Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Sikkerhet i smb Case Åstvedt Industrier

Liknende presentasjoner


Presentasjon om: "Sikkerhet i smb Case Åstvedt Industrier"— Utskrift av presentasjonen:

1 Sikkerhet i smb Case Åstvedt Industrier
Pharos AS - Peter Bonne

2 Informasjonssikkerhetsutfordringer
Åstvedt Industrier AS Bedriften Åstvedt Industrier as ble etablert i 1966 Bedriften har ca 350 personer i aktivitet til enhver tid, og er Hordalands største Arbeidsmarkeds- og Attføringsbedriftbedrift 600 medarbeidere pr år og 200 kursdeltakere Informasjonssikkerhetsutfordringer Alle de vanlige Personopplysninger: Arbeidsmarkeds- og Attføringsbedriftbedrift Bredt spekter av aktiviteter med bruk av IT Kursvirksomhet

3 Åstvedt Industrier, organisasjon
STYRE ADM. DIREKTØR Sigurd E. Gjertsen FORRETNINGSUTVIKLER EQRM, HMS, prosjekter PERSONAL Personal Bedriftshelsetjeneste ADMINISTRASJON Regnskap, lønn, kantine, renhold, sentralbord KVALITETSLEDER Kvalitet, IT sikkerhet, prosjekter ÅSTVEDT MEKANISK Maskinering, Plate/sveis, Montering, Gravering ÅSTVEDT ELEKTRONIKK Utvikling, Kortmontering Trafoproduksjon, Tavlebygging ÅSTVEDT ATTFØRING Avklaring, kvalifisering, formidling. AMB, APS, AB, AMO kurs, IA ÅSTVEDT PROFILERING Skilt - dekor Skiltmontering ÅSTVEDT IT Kursvirksomhet Web & Grafisk IT Drift ÅSTVEDT KJENNEMERKE Kjøretøyskilt ÅSTVEDT LOGISTIKK Lager Transport ÅSTVEDT HELSE & OMSORG Barnehage

4 Informasjonssikkerhet
Sikkerhets- policy Trusler/Sårbarhet Risiko Virksomhetsmål og strategier Love/regler/Etikk standarder (ISO 17799) Implementeres ved hjelp av IT-Strategi Metoder/tekniker -Kryptering, Autentisering -Signering -innbruddsdetektering -mm Utstyr/programvare -Brannmure, viruskontroll Prosedyrer -Backup -sikkerhetsrevisjon Organisering/infrastruktur/ kompetanse Internt og eksternt miljø og brukere og ”brukere” Applikasjoner/ Tjenester Operativsystemer/basis programvare Utstyr/nettverk

5 Risikoanalyse 1.Oversikt over og beskrivelse av systemer og komponenter som skal inkluderes 2.Identifikasjon av mulige trusler 3.Identifikasjon av sårbarhet 4.Analyse av eksisterende og planlagte sikkerhetsforholdsregler 5.Vurdering av sannsynlighet for angrep 6.Vurdering av mulige skadevirkning 7.Bestemmelse av risiko 8.Valg/anbefaling av tiltak for å redusere risiko 9. Dokumentasjon av resultatet Verdien av skadevirkning dersom nødvendig nivå på konfidensialitet, integritet, og tilgjengelighet ikke opprettholdes bestemmer hvor sensitive dataene/systemene er med hensyn på disse områdene. Sensiviteten kan være forskjellig på de tre områder for en datamengde eller et system. Sensiviteten vil i høy grad bestemme hvilke nettverks- og utstyrskonfigurasjoner som må velges samt hvilke tiltak og metoder som skal brukes for å sikre at riktig nivå opprettholdes.

6 Risikoanalyse og sikkerhets tiltak ”etter boka”

7 Viktig for Åstvedt Industrier - og andre smb
Prosessen for å komme frem til en sikkerhetspolicy og tiltak må være overkommelig Informasjonssikkerhet må kunne håndteres sammen med annet kvalitetsarbeid, Åstvedt Industrier jobber bl a med: ISO 9000, kvalitetsstyring i forretningsdriften EQRM - European Quality in Rehabilitation Mark Informasjonssikkerhet er det tredje viktige område/dimensjon som er en forutsetning for effektivisering og kvalitetsforbedring basert på overgang til håndtering av informasjon på digital form

8 Den enkleste form for risikostyring
”vær forsiktig”? Alt du kan si er ”vær forsiktig”?

9 Risiko, trusler, sårbarheter, tiltak

10 Trusler og sårbarhet

11 Finnes det noe hjelp eller må man gjennom full risikoanalyse?
Generelle trusler og sårbarheter finnes dokumentert Sårbarhetslister som NIST I-CAT sårbarhetsdatabase (http://icat.nist.gov) SANS institute, i samarbeid med FBI, utgir med jevne mellomrom oversikt over de 20 mest kritiske Internett sikkerhetssårbarheter, "The SANS Top 20 Internett Securities Vulnerabilities". Senter for Informasjonssikring, SIS' varslingsliste: Informasjonssikkerhets standarder kan brukes for å lage sikkerhetspolicy ISO/IEC m fl

12 Kilder for trusler og sårbarhet, SANS Stormsenter

13 Standarder for informasjonssikkerhet

14 Administrasjon av informasjonssikkerhet ISO/IEC 17799
ISO/IEC omfatter følgende områder: Sikkerhetsarbeid i organisasjonen Klassifisering og sikring av aktiva Personellsikkerhet Fysisk og miljømessig sikkerhet Kommunikasjons- og driftsadministrasjon Tilgangskontroll Systemutvikling og vedlikehold Kontinuitetsplanlegging Overensstemmelse

15 Standarder, hjelpemidler
BS ISO/IEC 17799 -Bearbeiding -Deling i to nivåer -Konkretisering Strukturering av ca 1600 detaljpolicies/ tiltak iht ISO 17799 Oversettelse Information Security Policies made easy NS-ISO/IEC 17799 DS 484-1 - Basale krav - Udvidede krav Åstvedt Industrier - Overordnet policy for alle 9 områder i ISO 17799 - Policy/tiltak for 6 av områdene

16 Håndtering av spesielt viktige systemer og informasjon
Identifisering av systemer og informasjon Trussel og sårbarhetsvurdering risikovurdering og valg av tiltak For Åstvedt Industrier er personopplysninger definert som spesielt viktig (ÅI er atføringsbedrift) Det er identifisert 5 systemer med personopplysninger

17 Oppsummering, resultat
Sikkerhetspolicy og tiltak definert ut fra: Kilder for generelle trusler, sårbarheter og anbefalte tiltak Standarder for informasjonssikkerhet Risikovurdering og valg av tiltak for spesielt viktige systemer og informasjon Deretter kommer implementering - mye er implementert i utgangspunktet


Laste ned ppt "Sikkerhet i smb Case Åstvedt Industrier"

Liknende presentasjoner


Annonser fra Google