IN2000 Software Engineering og prosjektarbeid Vår Sikker systemutvikling. Audun Jøsang Universitetet i Oslo
|
|
- Ingeborg Didriksen
- 4 år siden
- Visninger:
Transkript
1 IN2000 Software Engineering og prosjektarbeid Vår 2019 Sikker systemutvikling Audun Jøsang Universitetet i Oslo
2 Oversikt Modeller for programvareutvikling Sikker smidig programvareutvikling Trusselmodellering i programvareutvikling Trusselpoker IN Sikker systemutvikling 2
3 Obligatorisk informasjonssikkerhet i IT-utdanningen Stortinget har vedtatt at alle IT-studieprogrammer ved universiteter og høyskoler skal gi kompetanse i informasjonssikkerhet Source: april 2018 IN Sikker systemutvikling 3
4 Sikker systemutvikling - en del av innebygd informasjonssikkerhet Sikker systemutvikling IN Sikker systemutvikling 4
5 Fossefall og sikker fossefall Krav Design Koding Waterfall SDLC (Software Development Life Cycle) Testing Microsoft SDL (Secure Development Lifecycle) Vedlikehold IN Sikker systemutvikling 5
6 Smidig programvareutvikling Planlegging av nytt system Sprintsyklus Velg brukerhistorie for neste programversjon Splitt brukerhistorien opp i enkeltfunksjoner Planlegg koding av ny funksjonalitet Evaluering av nåværende system Utgivelse av ny programvareversjon Kode, integrere og teste ny funskjonalitet Produksjonssetting av ferdig system Systemkrav spesifiseres som brukerhistorier Hver brukerhistorie implementeres i en sprint Fortsetter så lenge det er igjen brukerhistorier Systemet er ferdig når alle brukerhistorier er laget IN Sikker systemutvikling 6
7 Sikker smidig programvareutvikling Planlegging Aktiviteter for sikkerhet Innhent generelle sikkerhetskrav Velg brukerhistorie for neste versjon Evaluering av system & sikkerhet Splitt brukerhistorie i enkeltfunksjoner Utgivelse av ny programversjon Planlegg koding av nye funksjoner Kode, integrere & teste ny funksjon. Identifiser trusler som må forhindres Produksjonssetting Sikker smidig programvareutvikling har tilleggsaktiviteter ved oppstart av prosjektet i hver sprintsyklus ved avsluttende evaluering av system «Sikker smidig» blir nødvendigvis litt mindre smidig IN Sikker systemutvikling 7
8 Scrum-modell for smidig programvareutvikling Product Vision Communication Scrum Master User Stories Product Owner Development Team Product Backlog Sprint Backlog Daily Scrums Definition of Done Incremental Product Backlog Refinement Sprint Planning Sprint Cycles (1-4 weeks each) Sprint Retrospective Sprint Review IN Sikker systemutvikling 8
9 Brukerhistorie og Use Case Brukerhistorie Sett fra brukerperspektiv: Som [bruker] ønsker jeg [funksjon] for å nå [resultat]. Eksempel: Som Flickr-bruker, ønsker jeg å kunne definere tilgangskontroll, slik at jeg kan velge hvem som kan se de forskjellige bildene jeg har lagt ut. Brukerhistorie Use Case Sett fra designerens perspektiv: Beskrivelse av et sett med interaksjoner mellom et system og én eller flere aktører (der en "aktør" kan være en bruker eller et annet system). Use Case Server logic IN Sikker systemutvikling 9
10 Angriperhistorie og Misuse Case (Angripers målsetting og Trusselscenario) Angriperhistorie Angripers målsetting: Som [angriper] ønsker jeg [funksjon] for å nå [resultat]. Eksempel: Som angriper ønsker jeg å hacke Flickrkontoer for å stjele private bilder og personlig info. Angriper -historie Misuse Case (Trusselscenario) Sett fra trusselaktøren sitt perspektiv: Beskrivelse av et sett med trinn og interaksjoner som må utføres av angriperen for å oppnå mål. Server logic Misuse Case IN Sikker systemutvikling 10
11 Ingen sårbarhet uten en trussel Ny trussel i 2016 Nice Berlin London Barcelona Trussel blokkert (sårbarhet fjernet) IN Sikker systemutvikling 11
12 Trusselmodellering Trusselaktør med målsettinger for angrep Trusselscenarier Internet Front-end Web server Back-end app. logic MySQL database Bruker Klientplatform Systemeiere må prøve å blokkere alle relevante trusler Angripere trenger bare å finne ett gjennomførbart scenario Nye trusler oppdages kontinuerlig, av angripere og forsvarere Utfordrende å holde tritt med rask trusselinnovasjon IN Sikker systemutvikling 12
13 Tilnærminger for trusselmodellering Angripersentrisk Starter fra angripere som definerer sine angrepsmål, og hvordan de kan oppnå dem gjennom trusselscenarier. Starter vanligvis med et overordnet angrepsmål. Systemsentrisk Starter fra modell av systemet, og forsøker å følge modellens dynamikk og logikk, på jakt etter typer angrep mot hvert element i modellen. Denne tilnærmingen er for eksempel brukt til trussel modellering i Microsofts SDL (Secure Development Lifecycle). Verdisentrisk Starter fra verdiene i og rundt et system, for eksempel sensitive data, omdømme, eller evne til å yte tjenester, og forsøker å identifisere hvordan angrep og skade på slike verdier kan skje. IN Sikker systemutvikling 13
14 Angripersentrisk trusselmodellering Hovedmål for angrep Theft of Auth Cookies Obtain auth cookie to spoof identity AND OR Delmålsettinger AND Unencrypted Connection Eavesdropping Cross-Site Scripting XSS Vulnerability Cookies travel over unencrypted HTTP Attacker uses sniffer to monitor HTTP traffic Attacker possesses means and knowledge Application is vulnerable to XSS attacks IN Sikker systemutvikling 14
15 Systemsentrisk trusselmodellering Bruker Klientplatform Internet Front-end Web server Back-end app. logic MySQL database Bruker åpner skadevare i vedlegg/lenke Buffer overflow og System exploits Trafikkavlytting Uautorisert tilgang SQL injection Sikkerhet i OS and SW Kryptering Bevissthetstrening Passordpolicy Inputvalidering Sikkerhetstiltak IN Sikker systemutvikling 15
16 Verdisentrisk trusselmodellering Data CIA HW and SW Company reputation Customer base Legal compliance DOS attack Penetration of servers Disclosure of user data Misuse of user data IN Sikker systemutvikling 16
17 STRIDE Trusselmodellering for programvareutvikl. S Spoofing (identitetstyveri) Kan en angriper få tilgang til ved å misbruke en annens identitet? T R I D E Tampering (kompromittering) Kan en angriper endre data som prosesseres av systemet? Repudiation (benekting) Kan en angriper benekter misbruk, uten at vi kan bevise misbruket? Information disclosure (datatyveri og -lekkasje) Kan en angriper få tilgang til konfidensielle og personlige data? Denial of service (tjenestenekt) Kan en angriper sabotere eller redusere tilgjengeligheten av systemet? Elevation of privilege (utvidet tilgang) Kan en angriper oppnå tilgangsrettigheter som privilegert bruker? IN Sikker systemutvikling 17
18 Trusselpoker Spilles med vanlig kortstokk. For hver trussel spilles en risikorunde og en løsningsrunde Hver deltager får en hel suite Hjerter, Spar, Ruter eller Kløver 1 kortstokk 4 deltagere, 2 kortstokker 8 deltagere osv. Identifiser alle relevante trussescenarier Spill trusselpoker over hvert trusselscenario Risikorunde Estimere både sikkerhetsrisiko og personvernrisiko for trusselscenariet Partallskort (2, 4, 6, 8, 10, Q) Sikkerhetsrisiko Oddetallskort (3, 5, 7, 9, J, K) Personvernrisiko Løsningsrunde (ligner på «planning poker») Estimere tid for å fjerne relevante sårbarheter (dvs. blokkere trusselen) Partallskort (2, 4, 6, 8, 10, Q) tidsbruk i nåværende sprint Oddetallskort (3, 5, 7, 9, J, K) tidsbruk i backloggen (annen sprint) IN Sikker systemutvikling 18
19 Personvernrisiko er ikke personvernkonsekvens (DPIA) (Art. 5: Prinsipper for behandling av personopplysninger) 1. Personopplysninger skal behandles med: a) Lovlighet, rettferdighet og åpenhet b) Formålsbegrensning c) Dataminimering Personvernkonsekvens d) Riktighet e) Lagringsbegrensning f) Integritet og konfidensialitet Personvernrisiko 2. Den behandlingsansvarlige har ansvar for pkt. 1 ovenfor. IN Sikker systemutvikling 19
20 Sikkerhetsrisiko (partall) Tall Beskrivelse 2 Ubetydelig sikkerhetsrisiko, kan ignoreres 4 Svært lav sikkerhetsrisiko, kan løses hvis det kan gjøres meget enkelt og raskt. 6 Lav sikkerhetsrisiko, bør løses hvis det bare krever relativt lav innstats og kort tid. 8 Moderat sikkerhetsrisiko, bør løses selv om det krever betydelig innsats og tid. 10 Høy sikkerhetsrisiko, bør alltid løses såfremt det er praktisk mulig. Q (12) A (14) Meget høy sikkerhetsrisiko som må løses uten unntak. Ekstrem personvern- og/eller sikkerhetsrisiko. Det bør stilles spørsmål om det er forsvarlig at denne brukerhistorien eller funksjonen implementeres i det hele tatt. IN Sikker systemutvikling 20
21 Personvernrisiko (oddetall) Tall Beskrivelse 3 Ubetydelig personvernrisiko, kan ignoreres. 5 Svært lav personvernrisiko, liten eller ingen konsekvens for datasubjektene. 7 Lav personvernrisiko, forbigående eller lav negativ konsekvens for datasubjektene. 9 Moderat personvernrisiko, lang eller moderat negativ konsekvens for datasubjektene. 11 Høy personvernrisiko, permanent eller høy negativ konsekvens for datasubjektene. K (13) A (14) Meget høy personvernrisiko, alvorlig permanent konsekvens, mulighet for å bli suicidal, må løses Ekstrem personvern- og/eller sikkerhetsrisiko. Det bør stilles spørsmål om det er forsvarlig at denne brukerhistorien eller funksjonen implementeres i det hele tatt. IN Sikker systemutvikling 21
22 Forventet tidsbruk i nåværende sprint for å stoppe trusselen (fjerne sårbarhet) Implentering av ikke-funksjonell sikkerhet for brukerhistorien Partall (løsning i denne sprint) Tall Beskrivelse 2 Så godt som utført og løst allerede. 4 Svært lav innsats, lett å løse nåværende sprint 6 Lav innsats, relativt lett å løse som del av nåværende sprint. 8 Moderat innsats, vil kreve god del arbeid i nåværende sprint. 10 Høy innsats, vil ta det meste av tiden for det meste av teamet under nåværende sprint. Q Meget høy innsats, vil kreve så mye arbeid at nåværende (12) sprint må forlenges., A (14) Umulig å løse som del av dette programvareprosjektet. Løsningen må eventuelt finnes helt uavhengig av dette prosjektet. IN Sikker systemutvikling 22
23 Forventet tidsbruk i en annen sprint (for backloggen) Implementering av funksjonell sikkerhet i en brukerhistorie Oddetall (løsning legges i backloggen) Tall Beskrivelse 3 Allerede (planlagt) løst i en annen sprint 5 Svært lav innsats i en annen sprint. 7 Lav innsats, relativt lett arbeid i en annen (kanskje dedikert) sprint. 9 Moderat innsats, vil greve en god del arbeid i en annen (kanskje dedikert) sprint. J (11) K (13) A (14) Høy innsats som vil kreve en dedikert sprint kun for å eliminere dette trusselscenariet Meget høy innsats som sannsynligvis vil måtte kreve en lang sprint med stor innsats. Umulig å løse som del av dette programvareprosjektet. Løsningen må eventuelt finnes helt uavhengig av dette prosjektet. IN Sikker systemutvikling 23
24 Regler for trusselpoker 1. Identifiser relevante trusselscenarier for hver sprint Bruk f.eks. STRIDE-trusselmodellering 2. Velg ett spesifikt trusselscenario om gangen Diskuter aspekter rundt dette trusselscenariet 3. Risikorunden Spill ut kort med ansikt ned for risikonivå Eventuelt både for sikkerhetsrisiko og personvernrisiko Vend og vis kort, diskuter avvik mellom tallene på bordet Spill ny omgang, med ny diskusjon, helt til det oppstår konsensus 4. Løsningsrunden Spill ut kort med ansikt ned for tidsbruk i løsning Eventuelt både for denne sprint og backloggen Vend og vis kort, diskuter avvik mellom tallene Ny omgang, ny diskusjon, helt til konsensus 5. Beslutning om å løse trussel når: Risiko Tidsbruk 0 Løsningstall Løs! UiO 24 Risikotall Spring 2015 IN Sikker systemutvikling 24
25 Funksjonell og ikke-funksjonell sikkerhet Funksjonell sikkerhet: Sikkerhetskrav som utgjør en egen brukerhistorie Sikkerhetsfunksjon som er nødvendig for brukerhistorien Sikkerhetsfunksjon som gir en «synlig» tjeneste til brukere F.eks.: Brukerautentisering Ikke-funksjonell sikkerhet: Sikkerhetskrav som ikke er en egen brukerhistorie Sikkerhetsfunksjon som er unødvendig for brukerhistorien men nødvendig for å stoppe trusler Sikkerhetsfunksjon som er «usynlig» for brukeren F.eks.: Inputvalidering mot SQL-injection og XSS IN Sikker systemutvikling 25
26 Eksperiment med trusselpoker Trusselpoker er utviklet på IFI som del av et Masterprosjekt Utprøvd i klasse for smidig systemutvikling (IN2000) vår 2018 Publikasjon: Hanne Rygge and Audun Jøsang. Threat Poker: Solving Security and Privacy Threats in Agile Software Development NordSec 2018, Oslo, November IN Sikker systemutvikling 26
Forelesning 12: Applikasjonssikkerhet og GDPR
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 12: Applikasjonssikkerhet og GDPR Spørsmål 1: Cyber Kill Chain a. Hva er «Cyber Kill Chain»? b.
DetaljerInnebygd personvern og personvern som standard. 27. februar 2019
Innebygd personvern og personvern som standard 27. februar 2019 Personvern i vår digitaliserte verden Skal vi ivareta personvernprinsippene effektivt må de være inkorporert i programvaren Nøkkelpersonene
DetaljerForskning på cybersikkerhet ved UiO. Audun Jøsang Universitetet i Oslo
Forskning på cybersikkerhet ved UiO Audun Jøsang Universitetet i Oslo God og dårlig oversettelse Engelsk Norsk Security Safety Certainty Sikkerhet Trygghet Visshet God Security Safety Certainty Sikkerhet
DetaljerINF37000 Informasjonsteknologi og samfunn. Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet
INF37000 Informasjonsteknologi og samfunn Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo Vår 2018 Personvern i grunnloven 102:
DetaljerSCRUM EB og TMG 2010
SCRUM Hovedmål Mer om roller i SCRUM Es/mering av innhold i sprinter Visualisering av fremdri; ved burndown Scrum Daily SCRUM 24h Product backlog Sprint backlog 1 uke Sprint Delprodukt / delleveranse Roller
DetaljerForside. Eksamen i IN1030 for Våren Ingen hjelpemidler tillatt.
Forside Eksamen i IN1030 for Våren 2018. Ingen hjelpemidler tillatt. I dette oppgavesettet har du mulighet til å svare med digital håndtegning (oppgave 1, 4 og 5). Du bruker skisseark du får utdelt. Det
DetaljerInnebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?
Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter? Lillian Røstad Seksjonssjef Seksjon for informasjonssikkerhet Direktoratet for forvaltning og IKT Seksjon for informasjonssikkerhet
DetaljerNøkkelen til morgendagens personvern innebygd personvern
Nøkkelen til morgendagens personvern innebygd personvern 24.10.2017 Personvern, prinsipper og rettigheter Personopplysninger hva er det? Peder Aas 2020 Lillevik F.nr 180262 34997 Fødselsnummer: 13087846271
DetaljerIN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21.
IN1030 Systemer, krav og konsekvenser Innebygd informasjonssikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21. februar 2019 Personvern i grunnloven 102: Enhver har rett til respekt
DetaljerIN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28.
IN1030 Systemer, krav og konsekvenser Innebygd informasjonssikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28. februar 2018 Personvern i grunnloven 102: Enhver har rett til respekt
DetaljerOppgaver uke 42. Systemutvikling
Oppgaver uke 42 søndag 16. oktober 2016 13.55 Systemutvikling 1. Hva er systemutvikling? Systemutvikling er prosessen hvor man lager og opprettholder informasjonssystemer. Systemutvikling involverer alle
DetaljerCONNECTING BUSINESS & TECHNOLOGY KURS OG SERTIFISERINGER - SCRUM
CONNECTING BUSINESS & TECHNOLOGY KURS OG SERTIFISERINGER - SCRUM Scrum Master og Product Owner i Høst 2015 1 Om Scrum Scrum er et populært rammeverk laget med henblikk på å utvikle komplekse informasjonssystemer.
DetaljerTogether. Free your energies Moden og modig! Ansvarsfull og fleksibel!
Moden og modig! Ansvarsfull og fleksibel! Anine Ragnif og Bodil Rabben 13. Mai 2009 Agile Hvorfor? Gjennomsnittlig overskridelse i arbeidsmengde var 24% for prosjektene som benyttet en fleksibel metodikk,
DetaljerHvordan teste en risikomodell
Hvordan teste en risikomodell Fredrik Seehusen Technology for a better society 1 Oversikt Når teste en risikomodell? Hvorfor teste en risikomodell? Hvordan teste en risikomodell? Hva kan testes i en risikomodell?
DetaljerBeredskap og Kontinuitetsstyring
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 8: Risikostyring, Beredskap og Kontinuitetsstyring Spørsmål 1: Risikofaktorer En mulig definisjon
DetaljerGJENNOMGANG UKESOPPGAVER 2 PROSESSMODELLER OG SMIDIG PROGRAMVAREUTVIKLIG
GJENNOMGANG UKESOPPGAVER 2 PROSESSMODELLER OG SMIDIG PROGRAMVAREUTVIKLIG INF1050 V16 HVA ER EN SYSTEMUTVIKLINGSPROSESS? De aktivitetene som utføres for å utvikle et IT-system Eksempler på aktiviteter:
DetaljerSikkerhetstesting i et «nøtteskall» DND Oslo, 8 mars 2016
Sikkerhetstesting i et «nøtteskall» DND Oslo, 8 mars 2016 Innhold Hva er sikkerhetstest Plassering av sikkerhetstest i utviklingssykelusen Verktøy Demo? 10.03.2016 2 Mitt navn: 10.03.2016 3 Om meg, Jobber
DetaljerRisiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess
Risiko og Sårbarhetsanalyse på NTNU Presentasjons av prosess 2 (Info)Sikkerhetsrisiko formål Utfører risikovurderinger for å: Redusere usikkerhet og kompleksitet for systemet Kartlegge uakseptabel risiko
DetaljerScrum. -nøkkelbegreper og noen personlige erfaringer
Scrum -nøkkelbegreper og noen personlige erfaringer Agile Manifesto Manifest for smidig systemutvikling Vi oppdager stadig nye og bedre måter å utvikle systemer på, både ved å gjøre det selv og ved å hjelpe
DetaljerOversikt over metodar og teknikkar for å beskrive truslar. Mass Soldal Lund SINTEF IKT
Oversikt over metodar og teknikkar for å beskrive truslar Mass Soldal Lund SINTEF IKT Kva er trusselmodellering? Trusselmodellering kan sjåast som to ting: Metodar og teknikkar for å identifisere truslar
DetaljerDumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester
Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester Inge Os, Sales Consulting Director, Oracle Norway 31/10-2018 Oracle 18.4 SaaS PaaS ERP HR
DetaljerIS Introduksjon til informasjonssystemer
KANDIDAT 3644 PRØVE IS-100 1 Introduksjon til informasjonssystemer Emnekode IS-100 Vurderingsform Skriftlig eksamen Starttid 13.12.2016 07:00 Sluttid 13.12.2016 11:00 Sensurfrist 05.01.2017 23:00 PDF opprettet
DetaljerMinimere og begrense. Gjem og skjul. Separere.
3 Design Sjekklisten er dynamisk, ikke uttømmende og skal oppdateres regelmessig. Dersom du har innspill til noen av punktene, vil vi gjerne høre fra deg. Dataorienterte designkrav Minimere og begrense.
DetaljerProsjektledelse - fra innsiden av et utviklingsprosjekt. Presentasjon hos UiO Ida Lau Borch, prosjektleder i Bouvet ASA
Prosjektledelse - fra innsiden av et utviklingsprosjekt Presentasjon hos UiO 09.09.2011 Ida Lau Borch, prosjektleder i Bouvet ASA Agenda De umulige IT-prosjektene Hvordan vi gjør det Utfordringer og lykkestunder
DetaljerProsjektledelse - fra innsiden
Prosjektledelse - fra innsiden Presentasjon hos UiO 31.08.2012 Ida Lau Borch, fagansvarlig i Metier AS Det ligger et fantastisk potensial i det å være best i prosjektledelse og -styring Prosjekteierstyring
DetaljerSikkerhetstesting gjennom utviklingsløpet
Sikkerhetstesting gjennom utviklingsløpet 5 faser: Slik utfører du sikkerhetstesting gjennom utviklingsløpet Det har aldri vært mer snakk om sikkerhet i IT verdenen enn nå. Det er ikke så rart med tanke
DetaljerIntroduksjon,l SCRUM. EB og TMG 2010 1
Introduksjon,l SCRUM EB og TMG 2010 1 Hva er Scrum? Kilde: http:/image.google.com EB og TMG 2010 2 Kompleksitet Kilde: http://www.coderfriendly.com/ EB og TMG 2010 3 SCRUM - kortversjonen Scrum er en smidig
DetaljerModellering IT konferanse
Modellering IT konferanse 1. Interessenter Utviklere som besøker konferansen: besøke IT konferanse Frivillige hjelpere: få gratis inngang på konferansen Ledelse: Tjene penger Matkjeder: Selge mat og drikke,
DetaljerI multiple choice, sann, usann, i alle oppgaver der du kun skal krysse av, får du poeng for riktig svar, null poeng for feil svar og ikke svar.
1 IS-100 høsten 2016 Emnekode: IS-100 Emnenavn: Introduksjon til informasjonssystemer Dato: 13 desember 2016 Varighet: 9-13 Tillatte hjelpemidler: Ingen Merknader: Eksamen består av både multiple choice,
DetaljerUKE 9 Prosesser og prosessmodeller inkludert smidige metoder. Gruppetime INF1055
UKE 9 Prosesser og prosessmodeller inkludert smidige metoder Gruppetime INF1055 Hva skal vi i dag? Introduksjon til modul B - systemutvikling (kap. 1, 2 og 3) Prosesser og prosessmodeller + smidig utvikling
DetaljerLøsningsforslag: Oblig 1. INF1050: Gjennomgang, uke 12
Løsningsforslag: Oblig 1 INF1050: Gjennomgang, uke 12 Obligatorisk oppgave 1: Pensum Bakgrunn for systemet Aktører og interessenter Utviklingsprosesser Kravhåndtering og kravspesifikasjon Use case-modellering
DetaljerNye personvernregler (GDPR)
Nye personvernregler (GDPR) 02.11.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse Innebygd personvern
DetaljerSoftware Development Plan. Software Development Plan. Forum / Nettverkssamfunn Team 2
Forum / Nettverkssamfunn Team 2 1 Innholdsfortegnelse 1 Introduksjon... 3 2 Team & Organisering... 3 3 Brainstorming, tanker og utførelse... 4 3.1 Bruker Registrering og metoder... 4 3.2 Generering av
DetaljerEksamen 2013 Løsningsforslag
Eksamen 2013 Løsningsforslag Oppgave 1. Multiple choice 1b# 2a# 3b# 4c# 5b# 6a# 7a# 8b# 9d# 10b# Oppgave 2 - Bibliotek - Utlån av bøker a) Måle størrelse eller mengde funksjonalitet Denne oppgaven ser
DetaljerTeamarbeid og smidig metodikk. Lean og Scrum. Prosjektarbeid
IN 2001 29 januar 2018 Teamarbeid og smidig metodikk. Lean og Scrum. Prosjektarbeid Yngve Lindsjørn ynglin@ifi.uio.no IN 2001 > Prosjekt og teamarbeid 1 Utvikling av programvare - Suksesskriterier Levere
DetaljerAngrep. Sniffing ( eavesdropping )
Angrep Sniffing ( eavesdropping ) Host with TCP Services Klient Tjener Angriper Ethernet og passord Ethernet aldri sikkert mot avlytting Sniffing verktøy er vanlig Avlytter ulike protokoller Kan formatere
DetaljerDigital signert samtykke til forskning -erfaring med bruk av esignering. Dagfinn Bergsager
Digital signert samtykke til forskning -erfaring med bruk av esignering Dagfinn Bergsager 12.09.2019 3 12.09.2019 4 12.09.2019 5 12.09.2019 6 12.09.2019 7 12.09.2019 8 12.09.2019 9 TSD - Tjenester for
DetaljerSmidige metoder i praksis Høgskolen i Oslo Kristin Meyer Kristiansen Objectnet AS
Smidige metoder i praksis Høgskolen i Oslo Kristin Meyer Kristiansen Objectnet AS Agenda Min erfaring med scrum + litt input fra Javazone 2007 Universell Utforming Min erfaring med smidige metoder MT-prosjektet
DetaljerErfaringer med innebygd personvern i utvikling av mobilapper på UiO. Maren Magnus Jegersberg og Dagfinn Bergsager USIT/UiO
Erfaringer med innebygd personvern i utvikling av mobilapper på UiO Maren Magnus Jegersberg og Dagfinn Bergsager USIT/UiO UiO er Norges eldste institusjon for forsking og høyere utdanning 27 000 studenter
DetaljerPå tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013
På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013 Kort om Datatilsynet Uavhengig forvaltningsorgan Ombud og tilsynsorgan kontrollere at lover og forskrifter
DetaljerOppgave 1: Multiple choice (20 %)
Oppgave 1: Multiple choice (20 %) For alle oppgavene gjelder at det bare er ett riktig svar. No Spørsmål Svar A Svar B Svar C Svar D 1 Kanban er et eksempel på: Prosess Software prosess Prosess modell
DetaljerFølger sikkerhet med i digitaliseringen?
Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over
DetaljerPersonvern i skyen Medlemsmøte i Cloud Security Alliance
Personvern i skyen Medlemsmøte i Cloud Security Alliance 31. oktober 2018 Trond Ericson Agenda Personvern i skyen Kort om Devoteam Kort om GDPR GDPR i skyen Oppsummering Devoteam Fornebu Consulting Devoteam
DetaljerKap 11 Planlegging og dokumentasjon s 310
Kap 11 Planlegging og dokumentasjon s 310 11.1 Ulike arbeidsmetoder Systemutvikling Som systemutvikler er du i stand til å omsette din innsikt i brukerbehov til praktiske programbaserte løsninger. Samarbeid:
DetaljerAnsvarlighetsprinsippet og virksomhetens plikter
Ansvarlighetsprinsippet og virksomhetens plikter Ansvarlighet og internkontroll Nøkkelen til etterlevelse (accountability)? Artikkel 5 (2) accountability Den behandlingsansvarlige er ansvarlig for og skal
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerSmidig innhold Hvordan smidige metoder hjelper oss å lage kvalitetsinnhold. Ove Dalen
Smidig innhold Hvordan smidige metoder hjelper oss å lage kvalitetsinnhold Ove Dalen There is a lack of discipline in many web publishing processes because managers in charge of websites often don't respect
DetaljerBruker dokumentasjon Web sikkerhet. Universitet i Stavanger
Bruker dokumentasjon Web sikkerhet Universitet i Stavanger Innhold Bruker dokumentasjon... 1 Webtrafikk sikkerhet... 1 Universitet i Stavanger... 1 UiS Webtrafikk sikkerhet... 3 Bakgrunn... 3 Hvordan virker
DetaljerDet digitale trusselbildet Sårbarheter og tiltak
H a f s l u n d M u l i g h e t s W o r k s h o p TORE LARSEN ORDERLØKKEN Det digitale trusselbildet Sårbarheter og tiltak Agenda Sikkerhetsparadokset Trusler og trender Tall og hendelser Hvordan sikrer
DetaljerProsjektledelse, prosjektplanlegging, teamarbeid
SKK modul B 03. Mai 2017 Prosjektledelse, prosjektplanlegging, teamarbeid Yngve Lindsjørn ynglin@ifi.uio.no INF1055 > SKK -> Prosjektledelse og teamarbeid 1 Temaer i dagens forelesning Prosjektstyring/Prosjektledelse
DetaljerNytt regelverk, nye muligheter og masse avviksmeldinger!
Nytt regelverk, nye muligheter og masse avviksmeldinger! 06.11.2018 Agenda Bakgrunn Prinsipper og regelverkskrav Avviksmeldinger 2 Hva er person(opplysnings)vern? Hva er det vi forsøker å beskytte? Er
DetaljerKINS-tech: Innebygd personvern bestemmelsen som implementerer hele forordningen.
KINS-tech: Innebygd personvern bestemmelsen som implementerer hele forordningen. Veronica Jarnskjold Buer Fagdirektør, digitalisering og innebygd personvern 23.09.2019 Noen ord om Personvernprinsipper
DetaljerSCRUM Smidig prosjektledelse og utvikling. 10 september 2009 JOSÉ MANUEL REDONDO LOPERA AVDELINGSLEDER PROSJEKT OG RESSURSANSVARLIG
SCRUM Smidig prosjektledelse og utvikling 10 september 2009 JOSÉ MANUEL REDONDO LOPERA AVDELINGSLEDER PROSJEKT OG RESSURSANSVARLIG HVORDAN SPISER DU EN ELEFANT? EN BIT AV GANGEN 'HOW WILL YOU LIVE, RAMBO?'
DetaljerLøsningsforslag Sluttprøve 2015
Høgskolen i Telemark Løsningsforslag Sluttprøve 2015 Emne: IA4412 Systemutvikling og dokumentasjon Fagansvarlig: Hans- Petter Halvorsen, Olav Dæhli Klasse: IA2, A- vei Dato: 2015.05.27 Time: 09:00-12:00
DetaljerCyberspace og implikasjoner for sikkerhet
Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerInformasjonssikkerhet i forordningen
Informasjonssikkerhet i forordningen 19.10.2016 Agenda Personopplysninger Bakgrunn om forordningen Dagens krav til informasjonssikkerhet Krav til informasjonssikkerhet i nytt regelverk Thinkstock.com 2
DetaljerBruk av HP Quality Center med smidige utviklingsmetoder. HP Sofware Norge
Bruk av HP Quality Center med smidige utviklingsmetoder Kjell Lillemoen HP Sofware Norge QC og smidige metoder Agenda Smidig terminologi Smidig metoder og verktøy Hvilke krav bør vi stille QC med Scrum
Detaljer11 Planlegging og dokumentasjon
11 Planlegging og dokumentasjon Ulike arbeidsmetoder Systemutvikling Som systemutvikler er du i stand til å omsette din innsikt i brukerbehov til praktiske programbaserte løsninger. Samarbeid: Programmerer
DetaljerBrudd på personopplysningssikkerheten
Brudd på personopplysningssikkerheten Hva skal vi snakke om? 1 2 3 4 Hva er brudd på personopplysningssikkerheten? Eksempler på avvik meldt til Datatilsynet Prosessen for å behandle avvik Personvernombudets
DetaljerGruppe 43. Hoved-Prosjekt Forprosjekt
Gruppe 43 Hoved-Prosjekt Forprosjekt Mobil Applikasjon Utvikling HiOA Bacheloroppgave forprosjekt våren 2017 Presentasjon Gruppen består av: Gebi Beshir Ole-Kristian Steiro Tasmia Faruque s182414 s189141
DetaljerNeste generasjon ERP-prosjekter
Neste generasjon ERP-prosjekter Jan-Olav Arnegård 27. okt 2016 Nøkkeltall 2015 22 Land der vi er direkte representert 36 BearingPoint-kontorer 67 Kontorer der vi er representert via vår globale alliansepartnere
DetaljerSikkerhet i Pindena Påmeldingssystem
Sikkerhet i Pindena Påmeldingssystem Versjon: 1.6.9 Oppdatert: 26.11.2014 Sikkerhet i Pindena Påmeldingssystem 2 Innhold OM DOKUMENTET... 3 SIKKERHET PÅ KLIENTSIDEN... 3 SIKKERHETSTILTAK... 3 ROLLESIKKERHET...
DetaljerMålrettede angrep. CIO forum 6.mars 2013. Tore Terjesen Head of MSS & SOCs - Nordics tore.terjesen@secode.com
Målrettede angrep CIO forum 6.mars 2013 Tore Terjesen Head of MSS & SOCs - Nordics tore.terjesen@secode.com Secode the pure play security company En ledende og relevant MSSP i Norden Malware research team
DetaljerJarle Langeland. Mellom IT-sikkerhet og personvern 2
Mellom IT-sikkerhet og personvern Jarle Langeland Mellom IT-sikkerhet og personvern 2 Mellom IT-sikkerhet og personvern IT-sikkerhet en forutsetning for godt personvern Mellom IT-sikkerhet og personvern
DetaljerOppgave 1 Multiple Choice
Oppgave Multiple Choice a 2c 3a 4c 5d 6d 7a 8b 9b 0a b 2c 3c 4a 5b 6b 7a 8d 9c 20b Se video fra forelesningen (Kahoot) for mer detaljer) Eksamen INF050-204 Oppgave 2 a Aktivitetsdiagram Enkelt Eksamen
DetaljerProsessmodeller og smidig programvareutvikling. INF1050: Gjennomgang, uke 02
Prosessmodeller og smidig programvareutvikling INF1050: Gjennomgang, uke 02 Kompetansemål Prosessmodeller Kunne redegjøre for hva som kjennetegner ulike prosessmodeller Vurdere prosesser for utvikling
DetaljerHar du kontroll på verdiene dine
Har du kontroll på verdiene dine Et juridisk perspektiv 1_Tittellysbilde Advokat Arve Føyen 1 Selskapets verdier Finansielle verdier Omdømme Humankapital Kunderelasjoner IPR og Forretningshemmeligheter
DetaljerEksamen INF1050: Gjennomgang, uke 15
Eksamen 2012 INF1050: Gjennomgang, uke 15 Overblikk Varierte spørsmål fra pensum Modellering Use case Tekstlig beskrivelse Sekvensdiagram Klassediagram Krav Empiriske metoder Smidig metodikk Varierte spørsmål
DetaljerUKE 15 Prosjektledelse, planlegging og teamarbeid. Gruppetime INF1055 Julie Hagen Nilsen & Maria Stolinski
UKE 15 Prosjektledelse, planlegging og teamarbeid Gruppetime INF1055 Julie Hagen Nilsen & Maria Stolinski Hva skal vi i dag? Se på oblig 5 Prosjektledelse og teamarbeid (kap. 22) Prosjektplanlegging og
DetaljerPROGRAMUTVIKLINGSPLAN. Big Data and Machine Learning
PROGRAMUTVIKLINGSPLAN Big Data and Machine Learning Innholdsfortegnelse Produkt beskrivelse... 1 Team beskrivelse... 2 Prosjektets kunnskapskrav... 2 Medlemmer og roller... 2 Program prosessmodell beskrivelse...
DetaljerLEAN STARTUP. Jørund Leknes Forretningsutvikler
LEAN STARTUP Jørund Leknes Forretningsutvikler TRENDER INNEN PROGRAMVAREUTVIKLING HVA BYGGER LEAN STARTUP PÅ? Nils Brede Moe nilsm@sintef.no Tradisjonell produktutvikling (vannfall) Fremdrift: Komme seg
DetaljerStøtter din digitale reise
Støtter din digitale reise Teknologi og prosess tenkt på nytt Sebastian Reichmann, Advisor for Analytics & Cognitive; EVRY Cloud analytics Product innovation Smart Automation Use more data to generate
DetaljerHvordan evaluerer man kvaliteten på et IT-system?
IN2001: Software Engineering og prosjektarbeid 19. februar 2018 Forskningsmetoder / Evaluering av ITsystemer med fokus på prosjektet Professor Dag Sjøberg IN2001/ 19.2.2018 / Dag Sjøberg Slide 1 Hvordan
DetaljerKrav til informasjonssikkerhet i nytt personvernregelverk
Krav til informasjonssikkerhet i nytt personvernregelverk 8. desember 2017 Informasjonsikkerhet er et ledelsesansvar Sikkerhetsledelse Klare ansvarsforhold Oversikt over det totale risikobildet og beslutte
DetaljerNye personvernregler og innebygd personvern
Nye personvernregler og innebygd personvern Agenda Personopplysninger Bakgrunn for nye personvernregler Hendelser Innebygd personvern og DPIA Prosjekt i Datatilsynet Hva er person(opplysnings)vern? Den
DetaljerImplementering av det nye personvernregelverket ved UiB
Implementering av det nye personvernregelverket ved UiB Læringsdag MatNat 31.01.2019 Spørsmål? Hvordan har UiB fulgt opp kravene i det nye personvernregelverket i datasystemene vi bruker Hva bør lokale
DetaljerKravhåndtering. INF1050: Gjennomgang, uke 03
Kravhåndtering INF1050: Gjennomgang, uke 03 Kompetansemål Kravhåndtering Anvende metoder og teknikker for å Innhente / Analysere / Spesifisere krav Ulike typer krav Funksjonelle krav Ikke-funksjonelle
DetaljerSikkerhet, risikoanalyse og testing: Begrepsmessig avklaring
Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse
DetaljerSikkerhet i Pindena Påmeldingssystem
Sikkerhet i Pindena Påmeldingssystem Versjon: 4.2.0 Oppdatert: 30.08.2017 Sikkerhet i Pindena Påmeldingssystem 2 Innhold Om dokumentet 3 Sikkerhet på klientsiden 3 Sikkerhetstiltak i koden 3 Rollesikkerhet
DetaljerCW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden?
CW Event, CIO Forum GDPR: Kan jeg bestemme mitt personvern i den smarte verden? 26.04.2018 Hva er en smart verden? «Politikk er kunsten å hindre folk i å blande seg opp i det som angår dem» Paul Valéry
DetaljerGJENNOMGANG UKESOPPGAVER 3 KRAVHÅNDTERING
GJENNOMGANG UKESOPPGAVER 3 KRAVHÅNDTERING INF1050 V16 HVA ER KRAVHÅNDTERING? Kravhåndtering er prosessen å identifisere, analysere og spesifisere kravene til et nytt system eller et system som skal forbedres
DetaljerPersonvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU
Personvern nye krav etter GDPR Stian F. Kristensen seniorrådgiver, SBU stian.kristensen@nb.no Hva skal vi gjennom? Kort intro til GDPR Hva er nytt? Personvernprinsipper GDPR i bibliotek Viktige begreper
DetaljerNye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017
Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017 GDPR kommer! 4 Nye personvernregler - oversikt Bakgrunn / begrunnelse Tilpasning til ny
DetaljerSlik stoppes de fleste dataangrepene
Slik stoppes de fleste dataangrepene Oktober 2014, Nasjonal sikkerhetsmåned John Bothner Avdeling for Teknologi Nasjonal sikkerhetsmyndighet 1 Agenda 1. De mest populære sikkerhetstiltakene er lite effektive
DetaljerTingenes tilstand: Programvaresikkerhet i offentlig sektor
Tingenes tilstand: Programvaresikkerhet i offentlig sektor Martin Gilje Jaatun Seniorforsker SINTEF IKT Lillian Røstad Seksjonssjef Difi Daniela Soares Cruzes, SINTEF Inger Anne Tøndel, SINTEF Karin Bernsmed,
DetaljerProsjektledelse, prosjektplanlegging, teamarbeid
INF1050: Systemutvikling 21. mars 2017 Prosjektledelse, prosjektplanlegging, teamarbeid Yngve Lindsjørn ynglin@ifi.uio.no INF1050 Systemutvikling ->Prosjektledelse og teamarbeid 1 Temaer i dagens forelesning
DetaljerWorkshop: Informasjonssikkerhet i digitaliseringsprosjekter. NOKIOS 2015/Jens Lien
Workshop: Informasjonssikkerhet i digitaliseringsprosjekter NOKIOS 2015/Jens Lien 2 - Når man endelig har fått til noe, og lagd noe som er bra, så kommer det ei «knetakling» inn fra sikkerhetshold og ødelegger
DetaljerGJENNOMGANG OBLIGATORISK OPPGAVE 1
GJENNOMGANG OBLIGATORISK OPPGAVE 1 INF1050 V16 KRISTIN BRÆNDEN 1 Systemet for utleie av markasykler ønsker a benytte seg av en eksisterende betalingsløsning, og valget har falt pa det samme betalingssystemet
DetaljerProsjektledelse, prosjektplanlegging, teamarbeid
INF1050: Systemutvikling 25. mars 2015 Prosjektledelse, prosjektplanlegging, teamarbeid Universitetslektor Yngve Lindsjørn INF1050 Systemutvikling ->Prosjektledelse og teamarbeid 1 Temaer i dagens forelesning
DetaljerProgramvareutvikling med innebygd personvern nye personvernregler
Programvareutvikling med innebygd personvern nye personvernregler 28.08.2017 Agenda Innebygd personvern introduksjon, konkurranse og veileder Aktivitetene i veileder om programvareutvikling med innebygd
DetaljerVurdering av personvernkonsekvenser (DPIA)
Vurdering av personvernkonsekvenser (DPIA) 05.06.2019 Lovlighet, rettferdighet og åpenhet Formålsbegrensning Art. 5 Riktighet Dataminimering Integritet og konfidensialitet Ansvar Lagringsbegrensning Borgernes
DetaljerSystemutviklingen er ferdig når et system er operativt. Med operativt menes når systemet blir brukt av brukerne på et faktisk arbeidssted.
Presentasjon nummer 5 The changing system and the nature of maintenance Silde 1 Gruppen introduseres Slide 2 The changing system and the nature of maintenance The Changing system Systemutviklingen er ferdig
DetaljerVeileder for gjennomføring av valg. Teknisk veileder i bruk av EVA Admin for kommuner og fylkeskommuner
Veileder for gjennomføring av valg Teknisk veileder i bruk av EVA Admin for kommuner og fylkeskommuner Versjon 1.0 10. januar 2019 Innholdsfortegnelse 1 Innledning... 3 2 Brukervilkår EVA Admin... 3 2.1
DetaljerInternrevisjon i en digital verden
Internrevisjon i en digital verden IIA Norge årskonferanse, Fornebu 29. 30. mai 2017 Services 1 Industry 4.0 Big Data 3D Printing Internet of Things Digitisation 2 Exponential organizations Disruption
DetaljerForskning på gruppe-estimeringestimering
Eksperiment: individuell vs gruppe-estimeringestimering Gruppe-estimering Tyve fagpersoner fra samme firma estimerte hver for seg arbeidsmengden for det samme systemutviklingsprosjektet [*] Deltakerne
DetaljerCyber-forsikring til hvilken pris?
Cyber-forsikring til hvilken pris? Hva betyr cyber-sikkerhet og cyber-risiko i kroner og øre? Bjørnar Solhaug Seminar om kost-nytte-analyse i en risikoevaluering SINTEF, 18. februar, 2015 1 Cyberspace
DetaljerNye personvernregler (GDPR)
Nye personvernregler (GDPR) 10.10.2017 Bakgrunn Ansvarlighet og internkontroll Informasjonssikkerhet og avviksmeldinger Vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøftelse PVO, internasjonalt
DetaljerSikkerhet i Pindena Påmeldingssystem
Sikkerhet i Pindena Påmeldingssystem Versjon: 6.0.0 Oppdatert: 20.05.2019 1 Innhold Innhold 2 1.Om dokumentet 3 2. Sikkerhet på klientsiden 3 3.Sikkerhetstiltak i koden 3 3.1 Rollesikkerhet 3 3.2 Databasesikkerhet
DetaljerGDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017
GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,
Detaljer