Planering för IT-säkerhet Flashcards
Vad innebär begreppet “mission”?
- Organisationens övergripande kärnuppgift; vad vill vi göra?
- Långtgående (10+ år), abstrakt, utgår ifrån dagsläget
Vad innebär begreppet “vision”?
- Vad vill organisationen uppnå på sikt?
- Långtgående (ca 10 år), abstrakt, var ska vi vara i framtiden?
Vad innebär begreppet strategi?
- Hur ska organisationen uppnå sin vision, hur ska vi göra det?
- Fortsättningsvis långtgående och abstrakt
Beskriv strategisk planering
- Högnivå och långsiktig plan för organisationen
- Innehåller definierade mål
- Strategin “rullar ner” till avdelningar, funktioner och processer
- Strategin är ledningens ansvar
- Lång tidshorisont, 5-10 år, revideras med långa mellanrum
Beskriv taktisk planering
- Strategiska planen omsätts till en taktisk plan
- Klara, tydliga och mätbara mål
- Kortsiktigare, 1-2 år
- Revideras oftare än strategiska planen
Beskriv operativ planering
Innefattar de dagliga aktiviteterna
Vad är de 4 huvudsakliga komponenterna inom ledning av informationssäkerhet (LIS)?
- Behovsanalys
- Reglering
- Stöd
- Uppföljning
Dessa 4 ger en informationssäkerhetsplan
Vad ingår i en behovsanalys?
- Analyser av verksamhet, omvärld, hot/risker, GAP-analyser, kostnadsanalyser etc.
- Viktigt att analysen är aktuell, bör göras återkommande
Vad ingår inom begreppet reglering?
- Skapa styrdokument, framförallt policyer, riktlinjer, stöd, instruktioner
Vad ingår inom begreppet stöd?
- Metoder, vägledningar, utbildningar
Vad ingår i begreppet uppföljning?
Granskningar, revisioner, tester
Vad är ett styrdokument?
Ett dokument som styr hur organisationen hanterar informationssäkerhet. Det kan förekomma på många olika nivåer och med olika terminologi i olika standarder. I huvudsak innefattar det policy, riktlinjer och anvisningar/instruktioner
Vad är en informationssäkerhetspolicy?
Det är ledningens yttran för hur informationsäkerhet ska garanteras/skötas. Den utgår ifrån verksamhetens behov, författningar och lagar, samt en bedömning av hotbilder.
Informationssäkerhetspolicyn är övergripande, och ger därför inte några detaljerade anvisningar.
Ge två exempel på informationssäkerhetspolicys
- Strong password policy (alla anställda måste använda starka lösenord och lösenorden måste bytas med tre månaders mellanrum)
- Clean desk policy (konfidentiella dokument och flyttbara media får inte ligga kvar på anställdas arbetsbord efter arbetsdagensslut)
Vad kräver en effektiv och en juridisk bindande informationssäkerhetspolicy?
- Distrubition (gjort tillgänglig för alla)
- Granskning (alla förstår policyn)
- Förståelse (organsationen måste kunna visa att de anställda har förstått innehållet)
- Samtycke (De anställda har uppgett ett samtycke till policyn)
- Enhetlig tillämpning (organisationen måste kunna visa att policyn tillämpats lika på alla anställda)
Vad gör en riktlinje?
Specificerar hur en policy ska implementeras i praktiken; “Vad krävs för att uppfylla policyn?”
Vilka är de tre typer av informationssäkerhetspolicys enligt NIST?
- Allmän informationssäkerhetspolicy (General Information Security Policy, EISP/GISP)
- Specifik informationssäkerhetspolicy (Issue-specifik Security Policy, ISSP)
- Systemspecifik informationssäkerhetspolicy (System-Specific Security Policy, SysSP)
Vad innefattas av den Specifika informationssäkerhetspolicyn, ISSP
Regler som berör specifika tillgånger eller verktyg, t.ex:
- E-post
- Datoranvändning
- BYOD
- Kopierings- och skanningsutrustning
- Nätverkssäkerhet
- Virusskydd
Vad innefattas av den systemspecifika informationssäkerhetspolicyin, SysSP?
Denna berör specifika system, och de viktigaste uppgifterna är:
- Att definiera tillgångar till system (vem, vad, när, hur, varifrån system kan användas)
- Reglera regler för system (vad kan de göra?)
Vad definierar en informationssäkerhetsplan?
- Policyn
- Säkerhetsarkitektur och principer
- Skolning och medvetenhetsprogram
Vad är grundprinciperna för säkerhetsarkitektur?
- Spheres of Security
- Lager av kontroller
- Defence in Depth
- Security Perimeter
Vad är beredskapsplanering?
Planering för och hantering av oönskade händelser
Vad är en beredskapsplan?
En strategisk plan för att säkerställa organisationens kontinuerliga tillgång till informationstillgångar.
Denna ska förutspå, skydda mot och hantera effekter av olika oönskade händelser, t.ex tekniska attacker eller naturkatastrofer.
Nämn 3 olika typer av effekter som behandlas av en beredskapsplan
- Händelser (events): En händelse inom organisationens operativa miljö
- Incidenter (incidents): En oönskad händelse som kan ha negativa effekter på organisationens informationstillgångar
- Katastrofer/kriser: En oönskad händelse som äventyrar hela organisationens förmåga att nå sina målsättningar.