Informationssäkerhet - en översikt
Louise Yngström, DSV
Definition
Definition MålMål KravKrav MedelMedel
Närmaste 50 minuterna...
Informationssäkerhet?
Datasäkerhet
säkerhet beträffande skydd av
datorsystem och dess data syftande till att förhindra obehörig åtkomst och obehörig eller oavsiktlig
förändring eller störning vid
databehandling
IT-säkerhet
säkerhet beträffande skydd av IT- system och dess data syftande till att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling
samt dator- och telekommunikation
Informationssäkerhet
säkerhet beträffande skydd av
informationstillgångar syftande till att uppräthålla önskad
sekretess, riktighet och
tillgänglighet (även spårbarhet
och oavvislighet) för desamma
Informationstillgångar
en organisations informationsrelaterade tillgångar, vilka utgör ett värde och därmed är skyddsvärda
Exempel på informationstillgångar är:
♦ Information (kunddatabas, metodik, dokument, etc.)
♦ Program (applikation, operativsystem, etc.)
♦ Tjänster (Internetförbindelse, elförsörjning, etc.)
♦ Fysiska tillgångar (dator, bildskärm, telefon, etc.)
Informationstillgångar kan vara av fysisk eller logisk karaktär, eller bådadera.
Definition: informationssäkerhet
Säkerhet vid hantering av information, oavsett medium, syftande till att upprätthålla
tillfredsställande tillgänglighet, sekretess och
riktighet.
Informationssäkerhetsarbetet i företag
Granskning
Granskning UtvecklingUtveckling InförandeInförande
Mål med informationssäkerhet
♦ Tillgänglighet
♦ Sekretess
♦ Informationskvalitet
♦ Spårbarhet
♦ Oavvislighet
Mål med informationssäkerhet
Behörig mottagare
Behörig mottagare
Obehörig mottagare Obehörig mottagare
Behörig sändare Behörig sändare
Obehörig sändare Obehörig sändare Information
Organisation IT-system
Tillgänglighet
Oavvislighet Spårbarhet
Sekretess
riktighet
Varför informationssäkerhet?
Information IT-system Processer Strategi
Mål
♦ Organisationer existerar för att uppnå ett mål. För att nå målet har man en övergipande plan - en strategi.
♦ Strategin bryts sedan ned i mer konkreta aktiviteter som måste utföras om målet skall nås - processer.
♦ Dessa processer måste försörjas med information för att fungera, och ofta sker det med hjälp av IT-system.
♦ Informationssäkerhet behövs således för att tillse att processerna verkligen får den information de behöver för att kunna utföras (tillgänglighet), samtidigt som informationen är inte kommer obehöriga till del (sekretess). Informationen måste även vara riktig och fullständig (informationskvalitet), annars kan kan den medföra felaktiga beslut eller ineffektivitet i processerna.
Krav på informationssäkerhet
Information Organisation
IT-system
Skydd
Verksamheten
(interna krav) Hot
(externa krav)
Legala krav
Verksamhetens krav (interna krav)
♦
Informationssäkerheten i organisationen skall utgå från verksamhetens behov av
informationsförsörjning.
♦
Nivån på informationssäkerheten skall avpassas så att man inte spenderar för mycket resurser på
säkerheten samtidigt som man tillgodoser behovet av tillgång till riktig och fullständig information.
♦
En affärsberoendeanalys kan identifiera dessa
krav.
Krav på grund av hot / risk (externa krav)
♦
Informationssäkerheten i organisationen skall beakta de hot och risker som finns mot
verksamheten.
♦
En riskanalys kan identifiera dessa krav.
♦
Kostnaden för skyddet måste balanseras mot
värdet av de informationstillgångar (information,
datorer, mm.) som skall skyddas.
Legala krav
♦
Informationssäkerheten i organisationen måste beakta de lagar och förordningar som gäller beträffande informationshantering.
♦
Dessa ställer bland annat krav på skyddet av
redovisnings- och individrelaterad information.
Med vilka medel kan
informationssäkerhet uppnås?
♦ ”Sociala kontroller”:
Utbildning, företagskultur, indoktrinering, mm.♦ Administrativa kontroller:
Informations- säkerhetspolicy, regler, rutinbeskrivningar, mm.♦ Fysiska kontroller:
Säkerhetsdörr, inbrottslarm, brandlarm, övervakningskamera, mm.♦ Tekniska kontroller:
Brandvägg, behörighetskontrollsystem (loginfunktion), intrångsdetekteringssystem, mm.Sammanfattning
♦ Definition:
Med informationssäkerhet menas säkerhet vidhantering av information, oavsett medium, syftande till att upprätthålla tillfredsställande tillgänglighet, sekretess och informationskvalitet.
♦ Mål:
Det man vill uppnå med informationssäkerhet ärtillfredsställande tillgänglighet, sekretess, informationskvalitet,
spårbarhet, oavvislighet. Vad som anses vara tillfredsställande beror i sin tur på vilka krav som ställs:
♦ Krav:
Det finns tre olika källor som ställer krav påinformationssäkerheten, och dessa är a) verksamheten (interna krav), b) riskmiljön (externa krav), samt c) legala krav.
♦ Medel:
För att svara upp mot dessa krav, och för att uppnå målet kan organisationen använda sig av fyra kategorier av medel, nämligen sociala, administrativa, fysiska, samt tekniska kontroller.Nivåer av logisk åtkomst
Användare
Information Operativsystem
Databashanterare Applikation
Vägen till informationen
Användare
Information Operativsystem
Databashanterare Applikation
Användare kan ofta komma åt data utan att passera den tänkta stigen för åtkomst.
Ofta spelar BKS på olika nivå ut varandra i praktiken.
Exempel: Åtkomst till databas via filhanteraren
Problem som kan uppstå
♦ Användare kan skriva (radera!) och läsa i hela databasen med redovisningsinformation med hjälp av annan
databashanterare (via MS Access), trots att de i
applikationen endast har behörighet till givna funktioner eller konton.
♦ Användare som uttryckligen tagits från rättigheter till access till redovisningsdata i operativsystemets
inställningar har trots detta tillgång till data eftersom redovisningsapplikationen arbetar med en egen
användarprofil.
Informationssäkerheten måste därför angripas från ett helhetsperspektiv
Kurser inom programmet:
♦ åk2: Intro till datasäk, 2I1030, 4p
– identifikation, autentisering & accesskontroll – kryptering
– OS, DS, WWW, Nätverk & DB säkerhet
– syfte: introducera
Senare kurser
– Säkerhetsprotokoll & applikationer i nät
• arkitektur, tjänster & mekanismer
• tillämpningar & modeller
– Säkerhetsarkitektur för öppna distribuerade system
• tillämpningar & protokoll
• modeller för integrerade lösningar, sp smarta kort
– Java-miljöer och e-handel
• aktuell forskning och tillämpning