En oversikt over forskjellige aspekter ved sikkerhetspolicyer



Like dokumenter
Hva er vitsen med sikkerhetspolicies?

)R8XWIRUGULQJHULQQHQ,7VLNNHUKHW. Ketil Stølen SINTEF 6. mars 2003

Arbeidsprogram!for!Nmf!Bergen!2013/2014!

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

GDPR i praksis, sett fra en teknisk bedömmer. Anders Bergman IT-bedömmer NA og SWEDAC Greenfinger AB

Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

OVERSIKT SIKKERHETSARBEIDET I UDI

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Difi Informasjonssikkerhet 12. april 2012 Implementering av Styringssystem for informasjonssikkerhet. Øivind Nyseth

Frokostseminar ISO serien Hva kan den brukes til i Norge?

Dokumentformater = krig

CORBA Component Model (CCM)

Internkontroll og informasjonssikkerhet lover og standarder

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Policy for informasjonssikkerhet og personvern i Sbanken ASA

HVEM ER JEG OG HVOR «BOR» JEG?

Model Driven Architecture (MDA) Interpretasjon og kritikk

Badeteknisk Europeiske standarder for bade- og svømmeanlegg betydning for oss?

Beskrivelse av informasjonssystemet

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

Faglig ledelse i sakkyndig virksomhet Storefjell, 12. mars 2009 Standarder Jan G. Eriksson, Standard Norge

Søknadsskjema Kurs: Bedre liv Instruktør: Vibeke C. Hammer

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Norm for informasjonssikkerhet i helsesektoren

Opplæring i informasjonssikkerhet Fem egenutviklete elæringsmoduler

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Hva jeg skal snakke om

Universell utforming Deltakelse og tilgjengelighet

Håndtering av personlig informasjon

Høringsuttalelse forskrift om obligatoriske IT-standarder

Bankintegrasjon: Én løsning, mange muligheter

Standarder som virkemiddel i oppdrettsnæringen. Om NS 9415 og ny HMSstandard

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Revisjon av informasjonssikkerhet

Retningslinje for risikostyring for informasjonssikkerhet

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Søknadsskjema Kurs: Bedre liv Instruktør: Vibeke C. Hammer

Åpne data. NTNUs politikk for åpne forskningsdata

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Standardisering av krypto i offentlig sektor. Standardiseringsrådsmøte (beslutningssak)

Elkontroll - metode, kontrollforetak, personell og sertifisering

EKSAMENSFORSIDE Skriftlig eksamen med tilsyn

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Policy for personvern

Håndtering av forskningsdata og utvikling av datahåndteringsplaner (DMP) Solveig Fossum-Raunehaug (Forskningsavdelingen)

Content Management - fra kaos til kunnskap

Kvalitetssikring av arkivene

De viktigste forskningsområdene er

HEMIT EKSTRANETT HVORDAN GJØR JEG DET? 01 Pålogging, navigering og struktur

Infrastrukturmillaradene - Hvor er NMBU?

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Informasjonssikkerhet i UH-sektoren

Felles arkitekturprinsipper for helse- og velferdsområdet

Håndtering av forskningsdata og utvikling av datahåndteringsplaner (DMP) Solveig Fossum-Raunehaug (Forskningsavdelingen)

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

NEK kort fortalt

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

ISO-godkjent format for kontordokumenter

Merknader til foreslått revidering av Energilovsforskriften av 7. desember 1990 nr. 959 (ref. nr )

Versjon

Memo - Notat. Oppsummering - status etablering av Smak av kysten. Kopi til: Dato: Referanse:

Håndtering, lagring og deling av forskningsdata ved NTNU

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater

Frist for innspill: 1. november Mottaker etter liste

Kravspesifikasjon for Telefly NG. Versjon 1.0

Norsk Arkivråd - Høstseminar 2009 Erfaringer med bruk av NOARK 5

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

SPECTRUM 4.0. Lansering Kjerringøy!

Last ned Betong - Per Jahren. Last ned. Last ned e-bok ny norsk Betong Gratis boken Pdf, ibook, Kindle, Txt, Doc, Mobi

Referansemodell for arkiv

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Kvalitetssystem, vedlikeholdssystem, kunnskapssytem er det noen sammenheng. Vedlikeholdsforum Oslo Knut Ringsrud Eidsiva Vannkraft

Høringsnotat ny delversjon av Referansekatalog for anbefalte og obligatoriske IT-standarder i offentlig sektor, våren 2015

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Handbok i informasjonstryggleik. Presentasjon Geir Håvard Ellingseter, dokumentsenteret

Mønsterbesvarelse til DRI1010 eksamen vår 2013

Strategi for nasjonale felleskomponenter og -løsninger i offentlig sektor. Strategiperiode

Slik kan ELMER gi gladere innbyggere, lavere kostnader og riktigere vedtak. Tor Nygaard Servicekonferansen

Resultater fra kartlegging Digitalisering, innovasjon og grønt skifte PA Consulting Group

Last ned Jordingshåndboka - Torleif Korneliussen

Nye personvernregler

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Søknadsskjema Kurs: Tilbake til livet Instruktør: Vibeke C. Hammer

Mobilbank kontrollspørsmål apper

Kjennetegn. Enhetlig skriveradministrasjon Utskriftspolicy Produktbasert jobbehandling Administrasjon av utskriftskø APPLIKASJONER.

Hva betyr tjenesteorientert arkitektur for sikkerhet?

KRAVSPESIFIKASJON FOR SOSIORAMA

KomNær Bærum kommune Anskaffelser responssentertjenester og trygghetsskapende teknologi; «TRYGGERE HVERDAG»

BILAG 5. Sikkerhetsvedlegg

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

P R E S E N TA S J O N AV F O R B E D R I N G S P R O G R A M M E T «L I N K I T» F R O K O S T M Ø T E B A

Hvorfor klarer dine konkurrenter omstillingen men ikke du? september

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Last ned Dommerne og mediene. Last ned. Last ned e-bok ny norsk Dommerne og mediene Gratis boken Pdf, ibook, Kindle, Txt, Doc, Mobi

Transkript:

En oversikt over forskjellige aspekter ved sikkerhetspolicyer Ketil Stølen Sjefsforsker/Professor II SINTEF/UiO Oslo 23. mars 2006

Innhold Hva mener vi med sikkerhet? Hva er en policy? Policyer versus risikoanalyse Policyer versus standarder Policyer versus kravspesifikasjoner Policyer versus retningslinjer Overordnet struktur for en policy Organisering av seminaret, samt to formularer

Hva er sikkerhet? sikkerhet konfidensialitet integritet tilgjenglighet etterprøvbarhet bare autoriserte aktører har tilgang til informasjon bare autoriserte aktører kan endre, opprette, eller slette informasjon autoriserte aktører har tilgang til informasjon i henhold til behov det er mulig i ettertid å kontrollere hendelsesforløp i systemet

Hva er en policy? En policy er typisk et dokument som beskriver spesifikke krav eller regler som må tilfredsstilles Håndbok i Informasjonssikkerhet (http://helmersol.nr.no/haandbok/): En sikkerhetspolicy definerer sikkerheten i en virksomhet. Alle generelle overordnede regler for håndtering av informasjon skal nedfestes i et policydokument En sikkerhetspolicy uttrykker hva og ikke hvordan

Policyer versus risikoanalyse Sikkerhetspolicy = regler, krav og føringer på hvordan aktiva - inkludert sensitiv informasjon - håndteres, beskyttes og distribueres innen en organisasjon og dets IT systemer Sikkerhetsarkitektur = grovskisse av hvordan sikkerheten i en organisasjon ivaretas rent teknisk risikoanalyse sikkerhetspolicy sikkerhetsarkitektur gir opphav til krav formalisert i form av en som implementeres i form av MEN, DETTE ER EN FORENKLING!!!!!

Ulike typer standarder Formell standard US: akkreditert av American National Standards Institute (ANSI) Norge: akkreditert av en av de norske standardiseringsorganisasjonene Standard Norge Norsk Elektroteknisk Komite (NEK) Post og Teletilsynet (PT) Åpen standard EU har fremsatt 4 minimumskrav: ikke-kommersiell, fra dokumentasjonen, ingen royalty, fri gjenbruk Eksempel: html som vedlikeholdes av W3C De facto standard Standard fordi så mange bruker formatet Eksempel: filformatet MS Word Doc

Policyer versus standarder En standard er et dokument som beskriver viktige deler av et produkt, en tjeneste eller en arbeidsprosess Standarder gir for eksempel løsninger på hvordan produkter bør fremstilles og hvordan systemer bør beskrives Standarder er typisk mer generelle, og har et bredere domene enn policyer

Policyer versus kravspesifikasjoner En kravspesifikasjon beskriver krav til et systems funksjonalitet, kvalitet etc. En policy beskriver krav til hvordan systemet skal konfigureres, og hvordan det skal brukes En policy implementeres på toppen av den vanlige funksjonaliteten Det er implisitt at det som begrenses av policyen har potensial til å bryte med den

Policyer versus retningslinjer En retningslinje er typisk en samling av systemspesifikke forslag til best praksis En retningslinje er ikke et krav (som hører hjemme i en policy) men mer en sterk anbefaling

Struktur for et policydokument 1. Hensikt formålet med policyen 2. Domene avgrensning av dens gyldighetsområde 3. Policy selve policybeskrivelsen 4. Håndhevelse konsekvensen ved ikke å følge den 5. Definisjoner viktig å definere sentrale begreper 6. Revisjonshistorie en policy endrer seg over tid, og dette må dokumenteres

Policy for dette seminaret Hver foredragsholder har 20 minutter til rådighet Jeg reiser meg når det gjenstår 3 minutter Spørsmål stilles etter hvert foredrag Det er satt av 5 minutter til spørsmål og svar for hvert foredrag

To skjemaer vi gjerne ser at dere fyller ut Seminarevaluering Hjelper oss å bli bedre Spørreundersøkelse Bidrag til forskning Del av Jenny Hougens hovedoppgave

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding