Datasäkerhet och integritet

Relevanta dokument
Dnr

Hur tar jag företaget till en trygg IT-miljö i molnet?

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

IT-Säkerhetsinstruktion: Förvaltning

Tjänstekatalog (Aktuell version, oktober 2014)

ANVÄNDARHANDBOK. Advance Online

Informationssäkerhetspolicy

Administration / Disk Management. EC Utbildning AB

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Manual - Phonera Online Backup

Informationssäkerhetsanvisning

ANVÄNDARHANDBOK Advance Online

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen , 164

Inledande frågor 1. Hur stor kunskap har du inom säkerhetskopiering? Har stor kunskap Kan lite Kan lite

Systemförvaltningshandbok

Säkerhetsinstruktion för användare av UmUs it-resurser

Koncernkontoret Avdelningen för Digitalisering och IT

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

PROJEKTDIREKTIV. Uppgradering av epostsystemet Exchange

Backup Premium Snabbguide

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Förnyad certifiering av driftleverantörerna av Ladok

Riktlinjer för informationssäkerhet

Guide inför ett. storageprojekt. Viktiga överväganden inför lagringskonsolidering

Informationssäkerhet - Instruktion för förvaltning

IT-säkerhetspolicy. Fastställd av KF

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Bevarande/gallring av personuppgifter i kvalitetsregister

Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

Regler för användning av Oskarshamns kommuns IT-system

Datasäkerhet och integritet. Juridiska frågor

Informationssäkerhetsanvisningar Förvaltning

Åklagarmyndighetens författningssamling

Moveri AB HANDLINGSPLAN FÖR ETNISK MÅNGFALD

Advokatfirma Rosén och Lagerbielke

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

SIEM FOR BEGINNERS WHITEPAPER TELEFON WHITEPAPER. ADRESS Sentor Managed Security Services AB Björns Trädgårdsgränd STOCKHOLM

Säkerhetspolicy för Falkenbergs kommun. (AU 46) KS

IT-riktlinjer Nationell information

Säkerhetspolicy för Falkenbergs kommun. KS

Administrativ säkerhet

Säkerhetskopiering och återställning

Användarhandbok. Nero BackItUp. Ahead Software AG

Konferens FAI Dokumenthanteringssystem i Alfresco

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

IT-säkerhetsinstruktion Förvaltning

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

FÖRHINDRA DATORINTRÅNG!

Risk- och säkerhetspolicy. Tyresö kommun

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet

Sol i Väst -Egenproducerad solel

Säkerhetspolicy för Västerviks kommunkoncern

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

HANDBOK FÖR SÄKERHETSORGANISATIONEN

Skydd mot stöld av datorutrustning

Till ditt skrivbord som tjänst via Internet

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Bastjänsterna ovan avser driftfasen. Införandet genomförs som ett projekt som drivs av Cygate i samarbete med kunden.

Storegate Pro Backup. Innehåll

Innehållsförteckning. Användarmanual för Lockbee Backup Databas 2009

Bilaga till rektorsbeslut RÖ28, (5)

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Säkerhetskopiering. Vid säkerhetskopiering av Capitex Säljstöd så är det viktigt att säkerhetskopiera följande information.

Bilaga 3c Informationssäkerhet

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖRVALTNING & DRIFT AV IT INOM TIMRÅ KOMMUN

Denna instruktion syftar till att ge dig kunskaper och riktlinjer om hur du hanterar

Backup och återställning

Riktlinjer för informationssäkerhet

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic

IT-verksamheten, organisation och styrning

Informationssäkerhetspolicy. Linköpings kommun

Regler för lagring av Högskolan Dalarnas digitala information

Tekniskt driftdokumentation & krishantering v.1.0

Tjänstebeskrivning. Datalagring och Säkerhetskopiering

Helhetsåtagande underhåll och drift

Card Consulting. Projektmetodik Lars Ahlgren Card Consulting

Upptäck fördelarna med underhållssystemet MaintMaster.

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Att samverka hur och varför. Anna Pegelow e-delegationen Anna Johansson - Tillväxtverket

RISK OCH SÅRBARHETSANALYS. Innehållsförteckning. Mall Grundläggande krav. Risk och sårbarhetsanalys Sida 1 (7)

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Riktlinjer för informationssäkerhet

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

Säkerhet i fokus. Säkerhet i fokus

Informationssäkerhetsinstruktion: Användare

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

Datasäkerhetsmetoder, sista träffen. Lite återkoppling på utkasten

Riskanalys och riskhantering

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

16 Utplåning av personuppgifter ur kvalitetsregister

Säkerhet. Färgelanda kommun. Plan för. Policy-Organisation-Ansvar. Dnr 2011/168 Hid

Hot + Svaghet + Sårbarhet = Hotbild

Transkript:

OH-10 v1 Lite om svagheter/exploits Faserna i ett säkerhetsprojekt Instruktion och strategier för säkerhetskopiering Instruktion och strategier för virusskydd Alla siter (datorsystem) har svagheter Design svagheter Implementations svagheter Konfigurations svagheter Resurs svagheter Användar svagheter Business Process svagheter Rekommenderad läsning Bilagan Lär känna din fiende en inblick hur en hackare arbetar för att bryta sig in i en it-miljö, ur boken Handbok i IT-säkerhet 2 1

Ökningen i antal vulnerabilities (svagheter) inrapporterat till CERT/CC, 2005 = 5990 källa: www.cert.org 3 Ökningen i antal incidenter inrapporterat till CERT/CC, 2003 = 137529 källa: www.cert.org 4 2

Attack sophistication vs. Intruder Knowledge källa: www.cert.org 5 Svaghetens uppgång och fall källa: www.cert.org 6 3

Svagheteras livscykel källa: www.cert.org 7 Faserna i ett säkerhetsprojekt skiljer sig inte från andra projekt Förstudie Förutsättningar, beroenden, riskfaktorer, kostnadskalkyl Design av prototyp Underlag från förstudien, design och implementation Pilot- och acceptanstester Kvittot på förarbete och design Införande av framtagen lösning Drift, förvaltning och underhåll av lösningen 8 4

Mer om säkerhetsprojekt Säkerhetspolicy kan vara till hjälp men ofta finnas det inga mätbara svar Analyser om vilka kraven är på integritet, sekretess och tillgänglighet skall finnas för lösningen Konsekvensanalys av ovanstående faktorer Drivande faktorer Förankrat med ledningen och dess IT-mål Tydligt definierat och motiverat Ansvarsfördelning, finns säkerhetsorganisation (kunden/mottagaren)? Hantering av speciell teknik, utbildningsinsatser etc. För att öka intresse och förståelse i organisationen kan man ha workshop övningar 9 Exempel på generell modell för projektarbete med konsultorganisation 1. Projektdefinitioner och förståelse 2. Datainsamling innan uppdragsstart 3. Projekt-kickoff 4. Förstudie, analys och projektplan 5. Designfas 6. Utvecklingsfas 7. Pilot- och acceptanstest 8. Införande 9. Projektavslut 10. Förvaltning 11. Drift och förändringshantering 10 5

Kunskapshantering För att bli en duktig säkerhetsexpert eller beställare av säkerhetstjänster krävs mycket arbete Säkerhet är oftast ytterligare ett kunskapssteg efter vanlig ITkompetens Ständigt vara uppdaterad vad som händer Delta i föreningar, konferenser, mässor etc. Konsult versus egna resurser? Kunskapsöverföring Kompetensinventering Taxera personalen Kunskapsglapp? Vidareutbildning eller använda konsulter? Viktigt med någon slags strategi eller modell 11 Instruktion för säkerhetskopiering Aspekter att ta hänsyn till IT-system som används Datavolym Förändringsfrekvens Tillgänglighetskrav Tester för att verifiera funktionalitet Återställande av data IT-säkerhetsansvarig ansvarar för aktiviteten och respektive systemägare för detaljer och implementation 12 6

Instruktion för säkerhetskopiering Databeroenden identifieras för varje applikation Checklista skapas Ta reda på tillgänglighetskrav för varje applikation T.ex. Max Tillåten Nedtid Identifiera datavolymerna för varje applikation Antalet MB/GB Identifiera när backup skall göras Ta hänsyn till konfidentiell data, skyddas på samma sätt som data i operativ form Fastställ vilken kompetens IT-organisationens systempersonal har och vad som krävs för att hålla god servicenivå 13 Procedurer för säkerhetskopiering IT-säkerhetsansvarig ansvarar för att initiera och dokumentera uppgiften Innehåller procedurer för varje IT-system och data men även vissa applikationer Val av system för säkerhetskopiering Typ av säkerhetskopia Frekvens och tider för säkerhetskopieringen Mängd av data som skall säkerhetskopieras per gång Typ av media för hanteringen av säkerhetskopiorna Arkiveringskrav för media Ansvarsfördelning för säkerhetskopieringen Livslängd för datamedia Tabell/matris för att se beroenden (proceduerer och styrande faktorer) 14 7

Procedurer för säkerhetskopiering Vilken form av säkerhetskopia? Dataspegling (mirroring) Redundans i realtid men kostar Full säkerhetskopia Tar tid men återställning går snabbt Inkrementell säkerhetskopia Endast förändringar sedan föreg., återställning kan ta tid Differentiell säkerhetskopia Endast förändringar sedan full, återställning är snabbare Imagekopiering En total kopia av hårddisken, snabb återställning men systemet kan inte vara online under skapandet Hierarchic Storage Managment (HSM) Differentiell lagring av data på olika media för att minska återställningstiden 15 Procedurer för säkerhetskopiering Dimensionering? Minst 100% överkapacitet då priserna är låga Ansvar? Alla bör förstå vikten av att säkerhetskopieringen fungerar korrekt Praktiska övningar som ger svar på: Är återställning möjlig? Fungerar de framtagna procedurerna? Finns processer väl dokumenterade? Vilka återställningstider krävs efter t.ex. en krasch? 16 8

Instruktion för virusskydd IT-chefen ansvarar för instruktioner för virusskydd och dess implementation i organisationen Identifiera vägarna in och hoten genom att definiera varje server och arbetsplats Nätanslutna? Vilka lokala media finns? Etc. Strategi för virusskydd Dataöverföringar i systemen som kan införa virus? Konsekvenser av virusangrepp? IT-personalens periodiska säkerhetsåtgärder? Hur mycket tid finns att ägna åt virusskydd? 17 Strategi för virusskydd Antivirusprogram på varje arbetsplats Inga nackdelar förutom hög licenskostnad Antivirusprogram på alla servrar Fördel vid administration, infektionsrisk på arbetsplatser kvar Antivirusprogram i båda miljöerna Enda nackdelen är kostnaden och administrationen Vilket antivirusprogram skall väljas? En mängd parametrar att ta hänsyn till De mest kritiska är uppdateringsfrekvens och distributionsmekanismerna 18 9

Strategi för virusskydd & slutord Personalen bör känna till och vara utbildad inom virusstrategin Programvarors beteende Regler för programinstallationer Rapportera incidenter Levande driftsdokumentation Alla på företaget har ansvar att följa säkerhetspolicyn Information så alla kan ta del av den IT-säkerhetsarbetet värderas kanske inte så högt av företagsledningen idag men kommer troligen att göra det i framtiden i takt med att vi får fler e-tjänster Troligen mer affärsinriktat och pro-aktivt 19 10

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss