Oplg til strategi diskussion, SIK - IT- og Telestyrelsen
Oplg til strategi diskussion, SIK - IT- og Telestyrelsen
Oplg til strategi diskussion, SIK - IT- og Telestyrelsen
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>IT</strong>‐sikkerhedskontoret<br />
Aktivitetsbeskrivelse<br />
<strong>IT</strong>‐sikkerhedskontoret har to hovedområder: Kompetencecenter for it‐<br />
sikkerhed <strong>og</strong> Beredskabssekretariatet. Begge områder arbejder for at skabe<br />
tryghed <strong>og</strong> sikkerhed i forbindelse med brugernes omgang med it <strong>og</strong> tele,<br />
hvilket er udtrykt i vores vision:<br />
Vi skaber en sikkerhedskultur<br />
En sikkerhedskultur afspejler den holdning, at it‐sikkerhed er en<br />
nødvendighed <strong>og</strong> et fælles ansvar. Borgere, virksomheder <strong>og</strong> den offentlige<br />
sektor er alle led i den samme kæde <strong>og</strong> dermed gensidigt afhængige af<br />
hinandens sikkerhedsmæssige beslutninger.<br />
Den offentlige sektor spiller en væsentlig rolle i digitaliseringen af samfundet<br />
gennem udvikling af elektroniske tjenester <strong>og</strong> infrastruktur. Det betyder, at<br />
den offentlige sektor har et betydeligt ansvar for at sikre, at oplysning om<br />
borgere <strong>og</strong> virksomheder, som den offentlige sektor er betroet, beskyttes på<br />
passende vis. Også de krav, det offentlige kan s<strong>til</strong>le <strong>til</strong> en robust <strong>og</strong> sikker<br />
infrastruktur, medvirker <strong>til</strong> at styrke sikkerhedskulturen hos virksomheder <strong>og</strong><br />
borgere, eftersom samfundet grundlæggende anvender samme infrastruktur.<br />
<strong>IT</strong>‐sikkerhedskontoret arbejder for at<br />
udbrede en sikkerhedskultur inden for fire<br />
områder: Adfærd, produkter, infrastruktur<br />
samt gennem internationalt samarbejde.<br />
Indsatsen på de fire områder er<br />
nødvendige, sammenhængende dele af<br />
arbejdet med at skabe en<br />
sikkerhedskultur, som sikrer, at alle<br />
tænker <strong>og</strong> handler på en måde, der<br />
fremmer samfundets digitale sikkerhed.<br />
Sikker<br />
adfærd<br />
Sikker<br />
infrastruktur<br />
1. Fremme en sikker infrastruktur<br />
Netværk <strong>og</strong> informationssystemers <strong>til</strong>gængelighed,<br />
robusthed <strong>og</strong> sikkerhed er i stigende grad centralt for<br />
vores økonomi <strong>og</strong> samfund. Derfor arbejder<br />
Kompetencecenter for it‐sikkerhed på at styrke<br />
infrastrukturen. Udfordringen er at <strong>til</strong>vejebringe et<br />
<strong>til</strong>strækkeligt sikkerhedsniveau, der afspejler<br />
samfundets afhængighed af infrastrukturen.<br />
Sikkerheds‐<br />
kultur<br />
Sikre<br />
produkter<br />
Interna‐<br />
tionalt arbejde<br />
Sikker<br />
infrastruktur<br />
Beredskabssekretariatet samarbejder med ejerne af it‐ <strong>og</strong><br />
teleinfrastrukturerne <strong>og</strong> skaber incitamenter <strong>til</strong> at investere i en robust <strong>og</strong><br />
April 2008<br />
<strong>IT</strong>-sikkerhedskontoret<br />
<strong>IT</strong>- <strong>og</strong> <strong>Telestyrelsen</strong><br />
Holsteinsgade 63<br />
2100 København Ø<br />
Telefon 3545 0000<br />
Telefax 3545 0010<br />
E-post itst@itst.dk<br />
Netsted www.itst.dk<br />
CVR-nr. 26769388<br />
Sarah Kirkeby<br />
Telefon 3337 9154<br />
Telefax 3545 0010<br />
E-post saki@itst.dk
sikker infrastruktur. Liberaliseringen af telemarkedet har øget behovet for<br />
at etablere et fælles sikkerhedsniveau udbyderne imellem for at sikre det<br />
samlede telenets <strong>til</strong>gængelighed <strong>og</strong> robusthed. Beredskabssekretariatet<br />
arbejder således for at fremme brugen af en anerkendt it‐sikkerheds‐<br />
standard som en fælles referenceramme ‐ <strong>og</strong>så for teleudbyderne.<br />
<strong>IT</strong>‐sikkerhedskontoret arbejder i øjeblikket med følgende aktiviteter<br />
relateret <strong>til</strong> infrastruktur:<br />
A. Overgang <strong>til</strong> IPv6: IPv4, den gamle version af det tekniske spr<strong>og</strong>, som<br />
internettet er baseret på, er ved at mangle adresser. Der kan således ikke<br />
<strong>til</strong>sluttes flere enheder <strong>til</strong> internettet. Derfor er en overgang <strong>til</strong> ny version<br />
med flere adresser nødvendig.<br />
B. Statens it‐net: Kompetencecenter for it‐sikkerhed deltager med it‐<br />
sikkerhedsfaglig ekspertise i udviklingen af et centralt net, der skal bære<br />
al statens elektroniske kommunikation (tale, data <strong>og</strong> video).<br />
C. Varslingstjeneste: Etablering af en tjeneste med det formål at beskytte<br />
<strong>og</strong> varsle staten mod trusler fra internettet.<br />
D. Privacy: Fremme udviklingen af en infrastruktur, hvor hensynet <strong>til</strong><br />
privatlivet er indbygget.<br />
E. Infrastrukturberedskabet: Beredskabssekretariatet fastsætter<br />
minimumskrav <strong>til</strong> teleudbyderne om beredskabsplanlægning <strong>og</strong> en robust<br />
elektronisk infrastruktur samt styrkelse af det operative samarbejde<br />
mellem beredskabsaktørerne på it‐ <strong>og</strong> teleområdet, således at<br />
teletjenesterne i så høj grad som muligt er <strong>til</strong>gængelige ved større<br />
ulykker <strong>og</strong> katastrofer.<br />
2. Fremme sikre produkter<br />
Borgere <strong>og</strong> virksomheder skal være trygge ved <strong>og</strong><br />
have <strong>til</strong>lid <strong>til</strong> anvendelse af it – <strong>til</strong>stedeværelsen af<br />
sikre produkter hos slutbrugeren er derfor en<br />
forudsætning for den fortsatte udnyttelse af<br />
samfundets digitaliseringspotentiale. Mange af<br />
slutbrugernes it‐systemer er i dag sårbare over for<br />
angreb, <strong>og</strong> nye teknol<strong>og</strong>ier som Web 2.0 samt tæt<br />
Sikre<br />
produkter<br />
integration mellem it‐systemer medfører, at mange borgere ufrivilligt<br />
afgiver information uden <strong>til</strong>strækkelig beskyttelse af privatlivet. Sammen<br />
med angreb på informationssystemer kan dette medføre mis<strong>til</strong>lid <strong>til</strong><br />
digitaliseringen hos borgerne. Det er derfor vigtigt, at brugeren forholder<br />
sig <strong>til</strong> sikkerheden i produkter <strong>og</strong> på egen pc.<br />
Fraværet af en mærkningsstandard, der <strong>til</strong>lader den almindelige borger at<br />
skelne mellem sikre <strong>og</strong> usikre produkter, gør, at prisen bliver det<br />
væsentligste kriterium for køb. Kompetencecenter for it‐sikkerhed ønsker<br />
derfor at støtte arbejdet med at få etableret en mærkningsordning eller<br />
anden form for klassificering, der tydeliggør sikkerhedsniveauet for it‐<br />
produkter. Desuden støtter Kompetencecenter for it‐sikkerhed, at der i<br />
offentlige udbud s<strong>til</strong>les krav om, at kun produkter med et passende<br />
sikkerhedsniveau bliver anvendt.<br />
April 2008<br />
<strong>IT</strong>-sikkerhedskontoret<br />
<strong>IT</strong>- <strong>og</strong> <strong>Telestyrelsen</strong><br />
Holsteinsgade 63<br />
2100 København Ø<br />
Telefon 3545 0000<br />
Telefax 3545 0010<br />
E-post itst@itst.dk<br />
Netsted www.itst.dk<br />
CVR-nr. 26769388<br />
Sarah Kirkeby<br />
Telefon 3337 9154<br />
Telefax 3545 0010<br />
E-post saki@itst.dk
Gennem en holdningsændring <strong>til</strong> valg af produkter vil Kompetencecenter<br />
for it‐sikkerhed skabe en incitamentsstruktur, der fremmer anvendelsen af<br />
produkter, der har det sikkerhedsniveau, som er passende <strong>til</strong> det formål,<br />
de anvendes <strong>til</strong>.<br />
Kompetencecenter for it‐sikkerhed arbejder i øjeblikket med følgende<br />
projekter relateret <strong>til</strong> sikre produkter:<br />
A. Sårbarhedstest: Udvikling <strong>og</strong> drift af et værktøj, der identificerer basale<br />
sårbarheder i slutbrugerens internetforbindelse.<br />
B. Common Criteria: Mærkningsordning for produkters sikkerhedsniveau<br />
rettet mod myndigheder <strong>og</strong> store virksomheder.<br />
C. Privacy: Fremme af anvendelsen af Privacy Enhancing Technol<strong>og</strong>ies<br />
(komponenter der fremmer privatlivets fred i it‐løsninger) i offentlige<br />
initiativer.<br />
3. Fremme sikker adfærd<br />
Alle skal gennem informationskampagner <strong>og</strong><br />
uddannelse blive opmærksomme på, at de er en del<br />
af en sammenhængende sikkerhedskæde. Hermed<br />
bliver der skabt grundlag for at træffe forsvarlige<br />
valg, både på nettet <strong>og</strong> ved indkøb af produkter.<br />
Borgere, virksomheder <strong>og</strong> den offentlige forvaltning<br />
skal gives fornøden kompetence <strong>og</strong> viden om it‐<br />
Sikker<br />
adfærd<br />
sikkerhed, således at de kan forholde sig <strong>til</strong> udfordringer i forbindelse med<br />
netværks‐ <strong>og</strong> informationssamfundet.<br />
Den offentlige sektor har et særligt ansvar for at fremme sikkerhed, da den<br />
er den største informationsbehandler. Kompetencecenter for it‐sikkerhed<br />
ønsker gennem oplysning at højne it‐sikkerhedskendskabet <strong>og</strong> ‐<br />
kompetencerne i Danmark. Gennem rådgivning, synlighed <strong>og</strong> samarbejde<br />
ønsker Kompetencecenter for it‐sikkerhed at sikre, at adfærden bygger på<br />
en styrket forståelse af konsekvenserne ved sikkerhedsmæssige valg.<br />
Kompetencecenter for it‐sikkerhed vejleder om it‐sikkerhed <strong>og</strong> privacy over<br />
for borgere, den offentlige sektor <strong>og</strong> samfundet generelt. Centret rådgiver<br />
desuden den statslige sektor inden for it‐sikkerhedsstandarder,<br />
sikkerhedsledelse samt best practice på it‐sikkerheds‐ <strong>og</strong> privacy‐området.<br />
Der ydes ligeledes bistand <strong>til</strong> regioner <strong>og</strong> kommuner med henblik på at<br />
styrke kendskabet <strong>til</strong> it‐sikkerhedsstandarder <strong>og</strong> sikkerhedsledelse.<br />
Samlet set har Kompetencecenter for it‐sikkerhed følgende aktiviteter <strong>til</strong><br />
fremme af sikker adfærd:<br />
A. Rådgivning <strong>og</strong> vejledning: Fremme af sikker adfærd rettet mod borgere<br />
<strong>og</strong> den offentlige sektor.<br />
April 2008<br />
<strong>IT</strong>-sikkerhedskontoret<br />
<strong>IT</strong>- <strong>og</strong> <strong>Telestyrelsen</strong><br />
Holsteinsgade 63<br />
2100 København Ø<br />
Telefon 3545 0000<br />
Telefax 3545 0010<br />
E-post itst@itst.dk<br />
Netsted www.itst.dk<br />
CVR-nr. 26769388<br />
Sarah Kirkeby<br />
Telefon 3337 9154<br />
Telefax 3545 0010<br />
E-post saki@itst.dk
B. DS 484: Rådgivning om den statslige standard for it‐sikkerhed <strong>til</strong> den<br />
offentlige sektor.<br />
C. Netsikker nu!: Faglig bistand <strong>til</strong> udvikling af tema <strong>og</strong> budskab i netsikker<br />
nu!‐kampagnen.<br />
D. Samarbejde med Teknol<strong>og</strong>irådet: Tilskud <strong>til</strong> Teknol<strong>og</strong>irådets<br />
debatskabende initiativer på it‐sikkerhedsområdet.<br />
E. Privacy: Oplysning om privacy <strong>og</strong> privatlivsrelaterede problems<strong>til</strong>linger.<br />
4. Internationalt<br />
Mange it‐sikkerhedsmæssige problemer omkring<br />
anvendelse af internettet som<br />
informationshovedvej har en grænseoverskridende<br />
karakter <strong>og</strong> bekæmpes mest effektivt gennem<br />
internationalt samarbejde. Derfor arbejder<br />
Kompetencecenter for it‐sikkerhed i internationale<br />
fora med informationsudveksling af best practices<br />
<strong>og</strong> etablering af fælles holdninger <strong>til</strong> it‐sikkerhed.<br />
Internatio‐<br />
nalt arbejde<br />
Nye tjenester som social networking <strong>og</strong> digital identitetsstyring på tværs<br />
af grænser samt Voice over IP‐ydelser (bredbåndstelefoni) afhænger i høj<br />
grad af komplekse <strong>og</strong> gensidigt forbundne netværk. Tilgængeligheden,<br />
skalerbarheden, pålideligheden <strong>og</strong> robustheden falder drastisk med<br />
netværkenes kompleksitet, <strong>og</strong> i takt med at afhængigheden af andre<br />
netværk stiger, stiger <strong>og</strong>så muligheden for, at en fejl i infrastrukturen i ét<br />
netværk medfører en fejl i et andet netværk. Herved kan en mindre fejl<br />
skabe en domino‐effekt. Global gensidig afhængighed mellem netværk<br />
medfører således, at landegrænser nedbrydes. Kompetencecenter for it‐<br />
sikkerhed anvender det internationale samarbejde <strong>til</strong> at fremme<br />
internationale aftaler, der øger samfundets robusthed samt fremmer sikre<br />
produkter <strong>og</strong> adfærd.<br />
Kompetencecenter for it‐sikkerhed arbejder i øjeblikket i følgende fora:<br />
A. ENISA: Det Europæiske Agentur for Net‐ <strong>og</strong> Informationssikkerhed<br />
(ENISA) arbejder for at sikre et højt it‐sikkerhedsniveau i EU <strong>og</strong> for at<br />
udvikle en it‐sikkerhedskultur i EU. Agenturet rådgiver Rådet,<br />
Kommissionen <strong>og</strong> de enkelte medlemsstater om it‐sikkerhed.<br />
B. MERIDIAN: Meridian er et forum for regeringsrepræsentanter, drøfter på<br />
<strong>strategi</strong>sk‐politisk niveau samarbejde om beskyttelse af kritisk<br />
informationsinfrastruktur (CIIP).<br />
C. OECD: Working Party for Information Security and Privacy. WPISP<br />
arbejder med udvikling af vejledende politikker <strong>og</strong> værktøjer <strong>til</strong> fremme<br />
af privacy <strong>og</strong> sikkerhedsmæssige <strong>til</strong>tag blandt medlemslandene.<br />
D. IRG: Under Independent Regulators Group (IRG) er der dannet en uformel<br />
arbejdsgruppe, der har <strong>til</strong> formål at udveksle viden <strong>og</strong> erfaringer på it‐<br />
sikkerhedsområdet.<br />
April 2008<br />
<strong>IT</strong>-sikkerhedskontoret<br />
<strong>IT</strong>- <strong>og</strong> <strong>Telestyrelsen</strong><br />
Holsteinsgade 63<br />
2100 København Ø<br />
Telefon 3545 0000<br />
Telefax 3545 0010<br />
E-post itst@itst.dk<br />
Netsted www.itst.dk<br />
CVR-nr. 26769388<br />
Sarah Kirkeby<br />
Telefon 3337 9154<br />
Telefax 3545 0010<br />
E-post saki@itst.dk