Informasjonssikkerhet Miniseminar Vebjrn Slyngstadli Seksjon for Digital Sikkerhet
Informasjonssikkerhet Miniseminar Vebjørn Slyngstadli Seksjon for Digital Sikkerhet
Hva er informasjonssikkerhet? Vi snakker her om tre sentrale begreper • K – Konfidensialitet • I – Integritet (Informasjonskvalitet) • T – Tilgjengelighet KIT 2
Konfidensialitet Sensitiv eller gradert informasjon som bare skal være tilgjengelig for autoriserte personer og prosesser. Eksempel på dette er: - Personopplysninger Helseopplysninger Informasjon rammet av eksportregelverk Informasjon som kan føre til økonomiske tap, tap av renomme eller menneskeliv. https: //www. digi. no/artikler/derfor-er-den-svenske-datalekkasjen-sa-ille/398197 3
Integritet (Informasjonskvalitet) Det vil si at informasjonen er fullstendig, nøyaktig og gyldig og et resultat av kontrollerte endringer. Stikkord: - Dokumenterbare datakilder - Endringshistorikk - Begrenset tilgang til å endre data https: //motherboard. vice. com/en_us/article/xwwb 8 n/there-are-now-8000 -fakescience-journals-worldwide-researchers-say 4
Tilgjengelighet Det må sikres at data er tilgjengelig slik at man oppfyller de krav som stilles Krav tilgjengelighet må omgjøres i tekniske løsninger og gode prosesser og rutiner. https: //www. aftenposten. no/norge/i/2 EQd. R/Feil-hos-Evry-gir-trobbel-med-nettbank_-hos. Posten-og-Telenor 5
KPMG – Lederundersøkelsen 2017 • 253 ledere i private og offentlige virksomheter i 27 bransjer ? 6
Noen av kravene og føringene som stilles til NTNU? • Digitaliseringsrundskrivet https: //www. regjeringen. no/no/dokumenter/digitaliseringsrundskrivet/id 2569983/ – Krav om at virksomheten ha en internkontroll på informasjonssikkerhetsområdet – Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. • Tildelingsbrevet • e. Forvaltningsforskriften https: //lovdata. no/dokument/SF/forskrift/2004 -06 -25 -988 • Ny personvernforordning (GDPR) https: //www. datatilsynet. no/regelverk-og-skjema/veiledere/hva-betyr/ - Innebygget personvern i applikasjoner 7
Hva gjøres i NTNU? • ISMS Prosjektet – Skal innføre styringssystem for informasjonssikkerhet • Etablering av «Seksjon for Digital Sikkerhet» fom 1. 1. 2017 https: //www. ntnu. no/adm/it/ansatte/digital-sikkerhet – Saksbehandling av sikkerhetshendelser – Rådgivning – Analyse 8
DS - Analyse av datatrafikk 9
DS - Rådgivning • • 10 Hva er informasjonssikkerhet? Hvordan håndtere personopplysninger? Lagring av sensitiv informasjon Risikostyring
DS - Saksbehandling • Vi har to ansatte på heltid • Løser saker fortløpende – – 11 Konto på avveie Stålet utstyr Dataangrep/innbrudd Etc.
12 Frequency hi ne ac M d d w it. . . em st Sy em st sy o. . . a. em st sy te ec si nf ise om d pr m d . . . o. . . s/ ot au co Fr ise om er us CE O om pr m Co pr m gu la r Co Re pr m er rv /S e rs . . . pt m by tte co ga in lic y Po er us g/ lin W ha te pu m Co gu la r IT ish to Ph ch ea Re Br Antall saker Statistikk hendelser NTNU • Tabellen viser saker som er behandlet i NTNU SOC • Toppen av isfjellet Sikkerhetshendelser jan-okt 2017 50 45 40 35 30 25 20 15 10 5 0
ISMS Styringssystem for informasjonssikkerhet • Etablerere rutiner og verktøy – – Rapportering Avvik Risikoanalyse og styring Oversikt • Lederstøtte • Opplæring 13
Praktisk informasjonssikkerhet E-post sikkerhet – Phishing http: //www. dinside. no/okonomi/er-e-posten-ekte-ellerphishing/61235475 Innstillinger på telefon Snapchat https: //www. aftenbladet. no/familieogoppvekst/Personvernekspert-Ville-aldri-tatt-i-bruk-Snapchats-nye-funksjon-10324 b. html 14
Innsida • • • 15 https: //innsida. ntnu. no/epost https: //innsida. ntnu. no/wiki/-/wiki/Norsk/Informasjonssikkerhet https: //innsida. ntnu. no/wiki/-/wiki/Norsk/IT-sikkerhet
Spørsmål? 16
- Slides: 16