ET OPPLEGG FOR Å VURDERE SIKKERHETEN I MOBIL BANK APPLIKASJONER

Størrelse: px
Begynne med side:

Download "ET OPPLEGG FOR Å VURDERE SIKKERHETEN I MOBIL BANK APPLIKASJONER"

Transkript

1 ET OPPLEGG FOR Å VURDERE SIKKERHETEN I MOBIL BANK APPLIKASJONER Innhold ET OPPLEGG FOR Å VURDERE SIKKERHETEN I MOBIL BANK APPLIKASJONER... 1 OM DETTE DOKUMENTET METODIKKEN I VEILEDNINGEN... 1 DIMENSJON 1: RISIKOPROFILER... 1 DIMENSJON 2: BASISLINJER (BASELINES)... 2 DIMENSJON 3: KONTROLLER... 2 DIMENSJONENE KOMBINERES... 7 OM DETTE DOKUMENTET. Dette er oversettelsen av en veiledning vi er blitt gjort kjent med gjennom FI-ISAC-nettverket. Tema er mobil bank sikkerhet og dekker mobile enheter (smarttelefon og nettbrett)). Veiledningen er datert 30. januar Lenke til originaldokumentet. Veiledningen er laget av den belgiske bankforeningen (Financial Sector Federation (FeBelfin)). FeBelfin viser igjen til den belgiske nasjonalbanken (National Bank of Belgium (NBB)) som vil bruke veiledningen til vurdering av sikkerheten i mobile bank applikasjoner. Veiledningen er en fordypning på nevnte tema og et supplement til en mere generell veiledning om finanstjenester på internett, se cbfa_2009_17.pdf. METODIKKEN I VEILEDNINGEN Veiledningen presenterer oss for tre dimensjoner: DIMENSJON 1: RISIKOPROFILER Det er definert fem risikoprofiler: Offentlig, åpen informasjon som er tilgjengelig via mobil applikasjonen: produktinformasjon, markedskampanjer etc. samt simuleringsprogram for eksempel for kreditt og forsikring som kan være integrert i mobil applikasjonen selv. Konfidensiell informasjon: personlig informasjon som kunde- og kontodata som kan bli lest via mobil bank applikasjonen (kontooversikt, operasjonsdetaljer etc.). Lav-risiko-transaksjoner: transaksjoner mellom kundens egne konti eller betaling til foretak som anses hederlige av banken. Medium-risiko-transaksjoner: transaksjoner til kjente mottakere. 1

2 Høy-risiko-transaksjoner: transaksjoner til ukjente mottakere og endringer i sensitive kundeog kontodata (f.eks. kontaktdetaljer, mottakere, forsikringspoliser, åpning av ny konto, faste betalingsoppdrag etc.) DIMENSJON 2: BASISLINJER (BASELINES) For hver av de fem risikoprofilene er det definert en minimum-basislinje bestående av et sett med kontroller. Basislinjene er definert gjennom 3 indikatorer: R = risikobasert kontroll X = pålagt kontroll Blank = ikke ansett nødvendig for mobil bank Finansforetak kan avvike fra disse basislinjene ved kompenserende tiltak styrke eksisterende tiltak Dette skal i så fall være basert på en formell risikoanalyse og skal opprettholde samme grad av sikkerhet som man ville oppnådd med fullt samsvar med basislinjene. DIMENSJON 3: KONTROLLER Det er definert 35 kontroller/tiltak (disse utgjør hoveddelen av dokumentet): BRUKERAUTENTISERING Det meste av mobilbankfunksjonalitet krever forsikring om identiteten til en person. Avhengig av hvor sensitiv operasjonen er, kan ulike nivåer på autentisering bli avkrevet. 1: Lavt autentiseringsnivå Enten 'noe du har' eller 'noe du vet'. Eksempler: BrukerID/passord Token med passord Enhet ID TAN 2: Medium autentiseringsnivå = 'Noe du har' og 'noe du vet' med begrenset tillit Begrenset tillit i 'noe du vet' for eksempel mulig å avlure passord eller transaksjonsdata Begrenset tillit i 'noe du har' for eksempel mulig å klone programvare eller å spoofe enhet Eksempler: BrukerID/passord + enhet-binding 3: Høyt autentiseringsnivå 2

3 = 'Noe du har' og 'noe du vet' med høy tillit Tiltrodd inndata kanal for PIN og transaksjonsdata Dedikert angrepssikret hardware for 'noe du har'. Eksempler: Utilknyttet (frittstående) kort-leser + bankkort + PIN TRANSAKSJONSAUTENTISERING En transaksjon er en finansiell operasjon utført i en mobil applikasjon. Enhver endring i transaksjonsdata, enten det er direkte data (som beløp, mottaker, etc.) eller indirekte data (som mobiltlf.nr., adresse etc.) må være autentisert. Avhengig av hvor sensitiv transaksjonen er, er ulike nivåer på transaksjonssignering påkrevet. 4: Lav-risiko transaksjonssignering Som kontroll 1 uten tilleggsmulighet til å binde signaturen til transaksjonen 5: Medium-risiko transaksjonssignering Som kontroll 2 med tilleggsmulighet til å binde signaturen til transaksjonen 6: Medium-risiko transaksjonssignering Som kontroll 3 med tilleggsmulighet til å binde signaturen til transaksjonen FUNKSJONELLE BEGRENSNINGER 7: Transaksjonsinitiering via en separat tiltrodd kanal Transaksjonen er initiert gjennom en annen tiltrodd kanal enn mobil bank applikasjonen. Denne andre kanalen kan være den klassiske nettbank applikasjonen (på pc). 8: Transaksjonsbekreftelse via en separat tiltrodd kanal Transaksjonen er initiert gjennom mobil bank applikasjonen, men må bli bekreftet i en annen tiltrodd kanal slik som den klassiske nettbank applikasjonen (på pc). 9: Beløpsbegrensning Mobil bank applikasjonen pålegger restriksjoner på beløp som kan bli overført. Disse begrensningene kan brukes på flere nivåer (per transaksjon, pr dag, pr uke etc.) 10: Andre Finansforetak kan foreslå andre funksjonelle grenser for å adressere risiko som har blitt identifisert gjennom risikoanalysen. I praksis vil det si at finansforetak kan ha forretningsmessige eller tekniske restriksjoner som betyr at andre funksjonelle grenser kan passe bedre for deres mobil bank applikasjon enn kontroll 7, 8 eller 9. APPLIKASJONSDISTRIBUSJON 11: Overvåke applikasjonsbutikkene (app stores) Hackere kan installere ondsinnede mobilapplikasjoner i applikasjonsbutikken. Dette kan medføre at kundeopplysninger som innloggingskoder eller annen sensitiv informasjon kan bli avslørt til svindelapplikasjoner. 3

4 Banken skal utvide anti-phishing-tjenester fra leverandør til å inkludere overvåking av applikasjonsbutikker som er del av distribusjonsprosessen og ta passende affære. 12: Etablere kontraktsmessige klausuler med applikasjonsbutikk tilbyderen Siden applikasjonsbutikk-tilbyder spiller en sentral rolle i å garantere sikkerheten til en mobil bank applikasjon, skal en bank etablere kontraktsmessige klausuler for å definere ansvaret og forpliktelsene til alle parter som er involvert hva angår: Service Level Agreements for responstid for vedlikehold av livssyklus til applikasjonene (eksempelvis versjoner, feilhåndtering og mest viktig; sikkerhets oppdateringer) Kontinuitet for å sikre at tilbyder ikke ensidig avvikler tjenesten (eksempelvis fjerner den fra butikken) Enhver annen risiko som fremkommer av risikoanalysen og som krever at applikasjonsbutikktilbyderen griper inn. 13: Sikker applikasjonsdistribusjon Prosessen for ende-til-ende distribusjon av mobil bank applikasjoner krever spesielle forholdsregler for å sikre integritet til applikasjonen. Velge en hederlig applikasjonsbutikk-tilbyder Hensiktsmessig styring og organisering av applikasjonsanvendelse (for eksempel autoriserte kontakter, endringshåndtering) Sikker kommunikasjonskanal for overlevering av mobil bank applikasjon til applikasjonsbutikk-tilbyderen Sikker overlevering fra applikasjonsbutikken kontroll 11 og 12 14: Tiltrodd varemerke En konsistent se-og-føl og et unikt publiseringsnavn for alle mobil bank applikasjoner gir kundene tiltro til at mobil bank applikasjonen er autentisk/ekte. En bank må sette sammen en mobil bank style guide og konsekvent anvende denne på all mobil bank utvikling. Et unikt publiseringsnavn skal bli brukt og kunder skal bli veiledet til å sjekke dette før de nedlaster og installerer mobil bank applikasjonen fra applikasjonsbutikken. 15: Applikasjonssignering Banken må gi brukeren muligheten til å kontrollere integriteten og ektheten til mobil bank applikasjonen som er nedlastet. Den må derfor anvende teknikken med digital signering av all nedlastbar kode og kunden må alltid kunne verifisere den digitale signaturen. APPLIKASJONSUTFØRELSE 16: Sentralisert applikasjonsforvaltning Man kan ikke helt utelukke at sikkerhets sårbarheter i en mobil bank applikasjon identifiseres etter at applikasjonen er tatt i bruk. Derfor skal en bank være i stand til å gjøre applikasjonsoppdateringer innenfor en fornuftig tidsramme og avhengig av hvor alvorlig sårbarheten er være i stand til å avvikle den sårbare versjonen. 17: Kildekodetilsløring En angriper kan klare å forstå programlogikken (for eksempel gjennom "reverse engineering") og 4

5 utnytte svakheter i den mobile bank applikasjonen. Banken skal derfor begrense mengden programlogikk som eksponeres for kunden så mye som mulig og bruke tilsløringsteknikker. 18: Anti-skadevare En av de største truslene mot kundens mobiltelefon er infeksjon av skadevare som virus, Trojanere, keylogger, hijackere, dialere 1 og annen ondsinnet kode. Skadevare kan bli brukt til informasjonstyveri og til falske transaksjoner. Derfor må tilgang til mobil bank applikasjonen avhenge av at det er tilgjengelig anti-skadevare løsninger, enten som en del av kundens forpliktelser eller sikret på tekniske måter. 19: Applikasjonsbeskyttelse Kundens mobil-telefon/-enhet kan ha potensielle sårbarheter som kan utnyttes til å skaffe uautorisert tilgang til mobil bank applikasjonen. Banken skal derfor tilby en programvare-løsning som isolerer mobil bank applikasjonen fra ondsinnet programvare. 20: Oppdage mobil telefoner/enheter som er modifisert En mobil telefon eller annen mobil enhet som er modifisert omgår restriksjonene som er pålagt fra mobiloperatør leverandørene. Brukere kan bruke slike enheter til å laste ned programvare på andre måter enn gjennom de tradisjonelle app-butikkene. Men dette betyr også at kvalitetskontrollene i app-butikkene er omgått, noe som leder til øket risiko for skadevare infeksjon. Finansforetak skal anvende metoder for å oppdage mobil enheter som er modifisert og ha tiltak som reduserer risikoen slike enheter introduserer. 21: Blokkere funksjonaliteten i mobil-kanalen uavhengig av pc-kanalen Mobil bank applikasjonen kan bli angrepet uten at dette påvirker andre elektroniske betalingskanaler. Finansforetak skal ha evne til å stenge mobil applikasjonen fullstendig eller redusere funksjonaliteten uten at dette affiserer operasjonene til de andre elektroniske kanalene. 22: Ikke vedvarende lagring av sensitive data på enheter Data lagret på smarttelefon kan bli kompromittert gjennom skadevare som oppnår tilgang til lokal lagringsplass. Kunden kan i tillegg ha lagret sine private data i lokale filer (tekstfiler, , sendtboks, SMS-utboks etc.). Mobil bank applikasjoner skal være designet slik at ingen sikkerhets-sensitive data lagres permanent i enhet (loggfiler, sikkerhets-cookier, temporære filer, auto-complete autentisering, transaksjonshistorikk etc.). Så fort en sesjon er lukket eller man avslutter en applikasjon, skal denne type data slettes. 23: Bare forretningsbeslutninger på server-siden Implementere forretningsbeslutningslogikk, inkludert sikkerhet, bare på kunde-siden, gjør mobil bank applikasjonen sårbar for angrep som endrer eller fanger opp disse forretningsbeslutningene som ledd i svindel. Mobil bank applikasjoner må sikre: - hvis forretningsbeslutningslogikk er implementert på kunde-siden, må den alltid også være repetert på server-siden (bank-siden). 1 Dialers: Programvare that gets installed on your computer that has the ability to make phone calls from your computer, if you have a modem, without your knowledge. These programs will connect to other computers, through your phone line, which are usually porn sites. Inflates your telephone bill: These numbers are pay per call though, so you get charged for the amount of time your computer is connected to it. 5

6 - sikkerhetsbeslutninger (som bruker-autentisering, validering av innloggingskoder, brukerautorisering, signatur-forespørsler for pengetransaksjoner, beløpskontroll etc.) skal bare utføres på server-siden. 24: Uavhengig sikkerhetsvurdering Gitt sensitiviteten til mobil bank, vil en uavhengig sikkerhetsvurdering øke tryggheten for at sikkerheten i mobil applikasjonen er god nok. Finansforetak skal organisere uavhengige ende-til-ende vurderinger før lansering av mobil bank applikasjoner, før viktige funksjonell eller teknisk oppdatering og hvis det er signifikante endringer i trussel-bildet. Den uavhengige vurderingen skal minst omfatte penetrasjons- og applikasjonstester. 25: Alle inndata- og utdata-felter skal valideres Et høyt antall sårbarheter er resultatet av utilstrekkelig inndata og utdata validering. Mobil bank applikasjoner skal derfor validere alle inndata- og utdata-felter. 26: Robust brukersesjonshåndtering Svindelforsøk kan utnytte svakheter i sesjonshåndteringen i mobil bank applikasjonen (f. eks. "sesjonshijacking" eller sesjonsstjeling). Mobil bank applikasjoner skal derfor beskytte integriteten til brukersesjonen slik at sesjonen forblir under full og eksklusiv kontroll av brukeren. 27: Revisjonsspor Revisjonsspor ("audit trails") er et essensielt element i det å oppdage, analysere og reagere på svindelforsøk. Avhengig av risikoprofilen til mobil bank applikasjonen må revisjonssporene inneholde tilstrekkelig informasjon om nettverk, system og applikasjon til å gjøre det mulig å avdekke, analysere og reagere. Disse loggene og revisjonssporene må være adekvat sikret og lagret for å beskytte integriteten og verdien som bevis. Et viktig punkt å rette oppmerksomheten mot er å sikre den rettslige gyldigheten til logger og revisjonsspor. 28: Kryptering av data underveis (som utveksles) Konfidensielle data som overføres mellom mobil bank applikasjonen og banken over en usikker kommunikasjonskanal kan bli avlyttet/fanget opp av uautoriserte personer. All kommunikasjon mellom mobil bank applikasjonen og banken må derfor være kryptert med en sterk og anerkjent krypteringsprotokoll. 29: Kryptering av data i ro Data lagret på smarttelefonen kan bli kompromittert. Temporære filer lagret lokalt på smarttelefonen av mobil applikasjonen kan avsløre sensitive data om tidligere sesjoner eller til og med kundeopplysninger hvis ikke det er beskyttet godt nok. Mobil bank applikasjoner må kryptere alle data som er lagret lokalt med industri standard krypteringsteknologi. 30: Kundeårvåkenhet Kunden er en essensiell part i sikkerheten av mobil bank applikasjonen. De kan hindre svindelforsøk ved å identifisere og rapportere mistenkelig eller unormal oppførsel. Finansforetak må regelmessig sørge for klart og enkelt opplysningsmateriale som minst informerer om hva som forventes av - kunden (behandling av kundeopplysninger, rapportering av tyveri og svindel etc.) - applikasjonen (login-prosedyre, transaksjonssignering, normal prosess-flyt/saksgang etc.) - banken (prosedyrer knyttet til kundeinteraksjon gjennom brukerstøtte, bransjeforening etc.) 6

7 OVERVÅKING 31: Kunderegistrering via sikker kanal Inadekvat kundeautentisering ved oppsett av eller ved endringer i registreringer til mobil bank applikasjonen kan føre til økt risiko for svindel (f.eks. manipulering med kundedata, datatyveri, svindeltransaksjoner etc.). Registreringsprosessen må derfor bruke autentiseringsmetode på nivå Høy (se kontroll 3) for å sørge for sikkerhet om identiteten til personen. Forutsatt at autentiseringsnivå Høy er benyttet for å gi kunden tilgang til kanalene kunden benytter i dag (nettbank, ATM eller i bankfilialen), kan disse kanalene benyttes for å gi kunden tilgang til nye tjenester (mobil). 32: Svindelovervåking Uautorisert bruk av mobil bank applikasjonen kan føre til tap av konfidensiell informasjon og svindeltransaksjoner. Løsninger for å overvåke svindel må være tilstede for å oppdage uautorisert bruk av mobil bank applikasjonen og uautoriserte transaksjoner. Hensiktsmessige tiltak skal prompte iverksettes for å avklare alle mistanker. Overvåkingsprosessen skal vurdere kvalitative og kvantitative faktorer som - antall påloggingsforsøk (mislykkede forsøk) - kundeprofil - profil på tidligere transaksjoner 33: Svartelisting av kontoer Svindelsystemer gjør bruk av bankkonti til å overføre penger ut av banken. Disse kontoene blir regelmessig gjenbrukt. Transaksjoner til mottakerkontoer som tidligere er brukt til svindeltransaksjoner, må anses som meget mistenkelige, og hensiktsmessige tiltak må iverksettes av banken (f. eks. uthaling, blokkering etc.). 34: Registrering av enheter Registrering av enheter er et nøkkelelement i mobil bank applikasjonssikkerhet. Enheten må derfor registreres gjennom en sikker prosess som garanterer for korrekt identifikasjon av enheten. 35: Avregistrering av enhet eller kunde Hvis en mobil enhet er mistet, stjålet eller erstattet, er det en økt risiko for uautorisert bruk av mobil bank applikasjonen. Kunder må derfor ha mulighet for å avregistrere sin mobiltelefon fra mobil bank applikasjonen evt. stoppe abonnementet fullstendig fra mobil bank applikasjonen. 36: Sesjonssikkerhet Tillate et ubegrenset antall påloggingsforsøk eller ubegrenset sesjonslengde øker sannsynligheten for å gjette passord og "bruteforce" angrep. Finansforetak skal begrense antall pålogging- eller transaksjonsautentiseringsforsøk og tidsbegrense sesjoner og inaktivitet. DIMENSJONENE KOMBINERES Til sist er de tre dimensjonene kombinert i en matrise slik at det for hver av de fem risikoprofilene fremkommer et sett med kontroller hvorav noen er pålagte og andre er risikobaserte. 7

8 Eksempel: Risikoprofil: Medium-risiko-transaksjoner Pålagte kontroller: 2: Medium autentiseringsnivå 5: Medium-risiko transaksjonssignering 11: Overvåke applikasjonsbutikkene (app stores) 12: Etablere kontraktsmessige klausuler med applikasjonsbutikk tilbyderen 13: Sikker applikasjonsdistribusjon 14: Tiltrodd varemerke 15: Applikasjonssignering 16: Sentralisert applikasjonsforvaltning 21: Blokkere funksjonaliteten i mobil-kanalen uavhengig av pc-kanalen 22: Ikke vedvarende lagring av sensitive data på enheter 23: Bare forretningsbeslutninger på server-siden 24: Uavhengig sikkerhetsvurdering 25: Alle inndata- og utdata-felter skal valideres 26: Robust brukersesjonshåndtering 27: Revisjonsspor 28: Kryptering av data underveis (som utveksles) 29: Kryptering av data i ro 30: Kundeårvåkenhet 31: Kunderegistrering via sikker kanal 32: Svindelovervåking 33: Svartelisting av kontoer 34: Registrering av enhet 35: Avregistrering av enhet eller kunde 36: Sesjonssikkerhet Risikobaserte kontroller: 7: Transaksjonsinitiering via en separat tiltrodd kanal 8: Transaksjonsbekreftelse via en separat tiltrodd kanal 9: Beløpsbegrensning 10: Andre 19: Applikasjonsbeskyttelse 8

Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) RISIKO- OG SÅRBARHETSANALYSE (ROS) 2014

Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) RISIKO- OG SÅRBARHETSANALYSE (ROS) 2014 Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) RISIKO- OG SÅRBARHETSANALYSE (ROS) 2014 Risiko- og sårbarhetsanalyse (ROS) 2014 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Detaljer

God praksis for å hindre. eksterne misligheter

God praksis for å hindre. eksterne misligheter Fédération des Experts Comptables Européens God praksis for å hindre eksterne misligheter November 2005 Et notat fra FEEs Public Sector Committee (FEEs komité for offentlig sektor) Oversatt til norsk i

Detaljer

Sertifikatpolicy for BankID på mobil - kvalifiserte sertifikater til personkunder, v 1.3.1 september 2012

Sertifikatpolicy for BankID på mobil - kvalifiserte sertifikater til personkunder, v 1.3.1 september 2012 UGRADERT Sertifikatpolicy for BankID på mobil - kvalifiserte sertifikater til personkunder, v 1.3.1 september 2012 BankID sertifikatpolicy status: Godkjent dato: 24. september 2012 NÅR Bankenes Standardiseringskontor

Detaljer

PERSONVERN I SKOLE OG BARNEHAGE

PERSONVERN I SKOLE OG BARNEHAGE PERSONVERN I SKOLE OG BARNEHAGE Samlerapport, juni 2014 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: Pb 8177 Dep, 0034 Oslo E-post: postkasse@datatilsynet.no Telefon: 22 39 69 00 Faks: 22

Detaljer

Globale retningslinjer for god opptreden

Globale retningslinjer for god opptreden Globale retningslinjer for god opptreden Ethics Line www.rolls-royce.com/ethicsline Du kan når som helst stille spørsmål eller komme med bekymringsmeldinger ved å bruke Rolls Royce Ethics Line. Budskap

Detaljer

Norge BRUKERAVTALE FOR MAMUTS PRODUKTER OG TJENESTER

Norge BRUKERAVTALE FOR MAMUTS PRODUKTER OG TJENESTER MAMUT BRUKERAVTALE Norge BRUKERAVTALE FOR MAMUTS PRODUKTER OG TJENESTER Ved å installere Mamut produkter og/eller ved å benytte deg av Mamuttjenester, bekrefter du at du har lest, forstått og aksepterer

Detaljer

Bruk av fødselsnummer i kraftmarkedet Bakgrunn og begrunnelse

Bruk av fødselsnummer i kraftmarkedet Bakgrunn og begrunnelse Bruk av fødselsnummer i kraftmarkedet Bakgrunn og begrunnelse Versjon 1.0 06.11.2014 Innhold 1. Innledning...1 2. Om sluttbrukermarkedet for kraft...1 3. Svakheter ved dagens metoder for identifisering

Detaljer

Hva vet appen om deg? Kartlegging av personvernutfordringer knyttet til mobilapplikasjoner

Hva vet appen om deg? Kartlegging av personvernutfordringer knyttet til mobilapplikasjoner Hva vet appen om deg? Kartlegging av personvernutfordringer knyttet til mobilapplikasjoner Atle Årnes og Catharina Nes 15. september 2011 Sammendrag Mobilapplikasjoner, såkalte apps, er et marked i kraftig

Detaljer

En veiledning. Sikkerhets- og beredskapstiltak mot terrorhandlinger

En veiledning. Sikkerhets- og beredskapstiltak mot terrorhandlinger En veiledning Sikkerhets- og beredskapstiltak mot terrorhandlinger Utgitt av Nasjonal sikkerhetsmyndighet, Politidirektoratet og Politiets sikkerhetstjeneste Sikkerhetsråd 01 Gjennomfør en risikovurdering

Detaljer

Regler for Code god forretningsopptreden. of Business Conduct

Regler for Code god forretningsopptreden. of Business Conduct Regler for Code god forretningsopptreden of Business Conduct 2 Melding fra Styreformann og CEO Kjære kolleger, I nesten hundre år har medarbeidere hos Halliburton arbeidet for å levere fremragende produkter,

Detaljer

Sikker håndtering av personopplysninger i skolen

Sikker håndtering av personopplysninger i skolen Sikker håndtering av personopplysninger i skolen veiledning Om Senter for IKT i utdanningen Senter for IKT i utdanningen er et forvaltningsorgan under Kunnskapsdepartementet. Senterets oppgave er å bidra

Detaljer

POLITIET I DET DIGITALE SAMFUNNET

POLITIET I DET DIGITALE SAMFUNNET UTRYKNINGSPOLITIET POLITIETS DATA- OG MATERIELLTJENESTE ØKOKRIM POLITIET I DET DIGITALE SAMFUNNET En arbeidsgrupperapport om: ELEKTRONISKE SPOR, IKT-KRIMINALITET OG POLITIARBEID PÅ INTERNETT Til Politidirektoratet

Detaljer

Etiske retningslinjer for atferd

Etiske retningslinjer for atferd Etiske retningslinjer for atferd 1 Formål, målgruppe og hjemmel 5 2 Etiske retningslinjer for atferd 7 2.1 Hovedformålet med etiske retningslinjer for atferd 7 2.2 Statoils forpliktelser 7 2.3 Presentasjon

Detaljer

Masteroppgave i Dokumentar og journalistikk

Masteroppgave i Dokumentar og journalistikk Masteroppgave i Dokumentar og journalistikk Journalister og dataangrep Studiepoeng 45 Morten Åsland 05/2014. Sammendrag Denne oppgavens formål er å undersøke om norske journalister står ovenfor nye utfordringer

Detaljer

Ting vil bli enklere og ta kortere tid

Ting vil bli enklere og ta kortere tid Ting vil bli enklere og ta kortere tid Holdninger til offentlige tjenester på internett Rapport 2-2006 Ting vil bli enklere og ta kortere tid Holdninger til offentlige tjenester på internett ISBN 82-92447-09-1

Detaljer

Kort om internkontroll for deg som er leder

Kort om internkontroll for deg som er leder Veileder Kort om internkontroll for deg som er leder DFØ 04/2013, 1. opplag Forord Som leder har du ansvar for virksomhetens internkontroll og for å tilpasse denne til risiko, vesentlighet og egenart.

Detaljer

KOMMUNIKASJONSPROTOKOLLER MELLOM AMS OG EKSTERN ENHET

KOMMUNIKASJONSPROTOKOLLER MELLOM AMS OG EKSTERN ENHET KOMMUNIKASJONSPROTOKOLLER MELLOM AMS OG EKSTERN ENHET Gruppe 1 Kristian Fauskanger Stian Standahl Runar Dahl-Hansen Christian Overvåg Hjorth TET4850 EKSPERTER I TEAM 2. Mai 2012 Sammendrag Innen 1. januar

Detaljer

Regler for god opptreden. Compass Group PLC. Februar 2011

Regler for god opptreden. Compass Group PLC. Februar 2011 Regler for god opptreden Compass Group PLC Februar 2011 INNHOLD Introduksjon Melding fra Richard Cousins 3 Regler for god opptreden 4 Få hjelp og råd 5 Speak Up 6 Visjoner og verdier 7 Compass-metoden

Detaljer

Globale regler for god forretningsskikk. Slik veileder vi atferden, beslutningene og handlingene våre

Globale regler for god forretningsskikk. Slik veileder vi atferden, beslutningene og handlingene våre Globale regler for god forretningsskikk Slik veileder vi atferden, beslutningene og handlingene våre Parkers verdierklæring Vi er Parker... Vår virksomhet bygger på en historikk av rettferdige handlemåter

Detaljer

Krav til en vertsorganisasjon i Feide

Krav til en vertsorganisasjon i Feide Krav til en vertsorganisasjon i Feide veiledning Om Senter for IKT i utdanningen Senter for IKT i utdanningen er et forvaltningsorgan under Kunnskapsdepartementet. Senterets oppgave er å bidra til at bruken

Detaljer

Retningslinjer for god forretningsskikk

Retningslinjer for god forretningsskikk Retningslinjer for god forretningsskikk Integritet verden over The REAL Thing På RIKTIG måte Opptre med integritet. Vær ærlig. Følg loven. Følg retningslinjene. Vis ansvar. COCA-COLA PLAZA ATLANTA, GEORGIA

Detaljer

Johnson Controls personvernerklæring

Johnson Controls personvernerklæring Johnson Controls personvernerklæring Johnson Controls, Inc. og deres tilknyttede selskaper (i sin helhet kalt Johnson Controls, vi, oss eller vår) tar personvern på alvor og er forpliktet til å behandle

Detaljer

Normer for god forretningsskikk. Løftet som er tilknyttet McDonald s gylne buer, «The Golden Arches»

Normer for god forretningsskikk. Løftet som er tilknyttet McDonald s gylne buer, «The Golden Arches» Normer for god forretningsskikk Løftet som er tilknyttet McDonald s gylne buer, «The Golden Arches» Grunnlaget for hele vår virksomhet er at vi opptrer etisk, ærlig og pålitelig. Det tar tid å bygge opp

Detaljer

IS-1878. Rammeverk for et kvalitetsindikatorsystem i helsetjenesten Primær- og spesialisthelsetjenesten

IS-1878. Rammeverk for et kvalitetsindikatorsystem i helsetjenesten Primær- og spesialisthelsetjenesten IS-1878 Rammeverk for et kvalitetsindikatorsystem i helsetjenesten Primær- og spesialisthelsetjenesten Heftets tittel: Rammeverk for et kvalitetsindikatorsystem i helsetjenesten Utgitt: 12/2010 Bestillingsnummer:

Detaljer

ABB frekvensomformere. Teknisk veiledning nr. 10 Funksjonssikkerhet

ABB frekvensomformere. Teknisk veiledning nr. 10 Funksjonssikkerhet ABB frekvensomformere Teknisk veiledning nr. 10 Funksjonssikkerhet 2 Funksjonssikkerhet Teknisk veiledning nr. 10 Teknisk veiledning nr. 10 Funksjonssikkerhet Copyright 2011 ABB. Alle rettigheter forbeholdt.

Detaljer

Oversikt over sikkerhetsteknologier

Oversikt over sikkerhetsteknologier Sikkerhet og personvern Oversikt over sikkerhetsteknologier PASR - Preparatory Action on the enhancement of the European industrial potential in the field of Security research Grant Agreement no. 108600

Detaljer

Sikker digital post fra det offentlige Vurdering av alternativer for realisering av sikker digital postboks i offentlig sektor

Sikker digital post fra det offentlige Vurdering av alternativer for realisering av sikker digital postboks i offentlig sektor Sikker digital post fra det offentlige Vurdering av alternativer for realisering av sikker digital postboks i offentlig sektor Difi rapport 2012:10 ISSN 1890-6583 Forord I Difis tildelingsbrev for 2012

Detaljer

VEILEDER I GOD FORRETNINGSSKIKK OG SAMFUNNSANSVAR

VEILEDER I GOD FORRETNINGSSKIKK OG SAMFUNNSANSVAR RÅDGIVENDE INGENIØRERS FORENING VEILEDER I GOD FORRETNINGSSKIKK OG SAMFUNNSANSVAR Innhold FORORD / Innledning 4 Del I: FORSLAG TIL Bruk av veilederen 7 Hvordan starte arbeidet i egen bedrift? 7 Del II:

Detaljer

GOD VIRKSOMHETSSTYRING. Grunnlag for god pasientbehandling. Rammeverk for virksomhetsstyring, intern styring og kontroll, i Helse Sør-Øst

GOD VIRKSOMHETSSTYRING. Grunnlag for god pasientbehandling. Rammeverk for virksomhetsstyring, intern styring og kontroll, i Helse Sør-Øst GOD VIRKSOMHETSSTYRING Grunnlag for god pasientbehandling Rammeverk for virksomhetsstyring, intern styring og kontroll, i Helse Sør-Øst Hamar, desember2010 1 Forord Å gi god og riktig pasientbehandling

Detaljer