2004-02-25 1
Informationssäkerhet Informationssäkerhetsklassning Anpassning till ISO/IEC 17799 Rita Lenander IT- och Informations-säkerhetschef 2004-02-25 2
Säker hantering av information Inte många skulle lämna sina oförsäkrade lokaler olåsta och obevakade. Men det är just vad många företag och organisationer gör när det gäller en av sina viktigaste tillgångar - informationen. 2004-02-25 3
Tänk om vi hade gjort så här. Vi tillhandahåller lokaler, men du som anställd får själv se till att ordna lås på din dörr. Vi bryr oss inte om ifall du använder en hasp eller sjutillhållarlås. Om någon annan måste komma in i ditt rum så får du väl hänga nyckeln på en spik utanför din dörr eller låta bli att låsa. 2004-02-25 4
Vem har tillgång till vår information och vårt nätverk? Tillgång in i våra lokaler: Passerkort Låsta utrymmen Bemannad reception Vaktbolag Inbrottslarm Tillgång in i vårt nät: Lösenordsdosa/kort Zonindelning Brandvägg Övervakning och loggning IDS-system 2004-02-25 5
Allas vår verklighet Kriminella nätverk börjar utgöra en betydelsefull del av ekonomin, samhällets institutioner och vardagsliv Kriminella över hela världen går samman och bildar en global kriminell ekonomi som kan penetrera finansmarknader, handel, företag och politiska system i alla samhällen. Ökad sofistikerad teknik medför att en liten beslutsam grupp, som är välfinansierad och välinformerad, kan ödelägga hela städer eller slå till mot vitala punkter i samhället. Hotbilden mot energibranschen har gått om finansmarknaden 2004-02-25 6
Statistik från bl.a. BRÅ (Brottsförebyggande Rådet) Ett av hundra dataintrång rapporteras Endast ett av tiotusen försök till dataintrång rapporteras 62 % av alla företag utsätts för databrott ----------- 69 % av alla IT-brott begås av outsiders 83 % av dataintrången utförs av gärningsmän som inte är anställda i företaget 69 % av dataintrången sker via Internet Antalet informationsstölder ökar mest och har högsta skadekostnad per händelse 2004-02-25 7
En definition av IT-säkerhet Försvåra för alla att göra saker Du inte vill att de ska göra med, på eller från din information, datorer eller annan i nätet förekommande utrustning såsom routrar etc. 2004-02-25 8
Vad är informationssäkerhet? Informationssäkerhet karaktäriseras som bevarandet av: Sekretess - säkerställande av att information är tillgänglig endast för dem som har behörighet för åtkomst Riktighet - skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga Tillgänglighet - säkerställande av att behöriga användare vid behov har tillgång till information och tillhörande tillgångar 2004-02-25 9
BS 7799 - SS 627799 ISO/IEC 17799 BS 7799 är en brittisk standard för informations-säkerhet som översattes till svenska och fick beteckningen SS 627799. Det är en direkt översättning med undantag av avsnitt 12.1.7 som handlar om insamling av bevis. Detta avsnitt ansågs inte tillämpligt i Sverige och har därför utelämnats. I början av 2000 blev BS 7799 en internationell ISO-standard ISO/IEC 17799. 2004-02-25 10
Vad ska vi med en standard till? Möjliggör säkerhetscertifiering, motsvarande ISO 9000, av oberoende instans som SWEDAC ackrediterar Garanti för att nödvändiga säkerhetsåtgärder vidtagits i företaget/organisationen Standarden riktar sig till ledningsnivån inom företag och organisationer Mätstock för säkerhetsnivån i en organisation Internationella krav på säkerheten 2004-02-25 11
Vad ska vi skydda? Lagrad säkerhetsklassad information Papper, digitalt etc Transport av säkerhetsklassad information Brev, epost, tal, bild etc Information som måste vara tillförlitlig Finansiell information, Mätvärden etc Tillgång till externa tjänster Reuter, Internet, bokningar etc Tillgång till interna tjänster System, Applikationer, InfoNet etc Vår organisations integritet Företaget bestämmer vem som får veta vad och när 2004-02-25 12
Att säkerhetsklassa information 2004-02-25 13
Informationssäkerhetsklassning Skaparen av information är ansvarig för att den klassificeras korrekt. Inom Sydkraft använder vi fyra olika klasser: 1. Öppen 2. Intern 3. Företagshemlig 4. Kvalificerat Företagshemlig 2004-02-25 14
Informationssäkerhetsklassning Öppen Information avsedd för externt bruk. Kan publiceras på vår externa webb Intern Annan information som inte är hemlig och inte är avsedd för externt bruk. Kan publiceras på koncernens InfoNet Företagshemlig Information som vid otillbörlig läsning eller förändring orsakar ekonomisk skada på företaget. Ekonomisk information som kan ge otillbörlig personlig vinst. Känslig information ur integritetssynpunkt. Kan publiceras på det enskilda bolagets InfoNet 2004-02-25 15
Informationssäkerhetsklassning Kvalificerat företagshemlig Information som vid otillbörlig läsning eller förändring kan äventyra Sydkrafts framtida marknadsposition. Information som innehåller strategier, framtidsplanering, nya produkter, säkerhetsinformation, marknads- och konkurrentanalyser. Endast tillgänglig för en begränsad namngiven grupp. Kan vara inom bolaget, inom koncernen eller grupp från Sydkraft tillsammans med extern part. 2004-02-25 16
Informationssäkerhetsklassning Exempel på märkning av dokument: Datum 2003-07-14 Sekretessklass Internt Informationsklassning Dok. ansvarig Rita Lenander 2004-02-25 17
Informationssäkerhetsklassning Exempel på märkning av dokument: Känsliga uppgifter Kknf kdrn zuoadf koifaffn xjyrak klsjkd dkldlkjkldfl akflfkfd Kvalificerat företagshemligt Jdfirna cjadlj dijfaj ajjurjf qjfhfiwlkdsj jadjf hfd fjda ero jfd Jeufbs fdkidsfn ihf k lehfka hajdsfdkl fjshf sjkdsd cdn Lkjhnrimv kid ir9jw498fmf kdig ds sjs itng, kh8i.lgignd Jueifnfmsld mkddif dsfj Idfklkdfk kdk dskur ipsö klfir öa+kf,kflfj sytsujf kklrtöed Olfgi sjgugn eu eufhga kfukem,fdmdfkfd fdkjfdkj åtrke,d kgi eldnyjd lm fkd mdrik vdkj vn jfnb,m r oikjfsk ij lk dlaj lkad oiw roioirjhe oiqurj oiquer oqieur oqiwje oirj oqierh oqier oqiery oiqr oqierhoiqe oqeir oqeir oqi roiq roiq roqi oihurhtgjnkhnöaohh vr hjij uuh oj ohyhj iugh oujp opj oihpq ip ip pju oyh ie juoouwp iuo oeu o uoi 2004-02-25 18
Informationssäkerhetsklassning - Frågor Hur skapas dokumentet? Var sparas det? Vad är original och vad är kopior? Hur förvaras originalet/kopiorna? Vem kan läsa originalet? Vem kan kopiera det? Hur skickar jag det? Hur förstör jag det? 2004-02-25 19
Informationssäkerhetsklassning - Svar Hur skapas dokumentet? Var sparas det? Vad är original och vad är kopior? Hur förvaras originalet/kopiorna? Word Acrobat Applikation Vem kan läsa originalet? Vem kan kopiera det? Hur skickar jag det? Hur förstör jag det? 2004-02-25 20
Informationssäkerhetsklassning - Svar Hur skapas dokumentet? Var sparas det? Vad är original och vad är kopior? Hur förvaras originalet/kopiorna? Vem kan läsa originalet? Filserver Hårddisk på pc Databas Vem kan kopiera det? Hur skickar jag det? Hur förstör jag det? 2004-02-25 21
Informationssäkerhetsklassning - Svar Hur skapas dokumentet? Var sparas det? Vad är original och vad är kopior? Hur förvaras originalet/kopiorna? Vem kan läsa originalet? Vem kan kopiera det? Originalet är där du sparade det Kopior är utskrivna pappersdokument Hur skickar jag det? Hur förstör jag det? 2004-02-25 22
Informationssäkerhetsklassning - Svar Hur skapas dokumentet? Var sparas det? Vad är original och vad är kopior? Hur förvaras originalet/kopiorna? Vem kan läsa originalet? Vem kan kopiera det? Hur skickar jag det? Hur förstör jag det? Originalet är där du sparade det. Företagshemligt och Kvalificerat Företagshemligt dokument skall förvaras krypterat och med åtkomstbegränsning. Papperskopior som är klassade som Företagshemligt och Kvalificerat Företagshemligt förvaras i kassaskåp 2004-02-25 23
Informationssäkerhetsklassning - Svar Hur skapas dokumentet? Var sparas det? Vad är original och vad är kopior? Hur förvaras originalet/kopiorna? Vem kan läsa originalet? Vem kan kopiera det? Hur skickar jag det? Hur förstör jag det? Alla som har tillgång till dokumentet där det är lagrat/sparat. Detta betyder att även ITdriftspersonal och administratörer har tillgång. Särskilda lagrings-platser för Företags-hemligt och Kvalificerat Företagshemlig information som är krypterade. 2004-02-25 24
Informationssäkerhetsklassning - Svar Hur skapas dokumentet? Var sparas det? Vad är original och vad är kopior? Hur förvaras originalet/kopiorna? Vem kan läsa originalet? Vem kan kopiera det? Hur skickar jag det? Hur förstör jag det? Alla som har tillgång till dokumentet där det är lagrat/sparat. Detta betyder att även ITdriftspersonal och administratörer har tillgång. Särskilda lagrings-platser för Företagshemligt och Kvalificerat Företagshemlig information som är krypterade. 2004-02-25 25
Informationssäkerhetsklassning - Svar Hur skapas dokumentet? Var sparas det? Vad är original och vad är kopior? Hur förvaras originalet/kopiorna? Vem kan läsa originalet? Vem kan kopiera det? Hur skickar jag det? Hur förstör jag det? Via epost: Företagshemlig information får endast skickas krypterat. Kvalificerat Företagshemlig information får ej skickas via epost. Via brev: Företagshemlig information skickas rekommenderat. Kvalificerat Företagshemlig information skickas via kurir. 2004-02-25 26
Informationssäkerhetsklassning - Svar Hur skapas dokumentet? Var sparas det? Vad är original och vad är kopior? Hur förvaras originalet/kopiorna? Vem kan läsa originalet? Vem kan kopiera det? Hur skickar jag det? Hur förstör jag det? På datamedia: Kvalificerat Företagshemlig information skall förstöras så att informationen inte är återskapningsbar. På papper: Företagshemlig och Kvalificerat Företagshemlig information skall förstöras i pappersstrimlare. 2004-02-25 27
2004-02-25 28