Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Sikkerhet i smb Case Åstvedt Industrier

PublisertIngeborg Claussen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "Sikkerhet i smb Case Åstvedt Industrier"— Utskrift av presentasjonen:

1 Sikkerhet i smb Case Åstvedt Industrier
Pharos AS - Peter Bonne

2 Informasjonssikkerhetsutfordringer
Åstvedt Industrier AS Bedriften Åstvedt Industrier as ble etablert i 1966 Bedriften har ca 350 personer i aktivitet til enhver tid, og er Hordalands største Arbeidsmarkeds- og Attføringsbedriftbedrift 600 medarbeidere pr år og 200 kursdeltakere Informasjonssikkerhetsutfordringer Alle de vanlige Personopplysninger: Arbeidsmarkeds- og Attføringsbedriftbedrift Bredt spekter av aktiviteter med bruk av IT Kursvirksomhet

3 Åstvedt Industrier, organisasjon
STYRE ADM. DIREKTØR Sigurd E. Gjertsen FORRETNINGSUTVIKLER EQRM, HMS, prosjekter PERSONAL Personal Bedriftshelsetjeneste ADMINISTRASJON Regnskap, lønn, kantine, renhold, sentralbord KVALITETSLEDER Kvalitet, IT sikkerhet, prosjekter ÅSTVEDT MEKANISK Maskinering, Plate/sveis, Montering, Gravering ÅSTVEDT ELEKTRONIKK Utvikling, Kortmontering Trafoproduksjon, Tavlebygging ÅSTVEDT ATTFØRING Avklaring, kvalifisering, formidling. AMB, APS, AB, AMO kurs, IA ÅSTVEDT PROFILERING Skilt - dekor Skiltmontering ÅSTVEDT IT Kursvirksomhet Web & Grafisk IT Drift ÅSTVEDT KJENNEMERKE Kjøretøyskilt ÅSTVEDT LOGISTIKK Lager Transport ÅSTVEDT HELSE & OMSORG Barnehage

4 Informasjonssikkerhet
Sikkerhets- policy Trusler/Sårbarhet Risiko Virksomhetsmål og strategier Love/regler/Etikk standarder (ISO 17799) Implementeres ved hjelp av IT-Strategi Metoder/tekniker -Kryptering, Autentisering -Signering -innbruddsdetektering -mm Utstyr/programvare -Brannmure, viruskontroll Prosedyrer -Backup -sikkerhetsrevisjon Organisering/infrastruktur/ kompetanse Internt og eksternt miljø og brukere og ”brukere” Applikasjoner/ Tjenester Operativsystemer/basis programvare Utstyr/nettverk

5 Risikoanalyse 1.Oversikt over og beskrivelse av systemer og komponenter som skal inkluderes 2.Identifikasjon av mulige trusler 3.Identifikasjon av sårbarhet 4.Analyse av eksisterende og planlagte sikkerhetsforholdsregler 5.Vurdering av sannsynlighet for angrep 6.Vurdering av mulige skadevirkning 7.Bestemmelse av risiko 8.Valg/anbefaling av tiltak for å redusere risiko 9. Dokumentasjon av resultatet Verdien av skadevirkning dersom nødvendig nivå på konfidensialitet, integritet, og tilgjengelighet ikke opprettholdes bestemmer hvor sensitive dataene/systemene er med hensyn på disse områdene. Sensiviteten kan være forskjellig på de tre områder for en datamengde eller et system. Sensiviteten vil i høy grad bestemme hvilke nettverks- og utstyrskonfigurasjoner som må velges samt hvilke tiltak og metoder som skal brukes for å sikre at riktig nivå opprettholdes.

6 Risikoanalyse og sikkerhets tiltak ”etter boka”

7 Viktig for Åstvedt Industrier - og andre smb
Prosessen for å komme frem til en sikkerhetspolicy og tiltak må være overkommelig Informasjonssikkerhet må kunne håndteres sammen med annet kvalitetsarbeid, Åstvedt Industrier jobber bl a med: ISO 9000, kvalitetsstyring i forretningsdriften EQRM - European Quality in Rehabilitation Mark Informasjonssikkerhet er det tredje viktige område/dimensjon som er en forutsetning for effektivisering og kvalitetsforbedring basert på overgang til håndtering av informasjon på digital form

8 Den enkleste form for risikostyring
”vær forsiktig”? Alt du kan si er ”vær forsiktig”?

9 Risiko, trusler, sårbarheter, tiltak

10 Trusler og sårbarhet

11 Finnes det noe hjelp eller må man gjennom full risikoanalyse?
Generelle trusler og sårbarheter finnes dokumentert Sårbarhetslister som NIST I-CAT sårbarhetsdatabase ( SANS institute, i samarbeid med FBI, utgir med jevne mellomrom oversikt over de 20 mest kritiske Internett sikkerhetssårbarheter, "The SANS Top 20 Internett Securities Vulnerabilities". Senter for Informasjonssikring, SIS' varslingsliste: Informasjonssikkerhets standarder kan brukes for å lage sikkerhetspolicy ISO/IEC m fl

12 Kilder for trusler og sårbarhet, SANS Stormsenter

13 Standarder for informasjonssikkerhet

14 Administrasjon av informasjonssikkerhet ISO/IEC 17799
ISO/IEC omfatter følgende områder: Sikkerhetsarbeid i organisasjonen Klassifisering og sikring av aktiva Personellsikkerhet Fysisk og miljømessig sikkerhet Kommunikasjons- og driftsadministrasjon Tilgangskontroll Systemutvikling og vedlikehold Kontinuitetsplanlegging Overensstemmelse

15 Standarder, hjelpemidler
BS ISO/IEC 17799 -Bearbeiding -Deling i to nivåer -Konkretisering Strukturering av ca 1600 detaljpolicies/ tiltak iht ISO 17799 Oversettelse Information Security Policies made easy NS-ISO/IEC 17799 DS 484-1 - Basale krav - Udvidede krav Åstvedt Industrier - Overordnet policy for alle 9 områder i ISO 17799 - Policy/tiltak for 6 av områdene

16 Håndtering av spesielt viktige systemer og informasjon
Identifisering av systemer og informasjon Trussel og sårbarhetsvurdering risikovurdering og valg av tiltak For Åstvedt Industrier er personopplysninger definert som spesielt viktig (ÅI er atføringsbedrift) Det er identifisert 5 systemer med personopplysninger

17 Oppsummering, resultat
Sikkerhetspolicy og tiltak definert ut fra: Kilder for generelle trusler, sårbarheter og anbefalte tiltak Standarder for informasjonssikkerhet Risikovurdering og valg av tiltak for spesielt viktige systemer og informasjon Deretter kommer implementering - mye er implementert i utgangspunktet

Laste ned ppt "Sikkerhet i smb Case Åstvedt Industrier"

Liknende presentasjoner

4.3 FORSKRIFT OM ORGANISERING, LEDELSE OG MEDVIRKNING

4.3 FORSKRIFT OM ORGANISERING, LEDELSE OG MEDVIRKNING
Av Reidar Kvalvaag Beerenberg

Av Reidar Kvalvaag Beerenberg
Behov for forskning og utvikling knyttet til brukerinvolvering i offentlige IT-prosjekter Asbjørn Følstad, SINTEF IKT Oslo, 10. juni, 2004.

Behov for forskning og utvikling knyttet til brukerinvolvering i offentlige IT-prosjekter Asbjørn Følstad, SINTEF IKT Oslo, 10. juni, 2004.
Utfordringer på norsk sokkel sett fra arbeidstakersiden Norsk Offshoredag 23.05.02 Sonja D. Tinnesand forbundssekretær NOPEF.

Utfordringer på norsk sokkel sett fra arbeidstakersiden Norsk Offshoredag Sonja D. Tinnesand forbundssekretær NOPEF.
Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt

Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt
Stock Optimiser Beslutningsstøtteverktøy for optimalt reservedelslager

Stock Optimiser Beslutningsstøtteverktøy for optimalt reservedelslager
SIKKERHET i BKK Vestlandets eget kraftselskap Steinar Torsvik

SIKKERHET i BKK Vestlandets eget kraftselskap Steinar Torsvik
- Avslutningsseminar prosjekt Fallende gjenstander

- Avslutningsseminar prosjekt Fallende gjenstander
1 KvalitetsLosen: Prioriteringer og framdrift innenfor fellesfunksjoner / adm.funksjoner  Utarbeidet: 21.01.09. Inneholder 3 sider inkl. denne.  Det.

1 KvalitetsLosen: Prioriteringer og framdrift innenfor fellesfunksjoner / adm.funksjoner  Utarbeidet: Inneholder 3 sider inkl. denne.  Det.
En presentasjon 8.11-08 Morten Reiertsen.

En presentasjon Morten Reiertsen.
Kan det lages et felles internkontrollsystem i kommunen. Åre

Kan det lages et felles internkontrollsystem i kommunen. Åre
Internkontroll i kommuner

Internkontroll i kommuner
Strategi og politikk for utvikling av det digitale fag- og forskningsbibliotek ved egen institusjon av Lars Egeland, Høgskolen i Vestfold Innledning på.

Strategi og politikk for utvikling av det digitale fag- og forskningsbibliotek ved egen institusjon av Lars Egeland, Høgskolen i Vestfold Innledning på.
Er farlig avfallsbransjen kvalitetsbevisst nok

Er farlig avfallsbransjen kvalitetsbevisst nok
Prof. Dag Wiese Schartum, AFIN

Prof. Dag Wiese Schartum, AFIN
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Http://www.norsis.no/ Norsk Senter for Informasjonssikring (NorSIS) er en del av regjeringens helhetlig satsing på informasjonssikkerhet i Norge. NorSIS.

Norsk Senter for Informasjonssikring (NorSIS) er en del av regjeringens helhetlig satsing på informasjonssikkerhet i Norge. NorSIS.
FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt. 2013 Eva Henriksen, Eva Skipenes,

FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt Eva Henriksen, Eva Skipenes,
«Sammen om Kvalitet» Informasjon om kvalitet, kvalitetssystem og avvikssystem Kurs tillitsvalgte Utdanningsforbundet 23.mai 2013 Kjell Meen, kvalitetssjef.

«Sammen om Kvalitet» Informasjon om kvalitet, kvalitetssystem og avvikssystem Kurs tillitsvalgte Utdanningsforbundet 23.mai 2013 Kjell Meen, kvalitetssjef.
Prototyping In 140 Sommerville kap. 8. Mål Forstå hensikten med prototyping i forskjellige utviklingsprosjekt Forstå forskjellen mellom evolusjonær og.

Prototyping In 140 Sommerville kap. 8. Mål Forstå hensikten med prototyping i forskjellige utviklingsprosjekt Forstå forskjellen mellom evolusjonær og.

Liknende presentasjoner

Annonser fra Google