Informationssäkerhet En modell Informationssäkerhetens landskap Olle Olsson



Relevanta dokument
Informationssäkerhet En modell

2000-talet tillgänglighet på webben. Olle Olsson Swedish W3C Office Swedish Institute of Computer Science (SICS)

SICS Swedish Institute of Computer Science

Olle Olsson. SICS ( ) W3C ( ) Nationellt forskningsinstitut. Mål:

Informationsstandarder Mervärde eller förutsättning?

Informationssäkerhetspolicy inom Stockholms läns landsting

SICS Swedish Institute of Computer Science

Informationssäkerhetspolicy för Ystads kommun F 17:01

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Riskanalys och informationssäkerhet 7,5 hp

INFORMATIONSSÄKERHET EN FÖRUTSÄTTNING FÖR GOD INFORMATIONSHANTERING

Olle Olsson. SICS ( ) W3C ( ) Nationellt forskningsinstitut. Mål:

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

E-arkiv. (att skapa en långsiktig och hållbar digital informationshantering) Registrator 2017, 6 april 2016

Affärsmodeller och samarbete på framtidens Internet

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, LANDSTING OCH REGIONER

Riskanalys och riskhantering

Regeringens mål för IT-politiken är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.

Informationssäkerhet - en översikt. Louise Yngström, DSV

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhet, Linköpings kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Riktlinjer för informationssäkerhet

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Introduktion till informationssäkerhet

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) / av den

INFORMATIONSSÄKERHET ETT HINDER ELLER EN MÖJLIGGÖRARE FÖR VERKSAMHETEN

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Policy för informationssäkerhet

Informationssäkerhetspolicy

Policy för informations- säkerhet och personuppgiftshantering

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Standarder källa till kunskap och utveckling. Arkivarien i den digitala kommunikationen

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Hur värnar kommuner digital säkerhet?

Digital strategi för Uppsala kommun

E-hälsostrategi för socialförvaltningen

ISO/IEC och Nyheter

Tillgänglighet, Kontinuitet och Incidenthantering. Förutsättningar för nyttoeffekter. Leif Carlson

Introduktion till protokoll för nätverkssäkerhet

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Strategi för dokument och arkivhantering i Sundsvalls kommunkoncern

SOLLENTUNA FÖRFATTNINGSSAMLING 1

NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, REGIONER OCH LANDSTING

GÖTEBORGS UNIVERSITET IT-policy version sid 2 av Syfte Övergripande Styrning av IT... 3

Secure Cloud for Public sector Roadshow hösten 2015 Henrik S Tedeby, Beställarenhet IT, Haninge kommun. Jeanette Thorell CIO Haninge kommun

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA

GTP Info KP P-O Risberg Jaan Haabma GTP Info KP Inforum 1

IT-Policy. Tritech Technology AB

FÖRHINDRA DATORINTRÅNG!

Riktlinjer informationssäkerhetsklassning

Icke funktionella krav

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

FALK 2015 FYRTIONIO KOMMUNER I VÄSTRA GÖTALAND HUR KAN VI SAMVERKA? Johan Kjernald IT-samordnare Johan.kjernald@grkom.

Vad är säker information? En kritisk diskussion. Björn Lundgren Doktorand, Avdelningen för Filosofi, KTH

Digital arkivering och historiklagring Anastasia Pettersson och Anders Kölevik

Steget efter, omöjligt att undvika eller?

Informationssäkerhetspolicy

Ledning och styrning av IT-tjänster och informationssäkerhet

E-strategi fo r Knivstas fo rskolor och skolor

Vision e-hälsa Karina Tellinger McNeil Malin Amnefelt

Digitalisering av samhällsbyggnadsprocessen. Christina Thulin, Sveriges Kommuner och Landsting

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

IT-policy inom Stockholms läns landsting

Introduktion. 1DV425 Nätverkssäkerhet. Patrik Brandt

EBITS E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer

Winternet Ett svenskt inititativ för avancerad Internetforskning. Grand Finale workshop IVA, Stockholm 18 augusti 2005

MiL PERSONLIGT LEDARSKAP

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Informationssäkerhetspolicy

I Central förvaltning Administrativ enhet

POLICY INFORMATIONSSÄKERHET

PTS synpunkter på remissen av digitalforvaltning.nu (SOU 2017:23) Delbetänkande av Utredningen om effektiv styrning av nationella digitala tjänster

Informationssäkerhet - Informationssäkerhetspolicy

5 säkerhetsaspekter att tänka på vid skapandet av din digitala assistent

E-strategi för Strömstads kommun

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy IT (0:0:0)

Juridik och informationssäkerhet

Finansinspektionens författningssamling

1 Informationsklassificering

Enklare i esamhället. Lennart Jonasson

Informations- och IT-säkerhet i kommunal verksamhet

Mobilitet - Direkt informationsåtkomst. Lena Brännmar Boråsregionen Sjuhärads kommunalförbund

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

KOMMUNIKATIONSPLAN. För namn på projektet/aktiviteten. Revisionshistorik. Bilagor 20XX-XX-XX

IT-strategi. Mjölby kommun. för. Antaget av Kommunfullmäktige: Dokumentansvarig: John JM Prpic

Vägen mot e-arkiv. Hur vi skapar förutsättningar för e-arkiv och ett digitalt informationsflöde KORTVERSION AV FÖRSTUDIERAPPORTEN

Riktlinjer för informationssäkerhet

Transkript:

Stiftelsen för rättsinformation Svenska Föreningen för ADB och Juridik 29 november 2007 Informationssäkerhet En modell Informationssäkerhetens landskap Olle Olsson Swedish Institute of Computer Science SICS Swedish Institute of Computer Science Nationellt forskningsinstitut Mål: FoU inom IT Bedriva avancerad och fokuserad forskning inom strategiskt viktiga IT-områden Sponsorer: TeliaSonera Ericsson Saab Systems FMV Green Cargo ABB Bombardier Transportation sid 2

Om informationssäkerhet Säkerhet: Av vad? För vem? Uppnå vad? Budskap: Säkerhet bidrar till tillförlitlighet Medel för balansering av intressentintressen sid 3 Historiska drivkrafter Datacentraltiden fokus på: Fysiskt skydd av data (media) Ej förlora/ej förstöra (förlora egen åtkomst) Oavsiktligt Avsiktligt Ej sprida (andra får åtkomst) Stöld Säkerställa arkivering Åtkomst inom viss framtid sid 4

Informationssäkerhet förr Betoning på: Mål: hemlighållande Objekt: ett hanterligt antal databaser Begränsa tillgång, bygg murar, stäng in, etc. Ägar e Andr a sid 5 Dagens drivkrafter Sammanhanget IKT (Informations- och kommunikationsteknologi) Bred användning verksamhet på IT-bas Föränderligt landskap teknik, verksamhet,... Sammanvävda verksamheter Kritisk infrastruktur Logiskt skydd Nätverkssamhället för samhälle och aktörer digitala sfären data och program Fysiskt skydd datorer, nätverk, minnen,... sid 6

IT övergripande mål Information (i samhället) skall bidraga till: Kostnadseffektivitet Kvalitet Transparens Uniformitet Delaktighet Innovativitet Etc.... sid 7 Begreppet säkerhet Samlingsbegrepp Ett antal icke-funktionella aspekter Säkerhet mångfacetterat Mångdimensionellt Konkreta målsättningar I varje sammanhang För varje aspekt sid 8

Aspekter: CIA-triaden Konfidentialitet ( confidentiality ) Skyddas information mot otillbörlig åtkomst? Integritet ( integrity ) Har data ändrats otillbörligt/oönskat? Tillgänglighet ( availability ) Fås information inom rimlig tid? sid 9 Aspekter: Parkers hexad Konfidentialitet ( confidentiality ) Vem ska inte få tillgång till information? Innehav ( possession, control ) Har någon annan tillgång till information? Integritet ( integrity ) Är informationen oförändrad? Autentisering ( authenticity ) Är informationen tillskriven rätt källa? Åtkomlighet ( availability ) Kan information åkommas inom rimlig tid? Användbarhet ( utility ) Kan informationen användas på avsett sätt? sid 10

Aspekter: ytterligare några Autentisering av aktör ( authentication ) Vem är du? Auktorisering av aktör ( authorization ) Vad får du göra? Tillförlitlighet ( admissibility ) Kan jag lita på dina mekanismer? Säkerhetsgranskning ( auditing ) Är säkerheten väldefinierad och underbyggd? Spårbarhet ( accountability ) Vem har gjort vad med data? Icke-förnekelse ( non-repudiation ) Hur visa vem som gett vad till vem? sid 11 Medel för informationssäkerhet Typer av medel: Tekniska Fysiska apparater, sladdar, kort, minnen,... Logiska digitala mekanismer Administrativa arbetsgång, hantering, processer Policies Lagar, förordningar,... Standarder Etc.... sid 12

Tekniska medel - exempel Konfidentialitet Kryptografi Integritet Checksummor & digitala signaturer Åtkomlighet Indexering och sökning Autentisering Signering sid 13 Säkerhet m.a.p. vad? Objekt-perspektiv: Information/data Tillämpning/program Dator Nätverk Process-perspektiv Användande Vidareförädling Etc. sid 14

Riskhantering Komplementärt synsätt Fokusskifte Innefattar Riskanalys Hot Sårbarhet Konsekvensanalys Kostnader Konkret Riskhanteringsplan Riskhanteringsprocess sid 15 Säkerhet/risk ekosystemet Nätverkad värld Intressenter (stakeholders) Beroenderelationer Egennytta och ömsesidig nytta Säkerhet är gemensam utmaning Uppnå goda effekter Tillit/förtroende Kostnadseffektivitet sid 16

Ekosystemet roller Informationsproducenter Säkerställa information ( data ) Informationsleverantörer Säkerställa informationstjänster Informationskonsumenter Säkerställa informationsanvändning sid 17 Ekosystemet relationer / 1 producent P leverantör L konsument K sid 18

Ekosystemet relationer / 2 P L K/P L K sid 19 Återkoppling i ekosystemet P L K/P L K sid 20

Informationssäkerhet nu Balansering mellan: Ramverk för säkerhet Verksamhetens kvalitets- och produktionskrav Generellt: innefattar all verksamhetsdata Databaser, dokument, epost, wikis, IRC, etc. Roll implicerar Ansvarsområde Behov/önskningar/krav Relationer implicerar Förväntningar sid 21 Leverantörsperspektiv / 1 Ge tillgång till information Ägar e Andr a Ge tillgång till all publicerad information Ägar e Andr a sid 22

Leverantörsperspektiv / 2 Ge tillgång över tiden Ägar e Äga re Äga re And ra Andr a And ra Ej ge tillgång till osann information Ägar e Andr a sid 23 Konsumentperspektiv / 1 Leverantör Använ -dare Få oförfalskad information Leverantör Leverantör Använ -dare Ej få manipulerad information Manipulatör sid 24

Konsumentperspektiv / 2 Lever antör Anvä ndare Få all relevant information Lever antör Anvä ndare Ej få inaktuell information sid 25 Konsumentperspektiv / 3 Använ -dare Få information när den behövs Leverantör Leverantör Använ -dare Få användbar information sid 26

Säkerhet: mål eller medel? Rättsinformation ju mer användning desto bättre. Användbarhet är primär egenskap Funktionell egenskap Säkerhet är sekundär egenskap Icke-funktionell egenskap sid 27 Säkerhetsaspekter - konsument Integritet Tillgänglighet Autentisering Åtkomlighet Användbarhet Tillförlitlighet Säkerhetsgranskning Spårbarhet Icke-förnekelse Har data ändrats oönskat? Fås information inom rimlig tid? Är informationen tillskriven rätt källa? Kan information åkommas inom rimlig tid? Kan informationen användas på avsett sätt? Kan jag lita på dina mekanismer? Är säkerheten väldefinierad och underbyggd? Vem har gjort vad med data? Hur visa vem som gett vad till vem? sid 28

Balans i försörjningskedjan Rättslig informationsförsörjning Producenter och konsumenter Kedjor av produktion och vidareförädling Balans i kedjan Tydliga ömsesidiga förväntningar Underbyggda påståenden om att leva upp till förväntningar P L K / P L SLA K sid 29 Informationsförsörjningspusslet Dokument Funktioner Objekt Innehåll Beteende Beskrivningar.. av dokument..av dokumentsamlingar..av funktioner Modeller.. över beskrivningar..över beskrivningar Lägger grunden för förväntningar och åtaganden L K sid 30

Kvalitet i pusslet Objekt, beskrivningar, modeller......måste alla kvalitetssäkras Del i gränssnittet mellan aktörer i kedjan En föränderlig värld Ökad samordning: harmoniserad hantering av bredare informationsbaser Verksamhets- och rollutveckling: hantering av ständig förändringsprocess Kvalitet inom definierade ramar över förändring i tiden sid 31 Sammanfattning Säkerhet rör Inte bara information i form av data Även informationstjänster Inte bara producentens krav Egentligen mer om konsumentens krav Informationssäkerhet Underbygger tillförlitlig informationsanvändning Kräver definierade mål och processer sid 32

Tack för uppmärksamheten! sid 33

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss