När du tar datasäkerhetsfrågor på allvar






 Startsida
 Tjänster
 Kunder
 Kontakt
 Utbildning
-------------------

ODIT

E-mail: posta@odit.se

Tel:
08-449 72 29


Mobil:
070 521 69 25

 

Vi ser helheten men gräver på djupet



Riskanalys är en grundbult i IT/informations- och kommunikationssäkerhetsarbete

- Vi hjälper dig välja lämplig metod och strategi som är anpassade för din verksamhet och organisationskultur och -miljö
- Vi genomför analyser på verksamhet, kritiska system och nätverk

SÄKERHETSANALYS
Säkerhetsanalys är en ständig och systematisk process av riskidentifiering, riskanalys, riskutvärdering samt riskbehandling. Processen fokuserar på säkerhetsrelevanta aspekter

SÅRBARHETSANALYS
Sårbarhetsanalys är den process som definierar, identifierar och kartlägger samt klassificerar säkerhetshålen i resurs, nätvek eller i IT- och kommunikationsinfrastruktur. Sårbarhetsanalys frambringar även granskning och utvärdering av skyddens effektivitet.

HOTANALYS
Hot beskrivs som möjlig, oönskad händelse med negativa konsekvenser för verksamheten. Kan även beskrivas som möjlig orsak av en incident som kan resultera i skada för system eller organisationen.

Hotanalys handlar om identifiering av vilka hot som kan finnas och vem eller vad som kan tänkas utlösa dessa hot, samt vilka resurser samt vilken tid och kompetens som en angripare kan tänkas disponera (ITS 6).

De 10 största hoten mot datasäkerhet är:


1. Penetrering av system och brandvägg
2. Skadlig eller illasinnad kod: virus, mask, trojansk häst, tidsbomb, logisk bomb, kanin, bakterie, hoax
3. DoS attack /överbelastningsattack; mailbombning
4. Systempassords-attack
5. Spoofing-, sniffing- och fragmenterings-attack
6. Social engineerings-attack
7. Lättgissat passord
8. Systemkrångel
9. Mänskliga misstag
10. Fysiska eller miljömässiga hot


RISKANALYS
Process som identifierar säkerhetsbrister, fastställer deras innebörd och identifierar skyddsåtgärder (ITS6)

Riskanalys har fyra huvudsakliga mål:

- att identifiera tillgångarna och uppskatta deras värde

- att identifiera sårbarheter och hoten

- att kvantifiera sannolikheten och verksamhetens konsekvens av dessa potentiella hot

- att tillhandahålla en ekonomisk balans mellan hotens konsekvens och skyddens kostnader

Målet med riskanalys är att förse verksamheten med bästa möjliga information om:
- de hoten man är utsatt eller kan utsättas för
- hur ser hoten ut? hotens karaktär
- omfattning av den potentiella skadestånd?

Följande bör man ha i beaktande vid riskanalys
- vilka resurser/tillgångar vill man skydda?
- vilka ska man skydda resurser ifrån?
- hur ser hoten ut?
- vilka åtgärder ska man tillämpa för att skydda verksamheten/tillgångar på ett kostnadseffektivt sätt?

Uppgifter som bör ingå i en riskanalys är:
- avbrott eller skada på fysisk enhet
- konsekvenser i form av förlorade intäkter/rykte eller annat
- ansvar inför kunder/partner
- sjukdom eller otillgänglig personal
- annat?

Upprätta en strategi för riskanalys. Strategin skall:
- innehålla verktyg som effektivt belysa risker - fokusera på säkerhet
- möjliggör en metod för tids- och kostnadseffektivitet

DET FINNS FYRA STRATEGIER ATT VÄLJA EMELLAN:

1. Grundläggande riskanalys

    fördelar
    - inga extra resurser behövs
    - spar tid
    - samma eller liknande skydd anpassa till
      flera system
    nackdelar
    - om grundnivå är hög, kan säkerheten  
      för vissa system bli kostsam
    - om grundnivå är för låg, blir säkerheten
      inte tillräcklig
    - kan vara svårt att hantera säkerheten i
       ändringar

2. Informell riskanalys

    fördelar
    - inga ytterligare kunskaper behövs
    - snabbare än detaljerad riskanalys
    - kostnadseffektiv
     nackdelar
    - ökad försummelse av risker
    - resultatet kan påverkas på ett subjektivt
        synsätt

    - låg motivation för val av skyddsåtgärder

 

 

 

3. Detaljerad riskanalys

    fördelar
    - säkerhetsnivå för varje systems
       säkerhetsbehov
       identifieras    
    - nyttig information för säkerhetshantering
    nackdelar
    - komplicerad och tidsödande

4. Kombinerad riskanalys

    fördelar
    - resurser används där de bäst gör nytta
    - högrisksystem kan analyseras
    nackdelar
    - kan generera felaktigt resultat