Vad är säker information? En kritisk diskussion. Björn Lundgren Doktorand, Avdelningen för Filosofi, KTH

Relevanta dokument
1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy

Riskanalys och informationssäkerhet 7,5 hp

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

INFORMATIONSSÄKERHET ETT HINDER ELLER EN MÖJLIGGÖRARE FÖR VERKSAMHETEN

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

INFORMATIONSSÄKERHET EN FÖRUTSÄTTNING FÖR GOD INFORMATIONSHANTERING

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Instruktion för åtgärdsplan vid personuppgiftsincidenter

Bilaga 2 till Digitaliseringen av det offentliga Sverige en uppföljning (ESV 2018:31)

Policy för informationssäkerhet och dataskydd 2018

PM 2015:127 RVI (Dnr /2015)

Hantering av behörigheter och roller

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Värderingar bakom informationssäkerhet

Lokal examensbeskrivning

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Säkerhet i fokus. Säkerhet i fokus

Anmälda personuppgiftsincidenter 2018

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Juridik och informationssäkerhet

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Information om behandling av personuppgifter

Informations- säkerhet

Informationssäkerhet i patientjournalen

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Säker informationshantering utifrån ett processperspektiv

Myndigheten för samhällsskydd och beredskaps författningssamling

Policy för informationssäkerhet

Verksamhetsplan Informationssäkerhet

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Masterprogram, transportsystem Master's Programme, Transport Systems, 120 credits 120,0 högskolepoäng

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Metod och allians i evidensbaserad praktik. Anneli Jäderland SKL Anneli.jaderland@skl.se

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

POLICY INFORMATIONSSÄKERHET

Protokoll fo r examination av examensarbeten vid juridiska institutionen

Lokal examensbeskrivning

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Så är vi redo om krisen kommer

Hur värnar kommuner digital säkerhet?

Välkommen Expertanvändarträff Siebel och Phoniro

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen dnr

IT- och informationssäkerhet

VÄGLEDNING INFORMATIONSKLASSNING

Finansinspektionens författningssamling

Allmän studieplan för utbildning på forskarnivå i informatik

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

GTP Info KP P-O Risberg Jaan Haabma GTP Info KP Inforum 1

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Bilaga 3 Säkerhet Dnr: /

Informationssäkerhetspolicy

Riskanalys och riskhantering

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Mål för generella examina

Riktlinjer informationssäkerhetsklassning

Svar på remiss, Så stärker vi den personliga integriteten, (SOU 2017:52)

Informationssäkerhetspolicy

I n fo r m a ti o n ssä k e r h e t

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy. Linköpings kommun

ALLMÄN STUDIEPLAN FÖR UTBILDNING PÅ FORSKARNIVÅ I Historia. FFN-ordförande

Lokal examensbeskrivning

Väderrapporten

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Informationssäkerhetspolicy KS/2018:260

Riktlinjer för informationssäkerhet

INFC55, Informatik: Webbutveckling, 7,5 högskolepoäng Informatics: Web Development, 7.5 credits Grundnivå / First Cycle

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Myndigheten för samhällsskydd och beredskaps författningssamling

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Introduktion till säkerhet Grundläggande begrepp

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Informationssäkerhet för samhällsviktiga och digitala tjänster

GRUNDLÄGGANDE PSYKOTERAPIUTBILDNING I LÅNG- OCH KORTTIDSPSYKOTERAPI

Den uppfinningsrika vårdpersonalen om konflikten mellan verksamhet och informationssäkerhet

Personuppgiftsbiträdesavtal

Studieplan för utbildning på forskarnivå i. socialt arbete

Masterprogram, transportsystem Master's Programme, Transport Systems, 120 credits 120,0 högskolepoäng

Förstudie e-arkiv Begreppslista Begreppslista 1.0

Regeringens mål för IT-politiken är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.

Göteborg 5 december Teknik

Anders Mårtensson Säkerhetschef

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

ALLMÄN STUDIEPLAN FÖR UTBILDNING PÅ FORSKARNIVÅ I FYSIOTERAPI. FFN-ordförande

Metod för klassning av IT-system och E-tjänster

Business research methods, Bryman & Bell 2007

Dnr

använda ämnesspecifika ord, begrepp och symboler.

Transkript:

Vad är säker information? En kritisk diskussion. Björn Lundgren Doktorand, Avdelningen för Filosofi, KTH

Bakgrund och upplägg Upplägg: 1. Tydliggöra frågeställningen 2. Standarddefinitionen och några motexempel 3. Vårt definitionsförslag 4. Några praktiska tillämpningar av vårt förslag

Vad handlar frågan om? Grundläggande distinktion: 1) att något är (o)säkert 2) att vi vet om något är (o)säkert 1) handlar om hur något är (ontologi) 2) handlar om vad vi vet om hur något är (epistemologi)

Standarddefinitionen: CIA Confidentiality Integrity Availability

CIA från SOU 2015:23 Informationssäkerhet innebär en strävan att skydda information så: att den alltid finns när den behövs (tillgänglighet) att det går att lita på att den är korrekt och inte manipulerad eller förstörd (riktighet) att endast behöriga personer får ta del av den (konfidentialitet) och att det går att följa hur och när informationen har hanterats och kommunicerats (spårbarhet)

CIA från SOU 2015:23 Informationssäkerhet innebär en strävan att skydda information så: att den alltid finns när den behövs (tillgänglighet) att det går att lita på att den är korrekt och inte manipulerad eller förstörd (riktighet) att endast behöriga personer får ta del av den (konfidentialitet) och att det går att följa hur och när informationen har hanterats och kommunicerats (spårbarhet)

CIA från SOU 2015:23 Informationssäkerhet innebär en strävan att skydda information så: att den alltid finns när den behövs (tillgänglighet) att det går att lita på att den är korrekt och inte manipulerad eller förstörd (riktighet) att endast behöriga personer/processer får ta del av den (konfidentialitet) och att det går att följa hur och när informationen har hanterats och kommunicerats (spårbarhet)

CIA från SOU 2015:23 Informationssäkerhet innebär en strävan att skydda information så: att den alltid finns när den behövs (tillgänglighet) att det går att lita på att den är korrekt och inte manipulerad eller förstörd (riktighet) att endast behöriga personer/processer får ta del av den (konfidentialitet) och att det går att följa hur och när informationen har hanterats och kommunicerats (spårbarhet)

Motexempel mot informationssäkerhetsdefinitioner Två typer: 1) Villkoren är inte nödvändiga: Det finns säkra tillstånd som definitionen felaktigt klassificerar som osäkra. 2) Villkoren är otillräckliga: Det finns osäkra tillstånd som definitionen felaktigt klassificerar som säkra.

Motexempel mot CIA: Villkoren är inte nödvändiga Tillgänglighet: Tidslås Konfidentialitet: Icke-auktoriserad (obehörig) men berättigad Riktighet: Kylskåpspoesi

Motexempel mot CIA: Villkoren är otillräckliga Snowden auktoriserade personers intentioner Gisslan CIA förloras på grund utav en säkerhetsincident

Lärdomar från motexemplen En av de lärdomar vi drar från motexemplen är: Att det inte finns någon lista med specifika egenskaper som gör all information och/eller alla informationssystem säkra. Således menar vi: Säkerhet är relativt till informationen, systemet eller organisationens behov.

Definitionsförslag Säker information: Någon information (I) är säker om och endast om för varje agent A gäller att A har rätt access-relation till varje del D av I. Säkert informationssystem: Ett informationssystem (S) är säkert om och endast om för varje agent A gäller att A har rätt access-relation till varje del D av S.

Hur kan fungerar vårt förslag i praktiken? Måste operationaliseras för någon specifik information, något specifikt informationssystem, eller någon specifik organisation, med avseende på de behov som finns. Behoven sätter upp villkoren för vilka access-relationer som är rätt. På så sätt får man en konkretisering av definitionen anpassad för varje specifikt fall.

Hur kan vårt förslag hjälpa oss i praktiken? Kravet på operationalisering Krav på analys Till skillnad från CIA så är analysmetoden analytiskt korrekt Säkerhetsincidenter & dess konsekvenser blandas ej ihop fördomsfri Analysen är bättre anpassad till den specifika kontextens behov den kräver att människan ses som en komplex varelse med dynamiska intentioner Analysen ger oss en medvetenhet om att säkerheten kan förloras av ändrade intentioner, värdekonflikter, mm.

Slut Frågor? Kommentarer? Kritik?

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss