Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Pharos Side1 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Sikkerhet i smb Case Åstvedt Industrier Pharos AS - Peter Bonne.

Liknende presentasjoner


Presentasjon om: "Pharos Side1 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Sikkerhet i smb Case Åstvedt Industrier Pharos AS - Peter Bonne."— Utskrift av presentasjonen:

1 Pharos Side1 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Sikkerhet i smb Case Åstvedt Industrier Pharos AS - Peter Bonne

2 Pharos Side2 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Åstvedt Industrier AS Bedriften l Åstvedt Industrier as ble etablert i 1966 l Bedriften har ca 350 personer i aktivitet til enhver tid, og er Hordalands største Arbeidsmarkeds- og Attføringsbedriftbedrift l 600 medarbeidere pr år og 200 kursdeltakere Informasjonssikkerhetsutfordringer l Alle de vanlige l Personopplysninger: Arbeidsmarkeds- og Attføringsbedriftbedrift l Bredt spekter av aktiviteter med bruk av IT l Kursvirksomhet

3 Pharos Side3 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Åstvedt Industrier, organisasjon ADM. DIREKTØR Sigurd E. Gjertsen ADM. DIREKTØR Sigurd E. Gjertsen STYRE ÅSTVEDT IT Kursvirksomhet Web & Grafisk IT Drift ÅSTVEDT IT Kursvirksomhet Web & Grafisk IT Drift ÅSTVEDT MEKANISK Maskinering, Plate/sveis, Montering, Gravering ÅSTVEDT MEKANISK Maskinering, Plate/sveis, Montering, Gravering PERSONAL Personal Bedriftshelsetjeneste KVALITETSLEDER Kvalitet, IT sikkerhet, prosjekter KVALITETSLEDER Kvalitet, IT sikkerhet, prosjekter ADMINISTRASJON Regnskap, lønn, kantine, renhold, sentralbord ADMINISTRASJON Regnskap, lønn, kantine, renhold, sentralbord FORRETNINGSUTVIKLER EQRM, HMS, prosjekter FORRETNINGSUTVIKLER EQRM, HMS, prosjekter ÅSTVEDT KJENNEMERKE Kjøretøyskilt ÅSTVEDT KJENNEMERKE Kjøretøyskilt ÅSTVEDT PROFILERING Skilt - dekor Skiltmontering ÅSTVEDT PROFILERING Skilt - dekor Skiltmontering ÅSTVEDT ATTFØRING Avklaring, kvalifisering, formidling. AMB, APS, AB, AMO kurs, IA ÅSTVEDT ATTFØRING Avklaring, kvalifisering, formidling. AMB, APS, AB, AMO kurs, IA ÅSTVEDT ELEKTRONIKK Utvikling, Kortmontering Trafoproduksjon, Tavlebygging ÅSTVEDT ELEKTRONIKK Utvikling, Kortmontering Trafoproduksjon, Tavlebygging ÅSTVEDT HELSE & OMSORG Barnehage ÅSTVEDT HELSE & OMSORG Barnehage ÅSTVEDT LOGISTIKK Lager Transport ÅSTVEDT LOGISTIKK Lager Transport

4 Pharos Side4 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Informasjonssikkerhet Virksomhetsmål og strategier Sikkerhets- policy Trusler/Sårbarhet Risiko IT-Strategi Applikasjoner/ Tjenester Operativsystemer/basis programvare Utstyr/nettverk Internt og eksternt miljø og brukere og ”brukere” Implementeres ved hjelp av Metoder/tekniker -Kryptering, Autentisering -Signering -innbruddsdetektering -mm Utstyr/programvare -Brannmure, viruskontroll -mm Prosedyrer -Backup -sikkerhetsrevisjon -mm Organisering/infrastruktur/ kompetanse Love/regler/Etikk standarder (ISO 17799)

5 Pharos Side5 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Risikoanalyse 1.Oversikt over og beskrivelse av systemer og komponenter som skal inkluderes 2.Identifikasjon av mulige trusler 3.Identifikasjon av sårbarhet 4.Analyse av eksisterende og planlagte sikkerhetsforholdsregler 5.Vurdering av sannsynlighet for angrep 6.Vurdering av mulige skadevirkning 7.Bestemmelse av risiko 8.Valg/anbefaling av tiltak for å redusere risiko 9. Dokumentasjon av resultatet Verdien av skadevirkning dersom nødvendig nivå på konfidensialitet, integritet, og tilgjengelighet ikke opprettholdes bestemmer hvor sensitive dataene/systemene er med hensyn på disse områdene. Sensiviteten kan være forskjellig på de tre områder for en datamengde eller et system. Sensiviteten vil i høy grad bestemme hvilke nettverks- og utstyrskonfigurasjoner som må velges samt hvilke tiltak og metoder som skal brukes for å sikre at riktig nivå opprettholdes.

6 Pharos Side6 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Risikoanalyse og sikkerhets tiltak ”etter boka”

7 Pharos Side7 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Viktig for Åstvedt Industrier - og andre smb l Prosessen for å komme frem til en sikkerhetspolicy og tiltak må være overkommelig l Informasjonssikkerhet må kunne håndteres sammen med annet kvalitetsarbeid, Åstvedt Industrier jobber bl a med: –ISO 9000, kvalitetsstyring i forretningsdriften –EQRM - European Quality in Rehabilitation Mark l Informasjonssikkerhet er det tredje viktige område/dimensjon som er en forutsetning for effektivisering og kvalitetsforbedring basert på overgang til håndtering av informasjon på digital form

8 Pharos Side8 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Den enkleste form for risikostyring ”vær forsiktig”? Alt du kan si er ”vær forsiktig”?

9 Pharos Side9 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Risiko, trusler, sårbarheter, tiltak

10 Pharos Side10 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Trusler og sårbarhet

11 Pharos Side11 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Finnes det noe hjelp eller må man gjennom full risikoanalyse? l Generelle trusler og sårbarheter finnes dokumentert –Sårbarhetslister som NIST I-CAT sårbarhetsdatabase (http://icat.nist.gov)http://icat.nist.gov –SANS institute, i samarbeid med FBI, utgir med jevne mellomrom oversikt over de 20 mest kritiske Internett sikkerhetssårbarheter, "The SANS Top 20 Internett Securities Vulnerabilities". – Senter for Informasjonssikring, SIS' varslingsliste: l Informasjonssikkerhets standarder kan brukes for å lage sikkerhetspolicy –ISO/IEC m fl

12 Pharos Side12 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Kilder for trusler og sårbarhet, SANS Stormsenter

13 Pharos Side13 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Standarder for informasjonssikkerhet

14 Pharos Side14 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Administrasjon av informasjonssikkerhet ISO/IEC ISO/IEC omfatter følgende områder: l Sikkerhetsarbeid i organisasjonen l Klassifisering og sikring av aktiva l Personellsikkerhet l Fysisk og miljømessig sikkerhet l Kommunikasjons- og driftsadministrasjon l Tilgangskontroll l Systemutvikling og vedlikehold l Kontinuitetsplanlegging l Overensstemmelse

15 Pharos Side15 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Standarder, hjelpemidler BS ISO/IEC NS-ISO/IEC DS Basale krav - Udvidede krav Oversettelse -Bearbeiding -Deling i to nivåer -Konkretisering Strukturering av ca 1600 detaljpolicies/ tiltak iht ISO Information Security Policies made easy Åstvedt Industrier - Overordnet policy for alle 9 områder i ISO Policy/tiltak for 6 av områdene

16 Pharos Side16 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Håndtering av spesielt viktige systemer og informasjon l Identifisering av systemer og informasjon l Trussel og sårbarhetsvurdering l risikovurdering og valg av tiltak l For Åstvedt Industrier er personopplysninger definert som spesielt viktig (ÅI er atføringsbedrift) l Det er identifisert 5 systemer med personopplysninger

17 Pharos Side17 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Oppsummering, resultat Sikkerhetspolicy og tiltak definert ut fra: l Kilder for generelle trusler, sårbarheter og anbefalte tiltak l Standarder for informasjonssikkerhet l Risikovurdering og valg av tiltak for spesielt viktige systemer og informasjon l Deretter kommer implementering - mye er implementert i utgangspunktet


Laste ned ppt "Pharos Side1 Sikkerhet i smb, case Åstvedt Industrier - Peter Bonne/Pharos AS Sikkerhet i smb Case Åstvedt Industrier Pharos AS - Peter Bonne."

Liknende presentasjoner


Annonser fra Google