När du tar datasäkerhetsfrågor på allvar






 Startsida
 Tjänster
 Kunder
 Kontakt
 Utbildning
-------------------

ODIT

E-mail: posta@odit.se

Tel:
08-449 72 29


Mobil:
070 521 69 25

 

ODIT är ett IT-företag som erbjuder konsulttjänster inom bl a informations- och kommunikationssäkerhet samt projekt- och testledning. Tjänsterna utförs av våra medarbetare med professionalism, byggd på djup kunskap och mångårig erfarenhet.

Engagemang, kvalitet, lyhördhet och tydlighet är nyckelord i vårt arbete. Vi arbetar strukturerat med sikte på ett individuellt anpassat resultat, därför tillämpar vi nöjdkundgaranti.

AFFÄRSIDÉ

Vi vill förenkla arbetslivet genom att hjälpa organisationer uppfylla de säkerhetskraven som är nödvändiga och kritiska för verksamheten så att man istället koncentrerar sig på kärnverksamheten.

Empati, kvalitet och säkerhet är vår främsta prioritet

MÅL

Vi vill vara ett ledande IT-företag, inom våra specialiteter, båda på den svenska och den internationella marknaden.

VI ÄR SPECIALISTER INOM FÖLJANDE OMRÅDEN:

Informationssäkerhet
Administrativ säkerhet
Nätverkssäkerhet
kommunikationssäkerhet

Säkerhetspolicy
Säkerhet i IT-nätverk
Riskhantering
Risk-, säkerhets-, hot- och sårbarhetsanalys
Kontinuitetsplanering
Incidenthantering
Brandvägg

BITS (Basnivå för informationssäkerhet), BITS Plus
LIS, MICTS

27000-familje
Informationssäkerhetsutbildning
Testledning
Projektledning
Kravhantering

ODIT har gjort mer är100 riskanalyser för kommuner och myndighter med stöd av BITS (Basnivå för informationssäkerhet). BITS är rekommendationer från Myndigheten för samhällsskydd och beredskap (MSB). I rekommendationerna definierar MSB en lägsta nivå för informationssäkerheten som inte bör underskridas. Denna nivå kallas basnivå och BITS Plus (verktyg för informationssäkerhetsanalys). BITS Plus är anpassad till och följer strukturen i den svenska standarden SS-ISO/IEC 27001

----------------------------------------------------------------------------------------------------------

Informations- och kommunikationssäkerhet

Informations- och kommunikationssystem är vitala och nödvändiga för all verksamhet men är också sårbara för attacker eller intrång och kan även innehålla säkerhetshål eller brister. Att förstå och analysera systemen och hoten mot desamma samt implementera potentiella och adekvata motåtgärder (skydd) är av störst vikt för att säkra verksamheten. Varje aktivitet eller förhållande som kan orsaka skada på enhet (data, resurs eller person) måste skönjas och analyseras för att kunna undvikas eller lindra dess effekter.

Säkerhet i informations- och kommunikationssystem uppnås därför genom implementering av lämpliga skydd. Skydd kan vara policyer, regelverk, praktiska åtgärder, rutiner och procedurer samt mjuk- och hårdvara


informatinssakerhet

  1. Konfidentialitet: tillförsäkrar att information enbart kan vara tillgänglig för behöriga
    - sekretess, känslighet, integritet
    - förebygga att data avslöjas för obehöriga
    - skydda känslig data och processer

  2. Tillförlitlighet: skyddar informationens riktighet och fullständighet samt informationsbehandlingsresurser
    - riktighet, fullständighet
    - förebygga modifikation av data från obehöriga
    - skydda data- och produktionsmiljön


  3. Tillgänglighet: tillförsäkrar att behöriga har tillgång till information och resurser när så krävs
    - användbarhet, läglighet
    - förebygga avbrott av tjänst
    - skydda produktion och produktivitet (produktionsförmåga)

Informationssäkerhet uppnås genom implementering av lämpliga skydd. Skydd kan vara policyer, regelverk, praktiska åtgärder, praxis, rutiner och procedurer samt mjuk- och hårdvara

kommunikationssakerhet 

  1. Accesskontroll: förmåga att tillåta eller neka en enhet eller en person användning av en enhet eller en resurs

  2. Intrångsförebyggande: förmåga att övervaka aktivteter i nätverk eller system och agera i realtid, dvs. blockera eller förhindra illvilliga eller oönskade aktiviteter.

  3. Intrångsdetektering: förmåga att upptäcka försök till eller fullbordad intrång

  4. Filtrering: förmåga att acceptera eller avvisa dataflödet genom ett nätverk enligt specifika kriterier

  5. Autentisering: verifiering av identitet eller av ett meddelandes riktighet

  6. Kryptering: omvandlig av klartext till kryptotext medelst krypteringssystem och aktuell kryptonyckel i syfte att förhindra obehörig åtkomst av konfidentiell information

Kommunikationssäkerhet uppnås genom implementering av lämpliga skydd. Skydd kan vara policyer, regelverk, praktiska åtgärder, praxis, rutiner och procedurer samt mjuk och hårdvara

----------------------------------------------------------------------------------------------------------------

Organisationens ledning, personal och säkerhet

Organisationens ledningen måste ta i beaktande att den dagliga verksamheten är utsatt för säkerhetsrisker. Personalhantering är en form av administrativ kontroll eller administrativ ledning och är en viktig faktor för att säkra den dagliga verksamheten. En klar definition av personalledning skall inkluderas i säkerhetspolicyn och följaktligen formalisera säkerhetsstrukturen i dokumentationer sådana som standarder, riktlinjer och procedurer.

administrativ säkerhet är ledningens ansvar eftersom ledning av personal kan påverka säkerheten och den dagliga driften. Administrativ säkerhet är ett sätt att underhålla IT infrastruktur genom styrning och kontroll av hårdvara, media samt användare för att skydda tillgångar mot hoten.

Koncept av administrativ säkerhet

Syftet med administrativ säkerhet är att dagligen skydda systemens informationstillgångar, att identifiera och skydda sig mot sårbarheter samt att förebygga hoten exploateras. Relationen mellan tillgångar, sårbarhet och hot brukar kallas för administrativt säkerhetstrippel.

Administrativ säkerhet är en samling koncept som är båda distinkta och inter-relaterade. I konceptet ingår hantering av antivirus, driftsäkring, underhåll av backup, byte av lokal, konfigurationskontroll och ändringshantering, due care och due diligence, personlig integritet (privacy), säkerhet och driftkontroll.

---------------------------------------------------------------------------------------------------------------------------

De 10 största hoten mot datasäkerhet är:

1. Penetrering av system och brandvägg
2. Skadlig eller illasinnad kod: virus, mask, trojansk häst, tidsbomb, logisk bomb, kanin, bakterie, hoax
3. Mailbombning
4. Systempassords-attack
5. Spoofings, sniffing- och fragmenterings-attack
6. Social engineerings-attack
7. Lättgissat passord
8. Systemkrångel
9. Mänskliga misstag
10. Fysiska eller miljömässiga hot




TILLGÅNGAR
Allt (materiella och immateriella tillgånger) av värde för organisationen

KONTROLL
Administrativa, operationella, styrande eller tekniska metoder som används för att hantera risker. Kontroll är skydd eller motåtgärder. Kontroll inkluderar praxis, policyer, procedurer, program, teknologier, riktlinjer och organisationell struktur

kORREKTIV HANDLING
korrektiv handling är den process som hanterar existerande brister och gör förbättring. Korrektiv handling löser aktuella problem genom att underröja orsaken. Korrektiv handling kan anses som en problemlösningsprocess.

INFORMATIONSSÄKERHETSHÄNDELSE
En informationssäkerhetshändelse anvisar att säkerhet i ett informationssystem, en tjänst eller ett nätverk kan ha äventyrats eller brustit. Den indikerar också att säkerhetspolicyn kan ha överträtt eller skydd kan ha brustit

PREVENTIVA ÅTGÄRDER
Preventiva åtgärder är de åtgärder som genomförs för att undvika potentiella brister och för att göra förbättringar.  Preventiva åtgärder handskas med eventuella brister eller problem. Preventiva åtgärder förebygger uppkomst av problem genom att underröja deras orsak.   Preventiva åtgärder kan betraktas som en slags riskhanteringsprocess.


KVARVARANDE RISK
Kvarvarande risk är den risk som kvarstår efter implementationen av riskbehandlingsbeslut. Det är den risken som kvarstår efter att ha accepterat risken, undvikit risken, transfererat risken eller reducerat risken

RISKACCEPTANS
Riskacceptans är en del av riskbehandlingens beslutsprocessen. D.v.s. att man har beslutat att acceptera angivna risker.

RISKBEHANDLING
Riskbehandling är en beslutsprocess. För varje risk, riskbehandling innefattar val av följande alternativ: acceptera risken, undvika risken, transferera risken eller reducera risken. Risker behandlas genom att välja och implementera åtgärder utformade för att mildra eller undvika risken


Vad är CBK?

CBK (Common body of knowledge) är en sammansättning av information (rådgivning) och bäst praxis till för informationssäkerhetesexperter. CBK är utvecklad och vidmakthållen av ISC 2 (The International Information Systems Security Certification Consortium) och är den officiella basen för CISSP-certifieringstestet

Den behandlar 10 områden:

1. Accesskontroll
2. Säkerhet i applikationer
3. Kontinuitetsplanering
4. Kryptering
5. Informationssäkerhet och riskhantering
6. föreskrifter, regler, efterlevnad och utredning
7. säkerhetsoperation
8. fysisk (miljömässing) säkerhet
9. säkerhetsarkitektur och design
10. telekommunikations- och nätverkssäkerhet




Adress: ODIT; Sågstuvägen 2F, 141 49 Huddinge
Tel: 08-449 72 29 . Fax: 08-437 48 731
E-post: posta@odit.se