OECD vil øke sikkerheten

Organisasjonen for økonomisk samarbeid og utvikling, OECD, har anbefalt nye retningslinjer for it-sikkerhet.

De nye retningslinjene, som ble godkjent som anbefaling av OECD-rådet i juni, ble denne uken offentliggjort. "Guidelines for the Security of Information Systems and Networks" er den første oppdateringen av organisasjonens retningslinjer for it-sikkerhet på ti år.

Allerede i tittelen ligger en endring; nettverkssikkerhet har fått større betydning. De nye retningslinjene er ment å ta høyde for at vi er blitt i stadig større grad avhengige av informasjonsnettverk og et mer alvorlig trusselbilde mot disse.

Grunnleggende for retningslinjene er å skape en sikkerhetskultur innenfor alle aspekter av informasjonssystemer; fra planlegging og design til vanlig bruk. Videre at denne sikkerhetskulturen finnes fra regjeringer og bedrifter ned til den enkelte bruker.

OECD sier at de håper retningslinjene kan bidra til økt internasjonalt samarbeid selv om reglene ikke er bindende. USA har allerede sagt at de vil bli benyttet som grunnlag for et antall sikkerhetsprosjekter.

OECD opererer med ni prinsipper for hva IDG News kaller deltakere i informasjonssystemer:

· Bevissthet. Alle deltakere må være oppmerksomme på nødvendigheten av sikkerhet i informasjonssystemer og nettverk og hva de kan gjøre for å forbedre den.
· Ansvar. Alle deltakere er ansvarlige for sikkerheten til informasjonssystemer og nettverk.
· Respons. Deltakere må handle i rimelig tid og samarbeide for å forhindre, oppdage og handle i forhold til sikkerhetshendelser.
· Etikk. Deltakerne må respektere andres lovlige interesser.
· Demokrati. Sikkerhet i informasjonssystemer og nettverk må sammenfalle med vesentlige verdier i et demokratisk samfunn.
· Risikovurdering. Deltakerne må foreta risikovurderinger.
· Design og gjennomføring av sikkerhet. Deltakerne må bygge inn sikkerhet som et vesentlig element i informasjonssystemer og nettverk.
· Sikkerhetshåndtering. Deltakerne må ha en omfattende tilnærming til håndtering av sikkerhet.
· Revurdering. Deltakerne må vurdere og revurdere sikkerheten i informasjonssystemer og nettverk, og gjøre nødvendige endringer i sikkerhetspolicy, praksis, tiltak og prosedyrer.

http://www.oecd.org/pdf/M00033000/M00033182.pdf