Infosäk Flashcards

1
Q

Vilka är de fyra delar som ingår i ett systematiskt informationssäkerhetsarbete?

A

Identifiera & analysera
Utforma
Använda
Följ upp & förbättra

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Vilka delar ingår i Identifiera & analysera?

A

Verksamhet
Omvärld
Risk
Gap

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Vilka delar ingår i Utforma?

A

Organisation
Mål
Styrdokument
Handlingsplan
Klassningsmodell

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Vilka delar ingår i Använda?

A

Utbildning & kommunikation
Klassa information
Genomföra & efterleva
Granska
Övervaka

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Vilka styrdokument kan det finnas?

A

Policy
Riktlinjer/föreskrifter
Anvisningar
Instruktioner/rutinbeskrivningar

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Vad är målet med policyn?

A
  • uttrycker ledningens övergripande viljeinriktning
  • ger auktoritet åt informationssäkerhetsarbetet
  • kort, övergripande, lättförståelig
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Vad är föreskrifter?

A
  • styrdokument under policyn som innehåller bindande regler
  • ska-krav
  • organisationsövergripande
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Vad är riktlinjer?

A
  • styrdokument under policyn som även tillåter alternativa handlingssätt
  • bör-krav
  • organisationsövergripande
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Vad är Anvisningar?

A
  • står emellan riktlinjer/föreskrifter och instruktioner/rutinbeskrivningar
  • mer detaljerad än riktlinjer/föreskrifter
  • mindre detaljerad än instruktioner/rutinbeskrivningar
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Vad är instruktioner/rutinbeskrivningar?

A
  • anger hur arbetet ska bedrivas på detaljnivå
  • begränsat till specifik teknisk plattform eller lokala förhållanden
  • t.ex.: hur och när man ska göra säkerhetskopior
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Vad bör en policy innehålla för att räknas som fullständig (checklista)?

A
  • anger policyn ledningens viljeinriktning och stödjer informationssäkerhetsarbetet?
  • visar policyn målet med samt omfattningen och vikten av informationssäkerhetsarbetet?
  • har ledningen fastställt policyn?
  • är ansvaret av informationssäkerhet definierat?
  • står det klart och tydligt vem som äger policyn?
  • är det beskrivet hur policyn ska underhållas?
  • finns det en definition av informationssäkerhetsbegreppet?
  • är policyn spridd i organisationen och finns det rutiner för detta?
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Vad ska en policy innehålla enligt ISO27001?

A
  • Definition av informationssäkerhet
  • Strategiska mål med informationssäkerhet
  • Principer för informationssäkerhetsarbetet
  • Ansvar och roller för informationssäkerhetsarbetet
  • Hantering av avvikelser och undantag
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Vad är informationssäkerhet?

A
  • De åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs och för att informationen ska vara tillgänglig när den behövs.
  • För en organisation kan det handla om att:
    – skydda information mot en uppsättning hot för att säkerställa verksamhetens kontinuitet (exempelvis genom att säkerställa tillgång till källkod till verksamhetskritisk programvara)
    – minimera verksamhetsrisken
    – maximera avkastningen på investeringar och affärsmöjligheter.
  • Informationen som ska skyddas kan vara tryckt på papper, vara lagrad elektroniskt, överföras med post eller med elektroniska hjälpmedel, visas på film eller yttras i en konversation.
  • Möjliga säkerhetsåtgärder är att införa en viss policy, rutin, process, organisationsstruktur eller olika mjuk- och hårdvarufunktioner.
  • Säkerhetsarbetet kan också innefatta att utforma, införa, övervaka, granska och förbättra dessa åtgärder för att säkerställa att organisationens säkerhets- och verksamhetsmål uppnås.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Varför ska man följa en standard?

A

● Ger förtroende
● Systematiskt arbetssätt
● Beprövat

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Vad ingår i ett systematiskt arbetssätt?

A

->Plan->Do->Check->Act->

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Nämn några exempel på standarder inom informationssäkerhet

A
  • ISO 2700-serien
  • NIST
  • SOC2
  • PCI-DSS
17
Q

Varför ska man följa en standard?

A
  • ger förtroende
  • systematiskt arbetssätt
  • beprövat
18
Q

Vad ingår i omvärldsanalys?

A
  • externa intressenter
  • externa förutsättningar
  • rättsliga krav
19
Q

Vad ingår i verksamhetsanalys?

A
  • interna intressenter
  • interna förutsättningar
  • informationstillgångar
20
Q

Vilka punkter ingår i riskanalys?

A
  • händelse
  • sannolikhet
  • konsekvens
21
Q

När ska en riskanalys göras?

A
  • organisationsförändringar
  • inköp av nya system
  • outsourcing
  • nya rutiner
22
Q

Hur kan man hantera risker?

A
  • minimera
  • acceptera
23
Q

Vad är resultatet av riskanalyser?

A
  • dokumenterad lista över risker
  • tillhörande riskbedömning
  • vem som är ansvarig för risken
  • kan vara skyddsvärd information!
24
Q

Vad är en gapanalys?

A
  • skillnaden mellan den nivå man vill uppnå och faktiska nivån vid analystillfället
25
Q

Vad ingår i CISO-rollen?

A
  • analysera omvärlden och den egna organisationen
  • utveckla informationssäkerhetsområdet
  • stödja den egna organisationen
  • kontrollera och följa upp informationssäkerheten internt
26
Q

Vilka mandat har CISO:n?

A
  • kravställa vid utvecklingsprojekt
  • bedriva tillsyn att styrdokument efterlevs
  • rapportera interna brister i efterlevnaden av styrdokument
  • godkänna vid eventuella undantag från styrdokument
  • godkänna specifika informationssäkerhetslösningar
  • stoppa aktiviteter som strider mot styrdokument
27
Q

Vad är SMARTa mål?

A
  • Specifikt
  • Mätbart
  • Accepterat
  • Realistiskt
  • Tidsatt
28
Q

Vad bör man tänka på angående informationssäkerhetsmål?

A
  • kortsiktigt och långsiktigt (startegiskt)
  • effektmål och resultatmål
  • undvik uppdateringar av målen
  • inte alltid mätbara
29
Q

Vad ska ingå i en handlingsplan?

A
  • konkreta aktiviteter
  • ska kopplas till mål
  • målen ska kopplas till strategin
  • bör följas upp årligen
30
Q

Var bör de olika mål finnas?

A
  • strategiska mål i policyn
  • årliga mål i handlingsplanen
  • informationssäkerhetsmål i en målgraf
31
Q

Vad är styrdokument och vad innehåller de?

A
  • beslutande dokument
  • reglerar organisationens infosäksrelaterade aktiviteter:
    — var
    — hur
    — när
    — av vem
  • innehåller både obligatoriska och rekommenderade krav
  • viktigaste hörnstenarna i lyckat infosäkarbete
  • reglerar på olika nivåer
  • har en tydlig avsändare och målgrupp
  • bör tydlig bevakas och följas upp
32
Q

Vad är kontinuitetsplanering?

A
  • planera för att upprätthålla verksamhet på en tolerabel nivå oavsett vilken störning den utsätts för
33
Q

Varför har man en kontinuitetsplan?

A
  • snabbare återhämtning
  • mildare konsekvenser
  • förhindra att värden gå förlorade
34
Q

Vad ingår i incidenthantering?

A
  • säkerställa att säkerhetsincidenter upptäcks och identifieras
  • utbilda användare om riskerna som kann innebära en incident
  • ta hand om incidenter på bästa möjliga sätt
  • minimera risken och sannolikheten för framtida incidenter
  • förbättra säkerhetskontroller
35
Q

Vad är en klassningsmodell (förenklad)?

A
  • värdera informationstillgånger
  • består av IT-system, Infrastruktur, Fysiska tillgånger, Informationen
36
Q

Vad ska en klassnigsmodell innehålla?

A
  • matris som inkludera CIA/KRT
  • beskrivning av de olika klasserna
  • koppling mellan klasser och skyddsnivå
37
Q

Hur går klassningen till?

A
  • definiera klassningsobjektens information
  • klassa information
  • få fram en bruttolista på åtgärder
  • utför kompletterande riskanalyser
  • fastställ nettolista
38
Q

Hur går stegat Utbilda & kommunicera till?

A
  • öka medvetenheten
  • ska ske kontinuerligt
  • formellt och planerat
  • informellt & spontant
39
Q

Vilka exempel finns det på utbildning?

A
  • utbildningar
  • kampanjer
  • nyhetsbrev
  • deltagande
  • sida på intranät