DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - baggrund (III)

Størrelse: px
Starte visningen fra side:

Download "DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - baggrund (III)"

Transkript

1 DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - baggrund (III) 1

2 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN:

3 Introduktion Formålet med denne vejledning er at give en introduktion til de sikkerhedsmæssige udfordringer og løsninger ved at indbygge informationsteknologi i produkter og produktionsapparat. Vejledningen har fokus på produktionsapparatet. Der bliver dog også skelet til sikkerheden i produkter, i det omfang produkterne indgår i et andet produktionsapparat. Vejledningen ser ikke isoleret på produktionssikkerhed, men prøver at sørge for, at virksomhedens sikkerhed er på plads i alle dele af organisationen. Dermed udbredes sikkerhedsdisciplinen til ikke kun at adressere kontormiljøet, men også at komme rundt i de øvrige dele af virksomheden - særligt også produktionsapparatet. Målgruppen for vejledningen er danske virksomheder, som allerede har eller er i gang med at overveje, enten at bygge intelligens ind i deres eksisterende produkter eller at sætte deres produktionsudstyr på et netværk. Vejledningen falder i tre uafhængige dele. Første del henvender sig til virksomhedens direktion. Først gennemgås problemstillingen overordnet med fokus på de udviklingsmæssige tendenser og deres forretningsmæssige konsekvenser. Dernæst gennemgås den rolle, som ledelsen må forventes at indtage på området. Anden del af vejledningen henvender sig til de mellemledere i virksomheden, som har ansvaret for virksomhedens overordnede informationssikkerhed, virksomhedens produktionsapparat og virksomhedens produkter. Denne del udgør en konkret tjekliste rettet mod produktionsapparatet. Denne tredje del gennemgår på struktureret vis de forskellige sikkerhedsinitiativer, som bør tages overalt i organisationen. Denne del skal betragtes som en baggrundsrapport for andel del. Til slut i dokumentet findes en ordliste, som forklarer nogle af de organisatoriske eller tekniske begreber, der anvendes i denne vejledning. Vejledningen er udformet så den retter sig mod mellemstore og store danske virksomheder, men særligt del to kan med fordel læses af alle virksomheder, som har et eget produktionsapparat. Mellemlederens rolle og indsats Denne del af vejledningen om produkt- og produktionssikkerhed går i dybden med de forskellige anbefalinger, der er nævnt i vejledningens anden del. I denne del af vejledningen fremgår det, hvilke kilder der ligger til grund for anbefalingerne. Desuden fremgår det, hvordan man skal tænke produkt- og produktionssikkerhed ind en større sikkerhedsmæssig sammenhæng. Kontormiljøets sikkerhed må ikke stå alene - og det må produkt- og produktionssikkerhed heller ikke. Standarder og andre kilder Der findes ikke i skrivende stund og med vores kendskab en standard, som kan siges at dække emnet sikkerhed ved produkter og produktionsapparat. 3

4 Der findes imidlertid masser af standarder, best practises og lovgivning, der dækker dele af området. I forhold til at få styr på sikkerheden ved kontorsystemer kan især fremhæves ISO27000-serien 1, som kan bruges som inspiration til dette arbejde. Standarden udmærker sig ved at være holistisk og dækker bl.a. risikostyring, netværkssikkerhed, fysisk sikkerhed og personalesikkerhed, som også er relevant for produktog produktionssikkerhed 2. Der findes desuden en række amerikanske standarder, som adresserer området, i det omfang det betragtes som kritisk infrastruktur. Flere af disse er imidlertid relateret til konkrete sektorer. Blandt disse kan fremhæves NERC's CIP standard 3, som gælder el-forsyning. Også her gennemgås risikoanalyse, sikkerhedskontroller, personalesikkerhed, fysisk sikkerhed m.v., og det ser ud til at NERC et godt stykke hen af vejen har lænet sig op af ISO Med udgangspunkt i lovgivning om national beskyttelse kan man nævne FISMAs 4, som er baseret på en række standarder, der laves af NIST 5. Nogle af disse er meget detaljerede, og hele 800-serien handler om forskellige aspekter af sikkerhed 6. På lovgivningssiden kan man fremhæve sundhedssektorens HIPAA 7 s sikkerhedskrav 8, som berører administrativ sikkerhed, fysisk sikkerhed og teknisk sikkerhed. I tilknytning til disse findes der også særlige privacy krav. I forhold til produktionssikkerhed har særligt ICS-systemer (SCADA, DCS og PLC) interesse. På dette område findes der flere amerikanske vejledninger - bl.a. NISTs "Guide to Industrial Control Systems (ICS) Security" 9 (meget omfattende) og "21 Steps to Improve Cyber Security of SCADA Networks" 10 fra US Department of Energy. Den amerikanske CERT funktion, US-CERT, kører under "Control System Security Program" et særligt "Industrial Control Systems Cyber Emergency Response Team" 11, der har lavet en række vejledninger på området 12, hvor især "Catalog of Control Systems Security: Recommendations for Standards Developers" 13, skal fremhæves (også meget omfattende). Endelig findes der blandt leverandørerne af denne type systemer en række vejledninger af mere eller mindre generel karakter. På europæisk plan er 1 Information Security Management Systems standarder 2 Hvis man i stedet bare vil have en kort og relativt operationel tjekliste over punkter der skal overvejes kan man tage udgangspunkt i NIST http://csrc.nist.gov/publications/nistpubs/800-27A/SP RevA.pdf. Den kan evt. suppleres med NIST , som giver et overblik over hvordan NIST tjeklisterne hænger sammen og hvilke typisk forhold man skal adressere i organisationer af forskellig type, rev2/sp rev2.pdf. 3 North American Electric Reliability Corporation, der har lavet Critical Infrastructure Protection standarden. 4 USAs Federal Information Security Management Act 5 National Institute of Standards and Technology 6 7 USAs Health Insurance Portability and Accountability Act

5 der i skrivende stund ikke lavet ret meget materiale. ENISA 14 har dog ultimo 2011 lavet en undersøgelse af problemstillingen og givet en række anbefalinger til, hvordan vi i Europa kan komme videre 15. På baggrund af disse kilder, i kombination med de erfaringer virksomheder i DI's medlemskreds har gjort sig på området, er det muligt at opstille en række punkter, som virksomhederne skal være opmærksomme på at få adresseret, og som kan bidrage til at håndtere sikkerheden i forbindelse med produkter og produktionsapparat. Samarbejde og inddragelse af faglige kilder De mellemledere, der har fået ansvaret for sikkerheden mht. kontormiljø, den fysiske sikring, produkter og produktion, bør samarbejde og videst muligt omfang følge den samme tilgang til området. I det omfang der eksisterer standarder og best practises på deres eget fagområde, bør disse anvendes som inspiration til arbejdet - f.eks. ISO27000-serien der hidtil primært er tænkt som rettet mod kontormiljøet og den omtalte "Guide to Industrial Control Systems (ICS) Security" for produktionsmiljøet. Samarbejdet bør følge en ledelsesmodel, og her peger ISO27000-serien på det såkaldte Information Security Management System, ISMS. Det er tre krav til sådant et ISMS. For det første skal der være en række formelle dokumenter, som dokumenterer ISMS'et. Disse skal bl.a. "dokumentere formål, omfang, politikker, procedurer og kontroller, metodologien for risikovurderingen, rapporteringen og behandlingen af risici, procedurer for effektiv drift af ISMS'et, erklæring om anvendelsen af ISMS'et og andre ting" 16. For det andet skal ledelsen vise sin tydelige opbakning til ISMS'et. Og for det tredje skal udviklingen, driften og vedligeholdelsen af ISMS'et foregå via Plan-Do-Check-Act-modellen. Ifølge denne model skal man i "Plan"- fasen tilvejebringe sit ISMS ved at lave politikker, målsætninger, processer og procedurer, som er relevante for at styre risici og forbedre sikkerheden. I "Do"-fasen implementerer og drifter man disse. I "Check"-fasen vurderer man, om processerne er i overensstemmelse med ISMS-politikkerne, og denne lære rapporteres til ledelsen. I "Act"-fasen laver man løbende justeringer og forebyggende tilpasninger af ISMS således, at dette bliver kontinuerligt forbedret 17. I denne proces vil virksomhedens sikkerhedsmodenhed hele tiden blive forbedret. Disclaimer I denne vejledning findes en liste over forhold, som mellemlederne bør adressere. Det er vigtigt at understrege, at denne vejledning på ingen måde hævder at være udtømmende for de udfordringer, der bør adresseres. Vejledningen hævder heller ikke at alle elementer i denne vejledning er relevante i alle sammenhænge. I en række tilfælde vil udstyr på virksomheden være så gammelt, at det ikke giver mening at foretage nogle af de nævnte tiltag. I andre tilfælde være virksomheden være underlagt kontrakter med leverandøren, som ligeledes umuliggør tiltag. 14 European Network and Information Security Agency 15 recommendations-for-europe-and-member-states/at_download/fullreport 16 "Forøg virksomhedens informationssikkerhed", p. 25, 17 Der kan læses mere om modellen i "Forøg virksomhedens informationssikkerhed", pp , 5

6 Vejledningen kan altså bruges som inspiration i kombination med sund fornuft og hensyntagen til lokale forhold. Systematiseret oversigt Nedenfor findes en systematiseret oversigt over faktorer, som har betydning for sikkerheden, og som mellemlederne bør overveje at adressere. Metodisk er der en række hovedpunkter, som stammer fra nogle af de ovenfor angivne kilder. Der er på overordnet plan forsøgt at lave en mapning mellem nogle af de omtalte standarder / best practises. Mappingen baserer sig dels på egen udredning og dels på udredningen fra DI's medlemmer og materiale fundet på internettet. Ved første hovedpunkt findes en fodnote, som forklarer, hvordan henvisningen skal læses. For hvert hovedpunkt specificeres et overordnet formål, som tager udgangspunkt i understøttelse af forretningens behov. Herefter følger en række gode råd til, hvad der i praksis skal gøres på området. Dette kan læses som kontroller, der bør implementeres i virksomheden. Der er i denne tekst ikke en komplet gennemgang af alle foreslåede kontroller fra de forskellige kilder! Nærværende vejledning er IKKE en compliancevejledning. Punkterne afspejler hovedsubstansen i de forskellige kontroller. Såfremt en virksomhed ønsker at skabe compliance med en af standarderne henvises der til, at man selv læser de angivne kilder. Igen er det imidlertid vigtigt at understrege, at punkterne vælges under anvendelse af sund fornuft og lokale hensyn. Afslutningsvis er der for hvert hovedpunkt eventuelt nogle bemærkninger, som er kendte problemer indenfor det pågældende hovedområde, som særligt bør adresseres. Oversigten er opsummeret i del 2 i dette sæt af vejledninger. 1. Organisering af sikkerheden og placering af ansvar CIP 003, ISO 17799:2000:4, ISO17799:2005:6, DS484:2005:6, ISO27002:2005:6 18 Formål: Ledelsen skal sørge for at sikkerhedsarbejdet er organiseret fornuftigt, således at alle i organisationen har fokus på sikkerhed og kender deres ansvar og efterlever procedurer i forbindelse med at passe på virksomhedens aktiver. Ledelsens ansvar, opbakning og synlige engagement til sikkerhedsarbejdet præciseres. Ledelsen udarbejder en governance-model på området. Der udpeges sikkerhedsansvarlige for følgende områder: o Kontormiljø o Fysisk sikring o Produktsikkerhed o Produktionssikkerhed De sikkerhedsansvarlige sørger for, at der etableres den fornødne organisation og de fornødne politikker og kontroller i virksomheden til understøttelse af governance-modellen. 18 CIP er opdelt i forskellige standarder og nummeret henviser til standardens nummer. ISO angives ved standardens nummer, herefter årstallet for udgivelsen (som bestemmer versionen) og til slut kapitlet i standarden. Tilsvarende for DS. 6

7 De sikkerhedsansvarlige sørger for, at virksomhedens politikker, generel lovgivning, sektorspecifik lovgivning, standarder og best practises overholdes. Der skal adresseres både interne og eksterne organisatoriske forhold. Bemærkninger: Det er vigtigt, at der lægges vægt på samarbejde mellem de sikkerhedsansvarlige, så de ikke arbejder isoleret for deres eget område på egne præmisser. De sikkerhedsansvarlige er typisk vant til at anvende et forskelligt sprog, have forskellige faglige referencer/kompetencer og hvis organisationen er stor repræsentere forskellige kulturer. Alle fire personer kan også have forskellige motivationer og er typisk presset fra forskellige steder i organisationen. Produktsikkerhedsmanden vil typisk være presset af at få produktet gjort færdigt, så sælgerne kan komme i gang - og dette kan reducere hensynet til sikkerhed. Produktionssikkerhedsmanden vil være presset af, at produktionen skal køre så stabilt og i så højt tempo som muligt - også dette kan reducere hensynet til sikkerheden. Som følge heraf kan det være nyttigt at overveje funktionsadskillelse, således at de omtalte sikkerhedsfolk rapporterer direkte til direktionen i stedet for alene til f.eks. en produktchef, en produktionschef eller en itchef. Den governance-model, som ledelsen lægger op til, kan f.eks. baseres på Cobit. Cobit er en best practise, som har til formål at sikre, at alle aspekter af IT understøtter virksomhedens mål. 2. Identifikation, klassifikation og styring af aktiver CIP 002, til dels CIP 007, ISO 17799:2000:5, ISO17799:2005:7, DS484:2005:7, ISO27002:2005:7 Formål: Virksomheden skal vide præcist hvilke systemer 19 og data, den er i besiddelse af, hvilken betydning systemer og data har for virksomhedens forretning, og sikre, at der ikke befinder sig uvedkommende udstyr på virksomhedens netværk. Alle systemer skal identificeres og dokumenteres mht. type, placering, producent, modelnummer, serienummer, version, installationsdato, netværksadresse, hardwareadresse og seneste dato for test og vedligehold. Alle systemer skal klassificeres (ud fra forretningens behov), og der skal identificeres en systemejer. Informationer og data skal ligeledes identificeres og klassificeres, og en dataejer skal identificeres. Foruden systemer, informationer og data kan det overvejes at klassificere fysiske aktiver, serviceaktiver, menneskelige aktiver og immaterielle aktiver (f.eks. omdømme). Bemærkninger: Klassifikation er på den ene side helt grundliggende for et solidt sikkerhedsarbejde, og på den anden side så tung en opgave at de fleste virksomheder fravælger den på forhånd. Det anbefales, at man anvender et tre trins raket: 19 Et systemaktiv er f.eks. et brugersystem eller et styresystem. Et system er lagret på et fysisk aktiv f.eks. en server eller en PLC. Systemet er et aktiv i sig selv og kan flyttes mellem fysiske aktiver, der også er et aktiv i sig selv. 7

8 o Start med at identificere, hvad der baseret på intuitiv sund fornuft ser ud til at være de allermest kritiske systemer og data i virksomheden. For disse systemer og data iværksættes de øvrige initiativer i denne vejledning. o Gå herefter systematisk til værk og gå fra afdeling til afdeling og identificer alle systemer og klassificer dem sammen med en udpeget systemejer. o Gentag punktet for data for hver afdeling. Til brug for informations- og dataklassifikation kan anvendes Statsministeriets sikkerhedscirkulære 20. Når man alligevel er i gang med at indsamle oplysninger til brug for klassifikationen, kan man lige så godt indsamle oplysninger til brug for beredskabet samtidig: Hvor og hvor hurtigt skal systemer og data være tilgængelige igen. 3. Risikoanalyse CIP 002, ISO 17799:2000:intro, ISO17799:2005:4, DS484:2005:4, ISO27002:2005:4 Formål: Virksomheden skal vide, hvor de største risici for forretningen ligger og dermed sættes i stand til at beskytte forretningen bedst muligt gennem korrigerende tiltag. For hvert aktiv vurderes det: o Hvilke konsekvenser det har at aktivet ikke er tilgængeligt, ikke kan opretholde fortrolighed, og ikke kan opretholde integritet o Hvilke trusler aktivet står overfor, og hvilke sandsynligheder der er for at truslerne realiseres. o Hvilke korrigerende tiltag der allerede er taget for at beskytte aktivet. De korrigerende tiltag kan være af typen: forebyggende, begrænsende, opdage, afhjælpe og forsikring. o Og på baggrund af ovenstående konkluderes det, hvor sårbart aktivet er overfor truslerne og dermed hvilken risiko virksomheden står overfor. På baggrund af vurderingen af aktivers risici skal der foretages korrigerende tiltag - herunder tekniske (drift og netværk), policymæssige eller personalemæssige tiltag. Der foretages til slut en gab-analyse, som viser hvilken restrisiko, der står tilbage, og som ledelsen skal acceptere. Risikoanalysen bør inddrage de vigtigste processer i virksomheden. Bemærkninger: På nettet findes der masser af skabeloner for at foretage risikovurderinger. Eksemplerne inkluderer ISO-standarderne og OCTAVE. For at få en systematisk tilgang til vurdering af truslerne anbefales det at anvende OCTAVEmodellen 21 : Personrelaterede trusler, Systemmæssige trusler og trusler udenfor virksomhedens kontrol og DI og DI ITEKs vejledning: "Trusler mod virksomhedens IT-sikkerhed", 8

9 4. Sikkerhedspolitikker CIP 003, ISO 17799:2000:3, ISO17799:2005:5, DS484:2005:5, ISO27002:2005:5 Formål: Der skal laves en sikkerhedspolitik, som beskriver, hvordan sikkerhed understøtter virksomhedens forretning og hvilke krav ledelsen stiller til sikkerheden. Sikkerhedspolitikken skal indeholde en beskrivelse af, hvordan forretningen understøttes og signalere ledelsens opbakning. Desuden skal den indeholde definitioner, rammer for retningslinjer, risikovurderinger og kontroller, beskrivelse af organisation og ansvarsplacering, konsekvenser ved overtrædelse, henvisning til kilder og lovgivning. Sikkerhedspolitikken suppleres med uddybende retningslinjer, som beskriver virksomhedens regler, procedurer og kontroller på afgrænsede områder. Bemærkninger: Sikkerhedspolitikken skal generelt forfattes relativt kortfattet, ellers kan man ikke forvente, at den bliver læst. Det mere substantielle indhold kan beskrives i retningslinjer under politikken og målrettes relevante parter i og udenfor virksomheden Der kan foretages løbende tests af de ansattes kendskab, forståelse og efterlevelse af politikken. 5. Personalesikkerhed og træning CIP 004, ISO 17799:2000:6, ISO17799:2005:8, DS484:2005:8, ISO27002:2005:8 Formål: Det skal sikres, at personalet sættes i stand til at efterleve politikken. Ved nyansættelser bør der ske verifikation af ansøgninger, og det skal ved samme lejlighed vurderes, om der skal indhentes straffeattester, og om der kræves sikkerhedsgodkendelse. Samtidig skal sikkerhedspolitikken og eventuelle relevante uddybende retningslinjer udleveres, og det skal sikres, at den nyansatte forstår sit ansvar i forhold til sikkerheden. Under ansættelsen skal det løbende vurderes, om den ansatte har den relevante uddannelse og træning til at opretholde eller forbedre sikkerhedsniveauet. Ved rotation i virksomheden skal kun de fornødne privilegier (f.eks. rettigheder til data og programmer samt fysisk og logisk adgangskontrol) være til rådighed, og der skal altså være procedurer for at rykke rundt på disse. Når ansættelsen afsluttes skal privilegier inddrages tillige med eventuelt udleveret udstyr. Det bør løbende sikres, at den ansatte har det fornødne kendskab, forståelse og evne til at efterleve virksomhedens sikkerhedspolitik og relevante uddybende retningslinjer (Awareness test). Eksterne konsulenter og leverandører, der har sin gang i virksomheden, bør underskrive sikkerhedspolitikken, og deres privilegier skal løbende vurderes. Bemærkninger: Ved ansættelsens afslutning kan der være situationer, hvor medarbejderen ikke er tilfreds med sin snart forhenværende arbejdsplads. Det bør vurderes, om medarbejderen kan være til skade for virksomheden og i givet fald om man skal overveje at fritstille medarbejderen eller rotere vedkommende til en anden mindre sårbar stilling. 9

10 6. Elektronisk sikkerhedsperimeter og adgangskontrol CIP 005, ISO 17799:2000:9, ISO17799:2005:11, DS484:2005:11, ISO27002:2005:11 Formål: Den logiske adgang til virksomheden skal begrænses efter et behovsprincip, således at uønskede personer ikke får adgang til systemer og data. Den elektroniske perimeter skal dokumenteres, og adgang gennem perimeteren skal ske gennem få og vel beskyttede porte og services. Al trafik skal overvåges, og uønsket trafik skal blokeres. Der skal være procedurer for udstedelse og inddragelse af adgang, og adgang skal kun ske gennem to-faktor autentifikation og evt. begrænses til kendte hosts - hvad enten disse sidder indenfor eller udenfor virksomhedens perimeter. Brugernes skal informeres om deres rolle i beskyttelse af adgang - herunder om opbevarelse af password, anvendelse af eksterne lagermedier m.v. Netværk skal segmenteres, og det skal overvejes, om der overhovedet skal være netværksadgang til særligt forretningskritiske systemer. Trådløs adgang skal beskyttes gennem kryptering og uden at broadcaste SSID. Generelt skal al klassificeret trafik, der krydser sikkerhedsperimeteren - den ene eller anden vej - krypteres. Der skal løbende foretages sårbarhedsvurdering og vurderinger af nødvendigheden af åbne porte og services. Adgang skal overvåges og logges, og loggen skal gemmes i en periode. Der skal forefindes dokumentation og vedligehold. Bemærkninger: Uanset hvor gode procedurer virksomheden har, vil der altid være brugere, som ikke nedlægges i rette tid eller brugere, som har for bred adgang i forhold til deres job. Der er derfor nyttigt løbende at gennemgå brugernes adgangsrettigheder. Eksterne leverandører (outsourcing partnere) vil i en række sammenhænge have behov for at få adgang til systemerne. Der skal forefindes en politik for, hvordan og under hvilke omstændigheder en sådan adgang må finde sted - ikke mindst for at sikre, at de ikke selv finder adgangsmuligheder. 7. Fysisk sikkerhed CIP 006, ISO 17799:2000:7, ISO17799:2005:9, DS484:2005:9, ISO27002:2005:9 Formål: Den fysiske adgang til virksomheden skal begrænses efter et behovs-princip, således at uønskede personer ikke får adgang til virksomheden. Der skal forefindes en fysisk afgrænsning, som dokumenteres i en sikringsplan. Områder klassificeres, og der fastsættes forskellige niveauer af adgangskontroller, som er tilpasset klassifikationen af aktiver. Der skal etableres fysisk adgangskontrol med centraliseret elektronisk to-faktor autentifikation. Hvis dette ikke er muligt, skal der være streng kontrol med udstedelsen af nøgler. Al uautoriseret adgang skal forhindres. 10

11 Personer med daglig gang på virksomheden bør anvende fotoidentifikation. Al fysisk adgang skal overvåges og logges, og loggen skal gemmes i et bestemt tidsrum. Der skal findes dokumentation af adgangskontrollerne, og de skal løbende reviewes. Lokaler og udstyr skal sikres i overensstemmelse med deres klassifikation, og placeringen skal løbende revurderes. Det skal sikres, at udstyr kan forsynes med strøm, brændstof, råmaterialer, m.v. Adgangsveje for sådant input skal være hensigtsmæssigt placeret og sikret. Der skal løbende foretages vedligehold og test. Bemærkninger: Forsikring & Pension 22 har lavet mange vejledninger til, hvordan man i praksis kan gennemføre fysisk sikring. Der findes eksempelvis en oversigt over, hvilket sikringsniveau forskellige varegrupper bør have 23. Der findes også et egentlig Sikringskatalog, hvor de forskellige sikringsmetoder gennemgås grundigt og illustreret 24. NIST anbefaler konkret, at der anvendes smart cards som "Personal Identity Verification (PIV)". 8. Styring af netværk, drift og sikkerhed CIP 007, ISO 17799:2000:8, ISO17799:2005:10, DS484:2005:10, ISO27002:2005:10, NIST , NIST , (IEC , ISO/IEC TR ), ISO20000 Formål: Sikre den bedst mulige beskyttelse af virksomhedens elektroniske aktiver indenfor den elektroniske perimeter, så uønskede personer ikke får adgang til at stjæle eller ødelægge, og således at systemerne hele tiden kører optimalt. 8.1 Organisering af det daglige arbejde Der skal ske en adskillelse af udvikling, test og drift, således at driften i mindst muligt omfang risikerer at blive påvirket af uforudsete hændelser som fejl eller misbrug. Når der i driften implementeres nye elementer, som er blevet udviklet og testet, bør der være en fall-back plan, hvis noget mod forventning skulle gå galt. Det skal sikres, at der forefindes dokumentation af alle systemer, og at der iværksættes tiltag for vedligehold. Dette bør suppleres af self-assessments. Organiseringen i øvrigt skal være i overensstemmelse med afsnit Forsikring & Pension er det tidligere Skafor (Dansk Forening for Skadesforsikring), der lavede SKAFORklassifikationen Standard for "Industrial communication networks - Network and system security". Det har i skrivende stund været vanskeligt at få mere information om denne standard, da den tilsyneladende er under udarbejdelse og påtænkes sammenlagt med ISA ISO/IEC TR 19791:2006 Information technology -- Security techniques -- Security assessment of operational systems. Denne standard lægger sig efter sigende op af Common Criteria standarden, ISO/IEC 15408, men er rettet mod mere operationelle aspekter. Det ser dog ud til, at denne standard i skrivende stund ikke er gældende. 11

12 8.2 Drift Der skal foreligge driftsafviklingsprocedurer, som præciserer, hvem der må og skal foretage sig hvad i hvilke situationer. Hvem må f.eks. stoppe et produktionsudstyr? Hvem sikrer, at backup'en fungerer? Der skal ske styring af driften - herunder bl.a. løbende vurdering af kapacitet og ressourceforbrug, vurdering af nye teknologier og planlægning af kommende ændringer. Der skal være retningslinjer for ændringer af og på udstyret 27, som bl.a. beskriver ændringerne, planlægger hvordan de skal ske, redegør for konsekvenserne for andre systemer, placerer ansvar og indeholder en fall-back plan. Der skal laves retningslinjer for, hvor udstyr skal placeres og driftes fra - f.eks. i produktionsmiljø eller kontormiljø. For at kunne optimere den service, man leverer på IT-området til de ansatte, kan det overvejes, at organisere sin service efter de i ITIL 28 eller ISO20000 angivne strukturer. 8.3 Teknik Netværksarkitektur Virksomhedens netværk skal overordnet styres ud fra en helhedsbetragtning. Flere sikkerhedsstandarder peger på at gå frem efter (ISO/IEC18028). NIST anbefaler, at man anlægger en lifecycle betragtning og tænker sikkerhed ind lige fra designet af arkitekturen og videre over anskaffelse, installation, vedligehold og afskaffelse. Netværket bør opbygges således, at der som minimum er adskillelse mellem produktionsmiljøet og kontormiljøet 29. Adskillelsen kan være fysiske linjer, men kan også være VLAN. Alle forbindelser (kablede såvel som trådløse) til de enkelte miljøer skal kortlægges. Kun de forbindelser, som er nødvendige, skal opretholdes - resten lukkes. De mest forretningskritiske systemer skal være dem, der er bedst sikret på nettet. Produktionsmiljøet må ikke have adgang til internettet. Generelt skal der kun åbnes for de absolut nødvendige porte og services. Det skal kontrolleres, at der ikke (som standard) er åben for andre porte eller kører andre services end de nødvendige. Leverandøren har ofte installeret bagdøre, som kan give ham selv adgang til systemet. Virksomheden skal vurdere nødvendigheden af dette. I fald disse bagdøre skal forblive åbne, skal de sikres bedst muligt - herunder med stærk autentifikation og evt. med en call-back mekanisme (hvor systemet selv ringer tilbage til en bestemt og autentificeret kontakt). Generelt bør porte og services lukkes af adgang bør kun ske via VPN eller lignende teknologi, for at sikre at kun godkendte brugere kan kommunikere med enheder på netværket. Det kan overvejes at installere særlige firewalls, som ikke kun kigger på de enkelte pakker, men som også ser på pakken i sammenhængen med den kommunikationsstrøm, den indgår i (stateful inspection firewall). Særlige unit-maskiner, som har meget lidt kommunikation men behov for remote adgang, skal placeres på deres eget helt lukkede LAN, som kun giver adgang for remote værktøj. 27 Der tales generelt om change management procedurer og konkret om bl.a. konfigurationsstyring. 28 Information Technology Infrastructure Library 29 Produktionsmiljøet står over for flere trusler end kontormiljøet, fordi produktionsmiljøet i en række tilfælde ikke kan opdateres med sikkerhedsopdateringer (patches). 12

13 Direkte trafik mellem produktionsmiljøet og kontormiljøet bør undgås. Der bør etableres en DMZ netværksarkitektur, hvor udvekslingen af informationer mellem de forskellige miljøer kan foregå. Det kan overvejes at sikre, at kritiske komponenter på netværket er redundante, og at kritiske forbindelse på netværket ligeledes er redundante. For at beskytte de resterende åbne forbindelser med tilhørende åbne porte og services, skal der installeres diverse former for netværkssikkerhedsudstyr og kontroller - f.eks. via firewalls, envejskommunikation og IDS/IPS-systemer. Som minimum bør der være firewalls mellem de forskellige segmenter af netværk og mod alle udgående forbindelser. Disse forhold uddybes i afsnit Bemærkninger: NIST har gode generelle beskrivelser af netværkstopologier. Især kan anbefales figur 5-4 af adskilte netværk, som hver især er beskyttet af firewalls og som udveksler informationer i en DMZ. En tilsvarende topologi vises nedenfor: Netværksikkerhedssudstyr og kontroller Firewalls må fremhæves som det helt afgørende sikkerhedsudstyr til at beskytte de resterende åbne forbindelse med tilhørende åbne porte og services (jvf. ovenfor)! 13

14 De sikkerhedsfeatures der kommer fra leverandøren med apparatet eller servicen bør installeres. Sørg desuden for løbende at få testet og installeret nye sikkerhedsopdateringer (patches). Der bør laves procedurer for styring af opdateringer (patch management). For at begrænse mulighederne for ondsindet software bør man undersøge muligheden for at installere antivirus på computere i produktionen. Sørg i den forbindelse for at der ikke skannes på tunge filer, da en sådan skanning kan give uheldige konsekvenser. Installer software som kan tjekke filers integritet. Man kan f.eks. få leverandørerne til at generere en hash-værdi af filen og tjekke op mod denne for at verificere, at det er den rette fil, og at der ikke er manipuleret med den. Man kan også overveje at udstede en firmasignatur, som en given leverandør skal bruge for at få lov til at installere programmer eller opdateringer. Installer software, som overvåger og analyserer netværkstrafikken og på baggrund af kendte angrebsmønstre o.a. kan give en alarm om, at der kan være uønsket aktivitet i gang på netværket (Intrusion Detection System, IDS). Nogle af denne type systemer kan foruden alarmen også selv iværksætte visse korrigerende tiltag (Intrusion Prevension System, IPS). Foruden overvågning af netværkstrafikken bør man også overvåge og logge brugeraktiviteter, afvigelser, sikkerhedshændelser, systemanvendelse, administratoraktiviteter, fejl og sørg for at tiden er sat korrekt på alle systemer. Der bør løbende foretages penetrationstests/sårbarhedsanalyse, således at man sikrer, at systemet ikke er sårbart overfor kendte angrebsmetoder eller ondsindet software. Der bør være procedurer for genanvendelse og afskaffelse af udstyr. Lagermedier bør have særlig opmærksomhed, og der bør være retningslinjer, som forholder sig til håndteringen af lagermedier og adresser, bl.a. hvordan bærbare lagermedier skal behandles og tilsluttes, hvordan indholdet beskyttes (f.eks. kryptering), og hvordan lagermedierne skal destrueres. Der bør være retningslinjer for sikkerhedskopiering, der bl.a. adresserer hvilke filer/systemer der tages backup af, hvor længe overvågning/logning lagres, og hvor lagring foregår (intern/ekstern). Desuden bør det kontrolleres, at backup'en virker så data/systemer kan gendannes. Informationer fra produktionsmiljøet vil bevæge sig ind i kontormiljøet - det er hele tanken med at få sat produktionsmiljøet på et netværk. Der bør være procedurer, der dermed adresserer, hvad der må ske med denne information. Herunder skal det adresseres, hvordan udveksling af information må finde sted (f.eks. s), hvilke systemer der skal integreres med og i hvilket omfang informationer kan indgå i elektroniske forretningsservices som f.eks. handel og andre online transaktioner, hvor kunder f.eks. kan læse eller opdatere i virksomhedens systemer. Bemærkninger: Proprietære protokoller er ikke mere sikre end andre protokoller og kan derfor ikke betragtes som et sikkerhedselement i sig selv. I takt med at mere og mere kommunikation bevæger sig over på IP, bortfalder dette argument i øvrigt også. NIST gennemgår en række forskellige sikkerhedsprodukter, som man kan overveje at indbygge i sit sikkerhedssetup. Der nævnes bl.a. produkter indenfor identifikation og autentifikation, adgangskontrol og intrusion detection, firewalls, public key infrastructure, beskyttelse mod ondsindet kode, sårbarhedsskannere, forensics og beskyttelse af lagermedier. 14

15 8.4 Krav til sikre produkter og leverancer Forhold til eksterne leverandører Overordnet kan man stille krav om at leverandørerne er certificeret i henhold til f.eks. ISO27001, SAS70 eller ISAE3402 (eller den ældre RS34311). Man kan også overveje om man vil stille krav om at udviklingsprojekter har fulgt en struktureret udviklingsmode som f.eks. CMMI (igen for at forsøge at sikre sig kvaliteten i det modtagne produkt) 30. Der bør være styring af eksterne leverandører (outsourcingpartnere). Styringen bør sikre, at der foreligger Service Level Agreements (SLA) på alle systemer. I SLA bør der stilles krav til bl.a. hvad der skal leveres, hvilken projektorganisationer der etableres, om der er underleverandører, hvilket ejerskab der er til leverancen 31, om leverancen får konsekvenser for eksisterende politikker, om leverandøren kan overvåges og auditeres og hvordan kontrakten kan afbrydes. Desuden bør der i SLA'en stilles krav til selve produktet jvf. punkt nedenfor. Der bør også sikres, at serviceleverandørernes opdateringer er testet, og at der tages hensyn til lokale forhold som f.eks. en konkret lokal konfiguration 32. Virksomheden bør være opmærksom på ændringer hos serviceleverandøren - f.eks. med hensyn til kompetencer og økonomisk situation Når serviceleverandøren befinder sig i virksomheden for at servicere installationer, bør der i videst muligt omfang stilles en jumpstation til rådighed for leverandøren. En jumpstation er virksomhedens egen computer, som altid har installeret godkendt styresystem, opdateret antivirus og præcis de programmer, som leverandøren skal anvende. På den måde kan det sikres, at der ikke kommer fremmede maskiner på netværket. De eksterne leverandører skal underskrive sikkerhedspolitikken og relevante retningslinjer - f.eks. retningslinjer for servere, adgang og logning. Der skal foretages en risikovurdering, såfremt det overvejes at anvende hostede netværkstjenester Krav til produkter Der bør stilles krav om, at der er foretaget penetrationstest af produktet og i givet fald hvilke værktøjer, der er anvendt. Der skal lægges vægt på, at sikkerhed er bygget ind i systemet fra dets "fødsel" 33. Der bør stilles en række krav til de produkter, der leveres. Kravene bør bl.a. adressere: o Redegørelse for hvilke data der håndteres med hvilken klassifikation o Kortlægning af hvordan produktet eller servicen indgår i systemlandskabet (software, servere, lagermedier, databaser, netværk, m.v.) 30 Der vil i skrivende stund ikke være mange leverandører, der kan efterleve dette, men efterspørges det ikke, får vi heller ikke bedre kvalitet i produkterne. 31 F.eks.: ejes den maskine der leveres til virksomhedens produktion af virksomheden eller af leverandøren? 32 I nogen sammenhænge taler man om en leverancetest (at det der skal være der faktisk er der), en funktionstest, (som viser at systemet faktisk virker) og en driftstest (som viser at virksomheden selv kan drive systemet uden fejl i f.eks. 20 dage). 33 I forhold til beskyttelse af persondata taler man ofte om Privacy by Design og mener hermed, at sikkerheden er designet ind i produktet eller servicen, allerede mens dette udvikles - evt. under anvendelse af særlige teknologier, som bygges med ind: Privacy Enhancing Technologies. Dette kan også gøres i et sikkerhedsdesign, hvor man f.eks. kan designe små webservere, som er særligt sikrede, ind i produkterne. 15

16 o Redegørelse for i hvilket omfang der foregår netværkstrafik mellem det leverede produkt og leverandøren eller tredjeparter - og i givet fald om denne er krypteret eller skannes o Krav om adgang til kildekode o Kortlægning af hvordan logisk adgang er planlagt o Kortlægning af change management procedurer - herunder opdatering eller installation af nye versioner med ny funktionalitet og de deraf affødte konsekvenser for systemets miljø o Kortlægning af hvad der logges og gives adgang til af hvem o Aftale om hvilke hændelser der giver anledning til rapportering fra leverandøren o Aftaler vedr. backup og beredskab Det kan overvejes, om man vil stille krav om, at den software der anvendes, er common criteria certificeret (ISO15408), og i givet fald på hvilket niveau. 9. Anskaffelse, udvikling og vedligehold ISO 17799:2000:10, ISO17799:2005:12, DS484:2005:12, ISO27002:2005:12 Formål: Nyt udstyr skal understøtte forretningen og må ikke underminere sikkerhedspolitikken. Der skal være retningslinjer for indkøb af nyt udstyr, der bl.a. inkluderer, hvem der må indkøbe og installere udstyret. Ved indkøb af nyt udstyr skal det kontrolleres, at det kan overholde eksisterende sikkerhedskrav, og det skal vurderes, om udstyret giver anledning til nye sikkerhedskrav. Det nye udstyr skal testes, placering af og adgangen til udstyret skal vurderes, det skal være omfattet af SLA, og det skal vurderes, om der er behov for adgang til kildekode. Ved testen skal der lægges vægt på, at sikkerheden er bygget ind i applikationen. Det betyder bl.a., at input skal valideres for korrekthed og integritet, at det skal kontrolleres, at data behandles korrekt og at uddata valideres. Der skal foruden retningslinjer for indkøb af udstyr være retningslinjer for eventuel genanvendelse (f.eks. overskrivning af lagermedier 7 gange) og for afskaffelse af udstyr. Når der sker ændringer i udviklingen, skal dette foregå efter fastlagte retningslinjer. Ved inddragelse af eksterne leverandører skal disse overvåges. Det skal sikres, at både virksomhed og leverandør har forstået, hvad ændringerne skal medføre, og at leverandøren har en fall-back-plan, hvis ændringerne skulle gå galt. Der skal løbende kontrolleres for sårbarheder - også på det nye udstyr Bemærkning: Der findes i virksomhederne efterhånden en tendens til, at andre end IT-afdelingen indkøber udstyr og især services. Det er vigtigt, at virksomheden gennem topledelsens engagement får styret denne situation. Udstyr og services, som bruges uden sikkerhedsmæssig test og godkendelse, vil være med til at underminere sikkerheden. 10. Håndtering af sikkerhedshændelser CIP 008, ISO17799:2005:13, DS484:2005:13, ISO27002:2005:13, ISO20000 Formål: Virksomheden skal være i stand til at reagere på og korrigere sikkerhedshændelser hurtigst muligt. 16

17 Virksomheden skal overvåge sine systemer løbende. Det betyder, at al adgang skal logges, der skal installeres IDS/IPS-systemer og antivirus på klienter og servere. Alle skal kunne rapportere hændelser, der skal kunne iværksættes korrigerende tiltag hurtigst muligt, hændelserne skal logges, og virksomheden skal lære af dem. Der skal desuden foreligge retningslinjer, der beskriver, hvem der kan hjælpe hvem med hvad, hvis en hændelse skulle opstå. Det skal kortlægges, om der i forbindelse med rapportering og korrigerende tiltag er afhængigheder i forhold til internt og eksternt personale. Afhængig af hændelsens karakter skal det overvejes, om myndighederne skal inddrages. I den forbindelse er det vigtigt, at virksomheden er i stand til at foretage retsgyldig bevissikring. Virksomheden skal være i stand til at forudse, hvilke hændelser der typisk kan ramme virksomheden. Bemærkninger: De ansatte skal altid kunne få hjælp til at besvare sikkerhedsspørgsmål. For at kunne optimere den service, man leverer på IT-området til de ansatte, kan det overvejes, at organisere sin service efter de i ITIL 34 eller ISO20000 angivne strukturer. DI og DI ITEK er i skrivende stund (primo 2012) sammen med Rigspolitiet i gang med at lave en vejledning i retsgyldig bevissikring. Tjek vores hjemmeside for om vejledningen er udkommet. 11. Disaster recovery og business continuity CIP 009, ISO 17799:2000:11, ISO17799:2005:14, DS484:2005:14, ISO27002:2005:14 Formål: I tilfælde af kriser skal virksomheden være i stand til at fortsætte eller genoprette sin drift med så minimale forstyrrelser for forretningen som muligt. Der skal foreligge beredskabsplaner, som bl.a. indeholder ansvarsfordeling, tværorganisatorisk proces for beredskabsstyringen og prioritering af hvilke services, der skal genoprettes i hvilken rækkefølge. Beredskabsplanen skal tage højde for både genopretning af systemer og processer. Beredskabsplanen bør afprøves og dokumenteres gennem øvelser, med fastlagte intervaller. Beredskabsplanen skal vedligeholdes i form af revurdering i takt med at nye systemer eller ændringer af eksisterende systemer introduceres i virksomheden, og nye trusler opstår. Der skal foretages backup af både data og systemer. Backupen bør gemmes udenfor virksomhedens område. Der skal være retningslinjer for restore og backupen skal løbende testes. 12. Compliance ISO 17799:2000:12, ISO17799:2005:15, DS484:2005:15, ISO27002:2005:15 Formål: Det bør løbende sikres, at virksomheden opererer i overensstemmelse med lovgivningen og gerne med anvendelse af standarder og best practises m.v. Virksomheden bør udarbejde og efterleve en sikkerhedspolitik. 34 Information Technology Infrastructure Library 17

18 Alle eksterne krav skal kortlægges - herunder særligt generel lovgivning (f.eks. ophavsret og behandling af personoplysninger) og branchespecifik lovgivning. Det bør også undersøges, om virksomheden er underlagt anden regulering. Endelig bør udenlandsk lovgivning kortlægges for de lande, som virksomheden opererer i. Virksomheden kan overveje at efterleve eller søge inspiration i diverse standarder, best practises og guidelines. Virksomhedens bør sikre, at de relevante systemrevisionsspor forefindes. 18

19 Bilag B: Ordliste CERT Computer Emergency Response Team, Varetager håndtering af trusler mod national infrastruktur eller trusler mod især forskningssektoren. Mange lande har en eller flere CERT-funktioner, der indgår i globale CIP CMMI Cobit Common Criteria DCS DHS DS484 ERP-system FISMA HIPAA HVAC ICS ISAE 3402 ISO27000 ITIL NERC samarbejdsnetværk. Indsatsen koordineres fra CERT CC ved Carnegie Mellon University. Critical Infrastructure Protection, 20 Sikkerhedsstandarder fra NIST for beskyttelse af den kritiske infrastruktur i USAs el-forsyning. Capability Maturity Model Integration, Software procesudviklingsmodel lavet af Carnegie Mellon University til det amerikanske forsvar. Udgangspunktet er at skabe modenhed i den udviklende organisation, således at der er styr på alle detaljer i udviklingsprocessen. Control Objectives for Information and related Technology, Cobit er en best practise, som har til formål at sikre, at alle aspekter af IT understøtter virksomhedens mål. Software sikkerhedsstandard, ISO 15408, Standard der har til formål at verificere, at software er sikker, fordi den efterlever nogle på forhånd definerede tekniske sikkerhedsfunktionaliteter. Distributed Control Systems Et industrielt kontrolsystem, som decentralt overvåger og via lokale input og output styrer industrielle processer. DCS kan evt. indgå i et SCADA-system. Department of Homeland Security, Har til formål at beskytte USA mod alle tænkelige trusler. Dansk standard for informationssikkerhed, Denne danske standard ligger i dag meget tæt op af den internationale ISO27000-standard, hvorfor sidstnævnte må anbefales. Siden 2007 har DS484 udgjort statens standard for itsikkerhed. Regeringen har nu besluttet, at de statslige institutioner også kan anvende den internationale standard, ISO27001, i stedet for DS484. På længere sigt bliver ISO27000 den obligatoriske offentlige standard. Enterprise Ressource Planning Software systemer, som integrerer informationer fra stor set alle dele af virksomheden - f.eks. regnskab, produktion, salg og kundehåndtering. Federal Information Security Management Act Amerikansk lov som forpligter amerikanske myndigheder til at udvikle, dokumentere og implementere sikkerhedssystemer. Health Insurance Portability and Accountability Act Standardiserede krav til amerikanske sundhedssystemer herunder sikkerheds- og privacykrav. Heat, ventilation, air conditioning Forskellige teknologier, der sammensat i eet kontrolsystem kontrollerer indendørs klima. Industrial Control Systems Fællesbetegnelse for kontrolsystemer, der anvendes ved styring af industriel produktion, og som inkluderer SCADA, DCS og PLC. International Standards for Assurance Engagements International standard for hvordan service organisationer kan kommunikere information om sine kontroller. Serie af standarder for informationssikkerhed, FN's standardiseringsorganisation, som på baggrund af den britiske sikkerhedsstandard BS17799 (tidligere BS7799) har lavet en holistisk tilgang til informationssikkerhed. Materialet udgør grundlaget for sikkerhed rigtigt mange steder - også i den danske stat. Information Technology Infrastructure Library, ITIL er et framework for IT service management. North American Electric Reliability Corporation, Har til formål at sikre stabiliteten i USAs el-forsyning. Har i den forbindelse lavet 19

20 NIST OCTAVE PLC RS34311 RTU SAS70 SCADA SSID sikkerhedsstandarderne for beskyttelse af kritisk infrastruktur. National Institute of Standards and Technology, Forsknings- og standardiseringsstyrelse under USAs Handelsministerium. Understøtter innovation og konkurrence - herunder USAs teknologiske infrastruktur. Operationally Critical Threat, Asset, and Vulnerability Evaluation Sikkerhedsmetodik udviklet af CERT. Sikkerhed vurderes med udgangspunkt i konkrete trusler klassificeret som personmæssigt, systemmæssige eller udenfor virksomhedens kontrol. Programmable Logic Controller Computer som bruges til kontrol af automatiserede processer ved f.eks. samlebånd. Computeren kan tage forskellige inputs og give forskellige outputs afhængig af produktionen. Computeren kører typisk få dedikerede programmer på et minimalt styresystem, og hardware er kendetegnet ved at være fysisk robust. PLC'en blev tidligere programmeret via dedikeret hardware, men er i dag ofte ethernet-enablet og kan således programmeres fra en terminal på LAN. PLC'er har høj levetid og stabilitet, og mange produktionsapparater kan således have en levetid på 20 år. Delmængde af ICS. Standard Ældre standard som er stattes af ISAE 3402 Remote Terminal Unit Lille computer med sensor, som måler lokale fænomener og sender dem til analyse i en central SCADA-enhed. Statement on Auditing Standards, Auditeringstandard. Supervisory Control and Data Acquisition Et industrielt kontrolsystem, som centralt overvåger og via input og output styrer industrielle processer (f.eks. industriel fremstilling eller energiproduktion), infrastruktur processer (f.eks. rensning af vand, vindmøller eller olieledninger) og facility processer (f.eks. lufthavne eller HVAC-systemer). SCADA-systemet består typisk af en række undersystemer - f.eks. et interface til menneskelig kommunikation, automatiseret overvågning, RTU'er, PLC'er m.v. Service Set IDentifier Navnet på et trådløst netværk. 20

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

- for forretningens skyld

- for forretningens skyld Produkt og produktionssikkerhed - for forretningens skyld DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

ITEK og Dansk Industris vejledning om betalingskortsikkerhed ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing

VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed Sådan håndterer Danish Crown sin industrielle IT-sikkerhed DAU d. 7 marts 2013 CV Firma : Navn : Afdeling : Titel : Alder : Danish Crown A/S Thomas Page Pedersen Factory IT Afdelingschef 43 år Danish Crown

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Business Continuity og Cloud

Business Continuity og Cloud Business Continuity og Cloud af: Michael Christensen, Certified Business Continuity and IT-security Consultant, CISSP, CSSLP, CISM, CRISC, CCM, CPSA, ISTQB, PRINCE2, COBIT5 For rigtig mange danske virksomheder

Læs mere

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP AGENDA 01 Kort præsentation 02 Behov i forbindelse med de 4 dimensioner 03 Koncept for sikker forbindelser 04 Netværkssikkerhed

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab Carsten Jørgensen 7 marts 2012 Carsten Jørgensen 1999 2001 2006 2009 2011 CloudSecurity.dk Falck 2012 Falck 2011 Emergency Assistance Healthcare

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

Sikkerhed i trådløse netværk

Sikkerhed i trådløse netværk Beskyt dit trådløse netværk IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-post: itst@itst.dk www.itst.dk Rådet for it-sikkerhed www.raadetforitsikkerhed.dk Der

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources? It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources? Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5. maj 2015 Krav og udfordringer Avanceret infrastruktur og

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Dit netværk er vores højeste prioritet!

Dit netværk er vores højeste prioritet! Dit netværk er vores højeste prioritet! Hvor sikker er du på dit netværk? Netværkssikkerhed er ingen selvfølge. Det har mange virksomheder måttet konstatere den seneste tid. Vi har været vidne til gentagne

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Comendo Remote Backup. Service Level Agreement

Comendo Remote Backup. Service Level Agreement Comendo Remote Backup Service Level Agreement Side 2 af 7 Indholdsfortegnelse Service Level Agreement... 1 Indholdsfortegnelse... 2 Introduktion... 3 Comendo Remote Backup ansvar og forpligtelser... 3

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

IT Service Management - the ITIL approach

IT Service Management - the ITIL approach IT Service Management - the ITIL approach Mikael M. Hansen mhansen@cs.aau.dk 2.2.57 Mikael M. Hansen Page 1 TOC Mine indlæg Dagens program: IT Service Management Alternativerne ITIL

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0 SCP.03.00.DK.1.0 Indhold Indhold... 2 1 Formålet med ledelsessystem for informationssikkerhed... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 3 2.1 Certificeringsfrekvens...

Læs mere

Forår 2012 - Firewalls

Forår 2012 - Firewalls Syddansk Universitet DM830 - Netværkssikkerhed Imada - Institut for matematik og datalogi Forår 2012 - Firewalls Forfatter: Daniel Fentz Johansen Alexei Mihalchuk Underviser: Prof. Joan Boyar Indhold 1

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Security & Risk Management Summit

Security & Risk Management Summit Security & Risk Management Summit Hvor og hvornår skaber Managed Security Services værdi? Business Development Manager Martin Jæger Søborg, 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

Revision. Skat. Rådgivning.

Revision. Skat. Rådgivning. Forundersøgelse af modenhedsog sikkerhedsniveauet inden for cyber- og nssikkerhed blandt danske el- og naturgasselskaber Rapport 20. maj 2015 Revision. Skat. Rådgivning. Indhold Slide Indledning 3 Om spørgeskemaundersøgelsen

Læs mere

Spillemyndighedens krav til akkrediterede testvirksomheder. Version 1.3.0 af 1. juli 2012

Spillemyndighedens krav til akkrediterede testvirksomheder. Version 1.3.0 af 1. juli 2012 Version 1.3.0 af 1. juli 2012 Indhold 1 Indledning... 4 1.1 Myndighed... 4 1.2 Formål... 4 1.3 Målgruppe... 4 1.4 Version... 4 1.5 Henvendelser... 4 2 Certificering... 5 2.1 Rammer for certificering...

Læs mere

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners Standardiseret tilgang til Software Asset Management ISO19770 ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners 1 WG21 historien ISO19770 arbejder i WG21 under ISO Etableret i 2001 Første standard 19770-1

Læs mere

Lumia med Windows Phone

Lumia med Windows Phone Lumia med Windows Phone Født til jobbet microsoft.com/da-dk/mobile/business/lumia-til-erhverv/ 103328+103329_Lumia-Brochure+10reasons_danish.indd 1 19.11.2014 14.43 Office 365 på arbejde Giv dine medarbejdere

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE SLIDE 1 DATABESKYTTELSESDAGEN IT-SIKKERHED SET FRA LEVERANDØRENS SIDE v/ Koncernsikkerhedschef Rasmus Theede Offentlig AGENDA FRIDAY, 31 JANUARY 2014 SLIDE 2 Sikkerhed set fra kundens side, og leverandørens

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Vejledning i it-risikostyring og -vurdering. Februar 2015

Vejledning i it-risikostyring og -vurdering. Februar 2015 Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske

Læs mere

2. Overordnet IT-strategi for IT-fællesskabets. IT-strategien indeholder følgende tre udsagn:

2. Overordnet IT-strategi for IT-fællesskabets. IT-strategien indeholder følgende tre udsagn: IT STRATEGI for Kalundborg Gymnasium og HF 1. Indledning Der er ikke siden statusrapporten fra år 2000 udarbejdet en egentlig IT-strategi for Kalundborg Gymnasium og HF, men på baggrund af en række eksterne

Læs mere

Symantec - Data Loss Prevention

Symantec - Data Loss Prevention Symantec beskyttelse af data/dokumenter Beskrivelsen af Symantecs bud på tekniske løsninger. I beskrivelsen indgår tre følgende løsninger fra Symantec: - Data Loss Prevention - Disk eller ekstern device

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant Modtagelseserklæring Modtagelseserklæring for AAU ITS Infrastruktur version 4. Anvendelse Modtagelseserklæringen skal anvendes i forbindelse med projekter drevet af PMO, AIU eller IFS. Projektlederen er

Læs mere

Udfordringer for cyber security globalt

Udfordringer for cyber security globalt Forsvarsudvalget 2013-14 FOU Alm.del Bilag 105 Offentligt Udfordringer for cyber security globalt Binbing Xiao, Landechef, Huawei Technologies Danmark Knud Kokborg, Cyber Security Officer, Huawei Technologies

Læs mere

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser iodc (In & Outbound Datacenter) Hvidovrevej 80D 2610 Rødovre CVR 35963634 ( IODC ) Version 1.0 1 1. Forudsætninger... 3 2. Ansvar

Læs mere

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v.

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v. S E R V I C E L E V E L A G R E E M E N T for Netgroups levering af IT-ydelser m.v. Netgroup A/S Store Kongensgade 40 H 1264 København K CVR-nr.: 26 09 35 03 ( Netgroup ) Version 4.4 1. Forudsætninger...

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Automation Projektledelse Networking. Energi & forsyning. Automation Projektledelse Networking

Automation Projektledelse Networking. Energi & forsyning. Automation Projektledelse Networking Energi & forsyning Energi & Forsyning SRO standardisering i forsyningsvirksomheder Økonomisystem Kundecentersystem Dokument & projektstyringssystem Portal og kommunikation Ledelsesrapporteringssystem Asset

Læs mere

ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel

ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele,

Læs mere

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen.

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen. Personalehåndbog Personalehåndbogens målsætning Strategi og mål m.m. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen Bestyrelse 1 Organisationsdiagram 6. Vores målsætning Politikker

Læs mere

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET TING PÅ INTERNETTET Internet of things er et moderne begreb, som dækker over, at det ikke længere kun er computere, der er på internettet. Rigtig

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

Service Level Agreement Version 2.0 d. 1. april 2014

Service Level Agreement Version 2.0 d. 1. april 2014 Service Level Agreement Version 2.0 d. 1. april 2014 EDB-Eksperten.dk 1. Præambel... 3 1.1. Definitioner... 3 1.2. Produktomfang... 3 2. Driftsvindue og tider... 3 2.1. Driftsvindue... 3 2.2. Åbningstid...

Læs mere

Spillemyndighedens certificeringsprogram Program for styring af systemændringer

Spillemyndighedens certificeringsprogram Program for styring af systemændringer SCP.06.00.DK.1.0 Indhold Indhold... 2 1 Formålet med program for styring af systemændringer... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 4 2.1 Certificeringsfrekvens...

Læs mere

Magnus Lund Jacobsen IT-sikkerhedsanalytiker Forsvarsministeriet Projektenhed for Cybersikkerhed, GovCERT. Cybertrusler mod Smart Grids

Magnus Lund Jacobsen IT-sikkerhedsanalytiker Forsvarsministeriet Projektenhed for Cybersikkerhed, GovCERT. Cybertrusler mod Smart Grids Magnus Lund Jacobsen IT-sikkerhedsanalytiker Forsvarsministeriet Projektenhed for Cybersikkerhed, GovCERT Cybertrusler mod Smart Grids GovCERT En statslig varslingstjeneste for internettrusler Kritisk

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus, 13.06.2013

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus, 13.06.2013 Security as a Service hvorfor, hvornår og hvordan Gorm Mandsberg, gma@dubex.dk Aarhus, 13.06.2013 SecaaS hvorfor, hvornår og hvordan hvad Hvorfor.. Hvornår.. Hvordan.. Disclamer: Dubex er MSSP og leverer

Læs mere

ITIL Foundation-eksamen

ITIL Foundation-eksamen ITIL Foundation-eksamen Prøveopgave A, version 5.1 Multiple choice Vejledning 1. Alle 40 spørgsmål bør forsøges besvaret. 2. Alle svar skal markeres på det vedlagte svarark. 3. Du har 1 time til at løse

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Ole Westergaard, partner

Ole Westergaard, partner Ole Westergaard, partner Kort fortalt Hvem er Westergaard? Steen Sverker Nilsson Partner Ole Westergaard Stifter og partner Vi er ca. 20 medarbejdere ITIL for alle? ITIL for alle? ITIL kom til verden i

Læs mere

Digital Signatur OCES en fælles offentlig certifikat-standard

Digital Signatur OCES en fælles offentlig certifikat-standard Digital Signatur OCES en fælles offentlig certifikat-standard IT- og Telestyrelsen December 2002 Resumé Ministeriet for Videnskab, Teknologi og Udvikling har udarbejdet en ny fælles offentlig standard

Læs mere

GovCERT og DK CERT. Forskningsnettet 17. november 2010

GovCERT og DK CERT. Forskningsnettet 17. november 2010 GovCERT og DK CERT Forskningsnettet 17. november 2010 Hvad er GovCERT? GovCERT står for Government Computer Emergency Response Team, og er en statslig internet varslingstjeneste plaseret i IT- og Telestyrelsen

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

DE BEAR TECHNOLOGY. o Processer, metoder & værktøjer. e-mail: info@dbtechnology.dk WWW.DBTECHNOLOGY.DK

DE BEAR TECHNOLOGY. o Processer, metoder & værktøjer. e-mail: info@dbtechnology.dk WWW.DBTECHNOLOGY.DK Mission Critical o Projekt Information management o Processer, metoder & værktøjer. Side 1 of 11 Projekt information Projekt information management inkluderer alle de processer, som er nødvendige for at

Læs mere

SIEM hvilken løsning skal du vælge? Claus Løppenthien, cll@dubex.dk Dubex A/S, 12. maj 2015

SIEM hvilken løsning skal du vælge? Claus Løppenthien, cll@dubex.dk Dubex A/S, 12. maj 2015 SIEM hvilken løsning skal du vælge? Claus Løppenthien, cll@dubex.dk Dubex A/S, 12. maj 2015 Overvågning - udfordringen med logning Server and Desktop OS Firewalls/ VPN Directory Services Physical Infrastructure

Læs mere

Bilag 2A: IT-status i Ikast-Brande Kommune. Januar 2014

Bilag 2A: IT-status i Ikast-Brande Kommune. Januar 2014 Bilag 2A: Januar 2014 Side 1 af 5 1. Indledning... 3 2. Statusbeskrivelse... 3 3. IT infrastruktur og arkitektur... 4 3.1. Netværk - infrastruktur... 4 3.2. Servere og storage... 4 3.3. Sikkerhed... 4

Læs mere

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5. Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5. maj 2015 Den nuværende persondatalov Fra år 2000, løbende smårevisioner

Læs mere

Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav

Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav Finanstilsynet Mai-Brit Campos Nielsen Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav Finansrådet og Børsmæglerforeningen har modtaget Finanstilsynets

Læs mere

ITIL og DS484/ISO27001

ITIL og DS484/ISO27001 ITIL og DS484/ISO27001 Sikkerhed for sikkerhedens skyld? Allan Bjerre Afdelingsleder, Service Delivery Management Siemens IT Solutions & Services Siemens IT Solutions & Services 2008 Slide 1 af 289 Agenda

Læs mere

Solutions Day. IT Service Management. Globeteam ITSM

Solutions Day. IT Service Management. Globeteam ITSM Solutions Day IT Service Globeteam ITSM Indhold IT Service Introduktion til ITSM og ITIL Angrebsvinkel til ITIL Case - Kriminalforsorgen ITSM værktøjer Afrunding Hans Christian Holst ITSM konsulent hch@globeteam.com

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Metodeanmeldelse af markedsforskrift F1 - EDIkommunikation

Metodeanmeldelse af markedsforskrift F1 - EDIkommunikation Til Energitilsynet Metodeanmeldelse af markedsforskrift F1 - EDIkommunikation med DataHub'en i elmarkedet 31. januar 2012 HBK/LRP Energinet.dk skal i følge Energistyrelsens bekendtgørelse nr. 1085 af 20.

Læs mere

Tv-overvågning (TVO) Kravspecifikation

Tv-overvågning (TVO) Kravspecifikation Tv-overvågning (TVO) Kravspecifikation Certificering af TVO-installatørvirksomheder Indholdsfortegnelse 10 Forord side 2 20 Krav til certificeringsorganet side 2 30 Certificeringens gyldighedsområde side

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere