Y1 Sikkerhed

Formål

Formålet er at skabe sikkerhed fra start til slut.

Informationssikkerhed handler om at sikre og beskytte information, herunder særligt at sikre, at kritisk og følsom information bevarer fortrolighed, integritet og tilgængelighed.

Kernen i informationssikkerhed er at kunne styre og sikre kontrollen over hvem eller hvad, der må få eller påvirke information på et givent tidspunkt, og hvordan det sikres, at kritiske data er tilgængelige.

Information og den understøttende teknologi er som andre aktiver væsentlige for myndighedens forretningsprocesser og skal derfor beskyttes hensigtsmæssigt.

Input

Arbejdet med informationssikkerhed både på organisations-/EA-niveau og projekt/løsmningsniveau gennemføres med bedst resultat, når virksomheden definerer sikkerhedsniveauet med udgangspunkt i en overordnet informationssikkerhedsstrategi og en konkret it-risikovurdering af kritiske og følsomme data og systemer.

Alle dokumenter med relevans for vurdering af sikkerheden kan indgå i denne aktivitet. Specielt skal fremhæves løsningsprojekters it-risikovurderinger og arkitekturdokumentation med direkte relevans for informationssikkerhed, som eksempelvis bruger-/rettighedsstyring.

Vi har refereret til en række af de vigtigste og mest nyttige former for dokumentation, men andre kan være relevante og der kan findes typer af dokumentation, der ikke er defineret her i OIO EA rammen. Det anbefales derfor, at man også forholder sig til dokumenter anbefalet i mere specifikke standarder og vejledninger vedrørende sikkerhed. jf nedenfor.

Output

Sikkerhedsstrategi – for udvikling/drift (sætter sikkerhedskrav relateret til forretningen; krav kan efterfølgende indarbejdes i udbud/kontrakter). Knytter sig til forretningsstrategien og omfatter en sikkerhedsanalyse og en sikkerhedspolitik.

Sikkerhedsaktiviteter - kan være 'bløde' eller 'hårde' aktiviteter, dvs. knyttet til organisationen eller til den tekniske it-understøttelse. Det kan være i form af retningslinjer og procedurer.

Sikkerhedskontroller - sikkerhedsforanstaltninger. Kan være organisatoriske, tekniske eller fysiske.

Desuden en kvalitetssikring af det arkitekturarbejde og de valg, der sker i teknikaktiviteterne, herunder bl.a.

  • It-arkitektur - som fx sikkerhedsmodeller 
  • Teknologier - som kan være databaser, platforme, filsystemer, web design, SSL, SQL, HTTP, Java, Windows etc.

 

Metode

Informationssikkerhed handler om at sikre og beskytte information, herunder særligt at sikre, at kritisk og følsom information bevarer fortrolighed, integritet og tilgængelighed.

På EA/koncernniveau: Statslige myndigheder skal efterleve ISO 27001, som er en standard for, hvordan organisationer skal styre deres informationssikkerhed. Standarden opstiller ikke specifikke krav om hvilke data, der skal beskyttes hvordan, eller om oppetid for jeres systemer. Den fordrer derimod, at jeres myndighed på baggrund af en konkret risikovurdering, udarbejder et såkaldt Information Security Management System (ISMS). ISMS'et er et samlet udtryk for de politikker, procedurer, beslutningsgange og aktiviteter, der er nødvendige i jeres arbejde med styring af informationssikkerhed. De er et resultat af en række kvalificerede til- og fravalg, som er foretaget på baggrund af en vurdering af jeres sikkerhedsrisiko. Sikkerhed er altså jeres samlede mængde af sikkerhedsforanstaltninger til sikring af myndighedens driftsmæssige kontinuitet og minimering af de afledte risici og tab ved misbrug af systemer og data, herunder tab af fortrolighed, integritet og tilgængelighed.

På løsning/projektniveau: Det er vigtigt, at du som projektleder tænker sikkerhed ind allerede fra starten af projektet, så du kan bruge jeres sikkerhedspolitik som ramme for udvikling og implementering.

ISMS'et er med til at definere rammerne for projekter og allerede i analysefasen skal projekter afklare og beskrive, hvilken indflydelse det vil få for projektet. I anskaffelsesfasen skal kravene til sikkerhed formuleres, og i gennemførelsesfasen skal det testes, at kravene er opfyldt.

Digitaliseringsstyrelsen har udarbejdet en række vejledninger og værktøjer i forbindelse med implementering af styring af informationssikkerhed. Du kan læse mere på Digitaliseringstyrelsen hjemmeside.

Gode råd

I vil kunne bruge jeres sikkerhedskoordinator til at drøfte såvel de overordnede rammer som de konkrete krav.

Sikkerhed er den samlede mængde af sikkerhedsforanstaltninger til sikring af virksomhedens driftsmæssige kontinuitet og minimere afledte risici og tab ved misbrug af systemer og data, herunder risikoen for tab af fortrolighed, integritet og tilgængelighed.

Sikkerhed kan defineres inden for en forståelse af sikkerhed som:

  • fysisk sikkerhed (fysisk/miljømæssig beskyttelse),
  • it-sikkerhed (den indbyggede tekniske sikkerhed),
  • informationssikkerhed (inddrager teknologi, processer og mennesker) og
  • cybersikkerhed (kompleksiteten interaktion mellem udstyr, teknologi, aktører og handlinger på internettet).

Som udgangspunkt dækker begrebet informationssikkerhed over digital information, men også analog information som ansættelseskontrakter og oversigter over fysiske dokumenter er omfattet. Informationssikkerhed er bredere end it-sikkerhed, da det også kan omfatte jeres interessenter, og da brud på sikkerheden kan have konsekvenser for både jeres drift og image. Privatlivsbeskyttelse er et andet aspekt af sikkerheden, som handler om, at I skal overveje, hvordan I bedst undgår at krænke privatlivets fred for brugerne af jeres system.

Permanent URL til denne artikel: http://arkitekturguiden.digitaliser.dk/node/344