Tentafrågor (17-19) Flashcards
(37 cards)
CIA-triangeln bygger på tre grundläggande aspekter som är väsentliga för att säkerställa informations värde för en organisation, Confidentiality (sekretess/konfidentialitet), Integrity (riktighet) och Availability (tillgänglighet). I en allt mer digitaliserad och föränderlig värld anses denna uppdelning inte vara tillräcklig för att fånga den komplexa verklighet vi nu lever i. Därför har ytterligare aspekter som är relevanta i relation till informations värde lagts till för att bättre kunna avbilda och diskutera krav och risker kopplat till den information vi vill skydda. Utöver de som nämns i CIA-triangeln nämns också:
Förklara begreppen i den utökade CIA-triangeln. Du behöver inte förklara Confidentiality (sekretess/konfidentialitet), Accuracy (riktighet) och Availability (tillgänglighet). 6 poäng.
- Riktighet (accuracy) - Beskriver hur data är fritt från fel och har det värdet som en användare förväntar sig. Om information har blivit modifierad (avsiktligt eller oavsiktligt), är den inte längre riktig.
- Autencitet (authenticity) - Kvalitet eller tillstånd av data som är genuin eller originell, snarare än reproducerad eller tillverkad. Information är autentiserad då den är i samma tillstånd som den skapades i, placerad i, sparad i, eller skickad till.
- Användbarhet (utility) - Beskriver hur data har ett värde eller användbarhet för ett ändamål.
- Ägarskap (possession) - Beskriver hur datans ägande eller kontroll är legitim/rättmätig eller auktoriserad/berättigad.
Cobit (Control OBjective for Information and related Technology) är ett ramverk framtaget för IT-styrning. Vad är skillnaden mellan
Styrning och Ledning i kontexten standarder?
COBIT är ett it-styrnings ramverk för affärsverksamheter! Detta ska göra att standarder ska vara lättare att förstå för verksamheter och liknande.
- Styrning “Vad måste göras” (Mål): Styrning kan innebära och bestå av riktlinjer och dokument som en organisation ska följa. Dessa utformas av ledningen eller är standarder
som ledningen beslutar att följa. - Ledning “Hur måste det göras” (Strategi): Ledning är hur en verksamhet (oftast ledningen i en verksamhet) väljer att följa riktlinjerna som utfomats och ska efterföljas.
Ett exempel kan vara att följa just COBIT ramverket och det i sin tur som är styrningsdokument påverkar ledningen av hur ramverken följs.
Om styrnignen svarar på frågan VAD som ska göras och liknande, så är Ledning, HUR det ska göras.
NIST – Risk Management Framework (RMF) består av följande 6 steg: Categorize, Select, Implement, Assess, Authorize och Monitor. Förklara kortfattat varje enskilt steg:
- Categorize:
Innebär att katogorisera de olika riskerna i en verksamhet. De säkerhetsaspekterna som är kritiska för företaget kan ses som extra viktiga men NIST RMF är väldigt omfattande och ska ta hänsyn till samtliga säkerhetsåtgärder, dock måste dessa alltid prioriteras. - Select:
I select väljer man ut säkerhetsåtgärder för den utvärderade tillgångs risker. - Implement:
Hur man ska bygga om systemet för att riskerna inte ska verka lika farliga och kunna påverka verksamheten. Ibland kan man behöva bygga om systemet, ibland bygga nytt system och andra gånger räcker det med att implementera nya säkerhetsåtgärder t.ex. förbättra brandväggarna. - Assess:
Efter att ett system har implementerats så utvärderas det. Detta för att se om säkerhetsaspekterna som upptäcktes vid steg 1 och 2 har blivit “besvarade”. - Authorize:
I Authorize tar man ett beslut för tillgångens drift baserat på resultatet från Assess. - Monitor:
Sist men inte minst gäller det att underhålla systemet. Så att en verksamheten kan upptäcka eventuella säkerhetshål och aspekter som inte uppkommit tidigare.
I säkerhetsplanen ingår ett SETA program (Security Education, Training och Awareness). Vad innebär de olika delarna och varför är de viktiga för informationssäkerheten? Ge exempel på alla tre:
Den största risken i många verksamheter, har visat sig att inte vara systemen och dessa arkitektur utan människorna bakom systemen, dvs. medarbetarna. Människor kan ibland vara naiva och inte se risker med informationssäkerhet och det gör att utbildning av personal är en viktig del i det förebyggande arbetet av informationssäkerhet.
- Education:
Utbildning innebär att utbilda personalen i ex. hur hackare tar sig in i system. Detta kan göras genom en eller flera dagars utbildning som innehåller t.ex. föreläsningar mm. Det kan även vara att informera medarbetarna om policys, regler och riktlinjer som verksamheten följer, detta för att visa att man värderar IT- och informationssäkerhet högt i sin organisation. - Training:
Att träna sina arbetare kan består av att låta de upptäcka hackers eller olaga intrång i system, ex. genom att jämför två olika mail där det ena är ett “nigeriabrev” eller ett fejkmail från VDn och det andra ett riktigt brev från VDn. Detta för att arbetare ska förstå vad som skickas mellan medarbetare i företaget och vad som man inte ska tro på. - Awareness:
Innebär att uppmana och uppmuntra medarbetare till kritiskt tänk! Detta för att, om medarbetarna är medvetna, till hur “hackers” och olaga intrång kan se ut i praktiken så kommer de undvika och vara uppmärksamma i arbetet. Det kan vara att upplysa och träna de i att inte klicka på länkar eller ladda ner dokument från okända avsändare för att de ska bli medvetna om att sådant förekommer!
Vad är beredskapsplanering (Contingency Planning)? Vilka är de tre huvudsakliga elementen i en beredskapsplan?
Beredskapsplanering (contingency planning) är ledningens planering för de steg som ska tas för att bedöma effekter och minimera skadorna av en incident eller katastrof, samt återupprätta tillgång till system och data så fort som möjligt. Också förberedande bedömning av inverkan av incidenter på affärsverksamheten (business impact analysis) ingår.
Huvudelementen är:
- Incidenthantering (identifiering, hantering, återställning av tillgång).
- Katastrofhantering (samma men för katastrofer och större avbrott).
- Kontinuitetsplanering (återupptagning av verksamhet genom reserv lösningar såsom hot sites).
Hur relaterar risk till begreppen sannolikhet, konsekvens, hot och sårbarhet? Förklara med exempel:
- Sannolikheten för att en risk inträffar som leder till att en oönskad händelse inträffar, exempelvis en informationsförlust. Beroende på sannolikhetsnivå får risker olika prioriteringsgrad.
- Konsekvens relaterat till risk handlar om vad en möjlig händelse som kan orsaka skada skulle kunna få för möjliga effekter på verksamheten t.ex. ekonomiska, personskador eller ryktesskador.
- Hot är en händelse som kan inträffa och orsaka skada för verksamheten. Hot utgörs av en kategori av objekt, människor, eller andra entiteter som utgör fara för en tillgång. Risk relaterar till hot genom att man brukar mäta risken för att ett visst hot ska inträffa inom IT-säkerhet.
- Sårbarhet är en svaghet eller ett fel i ett system eller en säkerhetsmekanism som gör det utsatt för attacker eller skador. Ett exempel kan vara ett fel i ett mjukvarupaket. En potentiell sårbarhet som utnyttjas för orsaka skada är en risk för verksamheten och går därför att även se som en risk.
Förklara begreppen risktolerans (risk apetite) och resterande risk (residual risk). Hur relaterar de till riskhantering och organisationens strategi?
- Risktolerans är den risk som ett företag kan “leva med” att ha. Oavsett hur många riskåtgärder man har så kommer det alltid att finnas en risk. Enda sättet att vara helt 100% säker är att koppla ur och stänga ner, men detta är inte rimligt. Man kan tänka att om det kostar mer att införa säkerhetsåtgärd än vad skadan skulle kosta så är det en risk man kan fortsätta ha.
- Resterande risker är alltså de risker som man fortfarande har efter man infört sina säkerhetsåtgärder. Dessa kommer aldrig vara obefintliga. Dessa är kopplade till företagets strategi då strategin är kopplad till det operativa, hur företaget ska arbeta för att uppnå sin mission. De resterande riskerna som man tolererar får därför inte inkräkta på strategin.
T.ex. har en bank sannolikt en betydligt mindre tolerans för risk än en mindre möbeltillverkare eftersom den är mera beroende av sina system och gott anseende gällande säkerhet, och kommer därmed att acceptera mindre resterande risk.
Riskbedömningar kan göras kvalitativt och kvantitativt. Förklara kvantitativ riskbedömning och beskriv vilka brister i relation till kvalitativa riskbedömningar som kvantitativ riskbedömning försöker komma åt.
- Kvalitativ riskbedömning bygger på att man utifrån tidigare erfarenhet försöker göra en rimlig bedömning hur allvarliga konsekvenserna är som är associeras med en viss risk.
- Kvantitativ riskbedömning bygger på att man utifrån insamlad data använder statistisk metod för att bedöma risken. Kvantitativ riskbedömning ses som ett sätt att minska godtyckligheten som man finner i kvalitativ riskbedömning.
Det finns fyra tekniska krav för ett system för att åtkomstkontroll ska fungera som det är tänkt. Namnge och beskriv dessa krav kortfattat.
- Identifiering (Identification): Först ska man identifiera användare, detta kan ex. göras genom att denne skriver in sitt användarnamn eller sin e-mailadress.
- Autentisering (Authentication): För att sedan kontrollera så att användaren är den som den säger sig vara finns det tre metoder att göra detta på. Samtliga metoder kan också kombineras med:
- Något användaren VET: det kan ex. vara ett lösenord.
- Något användaren HAR: det kan ex. vara en bankdosa, kreditkort, BankID eller passerkort.
- Något användare ÄR: Det kan vara biometrics, ex. ansiktsigenkänning eller ett fingeravtryck.
- Auktorisering (Authorization): När användaren har identifierat sig och autentiseringen godkänns får denna åtkomst till det som användare ska ha åtkomst till. Detta kan enkelt kontrolleras genom en AccessControlList (ACL) som ger en lista av vad denne har tillgång till. En användare ser alltså bara det den har tillgång till (befogenhet att göra).
- Ansvarsskyldighet: Men ansvarsskyldighet menas att den användaren som loggar in också har ansvar och skyldigheter. Det innebär att användare inte borde låna ut sitt konto och lösenord till andra användare. Om det inträffar någon incident kan därför denne användare stå som skyldig, någon som är viktigt att tänka på. Ex. om man passerar genom en dörr där passerkort krävs, så ska inte användaren släppa in någon obehörig, då den isf. har ansvar för denna. För att se vem som gjort vad kan man använda sig av loggar.
När det kommer till val av anti-virusprogram så har NIST 6 rekommendationer på funktionalitet som antivirusprogrammet skall ha. Beskriv 3 utav dessa kortfattat. Om fler än tre beskrivs så kommer endast de tre första att räknas.
NIST rekommenderar att följande funktionalitet ska finnas hos ett antivirus skydd:
- Skanning av frekvent drabbade områden så som uppstartsfiler för operativsystemet.
- Övervakning av realtidshändelser i operativsystemet för att upptäcka suspekta aktiviteter.
- Skanning av alla filer som laddas ner eller finns i bifogade filer i e-mails.
- Konfiguration för att skanna datorns samtliga filer efter kända virus med jämna mellanrum.
- Identifiering av vanligt förekommande oönskad kod (malware).
- Möjlighet till att desinfektera och ta bort oönskad kod.
Asymmetrisk och symmetrisk kryptering är en förutsättning för många av de aktiviteter som vi gör på webben. Förklara dessa två olika krypteringstekniker och hur de gemensamt används vid kommunikation över internet.
Asymmetrisk kryptering: innebär att två användare har både varsin privatnyckel men också varsin publiknyckel. Det innebär att om person A ska skriva till person B så kan denne välja att kryptera meddelandet med person B:s publika nyckel och på så sätt kan endast person B
dekryptera meddelandet. Detta kan vara en fördel och ett smart sätt om person A endast vill att person B ska få meddelandet, då detta gör att person B är den enda som kan dekryptera det. Detta är en säker kommunikation och kan på så sätt vara svår för obehöriga som vill avlyssna och göra intrång. Detta då det är flera nycklar som denne som gör intrång behöver åtkomst till. Asymmetrisk kryptering kan även användas så att person A skickar ett meddelande till en i nätverket som har både publika- och privata nycklar och genom att själv kryptera meddelandet med en publik nyckel så kan mottagaren vara säker på att meddelandet kommer från just person A och ingen annan.
Symmetrisk kryptering: innebär att de som krypterar har båda en privatnyckel och denna ska vara samma för båda parter. Det gör att de kan kryptera och dekryptera varandras meddelanden och ingen utomstående kan läsa meddelanden. Det som kan vara klurigt är dock
överföringen av dessa privata nycklar. För att båda ska få tillgång till dessa krävs det nästan att de ses fysiskt eller att de skickar nycklarna genom en asymmetrisk kryptering, på så sätt kan dessa krypteringsmetoder användas gemensamt vid kommunikation över internet.
Nackdelen med symmetrisk kryptering är att om någon utomstående och obehörig kommer över den privata nyckeln så blottas allt för denne då allt “hänger på” att den nyckeln ska förbli hemlig!
Symmetrisk kryptering kan ses som billigare, då den inte kräver så mycket underhåll och processande, till skillnad från asymmetrisk kryptering. Dock kan asymmetrisk kryptering ta längre tid, just pga. det kräver mer processering och data.
ChatGPT svar:
Symmetrisk kryptering använder samma nyckel för både kryptering och dekryptering av meddelanden. Detta innebär att om någon får tag på nyckeln kan de enkelt avkryptera meddelandet. Symmetrisk kryptering är vanligtvis snabbare än asymmetrisk kryptering, men det finns en större säkerhetsrisk eftersom en nyckel som har delats mellan två parter kan utsättas för stöld eller avlyssning.
Asymmetrisk kryptering använder två olika nycklar för kryptering och dekryptering. Den ena nyckeln, den privata nyckeln, är hemlig och används för att dekryptera meddelanden som har krypterats med den offentliga nyckeln. Den offentliga nyckeln kan delas fritt och används för att kryptera meddelanden som endast kan dekrypteras med den privata nyckeln. Asymmetrisk kryptering är säkrare eftersom den privata nyckeln inte delas, men det är också vanligtvis långsammare än symmetrisk kryptering.
I allmänhet används symmetrisk kryptering för att kryptera stora datamängder, till exempel filer, medan asymmetrisk kryptering används för att kryptera mindre mängder data, till exempel lösenord eller andra känsliga uppgifter.
Del A:
Ett centralt begrepp inom kryptering är kryptosystem. Förklara vad ett kryptosystem är och vad syftet med ett kryptosystem är.
Ett kryptosystem är en metod för att kryptera (dvs. koda eller dölja) information så att den inte kan läsas av obehöriga.
Det utgörs av en krypteringsmetod eller process som omfattar en eller flera algoritmer, nyckel/nycklar eller kryptovariabler och procedurer för att kryptera eller dekryptera.
Syftet med ett kryptosystem är att skapa en så säker och openetrerbar kommunikation som möjligt, som samtidigt är distribuerar och resurseffektiv.
Del B:
I samband med krypto system nämns XOR, som i sig är ett svagt krypto men som ändå har en viktig roll, förklara denna.
Som en del av ett kryptosystem kan XOR användas för att öka komplexiteten för den som försöker dekryptera meddelandet.
Del C:
Hashfunktioner används inte direkt som ett krypto men har ändå en roll i många kryptosystem. Förklara hashfunktioners roll i kryptosystem.
Hashfunktioner används oftast i samband med kryptering av lösenord. Det är färdiga funktioner som göra att om ett lösenord “hashas” så skriver algoritmen ut en “tillsynes” random (slumpmässig) sträng men denna är unik, just för det lösenord som skrivits in. Om en liten sak ändras i lösenordet, ex en bokstav blir stor, så ändras också hela hashen. Detta gör det omöjligt att dekryptera hashade funktioner. I kryptosystem kan en hash användas för att se om innehållet i en text har ändrats. Detta ex. genom att hasha innehållet i originaltexten och sedan hasha innehållet i den “nya” texten och om hasharna är olika så är inte texterna de samma, dvs. något har ändrats, även om det är något mycket liten förändring! På så sätt kan man alltså se om texten är originell, och det är ett sätt som hashfunktioner används till i kryptosystem.
Exempelvis kan det användas för att gömma lösenord i en databas, så att om databasen blir hackad kan inte den som gör intrång få tillgång till lösenordet utan endast en lösenordets hash.
JOA beskrev hur han såg på huvudprocessen för infoskyddet. I denna process är Input - Krav och förväntningar och Output – Verksamheten kan utföras utan att allvarliga störningar inträffar. Uppkommer sådana ska de kunna hanteras. Vilka fyra aktiviteter består denna huvudprocess av? Förklara kortfattat dessa.
Input: Krav och förväntning
Output: Verksamheten kan utföras utan att allvarliga störningar inträffar. Uppkommer sådana ska de kunna hanteras.
De fyra aktiviteterna i huvudprocessen är följande:
Byggandet av informationsskydd - ut efter de krav och förväntningarna som en verksamhet har, ska informationsskydd byggas och här måste man också se till behoven i verksamheten. Det kan vara att informationssystemet ska vara användarvänliga. Sedan ska systemet implementeras, det informationsskyddet som har byggts, detta så att det passar andra system som verksamheter har, nyttjar och tillhandahåller. Det ska kunna göra backups så att om en incident eller allvarlig störning inträffar så finns det sparade versioner, detta är ett sätt att tillhandahålla lösningar så att informationssystemet byggs “med flera bärande balkar”. Det kan också vara genom att ha reserv lösningar och andra system som kan tas i bruk.
Systemet som byggs och implementeras måste också testas, detta för att hindra att fel och infosäkehetshål upptäcks innan och inte när systemet väl är i bruk (även om det ofta inträffar, enligt JOA). Det JOA också talade om var att det gäller att implementera brandväggar och
system som reagerar på om en “konstig” händelse är på väg att inträffa. Ett exempel kan vara att implementera IDPS (det sa inte JOA, utan det mitt förslag). Men poängen, att man implementerar infosäkerhet så att själva IT systemet tillhandahåller lösningar och “alarm” och tex. kan sålla mellan vilka som ska kunna besöka och få tillgång till systemet.
Boken tar upp sju kritiska egenskaper hos information. Beskriv samtliga.
- Tillgänglighet (availability):
Informationen ska vara tillgänglig för rätt person i rätt format när personen behöver ha tillgång till den. - Riktighet (accuracy):
Beskriver hur data är fritt från fel och har det värdet som en användare förväntar sig. Om information har blivit modifierad (avsiktligt eller oavsiktligt), är den inte längre riktig. - Autencitet (authenticity):
Kvalitet eller tillstånd av data som är genuin eller originell, snarare än reproducerad eller tillverkad. Information är autentiserad då den är i samma tillstånd som den skapades, placerades och sparades i eller blir skickad till. - Sekretess/ Konfidentialitet:
Informationen ska endast vara tillgänglig för de personer som ska ha tillgång till den och ingen obehörig. Får en obehörig tillgång till informationen bryts konfidentialiteten. - Integritet (integrity):
Information har integritet när den är hel, komplett och ofördärvad. - Användbarhet (utility):
Informationen måste ha ett syfte och därigenom skapar den ett värde för ägaren av den. - Ägarskap (possession):
Informationen måste kunna påvisa någon form av ägarskap. Detta går ihop med spårbarhet och oavvislighet. Man ska kunna se vem som gjort vad med informationen.
Det finns flera olika sätt att försöka knäcka och komma åt lösenord. Fyra metoder som används för att komma åt lösenord är:
- Brute force
- Dictionary (lexicon)
- Rainbow tables
- Social engineering.
Beskriv hur dessa går till. Beskriv även styrkor, svagheter med dessa och hur man kan skydda sig emot dem.
- Brute Force: innebär att en angripare systematiskt testar ett lösenord i taget för att till slut kunna lyckas hitta rätt kombination och på så vis ta sig in. Detta kan utföras på flera sätt, exempelvis med en “dictionary” i grunden som ursprungspunkt för vilka försök som ska göras. Det kan också göras systematiskt med alla tänkbara kombinationer som finns, både med små och stora tecken samt specialtecken. Det senare innebär att det är väldigt
resurskrävande och kan i de fall som lösenorden är långa kräva väldigt mycket tid innan rätt
kombination hittas.
En styrka med Brute Force från angriparens perspektiv är att den vet med säkerhet att den kommer kunna hitta rätt lösenord till slut, om än efter lång tid. Då den jobbar sig igenom alla tänkbara varianter systematiskt så missas inga lösenord utan för varje försök som görs så kommer den närmare det rätta svaret.
En svaghet med Brute Force är, som nämnt, att det kan vara väldigt resurskrävande och ta lång tid. Framförallt gäller detta långa och komplicerade lösenord.
För att skydda sig mot Brute Force bör man ha ett långt lösenord med många olika varianter på tecken. Ju längre lösenord, desto svårare att knäcka då det tar exponentiellt mycket längre tid.
- Dictionary: är en ordbok med väldigt många vanliga ord, fraser och namn som används i lösenord och som på så sätt kan användas som utgångspunkt när en angripare försöker testa sig fram till rätt lösenord. Angriparen använder sig då av dessa ord i kombinationer och i olika varianter för att på så vis kunna effektivt hitta fram till rätt lösenord på ett snabbare sätt. Det innebär dock fortfarande att varje lösenordskombination måste testas en i taget.
Styrkan med detta är att det kan spara väldigt mycket tid jämfört med vanlig Brute Force då många lösenord använder sig av vanliga ord och namn i någon utsträckning. Således behövs inte alla tänkbara kombinationer testas utan varje “vanligt” lösenord kan testas först för att då förhoppningsvis hitta rätt svar snabbare.
Svagheten är att de lösenord som inte använder sig utav vanliga ord och namn då kommer ta ännu längre tid att testa sig fram till eftersom det inte blir något av de första alternativ som testas.
För att skydda sig mot Dictionary attacks bör man använda sig av lösenord som inte innehåller vanliga ord, fraser eller namn utan enbart “ologiska” kombinationer av tecken.
- Rainbow Tables: Innebär att en väldigt stor samling hashade lösenord sparas i en tabell och sedan används för att söka igenom för att förhoppningsvis hitta en matchande hashning som det lösenord man fått tag i. Varje hashning som är sparad har då också det motsvarande värdet sparat.
Styrkan med detta är att det kan gå väldigt mycket snabbare än att Brute Force:a då man vid Rainbow Tables bara söker igenom värden som redan finns, vilket är mycket effektivare än att testa alla kombinationer.
Svagheten är att det kräver att man har fått tillgång till det hashade lösenordet för att kunna söka efter dess motsvarande värde i tabellen. Likaså krävs det att man vet vilken typ av hash som använts. Slutligen är det väldigt resurskrävande att ta fram dessa Rainbow Tables och de blir väldigt stora tabeller med alla varianter. Skulle det vara ett lösenord som inte sparats i tabellen så går det inte heller att hitta dess värde.
För att skydda sig mot detta gäller det att ha alla lösenord sparade säkert då det krävs ett intrång för att kunna få reda på lösenordets hashade värde och på så sätt sedan kunna söka upp dess ursprungliga värde i klartext. Har man dessutom sparat alla hashvärden genom att först ha använt sig av ett slumpmässigt salt så går det inte för angriparen att hitta det motsvarande värdet i tabellen.
- Social Engineering: Handlar om att man nyttjar människans naivitet och god tro för att på så sätt kunna få till sig information. Det kan till exempel vara att man kommer till ett företag och säger att man ska in och åtgärda ett fel vid företagets servrar i hopp om att bli insläppt. Ofta kan människor vilja hjälpa till och försöker därför hitta en lösning för att underlätta.
Styrkan med detta från angriparens perspektiv är att det kan vara väldigt enkelt att komma åt extremt känslig information ifall man får hjälp. Det kan vara information som annars hade varit extremt resurskrävande och komplicerad att nå, men som någon människa då kan “släppa förbi” en till att nå på ett enkelt sätt.
Svagheten är att det krävs att det finns någon som medvetet eller omedvetet utför en handling så angriparen kan komma åt den information som den vill. I de fall där det inte tillåts och ges någon möjlighet till detta så finns det inte heller något vidare att göra.
För att skydda sig mot Social Engineering så bör ett företag ha tydliga policys som reglerar dessa frågor och jobba aktivt med att göra sina medarbetare medvetna om den risk som förekommer.
NIST – Risk Management Framework (RMF) består av följande 6 steg: Categorize, Select, Implement, Assess, Authorize och Monitor. Förklara kortfattat varje enskilt steg.
- Categorize:
Innebär att man ska kategorisera informationen för att kunna få ut en “baseline” av åtgärder man kan använda sig av. - Select:
Man väljer ut och skräddarsyr en informations-säkerhetsåtgärd. - Implement:
Man implementerar den lösning man tagit fram, här brukar det vara en fråga om man ska bygga in, bygga om eller bygga nytt. - Asses:
Man utvärderar om lösningen uppfyller sitt syfte och krav man haft från början. - Authorize:
Man fattar beslut utifrån utvärderingen om man ska fortsätta använda sig av lösningen. - Monitor:
Man övervakar den lösning man infört och söker ständig förbättring.
Definiera kort följande termer (1-2 meningar) i relation till informationssäkerhets-planering, gärna med exempel:
1. Specifik informationssäkerhetspolicy (issue-specific security policy)
2. Kris/katastrof (crisis/catastrophe)
3. Business impact analysis (BIA)
4. Work recovery time (WRT)
5. Hot site
- Specifik informationssäkerhetspolicy:
En specifik informationssäkerhetspolicy gäller för en specifik aktivitet eller verktyg inom verksamheten. Dessa är mer specifika än de allmänna policyerna och är mer kopplade till det operativa. Ett exempel på detta är Clean-desk policy eller policy om e-post användning. - Kris/katastrof:
En katastrof är en mer omfattande incident som uppstått där inte bara ett hot mot organisationens informationstillgångar har uppstått, utan den utsätts även för att göra ekonomiska förluster då verksamheten inte kan operera som vanligt. Organisationen blir begränsad i att kunna utföra sina processer för att uppnå sina mål. Ett exempel på katastrof skulle kunna vara en brand. - Business Impact Analysis:
En BIA används när man gör en plan för risk. Den är uppdelad i 3 steg:
- Identifiera de viktigaste affärsprocesserna för organisationen.
- Prioritera de viktigaste systemen som behövs för att kunna upprätthålla de viktiga affärsprocesserna i föregående steg.
- Ta reda på vilka resurser som krävs för att upprätta dessa, i form av personal, dataöverföring etc. - Work Recovery Time:
WRT är den tid det tar för företaget att återuppta normal verksamhet efter att tillgång till system och data har återupprättats (dvs RTO, recovery time objective). RTO + WRT = MTD (maximum tolerable downtime). - Hot Site:
En Hot Site är en lokal som ett företag har tillgång till som en del av sin reservplan i händelse av katastrof. I en Hot Site har man allting redo, arbetsstationer och system finns och skulle kunna tas i bruk inom några timmar. En nackdel med en Hot Site dock är att det är väldigt dyrt för företaget att ha, då man har en helt fullt fungerande lokal ståendes tom och endast nyttjar vid händelse av katastrof.
Boken nämner ett antal krav som en policy måste uppfylla för att vara effektiv och juridiskt bindande. Nämn åtminstone tre och diskutera vad de innebär.
De fem kraven ifrån boken är följande:
- Distribution (dissemination):
Organisationen måste kunna visa att policyn har gjorts lätt tillgänglig för alla anställda, t.ex. elektroniskt eller som fysiskt kopia. - Granskning (review):
Organisationen måste kunna visa att policyn har gjorts tillgänglig i en för alla förståelig form, också med beaktande av olika modersmål samt lässvårigheter. - Förståelse (Comprehension):
Organisationen måste kunna visa att den anställda har förstått innehållet, t.ex. genom test. - Samtycke (Compliance):
Organisationen måste kunna visa att den anställda har visat sitt samtycke till policyn, t.ex. genom att godkänna avtal, genom att kruxa i samtycke vid inloggning eller genom banners, varningar eller liknande. - Enhetlig tillämpning (Uniform enforcement): Organisationen måste kunna visa att policyn har tillämpats lika på alla anställda oberoende av ställning.
Förklara begreppen risktolerans (risk appetite) och resterande risk (residual risk). Hur relaterar de till riskhantering och organisationens strategi?
- Risktolerans är den risk som ett företag kan “leva med” att ha. Oavsett hur många riskåtgärder man har så kommer det alltid att finnas en risk. Enda sättet att vara helt 100% säker är att koppla ur och stänga ner, men detta är inte rimligt. Man kan tänka att om det kostar mer att införa säkerhetsåtgärd än vad skadan skulle kosta så är det en risk man kan fortsätta ha.
- Resterande risker är alltså de risker som man fortfarande har efter man infört sina säkerhetsåtgärder. Dessa kommer aldrig vara obefintliga. Dessa är kopplade till företagets strategi då strategin är kopplad till det operativa, hur företaget ska arbeta för att uppnå sin mission. De resterande riskerna som man tolererar får därför inte inkräkta på strategin.
Boken nämner fem strategier för behandling av risk (risk control), varav en är förebyggande (defense control strategy). Förklara vad en förebyggande strategi går ut på och vilka tre metoder (eller verktyg) som vanligen används.
En förebyggande strategi går ut på att minska risken för att en skada uppkommer. Man vidtar alltså åtgärder proaktivt, innan skadan inträffar, till skillnad från t.ex. en mitigerande strategi. Risken kan minskas genom motåtgärder till specifika hot, genom att minimera sårbarheter, minska tillgång eller genom andra tekniska skyddsåtgärder.
De tre huvudsakliga verktygen i en förebyggande strategi blir således:
1. Styrning (dvs implementera policies).
2. Skolning och utbildning (SETA-program).
3. Teknisk arkitektur (såsom brandväggar, IDPS, antivirus, osv).
Det finns fyra tekniska krav för ett system för att åtkomstkontroll ska fungera som det är tänkt. Namnge och beskriv dessa krav kortfattat.
- Identifiering:
Identifiering görs genom något som kan kopplas till en person. T.ex. ett användarnamn eller en e-postadress. - Autentisering:
Autentisering innebär att man bekräftar att man är den man vill identifiera sig som. Detta kan göras på tre olika sätt, där en kombination av dem är det bästa och en kombination av minst två anses vara starkt.
Dessa är:
-Genom något man HAR, t.ex. en enhet som en mobiltelefon eller bankdosa.
-Genom något man VET, t.ex. genom ett lösenord eller pinkod.
-Genom något man ÄR, t.ex. ett fingeravtryck. - Auktorisering:
Auktorisering innebär att man ges behörighet och åtkomst till det man ska ha tillgång till efter man blivit autentiserad. Detta kan göras med hjälp av en Access Control List (ACL) som är kopplad till olika roller och behörigheter. Man ska få behörighet till de saker som matchar sin roll.Auktoriseringen kan även sträcka sig över flera system. Har man blivit auktoriserad i ett system kan du även ha tillgång till andra system. - Ansvarsskyldighet:
Ansvarsskyldighet går ihop med spårbarhet och oavvislighet. Det som en användare utför ska loggas och göras möjligt att kunna gå tillbaka till och spåras upp senare bl.a. för att rätt person ska kunna stå till svars för en handling i ett system. Därför är det viktigt att man tar ansvar för både handlingar man utför när man är inloggad samt att man inte lånar ut sina inloggningsuppgifter till någon annan person.
Förklara vad Virtual Private Network (VPN) är för något. Ange och beskriv en anledning till varför det kan vara relevant för en organisation att använda sig utav VPN.
VPN är ett sätt att kunna skapa en krypterad anslutning mellan två enheter, där all trafik däremellan går krypterad. På så vis kan ingen utomstående avlyssna trafiken och se vad för data som skickas utan allting sker på ett säkert och skyddat sätt. Det finns två typer av VPN transportation mode och tunneling mode:
- I transportation mode kan headern i ett paket läsas för att på så vis kunna avläsa metadata om trafiken, exempelvis vem avsändaren och mottagaren är för trafiken.
- I tunneling mode krypteras istället hela paketen inuti ett annat paket vilket gör att även avsändare och mottagare för trafiken kan döljas för utomstående.
Det kan vara relevant för en organisation att använda sig av VPN för att exempelvis kunna tillåta medarbetare att vara utanför sin fysiska arbetsplats och på ett säkert och skyddat sätt ändå kunna koppla upp sig till arbetsplatsens nätverk och ta del av innehåll därifrån.
