Planering för IT-säkerhet

Question 1

Vad innebär begreppet “mission”?

Answer 1

• Organisationens övergripande kärnuppgift; vad vill vi göra?
• Långtgående (10+ år), abstrakt, utgår ifrån dagsläget

Question 2

Vad innebär begreppet “vision”?

Answer 2

• Vad vill organisationen uppnå på sikt?
• Långtgående (ca 10 år), abstrakt, var ska vi vara i framtiden?

Question 3

Vad innebär begreppet strategi?

Answer 3

• Hur ska organisationen uppnå sin vision, hur ska vi göra det?
• Fortsättningsvis långtgående och abstrakt

Question 4

Beskriv strategisk planering

Answer 4

• Högnivå och långsiktig plan för organisationen
• Innehåller definierade mål
• Strategin “rullar ner” till avdelningar, funktioner och processer
• Strategin är ledningens ansvar
• Lång tidshorisont, 5-10 år, revideras med långa mellanrum

Question 5

Beskriv taktisk planering

Answer 5

• Strategiska planen omsätts till en taktisk plan
• Klara, tydliga och mätbara mål
• Kortsiktigare, 1-2 år
• Revideras oftare än strategiska planen

Question 6

Beskriv operativ planering

Answer 6

Innefattar de dagliga aktiviteterna

Question 7

Vad är de 4 huvudsakliga komponenterna inom ledning av informationssäkerhet (LIS)?

Answer 7

• Behovsanalys
• Reglering
• Stöd
• Uppföljning

Dessa 4 ger en informationssäkerhetsplan

Question 8

Vad ingår i en behovsanalys?

Answer 8

• Analyser av verksamhet, omvärld, hot/risker, GAP-analyser, kostnadsanalyser etc.
• Viktigt att analysen är aktuell, bör göras återkommande

Question 9

Vad ingår inom begreppet reglering?

Answer 9

• Skapa styrdokument, framförallt policyer, riktlinjer, stöd, instruktioner

Question 10

Vad ingår inom begreppet stöd?

Answer 10

• Metoder, vägledningar, utbildningar

Question 11

Vad ingår i begreppet uppföljning?

Answer 11

Granskningar, revisioner, tester

Question 12

Vad är ett styrdokument?

Answer 12

Ett dokument som styr hur organisationen hanterar informationssäkerhet. Det kan förekomma på många olika nivåer och med olika terminologi i olika standarder. I huvudsak innefattar det policy, riktlinjer och anvisningar/instruktioner

Question 13

Vad är en informationssäkerhetspolicy?

Answer 13

Det är ledningens yttran för hur informationsäkerhet ska garanteras/skötas. Den utgår ifrån verksamhetens behov, författningar och lagar, samt en bedömning av hotbilder.

Informationssäkerhetspolicyn är övergripande, och ger därför inte några detaljerade anvisningar.

Question 14

Ge två exempel på informationssäkerhetspolicys

Answer 14

• Strong password policy (alla anställda måste använda starka lösenord och lösenorden måste bytas med tre månaders mellanrum)
• Clean desk policy (konfidentiella dokument och flyttbara media får inte ligga kvar på anställdas arbetsbord efter arbetsdagensslut)

Question 15

Vad kräver en effektiv och en juridisk bindande informationssäkerhetspolicy?

Answer 15

• Distrubition (gjort tillgänglig för alla)
• Granskning (alla förstår policyn)
• Förståelse (organsationen måste kunna visa att de anställda har förstått innehållet)
• Samtycke (De anställda har uppgett ett samtycke till policyn)
• Enhetlig tillämpning (organisationen måste kunna visa att policyn tillämpats lika på alla anställda)

Question 16

Vad gör en riktlinje?

Answer 16

Specificerar hur en policy ska implementeras i praktiken; “Vad krävs för att uppfylla policyn?”

Question 17

Vilka är de tre typer av informationssäkerhetspolicys enligt NIST?

Answer 17

• Allmän informationssäkerhetspolicy (General Information Security Policy, EISP/GISP)
• Specifik informationssäkerhetspolicy (Issue-specifik Security Policy, ISSP)
• Systemspecifik informationssäkerhetspolicy (System-Specific Security Policy, SysSP)

Question 18

Vad innefattas av den Specifika informationssäkerhetspolicyn, ISSP

Answer 18

Regler som berör specifika tillgånger eller verktyg, t.ex:

• E-post
• Datoranvändning
• BYOD
• Kopierings- och skanningsutrustning
• Nätverkssäkerhet
• Virusskydd

Question 19

Vad innefattas av den systemspecifika informationssäkerhetspolicyin, SysSP?

Answer 19

Denna berör specifika system, och de viktigaste uppgifterna är:
- Att definiera tillgångar till system (vem, vad, när, hur, varifrån system kan användas)
- Reglera regler för system (vad kan de göra?)

Question 20

Vad definierar en informationssäkerhetsplan?

Answer 20

• Policyn
• Säkerhetsarkitektur och principer
• Skolning och medvetenhetsprogram

Question 21

Vad är grundprinciperna för säkerhetsarkitektur?

Answer 21

• Spheres of Security
• Lager av kontroller
• Defence in Depth
• Security Perimeter

Question 22

Vad är beredskapsplanering?

Answer 22

Planering för och hantering av oönskade händelser

Question 23

Vad är en beredskapsplan?

Answer 23

En strategisk plan för att säkerställa organisationens kontinuerliga tillgång till informationstillgångar.

Denna ska förutspå, skydda mot och hantera effekter av olika oönskade händelser, t.ex tekniska attacker eller naturkatastrofer.

Question 24

Nämn 3 olika typer av effekter som behandlas av en beredskapsplan

Answer 24

• Händelser (events): En händelse inom organisationens operativa miljö
• Incidenter (incidents): En oönskad händelse som kan ha negativa effekter på organisationens informationstillgångar
• Katastrofer/kriser: En oönskad händelse som äventyrar hela organisationens förmåga att nå sina målsättningar.

Question 25

Hur blir en händelse en incident?

Answer 25

• Händelsen är riktad mot en informationstillgång
• Det finns en realistisk chans att skada görs
• Hot mot konfidentialiteten, riktigheten och tillgängligheten av en informationsresurs.

Question 26

Vad består ett “Contingency Planning Management Team” (CPMT) av?

Answer 26

• Champion (CIO, CEO)
• Manager: Styr processen, ansvar för plan och resursering
• Team: Ledare från olika områden i verksamheten

Question 27

Vilka tre element består en beredskapsplanering av?

Answer 27

• Incidenthantering: Detektion av och reaktion till incidenter
• Katastrofhantering: Återställande av tillgång till informationsresurser
• Kontinuitetshantering: I fall av omfattande skador

Question 28

Vilka 7 steg består beredskapsplanering av?

Answer 28

1. Utveckla en beredskapspolicy
2. Identifiera aktiviteter och resurser som är kritiska för afffärsverksamheten
3. Identifiera kontroller (proaktiva åtgärder)
4. Planera för incidenter eller katastrofer (reaktiva åtgärder)
5. Utveckla en kontinuitetsstrategi
6. Testa och revidera strategin
7. Monitorera

Question 29

Vad innebär en Business Impact Analysis?

Answer 29

Det är en analys som hör ihop med riskhantering, där man dock utgår ifrån att hoten redan är realiserade. Man ställer sig frågan, hur påverkar detta vår verksamhet?

Question 30

MTD

Answer 30

Mean Tolerable Downtime

Question 31

RTO

Answer 31

Recovery Time Objective

Question 32

RPO

Answer 32

Recovery Point Objective

Question 33

WRT

Answer 33

Work Recovery Time

Question 34

Vilka steg ingår i en Business Impact Analysis

Answer 34

1. Identifiera och prioritera verksamhetskritiska processer
2. Skapa prioritetsordning för räddnings/återställningsåtgärder för informationssystem
3. Identifiera vilka resurser som behövs för att återställa informationsresurserna (personal, data, hårdvara, kommunikationer osv)

Question 35

Vad innefattas i en incidenthantering

Answer 35

• Planering
• Detektion
• Reaktion
• Återställning

Question 36

Hur detekterar man en incident?

Answer 36

Genom olika kanaler, t.ex:
- Intrusion Detection and Prevention Systems (IDPS)
- Antivirus program
- Klagomål till helpdesk
- Rapporter från personal

Tecken på en möjlig incident:
- Okända filer inom nätverk, eller filer skapade av okända användare
- Okända program eller processer som exekveras inom nätverket
- Avvikande användning av systemresurser
- Ovanliga systemkrascher

Tecken på en sannolik incident:
- Aktivitet vid ovanliga tider
- Nyskapade använderkonton
- Rapporterade attacker
- Rapporter från IDPS eller antivirusprogram

Säkra tecken på en incident:
- Aktivering av oanvända användarkonton
- Logförändringar
- Upptäckt av kända hackerverktyg
- Meddelande från myndighet eller andra organisationer
- Meddelande från attackutföraren
- System blir otillgängliga
- Data blir korrumperade
- Bruten konfidentialitet
- Brott mot policy
- Brott mot lagen

Question 37

Vad gör man vid en katastrofhantering?

Answer 37

Det är likt incidenthantering, men man handskas med allvarligare incidenter.

Question 38

Vad är en kontinuitetshantering?

Answer 38

• Plan för att återställa tillgång till väsentliga system under och efter en katastrof

Question 39

Vilka olika typer av reservlösningar finns det?

Answer 39

• Hot site
• Warm site
• Cold site
• Time-share
• Extern tjänst
• Ömsesidiga avtal

Question 40

Vad är en “Hot Site”?

Answer 40

All infrastruktur är färdig, endast senaste säkerhetskopia och personal behövs.

Question 41

Vilka är fördelarna med en “Hot Site”?

Answer 41

• Funktionsduglig inom några timmar
• Tillgänglighet, kan också fungera som t.ex testmiljö
• Kan testas
• Kontroll av säkerhetsmiljön

Question 42

Vilka nackdelar finns med en “Hot Site”?

Answer 42

• Dyraste formen av beredskap
• Kräver omfattande underhåll

Question 43

Vad är en “Warm Site”?

Answer 43

• Ett steg ner från Hot Site, saknar i regel programvara och arbetsstationer

Question 44

Vilka fördelar finns med en “Warm Site”?

Answer 44

• Likt Hot Sites, men lite längre starttid

Question 45

Vad är en “Cold Site”?

Answer 45

• Grundinfrastruktur, såsom utrymmen, el och uppvärmning/kylninig
• Saknar all IT-infrastruktur (servers, kommunikationen, data, arbetsstationer)

Question 46

Vilka fördelar finns med en “Cold Site”?

Answer 46

• Betydligt förmånligare än Hot/Warm Sites
• Bra ifall starttiden inte är en viktig faktor

Question 47

Vilka nackdelar finns med en “Cold Site”?

Answer 47

• Starttiden lång, ca 1 vecka