Standarder som preciserar ISO/IEC 27002

Vägledningar i den kända IT-säkerhetsstandarden kan behöva preciseras. Det kan åstadkommas med andra standarder som verktyg.

I SS-ISO/IEC 27002 finns riktlinjer för organisationer som ska vidta åtgärder för att höja informationssäkerheten, till exempel inom ramen för ett ledningssystem enligt SS-EN ISO/IEC 27001. Bland annat innehåller den en uppsättning säkerhetsåtgärder som kan användas som utgångspunkt i arbetet. Flera av dem är organisatoriska, av typen ”Ledningen bör kräva att …”. Andra är mer tekniskt och praktiskt inriktade, men även dessa är oftast ganska allmänt hållna. För att kunna genomföras kan de behöva preciseras närmare. I många fall kan man lösa det genom att komplettera med en annan standard.

Skydd av kablar

Ett exempel är säkerhetsåtgärden beträffande det som standarden kallar kablagesäkerhet. Den består av att kablage för strömförsörjning och data bör skyddas från avlyssning, störning eller skada. Därefter ges en vägledning med ett antal riktlinjer som bör övervägas. En av riktlinjerna ger rådet att kablage för strömförsörjning bör hållas åtskilda från kommunikationskablage för att förhindra störningar. Det är knappast tillräckligt preciserat för att räcka vid en upphandling. Bristen på precision löser man genom att använda en standard.

Det står en del om störningsskydd i kapitel 44 i Elinstallationsreglerna, alltså i standarden SS 436 40 00. En utförligare beskrivning finns i de båda standarderna SS-EN 50174-1 och SS-EN 50174-2 som behandlar planering, kvalitetssäkring och genomförande av installation av kabelnät för tele och data. En användbar resurs är SEK Handbok 459 för fastighetsnät, som beskriver standarderna med förtydligande kommentarer. Några andra säkerhetsrelaterade ämnen som behandlas i handboken är till exempel kabelskydd och utrymmen för olika utrustningar.

Skydd av områden

Avsnittet om fysiska skalskydd i SS-ISO/IEC 27002 är ett annat exempel. Där står att yttre tak, väggar och golv bör vara av solid konstruktion och att dörrarna bör hållas låsta. Vad det betyder specificeras i ett par delar av den europeiska standarden för datahallsutrymmen och tillhörande system, nämligen SS-EN 50600-2-1 om byggnaden och SS-EN 50600-2-5 som behandlar fysiska säkerhetssystem. I det ingår system för skydd mot intrång samt mot brand och annan miljöpåverkan.

50600-serien tar ett unikt helhetsgrepp om IT-anläggningar, och andra delar av den behandlar sådant som inomhusklimat, elförsörjning och energieffektivitet. En översikt finns i SEK Teknisk rapport 50600-99-3. Liksom den nämnda serien SS-EN 50174 och serien SS-EN 50173 om kabelnätets utformning, har den tagits fram i samarbete inom den europeiska standardiseringsorganisationen CENELEC.

Skydd av industriproduktion

I administrativa IT-system är det kanske viktigast att förhindra att personuppgifter och andra data kommer i orätta händer. I datasystem för industri och teknisk infrastruktur, kallade OT-system (Operational Technology), är det oftast viktigare att skydda produktion och miljö. För OT-system finns därför en anpassad vägledning i den internationella standardserien IEC 62443. Den kommer från IEC, ISOs äldre systerorganisation.

Flera delar av IEC 62443 har antagits som europeisk standard och fastställts som svensk standard av SEK Svensk Elstandard, som är den svenska organisationen för standardisering inom el och elektronik och angränsande områden. Genom att delta i standardiseringen inom SEK är man inte bara med i det globala nätverket inom IEC och ser vilka krav som är på väg, man kan också själv bidra och påverka kommande metoder och regler för produkter och system. Se mer på elstandard.se.