Den Sikre Mobile Medarbejder
|
|
- Edvard Toft
- 8 år siden
- Visninger:
Transkript
1 Den Sikre Mobile Medarbejder Kenny Magnusson Kongens Lyngby 2007 IMM-THESIS
2 Technical University of Denmark Informatics and Mathematical Modelling Building 321, DK-2800 Kongens Lyngby, Denmark Phone , Fax
3 Abstract The modern business trend is for employees to use a variety of mobile devices to assist them in a wide spectrum of activities. A typical executive, salesperson or engineer may, for example, travel round with a laptop PC, a PDA and a mobile smartphone, all of which may contain information that is important, perhaps even vital, for his or her company. These devices may be extensively used outside the company premises, for example at home, in conference rooms, at the airport, in hotels and so on - locations where security is not under the company s control and may be very poor. In this thesis, the situation above has been analyzed by evaluating the security risks associated with employees whose work involves a degree of mobility. The thesis also involves an investigation of the level of security awareness among employees of a concrete company, evaluating the security risks which this form of working creates and making proposals for how the company can mitigate these security risks. As a part of this investigation, an internet-based survey regarding the use of wireless networks has been developed. The survey is designed as a combination of normal text-based questions and animated pictures which allows the respondents to interact on known scenarios and hopefully get a better understanding of the question even though it might be of a complex technological matter.
4 ii
5 Resume Det bliver i dag mere og mere almindeligt for virksomheder at udstyre deres medarbejdere med en række forskellige mobile apparater til at hjælpe dem med et bredt spektrum af aktiviteter. En typisk leder, salgsperson eller ingeniør kan for eksempel rejse rundt med en laptop, en PDA og en smartphone, der alle kan indeholde informationer som er vigtige, eller måske endda vitale for vedkomnes virksomhed. Disse apparater kan i stor udstrækning benyttes udenfor virksomhedens lokaliteter, for eksempel hjemme, i konferencerum, i lufthavnen, på hoteller osv. - alle steder hvor sikkerheden ikke er under virksomhedens kontrol og kan være ganske dårlig. I denne afhandling analyseres denne situation ved at se på en række af de sikkerhedsproblemer der er forbundet med medarbejdere hvis arbejde involvere en hvis grad af mobilitet. Afhandlingen involverer også en undersøgelse af sikkerhedsbevidstheden blandt medarbejdere fra en konkret virksomhed, en evaluering af de sikkerhedsproblemer som opstår ved denne form for arbejde, samt udarbejder forslag til hvordan virksomheden kan undgå disse sikkerhedsproblemer. Som en del af undersøgelsen er der udarbejdet et internetbaseret spørgeskema omhandlende brugen af trådløst netværk. Spørgeskemaet er designet som en kombination af almindelige tekstbaserede spørgsmål og animerede billeder så svarpersonerne på mange af de mere komplekse teknologiske begreber får opstillet et velkendt scenarie og dermed sikre en forhåbentlig forøget forståelse af spørgsmålet.
6 iv
7 Forord Dette projekt er udført som afsluttende eksamensprojekt på civilingeniørstudiet på Danmarks Tekniske Universitet. Projektet er udført ved instituttet Informatik og Matematisk Modellering under vejledning af Robin Sharp. Projektet er udført i perioden mellem 1.Juni og 1.December Jeg vil gerne rette en tak til Robin Sharp der i forbindelse med udarbejdelsen af dette projekt har været meget åben og hjælpsom. Jeg vil også gerne rette en tak til de personer i virksomheden som jeg har haft kontakt med. Både til dem der har svaret på spørgeskemaet og til dem der har kunnet svare på spørgsmål af mere teknisk karakter. Til sidst en stor tak til familie og venner for støtte og korrekturlæsning på rapporten. Lyngby, December 2007 Kenny Magnusson
8 vi
9 Indhold Abstract Resume Forord i iii v 1 Indledning Motivation Problemformulering Rapport struktur Beskrivelse af virksomheden Risikoanalyse Risikoanalyse Risikovurdering Opsummering Sikkerhedspolitik Best practices og Standarder Informationssikkerhedspolitik Opsummering
10 viii INDHOLD 4 Sikkerhedsproblemer ved mobile medarbejdere Generelle problemer Sikkerhedsproblemer ved trådløse netværk Udbredte teknologier i forbindelse med fjernadgang Vurdering af virksomheden Beslutningsgrundlag Udstyr Opkobling til virksomhedens netværk Forslag til forbedringer Opsummering Sikkerhedsbevidsthed IT Sikkerhedsbevidsthed Udvikling af IT Sikkerhedsbevidstheds programmer Opsummering XAware - hjemmeside Adobe Captivate Udvikling af spørgeskema Resultater Forbedringer Udvikling af nye spørgeskemaer Opsummering Konklusion Fremtidigt arbejde A Ordbog 105 B OSI-Modellen 111
11 INDHOLD ix C Bevidsthedsfremmende tekniker 115 D Xaware 123 D.1 Kildekode D.2 Skærmbilleder af XAware Bibliography 271
12 x INDHOLD
13 Kapitel 1 Indledning 1.1 Motivation At arbejde hjemmefra eller fra en anden lokalitet uden for virksomheden er i dag en stor del af hverdagen for mange mennesker. Den fortsatte stigende brug af IT systemer har ændret den måde vi opbevare, tilgår og kommunikere informationer. For mange mennesker er computeren og/eller mobiltelefonen i dag det vigtigste redskab i forbindelse med arbejdet og det er derfor også vigtigt at både virksomheden og medarbejderen kender de sikkerhedsmæssige risici der er forbundet med brugen af det mobile udstyr. Det mobile udstyr som en medarbejder kan benytte sig af er i dette projekt defineret som en laptop (bærbar PC) og/eller en mobiltelefon med samme funktionaltitet som en smartphone. En sådan mobiltelefon er kendetegnet ved at være fysisk mindre og være mindre resourcekrævende end en laptop men ofte med de samme funktionaliteter. Derfor er det væsentligt at de begge som udgangspunkt bliver betragtet ens sikkerhedsmæssigt. I forbindelse med mobile medarbejdere er udfordringen at få udstyret sikret så samme høje niveau af sikkerhed opnås, som på virksomheden øvrige udstyr. Da den mobile medarbejders udstyr ofte anvendes udenfor virksomheden, er den sjældent sikret fysisk på samme måde som stationære arbejdspladser i virksom-
14 2 Indledning heden. Den mobile medarbejder skal også have mulighed for på en sikker måde at kunne koble sig op på virksomhedens netværk også fra steder der ligger uden for virksomhedens kontrol. Udover at udstyret skal være sikret, vil en øget sikkerhedsbevidsthed hos medarbejdere også kunne forhindre eller mindske risikoen for både eksterne og interne trusler mod virksomheden. Sikkerhedsbevidsthed, eller på engelsk Security Awareness, er en betegnelse for hvad man forstår ved sikkerhed og hvor højt man prioriterer det. At fastlægge et niveau inden for IT sikkerhedsbevidsthed er ofte forbundet med nogen usikkerhed. For emner inden for IT er ofte komplekse teknologiske begreber og det kan være svært at afgøre om en person i en brugerundersøgelse, eksempelvis via spørgeskemaer, rent faktisk har forstået meningen med et spørgsmål. At indbygge grafiske elementer i spørgeskemaerne kunne være en løsning. Det kunne eksempelvis være som animationer, interaktive billeder osv, alle elementer der vil opstille et velkendt scenarie for svarpersonen. Fordelen ved at lave sikkerhedsbevidstheds kampagner i en virksomhed er, at her kan ledelsen påtvinge alle medarbejdere at deltage. 1.2 Problemformulering Det primære formål med IT-sikkerhed er at sikre virksomhedens aktiver. Dette indebærer tre vigtige grundelementer - fortrolighed, integritet og tilgængelighed. Fortrolighed skal sikre, at aktiverne kun er tilgængelige for autoriserede personer. Integriteten sikrer, at et aktiv er hvad det ser ud til og ikke er ændret eller mangelfuldt. Til sidst skal tilgængelighed sikre, at aktivet er tilgængeligt når der er behov for det.[9] Formålet med dette projekt er dels at analysere situationen, hvor en medarbejder i en virksomhed kan arbejde på en sikker og fortrolig måde udenfor virksomhedens lokaliteter, set fra den synsvinkel, at kunne tilbyde tilstrækkelige faciliteter på en sikker måde til de medarbejdere hvis arbejde involvere en hvis grad af mobilitet, samt sikre at medarbejderne er bevidste omkring de tilhørende risici. Projektet udføres i samarbejde med en større virksomhed der stiller medarbejdere til rådighed, dels til at kunne spørgeskemaet men også til at kunne svare på spørgsmål omkring udformningen af eksempelvis fjernadgangsløsning og på hvilket grundlag de valgte løsninger i virksomheden bliver truffet. For at kunne lave en vurdering af de risici der er forbundet med mobile medarbejdere, og det at opretholde et tilstrækkeligt højt sikkerhedsniveau i virksomheden, kræver det både dækkende informationssikkerhedspolitikker samt løbende foretaget risikoanalyser. Derfor gennemgåes hvordan udformningen af henholds-
15 1.3 Rapport struktur 3 vis risikoanalyse og informationssikkerhedspolitik for mobile medarbejdere, kan laves. En række af de sikkerhedsproblemer, som etableringen af mobile medarbejdere kan medfører, skal også gennemgåes. Til mange af sikkerhedsproblemerne er givet forslag til hvordan disse afhjælpes. Relevante teknologier som VPN, firewalls, m.m. er også gennemgået. Dette er gjort som motivation for at kunne udarbejde en vurdering af virksomheden samt komme med forslag til forbedringer. Næsten alle virksomheder er i dag så godt beskyttet, af netop VPN løsninger, firewalls, antivirus programmer, osv., at trusler udefra menes at udgøre en væsentlig mindre risiko end interne trusler fra medarbejdere og tidligere medarbejdere. Ofte ved medarbejderen måske slet ikke at hans/hendes adfærd udgør en reel trussel mod virksomheden. Virksomheder kan derfor med fordel forsøge at øge bevidstheden hos sine medarbejdere så mange af de interne trusler minimeres eller helt undgås. Udfordringen ligger i, for virksomheder, at lave sikkerhedsbevidstheds kampagner, programmer, brugerundersøgelser osv. så simple og enkle at forstå, trods det til tider omhandler komplekse teknologiske begreber, at budskabet går klart ind hos medarbejderen. Der vil i projektet blive gennemgået eksempler på hvordan sikkerhedsbevidsthed programmer kan udformes. Der vil i denne sammenhæng også udarbejdes et internetbaseret spørgeskema, der forsøger at kombinere almindelige tekstbaserede spørgsmål med interaktive animationer hvorved svarpersonen bliver udsat for et velkendt scenarie og derved gerne skulle forøge forståelsen af spørgsmålet, trods det at spørgsmålet kan omhandle et komplekst teknologisk begreb. Målet med dette spørgeskema er at fastlægge et sikkerhedsbevidstheds niveau hos medarbejderne. 1.3 Rapport struktur Denne rapports struktur er som følger Kapitel 2: beskriver hvordan man i henhold til (D)ansk (S)tandard, DS 484:2005, kan udforme en risikoanalyse i en virksomhed. Kapitlet kommer med relevante forslag til risici der bør undersøges i forhold til mobile medarbejdere og deres udstyr. På baggrund af indledende risikoanalyse kan en informationssikkerhedspolitik udformes. Kapitel 3: beskriver hvordan man i henhold til DS 484:2005 kan udforme en sikkerhedspolitik. Kapitlet giver eksempel på punkter der er relevante at få med i en informationssikkerhedspolitik i forbindelse med mobile medarbejdere, udstyr og opkobling til virksomhedens netværk. Sammen med kapitel 2 danner dette kapitel grundlaget for hvor niveauet af sikkerhed lægges i en virksomhed.
16 4 Indledning Kapitel 4: beskriver nogle af de sikkerhedsproblemer der er i forbindelse med mobile medarbejdere. Herunder generelle problemer(fysisk sikkerhed, password, social engineering, og phishing), problemer ved trådløse teknologier(trådløst LAN) samt de mest udbredte teknologier(vpn, Autentificering, Kryptering, Firewall, osv.). Kapitlet danner grundlaget for den endelige vurdering af virksomheden. Kapitel 5: I dette kapitel gives en vurdering af virksomhedens sikkerhedsniveau. Grundlaget herfor bygger på de foregående kapitler samt interviews af væsentlige personer i virksomheden. Kapitel 6: beskriver lidt om vigtigheden af sikkerhedsbevidsthed samt hvilke muligheder for tiltag der er. Kapitel 7: beskriver udviklingen af det internetbaserede spørgeskema samt de tilhørende resultater. Kapitel 8: indeholder projektets konklusion. Kapitlet rundes af med en perspektivering, hvor der gives bud på fremtidig udvikling og viderudvikling af metoder til sikkerhedsbevidstheds brugerundersøgelser. Mange af de anvendte fagudtryk og forkotelser i rapporten er forklaret i ordbogen der findes i appendix A. I rapporten benyttes opløftede tal ( 1 ) som henviser til fodnoter, der vises nederst på siden. Tal i kantede paranteser [1] er kildehenvisninger til litteraturlisten bagerst i rapporten. 1.4 Beskrivelse af virksomheden I dette afsnit gives en kort beskrivelse af virksomheden som projektet er udført i samarbejde med. Herunder lidt om virksomheden generelt, hvilken type personer der er konfereret med og lidt om situationen i virksomheden i forbindelse med mobile medarbejdere. Generelt Virksomheden er involveret i områder som udvikling, salg, marketing og rådgivning. Der er tale om en større international virksomhed der på verdensplan har mere end ansatte primært i de nordiske lande. Alle virksomhedens arbejdsstationer er Windows-baserede og ved udgangen af 2007 skulle alle gerne benytte Windows XP som operativ system. 1 fodnote
17 1.4 Beskrivelse af virksomheden 5 Informationer om virksomheden er fået på baggrund af samtaler med forskellige væsentlige personer i virksomheden. Alle personer har en eller anden tilknytning til de mobile løsninger. Der har i forløbet været kontakt med virksomhedens IT-sikkerhedschef, forskellige IT udviklere og arkitekter som alle har haft en forbindelse til udviklingen af de sikkerhedsmæssige løsninger i forhold til mobile medarbejderes udstyr. Det er netop typisk udviklere og så sælgerne der benytter sig af mobile løsninger, det er også fra den målgruppe at besvarelserne på spørgeskemaet er kommet. Virksomheden har ønsket at optræde anonymt i denne afhandling - hvilket naturligvis respekteres - og derfor er nogle af de specifikke tekniske løsninger i forbindelse med vurderingen af virksomheden, eksempelvis ved fjernadgang løsningen, udeladt eller kun meget overordnet beskrevet. Der vil f.eks. ikke blive nævnt hvilke porte firewall en tillader eller blokerer, eller navn og model nummer på laptop s, VPN koncentrator, osv. En mere teknisk beskrivelse af virksomheden findes i kapitel 5
18 6 Indledning
19 Kapitel 2 Risikoanalyse Dette kapitel giver en overordnet beskrivelse af hhv. risikoanalyse og risikovurdering. Risikoanalysen danner grundlaget for udarbejdelsen en risikovurdering. Risikovurderingen kan opfattes som et filter, som ordner information om sårbarheder efter, hvor kritisk sårbarheden er, og som giver ledelsen et grundlag for prioritering af indsatsen. Fremgangsmåden i denne risikoanalyse er bygget op i henhold til eksemplet fra DS484:2005, Anneks B [26], og er lavet for området omkring virksomheders brug af mobile medarbejdere og fjernadgang til virksomhedsnetværket. En risikoanalyse er en vigtig del af det samlede sikkerhedsoverblik, og den er samtidig med til på en let og overskuelig måde, at belyse den eller de mest kritiske risici der bør sættes ind overfor. 2.1 Risikoanalyse I en risikoanalyse indgår en listning af potentielle trusler forbundet med virksomhedens anvendelse af IT, et estimat af konsekvenserne af uønskede hændelser samt en vurdering af sandsynligheden for forekomst af sådanne hændelser, og en angivelse af hvor sårbare de indgående IT ressourcer er. Fremgangsmåden kan inddeles i følgende 6 trin:
20 8 Risikoanalyse Tabel 2.1: Fremgangsmåde Trin Aktivitet Beskrivelse 1 Trusselliste Der opstilles her en liste over alle sikkerhedstruende hændelser, der er forekommet eller kan tænkes at forekomme. Listen nummereres og grupperes under en række hovedoverskrifter. 2 Sandsynlighed Ovennævnte trusselliste gennemgås, og der og konsekvens påføres en sandsynlighedsvurdering samt en vurdering af mulige forretningsmæssige konsekvenser. De mindst væsentlige elementer i listen, altså dem med lav sandsynlighed og lav konsekvens, kan elimineres. De resterende elementer skal beskrives så konkrete, at den forretningsmæssige konsekvens af sikkerhedsbristen vil være klar og tydelig for ledelsen. De forretningsmæssige konsekvenser opgøres oftest på en kvalitativ skala. 3 Trusselniveau Trusselniveauet sammenfattes i et diagram trusselbillede (se figur 2.1) med skadevirkning/konsekvens og sandsynlighed som akser. Idet alle sikkerhedstrusler, markeret ved deres nummer i trussellisten, indplaceres på diagrammet skabes et fint overblik over hvilke trusler der udgør de største risici. 4 Sikkerhedsmiljø Under gennemførelsen af trusselvurderingen har vi set bort fra virkningen af sikkerhedsmiljøet. Derfor skal nu alle eksisterende sikringsforanstaltninger og procedure relateres til den sikkerhedstruende hændelse identificeres og vurderes. 5 Samlet Her holdes trusselniveauet op imod risikobillede sikkerhedsmiljøet/sårbarhederne med henblik på at nå frem til en vurdering af det samlede risikoniveau eller det der betegnes som det overordnede risikobillede. Det sker ved, at hver enkelt nummererede trussel markeres i diagrammet risikobillede (se figur 2.2) ved sit trusselniveau (fra figur 2.1) og ved niveauet af det til truslen modsvarende sikkerhedsmiljø.
21 2.1 Risikoanalyse 9 Trin Aktivitet Beskrivelse 6 Risiko- Hvis risikoniveauet er for højt (mange i det røde begrænsning og gule område), er det ideen herefter gradvist at introducere flere sikringsforanstaltninger og procedure med henblik på at kunne flytte markeringerne for sikkerhedstruende hændelser tilbage på risikoniveau-skalaen. Dvs. fra rødt til gult til grønt område. De efterfølgende afsnit viser den i tabel 2.1 beskrevne fremgangsmåde til udformningen af en risikoanalyse. Der tages i disse afsnit udgangspunkt i trusler ved det kritiske område omkring mobile medarbejdere og fjernadgang til virksomheden Trusselliste Der medtages her trusler der er relateret til de tre hovedkategorier: fortrolighed, integritet og tilgængelighed. Den nedenstående trusselliste er baseret på et scenarie uden hensyntagen til eventuelle sikkerhedsforanstaltninger implementeret på mobile medarbejderes udstyr. De sikkerhedsforanstaltninger der måtte være taget på virksomhedens interne netværk er ikke i fokus i denne rapport og derfor indeholder listen kun trusler mod virksomhedens netværk der opstår i forbindelse med fjernadgangløsninger og mobile medarbejdere. Listen er inddelt i to hovedoverskrifter, trusler der kan forekomme på selve laptop en og trusler der kan forekomme når medarbejderen har koblet sig op på virksomhedens netværk. Hver trussel er angivet med en sandsynlighed og en konsekvens der begge er givet en skala: LAV-MIDDEL-HØJ:
22 10 Risikoanalyse Tabel 2.2: Trusselliste Nr Trussel Sandsynlighed Konsekvens På laptop 1 Tyveri af laptop MIDDEL MIDDEL 2 Laptop en bliver kompromitteret af en LAV MIDDEL hacker via Internettet eller netværket (LAN / WLAN) 3 Laptop en bliver kompromitteret som et MIDDEL LAV resultat af social engineering teknikker (Ondsindede web-sites, med vedhæftede trojansk hest,phishing, osv.) 4 Ikke-ansatte benytter laptop en (venner, MIDDEL MIDDEL familiemedlemmer, osv.) 5 Brugeren får ved en fejl gjort laptop en MIDDEL MIDDEL tilgængelig (Windows fildeling, P2P fildeling, osv.) 6 Tyveri af gamle backup medier LAV LAV 7 Data bliver ikke fjernet når gamle LAV LAV laptops bliver kasseret eller solgt videre. 8 Brugeren sletter information ved en fejl LAV LAV 9 System software går ned. MIDDEL MIDDEL 10 System hardware går ned. MIDDEL MIDDEL 11 Laptop bliver inficeret med virus eller LAV MIDDEL orm. 12 Alle VBA makroer kan eksekveres og kan MIDDEL HØJ potentielt indeholde virus eller lign. 13 Det er muligt at gemme/åbne animerings- LAV HØJ filer (.ani) - hvilket potentielt kan indeholde skadeligt kode. 14 arkiver skal ligge lokalt på LAV MIDDEL harddisken - en hacker der har fået fingre i en laptop, kan undgå windows logon skærmen og tilgå alle lokale filer - herunder også arkiver! (kræver at laptop en kun er låst og ikke slukket) 15 USB-port er helt åben MIDDEL HØJ
23 2.1 Risikoanalyse 11 Nr Trussel Sandsynlighed Konsekvens På virksomheds netværket 16 Uautoriseret læse adgang til følsomme LAV HØJ virksomheds informationer som kan medføre at disse bliver tilgængelige for konkurrerende virksomheder. 17 Systemet er kompromiteret (VPN servere, LAV LAV firewall, osv.) 18 En kompromitteret laptop bliver brugt LAV LAV som back-door til at få adgang til virksomhedens netværk. 19 En stjålet laptop bruges til at få MIDDEL MIDDEL adgang til virksomhedens netværk. 20 En gammel laptop bruges til at få adgang LAV LAV til virksomhedens netværk. 21 Uautoriseret skrive adgang kan medføre LAV HØJ at følsomme virksomheds informationer kan blive ændret og derved ikke længere er troværdige. 22 Uautoriseret skrive adgang kan tillade LAV HØJ at følsomme virksomheds informationer kan blive slettet. 23 En inficeret laptop kobles direkte til MIDDEL HØJ virksomheden netværk. 24 Det er endnu ikke muligt at opdatere HØJ HØJ laptops via fjernadgang, via fx ADSL opkobling hjemmefra. 25 VPN autentificering sker via simpelt HØJ LAV password(længde på 6 karakter - alle tal)
24 12 Risikoanalyse Sandsynlighed og konsekvens I tabel 2.1 står der beskrevet at sandsynligheden og de forretningsmæssige konsekvenser bør opgøres efter en kvalitativ skala. Disse vurderingsskalaer er bygget op på følgende måde: for sandsynlighed: 1. indtræffer meget sjældent. Betragtes som en teoretisk mulighed(lav) 2. forekommer af og til. Sket mindst en gang (MIDDEL) 3. forekommer hyppigt. Opserveret flere gange (HØJ) for forretningsmæssige konsekvenser: 1. ingen signifikant skade (LAV) 2. væsentlig skade (MIDDEL) 3. yderst alvorlig skade (HØJ) Sandsynligheder og konsekvens er inkluderet i trussellisten i tabel Trusselniveau Trusselniveauet sammenfattes i et såkaldt trusselbillede-diagram. Til at beskrive trusselniveauet benyttes igen skalaen HØJ-MIDDEL-LAV som er synliggjort ved farverne rød-gul-grøn i diagrammet. Det vil for eksempel sige, at markeringer placeret i det røde område er kritiske. Dette giver et umiddelbart mere visuelt overblik over trusselniveauet.
25 2.1 Risikoanalyse 13 Figur 2.1: Trusselbillede I figur 2.1 er indsat alle markeringerne fra trussellisten ind i trusselbilledet Sikkerhedsmiljøet Sikkerhedsmiljøet beskrives ved skalaen: STÆRK-MIDDEL-LAV og indsættes som en ekstra kolonne i trusselliste-tabellen 2.2. En samlet risikoanalyse skema kan derved udtrykkes ved følgende tabel: Trusler der i trusseldiagramet, figur 2.1, er markeret i grønt område er i tabel 2.3 udeladt for overskuelighedens skyld Det samlede risikobillede Her holdes trusselniveauet op imod sikkerhedsmiljøet og danner et samlet risikovurderingsdiagram. Skalaen vedrørende risikoniveauet er inddelt i følgende: 1. uacceptabel - rødt felt 2. delvis acceptabel - gult felt 3. acceptebel - grønt felt Det vil sige, at markeringer placeret i det rødt område er kritiske mens markeringer i grønt område er uden væsentlig betydning. Et overblik over risikoniveauet vil man derfor umiddelbart kunne opnå på grundlag af hvor nummermarkeringerne er placeret henne i diagrammet.
26 14 Risikoanalyse Tabel 2.3: Risikoanalyseskema Nr Trussel Sikkerhedsmiljø Forbedring [Sandsynlighed/Konsekvens] På laptop 1 Tyveri af laptop Laptop er beskyttet Ikke [MIDDEL/MIDDEL] med stærk nødvendigt. autentificering samt kryptering af harddisk. [STÆRK] 4 Ikke-ansatte benytter laptop en Laptop er beskyttet Der indføres (venner, familiemedlemmer, osv.) med firewall og regler for [MIDDEL/MIDDEL] antivirus program. hvem der ben- [MIDDEL] nytter laptopen 5 Brugeren får ved en fejl gjort Ikke muligt for laptop en tilgængelig (Windows almindelig bruger fildeling, P2P fildeling, osv.) kræver administrator [MIDDEL/MIDDEL] rettigheder [STÆRK] 9 System software går ned. Procedure findes. [MIDDEL/MIDDEL] Ved adgang til virksomhedens netværk er det muligt at geninstallere alt nødvendigt software [STÆRK] 10 System hardware går ned. Procedure findes. Mulighed for at [MIDDEL/MIDDEL] [STÆRK] låne udstyr under reperation 12 Alle VBA makroer kan eksekveres Antivirus program Bør kun tillade og kan potentielt indeholde bruges. signerede virus eller lign. Men gennerelt kan makroer. Sikker- [MIDDEL/HØJ] alle makroer køres. hedsniveau [LAV] 15 USB-port er helt åben Ingen kontrol med [MIDDEL/HØJ] USB-porte. [LAV] ændres til Meget Høj
27 2.1 Risikoanalyse 15 Nr Trussel Sikkerhedsmiljø Forbedring [Sandsynlighed/Konsekvens] På virksomheds netværket 19 En stjålet laptop bruges til at Procedure findes. få adgang til virksomhedens [STÆRK] netværk. [MIDDEL/MIDDEL] 23 En inficeret laptop kobles Procedure findes. direkte til virksomheden [STÆRK] netværk. [MIDDEL/HØJ] 24 Det er endnu ikke muligt at Ingen kontrol om Der skal udarbejopdatere laptops via fjernadgang, software er des en løsning så via fx ADSL opkobling hjemmefra. opdateret. laptop en kan få [HØJ/HØJ] [LAV] installeret sikkerheds opdates via fjernadgang I dette trin omsættes trusselsbilledet, figur 2.1, til et risikobillede, figur 2.2, ved en overføring af hver enkelt nummereret trussel fra trusselbilledet til risikobilledet, således at der sker en markering af trusselniveauet og af niveauet af de til truslen modsvarende sikkerhedsmiljø. Det nye risikobillede kan ses i figur 2.2.
28 16 Risikoanalyse Figur 2.2: Risikobillede Risikobegrænsning Er nogle trusler markeret i rødt og gult område i risikobilledet er det alle trusler der bør tages stilling til om der skal foretages nogle nye eller ekstra foranstaltninger i virksomheden. Ledelsen kan eksempelvis sætte sig det mål, at de vil have fjernet alle markeringer i det rødt område samt hovedparten af dem i gult område. Her er imidlertid andre vigtige overvejelse der gør sig gældende, f.eks. økonomiske. Virksomheden må her overveje de omkostninger der er forbundet med både det at få udbedret truslerne og derved flere sikkerhedsforanstaltninger i virksomheden op mod de omkostninger og konsekvenser det kan have ved ikke at ændre på nuværende niveau. 2.2 Risikovurdering Når man skal vurdere informationssikkerheden i en virksomhed er det altid en god ide at starte med at lave en risikovurdering. En risikovurdering skal gennemføres regelmæssigt og bør give information om: Hvilke aktiver, herunder data, der er kritiske for organisationens aktiviteter. Hvilke risici, der kan true organisationens aktiver.
29 2.3 Opsummering 17 Hvilke risici, der kan påvirke omverdenens tillid til organisationens data. Hvad det vil koste at fastholde risikoen på et niveau, som ledelsen finder acceptabelt. Hvilke udækkede risici, som fortsat er til stede. Mange danske virksomheder der foretager sådan en vurdering gør det i dag oftest i henhold til DS484:2005[26] men det er dog ikke et krav. Andre skrevne guides som ISO 27001:2005[15] kan også benyttes. Risikovurdering anvendes til at undersøge hvilke forretningsmæssige risici en virksomhed er udsat for, når den benytter sig af informationsteknologi. Herefter kan den resulterende vurdering, set i sammenhæng med eksempelvis lovgivningskrav og andre forretningsmæssige forhold, anvendes som grundlag for beslutning om hvilke sikkerhedsforanstaltninger og procedurer, der skal i- værksættes. Den samlede vurdering af virksomheden kan ses i kapitel Opsummering Brugen af risikovurderingen lægger op til, at man ikke skal have IT-sikkerhed for enhver pris, og at den sikkerhed man beslutter sig for skal lægges på et niveau, der modsvarer de trusler der realistisk set kan forekomme. En indledende risikovurdering og risikoanalyse kan være en stor hjælp til udformningen af en sikkerhedspolitik. Kapitlet lister en række trusler der alle er væsentlige i forbindelse med det at have mobile medarbejdere der skal kunne koble sig op på virksomhedens netværk også fra lokaliteter der ligger uden for virksomhedens kontrol. Nogle af truslerne kan mindskes ved tekniske foranstaltninge mens andre kræver en ændret adfær fra enten virksomheden eller medarbejderens side.
30 18 Risikoanalyse
31 Kapitel 3 Sikkerhedspolitik Dette kapitel beskriver først lidt omkring de gældende best practices og standarder som virksomheder har mulighed for at benytte og hente vejledning fra, når informationssikkerhedspolitikken skal udformes. Herefter en beskrivelse af opbygning og indhold i en sikkerhedspolitik med eksempler på hvordan en sådan kan udformes i henhold til gældende standarder og/eller best practices. Sikkerhedspolitikken er en vigtig del af virksomheden og danner grundlag for virksomhedens datasikkerhed. Sikkerhedspolitikken fastlægges i høj grad på baggrund af viden om sårbarhederne i den pågældende virksomhed. 3.1 Best practices og Standarder Informationssikkerhed bliver heldigvis stadig mere standardiseret og i forbindelse med implementering af mobile arbejdspladser har en række organisationer udarbejdet vejledninger og dokumenter med anbefalinger. Disse anbefalinger er ofte udarbejdet som en række krav til hvordan sikkerheden bør håndteres, de skal dog ikke ses som en komplet guide til sikker implementering af mobile arbejdspladser, men som det fremgår af navnet er de blot anbefalinger man kan tage udgangspunkt i. Standarder bruges til at danne grundlaget for informationssikkerhedsarbejdet og til at hæve det generelle sikkerhedsniveau i virksomheden. I Europa benyttes primært ISO/IEC 27001:2005 [15] og i Danmark, Dansk Standard DS484:2005
Sikkerhedsanbefaling. It-sikkerhed på rejsen
Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center
Læs mereSikkerhedsanbefaling. It-sikkerhed på rejsen
Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for
Læs mereRisikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering
Risikovurdering vedr. Google Apps Sammenfatning Side: 1 af 6 1. Introduktion IT Crew har faciliteret gennemførelse af en risikovurdering på en workshop med Odense Kommune d. 25. august 2010. Workshoppen
Læs mereInformationssikkerhed regler og råd
Informationssikkerhed regler og råd TAP-området Kære kollegaer Formålet med denne folder er at oplyse dig om RMCs regler og råd inden for informationssikkerhed. Folderen skal være med til at sikre, at
Læs mereKære medarbejder og leder
Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang
Læs mereKÆRE MEDARBEJDER OG LEDER
Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.
Læs mereGode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank
Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Af BEC og FortConsult, januar 2005. Hvad kan du konkret gøre for at beskytte din pc? Målgruppe Denne vejledning er skrevet
Læs mereAgenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Læs mereRisikostyring ifølge ISO27005 v. Klaus Kongsted
Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister
Læs mereSikker behandling af personoplysninger og informationsaktiver. Version 1.0 Marts 2017 Horne Vandværk
Sikker behandling af personoplysninger og informationsaktiver Version 1.0 Marts 2017 Horne Vandværk Kære kollega Som medarbejdere i vandværket bærer vi et fælles ansvar for, at informationer bliver håndteret
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereRetningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug
Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Udviklingen på området gør, at disse retningslinier vil blive revideret løbende Indhold: Indledning...3 Adgang til skolens net...3
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mere> DKCERT og Danskernes informationssikkerhed
> DKCERT og Danskernes informationssikkerhed Fujitsu Security Event, 29. januar 2019 Henrik Larsen 28 January, 2019 S 1 > Hvem er DKCERT? > Grundlagt 1991 efter en af de første store hackersager i Danmark
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereIT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere
IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere
Læs mereVersion 8.0. BullGuard. Backup
Version 8.0 BullGuard Backup 0GB 1 2 INSTALLATIONSVEJLEDNING WINDOWS VISTA, XP & 2000 (BULLGUARD 8.0) 1 Luk alle åbne programmer, bortset fra Windows. 2 3 Følg instrukserne på skærmen for at installere
Læs mereUnderstøttelse af LSS til NemID i organisationen
Understøttelse af LSS til NemID i organisationen Table of contents 1 Dette dokuments formål og målgruppe... 3 2 Introduktion til LSS til NemID... 4 2.1 Forudsætninger hos organisationen... 5 2.1.1 SSL
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereInformationssikkerhedspolitik
Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad
Læs mereInstrukser for brug af it
it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................
Læs mereTrusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer
5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,
Læs merePanda Antivirus + Firewall 2007 NYT Titanium Kom godt i gang Vigtigt! Læs venligst grundigt afsnittet i denne guide om online registrering. Her findes nødvendige oplysninger for maksimal beskyttelse af
Læs merePolitik for It-brugeradfærd For Aalborg Kommune
Click here to enter text. Politi k for It- bruger adfærd 2011 «ed ocaddressci vilcode» Politik for It-brugeradfærd For Aalborg Kommune Kolofon: It-sikkerhedsgruppen / IT- og Personalekontoret Godkendt
Læs mereEn introduktion til. IT-sikkerhed 16-12-2015
En introduktion til 16-12-2015 1 En rettesnor for din brug af IT I Dansk Supermarked Group forventer vi, at du er orienteret om, hvordan du skal bruge IT, når du er ansat hos os. I denne guide kan du læse
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereINFORMATIONS- SIKKERHEDSPOLITIK
Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den
Læs mereModul 3: Digital Sikkerhed
Modul 3: Digital Sikkerhed Internetsikkerhed Vær sikker online Visse ting, som folk der er vokset op med teknologi ikke engang tænker over, kan være store forhindringer for modne brugere af internettet.
Læs merePrivatlivspolitik ekstern persondatapolitik
Privatlivspolitik ekstern persondatapolitik for Shine Danmark miljøvenlig rengøring vedr. behandling af persondata Version 1 Dato 22.05.2018 Godkendt af Christina L. Johansen Antal sider 14 Side 1 af 10
Læs mereInformationssikkerhedspolitik for Region Midtjylland
Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereDI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet
DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod
Læs mereStudér denne folder for vores sikkerheds skyld
Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mereAfinstaller alle andre programmer Vigtigt! Fjern alle andre antivirus programmer før du installerer Panda Internet Security Mere end et antiviru
Panda Internet Security 2007 NYT Platinum Kom godt i gang Vigtigt! Læs venligst grundigt afsnittet i denne guide om online registrering. Her findes nødvendige oplysninger for maksimal beskyttelse af din
Læs mereguide til it-sikkerhed
Codans guide til it-sikkerhed Hvad du som virksomhed bør vide om it-kriminalitet og hvordan du kan forebygge det Indhold Side 3...Forord Side 4...Virksomhedernes tanker om it-kriminalitet Side 5...Sådan
Læs mereDatabehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:
Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter
Læs mereSalg af servere. Torben Vig Nelausen Produktchef Windows Server Familien
Salg af servere. Torben Vig Nelausen Produktchef Windows Server Familien Trin 1: Hvem skal købe en Server? Trin 1: Hvem skal købe en Server? Lyt efter nøgle-ord der kan identificiere en kunde der endnu
Læs mereO Guide til it-sikkerhed
It-kriminalitet O Guide til it-sikkerhed Hvad din virksomhed bør vide om it-kriminalitet, og hvordan du kan forebygge det codan.dk 2 Forord 3 o Er I ordentligt sikret mod it-kriminalitet? Mange virksomheder
Læs mereR E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R
R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R Afsnit 1: Indledning... side 1 Afsnit 2: Generelt om sikkerhedsbrud...
Læs mereIt-sikkerhedstekst ST4
It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger
Læs mereTrusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang
Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne
Læs mereRapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed
Rapport Anbefaling God IT-sikkerhed er god forretning. En brist i jeres IT-sikkerhed kan koste din virksomhed mange penge i genopretning af dine systemer, data og ikke mindst dit omdømme hos dine kunder
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereSikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded
Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereDI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)
DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12
Læs mereIt-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.
Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning
Læs mereGuide til awareness om informationssikkerhed. Marts 2013
Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereITEK og Dansk Industris vejledning om betalingskortsikkerhed
ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereR E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R
R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R 1 INDLEDNING 1.1 Disse retningslinjer vedrører UBSBOLIG A/S (herefter
Læs mereBallerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
Læs mereTilslutning med Cisco AnyConnect VPN-klient (Windows) til AARHUS TECH P-net
18. november 2011 Vejledning Windows 7 - eklient Opkobling via ADSL eller anden kabelforbindelse til P-net. Tilslutning med Cisco AnyConnect VPN-klient (Windows) til AARHUS TECH P-net Cisco AnyConnect
Læs merePolitik for informationssikkerhed i Plandent IT
9. maj 2018 Version 0.8. Politik for informationssikkerhed i Plandent IT Indhold Formål med politik for informationssikkerhed... 3 Roller og ansvar... 3 Politik for manuel håndtering af følsomme kundedata...
Læs mereDatabrudspolitik i Luthersk Mission
Databrudspolitik i Luthersk Mission September 2019 Denne politik har til hensigt at beskrive retningslinjer for håndtering af brud på persondatasikkerheden. Den er ikke fyldestgørende men en kort gennemgang
Læs mereDUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT
DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereDAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP
DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP AGENDA 01 Kort præsentation 02 Behov i forbindelse med de 4 dimensioner 03 Koncept for sikker forbindelser 04 Netværkssikkerhed
Læs mereHåndbog. - MobilePass. Udarbejdet af: Maria Mathiesen Gældende fra: 25. februar 2015
Håndbog - MobilePass Udarbejdet af: Maria Mathiesen Gældende fra: 25. februar 2015 Version Forfatter Dato Dokumentstatus 1.0 Maria Mathiesen 1. december 2014 Oprettet 1.1 Maria Mathiesen 16. december 2014
Læs mereIT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR
IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab
Læs mere1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2
Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering
Læs merePSYKIATRIFONDENS Informationssikkerhedspolitik
PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...
Læs merePersondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata
Persondata og IT-sikkerhed Vejledning i sikker anvendelse og opbevaring af persondata December 2015 Indledning Denne vejledning har til formål, at hjælpe ansatte på IT-Center Fyns partnerskoler med at
Læs mereNORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER
NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i
Læs mereDatabeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015
Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereIT-sikkerhed i Køge Kommune. IT med omtanke
IT-sikkerhed i Køge Kommune Indhold Din pc 4 Adgangskode 5 Virus 6 Sikkerhedskopiering 7 Medarbejder signatur 7 E-mail og sikkerhed 8 Internettet 9 Dine bærbare enheder 10 Mere om følsomme data 11 Denne
Læs mereLinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK
GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds
Læs mereHvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).
Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder
Læs mereAlmindelig sund fornuft med IT Gode råd og regler om IT sikkerhed
Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Langeland Kommune Sikkerhed i Langeland Kommune Sikkerhed er noget vi alle skal tænke over. Vi behandler følsomme informationer om vores
Læs mereIt-sikkerhedstekst ST9
It-sikkerhedstekst ST9 Single Sign-On og log-ud Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST9 Version 1 Juli 2015 Single Sign-On og log-ud Betegnelsen Single Sign-On (SSO)
Læs mereSikker behandling af personoplysninger og informationsaktiver
Sikker behandling af personoplysninger og informationsaktiver Side 2 Kære kollega Som medarbejdere på Karise Efterskole bærer vi et fælles ansvar for, at informationer bliver håndteret på sikker vis. Hvad
Læs mereInstrukser for brug af dataudstyr ved OUH
Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj
Læs mereOverordnet Informationssikkerhedsstrategi. for Odder Kommune
Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5
Læs mereIT-SIKKERHEDSPOLITIK UDKAST
IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens
Læs mereHillerød Kommune. It-sikkerhedspolitik Bilag 9. Udvikling, anskaffelse og vedligeholdelse
It-sikkerhedspolitik Bilag 9 November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3 2.3 Ledere, fagchefer mv...3 2.4 It gruppen, It
Læs mereAdgang til internettet Manuel login: http://login.kollegienet.dk Automatisk login: http://login.kollegienet.dk/jws Benyttelse af router:
Velkommen til Foreningen Kollegienet Odense (FKO). Ved at udfylde og indsende tilmeldingsblanketten bagerst i denne folder har du mulighed for at benytte internet og internt netværk med FKO som din professionelle
Læs mereSikkerhed i trådløse netværk
Beskyt dit trådløse netværk IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-post: itst@itst.dk www.itst.dk Rådet for it-sikkerhed www.raadetforitsikkerhed.dk Der
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereRÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET
GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET TING PÅ INTERNETTET Internet of things er et moderne begreb, som dækker over, at det ikke længere kun er computere, der er på internettet. Rigtig
Læs mereAutencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0.
Side 1 af 12 19. september 2008 Autencitetssikring Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning Version 1.0. Denne vejledning introducerer problemstillingen omkring
Læs mereOverordnet informationssikkerhedsstrategi
Overordnet informationssikkerhedsstrategi 1/2018 2 Indhold Indledning...4 Mål for sikkerhedsniveau...5 Holdninger og principper...5 Gyldighed og omfang...6 Organisering, ansvar og godkendelse...7 Sikkerhedsbevidsthed...7
Læs mereIt-sikkerhedstekst ST8
It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning
Læs mereIT-SIKKERHEDSPOLITIK FOR HOFFMANN BILER A/S
IT-SIKKERHEDSPOLITIK FOR HOFFMANN BILER A/S 1. INDLEDNING Sikkerhedspolitikken skal til enhver tid understøtte virksomhedens værdigrundlag og vision samt demonstrere, at virksomheden har en seriøs holdning
Læs mereInfrastruktur i hjemmet og begreber
Infrastruktur i hjemmet og begreber Indholdsfortegnelse Ordliste... 2 Accesspoint... 2 DHCP... 2 DSL... 2 Ethernet... 2 Firewall... 2 Flatrate... 2 Hub... 3 IP... 3 IP-adresse... 3 IP-filtrering... 3 IP-forwarding...
Læs mereIt-sikkerhed i Dansk Supermarked
It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores
Læs mereForfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø
spolitik 28.02.2017 Banedanmark IT Amerika Plads 15 2100 København Ø www.banedanmark.dk Forfatter: Carsten Stenstrøm Mail: cstr@bane.dk Telefon: 41881976 Indhold Side 1 spolitik 4 1.1 Indledning 4 1.2
Læs merePolitik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereTHEMCOM Persondataforordning/Privatlivsmeddelelse. Med virkning fra
THEMCOM Persondataforordning/Privatlivsmeddelelse Med virkning fra 25.05.2018 Denne privatlivsmeddelelse beskriver, hvordan dine personoplysninger indsamles, anvendes og videregives af THEMCOM, når du
Læs mereNYT Panda Antivirus 2007 Kom godt i gang Vigtigt! Læs venligst grundigt afsnittet i denne guide om online registrering. Her findes nødvendige oplysninger for maksimal beskyttelse af din PC. Afinstaller
Læs mereHvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk
Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Overordnet fremgangsmåde Identificér områder der hører under fundamental sikkerhed i risikovurderingen.
Læs mereEt koncentrat af retningslinjerne i søjle B, herunder retningslinjer for it-brugere, bliver også distribueret i kommunens it-sikkerhedsfolder:
Søjle B Retningslinjer for it-brugere Bilag B 1 Retningslinjer for it-brugere Alle medarbejdere i Holbæk Kommune, som anvender en it-arbejdsplads, skal have kendskab til retningslinjer for it-brugere.
Læs mereDragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere
Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereNetprøver.dk. Nødprocedurer ved afvikling af prøver i Netprøver.dk
Netprøver.dk Nødprocedurer ved afvikling af prøver i Netprøver.dk 2. februar 2017 Indhold 1 Introduktion... 3 1.1 Hvilke nødprocedurer kan tages i brug?... 3 1.2 Vær forberedt på det uventede!... 4 2 Nødprocedure
Læs mereKeepit Classic. Keepit Classic Relaterede Problemer
Keepit Classic Relaterede Problemer Ændre email-adresse til login Er du Keepit erhverv kunde (PRO / Server konto) kan du selv ændre din e-mail adresse i kontrolpanelet Gå i kontrolpanel på cp.keepit.com/login
Læs mere