Standarder – et systematisk redskab til cyber- og informationssikkerhed

I dag arbejder de fleste virksomheder med en form for cyber- og informationssikkerhed, da det er en nødvendighed i det digitale samfund. Derfor findes der også mange forskellige tilgange, som organisationer kan vælge at arbejde efter. En anerkendt tilgang er at lade sig inspirere af standarder, da de er udarbejdet af erfarne fageksperter fra hele verden samt gennemtænkt og afprøvet af tusindvis.

Generelt om standarder for cyber- og informationssikkerhed

Langt de fleste standarder for cyber- og informationssikkerhed er udviklet og udarbejdet af fageksperter og praktikere fra hele verden, der har samlet deres best practice erfaring og viden.

Formålet med standarder er at sikre en fælles forståelse og tilgang til cyber- og informationssikkerhed samt at udbyde et redskab til at arbejde systematisk og struktureret med området. Standarder giver organisationer et godt udgangspunkt, der allerede er velafprøvet og gennemtænkt, i stedet for at de selv skal starte fra bunden og udtænke processer for arbejdet med cyber- og informationssikkerhed.

Der kan være en vis berøringsangst ift. standarder, fordi mange organisationer tror, at det at følge principperne i en standard også altid handler om at blive certificeret. Men det er en misforståelse. Standarder kan nemlig blot anvendes som et inspirationskatalog, hvor man som organisation anvender de dele af standarden, der passer til ens behov. Man kan selvfølgelig vælge at lade sin organisation blive certificeret, men det er ikke et ’must’.

Standarder er som udgangspunkt frivillige at anvende, men kan være et markedskrav fra kunder eller samarbejdspartnere, der kan stille krav om, at man anvender standarder eller er certificeret. I Danmark er langt de fleste standarder for cyber- og informationssikkerhed frivillige at følge. Dog er der krav om, at danske myndigheder skal følge den internationale ledelsesstandard for informationssikkerhed (ISO/IEC 27001).

Værdien af at tage udgangspunkt i standarder

Hvorfor anvende standarder, hvis de alligevel er frivillige? Organisationer anvender standarder af mange forskellige årsager. Men den altoverskyggende grund til at tage udgangspunkt i en standard er, at organisationer ønsker at anvende velafprøvede og anerkendte værktøjer til at systematisere deres arbejde med cyber- og informationssikkerhed. Derudover kan der være mange andre årsager til at organisationer vælger at anvende standarder så som:

  • Standarder er internationalt anerkendte og hjælper med at skabe en fælles forståelse for cyber- og informationssikkerhed
  • Standarder kan være et markedskrav; eksempelvis krav fra samarbejdspartnere eller kunder
  • Standarder kan hjælpe organisationer i gang med cyber- og informationssikkerhed, så de ikke skal starte helt fra bunden
  • Standarder kan styrke virksomheders konkurrenceevne
  •  Standarder kan anvendes til at dokumentere arbejdsprocesser
  •  Standarder kan være en hjælp til at sikre compliance i forhold til eventuel lovgivning, leverandøraftaler mm.
  • Standarder kan bidrage til at sikre tilliden til ens organisation og/eller ens produkter.
  • Standarder kan fungere som en slags kvalitetsstempel

Læs mere om hvad standarder er og hvordan de kan bruges hos Dansk Standard

Overblik over standarder for cyber- og informationssikkerhed

Nedenfor kan du læse mere om nogle af de mest anvendte standarder for cyber- og informationssikkerhed.

Der findes en lang række standarder, der sætter fokus på informationssikkerhed. En af de mest kendte standarder er den internationale ledelsesstandard for informationssikkerhed; ISO/IEC 27001. Standarden giver organisationer en systematisk tilgang til at strukturere deres kontinuerlige arbejde med at beskytte forretningskritiske informationer og definere et passende niveau af informationssikkerhed, der passer til organisationens profil. Standarden opstiller blandt andet krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed. Standarden bidrager desuden til at skabe tillid til de organisationer, der anvender den, da det vidner om, at man arbejder struktureret med informationssikkerhed og kan fremvise dokumentation for arbejdet.

 Det er muligt at blive certificeret i ISO/IEC 27001. En certificering kan bidrage til at øge en organisationens troværdighed. En certificering kan også være med til at give en konkurrencefordel, da organisationen synliggør overfor potentielle kunder, at informationssikkerhed tages alvorligt.

Læs mere om ISO/IEC 27001 hos Dansk Standard

Den digitale udvikling betyder, at der er mulighed for at koble flere af de produkter, vi omgiver os med i dagligdagen, på internettet. Antallet af disse IoT-enheder (Internet of Things) har for længst vokset sig større end den samlede verdenspopulation og vores samfunds øgede afhængighed af produkter og løsninger, der er koblet på internettet øger sårbarheden og risikoen for angreb.

På europæisk plan er der endnu ingen regulering af området, men der findes en lang række frivillige standarder, der kan hjælpe organisationer med at systematisere deres tilgang til cybersikkerhed i IoT-produkter og -løsninger. Den mest udbredte standard for cybersikkerhed i IoT-produkter er den europæiske standard ETSI EN 303 645, der har det overordnede formål at beskytte forbrugerne, når de anvender IoT produkter. Standarden hjælper producenterne af IoT forbrugerprodukter med at identificere og adressere henholdsvis cybersikkerhedsudfordringer og udfordringer, der relaterer sig til privatlivsbeskyttelse og håndtering af persondata.

Producenter af IoT forbrugerprodukter kan anvende standardens konkrete tjeklister som et redskab til at sikre, at et givent produkt lever op til et grundlæggende sikkerhedsniveau. Standarden indeholder bl.a. en guide til håndtering af passwords, softwareopdatering, anvendelse af kryptografi i kommunikationen, minimering af muligheder for angreb mm. Derudover indeholder standarden et kort afsnit med bestemmelser ift. databeskyttelse af IoT forbrugerprodukter, hvor der primært refereres til Persondataforordningen (GDPR).

Standarden angiver ikke, hvilke løsninger producenterne skal anvende for at sikre deres produkter, men skaber rum for, at man selv kan implementere de sikkerhedsløsninger, der passer til ens produkt. Og igen kan standarden blot bruges som inspiration og skal ikke nødvendigvis følges fra ende til anden.

Dansk Standard har udarbejdet en guide, der giver et overblik over de mest relevante standarder i henhold til cybersikkerhed og IoT-produkter:

Hent guide hos Dansk Standard 

 OT (Operational Technology) dækker over det fysiske produktionssystems hardware og software.

Med digitaliseringen af industrielle kontrolsystemer følger også cybersikkerhedstrusler, der kan have alvorlige konsekvenser for menneskeliv, miljø og økonomi, hvis der sker angreb eller fejl. Især de kontrolsystemer, der betegnes som kritisk infrastruktur, er særligt følsomme.

Der findes en serie af standarder, der har til formål at adressere cybersikkerhed på et industrielt niveau; IEC 62443-serien. Standardserien introducerer metoder, begreber, systemer og værktøjer til at højne cybersikkerheden i den industrielle sektor med primært fokus på driftssikkerhed og tilgængelighed. Standarderne opererer med et livscyklusperspektiv, der betyder, at alle processer og funktioner i et industrielt kontrolsystem adresseres. Standarderne indeholder designanbefalinger til, hvordan man opbygger og vedligeholder et kontrolsystem med fokus på cybersikkerhed; herunder risikoanalyse, håndtering af risici, overvågning og forbedring.

Standardserien IEC 62443 fungerer som et effektivt kommunikationsredskab mellem alle relevante interessenter i et industrielt kontrolsystem, fordi den skaber et overblik over systemets ansvarsområder og klarlægger rollefordelingen.

Læs mere om OT og sikkerhed hos Dansk Standard

Organisationer, der behandler personoplysninger, oplever i dag en række udvidede krav til at sikre privatlivet for kunder, brugere, borgere, medarbejdere m.fl. Det skyldes ikke mindst Persondataforordningen (GDPR), der trådte i kraft i 2018, som opstiller skærpede krav til behandling og beskyttelse af persondata.

Også inden for privatlivsbeskyttelse er der mulighed for at hente hjælp i standarder til at efterleve krav. Den internationale standard ISO/IEC 27701 giver hjælp til at adressere privatlivsbeskyttelse inden for rammerne af et ledelsessystem for informationssikkerhed, som fx standarden ISO/IEC 27001 for informationssikkerhed, der på mange områder overlapper kravene i Persondataforordningen.

ISO/IEC 27701 giver organisationer konkrete anvisninger til at integrere og forene arbejdet med persondatabeskyttelse med arbejdet for informationssikkerhed. Standarden kan hjælpe organisationer med at strukturere deres arbejde med personoplysninger og minimere risikoen for brud på privatlivsbeskyttelsen.

Standarden bidrager også til en klar fordeling af roller og ansvarsområder og er således et værdifuldt værktøj for både dataansvarlige og for databehandlere. For de dataansvarlige kan standarden især bidrage til at skabe gennemsigtighed og fungere som et redskab til at styre databehandlingsprocesserne. For databehandlerne kan standarden særligt bidrage til at dokumentere overfor kunder, borgere m.fl., at deres personoplysninger er håndteret korrekt.

Læs mere om privatlivsbeskyttelse hos Dansk Standard

dansk standard

Standarder for cyber- og informationssikkerhed

Dansk Standard har samlet et overblik over de mest anvendte standarder inden for privatlivsbeskyttelse og cyber- og informationssikkerhed på deres webunivers. Få også rådgivning og inspiration til at komme i gang med arbejdet med standarder. 

Gå til Dansk Standard og læs mere 

dansk standard

Gør din virksomhed mere modstandsdygtig

I Dansk Standards guide ”Sådan styrker du modstandsdygtigheden i din SMV” kan du få gode råd til, hvordan du komme i gang med at indarbejde risikostyring i din virksomhed. Guiden tager desuden fat i konkrete fokusområder inden for fortsat drift under kriser, forsyningskæder samt cyber- og informationssikkerhed.

Læs mere om guiden og hent den her

Indholdet i denne artikel er skrevet i samarbejde med Dansk Standard.