Riskanalys. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)
Storlek: px
Starta visningen från sidan:

Download "Riskanalys. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)"

Transkript

1 Riskanalys Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

2 Risk risk = konsekvens * sannolikheten Den klassiska definitionen ger oss en grund att stå på, även om man ibland delar upp dessa: Sannolikhet är en kombination av brist, hot och sannolikheten för hotet. Konsekvensen kan vara av olika arter, t ex pengar, förtroende, lagbrott, etc. Exempel: Varje rad i vår databas är värd 0.01kr när den är skyddad. Det finns rader i databasen. Sannolikheten för att någon får tag i vår databas är 0.5, då får vi en risk på: (0.01kr * 10000) * 0.5 = 50kr. Om någon då försöker sälja ett skydd till oss för 100kr så skulle vi i praktiken förlora 50kr på den affären, men om någon vill sälja ett skydd för 20kr så kanske vi är intresserade att skydda resterande 30kr. 2

3 Riskanalys Riskanalys är en process där vi försöker hitta varje enstaka fall som kan gå fel, och kvantifiera risken med vår ekvation. risk = konsekvens * sannolikhet Utmaningen är att göra detta på ett organiserat sätt så att man hittar så många fall som möjligt, samt att kvantifieringen blir korrekt (det är inte alltid möjligt att använda siffror). Man kan inte hitta alla fall, eftersom ingen enstaka individ eller grupp har full insyn i alla delar av ett system. 3

4 Riskanalys - Svårigheter Riskanalys är svårt. Ibland är det inte så svårt att ta reda på konsekvenserna, ofta har man ganska bra koll på vad det skulle innebära om hotet förverkligas (men inte alltid). Det är dock svårt att bedöma sannolikheten korrekt. Ett system kan bli mål för attacker från någon som testar samma attack på massor med system eller av någon som valt att specifikt attackera det system man skyddar. Sannolikheten för att hotet realiseras är då väldigt annorlunda. Att bedöma sannolikheten fel kanske gör att man sätter en för hög sannolikhet på ett hot, vilket innebär att man tar resurser från ett hot som man bedömt har lägre sannolikhet (men som i egentligen har högre). 4

5 Riskanalysmetoder Man måste avgränsa sin analys beroende på komplexiteten av systemet. Man kan inte undersöka alla detaljer in i minsta nivå, man hamnar då i en sorts analysis paralysis. An annan typ av analysis paralysis är när man är klar med sin analys, men tycker att man behöver göra mer, och mer, och mer Detaljnivån måste begränsas: Tänker du bara ta hänsyn till vilka processer som körs på datorn, eller tänker du titta på deras källkod och konfiguration också? Kvalitativ eller kvantitativ: Kommer du använda faktiska siffror för att avgöra konsekvens och sannolikhet, eller tänker du gradera dessa med t ex låg-medel-hög? 5

6 Riskanalysmetoder Det finns många metoder för riskanalys. Problemet som alla metoder har är att de förväntar sig att personen som genomför analysen hittar alla brister, hot, fall, etc. Detta kommer leda till att subjektiva åsikter blir en del av analysen: vissa kommer väga konsekvensen och/eller sannolikheten av ett hot annorlunda. Men det finns ingen perfekt matematisk modell som vi kan applicera på problemet, det finns ingen funktion som ger oss svaret på denna fråga, så analysen kommer alltid ha brister. Vissa metoder förespråkar brainstorming i grupp, så att analysen görs av flera personer. Tanken är att man hittar hot, men det finns givetvis gruppdynamiska problem (t ex att den som pratar högst får rätt, Det där har aldrig hänt förut! ). 6

7 Riskanalysmetoder Denna föreläsning I denna föreläsning kommer vi att titta på tre olika riskanalysmetoder: CORAS Information Security Risk Analysis Method (ISRAM) Attack Träd 7

8 8 CORAS

9 CORAS CORAS ger användaren ett språk för att modellera hot och risker. CORAS består av 7 steg, där varje steg kommer närmare en identifiering och kvantifiering av riskerna (i viss litteratur lägger man till ett 8:e steg, vi gör inte det). F. den Braber, I. Hogganvik, M. S. Lund, K. Stølen, F. Vraasen, "Model-based security analysis in seven steps - a guided tour to the CORAS method" Absolut nödvändig litteratur för projekt och tentamen 9

10 CORAS Steg 1 Kunder = De som äger systemet som skall säkras. Säkerhetsexperter = De som skall göra riskanalysen. Kan vara utomstående eller anställda på samma företag som kunderna. I ett möte mellan säkerhetsexperterna och kunderna kommer man fram till exakt vad det är som skall säkras. Vi ska säkra något, men vad är detta något. Vi måste tydligt veta vilka tillgångar som skall skyddas innan vi kan analysera vad som möjligtvis hotar dessa tillgångar. Vi måste också avgöra hur långt vi ska gå med analysen (dvs finns det delar som vi ska anta är säkra eller som inte ska ingå i denna analys). 10

11 11 CORAS Steg 1 the picture we see that speech and other data from the examination of a patient is streamed over a dedicated network, while access to the patient s health record (stored in a database at the regional hospital) is given Model-based security analysis in seve En low-tech bild över hur systemet Fig 2 ser Picture ut tas of fram the target. i Steg 1. Här kan man ta med även saker som inte ska säkras. I detta exempel ska inte kopplingen mot databasen säkras, men den är ändå med i bilden. analysis leader (req analysis secretary ( representatives of decision maker technical exper users (optional) Modelling guideline: system description at this stage describe the targe pictures or sketche the presentati more formal mod data-flow diagram

12 CORAS Steg 2 Systemet formuleras formellt i UML diagram av säkerhetsexperterna (class, collaboration, activity). Säkerhetsexperterna tar också fram ett CORAS asset diagram. Direct assets och indirect assets. Indirect assets är tillgångar som skadas genom att en direct asset blir skadad. Pilar visar hur skada på tillgångar påverkar varandra. Ett nytt möte mellan kunder och säkerhetsexperter där experterna visar diagram och kunderna har möjlighet att göra ändringar. 12

13 medical equipment GP terminal cardiologist terminal dedicated connection sed security analysis in seven steps a guided tour to the CORAS method Internet GP CORAS Steg 2 cardiologist Fig 3 Class diagram showing a conceptual view of the target. hardware communication firewall database :medical equipment focus terminal focus :GP terminal :cardiologist terminal medical equipment GP terminal dedicated connection cardiologist terminal :firewall :firewall :database GP cardiologist Fig 3 Class diagram showing a conceptual view of the target. Class diagram Fig 4 Collaboration diagram illustrating the physical communication lines. Collaboration diagram 13 :medical equipment :GP terminal hardware communication stakeholder that is initiating and paying for the analysis), and its four assets: Health records, Provision of telecardiology service, Patient s health and Public s trust in system. Because trust and health are difficult to measure, focus especially in a technical setting like this, the analysis leader makes a distinction between direct and indirect assets. He explains direct assets as assets that may be harmed directly by an unwanted incident, while the indirect assets are only harmed if one of the direct assets is harmed first. In the asset diagram the direct assets are placed within the target of analysis region and the indirect are placed outside. :cardiologist terminal in Fig 6 symbolise the client s, or other intere parties, relation to the assets. After agreeing on the assets, the analysts condu high-level analysis together with the analysis p ticipants. The short brainstorming should identify most important threats and vulnerabilities, but with going into great detail. In this case the client is concer about hackers, eavesdroppers, system failure whether the security mechanisms are sufficient. These threats and vulnerabilities do not necess involve major risks, but give the analysis leader valu

14 being harm log out log out indicate assets, GP log on retrieve health record establish connection connect medical equipment examine patient update health record close connection log on acknowledge connection open health record review examination cardiologist Model-based security analysis in seven steps a guided tour to the CORAS method Step 2 summary Fig 5 Tasks: CORAS Steg 2 the target as understood by the analysts is presented, the assets are identified, a high-level analysis is conducted. People that should be present: security analysis leader (required), security analysis secretary (required), representatives of the client: decision makers (required), technical expertise (required), users (optional). Modelling guidelines: Indirect asset diagrams: Activity diagram describing the parallel processes of the GP and the cardiologist. patient s health draw a region that logically or physically represents the target of analysis, health Direct telecardiology place the direct assets within the records region, service place the indirect assets outside the region (indirect assets are a harmed as a consequence of a direct asset being harmed first), Ministry of Health (client) provision of telecardiology service CORAS Asset Fig 6diagram Asset (not diagram. part of UML) public trust in system assets m if the an should be a target desc use a fo [1], but ens ly so that th create m features o configurati be work pro for the diagrams a notations) a for the d diagrams a notations). log out log out indicate with arrows which assets may affect other assets, Fig 5 14 Activity diagram Activity diagram describing the parallel processes of the GP and the cardiologist. assets may be ranked according to their importance, if the analysis has more than one client, the clients should be associated with their assets, Ministry of Health target descriptions: use a formal or standardised notation such as UML

15 CORAS Steg 2 När man har kommit överens om i detalj vilka tillgångar som skall skyddas har man en brainstorming session (både kunder och säkerhetsexperter). Det viktiga är att få fram vilka hot som klienten är orolig för, t ex att någon ser/hör något de inte får, hackare som får tillgång till information, etc. Dessa hot är inte nödvändigtvis de som är viktigast, men det är en utgångspunkt för säkerhetsexperterna. En risktabell skapas. 15

16 Model-based security analysis in seven steps a guided tour to the CORAS method CORAS Table 1 High-level risk Steg table. 2 threat scenario unwanted incident threat (accidental) threat (deliberate) threat (non-human) asset vulnerability Who/what causes it? How? What is the incident? What does it harm? What makes it possible? Hacker Breaks into the system and steals health records Insufficient security Employee Sloppiness compromises confidentiality of health records Insufficient training Eavesdropper Eavesdropping on dedicated connection Insufficient protection of connection System failure System goes down during examination Unstable connection/immature technology Employee Sloppiness compromises integrity of health record Prose-based health records (i.e. natural language) Network failure Transmission problems compromise integrity of medical data Employee Health records leak out by accident compromises their confidentiality and damages the trust in the system Unstable connection/immature technology Possibility of irregular handling of health records 4. Step 3 approval The last of the preparatory steps is the approval step. The approval is often conducted as a separate meeting, but may also take place via . The main goal is to finalise the 16 documentation and characterisation of target and assets, and get this formally approved by the client. At the end of this meeting there should be a document (possibly with a list Risktabell A risk is the potential for an unwanted incident to have an impact upon objectives (assets) [4], or in other words to reduce the value of at least one of the identified assets. Often the client accepts some risks that are not judged to be critical rather than eliminating or reducing them. This may be because of shortage of resources to implement changes, conflicting concerns, or the

17 CORAS Steg 3 Sista steget i förberedelserna. Det skall i slutet av detta steg finnas ett antal dokument som fått godkännande av alla parter. Fyra ytterligare dokument måste man komma överens om: Sortering av tillgångar (vilka risker är viktigast) Konsekvens-skalor (ibland flera beroende på vilka typer av tillgångar, det är lätt att sätta ett numeriskt värde på pengar och svårt/omöjligt på andra). Sannolikhetsskalor (tid: år, veckor, timmar, etc. eller sannolikheter: 10%,20%,1%). Riskutvärderingsmatris 17

18 iteria. The ts for each ed the mments d asset ussions e highof the nition. f the and ta in ent. to be 18 or until consequence the maximum they possible have on number the assets. of incidents The analysts per year initiate is reached. the discussion Because assets by suggesting of different a types scale of are likelihood involved, based intervals on have the an following increasing rule number of thumb of expected the events they make separate consequence scales for each of lower the incident until the likelihood maximum possible rare is set number to be of a incidents maximum per of year direct assets. Table 3 shows the consequence scale one occurrence is reached. Because during assets the target s of different lifetime; types the are remaining involved, defined for the asset Health records in terms of number they make separate consequence scales for each of the of health records affected. If feasible, the consequence direct assets. Table 3 shows the consequence scale description for an Table asset 2 may Asset include table. more than one defined for the asset Health records in terms of number measure, e.g. major could be the number of disclosed of health records affected. If feasible, the consequence health description Asset records, or the number for an asset Importance of deleted records, may include more than Type etc. one Table 4 gives the likelihood scale defined for the target as measure, e.g. major could be the number of disclosed such. By using the same scale for all scenarios and health records, or the number of deleted records, etc. Table incidents, 4 gives it the is possible likelihood to scale extract 3 defined combined for the Direct target likelihood asset as such. values By as shown using later the same in the scale risk estimation for all scenarios step. and incidents, it is possible to extract combined likelihood Table 3 Consequence scale for health records. values as shown later in the risk estimation step. Health records 2 Direct asset Provision of telecardiology service CORAS Steg 3 Public s trust in system (Scoped out) Indirect asset Patient s Consequence healthvalue 1 Description Indirect asset Catastrophic Table 3 Consequence scale health for records health(hrs) records. are affected Major Consequence value Description HRs are affected Catastrophic Moderate health records HRs are (HRs) affected are affected Major Minor HRs HRs are are affected Moderate Insignificant No HRs is are affected affected Minor Insignificant Likelihood value Table 4 Table HRs are affected Likelihood No HR scale. is affected Likelihood Description scale. 3 Certain Likelihood Five times or more per year (50-*: value Description 3 10y = 5-*: 1y) Likely Two to five times per year (21-49: 10y = 2,1-4,9: 1y) Certain Possible Five times Once or a more year per (6-20: year 10y (50-*: = 0,6-2: 10y = 1y) 5-*: 1y) Likely Unlikely Two Less to five than times once per per year year (21-49: (2-5: 10y = 0,2-0,5: 2,1-4,9: 1y) Possible Rare Less than Once once a year per (6-20: ten years 10y (0-1:10y = 0,6-2: 1y) = 0-0,1:1y) Unlikely Less than once per year (2-5: 10y = 0,2-0,5: 1y) Rare Less than once per ten years (0-1:10y = 0-0,1:1y) Finally, the representatives of the client need to the participants After completing decide to this let task this for matrix all assets cover the the other analysts assets and the as well. participants have the framework and vocabulary they need to start identifying threats (a potential cause After completing this task for all assets the analysts of an unwanted incident [5]), vulnerabilities (weaknesses and the participants have the framework and vocabulary which can be exploited by one or more threats [5]), they need to start identifying threats (a potential cause unwanted incidents and risks, and can move on to the of an unwanted incident [5]), vulnerabilities (weaknesses next step. which can be exploited by one or more threats [5]), unwanted incidents and risks, and can move on to the Step next 3 step. summary Tasks: Prioriteringar Step 3 summary Tasks: assets as well. the client approves target descriptions and asset descriptions, the the client assets should approves be ranked target according descriptions to importance, and asset descriptions, consequence scales must be set for each asset within the the assets scope should of the be analysis, ranked according to importance, Konsekvensskalor, consequence scales must kan be behövas a likelihood scale must be defined, set for each asset within olika the för scope olika of the assets analysis, the client must decide risk evaluation criteria for each a likelihood scale must be defined, asset within the scope of the analysis. the client must decide risk evaluation criteria for each Participants: asset within the scope of the analysis. Participants: the same as in the previous meeting, but, since this step sets the boundaries for the further analysis, it is Sannolikhetsskalor the important same as in that the previous the relevant meeting, decision-makers but, since this stepare sets present. the boundaries for the further analysis, it is important that the relevant decision-makers are present. 5. Step 4 risk identification To identify risks CORAS makes use of a technique called 5. structured Step brainstorming. 4 risk identification Structured brainstorming may be

19 a risk with a specific likelihood and consequence will belong to the intersecting cell. Based on a discussion in the group, the security analysis leader marks the cells in the matrix as acceptable or must be evaluated. The resulting risk evaluation matrix is shown in Table 5, and 0-*:10y is short for 50 or more incidents per 10 years, equivalent to 5 or re incidents per year. CORAS Steg 3 risks than individuals or a more homogeneous group wou have managed. The findings from the brainstorming are documente with the CORAS security risk modelling language. We w now exemplify how we model risks with the CORA language, using the symbols presented in Fig 7. Table 5 Risk evaluation matrix. Frequency Consequence Insignificant Minor Moderate Major Catastrophic Rare Acceptable Acceptable Acceptable Acceptable Must be evaluated Unlikely Acceptable Acceptable Acceptable Must be evaluated Must be evaluated Possible Acceptable Acceptable Must be evaluated Must be evaluated Must be evaluated Likely Acceptable Must be evaluated Must be evaluated Must be evaluated Must be evaluated Certain Must be evaluated Must be evaluated Must be evaluated Must be evaluated Must be evaluated Riskutvärderingsmatris BT Technology Journal Vol 25 No 1 January 200 Måste bestämma oss för vilka risker vi kan leva med och vilka som vi vill förhindra 19

20 CORAS Steg 4 Risk identifiering genom strukturerad brainstorming (bara experter). En genomgång av systemet som skall analyseras. Olika personer i gruppen har olika kompetens, bakgrund och intressen. (Behöver inte bara vara IT-personer) Gruppen kommer hitta fler (och andra typer av) hot än vad en person själv skulle kunna göra. Model-based security analysis in seven steps a guided tour to the CORAS method Dokumenteras med CORAS security risk modelling language. logical or physical region threat (accidental) threat (deliberate) threat (non-human) asset stakeholder vulnerability threat scenario treatment scenario unwanted incident risk and or 20 Fig 7 Symbols from the CORAS risk modelling language. The analysis leader challenges the participants to work with questions such as: What are you most worried structured manner and the identified unwanted incidents are documented on-the-fly (using the guidelines

21 CORAS Steg 4 Alla dokument som man skapat i steg 1, 2 och 3 används som input till brainstorming sessionen. Dessutom har man förberett threat scenario diagrams ( hot scenario diagram ). Dessa initiala dokument baseras på de hot som kunderna pekat ut i steg 2. Dessa dokument uppdateras och görs större under sessionen. 21

22 specific scenarios. Since people may be involved at different stages of the analysis, it is essential that information gathered during this session is documented in a simple and comprehensive way. The analysis leader uses the target models from Step 2 (Figs Brist 2, 3, 4 and 5) as input to the brainstorming session. The models are assessed in a stepwise and telecardiology service CORAS Steg 4 Hot scenario. and sloppiness may compromise the integrity and confidentiality of the patient s health records. The system also allows for irregular handling of health records where an employee may accidentally cause a leakage of records. A confidentiality or integrity breach may harm the health record in the sense that it is no longer secret nor correct. In the outmost consequence a faulty health record may affect the patient s health. Incident employee insufficient training prose-based health records possibility of irregular handling of health records Fig 8 sloppy handling of records health record leakage compromises confidentiality of health records compromises integrity of health records Initial threat diagram accidental actions. Initialt hot diagram för mänskliga misstag. Direkt health records patient s health Indirekt 108 BT Technology Journal Vol 25 No 1 January

23 CORAS Steg 4 Model-based security analysis in seven steps a guided tour to the CORAS method telecardiology service hacker insufficient security breaks into system steals health records eavesdropper insufficient protection of connection eavesdropping on dedicated connection compromises confidentiality of data transmitted health records Fig 9 Initial threat diagram deliberate actions. 23 telecardiology service Initialt hot diagram för mänskliga attacker. immature technology system goes down during examination examination disrupted provision of telecardiology service

24 eavesdropper insufficient protection of connection CORAS Steg 4 Fig 9 eavesdropping on dedicated connection Initial threat diagram deliberate actions. compromises confidentiality of data transmitted records telecardiology service network error system failure immature technology unstable connection system goes down during examination transmission problems examination disrupted compromises integrity of medical data provision of telecardiology service health records Fig 10 Initial threat diagram non-human threats. In the threat diagram describing deliberate harmful by employees accidental actions (Fig 8) receives much actions caused by humans, Initialt the participants hot diagram have för icke-mänskliga attention hot. among the participants and develops into identified two main threats hacker and eavesdropper Fig 11. (Fig 9). A hacker may exploit insufficient security mechanisms to break into the system and steal health records. 24 An eavesdropper is a person that, due to insufficient protection of communication lines, may gather data that is transmitted and thereby compromise Due to space limitations, we will not explore the other two threat diagrams further, but concentrate on just this one.

25 CORAS Steg 4 Model-based security analysis in seven steps a guided tour to the CORAS method GP IT personnel insufficient training prose-based health records insufficient access control possibility of irregular handling of health records health record copies stored on local computer wrong input in health record lack of competence health records sent to unauthorised people no input validation misconfiguration of system compromises integrity of health records compromises confidentiality of health records slow system patient is given wrong diagnosis health records unable to set diagnosis due to slow system patient s health telecardiology service provision of telecardiology service Expanderat hot diagram för mänskliga misstag efter session. Fig 11 Final threat diagram accidental actions. 25 people without the required competence become responsible for critical changes. This may lead to misconfiguration of the system, which again may slow it Modelling guideline: threat diagrams:

26 CORAS Steg 5 I en workshop uppskattar man sannolikheter och konsekvenser. Varje deltagare i workshopen ger en sannolikhet till varje hot scenario. Ibland kan man använda existerande data. Konsekvensen av hotet uppskattas och ett värde från konsekvensskalorna i steg 3 tillsätts varje hot scenario. Dessa värden används sedan tillsammans med riskutvärderingsmatrisen för att avgöra om risken är värd att analysera vidare och åtgärda, eller om man bara ska acceptera risken. 26

27 unwanted incident asset relation. The consequence value is taken from the consequence scale of the asset decided in Step 3. In this workshop it is especially important to include people with the competence needed to estimate realistic likelihoods and consequences, meaning that technical expertise, users and decision makers must be included. CORAS Steg 5 method that is quite straightforward and transparent. The threat scenario Health records sent out to unauthorised people and Health record copies stored on local computer can both lead to Compromises confidentiality of health records. Table 6 shows how the combined likelihood is estimated. The technique is informal, but suitable for Var the försiktig creative med structured detta! GP IT personnel insufficient training prose-based health records insufficient access control possibility of irregular handling of health records health record copies stored on local computer [unlikely] wrong input in health record [possible] lack of competence health records sent to unauthorised people [rare] no input validation misconfiguration of system [possible] compromises integrity of health records [possible] compromises confidentiality of health records [rare] slow system [possible] moderate moderate patient is given wrong diagnosis [unlikely] moderate health records catastrophic unable to set diagnosis due to slow system [likely] major Konsekvens patient s health telecardiology service provision of telecardiology service 27 Fig 12 Threat diagram with likelihood and consequence estimates.

28 . For more precise calculation of analysis (FTA)[6] may be used. It is hat the combined estimates reflect the combined estimates should be icipants for validation. CORAS Steg 6 Rare CC1 ario must be given a likelihood Unlikely PR1 anted incident Faller likelihoods utanför, are behöver based inte arbetas vidare med. Possible CI1, SS2 Likely SS1 ween an unwanted incident and an Certain n a consequence estimate. Kunden godkänner om denna The analysis matris leader är ok eller gives inte, the kan participants behöva an justera opportunity to adjust likelihood and consequence estimates, resent: konsekvenser eller sannolikheter. En sista bild över de and risker som acceptance analyserats levels, tas to fram, make med sure deras that the respektive results ader (required), evaluering. reflect reality as much as possible. 28 cretary (required), unlikely interval. In our case the risk value is determined by the risk evaluation matrix. From the four unwanted incidents in the threat diagram, the analysis secretary extracts five risks. Compromising the confidentiality of health records (CC1) may affect health records. Compromising the integrity of health records may also harm health records (CI1), in addition to patient s health if it contributes to a faulty diagnosis (PR1). Finally, slow participants reject the suggested system may slow down an examination (SS2) and harm Risk evaluering romises confidentiality of health the patient s health (SS1). Only CC1 is within acceptable the likelihood is less than Extrahera unlikely risker (compromises risk levels, confidentiality the rest need of further health records evaluation. CC1 = Table moderate 7 shows / rare) the risks placed in the risk evaluation matrix. Använd tidigare tabeller och uppskattningar för att placera riskerna i riskutvärderingsmatrisen. Table 7 Risk evaluation matrix with risks consequence. Likelihood Consequence Insignificant Minor Moderate Major Catastrophic The participants request an overview of the risks.

29 Kommer alltså inte hanteras CORAS Steg 6 Model-based security analysis in seven steps a guided tour to the CORAS method GP CC1 compromises confidentiality of health records [acceptable] health records CI1 compromises integrity of health records [unacceptable] SS1 slow system [unacceptable] PR1 patient is given wrong diagnosis [unacceptable] SS2 unable to set diagnosis due to slow system [unacceptable] patient s health IT personnel telecardiology service provision of telecardiology service 29 Fig 13 Risk overview. People that should be present: 8. Step 7 risk treatment

30 CORAS Steg 7 Alla risker som man valt att hantera (dvs som faller på rätt plats i riskutvärderingsmatrisen) behöver behandlas. I en workshop utvärderar man varje risk för att ta fram tillvägagångssätt som reducerar antingen konsekvensen eller sannolikheten för risken. Vissa tillvägagångssätt kan vara dyrare än andra, och därför väger man även in cost-benefit. Till sist har man en plan för vilka metoder och tillvägagångssätt som är nödvändiga. Denna presenteras för kunden (eller en förenklad variant). 30

31 stimates should be ation. ject the suggested ntiality of health s less than unlikely the integrity of health records may also harm health records (CI1), in addition to patient s health if it contributes to a faulty diagnosis (PR1). Finally, slow system may slow down an examination (SS2) and harm the patient s health (SS1). Only CC1 is within acceptable risk levels, the rest need further evaluation. Table 7 shows the risks placed CORAS in the risk evaluation Steg matrix. Table 7 Risk evaluation matrix with risks consequence. given a likelihood likelihoods are based Likelihood Rare Unlikely Possible Likely Consequence Insignificant Minor Moderate Major Catastrophic nted incident and an Certain e estimate. Detta måste vi alltså The behandla. analysis leader Vi behöver gives the flytta participants SS1 till ett an vitt opportunity to adjust likelihood and consequence estimates, fält. Hur gör vi det? and risk acceptance levels, to make sure that the results reflect reality as much as possible. Vi har två val, vi kan minska konsekvensen (dvs gå åt vänster) eller minska sannolikheten (dvs gå uppåt). d), The participants request an overview of the risks. They want to know who, or what, is initiating them and Det sista steget which i analysen assets they är att harm. ta fram The förslag analysis på secretary hur vi flyttar models de therisker vi inte kan acceptera. risks with their associated risk values in a risk diagram 31 according to the guidelines (see summary). The final risk diagram for unwanted incidents accidentally caused by e target (required), employees is shown in Fig 13. Since the risk of CC1 CI1, SS2 SS1 PR1

32 Model-based security analysis in seven steps a guided tour to the CORAS method extend training programme (1-2 days) CORAS Steg 7 GP prose-based health records insufficient training health record copies stored on local computer wrong input in health record no input validation compromises integrity of health records CI1 patient is given wrong diagnosis health records PR1 unable to set diagnosis due to slow system SS2 patient s health IT personnel insufficient access control lack of competence misconfiguration of system slow system SS1 telecardiology service provision of telecardiology service revise access lists 32 Fig 14 Treatment diagram.

33 CORAS - Summering Det är många dokument, men när man följer en metod kan man inte ta bort bitar som man inte förstår eller tycker är direkt nödvändiga. Läs artikeln ett par gånger, och när ni sedan själva applicerar CORAS kommer det bli tydligare hur det fungerar. Tänk på att CORAS även kan vara del av tentamen. 33

34 Information Security Risk Analysis Method ISRAM 34

35 ISRAM - Introduktion Fokuserar på ett hot och försöker uppskatta risken för detta: Risken för att datorer på ett nätverk blir infekterade av virus. Använder sig av speciellt utformade frågeformulär som besvaras av användare, experter, mm. Svaren på frågeformuläret uppskattar risken för hotet (genom att uppskatta sannolikheten och konsekvensen). 35

36 ISRAM Steg 1 och 2 Steg 1 Identifiera att det finns ett hot: virusinfektion. Steg 2 Identifiera faktorer som påverkar sannolikheten och konsekvensen av hotet, samt vikta dessa faktorer. 36

37 ISRAM Steg 2 Sannolikhetsfaktorer Konsekvensfaktorer Typen av bifogade filer i mejl 3 Backup av filer 3 Antalet mejl per dag 1 Fysisk plats av filsystem 2 Antalet nedladdade filer per dag 1 Beroende av applikacon 1 Källan av USB- scckor Vikt Förklaring 3 Faktorn påverkar risken direkt 2 Faktorn påverkar risken något 1 Faktorn påverkar risken indirekt 2 Antalet faktorer för sannolikhet behöver inte vara samma som för konsekvens. Fler vikter kan eventuellt användas, men det är svårt att särskilja på 3 och 4 i en 10 gradig skala. Definitionen av vikterna kan variera. 37

38 ISRAM Steg 3 Steg 3 Konvertera faktorer till frågor, skapa svarsalternativ till varje fråga och ge varje alternativ en poäng. Fråga A B C D Hur många mejl får du per dag? 0-10 (1) (2) (3) 41+ (4) Vems USB- scckor använder du? Endast de jag får av företaget (0) Tar med mig hemifrån (4) Hur oqa gör du backuper av filer? Varje dag (1) Varje vecka (2) Aldrig (4) Poäng för svarsalternativet är i parenteserna (anges inte på formuläret som skickas). Blandar frågor angående sannolikhet och konsekvens. Poängen är 0 till 4. 38

39 ISRAM Steg 4 Beräkna det minimala och det maximala antalet poäng som frågorna angående sannolikhet kan ge. Beräkna det minimala och det maximala antalet poäng som frågorna angående konsekvens kan ge. Skapa sedan intervall så att poäng kan konverteras till en skala från 1 till 5. Poäng Kvalita<v skala Kvan<ta<v skala Väldigt låg sannolikhet Låg sannolikhet Medel sannolikhet Hög sannolikhet Väldigt hög sannolikhet 5 Poäng Kvalita<v skala Kvan<ta<v skala Försumbar konsekvens Liten konsekvens Förhöjd konsekvens Allvarlig konsekvens Mycket allvarlig konsekvens 5 39

40 ISRAM Steg 4 Skapa en slutgiltig risktabell. Risk = Sannolikhet x Konsekvens 1: Försumbar 2: Liten 3: Förhöjd 4: Allvarlig 5: Mycket allvarlig 1: Väldigt låg 1: Väldigt låg 2: Väldigt låg 3: Väldigt låg 4: Låg 5: Låg 2: Låg 2: Väldigt låg 4: Låg 6: Låg 8: Medel 10: Medel 3: Medel 3: Väldigt låg 6: Låg 9: Medel 12: Medel 15: Hög 4: Hög 4: Låg 8: Medel 12: Medel 16: Hög 20: Väldigt hög 5: Väldigt hög 5: Låg 10: Medel 15: Hög 20: Väldigt hög 25: Väldigt hög 40

41 ISRAM Steg 5 och 6 Steg 5 Genomför undersökningen. Den kan skickas till användare av de datorer som är på det nätverk som man vill uppskatta risken för, eventuellt andra experter mfl. Steg 6 Använd en ekvation för att beräkna ett värde för risken (baserat på faktorerna för sannolikhet och konsekvens). Använd resultatet av ekvationen i risktabellen för att beräkna den slutgiltiga risken. 41

42 ISRAM Steg 6 Risk = NP n=1 [T s ( IP i=1 N i s i,n )]! NP n=1 [T k ( JP j=1 N jk j,n )]! N = antal respondenter I = antal frågor om sannolikhet J = antal frågor om konsekvens α i = vikten av sannolikhetsfråga i s i,n = poängen för det svarsalternativ som respondent n gett sannolikhetsfråga i β j = vikten av konsekvensfråga j k j,n = poängen för det svarsalternativ som respondent n get konsekvensfråga j T s en funktion som översätter ett heltal till sannolikhetsskalan 1 till 5 T k en funktion som översätter ett heltal till konsekvensskalan 1 till 5 42

43 ISRAM Steg 6 Risk = NP n=1 [T s ( IP i=1 N i s i,n )]! NP n=1 [T k ( JP j=1 N jk j,n )]! Respondent Summan av sannolikhetsfrågor T S Summan av konsekvensfrågor T K Medel: 3.5 Medel: 4 Risk = 3.5 * 4 = 14 vilket ligger mellan medium och hög risk, men närmare hög risk 43

44 ISRAM Steg 7 Steg 7 Utvärdering av resultat Den slutgiltiga uppskattade risken är det viktigaste utfallet av metoden. Risk uppskattningen kan användas för att ta beslut om man skall göra förändringar i policies och/eller mekanismer. Samtidigt har man samlat in mycket information om användandet av systemet, t ex kan man få reda på om användare håller sina system kontinuerligt uppdaterade, om de använder adminkonton på rätt sätt, etc. Den extra informationen är värdefull när det kommer till att bestämma vilka förändringar som bör göras. 44

45 ISRAM - Slutsatser ISRAM är användbart när man vill uppskatta risken för ett specifikt hot. Det behövs bara en person som administrerar riskanalysen om det finns respondenter. (Det kan vara fördelaktigt att flera administrerar riskanalysen då man avgör poäng och vikter). Utfallet av riskanalysen är väldigt beroende på de vikter och poäng som sätts, och dessutom på vilka frågor som ställs (man kan inte få svar på frågor som man inte ställer). 45

46 46 ATTACK TRÄD

47 Attack träd Representera attacker mot ett system i en trädstruktur, med målet av attacken som rotnod och de olika vägarna att lyckas med attacken som grenar och löv. 47

48 Attack Träd Open Safe Pick lock Learn combo Cut open Install improperly Find written combo Get combo from target Threaten Blackmail Eavesdrop Bribe Listen to conversation Get target to state combo 48

49 Attack Träd Open Safe Pick lock Learn combo Cut open Install improperly Find written combo Get combo from target Threaten Blackmail Eavesdrop Bribe and Listen to conversation Get target to state combo 49

50 Attack Träd P Open Safe I P Pick lock Learn combo Cut open P I Install improperly I Find written combo P Get combo from target I I I P Threaten Blackmail Eavesdrop Bribe and P Listen to conversation I Get target to state combo 50

51 Attack Träd P $10 Open Safe I P Pick lock Learn combo Cut open $30 $20 $10 $100 P I Install improperly I $60 I $75 Find written combo I P Get combo from target Threaten Blackmail Eavesdrop Bribe $100 $20 I P $60 $20 and P I Listen to Get target to conversation state combo $20 $40 51

52 Attack Träd Vi kan annotera trädet med många olika typer av Booleska eller reella värden: Laglig och Ej laglig Kräver special utrustning och Kräver ingen specialutrustning Sannolikheten för att man lyckas, sannolikheten av attack, etc. När vi har annoterat trädet kan vi ställa frågor: Vilken attack kostar mindre än $10? Vilka lagliga attacker kostar mer än $50? Är det värt att betala en person $80 för att öka motståndskraften mot korruption? 52

53 Attack Träd Identifiera målen (rotnoderna). Varje mål blir ett eget träd. Lägg till alla attacker som du kan komma på som löv till rotnoden. Expandera varje attack som om den vore ett mål i sig själv. Låt någon annan titta på ditt träd, få kommentarer från andra experter, iterera Behåll träden uppdaterade och använd de när du tar beslut om säkerhetspolicies och mekanismer. 53

54 Riskanalys - Summering Riskanalysen är en grundsten: Utveckling av programvara kräver att man först gör en riskanalys för att identifiera områden som kräver extra försiktighet. Expansion av ett företag till nya miljöer kräver riskanalys av fysisk säkerhet. Byte av nätverkssystem kräver riskanalys för att identifiera vilka sektioner och säkerhetsnivåer som behövs. 54

55 Riskanalys - Summering Många olika metoder existerar, gäller att hitta den som passar resurserna och målet. CORAS, ISRAM och Attack Träd har alla sina egna för- och nackdelar. Riskanalys är svårt, väldigt svårt, och en lyckad analys är beroende av experterna som genomför den. Att begränsa analysen, ta hjälp av andra experter och att vara organiserad är viktigt för att öka möjligheterna för en lyckad analys. 55

56

Relevanta dokument

Riskanalys. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Riskanalys. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) Riskanalys Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) 2 Risk risk = konsekvens * sannolikheten Den klassiska definitionen ger oss en grund

Läs mer

http://marvel.com/games/play/31/create_your_own_superhero http://www.heromachine.com/

http://marvel.com/games/play/31/create_your_own_superhero http://www.heromachine.com/ Name: Year 9 w. 4-7 The leading comic book publisher, Marvel Comics, is starting a new comic, which it hopes will become as popular as its classics Spiderman, Superman and The Incredible Hulk. Your job

Läs mer

Health café. Self help groups. Learning café. Focus on support to people with chronic diseases and their families

Health café. Self help groups. Learning café. Focus on support to people with chronic diseases and their families Health café Resources Meeting places Live library Storytellers Self help groups Heart s house Volunteers Health coaches Learning café Recovery Health café project Focus on support to people with chronic

Läs mer

Support Manual HoistLocatel Electronic Locks

Support Manual HoistLocatel Electronic Locks Support Manual HoistLocatel Electronic Locks 1. S70, Create a Terminating Card for Cards Terminating Card 2. Select the card you want to block, look among Card No. Then click on the single arrow pointing

Läs mer

FÖRBERED UNDERLAG FÖR BEDÖMNING SÅ HÄR

FÖRBERED UNDERLAG FÖR BEDÖMNING SÅ HÄR FÖRBERED UNDERLAG FÖR BEDÖMNING SÅ HÄR Kontrollera vilka kurser du vill söka under utbytet. Fyll i Basis for nomination for exchange studies i samråd med din lärare. För att läraren ska kunna göra en korrekt

Läs mer

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) Designprinciper för säkerhet och Epilog Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) Designprinciper för säkerhet Tumregler och utgångspunkter

Läs mer

Isometries of the plane

Isometries of the plane Isometries of the plane Mikael Forsberg August 23, 2011 Abstract Här följer del av ett dokument om Tesselering som jag skrivit för en annan kurs. Denna del handlar om isometrier och innehåller bevis för

Läs mer

CHANGE WITH THE BRAIN IN MIND. Frukostseminarium 11 oktober 2018

CHANGE WITH THE BRAIN IN MIND. Frukostseminarium 11 oktober 2018 CHANGE WITH THE BRAIN IN MIND Frukostseminarium 11 oktober 2018 EGNA FÖRÄNDRINGAR ü Fundera på ett par förändringar du drivit eller varit del av ü De som gått bra och det som gått dåligt. Vi pratar om

Läs mer

Datasäkerhet och integritet

Datasäkerhet och integritet Chapter 4 module A Networking Concepts OSI-modellen TCP/IP This module is a refresher on networking concepts, which are important in information security A Simple Home Network 2 Unshielded Twisted Pair

Läs mer

Manhour analys EASA STI #17214

Manhour analys EASA STI #17214 Manhour analys EASA STI #17214 Presentatör Johan Brunnberg, Flygteknisk Inspektör & Del-M Koordinator Sjö- och luftfartsavdelningen Operatörsenheten Sektionen för teknisk operation 1 Innehåll Anmärkningen

Läs mer

Design Service Goal. Hantering av demonterbara delar som ingår i Fatigue Critical Baseline Structure List. Presentatör

Design Service Goal. Hantering av demonterbara delar som ingår i Fatigue Critical Baseline Structure List. Presentatör Design Service Goal Hantering av demonterbara delar som ingår i Fatigue Critical Baseline Structure List Presentatör Thobias Log Flygteknisk Inspektör Sjö- och luftfartsavdelningen Enheten för operatörer,

Läs mer

1. Compute the following matrix: (2 p) 2. Compute the determinant of the following matrix: (2 p)

1. Compute the following matrix: (2 p) 2. Compute the determinant of the following matrix: (2 p) UMEÅ UNIVERSITY Department of Mathematics and Mathematical Statistics Pre-exam in mathematics Linear algebra 2012-02-07 1. Compute the following matrix: (2 p 3 1 2 3 2 2 7 ( 4 3 5 2 2. Compute the determinant

Läs mer

Preschool Kindergarten

Preschool Kindergarten Preschool Kindergarten Objectives CCSS Reading: Foundational Skills RF.K.1.D: Recognize and name all upper- and lowercase letters of the alphabet. RF.K.3.A: Demonstrate basic knowledge of one-toone letter-sound

Läs mer

The Swedish National Patient Overview (NPO)

The Swedish National Patient Overview (NPO) The Swedish National Patient Overview (NPO) Background and status 2009 Tieto Corporation Christer Bergh Manager of Healthcare Sweden Tieto, Healthcare & Welfare christer.bergh@tieto.com Agenda Background

Läs mer

Examensarbete Introduk)on - Slutsatser Anne Håkansson annehak@kth.se Studierektor Examensarbeten ICT-skolan, KTH

Examensarbete Introduk)on - Slutsatser Anne Håkansson annehak@kth.se Studierektor Examensarbeten ICT-skolan, KTH Examensarbete Introduk)on - Slutsatser Anne Håkansson annehak@kth.se Studierektor Examensarbeten ICT-skolan, KTH 2016 Anne Håkansson All rights reserved. Svårt Harmonisera -> Introduktion, delar: Fråga/

Läs mer

Workplan Food. Spring term 2016 Year 7. Name:

Workplan Food. Spring term 2016 Year 7. Name: Workplan Food Spring term 2016 Year 7 Name: During the time we work with this workplan you will also be getting some tests in English. You cannot practice for these tests. Compulsory o Read My Canadian

Läs mer

Module 6: Integrals and applications

Module 6: Integrals and applications Department of Mathematics SF65 Calculus Year 5/6 Module 6: Integrals and applications Sections 6. and 6.5 and Chapter 7 in Calculus by Adams and Essex. Three lectures, two tutorials and one seminar. Important

Läs mer

Materialplanering och styrning på grundnivå. 7,5 högskolepoäng

Materialplanering och styrning på grundnivå. 7,5 högskolepoäng Materialplanering och styrning på grundnivå Provmoment: Ladokkod: Tentamen ges för: Skriftlig tentamen TI6612 Af3-Ma, Al3, Log3,IBE3 7,5 högskolepoäng Namn: (Ifylles av student) Personnummer: (Ifylles

Läs mer

6 th Grade English October 6-10, 2014

6 th Grade English October 6-10, 2014 6 th Grade English October 6-10, 2014 Understand the content and structure of a short story. Imagine an important event or challenge in the future. Plan, draft, revise and edit a short story. Writing Focus

Läs mer

Swedish framework for qualification www.seqf.se

Swedish framework for qualification www.seqf.se Swedish framework for qualification www.seqf.se Swedish engineering companies Qualification project leader Proposal - a model to include the qualifications outside of the public education system to the

Läs mer

Beijer Electronics AB 2000, MA00336A, 2000-12

Beijer Electronics AB 2000, MA00336A, 2000-12 Demonstration driver English Svenska Beijer Electronics AB 2000, MA00336A, 2000-12 Beijer Electronics AB reserves the right to change information in this manual without prior notice. All examples in this

Läs mer

Kurskod: TAMS28 MATEMATISK STATISTIK Provkod: TEN1 05 June 2017, 14:00-18:00. English Version

Kurskod: TAMS28 MATEMATISK STATISTIK Provkod: TEN1 05 June 2017, 14:00-18:00. English Version Kurskod: TAMS28 MATEMATISK STATISTIK Provkod: TEN1 5 June 217, 14:-18: Examiner: Zhenxia Liu (Tel: 7 89528). Please answer in ENGLISH if you can. a. You are allowed to use a calculator, the formula and

Läs mer

Isolda Purchase - EDI

Isolda Purchase - EDI Isolda Purchase - EDI Document v 1.0 1 Table of Contents Table of Contents... 2 1 Introduction... 3 1.1 What is EDI?... 4 1.2 Sending and receiving documents... 4 1.3 File format... 4 1.3.1 XML (language

Läs mer

Service och bemötande. Torbjörn Johansson, GAF Pär Magnusson, Öjestrand GC

Service och bemötande. Torbjörn Johansson, GAF Pär Magnusson, Öjestrand GC Service och bemötande Torbjörn Johansson, GAF Pär Magnusson, Öjestrand GC Vad är service? Åsikter? Service är något vi upplever i vårt möte med butikssäljaren, med kundserviceavdelningen, med företagets

Läs mer

Skyddande av frågebanken

Skyddande av frågebanken Presentatör Martin Francke Flygteknisk inspektör Sjö- och luftfartsavdelningen Enheten för operatörer, fartyg och luftfartyg Sektionen för underhålls- och tillverkningsorganisationer 1 147.A.145 Privileges

Läs mer

Alias 1.0 Rollbaserad inloggning

Alias 1.0 Rollbaserad inloggning Alias 1.0 Rollbaserad inloggning Alias 1.0 Rollbaserad inloggning Magnus Bergqvist Tekniskt Säljstöd Magnus.Bergqvist@msb.se 072-502 09 56 Alias 1.0 Rollbaserad inloggning Funktionen Förutsättningar Funktionen

Läs mer

LARS. Ett e-bokningssystem för skoldatorer.

LARS. Ett e-bokningssystem för skoldatorer. LARS Ett e-bokningssystem för skoldatorer. Därför behöver vi LARS Boka dator i förväg. Underlätta för studenter att hitta ledig dator. Rapportera datorer som är sönder. Samordna med schemaläggarnas system,

Läs mer

Bilaga 5 till rapport 1 (5)

Bilaga 5 till rapport 1 (5) Bilaga 5 till rapport 1 (5) EEG som stöd för diagnosen total hjärninfarkt hos barn yngre än två år en systematisk litteraturöversikt, rapport 290 (2018) Bilaga 5 Granskningsmallar Instruktion för granskning

Läs mer

Writing with context. Att skriva med sammanhang

Writing with context. Att skriva med sammanhang Writing with context Att skriva med sammanhang What makes a piece of writing easy and interesting to read? Discuss in pairs and write down one word (in English or Swedish) to express your opinion http://korta.nu/sust(answer

Läs mer

Exportmentorserbjudandet!

Exportmentorserbjudandet! Exportmentor - din personliga Mentor i utlandet Handelskamrarnas erbjudande till små och medelstora företag som vill utöka sin export Exportmentorserbjudandet! Du som företagare som redan har erfarenhet

Läs mer

Riskhantering för informationssäkerhet med ISO 27005 Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB

Riskhantering för informationssäkerhet med ISO 27005 Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB Riskhantering för informationssäkerhet med ISO 27005 Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB Varför ISO/IEC 27005 Information Security Management?? Riskanalys och riskhantering är centrala aktiviteter

Läs mer

Mönster. Ulf Cederling Växjö University Ulf.Cederling@msi.vxu.se http://www.msi.vxu.se/~ulfce. Slide 1

Mönster. Ulf Cederling Växjö University Ulf.Cederling@msi.vxu.se http://www.msi.vxu.se/~ulfce. Slide 1 Mönster Ulf Cederling Växjö University UlfCederling@msivxuse http://wwwmsivxuse/~ulfce Slide 1 Beskrivningsmall Beskrivningsmallen är inspirerad av den som användes på AG Communication Systems (AGCS) Linda

Läs mer

Questionnaire for visa applicants Appendix A

Questionnaire for visa applicants Appendix A Questionnaire for visa applicants Appendix A Business Conference visit 1 Personal particulars Surname Date of birth (yr, mth, day) Given names (in full) 2 Your stay in Sweden A. Who took the initiative

Läs mer

Stad + Data = Makt. Kart/GIS-dag SamGIS Skåne 6 december 2017

Stad + Data = Makt. Kart/GIS-dag SamGIS Skåne 6 december 2017 Smart@Helsingborg Stadsledningsförvaltningen Digitaliseringsavdelningen the World s most engaged citizens Stad + Data = Makt Kart/GIS-dag SamGIS Skåne 6 december 2017 Photo: Andreas Fernbrant Urbanisering

Läs mer

Swedish adaptation of ISO TC 211 Quality principles. Erik Stenborg

Swedish adaptation of ISO TC 211 Quality principles. Erik Stenborg Swedish adaptation of ISO TC 211 Quality principles The subject How to use international standards Linguistic differences Cultural differences Historical differences Conditions ISO 19100 series will become

Läs mer

Kundfokus Kunden och kundens behov är centrala i alla våra projekt

Kundfokus Kunden och kundens behov är centrala i alla våra projekt D-Miljö AB bidrar till en renare miljö genom projekt där vi hjälper våra kunder att undersöka och sanera förorenad mark och förorenat grundvatten. Vi bistår dig som kund från projektets start till dess

Läs mer

EVALUATION OF ADVANCED BIOSTATISTICS COURSE, part I

EVALUATION OF ADVANCED BIOSTATISTICS COURSE, part I UMEÅ UNIVERSITY Faculty of Medicine Spring 2012 EVALUATION OF ADVANCED BIOSTATISTICS COURSE, part I 1) Name of the course: Logistic regression 2) What is your postgraduate subject? Tidig reumatoid artrit

Läs mer

Why WE care? Anders Lundberg Fire Protection Engineer The Unit for Fire Protection & Flammables Swedish Civil Contingencies Agency

Why WE care? Anders Lundberg Fire Protection Engineer The Unit for Fire Protection & Flammables Swedish Civil Contingencies Agency Why WE care? Anders Lundberg Fire Protection Engineer The Unit for Fire Protection & Flammables Swedish Civil Contingencies Agency Assignment Assignment from the Ministry of Defence MSB shall, in collaboration

Läs mer

Support for Artist Residencies

Support for Artist Residencies 1. Basic information 1.1. Name of the Artist-in-Residence centre 0/100 1.2. Name of the Residency Programme (if any) 0/100 1.3. Give a short description in English of the activities that the support is

Läs mer

A metadata registry for Japanese construction field

A metadata registry for Japanese construction field A metadata registry for Japanese construction field LCDM Forum, Japan October 25 th -27 th - 2006 TAKEYA, Isobe LCDM Forum Secretariat Document No. GEC-2005-002 LCDM Forum, Japan LCDM Forum, Japan Non-profit

Läs mer

Installation Instructions

Installation Instructions Installation Instructions (Cat. No. 1794-IE8 Series B) This module mounts on a 1794 terminal base unit. 1. Rotate keyswitch (1) on terminal base unit (2) clockwise to position 3 as required for this type

Läs mer

Information technology Open Document Format for Office Applications (OpenDocument) v1.0 (ISO/IEC 26300:2006, IDT) SWEDISH STANDARDS INSTITUTE

Information technology Open Document Format for Office Applications (OpenDocument) v1.0 (ISO/IEC 26300:2006, IDT) SWEDISH STANDARDS INSTITUTE SVENSK STANDARD SS-ISO/IEC 26300:2008 Fastställd/Approved: 2008-06-17 Publicerad/Published: 2008-08-04 Utgåva/Edition: 1 Språk/Language: engelska/english ICS: 35.240.30 Information technology Open Document

Läs mer

Grafisk teknik IMCDP IMCDP IMCDP. IMCDP(filter) Sasan Gooran (HT 2006) Assumptions:

Grafisk teknik IMCDP IMCDP IMCDP. IMCDP(filter) Sasan Gooran (HT 2006) Assumptions: IMCDP Grafisk teknik The impact of the placed dot is fed back to the original image by a filter Original Image Binary Image Sasan Gooran (HT 2006) The next dot is placed where the modified image has its

Läs mer

Ökat personligt engagemang En studie om coachande förhållningssätt

Ökat personligt engagemang En studie om coachande förhållningssätt Lärarutbildningen Fakulteten för lärande och samhälle Individ och samhälle Uppsats 7,5 högskolepoäng Ökat personligt engagemang En studie om coachande förhållningssätt Increased personal involvement A

Läs mer

Självkörande bilar. Alvin Karlsson TE14A 9/3-2015

Självkörande bilar. Alvin Karlsson TE14A 9/3-2015 Självkörande bilar Alvin Karlsson TE14A 9/3-2015 Abstract This report is about driverless cars and if they would make the traffic safer in the future. Google is currently working on their driverless car

Läs mer

Styrteknik: Binära tal, talsystem och koder D3:1

Styrteknik: Binära tal, talsystem och koder D3:1 Styrteknik: Binära tal, talsystem och koder D3:1 Digitala kursmoment D1 Boolesk algebra D2 Grundläggande logiska funktioner D3 Binära tal, talsystem och koder Styrteknik :Binära tal, talsystem och koder

Läs mer

Risk Management Riskhantering i flygföretag

Risk Management Riskhantering i flygföretag Risk Management Riskhantering i flygföretag Nytt krav inom ledningssystemet ORO.GEN.200(a)(3) med vidhängande AMC1 ORO.GEN.200(a)(1);(2);(3);(5) Magnus Molitor Transportstyrelsen 1 Riskhantering i sitt

Läs mer

Designmönster för sociala användningssituationer

Designmönster för sociala användningssituationer Designmönster för sociala användningssituationer Baserat på Interaction design patterns for computers in sociable use, kommande artikel i International Journal of Computer Applications in Technology, matar@ida.liu.se

Läs mer

Michael Q. Jones & Matt B. Pedersen University of Nevada Las Vegas

Michael Q. Jones & Matt B. Pedersen University of Nevada Las Vegas Michael Q. Jones & Matt B. Pedersen University of Nevada Las Vegas The Distributed Application Debugger is a debugging tool for parallel programs Targets the MPI platform Runs remotley even on private

Läs mer

The Municipality of Ystad

The Municipality of Ystad The Municipality of Ystad Coastal management in a local perspective TLC The Living Coast - Project seminar 26-28 nov Mona Ohlsson Project manager Climate and Environment The Municipality of Ystad Area:

Läs mer

SWESIAQ Swedish Chapter of International Society of Indoor Air Quality and Climate

SWESIAQ Swedish Chapter of International Society of Indoor Air Quality and Climate Swedish Chapter of International Society of Indoor Air Quality and Climate Aneta Wierzbicka Swedish Chapter of International Society of Indoor Air Quality and Climate Independent and non-profit Swedish

Läs mer

Module 1: Functions, Limits, Continuity

Module 1: Functions, Limits, Continuity Department of mathematics SF1625 Calculus 1 Year 2015/2016 Module 1: Functions, Limits, Continuity This module includes Chapter P and 1 from Calculus by Adams and Essex and is taught in three lectures,

Läs mer

Beslut om bolaget skall gå i likvidation eller driva verksamheten vidare.

Beslut om bolaget skall gå i likvidation eller driva verksamheten vidare. ÅRSSTÄMMA REINHOLD POLSKA AB 7 MARS 2014 STYRELSENS FÖRSLAG TILL BESLUT I 17 Beslut om bolaget skall gå i likvidation eller driva verksamheten vidare. Styrelsen i bolaget har upprättat en kontrollbalansräkning

Läs mer

Make a speech. How to make the perfect speech. söndag 6 oktober 13

Make a speech. How to make the perfect speech. söndag 6 oktober 13 Make a speech How to make the perfect speech FOPPA FOPPA Finding FOPPA Finding Organizing FOPPA Finding Organizing Phrasing FOPPA Finding Organizing Phrasing Preparing FOPPA Finding Organizing Phrasing

Läs mer

8 < x 1 + x 2 x 3 = 1, x 1 +2x 2 + x 4 = 0, x 1 +2x 3 + x 4 = 2. x 1 2x 12 1A är inverterbar, och bestäm i så fall dess invers.

8 < x 1 + x 2 x 3 = 1, x 1 +2x 2 + x 4 = 0, x 1 +2x 3 + x 4 = 2. x 1 2x 12 1A är inverterbar, och bestäm i så fall dess invers. MÄLARDALENS HÖGSKOLA Akademin för utbildning, kultur och kommunikation Avdelningen för tillämpad matematik Examinator: Erik Darpö TENTAMEN I MATEMATIK MAA150 Vektoralgebra TEN1 Datum: 9januari2015 Skrivtid:

Läs mer

EASA Standardiseringsrapport 2014

EASA Standardiseringsrapport 2014 EASA Standardiseringsrapport 2014 Inför EASA Standardiseringsinspektion hösten 2016 Presentatör Johan Brunnberg, Flygteknisk Inspektör & Del-M Koordinator Sjö- och luftfartsavdelningen Enheten för operatörer,

Läs mer

State Examinations Commission

State Examinations Commission State Examinations Commission Marking schemes published by the State Examinations Commission are not intended to be standalone documents. They are an essential resource for examiners who receive training

Läs mer

Kursplan. AB1029 Introduktion till Professionell kommunikation - mer än bara samtal. 7,5 högskolepoäng, Grundnivå 1

Kursplan. AB1029 Introduktion till Professionell kommunikation - mer än bara samtal. 7,5 högskolepoäng, Grundnivå 1 Kursplan AB1029 Introduktion till Professionell kommunikation - mer än bara samtal 7,5 högskolepoäng, Grundnivå 1 Introduction to Professional Communication - more than just conversation 7.5 Higher Education

Läs mer

Senaste trenderna inom redovisning, rapportering och bolagsstyrning Lars-Olle Larsson, Swedfund International AB

Senaste trenderna inom redovisning, rapportering och bolagsstyrning Lars-Olle Larsson, Swedfund International AB 1 Senaste trenderna inom redovisning, rapportering och bolagsstyrning Lars-Olle Larsson, Swedfund International AB 2 PwC undersökning av börsföretag & statligt ägda företag Årlig undersökning av års- &

Läs mer

Viktig information för transmittrar med option /A1 Gold-Plated Diaphragm

Viktig information för transmittrar med option /A1 Gold-Plated Diaphragm Viktig information för transmittrar med option /A1 Gold-Plated Diaphragm Guldplätering kan aldrig helt stoppa genomträngningen av vätgas, men den får processen att gå långsammare. En tjock guldplätering

Läs mer

2.1 Installation of driver using Internet Installation of driver from disk... 3

2.1 Installation of driver using Internet Installation of driver from disk... 3 &RQWHQW,QQHKnOO 0DQXDOÃ(QJOLVKÃ'HPRGULYHU )RUHZRUG Ã,QWURGXFWLRQ Ã,QVWDOOÃDQGÃXSGDWHÃGULYHU 2.1 Installation of driver using Internet... 3 2.2 Installation of driver from disk... 3 Ã&RQQHFWLQJÃWKHÃWHUPLQDOÃWRÃWKHÃ3/&ÃV\VWHP

Läs mer

EXTERNAL ASSESSMENT SAMPLE TASKS SWEDISH BREAKTHROUGH LSPSWEB/0Y09

EXTERNAL ASSESSMENT SAMPLE TASKS SWEDISH BREAKTHROUGH LSPSWEB/0Y09 EXTENAL ASSESSENT SAPLE TASKS SWEDISH BEAKTHOUGH LSPSWEB/0Y09 Asset Languages External Assessment Sample Tasks Breakthrough Stage Listening and eading Swedish Contents Page Introduction 2 Listening Sample

Läs mer

Webbregistrering pa kurs och termin

Webbregistrering pa kurs och termin Webbregistrering pa kurs och termin 1. Du loggar in på www.kth.se via den personliga menyn Under fliken Kurser och under fliken Program finns på höger sida en länk till Studieöversiktssidan. På den sidan

Läs mer

Provlektion Just Stuff B Textbook Just Stuff B Workbook

Provlektion Just Stuff B Textbook Just Stuff B Workbook Provlektion Just Stuff B Textbook Just Stuff B Workbook Genomförande I provlektionen får ni arbeta med ett avsnitt ur kapitlet Hobbies - The Rehearsal. Det handlar om några elever som skall sätta upp Romeo

Läs mer

Changes in value systems in Sweden and USA between 1996 and 2006

Changes in value systems in Sweden and USA between 1996 and 2006 Changes in value systems in Sweden and USA between 1996 and 2006 Per Sjölander Kristian Stålne Swedish network for Adult development Stages according to EDT (Loevinger) Stage Characteristics E4 Conformist/Diplomat

Läs mer

Resultat av den utökade första planeringsövningen inför RRC september 2005

Resultat av den utökade första planeringsövningen inför RRC september 2005 Resultat av den utökade första planeringsövningen inför RRC-06 23 september 2005 Resultat av utökad första planeringsövning - Tillägg av ytterligare administrativa deklarationer - Variant (av case 4) med

Läs mer

Samverkan på departementsnivå om Agenda 2030 och minskade hälsoklyftor

Samverkan på departementsnivå om Agenda 2030 och minskade hälsoklyftor Samverkan på departementsnivå om Agenda 2030 och minskade hälsoklyftor Resultat från en intervjustudie i Finland, Norge och Sverige Mötesplats social hållbarhet Uppsala 17-18 september 2018 karinguldbrandsson@folkhalsomyndighetense

Läs mer

Measuring child participation in immunization registries: two national surveys, 2001

Measuring child participation in immunization registries: two national surveys, 2001 Measuring child participation in immunization registries: two national surveys, 2001 Diana Bartlett Immunization Registry Support Branch National Immunization Program Objectives Describe the progress of

Läs mer

Sectra Critical Security Services. Fel bild

Sectra Critical Security Services. Fel bild Sectra Critical Security Services Fel bild Sectra is world leading in data security Sectra is also one of Europes most reknown IT-security companies with solutions such as: EU TOP SECRET High speed encryption

Läs mer

Klicka här för att ändra format

Klicka här för att ändra format på 1 på Marianne Andrén General Manager marianne.andren@sandviken.se Sandbacka Park Högbovägen 45 SE 811 32 Sandviken Telephone: +46 26 24 21 33 Mobile: +46 70 230 67 41 www.isea.se 2 From the Off e project

Läs mer

Vad kännetecknar en god klass. Vad kännetecknar en god klass. F12 Nested & Inner Classes

Vad kännetecknar en god klass. Vad kännetecknar en god klass. F12 Nested & Inner Classes Vad kännetecknar en god klass F12 Nested & En odelad, väldefinierad abstraktion Uppgiften kan beskrivas kort och tydlig Namnet är en substantiv eller adjektiv som beskriver abstraktionen på ett adekvat

Läs mer

Läkemedelsverkets Farmakovigilansdag

Läkemedelsverkets Farmakovigilansdag Swedish Medical Products Agency s Patient- and Consumer Advisory Board Brita Sjöström May 29, 2018 Patientrådet@mpa.se https://lakemedelsverket.se/patient-konsument-rad The vision of the Swedish Medical

Läs mer

Kvalitetsarbete I Landstinget i Kalmar län. 24 oktober 2007 Eva Arvidsson

Kvalitetsarbete I Landstinget i Kalmar län. 24 oktober 2007 Eva Arvidsson Kvalitetsarbete I Landstinget i Kalmar län 24 oktober 2007 Eva Arvidsson Bakgrund Sammanhållen primärvård 2005 Nytt ekonomiskt system Olika tradition och förutsättningar Olika pågående projekt Get the

Läs mer

Do you Think there is a problem with the car traffic to or from the inner city weekdays ?

Do you Think there is a problem with the car traffic to or from the inner city weekdays ? Do you Think there is a problem with the car traffic to or from the inner city weekdays 06.00 18.00? Tycker du att det finns några problem med biltrafiken till/från eller genom innerstaden under vardagar

Läs mer

Grafisk teknik IMCDP. Sasan Gooran (HT 2006) Assumptions:

Grafisk teknik IMCDP. Sasan Gooran (HT 2006) Assumptions: Grafisk teknik Sasan Gooran (HT 2006) Iterative Method Controlling Dot Placement (IMCDP) Assumptions: The original continuous-tone image is scaled between 0 and 1 0 and 1 represent white and black respectively

Läs mer

1. Varje bevissteg ska motiveras formellt (informella bevis ger 0 poang)

1. Varje bevissteg ska motiveras formellt (informella bevis ger 0 poang) Tentamen i Programmeringsteori Institutionen for datorteknik Uppsala universitet 1996{08{14 Larare: Parosh A. A., M. Kindahl Plats: Polacksbacken Skrivtid: 9 15 Hjalpmedel: Inga Anvisningar: 1. Varje bevissteg

Läs mer

Förtroende ANNA BRATTSTRÖM

Förtroende ANNA BRATTSTRÖM Förtroende ANNA BRATTSTRÖM The importance of this treaty transcends numbers. We have been listening to an old Russian maxim dovaray ne proveray Trust, but Verify Vad innebär förtroende? Förtroende är ett

Läs mer

MÅLSTYRNING OCH LÄRANDE: En problematisering av målstyrda graderade betyg

MÅLSTYRNING OCH LÄRANDE: En problematisering av målstyrda graderade betyg MÅLSTYRNING OCH LÄRANDE: En problematisering av målstyrda graderade betyg Max Scheja Institutionen för pedagogik och didaktik Stockholms universitet E-post: max.scheja@edu.su.se Forskning om förståelse

Läs mer

DVG C01 TENTAMEN I PROGRAMSPRÅK PROGRAMMING LANGUAGES EXAMINATION :15-13: 15

DVG C01 TENTAMEN I PROGRAMSPRÅK PROGRAMMING LANGUAGES EXAMINATION :15-13: 15 DVG C01 TENTAMEN I PROGRAMSPRÅK PROGRAMMING LANGUAGES EXAMINATION 120607 08:15-13: 15 Ansvarig Lärare: Donald F. Ross Hjälpmedel: Bilaga A: BNF-definition En ordbok: studentenshemspråk engelska Betygsgräns:

Läs mer

What Is Hyper-Threading and How Does It Improve Performance

What Is Hyper-Threading and How Does It Improve Performance What Is Hyper-Threading and How Does It Improve Performance Ali Muthanna, Lunds Universitet, IDA2, EDT621 Abstract Hyper-Threading (HT) is Intel s version of simultaneous multi-threading (SMT). Hyper-Threading

Läs mer

Projektmodell med kunskapshantering anpassad för Svenska Mässan Koncernen

Projektmodell med kunskapshantering anpassad för Svenska Mässan Koncernen Examensarbete Projektmodell med kunskapshantering anpassad för Svenska Mässan Koncernen Malin Carlström, Sandra Mårtensson 2010-05-21 Ämne: Informationslogistik Nivå: Kandidat Kurskod: 2IL00E Projektmodell

Läs mer

The present situation on the application of ICT in precision agriculture in Sweden

The present situation on the application of ICT in precision agriculture in Sweden The present situation on the application of ICT in precision agriculture in Sweden Anna Rydberg & Johanna Olsson JTI Swedish Institute for Agricultural and Environmental Engineering Objective To investigate

Läs mer

Klassificering av brister från internaudit

Klassificering av brister från internaudit Klassificering av brister från internaudit Del-21G seminarium 2015 Jukka Salo Slou Klassificering av brister från internaudit Vid VK har det visat sig att Procedurer för klassificering av brister finns,

Läs mer

Arbetsplatsträff 5 april, 2017 Workplace meeting April 5, 2017

Arbetsplatsträff 5 april, 2017 Workplace meeting April 5, 2017 Arbetsplatsträff 5 april, 2017 Workplace meeting April 5, 2017 Ärenden: - Inför beslutsmötet - Forskningsinformation - Arbetsmiljö och Infrastruktur - Personaldagar - Övriga frågor Agenda: - Prior to the

Läs mer

Förändrade förväntningar

Förändrade förväntningar Förändrade förväntningar Deloitte Ca 200 000 medarbetare 150 länder 700 kontor Omsättning cirka 31,3 Mdr USD Spetskompetens av världsklass och djup lokal expertis för att hjälpa klienter med de insikter

Läs mer

SkillGuide. Bruksanvisning. Svenska

SkillGuide. Bruksanvisning. Svenska SkillGuide Bruksanvisning Svenska SkillGuide SkillGuide är en apparat utformad för att ge summativ återkoppling i realtid om hjärt- och lungräddning. www.laerdal.com Medföljande delar SkillGuide och bruksanvisning.

Läs mer

This exam consists of four problems. The maximum sum of points is 20. The marks 3, 4 and 5 require a minimum

This exam consists of four problems. The maximum sum of points is 20. The marks 3, 4 and 5 require a minimum Examiner Linus Carlsson 016-01-07 3 hours In English Exam (TEN) Probability theory and statistical inference MAA137 Aids: Collection of Formulas, Concepts and Tables Pocket calculator This exam consists

Läs mer

Rastercell. Digital Rastrering. AM & FM Raster. Rastercell. AM & FM Raster. Sasan Gooran (VT 2007) Rastrering. Rastercell. Konventionellt, AM

Rastercell. Digital Rastrering. AM & FM Raster. Rastercell. AM & FM Raster. Sasan Gooran (VT 2007) Rastrering. Rastercell. Konventionellt, AM Rastercell Digital Rastrering Hybridraster, Rastervinkel, Rotation av digitala bilder, AM/FM rastrering Sasan Gooran (VT 2007) Önskat mått * 2* rastertätheten = inläsningsupplösning originalets mått 2

Läs mer

Högskolan i Skövde (SK, JS) Svensk version Tentamen i matematik

Högskolan i Skövde (SK, JS) Svensk version Tentamen i matematik Högskolan i Skövde (SK, JS) Svensk version Tentamen i matematik Kurs: MA152G Matematisk Analys MA123G Matematisk analys för ingenjörer Tentamensdag: 2012-03-24 kl 14.30-19.30 Hjälpmedel : Inga hjälpmedel

Läs mer

Boiler with heatpump / Värmepumpsberedare

Boiler with heatpump / Värmepumpsberedare Boiler with heatpump / Värmepumpsberedare QUICK START GUIDE / SNABBSTART GUIDE More information and instruction videos on our homepage www.indol.se Mer information och instruktionsvideos på vår hemsida

Läs mer

FORSKNINGSKOMMUNIKATION OCH PUBLICERINGS- MÖNSTER INOM UTBILDNINGSVETENSKAP

FORSKNINGSKOMMUNIKATION OCH PUBLICERINGS- MÖNSTER INOM UTBILDNINGSVETENSKAP FORSKNINGSKOMMUNIKATION OCH PUBLICERINGS- MÖNSTER INOM UTBILDNINGSVETENSKAP En studie av svensk utbildningsvetenskaplig forskning vid tre lärosäten VETENSKAPSRÅDETS RAPPORTSERIE 10:2010 Forskningskommunikation

Läs mer

Kursplan. FÖ3032 Redovisning och styrning av internationellt verksamma företag. 15 högskolepoäng, Avancerad nivå 1

Kursplan. FÖ3032 Redovisning och styrning av internationellt verksamma företag. 15 högskolepoäng, Avancerad nivå 1 Kursplan FÖ3032 Redovisning och styrning av internationellt verksamma företag 15 högskolepoäng, Avancerad nivå 1 Accounting and Control in Global Enterprises 15 Higher Education Credits *), Second Cycle

Läs mer

Vässa kraven och förbättra samarbetet med hjälp av Behaviour Driven Development Anna Fallqvist Eriksson

Vässa kraven och förbättra samarbetet med hjälp av Behaviour Driven Development Anna Fallqvist Eriksson Vässa kraven och förbättra samarbetet med hjälp av Behaviour Driven Development Anna Fallqvist Eriksson Kravhantering På Riktigt, 16 maj 2018 Anna Fallqvist Eriksson Agilista, Go See Talents linkedin.com/in/anfaer/

Läs mer

William J. Clinton Foundation Insamlingsstiftelse REDOGÖRELSE FÖR EFTERLEVNAD STATEMENT OF COMPLIANCE

William J. Clinton Foundation Insamlingsstiftelse REDOGÖRELSE FÖR EFTERLEVNAD STATEMENT OF COMPLIANCE N.B. The English text is an in-house translation. William J. Clinton Foundation Insamlingsstiftelse (organisationsnummer 802426-5756) (Registration Number 802426-5756) lämnar härmed följande hereby submits

Läs mer

Grafisk teknik. Sasan Gooran (HT 2006)

Grafisk teknik. Sasan Gooran (HT 2006) Grafisk teknik Sasan Gooran (HT 2006) Iterative Method Controlling Dot Placement (IMCDP) Assumptions: The original continuous-tone image is scaled between 0 and 1 0 and 1 represent white and black respectively

Läs mer

Lösenordsportalen Hosted by UNIT4 For instructions in English, see further down in this document

Lösenordsportalen Hosted by UNIT4 For instructions in English, see further down in this document Lösenordsportalen Hosted by UNIT4 For instructions in English, see further down in this document Användarhandledning inloggning Logga in Gå till denna webbsida för att logga in: http://csportal.u4a.se/

Läs mer

Webbreg öppen: 26/ /

Webbreg öppen: 26/ / Webbregistrering pa kurs, period 2 HT 2015. Webbreg öppen: 26/10 2015 5/11 2015 1. Du loggar in på www.kth.se via den personliga menyn Under fliken Kurser och under fliken Program finns på höger sida en

Läs mer
2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss