Intrångstester SIG Security, 28 oktober 2014

Storlek: px
Starta visningen från sidan:

Download "Intrångstester SIG Security, 28 oktober 2014"

Transkript

1 Intrångstester SIG Security, 28 oktober 2014

2 Mattias Berglund Oberoende konsult inom IT- och informationssäkerhetsområdet Fokus på test och granskningar av system Bakgrund inom drift och förvaltning, säkerhetskonsult sedan 2007 Gillar att (försöka) förstå hur saker hänger ihop

3 Om presentationen Vad? Djupdykning i ämnet intrångstester - definition, karaktärsdrag, leverabler mm Problembild och förslag på bättre användande Att tänka på när man utformar ett test Varför? Tydliggöra ett komplext och missförstått/missbrukat begrepp Ökad förståelse --> bättre tester --> större värde för verksamheten Ett av mina personliga favoritområden :-) Varning! Baseras på egna erfarenheter och reflektioner som säkerhetstestare Okonventionella definitioner kan förekomma

4 Säkerhetstester

5 Allmänt Ett verktyg i verksamhetens riskhantering Verifiera skyddsmekanismer, identifiera säkerhetsbrister, prioritera åtgärder Sårbarhetsavsökning/analys, Applikationssäkerhetstest, Källkodsgranskning, Konfigurationsgranskning mm Allt vanligare... Tilltagande hotbild, växande säkerhetsindustri, compliance, mm Katalysator för kvalitetsarbete Systematiskt säkerhetsarbete Regler för testning kan beskrivas i en test- och granskningspolicy NIST SP (Technical Guide to Information Security Testing and Assessment)

6 Intrångstester

7 Definition Ett intrångstest är ett säkerhetstest där realistiska angrepp simuleras i försök att kringgå säkerheten i ett system

8 Ett koncept Med många namn Penetrationstest, Pentest, Ethical hacking... Under utveckling Red/blue teaming, wargames Social engineering Inte bara inom IT- och informationssäkerhet Fysisk säkerhet, test av perimeterskydd...

9 Vad skiljer intrångstester från andra tekniska tester? Den höga nivå av REALISM man försöker skapa i testprocessen...

10

11 Riskbaserat scenario Testet baseras på ett scenario för att erhålla ett tydligt sammanhang och fokus för testprocessen Angriparens profil Vilket är angriparens mål? Vilka är angriparens förutsättningar? - förkunskap om, och behörighet i målsystemet, samt logisk/fysisk utgångspunkt... Verksamhetens förutsättningar Vilken förhandsinformation delges verksamheten (system- och informationsägare, drift- och förvaltningsorganisationer)?

12 Holistiskt målsystem Testet utförs mot ett målsystem som definierats med ett holistikt synsätt Utgångspunkt Informationssystemet

13 Informationssystemet

14 Informationssystemet

15 Informationssystemet

16 Informationssystemet

17 Informationssystemet

18 Holistiskt målsystem Testet utförs mot ett målsystem som definierats med ett holistikt synsätt Utgångspunkt Informationssystemet Avgränsningar Väl avvägda avgränsningar är avgörande för testets kvalitet - förståelse för systemet, säkerhet, hot och risk, kombinerat på ett pragmatiskt sätt Scope Utgör området inom vilket testning får ske - inte de utpekade systemkomponenter som ska testas Konsekvens: allt testas inte! (bredd vs djup)

19 Målfokuserad testprocess Testprocessen utgör ett scenariobaserat rollspel där testaren strävar efter att uppnå angriparens mål Karaktärsdrag Dynamisk process där målet formar och driver testaktiviteter Iterativ dataanalys som formar strategier för angrepp Fokus på aktivt utnyttjande av sårbarheter Skapar ett unikt "mindset" för testaren

20 Varför realistiska tester? Extremt tydlig koppling till risk Awareness och utbildning Enda sättet att mäta faktisk/operativ säkerhet - holistiska system med komponenter i samverkan

21 Problembild Konceptet har blivit urvattnat och vagt För mycket fokus på IT och för lite på information Intrångstest-by-default, när man egentligen borde göra andra tester (vad är syftet med testet, egentligen?)

22 En bättre approach Återkommande "standardtester" (apptester, sårbarhetsanalyser osv) som det huvudsakliga verktyget för att arbeta med säkerhetsmässig kvalitet i systemkomponenter Riktade intrångstester som kompletterande verktyg för att utvärdera det övergripande arbetet med informationssäkerhet och öka medvetande i verksamheten

23 Utforma ett intrångstest

24 En process

25 Steg för steg Ingångsvärde - en osäkerhet/ovisshet (risk) Kartlägg informationssystemet - följ informationen och dess interaktionspunkter Profilera angriparen - mål, behörighet, utgångspunkt, förhandskunskap Gör pragmatiska avgränsningar - interaktionskanaler/vektorer, behörighetsroller Tips Var konkret med angriparens mål, ju mer specifikt, ju tydligare testprocess Låt testvektorer verka som den naturliga avgränsningar - undvik att "sortera bort" komponenter som är synliga över en vektor Värdefulla verktyg - "Threat modeling" och OSSTMM

26 Exempelscenario En angripare på Internet, utan förkunskaper eller behörigheter i systemmiljön, försöker erhålla obehörig åtkomst till e-post tillhörande företagets ledningsgrupp En angripare utanför det fysiska skalskyddet försöker erhålla obehörig åtkomst till företagets trådlösa nätverk En angripare inloggad i applikationen med rollen "användare", försöker erhålla obehörig åtkomst till kontokortsinformation

27 En pentestares egenskaper Teknisk kompetens och kreativitet Förmågan att kommunicera Metodik och process for iterativ dataanalys

28 Metodik (exempel)

29 Sammanfattning Intrångstester syftar till att återskapa realism (riskbaserat, holistiskt, målfokuserat) Demonstrerar risk, ger "awareness" och verifierar den operativa helheten - informationssystemets komponenter i samverkan Var klar över syftet för testet - intrångstester är inte alltid "best fit" Kartlägg systemet, profilera angriparen och gör pragmatiska avgränsningar (var noggrann med scope!) Kreativ testare för realism, god kommunikation och testprocess för professionalism

30 Kontakt Mattias Berglund 0 x m a b g m a i l. c o 0 x m a b u (twitter)

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

Swedish Association for Software Testing 2009-05-12. 2009 Inspect it AB

Swedish Association for Software Testing 2009-05-12. 2009 Inspect it AB AB Applikationssäkerhetstestning Swedish Association for Software Testing 2009-05-12 Presentation Vem är jag? Mattias Bergling, Inspect it Arbetar med Informationssäkerhet Fokus på IT-säkerhet Intrångstester

Läs mer

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet Dnr: / stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete

Läs mer

Granskning av IT-säkerhet - svar

Granskning av IT-säkerhet - svar Missiv 1(1) Kommunstyrelsens förvaltning Datum Diarienummer 2016-09-28 KS/2016:222 Handläggare Carina Åsman Tfn 0142-853 73 Kommunstyrelsen Granskning av IT-säkerhet - svar Bakgrund Revisionen har genom

Läs mer

Social Engineering ett av de största hoten mot din verksamhet

Social Engineering ett av de största hoten mot din verksamhet Social Engineering ett av de största hoten mot din verksamhet Hans Danielsson Engagement Manager Combitech Social Engineering Security Awareness 2015-05-27 Hans Danielsson Engagement Manager Cyber Security

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

Riskhantering för informationssäkerhet med ISO 27005 Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB

Riskhantering för informationssäkerhet med ISO 27005 Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB Riskhantering för informationssäkerhet med ISO 27005 Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB Varför ISO/IEC 27005 Information Security Management?? Riskanalys och riskhantering är centrala aktiviteter

Läs mer

Policy för säkerhetsarbetet i. Södertälje kommun

Policy för säkerhetsarbetet i. Södertälje kommun Policy för säkerhetsarbetet i Södertälje kommun Antagen av kommunfullmäktige den 28 september 1998 2 Södertälje kommun reglerar genom detta policydokument sin inställning till säkerhet och trygghet. Säkerhetspolicyn

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Ledningssystem för IT-tjänster

Ledningssystem för IT-tjänster Styrning och ledning av IT med stöd av internationella standarder Ledningssystem för IT-tjänster sixten.bjorklund@sipit.se 2013-11-05 Sip It AB, Sixten Björklund 1 Kort om Sixten Konsult i eget bolag Ledning

Läs mer

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket 15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller

Läs mer

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS, 2013 11 13

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS, 2013 11 13 Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? henrik.christiansson@sakerhetspolisen.se Enheten för InformationsSäkerhet och Bevissäkring i IT-miljö (ISBIT) EBITS,

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2015/322 Riktlinjer för informationssäkerhet Riskanalyser av informationssystem Fastställda av Säkerhetschefen 2015-03-06 Innehållsförteckning 1 Inledning... 3 2 Definitioner... 3 3 Syfte... 3

Läs mer

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi Molntjänster och utkontraktering av kritisk verksamhet lagar och regler Alireza Hafezi Säkerhetsskydd?! 2 Säkerhetsskyddslagen, 6 : Med säkerhetsskydd avses: > skydd mot spioneri, sabotage och andra brott

Läs mer

EBITS 2013. Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

EBITS 2013. Totalförsvarets Forskningsinstitut David Lindahl Erik Westring EBITS 2013 Totalförsvarets Forskningsinstitut David Lindahl Erik Westring Demo: Hur går ett angrepp till Något förenklat på grund av tidsbrist..men bara något. Antagonistiska hot Antagonistiska hot är

Läs mer

Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna

Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna Landstinget i Uppsala län BDO Risk Advisory Services Oslo, 25. Februari 2015 1. Inledning Innehåll 1. Innledning

Läs mer

När IT-revisorn knackar på dörren Emil Gullers och Martin Bohlin. Security World, September 2010

När IT-revisorn knackar på dörren Emil Gullers och Martin Bohlin. Security World, September 2010 När IT-revisorn knackar på dörren Emil Gullers och Martin Bohlin Security World, September 200 Agenda. Om PricewaterhouseCoopers 2. Introduktion till IT-revision 3. 4. när IT-revisorn knackar på dörren

Läs mer

Checklista utbildningar och andra möten. Best practice 2013, Mongara AB

Checklista utbildningar och andra möten. Best practice 2013, Mongara AB Checklista utbildningar och andra möten Best practice 2013, Mongara AB Vi vill med detta dokument ge dig som håller föreläsningar, informationsmöten och utbildningar några tips som ger dig möjlighet att

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

Ledning och styrning av IT-tjänster och informationssäkerhet

Ledning och styrning av IT-tjänster och informationssäkerhet Ledning och styrning av IT-tjänster och informationssäkerhet sixten.bjorklund@sipit.se 2013-05-21 Sip It AB, Sixten Björklund 1 Några standarder för ledning och styrning 2013-05-21 Sip It AB, Sixten Björklund

Läs mer

Kurser och seminarier från AddQ Consulting

Kurser och seminarier från AddQ Consulting Kurser och seminarier från AddQ Consulting Med fokus på kvalitet och effektivitet bidrar vi till att underlätta människors vardag. Kompetensutveckling är nyckeln till framgång för dig som jobbar med test,

Läs mer

Introduktionskurs INFORMATIONSSÄKERHET STOCKHOLM 25-26/11-08 GÖTEBORG 2-3/12-08

Introduktionskurs INFORMATIONSSÄKERHET STOCKHOLM 25-26/11-08 GÖTEBORG 2-3/12-08 Introduktionskurs INFORMATIONSSÄKERHET STOCKHOLM 25-26/11-08 GÖTEBORG 2-3/12-08 Introduktionskurs i informationssäkerhet Svenska företag och myndigheter förlorar anseende och stora summor pengar varje

Läs mer

Toshiba EasyGuard i praktiken: tecra a5

Toshiba EasyGuard i praktiken: tecra a5 Toshiba EasyGuard i praktiken Toshiba EasyGuard i praktiken: tecra a5 Mobil produktivitet på en helt ny nivå. Toshiba EasyGuard innehåller funktioner som är speciellt utformade för att du som använder

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

ISA Informationssäkerhetsavdelningen

ISA Informationssäkerhetsavdelningen ISA Informationssäkerhetsavdelningen Peter Nilsson, ISA N CISSP, GSLC FRA Signalunderrättelsetjänsten Drygt 600 personer Informationssäkerhetstjänsten Cirka 35 personer, sakta ökande Se även www.fra.se

Läs mer

Version 1.0. 2013-02-13 Testteam 4 Testledare: Patrik Bäck

Version 1.0. 2013-02-13 Testteam 4 Testledare: Patrik Bäck Version 1.0-2013-02-13 Testteam 4 Testledare: Patrik Bäck 0 Sammanfattning Testplanen är utarbetad som ett svar på Konsumentverkets förfrågningsunderlag avseende upphandling av ett nytt budget- och skuldsaneringssystem,

Läs mer

Teststrategier och Testcertifiering. Per Strandberg, Maj 2013

Teststrategier och Testcertifiering. Per Strandberg, Maj 2013 Teststrategier och Testcertifiering Per Strandberg, Maj 2013 1 Lite om Test i Allmänhet och ISTQB Certifiering Mål med testning? Förebygga fel Hitta fel eller risk Underlätta och ge stöd vid utveckling

Läs mer

RISKHANTERING FÖR SCADA

RISKHANTERING FÖR SCADA RISKHANTERING FÖR SCADA Informationsklassificering - Publik VÅR MÅLSÄTTNING Lämna goda råd Förslag på ett första nästa steg 1 VAD KOMMER VI ATT GÅ IGENOM? FAS 1 identifiera risker och förändringar FAS

Läs mer

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Informationssäkerhet och earkiv Rimforsa 14 april 2016 Informationssäkerhet och earkiv Rimforsa 14 april 2016 Stephen Dorch, ISMP Information - Organisationens viktigaste tillgång - Säkerhet - Informationen att lita på när jag behöver den - Samordna - Gemensamma

Läs mer

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system Stockholms läns landsting Landstingsstyrelsens förvaltning SLL Informationssäkerhet SLL IT Handläggare: Vesna Lucassi Landstingsstyrelsens innovationsberedning Ankom Stockholms läns landsting 2015-08-

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Styrelsens ansvar enligt Solvens 2

Styrelsens ansvar enligt Solvens 2 Styrelsens ansvar enligt Solvens 2 Ana Maria Matei, finansinspektör anamaria.matei@fi.se 2011-05-10 Solvens 2-visionen Ny EU-lagstiftning med fokus på riskbaserat kapitalkrav och risk management för försäkringsbolag

Läs mer

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet IT SOM TJÄNST - MOLNTJÄNSTER Användning av internetbaserade IT-tjänster tillhandahållna av extern leverantör Syfte

Läs mer

Säker programmering - Java

Säker programmering - Java Säker programmering - Java Information är en värdefull tillgång i dagens värld och en effektiv hantering sätter höga säkerhetskrav på medarbetarna. Säker programmering - Java Nowsec säkerhetsgranskar dagligen

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt Kravhantering / Testprocess - Agenda AGENDA Grundläggande kravhanteringsprocess. Insamling, dokumentation, prioritering, Test och förvaltning

Läs mer

GIS-strategi. för Nybro kommun. GIS-samordnare Lise Svensson. Antagen av kommunfullmäktige 2013-02-25

GIS-strategi. för Nybro kommun. GIS-samordnare Lise Svensson. Antagen av kommunfullmäktige 2013-02-25 GIS-strategi för Nybro kommun Antagen av kommunfullmäktige 2013-02-25 GIS-samordnare Lise Svensson 2 Inledning Bakgrund Geografiska informationssystem, GIS, används idag av de flesta kommuner, organisationer,

Läs mer

Borås Stads RSA-arbete - med fokus på bedömning av förmåga

Borås Stads RSA-arbete - med fokus på bedömning av förmåga RSA-konferens den 6-7 maj 2014 Borås Stads RSA-arbete - med fokus på bedömning av förmåga Stadskansliet Organisationen och dess ansvar, verksamhet och geografi Borås Stads organisation Stadshuskoncernen,

Läs mer

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Kravställning på e-arkiv från informationssäkerhetsperspektiv Kravställning på e-arkiv från informationssäkerhetsperspektiv Författare: Delprojektgruppen informationssäkerhet Årtal: 2014 Författare: Delprojektgruppen informationssäkerhet Sammanfattning Inom ramen

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Utveckla MIK-arbetet. systematisk utveckling av arbetet med medie- och informationskunnighet på skolan

Utveckla MIK-arbetet. systematisk utveckling av arbetet med medie- och informationskunnighet på skolan Utveckla MIK-arbetet systematisk utveckling av arbetet med medie- och informationskunnighet på skolan Systematisk utveckling av arbetet med MIK på skolan MIK för mig är en igångsättare för att lyfta MIK-frågorna

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Kontinuitetshantering i samhällsviktig verksamhet

Kontinuitetshantering i samhällsviktig verksamhet Kontinuitetshantering i samhällsviktig verksamhet Spår 1: Informationssäkerhet i kommuner 15 september 2016 Omar Harrami Innehåll Strategi och handlingsplan Skydd av samhällsviktig verksamhet Stöd för

Läs mer

Effektiv styrning av informationssäkerhet och IT-säkerhet i en komplex och samhällsviktig verksamhet

Effektiv styrning av informationssäkerhet och IT-säkerhet i en komplex och samhällsviktig verksamhet Sida 1 Effektiv styrning av informationssäkerhet och IT-säkerhet i en komplex och samhällsviktig verksamhet 1 Informationssäkerhets- & IT-säkerhetsansvarig Trafikförvaltningen (SL, Färdtjänsten och Skärgårdstrafiken)

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015 Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015 Agenda Tillvägagångssätt för att identifiera IT-relaterade risker. Exempel på olika typer av ITrelaterade granskningar.

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Incidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson 2010-12-14

Incidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson 2010-12-14 Incidenthantering ur ledningskontra teknisktperspektiv Stefan Öhlund & André Rickardsson 2010-12-14 Stefan Öhlund Senior Advisor Ansvarig för affärsområdet Risk Management Bakgrund från Säkerhetspolisen

Läs mer

Informations- säkerhet

Informations- säkerhet ISec Code of Conduct Internal information Informations- säkerhet Ditt ansvar! ISec Code of Conduct Informationssäkerhet Scanias verksamhet är beroende av att information är tillgänglig och hanteras på

Läs mer

Hur blir vi ett framgångsrikt företag? Hur skapar vi helhet i verksamheten? Hur kan vi utveckla våra affärsflöden? Vilka verktyg och strukturer

Hur blir vi ett framgångsrikt företag? Hur skapar vi helhet i verksamheten? Hur kan vi utveckla våra affärsflöden? Vilka verktyg och strukturer Hur blir vi ett framgångsrikt företag? Hur skapar vi helhet i verksamheten? Hur kan vi utveckla våra affärsflöden? Vilka verktyg och strukturer behövs? 1 Vinnande Flöden Verksamhetens affärsflöde är ditt

Läs mer

Toshiba EasyGuard i praktiken:

Toshiba EasyGuard i praktiken: Toshiba EasyGuard i praktiken Toshiba EasyGuard i praktiken: Portégé M300 Superlätt och robust allt-i-ett-produkt. Toshiba EasyGuard innehåller funktioner som är speciellt utformade för att ge ökad datasäkerhet,

Läs mer

Agil testning i SCRUM

Agil testning i SCRUM Agil testning i SCRUM Petter Salomonsson Petter.salomonsson@addq.se Tel: 0708-398435 Kort presentation AddQ Consulting AB tydlig fokus på test och kvalitetssäkringstjänster erbjuder mycket erfarna konsulter

Läs mer

Riskanalys och informationssäkerhet 7,5 hp

Riskanalys och informationssäkerhet 7,5 hp Riskanalys och informationssäkerhet 7,5 hp Margaretha Eriksson Civ.Ing. och doktorand i informationssäkerhet KTH irbiskonsult@tele2.se Föreläsning 1 Vad menar vi med säkerhet? Säkerhet är en grad av skydd

Läs mer

Nya regler om styrning och riskhantering

Nya regler om styrning och riskhantering Nya regler om styrning och riskhantering FI-forum 20 maj 2014 1 Agenda och inledning Christer Furustedt Avdelningschef Banktillsyn 2 Agenda Inledning Rättsliga aspekter Styrning, riskhantering och kontroll

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Säkerhetsgranskning

Säkerhetsgranskning Säkerhetsgranskning 15-04-17 1 Utbildning i Sambis säkerhetsgranskning 15-04-17 2 Lärare Max Korkkinen, Knowit Lennart Beckman, Beckman Security 3 Syfte denna kurs Riktad till sökande som ska göra en tillitsgranskning.

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

1 (7) Arbetsgången enligt BITS-konceptet

1 (7) Arbetsgången enligt BITS-konceptet 1 (7) Arbetsgången enligt BITS-konceptet 2 (7) Innehållsförteckning ALLMÄNT OM BITS-KONCEPTET... 3 CENTRALA BEGREPP... 3 BITS-KONCEPTETS PRODUKTER... 3 KOPPLING TILL ISO 27000... 4 ARBETSGÅNG ENLIGT BITS-KONCEPTET...

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick

Läs mer

Förändringsstrategi anpassad till just din organisations förutsättningar och förmåga

Förändringsstrategi anpassad till just din organisations förutsättningar och förmåga Förändringsstrategi anpassad till just din organisations förutsättningar och förmåga Att bedriva effektiv framgångsrik förändring har varit i fokus under lång tid. Förändringstrycket är idag högre än någonsin

Läs mer

EBITS 2013. Elförsörjningen i Cyberkriget. Långholmen. 13-14 november 2013 EBITS. Arbetsgruppen för Energibranschens Informationssäkerhet

EBITS 2013. Elförsörjningen i Cyberkriget. Långholmen. 13-14 november 2013 EBITS. Arbetsgruppen för Energibranschens Informationssäkerhet EBITS 2013 Elförsörjningen i Cyberkriget Långholmen 13-14 november 2013 EBITS Arbetsgruppen för Energibranschens Informationssäkerhet Program EBITS 13-14 november 2013 Onsdag 13 november (Konferensvärd,

Läs mer

Praktikfall Ale kommun tar kontroll över IT

Praktikfall Ale kommun tar kontroll över IT Praktikfall Ale kommun tar kontroll över IT Ale kommun 29 000 invånare 2 300 anställda DirSys 40 kommunkunder 11 konsulter Agenda Introduktion Ny förvaltningsmodell Förvaltning av förvaltningsmodellen

Läs mer

Varför just jag? kommer

Varför just jag? kommer Är du beredd? Individuell utbildning i krishantering Varför just jag? Alla företag kan drabbas av en kris och du kan komma att få en aktiv och betydelsefull roll i en sådan situation. Har du rätt kunskap

Läs mer

Min syn på optimal kommunikation i en PU-process

Min syn på optimal kommunikation i en PU-process Min syn på optimal kommunikation i en PU-process KN3060 Produktutveckling med formgivning Mälardalens högskola Anders Lindin Inledning Denna essä beskriver min syn på optimal kommunikation i en produktutvecklingsprocess.

Läs mer

CARLSSONS RESOR DEL III

CARLSSONS RESOR DEL III DEL III HANDLINGSPLAN GENOMFÖRANDE/UPPFÖLJNING HANDLINGSPLAN Aktiviteter Tidplan Budget GENOMFÖRANDE UPPFÖLJNING 1 HANDLINGSPLAN Med slutsatser från situationsanalysen samt affärsidé, strategier och mål

Läs mer

Outsourcing IT. Fullmäktiges revisionsfunktion Anders Thunholm, KPMG 2013-12-20. PROTOKOLLSBILAGA G Fullmäktiges protokoll 2013-12-20, 10

Outsourcing IT. Fullmäktiges revisionsfunktion Anders Thunholm, KPMG 2013-12-20. PROTOKOLLSBILAGA G Fullmäktiges protokoll 2013-12-20, 10 Riksbankens diarienummer 2013-111-STA PROTOKOLLSBILAGA G Fullmäktiges protokoll 2013-12-20, 10 Outsourcing IT Fullmäktiges revisionsfunktion Anders Thunholm, KPMG 2013-12-20 Outsourcing IT drift Syfte

Läs mer

Ur boken Självkänsla Bortom populärpsykologi och enkla sanningar

Ur boken Självkänsla Bortom populärpsykologi och enkla sanningar Ur boken Bortom populärpsykologi och enkla sanningar av Magnus Lindwall, Göteborgs universitet Begreppet självkänsla har under de senaste åren fått stor uppmärksamhet i populärvetenskapliga böcker. Innehållet

Läs mer

Affärsutveckling i frontlinjen. Fem kritiska färdigheter för den moderna affärsutvecklaren

Affärsutveckling i frontlinjen. Fem kritiska färdigheter för den moderna affärsutvecklaren Affärsutveckling i frontlinjen Fem kritiska färdigheter för den moderna affärsutvecklaren 2 Till dig som arbetar med affärsutveckling Funderar du och dina kollegor över nya affärsmöjligheter och hur ert

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C Säkerhet Säkerhet 2 (14) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll säkerhetsrevision 5 2.1.3 Säkerhets-

Läs mer

Stadsrevisionen. Projektplan. Hanteringen av personuppgifter i skolans it-system. goteborg.se/stadsrevisionen

Stadsrevisionen. Projektplan. Hanteringen av personuppgifter i skolans it-system. goteborg.se/stadsrevisionen Stadsrevisionen Projektplan Hanteringen av personuppgifter i skolans it-system goteborg.se/stadsrevisionen 2 PROJEKTPLAN Hanteringen av personuppgifter i skolans it-system Utvecklingen inom it-området

Läs mer

Riskhantering och riskkontroll. Hans E Peterson M.Sc., Senior Security Advisor

Riskhantering och riskkontroll. Hans E Peterson M.Sc., Senior Security Advisor Riskhantering och riskkontroll Hans E Peterson M.Sc., Senior Security Advisor Omegapoint säkrar din utveckling Rådgivare och experter: IT- och informationssäkerhet IT-arkitektur IT-ledning Seniora konsulter

Läs mer

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0 Regelverk för informationssäkerhet Omformulering av tidigare version 3.0 Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 1.3. Incidenthantering...

Läs mer

Kursplaner för Administartör IT-System Innehåll

Kursplaner för Administartör IT-System Innehåll Kursplaner för Administartör IT-System Innehåll Hårdvara och operativsystem (15 Yhp)... 2 Advanced Enterprise System Administration (25 yhp)... 2 Advanced Linux Security (25 yhp)... 2 CCNA (35 yhp)...

Läs mer

ANVÄNDARHANDBOK. Advance Online

ANVÄNDARHANDBOK. Advance Online ANVÄNDARHANDBOK Advance Online INNEHÅLL Innehåll... 2 Välkommen!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt... 4 Citrix-klienten... 4 Inloggning...

Läs mer

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet Innehållsförteckning 1. Generellt... 3 1.1. Syfte... 3 1.2. Berörda dokument... 3 1.3. Sjunet Informationssäkerhet... 3 1.4. Avgränsning...

Läs mer

Bibliotekarien som intern konsult - erfarenheter från omvärldsbevakning i kommun och företag.

Bibliotekarien som intern konsult - erfarenheter från omvärldsbevakning i kommun och företag. Katarina Kristoffersson & Bibliotekarien som intern konsult - erfarenheter från omvärldsbevakning i kommun och företag. Paper presenterat vid konferensen 11-12 oktober 2006 i Borås Om föredragshållarna

Läs mer

hypernet - Stöd för lärande Lärare

hypernet - Stöd för lärande Lärare hypernet - Stöd för lärande Lärare Innehållsförteckning Planering... 3 Ämnesövergripande planering... 3 Uppgifter... 4 Studieinfo... 6 Omdöme... 7 Utvecklingssamtal... 8 Åtgärdsprogram... 9 Mallar... 10

Läs mer

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB 2012-02-16

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB 2012-02-16 Riskhantering & Informationssäkerhet Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB 2012-02-16 Agneta Syrén CISM,CISM, CAMS Tfn. +46 739641558, E-post: agneta.syren@lansforsakringar.se

Läs mer

Revisionsrapport. Bolagsverkets informationssäkerhet. 1. Inledning 2005-08-19 32-2005-0717. Bolagsverket 851 81 SUNDSVALL.

Revisionsrapport. Bolagsverkets informationssäkerhet. 1. Inledning 2005-08-19 32-2005-0717. Bolagsverket 851 81 SUNDSVALL. Revisionsrapport Bolagsverket 851 81 SUNDSVALL Datum Dnr 2005-08-19 32-2005-0717 Bolagsverkets informationssäkerhet Riksrevisionen har som ett led i den årliga revisionen av Bolagsverket granskat ledningssystemet

Läs mer

Riskanalys och riskhantering

Riskanalys och riskhantering Riskanalys och riskhantering Margaretha Eriksson, civ.ing. och doktorand i informationssäkerhet KTH Föreläsning 2 Mål känna till stegen i en risk- och sårbarhetsanalys kunna använda risk- och sårbarhetsanalys

Läs mer

Bläddra vidare för fler referenser >>>

Bläddra vidare för fler referenser >>> Ulla Simonsson, VD Simonsson & Widerberg Lean Consulting Det Torbjörn har byggt upp är ett fundament av kunskap som många företag slarvar med. Ju fler ledningsgrupper som inser att Utvecklingssamtalet

Läs mer

ISO/IEC och Nyheter

ISO/IEC och Nyheter ISO/IEC 27001 och 27002 Nyheter Bakgrund till revisionen ISO/IEC 27001 och 27002 var cirka 10 år gamla och behövde uppdateras Harmonisering av ledningssystem (Annex SL) ISO/IEC 27001:2013(2014) ISO/IEC

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

VI TÄNKER PÅ HELHETEN

VI TÄNKER PÅ HELHETEN UTBILDNINGAR2015 VI TÄNKER PÅ HELHETEN SSF har 40 års erfarenhet av att genomföra säkerhetsutbildningar. Att skapa en trygg och säker arbetsplats handlar mycket om sunt förnuft och genom SSFs utbildningar

Läs mer

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE 2013-01-28, 8

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE 2013-01-28, 8 VÄSTERVIKS KOMMUN FÖRFATTNINGSSAMLING SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE 2013-01-28, 8 RIKTLINJER FÖR SÄKERHETSARBETET ANTAGNA AV KOMMUN- STYRELSEN 2013-01-14, 10

Läs mer

Vad är speciellt med IT-säkerhet?

Vad är speciellt med IT-säkerhet? Assurans Ett mått på tillit till IT-säkerhet i produkter och system Dag Ströman, Mats Ohlin Bonniers: Skydd, Trygghet Websters: Freedom from threats Begreppet säkerhet Behovet av en standard för säkerhet

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Lisa kortmanual. Version 8.12 2013-05-08. Miljödata AB Ronnebygatan 46 Tel. 0455-33 35 30 371 87 Karlskrona Org. nr 556324-4036 www.miljodata.

Lisa kortmanual. Version 8.12 2013-05-08. Miljödata AB Ronnebygatan 46 Tel. 0455-33 35 30 371 87 Karlskrona Org. nr 556324-4036 www.miljodata. Lisa kortmanual Version 8.12 2013-05-08 Miljödata AB Ronnebygatan 46 Tel. 0455-33 35 30 371 87 Karlskrona Org. nr 556324-4036 www.miljodata.se Systematisk uppföljning av arbetsmiljön Lisa är en förkortning

Läs mer