Tekniske minimumskrav for statslige myndigheder

Der findes en række tekniske minimumskrav til sikkerheden i it-løsninger for statslige myndigheder. Kravene er ufravigelige og skal sikre et fælles højt sikkerhedsniveau i staten.

Som led i den nationale cyber- og informationssikkerhedsstrategi er det besluttet, at de statslige myndigheder skal efterleve en række tekniske minimumskrav med henblik på at sikre et højt fælles sikkerhedsniveau i staten. De fleste krav skal være implementeret senest den 1. januar 2020, mens nogle få krav først skal være implementeret den 1. juli 2020. 

Se alle kravene i printvenlig version

Oversigt over alle minimumskrav

Størstedelen af kravene følger af eksisterende vejledninger og anbefalinger på området fra Center for Cybersikkerhed, Digitaliseringsstyrelsen og Datatilsynet. De øvrige er udtryk for udbredt best practice. 

Klik på de enkelte krav for at se formål og dato for seneste implementering.

Klienter/PC'er

Firewalls skal sikre mod utilsigtet adgang til arbejdsstationer. Malware forsøger typisk at sprede sig på tværs af systemer, og ved at fjerne denne mulighed kan man begrænse denne spredning. Bør konfigureres så restriktivt som muligt.

Følger af Best practice.

Frist for implementering: 1. januar 2020.

Brug af VPN skal sikre dataintegritet og fortrolighed og bl.a. modvirke man-in-the-middle angreb

Følger af: CFCS - It-sikkerhed på rejsen

Skal være implementeret den: 1. januar 2020

For at undgå kompromittering af data i forbindelse med tab eller tyveri af pc, skal operativsystemet være sat op til at kryptere harddisken på den enkelte PC.

Følger af: CFCS - It-sikkerhed på rejsen

Skal være implementeret den: 1. januar 2020

Anvendelse af kontinuerligt opdateret endpoint-beskyttelse sikrer at kendte vira, malware mv. ikke kan afvikles på arbejdsstationen. De fleste endpoint protection-programmer kontrollerer ligeledes for anormal adfærd i applikationer.

Følger af: CFCS - Reducér risikoen for ransomware

Skal være implementeret den: 1. januar 2020

Al software der implementeres bør være omfattet af regelmæssig opdatering, således at evt. sårbarheder hurtigst muligt bliver lukket, så systemet ikke kan udnyttes af offentlige tilgængelige exploits.

Følger af: CFCS/DIGST - Cyberforsvar der virker

Skal være implementeret den: 1. januar 2020

Størstedelen af malware kræver administrative rettigheder på PCen for at blive installeret. For at hindre risikoen for spredning af malware, skal brugere derfor ikke have administrationsrettigheder med mindre, der er et dokumenteret forretningsmæssigt behov.

Følger af: CFCS/DIGST - Cyberforsvar der virker

Skal være implementeret den: 1. juli 2020

Nyeste operativsystemer har, som udgangspunkt, et højere sikkerhedsniveau end ældre versioner. Operativsystemer som ikke længere supporteres af producenten modtager typisk ikke sikkerhedsopdateringer, når der opdages nye sårbarheder og exploits.

Følger af: CFCS/DIGST - Cyberforsvar der virker 

Skal være implementeret den: 1. januar 2020

Mail

Anvendelse af åbne mail relays kan kompromittere meddelelsessikkerheden. Ved kun at anvende af myndigheden godkendte mail relays med autentifikation øges sikkerheden, og risikoen for misbrug af mail-server til spredning af malware og spam reduceres

Følger af: Best practice

Skal være implementeret den: 1. januar 2020

Kryptering af mailtrafik skal sikre dataintegritet og fortrolighed. Med anvendelse af TLS 1.2 reduceres risikoen for, at mail-kommunikation bliver aflyttet undervejs i transmissionen over internettet.

Følger af: Datatilsynet - Transmission af personoplysninger via e-mail 

Skal være implementeret den: 1. januar 2020

Skal forhindre adgang til myndighedens e-mail ved tilslutning via usikre netværk. Med VPN sikres en direkte og krypteret forbindelse ind i myndighedens eget netværk.

Følger af: CFCS - It-sikkerhed på rejsen 

Skal være implementeret den: 1. januar 2020

DMARC er et valideringssystem designet til at forhindre såkaldt email-spoofing, hvor en afsender udgiver sig for at være en anden. Løsningen giver også en god mitigering mod afsendelse af spam fra myndighedens domæner.

Følger af: CFCS - Reducer risikoen for falske mails

Skal være implementeret den: 1. juli 2020

Mobiltelefoner og netværk

Krav om minimumlængde og anvendelse af numerisk kode eller biometrisk idenfikation frem for andre typer adgangsgodkendelse beskytter telefonen mod misbrug, hvis den tabes/stjæles.

Følger af: CFCS - Råd om sikkerhed på mobile enheder 

Skal være implementeret den: 1. januar 2020

Mobiltelefoners software skal så vidt muligt opdateres, så snart leverandøren udgiver opdateringer. Derved sikres, at kendte sikkerhedshuller lukkes hurtigst muligt.

Følger af: CFCS - Råd om sikkerhed på mobile enheder

Skal være implementeret den: 1. januar 2020

Netværk

Kryptering af WiFi gør det vanskeligere for en angriber, at "aflytte" kommunikation på netværket. WPA2 er sikrere end WPA og bør være standardvalget. Best practice 1. januar 2020

Udgør en forudsætning for opdagelse og efterforskning af forskellige sikkerhedshændelser. Logningen skal ikke anvendes til overvågning af brugeradfærd.

CFCS: Logning - en del af et godt cyberforsvar

1. januar 2020

Websider

DNSSEC er en ekstra sikkerhedsservice, man kan tilknytte sit domænenavn. Med DNSSEC kan man være sikker på, at den rigtige side bliver vist, når der bliver linket til ens hjemmeside, og når den direkte URL-adresse bliver brugt. Klienter kan dermed kryptografisk stole på, at de tilgår det rette domæne.

Følger af: Best practice

Skal være implementeret den: 1. januar 2020

En sikker DNS-tjeneste beskytter brugeren mod malware- og phishingsider ved at blokere for domæner, der er kendt som værende eller vurderes at være farlige.

Følger af: Best practice

Skal være implementeret den: 1. januar 2020

Kryptering af trafik til og fra hjemmesider skal sikre dataintegritet og fortrolighed, herunder forebygge man-in-the-middle angreb.

Følger af: Best practice

Skal være implementeret den: 1. januar 2020

Flash er et plugin, som tidligere har været bredt anvendt til at tilbyde avanceret eksempelvis grafisk funktionalitet og spil på hjemmesider. Anvendelse af Flash i en web-browser frarådes i forvejen, men udgør fortsat størstedelen af sårbarheder, der anvendes til at kompromittere en computer gennem kørsel af skadelig flash-kode. Flash når end-of-life i 2020 og modtager herefter ikke flere opdateringer.

Følger af: Best practice

Skal være implementeret den: 1. juli 2020

Al software der implementeres bør være omfattet af regelmæssig opdatering, således evt. sårbarheder hurtigst muligt bliver lukket for offentligt tilgængelige exploits mv.

Følger af: CFCS/DIGST - Cyberforsvar der virker 

Skal være implementeret den: 1. januar 2020

Hvem har godkendt kravene?

Kravene er godkendt af styregruppen for den nationale cyber- og informationssikkerhedsstrategi, herunder Finansministeriet, Forsvarsministeriet, Justitsministeriet, Transport- og Boligministeriet, Erhvervsministeriet, Sundheds- og Ældreministeriet samt Klima- Energi og Forsyningsministeriet.

Kravene har primært til formål at beskytte statslige it-arbejdspladser, herunder arbejdsnetværk og arbejdsstationer, mod ondsindede cyber- og informationssikkerheds-hændelser, fx hackerangreb og spredning af malware.

Kravene er ikke obligatoriske for eksempelvis gæstenetværk eller eksternt rettede systemer, som drives af den offentlige myndighed med ikke-statslige brugere som primær målgruppe. Dog er der visse krav til hjemmesider og mail-kommunikation, som har til formål at sikre borgere, virksomheder og myndigheder mod fx phishing, kompromittering af oplysninger og man-in-the-middle angreb. 

Kravene er minimumskrav, som ikke fritager myndighederne fra at foretage egne risikovurderinger og implementere yderligere sikkerhedstiltag i relevant omfang. For størstedelen af myndighederne vil en lang række af kravene allerede være helt eller delvist opfyldt.

Værktøj: Få overblik over sikkerheden på dine internetdomæner

Værktøjet sikkerpånettet.dk scanner for en række teknologier inden for kategorierne domæne, e-mail og netværksforbindelse, herunder om der anvendes kryptering på et vist niveau, om der er implementeret DMARC på domæneniveau mv. En række af de teknologier, der scannes for, er i dag en del af de 20 tekniske minimumskrav til it-sikkerheden hos statslige myndigheder, mens andre ikke indgår.

Der kan således være forskel på, hvorvidt organisationen eller myndigheden skal leve op til de teknologier, som der scannes for, da ikke alle organisationer/virksomheder har behov for samme sikkerhedsniveau.

Prøv værktøjet på sikkerpånettet.dk

Logo for sikkerpånette.dk