1 / 38

Informationssäkerhet ur sotarens och Ritz perspektiv

Informationssäkerhet ur sotarens och Ritz perspektiv. Viktoria Jacobsson. Vem är jag?. Kort om mig Bor i hus strax utanför Linköping Man och två tjejer (7 år och 10 år) Civilingenjör från KTH Förflutet som projektledare inom Försvarsmakten och försvarets materielverk

dick
Download Presentation

Informationssäkerhet ur sotarens och Ritz perspektiv

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Informationssäkerhet ur sotarens och Ritz perspektiv Viktoria Jacobsson

  2. Vem är jag? Kort om mig • Bor i hus strax utanför Linköping • Man och två tjejer (7 år och 10 år) • Civilingenjör från KTH • Förflutet som projektledare inom Försvarsmakten och försvarets materielverk • IT-system för ledningscentraler, ackreditering IT-system mot bland annat MUST (Militära underrättelsetjänsten) • Lång erfarenhet inom myndigheter • Projektledare åt bland annat Transportstyrelsen gällande körkortshantering och arkiv (överflytt från länsstyrelsen) samt Luftfartsverket • Startade Nethouse Östergötland 2008 Viktoria Jacobsson VD och partner Nethouse Östergötland AB E-post: viktoria.jacobsson@nethouse.se

  3. Målsättning med föreläsningen • Ge en kort bakgrund samt en övergripande bild av Nethouse gällande tjänster/kompetens, värderingar, kunder och erfarenheter • En kort inblick i del av SIS standarden för Informationssäkerhet (ISO/IEC 27001 • Ge en inblick i hur Ritz fungerar utifrån ett informationssäkerhetsperspektiv. • Målsättningen är att föreläsningen ska ge information om hur SSRsom beställare av Ritz, Nethouse som förvaltare av det nya systemstödet ochEntreprenören som utförare av Brandskydd och Sotning i Ritz kan förhålla sig till informationssäkerhetsområdet och den gällande standarden • Tid för frågor i slutet av föreläsningen • Visa några bilder från Ritz om vi hinner

  4. Bakgrund och nuläge • Under våren 2012 genomfördes SSR en upphandling och utvärdering av olika leverantörer för utveckling av ett nytt verksamhetssystem då nuvarande systemstöd SOT2000 bygger på en gammal teknik som ej längre går att vidareutveckla samtidigt som beroendet till nyckelperson är väldigt stor för att hålla systemet fungerande. • Under hösten gjordes en seriös kravprocess där representanter från SSR, medlemsbolagoch Nethouse utarbetade en kravspecifikation för det nya systemstödet • Nethouse tog över drift och förvaltning av det gamla systemstödet 1/1-2013 samtidigt som det nya systemet Ritz började utvecklas • Ritz kommer att gå i pilotdrift under november • Under 2014 migreras samtliga befintliga SOT2000 användare till systemet och SOT2000 avvecklas i december 2014

  5. Tidplan för åtagandet 2013-01-01 2014-01-01 2015-01-01 2016-01-01 2019-01-01 JAN -14 JAN -13 JAN -15 JAN -18 JAN -19 JAN -16 JAN -17

  6. Nethouse identifierar, möjliggör och förverkligar Viktoria Jacobsson

  7. Korta fakta • Nethouse har drygt 130 medarbetare idag vid våra kontor i Borlänge, Göteborg, Linköping, Stockholm och Örebro. • Vår omsättning 2012/2013 var 134 Mkr • Resultat 2012/2013 var 10 Mkr • Kundfördelning: 55 % offentlig sektor och 45 % privat sektor. • Snittålder medarbetare: 39 år med ett åldersspann mellan 23 och 63 år. • Fördelning mellan kvinnor och män: 33 % kvinnor och således 67 % män. • Väldigt låg sjukfrånvaro • Nöjd Medarbetar Index: 4,46 (!) av 5 • Huvudägare: Peridot Group AB.

  8. Våra kontor

  9. Nethouse utveckling

  10. Nethouse affärsområden Vi har tre affärsområden som vart och ett ansvarar för ett ord i affärsidén. Eftersom vi tar vår utgångspunkt i verksamhetsnytta betraktar vi relationen mellan verksamhetens processer och implementerade IT-lösningar som en ständigt pågående livscykel. Vi jobbar gärna och helst med alla områden åt våra kunder men har inga problem med att arbeta tillsammans med andra aktörer.

  11. Engagerade konsulter Engagemang – Kompetens – Ödmjukhet – Lönsamhet

  12. Leveransformer Identifiera Möjliggöra Förverkliga

  13. Tjänsteområden Nethouse affärsområden, AoV – System - Infra

  14. Exempel på kunder

  15. Exempel på andra myndighetsuppdrag • Nyutveckling och förvaltning Förarprovsystem (Trafikverket) • Ansvarig för leverans av hela systemet • Förvaltar systemet/applikationen • Förvaltning och drift av Guard Management System (Säkerhetsföretag) • Ansvarig för systemet ur ett 24/7 perspektiv • Flera Informationssäkerhetsuppdrag baserat på ISO27001 • Körkortsprojektet (Transportstyrelsen) • Projektledare • Processutvecklare • Kravhanterare • Utvecklare • Testare • Förvaltare • Trängselskattesystemet (Transportstyrelsen) • Projektledare • Processutvecklare • Kravhanterare • Utvecklare • Testare • Förvaltare

  16. Ledningssystem för informationssäkerhet ISO/IEC 27001

  17. Informationssäkerhet och IT-säkerhet • Informationssäkerhet är ett allt viktigare område. Det är idag helt avgörande att korrekt information erhålls vid rätt tillfälle och till berättigade användare • Informationssäkerhet gäller hela organisationen och innehåller: • Administrativ säkerhet • Teknisk säkerhet • Säkerhet, och IT-säkerhet handlar om att: • Förstå hotbilden • Hantera sannolikheter för att utsättas för skada • Balansera kostnader för motmedel för skydd mot värdet av det man skyddar • En viktig del i IT-säkerhet är datasäkerheten som bland annat innebär att skydda sig mot hackare och virus eller stöld av information på en dator eller i ett nätverk samt att ha arbetssätt så att informationen inte avsiktligt eller oavsiktligt förstörs

  18. Informationssäkerhet • Informationssäkerhet är de åtgärder som vidtas för att hindra att informationläcker ut, förvanskas eller förstörs och för att informationen ska vara tillgänglig när den behövs. För en organisationkan det handla om att skydda information mot en uppsättning hot för att säkerställa verksamhetens kontinuitet, minimera verksamhetsrisken och maximera avkastningen på investeringar och affärsmöjligheter • Informationen som ska skyddas kan vara tryckt på papper, vara lagrad elektroniskt, överföras med post eller med elektroniska hjälpmedel, visas på film eller yttras i en konversation • Möjliga säkerhetsåtgärder är att införa en viss policy, rutin, process, organisationsstruktur eller olika mjuk- och hårdvarufunktioner • Säkerhetsarbetet kan också innefatta att utforma, införa, övervaka, granska och förbättraåtgärder för att säkerställa att organisationens säkerhets- och verksamhetsmål uppnås

  19. Informationssäkerhet- mer än bara krav ur ett IT-perspektiv

  20. Informationssäkerhet ur ett Ritz-perspektiv

  21. Organisation, personal, resurser och hantering av tillgångar • SSR är beställare och ägare av Ritz • Nethouse utvecklar och förvaltar systemet på uppdrag av SSR • Nethouse ansvarar för utbildning i samband med implementering av systemet • Entreprenören förvaltar informationen i sin del av databasen och ansvarar för rapportering till huvudman • Entreprenör ansvarar för tilldelning av roller i systemet för sina anställda • Entreprenör kan tilldela kontrollboken till huvudman för sitt distrikt kontrollboken • Excelrapport till huvudman med ögonblicksbild av status på objekt i kontrollboken • Senast utförd SO/BSK • Fast.bet • Adress • Objekt • Intervall för SOT/BSK • Ritz bygger på en skiktad lösning av databasen • Grunddata • Kontrollbok • Entreprenör Nivå 3 • Gångordning • Unik information som kan säljas vidare • Uppdrag utanför kontrollboken Entreprenör Nivå 2 Kontrollbok • ”Kontrollboken” • Information om objekt, frister, protokoll • Förelägganden Nivå 1 • Ägare • Husnummer (byggnadsid) • Fast.beteckning och belägenhetsadress Grunddata

  22. Säkerställande av effektivt arbetssätt utifrån regler, lagar, policys och hantering av risker • Ritz är ett processbaserat verksamhetssystem för hantering av Sotning och Brandskyddskontroller • Systemet har skapats utifrån en 4 månaders lång kravprocess med erfarna personer inom Verksamhet, Myndigheter, IT och befintligt systemstöd • Systemet bygger på de lagkrav och den långa erfarenheten som finns inom Sotning och Brandskydd • Nethouse har bidragit med sin lång erfarenhet av krav kopplat till informationssystem • Kontrolldelen och planeringsfunktionen är vital i systemet • Processen inititieras av • Frister • Kundorder

  23. Incidenthantering och återhämtning • Huvudmannaskap • Informationen i systemet garanteras genom backup-funktioner på annan plats • Entreprenör • Arbetsorder för de närmaste tre dagarna finns för utskrift i händelse av nedtid för Ritz vilket säkrar fortsatt arbete för entreprenör via papper • Systemet stödjer avvikelsehantering och förelägganden • Systemförvaltare/Nethouse • Nethouse har ansvar för drift och förvaltning av systemet • Nethouse har lång erfarenhet av Incidentprocessen och har rutiner för detta via ServiceDesk/”Singel-Point-Of-Contact”

  24. Systemutveckling och arkitektur • Krav på systemet har tagits fram i samarbete med SSR, entreprenörer och Nethouse • Ritz är en webbapplikation baserat på modern arkitektur och moderna ramverk som medger mobilitet • Nethouse har strukturerade processer för utveckling, test, förändring och releasehantering och förändringshantering • Olika miljöer för utveckling-test-produktion • Robusta servertjänst för att säkra tillgänglighet • Nethouse supportar och underhåller systemet • Microsoft ansvarar för drift av servertjänster • Fortnox ansvarar för fakturamodulen

  25. Åtkomstkontroll • Behörighetsstyrning sker i olika nivåer • SSRAdmin - tillgång till hela registret och ansvarar för att ge behörig entreprenör rätt distrikt • Entreprenör- dvs den som fått ansvar för utövande av brandskydd, sotning eller både och för ett specifikt distrikt • Entreprenören ansvarar för att ge behörig person rätt roll för sitt distrikt • Tekniker • Sotare • Arbetsledare • Administratör • Huvudman* • Systemförvaltare • I dagsläget Nethouse= en roll • Skiktad lösning för data • Inloggning • Användarnamn och lösenord (minst 8 tecken) • Krypterat lösenord, ingen kan återställa lösen • Avbryts efter 3 inloggningsförsök • Mobil tillgång via pin-kod • Nätverk och kommunikation • HTTP mellan klient och server • Krypterade anrop mellan azure och den lokala databasserver • Brandväggar till Azure och databasservern

  26. Drift och förvaltning samt fysiska miljöer • Hög säkerhet och tillgänglighet på servertjänsterplacerade inom EU • Backup • Skalskydd • Intrångsskydd • Brandskydd • Skydd mot översvämning • Ventilation • Reservkraft • Backup vid annan site • 24/7 • Support öppet 8-17 • Spårbarhet • All aktivitet i systemet loggas per användare

  27. Frågor?

  28. Några bilder från Ritz

More Related