Datasikkerhet 2ISFA
Kompetansemål fra Kunnskapsløftet yte service gjennom brukerstøtte og kommunikasjon med brukere yte service gjennom driftsstøtte og kommunikasjon med leverandører og fagpersonell på norsk og engelsk planlegge og gjennomføre enkle kurs i å bruke kontorstøttesystemer og operativsystemer dokumentere og gjøre tilgjengelige løsninger på problemer
Mål for temaet Kunnskap: Elevene skal kjenne til trusler mot informasjon/data Elevene skal kunne gjøre en risikoanalyse Elevene skal kjenne til tiltak for å sikre informasjon/data Ferdighet: Elevene skal kunne kjenne igjen trusler på riktig nivå Elevene skal kunne anbefale riktig tiltak for å begrense skade i forhold til risikoanalysen Elevene skal kunne sette i verk et tiltak mot en generell trussel Holdning: Elevene skal etterleve målene i datasikkerhet i sitt arbeid og daglige virke.
Oppgaven Alle skal lage en hjemmeside for en privat bruker av Internett. Siden skal hjelpe brukeren å identifisere hvilke mål som er aktuelle for privat bruk Hjelpe brukeren å identifisere hvilke trusler som er aktuelle for privat bruk Hjelpe brukeren å bestemme tiltak som står i stil med truslene mot privat bruk Hjelpe brukeren å installere et tiltak, f.eks antivirusprogram (med bilder)
Innhold Viktig å ta notater, for 90% av det dere trenger skal jeg fortelle dere i timen!!!!!!
Innhold Vi skal jobbe variert. Hver økt vil bestå av litt gjennomgang av teori og litt selvstendig jobbing. Alle oppgaver underveis er deler av hjemmesideoppgaven.
Vurdering Hva blir vurdert?
Vurdering Brukervennlighet Brukerveiledning Riktige opplysninger Mål og trusler, tiltak Totalt inntrykk Arbeidsprosessen
Mål for Datasikkerhet Konfidensialitet Informasjon skal bare være tilgjengelig for dem som er autorisert til å se den Mulig brudd: sykejournaler dumpet i container. Brudd på taushetsplikt.
Mål for Datasikkerhet Integritet Informasjon skal bare modifiseres av dem som er autorisert til å gjøre det Mulig brudd: kan være uhell, eller med vilje. Eks. ødelagt harddisk, bevisst forandring av informasjon
Mål for Datasikkerhet Tilgjengelighet Informasjon skal være tilgjengelig for dem som er autorisert til å få den, når de trenger den. Mulig brudd: Denial of service,
Mål for Datasikkerhet Autensitet Personer, utstyr eller andre enheter i en transaksjon av informasjon eller annet skal være dem de sier de er. Mulig brudd: E-post sendes med falsk avsender, En person bruker en annen persons brukernavn og passord.
Mål for Datasikkerhet Validitet En part skal ikke kunne frasi seg sine aktiviteter Mulig brudd: En person sender en e-post og sier etterpå at det ikke var den som sendte e- posten.
Hva er en trussel? Et verktøy, en handling eller en kunnskap en person, eller organisasjon bruker for og med vilje å påvirke et automatisert system, fasilitet, eller operasjon. En potensiell risiko for sikkerhet.
Potensiell tap eller skade på informasjon eller utstyr. Hva er en risiko? Potensiell tap eller skade på informasjon eller utstyr.
Eksempler på trusler Hacking/ Cracking Tyvlytting Tyveri av hardware Tyveri av software Tyveri av data Virus og annen skadelig kode Phishing Fiendtlig etterretning
Eksempler på trusler Industrispionasje Sosial manipulasjon Bevisst skadeverk Denial of Service angrep Forfalskning/ underslag Brudd på copyrightrettigheter Passordangrep Brute force Dictionary
Eksempler på trusler Spyware Adware Rootkit
Risikoanalyse Er et analyseverktøy for å skaffe oversikt over verdier og trusler mot disse, i en organisasjon eller informasjonssystem. Beregner sannsynlighet og konsekvens Risiko måles ofte mot kostnaden for beskyttelse Hva er man villig til å utsette seg for
Risikoanalyse Eksempel: Lag en tabell med Identifiserte problemstillinger for eksempel ikke satt passord på trådløs router Risiko: Andre kan logge seg på ditt bredbånd Sannsynlighet (lag en stige fra 1-10 ut i fra hvor ofte dette kan skje) Mulige utfall (misbruk, straffbare forhold, dårligere hastighet for autoriserte brukere) Risikonivå (høy/middels/lav) I tillegg skal dere peke mot hvilket mål for datasikkerhet som kan brytes
Arbeid Jobb med risikoanalysen deres for en privat bruker av Internett i en hjemmesituasjon. Still dere spørsmål om hvilke farer/ risiko denne personen kan erfare hvis det ikke finnes: Brannmur, antivirus, oppdateringer av OS, etc. ALT går mot hjemmesideoppgaven
Tiltak Ikke-tekniske og tekniske tiltak
Tiltak Tekniske Brannmur Antivirus Spysweeper Ad-aware Kryptering Bevisst nettverks- arkitektur ikke-tekniske passordstrategi opplæring/kursing tilgangskontroll tilsyn/ etterkontroll prosedyrer/instruks
Hvorfor? Det spørres mest: Hva koster det? Hva får vi? Få spør hva trenger vi?
Oppgaven Risikoanalyse Liste over tiltak Oppsummering av trusler og hva de gjør Oversikt over mål for datasikkerhet Beskrivelse av mulige tiltak, både tekniske og ikke-tekniske Veiledning i installasjon av et tiltak