• No results found

Informationssäkerhet - en översikt. Louise Yngström, DSV

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Informationssäkerhet - en översikt. Louise Yngström, DSV"

Copied!
26
0
0

Loading.... (view fulltext now)

Download now ( 26 Page )

Full text

(1)

Informationssäkerhet - en översikt

Louise Yngström, DSV

(2)

Definition

Definition MålMål KravKrav MedelMedel

Närmaste 50 minuterna...

Informationssäkerhet?

(3)

Datasäkerhet

säkerhet beträffande skydd av

datorsystem och dess data syftande till att förhindra obehörig åtkomst och obehörig eller oavsiktlig

förändring eller störning vid

databehandling

(4)

IT-säkerhet

säkerhet beträffande skydd av IT- system och dess data syftande till att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling

samt dator- och telekommunikation

(5)

Informationssäkerhet

säkerhet beträffande skydd av

informationstillgångar syftande till att uppräthålla önskad

sekretess, riktighet och

tillgänglighet (även spårbarhet

och oavvislighet) för desamma

(6)

Informationstillgångar

en organisations informationsrelaterade tillgångar, vilka utgör ett värde och därmed är skyddsvärda

Exempel på informationstillgångar är:

Information (kunddatabas, metodik, dokument, etc.)

Program (applikation, operativsystem, etc.)

Tjänster (Internetförbindelse, elförsörjning, etc.)

Fysiska tillgångar (dator, bildskärm, telefon, etc.)

Informationstillgångar kan vara av fysisk eller logisk karaktär, eller bådadera.

(7)

Definition: informationssäkerhet

Säkerhet vid hantering av information, oavsett medium, syftande till att upprätthålla

tillfredsställande tillgänglighet, sekretess och

riktighet.

(8)
(9)

Informationssäkerhetsarbetet i företag

Granskning

Granskning UtvecklingUtveckling InförandeInförande

(10)
(11)

Mål med informationssäkerhet

♦ Tillgänglighet

♦ Sekretess

♦ Informationskvalitet

♦ Spårbarhet

♦ Oavvislighet

(12)

Mål med informationssäkerhet

Behörig mottagare

Behörig mottagare

Obehörig mottagare Obehörig mottagare

Behörig sändare Behörig sändare

Obehörig sändare Obehörig sändare Information

Organisation IT-system

Tillgänglighet

Oavvislighet Spårbarhet

Sekretess

riktighet

(13)

Varför informationssäkerhet?

Information IT-system Processer Strategi

Mål

Organisationer existerar för att uppnå ett mål. För att nå målet har man en övergipande plan - en strategi.

Strategin bryts sedan ned i mer konkreta aktiviteter som måste utföras om målet skall nås - processer.

Dessa processer måste försörjas med information för att fungera, och ofta sker det med hjälp av IT-system.

Informationssäkerhet behövs således för att tillse att processerna verkligen får den information de behöver för att kunna utföras (tillgänglighet), samtidigt som informationen är inte kommer obehöriga till del (sekretess). Informationen måste även vara riktig och fullständig (informationskvalitet), annars kan kan den medföra felaktiga beslut eller ineffektivitet i processerna.

(14)

Krav på informationssäkerhet

Information Organisation

IT-system

Skydd

Verksamheten

(interna krav) Hot

(externa krav)

Legala krav

(15)

Verksamhetens krav (interna krav)

Informationssäkerheten i organisationen skall utgå från verksamhetens behov av

informationsförsörjning.

Nivån på informationssäkerheten skall avpassas så att man inte spenderar för mycket resurser på

säkerheten samtidigt som man tillgodoser behovet av tillgång till riktig och fullständig information.

En affärsberoendeanalys kan identifiera dessa

krav.

(16)

Krav på grund av hot / risk (externa krav)

Informationssäkerheten i organisationen skall beakta de hot och risker som finns mot

verksamheten.

En riskanalys kan identifiera dessa krav.

Kostnaden för skyddet måste balanseras mot

värdet av de informationstillgångar (information,

datorer, mm.) som skall skyddas.

(17)

Legala krav

Informationssäkerheten i organisationen måste beakta de lagar och förordningar som gäller beträffande informationshantering.

Dessa ställer bland annat krav på skyddet av

redovisnings- och individrelaterad information.

(18)

Med vilka medel kan

informationssäkerhet uppnås?

♦ ”Sociala kontroller”:

Utbildning, företagskultur, indoktrinering, mm.

♦ Administrativa kontroller:

Informations- säkerhetspolicy, regler, rutinbeskrivningar, mm.

♦ Fysiska kontroller:

Säkerhetsdörr, inbrottslarm, brandlarm, övervakningskamera, mm.

♦ Tekniska kontroller:

Brandvägg, behörighetskontrollsystem (loginfunktion), intrångsdetekteringssystem, mm.

(19)

Sammanfattning

♦ Definition:

Med informationssäkerhet menas säkerhet vid

hantering av information, oavsett medium, syftande till att upprätthålla tillfredsställande tillgänglighet, sekretess och informationskvalitet.

♦ Mål:

Det man vill uppnå med informationssäkerhet är

tillfredsställande tillgänglighet, sekretess, informationskvalitet,

spårbarhet, oavvislighet. Vad som anses vara tillfredsställande beror i sin tur på vilka krav som ställs:

♦ Krav:

Det finns tre olika källor som ställer krav på

informationssäkerheten, och dessa är a) verksamheten (interna krav), b) riskmiljön (externa krav), samt c) legala krav.

♦ Medel:

För att svara upp mot dessa krav, och för att uppnå målet kan organisationen använda sig av fyra kategorier av medel, nämligen sociala, administrativa, fysiska, samt tekniska kontroller.

(20)

Nivåer av logisk åtkomst

Användare

Information Operativsystem

Databashanterare Applikation

(21)

Vägen till informationen

Användare

Information Operativsystem

Databashanterare Applikation

Användare kan ofta komma åt data utan att passera den tänkta stigen för åtkomst.

Ofta spelar BKS på olika nivå ut varandra i praktiken.

(22)

Exempel: Åtkomst till databas via filhanteraren

(23)

Problem som kan uppstå

Användare kan skriva (radera!) och läsa i hela databasen med redovisningsinformation med hjälp av annan

databashanterare (via MS Access), trots att de i

applikationen endast har behörighet till givna funktioner eller konton.

Användare som uttryckligen tagits från rättigheter till access till redovisningsdata i operativsystemets

inställningar har trots detta tillgång till data eftersom redovisningsapplikationen arbetar med en egen

användarprofil.

Informationssäkerheten måste därför angripas från ett helhetsperspektiv

(24)

Kurser inom programmet:

♦ åk2: Intro till datasäk, 2I1030, 4p

– identifikation, autentisering & accesskontroll – kryptering

– OS, DS, WWW, Nätverk & DB säkerhet

– syfte: introducera

(25)

Senare kurser

– Säkerhetsprotokoll & applikationer i nät

• arkitektur, tjänster & mekanismer

• tillämpningar & modeller

– Säkerhetsarkitektur för öppna distribuerade system

• tillämpningar & protokoll

• modeller för integrerade lösningar, sp smarta kort

– Java-miljöer och e-handel

• aktuell forskning och tillämpning

– Ytterligare kurser kan tillkomma

(26)

Ett exempel:

♦ ”Svenska storbanker inte pålitliga”. Hackare knäckte säkerhetskoderna, DI 020827, sid 48

♦ Är det sant?

♦ Varför rapporterar media så?

References

Download now ( PDF - 26 Page - 1.05 MB )

Related documents

Fysisk säkerhet: Skydd av IT-utrustning och information

Informationssäkerhet handlar om att skydda sin information och bevara informationens tillgänglighet, riktighet, konfidentialitet samt spårbarhet. Fysisk säkerhet inom

07.2. Bilaga - Förslag SFS Regler för informationssäkerhet

Då det är möjligt ska driftansvar för kommunens it-system fördelas på flera personer för att minska risken för obehörig eller oavsiktlig förändring eller missbruk av

Information och ansökan om samarbetssamtal Pdf, 95.2 kB.

När ni som föräldrar inte kan komma överens i frågor om vårdnad, boende, umgänge samt frågor som gäller barnets/barnens försörjning, kan ni ansöka om samarbetssamtal hos

Information och ansökan om att skriva avtal Pdf, 59.2 kB.

När föräldrar ansöker om att skriva avtal gällande vårdnad, boende eller umgänge ska familjerätten utreda om avtalet är till barnets bästa.. Barnets bästa är avgörande i

Information och ansökan om informationssamtal Pdf, 78.4 kB.

From 1 mars 2022 införs en ny lag, som innebär att föräldrar som överväger att gå till domstol i en vårdnadstvist först ska genomgå ett informationssamtal.. Det är

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

I den förberedande fasen ska en förstudie genomföras för att identifiera vilka grundförutsättningar som finns för att kunna ta beslut om det är aktuellt med en upphandling eller

informationssäkerhet Granskning av IT-och

För att stärka ändamålsenligheten i den interna kontrollen kopplat till IT- och informationssäkerhet rekommenderar vi dock Marks kommun att åtgärda de iakttagelser och beakta

Vägledning om arbetet med informationssäkerhet och säkerhet

NIS-direktivet och den nya säkerhetsskyddslagen skärper kraven på företagens säkerhetsarbete. Energiföretagen följer utvecklingen och har från medlemmarna fått in frågor om