sikkerhet i smb case stvedt industrier n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Sikkerhet i smb Case Åstvedt Industrier PowerPoint Presentation
Download Presentation
Sikkerhet i smb Case Åstvedt Industrier

Loading in 2 Seconds...

play fullscreen
1 / 17

Sikkerhet i smb Case Åstvedt Industrier - PowerPoint PPT Presentation


  • 106 Views
  • Uploaded on

Sikkerhet i smb Case Åstvedt Industrier. Pharos AS - Peter Bonne. Åstvedt Industrier AS. Bedriften Åstvedt Industrier as ble etablert i 1966 Bedriften har ca 350 personer i aktivitet til enhver tid, og er Hordalands største Arbeidsmarkeds- og Attføringsbedriftbedrift

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Sikkerhet i smb Case Åstvedt Industrier' - sylvana


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
stvedt industrier as
Åstvedt Industrier AS

Bedriften

  • Åstvedt Industrier as ble etablert i 1966
  • Bedriften har ca 350 personer i aktivitet til enhver tid, og er Hordalands største Arbeidsmarkeds- og Attføringsbedriftbedrift
  • 600 medarbeidere pr år og 200 kursdeltakere

Informasjonssikkerhetsutfordringer

  • Alle de vanlige
  • Personopplysninger: Arbeidsmarkeds- og Attføringsbedriftbedrift
  • Bredt spekter av aktiviteter med bruk av IT
  • Kursvirksomhet
stvedt industrier organisasjon
Åstvedt Industrier, organisasjon

STYRE

ADM. DIREKTØR

Sigurd E. Gjertsen

FORRETNINGSUTVIKLER

EQRM, HMS, prosjekter

PERSONALPersonalBedriftshelsetjeneste

ADMINISTRASJONRegnskap, lønn,

kantine, renhold, sentralbord

KVALITETSLEDER

Kvalitet, IT sikkerhet, prosjekter

ÅSTVEDT MEKANISK

Maskinering, Plate/sveis, Montering, Gravering

ÅSTVEDT ELEKTRONIKK

Utvikling, Kortmontering

Trafoproduksjon, Tavlebygging

ÅSTVEDT ATTFØRING

Avklaring,kvalifisering, formidling.

AMB, APS, AB, AMO kurs, IA

ÅSTVEDT PROFILERING

Skilt - dekor

Skiltmontering

ÅSTVEDT IT

Kursvirksomhet

Web & Grafisk

IT Drift

ÅSTVEDT LOGISTIKK

Lager

Transport

ÅSTVEDT

HELSE & OMSORG

Barnehage

ÅSTVEDT KJENNEMERKE

Kjøretøyskilt

informasjonssikkerhet
Informasjonssikkerhet

Trusler/SårbarhetRisiko

Sikkerhets-policy

Virksomhetsmål

og strategier

Love/regler/Etikk

standarder (ISO 17799)

Implementeres

ved hjelp av

IT-Strategi

Metoder/tekniker-Kryptering, Autentisering

-Signering

-innbruddsdetektering

-mm

Utstyr/programvare

-Brannmure, viruskontroll

-mm

Prosedyrer

-Backup

-sikkerhetsrevisjon

-mm

Organisering/infrastruktur/

kompetanse

Internt og

eksternt

miljø og

brukere og

”brukere”

Applikasjoner/

Tjenester

Operativsystemer/basis programvare

Utstyr/nettverk

risikoanalyse
Risikoanalyse

1.Oversikt over og beskrivelse av systemer og komponenter som skal inkluderes

2.Identifikasjon av mulige trusler

3.Identifikasjon av sårbarhet

4.Analyse av eksisterende og planlagte sikkerhetsforholdsregler

5.Vurdering av sannsynlighet for angrep

6.Vurdering av mulige skadevirkning

7.Bestemmelse av risiko

8.Valg/anbefaling av tiltak for å redusere risiko

9. Dokumentasjon av resultatet

  • Verdien av skadevirkning dersom nødvendig nivå på konfidensialitet, integritet, og tilgjengelighet ikke opprettholdes bestemmer hvor sensitive dataene/systemene er med hensyn på disse områdene. Sensiviteten kan være forskjellig på de tre områder for en datamengde eller et system. Sensiviteten vil i høy grad bestemme hvilke nettverks- og utstyrskonfigurasjoner som må velges samt hvilke tiltak og metoder som skal brukes for å sikre at riktig nivå opprettholdes.
viktig for stvedt industrier og andre smb
Viktig for Åstvedt Industrier - og andre smb
  • Prosessen for å komme frem til en sikkerhetspolicy og tiltak må være overkommelig
  • Informasjonssikkerhet må kunne håndteres sammen med annet kvalitetsarbeid, Åstvedt Industrier jobber bl a med:
    • ISO 9000, kvalitetsstyring i forretningsdriften
    • EQRM - European Quality in Rehabilitation Mark
  • Informasjonssikkerhet er det tredje viktige område/dimensjon som er en forutsetning for effektivisering og kvalitetsforbedring basert på overgang til håndtering av informasjon på digital form
den enkleste form for risikostyring
Den enkleste form for risikostyring

”vær forsiktig”? Alt du kan si er ”vær forsiktig”?

finnes det noe hjelp eller m man gjennom full risikoanalyse
Finnes det noe hjelp eller må man gjennom full risikoanalyse?
  • Generelle trusler og sårbarheter finnes dokumentert
    • Sårbarhetslister som NIST I-CAT sårbarhetsdatabase (http://icat.nist.gov)
    • SANS institute, i samarbeid med FBI, utgir med jevne mellomrom oversikt over de 20 mest kritiske Internett sikkerhetssårbarheter, "The SANS Top 20 Internett Securities Vulnerabilities".
    • Senter for Informasjonssikring, SIS' varslingsliste:http://www.norsis.no/details.php?type=omsis&id=297
  • Informasjonssikkerhets standarder kan brukes for å lage sikkerhetspolicy
    • ISO/IEC 17799 m fl
administrasjon av informasjonssikkerhet iso iec 17799
Administrasjon av informasjonssikkerhet ISO/IEC 17799

ISO/IEC 17799 omfatter følgende områder:

  • Sikkerhetsarbeid i organisasjonen
  • Klassifisering og sikring av aktiva
  • Personellsikkerhet
  • Fysisk og miljømessig sikkerhet
  • Kommunikasjons- og driftsadministrasjon
  • Tilgangskontroll
  • Systemutvikling og vedlikehold
  • Kontinuitetsplanlegging
  • Overensstemmelse
standarder hjelpemidler
Standarder, hjelpemidler

BS ISO/IEC 17799

Strukturering av

ca 1600 detaljpolicies/

tiltak iht ISO 17799

-Bearbeiding

-Deling i to nivåer

-Konkretisering

Oversettelse

Information Security Policies made easy

DS 484-1

- Basale krav

- Udvidede krav

NS-ISO/IEC 17799

Åstvedt Industrier

- Overordnet policy for alle 9 områder i ISO 17799

- Policy/tiltak for 6 av områdene

h ndtering av spesielt viktige systemer og informasjon
Håndtering av spesielt viktige systemer og informasjon
  • Identifisering av systemer og informasjon
  • Trussel og sårbarhetsvurdering
  • risikovurdering og valg av tiltak
  • For Åstvedt Industrier er personopplysninger definert som spesielt viktig (ÅI er atføringsbedrift)
  • Det er identifisert 5 systemer med personopplysninger
oppsummering resultat
Oppsummering, resultat

Sikkerhetspolicy og tiltak definert ut fra:

  • Kilder for generelle trusler, sårbarheter og anbefalte tiltak
  • Standarder for informasjonssikkerhet
  • Risikovurdering og valg av tiltak for spesielt viktige systemer og informasjon
  • Deretter kommer implementering - mye er implementert i utgangspunktet