Metoder för att öka informationssäkerheten. och därmed minska säkerhetsriskerna

Relevanta dokument
Surfa säkrare. Goda råd om säkerhet på Internet. Information från Post- och telestyrelsen

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

Social Engineering - människan som riskfaktor

Administrativ IT-säkerhetspolicy Version 1.0 Fastställd

Sammanfattning av riktlinjer

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

ANVÄNDARHANDBOK. Advance Online

IT-Policy Vuxenutbildningen

PTS. Större Mellan. \Söde

Bedrägerier på nätet hur undviker du att bli blåst? Anne-Marie Eklund Löwinder Säkerhetschef,.SE E-post:

Säkerhet vid behandling av personuppgifter i forskning

Lathund för tipsare. Vill du lämna information till media? Läs det här först för att få koll på läget.

Post & Telestyrelsen - Konsumentundersökning Internetsäkerhet 2009 Sida 1

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

Denna instruktion syftar till att ge dig kunskaper och riktlinjer om hur du hanterar

Det finns bättre sätt än att sluta använda Internet.

IT-riktlinjer Nationell information

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Regler för användning av Oskarshamns kommuns IT-system

3 Skadliga program 26 Virus... Förord...3 Lättläst it...7 Bokens uppbyggnad och nivåer...8 Bokens innehåll på olika nivåer...9

Handledning i informationssäkerhet Version 2.0

Riskanalys och riskhantering

Internetsäkerhet. banktjänster. September 2007

Etik och säkerhetsfilosofi i praktiken

Instruktionsbok för Fjärrskrivbord

tclogin.com Service Desk Tillgång till TeleComputing TCAnyWare

ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online.

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

Bedrägerier på nätet hur undviker du att bli blåst? Anne-Marie Eklund Löwinder Säkerhetschef,.SE E-post:

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

FÖRHINDRA DATORINTRÅNG!

Allmän information ITS Fjärrskrivbord

SÅ HÄR GÖR VI I NACKA

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

IT-säkerhetsinstruktion

ANVÄNDARHANDBOK Advance Online

Datum Vår referens Sida Dnr: /60 1(5)

Surfa säkert. Max Walter

Viktigt! Läs igenom hela anvisningen innan du påbörjar inloggningen för första gången.

Informationssäkerhetsinstruktion: Användare

Kom igång med utbildningen bättrevardag.nu!

Informations- säkerhet

SLU Säkerhets instruktioner avseende kryptering av filer

Informationssäkerhetsinstruktion. medarbetare

Användarmanual Elevdator

Student. DisCo, Mitt konto, Min sida, Studentportal, Office e-post. IT-avdelningen

Säkerhetsmekanismer. Säkerhetsmekanismer och risk. Skadlig kod. Tidsperspektiv Säkerhetsprodukter, -system och -lösningar

Installationsguide för FAR Komplett Offline 2.1.2

Dnr

Säkerhetsinstruktion för användare av UmUs it-resurser

Installation Hogia Small Office. Bokföring. Se hur vi förenklar vardagen för dig som småföretagare på

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Lathund. Skolverkets behörighetssystem för e-tjänster. Rollen rektor

Alfa e-recept: Ny anva ndare

Manual. It s learning. Målgruppen: externa utförare inom Vård och Omsorg

Vad är molnet? Vad är NAV i molnet? Vem passar NAV i molnet för? Fördelar med NAV i molnet Kom igång snabbt...

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

Regler för datoranvändning på Åva Gymnasium

Regler för IT-säkerhet Version 1.2 Upprättad av: Peter Jimmefors Upprättad: Fastställd av: Johan Fritz Fastställd:

1. Säkerhetskopiera den eller de byråer du har arbetat med via i Visma Klient.

Vägledande råd och bestämmelser för Användare av ITsystem inom Timrå kommun

Vad kan jag göra på biblioteket?

25. Hämta Adobe Reader

1. Hur öppnar jag Polisens blanketter / formulär, trycksaker och annat som är i PDF-format?

Integritetspolicy och samtycke

Kom igång med utbildningen säkervardag.nu!

PREMIUM COMAI WEBBKALENDER

en stor bokstav och en siffra. Lösenordet får inte innehålla några tecken (!,,#,%,&)

Registrering för rapporteringstjänsten Energiapeili

IT policy för elever vid

SOLHEMSSKOLAN. Vårdnadshavare inloggning i Stockholms Skolwebb

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Installationshandbok Bredband från Telia FiberLan

ITför. alla av Eva Ansell

Equalis Online Registrera resultat och hämta rapporter via Internet

Evenemang på na.se. Klicka på Skapa evenemang! Klicka på Skapa nytt konto!

ADOBE FLASH PLAYER 10.3 Lokal inställningshanterare

Svensk Standard SS ISO/IEC SS

ENKEL INTRODUKTIO Du kanske länge har funderat vad alla begrepp som Wifi, surfplatta och app står för, kanske detta dokument kan lösa dina problem.

Compose Connect. Hosted Exchange

Kom igång med Skype (PC)

Skapa aktörer och roller i Nationell katalog för produkter och avtal

Riskanalys och informationssäkerhet 7,5 hp

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD)

Grundläggande Informationssäkerhet

Låt dig inte luras! Ventilen Eva Blommegård och Sidsel Nybö

Uppdatering av läsplatta och mötesapp

InformationsSäkerhets- Instruktion Användare

LAJKA-GUIDE. Säkrare Facebook. med10 supersmarta tips. 7 Säkrare inloggning utan krångel 7 Stoppa snokande appar 7 Ta kontroll över din tidslinje

Registrering i EU login

Generell IT-säkerhet

Gäller från 1 januari 2007 Antagen av KF 246/2006. IT-säkerhetsinstruktion för användare

Informationssäkerhetsanvisning

Bordermail instruktionsmanual

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Vägledande rutin för chefer om kontroll av hur arbetstagare använder kommunens IT-utrustning och ITresurser

IT-säkerhetsinstruktion för användare

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Transkript:

Metoder för att öka informationssäkerheten och därmed minska säkerhetsriskerna

Mål Att utifrån en riskanalys identifiera förbättringsåtgärder som ökar säkerheten i verksamheten kunna välja lämpliga åtgärder som minskar risken i sammanhanget

Att hantera risker Etablera kontext Riskbedömning med riskanalys Värdera risk Hantera risk Acceptera risk Etablera kontext Riskbedömning Riskanalys Identifiera risk Uppskatta risk Värdera risk Hantera risk Acceptera risk

Planera att minska risken Reducera risken Bibehåll risken Undvik risken (sälj den) Gör en plan över risker och åtgärder!

Använd indata från riskanalysen Skyddsvärda informationstillgångar? Vad används de till? Var finns de? Hur skyddas de idag?

Länkarna i informationskedjan Medarbetare Mjukvara Hårdvara

Exempel på informationstillgångar Information kunddatabas, arbetsmetodik, dokument (ritningar, avtal, prislistor, etc.) Program applikationer, operativsystem... Tjänster kommunikationstjänster, abonnemang... Fysiska tillgångar servrar, datamedia, nätverk...

Diskutera Är individen/människan en skyddsvärd informationstillgång? Vad används människor till? Var finns de? Hur skyddas de idag?

Skyddsfilosofi Lökskalsprincipen - skydd i flera lager Gäller för både människor och teknik Många lager ger ett robust system

Skyddsfilosofi i 14 lager 1. Säkerhetsledning (säkerhetspolicy, processer, instruktioner) 2. Personalen (utbildning) 3. Tillgänglighet och tillförlitlighet (teknik) 4. Kringmiljön (fysisk miljö) 5. Tillträde för personal och andra människor 6. Försörjning el, luft, etc. 7. Brandskydd 8. Skydd mot vattenskador 9. Systemsäkerhet 10. Nätverk och telekommunikation 11. Systemutveckling och systemändringar 12. Persondatorer och arbetsstationer 13. Säkerhetskopiering och arkivering 14. Kontinuitetsplanläggning

Några sätt att öka säkerheten Vad och hur ska vi göra för att skapa säkerhet på djupet? Definiera enkla åtgärder som ger skydd i vart och ett av de 14 lagren! Jobba gruppvis 10 minuter

Några sätt att öka säkerheten Tydlig säkerhetspolicy, processer och rutiner (1) Tydliga instruktioner som underlättar för användare att göra rätt (1) Utbilda/träna alla medarbetare i informationssäkerhet (2) Säkra arbetsmiljön: lås, märkning, övervakning, tillträdeskontroll (4, 5,12) Säkra tekniska lokaler: el, luft, skydd mot brand och vattenskador (6, 7, 8) Säkra system: konfigurationsstyrning av system och applikationer (3, 9, 10) Ändringshantering (11) Klassning och arkivering av data och dokument (13)

Att skapa en säkerhetskultur Säkerhetspolicy (vad) Gemensamma processer och rutiner (hur) Begripliga instruktioner för vanliga människor (vem gör vad och hur)

Att skapa en säkerhetskultur Varje individ har ansvar för att upprätthålla informationssäkerheten lokalt (inte enbart en fråga för IT-avdelningen eller säkerhetsansvarig) Prata med medarbetarna om effekten av (o)säkerhet Skapa engagemang i gruppen genom att lyssna och ta vara på idéer och förslag Följ upp fel och incidenter mät! Arbeta förebyggande! Planera Genomför - Följ upp - Förbättra

Diskutera Hur skapar du en effektiv säkerhetskultur? Utgå från gruppens riskanalys

Förslag på aktiviteter En stående punkt på personalmöten - säkerhetsfrågor Dramatisera och avdramatisera säkerhet, berätta om incidenter och deras effekter i besvär, tid och pengar, t ex demonstrera tangentbordsloggning mha USB-minne Visa hur bra lösenord/fraser ser ut Byt lösenord regelbundet Skapa riktlinjer för säker surfning Skapa riktlinjer för hantering av sociala media

Förslag på aktiviteter Publicera säkerhetsinformation på intranätet, anslagtavlor, toalettdörrar, i fikarum överallt där personalen kan läsa den Håll rent på skrivbordet Lås in viktiga dokument när de inte används Håll rent vid skrivare och kopiatorer Kasta oanvända utskrifter i säkerhetsbehållare Registrera och eskortera alltid besökare in och ut

Facebook, YouTube, Twitter... Sociala media Har yngre och äldre olika uppfattning om vad man kan berätta om sig själv? Accepterat eller inte på jobbet? Finns det riktlinjer för användning? (lösenord, profiluppgifter, användning) Har du googlat på ditt namn?

Om lösenord råd från SITIC Lösenord är personliga och får inte överlåtas. Ett lösenord ska bestå av minst åtta tecken och bestå av minst tre av de fyra teckenuppsättningarna versaler, gemener, siffror och icke-alfanumeriska tecken (specialtecken). Lösenordet får inte vara detsamma som användarnamnet eller bestå av delar av användarnamnet. Lösenordet får inte vara knutet till personlig information som till exempel namn, personnummer och telefonnummer. Ett lösenord får inte vara en vanlig teckenkombination, ett ord eller en vanlig kombination av ord som finns i ordböcker eller används i dagligt språkbruk, oberoende av språk. Ett lösenord får inte vara ett ord som är skrivet baklänges. En användares lösenord som används inom organisationen får inte vara likadant som andra lösenord som används utanför organisationen. Lösenord ska bytas var tredje månad och får inte vara likadant som ett tidigare nyttjat lösenord. Lösenord bör inte skrivas ned. En anteckning om lösenordet ska behandlas som en värdehandling.

Surfa lugnt Svara inte på udda mejl Öppna inte bilagor i onödan, kan innehålla en trojan som öppnar en bakdörr till datorn Tacka NEJ till erbjudanden som är för bra för att vara sanna inget är gratis! Skicka inte pengar, personuppgifter eller kontouppgifter till någon du inte känner Betala aldrig i förskott på Blocket och liknande sajter

13 goda råd från PTS 1. Stäng av datorn när den inte används 2. Ha en brandvägg och ett antivirusprogram installerat på datorn - håll dem uppdaterade (IT-avd) 3. Ta regelbundet säkerhetskopior av viktig information lagrad på datorn (IT-avd) 4. Var noga med lösenord välj med omsorg, byt ofta och håll det hemligt 5. Uppdatera ditt operativsystem och din webbläsare regelbundet (IT-avd) 6. Var försiktig med att lämna ut personliga uppgifter - se upp för nätfiske (phishing) 7. Undvik skräppost använd flera e-postadresser 8. Öppna inte bifogade filer i e-posten utan eftertanke 9. Ladda ned med försiktighet 10.Skydda ditt trådlösa nätverk (IT-avd) 11.Undvik kapning av modem surfa med ljudet på (? - IT-avd) 12.Var uppmärksam på spionprogram kontrollera datorn regelbundet 13.Var medveten om cookies

Standarder ISO/IEC 27002:2005 Informationsteknik Säkerhetstekniker Riktlinjer för styrning av informationssäkerhet ISO/IEC 27005:2008 Informationsteknik Säkerhetstekniker Riskhantering för informationssäkerhet

Handböcker på svenska Stora säkerhetshandboken en praktisk årskalender Agneta Syrén/SIS Förlag Svenska IT-säkerhetshandboken 1.0, LabCenter Säkra ditt företag, informationssäkerhet för chefer och ledare, Nicklas Lundblad/Liber Effektiv säkerhetsorganisation, Jan-Olof Andersson/SIS Förlag Säkerhetshuset, Jan-Olof Andersson/SIS Förlag Helsäkert, en bok för dig om säker information, Dataföreningen i Sverige/Studentlitteratur

Om du vill veta mer webben www.informationssäkerhet.nu Portal för informationssäkerhetsarbete www.sakerhetspolisen.se Säkerhetsskydd, en vägledning surfalugnt.se Surfa lugnt-kampanjen www.pts.se Tretton goda råd