Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet
|
|
- Stig Børresen
- 4 år siden
- Visninger:
Transkript
1 Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2019 Workshop-oppgaver med løsningsforslag Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet Oppgave 1 Se på listen over standarder i ISO27000 serien, for eksempel på Wikipedia, Se på NIST SP800 (Special Publications) serien på: a. Prøv å identifisere lignende standarder i ISO serien og i NIST SP800 serien. b. Hva kan grunne være for at ulike organisasjoner utvikler separate sett med lignende standarder? a. Nedenfor er grupper av lignende standarder fra ISO og fra NIST. Mange flere lignende standarder fra ISO og NIST fins også. Ledelse av informasjonssikkerhet ISO Information security management systems Requirements ISO Code of practice for information security controls ISO Information security management system implementation guidance ISO Guidelines for information security management systems SP800-14: Generally Accepted Principles and Practices for Securing IT Systems Måling av informasjonssikkerhet ISO Information security management Measurement SP800-55: Performance Measurement Guide for Information Security Risikostyring ISO Information security risk management SP800-30: Guide for Conducting Risk Assessments SP800-37: Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach Hendelseshåndtering ISO Security incident management SP800-61: Computer Security Incident Handling Guide Kontinuitetsplanlegging ISO Guidelines for ICT readiness for business continuity SP Contingency Planning Guide for Federal Information Systems
2 b. Faktorer for utvikling av ulik sikkerhetsstandarder kan være: - USA ønsker ikke å være avhenge av ISO med hensyn på standarder for informasjonssikkerhet, derfor utvikler de sine egne standarder. - Selv om NIST publiserer mange gode standarder, ønsker resten av verden ikke å være avhenge NIST for standarder om informasjonssikkerhet.. Oppgave 2 a. Hvordan er standardene ISO/IEC og ISO/IEC relatert? b. Hva betyr "system" i forkortelsen ISMS (Information Security Management System) (LSIS: Ledelsessystem for informasjonssikkerhet)? c. Hvilken av ovennevnte standarder danner grunnlag for sertifisering, og hvorfor? d. Hvordan bør en organisasjon avgjøre hvilke sikkerhetstiltak som skal implementeres? a. ISO/IEC beskriver et ISMS (LSIS: Ledelsessystem for informasjonssikkerhet), det vil si et rammeverk for å etablere og forvalte et sikkerhetsprogram i organisasjoner. ISO/IEC er en sjekkliste over sikkerhetstitlak som organisasjoner bør vurdere å implementere. b. ISMS er et rammeverk for hvordan organisasjoner kan lede/styre info-sikkerhet på en systematisk måte, som er grunnen til å si at ISMS er et "system". ISMS oversettes som LSIS (Ledelsessystem for informasjonssikkerhet) c. Organisasjoner kan bli sertifisert etter ISO/IEC 27001, ikke etter ISO/IEC Årsaken er at ISO beskriver en prosess for kvalitetsstyring av sikkerhetsledelse som lik for alle organisasjoner, og kan verifiseres av en ekstern part. ISO beskriver et stort antall forskjellige sikkerhetstiltak, hvor ikke alle tiltak alltid er relevante for en organisasjon, fordi det avhenger av trussel- og risikobildet for hver organisasjon. Men det er selvsagt mulig å sjekke at trussel- og risikovurderinger er gjort, og at relevante sikkerhetstiltak er på plass, som vanligvis utføres av IT-sikkerhetsrevisorer. d. Risikovurdering brukes til å bestemme områder der det er nødvendig å innføre sikkerhetstiltak. De mest kost-effektive tiltak velges for å mitigere risikoen. Oppgave 3 a. ISO27002 og 20CSC har samme fokus. Forsøk å sette opp en korrespondans mellom de 14 kategoriene av sikkerhetstiltak i ISO27002 og de 20 kategoriene av sikkerhetstiltak i 20CSC. Presentasjonen fra forelesningen (s.16 og s.18) gir en oversikt over kategoriene. Legg f.eks. s.16 og s.18 ved siden av hverandre og trekk/tenk streker mellom dem. b. Gjør en vurdering av hvor godt sammenfallende kategoriene fra ISO27002 og 20CSC er. ISO (2013 og 2016) har 14 kategorier av sikkerhetstiltak, men tidligere versjoner hadde færre kategorier. 20CSC har alltid beskrevet 20 kategorier av sikkerhetstiltak, men disse er endret over tid. Nyest versjon av 20CSC er v7 fra Forslag til korrespondanse mellom ISO og 20CSC settes opp i workshopen; De korresponderer ikke perfekt, men begge standardene fokuserer mer eller mindre på de samme kategoriene av sikkerhetstiltak.
3 Oppgave 4 Standardene ISO/IEC og CIS-20CSC-V7 beskriver en rekke sikkerhetstiltak. Info om standardene fins på wikien for IN2120. a. Hvordan kan effektiviteten til et bestemt sikkerhetstiltak måles? Nedenfor finner du eksempler på sikkerhetstiltak fra CIS-20CSC-V7. b. Hvordan kan effektiviteten til disse tiltakene måles? Du kan foreslå en målemetode, eller du kan ta en titt på tilhørende dokument CIS-Controls-Measures-and-Metrics-V7. i) CIS Control 2.2. Ensure that Software is Supported by the Vendor ii) CIS Control Disable Dormant Accounts a. Det fins intet enkelt svar på dette, fordi hvert sikkerhetstiltak krever en annen målemetode som f.eks. kan være kvantitativt eller kvalitativt. Ofte er det mulig å bruke prosentandel eller grad, eller det kan måles som Ja/nei. b. Målemetoder fra CIS-Controls-Measures-and-Metrics-V7 i) Metric 2.2.: What percentage of the organization's software applications or operating systems are not currently supported by the software's vendor? ii) Metric 16.9.: Does the organization automatically disable dormant accounts after a set period of inactivity? How long is this period? Spørsmål 5 Anta at selskap A og selskap B av samme størrelse blir ofre for cyber-angrep, og at begge selskapene får betydelige tap som negativt påvirker kunder og aksjonærer. Under etterforskning av hendelsene ble det funnet at selskap A hadde implementert et ISMS (LSIS) og hadde god modenhet for ledelse av informasjonssikkerhet, mens selskap B manglet ISMS og bare ad-hoc ledelse av informasjonssikkerhet. Hvis man antar at tap for begge selskapene var i samme størrelsesorden, forklare mulige forskjeller for konsekvenser og sanksjoner mot ledelsen av selskapene. Toppledelsen i et selskap er ansvarlig for å sørge for at selskapet har et ISMS (LSIS: Ledelsessystem for informasjonssikkerhet) og for å sette ambisjonsnivå med hensyn til modenhet i ledelse av informasjonssikkerhet. Toppledelsen i selskap B hadde ikke sørget for dette, og kan bli bøtelagt eller risikere fengsel som et resultat, f. eks under Sarbanes-Oxley loven i USA, eller etter Basel II avtalen i Europa.
4 Oppgave 6 a. Beskriv måter å bruke Social Engineering for; 1. få uautorisert tilgang til et selskaps bygning, 2. installere skadevare på PCen til administrerende direktør i et selskap. Du kan få inspirasjon fra SANS InfoSec Reading Room on Social Engineering ( eller andre relevante kilder. b. Tenk deg at ansatte utgjør «intrusion detection» mot sosial manipulerings-angrep. Hva ville være en «falsk positiv» og en «falsk negativ» deteksjon i dette scenariet? c. La oss se på menneskelig forsvar mot sosial manipuleringsangrep som en analogi til brannmurer i nettverk. For å gi tilstrekkelig beskyttelse, må brannmurer være riktig programmert og konfigurert. Hva ville være en analog prosess for å sørge for at ansatte skal gi tilstrekkelig beskyttelse mot sosial manipuleringsangrep? a. Eksempler på Social Engineering angrep. 1. Tilgang til en bygning kan f. eks skje gjennom - tailgating bak andre, f.eks. etter lunsjpausen, eller følge etter de som har vært ute for å røyke sigaretter, - komme bærende med tunge bokser og få hjelp til å åpne døren - vise fram et falskt adgangskort 2. Installere skadevare på computeren til konsernsjefen kan f.eks. skje gjennom: - å sende tilpassede spyd-phising e-post med vedlagt skadevare med mål om sjefen installerer og kjører skadevaren, - Sende tilpassede spyd-phishing e-post med vedlegg eller lenke til nettsted som inneholder en exploit som benytter en «Zero-Day» sårbarhet som fins på konsernsjefens computer. b. En «falsk positiv» er når en legitim autorisert person stoppes. En «fallsk negativ» er når en angriper ikke blir stoppet. c. Analogien til konfigurering av brannmurer vil være å organisere bevissthetstrening om sikkerhet, bygging av sikkerhetskultur, og trene folk til å oppdage og ikke la seg lure av sosial manipuleringsangrep.
5 Oppgave 7 a. Ta utganspunkt i slide s.58 i forelesningsnotatene som nevner oppførselsaspekter som er relevant for digital sikkerhetskultur. Nevn et eksempel på dårlig oppføresel for hvert aspekt i listen på s.58. b. Med utgangspunkt i eksemplene fra a), foreslå tiltak for å forbedre sikkerhetskulturen. a. Det fins uendlig mange eksempler, her er noen:. 1. Du forstår ikke hva phishing-epost er. 2. Du jobber på et sykehus snakker med familie og venner om pasienter. 3. Du finner en minnepinne vet at man ikke skal plugge de inn, men er nysjerrig og gjør det likevel. 4. Du vet ikke om det fins en policy for minneepinner, så du plugger inn når du finner en. 5. Du vet at skjermen skal låses nåt du forlater kontoret, men gjøre det ikke fordi «du skal bare en kort tur ut» 6. Du ser at en kollega har forlatt kontoret med innlogget skjerm som bryter policyen, men nevner det likevel ikke for ham. 7. Du skjønner for sent at du har klikket på en lenke i en phishing epost, men later som intet har skjedd og forteller det ikke til noen. 8. Du har en fil på din PC med alle dine passord i klartekst. 9. Du lar partner/barn bruke din jobb-pc til all slags nettsurfing. 10. Du syns sikkerhet er noe herk, og vil bare få jobben gjort. 11. Du planlegger å bytte jobbe, og kopierer og tar med kundelister og bedriftssensitiv informasjon før du slutter b. Det er stort sett opplæring/bevissthetstrening som er tiltak for forbedring av sikkerhetskulturen, men alle tiltakene på s.60 i forelesningsnotatene kan være aktuelle.
Erfaringer med innføring av styringssystemer
Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av
DetaljerMåling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet Håkon Styri Seniorrådgiver Oslo, 2017-10-30 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling av informasjonssikkerhet
DetaljerMåling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet ISO/IEC 27004:2016 Håkon Styri Seniorrådgiver Oslo, 2017-11-29 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling
DetaljerHelhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf.
Helhetlig risikostyring og informasjonssikkerhet Knut Håkon T. Mørch PricewaterhouseCoopers knut.morch@no.pwc.com Tlf. 95 26 04 38 Innhold Informasjonssikkerhet og modenhet Helhetlig risikostyring Rammeverk
DetaljerMåling av informasjonssikkerhet i norske virksomheter
1 Måling av informasjonssikkerhet i norske virksomheter Difi, 29.11.2013, Marte Tårnes Måling av informasjonssikkerhet i norske virksomheter 29.11.2013 2 Agenda Motivasjon for oppgaven Hvorfor skal vi
DetaljerISO-standarderfor informasjonssikkerhet
Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and
DetaljerFølger sikkerhet med i digitaliseringen?
Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over
DetaljerSikkerhet, risikoanalyse og testing: Begrepsmessig avklaring
Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerHvordan høy brukerbevissthet kan redde en virksomhet Watchcom Security Group AS 1
Hvordan høy brukerbevissthet kan redde en virksomhet 23.10.2015 Watchcom Security Group AS 1 Om meg Preben Nyløkken 9+ år i Watchcom 12+ år med informasjonssikkerhet Fokus: sikkerhetstesting, opplæring
DetaljerInformasjonssikkerhet En tilnærming
10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet
DetaljerINTERNREVISJONENS REISE MOT 2020
INTERNREVISJONENS REISE MOT 2020 IIA NORGES ÅRSKONFERANSE 2018 DOROTHEE SAUER HÅKON LØNMO 29. MAI 2018 Alt innhold, inkludert, men ikke begrenset til metoder og analyser i denne presentasjonen tilhører
DetaljerISOs styringssystemstandarder et verktøy for forenkling
2013-06-07 ISOs styringssystemstandarder et verktøy for forenkling GURI KJØRVEN, STANDARD NORGE Standard Norge Foto: Nicolas Tourrenc Styreleder Jan A. Oksum og adm. direktør Trine Tveter Privat, uavhengig
DetaljerSecurity Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen
Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen 1 Agenda Security Awareness Har du slått på den sosiale brannmuren? Demonstrasjoner Manipulert SMS Telefon / rom avlytting
DetaljerFremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder
Standard Norge, Oslo 2018-06-05 Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder Eldar Lillevik Director Cyber Security
DetaljerRISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01
RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 CV: Tor E. Bjørstad Sjefskonsulent og gruppeleder for applikasjonssikkerhet i mnemonic Ph.d. i kryptografi fra UiB Sivilingeniør fra
DetaljerCyberspace og implikasjoner for sikkerhet
Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker
DetaljerStandarder med relevans til skytjenester
Knut Lindelien, 2016-02-09 Standarder med relevans til skytjenester DETTE ER EN STAUSOPPDATERING FRA ISO/IEC JTC1 Skytjenester Stort, kjaptvoksende. Kanskje ikke så nytt for teknikeren, men det handler
DetaljerHacking av MU - hva kan Normen bidra med?
Hacking av MU - hva kan Normen bidra med? Medisinsk teknologisk forenings landsmøte Bergen, 24.4.2019 Side 1 Litt bakgrunn og oppdatering Personvern og informasjonssikkerhet to siste år https://www.forbes.com/sites/thomasbrewster/2017/05/17/wannacry-ransomware-hit-real-medical-devices/#6a7fb780425c
DetaljerErfaringer med innføring av styringssystemer
Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerOversikt over standarder for. risikoanalyse, risikovurdering og risikostyring
Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige
DetaljerStandarder for Asset management ISO 55000/55001/55002
Standarder for Asset management ISO 55000/55001/55002 bjorn.fredrik.kristiansen@multiconsult.no 1 Multiconsults kjernevirksomhet er rådgivning og prosjektering Multiconsult skal være multifaglige tilby
DetaljerISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning
ISO 41001:2018 «Den nye læreboka for FM» Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning ISO 41001:2018 Kvalitetsverktøy i utvikling og forandring Krav - kapittel 4 til
DetaljerTilsiktede uønskede handlinger
Tilsiktede uønskede handlinger Innledning til øvelse NIFS 2016 Hva skal jeg snakke om? Hendelsesforløp Sett fra virksomheten Sett fra trusselaktøren ISO/IEC 27035 Beredskapsplaner Beredskapsorganisasjon
DetaljerSlik stoppes de fleste dataangrepene
Slik stoppes de fleste dataangrepene Oktober 2014, Nasjonal sikkerhetsmåned John Bothner Avdeling for Teknologi Nasjonal sikkerhetsmyndighet 1 Agenda 1. De mest populære sikkerhetstiltakene er lite effektive
Detaljer9 tips til sikrere PC
9 tips til sikrere PC 1. Installer antivirusprogram, oppdater den og aldri installer 2 antivirusprogrammer samtidig 2. Kjør Windows Update/Microsoft Update manuelt og sørg for at alt er installert. Slå
DetaljerSekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann
Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av
DetaljerEDB Business Partner. Sikkerhetskontroller / -revisjoner
EDB Business Partner Sikkerhetskontroller / -revisjoner Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2 Corporate
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerPlanlegging av øvelser
Planlegging av øvelser Håkon Styri Seniorrådgiver Seksjon for informasjonssikkerhet og datadeling Målsetning IKT-beredskapsøvelse gjennomføres minst en gang per år 29,2 prosent i 2014 33,3 prosent i 2016
DetaljerKJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?
KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerSecurity events in Norway
Security events in Norway Threats, risk and event handling Stig Haugdahl, CISO DSS Sikkerhed og revision 2013 Who am I? Master of Science in Engineering Civilingeniør kybernetik CISM ISACA SSCP (ISC)²
DetaljerHVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?
HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og
DetaljerStyringssystem basert på ISO 27001
Styringssystem basert på ISO 27001 Agenda ISO/IEC 27001 - krav i standarden Styringssystem ISMS Beslutning og oppstart av prosjekt Definere omfang og kriterier Hva må utarbeides og hvordan? Hvordan implementere
DetaljerISO 55000-serien Asset management
Guri Kjørven, 2013-01-18 ISO 55000-serien Asset management ISO 55000-serien Asset management 55000 Asset management - Overview, principles and terminology 55001 Asset management - Management systems -
DetaljerInformasjonssikkerhet og digitalisering
Informasjonssikkerhet og digitalisering - i nordiske kommuner Peggy S. Heie MBE, CRISC, CISA Norsk senter for informasjonssikring Norsk senter for informasjonssikring En del av den helhetlige nasjonale
DetaljerPAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK
PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon
DetaljerEn praktisk anvendelse av ITIL rammeverket
NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter
DetaljerStandarder for informasjonssikkerhet Rune Ask
Standarder for informasjonssikkerhet Rune Ask IT Risk & Compliance Manager Det Norske Veritas Agenda Kort om DNV og meg Historien bak standardene Oversikt over ISO/IEC 27xxx-standardene ISO/IEC 27000 Oversikt
DetaljerFORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM
FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM Teleforum 2015 Trondheim, 8. januar 2015 Roar Thon Fagdirektør sikkerhetskultur Nasjonal sikkerhetsmyndighet 1 Hvordan kan vi møte andres forventninger til
DetaljerSikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019
Sikkerhetshendelse hos Kartverket i 2017 Oppfølging på kort og lang sikt Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019 Status IT infrastruktur 2017 10000 9000 8000 7000 6000 Lagringskapasitet
DetaljerHMS og IKT-sikkerhet i integrerte operasjoner
HMS og IKT-sikkerhet i integrerte operasjoner Uønskede hendelser, oppfølging mot indikatorer og planer videre Randi Røisli CISO (Statoil) Leder arbeidsgruppe informasjonssikkerhet (OLF IO) 2 Eller historien
DetaljerOversikt over standarder for. risikoanalyse, risikovurdering og risikostyring
Oversikt over standarder for risikoanalyse, risikovurdering og risikostyring Risikoanalyser, risikovurdering og risikostyring Å gjennomføre risikovurderinger er en viktig oppgave for mange private og offentlige
DetaljerNASJONAL SIKKERHETSMYNDIGHET
OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden
DetaljerCyberforsikring for alle penga?
Cyberforsikring for alle penga? Per Håkon Meland SINTEF IKT NHOs pensjons- og forsikringskonferanse November 2014 Teknologi for et bedre samfunn Informasjonssikkerhet i SINTEF Fagområder Programvaresikkerhet
DetaljerSIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV
SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV Abelia Innovasjon Fagnettverk for Informasjonssikkerhet Oslo 17. mars 2005 Sikkerhet og tillit hva er sammenhengen? Ketil Stølen Sjefsforsker/Professor
DetaljerDen europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,
Den europeiske byggenæringen blir digital hva skjer i Europa? Steen Sunesen Oslo, 30.04.2019 Agenda 1. 2. CEN-veileder til ISO 19650 del 1 og 2 3. EFCA Guide Oppdragsgivers krav til BIMleveranser og prosess.
DetaljerHva kan vi gjøre med det da?
TLP:AMBER Hackere og andre digitale trusler Hva kan vi gjøre med det da? Årskonferansen 2018 KS Bedrift Arthur Gjengstø Direktør BDO Sikkerhet og beredskap BDO Analyse og utredning Mobil 481 27 498, mail
DetaljerRISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET
RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling
DetaljerTilsyn med IKT-sikkerhet i boreprosesskontroll, støttesystemer innen petroleumsnæringen
Tilsyn med IKT-sikkerhet i boreprosesskontroll, sikkerhets- og støttesystemer innen petroleumsnæringen Presentasjon av resultater fra tilsynet Asbjørn Ueland, sjefsingeniør Bakgrunn for tilsynet Arbeid
DetaljerErfaringer fra en Prosjektleder som fikk «overflow»
Erfaringer fra en Prosjektleder som fikk «overflow» Per Franzén, Project Manager August 30 th, 2017 ERFARINGER FRA EN PROSJEKTLEDER SOM FIKK «OVERFLOW» AV GDPR BEGREPER OG INSTRUKSER Purpose limitation
DetaljerNye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen
Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen IMPLEMENTERINGSPLAN September 2015 ISO 9001:2015 publiseres Høst 2015 Akkreditering av sertifiseringsorganene
DetaljerDet digitale trusselbildet Sårbarheter og tiltak
H a f s l u n d M u l i g h e t s W o r k s h o p TORE LARSEN ORDERLØKKEN Det digitale trusselbildet Sårbarheter og tiltak Agenda Sikkerhetsparadokset Trusler og trender Tall og hendelser Hvordan sikrer
DetaljerStandarder for risikostyring av informasjonssikkerhet
Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere
DetaljerCompello Fakturagodkjenning Versjon 10 Software as a service. Tilgang til ny modulen Regnskapsføring
Compello Fakturagodkjenning Versjon 10 Software as a service Tilgang til ny modulen Regnskapsføring Dokumentopplysninger 2018 Compello AS. Med enerett. Microsoft, MS-DOS og Windows er registrerte varemerker
DetaljerISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland
ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland Introduksjon Arnfinn Roland CISSP PECB Professional Trainer Certified ISO Lead Auditor, Lead Implementer ISO 27001 ISO 22301
DetaljerSikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater
Sikkerhetsledelse et løpende og langsiktig arbeid - Som ikke alltid gir raske resultater Innhold Fem overordnede prinsipper for sikkerhetsledelse Six impossible things before breakfast Og en oppsummerende
DetaljerCompello Fakturagodkjenning Versjon 10.5 As a Service. Tilgang til Compello Desktop - Regnskapsføring og Dokument import
Compello Fakturagodkjenning Versjon 10.5 As a Service Tilgang til Compello Desktop - Regnskapsføring og Dokument import Dokumentopplysninger 2018 Compello AS. Med enerett. Microsoft, MS-DOS og Windows
DetaljerSamfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet?
Samfunnssikkerhet - hvordan påvirke internasjonale standarder innenfor samfunnssikkerhet? Lars Erik Jensen, prosjektleder, Standard Norge Bilde: NordForsk 2 Hvordan kan vi best påvirke internasjonale standarder
DetaljerAtea Anywhere Meeting Room
Atea Anywhere Meeting Room Admin Guide Konfigurere Videokonferanse-system ATEA ANYWHERE - V2.1 09.JUL-2018 - DH 1 Innholdsfortegnelse Introduksjon...2 Foreberedelser...2 Konfigurere Nettverk og Brannmur...2
DetaljerBilag 1 Kravspesifikasjon Avtalereferanse: NT Sertifiseringstjenester
ilag 1 Kravspesifikasjon Avtalereferanse: NT-0350-16 Sertifiseringstjenester Side 1 av 14 Innholdsfortegnelse ilag 1 Kravspesifikasjon 1 INNLEDNING... 3 1.1 EGREPSDEFINISJONER... 3 1.2 UTFORMING AV KRAVTAELLER
DetaljerKontinuitet for IKT systemer
Kontinuitet for IKT systemer Innledning til kontinuitetsplanlegging for IKT Rolf Sture Normann, CSO UNINETT AS Introduksjon IKT og andre automatiserte systemer er sentrale i de fleste organisasjoner i
DetaljerRisikostyring i et samfunnssikkerhetsperspektiv. Terje Aven Universitetet i Stavanger
Risikostyring i et samfunnssikkerhetsperspektiv Terje Aven Universitetet i Stavanger Samfunnssikkerhet Primært et spørsmål om fag? Primært et spørsmål om ledelse og politikk? Dagens ingeniører og økonomer
Detaljer1. Styringssystemet for informasjonssikkerhet
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Styringssystemet for informasjonssikkerhet Greta Hjertø (revidert av Bjørn Klefstad) 16.08.13 Lærestoffet er utviklet for faget Informasjonssikkerhetsstyring
DetaljerItled 4021 IT Governance Introduksjon
Itled 4021 IT Governance Introduksjon September 2018 Bendik Bygstad Current research projects Bendik Bygstad Topic What I am trying to find out Organization Digital innovation in airlines Large ehealth
DetaljerGRUNNPRINSIPPER FOR IKT-SIKKERHET
GRUNNPRINSIPPER FOR IKT-SIKKERHET NSM sikkerhetskonferanse 2017 Are Søndenaa Jon Erik Thoresen SLIDE 1 SLIDE 2 Sikkerhet er ikke et produkt, det er en prosess som skal støtte opp under virksomhetens primæraktivitet.
DetaljerTekstfil om nettverkslisensiering
Tekstfil om nettverkslisensiering Trimble Navigation Limited Engineering and Construction Division 935 Stewart Drive Sunnyvale, California 94085 USA. Telefon: +1-408-481-8000 Grønt nummer (i USA): +1-800-874-6253
DetaljerUke 4. Magnus Li INF /
Uke 4 Magnus Li magl@ifi.uio.no INF3290 19/20.09.2017 Repetisjon av begreper Oppgave Radiologisystem Økonomisystem Administrasjonen Radiologisk avdeling Avdeling for rehabilitering Pasientjournal Pasient
DetaljerKom i gang med Klasserom 2.1. Lærerveiledning til Klasserom-appen for ipad
Kom i gang med Klasserom 2.1 Lærerveiledning til Klasserom-appen for ipad Klasserom Klasserom er en kraftig ipad-app som du kan bruke i undervisningen til å dele arbeid og administrere elevenheter. Den
DetaljerStyring og ledelse av informasjonssikkerhet
Styring og ledelse av informasjonssikkerhet SUHS-konferansen 30. oktober 2013 Øivind Høiem, CISA CRISC Seniorrådgiver UNINETT AS Mål for styring informasjonssikkerhet Målene for styring av informasjonssikkerhet
DetaljerVI BYGGER NORGE MED IT.
VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet
DetaljerKontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,
Kontinuitetsplanlegging teori og praksis Arve Sandve Scandpower AS ESRA, 25.10.2012 Scandpowers tjenester Risk based management Risk management software Risk analysis Core Services Human factors And Work
DetaljerStandarder for - styringssystemer - arbeidsmiljø Prosjektleder Guri Kjørven Standard Norge 2010-03-10
Standarder for - styringssystemer - arbeidsmiljø Prosjektleder Guri Kjørven Standard Norge 2010-03-10 Fagforbundet, 2010-03-10 1 Standarder Beskriver o et produkt, o en arbeidsprosess o et system Gir forslag
DetaljerIT-forum våren 2004. ITIL et rammeverk for god IT-drift
IT-forum våren 2004 ITIL et rammeverk for god IT-drift Jon Iden, dr. polit Institutt for prosessutvikling og arbeidsflyt AS Institutt for informasjons- og medievitenskap, UiB Institutt for Prosessutvikling
DetaljerKom i gang med Klasserom-appen. Lærerveiledning til Klasserom-appen for Mac
Kom i gang med Klasserom-appen Lærerveiledning til Klasserom-appen for Mac Klasserom-appen på Mac Klasserom er en kraftig app for ipad og Mac, som du kan bruke i undervisningen til å dele arbeid og administrere
DetaljerOversikt over standarder for. Kvalitetsstyring
Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med
DetaljerDigital svindel. Hva er det og hvordan kan vi beskytte oss mot det?
Digital svindel Hva er det og hvordan kan vi beskytte oss mot det? 0 Agenda Hva er digital svindel Trusselbildet Hvordan beskytte seg mot digital svindel Hva gjør du, hvis uhellet er ute? 1 Kortsvindel
DetaljerInnebygd personvern og personvern som standard. 27. februar 2019
Innebygd personvern og personvern som standard 27. februar 2019 Personvern i vår digitaliserte verden Skal vi ivareta personvernprinsippene effektivt må de være inkorporert i programvaren Nøkkelpersonene
DetaljerKan cyber-risiko forsikres?
Kan cyber-risiko forsikres? Hva er kost-nytte av å overføre sikkerhetsrisiko til en tredjepart? Aida Omerovic SINTEF IKT Sikkerhet og Sårbarhet Mai 2015 Teknologi for et bedre samfunn Informasjonssikkerhet
DetaljerIKT-reglement for Norges musikkhøgskole
IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse
DetaljerKom i gang med VPN inn til skolens filserver. Innhold
Kom i gang med VPN inn til skolens filserver Innhold Forutsetninger... 2 VPN på PC... 3 Slik installerer du VPN-programmet dette gjøres bare en gang... 3 Logge inn på skolen, hver gang du skal arbeide
DetaljerSikkerhet ved PC-basert eksamen
Sikkerhet ved PC-basert eksamen Eksamener som gjennomføres med digitale hjelpemidler stiller høye krav til sikkerhet. Både fusk og tap av data er aktuelle problemstillinger som skolen må forholde seg til.
DetaljerInternkontroll i praksis (styringssystem/isms)
Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke
DetaljerISMS for Offentlig sektor Dataforum
for Offentlig sektor Dataforum 6.12.12 Tone Thingbø Tel: 908 89 571 E-post: tone.thingbo@no.ey.com Tone Thingbø Samfunnsviter, cand.philol Lang erfaring fra virksomheter med høye krav til sikkerhet: Etterretningstjenesten
DetaljerKjernejournal. Pilotering - Javafri oppkobling
Kjernejournal Pilotering - Javafri oppkobling 07-01-2016 Kolofon Publikasjonens tittel: Tilrettelegging mot kjernejournal med Commfides Utgitt: 16.03.16 Publikasjonsnummer: Utgitt av: Direktoratet for
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerDet handler om å vite Christopher Kiønig KAM (ISO27001 LI)
Det handler om å vite 06.03.2014 Christopher Kiønig KAM (ISO27001 LI) Intro Watchcom Aktuelt trusselbilde Finger på pulsen Samarbeidet Watchcom og Cegal Q & A Watchcom Vi hjelper våre kunder med å forvalte
DetaljerGuri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK
Guri Kjørven, Standard Norge NS-ISO 45001 LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK ISO/PC 283 Occupational health and safety management systems 70 Participating Countries, 16 Observing
DetaljerMed kvalitet menes: WIKIPEDIA. STORE NORSKE LEKSIKON
Med kvalitet menes: https://no.wikipedia.org/wiki/kvalitet WIKIPEDIA Kvalitet (av latin qualitas, 'egenskap' fra qualis, 'hvordan, av hvilket slag') viser til hvordan noe er. I dagligtale kan det særlig
DetaljerITLED4021: IT og Ledelse Høst Styring av IT Sikkerhet. Audun Jøsang Universitetet i Oslo
ITLED4021: IT og Ledelse Høst 2018 Styring av IT Sikkerhet Audun Jøsang Universitetet i Oslo Relevant governance types Corporate Governance GRC IT Governance IT Security Governance Risk Manage ment Compliance
DetaljerEndringer i ISO-standarder
Endringer i ISO-standarder Hva betyr det for din organisasjon at ISO-standardene er i endring? 1 SAFER, SMARTER, GREENER Bakgrunn Bakgrunnen for endringene i ISO-standardene er flere: Standardene møter
DetaljerSikring av industrielle automatiserte kontrollsystemer
Veiledning Sist oppdatert: 2014-03-26 Sikring av industrielle automatiserte kontrollsystemer 1 av 11 2014-03-26 A03 - G:14/687 01 (NSM) er et direktorat for forebyggende sikkerhetstjeneste. NSM skal innen
DetaljerLync 2013. Denne guiden tar utgangspunkt i at Lync 2013 er installert på pcen.
Lync 2013 Denne guiden tar utgangspunkt i at Lync 2013 er installert på pcen. Microsoft Lync 2013 gjør det enklere å kommunisere med kolleger, kontakter, venner og kunder. I Lync 2013 kan det holdes samtaler
DetaljerSaia PG5 2.0. Kjære kunde,
Myrvoll 07.09.2009 Saia PG5 2.0 Kjære kunde, Etter en lang og intensiv periode med utvikling og testing, er det en glede å informere om at PG5 V2.0 er klar for distribusjon. I denne nye PG5 versjonen lanseres
DetaljerNovember Internkontroll og styringssystem i praksis - Aleksander Hausmann
November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen
DetaljerFORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM
FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM Nasjonal sikkerhetsmåned 2014 Stavanger, 2. oktober 2014 Fagdirektør Roar Thon Nasjonal sikkerhetsmyndighet 1 SLIDE 2 VIDEOKLIPP FRA NRK.NO «Det er en utfordring
DetaljerOversikt over standarder for. Kvalitetsstyring
Oversikt over standarder for Kvalitetsstyring Oversikt over standarder for kvalitetsstyring Kvalitetsstyringssystemer kan bidra til at organisasjoner bedrer kundetilfredshet. Kunder krever produkter med
Detaljer