2019 tenta egna svar Flashcards
COBIT (ramverk för IT-styrning, populärt bland många företag)
- Skillnad mellan styrning och ledning i kontexten?
Styrning
- Består/fastställa strategiska mål, riktlinjer, strategier, policys som därefter organisationen följer, utformas av ledningen av verksamheten eller att ledningen väljer standarder som de beslutar att följa
- Styrning svara på frågan VAD som ska göras
Ledning
- Hur en verksamhet(eller ledningen i verksamheten) väljer att genomföra dom utformade riktlinjerna
- Ledning svarar på frågan HUR det ska göras
NIST – Risk Management Framework (RMF) består av följande 6 steg:
‘Categorize, Select, Implement, Assess, Authorize och Monitor. Förklara kortfattat varje enskilt steg:
NIST
- 6 steg
Categorize
* Kategorisera dom olika riskerna i en verksamhet
* Säkerhetsaspekter som är kritiska för företag skall prioriteras
* NIST RMF är omfattande och ska ta hänsyn till samtliga säkerhetsåtgärder men som sagt kritiska aspekter måste ändå ha prio
Select
* Skräddarsyr säkerhetsåtgärder utifrån det som behövs(Ex. (ta bort ej applicerbara, välj till där extra säkerhet behövs ”overlays”))
Implement
* Implementera säkerhetsåtgärder på lämpligast sätt i verksamheten för att minimera riskernas påverkan och kraft, och dokumentera detta. Dvs. Kommer kanske behöva Bygga på, bygga in, bygga nytt?
Assess
* Utvärdera hur väl och korrekt säkerhetsåtgärderna är implementerade.
* Genom; Granskning, Intervjuer eller Test.
Authorise
* Ta beslut om tillgångens status för drift baserat på dess risk. Dvs. Baserat på resultatet av Assess(OK/OK villkor/STOPP).
Monitor
* Kontinuerlig, planerad uppföljning för de kritiska processerna. Dvs. Underhåll av systemet för att ev. Upptäcka säkerhetshål och andra aspekter som tidigare inte uppkommit.
I säkerhetsplanen ingår ett SETA program (Security Education, Training och Awareness). Vad innebär de olika delarna och varför är de viktiga för informationssäkerheten? Ge exempel på alla tre:
SETA-program
Varför viktig för informationssäkerheten?
- Det är viktigt för att den största risken i verksamheter har visat sig vara just den mänskliga faktorn, inte systemen i sig. Människor med olika humör, känslor, emotioner går att manipulera på olika sätt betydligt enklare än robusta IT-system.
Security education
* Varför?
- Avser att utbilda personal i hur ex. hackare kan ta sig in i system. Görs genom olika former av internkurser, informera om policys, regler och riktlinjer som verksamheten följer. Detta för att markera vikten av IT- och informationssäkerhet inom företaget.
Training
* Hur?
* Praktiskt träning i form av att personalen utsätts för olika hackerförsök, eller får ex. höra ett samtal från en hacker som försöker få ut känslig information genom social engineering. Eller kanske ett exempel på ett fejkmail från Vdn kan se ut
Awarness
* Vad?
* Uppmana personal till kritisk tänkande genom ovanstående process men också genom kontinuerlig medvetenhet bland medarbetarna så själva träningen lyfts fram i deras vardagstänk, för att bli medvetna om sånt som kan och kommer förekomma.
Vad är beredskapsplanering (Contingency Planning)?
Vilka är de tre huvudsakliga elementen i en beredskapsplan?
Contingency planning
- Det är sk. Beredskapsplanering vilket är ledningens planering för de steg som bör tas för att bedöma effekter och minimera skador av incidenter/katastrofer. Men även återupprätta tillgång till system och data så fort som möjligt. Det finns också i förebyggande syfte för att bedöma incidenters inverkan på verksamheten
- Huvudelement:
- Incidenthantering
- Identifiering, hantering och återställning av tillgång
- Katastrofhantering
- Same as above men gäller större avbrott
- Kontinuitetsplanering
- Återupptagning av verksamhet genom reservlösningar, ex hot sites eller andra former av redundans
- “A hot site is one where all equipment and infrastructure is ready to go. If the primary facility fails, people show up and get right to work. A warm site may need some manual intervention, and a cold sites may need an actual rebuild of systems but the infrastructure is already in place.”
- Incidenthantering
Hur relaterar risk till begreppen sannolikhet, konsekvens, hot och sårbarhet? Förklara med exempel:
- Sannolikhet
- Är den sannolikheten att en risk inträffar vilket leder till en oönskad händelse, ex. En informationsförlust. En risks prioriteringsgrad är baserat delvis på nivån av sannolikhet.
- Konsekvens
- Relaterat till risk är konsekvens ex vad en möjlig händelse kan orsaka för skada, vilka effekter det skulle få på verksamheten i form av skador på ekonomin, individer eller rykte
- Hot
- En händelse som kan orsaka skada för verksamheten är ett hot, det är en kategori av objekt, människor eller andra entiteter som utgör en fara för en tillgång. Som risk relaterar till det är genom att man mäter risken av att ett visst hot kommer inträffa inom IT-säkerhet
- Sårbarhet
- En svaghet eller ett fel i ett system eller säkerhetsmekanism som medför utsatthet för attacker eller skador. Ex. Fel eller brister i mjukvarupaket/uppdateringar. Potentiella sårbarheter för verksamheten som kan utnyttjas är en risk.
- Förklara risktolerans (Risk apetite) och resterande risk (residual risk), hur relaterar de till riskhantering och organisationens strategi?
- Risktolerans
- Den risk en organisation kan “leva med”, dvs. En acceptabel risknivå, eftersom det alltid kommer att finnas en risk(om man inte är helt offline). Det “kostar” alltså mer att införa en säkerhetsåtgärd än vad den potentiella skadan skulle “kosta”.
- Resterande risk
- Resterande risk: de risker man är medveten om att man har efter man infört sina säkerhetsåtgärder. Resterande risker kommer aldrig vara obefintliga och är oftast kopplade till företagets strategi, som i sin tur är kopplat till det operativa, dvs. Hur företaget arbetar för att uppnå sina mål.
- De tolererande riskerna får därför inte påverka företagets strategi
T.ex. har en bank sannolikt en betydligt mindre tolerans för risk än en mindre möbeltillverkare eftersom den är mera beroende av sina system och gott anseende gällande säkerhet, och kommer därmed att acceptera mindre resterande risk.
Kvalitativa och kvantitativa riskbedömningar, vad är skillnaden, förklara kvantitativ riskbedömning och beskriv brister i relation till kvalitativa som kvantitativa försöker komma åt
Kvalitativ riskbedömning:
- Att utifrån tidigare erfarenheter göra en bedömning om hur pass allvarliga konsekvenserna är som associeras med en viss risk
Kvantitativ riskbedömning
- Att göra en bedömning av en risk genom statistisk metod utifrån insamlad data.
- Kvantitativ metod ses som ett sätt att minska slumpen/godtyckligheten som man finner i en kvalitativ riskbedömning
Fyra tekniska krav för ett system för att åtkomstkontroll ska fungera som det är tänkt. Namnge och beskriv dessa krav kortfattat:
- Identifiering
- Systemet måste identifiera användare och deras roller på ett unikt sätt, så att det kan bestämma vilka resurser varje användare har behörighet att få åtkomst till. Ex. Genom ett ID såsom e-mail eller användarnamn - Autentisering
- Det steget där användaren kontrolleras, dvs. Att den är det den utger sig för att vara, finns tre metoder att göra detta på, vilket kan kombineras med:
- Något användaren VET(ex lösenord)
- Något användaren HAR(ex passerkort, bankid eller SMS-kod)
- Något användaren ÄR(ex. Biometrics, ansiktsigenkänning eller fingeravtryck)
- Det steget där användaren kontrolleras, dvs. Att den är det den utger sig för att vara, finns tre metoder att göra detta på, vilket kan kombineras med:
- Auktorisering
- Efter identifiering och autentisering godkänts får personen åtkomst till det som användaren ska ha åtkomst till. Kan enkelt kontrolleras genom ex. AccessControlList(ACL) som genererar en lista av de permissions resp. användare har tillgång till.
- Ansvarsskyldighet
- Personen som loggar in med sin användare har ansvar och skyldigheter, bör därmed inte lämna ut sitt konto till andra, eller berätta lösenordet till andra individer. Inträffar ex. En incident blir personen som “äger” användaren därmed skyldig. Samma gäller med passerkort och om du råkar släppa in någon obehörig.
NIST 6 rekommendationer gällande antivirus programs funktionalitet
Beskriv dessa kortfattat:
- Skanning av frekvent drabbade områden som ex. Uppstartsfiler för OS
- Realtidsövervakning i operativsystemet för att upptäcka suspekta aktiviteter
- Möjlighet att desinfektera och ta bort oönskad kod
- Identifiering av vanligt förekommande oönskad kod(malware)
- Konfiguration för auto-scanning med jämna mellanrum(Av ex kända virus)
- Skanning av alla filer som laddas ned eller finns bifogade i email
Asymmetrisk och symmetrisk kryptering, förklara dessa två krypteringstekniker och hur de gemensamt används vid kommunikation över internet:
ChatGPT svar:
Symmetrisk kryptering använder samma nyckel för både kryptering och dekryptering av meddelanden. Detta innebär att om någon får tag på nyckeln kan de enkelt avkryptera meddelandet. Symmetrisk kryptering är vanligtvis snabbare än asymmetrisk kryptering, men det finns en större säkerhetsrisk eftersom en nyckel som har delats mellan två parter kan utsättas för stöld eller avlyssning.
Asymmetrisk kryptering använder två olika nycklar för kryptering och dekryptering. Den ena nyckeln, den privata nyckeln, är hemlig och används för att dekryptera meddelanden som har krypterats med den offentliga nyckeln. Den offentliga nyckeln kan delas fritt och används för att kryptera meddelanden som endast kan dekrypteras med den privata nyckeln. Asymmetrisk kryptering är säkrare eftersom den privata nyckeln inte delas, men det är också vanligtvis långsammare än symmetrisk kryptering.
I allmänhet används symmetrisk kryptering för att kryptera stora datamängder, till exempel filer, medan asymmetrisk kryptering används för att kryptera mindre mängder data, till exempel lösenord eller andra känsliga uppgifter.
Ett centralt begrepp inom kryptering är kryptosystem. Förklara vad ett kryptosystem är och vad syftet med ett kryptosystem är.
Ett kryptosystem är en metod för att kryptera (dvs. koda eller dölja) information så att den inte kan läsas av obehöriga.
Det utgörs av en krypteringsmetod eller process som omfattar en eller flera algoritmer, nyckel/nycklar eller kryptovariabler och procedurer för att kryptera eller dekryptera.
Syftet med ett kryptosystem är att skapa en så säker och openetrerbar kommunikation som möjligt, som samtidigt är distribuerar och resurseffektiv.
I samband med krypto system nämns XOR, som i sig är ett svagt krypto men som ändå har en viktig roll, förklara denna.
- Är I sig själv en svag krypteringsalgoritm
- Fungerar som en funktion i boolesk algebra, dvs. att jämföra två bitar och ger som resultat 1 om de två bitarna är olika, annars ger det resultatet 0.
- Men är användbar för att göra andra krypteringsalgoritmer mer avancerade genom att de använder sig av en eller flera XOR-operationer.
Hashfunktioners roll I kryptosystem:
- Hashfunktioner är viktiga byggstenar inom kryptosystem då de används för att säkerställa integritet och autenticitet av data.
- Det är en matematisk funktion som tar en inmatning(ex. Textträng eller fil) och generar en unik, oföränderlig utmatning: Ett sk. Hashvärde
- Mottageran kan använda hashvärdet för att verifiera att informationen inte har manipulerats på vägen.
- Används ofta för att lagra lösenord på ett säkert sätt genom olika hasnings algoritmer som ex. MD5, SHA-1/2, NTLM eller LANMAN
- Hashfunktioner känneteckans av att det inte ska gå/ska vara mycket svårt att återskapa den ursprungliga inmatningen från enbart hashvärdet.
- Se upp för:
- Rainbow tables
- Är:
- En fördefinierad hash-tabell, alltså en databas med förberäknade hashvärden för vanliga lösenord.
- Motverkas genom att Salta lösenord innan hasning
- En fördefinierad hash-tabell, alltså en databas med förberäknade hashvärden för vanliga lösenord.
- Är:
- Salta:
- Lägg till slumpmässig sträng av tecken innan hashning.
- Kan göras både före och efter hashning för att öka säkerheten ytterligare
- Rainbow tables
7 kritiska egenskaper hos information. Beskriv samtliga.
Tillgänglighet (availability)
- Informationen ska vara tillgänglig för rätt person i rätt format när personen vill ha tillgång till den
Riktighet (accuracy)
- Att datan är fri från fel och har det värdet som en användare förväntar sig, har informationen ex. Blivit modifierad(avsiktligt eller ej) så är den inte längre riktig
Autencitet(authenticity)
- Kvalitet av data ska vara originell/genuin, dvs. Inte reproducerad eller “tillverkad”. Att Autentiserad information menas med att den är i samma tillstånd som då den skapades, placerads och sparade eller skickades till.
Sekretess/konfidentialitet
- Informationen ska enbart vara tillgänglig för de individer som är menade att ha access till den. Når den obehöriga ögon/händer så bryts konfidentialiteten
Integritet
- Komplett och oförändrad information har integritet
Användbarhet (utility)
- Informationen måste ha ett syfte för att den ska kunna skapa ett värde för ägaren av informationen
Ägarskap (possession)
- Informationen måste kunna påvisa någon form av ägarskap, går ihop med spårbarhet och oavvislighet, dvs. möjligheten att kunna se vem som gjort vad med informationen.
