Sikkerhetsarkitektur i NAV
|
|
- Cathrine Aasen
- 6 år siden
- Visninger:
Transkript
1 Nettverksmøte i DnD: «Virksomhetsarkitektur og risiko hånd i hånd» Sikkerhetsarkitektur i NAV Senior sikkerhetsarkitekt Robert Knudsen Arbeids- og velferdsdirektoratet IKT-avdelingen Agenda Trusselbilde i NAV Etterlevelse av sikkerhet Hva er prinsipper for sikkerhetsarkitektur? Rammeverk og modeller Sikre kontroll på sikkerhetsarkitektur Referansearkitektur og modeller Veikart og tiltak Målbilde NAV, Side 2
2 Trusselbilde i NAV (utdrag) Personer som truer eller øver vold mot våre ansatte Utilsiktede handlinger som fører til at personopplysninger kommer på avveie Medarbeidere som ser i informasjon de ikke skal eller formidler taushetsbelagt informasjon til andre. Medarbeidere som medvirker til mislighold av NAVs ytelser eller ved anskaffelser Personer som ønsker å bryte seg inn i NAVs IKT-systemer IKT-utstyr eller løsninger kan ha feil eller svikte NAV, Side 3 Etterlevelse Helhetlig arkitektur Lover og Forskrifter Interne regler og policy Risikovurdering NAV, Side 4
3 Prinsipper for hvordan vi bygger sikkerhetsarkitektur? Rammeverk, metode og prosess for hvordan vi fremskaffer og etablerer sikkerhetsarkitektur basert på: Arkitekturkrav, føringer Drivere Forretning Strategisk Teknologisk Arkitektur Forretningsbehov Tekniske behov Bruk av rammeverk og verktøy Bruk av modeller NAV, Side 5 Overordnede sikkerhetsprinsipper IKT-løsninger skal sørge for sikker behandling og tilfredsstille krav til konfidensialitet, integritet, tilgjengelighet og sporbarhet. Prinsippet om tjenstlig behov Tjenestedelingsprinsippet Prinsippet om sikkerhetsmessig lønnsomhet Ansvarlighetsprinsippet Ansvarsprinsipp Overordnede IT-arkitekturprinsipper for offentlig sektor (DiFi Direktoratet for forvaltning og IKT) NAV, Side 6
4 Sikkerhetsprinsipper for sikkerhetsarkitektur Enkelhetsprinsippet Sikring i dybde Autoriserte aktiviteter Sikkerhet ved feil Tillitsprinsipper Sikkerhet ved design Strukturprinsipper Velstrukturhet. Sikkerhetsmessige forutsetninger defineres og forvaltes (f. eks. avhengigheter) Lagdelt sikkerhetsarkitektur Egnet sikkerhetsmodellering: Anvende kontekstuelle, konseptuelle, logiske og fysiske modeller NAV, Side 7 Hva vil vi og hvor vil vi med sikkerhetsarkitektur? Etterlevelse og mindre totalkostnad NÅ situasjon Effektiv arkitekturstyring Målbilder Veikart og Planverk GAP NAV, Side 8
5 Rammeverk TOGAF NAV IKT TOGAF ADM Arkitekturmetode i NAV IKT (under utarbeiding) Arkitekturutvikling Bygge arkitekturinnhold (Sparx EA, Archimate) SABSA NAV, Enterprise Security Architecture format Side 9 Hvordan får vi kontroll på sikkerhetsarkitektur? Etablere og organisere en helhetlig arkitekturutvikling Etablere arkitekturprinsipper, - krav og -føringer Kartlegge alle sikkerhetskapabiliteter (evner) Benytte hensiktsmessige rammeverk og verktøy Beskrive målbilder og tiltak i henhold til risikovurderinger Beskrive veikart og etablere langsiktige planer NAV, Side 10
6 Klassifisering av kritikalitetsnivå for K I T Klassifiseringsskala for KIT: Svært høyt (Samfunnskritisk Høyt (Virksomhetskritisk) Middels Moderat Lavt K - konfidensialitet I - integritet T - tilgjengelighet NAV, Side 11 IKT- avdelingen ønsker kontroll på: 1 Alle aktuelle sikkerhets kapabiliteter Kapabiliteter som er ivaretatt Modenhet for kapabilitetene Kapabiliteter som ivaretar prinsipper og krav 5 Veikart for kapabilitetene NAV, Side 12
7 Referansemodell sikkerhetsarkitektur NAV, Side 13 Detaljert referansemodell sikkerhetsarkitektur NAV, Side 14
8 Veikart for sikkerhetsarkitektur (eksempel) Ident- og tilgangsstyring Innholdssikring Autentisering (eid Nivå 4) Autorisering Single- SignOn Tilgangskontroll Identifikasjon Sertifikathåndtering Sikkerhetsklassifisering Kryptering Audit, analyse, rapportering Tilgangsregler Monitorering og analyse Ident- og tilgangsadministrasjon. Føderering Dataflytkontroll Ikke-benektbarhet Høytilgjengelighet (HA) Forsyning av tilganger Hendelseshåndtering (CSIRT) Testdata-håndtering Signering Logging Sikkerhetstesting Målbilde Helhetlig sikkerhetsarkitektur Avvikshåndtering Sikkerhetsforståelse og etterlevelse Ledelsessystem for sikkerhet Sikkerhetsmonitorering Domene Kontinuitetsstyring Katastrofesikring og gjenoppretting Sikkerhet i utvikling og anskaffelse Utviklingsmetode og retningslinjer Kravspesifikasjon Driftssikkerhet Felles sikkerhetsrammeverk Konfigurasjonsstyring Soner Risikostyring Internkontrollsystem Personvern Sikkerhetsstyring. Realiseres i linjen. Realiseres i prosjekt. Realiseres av DIFI. Informasjonssikkerhetsavd. NAV, Side 15 Skjema for detaljert beskrivelse pr. kapabilitet Kapabiliteter eller tiltak NAV, Side 16
9 ET EKSEMPEL PÅ KAPABILITET TILGANGSKONTROLL NAV, Side 17 Under-kapabiliteter Policybasert tilgangskontroll (XACML) Policy based access control (PBAC) Attributed based access control (ABAC) Role based access control (RBAC) Reverse proxy SSO Security Token Service (STS) Security Assertion Markup Language (SAML) Tjeneste, Tjeneste-konsument og tjenestetilbyder AS-IS 1. Intern kontroll i eksisterende applikasjoner 2. Intern kontroll av konsument på tjenestebuss 3. Separate proxy-løsninger TO-BE 1. Etablere felles reverse proxy for Single Sign-On 2. Etablere STS for applikasjonstjenere 3. Etablere policybaserte tilgangskontrollpunkter 4. Etablere et felles tilgangsadministrasjonspunkt 5. Se også målbildet for sikkerhet Nøkkelkonsepter Det finnes flere modeller for tilgangskontroll, bl.a. policybasert tilgangskontroll (PBAC), attributt-basert tilgangskontroll (ABAC) og rollebasert tilgangskontrol (RBAC). Alle modeller er relevante og aktuelle og har sine kvaliteter på hvert sitt område. Policy basert tilgangskontroll definert i henhold til XACML standarden (extensible Access Control Markup Language), definert av OASIS Standard Organization, er primært attributt basert (ABAC), hvor attributter assosiert med en bruker, ressurs eller handling er input til en beslutning om en gitt bruker har tilgang til en gitt ressurs. Rollebasert tilgangskontroll (RBAC) kan også benyttes i policybasert tilgangskontroll (XACML) som en spesialisering av ABAC. Granulariteten på tilgangskontrollen er viktig; svært fingranulert tilgangskontroll er ressurskrevende å forvalte. Grovt granulert tilgangskontroll oppfyller ikke krav i lov og forskrifter. En kombinasjon av begge er aktuelt og relevant der det er formålstjenlig Tilganger kan gis på bakgrunn av klassifisering av informasjon, tjenester, rolle, organisasjonstilhørighet o.l. Det finnes mange ulike strategier for tilgangskontroll, f.eks: I applikasjonen (konsumenten nær brukeren) Prosesser (konsument) Nær data På tjenestenivå (tilbyder) Forretningsverdi Hvilken verdi gir det NAV å ha en detaljert sikkerhetsarkitektur på dette området Tilgangskontroll er pålagt, bl.a. i lov og forskrift (bl.a. Personopplysningsloven med forskrift.) Gir NAV muligheten til å styre tilgangen til informasjon, tjenester og applikasjoner, slik at kun de som skal ha tilgang får det. Reglene for tilgang er separert fra programmeringskode og kan vedlikeholdes og administreres felles og helhetlig på tvers av løsningene. Styring av sikkerhetspolicy kan derfor utføres av et felles organ eller forum på tvers av fagområdene. Sikkerhetskrav 1. Når det gis tilgang til Informasjon som har gitte klassifiseringer skal fysisk bruker være entydig identifisert, forsvarlig autentisert og autorisert 2. Autentisering skal være løst koblet med tilgangskontroll 3. Sikkerhetskapabiliteter skal realiseres gjennom bruk av felles sikkerhetstjenester 4. Tilgangskontroll og datafiltrering skal håndheves nær datakilden 5. Sikkerhetskapabiliteter skal realiseres gjennom bruk av standard løsninger Relevante Arkitekturprinsipper 1. IKT-løsninger skal sørge for sikker behandling og tilfredsstille krav til konfidensialitet, integritet, tilgjengelighet og sporbarhet. 2. Prinsippet om tjenstlig behov 3. Tjenestedelingsprinsippet 4. Prinsippet om sikkerhetsmessig lønnsomhet 5. Ansvarlighetsprinsippet 6. Ansvarsprinsippet Relevant dokumentasjon 1. «IKT-strategi» 2. «Tilgangskontroll implementert i moderniserte tjenester, konsumenter og infrastrukturskomponenter i NAV for å understøtte ny sikkerhetsmodell» 3. «Strategi for innføring av Policybasert Tilgangskontroll» 4. Sikkerhetskontekst for System til System integrasjon: «System til System sikkerhet» 5. «SAML Token» for moderniserte løsninger. 6. «Modell for sikkerhet i tjenesteorientert arkitektur» 7. «IAM Nåsituasjon» (tilgangs- og identitetsstyring) 8. OASIS Open group XACML: OASIS extensible Access Control Markup Language (XACML)
10 Strategiske og forretningsmessige drivere (eks.) DRIV1 Trusselbilde og risikovurdering. DRIV2 Etterlevelse av lover og regler DRIV3 Økt grad av selvbetjening DRIV4 Realisering av IKT Strategi DRIV5 Offentlig samhandling NAV, Side 19 Teknologiske drivere (eksempler) DRIV6 Helhetlig håndtering av sikkerhet. DRIV7 Kompleks og heterogent landskap DRIV8 Produksjon av IKT-tjenester DRIV9 Teknologiutvikling og modenhet DRIV10 Prinsipper for sikkerhetsarkitektur NAV, Side 20
11 Målbilde for sikkerhetsarkitektur Strategier Risikovurderinger Prinsipper og krav Lover og forskrifter NAV, Side 21 Tekniske behov (eksempler) TB1 Tjenesteorientert sikkerhetsarkitektur og policybasert tilgangskontroll TB2 Standardiserte og felles sikkerhetstjenester TB3 Felles løsning for Single Sign-on TB4 Felles og helhetlig identitets- og tilgangsadministrasjon TB5 Utvidet analyse av sporingslogger og sikkerhetslogger TB6 Utvidet kontroll av innkommende dokumenter og meldinger TB7 Sikring og tilgangskontroll på køer (hendelseshåndtering) NAV, Side 22
12 Tjenesteorientering av sikkerhet (tiltak) Tjenesteorientering av sikkerhet er et viktig mål for sikkerhetsarkitektur da dette understøtter deler av forretningsbehovene Ulik håndhevelse av tilganger på tvers av tjenestekonsumenter Bidra til å øke tjenesteorienteringsgrad av IKTløsninger Tjenesteorientering av sikkerhetsfunksjonene Bedre evne til samhandling (internt/eksternt) NAV, Side 23 Spørsmål? NAV, Side 24
Referansearkitektur sikkerhet
NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?
DetaljerHelhetlig og sentralisert tilgangskontroll
Helhetlig og sentralisert tilgangskontroll Den norske Dataforening 25. oktober 2011 Robert Knudsen, Sikkerhetsarkitekt Arbeids- og velferdsdirektoratet NAV NÅ-situasjon Hent Saksbehandling Brukere Tilgangskontroll
DetaljerHva betyr tjenesteorientert arkitektur for sikkerhet?
Hva betyr tjenesteorientert arkitektur for sikkerhet? Torbjørn Staff Architecture Innovation Group Accenture, its logo, and High Performance Delivered are trademarks of Accenture. Agenda Arkitekturevolusjonen
DetaljerHva betyr «Just-in-time» privileger for driftspersonalet?
Hva betyr «Just-in-time» privileger for driftspersonalet? Sivilingeniør Imran Mushtaq har vært involvert i prosjekter med meget høy grad av teknisk kompleksitet som krever lang erfaring og dyp kompetanse
DetaljerIdentifisering, autentisering og tilgangskontroll for representanter. 10. September 2019 // IT-arkitektur // Håkon Jendal
Identifisering, autentisering og tilgangskontroll for representanter 10. September 2019 // IT-arkitektur // Håkon Jendal Hvem skal digitalt kunne benytte NAVs løsninger? Person Person representerer annen
DetaljerBeskyttelse av pasientinformasjon i en dynamisk hverdag, Situasjonsavhengig tilgangskontroll
Beskyttelse av pasientinformasjon i en dynamisk hverdag, Situasjonsavhengig tilgangskontroll Inge Os Sales Consulting Director Oracle Inge.os@oracle.com IKT usikkerhetens mange ansikter Forskjellige former
DetaljerHva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet?
Hva karakteriserer god arkitekturpraksis og hvorfor ble valgt arkitekturmetode benyttet? HelsIT 2011 Roar Engen Leder for arkitekturseksjonen,teknologi og ehelse, Helse Sør-Øst RHF Medforfatter: Jarle
DetaljerSpesialisthelsetjenesten har investert i rammeverk, kompetanse og utvikling av arkitekturpraksis hva er erfaringene, og hva nå?
1 Spesialisthelsetjenesten har investert i rammeverk, kompetanse og utvikling av arkitekturpraksis hva er erfaringene, og hva nå? Helsesektoren har gjennom Nasjonal IKT gjennomført betydelig kompetanseutvikling
DetaljerBehov for en nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren - hvorfor?
Behov for en nasjonal sikkerhetsinfrastruktur - hvorfor? HelsIT/esikkerhetsdagen 19. September 2013 Mona Holsve Ofigsbø Agenda for helseog omsorgssektoren Fokus og avgrensinger Informasjonsdeling på tvers
DetaljerMålbilde for XXX. Januar Versjon ARBEIDS OG VELFERDSETATEN Postadresse: Postboks 5, St. Olavs plass // 0130 OSLO
Målbilde for XXX Januar 2016 Versjon 0.10 ARBEIDS OG VELFERDSETATEN Postadresse: Postboks 5, St. Olavs plass // 0130 OSLO Besøksadresse: Økernveien 94 Tel: 21 07 00 00 // Faks: 21 07 00 01 www.nav.no //
DetaljerAltinn, nye muligheter for samhandling og samspill i offentlig sektor. Hallstein Husand Programleder Altinn II Programmet NOKIOS 2009
Altinn, nye muligheter for samhandling og samspill i offentlig sektor Hallstein Husand Programleder Altinn II Programmet NOKIOS 2009 1 ALTINN II Nye muligheter for samhandling og samspill i offentlig sektor
DetaljerFelles grunnmur for digitale tjenester. Sikkerhetsinfrastruktur Normkonferansen 2017
Felles grunnmur for digitale tjenester Sikkerhetsinfrastruktur Normkonferansen 2017 Bygge grunnmur for bedre samhandling i sektoren Program Felles Infrastruktur og Arkitektur Samhandling Sikkerhetsinfrastruktur
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerNasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren (NSI) Tilgang til helseopplysninger på tvers av virksomhetsgrenser Forstudie 2012/13
Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren (NSI) Tilgang til helseopplysninger på tvers av virksomhetsgrenser Forstudie 2012/13, 20. mars 2014 Agenda Informasjonsdeling Identitets-
DetaljerSpørreundersøkelse om innholdet innen nasjonal arkitektur på Difi.no/arkitektur
Spørreundersøkelse om innholdet innen nasjonal arkitektur på Difi.no/arkitektur Oppsummering av svarene Mai 017 Bakgrunn Nåsituasjon og behov Ønsket innhold Foto: Visitoslo/Karianne Lund Om undersøkelsen
DetaljerINTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE
INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE Hva vi har fått til og hva gjenstår? Rikke Bødtker Skoe Senior rådgiver 8. Norske arkivmøte 8. april 2019 Foto: Thomas Widerberg
DetaljerNS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge
NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT IKT seminar 2011-02-17 August Nilssen Prosjektleder IKT Standard Norge NS-ISO 38500:2008 Tittel: Virksomhetens styring og kontroll av IT Corporate
DetaljerARKITEKTURPROSJEKTET
Vedlegg B PROSJEKTFORSLAG ARKITEKTURPROSJEKTET I MIGRERINGSPROSJEKTET VERSJON 1.0 Denne fylles ut ved behandling. Prosjektnummer: Saksnummer: 100216 Behandlet dato: Behandlet av / Prosjekteier: Utarbeidet
DetaljerReferansearkitektur for web services sikkerhet i helse- og sosialsektoren
Referansearkitektur for web services sikkerhet i helse- og sosialsektoren Veiledning Status: Til kommentering 02. april 2009 KITH 07/09 Referansearkitektur for web services sikkerhet i helse- og sosialsektoren
DetaljerNIFS 9.september 2015
NIFS 9.september 2015 Sikkerhet i innbyggertjenester Balansen mellom tilgjengelighet, integritet og konfidensialitet Dato Dagens agenda Tid Agendapunkt Ansvarlig 09:00 Velkommen Thorbjørn Ellefsen 09:05
DetaljerVeiledning Status: Til kommentering 02. 03. april 2009 KITH 07/09 08/09 Referansearkitektur for web services sikkerhet i helse- og sosialsektoren
HIS 80907:2009 Referansearkitektur for web services sikkerhet i helse- og sosialsektoren 1.. Veiledning Status: Til kommentering 02. 03. april 2009 KITH 07/09 08/09 Referansearkitektur for web services
DetaljerNasjonalt arkitekturbibliotek
Nasjonalt arkitekturbibliotek NOKIOS, Kurs 9 23.oktober 2018 v/erik Hagen, erik.hagen@difi.no Seniorrådgiver, Arkitektur og informasjonsforvaltning/ Digital strategi og samordning Agenda for denne presentasjonen
DetaljerARK 2014 Arkitekturfaget - observasjon fra en tjenesteleverandør
ARK 2014 Arkitekturfaget - observasjon fra en tjenesteleverandør www.steria.com Stein Aarum Leder for arkitekturfagområdet Steria www.steria.com Innhold Hva vi mener med arkitektur Vår viktigste rolle
DetaljerFelles arkitekturprinsipper for helse- og velferdsområdet
Felles arkitekturprinsipper for helse- og velferdsområdet SSP Brukerforum Oslo 24.03.2011 www.kith.no Foredragsholder Hans-Olav Warholm Seniorrådgiver / fagansvarlig arkitektur og sikkerhet, KITH Hvorfor
DetaljerIdentitetsstyring og tilgangskontroll innenfor et SOA-regime. Ragna Fossen, 05.03.2009
Identitetsstyring og tilgangskontroll innenfor et SOA-regime Ragna Fossen, 05.03.2009 On the Internet, nobody knows you re a dog. SOA-løsninger er på full fart inn i ITarkitekturen et effektivt verktøy
DetaljerArkitekturprinsipper for Trondheim kommune. Versjon 1.0
Arkitekturprinsipper for Versjon 1.0 Innhold Dokumentinformasjon... 3 Dokumentversjonshistorikk... 3 Kontaktperson vedr. bruk av prinsippene... 3 Innledning... 4 Formål og overordnet beskrivelse... 4 Nasjonale
DetaljerLaget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016
Laget av Dato Orginal plassering fil. Johnny ndre Sunnarvik Nov 2015 http://innsiden.helse-vestikt.no/avdelinger/tjenesteproduksjon/anbudskrav/documents/sikkerhet.docx Dato Nov 2015 Des 2015 Nov 2016 Beskrivelse
DetaljerDatadeling og nasjonal arkitektur
Datadeling og nasjonal arkitektur _ Nils Mehus Seksjonssjef Nasjonal Arkitektur og informasjonsforvaltning 4. September 2019 Norge har en solid digital grunnmur Våre nasjonale fellesløsninger og felleskomponenter
DetaljerVirksomhetsarkitektur i NAV
NOKIOS // 28. oktober 2014 Virksomhetsarkitektur i NAV Petter Hafskjold, sjefsarkitekt IKT, NAV Innhold NAV og arkitektur Arkitekturutvikling / modeller Arkitekturstyring Forankring Oppsummering NAVs hverdag
DetaljerKompetanse på arkitekturområdet i helsesektoren er tidoblet på under to år - hva nå?
1 Kompetanse på arkitekturområdet i helsesektoren er tidoblet på under to år - hva nå? Bakgrunn Nasjonal IKT har siden høsten 2010 investert i kompetansebygging innen virksomhetsarkitektur, (Enterprise
DetaljerVirksomhetsarkitektur erfaringer fra spesialisthelsetjenesten
Virksomhetsarkitektur erfaringer fra spesialisthelsetjenesten HelsIT 19. september 2013 Torill Kristiansen, Virksomhetsarkitekt Nasjonal IKT Fagforum Arkitektur Hva skal jeg si noe om Virksomhetsarkitektur
DetaljerFelleskomponenter. Samhandlingsarena - Semicolon 2 Bjørn Holstad 16.9.2013
Felleskomponenter Samhandlingsarena - Semicolon 2 Bjørn Holstad 16.9.2013 Målbildet i st. meld. 17 (2006) Forslag til fellestjenester og felleskomponenter Autentisering (eid) og autorisering Samtrafikknav
DetaljerMetode for identifikasjon av dokumentasjon. 8 Norske Arkivmøte,
Metode for identifikasjon av dokumentasjon 8 Norske Arkivmøte, 09.04.2019. Agenda Bakgrunn Resultat - metoden Tilbakemeldinger Veien videre Hvordan lykkes med dette i praksis? Bakgrunn Samfunn i endring
DetaljerHVEM ER JEG OG HVOR «BOR» JEG?
DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller
DetaljerInnledning 1 Formål 2 Krav til prinsippenes egenskaper 2 Prinsippene 3
er for virksomhetsarkitektur fra Nasjonal IKT. (Erstatter versjon 1.0 fra 2010.) Innhold Innledning 1 Formål 2 Krav til prinsippenes egenskaper 2 ene 3 Helhetlig tilnærming 3 Prosessorientering 4 Tjenesteorientering
DetaljerSIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet
SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet NASJONAL SIKKERHETSMYNDIGHET 1 Versjonsnummer (1.1) per 09.04.2018
DetaljerFra EA til DEA. Fra EA til DEA virksomhetsarkitektur
Fra EA til DEA Kristin Selvaag, konserndirektør IKT i NTE 7. juni 2012 Fra EA til DEA virksomhetsarkitektur 1. Hva er egentlig virksomhetsarkitektur? Hva skal vi formidle egentlig? 2. Bakteppe: Litt om
DetaljerHøringssvar Felles elektronisk tjenesteyting i offentlig sektor
Fornyings- og administrasjonsdepartementet postmottak@fad.dep.no Deres ref.: Deres dato: Vår ref.: Vår dato: 200701034 25.06.08 181/08 22.09.08 Høringssvar Felles elektronisk tjenesteyting i offentlig
Detaljerehandlingsplan for Bergensregionen 2012 ekommunestrategi for Bergensregionen 2012 Bedre tjenester for brukerne
ehandlingsplan for Bergensregionen 2012 ekommunestrategi for Bergensregionen 2012 Bedre for brukerne Januar R E G I O N R Å D E T B E R G E N S R E G I O N E N Innledning Bergensregionens ekommunestrategi
DetaljerArbeid med handlingsplanen konkretisering av prosjekter og porteføljestyring. 28. august 2019 Sigurd Eriksson, ass. dir. Unit
Arbeid med handlingsplanen konkretisering av prosjekter og porteføljestyring 28. august 2019 Sigurd Eriksson, ass. dir. Unit Digitaliseringsporteføljen nasjonale fellestjenester Prosjektnavn Ansvarlig
DetaljerSamhandlingsplattform
Fra Samhandlingsarkitektur til Samhandlingsplattform HelsIT 2011 Radisson Blu Royal Garden Hotel, Trondheim Forfattere: Hans-Olav Warholm og Bjarte Aksnes www.kith.no Helt kort om oss Hans-Olav Warholm:
DetaljerMetode for identifikasjon av dokumentasjon. Presentasjon i Skate
Metode for identifikasjon av dokumentasjon Presentasjon i Skate 13.03.2019. Agenda Bakgrunn Hva er gjort i prosjektet Resultat Tilbakemeldinger Gevinster Veien videre Bakgrunn Samfunn i endring Informasjon
DetaljerRoller og ansvar ved deling av opplysninger
Roller og ansvar ved deling av opplysninger erfaringer fra NAV og Skatteetaten SKATE 5.12.18 Et felles mål om å gjøre informasjon mest mulig produktivt for samfunnet Digitaliseringen skyter fart stor vekst
DetaljerNasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren (NSI)
Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren (NSI) Tilgang til helseopplysninger på tvers av helse- og omsorgssektoren - PKI-basert eid, tilgangskontroll og innbyggers personvern Frisc,
DetaljerSentral Policy Basert Autorisasjonsløsning
Sentral Policy Basert løsning Hvordan håndheve et felles regelverk i en fragmentert applikasjonsportefølge. 09/06/2015 Nordea created through a string of mergers Pre-70 300 banks 1970 s 80 banks 1980 s
DetaljerTechnical Integration Architecture Teknisk integrasjonsarkitektur
Kap. 6 Technical Integration Architecture Studentpresentasjon av Cato Haukeland Oversikt Introduksjon -spesifikasjon Krav Beskrivelse Servicenivå Sikkerhet Plan Best practices Introduksjon Masterdokument
DetaljerSTRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018
STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET 2014-2018 STRATEGI FOR INFORMASJONSSIKKERHET / 3 FORORD Politiet står overfor store utfordringer i tiden som kommer, med et kriminalitetsbilde som er komplisert,
DetaljerSTRATEGISK PLAN
STRATEGISK PLAN 2010 2015 IT-AVDELINGEN UNIVERSITETET I BERGEN Brukerorientering Kvalitet Samarbeid Etikk SIDE 1 v. 1.00, 24. juni 2010 VISJON IT-avdelingen ved UiB skal produsere og levere IKT-tjenester
DetaljerPolicy for informasjonssikkerhet og personvern i Sbanken ASA
Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer
DetaljerSIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet
SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet NASJONAL SIKKERHETSMYNDIGHET 1 Versjonsnummer (1.1) per 09.04.2018
DetaljerSIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet
SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet NASJONAL SIKKERHETSMYNDIGHET 1 INNHOLD Innhold...3 Om Temarapporten...5
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerVirksomhetsarkitektur i Difi. Hvordan få nytte av virksomhetsarkitektur Bjørn Holstad, seksjonssjef Difi Nokios,
Virksomhetsarkitektur i Difi Hvordan få nytte av virksomhetsarkitektur Bjørn Holstad, seksjonssjef Difi Nokios, 28.10.2014 Noen Difi - tjenester Difis oppgaver (hatter) Pådriver og samordner på digitaliseringsområdet
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerPROSJEKTMANDAT FOR ETABLERING AV NASJONAL ARKITEKTURSTYRING
Vedlegg 4A PROSJEKTMANDAT FOR ETABLERING AV NASJONAL ARKITEKTURSTYRING Saksnummer i 360: Versjonsnummer: 1.00 Godkjent dato: Godkjent av virksomhetsleder: Utarbeidet av: 15.03.2017 Inga Nordberg Hans Löwe
DetaljerNormen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse
Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse Innhold Normen Normens krav ved pasientkommunikasjon Faktaark 54 - Videokonsultasjon 2 Norm for informasjonssikkerhet Gjelder
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerHVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?
HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og
DetaljerHelse- og omsorgsdepartementet St.meld. nr Samhandlingsreformen
Vedlegg 8A Hva er Felles grunnmur Formålet med Felles grunnmur for digitale tjenester er å legge til rette for enkel og sikker samhandling på tvers av virksomheter og forvaltningsnivå. Sammenfallende behov
DetaljerInformasjonsforvaltning hos Riksrevisjonen (med en dash GDPR) Faglig Arena for Informasjonsforvaltning (Difi) Erik Hagen, 8. sept.
Informasjonsforvaltning hos Riksrevisjonen (med en dash GDPR) Faglig Arena for Informasjonsforvaltning (Difi) Erik Hagen, 8. sept. 2017 Agenda Det store bildet på lille RR hva skjer Informasjonsforvaltning
DetaljerSaksframlegg. Saksgang: Styret tar saken til orientering. Styret Sykehuspartner HF 3. september 2019 SAK NR
Saksframlegg Saksgang: Styre Møtedato Styret Sykehuspartner HF 3. september 2019 SAK NR 050-2019 PROSJEKT PRIVILEGERTE TILGANGER (PAM) - PROGRAM ISOP Forslag til vedtak Styret tar saken til orientering.
DetaljerFelles IAM i UH-sektoren
Felles IAM i UH-sektoren IMD Fagutvalg Gardermoen 9. januar 2019 Leveranser fase 1 Et beslutningsunderlag til Digitaliseringsstyrets møte 28.januar 2019 der Digitaliseringsstyret skal ta en beslutning
DetaljerBYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?
BYOD Bring Your Own Disaster? SUHS-13 Per Arne Enstad, CISA/CISM/CRISC BYOD eller ikke BYOD? BYOD har en del positive trekk som ikke kan overses: Gartner Group antyder en kostnadsbesparelse på 9-40% hvis
DetaljerModell for behandlingsgrunnlag i NAV
Modell for behandlingsgrunnlag i NAV Faglig arena for informasjonsforvaltning digitaliseringsvennlig regelverk 23. april 2019 // Ida Solheim og John Martin Furseth, NAV Hvordan havnet vi her? John Martin
DetaljerMåling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet
DetaljerFelles løsning for identitets- og tilgangsstyring. Tore Burheim IT-direktør Universitetet i Bergen Leder i styringsgruppen for BOTT-IAM
Felles løsning for identitets- og tilgangsstyring Tore Burheim IT-direktør Universitetet i Bergen Leder i styringsgruppen for BOTT-IAM Industrien og tjenesteyting er digitalisert Deler av statlig sector
DetaljerSekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann
Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av
DetaljerHva arkitektur kan bidra med for at vi skal nå de strategiske målene
Helse Sør-Øst RHF Gode og likeverdige helsetjenester til alle som trenger det, når de trenger det, uavhengig av alder, bosted, etnisk bakgrunn, kjønn og økonomi. Hva arkitektur kan bidra med for at vi
DetaljerMålet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».
Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.
DetaljerRoller og ansvar ved deling av personopplysninger
Roller og ansvar ved deling av personopplysninger erfaringer fra NAV og Skatteetaten SKATE 5.12.18 Skatteetaten Tor Ivar Grina NAV Håkon Jendal Felles utfordringsbilde for Skatteetaten og NAV Innhenter
DetaljerDigitalisering i skolen Hva skal til for å lykkes? Workshop Harald Torbjørnsen 2017
Digitalisering i skolen Hva skal til for å lykkes? Workshop Harald Torbjørnsen 2017 Kompetanse Informasjonssikkerhet Dokumentasjonsplikt IKTinfrastruktur og forvaltning Helhetlig digitalisering krever
DetaljerAnbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet
Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet
DetaljerStyringsdokument for personvern, informasjonssikkerhet og beredskap
Styringsdokument for personvern, informasjonssikkerhet og beredskap i Arbeids- og velferdsetaten (Informasjonssikkerhetspolicy) Dette dokumentet er overordnet styringsdokumentet i Arbeids- og velferdsetatens
DetaljerAutorisering av KS digitaliseringsprosjekter
Autorisering av KS digitaliseringsprosjekter Ver. 1.0-15.05.2017 Innhold Innledning... 3 Prosess beskrivelse... 4 Diagram...4 Prosessbeskrivelse...4 Grensesnitt mot kommunal sektor...5 Resultatet av prosessen...5
DetaljerStyringssystem i et rettslig perspektiv
Styringssystem i et rettslig perspektiv Seminar 14. oktober 2011 Seniorrådgiver Ingvild Høvik Kiland STYRING AV INFORMASJONSSIKKERHET? Dato Direktoratet for forvaltning og IKT Hva sier loven? Dato Direktoratet
DetaljerFra informasjonssystemer til informasjonsinfrastrukturer
Fra informasjonssystemer til informasjonsinfrastrukturer - basis for samhandling i forvaltningen Gjesteforelesning AFIN 30.8.17 Øivind Langeland 1 Disposisjon og pensum Disposisjon: Bakgrunn Informasjonsinfrastrukturer
DetaljerArkitekturprinsipper i spesialisthelsetjenesten. Versjon 1.0 Sist oppdatert: 27. nov 2014
Arkitekturprinsipper i spesialisthelsetjenesten Versjon 1.0 Sist oppdatert: 27. nov 2014 Nasjonal IKTs Fagforum Arkitektur forvalter arkitekturen for spesialisthelsetjenesten Som en del av dette er det
DetaljerInformasjonssikkerhet og ISO 27001
Informasjonssikkerhet og ISO 27001 Erfaringer fra Asker kommune Asker - Norges største bygd 11. største norske kommune 59.000 innbyggere Beste karakterer på avgangsklassene i 10.klasse 2014 Beste servicekommune
DetaljerInnhold. Modernisering av folkeregisteret Status og planer i arbeidet AFIN-seminar Felles IKT-løsninger, 22.10.2012. Modernisering av folkeregisteret
Innhold Modernisering av folkeregisteret Status og planer i arbeidet AFIN-seminar Felles IKT-løsninger, 22.10.2012 Boris Schürmann, Skattedirektoratet Kort om moderniseringsprogrammet Bakgrunn hvorfor
DetaljerForvaltningsrevisjon IKT sikkerhet og drift 2017
Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerDatasikkerhet internt på sykehuset
Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerMøte på Nasjonal arena for samhandling med fag- og interesseorganisasjoner
Saksunderlag Til Dato 20.04.2018 Type Møte på Nasjonal arena for samhandling med fag- og interesseorganisasjoner Orienteringssak Strategiprosess og strategisk gap-analyse Hensikt med saken Orientering
DetaljerAnvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt
Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt Standardiseringsrådsmøte 23.-24. november 2011 Prioriterings/informasjons -sak Om forprosjektet sett på de mest aktuelle anvendelsesområdene
DetaljerBeskrivelse av informasjonssystemet
Beskrivelse av informasjonssystemet Side 1 av 5 Beskrivelse av informasjonssystemet NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller
DetaljerID-Porten bruk av elektronisk ID i offentlige tjenester på nett
ID-Porten bruk av elektronisk ID i offentlige tjenester på nett NorStellas eid-gruppe Oslo, 22. juni 2010 Jon Ølnes, eid-programmet, Difi Difis mandat Etablere en felles infrastruktur for bruk av elektronisk
DetaljerVideokonsultasjon - sjekkliste
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Videokonsultasjon - sjekkliste Støttedokument Faktaark nr. 54 Versjon: 1.0 Dato: 08.06.2017 Sjekkelisten inneholder krav som skal ivaretas
DetaljerInternkontroll i praksis (styringssystem/isms)
Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke
DetaljerDigitaliseringsstrategi. - trygghet og tillit til teknologi
- trygghet og tillit til teknologi Utkast til behandling i kommunestyret 18. oktober 2018 BAKGRUNN OG MÅL Digitaliseringsstrategien beskriver sentrale innsatsområder for å møte innbyggerne der de er, yte
DetaljerNy styringsmodell for informasjonssikkerhet og personvern
Ny styringsmodell for informasjonssikkerhet og personvern Direktoratet for IKT og fellestjenester i høyere utdanning og forskning Rolf Sture Normann CISA, CRISC, ISO27001LI Fagleder informasjonssikkerhet
DetaljerStandardiseringsrådsmøte # Veikart
Standardiseringsrådsmøte #2 2016 Veikart 01.06.2016 Kristian Bergem Direktoratet for forvaltning og IKT Nå situasjonen Store tunge fagsystem Kundedialog løsninger som kun er delvis integrert mot fagsystem
DetaljerVisjon, ambisjon og strategi
Visjon, ambisjon og strategi for felles kommunal IKT-arkitektur Juni 2014 cm KOMMUNESEKTORENS ORGANISASJON The Norwegian Association of Local and Regional Authorities Innholdsfortegnelse Dokumentkart...
DetaljerDIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING
DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING Fagutvalg for informasjonssikkerhet Møte 5 2019-05-15 Agenda SAK 1 HANDLINGSPLAN FOR DIGITALISERING: VEIEN VIDERE Handlingsplan
DetaljerEr identitetsfederering en forutsetning for en vellykket SOA?
Er identitetsfederering en forutsetning for en vellykket SOA? HelsIT Trondheim 23.09.2009 Seniorrådgiver Kjell Atle Lund, Acando Medforfatter: Seniorrådgiver Jon Gupta, Acando Acando AB Acando AB Hva er
DetaljerStrategi for eid og e-signatur i offentlig sektor. KS regionale informasjonsseminarer om IKT-politikk og IKT-utvikling
Strategi for eid og e-signatur i offentlig sektor KS regionale informasjonsseminarer om IKT-politikk og IKT-utvikling Hvorfor ny strategi for eid og e-signatur? Kravspesifikasjon for PKI i offentlig sektor
DetaljerI takt mot samme mål. Samordning av arkitekturpraksis i spesialisthelsetjenesten. Hege Rob Moi, Nasjonal IKT HF KlinIKT,
I takt mot samme mål Samordning av arkitekturpraksis i spesialisthelsetjenesten Hege Rob Moi, Nasjonal IKT HF KlinIKT, 6.4.2017 Hvem er dere? Hvilke endringer har dere erfart? - Deltatt i prosjekter? -
DetaljerElektronisk tilgang på tvers for klinisk informasjon i spesialisthelsetjenesten - Forslag til arkitektur
Elektronisk tilgang på tvers for klinisk informasjon i spesialisthelsetjenesten - Forslag til arkitektur - Forslag til arkitektur Erland Mathias Strømmen Helseinformatikk Innlevert: august 2013 Hovedveileder:
Detaljer