Artikel top billede

Topsecret: Så sikker skal politiets it-leverandør være

Krig, kriser og arbejdsnedlæggelser er ingen undskyldning, når det gælder politiets klassificerede "betroede netværk".

Læs også:
Så mange landsdækkende it-systemer har politiet

Politiet inviterer it-leverandører: Udbyder flere CSC-opgaver

It-leverandører, der gør sig håb om at levere til politiet, skal leve op til en stribe sikkerhedskrav.

Det fremgår af et bilag til en invitation fra politiet til landets it-firmaer vedrørende et kommende udbud af politiets it-drift.

"Politiet har afgørende betydning for det danske samfund. Leverandører forpligtes derfor til at indgå en beredskabsaftale om drift og vedligeholdelse i tilfælde af eksempelvis arbejdsnedlæggelser, kriser og krig," skriver politiet i bilaget.

Gælder rigets sikkerhed

Samtidig anses en del af systemerne "... som udgangspunkt for at være kritiske i forhold til Rigets sikkerhed".
 
Derfor skal kommende driftsleverandører kunne opfylde kravene i den fællesstatslige standard for it-sikkerhed DS-484-2005 (Dansk Standard for Informationssikkerhed), "herunder både almindelige og skærpede krav".

Og efter overgangen til ISO 27001 skal driftsleverandørerne kunne opfylde kravene i denne standard, forlanger politiet yderligere.

Samtidig kræver man særskilt albuerum, hvor en normal cloud-løsning ikke ser ud til at passe.
 
"Politiets systemer og data skal være afsondret fra leverandørernes øvrige systemer og data i form af separat drifts-, vedligeholdelses- og overvågnings-miljø," skriver politiet i bilaget. 
 
Skal sikkerhedsgodkendes af PET
Som en selvfølge skal it-folkene være godkendt af PET.

"Leverandørernes, eventuelle underleverandører samt tilknyttet personale skal være sikkerhedsgodkendt, ligesom opgaver vedrørende klassificerede netværk og data, alene må udføres af personer med den nødvendige sikkerheds-godkendelse," skriver politiet. 

Endvidere håndterer Rigspolitiets systemer personfølsomme data og skal derfor naturligvis også overholde sikkerhedskravene i Persondataloven, fremgår det.

Endelig røber politiet lidt om den interne sikkerhedsopbygning.

"Der er adgang til eksterne systemer via dedikerede linjer og VPN-tunneller," skriver politiet.

Klassificeret netværk

Der er opsat servere hos både de eksterne samarbejdspartnere og hos politiet samt specifikke routere til håndtering af datakommunikationen, oplyser politiet i bilaget.

"Løsningen er valgt ud fra et krav om at sikre politiets betroede netværk bedst muligt mod eksterne trusler," skriver politifolkene.
For politiets betroede netværk er nemlig klassificeret, jævnfør Statsministeriets cirkulære nummer 204 af 7. december 2001, fremgår det.

Det skal en it-leverandør også overholde i fremtiden.

"Fremtidig integration med eksterne systemer ønskes af sikkerhedsmæssige årsager ligeledes løst som ovenfor beskrevet," skriver politiet.

Læs også:
Så mange landsdækkende it-systemer har politiet

Politiet inviterer it-leverandører: Udbyder flere CSC-opgaver




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere