Infosäk 1 Flashcards
Vad är en riskanalys?
En riskanalys identifierar informationssäkerhets-risker och kan användas både verksamhetsövergripande eller för ett enskilt analysobjekt.
Vad är en gapanalys?
Syftet med en gapanalys är att identifiera skillnaden (gapet) mellan den informationssäkerhets-nivå som behöver uppnås och den aktuella nivån.
Vilka tre väsentliga delar ingår i en verksamhetsanalys?
- Interna intressenter
- Interna förutsättningar
- Informationstillgångar
Vad innebär interna intressenter?
Personer eller enheter inom en organisation som påverkar eller påverkas av hur informationssäkerheten styrs.
Vad innebär interna förutsättningar?
Förhållanden inom en organisation som man behöver ha i åtanke när man utformar informationssäkerheten och dess styrning.
T.ex var verksamheten bedrivs geografiskt, om verksamheten bedrivs på flera ställen eller verksamhetens ägarförhållanden
Vad innebär informationstillgångar?
Den information som verksamheten hanterar och som därmed ska skyddas, inklusive de resurser som behandlar informationen (t.ex IT-system).
Vilka tre väsentliga delar ingår i en omvärldsanalys?
- Externa intressenter
- Externa förutsättningar
- Rättsliga krav
Vad innebär externa intressenter?
Personer, grupper eller organisationer utanför den egna organisationen som påverkar eller påverkas av organisationens informationssäkerhet.
Vad innebär externa förutsättningar?
De förhållanden i organisationens omvärld, utöver externa intressenter och rättsliga krav, som man behöver tänka på när man utformar styrningen av informationssäkerhet.
Ge 4 exempel på vad rättsliga krav kan innebära
Exempelvis:
- lagar
- förordningar
- myndigheters föreskrifter
- lokal kommunal reglering
Beskriv begreppet informationssäkerhet kortfattat
Informationssäkerhet är de åtgärder som vidtas för att hindra att information läcker ut, modifieras felaktigt samt säkerställer att den är tillgänglig för behöriga parter.
Vad består CIA/KRT-triaden av?
(CIA - engelska)
(KRT - svenska)
CIA:
- Confidentiality
- Integrity
- Avaiability
KRT:
- Konfidentialitet
- Riktighet
- Tillgänglighet
Ange fyra exempel på administrativa informationssäkerhetsstandader
- ISO27001
- NIST
- SOC2
- PCI-DSS
Vad är NIST?
- En organisation som drivs av USA:s handelsdepartement
- Är snarlik ISO27001
Vad är SOC2?
- Står för ”System and Organization Controls”
- Säkerhetsåtgärder enligt CIA
- Främst för Saas och tredjepartsleverantörer
Vad är PCI-DSS?
- Betalkortsstandard
- Säkerhetskontroller för att minska bedrägerier
Varför bör man följa en standard?
- Ger förtroende
- Systematiskt arbetssätt
- Beprövat
Ange 7 krav som ingår i ISO27001
- Informationssäkerhet
- Organisation för informationssäkerhet
- Ledningen engagemang
- Panering och styrning av informationssäkerhet
- Riskhantering
- Uppföljning
- Ständiga förbättringar
Beskriv i fyra steg hur man börjar implementera informationssäkerhetsarbete
- Identifiera och analysera
- Utforma
- Använda
- Följa upp och förbättra
I vilka två kategorier kan rättsliga krav gällande informationssäkerhet delas in?
- Krav som gäller hur informationssäkerhetsarbetet ska utformas
- Krav på hur skydd för vissa typer av information ska utformas
Vilka krav finns det på riskanalys för att upprätthålla ISO27001?
- Att informationssäkerhetsrelaterade risker analyseras
- Att riskanalysens resultat ligger till grund för val och utformning av säkerhetsåtgärder och det systematiska informationssäkerhetsarbetet
Vilka tre väsentliga delar består en riskanalys av?
- Vad kan hända
- Hur sannolikt är det
- Vad blir konsekvenserna
Ange fyra exempel på eventuella konsekvenser i en riskanalys
- Ekonomisk förlust
- Personskada
- Miljöskada
- Minskat förtroende
Vad för roll har en CISO?
- Chief information security officer
- Den högst ansvariga för informationssäkerhet inom ett företag
Ge 5 exempel på intern dokumentation
- Organisationsbeskrivningar
- Befattningsbeskrivningar
- Styrdokument
- Arbetsordning
- Delegationsbeslut
Ge fyra exempel på vad en CISO ansvarar för
- Analysera omvärlden och den egna organisationen
- Att utveckla informationssäkerhetsområdet
- Att stödja den egna organisationen
- Att kontrollera och följa upp informationssäkerheten internt
Vad är ett styrdokument kortfattat?
- Ett beslutande dokument
- Reglerar organisationens infosäk-relaterade aktiviteter
Vad är en informationssäkerhetspolicy kortfattat?
- Det mest centrala dokumentet
- Beslutas av VD, styrelse, ledningsgrupp
- Kan vara del av generell säkerhetspolicy
Beskriv skillnaden på policy, riktlinjer och instruktioner kortfattat
- Policy - generellt
- Riktlinjer - organisationsövergripande
- Instruktioner - begränsade till specifik teknisk plattform eller lokala förhållanden
Enligt ISO27001, vad ska en policy innehålla? Ange 5 punkter
- Definition
- Strategiska mål
- Principer
- Ansvar och roller
- Hantering av avvikelser
Vad är en kontinuitetsplan, kortfattat?
Kontinuitetshantering handlar om att planera för att upprätthålla sin verksamhet på en tolerabel nivå, oavsett vilken störning den utsätts för.
Ange tre exempel på varför man bör ha en kontinuitetsplan
- Snabbare återhämtning
- Mildra konsekvenserna
- Förhindra att värden går förlorade
Vad är strukturen för incidenthantering enligt ISO27035? Ange fyra punkter
- Upptäck, rapportera och bedöm incidenten
- Agera och behandla incidenten
- Upptäck, bedöm och behandla incidentens sårbarheter
- Kontinuerligt förbättra säkerheten och incidenthantering
Vad är tre saker man behöver tänka på vid incidenthantering?
- Interna och externa intressenter
- Följ rutinerna
- Tänka på sekretesser
Beskriv ett systematiskt arbetssätt inom informationssäkerhet med 4 punkter
- Identifiera och analysera
- Utforma
- Använda
- Följa upp och förbättra
Vilka analysmetoder ingår i ““Identifiera och analysera”?
- Omvärldsanalys
- Verksamhetsanalys
- Riskanalys
- Gapanalys
Vad står beståndsdelen “utforma” av?
- Mål
- Organisation
- Styrdokument
- Handlingsplan
Vad består beståndsdelen “använda” av?
- Klassa information
- Granskning
- Övervakning
- Utbildning av personal
Vad består beståndsdelen “Följa upp och förbättra” av?
- Utvärdering
- Ledningens genomgång
- Åtgärdsplan
I vilka situationer kan det vara lämpligt för en organisation att göra en riskanalys?
- Vid anskaffning av nya varor eller tjänster
- I samband med andra riskanalyser
- När drift ska läggas ut
- Vid organisationsförändringar
- Vid nya uppdrag/tjänster
I en riskanalys är en riskmatris ett vanligt verktyg som består av två skalor.
Vilka är dessa?
Sannolikhet och konsekvenser
Det finns i huvudsak 4 olika sätt att riskhantera/riskbehandla.
Vilka är dessa 4 sätt?
- Riskeliminering
- Riskminimering
- Risköverföring
- Riskacceptans
Vad är informationsklassning?
Det innebär att man på ett enhetligt sätt värderar organisationens information utifrån vilka konsekvenser ett otillräckligt skydd skulle kunna få.
Säkerhetsåtgärder finns i olika former.
Vad är några olika former av säkerhetsåtgärder?
Exempelvis: Organisatoriska, administrativa, fysiska och tekniska.
Vad ska en handlingsplan innehålla?
Den ska innehålla detaljerad information om varje aktivitet, till exempel vem som är ansvarig för själva genomförandet, samt resurser och tidplan för aktiviteten.
MSB har en checklista för vad en fullständig informationssäkerhetspolicy bör innehålla. Vad är de 8 punkterna i denna?
- ledningens viljeinriktning och stöd för informationssäkerhetsarbetet
- Visa målet, omfattningen och vikten av informationssäkerhet
- Policy fastställd av ledning
- Definierat ansvar för informationssäkerhet
- Ägare av policyn
- Beskrivning om hur policyn ska underhållas
- Definition av informationssäkerhet
- Spridning och rutiner för spridning av policy
Vilka två komponenter används för att räkna ut risk?
Sannolikhet och konsekvens.
Vad är en informationssäkerhetincident?
En eller flera händelser som kan tänkas få allvarliga konsekvenser för verksamheten och hota informationssäkerheten.
En populär målformulering är SMART.
Vad står SMART för?
- Specifikt
- Mätbart
- Accepterat
- Realistiskt
- Tidsatt
Vad fyller en handlingsplan för roll i informationssäkerhetsarbetet?
Handlingsplanen är ett viktigt instrument för att styra så att prioriterade behov leder till faktiska aktiviteter som genomförs och följs upp.
Handlingsplanen bör innehålla konkreta aktiviteter kopplade till mål.
Vad är en vanlig tidsrymd för kortsiktiga respektive strategiska informationssäkerhetsmål?
Kortsiktiga informationssäkerhetsmål (1–2 år)
Strategiska informationssäkerhetsmål (3–5 år)
Vem är det som beslutar om fastställandet av en informationssäkerhetspolicy?
Vanligtvis VD, styrelse eller ledningsgruppen.
Vad är en kontinuitetsplan?
En kontinuitetsplan innehåller information som hjälper
personalen att veta vad den ska göra vid en störning i
en kritisk aktivitet eller resurs. Syftet är att kunna
upprätthålla verksamheten på en tolerabel nivå och att
kunna återställa resursen så fort som möjligt
Vad är syftet med att ha en klassningsmodell?
Syftet är att värdera organisationens informationstillgångar. Dels bedöma om informationen är känslig och i så fall vilken skyddsnivå den bör ha
