SÄK Flashcards
(120 cards)
1
Q
Informationssäkerhet: Vad är det som ska blir säkert?
A
Informationen, eftersom det är en tillgång
2
Q
Var finns informationen?
A
Överallt, oftast fokuserat på IT-system
3
Q
Vad är informationen?
A
Data med mening. Kunskap som kommuniceras. Kan lagras i datorer, skickas via kommunikation
4
Q
Vad är informationssäkerhetens mål?
A
Att hålla informationen hålls hemlig för obehöriga(Sekretess), att informationen skall vara riktig(Riktighet), Att informationen är tillgänglig för den som är behörig och behöver den(Tillgänglighet). - (Finns de som lägger till Spårbarhet)!
5
Q
konfidentialitet/Sekretess?
A
Information och IT-system inte avslöjas eller görs tillgängliga för obheöriga
6
Q
Riktighet?
A
Inte förändras eller system inte felaktigt förändras av misstag eller av obehöriga.
7
Q
Tillgänglighet?
A
Att information och IT-system är tillgängliga för behöriga användare, i förväntas utsträckning och inom önskad tid.
8
Q
Nämn några säkerhetsåtgärder:
A
Lösenord, kryptering, backupper osv
9
Q
Skydd går att dela in i tre kategorier
A
Logiska, fysiska och administrativa
10
Q
Vad finns det för hot?
A
Misstag, hackers, strömmen slutar funka, olyckor.
11
Q
Hur ska man utforma skyddet?
A
Utefter vad som man tror kan inträffa, vilka hot det finns.
12
Q
Säkerhetsekonomi, vad innebär det?
A
Att för mycket informationssäkerhet är för jobbigt och dyrt och för lite är för jobbigt och dyrt
13
Q
Informationssäkerhet handlar om att hitta en bra balans som tar hänsyn till:
A
Informationens värde, hot och risker(vad kan faktiskt hända med denna info) samt externa och interna krav(måste va tillgänglig för)
14
Q
Vad handlar informationssäkerhet mer om än informationssäkerhet?
A
Om management-/styrningsfrågor
15
Q
Mål med informationssäkerhet?
A
Sekretess, riktighet, tillgänglighet och (spårbarhet)
16
Q
Vad är en aktör?
A
En organisation, en grupp eller individ - inom eller utanför organisationen
17
Q
Interna aktörer är:
A
beslutande, kravställande, säkerhetsstödjande, införande och anställda. ex. ledningen, systemägare
18
Q
Externa aktörer är:
A
köpande(kunder), leverande, övervakande(finansinspektionen inom bank), opionsbildande, konkurrerande(“denna banken tar jag den är säkrare”), och hotande(inte bara externa)
19
Q
Alla aktörer påverkar hur vi sköter säkerheten. Men behöver kontrolleras och styras. Hur gör man det?
A
Policyer och riktlinjer inom ett företag - ta fram och kommunicera dessa!
20
Q
Vems stöd behöver man för att åstadkomma någonting?
A
Ledningens engagemang.
21
Q
Vilka steg finns det för Modell för Informationssäkerhetsarbete?
A
Förbereda, analysera, utforma, införa, följa upp och förbättra
22
Q
Förbereda:
A
Introduktion, ledningens engagemang och projektplanering
23
Q
Analysera:
A
Verksamhet, risk och GAP
24
Q
Utforma:
A
Åtgärder, processer och styrdokument
25
Införa:
Planera genomförande, konstruera och anskaffa och införa
26
Följa upp:
Övervaka, granska, ledningens genomgång
27
Förbättra:
Utveckla LIS, Kommunicera förbättringar och fortsatt arbete
28
Vad finns det för analyser?
Riskanalys, verksamhetsanalys och GAP-analys
29
Verksamhetsanalysen svarar på två frågor, vilka?
1. Vilka är våra kritiska tillgångar?
| 2. Vilka är kraven/behoven av informationssäkerheten när det gäller de tillgångarna?
30
Kritiska tillgångar:
De som har stor betydelse för verksamheten. Hur hittar man dem(de i i mitten av modellen). Utgå från affären och affärsprocesserna - vilka är de centrala informationstillgångarna och processerna? Gäller att använda olika fokus
31
Använd olika fokus när du tar reda på de kritiska informationstillgångarna:
Informationsflöden: tidigare dokument, kritiska processer, kärnprocesser, kränprocesser, kritiska informationsflöden
IT-system: ofta brad okus om man har gemensamma namn och ansvarsområden, lagom grepp, tydligt avgränsat, finns lista på IT-enheten, potentiellt problem: fokus på IT snarare än info.
Viktiga information: Vad är kritisk information för oss?
Potentiellt problem: Svårt att veta vad som är viktigt.
32
Vad händer om man gör rätt?
Det blir som en karta av vad vi säkrar upp på verksamheten.
33
ex. på hur man tar reda på kritiska tillgångarna:
Skicka ut enkät/email från anställda. Då blir det en karta man kan använda och utgå från.
34
Vad gör vi med resultatet av verksamhetsanalysen?
Nu vet vi vad vi ska skydda och: territorier är kartlagt, vi vet på ett ungefär vad som är kritiska informationstillgångar, vi kartlägger INTE alla tillgångar. NU är det dags att titta på KRAV/BEHOV!
35
NU lägg undan HOT och RISK. Nu ska vi se till krav och behoven på informationssäkerheten för de tillgångar vi identifierat. Vilka typer av krav finns det på informationssäkerhet?
Externa(legala krav) och Interna(verksamhetens krav)
36
Exempel på legala krav?
Personuppgiftslag, upphovsrättsliga lagar och bokföringslag
37
Exempel på verksamhetens krav?
Krav på riktighet, krav på sekretess, krav på tillgänglighet och krav på spårbarhet
38
Vad innebär informationsklassificering?
Att avgöra säkerhetskraven för en informationstillgång, klassificering sker för varje tillgång som identifierats. Ofta sker det praktiskt i workshopformat. Låt oss fokusera på en tillgång och klassificera den.
39
Informationstillgången klassificeras i följande klasser:
Sekretess, riktighet och tillgänglighet. Man måste ta reda på vilken klass informationen tillhör.
40
Vad innebär klassificering?
Att det finns ett visst behov av tillgänglighet, sekretess, riktighet för informationstillgången. Vissa verksamheter kopplar klassen direkt till vissa tekniska åtgärder (för- och nackdelar). Klassificering innebär dels: Att vi fastställt behov och krav, att verksamheten som varit med fått medvetande om vikten av informationssäkerhet. (VIKTIGT) och att vi har kunskap som vi kan ta med oss in i riskanalys och val av åtgärder.
41
RISKANALYS?
Vad kan hända och vad får det för konsekvenser? (du kan ta vilket objekt som helst och analysera: ad kan hända med detta?)
42
Vad analyseras?
Olika fokus
- Hela verksamheten
- Enskild informationsstil
43
Säg varje Metodsteg i Riskanalys
- Verksamhetens krav på informationen.
- Val och beskrivning av analysobjekt.
- Identifiering av hot-
- Sammanställning och gruppering av hot.
- Riskbedömning: konsekvens och sannolikhe.
- Framtagning av åtgärdsförslag.
44
Beskriv Hot =
En möjlig, oönskad händelse som kan störa verksamheten
45
Beskriv Konsekvens =
Hur påverkas verksamheten till följd av händelse?
46
Beskriv Sannolikhet =
Hur troligt är det att en händelse inträffar?
47
Beskriv Risk =
En kombination av hur allvarligt en händelse kan störa verksamheten och hur troligt det är att händelsen inträffa
48
Efter metodstegen handlar det om att kartlägga. Hur många steg och vilka?
5 stycken.
1. Vad är det som ska analyseras?
2. Ta fram hot.
3. Sammanställ och ordna
4. Värda risken
5. Åtgärder
49
Beskriv steg 1.
Vad är det som ska analyseras?
- Gruppen enas om vad som vad uppgiften omfattar.
- Eventuella avgräsningar och tillägg tas upp. Lätt om det är hela verksamheten.
- Gå igenom dokumentationen - Finns all information som behövs?
50
Beskriv steg 2.
Ta fram hot!
Vad kan inträffa som stör verksamheten och analysobjektet?
Skriv upp alla hot som kommer fram, både stort och smått.
- vad har hänt?
- vad kan hända?
51
Beskriv steg 3.
Sammanställ och ordna
- ta bort dubletter
- förtydliga hoten och bygg scenarier
- gruppera hoten om de är många
- numrera hoten
52
Beskriv steg 4.
Värdera risken
- vilken konsekvens kan hotet ha?
- hur sannolikt eller troligt är det att hotet blir verklighet?
53
Vad innebär en riskvärdering?
Man värderar risken, på y-axeln är det konsekvens och x-axeln sannolikhet. Dp ser man att exempelvis "hot H" kommer vara katastrofalt om det inträffar och det kommer inträffa ofta. Hur kan man minska konsekvensen?
54
Beskriv steg 5.
Åtgärder! Vad kan man göra för att minska risken?
- Reducera konsekvensen - göra följderna mindre allvarliga om det händer?
- Minska sannolikheten, göra det mindre troligt att det ska inträffa.
Ser gruppen några direkta åtgärder att vidta?
55
Vad vet vi efter verksamhetsanalysen och riskanalysen?
Behoven, kraven och riskerna!
56
Vad kommer efter verksamhetsanalysen och riskanalysen?
GAP-analysen
57
Vad innebär GAP-analysen?
Analys av nuläget gällande informationssäkerheten - en GAP-analys!
58
Vad syftar namnet "GAP"-analys till?
Gapet mellan det som en standard beskriver som bästa praxis och den rådande säkerhetsnivån i verksamheten.
59
Vad måste man ta i beaktande när man gör analysen?
Skyddsbehovet!
60
Beskriv metoden för GAP
1. Verksamhetens skyddsbehov. 2. Identifiera kunskapskällor. 3. Dokumentera nuläget. 4. Dokumentera förbättringsåtgärder.
61
Vad är syftet med GAP?
- Ge bekräftelse på att skyddet är infört i tillräcklig omfattning.
- Ge en uppfattning om kvaliteten på informationssäkerhetsarbetet.
- Information om styrkor och svagheter i skyddet.
- Ett underlag för resten av arbetet med att styra informationssäkerheten.
62
Vilka ingångsvärden är grundläggande för att kunna genomföra en GAP-analys?
- Behov och krav( det är nödvändigt att känna till tillgångar, krav och risken enligt resultaten från verksamhetsanalysen och riskanalysen).
- Säkerhetsdokument(Analys-ledaren måste studera vad eventuellt existerande policydokument och riktlinjer säger om informationssäkerhet).
- Standard och norm(GAP utgår från en norm, dvs en lista med krav elr säkerhetsåtgärder).
63
Vad ska analysledaren göra med ingångsvärdena?
Sammanställa material och kunskap.
64
Hur många krav innehåller standarden 27001?
133 på säkerhetsåtgärder och analysledaren ska gå igenom dem för att se vilka av dessa säkerhetsåtgärder som: - redan finns och fungerar tillfredställande (utifrån verksamhetens specifika behov).
- fungerar tillfredsställande tack vare kompenserande åtgärder.
- inte existerar eller inte fungerar tillfredsställande.
- inte behövs.
65
Hur dokumenteras sedan analysen?
Genom att beskriva nuläget och eventuella förbättringsåtgärder för varje krav i standarden.
66
Vad kan rapporten från GAP-analsen inkludera?
- en översiktlig beskrivning av analysprocessen, hur arbetet genomfört.
- information om vad som har legat till grund för analysen.
- dokumentation av själva analysen.
- sammanfattande slutsatser kring verksamhetens nuvarande informationssäkerhetsnivå
67
Vad gör vi med resultatet från GAP`
- Informationstillgångar och krav: tar vi med oss till informationssäkerhetschefen till IT_sidan som har förståelse för hur behovet ser ut.
- Risker. Mynnar ut i åtgärder.
- GAP-analysen: det mest konkreta, där ser man tydligt vilka små miniprojekt vi måste genomföra.
68
Vad gör vi efter vi vet resultatet?
Tar fram policys och riktlinjer, åtgärder och processer för hur anställa mm ska jobba.
69
Vad ger en god informationssäkerhet?
Ekonomi, förtroende, effektivitet och efterlevnad
70
Beskriv ekonomi inom god informationssäkerhet
En sparad krona är lika mycket värd som en tjänad
71
Beskriv förtroende inom god informationssäkerhet
hos anställa och kunder
72
Beskriv efterlevnad inom god informationssäkerhet
Efter lagkrav
73
Beskriv effektivitet inom god informationssäkerhet
Effektiviserad verksamhet
74
Vad ger dessa fyra komponenter av god informationssäkerhet?
Nytta!
75
Vad är personlig integritet?
Rätten till en "privat sfär" - rätten at få "vara ifred" anses som en av människans grundläggande rättigheter
"Personlig integritet eller "Dataskydd" kallas den säkerhetsprincip vilken anger att personlig och privat information inte behandlas eller delges utan individens vetskap eller samtycke.
76
Varför är det viktigt med personlig integritet?
- Frihet, öppenhet -> yttrandefrihet!
- Respekt för önskan att hålla något hemligt.
- Rätten till en privat sfär
- Begränsa myndigheternas makt över medborgare
(Totalitära stater använder begränsning av "privacy" som ett centralt verktyg för att behålla makt över medborgare
77
Vilka använder "privacy" som ett centralt verktyg för att behålla makt över medborgare?
Totalitära makter
78
Vad är lagstiftningen dataskyddsförordningen GDPR är till för?
The general data protection regulation är till för att skydda enskildas grundläggande rättigheter och friheter, särkilt deras till rätt till skydd av personuppgifter.
79
Var gäller dataskyddsförordningen?
Hela EU och har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flöder av uppgifter inom Europa inte hindras.
80
Gäller samma regler inom hela EU?
Ja
81
Vilka har till tillsyn över detta i Sverige?
Datainspektionen
82
Den nya förordningen har skapat en massa arbete i verksamheter, inte minst pga möjliga sanktionsavgifter på hur mycket?
4% i global omsättning.
83
Beskriv begreppet "Personuppgifter" inom GDRP:
All information som handlar om fysiska personer som kan identifieras är personuppgifter. Det spelar ingen roll om du är direkt identifierbar genom uppgifter, eller om det krävs att ytterligare information inhämtas för att du ska kunna identifieras. Det kan vara tex ditt namn, din e-post, ett foto på dig, ditt ID-kortnummer och din IP-adress när du surfar på nätet.
84
Beskriv begreppet "Behandling(av personuppgifter)" inom GDRP:
all typ av behandling, lagring, ta emot, skriva ut och överföra.
85
Beskriv begreppet "Personuppgiftsansvarig" inom GDRP:
Den som beslutar om ändamålet med behandlingen (ofta en juridisk person som ett företag)
86
Beskriv begreppet "Personuppgiftsbiträde" inom GDRP:
den som behandlar uppgifter å den personppgiftsasvariges vägnar.
87
Beskriv begreppet "Registrerad" inom GDRP:
Den uppgifterna handlar om (exempelvis dig och mig).
88
Vilka principer måste alltid följas om man vill behandla personuppgifter?
Laglig grund, ändamålsbegränsning, uppgiftsminimering, riktighet, lagringsminimering, konfidentialitet och ansvarsskyldighet
89
Beskriv kraven i huvuddrag i förordningen?
- Register över behandlingen(eng. "ROPA": var finns personuppgifterna, hur behandlas de, för vilka ändamål etc.
- Analyser: konsekvensanalys (eng. "DIPA"): riskanalys
- Skydd: Tekniska och organisatoriska skyddsåtgärder ska införas.
- Incidentrapportering: till datainspektionen.
90
Vad innebär dataskyddsombud inom GDPR?
- Oberoende anställd eller inhyrt ombud
- Lokal "tillsyn" över dataskyddsarbetet
- Kompetenskrav
- Goda affärsmöjligheter
91
Patientdatalagen innebär?
- Sammanhållen journalföring mellan vårdgivare
- Inre sekretess, bara den som har vårdrelation får ta del av informationen.
- Egen rätt att spärra åtkomst till uppgifter.
- Lagen medger direktåtkomst till journal och loggar via Internet
- Behörigheter, spårbarhet, åtkomstkontroll
92
Vilka gäller Lagom elektronisk information?
Tillhandahållare av "allmänt tillgängliga elektroniska kommunikationstjänster". E-post, telefoni, etc.
93
Vilken information gäller lagen om Elektronisk information?
Främst information i kommunikationen och som kan hänföras till abonnenten.
94
"Integritetsincident" medför rapportskyldighet till vad?
Post- och Telestyrelsen och i vissa fall abonnenten.
95
Vad hittar man hos Post- och telestyrelsens?
Föreskrifter och allmänna råd om skyddsåtgärder för behandlande uppgifter. Alltså. lag, förordning, föreskrift och allmänna råd.
96
Tjänstetillhandahållarens säkerhetsarbete avseende behandlande uppgifter ska bedrivas hur?
Långsiktigt, kontinuerligt och systematiskt.
97
I säkerhetsabretet ska det finnas en tydlig rollfördelning med särkilt utpekade ansvariga. Vad ska dokumenteras?
Rutiner, processer och rollfördelning för säkerhetsarbetet ska dokumenteras.
98
Vad ska tjänstetillhandahållaren analysera?
Riskerna för att intregritetsincidenter inträffar för de identifierade informationstillgångarna.
99
Vad ska tjänstetillhandarenhållaren vidta?
Nödvändiga skyddsåtgärder som föreskriv i 6-9 samt andra nödvändiga skyddsåtgärder på den nivå som är lämplig. Vidtagna skyddsåtgärder ska dokumenteras och följas upp årligen och vid behov.
100
Åtkomst- och behörighetshantering. Vad ska tjänstetillhandahållaren säkerställa att åtkomst till behandlade uppgifter endast ges till den som?
1. Behöver det för att utföra sina arbetsuppgifter.
2. Har relevant utbildning med hänsyn till de uppgifter denne hanterar.
3. Har upplyst om tystnadsplikten i 6 kap-20 - 21 lagen om elektronisk kommunikation.
101
Lagstiftning - FRA-lagen. Gäller vad?
Tele och datatrafik som passerar Sveriges gränser
102
FRA får signalspana i kabel efter vad?
Beslut av domstol
103
Spaningen gäller?
Särskilda teman
104
Det gäller även innehåller i exempelvis?
Ett telefonsamtal eller SMS.
105
Lagstiftning – Datalagringsdirektivet 1/2 är till för?
Brottsbekämning. Inom lagring av uppgifter i elektronisk kommunikation, dvs parter(telefonnummer), geografisk placering, IP-nummer på dator etc.
106
Behov och kritik inom Datalagringsdirektivet?
- EU-domstolen har ogiltigförklarat direktivet med Sverige hade länge kvar den nationella lagstiftningen.
- Datainspeltionen var kritisk till proportionaliteten.
- 2016 upphörde lagen att gälla.
107
Lagstiftning – Datalagringsdirektivet 2/2. Ge ett exempel?
Teleoperatör
108
Vad infördes under detta direktiv?
Central databas för att samla uppgifter som fanns i tidigare olika system.
109
Det infördes ett system som polis kan ringa eller maila för att?
Snabbt få ut uppgifter kring ett fall eller person
110
Frågan som kvarstår:
Lagen gäller inte längre, men har alla operatörer skrotat sina databaser för detta?
111
Ge exempel på en individs hårdvara och dess svaga punkter?
Mobiltelefon: ofta internetuppkopplad(ständigt), GPS-funktion(kan positioneras i nätet).
Trådlös accesspunkt/router (ofta inbyggd i brandvägg).
Dator (bärbar/stationär)
112
Ge exempel på en individs tjänster inom IT-miljö:
Gmail/outlook, iCloud, Facebook etc.
113
Ge exempel på problem med tjänsterna inom IT-miljö:
Svårt att hålla reda på alla automatiska synkningar och funktioner ex. bildström på telefonen, påslagen positionering på karta åt kompisar
114
IP-nummer?
Alla tjänster kan se vilket nummer du har. Det kan kopplas ihop med dig som person dels genom information din internetleverantör har dels på andra sätt.
115
När är det bra med IP?
Vid spårning av attacker, hot, bedrägerier etc.
116
Cookies?
En textsträng som kan sparas i din webbläsare över tid.
117
Vilket problem löser cookies?
Att IP-numret kan användas av flera.
118
Vad håller cookies reda på?
Vem som surfar in på en visst tjänst.
119
HTTP-referrer?
Om du är på en webbsida och klickar på en länk kan den som länken går till se varifrån du kom. Ex. från en webbmail, från googlesökning etc.
120
Vad kan HTTP göra?
Para ihop data, exempelvis om du surfar in på min webbsida kan jag se hur gammal du är, vad du sökt på för att komma till mig etc.
