Föreläsning 4

Question 1

Vad är mission?

Answer 1

Organisationens övergripande kärnuppgift; Vad vill vi göra?
● Långtgående (+10 år), abstrakt; utgår frånd dagsläget

Question 2

vad är vision?

Answer 2

● Vad vill organisationen uppnå på sikt?
● Långtgående (~ 10 år), abstrakt; vart vill vi vara i framtiden?

Question 3

vad innebär strategi?

Answer 3

● Hur ska organisationen uppnå sin vision; hur ska vi göra det?
● Fortsättningsvist långtgående och abstrakt

Question 4

Vad innebär strategisk planering?

Answer 4

Strategisk planering
● Högnivå och långsiktig plan för organisationen
● Innehåller definierade krav
● Strategin “rullar nedåt” till avdelningar, funktioner och processer
● Strategin är ledningens ansvar
● Lång tidshorisont, 5-10 år, revideras med långa mellanrum

Question 5

Vad innebär taktisk planering?

Answer 5

● Den strategiska planen omsätts (omvandlas) till en taktisk plan
● Varje strategiskt mål bryts ned till flertalet mer beskrivande mål. Vart och ett av dessa
mål ska ha ett datum då de ska vara klara (från att planen satts igång).
● Denna innehåller klara, tydliga, mätbara mål
● Kortsiktigare, 1-2 år, revideras oftare än strategiska planen

Question 6

Vad innebär operativ planering?

Answer 6

● Den taktiska planen omvandlas till en operativ plan
● Används för att organisera det pågående dagliga utförandet av uppgifter
● En operativ plan innehåller det nödvändiga
uppgifter för alla relevanta avdelningar samt kommunikations- och rapporteringskrav,
vilket kan innehålla veckovisa möten, lägesrapporter och andra tillhörande uppgifter.

Question 7

Vad är målsättningen med ett LIS? (Ledning för informationssäkerhet)

Answer 7

○ Stöd för strategin - Strategisk inriktning av informationssäkerhet med
affärsstrategi för att stödja organisatoriska mål
○ Riskhantering - Riskhantering genom att genomföra lämpliga åtgärder för att
hantera och mildra hot mot informationsresurser
○ Framgångs- och prestationsmått - Prestationsmätning genom mätning,
övervakning och rapportering av informationssäkerhetsstyrningsmetoder för
att säkerställa att organisatoriska mål uppnås
○ Rätt resursering av säkerhet - Resurshantering genom att använda
informationssäkerhetskunskap och infrastruktur effektivt
○ Ökat värde - Värdetilldelning genom att optimera investeringar i
informationssäkerhet till stöd för organisationsmål

Question 8

Vilka är de fyra huvudsakliga aktiviteterna i ett LIS?

Answer 8

Behovsanalys
- Analyser av verksamhet, omvärld, hot/risker, GAP-analyser, kostnadsanalyser, osv
- Viktigt att analysen är aktuell, bör göras återkommande

Reglering
- Skapa styrdokument, framför allt policyer, riktlinjer, instruktioner

Stöd
- Metoder, vägledningar, utbildningar

Uppföljning
- Granskningar, revisioner, tester

Question 9

Vad innebär styrdokument?

Answer 9

• Dokument som styr hur organisationen hanterar informationssäkerhet
• Kan förekomma på många olika nivåer och med olika terminologi i olika standarder
  – Men i huvudsak policyn, riktlinjer och anvisningar/instruktioner
• Kan vara övergripande eller specifika
• Det viktigaste styrdokumentet är organisationens informationssäkerhetspolicy

Question 10

Vad innebär en informationssäkerhetspolicy?

Answer 10

• Övergripande, inte detaljerade anvisningar
  Detaljerna finns i lägre nivåer av dokument
• Stöder missionen, visionen och strategin
  Strategisk nivå, dvs ledningens ansvar!
• Kort, i regel 3-5 sidor
• Fördelning av roller och ansvar
• Viktigt! För att vara effektiv måste den göras tillgänglig, läsas, förstås samt omfattas av alla berörda inom organisationen

Question 11

Nämn några exempel på säkerhetspolicys:

Answer 11

Exempel på policys
● Strong password policy
○ Alla anställda måste använda starka lösenord och lösenorden måste bytas
med tre månaders mellanrum

● Clean desk policy
○ Konfidentiella dokument och flyttbara media får inte ligga kvar på anställdas
arbetsbord efter arbetsdagens slut. Alla arbetsstationer måste låsas eller
stängas.

Question 12

Vad kräver en effektiv och juridisk bindande policy?

Answer 12

○ Distribution (dissementation) - Policyn har gjorts lättillgänglig för alla
anställda
○ Granskning (review) - Policyn har gjorts tillgänglig i en för alla förståelig form
○ Förståelse (comprehension) - Organisationen måste kunna visa att den
anställda har förstått innehållet, t.ex. genom test
○ Samtycke (Compliance) - Den anställda måste ha visat sitt samtycke till
policyn, t.ex. genom avtal
○ Enhetlig tillämpning (Uniform enforcement) - Organisationen

Question 13

Vad innebär riktlinjer inom säkerhetspolicys?

Answer 13

Specificerar hur en policy ska implementeras i praktiken

○ Vad krävs för att uppfylla standarden?
■ De facto - En standard som är allmänt antagen eller godkänd av en offentlig grupp snarare än en formell standardorganisation. Motsats till en de jure standard.
■ De jure - En standard som formellt har utvärderats, godkänts och ratificerats (bekräftats) av en formell standardorganisation.

● Exempel på standarder/riktlinjer:
○ Lösenordet ska innehålla minst 8 tecken, med minst en versal, minst en siffra
samt minst ett specialtecken !”#¤%&/
○ Flyttbara media måste vara krypterade enligt minst 256bit AESstandard

Question 14

Vad innebär anvisningar inom säkerhetspolicys?

Answer 14

Detaljerade rekommendationer och exempel på hur en
policy efterlevs (T ex ramverket NIST SP 800-118 ger rekommendationer bl.a. om hur man väljer och kommer ihåg starka lösenord).

Question 15

Informationssäkerhetspolicys kan särskiljas mellan tre stycken olika typer av policys enligt NIST:

Answer 15

○ Allmän informationssäkerhetspolicy (EISP - Enterprise information security policy)
○ Specifik informationssäkerhetspolicy
○ Systemspecifik informationssäkerhetspolicy

Question 16

Vad definierar en informationsäkerhetsplan?

Answer 16

Definierar:
■ Policyn
■ Säkerhetsarkitektur och principer
■ Skolning och medvetenhetsprogram

Vanligt att basera på existerande ramverk såsom ISO 27000, NIST SP 800, CoBIT 5,
CERT/CC, COSO

Question 17

Vilka lager av kontroller finns det inom säkerhetsarkitektur?

Answer 17

○ Styrningskontroll - Garantier/garderingar för informationssäkerhet som
fokuserar på administrativ planering, organisering, ledning och styrning, och
som är utformade av strategiska planerare och implementeras av
organisationens säkerhetsadministration. Dessa garantier omfattar styrning
och riskhantering

○ Operativa kontroller - Garantier/garderingar för informationssäkerhet med
inriktning av planering på en lägre nivå som handlar om funktionaliteten i
organisationens säkerhet. Dessa skyddsåtgärder omfattar
katastrofåterhämtning och incidentplanering

○ Tekniska kontroller - Garantier/garderingar för informationssäkerhet som
fokuserar på tillämpningen av modern teknik, system och processer för att
skydda informationstillgångar. Dessa skyddsåtgärder omfattar brandväggar,
virtuella privata nätverk och IDPS.

Question 18

Vad innebär defense in depth och security perimeter?

Answer 18

● Defense in depth - En grundläggande princip för säkerhetsarkitektur är den
“flerlagrade” implementeringen av säkerhet. För att uppnå ett djupt/stort försvar,
måste en organisation upprätta flera lager av säkerhetskontroller och
skyddsåtgärder. Dessa kan delas upp i policys, utbildning och träning, och teknologi.

● Security perimeter - En säkerhetsomkrets (security perimeter) är
gränsen för säkerhet som skyddar alla interna system från yttre hot. Den fungerar
som ett yttre försvarsverk.

Question 19

Vad innebär skolning och medvetenhet?

Answer 19

• Anställda bland de största enskilda riskerna för informationssäkerheten!
  ● Security education, training, and awareness (SETA)
  ● Program för kontinuerlig säkerhetsutbildning inom organisationen
  ○ Education - Varför?
  ○ Training - Hur?
  ○ Awareness - Vad?

Question 20

Vad innebär beredskapsplanering? (Contingency planning)

Answer 20

De åtgärder som ledningen har vidtagit för att
specificera organisationens ansträngningar och åtgärder om en negativ händelse blir
till en incident eller en katastrof. Denna planering inkluderar incidentrapporter,
katastrofåterhämtning, och insatser för kontinuitet, liksom förberedande analys av
företags inverkan (?).
○ Planering för hantering av oönskade händelser

○ Beredskapsplan = en strategisk plan för att säkerställa organisationens
kontinuerliga tillgång till informationstillgångar.
■ Förutspå, skydda mot, och hantera effekter av olika oönskade
händelser, t ex tekniska attacker, problem, naturkatastrof
■ Återupprätta tillgång till information efter ett problem så fort som
möjligt

Question 21

Mellan vilka tre olika effekter skiljer sig beredskapsplanering?

Answer 21

○ Händelser (events) - En händelse inom organisationens operativa miljö
○ Incidenter (incidents) - En oönskad händelse som kan ha negativ inverkan på
organisationens informationstillgångar
○ Katastrofer/kriser (disasters) - En oönskad händelse som äventyrar hela
organisationens förmåga att nå sina målsättningar. Kan eskalera från
incidenter.

Question 22

Hur identifierar man händelser/incidenter/katastrofer?

Answer 22

En händelse blir en incident ifall:
○ Händelsen är riktad mot en informationstillgång
○ Det finns en realistisk chans att skada uppstår
○ Hot mot konfidentialiteten, tillgängligheten och riktigheten av en
informationsresurs

● En katastrof innebär väsentliga hinder för en organisation att nå sina målsättningar:
○ Leder till långvariga driftstörningar, stora personskador, eller omfattande
ekonomisk förlust
○ Ex: avbrott för väsentliga system på flera timmar, total dataförlust, olyckor
som leder till personskador, omfattande dataintrång eller datastöld.

Question 23

Beredskapsplaneringen består av tre stycken huvudsakliga element:

Answer 23

○ Incidenthantering - Detektion och reaktion av incidenter
○ Katastrofhantering - Återställning av tillgång till informationsresurser.

○ Kontinuitetsplanering - Utförs samtidigt som katastrofhantering om skadan
är stor eller om den är pågående, och behöver mer än en enkel återställning
av informationsresurser och informationstillgångar. Kontinuitetsplanen ser till
att kritiska funktioner kommer upp på en alternativ sida.

Question 24

Vilka steg ingår i beredskapsplaneringen?

Answer 24

1. Utveckla en beredskapspolicy
2. Identifiera aktiviteter och resurser som är kritiska för affärsverksamheten (Business
   Impact Analysis, BIA)
3. Identifiera kontroller (proaktiva åtgärder)
4. Planera för incidenter eller katastrofer (reaktiva åtgärder)
5. Utveckla en kontinuitetsstrategi
6. Testa och revidera strategin
7. Monitorera

Question 25

Vad är business impact analysis?

Answer 25

En undersökning och bedömning av de olika negativa händelserna som kan påverka
organisationen, som genomfördes som en preliminär fas av beredskapsplaneringen, vilket
innefattar en bestämning av hur kritiskt ett system eller en uppsättning information är till
organisationens kärnprocesser och återhämtningsprioriteringar.

Den första fasen i utvecklingen av beredskapsplaneringsprocessen är analysen av
verksamhetseffekter (BIA). BIA, är en förberedande aktivitet som är gemensam för både CP
och riskhantering. Den hjälper till att bestämma vilka affärsfunktioner och informationssystem
som är mest kritiska för organisationens framgång.

En grundläggande skillnad mellan en BIA och en riskhantering, är att riskhantering fokuserar
på att identifiera hot, sårbarheter och attacker för att bestämma vilka kontroller som kan
skydda informationen. BIA antar att dessa kontroller har kringgåtts, har misslyckats eller
annars visat sig vara ineffektiva. Att en attack lyckades; och att motgången som något
försvaras mot har blivit förverkligad.

Question 26

Vilka steg enligt NIST ingår i business impact analysis?

Answer 26

Steg (enligt NIST):
○ 1. Identifiera och prioritera verksamhetskritiska processer
○ 2. Skapa prioriteringsordning för räddnings/återställningsåtgärder för
informationssystem
○ 3. Identifiera vilka resurser som behövs för att återställa
informationsresurserna (ex hårdvara, personal, data, kommunikation mm)

Question 27

Vilka steg ingår i incidenthantering enligt ISO 27000?