DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - baggrund (III)

Størrelse: px
Starte visningen fra side:

Download "DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - baggrund (III)"

Transkript

1 DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - baggrund (III) 1

2 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN:

3 Introduktion Formålet med denne vejledning er at give en introduktion til de sikkerhedsmæssige udfordringer og løsninger ved at indbygge informationsteknologi i produkter og produktionsapparat. Vejledningen har fokus på produktionsapparatet. Der bliver dog også skelet til sikkerheden i produkter, i det omfang produkterne indgår i et andet produktionsapparat. Vejledningen ser ikke isoleret på produktionssikkerhed, men prøver at sørge for, at virksomhedens sikkerhed er på plads i alle dele af organisationen. Dermed udbredes sikkerhedsdisciplinen til ikke kun at adressere kontormiljøet, men også at komme rundt i de øvrige dele af virksomheden - særligt også produktionsapparatet. Målgruppen for vejledningen er danske virksomheder, som allerede har eller er i gang med at overveje, enten at bygge intelligens ind i deres eksisterende produkter eller at sætte deres produktionsudstyr på et netværk. Vejledningen falder i tre uafhængige dele. Første del henvender sig til virksomhedens direktion. Først gennemgås problemstillingen overordnet med fokus på de udviklingsmæssige tendenser og deres forretningsmæssige konsekvenser. Dernæst gennemgås den rolle, som ledelsen må forventes at indtage på området. Anden del af vejledningen henvender sig til de mellemledere i virksomheden, som har ansvaret for virksomhedens overordnede informationssikkerhed, virksomhedens produktionsapparat og virksomhedens produkter. Denne del udgør en konkret tjekliste rettet mod produktionsapparatet. Denne tredje del gennemgår på struktureret vis de forskellige sikkerhedsinitiativer, som bør tages overalt i organisationen. Denne del skal betragtes som en baggrundsrapport for andel del. Til slut i dokumentet findes en ordliste, som forklarer nogle af de organisatoriske eller tekniske begreber, der anvendes i denne vejledning. Vejledningen er udformet så den retter sig mod mellemstore og store danske virksomheder, men særligt del to kan med fordel læses af alle virksomheder, som har et eget produktionsapparat. Mellemlederens rolle og indsats Denne del af vejledningen om produkt- og produktionssikkerhed går i dybden med de forskellige anbefalinger, der er nævnt i vejledningens anden del. I denne del af vejledningen fremgår det, hvilke kilder der ligger til grund for anbefalingerne. Desuden fremgår det, hvordan man skal tænke produkt- og produktionssikkerhed ind en større sikkerhedsmæssig sammenhæng. Kontormiljøets sikkerhed må ikke stå alene - og det må produkt- og produktionssikkerhed heller ikke. Standarder og andre kilder Der findes ikke i skrivende stund og med vores kendskab en standard, som kan siges at dække emnet sikkerhed ved produkter og produktionsapparat. 3

4 Der findes imidlertid masser af standarder, best practises og lovgivning, der dækker dele af området. I forhold til at få styr på sikkerheden ved kontorsystemer kan især fremhæves ISO27000-serien 1, som kan bruges som inspiration til dette arbejde. Standarden udmærker sig ved at være holistisk og dækker bl.a. risikostyring, netværkssikkerhed, fysisk sikkerhed og personalesikkerhed, som også er relevant for produktog produktionssikkerhed 2. Der findes desuden en række amerikanske standarder, som adresserer området, i det omfang det betragtes som kritisk infrastruktur. Flere af disse er imidlertid relateret til konkrete sektorer. Blandt disse kan fremhæves NERC's CIP standard 3, som gælder el-forsyning. Også her gennemgås risikoanalyse, sikkerhedskontroller, personalesikkerhed, fysisk sikkerhed m.v., og det ser ud til at NERC et godt stykke hen af vejen har lænet sig op af ISO Med udgangspunkt i lovgivning om national beskyttelse kan man nævne FISMAs 4, som er baseret på en række standarder, der laves af NIST 5. Nogle af disse er meget detaljerede, og hele 800-serien handler om forskellige aspekter af sikkerhed 6. På lovgivningssiden kan man fremhæve sundhedssektorens HIPAA 7 s sikkerhedskrav 8, som berører administrativ sikkerhed, fysisk sikkerhed og teknisk sikkerhed. I tilknytning til disse findes der også særlige privacy krav. I forhold til produktionssikkerhed har særligt ICS-systemer (SCADA, DCS og PLC) interesse. På dette område findes der flere amerikanske vejledninger - bl.a. NISTs "Guide to Industrial Control Systems (ICS) Security" 9 (meget omfattende) og "21 Steps to Improve Cyber Security of SCADA Networks" 10 fra US Department of Energy. Den amerikanske CERT funktion, US-CERT, kører under "Control System Security Program" et særligt "Industrial Control Systems Cyber Emergency Response Team" 11, der har lavet en række vejledninger på området 12, hvor især "Catalog of Control Systems Security: Recommendations for Standards Developers" 13, skal fremhæves (også meget omfattende). Endelig findes der blandt leverandørerne af denne type systemer en række vejledninger af mere eller mindre generel karakter. På europæisk plan er 1 Information Security Management Systems standarder 2 Hvis man i stedet bare vil have en kort og relativt operationel tjekliste over punkter der skal overvejes kan man tage udgangspunkt i NIST http://csrc.nist.gov/publications/nistpubs/800-27A/SP RevA.pdf. Den kan evt. suppleres med NIST , som giver et overblik over hvordan NIST tjeklisterne hænger sammen og hvilke typisk forhold man skal adressere i organisationer af forskellig type, rev2/sp rev2.pdf. 3 North American Electric Reliability Corporation, der har lavet Critical Infrastructure Protection standarden. 4 USAs Federal Information Security Management Act 5 National Institute of Standards and Technology 6 7 USAs Health Insurance Portability and Accountability Act

5 der i skrivende stund ikke lavet ret meget materiale. ENISA 14 har dog ultimo 2011 lavet en undersøgelse af problemstillingen og givet en række anbefalinger til, hvordan vi i Europa kan komme videre 15. På baggrund af disse kilder, i kombination med de erfaringer virksomheder i DI's medlemskreds har gjort sig på området, er det muligt at opstille en række punkter, som virksomhederne skal være opmærksomme på at få adresseret, og som kan bidrage til at håndtere sikkerheden i forbindelse med produkter og produktionsapparat. Samarbejde og inddragelse af faglige kilder De mellemledere, der har fået ansvaret for sikkerheden mht. kontormiljø, den fysiske sikring, produkter og produktion, bør samarbejde og videst muligt omfang følge den samme tilgang til området. I det omfang der eksisterer standarder og best practises på deres eget fagområde, bør disse anvendes som inspiration til arbejdet - f.eks. ISO27000-serien der hidtil primært er tænkt som rettet mod kontormiljøet og den omtalte "Guide to Industrial Control Systems (ICS) Security" for produktionsmiljøet. Samarbejdet bør følge en ledelsesmodel, og her peger ISO27000-serien på det såkaldte Information Security Management System, ISMS. Det er tre krav til sådant et ISMS. For det første skal der være en række formelle dokumenter, som dokumenterer ISMS'et. Disse skal bl.a. "dokumentere formål, omfang, politikker, procedurer og kontroller, metodologien for risikovurderingen, rapporteringen og behandlingen af risici, procedurer for effektiv drift af ISMS'et, erklæring om anvendelsen af ISMS'et og andre ting" 16. For det andet skal ledelsen vise sin tydelige opbakning til ISMS'et. Og for det tredje skal udviklingen, driften og vedligeholdelsen af ISMS'et foregå via Plan-Do-Check-Act-modellen. Ifølge denne model skal man i "Plan"- fasen tilvejebringe sit ISMS ved at lave politikker, målsætninger, processer og procedurer, som er relevante for at styre risici og forbedre sikkerheden. I "Do"-fasen implementerer og drifter man disse. I "Check"-fasen vurderer man, om processerne er i overensstemmelse med ISMS-politikkerne, og denne lære rapporteres til ledelsen. I "Act"-fasen laver man løbende justeringer og forebyggende tilpasninger af ISMS således, at dette bliver kontinuerligt forbedret 17. I denne proces vil virksomhedens sikkerhedsmodenhed hele tiden blive forbedret. Disclaimer I denne vejledning findes en liste over forhold, som mellemlederne bør adressere. Det er vigtigt at understrege, at denne vejledning på ingen måde hævder at være udtømmende for de udfordringer, der bør adresseres. Vejledningen hævder heller ikke at alle elementer i denne vejledning er relevante i alle sammenhænge. I en række tilfælde vil udstyr på virksomheden være så gammelt, at det ikke giver mening at foretage nogle af de nævnte tiltag. I andre tilfælde være virksomheden være underlagt kontrakter med leverandøren, som ligeledes umuliggør tiltag. 14 European Network and Information Security Agency 15 recommendations-for-europe-and-member-states/at_download/fullreport 16 "Forøg virksomhedens informationssikkerhed", p. 25, 17 Der kan læses mere om modellen i "Forøg virksomhedens informationssikkerhed", pp , 5

6 Vejledningen kan altså bruges som inspiration i kombination med sund fornuft og hensyntagen til lokale forhold. Systematiseret oversigt Nedenfor findes en systematiseret oversigt over faktorer, som har betydning for sikkerheden, og som mellemlederne bør overveje at adressere. Metodisk er der en række hovedpunkter, som stammer fra nogle af de ovenfor angivne kilder. Der er på overordnet plan forsøgt at lave en mapning mellem nogle af de omtalte standarder / best practises. Mappingen baserer sig dels på egen udredning og dels på udredningen fra DI's medlemmer og materiale fundet på internettet. Ved første hovedpunkt findes en fodnote, som forklarer, hvordan henvisningen skal læses. For hvert hovedpunkt specificeres et overordnet formål, som tager udgangspunkt i understøttelse af forretningens behov. Herefter følger en række gode råd til, hvad der i praksis skal gøres på området. Dette kan læses som kontroller, der bør implementeres i virksomheden. Der er i denne tekst ikke en komplet gennemgang af alle foreslåede kontroller fra de forskellige kilder! Nærværende vejledning er IKKE en compliancevejledning. Punkterne afspejler hovedsubstansen i de forskellige kontroller. Såfremt en virksomhed ønsker at skabe compliance med en af standarderne henvises der til, at man selv læser de angivne kilder. Igen er det imidlertid vigtigt at understrege, at punkterne vælges under anvendelse af sund fornuft og lokale hensyn. Afslutningsvis er der for hvert hovedpunkt eventuelt nogle bemærkninger, som er kendte problemer indenfor det pågældende hovedområde, som særligt bør adresseres. Oversigten er opsummeret i del 2 i dette sæt af vejledninger. 1. Organisering af sikkerheden og placering af ansvar CIP 003, ISO 17799:2000:4, ISO17799:2005:6, DS484:2005:6, ISO27002:2005:6 18 Formål: Ledelsen skal sørge for at sikkerhedsarbejdet er organiseret fornuftigt, således at alle i organisationen har fokus på sikkerhed og kender deres ansvar og efterlever procedurer i forbindelse med at passe på virksomhedens aktiver. Ledelsens ansvar, opbakning og synlige engagement til sikkerhedsarbejdet præciseres. Ledelsen udarbejder en governance-model på området. Der udpeges sikkerhedsansvarlige for følgende områder: o Kontormiljø o Fysisk sikring o Produktsikkerhed o Produktionssikkerhed De sikkerhedsansvarlige sørger for, at der etableres den fornødne organisation og de fornødne politikker og kontroller i virksomheden til understøttelse af governance-modellen. 18 CIP er opdelt i forskellige standarder og nummeret henviser til standardens nummer. ISO angives ved standardens nummer, herefter årstallet for udgivelsen (som bestemmer versionen) og til slut kapitlet i standarden. Tilsvarende for DS. 6

7 De sikkerhedsansvarlige sørger for, at virksomhedens politikker, generel lovgivning, sektorspecifik lovgivning, standarder og best practises overholdes. Der skal adresseres både interne og eksterne organisatoriske forhold. Bemærkninger: Det er vigtigt, at der lægges vægt på samarbejde mellem de sikkerhedsansvarlige, så de ikke arbejder isoleret for deres eget område på egne præmisser. De sikkerhedsansvarlige er typisk vant til at anvende et forskelligt sprog, have forskellige faglige referencer/kompetencer og hvis organisationen er stor repræsentere forskellige kulturer. Alle fire personer kan også have forskellige motivationer og er typisk presset fra forskellige steder i organisationen. Produktsikkerhedsmanden vil typisk være presset af at få produktet gjort færdigt, så sælgerne kan komme i gang - og dette kan reducere hensynet til sikkerhed. Produktionssikkerhedsmanden vil være presset af, at produktionen skal køre så stabilt og i så højt tempo som muligt - også dette kan reducere hensynet til sikkerheden. Som følge heraf kan det være nyttigt at overveje funktionsadskillelse, således at de omtalte sikkerhedsfolk rapporterer direkte til direktionen i stedet for alene til f.eks. en produktchef, en produktionschef eller en itchef. Den governance-model, som ledelsen lægger op til, kan f.eks. baseres på Cobit. Cobit er en best practise, som har til formål at sikre, at alle aspekter af IT understøtter virksomhedens mål. 2. Identifikation, klassifikation og styring af aktiver CIP 002, til dels CIP 007, ISO 17799:2000:5, ISO17799:2005:7, DS484:2005:7, ISO27002:2005:7 Formål: Virksomheden skal vide præcist hvilke systemer 19 og data, den er i besiddelse af, hvilken betydning systemer og data har for virksomhedens forretning, og sikre, at der ikke befinder sig uvedkommende udstyr på virksomhedens netværk. Alle systemer skal identificeres og dokumenteres mht. type, placering, producent, modelnummer, serienummer, version, installationsdato, netværksadresse, hardwareadresse og seneste dato for test og vedligehold. Alle systemer skal klassificeres (ud fra forretningens behov), og der skal identificeres en systemejer. Informationer og data skal ligeledes identificeres og klassificeres, og en dataejer skal identificeres. Foruden systemer, informationer og data kan det overvejes at klassificere fysiske aktiver, serviceaktiver, menneskelige aktiver og immaterielle aktiver (f.eks. omdømme). Bemærkninger: Klassifikation er på den ene side helt grundliggende for et solidt sikkerhedsarbejde, og på den anden side så tung en opgave at de fleste virksomheder fravælger den på forhånd. Det anbefales, at man anvender et tre trins raket: 19 Et systemaktiv er f.eks. et brugersystem eller et styresystem. Et system er lagret på et fysisk aktiv f.eks. en server eller en PLC. Systemet er et aktiv i sig selv og kan flyttes mellem fysiske aktiver, der også er et aktiv i sig selv. 7

8 o Start med at identificere, hvad der baseret på intuitiv sund fornuft ser ud til at være de allermest kritiske systemer og data i virksomheden. For disse systemer og data iværksættes de øvrige initiativer i denne vejledning. o Gå herefter systematisk til værk og gå fra afdeling til afdeling og identificer alle systemer og klassificer dem sammen med en udpeget systemejer. o Gentag punktet for data for hver afdeling. Til brug for informations- og dataklassifikation kan anvendes Statsministeriets sikkerhedscirkulære 20. Når man alligevel er i gang med at indsamle oplysninger til brug for klassifikationen, kan man lige så godt indsamle oplysninger til brug for beredskabet samtidig: Hvor og hvor hurtigt skal systemer og data være tilgængelige igen. 3. Risikoanalyse CIP 002, ISO 17799:2000:intro, ISO17799:2005:4, DS484:2005:4, ISO27002:2005:4 Formål: Virksomheden skal vide, hvor de største risici for forretningen ligger og dermed sættes i stand til at beskytte forretningen bedst muligt gennem korrigerende tiltag. For hvert aktiv vurderes det: o Hvilke konsekvenser det har at aktivet ikke er tilgængeligt, ikke kan opretholde fortrolighed, og ikke kan opretholde integritet o Hvilke trusler aktivet står overfor, og hvilke sandsynligheder der er for at truslerne realiseres. o Hvilke korrigerende tiltag der allerede er taget for at beskytte aktivet. De korrigerende tiltag kan være af typen: forebyggende, begrænsende, opdage, afhjælpe og forsikring. o Og på baggrund af ovenstående konkluderes det, hvor sårbart aktivet er overfor truslerne og dermed hvilken risiko virksomheden står overfor. På baggrund af vurderingen af aktivers risici skal der foretages korrigerende tiltag - herunder tekniske (drift og netværk), policymæssige eller personalemæssige tiltag. Der foretages til slut en gab-analyse, som viser hvilken restrisiko, der står tilbage, og som ledelsen skal acceptere. Risikoanalysen bør inddrage de vigtigste processer i virksomheden. Bemærkninger: På nettet findes der masser af skabeloner for at foretage risikovurderinger. Eksemplerne inkluderer ISO-standarderne og OCTAVE. For at få en systematisk tilgang til vurdering af truslerne anbefales det at anvende OCTAVEmodellen 21 : Personrelaterede trusler, Systemmæssige trusler og trusler udenfor virksomhedens kontrol og DI og DI ITEKs vejledning: "Trusler mod virksomhedens IT-sikkerhed", 8

9 4. Sikkerhedspolitikker CIP 003, ISO 17799:2000:3, ISO17799:2005:5, DS484:2005:5, ISO27002:2005:5 Formål: Der skal laves en sikkerhedspolitik, som beskriver, hvordan sikkerhed understøtter virksomhedens forretning og hvilke krav ledelsen stiller til sikkerheden. Sikkerhedspolitikken skal indeholde en beskrivelse af, hvordan forretningen understøttes og signalere ledelsens opbakning. Desuden skal den indeholde definitioner, rammer for retningslinjer, risikovurderinger og kontroller, beskrivelse af organisation og ansvarsplacering, konsekvenser ved overtrædelse, henvisning til kilder og lovgivning. Sikkerhedspolitikken suppleres med uddybende retningslinjer, som beskriver virksomhedens regler, procedurer og kontroller på afgrænsede områder. Bemærkninger: Sikkerhedspolitikken skal generelt forfattes relativt kortfattet, ellers kan man ikke forvente, at den bliver læst. Det mere substantielle indhold kan beskrives i retningslinjer under politikken og målrettes relevante parter i og udenfor virksomheden Der kan foretages løbende tests af de ansattes kendskab, forståelse og efterlevelse af politikken. 5. Personalesikkerhed og træning CIP 004, ISO 17799:2000:6, ISO17799:2005:8, DS484:2005:8, ISO27002:2005:8 Formål: Det skal sikres, at personalet sættes i stand til at efterleve politikken. Ved nyansættelser bør der ske verifikation af ansøgninger, og det skal ved samme lejlighed vurderes, om der skal indhentes straffeattester, og om der kræves sikkerhedsgodkendelse. Samtidig skal sikkerhedspolitikken og eventuelle relevante uddybende retningslinjer udleveres, og det skal sikres, at den nyansatte forstår sit ansvar i forhold til sikkerheden. Under ansættelsen skal det løbende vurderes, om den ansatte har den relevante uddannelse og træning til at opretholde eller forbedre sikkerhedsniveauet. Ved rotation i virksomheden skal kun de fornødne privilegier (f.eks. rettigheder til data og programmer samt fysisk og logisk adgangskontrol) være til rådighed, og der skal altså være procedurer for at rykke rundt på disse. Når ansættelsen afsluttes skal privilegier inddrages tillige med eventuelt udleveret udstyr. Det bør løbende sikres, at den ansatte har det fornødne kendskab, forståelse og evne til at efterleve virksomhedens sikkerhedspolitik og relevante uddybende retningslinjer (Awareness test). Eksterne konsulenter og leverandører, der har sin gang i virksomheden, bør underskrive sikkerhedspolitikken, og deres privilegier skal løbende vurderes. Bemærkninger: Ved ansættelsens afslutning kan der være situationer, hvor medarbejderen ikke er tilfreds med sin snart forhenværende arbejdsplads. Det bør vurderes, om medarbejderen kan være til skade for virksomheden og i givet fald om man skal overveje at fritstille medarbejderen eller rotere vedkommende til en anden mindre sårbar stilling. 9

10 6. Elektronisk sikkerhedsperimeter og adgangskontrol CIP 005, ISO 17799:2000:9, ISO17799:2005:11, DS484:2005:11, ISO27002:2005:11 Formål: Den logiske adgang til virksomheden skal begrænses efter et behovsprincip, således at uønskede personer ikke får adgang til systemer og data. Den elektroniske perimeter skal dokumenteres, og adgang gennem perimeteren skal ske gennem få og vel beskyttede porte og services. Al trafik skal overvåges, og uønsket trafik skal blokeres. Der skal være procedurer for udstedelse og inddragelse af adgang, og adgang skal kun ske gennem to-faktor autentifikation og evt. begrænses til kendte hosts - hvad enten disse sidder indenfor eller udenfor virksomhedens perimeter. Brugernes skal informeres om deres rolle i beskyttelse af adgang - herunder om opbevarelse af password, anvendelse af eksterne lagermedier m.v. Netværk skal segmenteres, og det skal overvejes, om der overhovedet skal være netværksadgang til særligt forretningskritiske systemer. Trådløs adgang skal beskyttes gennem kryptering og uden at broadcaste SSID. Generelt skal al klassificeret trafik, der krydser sikkerhedsperimeteren - den ene eller anden vej - krypteres. Der skal løbende foretages sårbarhedsvurdering og vurderinger af nødvendigheden af åbne porte og services. Adgang skal overvåges og logges, og loggen skal gemmes i en periode. Der skal forefindes dokumentation og vedligehold. Bemærkninger: Uanset hvor gode procedurer virksomheden har, vil der altid være brugere, som ikke nedlægges i rette tid eller brugere, som har for bred adgang i forhold til deres job. Der er derfor nyttigt løbende at gennemgå brugernes adgangsrettigheder. Eksterne leverandører (outsourcing partnere) vil i en række sammenhænge have behov for at få adgang til systemerne. Der skal forefindes en politik for, hvordan og under hvilke omstændigheder en sådan adgang må finde sted - ikke mindst for at sikre, at de ikke selv finder adgangsmuligheder. 7. Fysisk sikkerhed CIP 006, ISO 17799:2000:7, ISO17799:2005:9, DS484:2005:9, ISO27002:2005:9 Formål: Den fysiske adgang til virksomheden skal begrænses efter et behovs-princip, således at uønskede personer ikke får adgang til virksomheden. Der skal forefindes en fysisk afgrænsning, som dokumenteres i en sikringsplan. Områder klassificeres, og der fastsættes forskellige niveauer af adgangskontroller, som er tilpasset klassifikationen af aktiver. Der skal etableres fysisk adgangskontrol med centraliseret elektronisk to-faktor autentifikation. Hvis dette ikke er muligt, skal der være streng kontrol med udstedelsen af nøgler. Al uautoriseret adgang skal forhindres. 10

11 Personer med daglig gang på virksomheden bør anvende fotoidentifikation. Al fysisk adgang skal overvåges og logges, og loggen skal gemmes i et bestemt tidsrum. Der skal findes dokumentation af adgangskontrollerne, og de skal løbende reviewes. Lokaler og udstyr skal sikres i overensstemmelse med deres klassifikation, og placeringen skal løbende revurderes. Det skal sikres, at udstyr kan forsynes med strøm, brændstof, råmaterialer, m.v. Adgangsveje for sådant input skal være hensigtsmæssigt placeret og sikret. Der skal løbende foretages vedligehold og test. Bemærkninger: Forsikring & Pension 22 har lavet mange vejledninger til, hvordan man i praksis kan gennemføre fysisk sikring. Der findes eksempelvis en oversigt over, hvilket sikringsniveau forskellige varegrupper bør have 23. Der findes også et egentlig Sikringskatalog, hvor de forskellige sikringsmetoder gennemgås grundigt og illustreret 24. NIST anbefaler konkret, at der anvendes smart cards som "Personal Identity Verification (PIV)". 8. Styring af netværk, drift og sikkerhed CIP 007, ISO 17799:2000:8, ISO17799:2005:10, DS484:2005:10, ISO27002:2005:10, NIST , NIST , (IEC , ISO/IEC TR ), ISO20000 Formål: Sikre den bedst mulige beskyttelse af virksomhedens elektroniske aktiver indenfor den elektroniske perimeter, så uønskede personer ikke får adgang til at stjæle eller ødelægge, og således at systemerne hele tiden kører optimalt. 8.1 Organisering af det daglige arbejde Der skal ske en adskillelse af udvikling, test og drift, således at driften i mindst muligt omfang risikerer at blive påvirket af uforudsete hændelser som fejl eller misbrug. Når der i driften implementeres nye elementer, som er blevet udviklet og testet, bør der være en fall-back plan, hvis noget mod forventning skulle gå galt. Det skal sikres, at der forefindes dokumentation af alle systemer, og at der iværksættes tiltag for vedligehold. Dette bør suppleres af self-assessments. Organiseringen i øvrigt skal være i overensstemmelse med afsnit Forsikring & Pension er det tidligere Skafor (Dansk Forening for Skadesforsikring), der lavede SKAFORklassifikationen Standard for "Industrial communication networks - Network and system security". Det har i skrivende stund været vanskeligt at få mere information om denne standard, da den tilsyneladende er under udarbejdelse og påtænkes sammenlagt med ISA ISO/IEC TR 19791:2006 Information technology -- Security techniques -- Security assessment of operational systems. Denne standard lægger sig efter sigende op af Common Criteria standarden, ISO/IEC 15408, men er rettet mod mere operationelle aspekter. Det ser dog ud til, at denne standard i skrivende stund ikke er gældende. 11

12 8.2 Drift Der skal foreligge driftsafviklingsprocedurer, som præciserer, hvem der må og skal foretage sig hvad i hvilke situationer. Hvem må f.eks. stoppe et produktionsudstyr? Hvem sikrer, at backup'en fungerer? Der skal ske styring af driften - herunder bl.a. løbende vurdering af kapacitet og ressourceforbrug, vurdering af nye teknologier og planlægning af kommende ændringer. Der skal være retningslinjer for ændringer af og på udstyret 27, som bl.a. beskriver ændringerne, planlægger hvordan de skal ske, redegør for konsekvenserne for andre systemer, placerer ansvar og indeholder en fall-back plan. Der skal laves retningslinjer for, hvor udstyr skal placeres og driftes fra - f.eks. i produktionsmiljø eller kontormiljø. For at kunne optimere den service, man leverer på IT-området til de ansatte, kan det overvejes, at organisere sin service efter de i ITIL 28 eller ISO20000 angivne strukturer. 8.3 Teknik Netværksarkitektur Virksomhedens netværk skal overordnet styres ud fra en helhedsbetragtning. Flere sikkerhedsstandarder peger på at gå frem efter (ISO/IEC18028). NIST anbefaler, at man anlægger en lifecycle betragtning og tænker sikkerhed ind lige fra designet af arkitekturen og videre over anskaffelse, installation, vedligehold og afskaffelse. Netværket bør opbygges således, at der som minimum er adskillelse mellem produktionsmiljøet og kontormiljøet 29. Adskillelsen kan være fysiske linjer, men kan også være VLAN. Alle forbindelser (kablede såvel som trådløse) til de enkelte miljøer skal kortlægges. Kun de forbindelser, som er nødvendige, skal opretholdes - resten lukkes. De mest forretningskritiske systemer skal være dem, der er bedst sikret på nettet. Produktionsmiljøet må ikke have adgang til internettet. Generelt skal der kun åbnes for de absolut nødvendige porte og services. Det skal kontrolleres, at der ikke (som standard) er åben for andre porte eller kører andre services end de nødvendige. Leverandøren har ofte installeret bagdøre, som kan give ham selv adgang til systemet. Virksomheden skal vurdere nødvendigheden af dette. I fald disse bagdøre skal forblive åbne, skal de sikres bedst muligt - herunder med stærk autentifikation og evt. med en call-back mekanisme (hvor systemet selv ringer tilbage til en bestemt og autentificeret kontakt). Generelt bør porte og services lukkes af adgang bør kun ske via VPN eller lignende teknologi, for at sikre at kun godkendte brugere kan kommunikere med enheder på netværket. Det kan overvejes at installere særlige firewalls, som ikke kun kigger på de enkelte pakker, men som også ser på pakken i sammenhængen med den kommunikationsstrøm, den indgår i (stateful inspection firewall). Særlige unit-maskiner, som har meget lidt kommunikation men behov for remote adgang, skal placeres på deres eget helt lukkede LAN, som kun giver adgang for remote værktøj. 27 Der tales generelt om change management procedurer og konkret om bl.a. konfigurationsstyring. 28 Information Technology Infrastructure Library 29 Produktionsmiljøet står over for flere trusler end kontormiljøet, fordi produktionsmiljøet i en række tilfælde ikke kan opdateres med sikkerhedsopdateringer (patches). 12

13 Direkte trafik mellem produktionsmiljøet og kontormiljøet bør undgås. Der bør etableres en DMZ netværksarkitektur, hvor udvekslingen af informationer mellem de forskellige miljøer kan foregå. Det kan overvejes at sikre, at kritiske komponenter på netværket er redundante, og at kritiske forbindelse på netværket ligeledes er redundante. For at beskytte de resterende åbne forbindelser med tilhørende åbne porte og services, skal der installeres diverse former for netværkssikkerhedsudstyr og kontroller - f.eks. via firewalls, envejskommunikation og IDS/IPS-systemer. Som minimum bør der være firewalls mellem de forskellige segmenter af netværk og mod alle udgående forbindelser. Disse forhold uddybes i afsnit Bemærkninger: NIST har gode generelle beskrivelser af netværkstopologier. Især kan anbefales figur 5-4 af adskilte netværk, som hver især er beskyttet af firewalls og som udveksler informationer i en DMZ. En tilsvarende topologi vises nedenfor: Netværksikkerhedssudstyr og kontroller Firewalls må fremhæves som det helt afgørende sikkerhedsudstyr til at beskytte de resterende åbne forbindelse med tilhørende åbne porte og services (jvf. ovenfor)! 13

14 De sikkerhedsfeatures der kommer fra leverandøren med apparatet eller servicen bør installeres. Sørg desuden for løbende at få testet og installeret nye sikkerhedsopdateringer (patches). Der bør laves procedurer for styring af opdateringer (patch management). For at begrænse mulighederne for ondsindet software bør man undersøge muligheden for at installere antivirus på computere i produktionen. Sørg i den forbindelse for at der ikke skannes på tunge filer, da en sådan skanning kan give uheldige konsekvenser. Installer software som kan tjekke filers integritet. Man kan f.eks. få leverandørerne til at generere en hash-værdi af filen og tjekke op mod denne for at verificere, at det er den rette fil, og at der ikke er manipuleret med den. Man kan også overveje at udstede en firmasignatur, som en given leverandør skal bruge for at få lov til at installere programmer eller opdateringer. Installer software, som overvåger og analyserer netværkstrafikken og på baggrund af kendte angrebsmønstre o.a. kan give en alarm om, at der kan være uønsket aktivitet i gang på netværket (Intrusion Detection System, IDS). Nogle af denne type systemer kan foruden alarmen også selv iværksætte visse korrigerende tiltag (Intrusion Prevension System, IPS). Foruden overvågning af netværkstrafikken bør man også overvåge og logge brugeraktiviteter, afvigelser, sikkerhedshændelser, systemanvendelse, administratoraktiviteter, fejl og sørg for at tiden er sat korrekt på alle systemer. Der bør løbende foretages penetrationstests/sårbarhedsanalyse, således at man sikrer, at systemet ikke er sårbart overfor kendte angrebsmetoder eller ondsindet software. Der bør være procedurer for genanvendelse og afskaffelse af udstyr. Lagermedier bør have særlig opmærksomhed, og der bør være retningslinjer, som forholder sig til håndteringen af lagermedier og adresser, bl.a. hvordan bærbare lagermedier skal behandles og tilsluttes, hvordan indholdet beskyttes (f.eks. kryptering), og hvordan lagermedierne skal destrueres. Der bør være retningslinjer for sikkerhedskopiering, der bl.a. adresserer hvilke filer/systemer der tages backup af, hvor længe overvågning/logning lagres, og hvor lagring foregår (intern/ekstern). Desuden bør det kontrolleres, at backup'en virker så data/systemer kan gendannes. Informationer fra produktionsmiljøet vil bevæge sig ind i kontormiljøet - det er hele tanken med at få sat produktionsmiljøet på et netværk. Der bør være procedurer, der dermed adresserer, hvad der må ske med denne information. Herunder skal det adresseres, hvordan udveksling af information må finde sted (f.eks. s), hvilke systemer der skal integreres med og i hvilket omfang informationer kan indgå i elektroniske forretningsservices som f.eks. handel og andre online transaktioner, hvor kunder f.eks. kan læse eller opdatere i virksomhedens systemer. Bemærkninger: Proprietære protokoller er ikke mere sikre end andre protokoller og kan derfor ikke betragtes som et sikkerhedselement i sig selv. I takt med at mere og mere kommunikation bevæger sig over på IP, bortfalder dette argument i øvrigt også. NIST gennemgår en række forskellige sikkerhedsprodukter, som man kan overveje at indbygge i sit sikkerhedssetup. Der nævnes bl.a. produkter indenfor identifikation og autentifikation, adgangskontrol og intrusion detection, firewalls, public key infrastructure, beskyttelse mod ondsindet kode, sårbarhedsskannere, forensics og beskyttelse af lagermedier. 14

15 8.4 Krav til sikre produkter og leverancer Forhold til eksterne leverandører Overordnet kan man stille krav om at leverandørerne er certificeret i henhold til f.eks. ISO27001, SAS70 eller ISAE3402 (eller den ældre RS34311). Man kan også overveje om man vil stille krav om at udviklingsprojekter har fulgt en struktureret udviklingsmode som f.eks. CMMI (igen for at forsøge at sikre sig kvaliteten i det modtagne produkt) 30. Der bør være styring af eksterne leverandører (outsourcingpartnere). Styringen bør sikre, at der foreligger Service Level Agreements (SLA) på alle systemer. I SLA bør der stilles krav til bl.a. hvad der skal leveres, hvilken projektorganisationer der etableres, om der er underleverandører, hvilket ejerskab der er til leverancen 31, om leverancen får konsekvenser for eksisterende politikker, om leverandøren kan overvåges og auditeres og hvordan kontrakten kan afbrydes. Desuden bør der i SLA'en stilles krav til selve produktet jvf. punkt nedenfor. Der bør også sikres, at serviceleverandørernes opdateringer er testet, og at der tages hensyn til lokale forhold som f.eks. en konkret lokal konfiguration 32. Virksomheden bør være opmærksom på ændringer hos serviceleverandøren - f.eks. med hensyn til kompetencer og økonomisk situation Når serviceleverandøren befinder sig i virksomheden for at servicere installationer, bør der i videst muligt omfang stilles en jumpstation til rådighed for leverandøren. En jumpstation er virksomhedens egen computer, som altid har installeret godkendt styresystem, opdateret antivirus og præcis de programmer, som leverandøren skal anvende. På den måde kan det sikres, at der ikke kommer fremmede maskiner på netværket. De eksterne leverandører skal underskrive sikkerhedspolitikken og relevante retningslinjer - f.eks. retningslinjer for servere, adgang og logning. Der skal foretages en risikovurdering, såfremt det overvejes at anvende hostede netværkstjenester Krav til produkter Der bør stilles krav om, at der er foretaget penetrationstest af produktet og i givet fald hvilke værktøjer, der er anvendt. Der skal lægges vægt på, at sikkerhed er bygget ind i systemet fra dets "fødsel" 33. Der bør stilles en række krav til de produkter, der leveres. Kravene bør bl.a. adressere: o Redegørelse for hvilke data der håndteres med hvilken klassifikation o Kortlægning af hvordan produktet eller servicen indgår i systemlandskabet (software, servere, lagermedier, databaser, netværk, m.v.) 30 Der vil i skrivende stund ikke være mange leverandører, der kan efterleve dette, men efterspørges det ikke, får vi heller ikke bedre kvalitet i produkterne. 31 F.eks.: ejes den maskine der leveres til virksomhedens produktion af virksomheden eller af leverandøren? 32 I nogen sammenhænge taler man om en leverancetest (at det der skal være der faktisk er der), en funktionstest, (som viser at systemet faktisk virker) og en driftstest (som viser at virksomheden selv kan drive systemet uden fejl i f.eks. 20 dage). 33 I forhold til beskyttelse af persondata taler man ofte om Privacy by Design og mener hermed, at sikkerheden er designet ind i produktet eller servicen, allerede mens dette udvikles - evt. under anvendelse af særlige teknologier, som bygges med ind: Privacy Enhancing Technologies. Dette kan også gøres i et sikkerhedsdesign, hvor man f.eks. kan designe små webservere, som er særligt sikrede, ind i produkterne. 15

16 o Redegørelse for i hvilket omfang der foregår netværkstrafik mellem det leverede produkt og leverandøren eller tredjeparter - og i givet fald om denne er krypteret eller skannes o Krav om adgang til kildekode o Kortlægning af hvordan logisk adgang er planlagt o Kortlægning af change management procedurer - herunder opdatering eller installation af nye versioner med ny funktionalitet og de deraf affødte konsekvenser for systemets miljø o Kortlægning af hvad der logges og gives adgang til af hvem o Aftale om hvilke hændelser der giver anledning til rapportering fra leverandøren o Aftaler vedr. backup og beredskab Det kan overvejes, om man vil stille krav om, at den software der anvendes, er common criteria certificeret (ISO15408), og i givet fald på hvilket niveau. 9. Anskaffelse, udvikling og vedligehold ISO 17799:2000:10, ISO17799:2005:12, DS484:2005:12, ISO27002:2005:12 Formål: Nyt udstyr skal understøtte forretningen og må ikke underminere sikkerhedspolitikken. Der skal være retningslinjer for indkøb af nyt udstyr, der bl.a. inkluderer, hvem der må indkøbe og installere udstyret. Ved indkøb af nyt udstyr skal det kontrolleres, at det kan overholde eksisterende sikkerhedskrav, og det skal vurderes, om udstyret giver anledning til nye sikkerhedskrav. Det nye udstyr skal testes, placering af og adgangen til udstyret skal vurderes, det skal være omfattet af SLA, og det skal vurderes, om der er behov for adgang til kildekode. Ved testen skal der lægges vægt på, at sikkerheden er bygget ind i applikationen. Det betyder bl.a., at input skal valideres for korrekthed og integritet, at det skal kontrolleres, at data behandles korrekt og at uddata valideres. Der skal foruden retningslinjer for indkøb af udstyr være retningslinjer for eventuel genanvendelse (f.eks. overskrivning af lagermedier 7 gange) og for afskaffelse af udstyr. Når der sker ændringer i udviklingen, skal dette foregå efter fastlagte retningslinjer. Ved inddragelse af eksterne leverandører skal disse overvåges. Det skal sikres, at både virksomhed og leverandør har forstået, hvad ændringerne skal medføre, og at leverandøren har en fall-back-plan, hvis ændringerne skulle gå galt. Der skal løbende kontrolleres for sårbarheder - også på det nye udstyr Bemærkning: Der findes i virksomhederne efterhånden en tendens til, at andre end IT-afdelingen indkøber udstyr og især services. Det er vigtigt, at virksomheden gennem topledelsens engagement får styret denne situation. Udstyr og services, som bruges uden sikkerhedsmæssig test og godkendelse, vil være med til at underminere sikkerheden. 10. Håndtering af sikkerhedshændelser CIP 008, ISO17799:2005:13, DS484:2005:13, ISO27002:2005:13, ISO20000 Formål: Virksomheden skal være i stand til at reagere på og korrigere sikkerhedshændelser hurtigst muligt. 16

17 Virksomheden skal overvåge sine systemer løbende. Det betyder, at al adgang skal logges, der skal installeres IDS/IPS-systemer og antivirus på klienter og servere. Alle skal kunne rapportere hændelser, der skal kunne iværksættes korrigerende tiltag hurtigst muligt, hændelserne skal logges, og virksomheden skal lære af dem. Der skal desuden foreligge retningslinjer, der beskriver, hvem der kan hjælpe hvem med hvad, hvis en hændelse skulle opstå. Det skal kortlægges, om der i forbindelse med rapportering og korrigerende tiltag er afhængigheder i forhold til internt og eksternt personale. Afhængig af hændelsens karakter skal det overvejes, om myndighederne skal inddrages. I den forbindelse er det vigtigt, at virksomheden er i stand til at foretage retsgyldig bevissikring. Virksomheden skal være i stand til at forudse, hvilke hændelser der typisk kan ramme virksomheden. Bemærkninger: De ansatte skal altid kunne få hjælp til at besvare sikkerhedsspørgsmål. For at kunne optimere den service, man leverer på IT-området til de ansatte, kan det overvejes, at organisere sin service efter de i ITIL 34 eller ISO20000 angivne strukturer. DI og DI ITEK er i skrivende stund (primo 2012) sammen med Rigspolitiet i gang med at lave en vejledning i retsgyldig bevissikring. Tjek vores hjemmeside for om vejledningen er udkommet. 11. Disaster recovery og business continuity CIP 009, ISO 17799:2000:11, ISO17799:2005:14, DS484:2005:14, ISO27002:2005:14 Formål: I tilfælde af kriser skal virksomheden være i stand til at fortsætte eller genoprette sin drift med så minimale forstyrrelser for forretningen som muligt. Der skal foreligge beredskabsplaner, som bl.a. indeholder ansvarsfordeling, tværorganisatorisk proces for beredskabsstyringen og prioritering af hvilke services, der skal genoprettes i hvilken rækkefølge. Beredskabsplanen skal tage højde for både genopretning af systemer og processer. Beredskabsplanen bør afprøves og dokumenteres gennem øvelser, med fastlagte intervaller. Beredskabsplanen skal vedligeholdes i form af revurdering i takt med at nye systemer eller ændringer af eksisterende systemer introduceres i virksomheden, og nye trusler opstår. Der skal foretages backup af både data og systemer. Backupen bør gemmes udenfor virksomhedens område. Der skal være retningslinjer for restore og backupen skal løbende testes. 12. Compliance ISO 17799:2000:12, ISO17799:2005:15, DS484:2005:15, ISO27002:2005:15 Formål: Det bør løbende sikres, at virksomheden opererer i overensstemmelse med lovgivningen og gerne med anvendelse af standarder og best practises m.v. Virksomheden bør udarbejde og efterleve en sikkerhedspolitik. 34 Information Technology Infrastructure Library 17

18 Alle eksterne krav skal kortlægges - herunder særligt generel lovgivning (f.eks. ophavsret og behandling af personoplysninger) og branchespecifik lovgivning. Det bør også undersøges, om virksomheden er underlagt anden regulering. Endelig bør udenlandsk lovgivning kortlægges for de lande, som virksomheden opererer i. Virksomheden kan overveje at efterleve eller søge inspiration i diverse standarder, best practises og guidelines. Virksomhedens bør sikre, at de relevante systemrevisionsspor forefindes. 18

19 Bilag B: Ordliste CERT Computer Emergency Response Team, Varetager håndtering af trusler mod national infrastruktur eller trusler mod især forskningssektoren. Mange lande har en eller flere CERT-funktioner, der indgår i globale CIP CMMI Cobit Common Criteria DCS DHS DS484 ERP-system FISMA HIPAA HVAC ICS ISAE 3402 ISO27000 ITIL NERC samarbejdsnetværk. Indsatsen koordineres fra CERT CC ved Carnegie Mellon University. Critical Infrastructure Protection, 20 Sikkerhedsstandarder fra NIST for beskyttelse af den kritiske infrastruktur i USAs el-forsyning. Capability Maturity Model Integration, Software procesudviklingsmodel lavet af Carnegie Mellon University til det amerikanske forsvar. Udgangspunktet er at skabe modenhed i den udviklende organisation, således at der er styr på alle detaljer i udviklingsprocessen. Control Objectives for Information and related Technology, Cobit er en best practise, som har til formål at sikre, at alle aspekter af IT understøtter virksomhedens mål. Software sikkerhedsstandard, ISO 15408, Standard der har til formål at verificere, at software er sikker, fordi den efterlever nogle på forhånd definerede tekniske sikkerhedsfunktionaliteter. Distributed Control Systems Et industrielt kontrolsystem, som decentralt overvåger og via lokale input og output styrer industrielle processer. DCS kan evt. indgå i et SCADA-system. Department of Homeland Security, Har til formål at beskytte USA mod alle tænkelige trusler. Dansk standard for informationssikkerhed, Denne danske standard ligger i dag meget tæt op af den internationale ISO27000-standard, hvorfor sidstnævnte må anbefales. Siden 2007 har DS484 udgjort statens standard for itsikkerhed. Regeringen har nu besluttet, at de statslige institutioner også kan anvende den internationale standard, ISO27001, i stedet for DS484. På længere sigt bliver ISO27000 den obligatoriske offentlige standard. Enterprise Ressource Planning Software systemer, som integrerer informationer fra stor set alle dele af virksomheden - f.eks. regnskab, produktion, salg og kundehåndtering. Federal Information Security Management Act Amerikansk lov som forpligter amerikanske myndigheder til at udvikle, dokumentere og implementere sikkerhedssystemer. Health Insurance Portability and Accountability Act Standardiserede krav til amerikanske sundhedssystemer herunder sikkerheds- og privacykrav. Heat, ventilation, air conditioning Forskellige teknologier, der sammensat i eet kontrolsystem kontrollerer indendørs klima. Industrial Control Systems Fællesbetegnelse for kontrolsystemer, der anvendes ved styring af industriel produktion, og som inkluderer SCADA, DCS og PLC. International Standards for Assurance Engagements International standard for hvordan service organisationer kan kommunikere information om sine kontroller. Serie af standarder for informationssikkerhed, FN's standardiseringsorganisation, som på baggrund af den britiske sikkerhedsstandard BS17799 (tidligere BS7799) har lavet en holistisk tilgang til informationssikkerhed. Materialet udgør grundlaget for sikkerhed rigtigt mange steder - også i den danske stat. Information Technology Infrastructure Library, ITIL er et framework for IT service management. North American Electric Reliability Corporation, Har til formål at sikre stabiliteten i USAs el-forsyning. Har i den forbindelse lavet 19

20 NIST OCTAVE PLC RS34311 RTU SAS70 SCADA SSID sikkerhedsstandarderne for beskyttelse af kritisk infrastruktur. National Institute of Standards and Technology, Forsknings- og standardiseringsstyrelse under USAs Handelsministerium. Understøtter innovation og konkurrence - herunder USAs teknologiske infrastruktur. Operationally Critical Threat, Asset, and Vulnerability Evaluation Sikkerhedsmetodik udviklet af CERT. Sikkerhed vurderes med udgangspunkt i konkrete trusler klassificeret som personmæssigt, systemmæssige eller udenfor virksomhedens kontrol. Programmable Logic Controller Computer som bruges til kontrol af automatiserede processer ved f.eks. samlebånd. Computeren kan tage forskellige inputs og give forskellige outputs afhængig af produktionen. Computeren kører typisk få dedikerede programmer på et minimalt styresystem, og hardware er kendetegnet ved at være fysisk robust. PLC'en blev tidligere programmeret via dedikeret hardware, men er i dag ofte ethernet-enablet og kan således programmeres fra en terminal på LAN. PLC'er har høj levetid og stabilitet, og mange produktionsapparater kan således have en levetid på 20 år. Delmængde af ICS. Standard Ældre standard som er stattes af ISAE 3402 Remote Terminal Unit Lille computer med sensor, som måler lokale fænomener og sender dem til analyse i en central SCADA-enhed. Statement on Auditing Standards, Auditeringstandard. Supervisory Control and Data Acquisition Et industrielt kontrolsystem, som centralt overvåger og via input og output styrer industrielle processer (f.eks. industriel fremstilling eller energiproduktion), infrastruktur processer (f.eks. rensning af vand, vindmøller eller olieledninger) og facility processer (f.eks. lufthavne eller HVAC-systemer). SCADA-systemet består typisk af en række undersystemer - f.eks. et interface til menneskelig kommunikation, automatiseret overvågning, RTU'er, PLC'er m.v. Service Set IDentifier Navnet på et trådløst netværk. 20

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

- for forretningens skyld

- for forretningens skyld Produkt og produktionssikkerhed - for forretningens skyld DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

ANALYSE Informationssikkerhed blandt DI s medlemmer

ANALYSE Informationssikkerhed blandt DI s medlemmer ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik

Læs mere

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

ITEK og Dansk Industris vejledning om betalingskortsikkerhed ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary

Læs mere

DI og DI ITEK's vejledning om bevissikring

DI og DI ITEK's vejledning om bevissikring DI og DI ITEK's vejledning om bevissikring Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN 978-87-7353-974-3 0.05.12 2 Indledning Denne vejledning er lavet med det formål at ruste danske virksomheder

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - ledelsens ansvar og rolle (I)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - ledelsens ansvar og rolle (I) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - ledelsens ansvar og rolle (I) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-950-7 0.04.12

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Administrative systemer bundet op mod SRO systemer. Hvorfor ønskede vi at forbinde de 2 verdener med hinanden?

Administrative systemer bundet op mod SRO systemer. Hvorfor ønskede vi at forbinde de 2 verdener med hinanden? Administrative systemer bundet op mod SRO systemer Hvad med gør vi med IT sikkerheden? Jørgen Jepsen IT-chef Ringkøbing-Skjern Forsyning A/S Hvorfor ønskede vi at forbinde de 2 verdener med hinanden? at

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Hvordan styrer vi leverandørerne?

Hvordan styrer vi leverandørerne? Hvordan styrer vi leverandørerne? DI Digital 26. September 2016 DKCERT www.cert.dk Henrik Larsen Email: henrik.larsen@cert.dk Agenda Hvem er jeg? DKCERT Hvem er vi og hvad gør vi? Hvordan styrer universitetssektoren

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed Sådan håndterer Danish Crown sin industrielle IT-sikkerhed DAU d. 7 marts 2013 CV Firma : Navn : Afdeling : Titel : Alder : Danish Crown A/S Thomas Page Pedersen Factory IT Afdelingschef 43 år Danish Crown

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing

VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

IT-sikkerhedspanelets anbefalinger vedrørende privacy

IT-sikkerhedspanelets anbefalinger vedrørende privacy Anbefalinger vedr. privacy IT-sikkerhedspanelet under Ministeriet for Videnskab, Teknologi og Udvikling har i løbet af de seneste møder drøftet nødvendigheden af at forbedre borgere og virksomheders privacy

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP AGENDA 01 Kort præsentation 02 Behov i forbindelse med de 4 dimensioner 03 Koncept for sikker forbindelser 04 Netværkssikkerhed

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013 Statement of Applicability Hjørnestenen i jeres ISMS Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013 Af Jesper E. Siig Senior Security Advisor hos Neupart 2014 Neupart 1 Introduktion

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

Forordningens sikkerhedskrav

Forordningens sikkerhedskrav Forordningens sikkerhedskrav Klaus Kongsted, Dubex DI, 12. oktober 2016 Agenda Hvordan håndteres Risikovurdering Passende tekniske og organisatoriske foranstaltninger Godkendte adfærdskodekser og certificering

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Understøttelse af LSS til NemID i organisationen

Understøttelse af LSS til NemID i organisationen Understøttelse af LSS til NemID i organisationen Table of contents 1 Dette dokuments formål og målgruppe... 3 2 Introduktion til LSS til NemID... 4 2.1 Forudsætninger hos organisationen... 5 2.1.1 SSL

Læs mere

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304 1 ISO/IEC 27001:2013 Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304 Deltaget i det internationale arbejde omkring revisionen af ISO/IEC 27001 og 27002,

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Struktur på privatlivsimplikationsrapporten

Struktur på privatlivsimplikationsrapporten Struktur på privatlivsimplikationsrapporten Appendiks 6 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Struktur på rapport over privatlivsimplikationsanalysen... 3 Introduktion...

Læs mere

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Overordnet fremgangsmåde Identificér områder der hører under fundamental sikkerhed i risikovurderingen.

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Kvalitetssikring af IT udvikling hos TDC

Kvalitetssikring af IT udvikling hos TDC Kvalitetssikring af IT udvikling hos TDC Kvalitetsrevisor Henning Sams Har være ansat hos TDC siden 1976 og har arbejdet med kvalitet i ca. 10 år, primært som QAér og Proceskonsulent. Underviser bl.a på

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

Sikkerhed og Revision 2015

Sikkerhed og Revision 2015 Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015 Velkommen til Århusgade! Fra Finanstilsynets hjemmeside Agenda Hjemmel It-tilsynets

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Business Continuity og Cloud

Business Continuity og Cloud Business Continuity og Cloud af: Michael Christensen, Certified Business Continuity and IT-security Consultant, CISSP, CSSLP, CISM, CRISC, CCM, CPSA, ISTQB, PRINCE2, COBIT5 For rigtig mange danske virksomheder

Læs mere

Security @ Field & Network level Industrial Security to guarantee top performance in production

Security @ Field & Network level Industrial Security to guarantee top performance in production Security @ Field & Network level Industrial Security to guarantee top performance in production Lars Peter Hansen Produktchef for Industrial Communication Lars-peter.hansen@siemens.com T.: +45 4477 4827

Læs mere

Persondataforordningen. Konsekvenser for virksomheder

Persondataforordningen. Konsekvenser for virksomheder Persondataforordningen Konsekvenser for virksomheder Sikkerhedsforanstaltninger (A32) Sikkerhedsforanstaltninger Der skal iværksættes passende tekniske og organisatoriske sikkerhedstiltag Psedonymisering

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources? It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources? Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5. maj 2015 Krav og udfordringer Avanceret infrastruktur og

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab Carsten Jørgensen 7 marts 2012 Carsten Jørgensen 1999 2001 2006 2009 2011 CloudSecurity.dk Falck 2012 Falck 2011 Emergency Assistance Healthcare

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87 Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Sikkerhed i trådløse netværk

Sikkerhed i trådløse netværk Beskyt dit trådløse netværk IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-post: itst@itst.dk www.itst.dk Rådet for it-sikkerhed www.raadetforitsikkerhed.dk Der

Læs mere

Kl Indledning v. Lone Strøm, Rigsrevisor

Kl Indledning v. Lone Strøm, Rigsrevisor Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Infoblad. ISO/TS 16949 - Automotive

Infoblad. ISO/TS 16949 - Automotive Side 1 af 5 ISO/TS 16949 - Automotive Standarden ISO/TS 16949 indeholder særlige krav gældende for bilindustrien og for relevante reservedelsvirksomheder. Standardens struktur er opbygget som strukturen

Læs mere

Security @ Field & Network level Industrial Security to guarantee top performance in production

Security @ Field & Network level Industrial Security to guarantee top performance in production Security @ Field & Network level Industrial Security to guarantee top performance in production Lars Peter Hansen Produktchef for Industrial Communication Lars-peter.hansen@siemens.com T.: +45 4477 4827

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

it-sikkerhed i produktionen DE 5 TRIN

it-sikkerhed i produktionen DE 5 TRIN it-sikkerhed i produktionen DE 5 TRIN Hvem er jeg? Tina Henriette Christensen Ingeniør med 18 års erfaring IPMA certificeret Projektleder Projektledelse af it-projekter Større integrationsprojekter Arbejder

Læs mere

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014 Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb Februar 2014 RIGSREVISORS NOTAT TIL STATSREVISORERNE I HENHOLD TIL RIGSREVISORLOVENS 18, STK. 4 1 Vedrører: Statsrevisorernes beretning

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så blev den nye version af ISO 9001 implementeret. Det skete den 23. september 2015 og herefter har virksomhederne 36 måneder til at implementere de nye krav i standarden. At

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0.

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0. Side 1 af 12 19. september 2008 Autencitetssikring Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning Version 1.0. Denne vejledning introducerer problemstillingen omkring

Læs mere

ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER

ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER NOVEMBER 2014 Hvad er et hackerangreb? INTRODUKTION Denne folder er udarbejdet af It-sikkerhedssøjlen i Branchefællesskab

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

ITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav

ITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav ITA-konferencen 2009 Projektchef: Martin Pedersen Sikkerhed fra vugge til grav Hvorfor sikkerhed initielt Sund fornuft Bidrager til at etablere overblik Bidrager til en stringent styring af informationssikkerheden

Læs mere

Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig:

Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig: Velkommen til Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016 1 Lidt om mig: Jan Støttrup Andersen Force Technology; Audit og Forretningsudvikling Konsulent indenfor ledelsessystemer

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Sikkerhedsvurderinger

Sikkerhedsvurderinger Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i

Læs mere

Vejledning i informationssikkerhedsstyring. Februar 2015

Vejledning i informationssikkerhedsstyring. Februar 2015 Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE SLIDE 1 DATABESKYTTELSESDAGEN IT-SIKKERHED SET FRA LEVERANDØRENS SIDE v/ Koncernsikkerhedschef Rasmus Theede Offentlig AGENDA FRIDAY, 31 JANUARY 2014 SLIDE 2 Sikkerhed set fra kundens side, og leverandørens

Læs mere

STUXNET. Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller jpe@csis.dk

STUXNET. Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller jpe@csis.dk STUXNET Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller jpe@csis.dk Om CSIS Security Group Startet i 1999 HQ in København Kontorer i Skanderborg og Mauritius Ca.

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere