Overblik over cyber- og informationssikkerhedsstandarder

Grundlæggende krav for cybersikkerhed i forbrugerprodukter (IoT)

ETSI EN 303 645 Cyber Security for Consumer Internet of Things: Baseline Requirements.

Hvad er værdien af at anvende standarden?

Den digitale udvikling betyder, at der er mulighed for at koble flere af de produkter, vi omgiver os med i dagligdagen, på internettet. De digitale assistenter vinder indpas, og smart TV, sundhedstrackere, robotstøvsugere mm. er blevet en del af vores hverdag. Men i takt med flere og flere forbrugerprodukter kobles på internettet, opstår der også nogle cybersikkerhedsmæssige udfordringer, som der er behov for at adressere.

Standarden ETSI EN 303 645 er udviklet med det overordnede formål at beskytte forbrugerne, når de anvender IoT (Internet of Things) produkter. Standarden hjælper producenterne af IoT forbrugerprodukter med at identificere og adressere henholdsvis cybersikkerhedsudfordringer og udfordringer, der relaterer sig til privatlivsbeskyttelse og håndtering af persondata.

Producenter af IoT forbrugerprodukter kan anvende standardens konkrete tjeklister som et redskab til at sikre, at et givent produkt lever op til et grundlæggende sikkerhedsniveau. Standarden indeholder bl.a. en guide til håndtering af passwords, softwareopdatering, anvendelse af kryptografi i kommunikationen, minimering af muligheder for angreb mm. Derudover indeholder standarden et kort afsnit med bestemmelser ift. databeskyttelse af IoT forbrugerprodukter. Her refereres der primært til Persondataforordningen (GDPR).

Standarden angiver ikke, hvilke løsninger producenterne skal anvende for at sikre deres produkter, men skaber rum for at man selv kan implementere de sikkerhedsløsninger, der passer til ens produkt. Standarden fremhæver således ”Security by design” som et vigtigt princip, når der udvikles IoT forbrugerprodukter.

Er standarden relevant for dig? 

Standarden er relevant for producenter af forbrugerprodukter, der kan kobles til internettet. Standarden kan dog også anvendes som inspiration for andre, der arbejder med cybersikkerhed og IoT generelt.

Hvordan anvendes standarden?

Standarden kan anvendes som en tjekliste af producenterne til at sikre produkternes cyber- og informationssikkerhed. Standarden indeholder blandt andet et skema, som producenter kan
anvende til en praktisk gennemgang af deres produkter.

Derudover er hver af standardens temaer suppleret med konkrete eksempler, som gør det lettere for producenter at relatere standarden til deres praktiske arbejde med at sikre deres produkter.

Det forventes, at standarden kommer til at danne grundlag for det fremtidige arbejde med en certificeringsordning i regi af EU’s Cybersecurity Act.


Mere information

 

Hvordan kommer jeg videre?

De fleste organisationer vil kunne finde nyttig inspiration og vejledning i standarderne, som kan forbedre deres cyber- og informationssikkerhed, også uden at følge standarderne fra ende til anden. Alle standarderne kan købes i Dansk Standards webshop. Dansk Standard tilbyder desuden kurser og rådgivning i de fleste af de beskrevne standarder.

Behov for hjælp til de mange begreber?

Den engelsksprogede version af terminologistandarden ISO/IEC 27000 kan downloades gratis via dette link på ISO’s hjemmeside. I denne standard kan du blive klogere på terminologien og definitionerne, der ligger til grund for ISO/IEC 27000-seriens ledelsessystem for informationssikkerhed. Hvis du ønsker standarden med danske oversættelser, kan den købes i vores webshop, hvor du selvfølgelig også finder de øvrige beskrevne standarder.

Mere om certificering

Certificering kræver en ekstern auditering, hvor organisationens efterlevelse af standardens krav gennemgås i dokumentationsform og med et fysisk besøg. Dansk Standard certificerer ikke, men bidrager gerne med rådgivning og viden om certificering.

Dansk, europæisk eller international standard?

De internationale standarder (ISO/IEC), er alle udgivet som danske standarder, der er fuldstændig identiske med de internationale. De har på Dansk Standards webshop derfor betegnelsen ”DS ISO/IEC” foran nummeret på standarden. Flere af standarderne er oversat til dansk - hvilke fremgår af webshoppen. Nogle af standarderne er ligeledes identisk implementeret på europæisk niveau, og har derfor også tilføjet “EN” i titlen; DS EN ISO/IEC. Den europæiske implementering betyder, at ingen EU-lande må have nationale standarder, der er overlappende eller i modstrid med de internationale standarder.

 

Hvis du har spørgsmål, er du altid velkommen til at kontakte vores informationscenter.

 

Dansk Standard har et udvalg for cyber- og informationssikkerhed, hvor medlemmerne får indsigt i kommende standarder og mulighed for at påvirke det internationale standardiseringsarbejde. Du kan læse mere om udvalget her.

 

Klik her for at downloade al information om standarder for cyber- og informationssikkerhed i én samlet fil.

Kontakt

Astrid Bækby Knudsen
Astrid Bækby Knudsen Standardiseringskonsulent | Standardisation Consultant
Sekretariater, udvalg og netværk II
E: abk@ds.dk
T: 39966206
Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: baa@ds.dk
T: 39966296
Kim Skov Hilding
Kim Skov Hilding Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: ksk@ds.dk
T: 39966217

Løsningen kan tilgås via browsere fra Google Chrome, Safari, Firefox og Microsoft Edge, men ikke fra Internet Explorer 11.