Informations- och IT-säkerhet tenta

Question 1

Vilka begrepp består CIA-triangeln av?

Answer 1

• Confidentiality (säkerhet, sekretess)
• Integrity (Riktighet, integritet)
• Availability (Tillgänglighet)

Question 2

Vad innebär Tillgänglighet i samband med CIA-triangeln? (Availability)

Answer 2

Handlar om relationen mellan informationstillgångar och BEHÖRIG aktör (eller system)

Question 3

Vad innebär Konfidentialitet i samband med CIA-triangeln? (Confidentiality)

Answer 3

Handlar om relationen mellan informationstillgångar och OBEHÖRIG aktör (eller system).

En aktör kan även vara en process eller objekt

Question 4

Vad innebär Riktighet i samband med CIA-triangeln? (Integrity)

Answer 4

Kan ses som en egenskap hos informationsmängden/informationen. Informationsmängden är KORREKT, AKTUELL och FULLSTÄNDIG

Question 5

Det finns fyra stycken begrepp som kan ses som en förlängning av CIA-triangeln. Vilka är dessa fyra?

Answer 5

Accurancy
Authenticity
Utility
Possession

Question 6

Förklara Accuracy

Answer 6

Informationen ska vara korrekt, fri från fel och ha det värde slutanvändaren förväntar sig

Question 7

Förklara Authenticity

Answer 7

Informationen ska vara oförändrad från originalet, dvs, det material du mottar ska vara identisk med den ursprungliga källan

Question 8

Förklara Utility

Answer 8

Informationen är användbar och tjänar ett syfte. Datan måste därför vara korrekt och uppfylla det kravet.

Ex:
Fel data och information tjänar inte till något syfte

Question 9

Förklara Possession

Answer 9

Informationen ägs och tillhandhålls av någon.

Ex:
Systemets ansvariga eller organisationen som äger systemet

Question 10

Vad är COBIT?

Answer 10

COBIT är ett ramverk framtaget för IT-styrning. Hela idén med COBIT är att göra det enklare för verksamheter att förstå de olika standarder.

• Anpassad för affärsledningen (inte bara IT-Ledning)
• Hjälper en organisation att få ut maximalt värde från sina IT-resurser
• Hjälper till att skapa ordning bland standarder, regelverk och ramverk
• Hjälper till med vad som ska uppnås, inte hur
• Har ett specifikt ramverk för styrning av informationssäkerhet

Question 11

Vad innebär Styrning i kontexten standarder? (COBIT)

Answer 11

Styrning kan innebära och bestå av riktlinjer samt dokument som en organisation ska följa. Dessa dokument eller riktlinjer utformas av ledningen, eller så är det standarder som ledningen beslutar att följa.

Question 12

Vad innebär Ledning i kontexten standarder? (COBIT)

Answer 12

Ledning är hur en verksamhet (oftast ledningen i en verksamhet) väljer att följa de riktlinjer som utformats och som ska efterföljas.

Ex:
Ett exempel kan vara att följa COBIT’s ramverk och det i sin tur som är styrningsdokument, och hur det påverkar ledningen i hur ramverken följs.

Question 13

Vad är skillnaden mellan Styrning och Ledning? (COBIT)

Answer 13

Styrning svarar på frågan VAD (mål) som ska göras, medan ledning svarar på HUR (strategi) det ska göras

Question 14

Vad är ett ledningssystem?

Answer 14

En organisations mål samt hur arbetet ska bedrivas och styras för att uppnå dem

Question 15

Vilket regelverk tog GDPR över?

Answer 15

PUL

Question 16

Vad är NIST?

Answer 16

National Institute of Standards and Technology (USA). NIST utvecklar standarder och andra publikationer inom informationssäkerhet och cybersäkerhet.

Question 17

Vad står RMF för?

Answer 17

Risk Management Framework, vilket är en riskbaserad metod för att välja ut olika skyddsåtgärder samt hantera risk

Question 18

Vilken serie av riktlinjer behandlar NIST?

Answer 18

SP 800-serien, (SP = Special Publications).
Serien intresserar sig särskilt av informationssäkerhet.

Question 19

Vad står MSB för och vad gör dom?

Answer 19

Myndigheten för Samhällsskydd och Beredskap.

MSB är en samordnande myndighet för samhällets informationssäkerhet, vilket berör hela samhället, organisationer såväl som enskilda individer

Question 20

Vilka 5 strategier finns för att behandla eventuella identifierade risker?

Answer 20

• Förebyggande (defence)
• Överförande av risk (transfer)
• Skadereducerande (mitigation)
• Acceptans (acceptance)
• Undvikande (termination)

Question 21

Vad innebär Förebyggande (Defence) inom riskhantering och vilka verktyg används vid förebyggande av risker?

Answer 21

Försök att förminska risk genom att förhindra utnyttjandet av sårbarhet

Verktyg:
styrning (policies), skolning och utbildning (SETA) och eller teknisk arkitektur

Question 22

Vad innebär Överförande av risk (Transfer) inom riskhantering?

Answer 22

Överföra risken på andra tillgångar, processer eller organisationer

Ex:
outsourcing till specialister

Question 23

Vad innebär Skadereducerande (Mitigation) inom riskhantering? Och vilka tre typer av “hanteringar” finns inom denna del?

Answer 23

Minska effekten av en framgångsrik attack
Incidenthantering, krishantering, kontinuitetsplanering
Om något händer måste vi ha en plan framåt

Question 24

Vad innebär Acceptans (Acceptance) inom riskhantering?

Answer 24

Acceptera den resterande risken.

Enbart tillgångens värde understiger kostnaden för att skydda.

Vissa risker måste vi bara acceptera att de finns.

Question 25

Vad innebär Undvikande (termination) inom riskhantering?

Answer 25

Undvika aktiviteter som innebär okontrollerbara risker

Question 26

Vilka 5 populära tekniker används vid hackerattacker/cyberattacker?

Answer 26

• Phishing
• Pretexting
• Tailgating
• Baiting
• Quid Pro Quo

Question 27

Vad är 4P-principen och vad innehåller den för begrepp?

Answer 27

4P-principen har att göra med hur du ska tänka vid skapandet av ett starkt lösenord

Det ska vara:
1. Praktiskt
2. Personligt
3. Privat
4. Provocerande

Question 28

Vad för olika typer av hackare finns det?

Answer 28

• Skids
• Experter
• Hackivist

Question 29

Förklara vad Skids är inom hackertermen

Answer 29

Skids är hackare som inte är experter av något slag utan de använder verktyg som dom hittar online. Dessa är oftast barn som vill visa att de kan hacka.

De är enkla att skydda sig emot då de går vidare om deras hackerförsök inte funkar.

Question 30

Förklara vad en Expert är inom hackertermen

Answer 30

Experter är just experter inom hacking som har rätt utrustning och kunskap.

Question 31

Förklara vad en Hackivist är inom hackertermen

Answer 31

Även dessa är experter och har rätt utrustning.

Deras syfte är att tjäna pengar. Oftast handlar det om att de vill hämnas på någon

Question 32

Vilka tre ämnen innefattar Kryptologi?

Answer 32

• Kryptografi
• Kryptoanalys
• Algoritmer och/eller procedur

Question 33

Vilka två krypteringsmetoder är vanligast?

Answer 33

• Bitström
• Blockschiffer

Question 34

Vad är Symmetrisk kryptering?

Answer 34

Symmetrisk kryptering behöver en hemlig krypteringsnyckel för att kryptera samt dekryptera (private-key encryption).

Algoritmer exekveras snabbt inom denna typ av kryptering och både sändare och mottagare behöver den hemliga krypteringsnyckeln.

Question 35

Varför är Symmetrisk kryptering viktig?

Answer 35

Allt som skickas online måste vara väl skyddat från hackare.

Ett exempel är BankID och Swish där all information måste hållas säkert och skyddat för att vi användare ska våga använda tjänsten

Question 36

Ge tre exempel på olika symmetriska krypteringar

Answer 36

• DES (Data Encryption Standard)
• 3DES (Triple DES)
• AES (Advanced Encryption Standard)

Question 37

Vad är Asymmetrisk kryptering?

Answer 37

Använder en öppen nyckel samt en personlig nyckel. Kallas även för Public-key encryption.

Både den öppna samt personliga nyckeln kan kryptera eller dekryptera, men krypterar A-nyckeln så kan endast B-nyckeln dekryptera och även tvärtom.

Question 38

Vad är GDPR?

Answer 38

Ett relativt nytt regelverk för behandling av personuppgifter som gäller i alla EU-länder. Det är tänkt att stärka enskilda personers rättigheter över hur företag, myndigheter och organisationer får samla in och använda deras personuppgifter.

Question 39

Vad är certifiering och vad är det bra för?

Answer 39

Vad är?
Certifiering är en typ av kontroll för att se till att eventuella standarder hålls. Om en verksamhet till exempel förhåller sig till sina standarder så erhålls en certifiering.

Bra för?
Bra marknadsföring om en verksamhet har certifiering och kan även ses som en kvalitetsstämpel.

Question 40

Vilket ramverk för informationssäkerhet förknippas LIS (Ledningssystem för Informationssäkerhet) med?

Answer 40

SS-ISO/EIC 27000-serien

Question 41

Vilka krav specificerar ISO 27001 för?

Answer 41

• Upprättande
• Införande
• Underhåll
• Ständig förbättring av LIS

Question 42

Vad behandlar ISO 27001?

Answer 42

Krav på ledningssystemet för informationssäkerhet

Question 43

Vad behandlar ISO 27002?

Answer 43

Riktlinjer för informationssäkerhetsåtgärder

Question 44

Vad behandlar ISO 27003?

Answer 44

Vägledning för införande av ledningssystem för informationssäkerhet

Question 45

Vad är Åtkomstkontroll (Access Control) och vad är en annan benämning till det?

Answer 45

En metod för att kontrollera åtkomst till system, delar av system eller fysiska rum

Behörighetskontroll (BKS)

Question 46

Det finns 7 olika åtkomstkontroller, vilka är dessa?

Answer 46

• Attributbaserad (ABAC)
• Diskretionär (DAC)
• Icke-diskretionär (NDAC)
• Gallerbaserad (Lattice-baserad, LBAC)
• Obligatorisk (Mandatory, MAC)
• Rollbaserad (RBAC)
• Uppgiftsbaserad(Task-based, TBAC)

Question 47

Vilka tekniska krav finns för att ett system ska fungera för åtkomstkontroll?

Answer 47

• Identifiering
• Autentisering
• Auktorisering
• Ansvarsskyldighet

Question 48

Vilka tre faktorer är vanligt förekommande vid autentisering?

Answer 48

• Något du VET (ex lösenord)
• Något du HAR (ex bankdosa, bankID)
• Något du ÄR (ex fingeravtryck)

Question 49

Hur många steg av autentisering är ett krav för en stark autentisering?

Answer 49

Två.

Ex:
Något du HAR och något du VET

Question 50

Vilka tre generella sätt kan auktorisering hanteras på?

Answer 50

• Per användare
• Per grupp av användare
• Auktorisering som sträcker sig över systemgränser (SSO ex)

Question 51

Vad innebär Ansvarsskyldighet? (Accountability)

Answer 51

En mekanism som säkerställer att alla handlingar inom ett IS kan spåras till en viss användare. Alla ska hållas ansvarig för de handlingar de utför i systemet.

Question 52

En brandvägg kan vara olika saker, ge några exempel på en brandvägg:

Answer 52

• Datorsystem
• Mjukvara i en router/server
• Separat nätverk
• Hårdvara

Question 53

Det finns 5 olika kategorier av brandväggar, vilka är dessa?

Answer 53

• Packet-filtrering
• Application gateways
• Circuit gateways
• MAC layer
• Hybrider

Question 54

Vad är IDPs?

Answer 54

IDPs (Intrusion Detection and Prevention System) är en programvara som är designat för att övervaka, motverka och detektera intrångsförsök.

Kan jämföras med ett inbrottslarm

Question 55

Vad är Säkra protokoll?

Answer 55

En teknologi för att motverka att konfidentiell information läcker ut. All information som överförs via SP är krypterad.

Question 56

Nämn de 5 vanligaste säkra protokollen

Answer 56

• SSH (Secure schell)
• SSL (Secure Socket Layer)
• TLS (Transport Layer Security)
• HTTPs (HyperText Transfer Protocol Secure)
• IPSec

Question 57

Vad är en VPN (Virtual Private Network)?

Answer 57

”a private data network that makes use of the public telecommunication infrastructure, maintaining privacy through the use of a tunneling protocol and security procedures”

Question 58

Vilka tre saker krävs för att en VPN ska anses vara säker och tillförlitlig?

Answer 58

• Inkapsling
• Kryptering
• Autentisering

Question 59

En VPN kan ha två olika “lägen” (mode), vilka två är dessa?

Answer 59

• Transport mode
• Tunneling mode

Question 60

Vad innebär Transport mode (VPN)?

Answer 60

Datan i ett IP-paket är krypterat men headern är fortfarande läsbar. Detta innebär att eventuella angripare fortfarande kan avläsa information som avsändare och destinationssystem.

Question 61

Vad innebär Tunneling mode (VPN)?

Answer 61

IP-paketet läggs i ett annat paket med kryptering, två tunnel-servrar etableras och det yttre paketet adresseras mellan de två servrarna. Vid eventuell avlyssning avslöjar paketet inget om avsändare eller destination.

Question 62

Vilka aspekter bör tas hänsyn till vid säkerhetskopiering om en off-site används för lagring av dessa?

Answer 62

• Geografisk plats
• Tillgänglighet
• Säkerhet
• Omgivning
• Kostnad

Question 63

Vad är ITIL?

Answer 63

Ett ramverk som ger vägledning för att leverera kvalitativa
IT-tjänster baserat på affärsbehov

Question 64

Ramverket ITIL (The IT infrastructure library) ska ge stöd i hela livscykeln av en IT-tjänst. Hur ser livscykeln ut?

Answer 64

• Inhämtning av krav
• Design
• Implementation
• Övervakning och förbättring

Question 65

NIST, RMF har 6st steg i riskhanteringen. Vilka är dessa?

Answer 65

• Categorize
• Select
• Implement
• Assess
• Authorize
• Monitor

Question 66

Vad behandlar 27004?

Answer 66

Vägledning för mätning av Informationssystem

Question 67

Vad behandlar 27005?

Answer 67

Riskhantering för Informationssäkerhet

Question 68

JOA gick igenom ett par steg för hur informationssäkerhetsprocessen kan se ut hos en verksamhet. Vilka är dessa 6 steg?

Answer 68

1. Input
2. Förstå
3. Styra/samordna
4. Göra/skydda (dvs det aktiva arbetet för att skydda verksamheten)
5. Hantera händelser
6. Output

Question 69

Förklara hela informationssäkerhetsprocessen i en följd som JOA gick igenom, steg för steg. Vad händer i varje steg?

Answer 69

OBS! utrymme för vissa småfel på denna, allt står inte helt tydligt i hans föreläsning, men om nåt är fel - hojta till mig! <3

1. Input
   Handlar om de krav och förväntningar organisationen har på säkerhetsprocessen
2. Förstå
   Alla inom organisationen som kommer att ta del av processen måste förstå och ha koll på de krav och förväntningar som måste uppfyllas.
3. Styra/samordna
   När alla har förstått ska arbetet samordnas och styras (styrdokument?). Strukturera upp arbetet och sålla bort krav som inte kan uppfyllas osv (? osäker)
4. Göra/Skydda
   Handlar om att faktiskt agera på det arbete man har planerat upp för att skydda verksamheten.
5. Hantera händelser
   Hantera eventuella händelser/incidenter som kan skada verksamhetens informationssäkerhet
6. Output
   Nu kan verksamheten bedrivas utan att allvarliga samt skadliga störningar inträffar. Om några incidenter skulle ske har verksamheten nu en tydlig struktur och plan för hur de ska hantera dessa.

Question 70

Det finns fyra stycken aktiviteter inom LIS, vilka är dessa?

Answer 70

Akronym: BRUS

1. Behovsanalys
2. Reglering
3. Stöd
4. Uppföljning

Question 71

För att en infosäk policy ska anses effektiv och juridisk bindande bör fem saker tas i beaktning. Vilka är dessa fem?

Answer 71

Akronym: DEGF(i)S

1. Distribuerad
2. Granskad
3. Förståelse
4. Samtycke
5. Enhetligt tillämpad

Question 72

Vid planering av informationssäkerhet så kan en modell (triangel) innehållande 4st steg användas. Förklara dessa fyra steg och hur de relaterar till Strategisk, Operativ och Taktisk planering.

Answer 72

1. Policy (Strategisk, långsiktig)
2. Riktlinjer (Strategisk, långsiktig)
3. Anvisningar (Taktiskt, kortsiktig)
4. Instruktioner (Operativ, daglig)

Question 73

Förklara Policy i planering för infosäk, vad sker i det “steget” av triangeln/processen?

Answer 73

Kriterier för infosäk tas fram av verksamheten

Question 74

Förklara Riktlinjer i planering för infosäk, vad sker i det “steget” av triangeln/processen?

Answer 74

Kriterierna som togs fram i föregående steget (Policy) tas i beaktning när verksamheten utformar krav för att uppfylla dessa.

Question 75

Förklara Anvisningar i planering för infosäk, vad sker i det “steget” av triangeln/processen?

Answer 75

Exempel och rekommendationer för hur kraven ska uppnås ges.

Question 76

Förklara Instruktioner i planering för infosäk, vad sker i det “steget” av triangeln/processen?

Answer 76

Step-By-Step instruktioner ges för att uppnå kraven

Question 77

Förklara alla stegen inom riskidentifiering (5st)

Answer 77

1. Planera och organisera PROCESSEN
2. Identifiera TILLGÅNGAR
3. Prioritera TILLGÅNGAR
4. Identifiera och Prioritera HOT
5. Specificera tillgångarnas SÅRBARHETER