Informationssäkerhet - en översikt

Slides:



Advertisements
Liknande presentationer
Region Värmland Kunskapsutveckling i Socialtjänsten REGIONALA STÖDSTRUKTURER i ett större sammanhang.
Advertisements

Målstyrning utifrån Lag om skydd mot olyckor
Att utveckla barns förståelse med hjälp av återberättande
En bild av debatten Vårdskandaler Vinster
Informationssäkerhet – en patientsäkerhetsfråga
Nyttorealisering på 10 min
Hantering av forskningsdata Birgitta Bergvall-Kåreborn Professor i Informatik.
En introduktion till Datakommunikation och Säkerhetstänkande
En introduktion till ’Hård Infrastruktur’
Frågor Allmän IT-kunskap avsnitt 1 kapitel 1 Repetition 4
Utveckling av Er IT-miljö Hjälp med datorproblem Allmän IT-support.
Informationshantering
Sammanfattning Vi gjorde ett studiebesök i Kista Service Hus. Två pensionärer pratade om problem i deras vardagsliv. Utifrån det tänker vi skapa en digital.
Så skapar du en spänstigare It-infrastruktur! Per Bergman, IT-arkitekt
OPERATIVSYSTEM OCH PRAKTISK LINUX Föreläsning 6 – Vecka INNEHÅLL  Hantering av användarkonton och användargrupper  Användning av Sudo för delgering.
Trådlös (o)säkerhet Vanliga missuppfattningar Det krävs dyr utrustning Vi har inte trådlös access Vi är säkra för vi använder kryptering Vi är säkra för.
Processer P r o resurser c styrning e s mätning förbättring mål
Skapa förutsättningar för e-arkiv och ett digitalt informationsflöde
Juridik och beslutsstöd - vad gäller?
Nyttobeskrivning för pågående gemensamma IT-insatser i VG
IT i Sverige 2009 Kort introduktion
En introduktion till Datakommunikation och Säkerhetstänkande
Introduktion till IT och e-Tjänster Delkurs 3 1 Datorer i Nätverk En introduktion till ’Hård Infrastruktur’ DEL 6.
Informationssäkerhet Helsingborgs lasarett
Checklista Identitetshanteringssystem för SWAMID 2.0
Handlingsprogram enligt LSO
Mina meddelanden Juridik & Informationssäkerhet Jeanna Thorslund Jurist Center för eSamhället.
OPERATIVSYSTEM OCH PRAKTISK LINUX Föreläsning 9 – Vecka
Positiv Livskraft © Att komma dit du vill
Databaser ©Ulrik Mårtensson, Naturgeografiska Institutionen, Lunds Universitet och StrateGIS, Skåne Län.
Systematiskt kvalitetsarbete i våra kommuner
Program för god äldreomsorg Att bygga infrastruktur för socialtjänsten.
Säkerhetschef/informationssäkerhetschef
IT-säkerhet Gästföreläsning av Christian Ohlsson 2011.
Anslutning till Mina meddelanden
© Anders Ingeborn, Infosec 2000 Penetrationstester Att bryta sig in i andras datorer.
Pass 3 Allmän IT Mjukvara IT-samhället Datasäkerhet Ergonomi
Offentlig sektors ramavtal för ärendehanteringssystem
Fullmäktiges revisionsenhet (REV) Håkan Skyllberg, BDO Direktionens säkerställande av IT- säkerhetsskyd d PROTOKOLLSBILAGA C Fullmäktiges protokoll ,
1.1. TechNet Security Summit 2004 Security Framework ”Introduktion av ”Security in Depth” Marcus Murray.
Kapitel 10 (i ISO27002) - Från dröm till verklighet Jaak Akker
Strukturering av informationssystem Föreläsningsunderlag
Jonny Karlsson PROCESSPROGRAMMERING Föreläsning 8 ( )‏ Innehåll:  Introduktion till Java EE (Enterprise Edition)  Enterprise Java Beans.
Samma musik men olika teknik Tekniken byts ungefär vart femte år. Informationsinnehållet har oftast en livslängd som är 25–30 år, ibland ännu längre. Besluten.
PROJEKT Projektkurs - DA7075 VT04.
Föreläsning om RUP RUP – Rational Unified Process
Basic Security (Grundläggande säkerhet) Using Firewalls (Brandväggar)
Region Skåne Dialogmöte privata vårdgivare
Hur skapar vi robusta välfärdstjänster? Samhället förlitar sig allt mer på nätinfrastrukturen. Vad finns det för risker med detta och hur skapar vi robusta.
Informationssäkerhet + arkiv = sant? Johan Andersson, Mälardalens högskola
Datasäkerhet 1.Skydda informationen – Ändra, förstöras eller kopieras 2.Säkerställa driften – Se till att program, datorer, servrar, nätverk och kommunikation.
9:1 Kopiering tillåten. M2000 Compact © Liber AB Marknadsplanens delar Nulägesanalys – Var står vi och vad innebär nuläget för oss? Mål – Vart vill vi?
Introduktion till kontinuitetshantering
IT och medier1 Utgående från boken Computer Science av: J. Glenn Brookshear Grundläggande datavetenskap, 4p Kapitel 3 Operativsystem.
Introduktion till The Rational IT Model
Vad är informationssäkerhet?
Vägledning 5 steg för att följa Dataskyddsförordningen
Vi är din IT-avdelning Alla storföretag har IT-avdelning / IT-chef. Mindre företag har inte resurser till samma lösningar. Vi erbjuder småföretag samma.
Säkerhet - Vad ni kan göra
Från databas till Excel
SLL om tjänster för det kommunala området
Dataskyddsförordn ing GDPR- ny lag som gäller
Informationssäkerhet – en möjliggörare för att uppnå verksamhetens mål
I offentlighetens tjänst
INFORMATIONSSÄKERHETSPROGRAM 2020
Intern styrning och kontroll
Om publiceringssystem, lektion ett
Förbättra klubbkvalitet
Dataskyddsutbildning för avdelningar 2018
Presentationens avskrift:

Informationssäkerhet - en översikt Louise Yngström, DSV

Informationssäkerhet? Närmaste 50 minuterna... Informationssäkerhet? Definition Mål Krav Medel

Datasäkerhet säkerhet beträffande skydd av datorsystem och dess data syftande till att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling

IT-säkerhet säkerhet beträffande skydd av IT-system och dess data syftande till att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling samt dator- och telekommunikation

Informationssäkerhet säkerhet beträffande skydd av informationstillgångar syftande till att uppräthålla önskad sekretess, riktighet och tillgänglighet (även spårbarhet och oavvislighet) för desamma

Informationstillgångar en organisations informationsrelaterade tillgångar, vilka utgör ett värde och därmed är skyddsvärda Exempel på informationstillgångar är: Information (kunddatabas, metodik, dokument, etc.) Program (applikation, operativsystem, etc.) Tjänster (Internetförbindelse, elförsörjning, etc.) Fysiska tillgångar (dator, bildskärm, telefon, etc.) Informationstillgångar kan vara av fysisk eller logisk karaktär, eller bådadera.

Definition: informationssäkerhet Säkerhet vid hantering av information, oavsett medium, syftande till att upprätthålla tillfredsställande tillgänglighet, sekretess och riktighet.

Informationssäkerhetsarbetet i företag Granskning Utveckling Införande

Mål med informationssäkerhet Tillgänglighet Sekretess Informationskvalitet Spårbarhet Oavvislighet

Mål med informationssäkerhet Behörig mottagare Obehörig mottagare Organisation Tillgänglighet Sekretess IT-system Information riktighet Oavvislighet Spårbarhet Behörig sändare Obehörig sändare

Varför informationssäkerhet? Organisationer existerar för att uppnå ett mål. För att nå målet har man en övergipande plan - en strategi. Strategin bryts sedan ned i mer konkreta aktiviteter som måste utföras om målet skall nås - processer. Dessa processer måste försörjas med information för att fungera, och ofta sker det med hjälp av IT-system. Informationssäkerhet behövs således för att tillse att processerna verkligen får den information de behöver för att kunna utföras (tillgänglighet), samtidigt som informationen är inte kommer obehöriga till del (sekretess). Informationen måste även vara riktig och fullständig (informationskvalitet), annars kan kan den medföra felaktiga beslut eller ineffektivitet i processerna. Information IT-system Processer Strategi Mål

Krav på informationssäkerhet Skydd Organisation IT-system Verksamheten (interna krav) Hot (externa krav) Information Legala krav

Verksamhetens krav (interna krav) Informationssäkerheten i organisationen skall utgå från verksamhetens behov av informationsförsörjning. Nivån på informationssäkerheten skall avpassas så att man inte spenderar för mycket resurser på säkerheten samtidigt som man tillgodoser behovet av tillgång till riktig och fullständig information. En affärsberoendeanalys kan identifiera dessa krav.

Krav på grund av hot / risk (externa krav) Informationssäkerheten i organisationen skall beakta de hot och risker som finns mot verksamheten. En riskanalys kan identifiera dessa krav. Kostnaden för skyddet måste balanseras mot värdet av de informationstillgångar (information, datorer, mm.) som skall skyddas.

Legala krav Informationssäkerheten i organisationen måste beakta de lagar och förordningar som gäller beträffande informationshantering. Dessa ställer bland annat krav på skyddet av redovisnings- och individrelaterad information.

Med vilka medel kan informationssäkerhet uppnås? ”Sociala kontroller”: Utbildning, företagskultur, indoktrinering, mm. Administrativa kontroller: Informations-säkerhetspolicy, regler, rutinbeskrivningar, mm. Fysiska kontroller: Säkerhetsdörr, inbrottslarm, brandlarm, övervakningskamera, mm. Tekniska kontroller: Brandvägg, behörighetskontrollsystem (loginfunktion), intrångsdetekteringssystem, mm.

Sammanfattning Definition: Med informationssäkerhet menas säkerhet vid hantering av information, oavsett medium, syftande till att upprätthålla tillfredsställande tillgänglighet, sekretess och informationskvalitet. Mål: Det man vill uppnå med informationssäkerhet är tillfredsställande tillgänglighet, sekretess, informationskvalitet, spårbarhet, oavvislighet. Vad som anses vara tillfredsställande beror i sin tur på vilka krav som ställs: Krav: Det finns tre olika källor som ställer krav på informationssäkerheten, och dessa är a) verksamheten (interna krav), b) riskmiljön (externa krav), samt c) legala krav. Medel: För att svara upp mot dessa krav, och för att uppnå målet kan organisationen använda sig av fyra kategorier av medel, nämligen sociala, administrativa, fysiska, samt tekniska kontroller.

Nivåer av logisk åtkomst Användare Operativsystem Applikation Databashanterare Information

Vägen till informationen Användare Användare kan ofta komma åt data utan att passera den tänkta stigen för åtkomst. Ofta spelar BKS på olika nivå ut varandra i praktiken. Operativsystem Applikation Databashanterare Information

Exempel: Åtkomst till databas via filhanteraren

Problem som kan uppstå Användare kan skriva (radera!) och läsa i hela databasen med redovisningsinformation med hjälp av annan databashanterare (via MS Access), trots att de i applikationen endast har behörighet till givna funktioner eller konton. Användare som uttryckligen tagits från rättigheter till access till redovisningsdata i operativsystemets inställningar har trots detta tillgång till data eftersom redovisningsapplikationen arbetar med en egen användarprofil. Informationssäkerheten måste därför angripas från ett helhetsperspektiv

Kurser inom programmet: åk2: Intro till datasäk, 2I1030, 4p identifikation, autentisering & accesskontroll kryptering OS, DS, WWW, Nätverk & DB säkerhet syfte: introducera

Senare kurser Säkerhetsprotokoll & applikationer i nät arkitektur, tjänster & mekanismer tillämpningar & modeller Säkerhetsarkitektur för öppna distribuerade system tillämpningar & protokoll modeller för integrerade lösningar, sp smarta kort Java-miljöer och e-handel aktuell forskning och tillämpning Ytterligare kurser kan tillkomma

Ett exempel: ”Svenska storbanker inte pålitliga”. Hackare knäckte säkerhetskoderna, DI 020827, sid 48 Är det sant? Varför rapporterar media så?