Komposisjon av risikomodeller:
|
|
- Mari Bakken
- 7 år siden
- Visninger:
Transkript
1 Komposisjon av risikomodeller: Bruksscenarier og noen grunnleggende retningslinjer Seminar om hvordan aggregere risiko og risikoanalyser Bjørnar Solhaug SINTEF, 7. november, 2013 Technology for a better society 1
2 Oversikt Risikoanalyse Komposisjon: Bruksscenarier Eksempler Retningslinjer Vår approach Technology for a better society 2
3 Risikoanalyse Target for analysen Risikobilde Target Risikomodell Technology for a better society 3
4 Risikoanalyse Prosess Establishing the context Communication and consultation Risk assessment Risk identification Risk analysis Risk evaluation Risk treatment Monitoring and review ISO 31000:2009 Technology for a better society 4
5 Komposisjonell risikoanalyse Bruksscenarier 1/4 Kombinere eksisterende risikoanalyseresultater fra ulike deler av targetorganisasjon eller -system Det kombinerte risikoanalyse-resultatet kan utledes uten å måtte gjøre en full analyse av det kombinerte systemet fra scratch T1 T2 T3 R1 R2 R3 T1 T2 T3 R1 R2 R3 Technology for a better society 5
6 Komposisjonell risikoanalyse Bruksscenarier 2/4 En risikoanalyse av store, komplekse systemer kan dekomponeres til håndterbare del-systemer Arbeidsbyrden kan deles mellom flere analyse-team T1 T2 T3 R1 R2 R3 T1 R1 T2 R2 T3 R3 Technology for a better society 6
7 Komposisjonell risikoanalyse Bruksscenarier 3/4 En analyse for en bestemt komponent, tjeneste, e.l. kan gjenbrukes i ulike sammenhenger t r T1 R1 T2 R2 t r t r Technology for a better society 7
8 Endring Komposisjonell risikoanalyse Bruksscenarier 4/4 Komposisjonell risikoanalyse støtter håndtering av endring ved at kun den delen av target som har endret seg må analyseres på nytt T R T t R T'??? t t' t' r Technology for a better society 8
9 Eksempel: Web-portal for elektroniske helsetjenester Web-portal Lokasjon av pasientjournal Styring av arbeidsprossesser Opplæring av personale og pasienter Roller og aktører Monitorering og logging Autentisering Sikkerhetstjenester Aksesskontroll Technology for a better society 9
10 Sikkerhetstjenester Risikoanalyse av autentiserings-komponent Autentisering Aksesskontroll Social engineering-angrep [5:1 år] 0.3 bevissthet om sikkerhet tilegner passord til pasient SQL injection-angrep [30:1 år] 0.1 Utilstrekkelig validering av input SQL injection lykkes [3:1 år] 0.5 Ugyldig autentisering [6:1 år] Autentisitet av bruker Høy Brute forceangrep på brukernavn 0.05 og passord [60:1 år] Svake passord gjetter korrekt brukernavn og passord [3:1 år] Technology for a better society 10
11 Risikoanalyse av aksesskontroll-komponent Aksesskontroll Sikkerhetspersonell Administrator verifikasjon Admin tilordner feil grad av tilgang [5:1 år] kaprer sesjons-id [10:1 år] Personell introduserer feil i mekanismen for håndheving av policy [10:1 år] 0.8 rutiner 0.5 Feil i beslutning om autorisasjon [5:1 år] Tilordning av for vid autorisasjon [4:1 år] 0.2 / tar over sesjon utilstrekkelig utløpstid av sesjon Ugylding autorisasjon [9:1 år] utgir seg for legitim bruker Autentisering Middels Samsvar med policy Høy Sikkerhetstjenester Technology for a better society 11
12 Kombinert risiko for sikkerhetstjenesten Komposisjon er i det generelle tilfellet ikke en enkel sammenslåing! Hvordan forholder de separate komponentene seg til hverandre? Er det noe overlapp mellom risikomodellene? Finnes det avhengigheter mellom scenarier/hendelser? Autentisering Sikkerhetstjenester Aksesskontroll Brute forceangrep på brukernavn 0.05 og passord [60:1 år] Svake passord gjetter korrekt brukernavn og passord [3:1 år] Ugyldig autentisering [6:1 år] Autentisitet av bruker Høy kaprer sesjons-id [10:1 år] 0.2 / tar over sesjon utilstrekkelig utløpstid av sesjon utgir seg for legitim bruker Høy Samsvar med policy Technology for a better society 12
13 Kombinert risiko for sikkerhetstjenesten Lekkasje av pasientdata Konfidensialitet av pasientdata Autentisering Sikkerhetstjenester Aksesskontroll Brute forceangrep på brukernavn 0.05 og passord [60:1 år] Svake passord gjetter korrekt brukernavn og passord [3:1 år] Ugyldig autentisering [6:1 år] Autentisitet av bruker Lekkasje av pasientdata Konfidensialitet av pasientdata kaprer sesjons-id [10:1 år] 0.2 / tar over sesjon utilstrekkelig utløpstid av sesjon utgir seg for legitim bruker Samsvar med policy Technology for a better society 13
14 Kombinert risiko for sikkerhetstjenesten Autentisering Sikkerhetstjenester Aksesskontroll Brute forceangrep på brukernavn 0.05 og passord [60:1 år] Svake passord gjetter korrekt brukernavn og passord [3:1 år] Ugyldig autentisering [6:1 år] Autentisitet av bruker Lekkasje av pasientdata [4:1 år] Konfidensialitet av pasientdata kaprer sesjons-id [10:1 år] 0.2 / tar over sesjon utilstrekkelig utløpstid av sesjon utgir seg for legitim bruker Samsvar med policy Technology for a better society 14
15 Eksempel: Web-portal for elektroniske helsetjenester Integritet Internt bruk og interne brukere (leger og admin) Lokasjon av pasientjournal Styring av arbeidsprossesser Opplæring av personale og pasienter Kombinasjon: Compliance Web-portal Roller og aktører Sikkerhetstjenester Monitorering og logging Konfidensialitet Eksterne brukere (pasienter) Autentisering Aksesskontroll Technology for a better society 15
16 Analyse mht konfidensialitet Social engineering-angrep [5:1 år] 0.3 bevissthet om sikkerhet tilegner passord til pasient SQL injection-angrep [30:1 år] 0.1 Utilstrekkelig validering av input SQL injection lykkes [3:1 år] 0.5 Lekkasje av konfidensiell pasientdata [6:1 år] Konfidensialitet av pasientdata Brute forceangrep på brukernavn 0.05 og passord [60:1 år] Svake passord gjetter korrekt brukernavn og passord [3:1 år] Technology for a better society 16
17 Analyse mht integritet Social engineering-angrep [5:1 år] 0.05 bevissthet om sikkerhet tilegner passord til admin [0.3:1 år] SQL injection-angrep [30:1 år] 0.1 Utilstrekkelig validering av input SQL injection lykkes [3:1 år] 0.5 Uautorisert endring av pasientdata [3:1 år] Integritet av pasientdata Lege Manglede rutiner Lege legger inn feil pasientdata [1:1 år] Technology for a better society 17
18 Komposisjon Social engineering-angrep [5:1 år] 0.3 bevissthet om sikkerhet tilegner passord til pasient Social engineering-angrep mot pasient [5:1 år] 0.3 bevissthet om sikkerhet tilegner passord til pasient Social engineering-angrep [5:1 år] 0.05 bevissthet om sikkerhet tilegner passord til admin [0.3:1 år] Social engineering-angrep mot admin [5:1 år] 0.05 bevissthet om sikkerhet tilegner passord til admin [0.3:1 år] Social engineering-angrep [5:1 år] 0.3 bevissthet om sikkerhet 0.05 tilegner passord til pasient tilegner passord til admin [0.3:1 år] Social engineering-angrep [10:1 år] 0.15 bevissthet om sikkerhet 0.25 tilegner passord til pasient tilegner passord til admin [0.3:1 år] Technology for a better society 18
19 Lege Manglede rutiner Lege legger inn feil pasientdata [1:1 år] Social engineering-angrep [5:1 år] 0.05 bevissthet om sikkerhet 0.3 tilegner passord til admin [0.3:1 år] tilegner passord til pasient Uautorisert endring av pasientdata [3:1 år] Integritet av pasientdata Brudd på compliance [9:1 år] Compliance SQL injection-angrep [30:1 år] 0.1 Utilstrekkelig validering av input SQL injection lykkes [3:1 år] Lekkasje av konfidensiell pasientdata [6:1 år] Konfidensialitet av pasientdata Brute forceangrep på brukernavn 0.05 og passord [60:1 år] Svake passord gjetter korrekt brukernavn og passord [3:1 år] Resultat av komposisjon Technology for a better society 19
20 Retningslinjer Komposisjon av risikoanalyser er ikke en enkel sammenslåing! Vi utvikler praktiske regler og guidelines som tar hensyn til: Hvordan de ulike delene av target er satt sammen, og hvordan de forholder seg til hverandre Avhengigheter og andre sammenhenger mellom de ulike analysene Hva slags hendelser, sårbarheter, og aktiva de ulike risikomodellene beskriver, og med hensyn til hva Overlapp eller andre sammenhenger mellom risikomodellene? Technology for a better society 20
21 Vår approach: Regler for komposisjon av risikomodeller Risikoanalytiker må Analysere Tx og dokumentere resultatet i Rx Vite hvordan T1,,Tn er komponert SINTEF utvikler regler for å dedusere hva vi vet om risikoer for det komponerte T, gitt at bestemte kriterier er oppfylt T1 T2 T3 R1 R2 R3 T1 T2 T3 R1 R2 R3 Technology for a better society 21
22 Takk for oppmerksomheten! Relaterte prosjekter Technology for a better society 22
Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring
Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse
DetaljerHvordan teste en risikomodell
Hvordan teste en risikomodell Fredrik Seehusen Technology for a better society 1 Oversikt Når teste en risikomodell? Hvorfor teste en risikomodell? Hvordan teste en risikomodell? Hva kan testes i en risikomodell?
DetaljerHvordan visualisere og redusere usikkerhet av cyberrisiko
Hvordan visualisere og redusere usikkerhet av cyberrisiko Fredrik Seehusen Technology for a better society Oversikt Hva er usikkerhet? Hvordan visualisere usikkerhet av cyberrisiko? Hvordan redusere usikkerhet
DetaljerCyberspace og implikasjoner for sikkerhet
Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker
DetaljerBruk av risikoverktøy i byggeprosjekter, eksempel Strindheimstunnelen
Bruk av risikoverktøy i byggeprosjekter, eksempel Strindheimstunnelen BegrensSkade fagdag 26.november 2015 Bjørn Kalsnes, NGI, DP 5 leder Torgeir Haugen, NCC 2015-11-26 BS fagdag 1 Innhold Hva er risiko?
DetaljerKvalitative utsagn fra en logikers ståsted
Kvalitative utsagn fra en logikers ståsted Bjørnar Solhaug Seminar om estimering av sikkerhetsnivå fra et tverrfaglig perspektiv SINTEF, 29. september, 2015 1 Oversikt Hva er logikk? Logikk vs. naturlig
DetaljerModelldrevet risikoanalyse med CORAS
Modelldrevet risikoanalyse med CORAS Bjørnar Solhaug Seminar om risikostyring SINTEF, 27. januar 2011 1 Oversikt Hva er CORAS? Sentrale begreper Risikoanalyseprosessen Risikomodellering Oversettelse av
DetaljerHVEM ER JEG OG HVOR «BOR» JEG?
DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller
DetaljerDatasikkerhet internt på sykehuset
Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer
DetaljerRisikoanalysemetodikk
Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering
DetaljerSikkerhet i Pindena Påmeldingssystem
Sikkerhet i Pindena Påmeldingssystem Versjon: 1.6.9 Oppdatert: 26.11.2014 Sikkerhet i Pindena Påmeldingssystem 2 Innhold OM DOKUMENTET... 3 SIKKERHET PÅ KLIENTSIDEN... 3 SIKKERHETSTILTAK... 3 ROLLESIKKERHET...
DetaljerMenneskelige og organisatoriske risikofaktorer i en IO-kontekst
Menneskelige og organisatoriske risikofaktorer i en IO-kontekst The interplay between integrated operations and operative risk assessments and judgements in offshore oil and gas Doktoravhandling Siri Andersen
DetaljerSikkerhet og tilgangskontroll i RDBMS-er
Sikkerhet og tilgangskontroll i RDBMS-er IN2090 14. nov 2018 Mathias Stang 1 Agenda Modeller for tilgangskontroll Brukere og roller i RDBMS-er GRANT og REVOKE SQL Injections 2 Hovedmål med databasesikkerhet
DetaljerAggregering av risiko - behov og utfordringer i risikostyringen
Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning
Detaljer*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.
Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier
DetaljerRisiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering
Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering Sist revidert av Kristoffer Iversen 29.07.19 1 Innledning Alle virksomheter er forpliktet til å gjennomføre
DetaljerSikkerhetspolicies i utviklingsprosjekter
Sikkerhetspolicies i utviklingsprosjekter Jon Ølnes, DNV Research & Innovation Abelia-seminar, Sikkerhetspolicies kun til pynt eller lar de seg håndheve Oslo, 23. november 2006 Innhold 1. Sikkerhet og
DetaljerStyrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro
Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20 Innhold Hydros organisasjon Målene for informasjonssikkerhet
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette
DetaljerInformasjonssikkerhet En tilnærming
10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerSikkerhetskrav for systemer
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe
DetaljerBeskyttelse av pasientinformasjon i en dynamisk hverdag, Situasjonsavhengig tilgangskontroll
Beskyttelse av pasientinformasjon i en dynamisk hverdag, Situasjonsavhengig tilgangskontroll Inge Os Sales Consulting Director Oracle Inge.os@oracle.com IKT usikkerhetens mange ansikter Forskjellige former
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerHvordan påvirker et varsel om tilsyn interne prioriteringer?
Hvordan påvirker et varsel om tilsyn interne prioriteringer? Tove Muravez, IT & Admin Manager 23. April 2013 1 DISPOSISJON Tilsynsvarsel trussel eller mulighet? Umiddelbare aksjoner Hvordan tar vi dette
DetaljerRUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS
Rutine for informasjonssikkerhet for personopplysninger i BRIS RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS Innhold 1. Innledning 2 2. Formålet med BRIS 2 3. Personopplysninger i BRIS
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning
ISO 41001:2018 «Den nye læreboka for FM» Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning ISO 41001:2018 Kvalitetsverktøy i utvikling og forandring Krav - kapittel 4 til
DetaljerSikkerhet i Pindena Påmeldingssystem
Sikkerhet i Pindena Påmeldingssystem Versjon: 4.2.0 Oppdatert: 30.08.2017 Sikkerhet i Pindena Påmeldingssystem 2 Innhold Om dokumentet 3 Sikkerhet på klientsiden 3 Sikkerhetstiltak i koden 3 Rollesikkerhet
DetaljerVI BYGGER NORGE MED IT.
VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet
DetaljerSviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.
Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.september 2012 Om Datatilsynet Et forvaltningsorgan med stor grad av faglig uavhengighet
DetaljerPersonvern og informasjonssikkerhet ved samhandling
Personvern og informasjonssikkerhet ved samhandling Helge Veum, senioringeniør Dataforeningens frokostmøte om samhandlingsreformen Oslo 29. november 2011 Agenda 1. Innledning 2. Tilgangsstyring 3. Logging
DetaljerCyber-forsikring til hvilken pris?
Cyber-forsikring til hvilken pris? Hva betyr cyber-sikkerhet og cyber-risiko i kroner og øre? Bjørnar Solhaug Seminar om kost-nytte-analyse i en risikoevaluering SINTEF, 18. februar, 2015 1 Cyberspace
DetaljerNoen aktuelle tema for personvernombud i finans
Noen aktuelle tema for personvernombud i finans 31.01.2019 HVEM I ALLE DAGER SKAL (VIL?) VÆRE PERSONVERNOMBUD? Uavhengig rolle Kompetent på juss it - sektor Ikke den som bestemmer eller gir råd om prioriteringer
Detaljer)R8XWIRUGULQJHULQQHQ,7VLNNHUKHW. Ketil Stølen SINTEF 6. mars 2003
)R8XWIRUGULQJHULQQHQ,7VLNNHUKHW Ketil Stølen SINTEF 6. mars 2003 1 ,QQKROG n,7vlnnhukhw hva er det? n,7vlnnhukhw er ikke kun teknologi n,7vlnnhukhw forutsetter risikoanalyse n,7vlnnhukhw en del av systemutviklingen
DetaljerTruverdige mobile trådlause ad hoc-nett ein illusjon?
Truverdige mobile trådlause ad hoc-nett ein illusjon? Eli Winjum seniorforskar FFI Seminar 21. september 2006 Abelia Innovasjons Fagnettverk for Informasjonssikkerhet Skal snakka om Kva gjer eit kommunikasjonsnett
DetaljerMed hjertet på Internett
Oslo 18. april 2016 Med hjertet på Internett Sikkerhet i det medisinske IoT Marie Moe, PhD, Forsker ved, Systemutvikling og sikkerhet @MarieGMoe @SINTEF_Infosec 1 Dagens Næringsliv Magasinet 9. januar
DetaljerTrondheim, SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018
Trondheim, 2019-01-28 SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018 AGENDA Standard Norge Privat, uavhengig, medlemsorganisasjon, non-profit Etablert 2003, røtter til 1923 Standarder på de fleste
DetaljerDesign, gjennomføring og viderebruk av risikoanalyser. Per Myrseth 7. november 2013
Design, gjennomføring og viderebruk av risikoanalyser Per Myrseth Agenda Intro Design og gjennomføring Viderebruk av risikoanalyser Mulighetsrommet ved bruk av verktøystøtte og semantiske teknologier Oppsummering
DetaljerSecode sikkerhetsklarering
Secode sikkerhetsklarering Secode og Secodes ansatte kan håndtere informasjon gradert STRENGT FORTROLIG iht. Beskyttelsesinstruksen av 1.7.1972:»Alle ansatte hos Secode har gyldig sikkerhetsklarering t.o.m
DetaljerRetningslinjer for scenariobasert trusseldokumentasjon, erfaringer fra praksis
Retningslinjer for scenariobasert trusseldokumentasjon, erfaringer fra praksis Ida Hogganvik, PhD student SINTEF/UiO Innhold Hva er scenariobasert risikodokumentasjon? I hvilke sammenhenger brukes det?
DetaljerKost-nytte innen sikkerhet: Hva er prisen, hva er verdien, og hvordan prioritere blant tiltak?
Kost-nytte innen sikkerhet: Hva er prisen, hva er verdien, og hvordan prioritere blant tiltak? Aida Omerovic Seminar om kost-nytte analyse i en risikoevaluering 18. Feb. 2015 SINTEF Technology for a better
DetaljerSikkerhet i Pindena Påmeldingssystem
Sikkerhet i Pindena Påmeldingssystem Versjon: 6.0.0 Oppdatert: 20.05.2019 1 Innhold Innhold 2 1.Om dokumentet 3 2. Sikkerhet på klientsiden 3 3.Sikkerhetstiltak i koden 3 3.1 Rollesikkerhet 3 3.2 Databasesikkerhet
DetaljerMåling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,
Måling av informasjonssikkerhet ISO/IEC 27004:2016 Håkon Styri Seniorrådgiver Oslo, 2017-11-29 Disposisjon Hvorfor måler vi, og hva måler vi? Måling av styringssystemet Hvordan beskrive en måling? Måling
DetaljerPersonvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008
Personvern og tilgang i journal Internt & Eksternt Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008 1. Personvern Mer enn hindre tilgang Mer enn informasjonssikkerhet Sentrale element:
DetaljerHvordan håndheve sikkerhet med hensyn til endring
Hvordan håndheve sikkerhet med hensyn til endring DeSPoT Tormod Vaksvik Håvaldsrud SINTEF April 19, 2012 1 Mitt doktorgradsarbeid Motivasjon Begrepsavklaring Eksempel DeSPoT : A Method for the Development
DetaljerInformasjonssikkerhet og etikk hvordan henger dette sammen DRI
Informasjonssikkerhet og etikk hører dette sammen? DRI 1001 15.11.2005 Hva er informasjonssikkerhet Hvorfor informasjonssikkerhet hvilke trusler har vi og hvilke verdier bør vi beskytte Hvor og hvordan
DetaljerNTNU Retningslinje for tilgangskontroll
Retningslinje for tilgangskontroll Type dokument Retningslinje Forvaltes av Leder av IT-avdelingen Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018 Gjelder til 20.08.2020
DetaljerHvordan monitorere sikkerhet med hensyn til endring
Hvordan monitorere sikkerhet med hensyn til endring Olav Skjelkvåle Ligaarden Nettbaserte systemer og tjenester, SINTEF IKT Institutt for informatikk, Universitetet i Oslo Seminar om sikkerhetsstyring
DetaljerHvordan lage og bruke policyer i tillitshåndtering
Hvordan lage og bruke policyer i tillitshåndtering Bjørnar Solhaug Seminar: Håndtering av tillit i elektronisk samvirke SINTEF, 5. november 2009 ICT 1 Oversikt Policy-basert tillitshåndtering Tillit Tillit
DetaljerIvaretakelse av teknisk integritet ved levetidsforlengelse. Hans Urdahl 5. november 2009
Ivaretakelse av teknisk integritet ved levetidsforlengelse Hans Urdahl 5. november 2009 Agenda Introduksjon Hovedpunkter Kontinuerlige prosesser som ivaretar risiko Utfordringer knyttet til aldring Endring
DetaljerAkkrediteringsdagen 2014. Nyheter fra Norsk akkreditering
Akkrediteringsdagen 2014 Nyheter fra Norsk akkreditering Hilde M. A. Eid hme@akkreditert.no t Agenda Avvik oppsummering og årsaksanalyse Fleksibel akkreditering Akkrediteringsomfang og bruk av akkrediteringsmerket
DetaljerHva vet vi om utfordringer og behov rundt personvernhåndtering? En oppsummering av resultater fra en intervjuundersøkelse
Hva vet vi om utfordringer og behov rundt personvernhåndtering? En oppsummering av resultater fra en intervjuundersøkelse Aida Omerovic 4. Mai 2016 Seminar: Personvern forordninger og press på forretningsmodeller
DetaljerRetningslinjer for aggregering av risiko. Ketil Stølen
Retningslinjer for aggregering av risiko 1 Ketil Stølen 04.04 2017 Noen presiseringer Det er ikke alle risker det meningsfylt å aggregere Vårt fokus er på store virksomheter/bedrifter Målsetningen er i
DetaljerDigitalisering av krav - kravhåndtering
Digitalisering av krav - kravhåndtering Frokostmøte Standard Norge 23. mai 2017 Kirsten Helle Broadest portfolio of solutions for the production and transformation of oil and gas Subsea Onshore/Offshore
DetaljerTiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011
Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser
DetaljerROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05
ROS analyse for samfunnskritiske IKT systemer Utfordringer og muligheter 24/11-05 Hermann Steen Wiencke Proactima/Universitetet i Stavanger 1 Et samarbeid mellom Universitetet i Stavanger og Rogalandsforskning
DetaljerNS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester
NS-EN 15224 Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester NS-EN 15224 LEDELSESSYSTEMER FOR KVALITET NS-EN ISO 9001 FOR HELSE- OG OMSORGSTJENESTER Krav til systematiske metoder
DetaljerTilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017
Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll
DetaljerFagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)
Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling
DetaljerPAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK
PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper Elsikkerhetskonferansen 2013 NEK Hvorfor? Ambisjon: Statnetts anleggsforvaltning skal reflektere god praksis iht. PAS 55 Økt presisjon
DetaljerISO-standarderfor informasjonssikkerhet
Verifying security since 1999 ISO-standarderfor informasjonssikkerhet ISO/IEC 27000-serien Information technology Security techniques oiso/iec 27000 Information security management systems Overview and
DetaljerSikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO
Sikkerhet ved outsourcing Espen Grøndahl IT-sikkerhetssjef UiO Agenda Sikkerhet - hva er det egentlig? Uønskede hendelser Hva må en huske på? Tør vi dette da? Sikkerhet "Sikkerhet kan defineres som en
DetaljerCybersikkerhet for vannbransjen Fra Jon Bing til Jon Gelius?
VA-dagene Midt-Norge 2018 Cybersikkerhet for vannbransjen Fra Jon Bing til Jon Gelius? Martin Gilje Jaatun http://images.businessweek.com/ss/10/10/1014_cyber_attacks/8.htm Februar 2000 - Maroochy Shire,
DetaljerInformasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13
Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig
DetaljerTilgangsstyring i pleie, rehabilitering og omsorgstjenesten i kommunen. Normenkonferansen 2014 v/kirsti Pedersen og Irene Oksdøl
Tilgangsstyring i pleie, rehabilitering og omsorgstjenesten i kommunen Normenkonferansen 2014 v/kirsti Pedersen og Irene Oksdøl Innhold Hva har vi tenkt å komme inn på? Fakta om Oslo kommune Lovgrunnlag
DetaljerSÅRBARHETS- OG RISIKOSEMINAR
SÅRBARHETS- OG RISIKOSEMINAR 17 november 2005 Velkommen! Formål med seminaret Skape en arena hvor spesialister, myndighetene, ingeniører og forskere kan utveksle kunnskap og erfaring, og ha en åpen kommunikasjon.
DetaljerNår EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten?
Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten? Else Sandvand Agder University College, Kristiansand S, Norway Svein A. Berntsen Spesialsykehuset
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerNeste generasjon ISO standarder ISO 9001
Neste generasjon ISO standarder ISO 9001 DNV GL Business Assurance Norway AS 1 SAFER, SMARTER, GREENER Et nytt perspektiv For å sikre at kvalitetsstyring blir sett på som mer enn bare sertifisering...
DetaljerPersonvern i Dødsårsaksregisteret Lysebu, 7. november 2011
Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011 Hva betyr egentlig personvern? Enkeltindividets rett til å bestemme over seg selv og sin egen kropp og retten til kontrollere hvem som skal få
DetaljerHvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?
Nasjonal møteplass Når pasienten skriver journalen, om pasientinvolvering og bruk av nye verktøy i psykiatrien Tromsø 7. september 2010 Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?
DetaljerRisiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess
Risiko og Sårbarhetsanalyse på NTNU Presentasjons av prosess 2 (Info)Sikkerhetsrisiko formål Utfører risikovurderinger for å: Redusere usikkerhet og kompleksitet for systemet Kartlegge uakseptabel risiko
DetaljerAnalyse av tillit i elektronisk samvirke
Analyse av tillit i elektronisk samvirke Atle Refsdal SINTEF IKT ICT Oversikt Tillit Hvorfor analysere tillit? Tillit i elektronisk samvirke Tillit og oppførsel Modellering og analyse Nytten av modeller
DetaljerKvalitetssikring av arkivene
Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått
DetaljerTeknologioptimist om dagen- bekymret om natten
Teknologioptimist om dagen- bekymret om natten TEK-konferansen Strømstad 9. mai 2017 Einar Lunde, elu@nkom.no Innhold Digitale verdikjeder, digitale sårbarheter Avhengighet som sårbarhet Mulighetene Ansvarsforhold
DetaljerHøringsuttalelse - Forslag til ny kommunal helse- og omsorgslov
Helse- og Omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres ref. Deres dato Vår ref. Vår dato 200903950-/ATG 18.10.2010 010/11ToNy 13.01.2011 Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerInternkontroll Styring og kontroll. Økonomisk kriminalitet: Straff. Økonomisk kriminalitet. Økonomisk kriminalitet Misligheter
Internkontroll Styring og kontroll COSO og COSO ERM Økonomisk kriminalitet Misligheter Økonomisk kriminalitet: Straff Lovstridig handling Straffefrihetsgrunner (Nødrett Strl 17, Nødverge 18) Straffbarhetsvilkår
DetaljerErfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet
Erfaringer fra tilsyn Helge Rager Furuseth Nasjonal sikkerhetsmyndighet 1 Mål for NSMs tilsyn Pådriver for bedret sikkerhetstilstand Kontrollere overholdelse av plikter Bidra til å finne forbedringspunkter
DetaljerMønstergjenkjenningsprosjektet ved Oslo universitetssykehus
Mønstergjenkjenningsprosjektet ved Oslo universitetssykehus Erfaringer med mønstergjenkjenning som metode for å oppdage taushetspliktsbrudd ved bruk av elektronisk pasientjournal Helge Grimnes Personvernrådgiver
DetaljerEcoOnline norsk brukermanual
U N I V E R S I T E T E T I B E R G E N HMS-seksjonen EcoOnline norsk brukermanual Oppdatert: Oktober 2017 Colourbox Innhold Ny på EcoOnline Informasjon om EcoOnline For alle brukere av EcoOnline: Logge
DetaljerGjennomføring av sikringsrisikoanalyser og iverksetting av tiltak
Sikring en naturlig del av virksomhetens risikostyring? Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak Anne Egeli, Sikkerhetsrådgiver 17/11/2016 Hvem er vi? Safetec er en ledende tilbyder
DetaljerInformasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerForelesning 4: Kommunikasjonssikkerhet
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 4: Kommunikasjonssikkerhet Spørsmål 1: Sikkerhetsprotokoller a) Hva er en sikkerhetsprotokoll,
DetaljerKIS - Ekspertseminar om BankID
www.nr.no KIS - Ekspertseminar om BankID Dr. Ing. Åsmund Skomedal Forsknings sjef, DART, Norsk Regnesentral asmund.skomedal@nr.no 18. mars 2009 Tema til diskusjon Agenda punkter Kritisk analyse av digitale
DetaljerSikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres
Sikkerhedstrusler i sundhedsvæsenet - hvordan kan risiko og sårbarhed reduceres Arne Tjemsland Chefkonsulent Secode Norge arne.tjemsland@secode.com +47 99282916 1 Bakgrunn Mørketallsundersøkelsen (Norge),
DetaljerSammendrag Evaluering
Sammendrag Evaluering Utarbeidet av Norconsult Seksjon IKT & Sikkerhet Evaluering av BankID Med fokus på kundens kontroll over privat nøkkel Dato 2010-09-14 Versjon 1.0 Dokument referanse NO-5100770-ETR
DetaljerMå man være syk i hodet for å ha helseopplysninger i skyen?
Må man være syk i hodet for å ha helseopplysninger i skyen? Martin Gilje Jaatun Norm-konferansen 14/10 2015 @seniorfrosk SINTEF ICT 1 Utfordringer i nettskyen Lange leverandørkjeder Kompleksitet Skala
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerRisikoanalyser i petroleumsvirksomheten. Behov for å endre/justere kursen? Vidar Kristensen
Risikoanalyser i petroleumsvirksomheten Behov for å endre/justere kursen? Vidar Kristensen FoU Koordinator Petroleumstilsynet ESRA Norge seminar 10. mai 2012 Risikoanalyser mål og mening 1 Hvorfor gjennomføre
DetaljerKontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning
Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning Helge Grimnes Seksjon for informasjonssikkerhet og personvern Stab pasientsikkerhet og kvalitet Oslo universitetssykehus HF Grunnlag for
DetaljerNye organisasjonsnavn
Opplæring i regional elektronisk pasientjournal for ansatte ved Sunnaas sykehus Én pasientjournal i Helse Sør-Øst - tryggere, enklere, raskere Hva er de største endringene? o Organisasjonsoppsettet i DIPS
DetaljerREVISJON AV COMPLIANCE-PROGRAMMER
REVISJON AV COMPLIANCEPROGRAMMER NIRF Årskonferanse 2017 Mads Blomfeldt BDO compliance og gransking 1 AGENDA Hva er et complianceprogram? Aktuelle standarder og beskrivelser av «beste praksis» Forventninger
DetaljerPERSONVERN, GDPR OG COREPUBLISH
PERSONVERN, GDPR OG COREPUBLISH Innledning Dette dokumentet beskriver hvordan CorePublish fungerer i forhold til personvernloven og GDPR. Det er viktig å understreke at CorePublish er et CMS og et rammeverk
DetaljerHøringssvar - Forslag til ny pasientjournallov og ny helseregisterlov
Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag
DetaljerFÅ BEDRE KONTROLL MED EN STYREPORTAL
W W W. A D M I N C O N T R O L. C O M admin LOGG PÅ MED EN STYREPORTAL SIKKERT SAMARBEID Teknologien påvirker nesten alle aspekter av våre liv. Men selv om våre personlige liv har endret seg radikalt,
Detaljer