SÄK Flashcards
Informationssäkerhet: Vad är det som ska blir säkert?
Informationen, eftersom det är en tillgång
Var finns informationen?
Överallt, oftast fokuserat på IT-system
Vad är informationen?
Data med mening. Kunskap som kommuniceras. Kan lagras i datorer, skickas via kommunikation
Vad är informationssäkerhetens mål?
Att hålla informationen hålls hemlig för obehöriga(Sekretess), att informationen skall vara riktig(Riktighet), Att informationen är tillgänglig för den som är behörig och behöver den(Tillgänglighet). - (Finns de som lägger till Spårbarhet)!
konfidentialitet/Sekretess?
Information och IT-system inte avslöjas eller görs tillgängliga för obheöriga
Riktighet?
Inte förändras eller system inte felaktigt förändras av misstag eller av obehöriga.
Tillgänglighet?
Att information och IT-system är tillgängliga för behöriga användare, i förväntas utsträckning och inom önskad tid.
Nämn några säkerhetsåtgärder:
Lösenord, kryptering, backupper osv
Skydd går att dela in i tre kategorier
Logiska, fysiska och administrativa
Vad finns det för hot?
Misstag, hackers, strömmen slutar funka, olyckor.
Hur ska man utforma skyddet?
Utefter vad som man tror kan inträffa, vilka hot det finns.
Säkerhetsekonomi, vad innebär det?
Att för mycket informationssäkerhet är för jobbigt och dyrt och för lite är för jobbigt och dyrt
Informationssäkerhet handlar om att hitta en bra balans som tar hänsyn till:
Informationens värde, hot och risker(vad kan faktiskt hända med denna info) samt externa och interna krav(måste va tillgänglig för)
Vad handlar informationssäkerhet mer om än informationssäkerhet?
Om management-/styrningsfrågor
Mål med informationssäkerhet?
Sekretess, riktighet, tillgänglighet och (spårbarhet)
Vad är en aktör?
En organisation, en grupp eller individ - inom eller utanför organisationen
Interna aktörer är:
beslutande, kravställande, säkerhetsstödjande, införande och anställda. ex. ledningen, systemägare
Externa aktörer är:
köpande(kunder), leverande, övervakande(finansinspektionen inom bank), opionsbildande, konkurrerande(“denna banken tar jag den är säkrare”), och hotande(inte bara externa)
Alla aktörer påverkar hur vi sköter säkerheten. Men behöver kontrolleras och styras. Hur gör man det?
Policyer och riktlinjer inom ett företag - ta fram och kommunicera dessa!
Vems stöd behöver man för att åstadkomma någonting?
Ledningens engagemang.
Vilka steg finns det för Modell för Informationssäkerhetsarbete?
Förbereda, analysera, utforma, införa, följa upp och förbättra
Förbereda:
Introduktion, ledningens engagemang och projektplanering
Analysera:
Verksamhet, risk och GAP
Utforma:
Åtgärder, processer och styrdokument
Införa:
Planera genomförande, konstruera och anskaffa och införa
Följa upp:
Övervaka, granska, ledningens genomgång
Förbättra:
Utveckla LIS, Kommunicera förbättringar och fortsatt arbete
Vad finns det för analyser?
Riskanalys, verksamhetsanalys och GAP-analys
Verksamhetsanalysen svarar på två frågor, vilka?
- Vilka är våra kritiska tillgångar?
2. Vilka är kraven/behoven av informationssäkerheten när det gäller de tillgångarna?
Kritiska tillgångar:
De som har stor betydelse för verksamheten. Hur hittar man dem(de i i mitten av modellen). Utgå från affären och affärsprocesserna - vilka är de centrala informationstillgångarna och processerna? Gäller att använda olika fokus
Använd olika fokus när du tar reda på de kritiska informationstillgångarna:
Informationsflöden: tidigare dokument, kritiska processer, kärnprocesser, kränprocesser, kritiska informationsflöden
IT-system: ofta brad okus om man har gemensamma namn och ansvarsområden, lagom grepp, tydligt avgränsat, finns lista på IT-enheten, potentiellt problem: fokus på IT snarare än info.
Viktiga information: Vad är kritisk information för oss?
Potentiellt problem: Svårt att veta vad som är viktigt.
Vad händer om man gör rätt?
Det blir som en karta av vad vi säkrar upp på verksamheten.
ex. på hur man tar reda på kritiska tillgångarna:
Skicka ut enkät/email från anställda. Då blir det en karta man kan använda och utgå från.
Vad gör vi med resultatet av verksamhetsanalysen?
Nu vet vi vad vi ska skydda och: territorier är kartlagt, vi vet på ett ungefär vad som är kritiska informationstillgångar, vi kartlägger INTE alla tillgångar. NU är det dags att titta på KRAV/BEHOV!
NU lägg undan HOT och RISK. Nu ska vi se till krav och behoven på informationssäkerheten för de tillgångar vi identifierat. Vilka typer av krav finns det på informationssäkerhet?
Externa(legala krav) och Interna(verksamhetens krav)
Exempel på legala krav?
Personuppgiftslag, upphovsrättsliga lagar och bokföringslag
Exempel på verksamhetens krav?
Krav på riktighet, krav på sekretess, krav på tillgänglighet och krav på spårbarhet
Vad innebär informationsklassificering?
Att avgöra säkerhetskraven för en informationstillgång, klassificering sker för varje tillgång som identifierats. Ofta sker det praktiskt i workshopformat. Låt oss fokusera på en tillgång och klassificera den.
Informationstillgången klassificeras i följande klasser:
Sekretess, riktighet och tillgänglighet. Man måste ta reda på vilken klass informationen tillhör.
Vad innebär klassificering?
Att det finns ett visst behov av tillgänglighet, sekretess, riktighet för informationstillgången. Vissa verksamheter kopplar klassen direkt till vissa tekniska åtgärder (för- och nackdelar). Klassificering innebär dels: Att vi fastställt behov och krav, att verksamheten som varit med fått medvetande om vikten av informationssäkerhet. (VIKTIGT) och att vi har kunskap som vi kan ta med oss in i riskanalys och val av åtgärder.
RISKANALYS?
Vad kan hända och vad får det för konsekvenser? (du kan ta vilket objekt som helst och analysera: ad kan hända med detta?)
Vad analyseras?
Olika fokus
- Hela verksamheten
- Enskild informationsstil
Säg varje Metodsteg i Riskanalys
- Verksamhetens krav på informationen.
- Val och beskrivning av analysobjekt.
- Identifiering av hot-
- Sammanställning och gruppering av hot.
- Riskbedömning: konsekvens och sannolikhe.
- Framtagning av åtgärdsförslag.
Beskriv Hot =
En möjlig, oönskad händelse som kan störa verksamheten
Beskriv Konsekvens =
Hur påverkas verksamheten till följd av händelse?
Beskriv Sannolikhet =
Hur troligt är det att en händelse inträffar?
Beskriv Risk =
En kombination av hur allvarligt en händelse kan störa verksamheten och hur troligt det är att händelsen inträffa
Efter metodstegen handlar det om att kartlägga. Hur många steg och vilka?
5 stycken.
- Vad är det som ska analyseras?
- Ta fram hot.
- Sammanställ och ordna
- Värda risken
- Åtgärder