Tekniske minimumskrav for statslige myndigheder 2023

De 20 tekniske minimumskrav til sikkerheden i it-løsninger for statslige myndigheder er per 29. juni 2022 blevet opdateret til en 2023-version. Kravene er ufravigelige og skal sikre et fælles højt sikkerhedsniveau i staten.

Som led i den nationale cyber- og informationssikkerhedsstrategi 2022-2024 er de tekniske minimumskrav til it-sikkerhed blevet opdateret. Alle de opdaterede krav skal være implementeret senest den 1. januar 2023.

Oversigt over minimumskravene 2023

Kravene er udtryk for udbredt best practice og flere følger af eksisterende vejledninger og anbefalinger på området fra Center for Cybersikkerhed, Digitaliseringsstyrelsen og Datatilsynet.

De konkrete anvisninger i forhold til efterlevelse af kravene fremgår af oversigten, som kan ses ved at klikke på knappen nedenfor.

Klik her for at se alle minimumskrav 2023 i printvenlig version

Ændringslog

De tekniske minimumskrav blev første gang lanceret i 2020. Der er udarbejdet en ændringslog for de opdaterede krav, hvori ændringer per krav fremgår.

Klik her for at se ændringslog

Senest opdateret 24-03-2023

Klienter/PC'er

Kravene til klienter/PC’er angår de stationære og bærbare computere, der administreres af myndigheden.

Formålet med kravet er at sikre myndighedens klienter mod utilsigtet netværksadgang. Klientbaserede firewalls reducerer risikoen for, at en kompromitteret klient kan bruges til at kompromittere andre klienter.

Formålet med kravet er at modvirke man-in-the-middle-angreb og sikre, at klientens trafik er omfattet af myndighedens øvrige sikkerhedstiltag. Ved brug af Always On VPN sikres det, at al internettrafik ledes gennem myndighedens egen it-infrastruktur.

Formålet med kravet er at undgå kompromittering af data i forbindelse med tab eller tyveri af en klient. Fuld diskkryptering af det lokale faste lager på klienten reducerer risikoen for brud på fortroligheden af data.

Formålet med kravet er at opdage og forhindre, at vira og malware mv. afvikles på klienten.

Formålet med kravet er at lukke kendte sårbarheder på klienterne.

Formålet med kravet er at reducere risikoen for installation af malware eller anden kompromittering. Da størstedelen af malware kræver administrative rettigheder på klienten for at blive installeret eller afviklet, må administrative rettigheder ikke tildeles konti, der anvendes til andre aktiviteter.

Formålet med kravet er at sikre, at myndighedens klienter får gavn af de nyeste sikkerhedsfeatures. Da nyere operativsystemer ofte har et højere sikkerhedsniveau end ældre versioner, skal myndigheden anvende det nyeste operativsystem på alle klienter.

Mail

Kravene til mails angår mailkommunikationen til og fra myndigheden.

Formålet med kravet er at reducere risikoen for misbrug af mailservere til spredning af malware og spam. Der må derfor kun anvendes mail-relays med autentifikation, som myndigheden har godkendt.

Formålet med kravet er at kryptere mailtrafikken med henblik på at sikre dataintegritet og fortrolighed. Med anvendelse af TLS 1.2 reduceres risikoen for, at mailkommunikation bliver aflyttet undervejs i transmissionen over internettet.

Autentifikation

Kravet angår de systemer, der kan tilgås over internettet, og hvor der logges på med myndighedens brugerkonti.

Formålet med kravet er at reducere risikoen for, at kompromitterede login-oplysninger kan anvendes af andre til at tilgå myndighedens systemer og data.

Mobile enheder

Kravene til mobile enheder angår mobiltelefoner og tablets med app-baseret adgang til myndighedens data.

Formålet med kravet er at beskytte den mobile enhed mod misbrug, hvis den for eksempel tabes eller stjæles.

Formålet med kravet er at beskytte myndighedens data på mobile enheder med særlige sikkerhedstiltag.

Formålet med kravet er at sikre, at kendte sikkerhedshuller lukkes hurtigst muligt. Regelmæssig opdatering sikrer også, at myndighedens mobile enheder får gavn af de nyeste sikkerhedsfeatures.

Logning

Krav om logning, log på alle systemer og tjenester på netværksservere.

Formålet med kravet er sikre de bedste forudsætninger for opdagelse af og efterforskning af sikkerhedshændelser. Logningen skal ikke implementeres med formål om at monitorere brugeradfærd.

Domæner

Kravene til domæner angår alle domænenavne tilhørende myndigheden.

Formålet med kravet er at sikre, at domæneforespørgsler besvares af domæneejeren, og at svar ikke er manipuleret undervejs. Ved brug af DNSSEC kan klienter kryptografisk stole på, at de tilgår de rette systemer og tjenester hos myndigheden.

Formålet med kravet er at beskytte enheder på netværket mod at tilgå eksempelvis kendte phishingsider og hjemmesider med malware. Ved brug af en Sikker DNS-tjeneste filtreres navneforespørgsler på baggrund af automatisk opdaterede lister over domæner, der vurderes at være skadelige.

Formålet med kravet er give mailmodtagere mulighed for at opdage forsøg på e-mail-spoofing, hvor en afsender udgiver sig for at være en anden. Ved at implementere DMARC på alle domæner reduceres risikoen for, at myndighedens domænenavne kan misbruges til udsendelse af phishing- eller spam-mails.

Netværk

Kravene til netværk angår myndighedens interne wi-fi-netværk, men ikke eventuelle gæstenetværk uden adgang til myndighedens systemer.

Formålet med kravet er at forhindre aflytning ved at foretage kryptering af trafikken på interne wi-fi-netværk.

Internetvendte tjenester

Kravene til internetvendte tjenester angår alle myndighedens tjenester, der kan tilgås fra internettet.

Formålet med kravet er, at kendte sårbarheder bliver lukket hurtigst muligt. Derfor skal al software, der anvendes på myndighedens internetvendte tjenester, være omfattet af regelmæssig sikkerhedsopdatering.

Formålet med kravet er at sikre dataintegritet og fortrolighed samt forebyggelse af man-in-the-middle-angreb.

Hvem har godkendt kravene?

Kravene er godkendt af styregruppen for den nationale cyber- og informationssikkerhedsstrategi, herunder Finansministeriet, Forsvarsministeriet, Justitsministeriet, Erhvervsministeriet og Udenrigsministeriet.

Spørgsmål til teknisk implementering af kravene

Spørgsmål til teknisk implementering af kravene bør drøftes med relevante it-ansvarlige og driftsleverandører. For yderligere spørgsmål eller vejledning kan Center for Cybersikkerhed kontaktes.

Center for Cybersikkerhed
Civil Rådgivning
cfcs@cfcs.dk
3332 5580

Spørgsmål til proces og fortolkning af kravene

Thomas Frandzen
Chefkonsulent
Digitaliseringsstyrelsen
thfra@digst.dk
5092 5662

Christian Sommer Jensen
Chefkonsulent
Digitaliseringsstyrelsen
chsoj@digst.dk
4178 6071