lönsamt, lätt och roligt att testa informationssäkerhet i system!

Relevanta dokument
Riskanalys och riskhantering

Riskanalys och informationssäkerhet 7,5 hp

Bankomat UTTAGSAUTOMAT. Bankomat. minuten

Konsoliderad version av

Testplanering, test-first, testverktyg

Ny samverkan till stöd vid upphandling av kryptolösningar

Metod för klassning av IT-system och E-tjänster

EA tillämpat genom integrationscentret. Johan Tuvstedt, Integrationsarkitekt

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

INFORMATIONSSÄKERHET EN FÖRUTSÄTTNING FÖR GOD INFORMATIONSHANTERING

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA

Så här övertygar du ledningen om att satsa på IT-säkerhet

Ramverksbaserade Testsystem

Användning av databas för riskinformation

Informationssäkerhet - en översikt. Louise Yngström, DSV

Automation - nu och framåt. Thomas Lezama

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Gallrings-/bevarandetider för loggar i landstingets IT-system

Acceptanstest - är mer än du tror

Automatiserade testsystem

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Beslutsdatum: Beslutande: Dokumentansvarig:

Datasäkerhet och integritet. Juridiska frågor

RISKHANTERING FÖR SCADA

Bilaga 2. Säkerhetslösning för Mina intyg

Mars Vägledning för informations säkerhetsdeklarationen. Säkerhet vid anskaffning och utvecking av system

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

q Märkning per drivmedel / på pump

SÄKERHETSLÖSNINGAR KOPIATORER/SKRIVARE/MULTIFUNKTIONSSYSTEM BEPRÖVADE LÖSNINGAR FÖR ÖKAD NÄTVERKSSÄKERHET SHARP DOCUMENT SOLUTIONS

GDPR. General Data Protection Regulation

Karlstads kommun Innovationsupphandling Kognitivt stöd

Kommittédirektiv. Viss översyn av ansvarsfördelning och organisation när det gäller samhällets informationssäkerhet. Dir. 2009:110

BILAGA 6 - DEFINITION AV KOMPETENSOMRÅDEN. Dokumentnummer D

Regressionstestning teori och praktik

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

FÖRHINDRA DATORINTRÅNG!

Behöver vi all information?

Anslutningsvägledning. Nationell patientöversikt 2.0

DEN ENKLA EN BÄTTRE VÄGEN TILL RÄTT FÖ R DIN VER KSA M HET? POSTHANTERING. Det måste finnas ett bättre sätt

ISD. Etablering av ISD inom FMV. Dan Olofsson PrL ISD

Aktivera konto och logga in

Exempel på verklig projektplan

HP ALM som stöd under implementationslivscykeln av standard applikationer Sarah Eriksson & Per Nordlander SAST

Vägledning för informationssäkerhetsdeklarationen

ARX på Windows Vista, Windows 7 eller Windows 2008 server

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management

Instruktion för konfiguration av e-post IMAP-konto på Apple iphone eller ipad

<SYSTEMOMRÅDE> ISD-STRATEGI

Riktlinjer för IT-säkerhet i Halmstads kommun

Vetenskapsrådets samordningsuppdrag om öppen tillgång till forskningsdata - datahanteringsplaner

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Utforma säkerhetsprocesser

192 Guide för förenklad ST/PP

Praktisk riskanalys - en standardmetod

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Ledningssystem för informationssäkerhet - Kompetensprofil

Agenda SWEDISH CERTIFICATION BODY FOR IT SECURITY

Stöd för ifyllnad av ansökan av automationscheck

Testbara krav. SAST Syd Ställ gärna frågor under presentationen eller efteråt Åhörarkopior distribueras efteråt

Presentation av H ProgSäk 2018

Federering i praktiken

Kursöversikt Certifierad Mjukvarutestare

Rätt informationssäkerhet

Hearing med Dag Jungenfelt, vd Medfield Diagnostics AB

Hur kan man CE-märka AI? PICTA workshop 29 Maj 2018

Generell IT-säkerhet

REGELVERK & HANDBÖCKER

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Risk- och sårbarhetsanalys samt elberedskapsåtgärder, SvK. EI Seminarium om risk- och sårbarhetsanalys 26/11

Agenda. Kort om CC. Utvecklingen nu och framöver. Hur använda CC vid upphandling? CSEC roll CCRA. Internationellt Sverige. Konkurrens på lika villkor

Steget efter, omöjligt att undvika eller?

Kursplan 2018 hösten

1 (7) Arbetsgången enligt BITS-konceptet

Vad är säker information? En kritisk diskussion. Björn Lundgren Doktorand, Avdelningen för Filosofi, KTH

Kursplaner för Administartör IT-System Innehåll

Användarguide för anslutning till Treserva och TES Användarguide för anslutning till Treserva och TES

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver 9.2w

Testningstjänst för meddelandedeklarering Kundanvisning. Version 0.4, tulli.fi. Anvisning för testningstjänsten för meddelandedeklarering

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Simulator för optimering av miljö- och. Volvo Construction Equipment

Viktigast för oss 2018

Projekt Informationssäkerhet

Vi presenterar. Talent Management

Sjunet standardregelverk för informationssäkerhet

Det svenska huset. Generell modell av. XPS (X Production System) MERA-programmet SwePS-projektet.

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

Arbetshjälpmedel. Förordning (1991:1046) om bidrag till arbetshjälpmedel

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Den säkra mobila arbetsplatsen Jesper Svegby Pointsec Mobile Technologies

Vad är erkännande av kunnande? Handbok för examinanden

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Innehållsförteckning. EKONOMIDATA I SOLNA VÄSTKUSTENS EKONOMIDATA Brevduvegatan SOLNA Tel

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Uppdateringsguide v5

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver

Logisk Access I MicroWeb

Kravställande/kravhantering

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(12) <SYSTEM> <VERSION> ANALYSUNDERLAG IDENTIFIERA (AU-I)

Transkript:

lönsamt, lätt och roligt att testa informationssäkerhet i system! 1

Rosemarie Arnmark Dataingenjör KTH Informations- ITsäkerhet DSV Stockholms Universitet Systemanalytiker Testexpert och testledare Nätverksledare på DFS 2

Dyrt lång tid, många intressenter, många möten Svårt krångliga testfall, osäkra resultat Tråkigt omständligt, testdata svårt, omkörning svårt 3

Viktiga säkerhetsbegrepp Safety / Systemsäkerhet Skydd av människa, maskin och miljö Security / IT-säkerhet (Datasäkerhet) Skydd av information Tillgänglighet Skydd mot otillbörlig access Konsistent information Spårbarhet Oavvislighet 4

Viktiga säkerhetsbegrepp Informationssäkerhet Hela bilden, all information Ex. lokalaccess, regelverket m.m. IT-säkerhet data-system mjukvara samt hårdvara 5

FRÅGA: Hur får vi test av IT-säkerhet lönsamt, lätt och roligt? SVAR: 3 olika systemanalyser, med olika fokus! 7

3 systemanalyser, med olika fokus 1. Produktionssystemet, ur alla aspekter 2. Testsystemet, skillnader mot produktionssys 3. Informationssäkerheten analyseras 8

Systemanalys 1: Produktionssystemet 9

Bankomatexempel 10

Bankomatexempel Kundregister Bankomat Konto-systemet 11

Bankomatexempel Kundregister Bankomat Konto-systemet 12

Bankomatexempel Kundregister Bankomat Konto-systemet 13

Bankomatexempel Kundregister Bankomat Konto-systemet 14

Bankomatexempel Kundregister Bankomat Konto-systemet 15

Bankomatexempel Kundregister Bankomat Konto-systemet 16

Bankomatexempel Kundregister Bankomat Konto-systemet 17

Bankomatexempel Kundregister Bankomat Konto-systemet 18

Bankomatexempel Kundregister Bankomat Konto-systemet 19

Bankomatexempel Kundregister Bankomat Konto-systemet 20

21

Kundregister Bankomat? Konto-systemet 22

KOSTNAD? 23

24

Systemanalys 2: Testsystemet Fokus på skillnad mellan testsystem och produktionssystem Alla skillnader behöver vara kända. Skillnader behöver inte innebära problem. När vi inte vet exakta skillnader, då har vi problem! 25

Exempel på skillnader Alla kopplingar ut Dyrt med exakta kopior Konfiguration, kodversioner, systemkopplingar... 26

Systemanalys 1 och 2: 1. Analysera alla aspekter av produktionssystemet! 2. Analysera skillnaderna mot testsystemet! 27

Systemanalys 3 Analys av IT-säkerheten i systemet, för att: 1. Kartlägga funktioner och data som har ITsäkerhetsrelevans 2. Prioritera och riskklassa för att kunna satsa mest och tidigast på viktigast/mest kritiskt 28

Systemanalys 3 Analys av IT-säkerhetsfunktioner kan vem som helst göra Prioritering och klassning måste göras av alla gemensamt (Använda Common Criteria som stöd) 29

Common Critera Common Criteria: internationellt erkänd standard för IT-säkerhet (FMV Svenskt Certifieringsorgan ) I detta sammanhang tänkt som stöd för identifiering av säkerhetsfunktioner (bestämma företagets skyddsklass) 30

31

32

Ägandeskap och förvaltning... av analyserna Produktionssystemet: arkitekt/systemägare.. Testsystemet: testavdelningen! IT-säkerheten: beslutas av företaget 33

Ansvar Vi har alla ett ansvar för att systemanalyserna Är relevanta (granska) Är korrekta (gör egna systemanalyser) Är begripliga och kända! 34

Sammanfattning 1. Produktionssystemets alla aspekter exempelvis både fysisk och logisk struktur 2. Testsystemets skillnader mot produktionsys 3. Informations-säkerheten kartlagd, prioriterad och riskklassad (funktioner och data) 35

Lönsamt effektivt, återanvändbart, tillgängligt, prioriteringar klara, förvaltningsbart Lätt fastställt, tydliga testfall, begripligt Roligt testdata lätt, omtestning tydligt, tydliga testfall, alla med i båten 36

FRÅGOR? Mail: rosemarie.arnmark@biztelligent.se Hemsida : www.arnmark.se (OBS! Pågående omläggning är klar vecka 48) Du hittar bland annat olika tipslistor, ex Kravställarens resp. Testledarens hetaste tips, Vanligaste myterna med mera. 37