Självreglering eller lagstiftning : inom informationssäkerhet

Tegré, Malin, Eriksson, Marika

January 2005

<p>Självreglering inom olika marknader är inte någon ny idé, utan har funnits under lång tid i Sverige och internationellt. Självreglering går i korthet ut på att på frivillig grund skapa normer som på olika sätt säkrar kvaliteten för producerade varor och tjänster. Det kan till exempel handla om etiska regelverk och rekommendationer från branschorganisationer. Genom att branscher kontrollerar sig själva kan tilliten hos kunderna öka. Med dagens utveckling mot ett allt starkare informationssamhälle, ökar också kraven på informationsteknologin och dess säkerhet. Då informationssäkerhet är ett förhållandevis nytt område är det viktigt att se på hur styrning och reglering av den fortsatta utvecklingen kan ske på ett fördelaktigt sätt. Syftet med denna uppsats är att undersöka förutsättningarna för effektiv reglering av informationssäkerhetsområdet genom att ställa de två alternativen självreglering och lagstiftning mot varandra. Empirin har hämtats från olika rapporter, utredningar och dylikt, men framförallt utifrån intervjuer. För att få ytterligare verklighetsförankring har vi även genomfört en fallstudie utifrån ett pågående utvecklingsarbete med ett möjligt självregleringsverktyg för informationssäkerhet. Vi har utifrån vår analys fått insikt i hur både självreglering och lagstiftning har sina för- och nackdelar. Med utgångspunkt i resonemangen kring dessa anser vi att det mesta talar för att en kombination av självreglering och lagstiftning är den bästa lösningen. Vi ser att lagstiftning bör nyttjas för specifika delområden men inte för en lägsta nivå av informationssäkerhet. Denna övergripande nivå bör istället näringslivet styra genom självreglering. För att kombinationen självreglering och lagstiftning ska vara realiserbar anser vi att det bör finnas en öppen dialog mellan lagstiftare och näringsliv där de lyssnar till varandra, samtidigt som hela samhällets behov behöver tas i beaktan och inte enbart de enskilda aktörernas.</p>

Informatik, data- och systemvetenskap

Självreglering

lagstiftning

informationssäkerhet

Informatik, data- och systemvetenskap

Riskhanteringens utmaning : En studie som identifierar svenska organisationers riskhantering avseende informationssäkerhet samt dess prioritering. / The challenge of Risk Management : A study on Risk Management regarding information security in Swedish organizations and their priorities

Tehrani, Amir, Siwetz, Clara

January 2007

Background: Risk Management plays an important part of the enterprises strategic business activity. Efficient Risk Management will secure the businesses survival, assets and creates market advantages. The interest of information security has consequently gained in Swedish corporations. Corporations have realized the importance of the information which is stored in the IT systems. IT is the tool for businesses future progress and growth and therefore a source of risks. For managing these risks standards and frameworks are needed. To what extent are information security standards and frameworks used in Swedish organizations? Are information security integrated with operational Risk Management? Purpose: The purpose of this study is to identify the Risk Management regarding information security in the studied organizations and to recognize the priority of information security. Method: The main part of this study is based on case studies including four Swedish organizations, with the purpose to identify the Risk Management regarding information security in these organizations. The study is also added with a complementary survey carried out on Large Cap corporations on the Nordic exchange. The later survey will create a more general apprehension. Conclusions: Findings shows that the Swedish organizations have realized the importance of standards and frameworks and the accompanying benefits. The main elements for using standards and frameworks are - better control, identification of business opportunities and gained security. The findings also suggested that the organizations should invest more resources in integrating information security with Risk Management and on the executive management involvement.

Risk Management

Information Security

Operational risks

Standards

Frameworks & Regulations

Riskhantering

Informationssäkerhet

Operationella risker

Standarder

Ramverk

Regelverk.

Business studies

Företagsekonomi

ARGOS – En konceptuell säkerhetsmodell för en serviceorienterad affärsmiljö / ARGOS – A conceptual security model for service oriented business environments

Hallin, Mattias, Johansson, Mats

January 2005

Organisationer ställs numera inför ökade krav på förändring och förnyelse i sitt affärsgörande. Det medför samtidigt nya krav på de affärsstödjande IT-system som befinner sig i organisationen vilka måste klara de högre kraven på anpassning i samband med en förändring av organisationen och affärsprocesserna. För att kunna uppnå de nya kraven på flexibilitet och lös koppling som verksamheten ställer på systemen realiserar nu alltfler service-orienterade arkitekturer vilket innebär att delarna i systemen utvecklas som tjänster, levererade efter behov och konsumerade på begäran. Affärsgörandet i den service-orienterade miljön kräver tillit till både miljön och transaktionerna. Vi menar att det är först när aktörernas trygghetsbehov är tillfredsställt som förutsättningar finns att aktörerna känner ett intresse eller en vilja att delta i den öppna miljöns olika affärsaktiviteter. Affärsvärdet som kommuniceras i miljöns interaktioner bestämmer till stor del säkerhetsbehovet och därmed säkerhetsarkitekturens utformning. För att kunna säkra den öppna miljö där tjänsterna brukas och affärsinteraktionerna sker ser vi ett behov av en säkerhetsmodell som är tillräckligt flexibel för att inte inverka hämmande på serviceorienteringens grundläggande principer såsom dynamik och flexibilitet i arkitekturen eller på autonomin för inblandade aktörer och tjänster. Denna modell kan genom att lyfta fram viktiga aspekter som bör beaktas utgöra ett stöd för dem som arbetar med att utforma, nyttja eller förvalta säkra service-orienterade affärsmiljöer. Vi har funnit att det finns en mängd olika service-orienterade affärsmiljöer vilka delar vissa grundläggande egenskaper. Ett exempel på denna typ av gemensam egenskap är lös koppling mellan autonoma och heterogena agenter. I affärsmiljön kan det råda förhållanden som sträcker sig från en-till-en ända till många-till-många.

Informatics

computer and systems science

Informatik

data- och systemvetenskap

Serviceorientering

informationssäkerhet

säkerhetsmodell

affärsmiljö

säkerhetsarkitektur

säkerhet

Informatik, data- och systemvetenskap

IT-säkerhetsevaluering i ackrediteringssyfte inom det svenska försvaret. / IT Security Evaluation for Accreditation purpose in the Swedish defence.

Andersson, Magnus

January 2004

Detta examensarbete har genomförts på uppdrag av Försvarets Materielverk (FMV). Det påstås att evaluering av komplexa/sammansatta system är svårt, om inte omöjligt. Common Criteria (CC) är en ISO/IEC-standard för evaluering av produkter och system. Även Information Technology Security Evaluation Criteria (ITSEC) används för samma ändamål. Jag har undersökt vad som är möjligt och denna uppsats beskriver alternativa evalueringslösningar med hjälp av CC/ITSEC, dock primärt enligt CC; där fokus hela tiden vilar på ackreditering av system och produkter inom det svenska försvaret. Metoden som används bygger på kvalitativ och utredande analys vilken baseras på empirisk kunskap inhämtad från nyckelaktörer på marknaden samt en teoretisk referensram vilken utgörs av nyckelstandarder och för arbetet/uppsatsen relevanta dokument. Jag har undersökt SYSn och FTA vilka är två ytterst intressanta lösningar för två olika typer av evalueringssituationer vid informell evaluering. Båda lösningarna fokuserar på systemevalueringar men produktevalueringar stöds även de. SYSn och FTA är framtagna av UK:s myndighet CESG vid GCHQ. SYSn är en mer pragmatisk, kostnadseffektiv, snabb (med avseende på total evalueringstid) och flexibel lösning än existerande formella CCoch ITSEC-lösningar. Samtidigt bygger SYSn på CEM vilket gör att SYSn åtnjuter många av CC:s och CEM:s fördelar med avseende på bland annat återanvändbarhet och god struktur. SYSn erbjuder motsvarande assurans som CC: s EAL (SYS2 ≈ EAL2, SYS3 ≈ EAL3, SYS4 ≈EAL4).. Spårbarhet gällande utfall, testprocedurer, använd metodik etc. bibehålls. FTA å andra sidan är ett avsevärt snabbare evalueringsinstrument där avkall på återanvändbarhet, struktur, dokumentation och förtroende görs. FTA är en lösning vilken fokuserar på best effort och ger inga direkta garantier om assuransnivåer etc. När det är ont om tid och inget certifikat eller ett formellt utlåtande för evalueringsresultatet efterfrågas är FTA en tilltalande lösning. Evaluering genomförs i enlighet med Fast Track Assessment Methodology (FTAM).

Technology

System

Common Criteria

ITSEC

Evaluering

Certifiering

Ackreditering

IT-Säkerhet

Informationssäkerhet

SYSn

FTA

CCRA

SOGIS-MRA

FMV

TEKNIKVETENSKAP

TECHNOLOGY

TEKNIKVETENSKAP

Framtagning av en informationssäkerhetspolicy

Nordström, Roger

January 2005

<p>This report was made for the company HordaGruppen AB to investigate how information security was handled. This report fits in the Master program of Internet Technology at School of Engineering in Jönköping University in Sweden.</p><p>The question at issue was how you protect your information against different threats. One question was how to make an information security policy and which guidelines you can follow in the Swedish Standard, SS-ISO/IEC 17799:2000.</p><p>Another question was to investigate the information sources at the company and which threats there are against it.</p><p>The work begins with a presentation about information security for the chief of information and the chief of quality in the company. The next thing was to do a survey of as thing are at present with a tool from Länsteknikcentrum called “Infosäkpulsen”. After the analysis was made of the survey, two reports were present with action plan for better information security for the company. The most important measures were of administrative kind and consist of a risk analysis of information resources and to make an information security policy with instructions for the users.</p><p>The risk analysis was made with the tool BITS from Krisberedskapsmyndigheten and the consequence was that base level for IT-security was enough for the company.</p><p>To fulfil the demand from the analyses so was an information security policy made and after that so create we information security instructions for the different kind of user group. One instruction was for ordinary users and the other was for management users.</p><p>Besides the part with policy and instructions so recommend the company to initiate incident management and register all kind of changes in their IT-system.</p><p>For further research it suggests to investigate how different standards can integrate to be only one standard that fulfils the goals in quality, environment and security standard</p> / <p>Rapporten var gjord som examensarbete på HordaGruppen AB och ingår i Breddmagisterprogrammet i Internetteknik på Ingenjörshögskolan i Jönköping.</p><p>Problemställningen som rapporten handlar om är hur man skyddar företagets information mot olika sorters hot. Frågeställningen var dels hur man tar fram en informationssäkerhetspolicy och vilka riktlinjer det finns i svensk standard för informationssäkerhet. Frågeställningen skulle också ta reda på företagets informationstillgångar och vilka hot det fanns mot dessa.</p><p>Arbetets inleds med en presentation på företaget om informationssäkerhet för Kvalitetschefen och IT-ansvarig. Därefter görs en nulägesanalys över informationssäkerheten med hjälp av verktyget Infosäkpulsen, en enkätundersökning från Länsteknikcentrum i Jönköping AB. Efter att svaren samlats in så sammanställdes en åtgärdsrapport och presenterades för företaget. De åtgärder som ansågs mest aktuella var av det administrativa slaget och bestod i att riskanalysera informationstillgångarna och att ta fram en informationssäkerhetspolicy med anvisningar för användarna.</p><p>Riskanalysen gjordes med verktyget BITS från Krisberedskapsmyndigheten och resulterade i att basnivå för it säkerhet räckte överlag för företaget.</p><p>För att uppfylla kraven från analyserna så togs en informationssäkerhetspolicy fram och därefter skapades informationssäkerhetsanvisningar till användare och till drift och förvaltning för att kunna uppfölja policyn.</p><p>Förutom att följa policyn och anvisningarna så rekommenderas företaget att införa incidenthantering och öka spårbarheten genom att dokumentera vilka ändringar som görs i IT-systemen. Ett uppslag för fortsatt arbete skulle kunna vara att integrera de olika standarderna till en anvisning som uppfyller målen för både kvalitet, miljön och säkerheten.</p>

Datasäkerhet

Informationssäkerhet

IT-policy

Riskanalys

Svensk Standard SS-ISO/IEC 17799

Policy

ITIL

LIS

Computer and systems science

Data- och systemvetenskap

Smarta Kort : En del av en intelligent IT-lösning i hälso- och sjukvården?

Isaksson, Johanna, Sanne, Therése

January 2006

<p>Background: IT-security is included in the concept of information security, which considers all the security of handling information within an organisation. Good IT-security is about finding the right level of measurement, however, it is hard to implemement new IT-solutions in an organisation, particularly within the health care field, where sensitive information are handled daily. Lately the Swedish government, together with county- and city council, understand the importance of IT and health care. Carelink, an organisation of interest, is working actively for the presumption of benefit by using IT within the health care field. During spring 2006 the Swedish government introduced a national IT-strategy. SITHS, Säker IT inom Hälso- och sjukvården, is a project running by Carelink and is based upon using Smart Cards as an identification. Smart Cards can be used as accesscards for logging on to a computersystem in an organsiation in order to secure an indentity.</p><p>Purpose: The purpose with this thesis is to investigate the assumptions for how Smart Cards, as a part of a total security solution, can increase the ITsecurity within the Healt Care field.</p><p>Method: The study was initiated with literature and suitable references to informationssecurity, Smart Cards and Healthcareinformatic. Our empirical study was carried out at Ryhov Hospital in Jönköping, one of Sweden’s newest hospitals. Both qualitative and quantitative studies were conducted, because we chose to do interviews and surveys. The interviews were conducted in order to get a deeper understanding for the organisation and the survey was made in order to investigate the attitudes among the nurses and doctors about the security of computer use.</p><p>Result: Smart Cards can, according to our studie, increase the IT-security within the Health Care field by creating a safer identification with the use of ITsupport. Smart Cards can also make the process of logging on and off to a computer system easier, which leads to better logging and mobilisation. The study also demonstrates that users are not afraid of the changes a smart card will represent within their organization.</p> / <p>Bakgrund: IT-säkerhet ingår i begreppet informationssäkerhet som avser all säkerhet vid hantering av information inom en organisation. God IT-säkerhet handlar om att hitta rätt nivå med tillhörande åtgärder och nya IT lösningar, men detta är inte enkelt att införa i organisationer och speciellt inte i vården som dagligen hanterar känslig information. Under senare år har regeringen tillsammans med landsting och kommuner fått upp ögonen för vilken nytta IT kan utgöra inom vården. Intresseorganisationen Carelink arbetar aktivt för att skapa förutsättningar att använda IT inom vården, och under våren 2006 har även regeringen presenterat en Nationell IT-strategi. Projektet SITHS, Säker IT inom Hälso- och Sjukvården, drivs av Carelink och bygger på att använda smarta kort som säker identifikation. Korten kan bland annat användas som passerkort och vid inloggning till ett datasystem för att säkerhetsställa en identitet.</p><p>Syfte: Syftet med denna uppsats är att undersöka förutsättningarna för hur smarta kort, som en del av en total säkerhetslösning, kan förbättra IT-säkerheten inom hälso- och sjukvården.</p><p>Metod: Studien påbörjades med en genomgång av lämplig litteratur om informationssäkerhet, smarta kort samt vårdinformatik. Den empiriska studien utfördes sedan på Länssjukhuset Ryhov i Jönköping, som är ett av Sveriges nyaste sjukhus. Här genomfördes både kvalitativa och kvantitativa studier, då vi valde att göra ett antal intervjuer samt en enkätundersökning bland vårdgivarna. Intervjuerna gjordes för att få en djupare förståelse för organisationen, och enkätundersökningen för att undersöka attityderna till dagens datoranvändning samt hur säkerheten kring datoriseringen upplevs bland de anställda.</p><p>Resultat: Enligt studien kan smarta kort förbättra IT-säkerheten inom hälso- och sjukvården genom att skapa en säker identifiering vid användning av ITstöd. Smarta kort kan även bidra till en förenklad in- och utloggningsprocess i ett datorsystem, vilket i sin tur leder till bättre spårbarhet samt ökad mobilitet bland användarna. Undersökningen visar att majoriteten av användarna inte är emot den förändring ett smart kort kan bidra till, utan snarare tvärt om.</p>

Smart Cards

Information security

IT-security

IT-strategy

Smarta kort

Aktiva kort

Informationssäkerhet

Nationell IT-strategi

Informatics

Informatik

ARGOS – En konceptuell säkerhetsmodell för en serviceorienterad affärsmiljö / ARGOS – A conceptual security model for service oriented business environments

Hallin, Mattias, Johansson, Mats

January 2005

<p>Organisationer ställs numera inför ökade krav på förändring och förnyelse i sitt affärsgörande. Det medför samtidigt nya krav på de affärsstödjande IT-system som befinner sig i organisationen vilka måste klara de högre kraven på anpassning i samband med en förändring av organisationen och affärsprocesserna. För att kunna uppnå de nya kraven på flexibilitet och lös koppling som verksamheten ställer på systemen realiserar nu alltfler service-orienterade arkitekturer vilket innebär att delarna i systemen utvecklas som tjänster, levererade efter behov och konsumerade på begäran.</p><p>Affärsgörandet i den service-orienterade miljön kräver tillit till både miljön och transaktionerna. Vi menar att det är först när aktörernas trygghetsbehov är tillfredsställt som förutsättningar finns att aktörerna känner ett intresse eller en vilja att delta i den öppna miljöns olika affärsaktiviteter. Affärsvärdet som kommuniceras i miljöns interaktioner bestämmer till stor del säkerhetsbehovet och därmed säkerhetsarkitekturens utformning.</p><p>För att kunna säkra den öppna miljö där tjänsterna brukas och affärsinteraktionerna sker ser vi ett behov av en säkerhetsmodell som är tillräckligt flexibel för att inte inverka hämmande på serviceorienteringens grundläggande principer såsom dynamik och flexibilitet i arkitekturen eller på autonomin för inblandade aktörer och tjänster. Denna modell kan genom att lyfta fram viktiga aspekter som bör beaktas utgöra ett stöd för dem som arbetar med att utforma, nyttja eller förvalta säkra service-orienterade affärsmiljöer.</p><p>Vi har funnit att det finns en mängd olika service-orienterade affärsmiljöer vilka delar vissa grundläggande egenskaper. Ett exempel på denna typ av gemensam egenskap är lös koppling mellan autonoma och heterogena agenter. I affärsmiljön kan det råda förhållanden som sträcker sig från en-till-en ända till många-till-många.</p>

Informatik, data- och systemvetenskap

Serviceorientering

informationssäkerhet

säkerhetsmodell

affärsmiljö

säkerhetsarkitektur

säkerhet

Informatik, data- och systemvetenskap

Social-engineering ett hot mot informationssäkerheten?

Palmqvist, Stefan

January 2008

<p>Den här rapporten tar upp ett annorlunda hot mot informationssäkerheten, som inte hårdvara</p><p>eller mjukvara kan stoppa. Detta hot kallas för social-engineering, och det som gör detta hot</p><p>farligt är att de anställda och chefer i en organisation, kan hjälpa utövaren av socialengineering</p><p>utan att de själva vet om det.</p><p>Det går inte att förhindra att dessa attacker sker, men man kan förhindra de negativa</p><p>konsekvenserna av en sådan attack. Denna rapport tar upp hur man ska göra för att en</p><p>organisation ska kunna fortsätta med sin verksamhet, efter en attack av social-engineering. I</p><p>värsta fall kan en attack av social-engineering innebära att ett företag aldrig återhämtar sig.</p><p>Detta kan bero på att organisationen har förlorat alla sina kunder, förlorat marknads andelar,</p><p>eller för att de ansvariga och viktiga personerna i organisationen har blivit dömda för</p><p>oaktsamhet och sitter i fängelse.</p><p>Denna rapport ska informera och få er att vara uppmärksamma och medvetna om dessa</p><p>hot, som ni kanske inte vet finns. Ni ska få kunskap och lära er känna igen de olika</p><p>förklädnaderna en utövare av social-engineering antar.</p> / <p>This paper discusses a different threat against information security, which can not be</p><p>prevented by either hardware or software. This Threat is called social engineering and the</p><p>main issue that makes this threat so dangerous is that the victims, like executives and the</p><p>employees in an organization are not aware that they actually helps the practician of social</p><p>engineering.</p><p>These attacks can not be avoided, but there is a way to prevent negative consequences of</p><p>such an attack. This paper discusses how an organization can manage to continue with the</p><p>activity, despite an attack of social engineering. In worse case the scenarios of an attack of</p><p>social engineering can mean that an organization never fully recovers. The different scenarios</p><p>of this can be as following. The organization could lose all the clients, they could have lost</p><p>market share or the responsible important people in the organization could be convicted and</p><p>sent to jail.</p><p>This paper will make you aware of these threats that you might even don’t know exists.</p><p>You will be given the knowledge to be able to recognize de different disguises a practician of</p><p>social engineering can assume.</p>

social engineering

information security

hacker

policy for security work

risk

social-engineering

informationssäkerhet

hacker

säkerhetspolicy

riskanalys

Computer science

Datalogi

GDPR och dess påverkan vid systemutveckling : Riktlinjer för en säkrare kravspecificering.

Kinell, Alfred, Löfberg, Carl

January 2018

Syftet med denna uppsats är att undersöka vilka nya krav som kan tänkas uppstå i och med det nya dataskyddsdirektivet, och hur uppfyllandet av dessa krav kan underlättas, i form av riktlinjer utformade för att säkerställa en systemutveckling i enlighet med de säkerhets- och integritetskrav som ställs i och med GDPR. De behov och kravområden som identifierats, har sedan kategoriserats och konkretiserats i form av riktlinjer som skall kunna användas då personuppgifter hanteras. För att belysa hur GDPR kan förändra kravbilden har främst “Privacy by Design”, kravspecificering, samt de allmänna juridiska förändringar GDPR kommer att innebära studerats. För att besvara uppsatsens syfte och frågeställningar har en studie baserad på främst semistrukturerade intervjuer utförts. Detta för att identifiera potentiella nya krav som kan tänkas uppstå i och med det nya dataskyddsdirektivet. Med avstamp i teorin, samt intervjuunderlaget har sex stycken kategorier tagits fram. Dessa är samtycke, Privacy by Design, rätten att bli meddelad om intrång, rätten att bli glömd, dataportabilitet samt rätten till åtkomst. Dessa kategorier har sedan legat till grund för de riktlinjer som utgör resultatet av detta arbete.

GDPR

Privacy by Design

Personlig integritet

Krav

Kravspecifikation

Kravhantering

Agil

Dataportabilitet

Personuppgifter

Datalagring

Informationssäkerhet

Information Systems

Lösenordshantering : Är lösenordspolicyn i en verksamhet tillräcklig för att de anställda ska bedriva säker lösenordshantering enligt ISO-standarder?

Soliman, Galal

January 2018

Lösenord är en viktig del av informationssäkerhet och fungerar som primär autentiseringsmetod för att skydda användarkonton.  Syftet med denna studie är att ta reda på hur väl en verksamhets anställda följer verksamhetens lösenordspolicy och undersöka om lösenordshanteringen sker på ett accepterat och godkänt sätt utifrån ett säkerhetsperspektiv i enlighet med ISO-standarder. Metoden har bestått av en enkätundersökning och intervjuundersökning vars resultat jämförts med relevanta riktlinjer från ISO-standarder och verksamhetens lösenordspolicy, en riskanalys och utvecklandet av ett verktyg för att memorera lösenord. Resultat visade brister på säker lösenordshantering bland verksamhetens anställda. Genom analysen har en rad åtgärder framtagits för att upprätta, återställa och förbättra lösenordshanteringen samt förebyggande åtgärder för den lösenordshantering som redan är godkänd. De slutsatser som dragits utifrån denna studie är att det finns ett behov för förbättring av lösenordshanteringen och utifrån behovet har förslag på både åtgärder och förebyggande åtgärder tagits fram. / Passwords are an important part of information security and works as a primary authentication method to protect user accounts. The purpose of this study is to investigate how an organisation’s employees follow the password policy and investigate if the password management is executed in an acceptable fashion from a security perspective and according to ISO standards. The method consisted of a survey, interviews of which the results has been compared to ISO standards guidelines and the organisation’s password policy, a risk analysis and a development of a tool to memorize passwords. The result showed insufficiency in the password management of the employees. Thru the analysis several actions have been found to constitute, restore and improve the password management and also preventing actions to keep the password management that is already sufficient. The conclusions are that there is a need for improvement of the password management and from these needs proposals for actions have been extracted.

password

password habits

password management

password policy

information security

web development

lösenord

lösenordsvanor

lösenordshantering

lösenordspolicy

informationssäkerhet

webbutveckling

Computer Engineering

Datorteknik