Få styr på de tekniske minimumskrav for statslige myndigheder
De statslige myndigheder er underlagt en række minimumskrav for IT-Sikkerheden. Kravene har primært til formål at beskytte statslige IT-arbejdspladser, f.eks. mod hackerangreb og spredning af malware. Hos Comit har vi løsninger der kan hjælpe dig og din virksomhed så du kan overholde alle kravene.
Kontakt os nu
Se alle kravene fra de statslige myndigheder her
Klienter/PC’er
Frist for implementering: 1. januar 2020:
- Der skal implementeres firewall på alle klienter.
- Der skal benyttes en VPN-løsning til at gå på internettet via arbejds-PC fra eksterne netværk.
- For at undgå kompromittering af data, skal operativsystemet være sat op til at kryptere harddisken på den enkelte PC.
- Der skal implementeres endpoint-beskyttelse mod virus, malware mv. med automatisk opdatering på alle klienter.
- Klienter skal patches og opdateres regelmæssigt – både OS og applikationer.
- Det anvendte operativsystem skal være så nyt som muligt, og skal som minimum være supporteret med sikkerhedsopdateringer.
Frist for implementering: 1. juli 2020:
- Administrative rettigheder for brugere tildeles kun tidsbegrænset og med veldokumenterede behov.
Webmail
Frist for implementering: 1. januar 2020:
- Der må kun anvendes af myndigheden godkendte mail-relays med autentifikation.
- Kommunikation med mail-protokoller skal krypteres og anvende minimum TLS 1.2. Mellem statslige myndigheder stilles krav om tvungen (forced) TLS, mens der til øvrige skal sendes TLS, hvis modtager understøtter det.
- Webmail må kun anvendes udenfor myndighedens lokale netværk, hvis dette foregår vha 2FA eller via en direkte VPN-forbindelse til myndighedens netværk.
Frist for implementering: 1. juli 2020:
- DMARC REJECT policy implementeres på alle domæner tilhørende myndigheden.
Mobiltelefoner og netværk
Frist for implementering: 1. januar 2020:
- Anvend numerisk adgangskode på minimum 6 cifre eller biometrisk identifikation.
- Operativsystem og apps på mobile enheder skal opdateres regelmæssigt.
Netværk
Frist for implementering: 1. januar 2020:
- WIFI på myndighedens arbejdsnetværk skal være krypteret med minimum WPA2.
- Krav om logning, log på alle systemer og tjenester på netværksservere.
- Der skal benyttes regelmæssigt opdateret serversoftware på webservere.
Frist for implementering: 1. juli 2020:
- Der må ikke anvendes Flash på hjemmesider tilhørende myndigheden.
Websider
Frist for implementering: 1. januar 2020:
- DNSSEC skal tilknyttes alle domænenavne tilhørende myndigheden.
- Myndigheden skal anvende en sikker DNS-tjeneste eller implementere anden løsning til beskyttelse mod skadelige hjemmesider.
- Kommunikation til hjemmesider skal krypteres og anvende minimum TLS 1.2, dvs. der skal implementeres https på alle hjemmesider.