AR 4.2: Anvend fælles arkitektur for informationssikkerhed

Forudsætningen for, at der kan skabes sammenhængende brugerrejser og tværgående arbejdsprocesser og datadeling på tværs af domæner, er, at sikkerhed håndteres på en sammenhængende måde, herunder at håndtering af brugerrettigheder, sikkerhedsprocesser, sikkerhedsmodeller og infrastrukturkomponenter er sammenhængende og interoperabel.

Arkitekturregel

Det betyder at:

Projekter tager udgangspunkt i den fællesoffentlige referencearkitektur for brugerstyring, der fastsætter rammerne for, hvordan offentlige myndigheder skal arbejde med digital brugeradministration og adgangskontrol.
Projekter sikrer, at der ved tværgående processer aftales og anvendes sikkerhedsmodeller, der håndterer sikkerhed på tværs af domæner.
Sikkerheden defineres sammen med det enkelte forretningsobjekt og håndhæves i de enkelte it-løsninger*.

*) Kommunal tilføjelse til de fællesoffentlige arkitekturprincipper og regler fra Hvidbogen om Fællesoffentlig Digital Arkitektur 2017, Digitaliseringsstyrelsen

Arkitekturreglen i praksis

I dag håndterer man traditionelt sikkerhed ved at sikre systemer i helhed. Der kan dog være fordele ved at sikre hvert enkelt forretningsobjekt selvstændigt, så sikkerhed drejer sig mere om sikring af de forretningsobjekter som systemerne forvalter, UANSET hvilket system, der forvalter det.

Eksempelvis opstår der sager i mange fagsystemer, og deres sikkerhed defineres af de systemer, som opretter og håndterer sagerne. Når de samme sager så anvendes, eksempelvis i SAPA, opstår et stort problem med at sikre den samme sikkerhed på de samme sager, når sikkerheden går på SAPA-systemet og ikke ”arves” fra de sager, som SAPA forvalter.

Hele sikkerhedsperspektivet skal således bygges op igen i SAPA-regi. Hvis sikkerheden fulgte forretningsobjektet (sagen), og den kunne afprøves fra SAPA (eller et andet system), ville man opnå en større ensartethed i håndteringen af informationssikkerheden.