IT Arkitektur og Sikkerhed

Slides:



Advertisements
Lignende præsentationer
Anskaffelse af ny teknologi
Advertisements

IT Projekt Portefølje Management: styringsmæssige og koordineringsmæssige problemer i en offentlig organisation.
Egenkontrol.
Arkitektur - data.
Introduktion til kriterium 4 Partnerskab og ressourcer Excellence netværk 2004 Jørgen Kjærgaard.
IM-Strategi.
2.-generationsintranet på KU Internet, intranet, ekstranet eller "mit net"? Claus Qvistgaard It-strategichef
Innovation og iværksætteri
Test First Development
Kildedata and Kilde- dokumenter Auditor’s synspunkt ved Mette Nørgaard, Afd. Leder, CQA, Lundbeck.
Krav og usecases Larman kap. 5 og 6 (del1) Larman kap del1
Input FMEA Output Shit in = Shit out FMEA
Forandringsprocessens risici og den indre sammenhæng i processen
Maksimering af offentlige idrætssatninger IDAN konference Odense d. 21. april 2006 Lars Haue-Pedersen TSE Consulting.
Krav til funktionalitet i fremtidens flådestyringssystem
WorldIQ A/S - Technology Briefing
Arkitektur - Sikkerhed
Corporate Governance Chapter 18. AMD: CEO Pay in Public and Private Firms Explain why executives might be paid more to run private companies than these.
Mobility management og sundhed Mobility og Sundhed.
Søgning - et værktøj til videndeling Inspirationsseminar 31. oktober 2006.
Eksempler på nedbrud? Henrik Andersen Country Manager Ibas|Kroll Ontrack.
Learning Objectives 5 Steps of a Significance Test Assumptions
Agenda 1.Informationer 1.Excel i fb.m. projekt 2 2.Reserver tid til projekt 2 3.Øvelse: a / b = c 2.Opsamling fra sidst 3.Estimation (konfidensintervaller)
Omkostningseffektiv klimapolitik - nogle hovedprincipper Jørgen Elmeskov OECD.
Secret Key kryptering – teknikker og problemer INTRODUKTION TIL KRYPTERING.
Grøn Plan fra Novo Kilde Børsen 27 feb Novos Klimastrategi.
Quality Management Systems
Learning Objectives 5 Steps of a Significance Test Assumptions
It-sikkerhedsledelse
Liv og levende teknologier Fremtidens verdensbillede 2050
ENTER The Clil4U project has been funded with support from the European Commission. This publication reflects the views only of the author, and the Commission.
Apopleksi/Slagtilfælde – en katastrofe som kan undgås
1 Samarbejdsmodeller i byggeprocessen Fredag d. 24. august Aalborg Universitet Livslang Uddannelse 2001.
Seminar 6 – Arbejdsmiljøledelse
Personal Leadership Bachelor of Leisure Management.
Produkt præsentation Christian Cletus Bjørn Eilertsen.
Forretning og Ledelse – Lektion 7
Usability ITU, efterår Informations arkitektur ITU Efterår 2007.
IT Arkitektur og Sikkerhed
Kjeld Svidt  Institut for Byggeri og Anlæg  Aalborg Universitet IT i Byggeriet Semester 6, kursusgang Databaser (1) Kjeld Svidt
Interview service in Statistics Denmark Structure and Surveys.
DB analyse og modellering Jesper Tørresø DAB1 F Februar 2008.
DIEB12.1 Kursusgang 12 Feedback fra en usability-evaluering Oversigt: Sidste kursusgang Opgaver Feedback Are Usability Reports Any Good? Alternativer til.
OPERATIONEL ANALYSE AF WEBADFÆRD OAW – LEKTIONSGANG 4.
DIEB10.1 Kursusgang 10 Oversigt: Sidste kursusgang Eksempler på løsning af opgaven Arkitektur for brugergrænsefladen og for systemet Dokumentation af designet.
IT Arkitektur og Sikkerhed
 Jens Bennedsen 2002Objektorienteret systemudvikling GRASP mønstre Basale ansvarsplaceringsregler.
23. juni 2015 Det Semantiske Web Mads Carlsen. 23. juni 2015 Problemer med det nuværende Internet Ingen semantiske specifikationer. Søgning giver mange.
ANALYSE AF WEBADFÆRD - OAW OAW – LEKTIONSGANG 4. ANALYSE AF WEBADFÆRD - OAW SUMMARY, LECTURE 3 (Extended) Common Log File Format Host, Ident, Authuser,
ISO standard for personvurdering v/Cand.psych. Anne Thrane VPP og Dansk Psykologforening.
Standarder og ISO 9001 som ledelsesværktøj
EERA Design Tool for Offshore wind farm Cluster (DTOC) Peter Hauge Madsen. Director Charlotte Hasager. Senior scientist DTU Wind Energy Support by EERA.
Dedicated Analytical Solutions HVORFOR ER ISO 9001 VIGTIG FOR FOSS? Anders F. Liechti 3. november 2015.
Ledende oversygeplejerske Arne Brehm Høj Afdeling for Operation og Anæstesiologi Sydvestjysk Sygehus.
Nordic Risk Consulting
THE MENTORING JOURNEY.
Drug/Device Combination Products IFF erfagruppemøde
IT-politik og sikkerhed
Facilitering af survey-processen
DB analyse og modellering
Software Testing Software testing.
Risikovurdering Livet Forstås Baglæns - men må leves forlæns.
Hvor er værdien af intern kommunikation?
45116 Teknologisk Forandring og Postal Logistik
Hvorfor er vi her i dag?. Databeskyttelsesforordningen (GDPR) og Databeskyttelsesrådgiveren (DPO)
An IP Strategy comprises
Metoden fælles beslutningstagning
Intern tidsmæssig omkostning
- 30 minutters oplæg - 30 minutters ordet er jeres
Præsentation af IT-sikkerhedsfunktionen
Præsentationens transcript:

IT Arkitektur og Sikkerhed Risiko vurdering

I sidste uge gennemgik vi Security awareness, love, politikker og BCP/DRP

I denne uge gennemgår vi Dagsorden I denne uge gennemgår vi Risiko Analyse

I næste uge gennemgår vi Praktisk Hacking

Sikkerhedsstandarder (1/6) ISO/IEC 27001:2005 (fra 2005) Tidligere BS7799-2:2005 ( fra 2005) Tidligere BS7799 part 2 (fra 2002) ISO/IEC 27001:2005 er navngivet ”Information Security Management Standard - Requirements”. Benyttes som metodologi for etablering af INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) (sikkerhedsledelse). Din virksomhed kan certificeres til at overholde ISO/IEC 27001:2005, på samme måde som I kan certificeres til ISO 9000.

Sikkerhedsstandarder (2/6) ISO/IEC 27001:2005 arbejder efter en veldefineret fortløbende proces (“Deming Cycle”) Plan Planlægning af ISMS Do Etablering, operere og vedligeholde ISMS Study Overvåge, måle, auditere, og evaluere ISMS Act Korrigere og imødegå problemer. Kontinuerlig forbedre ISMS

Sikkerhedsstandarder (3/6) ISO/IEC 27001:2005 foreslår følgende proces 1. Define the scope and boundaries of your ISMS. 2. Define your organization’s ISMS policy. 3. Define your approach to risk management. 4. Identify your organization’s security risks. 5. Analyze and evaluate your security risks. 6. Identify and evaluate your risk treatment options. 7. Select control objectives and controls to treat risks. 8. Prepare a detailed Statement of Applicability. 9. Develop a risk treatment plan to manage your risks. 10.Implement your organization’s risk treatment plan. 11. Implement your organization’s security controls. 12. Implement your organization’s educational programs. 13. Manage and operate your organization’s ISMS. 14. Implement your organization’s security procedures. 15. Use procedures and controls to monitor your ISMS. M.fl. I dag

Sikkerhedsstandarder (4/6) ISO/IEC 27002 (fra 2007) Tidligere ISO/IEC 17799:2005 (fra 2005) Tidligere ISO/IEC 17799 (fra 2000) Tidligere BS7799 part 1 (fra 1995) ISO/IEC 27002 er navngivet ”Code of practice for information security management” Indeholder vedledninger til etablering eller forbedring af INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) (sikkerhedsledelse). ISO/IEC 27002 foreslår følgende proces som start Udfør risikoanalyse Bestem sikkerhedskrav givet love, regulativer, kontrakter og lignende som I, jeres partnere, jeres kunder skal overholde Vælg de vejledninger der er relevante

Sikkerhedsstandarder (5/6) ISO/IEC 27002 indeholder herudover følgende vejledninger 5. Security Policy Management 5.1 Establish a comprehensive information security policy 6. Corporate Security Management 6.1 Establish an internal security organization 6.2 Control external party use of your information 7. Organizational Asset Management 7.1 Establish responsibility for your organization’s assets 7.2 Use an information classification system 8. Human Resource Security Management 9. Physical and Environmental Security Management 10. Communications and Operations Management 11. Information Access Control Management 12. Information Systems Security Management 13. Information Security Incident Management 14. Business Continuity Management 15. Compliance Management

Sikkerhedsstandarder (6/6) DS484:2005 svarer i princippet til ISO17799:2005. DS484 indeholder alle vejledningerne fra ISO17799 formuleret som krav.

Risiko analyse Risiko Analyse er midlet til: Begrunde IT sikkerhedsomkostninger Styre IT sikkerhed i en virksomhed Vise at man har ”styr” på tingene (compliance)

Risiko analyse typer Der er grundlæggende to typer risiko analyser: Kvalitativ Kvantitativ Kvalitativ er kendetegnet ved at den ikke bruger tal og kroner/øre og typisk behandler scenarier. Kvantitativ søger at bruge kroner/øre samt sandsynlighed til at finde ud af hvor tit ting sker, hvad det koster og hvad kontroller koster i ration til risikoen.

Kvalitativ risiko analyse Hvordan identificerer man risiko? Interview med eksperter – brug af “Delphi” teknikker Brainstorming – gruppearbejde Analogier - gruppearbejde Affinity diagrammer - grupperarbejde Bayesian analyser M.fl.

Delphi En metode der sikre mod ”gruppetænkning” Eksperterne deltager anonymt En facilitator sender spørgseskemaer ud hvor eksperterne skal identificerer risici. Facilitatoren samler og konsoliderer resultaterne, hvorefter de sendes igen for kommentering.

Brainstorming En facilitator samler en gruppe eksperter der brainstormer efter risici Kan med fordel gøres med gule sticky-notes og en stor væg.

Analogier Analogier bruges til at identificere risici ved gennemgang af historiske events, og de risici der lå før og som ikke blev håndteret.

Affinity Diagrammer (1/2) Affinity Diagrammer er et analytisk værktøj der tillader at identificerede risici inddeles i meningsfulde kategorier. Værktøjet bruges under brainstormingen.

Affinity Diagrammer (2/2)

Bayesian analyser (1/2) Bayesian analyse er et statistisk værktøj hvor sandsynligheder for at en risiko indtræffer er baseret på en gruppes tro på at risikoen indtræffer.

Bayesian analyser (2/2) To demonstrate an application of Bayes' Theorem, suppose that we have a covered basket that contains three balls, each of which may be green or red. In a blind test, we reach in and pull out a red ball. We return the ball to the basket and try again, again pulling out a red ball. Once more, we return the ball to the basket and pull a ball out - red again. We form a hypothesis that all the balls are all, in fact, red. Bayes' Theorem can be used to calculate the probability (p) that all the balls are red (an event labeled as "A") given (symbolized as "|") that all the selections have been red (an event labeled as "B"): p(A|B) = p{A + B}/p{B} Of all the possible combinations (RRR, RRG, RGG, GGG), the chance that all the balls are red is 1/4; in 1/8 of all possible outcomes, all the balls are red AND all the selections are red. Bayes' Theorem calculates the probability that all the balls in the basket are red, given that all the selections have been red as .5 (probabilities are expressed as numbers between 0. and 1., with "1." indicating 100% probability and "0." indicating zero probability).

Hvilke begreber arbejder man med Trusler Ting der kan gå galt i systemet, eller ting der kan angribe systemet Sårbarheder Ting i systemet der er sårbare overfor trusler Kontroller Ting man kan gøre for at imødegå sårbarheder Deterent controls (omdirigere) Preventative controls (beskytte) Corrective controls (korrigere) Detective controls (alarmere)

Kvalitativ risiko analyse opsummering Fordele Simpel at forstå og lave Giver en generel og hurtig opsummering af hvilke områder der bør behandles Ulemper Er svær at lave konsistent Er meget subjektiv i både indhold og måling Giver ikke en cost/benefit analyse

Steps i en kvantitativ risiko analyse Her bruger vi Pfleeger Identify Assets Determine vulnerability (threat agent) Estimate likelihood of exploration (ARO) Compute Expected annual loss (ALE) Survey applicable controls and their cost Project annual savings of control ARO = Annual Rate Of Occurrence ALE = Annual Loss Expectancy

Risiko analyse (step 1 og 2) Første to step er: Identify Assets Determine vulnerability “sårbarhed” (threat agent “trussel”) Gøres nemt i skema (tavle) Hvor en threat agent møder en asset igennem en vulnerability har vi et ”noget” vi skal tage stilling til Det gøres i step 3

Estimate likelihood of exploration (ARO) (step 3) ARO er vigtigt at forstå ARO står for ”Annual Rate of Occurrence” Hvor tit sker det (pr. år) Sandsynlighed for at en event vil ske Hvis en ting sker en gang hvert 10. år er ARO = 0,1 Hvis en event sker 20 gange om året er ARO = 20

Compute Expected annual loss (ALE) (step 4) ALE står for ”Annual Loss Expectancy” ALE er et af de vigtigste tal i en risiko analyse ALE beregnes som SLE x ARO ARO kender vi men hvad med SLE?

Compute Expected annual loss (SLE) (step 4) SLE Står for ”Single Loss Expectancy” SLE beregnes som ”Asset Value” x ”Exposure Factor (EF)” Asset Value kan vi godt relatere til men hvad med EF?

Compute Expected annual loss (EF) (step 4) Exposure Factor = ”Percentage of asset loss caused by identified threat” Går fra 0 til 100% Eksempel: Asset = Web Site, Defaced web site = ??? Asset = Kildekode, Kildekoden stjålet = ???

Survey applicable controls and their cost (step 5) Nu ved vi hvad det koster. Nu kan vi kigge på hvor meget vi bruger på at forebygge. Beregnes som ”årlig omkostning for kontrol” x ”effektivitet” Brandalarm eksempel: kr. 10.000 x 95% = kr. 9.500

Project annual savings of control (step 5) = Step 4 – step 5 Altså: ALE - (årlig omkostning til kontrol x effektivitet)

Eksempel Assets Sårbarheder Trusler ARO = 1000 (1000 gange om året) Vores Netbank Sårbarheder ”Defacing” Datatab Svindel / Tyveri Trusler Sportshackere Pengehackere Politiske hackere Orme Vira Nedbrud Medarbejdere Bots Sensations-journalister Terrorister ARO = 1000 (1000 gange om året) Annual Rate of Occurance Asset Value = 20.000 kr EF = 50% (Exposure Factor) SLE = 20.000 x 80% = 16.000 kr (Single Loss Expectancy) ALE = 1000 x 16.000 kr = 16 millioner kr (Annual Loss Expectancy) Hvad koster en kontrol? Hvor effektiv er den?

Kvantitativ risiko analyse opsummering Fordele Bruger sandsynlighed Udtrykker i kroner/øre God til behandling af/med management Ulemper Unøjagtig Kan give falske værdier og tryghed Ofte stort arbejde da mange data skal opsamles og behandles

Sårbarhedstest (1/3) Sårbarhedstests eller penetreringstests er en ydelse der udbydes af en række sikkerhedsleverandører Formålet er at få efterprøvet firmaets kontroller Vælg altid sikkerhedsleverandører der opfylder ISECOM OSSTM 2.0 eller lignende retningslinier (http://www.isecom.org/osstmm/)

Sårbarhedstest (2/3) Typer af sårbarhedstests Blind Firmaet er klar over at det auditeres (alle detaljer). Auditor har ingen kendskab til målet. Double Blind Firmaet er ikke klar over at det auditeres (ingen detaljer). Auditor har ingen kendskab til målet. Gray Box Firmaet er klar over at det auditeres (alle detaljer). Auditor har nogen forudgående kendskab til målet. Double Gray Box Firmaet er klar over at det auditeres (tidspunkt og omfang – men ikke kanaler) Auditor har nogen forudgående kendskab til målet. Tandem Firmaet er klar over at det auditeres (alle detaljer). Auditor har fuldt kendskab til målet. Reversal Firmaet er ikke klar over at det auditeres (ingen detaljer). Auditor har fuldt kendskab til målet.

Sårbarhedstest (3/3)

Ekstra Slide: Udformning af en Sikkerhedspolitik Identifikation og analyse af risici Kvalitativ Kvantitativ Håndtering af risici Accepter Undgå Overfør Indfør kontroller Organisation Roller og ansvar Autoriseringsprocesser Entiteter (Assets) Information (data) Software (applikationer, operativ systemer m.m.) Fysiske (hardware, netværk, m.m.) Service (elektricitet, varme, m.m.) Klassifikation af entiteter Personale Ansættelse Træning Håndtering af brug på sikkerhed Fysisk sikkerhed Tredjeparts adgang Operation Adgangskontrol Applikations udvikling og vedligeholdelse Business Continuity Management Regler og love

Feedback: Fortrolighedspolitik Feedback
Om projektet: SlidePlayer Brugsbetingelser

© 2024 SlidePlayer.dk Inc. All rights reserved.