Tenta frågor Flashcards
CIA-triangeln bygger på tre grundläggande aspekter som är väsentliga för att säkerställa informations värde för en organisation,
Confidentiality (sekretess/konfidentialitet), Integrity (riktighet) och Availability (tillgänglighet). I en allt mer digitaliserad och
föränderlig värld anses denna uppdelning inte vara tillräcklig för att fånga den komplexa verklighet vi nu lever i. Därför har ytterligare
aspekter som är relevanta i relation till informations värde lagts till för att bättre kunna avbilda och diskutera krav och risker kopplat
till den information vi vill skydda. Utöver de som nämns i CIA-triangeln nämns också Accuracy (riktighet), Authenticity, (autencitet),
Utility (användbarhet) och Possession (ägarskap).
Förklara de fyra sist nämnda och ge exempel.
Accuracy - Informationen skall vara korrekt, fri från fel och ha det värde slutanvändaren förväntar sig.
Authenticity - informationen skall vara oförändrad från originalet, dvs det material du mottar ska vara identisk med den ursprungliga källan.
Utility: Användbarhet innebär att infomationen som systemet tillhandahåller är användbar och tjänar ett syfte.
Possession: Ägarskap innebär att informationen ägs och tillhandahålls av någon legitim ägare. Det kan ex. vara systemets ansvariga eller organisationen.
Cobit (Control OBjective for Information and related Technology) är ett ramverk framtaget för IT-styrning. Vad är skillnaden mellan
Styrning och Ledning i kontexten standarder?
Styrning kan innebära och bestå av riktlinjer och dokument som en organisation ska följa. Dessa utformas av ledningen eller är standarder
som ledningen beslutar att följa.
Ledning är hur en verksamhet (oftast ledningen i en verksamhet) väljer att följa riktlinjerna som utfomats och ska efterföljas. Ett exempel kan
vara att följa just COBIT ramverket och det i sin tur som är styrningsdokument påverkar ledningen av hur ramverken följs.
Om styrnignen svarar på frågan VAD som ska göras och liknande, så är Ledning, HUR det ska göras.
NIST – Risk Management Framework (RMF) består av följande 6 steg: Categorize, Select, Implement, Assess, Authorize och
Monitor. Förklara kortfattat varje enskilt steg.
Categorize: Innebär att kategorisera de olika riskerna i en verksamhet. De säkerhetsapekterna som är kritiska för företaget kan ses som extra
viktiga men NIST RMF är väldigt omfattande och ska ta hänsyn till samtliga säkerhetsåtgärd, dock måste dessa alltid prioriteras.
I Select väljer man ut säkerhetsåtgärder för den utvärderade tillgångens risker.
Implement: Hur man ska bygga om systemet för att riskerna inte ska verka lika farliga och kunna påverka verksamheten. Ibland kan man
behöva bygga om systemet, ibland bygga nytt system och andra gånger räcker det med att implementera nya säkerhetsåtgärder, tex.
förbättra brangväggarna.
Assess: Efter att ett system har implemnterats så utvärderas det. Detta för att se om säkerhetsapekterna som upptäcktes vid steg 1 och 2 har
blivit “besvarade”.
I Authorize tar man ett beslut för tillgångens drift baserat på resultatet från Assess.
Monitor: underhålla systemet, ifall verksamheten ev. upptäcker andra säkerhethål och aspekter som
inte uppkommit tidigare.
I säkerhetsplanen ingår ett SETA program (Security Education, Training och Awareness). Vad innebär de olika delarna och varför
är de viktiga för informationssäkerheten? Ge exempel på alla tre.
Education – program för att öka kunskap och kännedom om hot, hur individen genom sitt agerande kan förebygga dem, samt varför
informationssäkerhet är viktigt. Ofta intern skolning som används för att utbilda den stora massan där inte formell skolning med specifika
certifikat behövs, dvs för medelarbetaren i organisationen. Fokuserar på varför.
Training – fokuserad, detaljerad och praktiskt inriktad skolning i informationssäkerhet för personalen. Kan vara in-house eller extern, kan
resultera i certifikat eller intyg. Fokuserar på hur.
Awareness – program för att öka medvetenheten (inte bara kännedomen) om informationssäkerhet hos anställda, ofta genom påminnelser
som epost eller affischer. Fokuserar på vad.
Vad är beredskapsplanering (Contingency Planning)? Vilka är de tre huvudsakliga elementen i en beredskapsplan?
Beredskapsplanering (contingency planning) är ledningens planering för de steg som ska tas för att bedöma effekter
och minimera skadorna av en incident eller katastrof, samt återupprätta tillgång till system och data så fort som möjligt. Också förberedande
bedömning av inverkan av incidenter på affärsverksamheten (business impact analysis) ingår.
Huvudelementen är incidenthantering
(identifiering, hantering, återställning av tillgång), katastrofhantering (samma men för katastrofer och större avbrott) och kontinuitetsplanering
(återupptagning av verksamhet genom reservlösningar såsom hot sites).
Förklara begreppen risktolerans (risk apetite) och resterande risk (residual risk). Hur relaterar de till riskhantering och
organisationens strategi?
Risktolerans handlar om hur stor risk är organisationen är beredd att ta, medan resterande risk är den risk som finns kvar efter att skyddsåtgärder har vidtagits.
Risktolerans relaterar till strategi i det avseendet att säkerhet alltid är en avvägning mellan kostnaden (inte
bara i pengar, utan också t ex minskad tillgång) för ytterligare skydd för en tillgång versus kostnaden för en framgångsrik attack (igen, inte bara pengar utan också t ex inverkan på anseende). T ex har en bank sannolikt en betydligt mindre tolerans för risk än en mindre möbeltillverkare eftersom den är mera beroende av sina system och gott anseende gällande säkerhet, och kommer därmed att acceptera mindre resterande risk.
Riskbedömningar kan göras kvalitativt och kvantitativt. Förklara kvantitativ riskbedömning och beskriv vilka brister i relation till
kvalitativa riskbedömningar som kvantitativ riskbedömning försöker komma åt.
Kvalitativ riskbedömning bygger på att man utifrån tidigare erfarenhet försöker göra en rimlig bedömning hur allvarliga konsekvenserna är
som är associeras med en viss risk.
Kvantitativ riskbedömning bygger på att man utifrån insamlad data använder statistisk metod för att bedöma risken.
Kvantitativ riskbedömning ses som ett sätt att minska godtyckligheten som man finner i kvalitativ riskbedömning.
Det finns fyra tekniska krav för ett system för att åtkomstkontroll ska fungera som det är tänkt. Namnge och beskriv dessa krav
kortfattat.
Identifiering: Först ska man identifiera användare, detta kan ex. göras genom att denne skrivier in sitt användarnamn eller sin e-mailadress.
Autentisering: För att sedan kontrollera så att användaren är den som den säger sig vara finns det tre metoder att göra detta på. Samtliga
metoder kan också kombineras.
- Något användaren VET: det kan ex. vara ett lösenord.
- Något användaren HAR: det kan ex. vara en bankdosa, kreditkort, eller passerkort.
- Något användare ÄR: Det kan vara biometrics, ex. ansiktigenkänning eller ett fingeravtryck.
Auktorisering: När användaren har identifierat sig och autensiteringen godkännts får denna åtkomst till det som användare ska ha åtkomst
till. Detta kan enkelt kontrolleras genom en AccessControlList (ACL) och användarens tillgångar kan vara:
- Beroende på vem användaren är, ex. en läkare ska ha tillgång till journal men inte den anställde som städar eller sitter i receptionen på
sjukhuset.
- Beroende på vad användare tillhör, ex. det kan vara grupptillhörighet, avdelning och liknande.
- Beroende på vad för system som användaren har logga in genom kan denne också ha tillgång till andra system, Alltså; systemspecifik
tillgång.
Ansvarsskyldighet: Men ansvarsskyldighet menas att den användaren som loggar in också har ansvar och skyldigheter. Det innebär att
användare inte borde låna ut sitt konto och lösenord till andra användare. Om det inträffar någon incident kan därför denne användare stå
som skyldig, någon som är viktigt att tänka på. Ex. om man passerar genom en dörr där passagekortkrävs, så ska inte användaren släppa in
någon obehörig, då den isf. har ansvar för denna.
