F1+F2+litteratur Flashcards
Mål med informationssäkerhet
Konfidentialitet - innebär att information och IT-system inte avslöjas eller görs tillgängliga för
obehöriga.
Riktighet - innebär att information eller system inte felaktigt förändras av misstag eller av obehörig.
Tillgänglighet - innebär att information och IT-system är tillgängliga för behöriga användare, i
förväntad utsträckning och inom önskad tid.
(Spårbarhet) - innebär att kunna se vad som inträffat i systemet
Tre typer av skydd inom informationssäkerhet
Logiskt (brandväggar, face-id, kryptering)
Fysiskt (lås, brandsläckare, blipp)
Administrativt (regler, policy)
Systemteori
Generell modell av verkligheten som kan användas
för att analysera “vad som helst”
Institutionell teori (från
sociologi, organisationsteori)
Teori som förklarar varför individer, organisationer,
branscher och nationer fungerar som de gör.
Tar fokus på “institutioner” som är
handlingsmönster
Semiotik (från filosofi,
lingvistik)
Sätt att se på information och
kommunikation.
Tar fasta på språk, tecken och signaler.
Socio-teknik (från sociologi,
organisationsteori)
Utgår från att verksamheter består av
både människor och teknik och
relationen mellan dessa.
Organisationsperspektivets innehåll i ordning
- MSB (metodstödet)
- Verksamhetsanalys
- Omvärldsanalys
- Riskanalys (riskbild)
- GAP-analys
Metodstödet på MSB
- Stöd för organisationers arbete med informationssäkerhet
- Bygger på ISO/IEC 27000-serien standarder
Metodstödet översikt
- Identifiera & analysera (här gås alla följande analyser igenom)
- Utforma
- Använda
- Utvärdera
Verksamhetsanalysens tre delar
1.Interna intressenter (personer eller enheter inom organisationen)
2.Interna förutsättningar (förhållanden inom organisationen)
3.Informationstillgångar (den information som ska skyddas)
- Interna intressenter
- Påverkar eller påverkas av informationssäkerheten
- Identifiera intressenter, deras behov och krav.
Exempel: Beslutsfattare (styrelse, VD), objektägare (systemägare, processägare), stödenheter (IT, HR), medarbetare (anställda, konsulter)
- Interna förutsättningar:
- Förhållanden som påverkar hur informationssäkerheten utformas.
Exempel på interna förutsättningar: policyer, mål, organisationens struktur, kultur, processer, resurser, infrastruktur och kommunikation
- Informationstillgångar:
- Den information som ska skyddas, inklusive IT-system och andra tekniska resurser.
- Identifiera kritiska tillgångar och dokumentera dem (t.ex. benämning, beskrivning, kritikalitet, ägare)
Verksamhetsanalysens syfte
Syftet med att inventera era informationstillgångar är att få en sammanställning över vad ni
ska skydda med hjälp av informationssäkerhet. Denna sammanställning kan ni sedan
använda för att identifiera vilka säkerhetsåtgärder som ni behöver införa för att skapa rätt skydd.
Omvärldsanalysens tre delar
- Externa intressenter
- Externa förutsättningar
- Rättsliga krav