Säkerhet i Microsofts infrastruktur i molnet

Storlek: px
Starta visningen från sidan:

Download "Säkerhet i Microsofts infrastruktur i molnet"

Transkript

1 Säkerhet i Microsofts infrastruktur i molnet Den här rapporten innehåller en introduktion till Online Services Security and Compliance-teamet, som ingår i avdelningen Global Foundation Services som sköter säkerheten för Microsofts molninfrastruktur. Syftet med rapporten är att ge läsaren en inblick i hur Microsoft ser på molntjänster idag och hur företaget levererar en pålitlig molninfrastruktur. Publicerat: maj

2 Innehållsförteckning Sammanfattning... 3 Säkerhetsutmaningar med molntjänster... 4 Hur Microsoft möter dessa utmaningar... 5 Vad är Microsofts molntjänstmiljö?... 6 Online Services Security and Compliance-teamet... 6 Säker datoranvändning hos Microsoft... 7 Sekretess... 8 Säkerhet... 9 Informationssäkerhetsprogram... 9 Riskhanteringsprocesser Hanteringsprocess för affärskontinuitet Säkerhetshantering Efterlevnad av globala straffrättsliga lagar Regelefterlevnad i verksamheten Ett djupgående försvar: Defense-in-Depth Fysisk säkerhet Nätverkssäkerhet Datasäkerhet Identitets- och åtkomsthantering Programsäkerhet Granskning och rapportering av värdtjänstens säkerhet Slutsatser Ytterligare resurser

3 Sammanfattning Inom aktuell forskning om de senaste definitionerna av begrepp som molnet, molntjänster och molnmiljö har försök gjorts att identifiera vad kunder förväntar sig av molnleverantörer, och hitta sätt att kategorisera vad sådana leverantörer säger sig erbjuda. En lockande tanke i det nuvarande ekonomiska klimatet är att beslutsfattare i teknikbranschen kan spara pengar genom att köpa tjänster från en molnmiljö och därmed även hjälpa sina företag att fokusera på sin kärnverksamhet. Många analytiker anser att de nya möjligheterna för prissättning och för leverans av tjänster på internet är omvälvande för förhållandena på marknaden. De här marknadsstudierna och den efterföljande dialogen mellan potentiella kunder och tjänstleverantörer visar att många ser vissa återkommande möjliga hinder för snabb migrering till molntjänster. Framför allt var det oro över säkerhet, sekretess, tillförlitlighet och kontroll över driften som toppade listan över möjliga hinder. Microsoft inser att beslutsfattarna har många frågor kring dessa problem och ett behov av att få veta hur de hanteras i Microsofts molnmiljö, samt vad det innebär för deras egen risk och driftsbeslut. Den här rapporten visar hur en koordinerad och strategisk användning av människor, processer, teknik och erfarenhet ger kontinuerliga förbättringar av säkerheten i Microsofts molnmiljö. Online Services Security and Compliance-teamet (OSSC) som ingår i Global Foundation Services-avdelningen (GFS) arbetar vidare med de säkerhetsprinciper och processer som Microsoft tagit fram under många års erfarenhet med att hantera säkerhetsrisker i traditionella utvecklings- och driftsmiljöer. 3

4 Säkerhetsutmaningar med molntjänster IT-branschen står inför många utmaningar som medföljer möjligheterna med molntjänster. I mer än 15 år har Microsoft hanterat följande utmaningar med att leverera tjänster på internet: De molnbaserade affärsmodeller som nu utvecklas skapar ett allt större ömsesidigt beroende mellan offentlig och privat sektor och de människor de betjänar Dessa organisationer och deras kunder kommer att bli mer beroende av varandra genom användingen av molnet. Med dessa nya beroendeförhållanden följer ömsesidiga förväntningar på att plattformstjänster och värdbaserade program ska vara säkra och tillgängliga. Microsoft tillhandahåller en säker infrastruktur som offentlig och privat sektor kan använda till grund för att skapa en säker upplevelse för sina användare. Microsoft arbetar aktivt med dessa grupper och med utvecklare i allmänhet för att uppmuntra till användning av säkerhetsfokuserade riskhanteringsprocesser. Ökad användning av molntjänster, däribland allt fler tekniker och affärsmodeller, ger upphov till en dynamisk hostingmiljö, vilket i sig är en säkerhetsutmaning Att hålla jämna steg med denna växande marknad och förutse framtida behov är nödvändigt för att driva ett effektivt säkerhetsprogram. Den senaste förändringsvågen har redan börjat med den snabba övergången till virtualisering och en växande användning av Microsofts strategi Softare-plus-services. Där kombineras kraften och kapaciteten från datorer, mobila enheter, internettjänster och företagsprogram. Med nya molnplattformer kan tredje part utveckla egna program som lagras och körs i Microsofts moln. Genom onlinetjänsten Information Security Program, som beskrivs mer ingående längre fram i rapporten, upprätthåller Microsoft starka interna affärsförbindelser med team som tillhandahåller säkerhet, produkter och tjänster för att kunna erbjuda en säker molnmiljö medan dessa förändringar sker. Försök att infiltrera eller störa onlinetjänster blir alltmer avancerade, i takt med att allt fler affärer bedrivs på internet Samtidigt som uppmärksamhetssökande skojare fortsätter med olika tekniker som t.ex. domänockupationer och man-i-mitten-attacker, har mer sofistikerade angrepp för att komma åt identiteter eller blockera tillgång till känslig affärsinformation dykt upp tillsammans med en mer organiserad svart marknad för stulen information. Microsoft har ett nära samarbete med brottsbekämpande myndigheter, partner och företag inom branschen och forskningsgrupper för att förstå och svara på denna nya hotbild. Microsoft Security Development Lifecycle, som beskrivs längre fram i rapporten, införs dessutom säkerhet och sekretess tidigt och i hela utvecklingsprocessen. Komplexa krav på efterlevnad av regler måste även tas med i beräkningen när nya och befintliga tjänster levereras globalt Att följa föreskrifter, lagar och branschkrav (dessa kallas enbart regler i resten av dokumentet) är mycket komplext eftersom varje land i världen kan stifta egna lagar (och också gör det) som styr etablering och användning av webbmiljöer. Microsoft måste efterleva en mängd regelkrav eftersom företaget har datacenter i många länder och erbjuder tjänster på webben till en global kundbas. Dessutom styrs många branscher av egna villkor. Microsoft har infört ett efterlevnadsramverk (som beskrivs längre fram i detta dokument) som hjälp för att effektivt hantera olika krav på regelefterlevnad, utan att skapa onödiga bördor för företaget. 4

5 Hur Microsoft möter dessa utmaningar Sedan MSN lanserades 1994 har Microsoft skapat och drivit onlinetjänster. GFS-avdelningen hanterar molninfrastrukturen och plattformen för Microsofts onlinetjänster och garanterar tillgång till dem för flera hundra miljoner kunder i hela världen, dygnet runt, alla dagar. Fler än 200 av företagets onlinetjänster och webbportaler tillhandahålls i denna molninfrastruktur, däribland välkända konsumentorienterade tjänster som Windows Live Hotmail och Live Search, och företagsorienterade tjänster som Microsoft Dynamics CRM Online och Microsoft Business Productivity Online Standard Suite från Microsoft Online Services. Oavsett om kundernas personliga information lagras på deras egna datorer eller i en onlinemiljö, och oavsett om ett företags uppdragskritiska data lagras på plats eller på en hostad server och skickas över internet, är Microsoft medvetet om att alla dessa miljöer måste kunna ge en säker datorupplevelse. Som företag har Microsoft en unik position för att tillhandahålla både råd och tekniska lösningar som kan erbjuda en säkrare upplevelse på webben. För att hjälpa kunder att undvika ekonomisk förlust och andra konsekvenser av opportunistiska och riktade internetattacker, och som en del av ett starkt engagemang för en säker datoranvändning, ser Microsoft till att de människor, processer och tekniker som företaget använder ger säkrare och sekretesshöjande upplevelser, produkter och tjänster. Microsoft tillhandahåller ett pålitligt moln genom att fokusera på tre områden: Användning av ett riskbaserat informationssäkerhetsprogram som bedömer och prioriterar säkerhet och hot mot företagets verksamhet Underhåll och uppdatering av detaljerade säkerhetskontroller som minskar riskerna Drift av ett efterlevnadsramverk som garanterar att kontroller har utformats på lämpligt sätt och används effektivt. I den här rapporten beskrivs hur Microsoft skyddar kunddata och affärsverksamheter genom ett omfattande informationssäkerhetsprogram och en väl beprövad metod för policy- och efterlevnadshantering, många interna och externa utvärderingar av metoder och funktioner samt robusta säkerhetskontroller inom alla serviceområden. Genom dessa processer och mekanismer uppfyller Microsoft branschens standarder och efterlever reglerna i alla tillämpliga lagar, direktiv, förordningar och föreskrifter, samtidigt som företaget levererar tjänster på internet till en global kundbas. Även om sekretessprinciper tas upp i rapporten, är avsikten dock inte att ge någon djupare beskrivning av sekretessprinciper eller tillhandahålla någon guide till sekretessarbete. Information om hur Microsoft hanterar sekretessbehov finns i sekretessavsnittet på Microsofts sida om säker datoranvändning. 5

6 Vad är Microsofts molntjänstmiljö? Microsofts molntjänstmiljö är den fysiska och logiska infrastrukturen och de program och plattformstjänster som tillhandahålls där. GFS-avdelningen tillhandahåller den fysiska och logiska molninfrastrukturen hos Microsoft, inklusive många plattformstjänster. Den fysiska infrastrukturen omfattar både själva datacentren och den maskinvara och de komponenter som används för tjänsterna och nätverken. Hos Microsoft består den logiska infrastrukturen av operativsystemsinstanser, dirigerade nätverk och ostrukturerad datalagring på virtuella eller fysiska objekt. Bland plattformstjänsterna finns körningsrutiner (t.ex. Internet Information Services,.NET Framework, Microsoft SQL Server ), identitets- och katalogarkiv (t.ex. Active Directory och Windows Live ID), namntjänster (DNS) och andra avancerade funktioner som används för internettjänster. Microsofts molnplattformstjänster, som t.ex. infrastrukturtjänster, kan vara virtualiserade eller faktiska. Internetprogram som körs i Microsofts moln innehåller enkla och komplexa produkter som utformats för ett stort antal kunder. De internettjänsterna och deras tillhörande säkerhets- och sekretesskrav kan grovt sett indelas i följande grupper: Tjänster för konsumenter och småföretag Exempel på dessa är Windows Live Messenger, Windows Live Hotmail, Live Search, Xbox LIVE och Microsoft Office Live. Tjänster för större företag Till exempel Microsoft Dynamics CRM Online och Microsoft Business Productivity Online Standard Suite, inklusive Exchange Online, SharePoint Online och Office Live Meeting. Tredje parts-hostade tjänster Innehåller webbaserade program och lösningar som har utvecklats och drivs av tredje part med hjälp av plattformstjänster som tillhandahålls genom Microsofts molnmiljö. Online Services Security and Compliance-teamet Online Services Security and Compliance-teamet (OSSC) inom GFS-avdelningen ansvarar för informationssäkerhetsprogrammet för Microsofts molninfrastruktur, där det bland annat ingår principer och program för hantering av säkerhetsrisker på internet. OSSC-teamets uppgift är att gynna säkra internettjänster som ger konkurrensfördelar för Microsoft och dess kunder. Att placera den funktionen i molninfrastrukturlagret innebär att Microsofts alla molntjänster får stordriftsfördelar och minskad komplexitet genom att använda delade säkerhetslösningar. Denna standardlösning gör det också möjligt för alla Microsofts serviceteam att fokusera på varje kunds unika säkerhetsbehov. OSSC-teamet leder arbetet med att tillhandahålla en säker upplevelse i Microsofts moln genom Microsofts informationssäkerhetsprogram och med hjälp av en riskbaserad arbetsmodell och kontroller som karakteriseras av ett djupgående försvar. Detta inbegriper en regelbunden översyn av riskhantering, utveckling och underhåll av ett ramverk för säkerhetskontroll samt ett ständigt arbete för att garantera att alla aktiviteter lever upp till kraven, från 6

7 datacenterutveckling till efterlevnad av krav från brottsbekämpande organisationer i hela världen. Teamet använder väl utvecklade metoder och en rad interna och externa granskningar under livscykeln för internettjänsterna och varje del i infrastrukturen. Nära kontakter med andra Microsoft-team ger ett helhetsbaserat arbete för att garantera säkerheten hos program i Microsofts moln. Att driva en global molninfrastruktur för många olika företag innebär ett behov av att leva upp till krav på efterlevnad av regler och att kunna klara en ingående granskning av utomstående granskare. Granskningskrav kommer genom uppmaningar från myndigheter och branschen, interna principer och god praxis inom branschen. OSSC-teamets program ser till att den förväntade efterlevnaden utvärderas och införlivas kontinuerligt. Som ett resultat av informationssäkerhetsprogrammet kan Microsoft få nyckelcertifieringar som t.ex. International Organization for Standardization / International Society of Electrochemistry 27001:2005 (ISO/IEC 27001:2005) och Statement of Auditing Standard (SAS) 70 typ I och typ II-intyg och på ett mer effektivt sätt klara vanliga granskningar från oberoende tredje parter. Säker datoranvändning hos Microsoft Nyckeln till att skapa ett effektivt säkerhetsprogram är att ha en kultur där säkerhet är något man är medveten om och värderar högt. Microsoft inser att en sådan kultur måste krävas och stödjas av företagsledare. Microsofts ledningsteam har länge engagerat sig i att få fram ett säkert beteende genom rätt investeringar och uppmuntran. År 2002 drog företaget igång ett projekt för säker datoranvändning (Trustworthy Computing) tillsammans med Bill Gates, där Microsoft åtog sig att i grunden ändra sin verksamhet och strategi inom nyckelområden. Idag är säker datoranvändning ett grundläggande värde hos Microsoft och det styr nästan allt som företaget gör. Grunden för detta projekt utgörs av fyra pelare: Sekretess, säkerhet, tillförlitlighet och affärspraxis. Mer information om säker datoranvändning finns på Microsofts sida om säker datoranvändning. Microsoft inser att framgång inom den snabbt växlande affärssektorn av internettjänster är beroende av säkerheten och sekretessen för kundernas data och tillgängligheten och återhämtningsförmågan hos de tjänster Microsoft erbjuder. Microsoft ägnar mycket tid åt att utforma och testa program och infrastruktur enligt internt erkända standarder för att demonstrera denna förmåga och efterleva lagar och interna säkerhets- och sekretessprinciper. Ett resultat av detta är att Microsofts kunder kan dra nytta av mer fokuserad testning och övervakning, automatiserade programfixar, kostnadsbesparande stordrift och fortlöpande säkerhetsförbättringar. 7

8 Sekretess Microsoft strävar efter att skydda kundernas integritet och säkerhet och följa alla tillämpliga sekretesslagar som anges i Microsofts sekretesspolicy. För att skapa en tillförlitlig miljö för kunderna utvecklar Microsoft programvara, tjänster och processer med sekretess i åtanke. Microsoft-team strävar uppmärksamt efter att efterleva globala sekretesslagar och företagets sekretesspolicy kommer delvis från sekretesslagar runtom i världen. Microsoft låter sig ledas av de här sekretesslagarna och tillämpar deras standarder globalt. Microsoft arbetar för att skydda säkerheten för personlig information. De team som arbetar med internettjänster använder en mängd olika säkerhetstekniker och -metoder för att skydda personuppgifter så att obehöriga inte kan komma åt, använda eller avslöja dem. Microsofts programutvecklingsteam använder nedanstående principer, som definieras i Security Development Lifecycle (SDL), i företagets alla utvecklings- och driftsmetoder: Sekretess genom design Microsoft använder den är principen på många sätt under utveckling, lansering och underhåll av program för att garantera att den data som samlas in från kunderna är för ett specifikt syfte och att kunden ges lämplig information för att kunna fatta ett informerat beslut. När data som ska samlas in klassas som mycket känslig kan ytterligare säkerhetsåtgärder vidtas som t.ex. kryptering i transit eller vid lagring, eller båda delar. Sekretess som standard Med Microsofts produkter frågas kunderna om lov innan känslig data samlas in eller överförs. Efter kundens godkännande skyddas sådan data genom t.ex. åtkomstkontrollistor (ACL) tillsammans med mekanismer för bekräftelse av kundens identitet. Sekretess vid driftsättning Microsoft lämnar ut sekretessmekanismer till företagsmedlemmar, när så är nödvändigt, för att låta dem upprätta lämpliga sekretess- och säkerhetsprinciper för sina användare. Kommunikation Microsoft arbetar aktivt för att involvera allmänheten genom att publicera sekretessprinciper, teknisk dokumentation och annan dokumentation som rör sekretess. Mer information om Microsofts engagemang för sekretess finns i sekretessavsnittet på Microsofts sida om säker datoranvändning. 8

9 Säkerhet Microsoft har fortsatt att anpassa företagets molninfrastruktur för att dra nytta av nya tekniker, som t.ex. virtualisering. Dessa framsteg resulterar i att informationstillgångar skiljs från en gemensam fysisk infrastruktur för många typer av kundobjekt. Kombinera detta med det faktum att programutvecklingsprocessen för program som tillhandahålls på internet ofta är smidigare och nya versioner släpps oftare, och resultatet blir att informationssäkerhetshanteringen måste anpassas för att kunna ge en säker datorupplevelse. Följande avsnitt av detta dokument ger en djupare inblick i hur Microsofts OSSC-team tillämpar grundläggande säkerhet och de ansträngningar som görs inom hela företaget för att hantera risker i Microsofts molninfrastruktur. Här ges också en introduktion till vad det innebär att använda ett djupgående försvar för internettjänsters säkerhet och hur molnmiljöer resulterar i nya sätt att använda säkerhetsåtgärder. Informationssäkerhetsprogram I Microsofts informationssäkerhetsprogram för internettjänster definieras hur OSSC-teamet arbetar. Programmet har oberoende certifierats av British Standards Institute (BSI) Management Systems America som överensstämmande med ISO/IEC 27001:2005. För att se ISO/IEC 27001:2005-certifikaten, gå till Certificate/Client Directory Search Results -sidan. Informationssäkerhetsprogrammet delar upp säkerhetskraven i tre viktiga områden: administrativa, tekniska och fysiska. Kriterierna i dessa områden representerar grunden för riskhanteringen. Med utgångspunkt i de säkerhetsåtgärder och kontroller som identifierats i domänerna och deras underkategorier följer informationssäkerhetsprogrammet ISO/IEC27001:2005-ramverket som består av Planera, Utföra, Kontrollera, Agera. 9

10 OSSC-teamet definierar vidare de fyra stegen i den traditionella Planera, Utföra, Kontrollera, Agera"-strukturen i ett ISOcertifierat informationssäkerhetsprogram enligt följande: Planera Utföra a. Riskbaserat beslutsfattande Genom att driva prioriteringen av nyckelaktiviteter och fördelning av resurser skapar OSSC-teamet en handlingsplan för säkerheten baserat på riskbedömningar. De organisatoriska och individuella mål som ingår i planen innebär uppdateringar av principer, driftstandarder och säkerhetskontroller i GFS-avdelningen och många produktgrupper. b. Dokumentkrav OSSC-teamet fastställer tydliga förväntningar som bestämmer förutsättningarna för åtkomst till tredje parts intyg och certifikat genom ett dokumenterat ramverk för kontroll. Detta ramverk fastställer krav på ett tydligt, konsekvent och koncist sätt. a. Implementera lämpliga kontroller Kontroller som baseras på handlingsplanen för säkerhet införs av drifts-, produkt- och tjänstleveransteam. b. Utföra kontroller OSSC-teamet genomför och utför många kontroller direkt, t.ex. de som används för att säkerställa efterlevnad av globala straffrättsliga lagar, hantera hot mot infrastrukturen och fysiskt säkra datacenter. Många åtgärder utförs och upprätthålls genom drifts-, produktions- och tjänsteteam. Kontrollera Agera a. Utvärdera och förbättra OSSC-teamet utvärderar kontinuerligt kontrollaktiviteterna. Ytterligare kontroller kan läggas till eller befintliga kontroller kan modifieras för att garantera att målen som anges i informationssäkerhetspolicyn och ramverket för kontroll uppfylls. a. Verifiera programeffektivitet Både interna team och externa granskare ser regelbundet över informationssäkerhetsprogrammet som en del i det ständiga arbetet med att verifiera programeffektiviteten. b. Justera för att säkerställa relevans OSSC-teamet utvärderar informationssäkerhetsprogrammet och dess ramverk för kontroll gentemot tillämpliga krav och standarder i lagar och regler och från företag och branschen för att identifiera områden som behöver förbättras och verifiera att målen uppnås. Som ett resultat av detta uppdateras Microsofts teknik och företagsplaner för att möta konsekvenserna av driftsförändringar. Inget säkerhetsprogram är fullständigt om personalen inte utbildas. Microsoft skapar och levererar säkerhetsutbildning för att garantera att alla grupper som är inblandade i att skapa, starta, driva och stödja internettjänster i molninfrastrukturen förstår sitt ansvar i förhållande till Microsofts informationssäkerhetspolicy för internettjänster. Detta utbildningsprogram lär ut grundläggande principer som ska användas för varje del av Microsofts djupgående försvar för säkerställande av internettjänster. Microsoft uppmuntrar också företagskunder och utomstående programvaruutvecklare att använda samma principer när de utvecklar program och tillhandahåller tjänster med hjälp av Microsofts molninfrastruktur. 10

11 Riskhanteringsprocesser Analys och lösning av säkerhetsproblem i internetsystem som är beroende av varandra är mer komplext och kan bli mer tidsintensivt än med traditionella IT-system. Riskhantering och översyn måste anpassas till denna dynamiska miljö. För att hantera dessa risker använder Microsoft väl beprövade processer som utvecklats genom lång erfarenhet av att tillhandahålla tjänster på nätet. OSSC-personalen arbetar tillsammans med driftteam och företagsägare i många produkt- och tjänstegrupper inom Microsoft för att hantera dessa risker. Informationssäkerhetsprogrammet fastställer standardkraven för processer och dokumentation som används vid genomförande av fortlöpande riskbaserat beslutsfattande. Genom programmet för hantering av säkerhetsrisker görs riskbedömningar på flera olika nivåer och det genomsyrar prioriteringarna inom områden som produktlanseringsplaner, policyhantering och resursfördelning. Varje år görs en omfattande utvärdering av hoten mot Microsofts molninfrastruktur som leder till ytterligare översyn under året. Detta fortlöpande arbete fokuserar på de hot som skulle kunna medföra omfattande störningar. Genom den här processen prioriterar och leder Microsoft utvecklingen av säkerhetskontroller och liknande aktiviteter. Med metoden i programmet för hantering av säkerhetsrisker utvärderas kontrollernas effektivitet gentemot hot genom att: Identifiera hot mot och sårbarheter i molnmiljön Beräkna risken Rapportera risker i hela Microsofts molnmiljö Hantera risker på grundval av konsekvensbedömningar och tillhörande affärsfall Testa åtgärders effektivitet och kvarvarande risk Hantera risker kontinuerligt Hanteringsprocess för affärskontinuitet Många företag som funderar på att använda molnprogram ställer ofta frågor om tjänstens tillgänglighet och återhämtningsförmåga. Att köra program och lagra data i en molnmiljö innebär nya alternativ såväl för tjänstetillgänglighet och återhämtningsförmåga som för säkerhetskopiering och återställning. Microsofts program för affärskontinuitet använder beprövade branschmetoder för att skapa och anpassa möjligheter i det här området för att svara mot nya program när de blir tillgängliga i Microsofts molnmiljö. Microsoft använder en fortlöpande hanterings- och styrningsprocess för att garantera att nödvändiga åtgärder vidtas för att identifiera konsekvenserna av eventuella förluster, upprätthålla praktiska återställningsstrategier och -planer, och garantera kontinuitet i produkter och tjänster. Att känna till alla resurserna människor, utrustning och system som behövs för att genomföra en uppgift eller en process är absolut nödvändigt för att upprätta en relevant katastrofplan. Om planen därefter inte ses över, underhålls och testas medför det en av de största riskerna för att verkligen utsättas för en stor förlust. Därför gör programmet mer än att bara registrera återställningsåtgärder. Microsoft använder en utvecklingslivscykel för den plan som ingår i hanteringsprocessen för affärskontinuitet. Livscykeln ska skapa och upprätthålla återställningsplaner genom att använda sex faser, som visas i bilden nedan: 11

12 Microsoft hanterar tjänste- och dataåterställning efter att ha genomfört en beroendeanalys genom att identifiera två faktorer vid återställning av tillgångarna: Återställningstiden Den maximala tiden som förlust av en kritisk process, funktion eller resurs kan tolereras utan allvarliga negativa affärskonsekvenser. Återställningspunkten Den maximala dataförlust som kan tolereras vid en händelse, oftast sett i form av tiden mellan den senaste säkerhetskopieringen och tiden för avbrottet. Eftersom processen för att identifiera och klassificera tillgångar ständigt används som en del av riskhanteringen för Microsofts molninfrastruktur innebär planen för nödåterställning att dessa faktorer kan tillämpas mer direkt för att utvärdera om man ska genomföra återställningsstrategier i en nödsituation eller inte. Microsoft verifierar även dessa strategier genom övningar som inbegriper repetition, testning, träning och underhåll. 12

13 Säkerhetshantering Säkerhetskontrollerna och riskhanteringsprocesserna som Microsoft använder för att säkra molninfrastrukturen minskar riskerna för säkerhetsincidenter, men det skulle ändå vara naivt att tro att skadliga attacker inte kommer att ske i framtiden. Säkerhetshanteringsteamet (SIM) inom OSSC hanterar dessa frågor när de uppstår och arbetar 24 timmar om dygnet, varje dag. SIM:s uppgift är att snabbt och korrekt bedöma och minska IT-incidenter i anslutning till Microsofts internettjänster och samtidigt förmedla relevant information till högre företagsledning och andra berörda parter inom Microsoft. SIM:s process för incidentrapportering består av sex faser: Förberedelse SIM-personalen utbildas för att vara beredda på att agera när en säkerhetsincident sker. Identifiering Arbetet med att söka efter orsaken till en incident, oavsett om den var avsiktlig eller inte, innebär ofta att spåra problemet genom många lager i Microsofts molnmiljö. SIM-teamet identifierar källan till varje säkerhetsincident i samarbete med medlemmar från andra interna team på Microsoft. Begränsning När orsaken till incidenten har fastställs samarbetar SIM-teamet med alla nödvändiga team för att begränsa incidentens omfattning. Hur begränsningen genomförs beror på incidentens inverkan på verksamheten. Riskminskning SIM-teamet minskar risken för att incidenten inträffar igen genom att samordna arbetet med relevanta produkt- och tjänstteam. Återställning SIM-teamet hjälper till att återställa tjänsten genom fortsatt samarbete med andra grupper. Lärdomar När säkerhetsincidenten har åtgärdats sammankallar SIM-teamet till ett gemensamt möte för all inblandad personal. Under mötet utvärderar man händelsen och drar lärdomar av incidenthanteringen. SIM-teamet kan identifiera problem tidigt och minska störningar i tjänsterna genom att samverka med andra team. SIMteamet har till exempel ett nära samarbete med olika driftteam, bland annat Microsoft Security Response Center (mer information finns på sidan om Microsoft Security Response Center). Tack vare samarbetet kan SIM-teamet snabbt få en helhetsbild av en incident medan den äger rum. SIM-teamet kontaktar även resursens ägare för att fastställa hur allvarlig incidenten är. Bedömningen sker utifrån flera faktorer, bland annat risken för fler störningar i tjänsten och för försämrat anseende. Efterlevnad av globala straffrättsliga lagar OSSC-teamet bedriver programmet GCC (Global Criminal Compliance, d.v.s. efterlevnad av globala straffrättsliga lagar), och är ett team som arbetar med att fastställa regler och tillhandahålla utbildning i Microsofts åtgärdsprocesser. GCC svarar även på juridiska förfrågningar om information. GCC har juridiska representanter i många länder som kan godkänna och vid behov översätta förfrågan. Ett skäl till att många internationella myndigheter betraktar GCC som ett av världens bästa åtgärdsprogram är att GCC har en portal för polismyndigheter. Här kan autentiserad personal få information på flera språk om hur man skickar en juridisk förfrågan till Microsoft. I GCC:s utbildningsuppdrag ingår att erbjuda utbildning till polismyndigheters personal. GCC tillhandahåller även utbildning till personal på alla nivåer inom Microsoft om deras ansvar för datalagring och sekretess. Intern utbildning och polisarbete utvecklas fortlöpande allteftersom Microsoft lägger till fler datacenter runtom i världen, och därmed 13

14 ökar räckvidden för kraven i internationella regelverk. GCC spelar en avgörande roll när det gäller att förstå och införa processer som tar hänsyn till olika internationella lagar och deras tillämplighet för konsumenter eller företagskunder som använder Microsofts onlinetjänster. Regelefterlevnad i verksamheten Microsofts miljö för onlinetjänster måste uppfylla ett antal myndighetsutfärdade och branschspecifika säkerhetskrav utöver Microsofts egna företagsspecifikationer. Microsofts onlineverksamhet fortsätter att växa och förändras, och nya onlinetjänster införs hela tiden i Microsoft-molnet. Därför kan vi räkna med fler krav, till exempel regionala och landsspecifika standarder för datasäkerhet. Teamet för regelefterlevnad i verksamheten samarbetar med drift-, produkt- och tjänstteamen liksom med interna och externa granskare för att se till att Microsoft uppfyller kraven i gällande standarder och föreskrifter. I följande lista visas en översikt över några av de granskningar och utvärderingar som genomförs av Microsofts molnmiljö med regelbundna mellanrum: Payment Card Industry Data Security Standard Kräver årlig granskning och validering av säkerhetskontroller i samband med kreditkortstransaktioner. Media Ratings Council Gäller integriteten för generering och bearbetning av reklamdata. Sarbanes-Oxley Utvalda system granskas varje år i syfte att verifiera att företaget följer viktiga processer gällande integriteten för ekonomisk rapportering. Health Insurance Portability and Accountability Act Här anges riktlinjer för sekretess, säkerhet och nödåterställning för elektronisk lagring av sjukvårdsuppgifter. Interna granskningar och sekretessutvärderingar Utvärderingar genomförs fortlöpande under ett år. Det blev en stor utmaning för Microsoft att uppfylla alla de här granskningskraven. När Microsoft studerade kraven i detalj kunde man se att många av granskningarna och utvärderingarna bedömde samma verksamhetskontroller och processer. OSSC insåg att det fanns betydande möjligheter att eliminera onödigt arbete, effektivisera processerna och hantera efterlevnadskrav på ett mer omfattande och proaktivt sätt. Därför utvecklade teamet ett heltäckande ramverk för regelefterlevnad. Ramverket och dess tillhörande processer bygger på en metod med fem steg enligt följande bild: 14

15 Identifiera och integrera behov Omfattning och tillämpliga kontroller definieras. Handledningar för verksamheten och processdokument samlas och granskas. Utvärdera och åtgärda brister Brister i process- eller teknikkontroller identifieras och åtgärdas. Testa effektivitet och utvärdera risker Kontrollernas effektivitet mäts och rapporteras. Erhålla certifiering och intyg Kontakt med certifieringsmyndigheter och granskare från tredje part sker. Förbättra och optimera Om bristande efterlevnad upptäcks dokumenteras och utreds orsaken. Bristerna följs upp tills de har åtgärdats helt. I den här fasen optimeras även kontrollerna ytterligare i olika säkerhetsdomän för att stärka effektiviteten inför framtida gransknings- och certifieringsbedömningar. En positiv konsekvens av att ha infört det här programmet är att Microsofts molninfrastruktur har erhållit både SAS 70 Type I- och Type II-intyg och ISO/IEC 27001:2005-certifiering. Det är en prestation som tydligt visar hur viktigt det är för Microsoft att leverera en tillförlitlig molninfrastruktur eftersom: ISO/IEC 27001:2005-certifieringen intygar att Microsoft har infört de internationellt erkända kontrollerna för informationssäkerhet enligt definitionerna i standarden, och SAS 70-intygen visar att Microsoft är villigt att öppna upp interna säkerhetsprogram för extern granskning. 15

16 Ett djupgående försvar: Defense-in-Depth Defense-in-Depth är en grundläggande del av Microsofts arbete för att erbjuda en tillförlitlig molninfrastruktur. Kontroller på flera nivåer innebär att man använder skyddsmekanismer, utvecklar strategier för riskminskning och klarar av att försvara sig mot attacker när de inträffar. Med flera säkerhetsåtgärder av varierande styrka beroende på hur känslig den resurs som ska skyddas är förbättras möjligheterna att förebygga intrång eller minska följderna av en säkerhetsincident. Lanseringen av molntjänster förändrar inte principen om att styrkan på kontrollerna avgörs av hur känslig en viss resurs är, eller om hur viktigt det är att hantera säkerhetsrisker. Eftersom de flesta resurser i en molnmiljö kan virtualiseras förändras riskanalysen. Dessutom förändras förutsättningarna för hur säkerhetskontroller används i de traditionella lagren enligt Defense-in-Depth (fysisk, nätverk, data, identitetsåtkomst, åtkomstauktorisering och -autentisering samt värd). För onlinetjänster, exempelvis infrastruktur- och plattformstjänster som tillhandahålls av GFS, används virtualisering. Det innebär att kunder som använder tjänster som lagras i Microsofts moln kan ha resurser som inte längre enkelt kan associeras med en fysisk närvaro. Data kan lagras virtuellt och distribueras mellan många olika platser. Därför måste man förändra hur man identifierar säkerhetskontroller och fastställer hur de ska användas för att implementera en metod med flera säkerhetsnivåer för att skydda resurserna. Åtgärder för fysisk säkerhet och nätverkssäkerhet behövs självklart fortfarande. Fokus på riskhanteringen hamnar däremot allt närmare objektnivån, närmare de element som används i molnmiljön. Det gäller till exempel statiska eller dynamiska databehållare, virtuella maskinobjekt och de körningsmiljöer där beräkningarna sker. De olika kontrollerna använder många traditionella fysiska och nätverksrelaterade säkerhetsmetoder för att säkerställa att enheten är autentisk och auktoriserad för att få åtkomst. Det spelar ingen roll om det gäller en person som vill ha åtkomst till en datacenterbyggnad eller en beräkningsprocess som begär åtkomst till kunddata som lagras dynamiskt i Microsoft-molnet. Åtgärder finns även på plats för att servrar och operativsystemsinstanser som körs i Microsofts molninfrastruktur ska härdas mot attacker. Det här avsnittet innehåller en översikt över några av de processer och kontroller som Microsoft använder för att skydda datacenter, nätverksmaskinvara och -kommunikation samt tjänstvärdar. Fysisk säkerhet Den fysiska säkerheten har förändrats på flera sätt i och med utvecklingen av säkerhetstekniken. Ett exempel är användningen av tekniska system för att automatisera auktorisering för åtkomst och autentisering för vissa skyddsfunktioner. Ett annat är övergången från traditionella affärsprogram, som driftsätts på maskinvara och programvara som förvaras på företaget, till programvara som tjänst och programvara plus tjänster. På grund av de här förändringarna måste organisationer anpassa hur de skyddar sina resurser ytterligare. OSSC hanterar den fysiska säkerheten för alla Microsofts datacenter. Det är avgörande för att hålla anläggningarna igång och skydda kundernas data. Etablerade, exakta procedurer inom säkerhetsdesign och säkerhetsverksamhet används för varje anläggning. Microsoft ser till att yttre och inre parametrar fastställs med allt kraftfullare kontroller för varje säkerhetsnivå. 16

17 I säkerhetssystemet används tekniska lösningar som kameror, biometrisk teknik, kortläsare och alarm i kombination med traditionella skyddsåtgärder som lås och nycklar. Verksamhetskontroller införlivas för att underlätta automatisk övervakning och tidig underrättelse om ett intrång eller ett problem inträffar. Dessutom möjliggörs ansvarsskyldighet via tillhandahållande av granskningsbar dokumentation av datacentrets fysiska säkerhetsprogram. I följande lista visas ytterligare exempel på hur Microsoft använder kontroller för fysisk säkerhet: Åtkomst begränsas till datacentrets personal Microsoft tillhandahåller säkerhetskrav enligt vilka datacentrets anställda och leverantörer granskas. Utöver avtalsbestämmelser om anläggningens personal tillämpas ytterligare en säkerhetsnivå i datacentret på personal som driver anläggningen. Åtkomsten begränsas genom att endast nödvändig personal har tillåtelse att hantera kundernas program och tjänster. Krav på data med väsentlig verksamhetsinverkan Microsoft har utvecklat hårdare minimikrav för resurser som betraktas som mycket känsliga än för sådana som inte är lika känsliga. Dessa krav tillämpas i datacenter som används för onlinetjänster. Vanliga säkerhetsprotokoll för identifiering, åtkomsttoken och loggning och övervakning av platsposter anger tydligt vilken typ av autentisering som krävs. När det gäller åtkomst till mycket känsliga resurser krävs flerfaktorsautentisering. Centraliserad åtkomsthantering för fysiska resurser Microsoft får allt fler datacenter som används för onlinetjänster och har därför utvecklat ett verktyg för att hantera åtkomstkontroll till fysiska resurser. Verktyget skapar även granskningsbara register genom centralisering av arbetsflödet för att begära, godkänna och etablera åtkomst till datacenter. Verktyget drivs enligt principen om att tillhandahålla minsta nödvändiga åtkomst och införlivar arbetsflöden för att få godkännanden från flera auktoriseringsparter. Det kan konfigureras enligt förhållandena på platsen och ger mer effektiv åtkomst till historik för rapportering och efterlevnad med granskningar. Nätverkssäkerhet Microsoft använder så många säkerhetsnivåer som anses nödvändigt för datacenterenheter och nätverksanslutningar. Till exempel används säkerhetskontroller både på kontroll- och hanteringsplanet. Specialiserad maskinvara som belastningsutjämnare, brandväggar och enheter som förebygger intrång finns på plats för att hantera volymbaserade DoSattacker. Nätverkshanteringsteamen tillämpar tredelade åtkomstkontrollistor (ACL) på segmenterade virtuella lokala nätverk (VLAN) och program enligt behov. Genom nätverksmaskinvara använder Microsoft funktioner hos programgateways för DPI (djup paketinspektion) och åtgärder som att skicka varningar om, eller blockera, misstänkt nätverkstrafik. En globalt redundant intern och extern DNS-infrastruktur finns på plats för Microsofts molnmiljö. Redundans skapar feltolerans och uppnås genom klustring av DNS-servrar. Genom ytterligare kontroller motverkas distribuerade DoSattacker och skadliga cache-attacker. Exempelvis begränsar ACL-listor i DNS-servrar och DNS-zoner skrivbehörigheten för DNS-register till auktoriserad personal. Nya säkerhetsfunktioner, till exempel slumpmässiga frågeidentifierare, från den senaste säkra DNS-programvaran används på alla DNS-servrar. DNS-kluster övervakas kontinuerligt för att skydda mot obehörig programvara och konfigurationsändringar av DNS-zonen liksom andra störande händelser. DNS är en del av det globalt sammankopplade internet och många organisationer måste delta för att tillhandahålla den här tjänsten. Microsoft deltar i många av dessa, till exempel DNS Operations Analysis and Research Consortium (DNS-OARC), som består av DNS-experter världen över. 17

18 Datasäkerhet Microsoft klassificerar resurser för att kunna fastställa hur kraftfulla säkerhetskontrollerna som ska användas för dem. Kategorierna tar hänsyn till den relativa risken för skador på ekonomi och anseende om en resurs skulle drabbas av en säkerhetsincident. Efter klassificeringen används en Defense-in-Depth-metod för att avgöra vilka skydd som krävs. För dataresurser i den medelkänsliga kategorin gäller till exempel krypteringskrav när de finns i flyttbara medier eller när de ska överföras till externa nätverk. För data i den mycket känsliga kategorin gäller utöver de här kraven krypteringskrav för lagring och även för interna system och nätverksöverföringar. Alla Microsoft-produkter måste uppfylla kraven i de kryptografiska SDL-standarderna, där acceptabla och ickeacceptabla kryptografiska algoritmer fastställs. Nycklar som är längre än 128 bitar krävs till exempel för symmetrisk kryptering. När asymmetriska algoritmer används krävs nycklar på bitar eller längre. Identitets- och åtkomsthantering Microsoft använder en modell där endast de som behöver åtkomst till olika resurser får åtkomst till dem. Där så är möjligt används rollbaserade åtkomstkontroller för att tilldela logisk åtkomst till specifika arbetsuppgifter eller ansvarsområden, snarare än till en individ. Enlig de här reglerna nekas som standard åtkomst som inte uttryckligen har godkänts av resursens ägare baserat på ett identifierat verksamhetskrav. Personer som har åtkomstbehörighet till en resurs måste använda lämpliga åtgärder för att få tillgång. För mycket känsliga resurser krävs flerfaktorsautentisering, däribland åtgärder som lösenord, maskinvarutoken, smartkort eller biometriska metoder. Användarkonton kontrolleras fortlöpande mot auktoriseringar för användning för att se till att all användning av en resurs är lämplig och nödvändig för en viss aktivitet. Konton som inte längre behöver åtkomst till en viss resurs avaktiveras. Programsäkerhet Programsäkerhet är ett nyckelelement i Microsofts metoder för att skydda sin molnmiljö. De strikta säkerhetsrutiner som används av Microsofts utvecklingsteam formaliserades till en process med namnet Security Development Lifecycle (SDL) år SDL-processen är oberoende av utvecklingsmetodik och fullständigt integrerad med livscykeln för programutveckling, från design till respons. Den är inte avsedd som en ersättning av programutvecklingsmetoder som waterfall eller Agile. Olika faser i SDL-processen betonar utbildning och fastslår även att specifika aktiviteter och processer ska tillämpas på varje fas i programutvecklingen. Microsofts ledning stöder även fortsättningsvis användningen av SDL under utvecklingen av Microsofts produkter, däribland driften för onlinetjänsterna. OSSC spelar en viktig roll för att garantera att SDL idag och i framtiden tillämpas när man skapar program som ska lagras i Microsofts molninfrastruktur. 18

19 SDL-processen visas i följande bild: SDL-processen inleds med systemkravsfasen och omfattar ett antal specifika aktiviteter med hänsyn till utveckling av program som ska lagras i Microsoft-molnet: Systemkrav Det primära målet i den här fasen är att identifiera viktiga säkerhetsmål och på andra sätt maximera programsäkerheten samtidigt som störningar av kundens användning, planer och scheman minimeras. Aktiviteten kan till exempel omfatta en verksamhetsdiskussion under hanteringen av tjänstprogram med fokus på hur tjänsten ska använda nätverksanslutningar och meddelandetransporter. Utforma Viktiga säkerhetsåtgärder i den här fasen omfattar dokumentering av den potentiella attackytan och riskmodellering. Precis som i systemkravsfasen kan miljökriterier identifieras när processen genomgås för en programtjänst. Implementering Kodning och testning sker i den här fasen. Under implementeringen går de viktigaste stegen ut på att förebygga koder med säkerhetsproblem och att vidta åtgärder för att ta bort dem om det behövs. Verifiering Under betafasen betraktas nya program som funktionellt fullständiga. Under den här fasen fastställer man vilka säkerhetsrisker som finns närvarande när programmet driftsätts i verkliga scenarier och vilka åtgärder som kan vidtas för att eliminera eller minska säkerhetsriskerna. Lansering Under den här fasen genomförs den sista säkerhetsgranskningen. Om det behövs sker även en driftssäkerhetsgranskning innan det nya programmet kan lanseras i Microsofts molnmiljö. Svar För Microsofts molnmiljö ansvarar SIM-teamet för att svara på säkerhetsincidenter. Teamet samarbetar med produkt- och tjänstteamen samt medlemmar av Microsoft Security Response Center för att prioritera, utreda och åtgärda rapporterade incidenter. Mer information om SDL finns på sidan Microsoft Security Development Lifecycle (SDL). OSSC hanterar den sista säkerhetsgranskningen, som är obligatorisk enligt SDL, för Microsofts onlinetjänster för att se till att relevanta säkerhetskrav har uppfyllts innan nya program driftsätts i Microsofts molninfrastruktur. Den sista säkerhetsgranskningen gäller ett teams efterlevnad av SDL under hela utvecklingsprocessen. Under granskningen hanterar OSSC följande uppgifter: 19

20 Samordning med produktteamet Frågeformulär och övrig dokumentation måste fyllas i av produktutvecklingsteamet. Informationen används av OSSC för att säkerställa att SDL har tillämpats korrekt under utvecklingen. Granskning av hotmodeller Microsoft betraktar hotmodeller som kritiska för att utveckla säker programvara. OSSC analyserar hotmodeller som tas fram av produktteamen och kontrollerar att de är kompletta och aktuella. Som en del av granskningen verifieras även att åtgärdskontroller har införts för att hantera alla identifierade risker. Granskning av säkerhetsbuggar Alla säkerhetsbuggar som upptäcks under design, utveckling och testning granskas. Buggar som påverkar säkerheten eller sekretessen för kundernas data måste åtgärdas. Verifiering av verktygsanvändning Microsofts utvecklings- och testteam använder säkerhetsverktyg och dokumenterade kodmönster och rutiner som en del av utvecklingsprocessen. Detta kan förbättra programsäkerheten genom att vanliga problem elimineras. OSSC kontrollerar att produktteamen har använt tillgängliga verktyg, dokumenterad kod och mönster och rutiner på ett korrekt och lämpligt sätt. Utöver hanteringen av den sista säkerhetsgranskningen hanterar OSSC även en process för driftsäkerhetsgranskning. Granskningen består i att granska relaterad nätverkskommunikation, plattform och systemkonfiguration och att övervaka funktioner jämfört med väletablerade säkerhetsstandarder och riktlinjer. Genom granskningsprocessen säkerställs att lämpliga säkerhetskontroller ingår i driftsplanerna innan driftsättning i molninfrastrukturen tillåts. Granskning och rapportering av värdtjänstens säkerhet Det är viktigt att hantera växande miljöer och ökande komplexitet för att leverera tillförlitliga, väladministrerade, säkra och uppdaterade tjänster. Genom att söka igenom infrastrukturresurserna varje dag får man en aktuell översikt över värdsystemets sårbarheter. Dessutom får OSSC möjlighet att samarbeta med produkt- och tjänstteamen för att hantera relaterade risker utan att störa driften av Microsofts onlinetjänster. Penetreringstester som genomförs av interna och externa parter visar hur effektiva säkerhetskontrollerna är för Microsofts molninfrastruktur. Resultatet av granskningarna och pågående utvärderingar av följkontrollerna används i påföljande arbete för genomsökning, övervakning och riskminskning. Tack vare automatisk driftsättning av vanliga härdade operativsystemavbildningar tillsammans med aktiv användning av värdprinciper, till exempel grupprinciper, kan Microsoft kontrollera servertillägg i molninfrastrukturen. Efter driftsättningen åtgärdas säkerhetsrisker i värdsystemen genom Microsofts driftsgranskningar och korrigeringsprogram. 20

STYRKAN I ENKELHETEN. Business Suite

STYRKAN I ENKELHETEN. Business Suite STYRKAN I ENKELHETEN Business Suite HOTET ÄR VERKLIGT Onlinehot mot ditt företag är verkliga, oavsett vad du gör. Om du har data eller pengar är du ett mål. Säkerhetstillbuden ökar drastiskt varje dag

Läs mer

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet Migration to the cloud: roadmap PART 1: Möjligheter och hinder för att migrera till molnet PART 1 ÖVERSIKT 1. Varför migrera till molnet? 2. Möjligheter med migrering till molnet 3. Hinder för att migrera

Läs mer

Risk, säkerhet och rättslig analys för migrering till molnet. PART 4: Skydd, rättigheter och juridiska skyldigheter

Risk, säkerhet och rättslig analys för migrering till molnet. PART 4: Skydd, rättigheter och juridiska skyldigheter Risk, säkerhet och rättslig analys för migrering till molnet PART 4: Skydd, rättigheter och juridiska skyldigheter PART 4 ÖVERSIKT 1. Specifikation av det internationella sammanhanget 2. Mot skyddsavtal

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

SÄKRA DIN AFFÄR VART DEN ÄN TAR DIG. Protection Service for Business

SÄKRA DIN AFFÄR VART DEN ÄN TAR DIG. Protection Service for Business SÄKRA DIN AFFÄR VART DEN ÄN TAR DIG Protection Service for Business DET ÄR EN MOBIL VÄRLD Wifi Fotgängare Idag använder vi fler enheter med fler anslutningar än någonsin tidigare. Att då kunna välja var

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

EAs krav vid ackreditering av flexibel omfattning

EAs krav vid ackreditering av flexibel omfattning SWEDAC DOC 12:1 2012-05-10 Utgåva 1 Inofficiell översättning av EA 2/15 M:2008 EAs krav vid ackreditering av flexibel omfattning Swedac, Styrelsen för ackreditering och teknisk kontroll, Box 878, 501 15

Läs mer

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Verksamhetsutveckling och hur det påverkar IT-arbetet ANPASSNINGS- FÖRMÅGA Arbeta snabbt, vara följsam och flexibel 66 % av företagarna prioriterar

Läs mer

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet Dnr: / stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete

Läs mer

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management Risk, security, and legal analysis for migration to cloud PART 3: Privacy and security management Cloud Computing Cloud computing har visat sig vara en framgångsrik paradigm som till stor del förenklar

Läs mer

Vilket moln passar dig bäst?

Vilket moln passar dig bäst? Vilket moln passar dig bäst? Idag diskuteras ofta huruvida man ska kliva in i molnets underbara värld eller inte, men sällan om skillnaderna mellan olika moln och vilka tillämpningar som är lämpliga att

Läs mer

SÄKERHETSLÖSNINGAR TJÄNSTEFIERAD SÄKERHET

SÄKERHETSLÖSNINGAR TJÄNSTEFIERAD SÄKERHET SÄKERHETSLÖSNINGAR TJÄNSTEFIERAD SÄKERHET Tjänstefiering av säkerhet är ett kostnadseffektivt alternativ med lägre risk för dig som strävar efter att din kärnverksamhet ska kunna bedrivas utan driftstörningar.

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C Säkerhet Säkerhet 2 (14) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll säkerhetsrevision 5 2.1.3 Säkerhets-

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Vår flexibla lösning för för Intelligent Workload Management

Vår flexibla lösning för för Intelligent Workload Management Vår flexibla lösning för för Intelligent Workload Management marknaden 1 It-landskapet håller på att förändras Riskerna och utmaningarna med datahantering i och mellan olika miljöer måste kontrolleras.

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

TMP Consulting - tjänster för företag

TMP Consulting - tjänster för företag TMP Consulting - tjänster för företag Adress: http://tmpc.se Kontakta: info@tmpc.se TMP Consulting är ett bolag som utvecklar tekniska lösningar och arbetar med effektivisering och problemslösning i organisationer.

Läs mer

Metoder för verifiering av användare i ELMS 1.1

Metoder för verifiering av användare i ELMS 1.1 Metoder för verifiering av användare i ELMS 1.1 2012-12-21 Kivuto Solutions Inc. [KONFIDENTIELLT] INNEHÅLLSFÖRTECKNING ÖVERSIKT...1 VERIFIERINGSMETODER...2 IUV (Integrated User Verification)...2 Shibboleth

Läs mer

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster...

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster... 1 2 Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster... 9 Definition av molntjänster (forts.)... 11 Tjänster... 12 Skikt

Läs mer

KRAFTFULLA, SKALBARA SÅRBAR- HETSANALYSER. F-Secure Radar

KRAFTFULLA, SKALBARA SÅRBAR- HETSANALYSER. F-Secure Radar KRAFTFULLA, SKALBARA SÅRBAR- HETSANALYSER F-Secure Radar 48% ökning av antalet säkerhetsincidenter 1 22,000,000 42,000,000 TA CYBERHOTEN PÅ ALLVAR Cyber angriparna vill in. Hotet mot företagets IT-säkerhet

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Lumia med Windows Phone

Lumia med Windows Phone Lumia med Windows Phone microsoft.com/sv-se/mobile/business/lumia-for-business/lumia/ 103328+103329_Lumia-Brochure+10reasons_swe.indd 1 26.11.2014 10.34 Office 365 i telefonen Ge dina anställda tillgång

Läs mer

Vad är molnet?... 2. Vad är NAV i molnet?... 3. Vem passar NAV i molnet för?... 4. Fördelar med NAV i molnet... 5. Kom igång snabbt...

Vad är molnet?... 2. Vad är NAV i molnet?... 3. Vem passar NAV i molnet för?... 4. Fördelar med NAV i molnet... 5. Kom igång snabbt... Produktblad för NAV i molnet Innehåll Vad är molnet?... 2 Vad är NAV i molnet?... 3 Vem passar NAV i molnet för?... 4 Fördelar med NAV i molnet... 5 Kom igång snabbt... 5 Bli kostnadseffektiv... 5 Enkelt

Läs mer

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet IT SOM TJÄNST - MOLNTJÄNSTER Användning av internetbaserade IT-tjänster tillhandahållna av extern leverantör Syfte

Läs mer

Molnet som skapats för ditt företag.

Molnet som skapats för ditt företag. Molnet som skapats för ditt företag. Det här är Microsoft Cloud. Alla företag är speciella på sitt sätt. Hälso-/sjukvård, detaljhandel, tillverkning och ekonomi ingen verksamhet fungerar exakt likadant.

Läs mer

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare; Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare; beslutade den 13 december 2012. Transportstyrelsen föreskriver följande med

Läs mer

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem. 1 Jobbet har slutat vara något vi går till och det är numera något vi gör. Våra kollegor är vana att använda ny teknik hemma, de vill nu göra det på jobbet. Helst vill de dessutom jobba från sina enheter

Läs mer

2012 2011 Undersökning av katastrofberedskap RESULTAT FÖR EMEA (EUROPA, MELLANÖSTERN OCH AFRIKA)

2012 2011 Undersökning av katastrofberedskap RESULTAT FÖR EMEA (EUROPA, MELLANÖSTERN OCH AFRIKA) 2012 2011 Undersökning av katastrofberedskap RESULTAT FÖR EMEA (EUROPA, MELLANÖSTERN OCH AFRIKA) INNEHÅLL Inledning........................................................................ 3 Metodik.........................................................................

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 I checklistan gäller det att instämma med de påståenden som anges i listan för att vara säker på att verksamhetens miljöledningssystem

Läs mer

Examinering i ITIL Foundation

Examinering i ITIL Foundation Examinering i ITIL Foundation Exempelhäfte A, version 5.1 Flervalsfrågor Instruktioner 1. Alla 40 frågorna ska besvaras. 2. Alla svar ska markeras i svarstabellen som följer med. 3. Du har 60 minuter på

Läs mer

Informationssäkerhet

Informationssäkerhet Informationssäkerhet trender och utmaningar Rätt Säkerhet 2013 Tobias Hermansson och Sara Löfving Vår globala informationssäkerhetsundersökning För 15:e året i följd har Ernst & Youngs genomfört sin globala

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg Kontroll över IT för efterlevnad och framgång Johanna Wallmo Peter Tornberg Agenda Direktiv från EU - tidsplan EU:s 8:e direktiv: syfte och innehåll Hur kommer svenska bolag att påverkas? Utmaningar vid

Läs mer

Rapport om IT-infrastruktur och säkerhet inom offentlig sektor

Rapport om IT-infrastruktur och säkerhet inom offentlig sektor Rapport om IT-infrastruktur och säkerhet inom offentlig sektor De senaste åren har ett antal offentliga myndigheter blivit utsatta för hot och olaga intrång i sina IT-system. Inte minst Regeringskansliet

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

Brian Woltz, ägare och fysioterapeut, Parkway Physiotherapy

Brian Woltz, ägare och fysioterapeut, Parkway Physiotherapy Agenda Vårt företag är mycket bättre skyddat än tidigare. Windows Small Business Server 2011 Essentials har gjort oss trygga att utnyttja effektiva lösningar som fjärråtkomst utan att ge avkall på säkerheten.

Läs mer

HUR MAN LYCKAS MED BYOD

HUR MAN LYCKAS MED BYOD HUR MAN LYCKAS MED BYOD WHITE PAPER Innehållsförteckning Inledning... 3 BYOD Checklista... 4 1. Val av system... 4 2. Installation och konfiguration... 5 3. Prestanda... 5 4. Valfrihet ökar upplevelsen...

Läs mer

Vanliga partnerfrågor WorkloadIQ Vanliga frågor och svar 17 augusti 2010

Vanliga partnerfrågor WorkloadIQ Vanliga frågor och svar 17 augusti 2010 Vanliga partnerfrågor www.novell.com WorkloadIQ Vanliga frågor och svar 17 augusti 2010 V a d ä r m a r k n a d e n f ö r I n t e l l i g e n t W o r k l o a d M a n a g e m e n t? Marknaden för Intelligent

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

Processinriktning i ISO 9001:2015

Processinriktning i ISO 9001:2015 Processinriktning i ISO 9001:2015 Syftet med detta dokument Syftet med detta dokument är att förklara processinriktning i ISO 9001:2015. Processinriktning kan tillämpas på alla organisationer och alla

Läs mer

Office 365. www.koneo.se. Du har tillgång till Office överallt. Verktyg för professionella. Verktyg för samarbete. Enkel installation och hantering

Office 365. www.koneo.se. Du har tillgång till Office överallt. Verktyg för professionella. Verktyg för samarbete. Enkel installation och hantering 1 (5) Office 365 Du har tillgång till Office överallt Oavsett om du arbetar på ditt kontor eller är ute på uppdrag, har du tillgång till en uppsättning välbekanta, professionella produktivitetsverktyg.

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight?

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Fredrik Rehnström, CISSP, CISM, CGEIT Seniorkonsult, vvd, partner Ca 50% av de beslut som fattas görs på underlag

Läs mer

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Följande allmänna råd ansluter till förordningen (2006:942) om krisberedskap och

Läs mer

Introduktion till protokoll för nätverkssäkerhet

Introduktion till protokoll för nätverkssäkerhet Tekn.dr. Göran Pulkkis Överlärare i Datateknik Introduktion till protokoll för nätverkssäkerhet Innehåll Varför behövs och hur realiseras datasäkerhet? Datasäkerhetshot Datasäkerhetsteknik Datasäkerhetsprogramvara

Läs mer

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC Checklista Identitetshanteringssystem för SWAMID 2.0 Utarbetad tillsammans med SUNET CERT och SUSEC Bakgrund För att upprätta förtroende i en federation krävs inte bara att identitetsutdelningsprocessen

Läs mer

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND Oktober 2005 Innehåll Introduktion...1 Avsikten med denna policy...1 Ansvar...1 Allmän policy...2 Klassificering av data...2 Accesskontroll...3

Läs mer

ISO/IEC och Nyheter

ISO/IEC och Nyheter ISO/IEC 27001 och 27002 Nyheter Bakgrund till revisionen ISO/IEC 27001 och 27002 var cirka 10 år gamla och behövde uppdateras Harmonisering av ledningssystem (Annex SL) ISO/IEC 27001:2013(2014) ISO/IEC

Läs mer

Leverantör av programvarutjänster skapar kostnadseffektiv lösning för e-förvaltning

Leverantör av programvarutjänster skapar kostnadseffektiv lösning för e-förvaltning Windows Azure Fallstudie av kundlösning Leverantör av programvarutjänster skapar kostnadseffektiv lösning för e-förvaltning Översikt Land eller region: Indien Bransch: it Kundprofil tillhandahåller tjänster

Läs mer

Slutrapport. Certifiering LADOK Pontus Abrahamsson Lösningsarkitekt Säkerhet

Slutrapport. Certifiering LADOK Pontus Abrahamsson Lösningsarkitekt Säkerhet Slutrapport 2015-11-11 Certifiering LADOK Pontus Abrahamsson Lösningsarkitekt Säkerhet 046-16 34 02 Pontus.Abrahamsson@atea.se Atea Sverige AB Roskildevägen 1B, vån 5 211 47 Malmö Org. Nr: 556448-0282

Läs mer

Säkerhetsbrister i kundplacerad utrustning

Säkerhetsbrister i kundplacerad utrustning BESLUT 1(11) Datum Vår referens Aktbilaga 2015-12-16 Dnr: 14-11014 20 Nätsäkerhetsavdelningen Peder Cristvall 08-6785529 peder.cristvall@pts.se Telenor Sverige AB Säkerhetsbrister i kundplacerad utrustning

Läs mer

Säkerhet 2.0. Ta en titt in i framtiden. Per Hellqvist. Senior Security Specialist

Säkerhet 2.0. Ta en titt in i framtiden. Per Hellqvist. Senior Security Specialist Säkerhet 2.0 Ta en titt in i framtiden Per Hellqvist Senior Security Specialist Symantecs vision Confidence in the Connected World Säkra och hantera din informationsdrivna värld över fysiska, virtuella

Läs mer

Riskanalys och riskhantering

Riskanalys och riskhantering Riskanalys och riskhantering Margaretha Eriksson, civ.ing. och doktorand i informationssäkerhet KTH Föreläsning 2 Mål känna till stegen i en risk- och sårbarhetsanalys kunna använda risk- och sårbarhetsanalys

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 11-09-14 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 ( rev. September

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område, Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område, det må vara personal, miljö, eller informationssäkerhet.

Läs mer

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Ledningssystem för informationssäkerhet () Informationssäkerhet Informationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Kommunikationssäkerhet

Läs mer

Nya regler om styrning och riskhantering

Nya regler om styrning och riskhantering Nya regler om styrning och riskhantering FI-forum 20 maj 2014 1 Agenda och inledning Christer Furustedt Avdelningschef Banktillsyn 2 Agenda Inledning Rättsliga aspekter Styrning, riskhantering och kontroll

Läs mer

SÄKERHETSLÖSNINGAR KRITISK INFRASTRUKTUR

SÄKERHETSLÖSNINGAR KRITISK INFRASTRUKTUR SÄKERHETSLÖSNINGAR KRITISK INFRASTRUKTUR Som verksam inom segmentet för kritisk infrastruktur ställs du dagligen inför utmaningen att säkra några av vårt samhällets viktigaste och mest värdefulla resurser.

Läs mer

Medvetet företagande i en digitaliserad tid

Medvetet företagande i en digitaliserad tid Medvetet företagande i en digitaliserad tid Förord Vi lever i en spännande och föränderlig tid där digitaliseringen ger oss möjligheter vi tidigare bara kunde drömma om. Modern teknik och smarta tjänster

Läs mer

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar Handläggare: Christina Hegefjärd 1 (1) PAN 2015-12-01 P 6 TJÄNSTEUTLÅTANDE 2015-12-01 PaN A1510-0031257 PaN A1510-0031157 PaN A1510-0031057 Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer

Läs mer

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi Molntjänster och utkontraktering av kritisk verksamhet lagar och regler Alireza Hafezi Säkerhetsskydd?! 2 Säkerhetsskyddslagen, 6 : Med säkerhetsskydd avses: > skydd mot spioneri, sabotage och andra brott

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se

Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Det här är.se Stiftelsen för Internetinfrastruktur grundades 1997. Verka för positiv utveckling

Läs mer

Tekniskt driftdokumentation & krishantering v.1.0

Tekniskt driftdokumentation & krishantering v.1.0 Tekniskt driftdokumentation & krishantering v.1.0 Denna driftdokumentation avser driftmiljön hos Camero AB:s webbhotell, både delade och dedikerade lösningar. Teknisk dokumentation Cameros webbhotell har

Läs mer

F6 Exchange 2007. 2013-01-16 EC Utbildning AB 2013-01-16

F6 Exchange 2007. 2013-01-16 EC Utbildning AB 2013-01-16 F6 Exchange 2007 2013-01-16 EC Utbildning AB 2013-01-16 1 Kapitel 6, Sid 303-310 Antivirus and Security EC Utbildning AB 2013-01-16 2 Dagens meny Idag: Allmän uppsäkring av system Defense in-depth Verktyg

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

VERVA. Fujitsu Services Kenneth Landérus F

VERVA. Fujitsu Services Kenneth Landérus F VERVA Fujitsu Services Kenneth Landérus F Fujitsu Services 2008 Fujitsus erbjudande produkter Volymlicensiering på 40 programtillverkares produkter 2 Fujitsu Services 2008 2008-01-28 Verva Programvaror

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Symantec Endpoint Protection Small Business Edition 2013

Symantec Endpoint Protection Small Business Edition 2013 Symantec Endpoint Protection Small Business Edition 2013 Informationsblad: Endpoint Security Driv din verksamhet på ett smartare och säkrare sätt Din målsättning är att skapa bra produkter och tjänster

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Exponerade fakturor på internet

Exponerade fakturor på internet BESLUT 1(6) Datum Vår referens Aktbilaga 2013-12-18 Dnr: 13-9151 12 Nätsäkerhetsavdelningen Jeanette Kronwall 08-6785898 jeanette.kronwall@pts.se TeliaSonera AB Att: Ann Ekstrand Stab Juridik, Regulatoriska

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Holm Security VMP. Nästa generations plattform för sårbarhetsanalyser

Holm Security VMP. Nästa generations plattform för sårbarhetsanalyser Holm Security VMP Nästa generations plattform för sårbarhetsanalyser Nätverksskanning Automatiskt & kontinuerligt Vår nätverksskanning skannar automatiskt och kontinuerligt dina system efter över 43 000

Läs mer

Att tämja odjuret mobil fildelning

Att tämja odjuret mobil fildelning White paper Fil- och nätverkstjänster Att tämja odjuret mobil fildelning Vem låter du hantera företagets resurser? Mobil filåtkomst och delning är rykande hett, och håller på att bli en absolut nödvändighet

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Donator. Partnerprogram. Från produkt till molntjänst.

Donator. Partnerprogram. Från produkt till molntjänst. Donator Partnerprogram Från produkt till molntjänst. Donator Partnerprogram Erbjuda vår applikation som en molntjänst? Javisst, men hur tar vi oss dit? De flesta programutvecklingsföretag (ISVer) ser möjligheterna

Läs mer

ANVÄNDARVILLKOR ILLUSIONEN

ANVÄNDARVILLKOR ILLUSIONEN ANVÄNDARVILLKOR ILLUSIONEN Välkommen till Illusionen! Tack för att du använder Illusionen som tillhandahålls av Fotboll 2000. Detta är villkoren för användning av denna webbplats och programvara, bilder,

Läs mer

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök Göteborgs universitet 2007-06-26 Intern miljörevision Exempel på frågor vid platsbesök Nedan finns exempel på frågor som kan ställas vid platsbesök inom den interna miljörevisionen. Ytterligare följdfrågor

Läs mer

EBITS 2003-10-14 Energibranschens IT-säkerhetsforum

EBITS 2003-10-14 Energibranschens IT-säkerhetsforum EBITS 2003-10-14 Energibranschens IT-säkerhetsforum Bruksanvisning till malldokument för REGLER OCH RIKTLINJER FÖR INFORMATIONSSÄKERHET Version 0.1 1. Dokumentet skall anpassas specifikt för företaget.

Läs mer

Hur hanterar man krav på säkerhet?

Hur hanterar man krav på säkerhet? Hur hanterar man krav på säkerhet? Agenda Introduktion Krav i förhållande till en kvalitetsmodell Mål Policy Krav Säkerhet som kvalitetsfaktor kvalitetsfaktorn Den gemensamma underliggande kvalitetsfaktorn,

Läs mer

Spetskompetens inom systemintegration, SOA och systemutveckling

Spetskompetens inom systemintegration, SOA och systemutveckling Spetskompetens inom systemintegration, SOA och systemutveckling Mjukvarukraft är ett företag som inriktar sig på konsultation och systemutveckling baserad på och omkring Microsofts plattformar och produkter.

Läs mer

Solution Profiler. Tips till att publicera en framgångsrik lösning

Solution Profiler. Tips till att publicera en framgångsrik lösning Solution Profiler Tips till att publicera en framgångsrik lösning Innehållsförteckning Så här börjar du... 2 1. Grundinformation... 3 1.1 Lösningens namn... 3 1.2 Lösningens beskrivning... 3 1.3 Lösningens

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Anmälan om. schablonmetoden, operativ risk

Anmälan om. schablonmetoden, operativ risk Anmälan om Februari 2007 schablonmetoden, operativ risk N Allmän information om anmälningsförfarandet Detta dokument innehåller Finansinspektionens krav på hur en anmälan om att använda schablonmetoden

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

STANDARDER FÖR DOKUMENTHANTERING RECORDS MANAGEMENT STANDARDEN BESKRIVER. 1: Dokumentation Dokumenthantering(Records Management) Del 1: Allmänt

STANDARDER FÖR DOKUMENTHANTERING RECORDS MANAGEMENT STANDARDEN BESKRIVER. 1: Dokumentation Dokumenthantering(Records Management) Del 1: Allmänt STANDARDER FÖR DOKUMENTHANTERING Anki Steen RECORDS MANAGEMENT SS-ISO 15489-1: 1: Dokumentation Dokumenthantering(Records Management) Del 1: Allmänt SS-ISO/TR 15489-2:2001: Dokumentation Dokumenthantering(Records

Läs mer

Administratör IT-system Kursplan

Administratör IT-system Kursplan Administratör IT-system Kursplan Administratör IT-system Kursöversikt Obligatoriska kurser Kurs Poäng Advanced Enterprise System Administration 25 CCNA 45 CCNA Security 20 Drift i virtuella miljöer 20

Läs mer

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN 1 Kommunstyrelsen SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN Syfte med säkerhetsarbetet Syftet med säkerhetsarbetet är att: Verka för en säker och trygg kommun genom att förebygga och hantera förluster, störningar

Läs mer