Peter Larsson - Security Professional informs scientists and researchers about laws, rules, regulations and Information Security that is VITAL for any researcher to implement.
8. www.gu.s
e
MSB – Swedish Civil Contingencies Agency
Regulations on information security at government authorities
(MSBFS 2009:10) it states:
• government authorities must apply a management system for information
security.
• Agencies should work in a ”structured way”
• Policies and other governing documents
• requirement for authorities to classify their information,
• to identify and manage risks,
• and to continually evaluate and improve their security.
”Good Information Security” is a tool to comply with rules and regulations
9. www.gu.s
e
GU:s rules for IT Security
• Everyone is responsible for the security within their role and
function.
• Regulations for IT-security are there to support
- Rules for use
- Information classification
- Procurement of systems and system development
- Operation and Maintanence
- Security Measures for IT equipment and systems
http://www.sakerhet.gu.se/
12. www.gu.s
e
• the classification provides guidance for how information should be
managed.
• One way to reach ”correct” level of security measures.
• All information does not need the same amount of protection
Why do we need to classify information?
13. www.gu.s
e
Criteria for information classification
• Confidentiality refers to the information not being made
available or revealed to unauthorised persons.
• Integrity refers to the information not being amended or
corrupted unintentionally, or by unauthorised persons.
• Availability refers to the information being available to
authorised users when needed.
15. www.gu.s
e
Information Classification
• Information classification should ensure that the information is
assigned an appropriate level of protection. Also consider, the
consequences if information would be lost, changed, handled
incorrectly or end up in the wrong place.
• The owner of the information is responsible for the
classification.
• A systemowner is responsible for classifying their system
• Classification is done by the criteria confidentiality, integrity
and availability.
18. www.gu.s
e
How do I protect my information?
• Classify your information and decide access rights
• Save your information on a server that is in a protected
environment
• Don’t create your own wireless networks
• Protect (lock valuable information when leaving).
• Are there strangers in the premises. Say hello!
• Consider how printers are placed. Could anyone that is not
suitable obtain (or read) the information?
• Consider what kind of paper you are throwing in recycle
19. www.gu.s
e
The portable information
• Do not leave the computer in the car, on the bus and so on.
• Working from home? Use VPN or other secure connection.
• USB, is EASY to loose and forget
• Make sure to backup if you are not connected to the network or
central repository.
• Travel security: USA can confiscate your machine in customs.
Det vi har lyssnat till hittills i eftermiddag rör i mångt och mycket lagar och förordningar som styr vad vi måste tänka på då vi jobbar här på myndigheten GU. Så var kommer informationssäkerheten in i det hela då? Finns det lagar för det också? Det finns föreskrifter. Byt bild.
Det vi har lyssnat till hittills i eftermiddag rör i mångt och mycket lagar och förordningar som styr vad vi måste tänka på då vi jobbar här på myndigheten GU. Så var kommer informationssäkerheten in i det hela då? Finns det lagar för det också? Det finns föreskrifter. Byt bild.
Det vi har lyssnat till hittills i eftermiddag rör i mångt och mycket lagar och förordningar som styr vad vi måste tänka på då vi jobbar här på myndigheten GU. Så var kommer informationssäkerheten in i det hela då? Finns det lagar för det också? Det finns föreskrifter. Byt bild.
Det vi har lyssnat till hittills i eftermiddag rör i mångt och mycket lagar och förordningar som styr vad vi måste tänka på då vi jobbar här på myndigheten GU. Så var kommer informationssäkerheten in i det hela då? Finns det lagar för det också? Det finns föreskrifter. Byt bild.
Det vi har lyssnat till hittills i eftermiddag rör i mångt och mycket lagar och förordningar som styr vad vi måste tänka på då vi jobbar här på myndigheten GU. Så var kommer informationssäkerheten in i det hela då? Finns det lagar för det också? Det finns föreskrifter. Byt bild.
Det vi har lyssnat till hittills i eftermiddag rör i mångt och mycket lagar och förordningar som styr vad vi måste tänka på då vi jobbar här på myndigheten GU. Så var kommer informationssäkerheten in i det hela då? Finns det lagar för det också? Det finns föreskrifter. Byt bild.
Det vi har lyssnat till hittills i eftermiddag rör i mångt och mycket lagar och förordningar som styr vad vi måste tänka på då vi jobbar här på myndigheten GU. Så var kommer informationssäkerheten in i det hela då? Finns det lagar för det också? Det finns föreskrifter. Byt bild.
Bakgrunden till föreskrifterna är att företag och vi medborgare ska känna tillit till hur myndigheter hanterar information och inte minst att samverkande myndigheter ska känna förtroende då vi utbyter information. När det gäller forskningsverksamhet så kan det ju vara så att ni får ta del av sekretessbelagda handlingar t ex från Socialstyrelsen, VGR, Försäkringskassa. De ska kunna lämna ut information till er och känna sig trygga med det.
Ett verktyg för att uppfylla andra lagar: PuL säger inget om hur man ska skydda känsliga personuppgifter t ex.
Varför heter det helt plötsligt IT-säkerhet? När vi tog fram reglerna låg fokus på IT- resurserna och begreppet informationssäkerhet var inte lika vedertaget. Vi skulle kunna byta ut rubriken och behålla innehållet.
Det jag ska prata om idag som rör regelverket är informationsklassning eftersom det är något som är väldigt viktigt just i forskarvärlden. Ibland kommer jag att säga IT-säkerhet och ibland informationssäkerhet. IT- säk är en väsentlig del av infosäk men inte allt. Det handlar om att skydda information i alla dess former.
Jag ska åskådliggöra det med nästa bild.
Vad är information? Det är ett yvigt begrepp men för er så är information detsamma som forskningsdata/ -resultat. Och det kan ju också ta sig många olika former.
I digital form på en server, eller någon mera bärbar manick (laptop, telefon).
I fysisk form på ett USB, CD etc eller papper.
För att inte tala om hur mycket information som finns hos oss medarbetare. Så om vi betänker skillnaden mellan IT- säkerhet och informationssäkerhet så förstår ni att allt detta inte kan skyddas med hjälp av IT-lösningar.
Informationsklassning är ett viktigt led i att skydda en organisations information. Om man inte vet vilket information man har och hur viktig den är för verksamheten så är det svårt att veta hur man ska skydda den.
Ni har fått ut riktlinjerna.
Klassningen ger en vägledning hur vi ska hantera informationen: Vilka ska kunna ta del av den, inom och utom organisationen? Hur kan den överföras mellan olika system? Kan jag bära med mig den på en bärbar dator?
Alla skyddsåtgärder är kopplade till en prislapp. Viktigt att lägga krutet där det behövs. Jag ska prata mera om vad jag menar med skydd.
Det här är kriterier för informationssäkerhet och det är även krav vid informationsklassning.
Konfidentialitet Hur hemligt är något.
Riktighet brukar vara extremt viktigt i forskarvärlden. Resultat ska ju inte kunna ifrågasättas.
Tillgängligheten brukar alla tycka är viktig men den måste ju ställas i relation till de övriga kraven.
Det måste finnas en informationsägare. Rent praktiskt blir det den som har det övergripande ansvaret för informationen i en funktion. Det här måste man ta ställning till . På en avdelning är det avdelningschefen, i ett projekt är det PL.
I många fall kan det vara samma person som är informationsägare och systemägare.
Den balansgången måste man klara av bl a med att kunna avgöra vad som är rätt slags information att dela med sig av.
Det är forskaren som avgör vad som han vill dela med sig av. Det är bara han som känner till konsekvenserna.
Det här är en gammal rubrik men det skulle lika gärna kunna hända idag. Av den enkla anledningen att har man sin forskning på ett enda ställe och det stjäls då är det borta.
Det samma gäller här. Förutom den personliga tragedin att förlora flera års arbete; i ett större perspektiv så måste man börja om och resultatet kommer inte mänskligheten till gangn på flera år och ”Flera miljoner kronor har satsats”……. Så någon finansiär var nog väldigt missnöjd.
Nu har jag ägnat halva tiden åt att skrämmas så det är kanske dags för lite goda råd!
Klassa informationen- fundera över vilka guldägg ni har och vem som har tillgång till dem
Skyddad miljö- är en för ändamålet avsedd servermiljö. Det är inte en skrubb eller ett ordinärt kontorsrum. Rent fysiskt så är det ingen bra temperatur där och det är också lätt att stjäla.
Egna LAN- Det är inte tillåtet enligt GU:s regler. Finns det en brandvägg där ni sitter kan era LAN bli en väg in bakom den brandväggen. Det är alldels för lätt att sätta upp ett eget trådlöst.
Lås in information- Merparten av de stölder som sker här på GU sker på dagtid då vi går på lunch eller fikar. Stoppa undan, lås dörrar och använd wirelås. Och då är vi inne på nästa punkt om främmande personer. Det är inga lodisar som smyger omkring på dagtid.
Returpapper- Använd sekretesskärl där du även kan slänga digitala minnesmedia.
VPN- Det finns instruktioner på ITS webbsida eller kontakta 2020.
USB- Om ni gjort er infoklassning så vet ni vilken information som inte ska bäras omkring på.
Säkerhetskopiering- det här funkar väldigt olika inom GU. I den centrala lagringstjänsten på GU ingår säkerhetskopiering. Men alla är inte anslutna till den. Så ta reda på hur det fungerar hos er. Om det finns en verksamhetsspecifik lagring. Man ska tänka sig för ordentligt innan man använder en molntjänst som säkerhetskopiering.
Säkerhetskopiera om du inte har möjlighet att arbeta direkt mot nätverket.