Informationssäkerhet

Question 1

Vilka 3 grundpelare består CIA-triaden av?

Answer 1

Confidentiality (Konfidentialitet)

Integrity (Integritet / Riktighet)

Availability (Tillgänglighet)

Question 2

Förklara grundpelaren “Konfidentialitet” i CIA-triaden.

Answer 2

Förhindrar känslig information från att nå fel personer, samtidigt som organisationen ser till att rätt personer har tillgång.

När det gäller sekretess måste organisationer se till att uppgifterna är säkra under överföring och i lagring. Även om data går förlorad eller hackare stjäl data borde det inte vara läsbart. Kryptering och accesshantering är viktiga verktyg.

Question 3

Förklara grundpelaren “Integritet / Riktighet” i CIA-triaden.

Answer 3

Bibehåller konsekvens, noggrannhet och pålitlighet av data under hela livscykeln. När det gäller integritet måste organisationer se till att personuppgifterna är korrekta, fullständiga, uppdaterade och bara hålls så länge som nödvändigt.

Question 4

Förklara grundpelaren “Tillgänglighet” i CIA-triaden.

Answer 4

Säkerställer att data kan nås av auktoriserade personer när de behöver det.

När det gäller tillgänglighet måste organisationer också förstå hur individer och deras arbete kan påverkas om de inte har tillgång till den information de behöver.

Question 5

Ge exempel på 4 olika administrativa standarder för informationssäkerhet.

Answer 5

ISO 27001
NIST
SOC2
PCI-DSS

Question 6

Vad är PCI-DSS?

Answer 6

Payment Card Industry Data Security Standard.

Framtagen av de stora kreditkorts och betalföretagen som en standard för att höja säkerheten vid kortköp.

Question 7

Vad är SOC 2?

Answer 7

Service Organization Control 2 är ett ramverk från AICPA (American Institute of Certified Public Accountants) som säkerställer och formaliserar informationssäkerheten hos tjänsteleverantörer, i synnerhet de som lagrar kunddata i molnet.

Question 8

Varför bör man följa en säkerhetsstandard som exempelvis ISO 27001 eller SOC 2?

Answer 8

• Högre säkerhet
• Ökat förtroende från kunder
• Systematiskt arbetssätt
• Beprövat av andra organisationer

Question 9

Vad är ISO 27001?

Answer 9

ISO 27000-serien är en säkerhetsstandard som består av flera delar med vissa branschspecifika delar.

Centralt är 27001, då detta är det så kallade ledningssystemet för informationssäkerhet som organisationen certifierar sig mot.

Question 10

Vad innehåller 27003?

Answer 10

Vägledning om hur man implementerar ISO 27001.

Question 11

Vad är gemensamma delar för de stora ledningssystemen för informationssäkerhet?

Answer 11

Organisationen ska ha ett bestämt arbetssätt i etableringen, implementeringen och den dagliga användningen av ISMS. Detta inkluderar även framtida förbättringar av systemet.

Question 12

Vid arbetet med informationssäkerhet är det viktigt med ett systematiskt arbetssätt. Hur fungerar MSBs metodstöd LIS?

Answer 12

Ledningssystem för InformationsSäkerhet (LIS) fungerar som en ständig cykel där organisationen konstant arbetar i ett återkommande mönster med fyra beståndsdelar som repeteras.

1. Identifiera och analysera.
2. Utforma.
3. Använda.
4. Följa upp och förbättra.

Mer info kan ni läsa här: https://www.informationssakerhet.se/siteassets/metodstod-for-lis/metodstod-for-systematiskt-informationssakerhetsarbete—en-oversikt.pdf

Question 13

I MSBs metodstöd LIS är den första beståndsdelen “Identifiera och analysera”.

Vad består denna utav?

Answer 13

Analysmetoder som exempelvis:

• Omvärldsanalys
• Verksamhetsanalys
• Riskanalys
• Gapanalys

Question 14

I MSBs metodstöd LIS är den andra beståndsdelen “Utforma”.

Vad består denna utav?

Answer 14

Här utformas exempelvis företagets:

• Mål
• Organisation
• Styrdokument
• Handlingsplan

Question 15

I MSBs metodstöd LIS är den tredje beståndsdelen “Använda”.

Vad består denna utav?

Answer 15

I metodsteget “Använda” tillämpar organisationen den utformade styr­ningen. Exempelvis:

• Klassa information
• Granskning
• Övervakning
• Utbildning av personal

Question 16

I MSBs metodstöd LIS är den fjärde beståndsdelen “Följa upp och förbättra”.

Vad består denna utav?

Answer 16

Detta metodsteg vägleder om utformning av arbetssätt för uppföljning och förbättring av informationssäkerhetsarbetet och dess styrning.

Exempelvis:

• Utvärdering
• Ledningens genomgång
• Åtgärdsplan

Question 17

I MSBs metodstöd LIS kan en omvärldsanalys vara en del av beståndsdelen “Identifiera och analysera”.

Hur ser en omvärldsanalys ut?

Answer 17

Omvärldsanalysen innefattar identifiering av:

Externa intressenter ( ägare, kunder, leverantörer, granskare)

Externa förutsättningar (branschspecifika, tekniska, sociala, miljömässiga, politiska)

Rättsliga krav (författningar, kontrakt, avtal)

Question 18

I MSBs metodstöd LIS kan en verksamhetsanalys vara en del av beståndsdelen “Identifiera och analysera”.

Hur ser en verksamhetsanalys ut?

Answer 18

Verksamhetsanalysen innefattar identifiering av:

Interna intressenter (beslutsfattare, objektägare, stödenheter, medarbetare)

Interna förutsättningar (policyer, mål och strategier, verksamhetsstyrning, kultur, resurser, kompetens, m.m.)

Informationstillgångar (it‐system, abonnentuppgifter, it‐tjänster, applikationer m.m.)

Question 19

Ungefär hur många företag i Sverige är ISO 27001 certifierade?

Answer 19

Strax under 100 stycken.

Question 20

Vad är en extern intressent?

Answer 20

Personer, grupper eller organisationer utanför den egna organisationen, som påverkar eller påverkas av organisationens informationssäkerhet.

Var och en av dessa intressenter har någon form av behov, förväntningar, krav eller annan påverkan i relation till informationssäkerheten och dess styrning.

Question 21

Vad är en intern intressent?

Answer 21

Personer (befattningar) eller enheter inom organisationen som påverkar eller påverkas av hur informationssäkerheten styrs.

Question 22

Vilka är de tre centrala frågorna som ska ställas i en riskanalys?

Answer 22

”Vad kan hända?”

”Hur sannolikt är det?”

”Vad blir konsekvenserna?”

Question 23

I vilka situationer kan det vara lämpligt för en organisation att göra en riskanalys?

Answer 23

Exempelvis:
Vid anskaffning av varor eller tjänster (inklusive upphandling av nya it-system, outsourcing och molntjänster)

I samband med andra riskanalyser

När drift ska läggas ut

Vid organisationsförändringar

Vid nya uppdrag/tjänster

Question 24

I en riskanalys är en riskmatris ett vanligt verktyg som består av två skalor.

Vilka är dessa?

Answer 24

Sannolikhet och konsekvenser

Question 25

Vad är en GAP-analys?

Answer 25

En GAP-analys är ett sätt att analysera och förstå hur organisationens situation ser ut idag, hur man vill att den ska se ut i framtiden, samt hur man ska göra för att ta sig dit.

Detta kan vara ett verktyg i LIS när det kommer till att identifiera vidare mål och förbättringsåtgärder.

Question 26

Vad är en informationstillgång?

Answer 26

Med informationstillgångar avses all information och informationshanterande resurser såsom manuella och IT-baserade informationssystem.

Exempelvis:
Databaser
Avtal och överenskommelser
Kontinuitetsrutiner
Utvecklingsverktyg
Kommunikationsutrustning
Medarbetares kvalifikationer
m.m.

Question 27

Det finns i huvudsak 4 olika sätt att riskhantera/riskbehandla.

Vilka är dessa 4 sätt?

Answer 27

• Riskeliminering
• Riskminimering
• Risköverföring
• Riskacceptans

Question 28

Är riskacceptans en bra riskhanteringsmetod när det kommer till lösenordsläckor?

Answer 28

Nej, riskacceptans är endast en bra riskhanteringsmetod när sannolikheten är extremt låg. Exempelvis att en EMP förstör all teknisk utrustning i norra Europa.

Question 29

Vad är en CISO?

Answer 29

Chief Information Security Officer.

Den person som är ansvarig för att leda och samordna informationssäkerheten.

Question 30

Ge exempel på några mandat som en CISO kan ha:

Answer 30

Exempelvis:

• Att kravställa vid till exempel utvecklingsprojekt.
• Att bedriva tillsyn att styrdokument efterlevs.
• Att rapportera interna brister i efterlevnaden av styrdokument.

Question 31

Vilken organisatorisk placering av CISO som är lämplig beror på lite olika faktorer, bland annat på organisationens typ, storlek, bransch- eller sektorstillhörighet.

Var bör CISO-rollen vara placerad inom en organisation enligt MSB?

Answer 31

Idealet är att CISO är direkt underställd ledning, och att CISO rapporterar direkt till denna.

Question 32

Vad är styrdokument?

Answer 32

Styrdokument är beslutade dokument som reglerar organisationens informationssäkerhetsrelaterade aktiviteter. Helt enkelt olika former av policydokument.

Ska ange vad som ska genomföras och hur det ska gå till.

Question 33

Informationssäkerhetspolicyn är det mest centrala styrdokumentet.

Vad bör informationssäkerhetspolicyn innehålla i enlighet med ISO-standarden 27002?

Answer 33

1. Definition av informationssäkerhet.
2. Strategiska mål med informationssäkerhet.
3. Principer för infosäkarbetet.
4. Ansvar och roller för infosäkarbetet.
5. Hantering av avvikelser och undantag.

Question 34

Vad är informationsklassning?

Answer 34

Det innebär att man på ett enhetligt sätt värderar organisationens information utifrån vilka konsekvenser ett otillräckligt skydd skulle kunna få.

Question 35

Säkerhetsåtgärder finns i olika former.

Vad är några olika former av säkerhetsåtgärder?

Answer 35

Exempelvis: Organisatoriska, administrativa, fysiska och tekniska.

Question 36

Vad ska en handlingsplan innehålla?

Answer 36

Den ska innehålla detaljerad information om varje aktivitet, till exempel vem som är ansvarig för själva genomförandet, samt resurser och tidplan för aktiviteten.

Question 37

Vad är kontinuitetshantering?

Answer 37

Kontinuitetshantering handlar om att planera för att upprätthålla sin verksamhet på en tolerabel, det vill säga för organisationen acceptabel, nivå oavsett vilken störning den utsätts för.

Med kontinuitetshantering kan organisationer snabbare återhämta sig från och mildra konsekvenserna av en inträffad händelse.

Question 38

Vad gör en operativ incidentsamordnare?

Answer 38

Tar emot, bedömer och samordnar på ett övergripande sätt det operativa arbetet med incidenter.

Säkerställer att incidenter åtgärdas om det behövs.

Ser till att grundorsaken till incidenten utreds.

Question 39

MSB har en checklista för vad en fullständig informationssäkerhetspolicy bör innehålla. Vad är de 8 punkterna i denna?

Answer 39

1. Anger policyn ledningens viljeinriktning och stödjer informationssäkerhetsarbetet?
2. Visar policyn målet med samt omfattningen och vikten av informationssäkerhet?
3. Har ledningen fastställt policyn?
4. Är ansvaret för informationssäkerhet definierat?
5. Står det klart och tydligt vem som äger policyn?
6. Är det beskrivet hur policyn ska underhållas?
7. Finns det en definition av informationssäkerhetsbegreppet?
8. Är policyn spridd i organisationen och finns det rutiner för detta?

Question 40

Vilka två komponenter används för att räkna ut risk?

Answer 40

Sannolikhet och konsekven­s.

Risk är produkten av sannolikheten och konsekven­sen för att ett givet hot realiseras.

Question 41

Vad är en informationssäkerhetincident?

Answer 41

En eller flera hän­delser som kan tänkas få allvarliga konsekvenser för verksamheten och hota informationssäkerheten (till exempel brott mot sekretess, integritetsförlust, driftavbrott eller brist på tillgång till information).

Question 42

Rapporteringsplikt är något som finns i CISO-rollen.

Vad bör regleras i hur rapporteringen ska gå till?

Answer 42

1. Rapporteringens mottagare – till vilken eller vilka interna roller?
2. Rapporteringens form – muntligt och/eller skriftligt, räcker det med ett mejl, eller ska det finnas ett särskilt rapportformat och så vidare?
3. Rapporteringens frekvens – hur ofta ska CISO rapportera, exempelvis en gång om året, i halvåret eller i månaden?

Question 43

En populär målformulering är SMART.

Vad står SMART för?

Answer 43

• Specifikt
• Mätbart
• Accepterat
• Realistiskt
• Tidsatt

Question 44

Vad fyller en handlingsplan för roll i informationssäkerhetsarbetet?

Answer 44

Handlingsplanen är ett viktigt instrument för att styra så att prioriterade behov leder till faktiska aktiviteter som genomförs och följs upp.

Handlingsplanen bör innehålla konkreta aktiviteter kopplade till mål.

Question 45

Vad är en vanlig tidsrymd för kortsiktiga respektive strategiska informationssäkerhetsmål?

Answer 45

Kortsiktiga informationssäkerhetsmål (1–2 år)

Strategiska informationssäkerhetsmål (3–5 år)

Question 46

Vem är det som beslutar om fastställandet av en informationssäkerhetspolicy?

Answer 46

Vanligtvis VD, styrelse eller ledningsgruppen.

Detta beroende på organisationens storlek och sammansättning.

Question 47

MSBs LIS innehåller en pyramidmodell för dokumenthierarkier gällande styrdokument.

Vad är de olika nivåerna i denna pyramiden?

Answer 47

Från topp till botten:

1. Policy: Beskriver ”att” något ska finnas.
2. Riktlinjer: Ska ange hur de övergripande målen i policyn ska uppnås. Beskriver ”vad” som ska göras.
3. Anvisningar: Ska på en funktionell nivå ange vilka skyddsåtgärder som ska införas. Beskriver ”på vilket sätt” skyddet ska införas.
4. Instruktion: Ges för specifika system eller åtgärder. Beskriver ”hur och av vem” åtgärderna ska införas/följas.

OBS!! I ett antal tolkningar av modellen är nivå 3 och 4 kombinerat till en nivå!!

Question 48

LIS har en pyramidmodell för dokumenthierarkier gällande styrdokument.

Vad är skillnaden mellan nivå 1. “Policy” och nivå 2. “Riktlinjer”?

Answer 48

1. Policy: Beskriver ”att” något ska finnas.

2. Riktlinjer: Ska ange hur de övergripande målen i policyn ska uppnås. Beskriver ”vad” som ska göras.

Question 49

LIS har en pyramidmodell för dokumenthierarkier gällande styrdokument.

Vad är skillnaden mellan nivå 1. “Policy” och nivå 4. “Instruktion”?

Answer 49

1. Policy: Beskriver ”att” något ska finnas.

4. Instruktion: Ges för specifika system eller åtgärder. Beskriver ”hur och av vem” åtgärderna ska införas/följas.

Question 50

LIS har en pyramidmodell för dokumenthierarkier gällande styrdokument.

Vad är skillnaden mellan nivå 2. “Riktlinjer” och nivå 3. “Anvisningar”?

Answer 50

2. Riktlinjer: Ska ange hur de övergripande målen i policyn ska uppnås. Beskriver ”vad” som ska göras.
3. Anvisningar: Ska på en funktionell nivå ange vilka skyddsåtgärder som ska införas. Beskriver ”på vilket sätt” skyddet ska införas.

Question 51

Vad innebär kontinuitetsplanering?

Answer 51

Det handlar om att planera för att upprätthålla sin verksamhet på en tolerabel nivå, oavsett vilken störning den utsätts för.

Till exempel när personalen inte kommer till jobbet, lokalerna inte går att använda m.m.

Question 52

Vad bör en kontinuitetsplan innehålla?

Answer 52

En kontinuitetsplan innehåller information som hjälper
personalen att veta vad den ska göra vid en störning i
en kritisk aktivitet eller resurs. Syftet är att kunna
upprätthålla verksamheten på en tolerabel nivå och att
kunna återställa resursen så fort som möjligt

Question 53

Hur ska incidenthantering ske enligt ISO 27035?

Answer 53

Enligt följande:

1. Upptäck, rapportera och bedöm incidenten.
2. Agera och behandla incidenten.
3. Upptäck, bedöm och behandla incidentens sårbarheter.
4. Förbättra därefter säkerheten och incidenthanteringen kontinuerligt.

Question 54

Vad är syftet med att ha en klassningsmodell?

Answer 54

Syftet är att värdera organisationens informationstillgångar. Dels bedöma om informationen är känslig och i så fall vilken skyddsnivå den bör ha.

Informationstillgångar som inte bedömts ännu kallas oklassad.

Question 55

Hur ska oklassade informationstillgångar hanteras?

Answer 55

Dessa bör anses vara skyddade tills det att en klassning har skett.

Question 56

Hur ser en vanlig klassningsmodell ut?

Answer 56

Exempelvis en matris där CIA och skyddsnivåer är kopplade till varandra.