Nytt fra sekretariatet

Like dokumenter
Informasjonssikkerhet. Miniseminar om datakriminalitet 29. aug Rolf Sture Normann og Øivind Høiem

Sikkerhetskultur og informasjonssikkerhet

Sikkerhetsutfordringer ved informasjonsbehandling

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Nytt fra sekretariatet

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Informasjonssikkerhet i UH-sektoren

Sikkerhetsforum 2018

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Risikovurderinger. Øivind Høiem CISA, CRISK, ISO Lead implementer. Sekretariat for informasjonssikkerhet, UNINETT. SUHS-konferansen 2015

UH-sektorens utfordringer

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Risikovurdering av Public 360

Fagspesifikasjon. Veiledning i klassifisering av informasjon

UTS Operativ Sikkerhet - felles løft

Retningslinjer for klassifisering av INFORMASJON. UNINETT Fagspesifikasjon. UFS nr: 136

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Strategi for Informasjonssikkerhet

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Sikkerhetsforum i UH sektoren

NTNU Retningslinje for klassifisering av informasjon

SUHS-2014 Med UNINETT i en digital fremtid. Petter Kongshaug, Adm. Dir.

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet

SUHS konferansen 2012 CSO forum for sikkerhetsansvarlige. Rolf Sture Normann CSO, UNINETT

Ny styringsmodell for informasjonssikkerhet og personvern

RETNINGSLINJE for klassifisering av informasjon

UNINETT-konferansen 2017

HÅNDTERING AV NETTANGREP I FINANS

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Strategi for informasjonssikkerhet

Internkontroll. SUHS konferansen. 07. November 2012 Kenneth Høstland, CISA, CRISC

Sikkerhetskultur og informasjonssikkerhet

Oppfølging av informasjonssikkerheten i UH-sektoren

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Informasjonssikkerhetsprinsipper

Styring og ledelse av informasjonssikkerhet

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

Håndtering av forskningsdata og utvikling av datahåndteringsplaner (DMP) Solveig Fossum-Raunehaug (Forskningsavdelingen)

NASJONAL SIKKERHETSMYNDIGHET

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Kunnskapsdepartementets styringsmodell for informasjonssikkerhet i høyere utdanning og forskning

Håndtering av forskningsdata og utvikling av datahåndteringsplaner (DMP) Solveig Fossum-Raunehaug (Forskningsavdelingen)

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Informasjonsaktiva. - en (forsøksvis) praktisk tilnærming til kategorisering av data. Harald Rishovd. Oslo kommune, Vann- og avløpsetaten

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Erfaringer fra etableringen av institusjonsvise sikkerhetsteam

Hendelseshåndtering - organisering, infrastruktur og rammeverk

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Informasjonssikkerhet i Norge digitalt Teknologiforum

IKT-strategi for UH-sektoren

Leverandøren en god venn i sikkerhetsnøden?

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Informasjonssikkerhet

Det digitale trusselbildet Sårbarheter og tiltak

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Risiko- og sårbarhetsvurdering av Office365 skyløsning

INFORMASJONSSIKKERHETSPOLICY. Geir Tutturen IT-leder, UMB

Revisjon av IT-sikkerhetshåndboka

Riksrevisjonen og UH-sektoren - viktige saker og forventninger. Riksrevisor Per-Kristian Foss, Kunnskapsdepartementets styreseminar

PROSJEKTMANDAT PROSJEKTBESKRIVELSE. * Prosjektnavn Prosjektnummer. * Tilknytning til andre prosjekt og/eller program

Behovet for formalisering/etablering av institusjonsvise responsteam (IRT) i sektoren

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

KPMG Cyber - Hallowee

Uninett konferansen desember UNINETT- Program. Tjenester og samarbeid i en åpen arkitektur. Konferansen Universitetet i Stavanger

Objektsikkerhet. Sikkerhetsloven gir krav til beskyttelse av både informasjon( 12) og objekt( 17b).

Hva er sikkerhet for deg?

Etikk- og personvernshensyn i brukerundersøkelser

Jarle Langeland. Mellom IT-sikkerhet og personvern 2

Morgendagens digitale muligheter: programmet ecampus

Informasjonssikkerhet? - vi er da politiet!

Prosjektstyring UH. Samarbeid for god praksis. Status og nytt fra økonomisystemene. Elin Kristine Olsen, UNINETT Oktober 2015

Orientering fra Riksrevisjonen på UH-sektorens økonomiseminar 2017 Bernt Nordmark og Thorgunn Nordstrand

Ta opp, spill av; eller spill opp, ta av? Svalbardkonferansen, Longyearbyen, Ingrid Melve, Teknisk direktør, tjenester, UNINETT

Retningslinje for risikostyring for informasjonssikkerhet

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

* Oppdragsgiver * Prosjekteier * Prosjektleder ecampus Ingrid Melve Thorleif Hallén

Hva vet vi om utfordringer og behov rundt personvernhåndtering? En oppsummering av resultater fra en intervjuundersøkelse

Revisjon av informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet

Kvalitetssikring av arkivene

Totalleverandør av sikkerhet

Sikkerhet og informasjonssystemer

ecampus Norge en moderne infrastruktur for forskning, undervisning og formidling

Tilsiktede uønskede handlinger

Digital eksamen: prosjekt og arbeid

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Styringssystem for informasjonssikkerhet i Arbeidstilsynet

Hva skal lagres hvor? Praktisk erfaring

SECURITY DIVAS STRATEGI

Nettskyen, kontroll med data og ledelsens ansvar

The Norwegian Oil and Gas Association. Sikkerhetsforum - Brønnsikkerhet 7.februar, Jan Roger Berg

Transkript:

Nytt fra sekretariatet Sikkerhetsforum 2013 Øivind Høiem, CISA CRISC Seniorrådgiver

Trusselbilder fra PST «Offentlig og privat ansatte med tilgang til sensitiv informasjon smigres, bestikkes og presses til å gi fra seg informasjon eller til å bidra til å påvirke beslutningsprosesser.» 2

Trusselbilder fra PST «Et nyere trekk i etterretningen mot høyteknologi er enkelte etterretningstjenesters utilbørlige press mot studenter og forskere for å utlevere forskningsresultater til hjemlandet, nettopp for å styrke egen forskning og utvikling.» 3

Trusselbilder fra NSM «Fremmede staters etterretningstjenester søker primært å innhente informasjon som kan fremme landets politiske og økonomiske interesser.» «Aktiviteten er hovedsakelig rettet mot forsvars- og sikkerhetspolitikk, olje- og gassektoren, høyteknologi-/ forsknings-/undervisningsmiljøer og eksilmiljøer.» 4

Trusselaktører Nasjonalstater har både vilje og midler til å jobbe langsiktig for å oppnå sine mål Nasjonalstater Virksomheter (industrispionasje) 5 Aktivister (har kortsiktig fokus) «Vanlige» kriminelle (økonomisk vinning) Sporadiske hackere (nysgjerrighet, «ære og berømmelse»)

UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD Bakgrunnen er Riksrevisjonens kritikk av sektorens ivaretagelse av informasjonssikkerhet Skal støtte UH-sektoren i informasjonssikkerhetsspørsmål De nasjonale retningslinjene for informasjonssikkerhet legges til grunn for sekretariatets arbeid 6

I sekretariatet, er vi ikke late Rammeverk og metodikk Maler og informasjonsmateriell Risiko og sårbarhetsvurderinger Kontinuitet og beredskapsplaner Revisjoner Ledelsens gjennomgang Informasjon om trusselbilder Sikkerhetskulturbygging Arrangør av sikkerhetskonferanser Sikkerhetsportal på nettet Internasjonalt samarbeid 7

UNINETT CERT UNINETT håndterer hendelser i forskningsnettet Vi har et eget CERT - Computer Emergency Response Team Samarbeider med tilsvarende enheter i Norge og utlandet. Er medlem i FIRST - Forum of Incident Response and Security Teams og TI-Trusted Introducer 8

Uninytt: den sikre siden 9

den sikre siden 10

Utveksling av beste praksis i Norge Vi produserer fagspesifikasjoner i samarbeid med UHsektoren som en del av @campus programmet 11 https://www.uninett.no/ufs

og i Europa Noen av fag-spesifikasjonene blir oversatt til engelsk og gjort tilgjengelig som «Campus Best Practice» dokumenter i regi av EUprosjektet Géant 12 Vårt dokument «Information Security Policy» var det mest nedlastede dokumentet i 2012 http://www.geant.net/network/campus-best-practice/pages/home.aspx

NY UFS 136 RETNINGSLINJER FOR KLASSIFISERING AV INFORMASJON 13

Hvorfor Før man kan utføre en risiko og sårbarhetsvurdering må man vite hva man skal beskytte 14

Hensikt Å beskrive hvordan man klassifiserer informasjonsobjekter i forhold til f.eks. sensitivitet, kritikalitet, oppbevaringsperiode og avhending. 15 Å være et verktøy for informasjonseiere til å bidra til at virksomhetskritisk innhold blir opprettet, behandlet og avhendet i samsvar med interne og eksterne krav og beste praksis. Og så på dette grunnlag foreta en risiko- og sårbarhetsvurdering

Innhold Anbefaling om hvordan vi skal klassifisere informasjon Eksempler på hvordan informasjonsobjekter som er hyppig brukt i UH-sektoren kan klassifiseres Referanser til relevante standarder, lover og forskrifter 16

Digresjon: Metadata Metadata er informasjon om informasjonsobjekter som Type (dokument, presentasjon, regneark m.fl) Størrelse Forfatter Tittel Opprettelsesdato Sist modifisert osv. 17 Vi har også metadatatyper som tydeligere er relatert til informasjonssikkerhet, og det er de vi er ute etter.

Metadatatyper som bør klassifiseres Informasjonseier (eks. organisasjonsenhet, rolle eller prosess) Innhold (f.eks. forskningsdata) Lovhjemmel (f.eks. Offentlegslova 24.6.) Lagringssted (system) Åpne data i offentlig sektor? Sikkerhetsklassifisering (Åpen, Intern, Konfidensiell) Sikkerhetsbehov (Konfidensialitet, Integritet, Tilgjengelighet) Maks. nedetid Hvorfor har informasjonen bevaringsverdi? Personopplysninger (J/N) Arkivnøkkel Oppbevaringsperiode Avhendingsmetode 18

Eksempler basert på input fra UH-sektoren 19

Sikkerhetsportalen 20 https://www.uninett.no/infosikkerhet

Nasjonal sikkerhetsmåned i oktober Sekretariatet har planer om å arrangere aktiviteter i samarbeid med UHsektoren under den nasjonale sikkerhetsmåneden i oktober. 21 Info. på sidene til NorSIS norsis.no

Takk for meg 22 Øivind Høiem, CISA CRISC Seniorrådgiver informasjonssikkerhet +47 97104968 oivindh@uninett.no https://twitter.com/oivindhoiem

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding