Risikovurdering av Ny Felles Publiseringsløsning 2.0

Størrelse: px
Begynne med side:

Download "Risikovurdering av Ny Felles Publiseringsløsning 2.0"

Transkript

1 Prosedyre IT-risikovurdering Versjon SP/ Risikovurdering av Ny Felles Publiseringsløsning 2.0 Løsning Ny felles publiseringsløsning 2.0 Utarbeidet av Ingvild Fasting og Geir Hovind, Sykehuspartner, Ketil Heggtveit, Secode Delprosjekt Hovedprosjekt Prosjektleder Visar Beqiri, 1 Kartlegging Introduksjon Begrunnelse for endring Avgrensninger Systembeskrivelse Arkitektur Teknologi Sikkerhetsmekanismer Dataflyt Aktører Tilganger Informasjonsaktiva Databehandling Identifisere tekniske sårbarheter, andre svakheter og tilhørende trusselscenarioer Vurdering Risikohåndtering Aksepterte hendelser Hendelser med definerte tiltak Kapittel 5 Appendix... 25

2 1 Kartlegging 1.1 Introduksjon Denne risikovurderingen har 3 fokusområder: a) risiko som følge av åpning for å overvåke løsning i et eksternt miljø b) risiko ved bruk (roller, rettigheter, godkjenningsprosesser mv) c) risiko for kompromittering av løsningen (teknisk svakheter, configurasjon og lignende) Punkt a og b dekkes i denne risikovurderingen. Punkt c dekkes også i risikovurderingen, og av en gjennomført penetrasjonstest. Rapporten finnes som eget vedlegg, og hovedkonklusjonene er presentert i appendix, i kapittel 5. Vurderingen baseres på følgende fremlagte dokumentasjon: Funksjonelt løsningsdesign, versjon 0.5, datert Teknisk løsningsdesign, versjon 0.4, datert Teknisk løsningsdesign, arbeidsversjon mottatt Forprosjektanalyse, versjon 1.3, datert Prosjektdirektiv, versjon 1.1, datert Penetrasjonstest Sykehuspartner, versjon 1.0, datert Om løsningen (formål og hensikt) Felles Publiseringsløsning (FPL) er en felles regional løsning for publisering av innhold på internett. Sykehuspartner forvalter og tilbyr løsningen til det enkelte helseforetak. FPL 2.0 er en oppgradert løsning på ny plattform, med større grad av standardisering og modernisering av utseende og innhold. Løsningen må fortsatt forholde seg til de krav og føringer som stilles i HOD rammeverket for nettbasert kommunikasjon. Anskaffelsen av FPL har som hovedformål å gi tilhørende helseforetak et felles verktøy for publisering. Løsningen er basert på et nasjonalt rammeverk. Ny FPL planlegges basert på SharePoint 2013 med drift i nettsky, levert av Windows Azure. For ytterligere begrunnelse for hensikt og formål, henvises det til forprosjektanalyse og prosjektdirektiv Begrunnelse for endring FPL driftes i dag av Norsk Helsenett og har vært vedlikeholdt av Evry. Sykehuspartner forvalter og tilbyr løsningen til det enkelte foretak. 12 foretak benytter løsningen (inkludert Sykehuspartner og Sykehusapotekene). Siden løsningen ble satt i drift har det oppstått store utfordringer med ytelse og ustabilt driftsmiljø, manglende miljøer for verifisering av endringer før produksjonssetting og en rekke feil i den egenutviklede delen av løsningen, spesielt i integrasjonen mot 3.parts produktene. Løsningen har også vist seg å ikke være så fleksibel som forventet. Videre er løsningen med Microsofts skytjenester valgt for å få en mer kostnadseffektiv løsning. En oppgradert Sharepoint-løsning fra Sykehuspartner forventes da å gi følgende fordeler: Redusere reelle kostnader for drift og applikasjonsforvaltning Øke stabilitet og ytelse på løsningen Kraftig forbedret brukeropplevelse for redaktører Økt bruker opplevelse for besøkende brukere med økt ytelse og stabilitet. I tillegg mer oppdatert og høyere kvalitet på innholdet, mer helhetlig og oppdatert design Bedre støtte for universell utforming Avgrensninger RoS-analysen forholder seg til prosjektets avgrensninger. Følgende avgrensninger er identifisert for prosjektet: Eksisterende design for FPL 1.0 er retningsgivende for FPL 2.0 (denne risikovurderingen), da en full redesign av løsningen er utenfor omfanget av prosjektet. 2

3 Det redaksjonelle ansvaret ligger hos HF ene, og er ikke SP sitt ansvar. Risiko knyttet til mulig feil bruk vil likevel bli påpekt, og foretakene må vurdere rutiner for å kompensere for slike feil. Det er ingen integrasjon mot andre fagsystemer per i dag, kun drifts- og overvåkningstilgang (dette vurderes spesielt) Det skal kun lagres åpen informasjon i løsningen, dvs klassifiseringsnivå 1 (kontekst 1) informasjon. Det anses derfor heller ikke som nødvendig å etablere noen databehandleravtale Den merkantile avtalen med Microsoft vurderes ikke. Tilgjengelighet blir likevel adressert, men kravet er lavt, og det gjøres derfor ingen kontroll av om teknisk realisering dekker behovet. Det gjøres likevel en teknisk sikkerhetstest for å se om miljøet i skyen kan innebære en trussel mot drift og overvåknings-miljøet i SP 1.2 Systembeskrivelse Risikovurderingen ser design og systembeskrivelsen i lys av informasjonssikkerhet. Dette betyr at design blir vurdert opp mot hvordan løsningen er klassifisert innen de tre områdene konfidensialitet, integritet og tilgjengelighet. Konfidensialitet, integritet og tilgjengelighet blir klassifisert på en skala fra 1 til 4, der klasse 4 er mest kritisk. (Dette i motsetning til SLA-nivå for tilgjengelighet som bruker motsatt skala fra 3 til 1). Ekstranett har konfidensialitet og integritet i klasse 1, dvs. åpen informasjon. Løsningen hostes av Microsoft, og katastrofer håndteres i henhold til SLA for de forskjellige tjenestene og avtalen mellom Windows Azure og Sykehuspartner. Tjenesten vil ikke være tilgjengelig ved brudd på internettlinjer. Den generelle skytjenesten er mer tilgjengelig enn en intern tjeneste fordi den kan nås fra alle som har tilgang til internett, og fra ulike enheter og plattformer enn den interne. Nedetiden til en skytjeneste er nesten lik null. Løsningen er videre ikke tenkt brukt som en skredside, og kravene til tilgjengelighet er derfor ikke kritiske. Tilgjengelighet i løsningen er klassifisert som 3 ikke kritisk Arkitektur FPL 2.0 er basert på SharePoint 2013 og kjøres i Microsoft sine skytjenester. Løsningen driftes i virtuelle servere i Windows Azure IaaS (Infrastructure as a Service). Den nye løsningen settes opp som en høytilgjengelig løsning, etter ny beste praksis for oppsett av SharePoint-farmer. Løsningen består av en SharePoint-komponent og en Office Web Applications komponent. Office Web Apps gir visning av Office dokumenter i nettleser. Funksjonaliteten brukes for forhåndsvisning i søk, tilgjengeliggjøre for mobile enheter, osv. SharePoint-arkitekturen er en typisk trelags-arkitektur: Front end lag, som betjener brukerne Applikasjonslag for indeksering og andre backend-operasjoner Datalag, som er et sett SQL databaser Løsningen settes opp slik at den forholdsvis enkelt kan flyttes til en eventuell privat skytjeneste. 3

4 En skisse over arkitekturen vises under i figur 1, hentet fra teknisk løsningsdesign, arbeidsversjon. Den nye løsningen baserer seg i stor grad på metadata for å klassifisere innhold i løsningen og gi alternative navigasjonsmuligheter for brukerne. Metadata legger på ekstra informasjon om hver artikkel, men har flere bruksområder og betydning. Videre er det tre dimensjoner av kontroll av metadata: Nasjonalt styrt: Utenfor HSØ sin kontroll, felles for alle foretakene, Eks MeSH Regionalt styrt: Kontrollert i fellesskap i HSØ, felles for alle foretakene Lokalt styrt: Kontrollert av hvert enkelt foretak. Kan ikke deles. Mer utfyllende informasjon om arkitektur og teknologi finnes i designdokumentene, bl.a.: Funksjonelt løsningsdesign Teknisk løsningsdesign 4

5 SCOM gateway Discovery probe Teknologi Produksjonsmiljøet er segmentert i ulike deler, som vist i figur 2, hentet fra teknisk løsningsdesign, arbeidsversjon. Anonyme brukere fra internett Helseforetak Redaktører fra kjente nett HTTP Port 80 Internett HTTP Port 80 Internett HTTPS Port 443 Https://admin.ous.no Https://admin.ahus.no... Listener for Publiserings-admin HTTP Port 80 HTTP Port 80 HTTPS Port 443 Front-end servers..... Publiserings-admin DNS FPLprodOWA..... Batch-processing and application servers FPLprodAdmin DNS Brukerkatalog FPLprod All databases Alle maskiner FPLprodSQL FPLProd subnet HTTP-protokoll HTTPS-protokoll Intern nettverkstrafikk i FPL RDP port 335 SCOM monitorering port 5273 Ukjent CloudService Virtuelt subnet?? VPN tunnel Windows Azure Lastbalanserer Listener Sykehuspartner DIGIPLEX Bruker-forvaltning Drift Overvåking System Center Operations Manager 5

6 Miljøer og Windows Azure Løsningen vi i sin helhet plasseres i Azure IaaS, uten kobling tilbake til Sykehuspartners nettverk på det tidspunktet løsningen etableres. Det kan på et senere etableres en slik kobling om dette er ønskelig. Som standard er Azure IaaS et lukket miljø med minimalt tilganger. Tjenestene er tilgjengelig via pålogging på Windows Azure portalen. Abonnementet er beskyttet av brannmur, osv som del av Windows Azure tjenesten. Løsningen vil bestå av fire miljøer, Produksjon, QA, Test og Utvikling. Disse fire miljøene vil etableres i hvert sitt Azure underabonnement. Dette gjøres for å holde miljøene adskilt med separate tilganger og for å kunne måle forbruk av tjenester pr miljø. Hovedabonnement Underabonnement Produksjon Underabonnement QA Underabonnement Test Underabonnement Utvikling Figur 4: Abonnement struktur (teknisk løsningsdesign) Hvert enkelt vil ha sin separate infrastruktur med katalog-, navne-, database- og publiseringstjenester. Dette muliggjør total separasjon av miljøene slik at miljøene ikke påvirker hverandre. Produksjonsmiljøet QA Testmiljøet Utviklingsmiljøet Opplæringsmiljøet Vil kjøre kontinuerlig fra systemtest og fremover Kjører fra systemtest og fremover, kan stoppes når det ikke er i bruk Brukes i prosjektperioden, og vil i større grad være avslått i etterkant Brukes i prosjektperioden, men vil nedskaleres etter prosjektet og i stor grad være avslått Foreslås som en del av produksjonsmiljøet For mer informasjon om infrastruktur og Windows Azure henvises til kildedokumenter Sikkerhetsmekanismer Brukerhåndtering Brukeridentiteter lagres i egen brukerkatalog i løsningen i Windows Azure abonnementet. En egen Active Directory benyttes for brukerkatalogen. Opprettelse og håndtering av brukere med informasjon og passord forvaltes av applikasjonsforvaltning. Alle endringer meldes inn. Det er ingen selvbetjening på passordbytte, men følger samme prosess som i FPL 1.0 hos NHN. Autentisering (Authentication) håndteres av Active Directory. Autorisering håndteres av SharePoint

7 Redaktørpålogging Redaktører logger seg på via egen URL (eksempel https://admin.ous.no ) over en kryptert kobling (HTTPS). Det er kun pålogging fra klienter i godkjente nett som får adgang til å logge på. Godkjente nett verifiseres ved hjelp IP-adresse til klienten. Liste over godkjente nett konfigureres i Windows Azure abonnementet (Access Controll Lists). Redaktørene logger seg på og arbeider på en egen server, uavhengig av de anonyme brukerne. En skisse av redaktørpålogging vises under i figur 5 (teknisk løsningsdesign, arbeidsversjon): Helseforetak OUS CloudService HTTP-protokoll HTTPS-protokoll Intern nettverkstrafikk i FPL AHUS Virtuelt subnet RDP port 335 SCOM monitorering port 5273 Redaktører fra kjente nett Windows Azure Ukjent VPN til foretak Https://ous.admin.fpl.nhn.no Https://ahus.admin.fpl.nhn.no... SIKT Lastbalanserer Listener HTTPS Port 443 1x Innlandet Internett Listener for Publiserings-admin Listener for Publiserings-admin SAP HTTPS Port 443 Internett VPN Publiserings-admin Hjemmekontor DNS FPLprodAdmin DNS Brukerkatalog Nummerering av behandlingsløp: FPLProd subnet 1x Bruker tilgang fra interne nett Tilgang begrenses utfra IP-adresser på avsender. Konfigurasjon av IP-adresser utføres i Windows Azure på «listener». 7

8 Brukerforvaltning Brukerforvaltning utføres av forvalter i administrative applikasjoner. Forvalter logger seg på brukerkatalogen ved hjelp av RDP (Remote Desktop) via en VPN-tunnel til Windows Azure abonnementet. Arbeid mot brukerkatalogen er ikke eksponert mot internett. Brukerhåndtering er vist i figur 6 (teknisk løsningsdesign, arbeidsversjon). DNS DNS Brukerkatalog FPLProd subnet VPN tunnel HTTP-protokoll HTTPS-protokoll Intern nettverkstrafikk i FPL RDP port 335 SCOM monitorering port 5273 Ukjent CloudService Virtuelt subnet Sykehuspartner DIGIPLEX Bruker-forvaltning Windows Azure Lastbalanserer Listener Dataflyt Det er ingen integrasjon med andre løsninger eller fagsystemer i denne fasen utover drifts- og overvåkningstilgang Aktører Aktører i dette prosjektet er: Sykehuspartner (Prosjektgruppe) Helse Sør-Øst (Bestiller) 8

9 Microsoft (Leverandør) Tilganger Opprettelse og håndtering av brukere med informasjon og passord forvaltes av applikasjonsforvaltning. Alle endringer meldes inn. Det er ingen selvbetjening på passordbytte, men følger samme prosess som i FPL 1.0 hos NHN. Autentisering håndteres av Active Directory. Autorisering håndteres av SharePoint Redaktørtilgang tildeles på generelt nivå og følges opp av Sykehuspartner, nærmere bestemt applikasjonsforvalter for FPL-løsningen. I tillegg vil det være foretakenes ansvar å spesifisere evt brudd på rettigheter og tildeling av spesielle rettigheter. Dette følger tilsvarende rettighetsnivåer og administrering som i dagens løsning. Nye brukere/endring i eksisterende brukere meldes via Min Sykehuspartner / brukerstøtte Informasjonsaktiva Løsningen klassifiseres i sone 1, som åpen informasjon. Det vil derfor ikke være noe krav om skille mellom helseforetakene. Krav til tilgjengelighet i henhold til kritikalitet/viktighet er vurdert som 3 ikke kritisk Databehandling Løsningen inneholder kun nivå 1 informasjon, og det anses derfor ikke som nødvendig med en egen databehandleravtale med Microsoft. 9

10 2 Identifisere tekniske sårbarheter, andre svakheter og tilhørende trusselscenarioer Tekniske sårbarheter og andre svakheter må identifiseres for å kunne avgjøre sannsynligheten for at en hendelse inntreffer. Andre svakheter er av ikke-teknisk art og har årsak i menneskelige, miljømessige eller organisatoriske forhold. Trusselkilder som er aktuelle her er for eksempel miljømessige sårbarheter eller personer med god hensikt. Et trusselscenario er en beskrivelse av hvordan en sårbarhet/svakhet kan utnyttes. Ved å utarbeide trusselscenarioer dokumenterer man hvordan sårbarheter som danner et trusselscenario kan føre til at en hendelse inntreffer. Et trusselscenario kan være basert på en eller flere sårbarheter, og en sårbarhet kan danne grunnlag for ett eller flere trusselscenarioer. Tekniske sårbarheter og andre svakheter må identifiseres for å kunne avgjøre sannsynligheten for at en hendelse inntreffer. Tabellen under er sortert etter de tre områdene beskrevet innledningsvis: a) risiko som følge av åpning for å overvåke løsning i et eksternt miljø b) risiko ved bruk (roller, rettigheter, godkjenningsprosesser mv) c) risiko for kompromittering av løsningen (teknisk svakheter, configurasjon og lignende) # Område Sårbarheter / andre svakheter Mulige trusselscenarioer/mulige konsekvenser 1. a) Lokal overvåkingsnode 2. a) Mangel på lokal brannmur 1 Alle servere i FPL løsningen skal overvåkes og sender overvåkningsdata til node lokalt i LAN. Trussel er dersom denne overvåkningsnoden kan medføre kompromittering av SP miljø. 2 Mangel på lokal brannmur (i HF) fører til eksponering av lokale tjenester i Azuremiljøet. 3. b) Vanskelig kontroll/overvåkning av informasjon som legges ut 3 Informasjon i kontekst 2, 3 eller 4 kan legges ut uten at det blir oppdaget. Dette kan føre til brudd på konfidensialitet, da løsningen ellers kun skal inneholde åpen informasjon. 4. b) Mulighet til å endre i 4 10

11 # Område Sårbarheter / andre svakheter Mulige trusselscenarioer/mulige konsekvenser 5. b) dokumenter uten at det oppdages Manglende tilrettelegging for universell utforming Ved manglende dokumentkontroll kan uønskede og uautoriserte endringer bli gjennomført. Kan føre til brudd på integritet, konfidensialitet og sporing. 5 Ved manglende støtte for universell utforming i den redaksjonelle prosessen og støtte i teknisk løsning kan medføre at forskriften ikke ivaretas, jfr (trådte i kraft 1. juli 2013) 6. b) Manglende tilgangskontroll 6 Manglende oversikt over gyldige brukere og hvem som skal ha tilgang, uautorisert publisering på vegne av andre HF enn man skal ha rettigheter til. 7 b) Utilstrekkelig administrasjon av Windows Azure abonnement 7 Private Windows Live ID brukes for administrering av Windows Azure abonnementet, øker sannsynligheten for kompromittering 8. b) og c) 9 b) og c) 10. b) og c) 11 c) Ikke oppdatert eller manglende antiviruskontroll Brukernavn og passord til web redaktører Overføring av informasjon ved migrering fra gammel tjeneste Mangelfull herding og patching av servere i FPL 2.0 miljøet 8 Infiserte maskiner hos web-redaktører kan spre malvare til FPL miljøet uten at det oppdages Manglende passord policy for webredaktørene kan føre til kompromittering 9.2 Ukryptert pålogging eksponerer brukernavn og passord Utfordringer ved å hente informasjon fra eksisterende database, tid og kostnad øker. 90 % gjøres automatisk, 10 % manuelt Informasjon som ikke skal være med blir med over fra gammel database, eks i kontekst 3 og Mangelfull herding og patching kan eksponere serverne for sikkerhetssvakheter som ikke lett lar seg detektere 11

12 # Område Sårbarheter / andre svakheter Mulige trusselscenarioer/mulige konsekvenser 12 c) 13 c) 14 c) Fjerntilgang av servere i Windows Azure miljøet Uautorisert tilgang til applikasjonen Informasjonssikkerhet ved lagring i nettskyen (hentet fra Cloud Security Alliance (CSA)- guide, versjon 3.0) 12 Servere blir ikke installert etter SP s interne rutiner 13.1 Remote Desk Top tilgjengelig over internett 13.2 Powershell tilgjengelig via HTTP 13 Feilkonfigurasjon av web-redaktørenes tilgang, feil i programvare eller feil i FPL applikasjonen kan medføre uautoriserte brukere får tilgang til å endre på data innhold i FPL applikasjonen Leverandørens infrastruktur oppfyller ikke norske lovkrav Adminbrukere hos cloudleverandør får uønsket tilgang til sensitiv informasjon for virksomheten 14.3 Manglende kontroll på fysisk lokasjon 14.4 Manglende bruk av skillemekanismer hos skyleverandør 14.5 Tjenesten slutter å virke og data går tapt på grunn av manglende backup/restore hos leverandør 14.6 Manglende tilgang til data ved undersøkelse av hendelser, f.eks. logger 14.7 Skyleverandør går konkurs eller blir kjøpt opp, kan føre til tap av data/manglende tilgang til data Penetrasjons- og sikkerhetstesten avdekket videre enkelte svakheter som bør adresseres før produksjonssetting. Disse svakhetene vil ikke bli gjort gjenstand for nivå på risiko, men det vil bli presentert foreslåtte tiltak i kapittel 4.2, med henvisning til rapportens hovedkonklusjoner i kapittel 5, og rapporten i sin helhet i vedlegg. Mange tilgjengelige tjenester RDP tjenesten tilgjengelig fra Internett Selvsignerte sertifikater Svake kryptonøkkler 12

13 Tiltak Utenfor akseptkriterier Begrunnelse Risiko (S x Ko) Konsekvens (Ko) Sannsynlighet (S) KITS Mulige virkninger Mulig hendelse Sårbarheter # 3 Vurdering Se forklaring, inkludert tabeller for beregning av sannsynlighet og konsekvens i dokumentet Metodikk for risikovurdering. Risiko beregnes som produktet av sannsynlighet og konsekvens. All risiko over 6 ligger utenfor akseptkriterier. Begrunnelse må gis konkret mot hvert trusselscenario, slik at det er mulig å følge hva som er sikret tilstrekkelig og hvorfor. 1 Lokal overvåkningsnode Tilgang til SP s driftssenter og interne servere Full kompromittering av Sykehuspartner. K, I,T Sannsynligheten vurderes svært lav fordi trafikken kun skal initieres fra SP. 2 Mangel på lokal brannmur Ved mangel på brannmur eksponeres tjenester på lokalnettet. En kompromittert maskin har lettere tilgang på andre maskiner K Sannsynligheten vurderes svært lav da lokale brannmurer skal etableres. 3 Vanskelig kontroll/overvåkning av informasjon som legges ut Informasjon i kontekst 2, 3 eller 4 legges ut uten å bli oppdaget. Brudd på konfidensialitet, sensitiv informasjon gjøres tilgjengelig. K Ved utilstrekkelig kontroll og veiledning i hvilken informasjon som er hvilken kontekst er det vurdert forholdsvis sannsynlig at sensitiv informasjon kan bli delt. Planlagt håndtert i Data Loss Prevention Prosjektet (løsning ikke realisert). JA 01 13

14 Tiltak Utenfor akseptkriterier Begrunnelse Risiko (S x Ko) Konsekvens (Ko) Sannsynlighet (S) KITS Mulige virkninger Mulig hendelse Sårbarheter # 4 Mulighet til å endre i dokumenter uten at det oppdages Manipulasjon av informasjon, uønskede og uautoriserte endringer gjennomføres. Brudd på integritet og konfidensialitet, og sporing. K, I, S Konsekvensen er satt ut ifra et worstcase scenario, der endringene skjer i dokumenter av stor betydning. Løsningen har i dag en etablert håndtering for versjonshistorikk, og sannsynligheten for brudd er derfor vurdert lav. 5 Manglende tilrettelegging for universell utforming Tilsyn fra DIFI, anmerkning. Lovpålagt fra 1. juli Ikke en risiko for informasjonssikkerhet men generelt ved at forskriften ikke oppfylles Prosjektet vil ivareta kravet til universell utforming. Pt under testing, og inngår som del av akseptansetest. Risiko anses derfor som ivaretatt. 6 Manglende tilgangskontroll av publikasjonsrettigheter Manglende oversikt over gyldige brukere og hvem som skal ha tilgang. Konsekvensen kan være at brukere uten et legitimt behov får, og beholder tilgang til å publisere etc. K Det er foretakenes eget ansvar å tildele og forvalte spesielle rettigheter, på generelt nivå bestemmes dette av Sykehuspartner. Redaktørrollene følges opp av applikasjonsforvalter. Følger de samme rettighetsnivåene og administering som i dagens løsning. 14

15 Tiltak Utenfor akseptkriterier Begrunnelse Risiko (S x Ko) Konsekvens (Ko) Sannsynlighet (S) KITS Mulige virkninger Mulig hendelse Sårbarheter # 7 Utilstrekkelig administrasjon av Windows Azure abonnement Administrasjon av Windows Azuremiljøet utføres med windows live ID som tilhører personlige brukere. Personlige brukere brukt i forbindelse med arbeide kan utsette miljøet for en risiko ved at passord ikke er like godt beskyttet. Kan føre til brudd på konfidensialitet og integritet. K, I Vurdert lav da SP etablererer dedikerte Windows Live ID for tjenesten. Konsekvensen ville potensielt vært tilgang til andre servere i Azure-miljøet. 8 Ikke oppdatert eller manglende antiviruskontroll Spredning av malvare på nettverket Kan føre til virusinfiserte maskiner, kan føre til kompromittering av alle handlinger. K, T Konsekvensen vurderes høy da man kan risikere full brukertilgang ved kompromittering. Sannsynligheten vurderes forholdsvis lav da rutiner for antiviruskontroll forventes implementert. Inntil verifisert ivaretatt settes risiko til 8. JA Manglende passord policy (passord policy til web-redaktørene) Uautorisert tilgang til brukernavn og passord, som gir tilgang til applikasjonen Mulighet for tilgang til publisering, brudd på konfidensialitet og integritet K, I Sannsynligheten vurderes lav da det kun er dedikerte maskiner hos HF ene som kan logge seg på. Konsekvensen er potensielt høy da en kompromittering vil gi redaktørtilgang. 15

16 Tiltak Utenfor akseptkriterier Begrunnelse Risiko (S x Ko) Konsekvens (Ko) Sannsynlighet (S) KITS Mulige virkninger Mulig hendelse Sårbarheter # 9.2 Manglende kryptering på webredaktører Web-redaktørens brukernavn og passord går i klartekst mellom STHF og eksterne virksomheter (herunder inkludert Betanien Hospital). Dersom brukernavn og passord ikke beskyttes tilstrekkelig vil andre kunne logge seg på og publisere/endre informasjon dersom uvedkommende utfører man-in-the-middle angrep. K, I, Sannsynligheten vurderes lav da påloggingen skal skje kryptert (kun tillate pålogging via HTTPS, ingen redirect fra port 80). Konsekvensen er potensielt høy da en kompromittering vil gi redaktørtilgang Overføring av informasjon ved migrering fra gammel tjeneste Utfordringer ved å hente informasjon fra eksisterende database, 90 % gjøres automatisk, 10 % manuelt. Tid og kostnad øker dersom den automatiske migreringen ikke er tilfredsstillende Sannsynligheten er vurdert forholdsvis lav da den gitte migreringsplanen skal fange opp nødvendig behov. 16

17 Tiltak Utenfor akseptkriterier Begrunnelse Risiko (S x Ko) Konsekvens (Ko) Sannsynlighet (S) KITS Mulige virkninger Mulig hendelse Sårbarheter # 10.2 Overføring av informasjon ved migrering fra gammel tjeneste Informasjon som ikke skal være med blir med over fra gammel database, eks intern informasjon i kontekst 2. Ved mangel på manuell kontroll kan HF spesifikk informasjon (kontekst 2 intern informasjon) overføres til den nye løsningen. K Konsekvensen er vurdert forholdsvis lav da løsningen ikke skal inneholde person- eller virksomhetssensitiv informasjon. 11 Mangelfull herding og patching av servere i FPL2.0 miljøet Mangelfull herding og patching av servere kan eksponere serverne for sikkerhetssvakheter som ikke lett lar seg detektere. Mangelfull herding fører til økt eksponering av servere. Mangelfull patching fører til økt risiko for kompromittering. Kan medføre uønsket publisering, spredning av skadevare osv, med tap av omdømme Vurderes i utgangspunktet som lav, da herding og patching av servere antas håndtert gjennom SP sine interne rutiner for drift av servere. Men siden dette er en eksternt eksponert tjeneste bør det iverksettes tiltak som regelmessig verifiserer at løsningen ikke inneholder svakheter eller sårbarheter som kan utnyttes. Sikkerhetstest har påvist manglende patcher, se vedlegg for anbefalte tiltak. JA 03 17

18 Tiltak Utenfor akseptkriterier Begrunnelse Risiko (S x Ko) Konsekvens (Ko) Sannsynlighet (S) KITS Mulige virkninger Mulig hendelse Sårbarheter # 12.1 Fjerntilgang av servere i Windows Azure miljøet Remote DeskTop tilgjengelig fra SP driftssenter Fjernadministrasjon av FPL2.0 miljøet fra andre steder enn SP s driftssenter RDP tjenesten til windows servere kan administreres fra hvor som helst, noe som kan medføre eksponering av brukernavn og passord til brukeren Administrator har potensielt full tilgang til serveren, konsekvensen blir da full kompromittering, og vurderes høy. Sannsynlighet er lav fordi kun dedikerte driftsmaskiner har tilgang til RDP-tjenesten i Azure Fjerntilgang av servere i Windows Azure miljøet Powershell tilgjengelig fra dedikerte driftsmaskiner hos SP (Powershell er Windows sin metode for remote administrering av serveren). Dersom Powershell brukes ukryptert kan uvedkommende få tilgang til brukernavn og passord. K Administrator har potensielt full tilgang til serveren, konsekvensen blir da full kompromittering, og vurderes høy. Sannsynlighet er lav fordi kun dedikerte driftsmaskiner har tilgang til Powershell-tjenesten i Azure. 18

19 Tiltak Utenfor akseptkriterier Begrunnelse Risiko (S x Ko) Konsekvens (Ko) Sannsynlighet (S) KITS Mulige virkninger Mulig hendelse Sårbarheter # 13 Uautorisert tilgang til applikasjonen Feilkonfigurasjon av web-redaktørenes tilgang, feil i programvare eller feil i FPL applikasjonen kan medføre at uautoriserte brukere får tilgang til å endre på data innhold i FPL applikasjonen. Uautorisert tilgang til løsningen / applikasjonen (kompromittering) kan medføre uønsket publisering, spredning av skadevare osv, med tap av omdømme K, I Det er planlagt gjennomført en penetrasjonstest av løsning som del av pilot. Endringer i FPL løsningen vil kunne introdusere svakheter og feilkonfigurasjoner. Det bør utføres regelmessige pentester av FPL løsningen, spesielt etter større oppgraderinger v løsningen. JA Usikker informasjonssikkerhet ved lagring i nettskyen (hentet fra CSA-guide, versjon 3.0) Leverandørens infrastruktur oppfyller ikke norske lovkrav. Brudd på lovkrav K Sykehuspartner er pålagt å behandle data etter norsk lov. Gjennomført møte med leverandør viser svært lav risiko for lovbrudd. Løsningen er heller ikke ment å inneholde helse- eller personopplsyninger 15.2 Usikker informasjonssikkerhet ved lagring i nettskyen(hentet fra CSA-guide, versjon 3.0) Adminbrukere hos cloudleverandør får uønsket tilgang til sensitiv informasjon for virksomheten. Brudd på regime for tilgangsstyring K Konsekvensen er vurdert forholdsvis lav da løsningen ikke skal inneholde helse- eller personopplysninger. 19

20 Tiltak Utenfor akseptkriterier Begrunnelse Risiko (S x Ko) Konsekvens (Ko) Sannsynlighet (S) KITS Mulige virkninger Mulig hendelse Sårbarheter # 15.3 Usikker informasjonssikkerhet ved lagring i nettskyen(hentet fra CSA-guide, versjon 3.0) Manglende kontroll på fysisk lokasjon Manglende kontroll på hvor data befinner seg K, T Må løses kontraktuelt da dette ligger implisitt ved valg av en public cloud. Siden løsningen ikke skal inneholde helse- eller personopplysninger er ikke lagring utenfor EU tema Usikker informasjonssikkerhet ved lagring i nettskyen(hentet fra CSA-guide, versjon 3.0) Manglende bruk av skillemekanismer hos skyleverandør. Uønsket deling av data, andre kunder av skyleverandøren kan potensielt få tilgang på data. K, T Konsekvensen er vurdert forholdsvis lav da løsningen ikke skal helse- eller personopplysninger 15.5 Usikker informasjonssikkerhet ved lagring i nettskyen(hentet fra CSA-guide, versjon 3.0) Tjenesten slutter å virke og data går tapt på grunn av manglende backup/restore hos leverandør Potensielt datatap T Sannsynligheten vurderes lav, da sikkerhetskopier legges på lagring i skyen og kopieres lokalt inn til Sykehuspartner Usikker informasjonssikkerhet ved lagring i nettskyen(hentet fra CSA-guide, versjon 3.0) Manglende tilgang til data ved undersøkelse av hendelser, for eksempel logger Manglende evne til å finne rotårsak til hendelser K, T Vurderes lavt da logging er ivaretatt gjennom AD og SharePoint. Konsekvensen settes lav da hendelsen forventes å inntreffe sjelden. 20

21 Tiltak Utenfor akseptkriterier Begrunnelse Risiko (S x Ko) Konsekvens (Ko) Sannsynlighet (S) KITS Mulige virkninger Mulig hendelse Sårbarheter # 15.7 Usikker informasjonssikkerhet ved lagring i nettskyen(hentet fra CSA-guide, versjon 3.0) Skyleverandør går konkurs eller blir kjøpt opp, kan føre til tap av data / manglende tilgang til data. Potensielt datatap og tjenesten vil ikke lengre være tilgjengelig T Sannsynligheten vurderes lav, da sikkerhetskopier legges på lagring i skyen og kopieres lokalt inn til Sykehuspartner. 21

22 4 Risikohåndtering Risiko kan enten aksepteres, unngås eller reduseres. Å akseptere risiko må alltid begrunnes. Risiko skal bare aksepteres dersom den er innenfor akseptkriteriene. Å unngå risiko vil si å unngå de aktivitetene som medfører risiko. Konsekvensen av dette må forklares, for eksempel hvordan man kan oppnå samme resultat eller målsetting med andre aktiviteter, eller om man aksepterer at man ikke oppnår noen resultater eller målsettinger. For å redusere risiko, må man vite hvilke tiltak som er mulige. Det finnes primært tre kategorier av tiltak: oppdagende, forhindrende eller gjenopprettende. Når man skal identifisere mulige tiltak, gir det ofte et godt resultat å lete etter mulige tiltak innen alle tre kategorier. Ett enkelt tiltak kan ofte adressere flere sårbarheter, for eksempel overvåkning av nettverket for ulike sårbarheter. Oversikt over dette er en viktig del av vurderingen, fordi det er en del av kost-/nyttevurderingen å avgjøre hvilke tiltak som gir mest for pengene. I tabellen nedenfor vurderes hvordan risikoen identifisert i forrige kapittel skal håndteres. For risiko som håndteres ved å redusere risiko, beskrives det nedenfor hva som kan gjøres, og hvilke sårbarheter som adresseres. Dette er viktig for å vurdere kost/nytteverdien av hvert tiltak. 4.1 Aksepterte hendelser Risiko innenfor akseptkriterier er sårbarhetene med en vurdering lavere enn 6. Se kapittel 3. 22

23 4.2 Hendelser med definerte tiltak Tiltak # ID Risiko (0 16) Beskrivelse av risiko Beskrivelse av tiltak Status Ansvar og tidsfrist Informasjon i kontekst 2, 3 eller 4 legges ut uten å bli oppdaget. Innføre rutiner for sjekk av informasjon. Prosjektet bør vurdere å utarbeide felles rutiner som HF ene skal følge ved publisering. Helseforetaket Spredning av malware Videreutvikle rutiner for å forhindre spredning. Tjenesteansvarlig & 13 6 Mangelfull herding og patching og sårbarheter i applikasjonen Når tjenesten er overlevert til produksjon bør det inngås avtale med ekstern part som gjør en regelmessig sårbarhetsvurdering, eksempelvis en gang per kvartal, eller ved endringer. Tjenesteansvarlig Se vedlegg, kapittel Mange tilgjengelige tjenester Se vedlegg, kapittel 4 Prosjektet, før produksjonssetting RDP tjenesten tilgjengelig fra Internett Se vedlegg, kapittel 4 Prosjektet, før produksjonssetting Selvsignerte sertifikater Se vedlegg, kapittel 5.1 Prosjektet, før produksjonssetting 07 Svake kryptonøkler (sertifikat) Se vedlegg, kapittel 5.1 Prosjektet, før produksjonssetting 23

24 4.3 Konklusjon Det er identifisert 3 direkte tiltak basert på 14 forskjellige bekymringer. I tillegg er det foreslått flere tiltak etter gjennomført penetrasjonstest, beskrevet nærmere i penetrasjonstestrapporten. Ingen av de identifiserte tiltakene er uakseptable, men de nevnte risikopunktene må adresseres av helseforetakene, som selv må bestemme hvorvidt disse faller innenfor akseptabel risiko, og evt. hvilke tiltak (om noen) helseforetakene velger å iverksette. Risikovurderingen er behandlet i regionalt sikkerhetsråd, og er godkjent. 24

25 Kapittel 5 Appendix Sammendrag av penetrasjonstestrapport NTT Com Security har utført en penetrasjonstest av Felles Publiserings Løsning (FPL) på vegne av Sykehuspartner AS. Hensikten med en penetrasjonstest er å finne sikkerhetssvakheter i infrastruktur og applikasjoner før uvedkommende oppdager og utnytter dem (det være seg en inntrenger eller en utro tjener). De mest alvorlige funnene i denne penetrasjonstesten er: Mange tilgjengelige tjenester RDP tjenesten tilgjengelig fra Internett Selvsignerte sertifikater Svake kryptonøkkler Det er avdekket at FPL infrastrukturen eksponerer flere tjenester på Internett enn det som er nødvendig. FPL løsningen skal i utgangspunktet kun eksponere HTTP tjenesten til alle på Internett. HTTPS trafikk skal kun være tilgjengelig fra webredaktører fra helsenettet og tjenesten remote Powershell skal kun være tilgjengelig fra enkelte dedikerte servere hos Sykehuspartner. Remote Powershell brukes til fjernadministrasjon av en server. Remote Desktop Protocol (RDP) er tilgjengelig over Internett. RDP er gjort tilgjengelig fra Internett som en midlertidig løsning til VPN forforbindelsen fra Sykehuspartners sitt driftssenter til FPL er tatt i bruk. RDP tjenester har endel sikkerhetssårbarheter og bør oppdateres med alle tilgjengelige oppdateringer. I tillegg bør det også opprettes en aksessliste over maskiner som kan koble seg opp mot denne tjenesten. Det er benyttet selvsignerte sertifikater på publiseringsløsningens web tjeneste. Det gjør at brukerne ikke vil kunne sjekke at det brukte sertifikater tilhører Sykehuspartner og en angriper kan utføre et "man-in-the-middle". Brukeren vil få opp en advarsel om at sertifikatet ikke er utstedt av en gyldig CA, men denne feilmeldingen kommer hver gang en logger på. NTT Com Security anbefaler å bruke sertifikater fra godkjente CAer. Det bør brukes lengere nøkler når der genereres sertifikater for at det ikke skal være lett å utføre 'brutte force' angrep av sertifikatet. 25

26 Testene fra Sykehuspartners driftssenter mot FPL løsningen over VPN koblingen er ikke testet, da det ikke var mulig å sende trafikk over VPN inn til FPL løsningne. NTT Com Security anser sikkerhetsnivået i de testede nettverkssegementene til Sykehuspartner som over middels og anbefaler å implementere de nevnte tiltakene i denne rapporten. Det må påpekes at en penetrasjonstest aldri vil avdekke alle mulige sårbarheter i et nettverk. Om testingen ikke lyktes i å gjennomtrenge eller angripe de eksisterende sikkerhetstiltak, kan det likevel ikke garanteres at andre eksterne eller interne angrep ikke vil lykkes eller at uautorisert tilgang ikke kan skje. Hele tiden avdekkes det nye svakheter i operativsystemer og annen programvare. Utnyttelsen av slike svakheter vil kunne bli oppdaget i et godt konfigurert IDS/IDP system. 26

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

MRS Medisinsk registreringssystem Drift av kvalitetsregistre.

MRS Medisinsk registreringssystem Drift av kvalitetsregistre. MRS Medisinsk registreringssystem Drift av kvalitetsregistre. HEMIT skal etablere felles tekniske løsninger I Hovedsak innebærer dette: Videreutvikle MRS som en felles nasjonal plattform Etablere registre

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse

Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse Huldt & Lillevik Ansattportal - en tilleggsmodul til Huldt & Lillevik Lønn Teknisk beskrivelse Huldt & Lillevik er trygghet Trygghet er å vite at løsningen du bruker virker, hver eneste dag, enkelt og

Detaljer

Aleksander Thanem Bjøru Seniorkonsulent MCSE og Citrix CCIA

Aleksander Thanem Bjøru Seniorkonsulent MCSE og Citrix CCIA Aleksander Thanem Bjøru Seniorkonsulent MCSE og Citrix CCIA Utrulling, testing og piloter vil ha verdi i lang tid fremover Full kompatibilitet Det meste som går på Windows Vista, fungerer på Windows 7.

Detaljer

IT-drift og administrasjon ved HitraMat AS. Hovedprosjekt 32E ved AITeL våren 2007

IT-drift og administrasjon ved HitraMat AS. Hovedprosjekt 32E ved AITeL våren 2007 IT-drift og administrasjon ved HitraMat AS Hovedprosjekt 32E ved AITeL våren 2007 Om HitraMat AS Landets største aktør innen krabbe 27 mottaksstasjoner, fra Møre til Salten 300 aktive fiskere 3.800 tonn

Detaljer

Public 360 Online Datasikkerhet

Public 360 Online Datasikkerhet Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom

Detaljer

Bachelor 2015 048E. Theodor Rove Nordgård, Chris Sonko HIST DRIFT AV DATASYSTEMER

Bachelor 2015 048E. Theodor Rove Nordgård, Chris Sonko HIST DRIFT AV DATASYSTEMER Bachelor 2015 048E Theodor Rove Nordgård, Chris Sonko HIST DRIFT AV DATASYSTEMER 1. Introduksjon Hvem er vi? Vi er to studenter ved Høgskolen i Sør-Trøndelag som i år fullfører vår bachelorgrad i studiet

Detaljer

GENERELL BRUKERVEILEDNING WEBLINE

GENERELL BRUKERVEILEDNING WEBLINE Side 1 av 10 INNHOLDSFORTEGNELSE 1. FORMÅL MED DOKUMENTET... 3 2. TILGANG TIL PORTALEN... 4 3. TILGJENGELIGE TJENESTER/MODULER... 5 3.1 ADMIN... 5 3.2 NORDIC CONNECT/IP VPN... 5 3.3 INTERNETT INFORMASJON...

Detaljer

RFID AutoLogOff - et studentprosjekt

RFID AutoLogOff - et studentprosjekt RFID AutoLogOff - et studentprosjekt Utført ved Høgskolen i Gjøvik våren 2008 av Erik Sørdal (dataingeniør) Vegard Ruden (datasikkerhet) Stig Atle Haugen (informatikk) som avsluttende bacheloroppgave Presentert

Detaljer

Mobilbank kontrollspørsmål apper

Mobilbank kontrollspørsmål apper Egenevalueringsskjema Mobilbank DATO: 31.10.2014 Evalueringsskjema Mobilbank apper Del 1 Del 2 Strategi og sikkerhetspolicy Kost-nytte og ROS-analyser Utvikling og oppdatering Avtaler Driftsrelaterte spørsmål

Detaljer

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien SonicWALL UTM NSA serien TZ serien NSA E-Class serien Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur Nettverksikkerhet for SMB - Minimumskrav Brannmur(UTM) Et brannmur er førstelinjeforsvar

Detaljer

Leverandørtilganger. Pål-Øivind Kjeserud Enhetsleder Sykehuspartner 24.01.2014. Sykehuspartner

Leverandørtilganger. Pål-Øivind Kjeserud Enhetsleder Sykehuspartner 24.01.2014. Sykehuspartner Leverandørtilganger Pål-Øivind Kjeserud Enhetsleder Sykehuspartner 24.01.2014 Sykehuspartner Agenda Hvem og hva er Sykehuspartner Leverandørtilgang Leverandørtilgang i praksis Hvem og hva er Sykehuspartner?

Detaljer

Effektiv Systemadministrasjon

Effektiv Systemadministrasjon Effektiv Systemadministrasjon UBW MILESTONE WILLIAM NILSEN Introduksjon William Nilsen ASP/Cloud avdelingen i Evry Jobbet flere år med generelt teknisk drift og ca 3 år med drift av UBW ASP/Cloud avdelingen

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Teknologiskifte Telefoni Fra ISDN til IPT Risikovurderinger og tiltak Regionalt beredskapsseminar 12.03.2015

Teknologiskifte Telefoni Fra ISDN til IPT Risikovurderinger og tiltak Regionalt beredskapsseminar 12.03.2015 Teknologiskifte Telefoni Fra ISDN til IPT Risikovurderinger og tiltak Regionalt beredskapsseminar 12.03.2015 Tommy Slaatsveen, seksjonsleder Telekom, Sykehuspartner Innhold Teknologiskiftet Telenor Bakgrunn

Detaljer

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN).

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN). Innledning Vi har valgt brannmurer som tema og grunnen til dette er de stadig høyere krav til sikkerhet. Begrepet datasikkerhet har endret innhold etter at maskiner ble knyttet sammen i nett. Ettersom

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Endepunktsikkerhet Dato: 24.11.2008 Versjon 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema for foretakets sluttpunktsikkerhet Antivirus

Detaljer

Referansearkitektur sikkerhet

Referansearkitektur sikkerhet NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?

Detaljer

Bergvall Marine OPPGAVE 3. Jon Vegard Heimlie, s162110 Vijitharan Mehanathan, s171645 Thore Christian Skrøvseth, s171679

Bergvall Marine OPPGAVE 3. Jon Vegard Heimlie, s162110 Vijitharan Mehanathan, s171645 Thore Christian Skrøvseth, s171679 2013 Bergvall Marine OPPGAVE 3 Jon Vegard Heimlie, s162110 Vijitharan Mehanathan, s171645 Thore Christian Skrøvseth, s171679 Innhold Oppgave 1.... 2 Oppgave 2.... 7 Oppgave 3.... 9 Oppgave 4.... 10 Kilder:...

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

Hovedprosjekt 41E Arnstein Søndrol. Cisco Clean Access Valdres Videregående Skole

Hovedprosjekt 41E Arnstein Søndrol. Cisco Clean Access Valdres Videregående Skole Hovedprosjekt 41E Arnstein Søndrol Cisco Clean Access Valdres Videregående Skole Valdres VGS - Valdres VGS har omtrent 550 elever og 100 lærere og ansatte. - Valdres Videregående skole ligger på Leira,

Detaljer

AP221 Use Case TUL Migrer og produksjonssett tjenesteutgave

AP221 Use Case TUL Migrer og produksjonssett tjenesteutgave AP221 Use Case TUL Migrer og tjenesteutgave Migrer og tjenesteutgave Ved migrering av tjeneste overføres en utgave av tjenesten til et sluttbrukermiljø. For test kan migrering gjøres fullt og helt av tjenesteutvikler

Detaljer

Som en del av denne prosessen, når verten har startet og nøkkelfilene ikke er å finne, lages et nytt sett automatisk.

Som en del av denne prosessen, når verten har startet og nøkkelfilene ikke er å finne, lages et nytt sett automatisk. De beste sikkerhetsrutiner for Symantec pcanywhere Dette dokumentet inneholder informasjon om forbedrede sikkerhetsendringer i pcanywhere 12.5 SP4 og pcanywhere Solution 12.6.7, hvordan viktige deler av

Detaljer

PoC Duet. Oppfølging av sykefravær SAP@NSB

PoC Duet. Oppfølging av sykefravær SAP@NSB PoC Duet Oppfølging av sykefravær SAP@NSB Agenda Introduksjon Bakgrunn forklaring av PoC en Teknisk plattform og landskap Installasjon Demo Erfaringer Spørsmål og Diskusjon Agenda Introduksjon Bakgrunn

Detaljer

4.1. Kravspesifikasjon

4.1. Kravspesifikasjon 4.1. Kravspesifikasjon Dette delkapittelet beskriver nærgående alle deler av systemet, hvordan det er tenkt ferdigutviklet med fokus på oppdragsgivers ønsker. 4.1.1. Innledning Informasjon om hvordan kravspesifikasjonens

Detaljer

Strategi for IT-tjenester pa pedagogisk nett i MRFK

Strategi for IT-tjenester pa pedagogisk nett i MRFK Strategi for IT-tjenester pa pedagogisk nett i MRFK Innhold Innledning... 4 Elementer i policy for MRFK... 4 Informasjonssikkerhet... 5 Forenkling av autentisering... 6 Målrettet informasjonsflyt... 7

Detaljer

Hurtigstart guide. Searchdaimon ES (Enterprise Server)

Hurtigstart guide. Searchdaimon ES (Enterprise Server) Hurtigstart guide Searchdaimon ES (Enterprise Server) Innholdsfortegnelse Informasjon før oppsett... 2 Koble til strøm og nettverk... 3 Oppsett av system... 3 Konfigurasjonsveiviser... 4 Sette fast IP

Detaljer

Remote Desktop Services

Remote Desktop Services Brukerveiledning Remote Desktop Services Fra Eltele AS 1 Innholdsfortegnelse Multi-Faktor Autentisering... 3 Pålogging... 3 Web Interface (anbefales)... 4 RemoteApp på Skrivebord... 6 Remote Desktop Klient

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Risikovurdering av sikkert- nettskjema TSD 2.0

Risikovurdering av sikkert- nettskjema TSD 2.0 Risikovurdering av sikkert- nettskjema TSD 2.0 Version 1.0 2014-01- 28 Espen Grøndahl IT- sikkerhetssjef UiO ... 1 1. Innledning... 3 2. Bakgrunn... 3 3. Avgrensing... 3 4. Løsningsbeskrivelse... 4 Fig

Detaljer

Huldt & Lillevik Ansattportal. Installere systemet

Huldt & Lillevik Ansattportal. Installere systemet Huldt & Lillevik Ansattportal Installere systemet Innholdsfortegnelse Innholdsfortegnelse Installere Ansattportal... 3 Tekniske krav (Windows og web)... 3 Servere og nettverk... 3.NET Rammeverk 3.5 må

Detaljer

Lumia med Windows Phone

Lumia med Windows Phone Lumia med Windows Phone Som skapt for bedrifter microsoft.com/nb-no/mobile/business/lumia-for-business/ 103328+103329_Lumia-Brochure+10reasons_nor.indd 1 24.11.2014 11.58 Office 365 mener alvor Gi de ansatte

Detaljer

F-Secure Mobile Security for Windows Mobile

F-Secure Mobile Security for Windows Mobile F-Secure Mobile Security for Windows Mobile 1. Installasjon og aktivering Tidligere versjon Installasjon Aktivering Starte produktet Hvis du har en tidligere versjon av F-Secure Mobile Security installert,

Detaljer

Hva er vitsen med sikkerhetspolicies?

Hva er vitsen med sikkerhetspolicies? Hva er vitsen med sikkerhetspolicies? Ketil Stølen Oslo 23. november 2006 Innhold Hva er en policy? En policy er ikke en.. Overordnet struktur for en policy Hvordan klassifiseres policyer? Tre policymodaliteter

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

1. Intro om System Center

1. Intro om System Center Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Intro om System Center Stein Meisingseth 16.09.2014 Lærestoffet er utviklet for faget IDRI2001 Drift av datasystemer 1. Intro om System Center

Detaljer

Kort om prosjektene i IMP

Kort om prosjektene i IMP Kort om prosjektene i IMP Helse Sør-Øst kjernenett Helse Sør-Øst er i ferd med å etablere et regionalt høyhastighetsnett for å klare å oppfylle sine målsettinger om effektive og sikre IKT- tjenester. Etableringen

Detaljer

Rammeavtale for kjøp av vannmålere

Rammeavtale for kjøp av vannmålere Bilag 2 TEKNISK BESKRIVELSE, SERVICE OG VEDLIKEHOLD VEDRØRENDE Rammeavtale for kjøp av vannmålere TIL Skedsmo kommune Side 1 av 7 1 Tekniske krav, service og vedlikehold... 3 1.1 Tekniske forhold... 3

Detaljer

Beskyttelsesteknologier

Beskyttelsesteknologier Beskyttelsesteknologier Paul-Christian Garpe Senior Principal Consultant, Symantec Oktober 2011 Agenda 1 Utfordringen 2 Smart grid et eksempel 3 Aktuell sikkerhetsteknologi 4 Oppsummering 2 *Disclaimer:

Detaljer

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster? BYOD Bring Your Own Disaster? SUHS-13 Per Arne Enstad, CISA/CISM/CRISC BYOD eller ikke BYOD? BYOD har en del positive trekk som ikke kan overses: Gartner Group antyder en kostnadsbesparelse på 9-40% hvis

Detaljer

Sikring av industrielle automatiserte kontrollsystemer

Sikring av industrielle automatiserte kontrollsystemer Veiledning Sist oppdatert: 2014-03-26 Sikring av industrielle automatiserte kontrollsystemer 1 av 11 2014-03-26 A03 - G:14/687 01 (NSM) er et direktorat for forebyggende sikkerhetstjeneste. NSM skal innen

Detaljer

1. Sikkerhet i nettverk

1. Sikkerhet i nettverk 1. Sikkerhet i nettverk Stiftelsen TISIP i samarbeid med Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Nettverk Olav Skundberg Opphavsrett: Forfatter og Stiftelsen TISIP Lærestoffet er

Detaljer

netsense...making sense of IT

netsense...making sense of IT netsense...making sense of IT Netsense.. Netsense er et IT konsulentselskap som opererer innen fagområdene: IT utvikling IT forvaltning IT rådgivningstjenester Vi leverer understøttende teknologi og tjenester...så

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede. Agenda Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede 3 Hva er Cybersikkerhet? Cybersikkerhet er beskyttelse av fysiske enheter eller informasjonsaktiva

Detaljer

Installasjonsveiledning

Installasjonsveiledning Finale Systemer as Installasjonsveiledning FINALE Årsoppgjør FINALE Rapportering FINALE Konsolidering FINALE Driftsmidler FINALE Avstemming NARF Avstemming FINALE Investor Versjon 22.0 Definisjoner...3

Detaljer

1. Exhange 2013 Admin Center, Management Shell og opprette mailbox

1. Exhange 2013 Admin Center, Management Shell og opprette mailbox Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Exhange 2013 Admin Center, Management Shell og opprette mailbox Stein Meisingseth 28.08.2014 Lærestoffet er utviklet for faget IDRI3002 1.

Detaljer

Tom Bjærum Løsningssalg Software. AD og SharePoint administrasjon

Tom Bjærum Løsningssalg Software. AD og SharePoint administrasjon Tom Bjærum Løsningssalg Software AD og SharePoint administrasjon Roller og ansvar mot Active Directory Hvilke holdninger har IT-avdelingen til å la brukeren utføre oppgaver som naturlig hører til hos IT,

Detaljer

Skyløsninger. Sikkerhet og leveransemodell

Skyløsninger. Sikkerhet og leveransemodell Skyløsninger Sikkerhet og leveransemodell Per Christian Berg per.christian.berg@visma.com 977 07 330 Agenda Hva er skytjenester? Litt bakgrunn Visma Enterprise BI, arkitektur og sikkerhet Personopplysninger

Detaljer

OBC FileCloud vs. Dropbox

OBC FileCloud vs. Dropbox OBC FileCloud vs. Dropbox Whitepaper Innledning: utfordringer Ansatte tyr stadig oftere til usikrede, forbrukerrettede fildelingstjenester i nettskyen for å få tilgang til arbeidsdokumenter fra flere utstyrsenheter

Detaljer

Maestro Klientadministrasjon

Maestro Klientadministrasjon Maestro Klientadministrasjon 17.11.2011 12:41 Side 1 av 32 Innhold Installasjon av Maestro Klientadministrasjon Kravspesifikasjon Systemoversikt og installasjon i korte trekk Installasjon punktvis 1 Nedlasting

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

SOLICARD ARX. Adgangssystemet som gir deg ubegrenset frihet. An ASSA ABLOY Group company

SOLICARD ARX. Adgangssystemet som gir deg ubegrenset frihet. An ASSA ABLOY Group company SOLICARD ARX Adgangssystemet som gir deg ubegrenset frihet An ASSA ABLOY Group company SOLICARD ARX arkitektur SOLICARD ARX LCU oppkoblet via Internet Eksisterende nettverk SOLICARD ARX AC SOLICARD ARX

Detaljer

Tjenestebeskrivelse Webhotelltjenester

Tjenestebeskrivelse Webhotelltjenester Tjenestebeskrivelse Webhotelltjenester Sist endret: 2004-12-01 Innholdsfortegnelse 1 INTRODUKSJON... 3 1.1 GENERELT... 3 1.2 NYTTEVERDI WEBHOTELLTJENESTER FRA TELENOR... 3 2 FUNKSJONALITET... 4 2.1 INNHOLD

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Brannmur Dato: 24.11.2008 Versjon 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Rangerin g av prosess Evalueringsskjema for foretakets brannmur

Detaljer

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE Skytjenester utviklingstrekk, krav og forventninger Frank Skapalen NVE Kilde: http://srmsblog.burtongroup.com/ Innhold Globale utviklingstrekk for skytjenester Skypolitikk Dilemmaet sikkerhet opp mot funksjonalitet

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Huldt & Lillevik Ansattportal. Installere systemet

Huldt & Lillevik Ansattportal. Installere systemet Huldt & Lillevik Ansattportal Installere systemet Innholdsfortegnelse INSTALLERE ANSATTPORTAL... 3 TEKNISKE KRAV (WINDOWS OG WEB)... 3 SERVERE OG NETTVERK... 3 MICROSOFT.NET RAMMEVERK 4.0 MÅ VÆRE INSTALLERT...

Detaljer

Brukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av

Brukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av Brukerhåndbok for drift hos Kirkedata AS Denne håndboken er utarbeidet av Oppdatert: 18. desember 2012 Innhold Innhold Innledning... 3 Oppsett av PC... 3 Windows XP... 3 Windows Vista og Windows 7... 3

Detaljer

Releaseskriv versjon 2.13. Vedr. INSTALLASJONSPROSEDYRER. Versjon 2.13.36. Pr. 30. MARS 2012 Copyright. Daldata Bergen AS

Releaseskriv versjon 2.13. Vedr. INSTALLASJONSPROSEDYRER. Versjon 2.13.36. Pr. 30. MARS 2012 Copyright. Daldata Bergen AS APPENDIX Releaseskriv versjon 2.13 Vedr. INSTALLASJONSPROSEDYRER Versjon 2.13.36 Pr. 30. MARS 2012 Copyright Daldata Bergen AS Bransjeoversikt- se vår webside: www.daldatabergen.no : Side 1 av 11 Innholdsfortegnelse

Detaljer

1. Intro om SharePoint 2013

1. Intro om SharePoint 2013 Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Intro om SharePoint 2013 Stein Meisingseth 09.08.2013 Lærestoffet er utviklet for faget LO205D Microsoft SharePoint 1. Intro om SharePoint

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Brukermanual. VPN tilgang til Norsk Helsenett

Brukermanual. VPN tilgang til Norsk Helsenett Brukermanual VPN tilgang til Norsk Helsenett Utgitt av Daniel Nygård Dato: 28.10.2010 Forord Dette dokumentet er en brukermanual og beskriver hvordan en får tilgang til Norsk Helsenett og Helseregister.no

Detaljer

DOKUMENTASJON E-post oppsett

DOKUMENTASJON E-post oppsett DOKUMENTASJON E-post oppsett Oppsett av e-post konto Veiledningen viser innstillinger for Microsoft Outlook 2013, og oppkobling mot server kan gjøres med POP3 (lagre e-post lokalt på maskin) eller IMAP

Detaljer

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens

Detaljer

Fleksible og fremtidsrettede it-løsninger for Moss Kommune. Veien til nettskyen v/bjarne I. Blom

Fleksible og fremtidsrettede it-løsninger for Moss Kommune. Veien til nettskyen v/bjarne I. Blom Fleksible og fremtidsrettede it-løsninger for Moss Kommune Veien til nettskyen v/bjarne I. Blom Moss kommune: 32.000 innbyggere og 2.500 ansatte 65 lokasjoner på egen fiber 1 Gb internettlinje med 100Mb

Detaljer

God IT-skikk. - Informasjonssikkerhet i Norsvin -

God IT-skikk. - Informasjonssikkerhet i Norsvin - God IT-skikk - Informasjonssikkerhet i Norsvin - 1 God IT-skikk i Norsvin Norsvin er en bedrift hvor Informasjonsteknologi (IT) benyttes i stor grad. Utstyr som behandler bedriftens informasjon skal være

Detaljer

Produktdokumentasjon. Madison Møbler Administrasjonsside og Nettbutikk

Produktdokumentasjon. Madison Møbler Administrasjonsside og Nettbutikk Produktdokumentasjon Madison Møbler Administrasjonsside og Nettbutikk 1 1. Forord 1.1 Dokumentasjonen Dette er en teknisk dokumentasjon på produktet som er utviklet. Denne er tiltenkt personer med teknisk

Detaljer

INTEGRASJONSGUIDE BP CODE Check Point R75.x R76

INTEGRASJONSGUIDE BP CODE Check Point R75.x R76 BRUKERVEILEDNING INTEGRASJONSGUIDE BP CODE Check Point R75.x R76 ÅPEN Versjon: 1.2 Versjonsdato: 30.07.2013 Buypass AS Nydalsveien 30A, PO Box 4364 Nydalen Tel.: +47 23 14 59 00 E-mail: kundeservice@buypass.no

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Difis felleskomponenter. Nokios 27.10.2015

Difis felleskomponenter. Nokios 27.10.2015 Difis felleskomponenter Nokios 27.10.2015 Difis felleskomponenter ID-porten Digital postkasse til innbyggere Kontakt- og reservasjonsregisteret ID-porten 448 virksomheter 718 tjenester 52 522 900 transaksjoner

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

NOVUG 3 februar 2009

NOVUG 3 februar 2009 NOVUG 3 februar 2009 Tjenestekatalog og CMDB En kombinasjon som fungerer i praksis 2008 Prosesshuset AS All tillhørende informasjon kan bli endret uten varsel 1 Introduksjon Stig Bjørling Ellingsen Gründer

Detaljer

DIPS Communicator 6.x. Installasjonsveiledning

DIPS Communicator 6.x. Installasjonsveiledning DIPS Communicator 6.x Installasjonsveiledning 11. oktober 2010 DIPS Communicator DIPS Communicator er en markedsledende kommunikasjons- og integrasjonsløsning for helsesektoren i Norge i dag. Systemet

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

Brukerveiledning Mobilsynkronisering HTC HD2

Brukerveiledning Mobilsynkronisering HTC HD2 Brukerveiledning Mobilsynkronisering HTC HD2 Servicedeklarasjon Drift-, overvåkning og brukerstøtte for mobilsynkronisering Målsetting med tjenesten Tilby mobilsynkronisering til ansatte som har sikkerhetsgodkjent

Detaljer

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:

Detaljer

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet Konsekvens Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet 1 2 3 4 5 5 4 3 1. Sikkerhet 2. Bruk av og kunnskap om 3. Eksterne avtaleparter 4. Økonomiske misligheter 5. Annet 2 1 Risiko Risikopunkt

Detaljer

STYRKEN I ENKELHET. Business Suite

STYRKEN I ENKELHET. Business Suite STYRKEN I ENKELHET Business Suite TRUSSELEN ER REEL Nettbaserte trusler mot virksomheten din er reele uansett hva du driver med. Hvis du har data eller penger, er du et mål. Antall sikkerhetshendelser

Detaljer

Direct Access. Hva er det, og hvor langt har NVH kommet i innføringen? av Gjermund Holden IT-sjef, NVH

Direct Access. Hva er det, og hvor langt har NVH kommet i innføringen? av Gjermund Holden IT-sjef, NVH Direct Access Hva er det, og hvor langt har NVH kommet i innføringen? av Gjermund Holden IT-sjef, NVH Agenda Bakgrunn for valg Hva er Direct Access? Hvordan virker Direct Access? Bakgrunn NVH har en liten

Detaljer

Multi-Faktor Autentisering. Brukerveiledning

Multi-Faktor Autentisering. Brukerveiledning Multi-Faktor Autentisering Brukerveiledning 1 Innhold Innledning... 3 Telefonanrop (standard)... 3 Oppsett... 3 Bruk... 3 Mobil App (valgfri)... 4 Oppsett... 4 Bruk... 5 Multi-Faktor portal...7 Pålogging...7

Detaljer

Testing av intern IT-sikkerhet

Testing av intern IT-sikkerhet Advisory Testing av intern IT-sikkerhet Siv. ing. Eivind Dees Tellefsen eivind.tellefsen@no.ey.com Dette dokumentet er Ernst & Youngs eiendom. Dokumentet kan ikke benyttes av eller videreformidles til

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning Helge Grimnes Seksjon for informasjonssikkerhet og personvern Stab pasientsikkerhet og kvalitet Oslo universitetssykehus HF Grunnlag for

Detaljer

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø, 17.4.2015 Styresak 46-2015/3 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013. Dokument

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Atea Klientologi. - Læren om leveranse av innhold til klienter

Atea Klientologi. - Læren om leveranse av innhold til klienter Atea Klientologi - Læren om leveranse av innhold til klienter Bjørn M. Riiber Klientologi evangelist bjorn.riiber@atea.no 92018498 Agenda Utrulling Administrasjon Selvbetjening Brukere Software Hardware

Detaljer

Visma CRM Nyheter og forbedringer Side 1

Visma CRM Nyheter og forbedringer Side 1 Visma CRM Nyheter og forbedringer Side 1 NYHETER OG FORBEDRINGER Visma CRM Nyheter og forbedringer Side 2 Oslo, juni 2011 1. Sirkulasjon All informasjon i dette dokumentet kan endres uten varsel og innebærer

Detaljer

JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING

JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING 1 1 1 KOBLE TIL HJEMMESENTRAL S 3 2 OPPSETT AV TRÅDLØS RUTER OG BRANNMUR I HJEMMESENTRALEN S 4 3 OPPKOBLING AV PC TIL INTERNETT MED WINDOWS 8 S 8 4 OPPKOBLING

Detaljer

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen Innledning Hva er cloud computing? IaaS, PaaS, SaaS osv Skyen er en forretningsmodell som bygger på noen prinsipper: Standardisering (tjenester,

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett SpareBank 1 Finanshus Forvaltning 805 mrd. Bank, forsikring, eiendomsmegling, inkasso, etc. ca 6500 ansatte

Detaljer

Produksjonssettingsrapport

Produksjonssettingsrapport Vedlegg E2 Produksjonssettingsrapport milepæl 1 Dokumentet inneholder beskrivelse av andre del av produksjonssetting av milepel 1 den 16.03.2013. INNHOLDSFORTEGNELSE INNHOLDSFORTEGNELSE 2 1. INNLEDNING

Detaljer

Trusler, trender og tiltak 2009

Trusler, trender og tiltak 2009 Trusler, trender og tiltak 2009 Tore L Orderløkken Leder Norsk senter for informasjonssikring Hvordan kan vi være til nytte? Internett har endret oss Trusselaktører / fienden Trusselaktører Mål Evne

Detaljer

Standarder for sikker bruk av VPN med og i offentlig sektor

Standarder for sikker bruk av VPN med og i offentlig sektor Standarder for sikker bruk av VPN med og i offentlig sektor Standardiseringsrådsmøte 23.-24. november 2011 beslutningssak Bakgrunn Grønn IKT (Hjemmekontor, videokonferanser) Fjernarbeid og distribuert

Detaljer