Informationssäkerhet - en översikt. Louise Yngström, DSV

Relevanta dokument
Riskanalys och informationssäkerhet 7,5 hp

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhetspolicy för Ystads kommun F 17:01

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy inom Stockholms läns landsting

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy. Linköpings kommun

Policy för informationssäkerhet

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhet, Linköpings kommun

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Informationssäkerhetspolicy för Nässjö kommun

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

1(6) Informationssäkerhetspolicy. Styrdokument

IT-säkerhet Internt intrångstest

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhetspolicy

Sjunet standardregelverk för informationssäkerhet

Informationssäkerhetspolicy

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Hur värnar kommuner digital säkerhet?

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Översikt av GDPR och förberedelser inför 25/5-2018

Myndigheten för samhällsskydd och beredskaps författningssamling

Policy för informations- säkerhet och personuppgiftshantering

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

GÖTEBORGS UNIVERSITET IT-policy version sid 2 av Syfte Övergripande Styrning av IT... 3

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Riktlinjer informationssäkerhet

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Dnr

POLICY INFORMATIONSSÄKERHET

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Handbok Informationsklassificering

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Informationssäkerhetspolicy

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

Gallrings-/bevarandetider för loggar i landstingets IT-system

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

I Central förvaltning Administrativ enhet

EBITS E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer

PERSONUPPGIFTSBITRÄDESAVTAL

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Informationssäkerhetspolicy

E-strategi för Strömstads kommun

Bilaga 3 Säkerhet Dnr: /

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Datasäkerhet och integritet. Juridiska frågor

Juridik och informationssäkerhet

Bilaga 3c Informationssäkerhet

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Säkra trådlösa nät - praktiska råd och erfarenheter

Gemensamma anvisningar för informationsklassning. Motala kommun

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Strukturerat informationssäkerhetsarbete

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Administrativ säkerhet

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Förstudie e-arkiv Begreppslista Begreppslista 1.0

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Cyberhot och cybersäkerhet Ökade risker och nödvändiga åtgärder i digitaliseringens fotspår

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

IT-säkerhet Externt och internt intrångstest

Informationssäkerhetspolicy

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

I n fo r m a ti o n ssä k e r h e t

Informationssäkerhetsanvisning

Transkript:

Informationssäkerhet - en översikt Louise Yngström, DSV

Närmaste 50 minuterna... Informationssäkerhet? Definition Mål Krav Medel

Datasäkerhet säkerhet beträffande skydd av datorsystem och dess data syftande till att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling

IT-säkerhet säkerhet beträffande skydd av ITsystem och dess data syftande till att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling samt dator- och telekommunikation

Informationssäkerhet säkerhet beträffande skydd av informationstillgångar syftande till att uppräthålla önskad sekretess, riktighet och tillgänglighet (även spårbarhet och oavvislighet) för desamma

Informationstillgångar en organisations informationsrelaterade tillgångar, vilka utgö ett värde och därmed är skyddsvärda Exempel på informationstillgångar är: Information (kunddatabas, metodik, dokument, etc.) Program (applikation, operativsystem, etc.) Tjänster (Internetförbindelse, elförsörjning, etc.) Fysiska tillgångar (dator, bildskärm, telefon, etc.) Informationstillgångar kan vara av fysisk eller logisk karaktär, eller bådadera.

Definition: informationssäkerhet Säkerhet vid hantering av information, oavsett medium, syftande till att upprätthålla tillfredsställande tillgänglighet, sekretess och riktighet.

Informationssäkerhetsarbetet i företag Granskning Utveckling Införande

Mål med informationssäkerhet Tillgänglighet Sekretess Informationskvalitet Spårbarhet Oavvislighet

Mål med informationssäkerhet Behörig mottagare Obehörig mottagare illgänglighet Organisation IT-system Sekretess Oavvislighet Behörig sändare Information riktighet Obehörig sändare Spårbarhet

Varför informationssäkerhet? Organisationer existerar för att uppnå ett mål. För att nå målet har man en övergipande plan - en strategi. Strategin bryts sedan ned i mer konkreta aktiviteter som måste utföras om målet skall nås - processer. Dessa processer måste försörjas med information för att fungera, och ofta sker det med hjälp av IT-system. Informationssäkerhet behövs således för att tillse att processerna verkligen får den information de behöver för att kunna utföras (tillgänglighet), samtidigt som informationen är inte kommer obehöriga till del (sekretess). Informationen måste även vara riktig och fullständig (informationskvalitet), annars kan kan den medföra felaktiga beslut eller ineffektivitet i processerna. Information IT-system Processer Strategi Må

Krav på informationssäkerhet Skydd Organisation Verksamheten (interna krav) IT-system Information Hot (externa krav) Legala krav

Verksamhetens krav (interna krav) Informationssäkerheten i organisationen skall utgå från verksamhetens behov av informationsförsörjning. Nivån på informationssäkerheten skall avpassas så att man inte spenderar för mycket resurser på säkerheten samtidigt som man tillgodoser behovet av tillgång till riktig och fullständig information. En affärsberoendeanalys kan identifiera dessa krav.

Krav på grund av hot / risk (externa krav) Informationssäkerheten i organisationen skall beakta de hot och risker som finns mot verksamheten. En riskanalys kan identifiera dessa krav. Kostnaden för skyddet måste balanseras mot värdet av de informationstillgångar (information, datorer, mm.) som skall skyddas.

Legala krav Informationssäkerheten i organisationen måste beakta de lagar och förordningar som gäller beträffande informationshantering. Dessa ställer bland annat krav på skyddet av redovisnings- och individrelaterad information.

Med vilka medel kan informationssäkerhet uppnås? Sociala kontroller : Utbildning, företagskultur, indoktrinering, mm. Administrativa kontroller: Informationssäkerhetspolicy, regler, rutinbeskrivningar, mm. Fysiska kontroller: Säkerhetsdörr, inbrottslarm, brandlarm övervakningskamera, mm. Tekniska kontroller: Brandvägg, behörighetskontrollsystem (loginfunktion), intrångsdetekteringssystem, mm.

Sammanfattning Definition: Med informationssäkerhet menas säkerhet vid hantering av information, oavsett medium, syftande till att upprätthålla tillfredsställande tillgänglighet, sekretess och informationskvalitet. Mål: Det man vill uppnå med informationssäkerhet är tillfredsställande tillgänglighet, sekretess, informationskvalitet, spårbarhet, oavvislighet. Vad som anses vara tillfredsställande beror i sin tur på vilka krav som ställs: Krav: Det finns tre olika källor som ställer krav på informationssäkerheten, och dessa är a) verksamheten (interna krav), b) riskmiljön (externa krav), samt c) legala krav. Medel: För att svara upp mot dessa krav, och för att uppnå målet kan organisationen använda sig av fyra kategorier av medel, nämligen sociala, administrativa, fysiska, samt tekniska kontroller.

Nivåer av logisk åtkomst Användare Operativsystem Applikation Databashanterare Information

Vägen till informationen Användare Operativsystem Applikation Databashanterare Användare kan ofta komma åt data utan att passera den tänkta stigen för åtkomst. Ofta spelar BKS på olika nivå ut varandra i praktiken. Information

Exempel: Åtkomst till databas via filhanteraren

Problem som kan uppstå Användare kan skriva (radera!) och läsa i hela databasen med redovisningsinformation med hjälp av annan databashanterare (via MS Access), trots att de i applikationen endast har behörighet till givna funktioner eller konton. Användare som uttryckligen tagits från rättigheter till access till redovisningsdata i operativsystemets inställningar har trots detta tillgång till data eftersom redovisningsapplikationen arbetar med en egen användarprofil. Informationssäkerheten måste därför angripas från ett helhetsperspektiv

Kurser inom programmet: åk2: Intro till datasäk, 2I1030, 4p identifikation, autentisering & accesskontroll kryptering OS, DS, WWW, Nätverk & DB säkerhet syfte: introducera

Senare kurser Säkerhetsprotokoll & applikationer i nät arkitektur, tjänster & mekanismer tillämpningar & modeller Säkerhetsarkitektur för öppna distribuerade system tillämpningar & protokoll modeller för integrerade lösningar, sp smarta kort Java-miljöer och e-handel aktuell forskning och tillämpning Ytterligare kurser kan tillkomma

Ett exempel: Svenska storbanker inte pålitliga. Hackare knäckte säkerhetskoderna, DI 020827, sid 48 Är det sant? Varför rapporterar media så?

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss