1 / 14

Dokumentsikkerhed fra vugge til grav

Dokumentsikkerhed fra vugge til grav. Om DI og DI ITEKs sikkerhedsarbejde. Mission Udvalgets mission er at bidrage til forbedring af informationssikkerheden i DI’s medlemskreds og i det øvrige samfund. Organisation Leverandører, brugere og omverdenen (forbrugere, forskere, ITST og andre

maite-jimenez
Download Presentation

Dokumentsikkerhed fra vugge til grav

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Dokumentsikkerhed fra vugge til grav

  2. Om DI og DI ITEKs sikkerhedsarbejde • Mission • Udvalgets mission er at bidrage til forbedring af informationssikkerheden • i DI’s medlemskreds og i det øvrige samfund. • Organisation • Leverandører, brugere og omverdenen (forbrugere, forskere, ITST og andre • interessenter) • Produkter • Netværk, vejledninger, bøger, politiske udspil, høringssvar • Emner: ledelse, trusler, løsninger, forretningen, infrastruktur, spam, spyware, fysisk • sikkerhed, cloud computing, hjemmearbejdspladser, privacy (PbD, PIA, PET) • Aktuelle indsatsområder • National strategi for bekæmpelse af BOTs • Copenhagen Privacy Principles • Cookiebekendtgørelsen • Kommende: Sikkerheden i produktionen og produkterne • Dagens emne: Dokumentsikkerhed fra vugge til grav

  3. Motivation: kopiering og outsourcing • Motivation • - Outsourcing (og cloud computing) • - Virksomheder tættere integreret med hinanden elektronisk • Dansk kultur • Andre landes eller konkurrenters interesser • Andre landes kultur • Trusselsbillede • Brug f.eks. OCTAVE • Kopiering - case med emballage • Spionage • Social engineering • Hacking: Opsnapning ved lagring eller transmission • Glemte, tabte eller stjålne terminaler • Udskiftning i medarbejderstaben

  4. Vejledningens formål • Arbejdshypotese • Vi skal gøre det vanskeligere for de kriminelle at få adgang til forretningskritiske data, • som: • Skabes på en harddisk i Danmark • Transmitteres via internettet eller en bærbar terminal • Anvendes hos en outsourcingpartner et sted ude i verden • Bagvedliggende formål • Sikre at danske virksomheder i en global verden ikke mister deres forretningskritiske • data - f.eks. forskningsresultater eller patenterede opskrifter eller produktionstegninger • Sikre at der fortsat eksisterer danske virksomheder, som begår sig i en global verden • Sikre at der stadig er arbejdspladser i Danmark • Altså beskyttelse af dokumenter som supplement til klassisk • perimetersikkerhed

  5. De første skridt til at beskytte data • Hvilke data har vi? • Hvor er data henne? • Hjemme • Under transmission • Ude

  6. Klassifikationsmodel • Baggrund • DS 484 • Lavet på baggrund af Statsministeriets cirkulære nr. 2004 • Igen baseret på et fælles klassifikationssystem fra NATO, EU og WEU • Klasser • Offentlige informationer / data • - f.eks. reklamer, årsberetninger, hjemmeside • Interne informationer / data • f.eks. Arbejdsplaner, driftsoplysninger og rabatordninger • Følsomme informationer / data • Kun for betroede medarbejdere – f.eks. medarbejderoplysninger, kontrakter • Fortrolige informationer / data • Kun for særligt betroede medarbejdere – f.eks. patenter, skabeloner, produktionsdata, • produktionsmetoder, arbejdstegninger, opskrifter, forretningsstrategi

  7. Risikoanalyse • Hvilke risici står informationer / data overfor? • Trussel, konsekvens (høj, middel, lav), sandsynlighed (høj, middel, lav) • Personrelaterede trusler • Sure medarbejdere, tidligere medarbejdere • Uopmærksomme kolleger • Konkurrenter • Kriminelle • Metoder: tyveri, hacking, skadelig kode, økonomi, manglende opdatering, manglende • viden, sårlige procedurer/politikker • Systemmæssige trusler • - F.eks. sårbare programmer • Trusler udenfor virksomhedens kontrol • F.eks. naturkatastrofer • Sikkerheden hos modtager af data • På baggrund af risikoanalysen laves der politikker, procedurer og • iværksættes korrigerende foranstaltninger

  8. Summa sumarum Hvilke data har vi? Hvor er data henne? (Hjemme, under transmission, ude) Hvilken klassifikation skal de have? (Offentlig, intern, følsom, fortrolig) Hvilken risiko er der for at miste kontrol med data? Trussel, konsekvens (høj, middel, lav), sandsynlighed (høj, middel, lav) Hvilke korrigerende foranstaltninger kan iværksættes? (Politik, procedurer, teknologi, uddannelse, restrisiko)

  9. Samlet begrebsapparat

  10. Hjemme og under transmission Hjemme Beskyt perimeteren: Firewall, antivirus, IDS, netværkssegmentering, rollebaseret adgangskontrol, mængdemæssig begrænsning på adgang til data, logning, kryptering Også på bærbare terminaler Under transmission Krypter: VPN site-to-site

  11. Ude – del 1 • Sikkerheden skal tilknyttes det enkelte dokument • I dokumentet • Forsegling af dokument via certifikat, hvor dokumentet ikke kan åbnes førend • brugeren har autentificeret sig • Kontrollen med brugeren • Centraliseret rettighedsstyring af dokumenter (hvem må tilgå dem) • Autentifikation af bruger mod brugerdatabase der kontrolleres af modervirksomhed • Klientløsning (som skal installeres) eller serverløsning (adgang til certifikatserver) • Fordeling af rettigheder • - Automatisk tidsudløb af rettigheder • Rettighedsstyring i forhold til åbne, gemme, redigere, videresende, printe, faxe, • kopiere og slette • Blokering af skærmdumps • Anmodning om nye rettigheder bør kunne ske fra dokumentet • Tildelte brugerrettigheder håndteres automatisk i tilknytning til bruger (directory • over nye brugere, nuværende brugere og slettede brugere)

  12. Ude – del 2 • Andre nyttige forhold • Skal fungere bag en anden virksomheds firewall • Anvende anerkendt kryptering uanset lokalitet • Logning af brugeradfærd • Test for sårbarheder i applikationer tillige med patchstyring • Vurdering af funktionalitet på forskellige platforme – herunder mobile terminaler • Åben kode, således at 3. parter kan udvikle add ons • Overholde lovgivning om krav til tilstrækkelig beskyttelse • Evt. tillade skanning for virus

  13. Oversigt over produkter • Oracle Information Rights Management • Symantec Data Loss Prevention, Endpoint Encryption, E-mail gateway • IBM Secure File Encryption for Deaktop • McAfee Total Data Protection for Data • ScanArmor – BitArmor DataControl • Der kan findes flere produkter på markedet. • DI anbefaler ikke disse produkter, men angiver dem muligheder, der kan overvejes til • at løse en konkret udfordring.

  14. Kontakt Henning Mortensen hem@di.dk

More Related