IT-SÄKERHETSARKITEKTUR EN VÄGLEDNING FÖR ELBRANSCHEN MED TYPEXEMPEL OCH REFERENSLÖSNINGAR

Storlek: px
Starta visningen från sidan:

Download "IT-SÄKERHETSARKITEKTUR EN VÄGLEDNING FÖR ELBRANSCHEN MED TYPEXEMPEL OCH REFERENSLÖSNINGAR 2015-03-15"

Transkript

1 IT-SÄKERHETSARKITEKTUR EN VÄGLEDNING FÖR ELBRANSCHEN MED TYPEXEMPEL OCH REFERENSLÖSNINGAR

2 Förord En väl fungerande elförsörjning är en nödvändig förutsättning för ett modernt samhälle. Företag verksamma inom elförsörjningen utsätts varje dag för olika slags angrepp. Det handlar om bl.a. inbrott och skadegörelse men också i ökande utsträckning om IT-angrepp. Eftersom nästan all informationshantering och processtyrning i dag sker med stöd av IT är det viktigt att svenska elföretag utformar sina IT-lösningar på ett säkerhetsmässigt bra sätt. Denna vägledning syftar till att stödja säkerhetsarbetet hos elföretagen i Sverige, så att risken för otillbörlig påverkan på kritiska system kan minimeras. Vägledningen ger exempel på hur en IT-arkitektur kan utformas för att uppnå en god säkerhetsnivå en IT-säkerhetsarkitektur. Min förhoppning är att vägledningen ska inspirera till utformning av robusta och säkra IT-lösningar. Den kan med fördel användas både i samband med utveckling av nya ITsystem och vid ändringar eller nyinstallationer där man vill skydda funktioner som är kritiska för verksamheten. Jag vill tacka alla som deltagit i arbetsgruppen, referensgruppen och övriga som lämnat värdefulla bidrag för att vägledningen ska bli ett praktiskt användbart hjälpmedel i det fortsatta säkerhetsarbetet. Sundbyberg i februari 2015 Mikael Odenberg Generaldirektör 1/120

3 2/120

4 Innehåll 1 Sammanfattning Dokumentets struktur Målgrupp Avgränsningar Arbetsform för framtagande av rapporten Bakgrund Definitioner Vad är en IT-arkitektur? Vad är en IT-säkerhetsarkitektur? Samband ledningssystem för informationssäkerhet och en säkerhetsarkitektur Sambandet IT-arkitektur och en säkerhetsarkitektur Sambandet säkerhetsarkitektur och informationsklassning Samband säkerhetsarkitektur och risk- och sårbarhetsanalys Behov Behov av uppfyllnad av formella krav Behov av att uppfylla organisationens säkerhetskrav Behov av effektivisering och rationalitet Behov av att skydda interna informationsresurser Behov av att skydda externa informationsresurser Skydd av informationsresurser som köps som tjänst av externa parter Krav Modeller Enterprise information security architecture TOGAF /120

5 4.3 Open Security Architecture SABSA Andra modeller, ramverk och ledningssystem LIS, ISO/IEC CSMS, IEC Jämförelser mellan modeller Tekniska lösningar Arkitekturkomponenter Tidssynkronisering Logginsamling och loggbearbetning Autentiseringstjänster Katalogtjänster Mjukvaruuppdateringar Övervakning, larm och uppföljning Nätverkssäkerhet Nättopologiska säkerhetsfunktioner Nätverkskrypteringslösningar Fjärråtkomst Nätverksmässig zonindelning Identitetshantering och behörighetskontroll Lösenord och lösenordsfraser System baserade på publika nyckellösningar, PKI Avancerade och federerade identitetstjänster Skydd av information Krypteringslösningar för överförd information Krypteringslösningar för sparad information Andra säkerhetskontroller Icke-tekniska lösningar Inventering av informationstillgångar Klassning av information Risk- och sårbarhetsanalys Säkerhetsanalys Säkerhetsgranskningar /120

6 6.5.1 Säkerhetstester Implementationsfrågor SOC, security operations centre Vanliga problem och utmatningar Problem med skydd mot skadlig kod Problem med nätverksmässig åtkomstkontroll Problem med patchhantering Problem med PKI och certifikathantering Problem med brandväggar Problem med zonmodeller Problem med testning Problem med loggning, logghantering och spårdata Problem med hantering av komponenter utan egen säkerhet Översikt över IT-funktioner som finns i ett elföretag Referensarkitekturer Allmän översikt Referensmodell med uppdelat nät Typfall för fjärråtkomst Open Security Architecture Open Security Architectures generella modellösning Open Security Architectures modellösning för serversäkerhet Open Security Architectures modellösning för en brandvägg med DMZ Open Security Architectures modellösning för industriella kontrollsystem Open Security Architectures modellösning för avancerad övervakning och detektering IEC /120

7 10 Uppslagsord Referenser Sakregister /120

8 Lista över figurer Figur 1 Beskrivning metamodell som förklarar relationen mellan säkerhetsarkitektur och andra storheter Figur 2 Översiktligt landskarta...17 Figur 3 Översiktsbild som beskriver allmänt hur arkitekturer inom verksamhet, information och teknik förhåller sig till varandra Figur 4 Lanskapsöversikt säkerhetsarkiktektur, enligt OSA Figur 5 Översiktsbild av SABSA-ramverket Figur 6 Översiktsbild av tidsserver uppsatt så att denne skickar synkroniseringsmeddelanden till via nätverket Figur 7 Översiktsbild av loggserver uppsatt så att andra servrar skickar loggar och spårdata via nätverket Figur 8 Översiktsbild av larm- och övervakningserver uppsatt så att andra servrar skickar larm via nätverket Figur 9 principbild av hur en brandvägg fungerar Figur 10 brandväggsbild Figur 11 brandväggsbild som visar en brandvägg som används internt i organisationen för att skilja mellan koncernnätet och känsliga nätverk, i detta fall ett processkontrollnätverk Figur 12 Översiktsbild åtkomstkontroll på nätverksnivå Figur 13 Översiktsbild över nätbaserade intrångsdetekteringssystem Figur 14 Översiktsbild över nätbaserade intrångspreventeringssystem Figur 15 Översiktsbild av VPN-lösning Figur 16 Översiktsbild av VPN-lösning där kryptotunneln är etablerad Figur 17 Översiktsbild av VPN-lösning där kryptotunneln är etablerad mellan klient med VPN-programvara och en VPN-gateway Figur 18 Översikt av en koncentrisk zonmodell Figur 19 Översikt av en koncentrisk zonmodell Figur 20 Översikt av Burtons zonmodell Figur 21 Översikt av zonmodell där även regelverket för informationutbyte mellan zoner beskrivs Figur 22 Översikt av PKI-lösning Figur 23 Översikt uppdelning av nätverk och interna skydd i form av brandväggar Figur 24 Översiktsbild lokala fjärranslutningsmöjligheter ute i anläggningar Figur 25 Översiktsbild lokala fjärranslutningsmöjligheter ute i anläggningar Figur 26 Översiktsbild generell modellösning Figur 27 Översiktsbild modellösning för serversäkerhet /120

9 Figur 28 Översiktsbild modellösning DMZ Figur 29 Översiktsbild modellösning för industriella kontrollsystem Figur 30 Översikt av typmodellen för avancerad övervakning och monitorering /120

10 1 Sammanfattning Att samhällsviktiga funktioner, såsom elförsörjning, är potentiella mål för olika typer av angripare är inget som någon idag ifrågasätter eller har anledning att ifrågasätta. Vid en väpnad konflikt är attacker mot infrastruktur ett sätt att skada sin fiende, ofta med vapenmakt. Vid många andra typer av konflikter kan alternativ till väpnade attacker eller fysiska angrepp vara en lyckad väg framåt uppdagade det sig för världen att IT-angrepp mot industriella kontrollsystem med hjälp av den skadliga koden Stuxnet 1 hade varit framgångsrikt. Detta visar på sårbarheten i våra kritiska system och den typ av system som utgör våra samhällsviktiga funktioner. Sårbarheterna måste åtgärdas och någon typ av skyddsfunktioner och säkerhetskontroller måste etableras. För att uppnå en viss nivå av grundskydd i sin IT-miljö och det ekosystem av infrastruktur, system och applikationer denna miljö utgör, så måste varje organisation ha ett systematiskt säkerhetsarbete som inför och underhåller genomtänkta säkerhetsmekanismer. Detta arbete med grundskyddet kan anses utgöra en ITsäkerhetsarkitektur, kan ses som konstruktionsritningar som beskriver de bärande fundament och kritiska element som skall stötta resten av byggnaden i detta fall övriga IT-arkitekturen. Olika typer av konstruktionsritningar beskriver konceptuella, operationella, fysiska och logiska sammanhang av IT-säkerhetsarkitekturen. Målet med att ta fram denna vägledning är att kunna ge elföretagen i Sverige en verktygslåda, exempelsamling och inspirationskälla att ta del av. Den skall ge grundläggande förståelse och kunskaper om skyddsbehov, vanliga skyddsmekanismer och säkerhetslösningar för att skydda sin information och sin IT-miljö. Vägledningen kan med fördel användas innan man bygger en IT-miljö. Den kan också användas som referens när det sker ändringar, tillägg och nyinstallationer. Förutom de rent tekniska lösningarna för skyddsmekanismer så måste en säkerhetsarkitektur även innehålla väl utvecklade funktioner för löpande underhåll och förvaltning. Detta inkluderar processer, rutiner, roller med mera för att skapa lösningar för att uppgradera eller uppdatera programvara som har säkerhetsproblem, kunna hantera säkerhetskopiering, utföra löpande övervakning och detektering med mera. 1 MSB Stuxnet IT som vapen eller påtryckningsmedel https://www.msb.se/ribdata/filer/pdf/26068.pdf 9/120

11 Denna text beskriver såväl teknik som de andra aspekterna. Förhoppningen är att denna uppställning och övergripande beskrivning ger en god inblick i vad det innebär att ha en god säkerhetsarkitektur på plats. Det är viktigt att lägga fast att denna vägledning beskriver säkerhetsarkitekturens tre huvudsakliga beståndsdelar med IT-landskap, mönsterkatalog och en katalog med säkerhetskontroller. IT-landskapet får vara ett idealiserat exempellandskap. Dokumentet har en begränsad mönsterkatalog där några typfall finns beskrivna. Läsarna måste sedan för att skapa en säkerhetsarkitektur själva arbeta vidare med att vidareutveckla mönsterkataloger och kataloger med säkerhetskontroller för att anpassa till sitt IT-landskap och sina förutsättningar. 10/120

12 2 Dokumentets struktur Dokumentet består av flera delar. En inledande allmän del beskriver bakgrund, avgränsningar och allmänt om dokumentet. Dokumentet har också en mer teknisk del där IT- och informationssäkerhetsarkitekturer samt de olika komponenter som utgör dessa beskrivs närmare. Senare delen av vägledningen har olika typexempel, där olika tekniska, administrativa och organisatoriska säkerhetskontroller sätts i ett sammanhang. Då dokumentet innehåller en mängd fackord, så har det försätts med en omfattande ordlista för att underlätta för läsaren. Ordlistan finns i slutet på dokumentet. En referenslista med listningar av olika dokument, standarder, webbplatser mm finns i senare delen av dokumentet. I slutet av dokumentet finns ett sakregister som underlättar för läsaren att hitta information efter nyckelord, uppslagsord eller begrepp som används i vägledningen. 2.1 Målgrupp Målgrupperna för denna vägledning är säkerhetsansvariga, säkerhetsskyddschefer, ITchefer, IT-ansvariga, systemutvecklare, nätverksansvariga och projektledare inom ITområdet. Andra som arbetar med säkerhetsfrågor, IT-området eller processkontroll har också nytta av vägledningen. 2.2 Avgränsningar Dokumentet är avsett att ge en första bred överblick. Därmed är det inte en fördjupning inom vart och ett av de områden eller teknologier som beskrivs, då det i så fall snarare hade blivit en lärobok inom hela området IT- och informationssäkerhet. Inte heller sätter detta dokument några specifika nivåer på de krav som ställs. Detta är något som organisationen och dess företrädare själva måste göra med stöd av exempelvis utfallet från tillämpliga riskanalyser. I dokumentet kan en säkerhetskomponent, exempelvis en brandvägg, beskrivas, men det är läsaren utifrån sina behov, som själv måste bestämma hur denna brandvägg skall vara uppsatt och med vilka inställningar denna brandvägg skall konfigureras. 11/120

13 2.3 Arbetsform för framtagande av rapporten Rapporten är framtagen av Svenska kraftnät. Till arbetet har även MSB, Vattenfall och E.on bidragit. Huvudförfattare är Robert Malmgren. 12/120

14 3 Bakgrund Detta kapitel beskriver bakgrunden och behoven till varför en organisation behöver en IT-säkerhetsarkitektur. Kapitlet ger också en grundförståelse genom att definiera basbegrepp såsom IT-arkitektur och IT-säkerhetsarkitektur samt hur dessa relaterar till andra viktiga säkerhetskoncept. 3.1 Definitioner För att ge en bra förståelse för denna text, ges här en grundläggande introduktion till några centrala begrepp som är viktiga att förstå betydelsen av. Texten brukar även en massa andra facktermer och begrepp, vilka finns definierade i slutet av vägledningen Vad är en IT-arkitektur? En IT-arkitektur är ett metodiskt och systematiskt sätt att beskriva koncept, tekniker och modeller inom IT för att på så sätt skapa ett sammanhållande ramverk för applikationer, infrastruktur, säkerhet med mera. IT-arkitekturen, eller Enterprise Architecture, EA, som detta numera kallas, är ett sätt att organisera verksamhetsprocesser och IT-infrastruktur för att skapa (tekniska och andra) standarder och effektiva arbetssätt som går i linje med affärsstrategier, affärsmodeller och verksamhetens övergripande styrning Vad är en IT-säkerhetsarkitektur? En IT-säkerhetsarkitektur kan ses vara ett ramverk på strategisk nivå som innehåller koncept, styrande säkerhetsprinciper och en gemensam struktur för var, när och hur säkerhetsfunktioner och skyddsmekanismer införs och hur de skall förvaltas och hanteras. Denna IT-säkerhetsarkitektur är också relaterad till IT-arkitekturen så att dessa skyddsmekanismer, koncept med mera placeras på rätt ställe. Skyddsmekanismerna och säkerhetskontrollernas syfte i säkerhetsarkitekturen är att upprätthålla beslutade skyddsnivåer avseende sekretess, riktighet, tillgänglighet samt spårbarhet för den information som finns i organisationen och den IT-miljö som nyttjas. Bland de byggklossar som formar organisationens säkerhetsarkitektur finns, bland annat: > Behörighetsmodeller och behörighetssystem > Klassningsmodeller av system och information > Skydd på nätverksnivå, nättopologi, segmentering och zonmodeller 13/120

15 > Systemsäkerhet i form av processer för uppdateringar, härdning, formella säkerhetsmodeller ed mera. > Applikationssäkerhet i form av anpassade utvecklingsprocesser som även inkluderar säker programutveckling och säkerhetstestning > Loggning, larm och spårdata Dessa byggklossar består i praktiken ofta av säkerhetsprodukter eller olika tekniska arrangemang och lösningar, arrangerade på ett sådant sätt att dessa passar den egna organisationen och dess verksamhet på ett effektivt sätt. Mer konkret är säkerhetsarkitekturens byggklossar utformade från många enkla och raka säkerhetsprinciper såsom: > Försvar i djupled (eng. defense in depth) > Varierat skydd (eng. diversity of protection) > Lägsta privilegienivå (eng. least privilege) > Skydd vid källan (eng. protection at source) > Begränsningspunkter (eng. choke points) > Säkert tillstånd vid fel (eng. fail-safe) > Spårbarhet i varje steg av hanteringen Genom att skapa en övergripande säkerhetsarkitektur som utifrån dessa typer av enkla principer bygger tekniska skydd, utformar drift- rutiner eller processer, så går det att skapa en systematisk och strukturerad säkerhet i IT-landskapet, dess olika komponenter och användningsområden. Bilden Figur 1- nedan beskriver en relationsmodell och visar grafiskt på en översiktsnivå hur de olika begreppen relaterar till varandra och vad de ger för någon effekt. Bilden kan vid första anblicken framstå som komplex och kräver lite längre tid och en viss arbetsinsats för att tränga in i och förstå. Om man tar sig den tiden, så har man skapat sig en klar förståelse på de bärande tankarna, grundkoncepten, termerna och principerna. 14/120

16 Figur 1 Beskrivning metamodell som förklarar relationen mellan säkerhetsarkitektur och andra storheter Säkerhetskontroller, ibland kallade skyddsmekanismer eller säkerhetsfunktioner, är centrala begrepp för de tekniska skydden. Säkerhetsarkitekturens verktygslåda består av en katalog av färdiga säkerhetskontroller vilka kan användas alltefter behov och skyddsvärde på informationen. Säkerhetsarkitekturen omfattar olika huvudsakliga kategorier i form av: > IT-landskap eller IT-miljö, ofta beskriven i form av en landskapskarta > En mönsterkatalog > En katalog med olika säkerhetskontroller Arbetet med säkerhetsarkitekturen kan också innebära framtagandet av en hotkatalog, mot vilka säkerhetskontrollerna matchas och stäms av. Hotkatalogen är en systematisk samling som listar många upptänkliga hot som kan uppstå. 15/120

17 Denna vägledning beskriver de tre första delarna. Vägledningen har en mer utförlig katalog över säkerhetskontroller samt en begränsad mönsterkatalog där några typfall finns beskrivna. Läsarna måste sedan för att skapa en säkerhetsarkitektur själva arbeta vidare med att vidareutveckla mönsterkataloger och kataloger med säkerhetskontroller för att anpassa till sitt IT-landskap och sina förutsättningar. För en hotkatalog, mot vilka säkerhetskontroller kan stämmas av, se Svenska kraftnäts hotkatalog för elbranschen /120

18 Figur 2 Översiktligt landskarta Organisationens katalog med de av organisationen utvalda och godkända säkerhetskontrollerna är en central del av själva säkerhetsarkitekturen. Kontrollerna är sättet att översätta organisationens olika krav och policys till verkliga skyddsåtgärder som går 17/120

19 att använda inom organisationens olika skyddsmönster. Genom att ha en standardiserad uppsättning typkontroller kan dessa snabbt matchas mot de olika krav och behov som organisationen uppvisar Samband ledningssystem för informationssäkerhet och en säkerhetsarkitektur Ett ledningssystem för informationssäkerhet, allmänt kallat LIS, är ett sätt att etablera och systematiskt driva säkerhetsfrågorna med förankring hos organisationens ledning och personal. Ett LIS införs genom att skapa policys och processer samt arbetsformer och roller för att styra säkerhetsarbetet. Ett LIS och en säkerhetsarkitektur samexisterar och kompletterar varandra: > Ett LIS är den övergripande systematiken som svarar för vad som skall göras > En säkerhetsarkitektur svarar för hur det skall göras Sambandet IT-arkitektur och en säkerhetsarkitektur IT-arkitekturen, ibland kallad enterprise architecture eller dess förkortning EA, lägger grunden för de lösningsprinciper som organisationen använder för att skapa sitt ITlandskap och sina verksamhetssystem. För att få in säkerhet i denna IT-arkitektur så bör den följa en säkerhetsarkitektur som sätter upp ett regelverk för hur olika lösningar skall vara beskaffade ur ett säkerhetsperspektiv. En säkerhetsarkitektur är således något som såväl bestämmer ingångsvärden och sätter förutsättningar för ITarkitekturen såväl som att den bestämmer ett antal inskränkningar och avgränsningar Sambandet säkerhetsarkitektur och informationsklassning Andra viktiga koncept inom informationssäkerhet är klassning av information och system. Informationsklassning, på engelska kallat information asset classification, IAC, är ett sätt att bestämma informationens värde utifrån organisationens perspektiv. Informationsklassning är ofta baserat på informationens behov av konfidentialitet (skydd mot obehörig åtkomst), tillgänglighet eller dataintegritet. En säkerhetsarkitektur är naturligt knuten till organisationens informationsklassningsmodell. Det faller sig ganska naturligt att informationsklassning kan sättas i relation till säkerhetsarkitekturen genom att skapa olika säkerhetskontroller som sätts i relation till informationsklasser och nivåer av dessa klasser. Beroende på vilka krav som ställs på informationen, exempelvis höga krav på sekretess eller dataintegritet, kan olika kontroller och olika nivåer av dessa kontroller tillämpas i de fall en viss informationstyp används eller på annat vis hanteras. 18/120

20 3.1.6 Samband säkerhetsarkitektur och risk- och sårbarhetsanalys Säkerhetsarkitekturen innefattar ett antal viktiga byggklossar som ska kunna användas för att bygga säkerhetskontroller och skydd mot de hot som framkommer vid risk-, sårbarhets- eller säkerhetsanalys. Beroende på vilka risker som framkommer kan skydden behöva dimensioneras och hanteras olika. 3.2 Behov Nedan beskrivs allmänt några av de säkerhetsbehov som de flesta moderna organisationer har Behov av uppfyllnad av formella krav Inom vissa organisationer kan det finnas vissa formella krav på IT- och informationssäkerheten. Inom Sverige så finns det exempelvis vissa lagar och förordningar som påverkar att man måste ha IT-säkerhet och skydd av information och informationshanterande utrustning. Ett par exempel finns i bl.a. 31 tekniska och organisatoriska åtgärder i PuL, personuppgiftslagen (1998:204), eller i säkerhetsskyddslagen (1996:627). Andra exempel på branschkrav eller andra externa krav är internationella atomenergiorganet IAEA:s säkerhetskrav på IT-säkerhet i kärntekniska anläggningar Behov av att uppfylla organisationens säkerhetskrav För att uppfylla säkerhetskrav på informationshantering så behöver informationssäkerhet och IT-säkerhet finnas på plats. Detta sker i form av olika tekniska, organisatoriska och administrativa lösningar. Ofta finns dessa krav, lösningar och lösningsbeskrivningar dokumenterade inom en organisation. Kraven finns ibland nedbrutna och beskrivna i form av tekniska säkerhetslösningar. Ibland så har man inom en organisation standardiserat de olika tekniska säkerhetsmekanismerna och säkerhetslösningarna. Trots denna standardisering så är det inte sällan så att det finns en mängd olika lösningar vilka kommer från olika leverantörer, har olika kvalitet, kräver olika typer av underhåll och teknisk förvaltning Behov av effektivisering och rationalitet Ett annat behov är att rationalisera i floran av olika säkerhetslösningar som finns i en IT-miljö. Genom att införa en IT-säkerhetsarkitektur som standardiserar säkerheten så resulterar detta i en enhetlig miljö och därmed färre antal lösningar och funktioner vilket i sin tur leder till att det blir det lättare att förvalta organisationens säkerhetslösningar och säkerhetsmekanismer. 19/120

21 En viktig anledning till att ha en säkerhetsarkitektur med tillhörande katalog över säkerhetskontroller och mönster är att ha färdiga koncept och tekniska skydd, så att man slipper uppfinna hjulet varje gång organisationen skall göra en ny IT-lösning Behov av att skydda interna informationsresurser Det finns en mängd olika delar som informationen och bearbetningen av informationen skall skyddas mot bland annat: > Skydd mot obehörig åtkomst, > Skydd mot störningar, driftstopp > Skydd mot informationsförlust > Skydd mot manipulation av information > Skydd mot manipulation av system eller programvara Behov av att skydda externa informationsresurser Det blir allt vanligare att företag inte bara sköter sin IT internt utan att man på olika sätt lägger ut drift, köper in enstaka tjänster eller köper in hela områden (såsom nätverk och driftövervakning) som hanteras av tredje part. Några exempel på externa informationsresurser inkluderar: > XaaS (X as a service, där X exempelvis kan vara någon av nedanstående) PaaS Platform as a Service IaaS Infrastucture as a Service SaaS System as a Service BaaS Backup as a Service > Molntjänster > Projektplatser Det finns en inbyggd svårighet att helt kontrollera eller bestämma över typ av skydd, säkerhetsnivåer eller andra kvaliteter när tjänster och IT-resurser köps in i form av tjänster. Samtidigt som detta är en av poängerna med utläggning, att man delar resurser och skall uppnå olika typer av skalfördelar, så innebär det samtidigt att man har liten eller ingen insyn eller påverkan av säkerhet eller av skyddens reella utformning hos externa leverantörer av tjänsterna. 20/120

22 En IT-säkerhetsarkitektur bör i så stor utsträckning som möjligt innehålla koncept, principer och tankar som involverar även utlagd drift eller inköp av tjänster från tredje part. Detta gäller inte minst de delar som omfattar integration, informationsutbyte eller kopplingar mellan interna och externa IT-funktioner Skydd av informationsresurser som köps som tjänst av externa parter När alltmer IT-funktioner och IT-tjänster köps in och nyttjas som tjänster levererade över Internet av tredje part så behövs det ett annat tankesätt och förhållningssätt till säkerhetsfrågorna. Några exempel på sådana tjänster är moln-varianter av klassiska IT-leveranser och när vi mer och mer väljer XaaS-varianter (X as a Service). I en sådan situation finns inte längre det skydd som traditionellt utgör första linjen, det fysiska skyddet såsom exempelvis områdesskydd och skalskydd under egen kontroll. Det finns inget som omsluter och är ett heltäckande skydd. Så för att lösa detta nyuppkomna läge, där såväl information och informationsbehandlingsfunktioner i större utsträckning är under någon annans kontroll, så måste nya koncept, modeller och lösningar tas fram. Det finns olika forskningsdokument och koncept presenterade om detta sedan länge3. Det är viktigt att på principnivå att skilja på när en organisation använder en molntjänst, t.ex. kör programvara eller system i molnet som en strategi för företaget, jämfört med när en enskild medarbetare använder molnet av bekvämlighetsskäl (typ Dropbox eller icloud). Vem ansvarar för att t.ex. upphovsrättslagstiftning, PuL eller andra krav uppfylls i dessa fall? Även om styrningen och strategipåverkan är olika i de båda fallen så är det viktigt att riktlinjer är kända och följs då de även gäller för enskild användning. 3.3 Krav Vanliga krav som måste hanteras i en säkerhetsarkitektur inkluderar: > Spårbarhet > Skydd av obehörig åtkomst > Skydd mot förlust av data > Säkerhetskopiering och återställande av data 3 https://collaboration.opengroup.org/jericho/presentations/fall2007/blum.pdf 21/120

23 De säkerhetskontroller som beskrivs senare i denna vägledning ger exempel på när dessa krav har matchats med en teknisk lösning för att uppfylla kraven. 22/120

24 4 Modeller Detta kapitel beskriver olika arkitekturer och säkerhetsarkitekturer samt ger en överblick över dessa. Denna bakgrundsinformation är bra att ha när vi senare presenterar typfall. I detta kapitel beskrivs ett antal olika IT-arkitekturer och säkerhetsarkitekturer som har bäring för den övriga diskussionen och som har koppling till katalogen av säkerhetskontroller och till de referens- och exempelfall som ges i slutet av dokumentet. Detta kapitel är främst med som ett referenskapitel för att kunna ge läsaren en förståelse i hur de olika arkitekturer och ramverk som ofta används kan förhålla sig till, eller användas i, säkerhetsarkitekturen. Flera av dessa modeller har olika sätt att korrelera hur verksamhet, teknisk arkitektur och informationsarkitekturer förhåller sig till varandra. Nedanstående generella bild ger en allmän förståelse för ett enkelt och översiktligt sätt att se på detta. Notera att säkerhet är ett behov som finns inom alla de tre olika delarna. Figur 3 Översiktsbild som beskriver allmänt hur arkitekturer inom verksamhet, information och teknik förhåller sig till varandra 23/120

25 4.1 Enterprise information security architecture Analysföretaget Gartner föreslog integrerandet av säkerhetsfrågorna i de processer för Enterprise Architecture som började tas fram i stora organisationer i ett av sina s.k. research papers 4 Incorporating Security Into the Enterprise Architecture Process år Gartner har vidare arbetat med dessa koncept 5 och ramverk. Iden med EISA 6 är att knyta säkerhetsarbetet närmare de principer och koncept som används inom Enterprise Architecture, EA, samt att få till ett mer strategiskt fokus på detta säkerhetsarbete. Med BITS, Business Architecture, Information Architecture, Technology Architecture och Security Architecture, så är tanken med EISA att kunna vara det formella ramverket som skavara sammanhållande av de andra arkitekturella delarna och elementen. 4.2 TOGAF The Open Group Architectural Framework, TOGAF, är namnet på en välkänd Enterprise-arkitektur som började utvecklas i mitten av 1990-talet. TOGAF som sådant är versionsnumrerat. Den senaste version när denna vägledning skrivs är TOGAF 9. Bakom TOGAF står the Open Group, ett consortium som består av mer än 400 medlemsorganisationer. Open Group arbetar med att ta fram leverantörsneutrala standarder inom IT-området. TOGAF är en allmän arkitektur som modellerar hela organisationen och verksamheten. Eftersom TOGAF är så allmän och bred så har den inslag av säkerhet men det är inte en ren säkerhetsarkitektur, inte heller en ren IT-arkitektur. TOGAF är inte en öppen och allmänt tillgänglig standard, utan licensieras från OpenGroup-konsortiet. 4.3 Open Security Architecture Open Security Architecture, OSA 7, är ett allmänt tillgänglig och öppet ramverk för IToch informationssäkerhetsarkitektur. Bakom ramverket står en icke-vinstdrivande organisation med fritt medlemskap. 4 https://www.gartner.com/doc/488575/incorporating-security-enterprise-architecture-process 5 6 https://en.wikipedia.org/wiki/enterprise_information_security_architecture 7 24/120

26 I detta dokument så har vi använt OSA som en grund som vi utgår ifrån när vi senare i dokumentet visar på olika exempel- och referenslösningar. Valet är gjort på grund av att OSA är allmänt tillgängligt, och därmed har större möjlighet att nå ut, jämfört med andra arkitekturer som är leverantörsspecifika eller som kostar pengar för att nyttja. Nedanstående bild är en översikt av landskapet i OSA som beskriver de olika användningsfall och breda områden som utgör arkitekturen. 25/120

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet Dnr: / stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Att införa LIS. Informationssäkerhet för offentlig sektor 2015. Johan Kallum Säkerhetschef/Informationssäkerhetschef

Att införa LIS. Informationssäkerhet för offentlig sektor 2015. Johan Kallum Säkerhetschef/Informationssäkerhetschef Att införa LIS Informationssäkerhet för offentlig sektor 2015 Johan Kallum Säkerhetschef/Informationssäkerhetschef Agenda (45 min) Inledning Så här såg det ut innan vi börja Utlösande faktorer Vad vill

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 07-05-24 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 Publicerad Beslutsfattare

Läs mer

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system Stockholms läns landsting Landstingsstyrelsens förvaltning SLL Informationssäkerhet SLL IT Handläggare: Vesna Lucassi Landstingsstyrelsens innovationsberedning Ankom Stockholms läns landsting 2015-08-

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 11-09-14 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 ( rev. September

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual 3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual ,QQHKnOOVI UWHFNQLQJ,QVWDOODWLRQDY931NOLHQW 'DWRUHUVRPLQJnULHQ)DVW7UDFNPLOM $QYlQGDUHPHGNRQWRL9+6RFKGDWRUPHG:LQGRZV;3 $QYlQGDUHPHGNRQWRLDQQDQGRPlQlQ9+6HOOHUGDWRUPHG:LQGRZV

Läs mer

F6 Exchange 2007. 2013-01-16 EC Utbildning AB 2013-01-16

F6 Exchange 2007. 2013-01-16 EC Utbildning AB 2013-01-16 F6 Exchange 2007 2013-01-16 EC Utbildning AB 2013-01-16 1 Kapitel 6, Sid 303-310 Antivirus and Security EC Utbildning AB 2013-01-16 2 Dagens meny Idag: Allmän uppsäkring av system Defense in-depth Verktyg

Läs mer

Data Sheet - Secure Remote Access

Data Sheet - Secure Remote Access Data Sheet - Secure Remote Access Savecores säkra fjärranslutning Med Savecores säkra fjärranslutning kan du känna dig trygg på att ditt data är säkert, samtidigt som du sparar tid och pengar. Ta hjälp

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

Regler för användning av Riksbankens ITresurser

Regler för användning av Riksbankens ITresurser Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och

Läs mer

STYRKAN I ENKELHETEN. Business Suite

STYRKAN I ENKELHETEN. Business Suite STYRKAN I ENKELHETEN Business Suite HOTET ÄR VERKLIGT Onlinehot mot ditt företag är verkliga, oavsett vad du gör. Om du har data eller pengar är du ett mål. Säkerhetstillbuden ökar drastiskt varje dag

Läs mer

HUR MAN LYCKAS MED BYOD

HUR MAN LYCKAS MED BYOD HUR MAN LYCKAS MED BYOD WHITE PAPER Innehållsförteckning Inledning... 3 BYOD Checklista... 4 1. Val av system... 4 2. Installation och konfiguration... 5 3. Prestanda... 5 4. Valfrihet ökar upplevelsen...

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

Använd molntjänster på rätt sätt

Använd molntjänster på rätt sätt 2013-02-13 E-samhället i praktiken Använd molntjänster på rätt sätt Molntjänster kan spara pengar och göra information mer tillgänglig för kommuner och landsting. Den viktigaste bedömningen vid val av

Läs mer

Lösenordsregelverk för Karolinska Institutet

Lösenordsregelverk för Karolinska Institutet Lösenordsregelverk för Karolinska Institutet Dnr 1-213/2015 Version 2.0 Gäller från och med 2015-05-18 Sida 2 av 7 Lösenordsregelverk för Karolinska Institutet - Sammanfattning Syfte Det övergripande syftet

Läs mer

Systemkrav och tekniska förutsättningar

Systemkrav och tekniska förutsättningar Systemkrav och tekniska förutsättningar Hogia Webbrapporter Det här dokumentet går igenom systemkrav, frågor och hanterar teknik och säkerhet kring Hogia Webbrapporter, vilket bl a innefattar allt ifrån

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

GTP Info KP 081113. P-O Risberg per-ola.risberg@logica.com. Jaan Haabma Jaan.haabma@basesoft.se. 2008-11-13 GTP Info KP Inforum 1

GTP Info KP 081113. P-O Risberg per-ola.risberg@logica.com. Jaan Haabma Jaan.haabma@basesoft.se. 2008-11-13 GTP Info KP Inforum 1 GTP Info KP 081113 Jaan Haabma Jaan.haabma@basesoft.se P-O Risberg per-ola.risberg@logica.com 2008-11-13 GTP Info KP Inforum 1 GTP - FM Generell Teknisk Plattform En IT-infrastruktur som bl a tillhandahåller

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Hur gör man ett trådlöst nätverk säkert?

Hur gör man ett trådlöst nätverk säkert? Hur gör man ett trådlöst nätverk säkert? http://www.omwlan.se/artiklar/sakerhet.aspx 2010 07 30 En av de första artiklarna jag skrev på omwlan.se för ett antal år sedan handlade om säkerheten. Säkerheten

Läs mer

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhet - Instruktion för förvaltning Informationssäkerhet - Instruktion för förvaltning Innehållsförteckning 1. INFORMATIONSSÄKERHET...3 2. ORGANISATION OCH ANSVAR INFORMATIONSSÄKERHET...4 2.1 KOMMUNSTYRELSEN... 4 2.2 NÄMND OCH BOLAG... 4

Läs mer

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0 Regelverk för informationssäkerhet Omformulering av tidigare version 3.0 Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 1.3. Incidenthantering...

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet Beskrivning av infrastruktur kring RTJP 1 1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet 1.1 Nätverk och brandvägg RTJP är placerat

Läs mer

F5 Exchange 2007. 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1

F5 Exchange 2007. 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1 F5 Exchange 2007 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1 Spam Control and Filtering Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 2 Idag: Relaying Spamhantering och filtrering

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Säkerhet vid behandling av personuppgifter i forskning

Säkerhet vid behandling av personuppgifter i forskning Säkerhet vid behandling av personuppgifter i forskning Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se Först några ord om informationssäkerhet Organisationens

Läs mer

Utvärdering Kravspecifikation

Utvärdering Kravspecifikation sida 1 (5) 1 Funktion, prestanda och teknik 1.1 Allmänt 1.1.1 TCP/IP ska användas som kommunikationsprotokoll. 1.1.2 IP version 4 ska stödjas. 1.1.3 Systemet bör vara Microsoft Active Directory-aware,

Läs mer

Nätsäkerhetsverktyg utöver kryptobaserade metoder

Nätsäkerhetsverktyg utöver kryptobaserade metoder Nätsäkerhetsverktyg utöver kryptobaserade metoder Brandväggar Innehållsfiltrering IDS Honungsnät Krävd kunskap i kursen: Att dessa skyddsmetoder finns, vilka grundvillkor man kan/ska ha vid uppsättningen

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Installationsanvisning. Dokumenttyp Installationsanvisning Område Boss med delad databas

Installationsanvisning. Dokumenttyp Installationsanvisning Område Boss med delad databas Ort och datum Ort och datum Namn Namn Magnus Einarsson/+46 (0)+46 54 291742 2010-06-29 1.0 1 (5) Innehållsförteckning 3 1 Inledning 3 1.1 Introduktion... 3 1.2 Revisionshistoria... 3 1.3 Referenser...

Läs mer

LEX INSTRUKTION LEX LDAP

LEX INSTRUKTION LEX LDAP LEX INSTRUKTION LEX LDAP Innehållsförteckning LEX INSTRUKTION LEX LDAP... 1 1 INLEDNING... 1 2 INSTALLATION... 2 3 LEXLDAPSERVICE - KLIENTEN... 3 3.1 HUVUDFÖNSTER... 3 3.2 INSTÄLLNINGAR... 4 3.2.1 Lex...

Läs mer

INFORMATIONSTEKNISK ARKITEKTUR OCH INFRASTRUKTUR

INFORMATIONSTEKNISK ARKITEKTUR OCH INFRASTRUKTUR INFORMATIONSTEKNISK ARKITEKTUR OCH INFRASTRUKTUR Ämnet informationsteknisk arkitektur och infrastruktur behandlar de grundläggande processerna, komponenterna och gränssnitten i ett sammanhängande informationstekniskt

Läs mer

Vad är molnet?... 2. Vad är NAV i molnet?... 3. Vem passar NAV i molnet för?... 4. Fördelar med NAV i molnet... 5. Kom igång snabbt...

Vad är molnet?... 2. Vad är NAV i molnet?... 3. Vem passar NAV i molnet för?... 4. Fördelar med NAV i molnet... 5. Kom igång snabbt... Produktblad för NAV i molnet Innehåll Vad är molnet?... 2 Vad är NAV i molnet?... 3 Vem passar NAV i molnet för?... 4 Fördelar med NAV i molnet... 5 Kom igång snabbt... 5 Bli kostnadseffektiv... 5 Enkelt

Läs mer

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet Säkerhetsanalys The Dribble Corporation Produkt: Dribbles En elektronisk pryl Vill börja sälja över nätet Behöver utveckla nätverksinfrastuktur 19/10-04 Distribuerade system - Jonny Pettersson, UmU 1 The

Läs mer

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Verksamhetsutveckling och hur det påverkar IT-arbetet ANPASSNINGS- FÖRMÅGA Arbeta snabbt, vara följsam och flexibel 66 % av företagarna prioriterar

Läs mer

Kraftsamling 2015 IT-säkerhetsdemonstration. Angrepp mot en anläggning

Kraftsamling 2015 IT-säkerhetsdemonstration. Angrepp mot en anläggning 1 Kraftsamling 2015 IT-säkerhetsdemonstration Angrepp mot en anläggning 2 Upplägg > Kort historisk exposé > Förklaring av scenario > Demonstration > Sammanfattning av demonstration och lärdommar > Översikt

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

EBITS 2012-01-09 E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer

EBITS 2012-01-09 E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer EBITS 2012-01-09 Arbetsgruppen för Energibranschens Informationssäkerhet E-MÖTE / VIRTUELLT MÖTE 1 Syfte Syftet med detta dokument är att belysa de risker som finns med olika former av virtuella möten.

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB 2012-11-05 1

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB 2012-11-05 1 Grupp Policys Elektronikcentrum i Svängsta Utbildning AB 2012-11-05 1 Sid 1233 Vad är grupp-policys? Grupp-policys är en samling regler som hjälper till med hanteringen av datorer och användare. Mer specifikt:

Läs mer

Administratör IT-system Kursplan

Administratör IT-system Kursplan Administratör IT-system Kursplan Administratör IT-system Kursöversikt Obligatoriska kurser Kurs Poäng Advanced Enterprise System Administration 25 CCNA 45 CCNA Security 20 Drift i virtuella miljöer 20

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18 IT-Policy för Tanums kommun ver 1.0 Antagen av Kommunfullmäktige 2013-03-18 1 Inledning Tanums kommuns övergripande styrdokument inom IT-området är IT-Policy för Tanums kommun. Policyn anger kommunens

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC Checklista Identitetshanteringssystem för SWAMID 2.0 Utarbetad tillsammans med SUNET CERT och SUSEC Bakgrund För att upprätta förtroende i en federation krävs inte bara att identitetsutdelningsprocessen

Läs mer

EBITS 2013. Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

EBITS 2013. Totalförsvarets Forskningsinstitut David Lindahl Erik Westring EBITS 2013 Totalförsvarets Forskningsinstitut David Lindahl Erik Westring Demo: Hur går ett angrepp till Något förenklat på grund av tidsbrist..men bara något. Antagonistiska hot Antagonistiska hot är

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Introduktion till protokoll för nätverkssäkerhet

Introduktion till protokoll för nätverkssäkerhet Tekn.dr. Göran Pulkkis Överlärare i Datateknik Introduktion till protokoll för nätverkssäkerhet Innehåll Varför behövs och hur realiseras datasäkerhet? Datasäkerhetshot Datasäkerhetsteknik Datasäkerhetsprogramvara

Läs mer

Din manual NOKIA C111 http://sv.yourpdfguides.com/dref/824115

Din manual NOKIA C111 http://sv.yourpdfguides.com/dref/824115 Du kan läsa rekommendationerna i instruktionsboken, den tekniska specifikationen eller installationsanvisningarna för NOKIA C111. Du hittar svar på alla dina frågor i instruktionsbok (information, specifikationer,

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations Mats Ohlson Informationssäkerhet = Information security Informationssäkerhet the preservation

Läs mer

SÄKRA DIN AFFÄR VART DEN ÄN TAR DIG. Protection Service for Business

SÄKRA DIN AFFÄR VART DEN ÄN TAR DIG. Protection Service for Business SÄKRA DIN AFFÄR VART DEN ÄN TAR DIG Protection Service for Business DET ÄR EN MOBIL VÄRLD Wifi Fotgängare Idag använder vi fler enheter med fler anslutningar än någonsin tidigare. Att då kunna välja var

Läs mer

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Instruktion: Trådlöst utbildningsnät orebro-utbildning Instruktion: Trådlöst utbildningsnät orebro-utbildning Sida 2 av 19 Innehållsförteckning 1 Inledning... 3 2 Så ansluter du till nätverket orebro-utbildning... 4 2.1 Allmän information:... 4 2.2 Enkel anslutning

Läs mer

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem. 1 Jobbet har slutat vara något vi går till och det är numera något vi gör. Våra kollegor är vana att använda ny teknik hemma, de vill nu göra det på jobbet. Helst vill de dessutom jobba från sina enheter

Läs mer

EBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet

EBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet TRÅDLÖS KOMMUNIKATION Inledning En stor del av den IT-utrustning som finns på marknaden idag och som i allt större

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

Manuell installation av SQL Server 2008 R2 Express för SSF Timing Manuell installation av SQL Server 2008 R2 Express för SSF Timing Innehåll 1. Metoder att installera...1 2. Förutsättningar...2 DotNet Framework 3.5...2 MSI Installer 4.5...2 3. Hämta SQL Server 2008 R2

Läs mer

Service Level Agreement mall för kommunalt IT-stöd

Service Level Agreement mall för kommunalt IT-stöd Service Level Agreement mall för kommunalt IT-stöd v1.0-2010-11-02 Kim Weyns & Martin Höst Institutionen för Datavetenskap, Lunds Universitet Box 118, S-221 00 Lund kim.weyns@cs.lth.se Inledning Ett Service

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

EBITS 2013. Elförsörjningen i Cyberkriget. Långholmen. 13-14 november 2013 EBITS. Arbetsgruppen för Energibranschens Informationssäkerhet

EBITS 2013. Elförsörjningen i Cyberkriget. Långholmen. 13-14 november 2013 EBITS. Arbetsgruppen för Energibranschens Informationssäkerhet EBITS 2013 Elförsörjningen i Cyberkriget Långholmen 13-14 november 2013 EBITS Arbetsgruppen för Energibranschens Informationssäkerhet Program EBITS 13-14 november 2013 Onsdag 13 november (Konferensvärd,

Läs mer

RISKHANTERING FÖR SCADA

RISKHANTERING FÖR SCADA RISKHANTERING FÖR SCADA Informationsklassificering - Publik VÅR MÅLSÄTTNING Lämna goda råd Förslag på ett första nästa steg 1 VAD KOMMER VI ATT GÅ IGENOM? FAS 1 identifiera risker och förändringar FAS

Läs mer

EBITS 2008-03-10 Arbetsgruppen för Energibranschens Reviderad 2009-10-21 Informationssäkerhet

EBITS 2008-03-10 Arbetsgruppen för Energibranschens Reviderad 2009-10-21 Informationssäkerhet 2008-03-10 Arbetsgruppen för Energibranschens Reviderad 2009-10-21 Informationssäkerhet Digitala mätvärden - Riktlinjer för insamling och visning Syfte Syfte med detta dokument är att synliggöra informationssäkerhetsproblematiken

Läs mer

Instruktion: Trådlöst nätverk för privata enheter

Instruktion: Trådlöst nätverk för privata enheter Instruktion: Trådlöst nätverk för privata enheter orebro-byod Sida 2 av 21 Innehållsförteckning 1 Inledning... 3 2 Så ansluter du till nätverket orebro-byod... 4 2.1 Allmän information:... 4 2.2 Enkel

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2015/401 Riktlinjer för informationssäkerhet Medarbetares användning av molntjänster Fastställda av Säkerhetschefen 2015-03-19 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2014/1308 Riktlinjer för informationssäkerhet Säkerhetskopiering och loggning Fastställda av Säkerhetschefen 2014-11-25 Rev. 2015-03-16 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad

Läs mer

Granskning av IT-säkerhet - svar

Granskning av IT-säkerhet - svar Missiv 1(1) Kommunstyrelsens förvaltning Datum Diarienummer 2016-09-28 KS/2016:222 Handläggare Carina Åsman Tfn 0142-853 73 Kommunstyrelsen Granskning av IT-säkerhet - svar Bakgrund Revisionen har genom

Läs mer

Information Management made simple

Information Management made simple Information Management made simple Genom fullständigt stöd för dokument hantering tillsammans med inbyggd ärendehantering och nämndadministration erbjuds ett komplett informationsstöd som påtagligt underlättar

Läs mer

Till ditt skrivbord som tjänst via Internet

Till ditt skrivbord som tjänst via Internet Till ditt skrivbord som tjänst via Internet UITs koncept är enkelt och kan sammanfattas med Inga burkar. Genom att anlita oss kan du helt enkelt glömma dyra investeringar i servers och programvara. Inte

Läs mer

IT-strategi-Danderyds kommun 2010-2014

IT-strategi-Danderyds kommun 2010-2014 IT-strategi-Danderyds kommun 2010-2014 Beslutsinstans: Kommunfullmäktige Beslutsdatum: 2010-09-27 Giltighetstid: 2010-09-27 t o m 2014-12-31 Ansvarig nämnd: Kommunstyrelsen Diarienummer: KS 2010/0095 IT-strategi

Läs mer

Metodstöd www.informationssäkerhet.se 2

Metodstöd www.informationssäkerhet.se 2 Övervaka www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste alltid

Läs mer

SKOLFS. beslutade den -- maj 2015.

SKOLFS. beslutade den -- maj 2015. Skolverkets föreskrifter om ämnesplan för ämnet informationsteknisk arkitektur och infrastruktur inom vidareutbildning i form av ett fjärde tekniskt år; beslutade den -- maj 2015. Skolverket föreskriver

Läs mer

ISA Informationssäkerhetsavdelningen

ISA Informationssäkerhetsavdelningen ISA Informationssäkerhetsavdelningen Peter Nilsson, ISA N CISSP, GSLC FRA Signalunderrättelsetjänsten Drygt 600 personer Informationssäkerhetstjänsten Cirka 35 personer, sakta ökande Se även www.fra.se

Läs mer

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser Regel BESLUTSDATUM: 2014-03-24 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Lars Andersson HANTERINGSKLASS: Ö P P E N SVERIGES RIKSBANK

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Capitex dataservertjänst

Capitex dataservertjänst Capitex dataservertjänst Beskrivning Capitex dataservertjänst fungerar som en mellanhand för arbetet mellan klienterna och databasen. Detta reducerar frekvensen och storleken på den nätverkstrafik som

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

En IT-säkerhetslösning för hela verksamheten PROTECTION SERVICE FOR BUSINESS

En IT-säkerhetslösning för hela verksamheten PROTECTION SERVICE FOR BUSINESS En IT-säkerhetslösning för hela verksamheten PROTECTION SERVICE FOR BUSINESS IT-säkerhet är ett måste En fungerande IT-säkerhet är en grundläggande förutsättning för alla företag och verksamheter. Konsekvenserna

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Säkerställ er tillgänglighet Kommunikationsrapporteringsverktyg

Säkerställ er tillgänglighet Kommunikationsrapporteringsverktyg Säkerställ er tillgänglighet Kommunikationsrapporteringsverktyg Vad är Meridix Studio? Meridix Studio är ett verktyg som låter er analysera och följa upp er kommunikation via ett enkelt men kraftfullt

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

LEDNINGSÄGARMODUL. Systemkrav 1(6)

LEDNINGSÄGARMODUL. Systemkrav 1(6) Systembeskrivningar Peter Thorin Öppen 2015-12-01 C 1(6) LEDNINGSÄGARMODUL Systemkrav 1(6) Systembeskrivningar Peter Thorin Öppen 2015-12-01 C 2(6) 1. Distributionslista Dokumentet ska distribueras som

Läs mer

Kursplaner för Administartör IT-System Innehåll

Kursplaner för Administartör IT-System Innehåll Kursplaner för Administartör IT-System Innehåll Hårdvara och operativsystem (15 Yhp)... 2 Advanced Enterprise System Administration (25 yhp)... 2 Advanced Linux Security (25 yhp)... 2 CCNA (35 yhp)...

Läs mer

HSA Anslutningsavtal. HSA-policy

HSA Anslutningsavtal. HSA-policy HSA Anslutningsavtal HSA-policy Innehållsförteckning Revisionshistorik... 3 Kontaktuppgifter... 3 Övergripande dokumentstruktur för HSA... 4 1. Introduktion... 6 1.1. Översikt... 6 1.2. Terminologi...

Läs mer