Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

It-sikkerhedsledelse

Offentliggjort afFrederik Therkildsen Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "It-sikkerhedsledelse"— Præsentationens transcript:

1 It-sikkerhedsledelse
Om værktøjer til it-sikkerhedsfunktionen (c) 2003, 2004, 2005 Neupart A/S

2 Neupart’ fokus: It-sikkerhedsledelse
Vi leverer software som: Hjælper sikkerhedsansvarlige med effektiv it-sikkerhed F.eks. It-sikkerhedshåndbog, politik, procedurer, beredskab, risikovurdering & analyse, awareness, uddannelse og opfølgning. Styrker Den menneskelige Firewall Politik-baserede awareness-programmer Målrettet & effektiv uddannelse til alle brugere Kort sagt: Et komplet ISMS Information Security Management System Ledelsessystem til it-sikkerhed (c) 2003, 2004, 2005 Neupart A/S

3 Om Neupart Neupart-kontorer i: Neupart-forhandlere & -distributører i:
Danmark (Lyngby) USA (Ferndale, Washington) Tyskland (Düsseldorf) Neupart-forhandlere & -distributører i: England, Norge, Østrig, Schweiz, New Zealand. (c) 2003, 2004, 2005 Neupart A/S

4 Kunde-eksempler fra staten
Integrationsministeriet Kulturministeriets Administrationscenter Udenrigsministeriet Økonomi- og Erhvervsministeriet Fødevareministeriet Ministeriet for Familie- og Forbrugeranliggender Finanstilsynet Konkurrencestyrelsen Kystdirektoratet SLV (Statens Luftfartsvæsen) Patent og Varemærkestyrelsen Banedanmark (c) 2003, 2004, 2005 Neupart A/S

5 Kunde-eksempler, kommuner
Aabenraa Kommune Aalborg Kommune Allerød Kommune Ballerup Kommune Bornholms Regionskommune Faxe Kommune Fredensborg Kommune Frederikssund Kommune Frederiksværk-Hundested Kommune Furesø Kommune Gladsaxe Kommune Guldborgsund Kommune Helsingør Kommune Holbæk Kommune Hørsholm Kommune Kalundborg Kommune Kolding Kommune Københavns Kommune Lolland Kommune Mariagerfjord Kommune Middelfart Kommune Norddjurs Kommune Roskilde Kommune Rudersdal Kommune Syddjurs Kommune Svendborg Kommune Vallensbæk Kommune Vesthimmerlands Kommune Vordingborg Kommune (c) 2003, 2004, 2005 Neupart A/S

6 Kunde-eksempler, virksomheder
Akademikernes A-kasse AP Pension Arla Foods Bogpa – in/out Grontmij Carl Bro Group Christian Hansen Group Dagbladet Børsen De Gule Sider DLH DanCenter Dansk Standard EIK Bank Elfac A/S EnergiNet.dk Fujitsu Services G4S Security Services Handelshøjskolen i Århus HNG IAK IDA JN Data Kristelig Fagforening Kwintet/Kansas Max Bank Mcphone Telemarketing Naturgas Midt-Nord NRGi OK PBS Segezha Packaging SONOFON Symphogen Tabulex TDC Terma Tryg Vesta Group (c) 2003, 2004, 2005 Neupart A/S

7 Generelt om SecureAware:
(c) 2003, 2004, 2005 Neupart A/S

8 SecureAware: Praktiske redskaber
Moduler: Policy It-sikkerhedshåndbog Awareness (intranet) Awareness quiz, måling Risk Risikostyring Compliance Efterlevelse, kontrol, krav Compliance Workflow Opfølgning i praksis Tilvalg: Portaler Adskilte instanser Sprog Smart sprog-styring. (c) 2003, 2004, 2005 Neupart A/S

9 Kort om SecureAware: Et system til it-sikkerhedsledelse (ISMS) som hjælper med at efterleve it-sikkerhedskrav, bl.a. DS484, ISO27001, ISO27002 (tidligere ISO17799) Styrer og styrker informationssikkerheden i virksomheder (private og offentlige). Giver tidseffektive redskaber til it- sikkerhedsanvarlige. Har al nødvendig sikkerhedsviden til alle medarbejdere Er en modulær og integreret løsning Også kaldet: It-sikkerhedsportal, sikkerhedsintranet, elektronisk sikkerhedshåndbog. (c) 2003, 2004, 2005 Neupart A/S

10 SecureAware® software
Slutbrugere Superbruger (c) 2003, 2004, 2005 Neupart A/S

11 Efterlevelse, kontrol, krav: SecureAware Compliance
(c) 2003, 2004, 2005 Neupart A/S

12 SecureAware Compliance
Checklister baseret på krav (kontrolpunkter) fra DS484:2005 DS484:2005 har samme krav som ISO/IEC 17799:2005 Komplet med spørgsmål der også afdækker om implementerings-retningslinier er efterlevet. PDF-rapporter med overblik og detaljer (c) 2003, 2004, 2005 Neupart A/S

13 Relevante Standarder ISO / IEC 27002 (tidligere 17799) ISO / IEC 27001
Code of practice for Information Security Management Alias BS :2005 ISO / IEC 27001 Kontrolpunkter ISMS Alias BS7799-2:2005 DS484 Standard for Informationssikkerhed Samme kontroller som ISO/IEC 17799 Note: 2005-opdateringer: Ingen voldsomme ændringer. Strukturforbedringer øger anvendeligheden. ISO17799 er frigivet i juni DS484 er frigivet i oktober ISO27001 er frigivet i oktober (c) 2003, 2004, 2005 Neupart A/S

14 BS 7799-1 BS 7799-2 ISO 27001 DS 484:2005 Code of practice
ISMS requirements Implementation guidance Controls ISO 27002 ISO 17799:2005 ISO 27001 ”shall” ”should” Statement of applicability Implementerings- retningslinjer Sikringsforanstaltninger DS 484:2005 ”skal” ”skal” (c) 2003, 2004, 2005 Neupart A/S

15 It-sikkerhedshåndbog: SecureAware Policy
(c) 2003, 2004, 2005 Neupart A/S

16 Struktur i it-sikkerhedshåndbog
Hvorfor? Mål, strategi, definitioner m.m. Overordnet politik Hvad? Hvad gør vi, og hvad gør vi ikke. Retningslinier. Regler Hvordan? Sådan gør vi. Regel-implementering. Instrukser. Procedurer (c) 2003, 2004, 2005 Neupart A/S

17 Målgruppeopdeling brugere systemejere it-administratorer ledere
Overordnet politik Regler Procedurer Målgruppeopdeling brugere systemejere it-administratorer ledere (c) 2003, 2004, 2005 Neupart A/S

18 Emneopdeling Eksempler på indholdskategorier:
Overordnet politik Regler Procedurer Emneopdeling Eksempler på indholdskategorier: kodeord -brug persondatalov hændelser beredskab (c) 2003, 2004, 2005 Neupart A/S

19 Politik-objekter In SecureAware, politiker består af objekter.
Objekter er små tekst-stykker, typisk regler med nogle ”optioner” på. Objekter tildeles forskellige ”egenskaber”, fx: Målgruppe Indholdskategori (mapping til Standard-struktur-reference Objekter findes i flere sprog (pt 5) Objekter genbruges i politik, awareness-programmer m.m. (c) 2003, 2004, 2005 Neupart A/S

20 Objekt-baseret = Fordele
Flere indgangsvinkler til det samme indhold Målgrupper - Kortere politikker Standard-strukturer - Velkendt & ”revisorvenlig” Politik- Objekter Indholdskategorier - Brugervenlig (c) 2003, 2004, 2005 Neupart A/S

21 Demo af it-sikkerhedshåndbog
De tre niveauer (”Pyramiden”) Skabeloner Ændringer, tilføjelser Målgrupper, indholdskategorier PDF, RTF, HTML Publicering Logning (c) 2003, 2004, 2005 Neupart A/S

22 Awareness: Intranet-pakke
(c) 2003, 2004, 2005 Neupart A/S

23 Forestil dig trafikken uden færdselsregler!
Færdselsregler giver færdselssikkerhed. it-sikkerhedsregler giver it-sikkerhed. FORUDSÆTNINGER FOR SIKKERHED: 1. Reglerne skal eksistere! 2. Alle skal kende dem 3. Alle skal have motivation til at følge dem (c) 2003, 2004, 2005 Neupart A/S

24 Sammenhæng mellem SecureAware® Policy & Awareness
(c) 2003, 2004, 2005 Neupart A/S

25 Demo af awareness-redskaber
Målgruppe-opdelte regler og procedurer ”Ja, jeg har læst......”-kvittering Quizzer Vidensbaserede Regel / håndbogs-baserede. Korte animerede film med tekst og tale Web-service grænseflade F.eks til pauseskærme, andre intranet (c) 2003, 2004, 2005 Neupart A/S

26 SecureAware Education
Korte animerede film med tekst og tale til at uddanne brugere i sikkerhedsbevidst brug af computere: Skadelige programmer, Kodeord, Brug af , Brug af internet, Mobilt udstyr, Softwareinstallation, Sikkerhedskopiering, Adgang til virksomhedens netværk, Kryptering og Håndtering af hændelser. (c) 2003, 2004, 2005 Neupart A/S

27 Compliance Workflow

28 Fordele Tidsbesparende. Automatisk mangelcheck. Overblik.
Aktiviteter kan uddelegeres automatisk med et fast interval Automatisk mangelcheck. Hvilke opgaver er endnu ikke uddelegerede? Overblik. Automatisk generering af skræddersyede rapporter. Overskuelighed. Brugere vil automatisk modtage med en liste over opgaver. Brugervenlighed. Brugere guides direkte til det sted i SecureAware, hvor opgaven skal udføres. Integration til øvrige SecureAware-moduler

29 Koordinatorens menu

30 Brugerens menu (eksempel)

31 Aktivitetsrapporter

32 Opret og tilpas egne rapport-typer

33 Observation/Anbefaling fra revision
Sikkerhedskopiering – test Anbefaling Vi anbefaler, at det periodisk kontrolleres og dokumenteres, at der er gennemført tilstrækkelig og tilfredsstillende retableringer af data til at underbygge formodningen om, at backupløsningen understøtter ledelses- og lovkrav. RISIKO! Øget risiko for unødig økonomiske tab, som følge af at data ikke kan retableres efter et nedbrud.

34 Periodiske opgaver/kontroller, fortsat
Observationer Licensstyring – afstemning Anbefalinger Vi anbefaler, at der periodisk gennemføres en kontrol af, at anvendte programmer på servere og pc’er stemmer overens med indkøbte licenser. RISIKO! Såfremt virksomheden ikke kontrollerer, at licensregler for software overholdes, er der øget risiko for, at der kan pådrages erstatningsansvar over for leverandører af software.

35 Periodiske opgaver/kontroller, fortsat
Observationer Virusbeskyttelse – opdatering Anbefalinger Vi anbefaler, at der fremadrettet kvitteres for daglige kontrol af antivirus aktivering eller at årsagen til at proceduren fraviges noteres. RISIKO! Utilstrækkelig virusbeskyttelse øger risikoen for økonomiske tab som følge af nedbrud i it-anvendelsen eller tab af data.

36 Periodiske opgaver/kontroller, fortsat
Observationer Fysisk sikring – strømsikring Anbefalinger Vi anbefaler, at den etablerede UPS-løsning serviceres og testes regelmæssigt, samt at der etableres dokumentation herfor. RISIKO! Manglende sikring mod strømsvigt, brand, vandskade mv. øger risikoen for økonomiske tab som følge af nedbrud i it-anvendelsen eller tab af data.

37 Periodiske opgaver/kontroller, fortsat
Ændringskontrol – separate miljøer Vi anbefaler generelt, at i revurderer jeres kontrolmiljø og etablere en forebyggende automatisk kontrol der sikre, at udviklere kun har display-adgang til produktionsmiljøer Såfremt dette ikke af organisatoriske eller forretningsmæssige årsager er muligt, skal vi anbefale, at gennemgang af log over transaktioner som genereres af udviklere sker med faste intervaller og dokumenteres, samt at denne kontrol foretages af økonomiafdelingen og ikke af it-afdelingen. RISIKO! Utilstrækkelige eller svage procedurer i relation til styring af tilretninger til applikationer øger risikoen for, at ændringer til applikationer sættes i drift uden fornøden kvalitetssikring eller ledelsesgodkendelse, og at applikationer dermed ikke fungerer i overensstemmelse med jeres behov.

38 Risikostyring SecureAware Risk
(c) 2003, 2004, 2005 Neupart A/S

39 Fordele ved risikostyring
Overblik og prioriteringsværktøj. Indsats kan rettes mod de vigtige områder. Input til beredskabsplan Sammen med it-sikkerhedspolitik opnås ”balanceret investering” i it-sikkerhed. Standarderne kræver det. (c) 2003, 2004, 2005 Neupart A/S

40 PDF-rapport Resultat Oversigt Detaljer Grafer
Plads til egne kommentarer. (c) 2003, 2004, 2005 Neupart A/S

41 Model for risikovurdering
Ledelses- vurdering Faglig vurdering Fra standarder (c) 2003, 2004, 2005 Neupart A/S

42 Udregning af risiko (c) 2003, 2004, 2005 Neupart A/S

43 Systemer Aktiver Processer F.x. support, ordrebehandling ...
Lav risikovurdering her Systemer F.x. Applikationer, ERP, CRM... Aktiver F.x. servere, pc’er .. (c) 2003, 2004, 2005 Neupart A/S

44 Risikostyring Reducere sårbarheder eller etablere sikringsforanstaltninger
Cost Benefit Analysis Forbyggende sikringstiltag Reduktion af sårbarhed Forebyggelse af konsekvens Handlingsplaner Forretningen acceptere risikoniveau Forretnings-risiko Trussel billed Sårbarhed for organisation (manglende sikringstiltag) Sandsynlighed for hændelse Konsekvens af hændelse Beredskabs- foranstaltninger Interesse for organisationens data

45 Super-brugers hovedside
(c) 2003, 2004, 2005 Neupart A/S

46 Risikovurderingsarkiv
(c) 2003, 2004, 2005 Neupart A/S

47 Informationssystem-database
Neupart A/S Standarder SecureAware Risikovurdering It-sikkerhedshåndbog Demo Opsummering Informationssystem-database (c) 2003, 2004, 2005 Neupart A/S

48 Rolle-opdeling via Active Directory
(c) 2003, 2004, 2005 Neupart A/S

49 Brugeres velkomst-side
(c) 2003, 2004, 2005 Neupart A/S

50 Ledere vurderer konsekvens og interesse
(c) 2003, 2004, 2005 Neupart A/S

51 Teknikere vurderer sårbarhed
(c) 2003, 2004, 2005 Neupart A/S

52 Hjælpespørgsmål kan estimere sårbarhed
(c) 2003, 2004, 2005 Neupart A/S

53 Kobling til arbejds-processer
Neupart A/S Standarder SecureAware Risikovurdering It-sikkerhedshåndbog Demo Opsummering Kobling til arbejds-processer (c) 2003, 2004, 2005 Neupart A/S

54 Spørgsmål? På www.neupart.dk kan du få gratis:
Nyhedsbrev Demo-version af SecureAware dit sikkerheds-intranet med ISMS Risikovurderings-værktøj Excel, gratis til eller (c) 2003, 2004, 2005 Neupart A/S

Download ppt "It-sikkerhedsledelse"

Lignende præsentationer

Anskaffelse af ny teknologi

Anskaffelse af ny teknologi
Teststrategi Engrosmodellen

Teststrategi Engrosmodellen
Datakvalitetsstrategi Engrosmodellen

Datakvalitetsstrategi Engrosmodellen
Første gang du logger på, skal du bestille ny adgangskode her

Første gang du logger på, skal du bestille ny adgangskode her
Egenkontrol.

Egenkontrol.
Videregående pc-vejledning Modul Sik: Sikkerhed Lidt om antivirusprogrammer mm. 60+Bornholm.

Videregående pc-vejledning Modul Sik: Sikkerhed Lidt om antivirusprogrammer mm. 60+Bornholm.
Introduktion til kriterium 4 Partnerskab og ressourcer Excellence netværk 2004 Jørgen Kjærgaard.

Introduktion til kriterium 4 Partnerskab og ressourcer Excellence netværk 2004 Jørgen Kjærgaard.
Big Data – muligheder og udfordringer for sundhedsvæsnet

Big Data – muligheder og udfordringer for sundhedsvæsnet
Arbejdsmiljøcertificering

Arbejdsmiljøcertificering
Energiledelse Energiledelse betyder, at virksomheden gennemfører en systematisk, løbende indsats for at bruge energien bedre og derigennem øge virksomhedens.

Energiledelse Energiledelse betyder, at virksomheden gennemfører en systematisk, løbende indsats for at bruge energien bedre og derigennem øge virksomhedens.
Windows ® 7 og Office 2010 til små og mellemstore virksomheder WINDOWS ® 7 OG OFFICE 2010 TIL SMÅ OG MELLEMSTORE VIRKSOMHEDER Vi anbefaler ægte Microsoft.

Windows ® 7 og Office 2010 til små og mellemstore virksomheder WINDOWS ® 7 OG OFFICE 2010 TIL SMÅ OG MELLEMSTORE VIRKSOMHEDER Vi anbefaler ægte Microsoft.
Etablering af samordningsudvalg i psykiatrien

Etablering af samordningsudvalg i psykiatrien
Virksomheders Risk Management i juridisk kontekst

Virksomheders Risk Management i juridisk kontekst
Implementering af it-system

Implementering af it-system
Firewalls & netsikkerhed Henrik Størner,

Firewalls & netsikkerhed Henrik Størner,
Opstartsmøde fase 2: Implementering og etablering af miljøerne

Opstartsmøde fase 2: Implementering og etablering af miljøerne
Beskyt din computer og dine data!

Beskyt din computer og dine data!
Kommunikation alvor og sjov

Kommunikation alvor og sjov
DDB Hindsgavl den 26. maj 2011 René Birkemark Olesen

DDB Hindsgavl den 26. maj 2011 René Birkemark Olesen
Præsenteret af: Peter Bøhme Projektleder på Office XP

Præsenteret af: Peter Bøhme Projektleder på Office XP

Lignende præsentationer

Annoncer fra Google