IT-sikkerhed%20

1

• IT-sikkerhed med IT-frihed.

-råd du kan regne med
Kontaktmulighed Gert Vestergaard Fastnettelefon
4810 4200 Mobiltelefon direkte 2141 8319 E-mail
gve_at_niras.dk
2
Hjælpemidler ved indførelse af IT-sikkerhed

• Lovgivning
• Standarder
• IT-datasikkerhedsrelateret generelt
• IT-datasikkerhedsrelateret for SCADA Netværker
• Fysisk installationsrelateret
• Vejledninger
• IT-sikkerhed IT-frihed
• Benyttelse over beskyttelse
• Understøtte brug i stedet for at understøtte
  begrænset brug

3
Lovgivning vedr. IT-sikkerhed - 1/2

• Stærkstrømsbekendgørelsen (SR), afsnit 6
• Kap. 707 Jordforbindelser ved installation af
  databehandlingsudstyr
• Kap. 54 Jordingsanlæg og beskyttelsesledere
• 548 Jordingsanlæg og udligningsforbindelser for
  informationsteknologisk materiel
• Sikkerhedsstyrelsen Vejledning vedrørende
  el-lovgivningen og generatoranlæg. 5 udg., febr.
  2005
• Sikkerhedsstyrelsen Installation af større
  UPS-anlæg efter SR afsnit 6, elektriske
  installationer, kap. 55, 1 udg. Okt. 2005
• El-Forsyningsselskaber DS/EN 50160
  Karakteristika for spændinger i offentlige
  elektricitetsforsyningsnet 2010
• DEFU Rekommandation 16, Spændingskvalitet i
  lavspæn-dingsnet. 2 udg. Juni 2001
• EMC Direktivet 2004/108/EC af 15. dec. 2004
  direktiv 89/336/EEC af 20 juli 2007
• Bygningsreglementet 2010 (BR10)
• EU-krav El-direktivet

4
Lovgivning vedr. IT-sikkerhed 2/2

• Persondataloven Lov nr. 429 af 31/05/2000 med
  senere ændringer
• Arbejdsmiljølovgivning LBK nr. 1072 af
  07/09/2010 med senere ændringer
• Beredskabsloven LBK nr. 660 af 10/06/2009 med
  senere ændringer
• Markedsføringsloven LBK nr. 839 af 31/08/2009
  med senere ændringer
• Bogføringsloven LBK nr. 648 af 15/06/2006 med
  senere ændringer
• TV-overvågning Lov om TV-overvågning LBK nr.
  1190 af 11/10/2007 med senere ændringer
• Vagtloven Lov nr. 266 af 22 maj 1986 med senere
  ændringer
• Forsikring og Pension Sikringskatalog Sikring
  Erhverv af jan. 2011
• Skadesforsikringsudvalget i Forsikring og Pension
  (SKAFOR)
• Interne skærpende IT-sikkerhedsregler i
  virksomheden

5
Standarder vedr. IT-datasikkerhed generelt - 1/10

• DS 484. Standard for informationssikkerhed, 1.
  udgave 2005
• DS/INF 460 Udførelse af interne telenet 1 udg.
  1990
• DS/ISO/IEC 27000 Informationsteknologi
  Sikkerhedsteknikker Ledelsessystemer til
  informationssikkerhed Grundprincipper og
  ordliste. 2009
• DS/ISO/IEC 27001. Informationsteknologi -
  Sikkerhedsteknikker - Ledelsessystemer for
  Informationssikkerhed (ISMS) Krav. 2007 (svarer
  til BS7799-2)
• DS/ISO/IEC 27002. Informationsteknologi
  Sikkerhedsteknik-ker Regelsæt for styring af
  informationssikkerhed. 2007 (Erstatter ISO/IEC
  17799 og svarer til BS7799-1)
• DS/ISO/IEC 27003. Informationsteknologi
  Sikkerhedsteknik-ker Vejledning i
  implementering af ledelsessystemer for
  informationssikkerhed. 2010
• DS/ISO/IEC 27004. Informationsteknologi
  Sikkerhedsteknik-ker Informationssikkerhedsledel
  se Effektivitetsmåling. 2009
• DS/ISO/IEC 27005. Informationsteknologi
  Sikkerhedsteknik-ker Ledelsessystem for
  risikostyring. 2008. (Svarer delvist til
  BS7799-3)

6
Standarder vedr. IT- datasikkerhed generelt -
2/10

• DS/ISO/IEC 27006. Informationsteknologi
  Sikkerhedsteknikker Krav til organer, der
  foretager audit og certificering af
  ledelsessystemer for informationssikkerhed
  (ISMS). 2007

7
Standarder vedr. IT-datasikkerhed generelt - 3/10

8
Standarder vedr. IT-datasikkerhed generelt - 4/10

• EN 50174-1 Information Technology. Cabling
  installation part 1. Installation specification
  and quality assurance. July 2009
• EN 50174-2 Integrated standards for
  telecommunications cabling installation part 1.
  Installation planning and practices inside
  buildings. July 2009
• EN 50174-3 Information Technology Cabling
  installation part 3. Installation planning and
  practices outside buildings. May 2008
• BS EN 50310 Application of equipotential bonding
  and earthing in buildings with information
  technology equipment. Nov. 2010
• EN 50346A2 2009 Information technology
  Cabling installation Testing of installed
  cabling. March 2010
• EN 50173-1 Information technology Generic
  cabling systems part 1 General requirements.
  July 2010
• EN 50173-2 Information technology. Generic
  cabling systems. Office premises. Aug. 2007
• EN 50173-3 Information technology. Generic
  cabling systems. Industrial premises. Dec. 2007

9
Standarder vedr. IT-datasikkerhed generelt 5/10

• EN 50173-4 Information technology. Generic
  cabling systems. Homes. Aug. 2007
• EN 50173-5 Information technology. Generic
  cabling systems. Data centres. Aug. 2007

10
Standarder vedr. IT-datasikkerhed generelt 6/10

• DS/ISO/IEC 13335-1 2007. Informationsteknologi.
  Vejledning til styring af IT-sikkerhed - del 1
  Koncepter og modeller for IT-sikkerhed (Ophævet
  2010)
• DS/ISO/IEC 13335-2 1998. Informationsteknologi.
  Vejledning til styring af IT-sikkerhed del 2
  Styring og planlægning af IT-sikkerhed (Ophævet i
  2007 og erstattet af DS/ISO/IEC 13335-1 i 2007)
• DS/ISO/IEC TR 13335-3 1998. Informationsteknologi
  . Vejledning i styring af IT-sikkerhed del 3
  Teknikker til styring af IT-sikkerheden (Ophævet
  i 2008 og erstattet af DS/ISO/IEC 27005 i 2008)
• DS/ISO/IEC TR 13335-4 2000. Informationsteknologi
  . Vejledning til styring af IT-sikkerheden del
  4 Valg af sikkerhedsforanstaltninger (Ophævet i
  2008 og erstattet af DS/ISO/IEC 27005 i 2008)
• DS/ISO/IEC TR 13335-5 2001. Informationsteknologi
  . Vejledning til styring af IT-sikkerhed del 5
  Administrative retningslinier for
  netværkssikkerhed (Ophævet i 2008)

Ophævet ikke gældende længere delvist
erstattet af DS/ISO/IEC 27000 serien resterende
ophævet.
11
Standarder vedr. IT-datasikkerhed SCADA netværker
7/10

• Homeland Security Control Systems Security
  Program (CSSP)
• DHS Catalog of Control Systems
• Security Recommendations for Standards
  Developers,
• Revisions 4and 6
• NIST SP800-82
• NIST SP800-53, revisions 2 and 3
• NERC CIP-002-009 revisions 1 and 2
• ISO/IEC 15408 revision 3.1
• DoDI 8500.2
• Consensus Audit Guidelines 2.3.
• DHS Department of Homeland Security
• NIST National Institute of Standards and
  Technology
• NERC North American Electrical Reliability
  Corporation
• DoDI Department of Defence Insurances

12
Standarder vedr. IT-datasikkerhed SCADA netværker
8/10
Cyber Security Evaluation Tool
13
Standarder vedr. IT-datasikkerhed SCADA netværker
9/10
http//www.us-cert.gov/control_systems/
http//www.us-cert.gov/reading_room/
http//www.us-cert.gov/control_systems/satool.html

http//www.us-cert.gov/control_systems/csstandards
.html
http//www.nerc.com/
http//www.nerc.com/page.php?cid669
http//www.nerc.com/page.php?cid220
http//www.nerc.com/filez/standards/Reliability_St
andards_Under_Development.html
14
Standarder vedr. IT-sikkerhed. Fys.
installationsrelateret 10/10

• DS 5129-2-1. Installationer til signalering og
  kommunikation del 2-1 Føringsveje i bygninger
  til kabler til brug for IT T-formål (erstatter
  DS/INF 129-2-12000)
• EN 62305-1 General Principles
• EN 62305-2 Risk Management
• EN 62305-3 Physical Damage to Structures and
  life Hazard
• EN 62305-4 Electrical and Electronic Systems
  within Structures

15
Vejledninger vedr. IT-sikkerhed 1/5

• IT Infrastructure Library (ITIL) Best practice
  for IT service management
• ISO 20000-1 The Specification for Service
  Management (erstatter BS 15000-1)
• ISO 20000-2 Service Management Code of Practice
• Common Criteria Common Criteria for Information
  Technology Security Evaluation (CC)
• Common Criteria Common Methodology for
  Information Technology Security Evaluation (CEM)
• Common Criteria Common Criteria Recognition
  Agreement (CCRA). ISO 15408 Information
  Technology Security techniques Evaluation
  criterias for IT security part 1. Intro-duction
  and general model
• Information Security Forum (ISF) The Forums
  Standard of Good Practice The Standard for
  Information Security
• OECD Guidelines for the Security of Information
  Systems and Networks Towards a Culture of
  Security
• FSR, IIA og FIK God IT-skik 1999
• Bank for International Settlements Basel I, II
  og III - 2009

16
Vejledninger vedr. IT-sikkerhed 2/5

• Finansrådet Finansrådets best practise
• OECD Corporate governance, IT-governance og
  Sarbanes Oxley
• IT Governance Institute (ITGI) og Information
  Systems Audit and Control Association (ISACA)
  Control Objectives for Information and related
  Technology (CoBiT)
• Schneider Electric How can I protect a system
  from cyber attacks. 2010
• Forsikring Pension Sikring af edb-programmer
  og data, juni 2003
• DS-hæfte 30 Introduktion til udarbejdelse af
  it-ledelsessystem og it-håndbog Sådan kan det
  gøres i praksis. 2007
• Elsparefonden Gode råd om elbesparelser i
  serverrum
• Elsparefonden Oplæg til positivliste for
  køleanlæg til serverrum
• Dansk Industri Kølingsvejledning til serverrum
• ELsparefonden Projekteringsvejledning for
  Energieffektive serverrum. 2010
• Center for Energibesparelser Serverrumsvejledning
  . 2011

17
Vejledninger vedr. IT-sikkerhed 3/5

• Dansk Industri ITEK Elektronisk Infrastruktur.
  Virksomhedens IT-sikre placering januar 2005
• Dansk Industri ITEK Trusler mod virksomhedens
  IT-sikkerhed november 2002
• Dansk Industri ITEK E-business, IT-sikkerhed
  og Ledelse januar 2005
• Dansk Industri ITEK Ledelse af IT-Sikkerhed -
  for forretningens skyld juni 2002
• Dansk Industri Industrispionage september 2003
• ITEK Dansk Industri Antiphishingvejledning
• ITEK Dansk Industri Antispamvejledning
• ITEK Dansk Industri Antispywarevejledning
• Dansk Industri ITEK Beskyttelse af dokumenter
• Dansk Industri ITEK Cloud Computing
• Dansk Industri De overvågede
• Dansk Industri E-business IT-sikkerhed og
  ledelse
• Dansk Industri Elektronisk Infrastruktur
• DS, ITEK Dansk Industri Forøg virksomhedens
  informa-tionssikkerhed en standardiseret
  holistisk tilgang juli 2007

18
Vejledninger vedr. IT-sikkerhed 4/5

• Dansk Industri IT-sikkerhed på
  pc-hjemmearbejdspladser
• ITEK Dansk Industri Kreditkortsikkerhed
• Dansk Industri Ledelse af IT-sikkerhed
• Dansk Industri Vejledning i fysisk IT-sikkerhed
• Dansk Industri Vejledning om beskyttelse af data
  mod fremmede landes overvågning
• ITEK Dansk Industri Trådløse netværk
• ITEK Dansk Industri Passwordpolitik
• ITEK Dansk Industri Sådan undgår du skjulte
  filer i office filer
• ITEK Dansk Industri Forsikring mod
  netbankindbrud
• Dansk Industri Hemmeligholdelsesaftale
• Dansk Arbejdsgiverforening Kontrolforanstaltninge
  r 2003
• Dansk IT IT-anskaffelse kravspecifikationen
  2005
• Dansk IT IT-sikkerhed i små og mellemstore
  virksomheder
• IT-Sikkerhedsrådet Brug af e-post og Internet på
  arbejdspladsen januar 2002
• IT-Sikkerhedsrådet Sikkerhed ved e-post og
  Internet hacking og virus marts 2001

19
Vejledninger vedr. IT-sikkerhed 5/5

• FP Sikringskatalog
• FP Sikringsniveauer
• FP AIA Automatisk IndbrudsAlarmanlæg
• FP Sammenligningsnøgle
• FP Reaktionstid vagtudrykning
• FP Sporingssystemer
• FP Håndtering og sikring af software
• FP TV-overvågning
• FP Tågesikring
• FP Materialer fra andre organisationer

20
Afslutning