Datasäkerhet och integritet

Relevanta dokument
Hot + Svaghet + Sårbarhet = Hotbild

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Datasäkerhet. Sidorna i kursboken

Datasäkerhet och integritet. Juridiska frågor

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

FÖRHINDRA DATORINTRÅNG!

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Juridik och informationssäkerhet

Riktlinjer för informationssäkerhet

Tekniska lösningar som stödjer GDPR

BILAGA 3 Tillitsramverk Version: 2.1

Säkra trådlösa nät - praktiska råd och erfarenheter

Informationssäkerhet, Linköpings kommun

Informationsteknologi (vårdgivare nivå C)

Riktlinjer för informationssäkerhet

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Riktlinjer informationssäkerhet

Tekniska lösningar som stödjer GDPR

Riktlinjer för informationssäkerhet

Praktisk datasäkerhet (SäkA)

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Riktlinje för informationssäkerhet

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Icke funktionella krav

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Säkerhetspolicy för Västerviks kommunkoncern

Informationssäkerhet - en översikt. Louise Yngström, DSV

Administrativ säkerhet

Riktlinjer för IT-säkerhet i Halmstads kommun

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Sammanfattning av riktlinjer

Policy för användande av IT

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Riskanalys och informationssäkerhet 7,5 hp

Informationssäkerhetsanvisning

EBITS Energibranschens IT-säkerhetsforum

BILAGA 3 Tillitsramverk Version: 1.2

IT-säkerhetsinstruktion Förvaltning

Behörighetssystem. Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Riktlinjer för informationssäkerhet

GDPR. General Data Protection Regulation

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Tillitsdeklaration Version: 2.1 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.1

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Säkerhet i fokus. Säkerhet i fokus

BILAGA 3 Tillitsramverk

Sjunet standardregelverk för informationssäkerhet

Säkerhetsmekanismer. Säkerhetsmekanismer och risk. Skadlig kod. Tidsperspektiv Säkerhetsprodukter, -system och -lösningar

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

EBITS E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer

Identity Management i ett nätverkssäkerhetsperspektiv. Martin Fredriksson

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

GTP Info KP P-O Risberg Jaan Haabma GTP Info KP Inforum 1

Myndigheten för samhällsskydd och beredskaps författningssamling

Översikt av GDPR och förberedelser inför 25/5-2018

Version: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Nätsäkerhetsverktyg utöver kryptobaserade metoder

Metod för klassning av IT-system och E-tjänster

Granskning av intern IT - säkerhet. Juni 2017

Myndigheten för samhällsskydd och beredskaps författningssamling

Modul 3 Föreläsningsinnehåll

E-legitimering och e-underskrift Johan Bålman esam

Personuppgiftspolicy. Vår hantering av dina personuppgifter

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Säkerhet Användarhandbok

BILAGA 3 Tillitsramverk Version: 2.02

Att skydda det mest skyddsvärda

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Ta kontroll över informationssäkerheten

TECH-RAPPORT BORTOM DATASÄKERHET BORTOM DATASÄKERHET

Rikspolisstyrelsens författningssamling

Säkerhet Användarhandbok

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhet, ledningssystemet i kortform

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

BILAGA 1 Definitioner

Net id OEM Användarhandbok för Windows

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Säkerhetspolicy för Göteborgs Stad

Säkerheten före allt? Åsa Hedenberg, vd Specialfastigheter

5 säkerhetsaspekter att tänka på vid skapandet av din digitala assistent

Transkript:

OH-1 v1 Data och IT-säkerhet Definitioner Hot Klassning och policies Datasäkerhet? Det mesta kopplas upp via digital teknik Elektroniska apparater av alla slag Myndigheter och företag Privatpersoner Accelererad utveckling och expansion Ökade risker Komplexa IT-system Ökar sårbarheten Information saknas ofta inte filtrera Inte alls bara datavirus, maskar etc. 2 1

? I informationssamhället kan därför den personliga integriteten sättas på spel Den digitala utvecklingen berör därmed alla På samma sätt som i den vanliga världen måste man skydda viss egendom och information mot brott Grundtes? Det som inte är tillåtet i den vanliga världen är heller inte tillåtet i den digitala motsvarigheten 3 Varför IT-säkerhet? I den vanliga världen har Svensson ofta ett antal försäkringar för att skydda sig och närstående då något inträffar Vi utför ofta pro-aktiva åtgärder som att äta rätt, motionera, larma bilen/villan, vara extra försiktig i vissa situationer etc. God IT-säkerhet handlar om ungefär samma sak Hitta rätt nivå på försäkring och pro-aktiva åtgärder Detta kallas för att ha en säkerhetspolicy Inventera system och tjänster Därefter klassa in allt i olika riskklasser Ta fram åtgärdsplan med motåtgärder för varje riskklass 4 2

Varför IT-säkerhet? God säkerhet handlar om att. Vara medveten Kostnader Vad är farligt Ordning och reda Processer Motivation Teknik satt i rätt sammanhang Det är ingen ny företeelse utan har alltid funnits och handlar inte alls bara om teknik 5 Varför säkerhet? Världen utanför Har vi råd med säkerhet?? 6 3

Varför säkerhet? (forts) Har vi råd att inte ha säkerhet? Skadorna är ofta mer kostsamma än skyddet Stulen kunskap/affärsidé Dåligt rykte p.g.a. dålig säkerhet Nätverkstjänster helt blockerade eller starkt reducerade Du kan bli åtalad för att ej följa gällande lagstiftning rörande datasäkerhet 7 Säkerhetskrav En definition av datasäkerhet Ett system/nätverk är säkert om du kan lita på att data är korrekt och konfidentiellt (skyddat från utomstående, hemligt) och systemet beter sig som förväntat Autentisering (authentication) verifiering av motpart/identitet Hemlighållande (privacy) läsning av data endast tillåten för aktoriserade parter Integritet (integrity) förändring av data endast tillåten av aktoriserade parter 8 4

Definitioner, termer och begrepp I databranschen och speciellt inom datasäkerhet finns många svåra uttryck och förkortningar Se Handbok i IT-säkerhet, sid. 23-32 för de vanligaste, källa: Swedish Standars Institute Terminologi för Informationssäkerhet http://www.its.se/its/rapport/its6.htm i form av nedladdningsbar fil (Windows hjälpfil) National Institute Of standards & Technology http://csrc.nist.gov - Glossary i form av pdf-fil Informationssäkerhet och IT-säkerhet Definitioner av de båda begreppen (sid. 33, 34) 9 Definitioner, termer och begrepp Sekretess (subst.), konfidentiellt (adj.) Integritet Inga modifieringar av oauktoriserade objekt Inga oauktoriserade modifieringar av auktoriserade objekt Datainnehåll konsistent Tillgänglighet - pålitligt ISO Standards Standarden för informationssäkerhet Ledningssystem för informationssäkerhet (LIS) 10 5

Definitioner, termer och begrepp Digitala signaturer vs traditionell teknik Exempel bankärende (sid. 37, sid. 41) Elektroniska ID Mjuka, certifikat som fil i t.ex. datorn Hårda, certifikat som token i t.ex. smartcard SAMSET regelverket Standardarbete för att administrera certifikat för e- legitimationer 24-timmars myndigheten (e-tjänster) Återskapa de pappersbaserade funktionerna 11 Vad är det vi skyddar? Lagrad information Informationens korrekthet Informationsvärde Access till publika tjänster (web/mail) Access till interna tjänster (intranät) Din organisations integritet 12 6

Hotbild Hot + svaghet + sårbarhet = hotbild Identifiera (endast ett axplock) Finns en god autentisieringfunktion? Var och hur lagras användardata (user credentials)? Krävs separat klientprogram? Vilka nätverksprotokoll används? Portar för kommunikation, för fildelning Kända bakdörrar, virus hot Kryptering? Avlyssning av nätverket möjlig? 13 Riskanalys och hotscenario Typ av hot Fysiska hot Stöld, vandalisering, brand, komponentfel, naturkatastrof Logiska hot (Kopplade till programvaran i ITsystemet) Obehörig användning, manipulering etc. Mänskliga/organisatoriska hot (Mänskliga faktorn) Dåliga eller inga rutiner, dålig kunskap, oklar ansvarsfördelning Insiderhot (hot från insidan, personalen) Har redan passerat första skyddsbarriären Loggning? 14 7

Vem/vad skyddar vi oss mot? Hackers tar sig vanligen in via externa nätverksförbindelser, fokuserade på att visa att man kan ta sig in i system Script kiddiez : Kopierar existerande attack-mjukvara från nätet och exekverar denna Smarta hackers eller admins: Har kunskap om hur protokoll och system fungerar, hitta exploits (svagheter) i dessa Crackers eller coders, fokuserade på hitta exploits (svagheter) i system och ändra befintlig kod i mjukvaran, tillverkar verktygen som utnyttjar dessa svagheter Kriminella inkräktare & lurendrejare Har ofta mer och bättre resurser än hackers Företagspirater (Corporate Raiders) Har ofta omfattande resurser Uppdragstagare/ Torpeder 15 En riskanalys - exempel Det kan börja brinna i datahallen Detta innebär katastrof för organisationen och dess verksamhet Ha, det kommer aldrig inträffa Du ignorerar risken Du tecknar kontrakt med en firma som kan reparera utrustning och återskapa data efter en brand Du accepterar att brandrisken finns men mildrar effekterna av den Du installerar ett avancerat brandsläckningssystem Du tar brandrisken på allvar och etablerar ett försvar mot den Det existerar ändå en risk att sprinklersystemet inte fungerar när det väl behövs Du tecknar en försäkring Mot säkerhetsrisker finns dock normalt inga försäkringar att teckna 16 8

En säkerhetsmodell och några vanliga hot Informationskälla NORMALT FLÖDE Destination för information A B 17 Säkerhetshot I Masquerade ; Någon utger sig för att vara annan person ( förklädnad ) A B X Försvarsmetod: Authentication (identifikation, autentisering) Skall förhindra otillåten access till system eller systemresurser Skall förhindra obehörig att ändra enhetskonfigurationer 18 9

Säkerhetshot II Avlyssning (interception) A B X Försvar: Sekretess/konfidentiellt (confidentiality) Egenskap som skall tillse att information inte görs tillgänglig, eller yppad, för obehörig person, utrustning eller process 19 Säkerhetshot III Modifiering (modification); Man in the middle A B X Försvar: Integritet (integrity) Egenskap som skall tillse att data inte har blivit ändrat, förstört eller gått förlorat p.g.a. obehörigs agerande eller vid olyckshändelse 20 10

Säkerhetshot IV DOS-attack (Denial Of Service) A B Försvar: Tillgänglighet (availability) Egenskap som skall tillse att tjänst finns tillgänglig och användbar för behörig närhelst denne så önskar 21 Formell tillåtelse - Authorization Alla hot-former har en gemensam beröringspunkt; Frågan om rättigheter och behörighet! Vem får göra vad? Vi har rättigheter på systemnivå samt behörigheter på objektnivå (filer/mappar) När en användare bevisat sin identitet för ett system, kontrolleras och verifieras vilka rättigheter och behörigheter som finns kopplade till denna identitet Vissa tjänster kräver ingen identifiering alls, t.ex. publika webbtjänster Viktigt att definiera vilka rättigheter envar har! 22 11

God IT-säkerhet Tydlig organisation av IT-användningen Säkerhetspolicy Gyllene treenigheten för god säkerhet Människor - 40% fundamentet Processer - 40% Analys Plan Implementation Uppföljning Teknik - 20% 23 Teknik Många system har utvecklats utan tanke på säkerhet Mjukvara innehåller fel! Teknikutvecklingen går fort Standardiseringsprocesser tröga i jämförelse Ålderdomliga standards utan säkerhetstänk Grunden för allt tekniskt säkerhetsarbete är kontroll över systembehörigheter 24 12

Informationsklassning Oklassad, publik information Känslig, oklassad information, ingen större skada Konfidentiell, privat information, viss skada uppstår Hemlig, konfidentiell information, allvarlig skada Topphemlig information, mycket allvarlig skada (denna kategori är ibland inte med) Sätta attribut till informationen (metadata) Klass Bäst före datum Tillgång till informationen från vilka roller? 25 Säkerhetspolicy Det är av störst vikt att alla organisationer har en väl genomtänkt säkerhetspolicy Formellt dokument som definierar organisationens säkerhetssyn Vad som är tillåtet och vad som inte är tillåtet Vilka tjänster skall finnas tillgängliga och för vem Vilka åtgärder skall vidtagas vid brott mot säkerhet Hur skyddet skall upprätthållas Kräver att en genomgripande riskanalys har gjorts innan Dynamiskt dokument som kräver ständig översyn och uppföljning Svårast är att definiera vad som är/skall vara förbjudet! 26 13

Säkerhetspolicy Kan även bestå av flera dokument i en hierarki Nivåer intressanta i denna kurs är de under funktionella policies som beskriver vilka verksamhetskrav som understöds av IT-system vilket definieras av en företagsstandard Ledningsgruppens policyförklaring Generella organisations policies Funktionella policies Företagsstandarder Riktlinjer Processer 27 Att reducera riskerna Alla risker Allmän policy/inställning inom organisationen Tekniska insatser (kryptering, brandvägg etc.) Acceptabel risknivå: Vi kan inte skydda oss mot allt 28 14

Acceptabla risker I Det är en viktig skillnad mellan att ignorera en risk och att acceptera densamma En ignorerad risk gör vi ingenting åt En accepterad risk försöker vi mildra så långt det bara går Vissa risker kan med förnuft ignoreras om: Sannolikheten att händelsen skall inträffa är extremt låg Kostnaden för att skydda sig mot risken/hotet är så hög att det är oekonomiskt 29 Acceptabla risker II När accepterar vi en risk? Organisationen kräver att vi tar denna risk Kostnaden för att reparera eventuella skador som orsakats av risken är mycket oekonomisk (hög) Säkerhetspolicyn måste tydligt visa att vi är beredda att acceptera denna form av risk 30 15

Försvarsmetodik Etablera lokala procedurer som förhindrar säkerhetshot Regelverk för personal och utrustning gällande rättigheter och behörigheter Teknologibaserade lösningar Skall fungera oberoende av mänskliga misstag men kräver ofta mänsklig konfigurering innan driftsättning! När riskbilden är reducerad så långt som är fysiskt och ekonomiskt möjligt återstår den så kallade överblivna risken, den som vi ej kan planera för eller som vi helt enkelt måste acceptera och får leva med Den måste självklart dokumenteras i säkerhetspolicyn så man är medveten om den och ansvar kan tas (det kan bli en rättslig fråga) 31 Slutord Det finns ingen magisk trollformel som löser alla säkerhetsproblem!! Säkerhet och säkerhetstänkande är och förblir en attityd och måste behandlas som en sådan oavsett vilken situation eller roll vi befinner oss i 32 16

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss