F1+F2+litteratur Flashcards

1
Q

Mål med informationssäkerhet

A

Konfidentialitet - innebär att information och IT-system inte avslöjas eller görs tillgängliga för
obehöriga.
Riktighet - innebär att information eller system inte felaktigt förändras av misstag eller av obehörig.
Tillgänglighet - innebär att information och IT-system är tillgängliga för behöriga användare, i
förväntad utsträckning och inom önskad tid.
(Spårbarhet) - innebär att kunna se vad som inträffat i systemet

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Tre typer av skydd inom informationssäkerhet

A

Logiskt (brandväggar, face-id, kryptering)
Fysiskt (lås, brandsläckare, blipp)
Administrativt (regler, policy)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Systemteori

A

Generell modell av verkligheten som kan användas
för att analysera “vad som helst”

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Institutionell teori (från
sociologi, organisationsteori)

A

Teori som förklarar varför individer, organisationer,
branscher och nationer fungerar som de gör.
Tar fokus på “institutioner” som är
handlingsmönster

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Semiotik (från filosofi,
lingvistik)

A

Sätt att se på information och
kommunikation.
Tar fasta på språk, tecken och signaler.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Socio-teknik (från sociologi,
organisationsteori)

A

Utgår från att verksamheter består av
både människor och teknik och
relationen mellan dessa.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Organisationsperspektivets innehåll i ordning

A
  • MSB (metodstödet)
  • Verksamhetsanalys
  • Omvärldsanalys
  • Riskanalys (riskbild)
  • GAP-analys
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Metodstödet på MSB

A
  • Stöd för organisationers arbete med informationssäkerhet
  • Bygger på ISO/IEC 27000-serien standarder
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Metodstödet översikt

A
  • Identifiera & analysera (här gås alla följande analyser igenom)
  • Utforma
  • Använda
  • Utvärdera
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Verksamhetsanalysens tre delar

A

1.Interna intressenter (personer eller enheter inom organisationen)
2.Interna förutsättningar (förhållanden inom organisationen)
3.Informationstillgångar (den information som ska skyddas)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q
  1. Interna intressenter
A
  • Påverkar eller påverkas av informationssäkerheten
  • Identifiera intressenter, deras behov och krav.

Exempel: Beslutsfattare (styrelse, VD), objektägare (systemägare, processägare), stödenheter (IT, HR), medarbetare (anställda, konsulter)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q
  1. Interna förutsättningar:
A
  • Förhållanden som påverkar hur informationssäkerheten utformas.

Exempel på interna förutsättningar: policyer, mål, organisationens struktur, kultur, processer, resurser, infrastruktur och kommunikation

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q
  1. Informationstillgångar:
A
  • Den information som ska skyddas, inklusive IT-system och andra tekniska resurser.
  • Identifiera kritiska tillgångar och dokumentera dem (t.ex. benämning, beskrivning, kritikalitet, ägare)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Verksamhetsanalysens syfte

A

Syftet med att inventera era informationstillgångar är att få en sammanställning över vad ni
ska skydda med hjälp av informationssäkerhet. Denna sammanställning kan ni sedan
använda för att identifiera vilka säkerhetsåtgärder som ni behöver införa för att skapa rätt skydd.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Omvärldsanalysens tre delar

A
  1. Externa intressenter
  2. Externa förutsättningar
  3. Rättsliga krav
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q
  1. Externa intressenter
A

Organisationen måste förstå varje intressents krav och förväntningar för att anpassa säkerhetsstrategin. Dessa intressenter kan ha olika krav på informationssäkerheten, såsom krav på säker hantering av kunddata, säkra tjänster och efterlevnad av regler.

ex (Ägare, kunder, leverantörer, granskare, konkurrenter och allmänheten)

17
Q
  1. Externa förutsättningar
A

inkluderar olika faktorer som påverkar hur informationssäkerhet bör struktureras:
Political
Economic
Sociocultural
Technological
Environmental

18
Q
  1. Rättsliga krav
A

består av lagar, förordningar och föreskrifter som ställer krav på hur information och säkerhet ska hanteras. Kraven kan delas in i:

  • Krav på hur informationssäkerheten ska utformas.
  • Krav på skyddet för specifik information, exempelvis känsliga personuppgifter.
19
Q

Riskanalysens tre delar

A

1.Förarbete
2.Genomförande (workshop)
3.Resultat (riskbild)

20
Q
  1. Förarbete
A
  • Definiera analysobjekt, begränsning och omfattning
  • Gör hotbildsbeskrivning med hotbildskompetenta i organisationen
21
Q
  1. Genomförande (Workshop)
A
  • Definiering av riskområden sker genom brainstorming i par eller grupper, där deltagarna analyserar hotens relevans för organisationen.
  • Risker beskrivs som riskområden, inte specifika händelser, eftersom riskbilden täcker hela organisationen.
22
Q
  1. Resultat (Riskbild)
A
  • Riskbilden visar ett spann av risker baserat på konsekvens X sannolikhet = Risk
  • Riskbilden dokumenteras och används för att besluta om säkerhetsåtgärder och planera fortsatt informationssäkerhetsarbete.
  • Den beslutas och förvaltas av organisationens ledning.
23
Q

Riskanalysens syfte

A

En riskbild är ett sätt att arbeta med att identifera och värdera risker.
En riskbild ger en grov bild av vilka risker som organisationen i stort bedöms vara utsatt för
och hur allvarliga dessa risker är för organisationen.

24
Q

GAP-analysens fyra delar

A
  1. Fastställ relevanta säkerhetsåtgärder (SoA)
  2. Bedöm om åtgärder existerar och fungerar
  3. Gradera och utvärdera brister
  4. Skapa en rapport över status
25
Q

1.Fastställ relevanta säkerhetsåtgärder (SoA)

A
  • Identifiera vilka säkerhetsåtgärder som är tillämpliga i organisationen, baserat på standarden SS-EN ISO/IEC 27001.
  • Skapa en lista med åtgärder och motivera varför varje åtgärd ska användas eller inte (utifrån riskanalys, omvärldsanalys, verksamhetsanalys eller rättsliga krav).
26
Q
  1. Bedöm om åtgärder existerar och fungerar
A
  • För varje vald åtgärd, avgör om den redan existerar i verksamheten och om den fungerar som avsett.
  • Diskutera åtgärdernas relevans och status, gärna i workshop-format eller genom intervjuer.
27
Q
  1. Gradera och utvärdera brister
A
  • Om en åtgärd inte existerar eller fungerar dåligt, bedöm hur allvarlig bristen är (försumbar, måttlig, betydande eller allvarlig).
  • Dokumentera nuläget och föreslå möjliga förbättringar
28
Q
  1. Skapa en rapport över status
A
  • Sammanställ en lista över alla åtgärder och deras aktuella status, inklusive brister och förslag på åtgärder.
  • Använd denna analys för att prioritera och planera vilka säkerhetsåtgärder som ska genomföras
29
Q

GAP-analysens syfte

A

Syftet med gapanalysen är att identifiera skillnaden mellan den önskade informationssäkerhetsnivån och den nuvarande nivån i organisationen.
Genom att synliggöra detta gap kan organisationen planera och genomföra nödvändiga åtgärder för att förbättra säkerheten och uppnå efterlevnad enligt standarder som ISO/IEC 27001

30
Q

God informationssäkerhet ger nytta i form av?

A

Förtroende
Ekonomi
Effektivitet
Efterlevnad