Introduktion till informationssäkerhet

Relevanta dokument
Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS

Identifiering och autentisering

Processbeskrivning fakturahantering

Användningstillstånd för testbruk av Geodataplattformens utvecklings- och utbildningsmiljö

Användningstillstånd för testbruk av Geodataplattformens utvecklings- och utbildningsmiljö

Systemdrift och Systemförvaltning Centrala verksamhetssystem Service Desk

Molntjänster från Microsoft En checklista för vårdorganisationer i Sverige

Vad är kompetens och vad är rätt kompetens?

KOMMUNIKATIONSPLAN. Digital Agenda för Västra Mälardalen samt Tillgänglighet till Hållbar IT. Revisionshistorik. Bilagor

Försättsblad till skriftlig tentamen vid Linköpings Universitet

Genomförandebeskrivning Digiresan

Övningar i JavaScript del 3

Försättsblad till skriftlig tentamen vid Linköpings Universitet

Försättsblad till skriftlig tentamen vid Linköpings Universitet

Rockpanel / ROCKWOOL AB ( ROCKWOOL ) vill säkerställa din integritet online.

Revisionsrapport 2010 Genomförd på uppdrag av revisorerna i Jönköpings kommun. Jönköpings kommun Granskning av användaradministrationen

Riktlinjer för informationssäkerhet. ver 1.0. Antagen av Kommunstyrelsen

Hur man skapar ett test i Test och quiz i Mondo 2.6

Taxor och avgifter - Översiktlig granskning av den interna kontrollen

VÄSENTLIG INFORMATION AVSEENDE CERTIFIKAT TURBO LONG

Kort användarmanual för Test och quiz i Mondo 2.0

Auktorisation och grupphantering Fas II - Projektplan

INFORMATIONSSÄKERHETSPOLICY

Krisledningsorganisation vid Linköpings universitet

Svenska Klätterförbundets stadgar 1 Kap 1 Ändamål Svenska Klätterförbundet (SKF) har till uppgift att främja, utveckla, samordna och i övrigt

Förskolechefen har under läsåret utbildat personalen i pedagogisk dokumentation.

Riktlinjer för upphandling av konsulttjänster och entreprenader inom mark, anläggnings och byggsektorn

ACD Accelerated Competitive Dialogue

Beskrivning av Metakatalog. Sundsvalls kommun

Allmänna bestämmelser för Certifiering

Stadgar Kontakt Nässjö Stadgar. för

Plan mot diskriminering och kränkande behandling ombord på T/S Gunilla

Auktorisering och grupphantering. Projektplan

Regler vid verksamhetsövergång och ägarbyte

13. Utvecklingssamtal hos IOGT-NTO

Policy Wastetofuel på Facebook

1. Rambölls uppdrag. Uppdrag Utredning och analys av omställningsarbete för Mötesplatser för unga vuxna Botkyrka kommun PM nr 01 Datum

Intern styrning och kontroll vid Stockholms universitet

Avsiktsförklaring och riktlinjer

Råd och riktlinjer för mobil försäljning av mat i Mjölby, Mantorp och Skänninge

Plus500CY Ltd. Säkerhets- och cookie policy

Övningar i JavaScript del 4

DIGITALISERINGSPLAN

Aktivitets- och internkontrollplan, bilaga till nämndsplan Lokala nämnden Halmstad år 2015

Integritetspolicy. Senast uppdaterad i maj Vårt sekretessåtagande. Vi ska

Policy för vägvisningsskyltar och tillfälliga skyltar inom Lidingö stad Dnr TN/2014:5

Folkhälsoplan BRÅ- och Folkhälsorådet

Policy för personuppgiftshantering 2018 Antagen av styrelsen för PRO i Tullinge vid styrelsemötet Version 1.

1(2) För kännedom; Fullmäktiges. presidium. uppföljning. barn- och. iakttagelser: finns. lokalt. Behov. Omorganisering. g renodlat tjänsterna

POLICY FÖR BARNKONVENTIONEN I KUNGSBACKA KOMMUN

Intern kontroll inom Försörjningsstöd

Samråd om översynen av EU:s handikappstrategi

Informationssäkerhetsinstruktion: Förvaltning (Infosäk F)

Vejbystrands skola och förskolas årliga plan. för likabehandling och mot diskriminering och kränkande behandling. Läsåret förskola

Riktlinjer för Lex Sarah

Framtidens digitala elnät i praktiken.

Ny fastighetsmäklarlag. Vitec Mäklarsystem

Strategi för att minska ungdomskriminalitet

ARBETSDOKUMENT FRÅN KOMMISSIONENS AVDELNINGAR

Verksamhetsplan KSA

Leverantörsbetalningar

Folkhälsoplan för 2015

Introduktion till säkerhet Grundläggande begrepp

Processbeskrivning ITIL Change Management

Policy för personuppgiftshantering i Brf Näsbyallé

Forumsgrupp Framtidens Biskopsgården

Aktivitets- och internkontrollplan, bilaga till nämndsplan Lokala nämnden Halmstad år 2015

Guide till datadriven verksamhetsstyrning

Roller och funktioner

Aktivitetsplan, bilaga till nämndsplan Lokala nämnden Halmstad år 2013

Riktlinjer trygghet och säkerhet för förtroendevalda i Lidingö stad

Electrolux Vision ADMIN

EBITS Energibranschens Informations- & IT-säkerhetsgrupp

Handledarmaterial för introduktion till bra arbetsteknik vid städning

Årsredovisning Armada Kanalfastigheter AB

Malltext Tredjepart- /Samarbetsavtal HSA och SITHS

Plan för brandskyddsutbildningar och utrymningsövningar

Europaparlamentet. P8_TA(2017)0321 Genomförande av medlingsdirektivet

Förskolan Västanvind

Bröstförstoring patient information Information till patient och närstående

Informationsattribut för inventering - gränspunkter

Vad är direktivet/eidas? en beskrivning av en teknisk maskin, en nationell PKI betroddhetsserver


Information för socialtjänst och hälso- och sjukvård gällande anmälan och ansökan om god man och förvaltare

TRANSPORTSKYDD - VÄGTRANSPORTER

Regional samverkanskurs 2014

SchoolSoft

Producenter: anvisning om hur checklistan för kontroll av planen för egenkontroll och hur denna omsätts i praktiken fylls i

16 januari, Bästa therascreen pyrosekvenseringskund,

Övningar i JavaScript del 5

Detaljerad sammanfattning av Vägen till ja Getting to Yes

Att ta emot internationella gäster på Vilda

Tillämpningsstöd vid brandteknisk dimensionering av höga Br0- byggnader med förnyelsebara material (trä)

SITHS rekommendationer för internt revisionsarbete

METOD IPP METOD AICKO UTBILDNING FÖR PERSONAL/BRUKARE METOD IPP - INFLYTANDE PÅ PLATS HUR TILLKOM METODEN IPP? HUR SER METODEN UT? PÅ PLATS!

Plan mot diskriminering och kränkande behandling 2016

Livslångt lärande Kompetensutveckling i arbetslivet. Författare: Olle Ahlberg

Förslag till ändrade rutiner för statliga ålderspensionsavgifter

Likabehandlingsplan / Plan mot kränkande behandling för Klippans Förskola

Transkript:

Intrduktin till infrmatinssäkerhet Läs: CSAS chapter 1 Vad är infrmatinssäkerhet? Vad tänker ni själva på när ni hör rd sm: Datasäkerhet IT-säkerhet Nätverkssäkerhet Infrmatinssäkerhet Eller för den delen, säkerhet Varför är säkerhet viktigt? Exempel eller fall relaterade till säkerhet? 1

Infrmatinsförlust Datrintrång 2

Överbelastningsattack? 3

Infrmatinsstöld Andra incidenter Känner någn till andra incidenter? Vad var knsekvenserna? 4

Outline Grundläggande begrepp Cnfidentiality, Integrity, Availability Säkerhetsplicy ch säkerhetsmekanism Ht, attack, tillgång, assurance Utmaningar inm säkerhet Designprinciper för säkerhet Grundläggande begrepp 5

Cnfidentiality, Integrity, Availability Cnfidentiality sekretess Preventin f unauthrized disclsure f infrmatin Data kan hållas hemligt existensen av data kan ckså hållas hemligt Integrity integritet Preventin f unauthrized mdificatin f infrmatin Data ch infrmatin m datakällan kan skyddas Availability tillgänglighet Preventin f unauthrized withhlding f infrmatin r resurces Resurser ch tjänster är tillgängliga när de behövs, utan för mycket dröjsmål Försök att hindra tillgänglighet kallas Denial f Service (DOS) Ht ch attack Asset tillgång Någnting sm skyddas eller har skyddsvärde Fysiskt bjekt, infrmatin, persn, immateriell tillgång Threat ht Ptentiellt brtt mt önskad säkerhet Behöver inte realiseras! Attack attack (Medveten) handling sm kan bryta säkerheten 6

Plicy ch mekanism Security plicy säkerhetsplicy Delar in ett system i säkra ch säkra tillstånd Säkra tillstånd är tillåtna ch säkra tillstånd inte tillåtna Mer i senare föreläsning Security mechanism säkerhetsmekanism Mekanism sm upprätthåller en säkerhetsplicy Ofta teknisk mekanism men kan vara annat Säkert system två antaganden Säkerhetsplicyn är fullständig, entydig ch krrekt Säkerhetsmekanismen låter systemet aldrig nå ett säkert tillstånd 7

Säkra mekanismer ch system Definitiner P är mängden av alla tillstånd i system S Q är mängden av alla säkra tillstånd system S R är mängden av alla tillåtna tillstånd enligt säkerhetsmekanism M Säkerhetsmekanismen M är Säker (secure) m ch endast m R Q Exakt (precise) m ch endast m R = Q Bred (brad) m R Q Systemet S med säkerhetsmekanismen M är säkert m det alltid startar i ett säkert tillstånd M är säker Säker (secure) Exakt (precise) Bred (brad) Nåbara tillstånd enligt M Säkra tillstånd 8

Cncepts Assurance: the aspect f trust that determines hw much t trust a system T gain assurance Detailed specificatin f (un)desired behavir An analysis f the design f the hardware, sftware and ther cmpnents t shw that the system will nt vilate the specificatin The arguments r prfs that implementatin, perating prcedures, etc. will prduce the desired behavir Definitin 4: A system is said t satisfy a specificatin if the specificatin crrectly states hw the system will functin Assurance Assurance: hur mycket man litar på ett system För att skapa assurance: Detaljerad specificatin av ()önskat beteende Analys av systemet sm visar att specifikatinen uppfylls Argument eller bevis att implementatin, handhavande leder till önskat beteende 9

Utmaningar inm säkerhet Utmaningar Säkerhet har inte alltid en eknmisk nytta Det handlar m att begränsa/hantera risker Värdet av säkerhet är kpplat till kstnaden för riskerna Säkerhet är mer än bara teknik Knfigurering ch användande avgör slutligen säkerheten Säkerhet måste accepteras av alla sm påverkas för att fungera Människr är det största säkerhetshtet Hten kmmer inte alltid utifrån, utan även inifrån Säkerhet kan angripas genm att angripa den mänskliga delen av systemet 10

Organizatinal and Human issues Financial benefits Nn-technical issues Wh is respnsible fr security Outsider/insider Scial engineering Utmaningar Eknmiska avvägningar Kstnaden för att implementera, underhålla, utvärdera skydd Nytta berr på riskminskningen ch är inte knstant över tiden Cst-benefit-analys: är det bättre att förebygga än att återställa? Riskanalys Bedömer vilka tillgångar sm behöver skyddas, ch i vilken utsträckning Analys av ht, knsekvenserna av ch sannlikhet för säkerhetsprblem Se upp för analysis paralysis Juridiska aspekter Vilka skydd är tillåtna? Vad ställer lagen för krav? 11

Designprinciper för säkerhet Designprinciper Literature: CASA chapter 13 12

Designprinciper för säkerhet Tumregler ch utgångspunkter för design Framtagna genm lång erfarenhet Ersätter inte riktig riskanalys Grundprinciper: enkelhet ch återhållsamhet Rekmmenderat kmplement till CSAS https://buildsecurityin.us-cert.gv/bsi/articles/knwledge/principles.html Några vanliga designprinciper Least privilege Fail-safe defaults Ecnmy f mechanism Cmplete mediatin Open design Separatin f privilege Psychlgical acceptability Rekmmenderat kmplement till CSAS https://buildsecurityin.us-cert.gv/bsi/articles/knwledge/principles.html 13

Least privilege A subject shuld be given nly thse privileges necessary t cmplete its task. Subjektets funktin eller rll avgör rättigheter, inte identitet Rättigheter läggs till vid behv, tas brt när de inte behövs Rättigheter ett subjekt inte har kan inte missbrukas Exempel: Blmvattnande grannar under semesterresan Fail-safe defaults Unless a subject is given explicit access t an bject it shuld be denied access t that bject Begränsar hur rättigheter sätts när subjekt eller bjekt skapas Om någt misslyckas så är systemet för säkert Exempel: Brandväggsregler i Juniper-ruter Behörigheter i LiUs passersystem 14

Ecnmy f mechanism Security mechanisms shuld be as simple as pssible Förenklar design ch implementatin av säkerhetsmekanismer Mindre risk för fel i enkla än i kmplexa mekanismer När fel inträffar är de enklare att förstå ch krrigera Exempel Kan ni föreslå någt? Cmplete mediatin All accesses t bject is checked t ensure that they are allwed Begränsar hur infrmatin kan kpieras/sparas Leder fta till enklare säkerhetsmekanismer Exempel: Kntrll av tillgång till filer i Unix 15

Open design Security shuld nt depend n secrecy f design r implementatin Implementatinsdetaljer blir alltid kända Säger ingenting m att data inte får hållas hemligt! Även tillämpbart på designprcessen Exempel Design av krypteringsalgritmer ch säkra prtkll Design ch implementatin av DVD CSS Säkerhet i styrsystem för frdn ch fabriker Separatin f privilege A system shuld nt grant permissin based n a single cnditin Särskilt tillämpbar på känsliga/värdefulla resurser Variant av defense in depth Exempel Dubbla signaturer på juridiskt bindande dkument Kntrllräkning av kntanter vid stra bankuttag Kmbinatin av nätverksbrandvägg, lkal brandvägg, accesskntrll 16

Psychlgical acceptability A security mechanism shuld nt make a resurce mre difficult t access than if the security mechanism was nt present Erkänner den mänskliga faktrn i säkerhet Människr är experter på att kringgå knölig säkerhet Behöver fta balanseras mt faktiskt säkerhetsbehv Exempel Nyckelbaserad inlggning med ssh Säkerhetskntrller på flygplatser Övning (arbeta i par) Ta fram verkliga exempel på några av designprinciperna Några exempel på principen framgångsrikt tillämpad Några exempel på principer där principen inte tillämpas Vilka av principerna är särskilt svåra att tillämpa? Varför? Principerna: Least privilege Fail-safe defaults Ecnmy f mechanism Cmplete mediatin Open design Separatin f privilege Psychlgical acceptability 17

Avrundning Alla säkerhetsmekanismer bygger på säkra designprinciper För att tillämpa dem behöver man: Gd förståelse för mekanismens mål Gd förståelse för mekanismens kntext Grundlig analys ch design av system ch mekanism Nggrann implementatin ch test av mekanismen Ha alltid designprinciperna i åtanke i all systemdesign! Tillbakablick Viktiga begrepp Cnfidentiality Integrity Availability Asset Threat Attack Security plicy Security mechanism Assurance Utmaningar Eknmiska utmaningar Mänskliga utmaningar Praktiska utmaningar Juridiska utmaningar 18

Framåt Designprinciper Tumregler för knstruktin av säkra system Riskanalys Grunden för allt systematiskt säkerhetsarbete Kryptteknik Grunden för de flesta mderna säkerhetsmekanismer Accesskntrll ch identifiering Den grundläggande säkerhetsmekanismen i alla system 19

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss