vil kunne destruere af sikkerhedskopier eksternt, dvs. i en anden bygningsamtlige virksomhedens data inkl. sikkerhedskopierne Sikkerhedsmiljø: SVAGT

LAV/HØJ

6 Der foreligger ikke dokumenterede Personafhængighed kan imødegås Der skal udarbejdes skriftlige beredskabsplaner. Afhængighed af ved forbedret dokumentation eller beredskabsplaner, så også andre IT-chefen kan derfor medføre langvarigt ved overlap af ansvarsområder end IT-chefen vil være i stand til at stop for IT-anvendelsen, evt. true genetablere driften, når der har virksomhedens overlevelsesevne i Sikkerhedsmiljø: SVAGT været problemertilfælde af fx brandskade, sabotage eller tekniske problemer

MIDDEL/HØJ

7 Der er ingen regler for personers Retningslinjer for adgang til Der skal indføres regler for adgang til maskinstuen, hvilket maskinstuen savnes personers adgang til maskinstuenmedfører, at gæster og håndværkere i alt for vidt omfang får adgang. Sikkerhedsmiljø: SVAGTMedfører unødig risiko for driftsforstyrrelser

LAV/MIDDEL- HØJ

8 Maskinstuen har et enkelt ubeskyttet Vinduer mod offentligt område bør Maskinstuens ubeskyttede vindue vindue ud mod offentligt område undgås eller forsynes med særlig ud mod offentligt område skal (dog højtliggende). Der kan forekomme sikring forsynes med panserglashærværk forårsaget af tilfældige forbipasserende Sikkerhedsmiljø: SVAGT

LAV/MIDDEL- HØJ

110

DS 484:2005

Documents

Standard for informationssikkerhed - medarbejdere.au.dkmedarbejdere.au.dk/fileadmin/Resources/dmuintranet/Udvalg og moder... · DS/EN 5414. osv. Hvis der efter nr. er angivet et