Ledningssystem, produktcertifiering och elektroniska signaturer

Ledningssystem och produktcertifiering

Att åstadkomma god informations- och IT-säkerhet ställer krav på god styrning, administrativa och tekniska skyddsåtgärder. Standarderna ISO/IEC 27001 respektive 27002 (tidigare ISO/IEC 17799) med inriktning på Ledningssystem för informationssäkerhet (LIS) har fått stor framgång och är väl spridda både internationellt och i Sverige. Antalet organisationer som certifierar sig mot kravstandarden 27001 ökar i hela världen. Verva föreskrev hösten 2007 att myndigheter ska införa ledningssystem enligt standarden.

Den alltmer komplexa situationen med ökande svårigheter att faktiskt bedöma säkerhetsprodukternas effektivitet och kvalitet har skapat behov av former för varudeklaration eller certifiering. Det handlar främst om produkter för att förhindra intrång och spridning av farlig kod, det vill säga datavirus, trojaner och dylikt. Sveriges Certifieringsorgan för IT-säkerhet (CSEC) är en självständig enhet i Försvarets materielverk (FMV) som sedan 2002 ansvarar för uppbyggnad, drift och förvaltning av ett system för evaluering och certifiering av IT-säkerhet i produkter och system i enlighet med standarden ISO/IEC 15408 (Common Criteria). Arbetet drivs i samverkan mellan för närvarande 24 nationer som erkänner varandras certifikat enligt denna standard.

Elektroniska signaturer

Genom lagen (2000:832) om kvalificerade elektroniska signaturer som trädde i kraft den 1 januari 2001, genomförs EG-direktivet 1999/93/EG om ett gemenskapsramverk för elektroniska signaturer. Lagen gäller sådana certifikatutfärdare som är etablerade i Sverige och utfärdar kvalificerade certifikat till allmänheten. (För definition av en kvalificerad elektronisk signatur se lagens 2§.) I dagsläget finns ingen utgivare av kvalificerade certifikat i Sverige.

Post- och telestyrelsen (PTS) är tillsynsmyndighet för lagen om kvalificerade elektroniska signaturer. PTS har på regeringens uppdrag tagit fram rapporter om olika slags elektroniska signaturer, inte enbart kvalificerade, samt har en referensgrupp för frågor om elektroniska signaturer.

Verket för förvaltningsutveckling (Verva) ansvarar för upphandling av ramavtal för certifikat och tillhörande tjänster för elektronisk identifiering och elektroniska signaturer. Frågan om den offentliga förvaltningens användning av elektroniska signaturer hanteras av Finansdepartementet.

Europeiska nät- och informationssäkerhetsbyrån (Enisa)

Europeiska nät- och informationssäkerhetsbyrån (Enisa) inrättades i början av 2004. Byrån ska arbeta för en hög nivå på nät- och informationssäkerheten inom EU samt öka samarbetet mellan medlemsstaterna. En översyn av verksamheten genomfördes 2007 som resulterade i förslag kring Enisas framtid från kommissionen. PTS svarar för Enisa-samordning och informationsspridning om verksamhet. Sverige deltar aktivt i styrelsens arbete.

Internationellt arbete

Informationssäkerhetsfrågorna behandlas i flera internationella sammanhang. Utöver EU så deltar Sverige även i arbetet inom till exempel OECD som har tagit fram riktlinjer för säkerhet i informationssystem och nät. Arbetet inom OECD handlar nu bland annat om att försöka omsätta riktlinjerna i praktiskt arbete.

Ladda ner

OECD:s riktlinjer för säkerheten i informationssystem och nät, svensk översättning, version 4 (pdf 178 kB)

Externa länkar

Enisa
OECD

Näringsdepartementet (e-post till departementet)
Publicerad 25 mars 2008
Uppdaterad 27 mars 2008