1 / 26

Informationssäkerhet - en översikt

Informationssäkerhet - en översikt. Louise Yngström, DSV. Närmaste 50 minuterna... Informationssäkerhet?. Definition. Mål. Krav. Medel. Datasäkerhet.

jethro
Download Presentation

Informationssäkerhet - en översikt

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Informationssäkerhet- en översikt Louise Yngström, DSV

  2. Närmaste 50 minuterna... Informationssäkerhet? Definition Mål Krav Medel

  3. Datasäkerhet säkerhet beträffande skydd av datorsystem och dess data syftande till att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling

  4. IT-säkerhet säkerhet beträffande skydd av IT-system och dess data syftande till att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling samt dator- och telekommunikation

  5. Informationssäkerhet säkerhet beträffande skydd av informationstillgångar syftande till att uppräthålla önskad sekretess, riktighet och tillgänglighet (även spårbarhet och oavvislighet) för desamma

  6. Informationstillgångar en organisations informationsrelaterade tillgångar, vilka utgör ett värde och därmed är skyddsvärda Exempel på informationstillgångar är: • Information (kunddatabas, metodik, dokument, etc.) • Program (applikation, operativsystem, etc.) • Tjänster (Internetförbindelse, elförsörjning, etc.) • Fysiska tillgångar (dator, bildskärm, telefon, etc.) Informationstillgångar kan vara av fysisk eller logisk karaktär, eller bådadera.

  7. Definition: informationssäkerhet Säkerhet vid hantering av information, oavsett medium, syftande till att upprätthålla tillfredsställande tillgänglighet, sekretess och riktighet.

  8. Informationssäkerhetsarbetet i företag Granskning Utveckling Införande

  9. Mål med informationssäkerhet • Tillgänglighet • Sekretess • Informationskvalitet • Spårbarhet • Oavvislighet

  10. Mål med informationssäkerhet Behörig mottagare Obehörig mottagare Organisation Tillgänglighet Sekretess IT-system Information riktighet Oavvislighet Spårbarhet Behörig sändare Obehörig sändare

  11. Varför informationssäkerhet? • Organisationer existerar för att uppnå ett mål. För att nå målet har man en övergipande plan - en strategi. • Strategin bryts sedan ned i mer konkreta aktiviteter som måste utföras om målet skall nås - processer. • Dessa processer måste försörjas med information för att fungera, och ofta sker det med hjälp av IT-system. • Informationssäkerhet behövs således för att tillse att processerna verkligen får den information de behöver för att kunna utföras (tillgänglighet), samtidigt som informationen är inte kommer obehöriga till del (sekretess). Informationen måste även vara riktig och fullständig (informationskvalitet), annars kan kan den medföra felaktiga beslut eller ineffektivitet i processerna. Information IT-system Processer Strategi Mål

  12. Krav på informationssäkerhet Skydd Organisation IT-system Verksamheten (interna krav) Hot (externa krav) Information Legala krav

  13. Verksamhetens krav (interna krav) • Informationssäkerheten i organisationen skall utgå från verksamhetens behov av informationsförsörjning. • Nivån på informationssäkerheten skall avpassas så att man inte spenderar för mycket resurser på säkerheten samtidigt som man tillgodoser behovet av tillgång till riktig och fullständig information. • En affärsberoendeanalys kan identifiera dessa krav.

  14. Krav på grund av hot / risk(externa krav) • Informationssäkerheten i organisationen skall beakta de hot och risker som finns mot verksamheten. • En riskanalys kan identifiera dessa krav. • Kostnaden för skyddet måste balanseras mot värdet av de informationstillgångar (information, datorer, mm.) som skall skyddas.

  15. Legala krav • Informationssäkerheten i organisationen måste beakta de lagar och förordningar som gäller beträffande informationshantering. • Dessa ställer bland annat krav på skyddet av redovisnings- och individrelaterad information.

  16. Med vilka medel kan informationssäkerhet uppnås? • ”Sociala kontroller”: Utbildning, företagskultur, indoktrinering, mm. • Administrativa kontroller: Informations-säkerhetspolicy, regler, rutinbeskrivningar, mm. • Fysiska kontroller: Säkerhetsdörr, inbrottslarm, brandlarm, övervakningskamera, mm. • Tekniska kontroller: Brandvägg, behörighetskontrollsystem (loginfunktion), intrångsdetekteringssystem, mm.

  17. Sammanfattning • Definition: Med informationssäkerhet menas säkerhet vid hantering av information, oavsett medium, syftande till att upprätthålla tillfredsställande tillgänglighet, sekretess och informationskvalitet. • Mål: Det man vill uppnå med informationssäkerhet är tillfredsställande tillgänglighet, sekretess, informationskvalitet, spårbarhet, oavvislighet. Vad som anses vara tillfredsställande beror i sin tur på vilka krav som ställs: • Krav: Det finns tre olika källor som ställer krav på informationssäkerheten, och dessa är a) verksamheten (interna krav), b) riskmiljön (externa krav), samt c) legala krav. • Medel: För att svara upp mot dessa krav, och för att uppnå målet kan organisationen använda sig av fyra kategorier av medel, nämligen sociala, administrativa, fysiska, samt tekniska kontroller.

  18. Användare Operativsystem Applikation Databashanterare Information Nivåer av logisk åtkomst

  19. Användare Operativsystem Applikation Databashanterare Information Vägen till informationen Användare kan ofta komma åt data utan att passera den tänkta stigen för åtkomst. Ofta spelar BKS på olika nivå ut varandra i praktiken.

  20. Exempel: Åtkomst till databas via filhanteraren

  21. Problem som kan uppstå • Användare kan skriva (radera!) och läsa i hela databasen med redovisningsinformation med hjälp av annan databashanterare (via MS Access), trots att de i applikationen endast har behörighet till givna funktioner eller konton. • Användare som uttryckligen tagits från rättigheter till access till redovisningsdata i operativsystemets inställningar har trots detta tillgång till data eftersom redovisningsapplikationen arbetar med en egen användarprofil. Informationssäkerheten måste därför angripas från ett helhetsperspektiv

  22. Kurser inom programmet: åk2: Intro till datasäk, 2I1030, 4p identifikation, autentisering & accesskontroll kryptering OS, DS, WWW, Nätverk & DB säkerhet syfte: introducera

  23. Senare kurser Säkerhetsprotokoll & applikationer i nät arkitektur, tjänster & mekanismer tillämpningar & modeller Säkerhetsarkitektur för öppna distribuerade system tillämpningar & protokoll modeller för integrerade lösningar, sp smarta kort Java-miljöer och e-handel aktuell forskning och tillämpning Ytterligare kurser kan tillkomma

  24. Ett exempel: ”Svenska storbanker inte pålitliga”. Hackare knäckte säkerhetskoderna, DI 020827, sid 48 Är det sant? Varför rapporterar media så?

More Related