Etter hvert som enkeltpersoner, organisasjoner og samfunnet gjør seg mer avhengig av fungerende IT-systemer, er det viktig at vi har et bevisst forhold til alle mulige trusler som medfører andre virkninger enn de vi vil ha.

Det er viktig at all IT-bruk er sikker. Utstyr styres av IT-systemer, penger utveksles ved hjelp av IT-systemer og beslutninger støttes av IT-systemer osv. Vi ønsker at dette kan gjennomføres uten at systemene brytes ned og uvedkommende overtar og lar systemene utføre oppgaver de ikke var tiltenkt.

Dette er noen av spørsmålene Standard Norge er engasjert i når det gjelder standardiseringsarbeidet på  IT-sikkerhetsområdet.

Ledelsessystem for IT-sikkerhet

Standardene i ISO/IEC 27000-serien har til hensikt å sikre virksomheters informasjon og å ha et system for dette.

Etablering og implementering av et ledelsessystem for informasjonssikkerhet i en organisasjon påvirkes av organisasjonens behov og mål, sikkerhetskrav, de organisatoriske prosessene som benyttes, samt størrelsen og strukturen på organisasjonen. Alle disse påvirkende faktorene forventes å endre seg over tid.

Et ledelsessystem for informasjonssikkerhet bevarer konfidensialiteten, integriteten og tilgjengeligheten til informasjon ved å benytte en risikostyringsprosess, og dette gir tillit hos interesseparter ved at risikoer er tilstrekkelig håndtert.

Flere av standardene i ISO/IEC 27000-serien er oversatt til norsk. Du kan kjøpe enkeltvise standarder eller vår standardsamling som inneholder et utvalg av de mest sentrale standardene i serien.

Blant de mest sentrale standardene i serien er:

• NS-EN ISO/IEC 27000
  Holder rede på sammenhengene mellom standardene og begreper som benyttes i serien. Denne kan være en god start for å få oversikt.
• NS-EN ISO/IEC 27001
  Stiller krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av et ledelsessystem for informasjonssikkerhet. Dette er standarden som det kan sertifiseres i forhold til, og resten av serien er en utdypning og veiledning i forhold til denne standarden. Les mer om NS-EN ISO/IEC 27001
• NS-EN ISO/IEC 27002
  Gir god praksis i forhold til hva en bør gjøre, hva en bør vurdere og hva en bør ha på plass.
• NS-ISO/IEC 27003
  Skisserer mulige strategier for å iverksette en prosess for å innføre et ledelsessystem for informasjonssikring.
• NS-ISO/IEC 27004
  Hjelper til med hvordan man måler tilstanden før, under og etter innføringen av sikringstiltak.
• NS-ISO/IEC 27005
  Omhandler risikostyring av informasjonssikkerhet.

Norsk komité bidrar i internasjonalt arbeid

Den internasjonale komiteen, ISO/IEC JTC 1/SC 27 IT – Security Techniques har bestått i 20 år. Komiteen har utgitt mange standarder og har fem arbeidsgrupper som alle er aktive.

Standard Norge har en speilkomité SN/K 171 som følger arbeidet i SC 27. Her kan norske eksperter påvirke internasjonale standarder og samkjøre sine syn før internasjonale møter eller i avstemming over dokumenter. Komiteen engasjerer seg også i IT-sikkerhetsproblemstillinger i andre organisasjoner som CEN, CENELEC og ETSI.

Én av arbeidsgruppene i SC 27 arbeider med systemer for å opprettholde sikkerhet i en virksomhet, en annen arbeider mer teknisk med krypteringsalgoritmer, en tredje er opptatt av hvordan sikkerhetstilstanden og -tiltakene kan evalueres, en fjerde arbeider med sikkerhet i forhold til nye trusler og særlig ny teknologi og den siste arbeider med forvaltning av identitet og personvernproblemstillinger.

ISO/IEC JTC 1/SC 27 har utarbeidet i alt 130 standarder og har et relativt ambisiøst arbeidsprogram med om lag 50 prosjekter. Komiteen dekker et vidt felt, fra ledelsesstandarder til kryptostandarder. Det er stor oppslutning om komiteen og produksjonen av standarder har vært stabil høy.

Komiteen samarbeider med ulike organisasjoner og med andre ISO-komiteer med IT-sikkerhet innen sitt fagdomene. Eksempler er helseinformatikk, finansielle løsninger og veitransportinformatikk.

Arbeidsgrupper innen ISO/IEC JTC 1/SC 27 er:

• WG 1 - Information security management systems
• WG 2 - Cryptography and security mechanisms
• WG 3 - Security evaluation criteria
• WG 4 - Security controls and services
• WG 5 - Identity management and privacy technologies

ISO/IEC 27000

WG 1 har utformet standarder som spesielt mye benyttet. Det gjelder ISO/IEC 27000-serien som inneholder råd for god praksis, sertifiseringsstandarder og retningslinjer for hjelp ved innføring. ISO/IEC 27002 Administrasjon av IT-sikkerhet (tidligere 17799) er oversatt til norsk.

Les om SN/K 171