Sikkerhetstesting i et «nøtteskall» DND Oslo, 8 mars 2016

Størrelse: px
Begynne med side:

Download "Sikkerhetstesting i et «nøtteskall» DND Oslo, 8 mars 2016"

Transkript

1 Sikkerhetstesting i et «nøtteskall» DND Oslo, 8 mars 2016

2 Innhold Hva er sikkerhetstest Plassering av sikkerhetstest i utviklingssykelusen Verktøy Demo?

3 Mitt navn:

4 Om meg, Jobber siden 1987 med kvalitet, standardisering, kvalitetssikring og systemog akseptansetesting Fulltid siden 2004 med programvare testing Tester, testleder og testkonsulent Aug 2008 testleder i Brønnøysund (BRREG) Nov 2013 testkonsulent i SOC ISTQB Full Advanced, EC Council Certified Ethical Hacker, Scrum Master, CTFL Agile Tester, REQB Foundation

5 og sikkerhetstest Ikke fulltid dessverre Første erfaring: sikkerhetserklæringer prosjekter i helsesektorn Gjennomføring sikkerhetsrevisjon basert på ISO Certified Ethical Hacking EC Council Forfatter ISTQB CTAL/CTEL Security Tester syllabus Noe småtesting / hacking underveis Og jeg mener at vi som tester bør kunne litt om sikkerhetstest

6 Hva er informasjonssikkerhet? The protection of information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, and availablity (National Information Assurance Glossary)

7 Hva er sikkerhetstesting? A process used to determine that the security features of a system are implemented as designed and that they are adequate for a proposed application environment (MDA Glossary). Men det er ikke alt! Sikkerhetstest = negativt testing!

8 Hensikt med sikkerhetstesting Verifisere at sikkerhetstiltak (designet) fungerer (Sikkerhetstiltak) som beskytter mot kjente trusler og sårbarheter Verifisere at det ikke er blitt implementert nye sårbarheter i koden, infrastruktur eller rutiner Før systemet blir satt i drift Periodisk når systemet er i drift

9 Hvordan sikkerhetsteste? Statisk Review av arkitektur og design Statisk analyse Manuel code review Systemaudit (infrastruktur: nettverkskann asset management) Dynamisk Funksjonell (test cases scriptet) Teknisk (scenarier) Automatisert (sårbarhetsskann, webapplikasjon, WS, database) Manuelt (OWASP testing guide, OSSTMM, good practices)

10 Funksjonelle testtyper Funksjonell sikkerhetstest: Log inn / Autentisering Autorisering Inputvalidering Kryptering / Sertifikater Logging (bruker, administrator, system) Audit trial WebService (automatisert autentisering, inputvalidering, SQL, XSS)

11 Statiske testtyper Statisk Analyse Automatisert gjennomgang av koden for å finne avvik i koden med referanse til en kodestandard. Kodestandarden skal inneholde informasjonssikkerhet relaterte regler. Code review Strukturert (ofte manuell) gjennomgang av produsert kode med hensikt å avdekke informasjonssikkerhet relaterte sårbarheter. Nettverks- og portskann Kartlegging og verifisering av aktive servere, åpen porter og tjenester som er aktive og om de er i samsvar med arkitektur / designdokumentasjon.

12 Testtyper Teknisk Webapplikasjonstest Manuell og/eller automatisert verifisering av applikasjonen for å avdekke kjente trusler, slik de er publisert i siste versjon av OWASP top 10. Sårbarhetsskanning Automatisert verifisering av nettverkskomponenter for å se om disse er beskyttet mot de seneste sårbarhetene. Verifisering av «hardened» konfigurering. Penetrasjonstest Automatisert eller manuell verifisering hvor man prøver å utnytte kjente sårbarheter (exploits).

13 Sikkerhetstest i livssyklusen

14 Utfordring: Strategi og testtilnærming Krav er ofte dårlig formulert (.. i samsvar med ISO27001, som er feil) Ingen åpne sikkerhetsstandarder brukt i utvikling og implementering Hver implementering er unik Forhåpentligvis likt i bedriften? Bestemme hva som skal testes Trusler > implementert tiltak «eksplorativt» for å introduserte sårbarheter Definer når og hvordan det kan testes

15 Prosesser Sikkerhet testprosess (ISTQB): Sikkerhetstest planning Sikkerhetstest design Sikkerhetstest gjennomføring Sikkerhetstest evaluering og rapportering Sikkerhetstest vedlikehold System (programvare) utviklingsprosesser Sekvensiell Smidig

16 Sammenheng mellom prosessene (ISTQB CTAL)

17 Sikkerhet i livssyklusen - anbefaling Aktiviteter i alle livssyklusfaser Rettet på forebygging med statiske teknikker Rettet på verifisering av implementeringen med statiske og dynamiske teknikker Rettet på verifisering av vedlikehold med dynamiske / automatiske teknikker Trening!

18 Microsoft Secure Development Lifecycle

19 Sikkerhet i produksjon / vedlikehold Nye trusler og sårbarheter avdekkes kontinuerlig Nettverk, hardware og programvare endres kontinuerlig Arkitekturen endres. Så, skal vi teste kontinuerlig, periodisk (og planlagt)? Verktøy fri testing?

20 Så, hva kan vi gjøre som testere? Lære Forbedre utviklingsprosessen Enhetstest = statisk analyse Manuell test funksjonell test Automatisert sikkerhetstest Verifiser at systemer og applikasjoner er up to date Velg noen verktøy, lær dem, tilpass dem, bruk dem Det er ikke nødvendig å teste alt

21 Hvordan gå videre? Bygg et testlab (virtuelle maskiner) Vet statusen av (hvilke) data i systemet Lag en (egen) oversikt av trusler for ditt miljø / applikasjon Les OWASP testing guide Les How to Break Web Software (Andrews and Whittaker) Utforsk og velg tilgjegelige verktøyer (ikke for mange) Prøv og lær (Proxies / HTTP / HTML) Ikke vær overambisiøs, men prøv!

22 Sikkerhetstestverktøy

23 Verktøy - utfordringer De fleste kommer fra Hacker-miljøet Open Source veldig rettet på en oppgave Lisensierte ofte en videreutvikling Ingen strukturert / felles måte å teste Ingen strukturert / felles måte å analysere testresultat Omfattende konfigureringsmuligheter

24 Verktøy - utfordringer Fleste er rettet mot sikkerhetsspesialister / teknikere / utviklere Ikke til de funksjonelle testerne! Falsk tro på resultatene (false positives, false negatives) Design og logikk feil kan ikke (alltid) avdekkes

25 Hvilke verktøy? Valg av testverktøy ( Open source versus lisensert Test av verktøyene Implementering via en pilot Testlab?

26 Takk til: ww.indianz.ch

27 Sikkerhetstestlab Ditt verktøy og en kopi av prod. miljøet Basert på virtuelle maskiner (VMware Player) Kali Linux Flere hosts (Windows / Unix) Web applikasjoner (OWASP Broken Web Applikasjoner 0.94, inkl. WebGoat) Hackable websites

28 Anbefalt (og med GUI) Zenmap: standard network scan OpenVas: vulnerability Armitage: standard penetrationstest (vulnerability scan + exploit) Firefox: Cookie manipulation Burpsuite: webapplikajson Wireshark

29

Sikkerhetstesting i ISTQB(?) perspektiv Trondheim 14. november Innhold

Sikkerhetstesting i ISTQB(?) perspektiv Trondheim 14. november Innhold Sikkerhetstesting i ISTQB(?) perspektiv Trondheim 14. november Innhold Dagens trusler og trends, hva er et Information Security Management System (ISMS), formelle standarder, auditing eller testing Secure

Detaljer

Sikkerhetstesting i ISTQB(?) perspektiv Bergen 5. april Innhold

Sikkerhetstesting i ISTQB(?) perspektiv Bergen 5. april Innhold Sikkerhetstesting i ISTQB(?) perspektiv Bergen 5. april Innhold Dagens trusler og trends, hva er et ISMS, formelle standarder og auditing eller testing Secure development life cycle (SDLC) eksempler og

Detaljer

Kommende Trender Innenfor Test

Kommende Trender Innenfor Test Kommende Trender Innenfor Test Jennifer Blechar, Sopra Steria April 2015 Trondheim Test Conference Jennifer Blechar Studerte matematikk i USA, mastergrad fra London School of Economics, doktorgrad fra

Detaljer

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse

Detaljer

Sikkerhetstesting gjennom utviklingsløpet

Sikkerhetstesting gjennom utviklingsløpet Sikkerhetstesting gjennom utviklingsløpet 5 faser: Slik utfører du sikkerhetstesting gjennom utviklingsløpet Det har aldri vært mer snakk om sikkerhet i IT verdenen enn nå. Det er ikke så rart med tanke

Detaljer

Hva skjer i Open Web Application Security Project (OWASP)?

Hva skjer i Open Web Application Security Project (OWASP)? Hva skjer i Open Web Application Security Project (OWASP)? Kåre Presttun kaare@mnemonic.no Agenda Hva er OWASP Hvorfor er applikasjonssikkerhet viktig Prosjekter i OWASP Konferanser Først Hva er OWASP?

Detaljer

Innebygd personvern og personvern som standard. 27. februar 2019

Innebygd personvern og personvern som standard. 27. februar 2019 Innebygd personvern og personvern som standard 27. februar 2019 Personvern i vår digitaliserte verden Skal vi ivareta personvernprinsippene effektivt må de være inkorporert i programvaren Nøkkelpersonene

Detaljer

Programvareutvikling (store systemer)

Programvareutvikling (store systemer) Programvareutvikling (store systemer) Software Engineering Nils-Olav Skeie Associate Professor, PhD Page 1 Agenda Bakgrunn, Programvareutvikling, Prosess, Analyse, Design, Koding, Testing CARGOMASTER,

Detaljer

Livsløpstesting av IT-systemer

Livsløpstesting av IT-systemer Livsløpstesting av IT-systemer Testing, validering og evaluering Teste Undersøke ved hjelp av tester om systemet fungerer slik det er beskrevet Validere Bekrefte hvordan systemet virkelig fungerer, om

Detaljer

InfoRed Publisering. - produktbeskrivelse. TalkPool WebServices Postboks Åneby

InfoRed Publisering. - produktbeskrivelse.  TalkPool WebServices Postboks Åneby InfoRed Publisering - produktbeskrivelse www.talkpool.no TalkPool WebServices Postboks 90 1484 Åneby InfoRed Produktbeskrivelse 2 Sammendrag InfoRed Publisering er produktet for å administrere en hel informasjonstjeneste,

Detaljer

NOVUG 3 februar 2009

NOVUG 3 februar 2009 NOVUG 3 februar 2009 Tjenestekatalog og CMDB En kombinasjon som fungerer i praksis 2008 Prosesshuset AS All tillhørende informasjon kan bli endret uten varsel 1 Introduksjon Stig Bjørling Ellingsen Gründer

Detaljer

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1 Hva er cyberrisiko? Bjørnar Solhaug Seminar om cyberrisk, SINTEF, 2014-06-18 1 Oversikt Bakgrunn Eksisterende definisjoner Cyberspace og cybersecurity Cybersystem Cybersikkerhet Cyberrisk Oppsummering

Detaljer

Testplan (Software Test Plan)

Testplan (Software Test Plan) Testplan (Software Test Plan) Amanuel K. Tedla Eleonora Ntreska Ingrid Vik Hansen Joakim Moen Innholdsfortegnelse Innholdsfortegnelse 1.. Introduksjon... 3 1.1 Definisjoner... 3 1.2 Antagelser ved testing

Detaljer

Huldt & Lillevik Ansattportal. Installere systemet

Huldt & Lillevik Ansattportal. Installere systemet Huldt & Lillevik Ansattportal Installere systemet Innholdsfortegnelse INSTALLERE ANSATTPORTAL... 3 TEKNISKE KRAV (WINDOWS OG WEB)... 3 SERVERE OG NETTVERK... 3 MICROSOFT.NET RAMMEVERK 4.0 MÅ VÆRE INSTALLERT...

Detaljer

Automatisering av datasenteret

Automatisering av datasenteret Automatisering av datasenteret 2012-04-23 1 / 53 Automatisering av datasenteret Stig Sandbeck Mathisen Redpill Linpro 2012-04-23 Automatisering av datasenteret Introduksjon 2012-04-23 2 / 53 Stig Sandbeck

Detaljer

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter? Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter? Lillian Røstad Seksjonssjef Seksjon for informasjonssikkerhet Direktoratet for forvaltning og IKT Seksjon for informasjonssikkerhet

Detaljer

Cyberspace og implikasjoner for sikkerhet

Cyberspace og implikasjoner for sikkerhet Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker

Detaljer

Modernisering av IKT i NAV

Modernisering av IKT i NAV Modernisering av IKT i NAV Test, Leverandørperspektiv Vedtaksløsningen 28.05.13 Kristian Bjerke-Gulstuen Innhold Kort introduksjon til Moderniseringsprogrammet i NAV Overordnet oversikt over test i NAV

Detaljer

Erfaringer som pen- tester. Asbjørn Thorsen UiO/USIT @fuzzerman a.r.thorsen@usit.uio.no

Erfaringer som pen- tester. Asbjørn Thorsen UiO/USIT @fuzzerman a.r.thorsen@usit.uio.no Erfaringer som pen- tester Asbjørn Thorsen UiO/USIT @fuzzerman a.r.thorsen@usit.uio.no Min bakgrunn Gruppeleder - Universitetets senter for informasjonsteknologi (USIT) Cand.Scient informahkk UiO Lidenskap

Detaljer

Cross the Tech Bridge. Anette Valaker

Cross the Tech Bridge. Anette Valaker Cross the Tech Bridge Anette Valaker Anette.Valaker@sogeti.no En funksjonell tilnærming til test av infrastruktur Litt om meg Jobbet som testleder i Sogeti siden 2007 Jobbet med test av ulike systemer

Detaljer

Effektiv Systemadministrasjon

Effektiv Systemadministrasjon Effektiv Systemadministrasjon UBW MILESTONE WILLIAM NILSEN Introduksjon William Nilsen ASP/Cloud avdelingen i Evry Jobbet flere år med generelt teknisk drift og ca 3 år med drift av UBW ASP/Cloud avdelingen

Detaljer

1. Intro om System Center

1. Intro om System Center Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Intro om System Center Stein Meisingseth 16.09.2014 Lærestoffet er utviklet for faget IDRI2001 Drift av datasystemer 1. Intro om System Center

Detaljer

Testdekning og automatisering - Er 100% testdekning et mål?

Testdekning og automatisering - Er 100% testdekning et mål? Testdekning og automatisering - Er 100% testdekning et mål? Shomaila Kausar, Senior prosjektleder/testleder Ole Fingal Harbek, Senior Testleder Testdagen Odin 2017 Kort om oss Shomaila Kausar - cand scient

Detaljer

Kravspesifikasjon. Høgskolen i Oslo, våren 2011 Sted og dato: Oslo, 9. februar 2011. Gruppemedlemmer

Kravspesifikasjon. Høgskolen i Oslo, våren 2011 Sted og dato: Oslo, 9. februar 2011. Gruppemedlemmer Kravspesifikasjon Høgskolen i Oslo, våren 2011 Sted og dato: Oslo, 9. februar 2011 Gruppemedlemmer Adeel Yousaf Khan s141459 Mats Klingenberg Naustdal s148155 Nur M. Ahmed s148108 Thomas Wiborg s161335

Detaljer

Bachelor 2015 048E. Theodor Rove Nordgård, Chris Sonko HIST DRIFT AV DATASYSTEMER

Bachelor 2015 048E. Theodor Rove Nordgård, Chris Sonko HIST DRIFT AV DATASYSTEMER Bachelor 2015 048E Theodor Rove Nordgård, Chris Sonko HIST DRIFT AV DATASYSTEMER 1. Introduksjon Hvem er vi? Vi er to studenter ved Høgskolen i Sør-Trøndelag som i år fullfører vår bachelorgrad i studiet

Detaljer

IN2000 Software Engineering og prosjektarbeid Vår Sikker systemutvikling. Audun Jøsang Universitetet i Oslo

IN2000 Software Engineering og prosjektarbeid Vår Sikker systemutvikling. Audun Jøsang Universitetet i Oslo IN2000 Software Engineering og prosjektarbeid Vår 2019 Sikker systemutvikling Audun Jøsang Universitetet i Oslo Oversikt Modeller for programvareutvikling Sikker smidig programvareutvikling Trusselmodellering

Detaljer

Software Development Plan. Software Development Plan. Forum / Nettverkssamfunn Team 2

Software Development Plan. Software Development Plan. Forum / Nettverkssamfunn Team 2 Forum / Nettverkssamfunn Team 2 1 Innholdsfortegnelse 1 Introduksjon... 3 2 Team & Organisering... 3 3 Brainstorming, tanker og utførelse... 4 3.1 Bruker Registrering og metoder... 4 3.2 Generering av

Detaljer

Bilag til kjøpsavtalen for Transportadministrasjon K Bilag 3 - Kundens tekniske plattform

Bilag til kjøpsavtalen for Transportadministrasjon K Bilag 3 - Kundens tekniske plattform Helse Vest IKT: Saksnummer 2013/105 og Avtalenummer 901238 Bilag til kjøpsavtalen for Transportadministrasjon K Bilag 3 - Kundens tekniske plattform Status: Tilbud Sist oppdatert: 25.02.2014 Signert dato:

Detaljer

Målrettede angrep. CIO forum 6.mars 2013. Tore Terjesen Head of MSS & SOCs - Nordics tore.terjesen@secode.com

Målrettede angrep. CIO forum 6.mars 2013. Tore Terjesen Head of MSS & SOCs - Nordics tore.terjesen@secode.com Målrettede angrep CIO forum 6.mars 2013 Tore Terjesen Head of MSS & SOCs - Nordics tore.terjesen@secode.com Secode the pure play security company En ledende og relevant MSSP i Norden Malware research team

Detaljer

VEDLEGG 1 KRAVSPESIFIKASJON

VEDLEGG 1 KRAVSPESIFIKASJON VEDLEGG 1 KRAVSPESIFIKASJON INNHOLDSFORTEGNELSE Forord... 2 1 Systembeskrivelse... 2 2 Mål for systemet... 3 3 Funksjonelle krav... 4 4 Ikke-funksjonelle krav... 5 5 Use-case diagram... 6 6 Rammekrav...

Detaljer

System integration testing. Forelesning Systems Testing UiB Høst 2011, Ina M. Espås,

System integration testing. Forelesning Systems Testing UiB Høst 2011, Ina M. Espås, System integration testing Forelesning Systems Testing UiB Høst 2011, Ina M. Espås, Innhold Presentasjon Hva er integration testing (pensum) Pros og cons med integrasjonstesting Når bruker vi integration

Detaljer

4.5 Kravspesifikasjon

4.5 Kravspesifikasjon 4.5 Kravspesifikasjon 4.5.1 Funksjonalitet og systembeskrivelse Webapplikasjonen har tre overordnede funksjoner; Opprett Spotify arrangement, Opprett SoundCloud arrangement og Bli med på arrangement. Brukere(kalt

Detaljer

PoC Duet. Oppfølging av sykefravær SAP@NSB

PoC Duet. Oppfølging av sykefravær SAP@NSB PoC Duet Oppfølging av sykefravær SAP@NSB Agenda Introduksjon Bakgrunn forklaring av PoC en Teknisk plattform og landskap Installasjon Demo Erfaringer Spørsmål og Diskusjon Agenda Introduksjon Bakgrunn

Detaljer

KRAFTIG, SKALERBAR SÅRBARHETSADMINI- STRASJON. F-Secure Radar

KRAFTIG, SKALERBAR SÅRBARHETSADMINI- STRASJON. F-Secure Radar KRAFTIG, SKALERBAR SÅRBARHETSADMINI- STRASJON F-Secure Radar 48% vekst i sikkerhetshendelser 1 22,000,000 42,000,000 TRUSSELEN ER EKTE Kyberkriminelle kjemper for tilgang. Din bedrifts IT-sikkerhet er

Detaljer

Kravspesifikasjon Digital distribusjon av sakspapirer

Kravspesifikasjon Digital distribusjon av sakspapirer Kravspesifikasjon Digital distribusjon av sakspapirer Kravspesifikasjon 1.1. Tilbudets omfang og fylkeskommunens forventninger Aust-Agder fylkeskommune ber om tilbud på verktøy som legger til rette for

Detaljer

Hva skjer i OWASP? OWASP. The OWASP Foundation. Kåre Presttun Chapter Lead mnemonic as kaare@mnemonic.no +47 4100 4908.

Hva skjer i OWASP? OWASP. The OWASP Foundation. Kåre Presttun Chapter Lead mnemonic as kaare@mnemonic.no +47 4100 4908. OWASP Norway Chapter Hva skjer i OWASP? Kåre Presttun Chapter Lead mnemonic as kaare@mnemonic.no +47 4100 4908 Copyright 2007 The OWASP Foundation Permission is granted to copy, distribute and/or modify

Detaljer

BESKYTT VIRKSOMHETEN DIN UANSETT HVOR DU ER. Protection Service for Business

BESKYTT VIRKSOMHETEN DIN UANSETT HVOR DU ER. Protection Service for Business BESKYTT VIRKSOMHETEN DIN UANSETT HVOR DU ER Protection Service for Business VI LEVER I EN MOBIL VERDEN Wi-Fi I dag bruker vi flere enheter og er tilkoblet flere steder enn noen gang. Det er ikke bare praktisk

Detaljer

Hacking av MU - hva kan Normen bidra med?

Hacking av MU - hva kan Normen bidra med? Hacking av MU - hva kan Normen bidra med? Medisinsk teknologisk forenings landsmøte Bergen, 24.4.2019 Side 1 Litt bakgrunn og oppdatering Personvern og informasjonssikkerhet to siste år https://www.forbes.com/sites/thomasbrewster/2017/05/17/wannacry-ransomware-hit-real-medical-devices/#6a7fb780425c

Detaljer

Jon Hammeren Nilsson, Anders Emil Rønning, Lars Grini og Erling Fjelstad

Jon Hammeren Nilsson, Anders Emil Rønning, Lars Grini og Erling Fjelstad Forprosjektrapport Presentasjon Tittel: Oppgave: Infront SSO Utvikle en Single Sign-on løsning for Infront Periode: 8/1-2013 28/5-2013 Gruppemedlemmer: Jon Hammeren Nilsson, Anders Emil Rønning, Lars Grini

Detaljer

ISO-standarderfor informasjonssikkerhet

ISO-standarderfor informasjonssikkerhet Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and

Detaljer

DISTRIBUERT UTVIKLING AV NETTTJENESTER ( BARE UTDRAG)

DISTRIBUERT UTVIKLING AV NETTTJENESTER ( BARE UTDRAG) Eksamen i: IN 26 Tid: Fredag 2. mai 2001 Tid for eksamen: 9.00 1.00 Oppgavesettet er på 4 sider Vedlegg: Ingen Alle trykte og skrevne hjelpemidler er tillatt. Kontroller at oppgavesettet er komplett før

Detaljer

Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse

Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse Huldt & Lillevik Ansattportal - en tilleggsmodul til Huldt & Lillevik Lønn Teknisk beskrivelse Huldt & Lillevik er trygghet Trygghet er å vite at løsningen du bruker virker, hver eneste dag, enkelt og

Detaljer

Oversikt over metodar og teknikkar for å beskrive truslar. Mass Soldal Lund SINTEF IKT

Oversikt over metodar og teknikkar for å beskrive truslar. Mass Soldal Lund SINTEF IKT Oversikt over metodar og teknikkar for å beskrive truslar Mass Soldal Lund SINTEF IKT Kva er trusselmodellering? Trusselmodellering kan sjåast som to ting: Metodar og teknikkar for å identifisere truslar

Detaljer

Hva skjer i OWASP? OWASP. The OWASP Foundation. Kåre Presttun Chapter Lead Mnemonic as kaare@mnemonic.no +47 4100 4908.

Hva skjer i OWASP? OWASP. The OWASP Foundation. Kåre Presttun Chapter Lead Mnemonic as kaare@mnemonic.no +47 4100 4908. Hva skjer i? Norway Chapter Kåre Presttun Chapter Lead Mnemonic as kaare@mnemonic.no +47 4100 4908 Copyright 2007 The Foundation Permission is granted to copy, distribute and/or modify this document under

Detaljer

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo, Den europeiske byggenæringen blir digital hva skjer i Europa? Steen Sunesen Oslo, 30.04.2019 Agenda 1. 2. CEN-veileder til ISO 19650 del 1 og 2 3. EFCA Guide Oppdragsgivers krav til BIMleveranser og prosess.

Detaljer

Frokostseminar om metoder for universell utforming av IKT

Frokostseminar om metoder for universell utforming av IKT www.nr.no Frokostseminar om metoder for universell utforming av IKT 12. april 2012, Norsk Regnesentral (NR) Kristin S. Fuglerud Seniorforsker leder e-inkludering Fakta om Norsk Regnesentral (NR) 2 Uavhengig

Detaljer

NESTE GENERASJON KUNDEOPPLEVELSE EIRIK NORMAN HANSEN

NESTE GENERASJON KUNDEOPPLEVELSE EIRIK NORMAN HANSEN NESTE GENERASJON KUNDEOPPLEVELSE EIRIK NORMAN HANSEN BUSTED "Good evening. Today is Good Friday. There is no news today." AGENDA Hva handler det om? Verdiøkning i kontaktpunktene Digital foredling HVA

Detaljer

Evaluering av IT-systemer

Evaluering av IT-systemer Evaluering av IT-systemer Høstsemesteret 2009 3. år Informasjonssystemer og IT-ledelse - obligatorisk alle andre studieretninger - valgfag Kåre Sorteberg Med forbehold om endringer Harde fakta 10 studiepoeng

Detaljer

Brukers Arbeidsflate. Tjeneste Katalog. Hva vi leverer... Presentasjon Administrasjon Automatisering

Brukers Arbeidsflate. Tjeneste Katalog. Hva vi leverer... Presentasjon Administrasjon Automatisering Tjeneste Katalog Kunde Sluttbruker Hva vi leverer... Kjøkken IT Avdeling Presentasjon Administrasjon Automatisering Brukers Arbeidsflate Fast tidsramme Prosjektutfordringer + Fast budsjett Dårlig kvalitet

Detaljer

Konfigurasjonsstyring

Konfigurasjonsstyring INF1050: Systemutvikling 28. mars 2017 Konfigurasjonsstyring Yngve Lindsjørn ynglin@ifi.uio.no INF1050 Systemutvikling ->Konfigurasjonsstyring 1 Temaer i dagens forelesning Versjonshåndtering Systembygging

Detaljer

License Management Morten A. Steien EDB Business Partner Industri

License Management Morten A. Steien EDB Business Partner Industri License Management Morten A. Steien EDB Business Partner Industri 2009-02-04 EDB Business Partner organisasjon Bank & Finance Public sector Telecom Industry 1000 FTE s 1600 MNOK revenue Application Services

Detaljer

Verdien av god leverandørtesting i konstruksjonsfasen i smidige prosjekter

Verdien av god leverandørtesting i konstruksjonsfasen i smidige prosjekter Verdien av god leverandørtesting i konstruksjonsfasen i smidige prosjekter FOREDRAGSHOLDERE Kristian Bjerke-Gulstuen Accenture siden 1999 Fra utvikler til Testleder og Kvalitetsansvarlig Leder Accenture

Detaljer

Symmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering.

Symmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering. 1 Hva? Hva er informasjonssikkerhet? Information security encompasses the study of the concepts, techniques, technical measures, and administrative measures used to protect information assets from deliberate

Detaljer

BRUKERVEILEDNING. Oppsett av Activesync klient for Windows Smartphone og Pocket PC mot Exchange 2003. Customer Service Center

BRUKERVEILEDNING. Oppsett av Activesync klient for Windows Smartphone og Pocket PC mot Exchange 2003. Customer Service Center BRUKERVEILEDNING Oppsett av Activesync klient for Windows Smartphone og Pocket PC mot Exchange 2003 Customer Service Center Tel: +47 6677 6577 (oppgi ditt kundenummer) Fax: +47 66 85 48 40 (faxnr for bl.a.

Detaljer

Mellom barken og veden Smidig testing i krevende terreng TTC 2015

Mellom barken og veden Smidig testing i krevende terreng TTC 2015 Mellom barken og veden Smidig testing i krevende terreng TTC 2015 FOREDRAGSHOLDERE Kristian Bjerke-Gulstuen Accenture siden 1999 Fra utvikler til Testleder og Kvalitetsansvarlig Leder Accenture Norway

Detaljer

Læringsmål og pensum. Utvikling av informasjonssystemer. Oversikt. Systemutvikling Systemutvikling i seks faser Femstegs prosedyre for programmering

Læringsmål og pensum. Utvikling av informasjonssystemer. Oversikt. Systemutvikling Systemutvikling i seks faser Femstegs prosedyre for programmering 1 2 Læringsmål og pensum TDT4110 Informasjonsteknologi grunnkurs: Uke 38 Utvikling av informasjonssystemer Læringsmål Kunne seks faser for systemanalyse og design Kunne femstegs prosedyre for programmering

Detaljer

Fungerer applikasjonene våre på Windows 7!? Microsoft Application Compatibility Toolkit

Fungerer applikasjonene våre på Windows 7!? Microsoft Application Compatibility Toolkit Fungerer applikasjonene våre på Windows 7!? Microsoft Application Compatibility Toolkit Aleksander Bjøru Seniorkonsulent Atea aleksander.bjoru@atea.no Agenda 1. Windows 7 og applikasjonskompatibilitet

Detaljer

Fri programvare i helsesektoren en realitet! Presentasjon av Enkeltoppgjør

Fri programvare i helsesektoren en realitet! Presentasjon av Enkeltoppgjør Fri programvare i helsesektoren en realitet! Presentasjon av Enkeltoppgjør Snorre Meland - Teknologidirektør Acando AS Acando AS Enkeltoppgjør 2 Ny nasjonal saksbehandlingsløsning for refusjon av reiseutgifter

Detaljer

Aleksander Thanem Bjøru Seniorkonsulent MCSE og Citrix CCIA

Aleksander Thanem Bjøru Seniorkonsulent MCSE og Citrix CCIA Aleksander Thanem Bjøru Seniorkonsulent MCSE og Citrix CCIA Utrulling, testing og piloter vil ha verdi i lang tid fremover Full kompatibilitet Det meste som går på Windows Vista, fungerer på Windows 7.

Detaljer

Modellering IT konferanse

Modellering IT konferanse Modellering IT konferanse 1. Interessenter Utviklere som besøker konferansen: besøke IT konferanse Frivillige hjelpere: få gratis inngang på konferansen Ledelse: Tjene penger Matkjeder: Selge mat og drikke,

Detaljer

SAS IN A SOA WORLD MARIUS SOMMERSETH TEAM LEAD TECHNICAL ARCHITECTURE

SAS IN A SOA WORLD MARIUS SOMMERSETH TEAM LEAD TECHNICAL ARCHITECTURE SAS IN A SOA WORLD MARIUS SOMMERSETH TEAM LEAD TECHNICAL ARCHITECTURE HVA ER WEB SERVICER OG TJENESTELAG? Fra Wikipedia: En web service er definert av W3C som et software system som er designet for å støtte

Detaljer

K O N S U L E N T - I D : 2 5 2 2 C U R R I C U L U M V I T A E

K O N S U L E N T - I D : 2 5 2 2 C U R R I C U L U M V I T A E K O N S U L E N T - I D : 2 5 2 2 C U R R I C U L U M V I T A E Utdannelse 1996-1998 2 årig Informatikk ved Høyskolen i Østfold 1994-1996 2 årig Økonomi og Administrasjon ved Høyskolen i Østfold Sertifiseringer

Detaljer

ITAS. Interaktive Tjenester ApplikasjonsServere v/per Kjetil Grotnes

ITAS. Interaktive Tjenester ApplikasjonsServere v/per Kjetil Grotnes ITAS Interaktive Tjenester ApplikasjonsServere v/per Kjetil Grotnes Innhold 1. Tjenester 2. Funksjonalitet 3. Komponenter 4. Øvrig ITAS plattform 5. Infrastruktur 6. Organisering 7. Miljø Øvrig ITAS Infrastruktur

Detaljer

En praktisk anvendelse av ITIL rammeverket

En praktisk anvendelse av ITIL rammeverket NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter

Detaljer

Hensikten med denne delen av kurset. Objektets egenskaper. Objektorientering hva er det? Best practises ved programvareutvikling. Kravspesifikasjonen

Hensikten med denne delen av kurset. Objektets egenskaper. Objektorientering hva er det? Best practises ved programvareutvikling. Kravspesifikasjonen Hensikten med denne delen av kurset Objektorientert systemutvikling Rational Unified Process (RUP) Gurholt og Hasle kap. 6 UML Distilled kap. 2 Å lære modellerings- og designprinsipper og øve opp teknikker

Detaljer

ISTQB. Foundation Level

ISTQB. Foundation Level ISTQB Foundation Level Prøveeksamen Norsk versjon basert på CTFL 2018 04.09.2019 Norwegian Testing Board Versjon 2018 Side 1 av 16 4 September 2019 Spørsmål #1 (1 Poeng) Hvilken av følgende påstander er

Detaljer

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2

Detaljer

INF329,HØST

INF329,HØST TTHROUGH THROUGH THE FIREWALL KAPITTEL 16 BUILDING SECURE SOFTWARE INF329,HØST 2005 Isabel Maldonado st10900@student.uib.no 1 Innledning Kort om firewall Hva er det som foresaker at en brannmur blokkerer

Detaljer

Publisering av statiske og dynamiske websider til klasserom.net fra Dreamweaver og MySQL

Publisering av statiske og dynamiske websider til klasserom.net fra Dreamweaver og MySQL Publisering av statiske og dynamiske websider til klasserom.net fra Dreamweaver og MySQL 1. Om klassersom.net: Klasserom.net er en webhotell-løsning for skoler, hvor formålet er å gi elevene hvert sitt

Detaljer

Beskrivelse av informasjonssystemet

Beskrivelse av informasjonssystemet Beskrivelse av informasjonssystemet Side 1 av 5 Beskrivelse av informasjonssystemet NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

LEVER OFTERE TEST SMARTERE

LEVER OFTERE TEST SMARTERE 1 LEVER OFTERE TEST SMARTERE ØYSTEIN HANSEN CARL JOHNSON 2 Agenda Hvor kom vi fra Veien til moderne utviklingsorganisasjon Hvordan levere - automatisering - arbeidsflyt og verktøy Veien videre og våre

Detaljer

Lykke til! Eksamen i fag TDT4140 Systemutvikling 28.11.2012 9.00. NTNU Norges teknisk-naturvitenskapelige universitet

Lykke til! Eksamen i fag TDT4140 Systemutvikling 28.11.2012 9.00. NTNU Norges teknisk-naturvitenskapelige universitet Side 1 av 10 NTNU Norges teknisk-naturvitenskapelige universitet BOKMÅL Fakultet for informasjonsteknologi, matematikk og elektroteknikk Institutt for datateknikk og informasjonsvitenskap Sensurfrist:

Detaljer

Tekniske Krav Aditro Lønn

Tekniske Krav Aditro Lønn 1 (6) Tekniske Krav Aditro Lønn Tekniske krav 2 (6) Innhold 1 Tekniske krav... 3 1. Generelt... 3 2. Database server... 3 3. Applikasjons-server / Klient... 4 4. Web server... 5 5. Klient... 5 6. Filserver...

Detaljer

11 Planlegging og dokumentasjon

11 Planlegging og dokumentasjon 11 Planlegging og dokumentasjon Ulike arbeidsmetoder Systemutvikling Som systemutvikler er du i stand til å omsette din innsikt i brukerbehov til praktiske programbaserte løsninger. Samarbeid: Programmerer

Detaljer

Prisbelønte «esøknad Bostøtte» & Endrede tilnærming «Fra scrum til Kanban»

Prisbelønte «esøknad Bostøtte» & Endrede tilnærming «Fra scrum til Kanban» Prisbelønte «esøknad Bostøtte» & Endrede tilnærming «Fra scrum til Kanban» Geir Hagen & Hilde van der Hoeven Geir og Hilde Testleder Sopra Steria innleid av Husbanken Arbeidet med test av programvare siden

Detaljer

Måling av informasjonssikkerhet i norske virksomheter

Måling av informasjonssikkerhet i norske virksomheter 1 Måling av informasjonssikkerhet i norske virksomheter Difi, 29.11.2013, Marte Tårnes Måling av informasjonssikkerhet i norske virksomheter 29.11.2013 2 Agenda Motivasjon for oppgaven Hvorfor skal vi

Detaljer

P L A N I A 8 S Y S T E M K R A V PLANIA 8 SYSTEM KRAV. Plania 8 Systemkrav.docx 27.04.2015 1 av 8

P L A N I A 8 S Y S T E M K R A V PLANIA 8 SYSTEM KRAV. Plania 8 Systemkrav.docx 27.04.2015 1 av 8 PLANIA 8 SYSTEM KRAV Plania 8 Systemkrav.docx 27.04.2015 1 av 8 INNHOLD 1 INNLEDNING... 1-3 1.1 Generell beskrivelse... 1-3 1.1.1 Plania DESKTOP og Plania WEB... 1-3 2 SYSTEMKRAV... 2-4 2.1 Krav til ulike

Detaljer

6105 Windows Server og datanett

6105 Windows Server og datanett 6105 Windows Server og datanett Denne øvingen forutsetter at du har gjort disse øvingene tidligere: Labøving 7b Skriveradministrasjon Laboving 9a Installere og konfigurere webtjeneren IIS I denne øvingen

Detaljer

Følger sikkerhet med i digitaliseringen?

Følger sikkerhet med i digitaliseringen? Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over

Detaljer

Tyrannosaurus Test Adapt or Die!

Tyrannosaurus Test Adapt or Die! Tyrannosaurus Test Adapt or Die! Testdagen Odin 2014 Remi Hansen & Christian Brødsjø 26.09.2014 Promis Qualify AS 1 Om oss og tema Dinosaurer og evolusjon Context-driven testing filosofi og prinsipper

Detaljer

Hybrid Cloud and Datacenter Monitoring with Operations Management Suite (OMS)

Hybrid Cloud and Datacenter Monitoring with Operations Management Suite (OMS) Hybrid Cloud and Datacenter Monitoring with Operations Management Suite (OMS) Varighet: 5 Days Kurskode: M10996 Version: A Opplæringsmetoder: Virtuell opplæring Beskrivelse: This five-day course will provide

Detaljer

Installasjon av HP ProLiant ML 350 G5 server

Installasjon av HP ProLiant ML 350 G5 server Installasjon av HP ProLiant ML 350 G5 server Tekniske detaljer: Prosessor: 1x Intel Xeon 5120 (LGA771, 1.86GHz, dual core, 1x4MB L2, 1066MHz FSB) RAM: 3GB - Skal oppgraderes til 11GB HD: 2x 72GB SFF (

Detaljer

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Tingenes tilstand: Programvaresikkerhet i offentlig sektor Tingenes tilstand: Programvaresikkerhet i offentlig sektor Martin Gilje Jaatun Seniorforsker SINTEF IKT Lillian Røstad Seksjonssjef Difi Daniela Soares Cruzes, SINTEF Inger Anne Tøndel, SINTEF Karin Bernsmed,

Detaljer

Kontakt oss i Egroup for mer informasjon!

Kontakt oss i Egroup for mer informasjon! Oversikt System Replikering Integrasjon Web Services API I Utviklingsmiljø 3.0 Nyheter 3.0 Nyheter Publisering Publisering Publisering sansvarlig, Webmaster Konsulent, Rådgiver Utvikler Kontakt oss i Egroup

Detaljer

BlackBox, WhiteBox og andre testmetoder. Etter ønske fra studentene 26. november 2009

BlackBox, WhiteBox og andre testmetoder. Etter ønske fra studentene 26. november 2009 BlackBox, WhiteBox og andre testmetoder Etter ønske fra studentene 26. november 2009 Hva er testing? Testing er å undersøke IT-systemer eller deler av det for å vurdere om kravene til det som testes er

Detaljer

Presentasjon Bacheloroppgave 051E

Presentasjon Bacheloroppgave 051E Presentasjon Bacheloroppgave 051E Oppgradering og virtualisering av Nimsoft overvåkingssystem Stian Gravdal 1 1 Om oppgavestiller og oppgaven Oppgavestiller for denne oppgaven er Lier Everk. Lier Everk

Detaljer

IS Introduksjon til informasjonssystemer

IS Introduksjon til informasjonssystemer KANDIDAT 3644 PRØVE IS-100 1 Introduksjon til informasjonssystemer Emnekode IS-100 Vurderingsform Skriftlig eksamen Starttid 13.12.2016 07:00 Sluttid 13.12.2016 11:00 Sensurfrist 05.01.2017 23:00 PDF opprettet

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Huldt & Lillevik Ansattportal. Installere systemet

Huldt & Lillevik Ansattportal. Installere systemet Huldt & Lillevik Ansattportal Installere systemet Innholdsfortegnelse Innholdsfortegnelse Installere Ansattportal... 3 Tekniske krav (Windows og web)... 3 Servere og nettverk... 3.NET Rammeverk 3.5 må

Detaljer

Hovedprosjekt. Høgskolen i Oslo data/informasjonsteknologi våren 2011 Forprosjektrapport. K-skjema og ferie kalender

Hovedprosjekt. Høgskolen i Oslo data/informasjonsteknologi våren 2011 Forprosjektrapport. K-skjema og ferie kalender Hovedprosjekt Høgskolen i Oslo data/informasjonsteknologi våren 2011 Forprosjektrapport Presentasjon Sted og dato Oslo, Jan 9, 2011 Prosjekt tittel Periode K-skjema og ferie kalender Utvikle et registreringssystem

Detaljer

FIRE EFFEKTIVE TILTAK MOT DATAANGREP

FIRE EFFEKTIVE TILTAK MOT DATAANGREP FIRE EFFEKTIVE TILTAK MOT DATAANGREP Olav Ligaarden Nasjonal sikkerhetsmyndighet Offentlig seminar SINTEF, Oslo 2016-01-22 SLIDE 1 Innhold Motivasjon Fire effektive, enkle og viktige tiltak Tre andre enkle

Detaljer

Referansearkitektur sikkerhet

Referansearkitektur sikkerhet NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?

Detaljer

Erlend Oftedal. Risiko og sikkerhet i IKT-systemer, Tekna

Erlend Oftedal. Risiko og sikkerhet i IKT-systemer, Tekna Sikkerhet i Web 2.0 Erlend Oftedal Risiko og sikkerhet i IKT-systemer, Tekna Hva er spesielt med Web 2.0? Innhold fra flere kilder Sosiale nettsteder med brukergenerert innhold Mashups gjerne med innhold

Detaljer

Inf1055 Modul B 26 april 2017:

Inf1055 Modul B 26 april 2017: Inf1055 Modul B 26 april 2017: Del 1: - Testing Yngve Lindsjørn ynglin@ifi.uio.no 1 Oversikt - Testing Hva er testing? Validering &Verifisering Testfaser Enhetstesting Integrasjonstesting Systemtesting

Detaljer

altinn tjenester 3.0

altinn tjenester 3.0 14.09.2016 altinn tjenester 3.0 Agenda Hva er tjenester 3.0? Status Konsepter Demo og diskusjoner altinn tjenester 3.0 Hva er tjenester 3.0? Hva er tjenester 3.0? Brukervennlige og responsive tjenester

Detaljer

Krav som bør stilles til leverandørens verifikasjon og test

Krav som bør stilles til leverandørens verifikasjon og test Krav som bør stilles til leverandørens verifikasjon og test Av Hans Schaefer Versjon 1.2, 14.9.2005 Dette dokument beskriver krav en bør stille til verifikasjon under utviklingen og test hos en seriøs

Detaljer

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI)

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI) Det handler om å vite 06.03.2014 Christopher Kiønig KAM (ISO27001 LI) Intro Watchcom Aktuelt trusselbilde Finger på pulsen Samarbeidet Watchcom og Cegal Q & A Watchcom Vi hjelper våre kunder med å forvalte

Detaljer

IT Service Management

IT Service Management IT Service Management Forelesning uke 11 Innhold Release & Deployment Hensikt og mål Lage klare og forståelige utrullingsplaner så kunder og foretaket kan legge sine aktiviteter etter disse. Sørge for

Detaljer

En bedre måte å håndtere prosjekt, team, oppgaver og innhold

En bedre måte å håndtere prosjekt, team, oppgaver og innhold En bedre måte å håndtere prosjekt, team, oppgaver og innhold Bedre prosjekthå ndtering med metådåtå M-Files går langt utover bare enkel dokumenthåndtering. Den unike arkitekturen drevet av metadata lar

Detaljer

DIPS Communicator 6.x. Installasjonsveiledning

DIPS Communicator 6.x. Installasjonsveiledning DIPS Communicator 6.x Installasjonsveiledning 11. oktober 2010 DIPS Communicator DIPS Communicator er en markedsledende kommunikasjons- og integrasjonsløsning for helsesektoren i Norge i dag. Systemet

Detaljer