F1-3 Flashcards
Vad är information?
Data med mening. Kunskap som kommuniceras. Kan lagras i datorer, skickas via kommunikation.
Vad menas med att information är säkert (och som också är målet med informationssäkerhet)?
- Konfidentialitet(hemlig)
- Riktighet
- Tillgänglighet
- Spårbarhet
Vad innebär att information är konfidentiellt?
Den avslöjas inte eller görs tillgänglig för obehöriga.
Vad innebär att information är tillgängligt?
Den är tillgänglig för behöriga användare, i förväntad utsträckning och inom önskad tid.
Hur kan information skyddas?
- Administrativt
- Logiskt(tekniskt)
- Fysiskt
Vilka krav finns på informationssäkerheten?
Externa och interna krav.
En bra informationssäkerhet handlar om att hitta en bra balans som tar hänsyn till:
- informationens värde
- hot och risker
- interna och externa krav
Ge exempel på interna aktörer som påverkar informationssäkerheten i en organisation.
beslutande, kravställande, säkerhetsstödjande, införande och anställda.
Ge exempel på externa aktörer som påverkar informationssäkerheten i en organisation.
köpande, levererande, övervakande, opinionsbildande, konkurrerande och hotande.
Informationssäkerhetsarbete följer en modell i fem steg, vilka?
Förbereda, analysera, utforma, införa, följa upp och förbättra.
En verksamhetsanalys svara på två frågor, vilka?
- vilka är våra kritiska informationstillgångar?
2. vilka är kraven/behovet av informationssäkerhet när det gäller de tillgångarna?
När man identifierar kritiska tillgångar kan man ha tre olika fokusområden, vilka?
- informationsflöden i verksamhetsprocesser
- IT-system
- viktig information
Ge exempel på externa krav på informationssäkerhet.
lagar, förordningar, föreskrifter, avtal
Ge exempel på interna krav på informationssäkerhet.
behov som verksamheten har, interna policyer mm.
Vad innebär informationsklassificering?
Att avgöra säkerhetskraven för en informationstillgång.
Vad är målen med en informationsklassificering?
- Att man fastställt behov/krav.
- Att verksamheten som varit med fått medvetande om vikten av informationssäkerhet.
- Att man har kunskap som kan tas med in i riskanalys och val av åtgärder.
Vilka olika fokus finns vid en riskanalys av informationssäkerhet?
- hela verksamheten
- en enskild informationstillgång.
Vilka metodsteg finns vid en riskanalys?
- verksamhetens krav på informationen
1. val och beskrivning av analysobjektet
2. identifiering av hot
3. sammanställning och gruppering av hot
4. riskbedömning: konsekvens och sannolikhet
5. framtagning av åtgärdsförslag
Vad innebär risk, i en riskanalys?
en kombination av hur allvarligt en händelse kan störa verksamheten(konsekvensen) och hur troligt det är att händelsen ska inträffa. K x S = R
steg 1 i en riskanalys innebär:
- vad är det som ska analyseras?
- gruppen enas om vad uppgiften omfattar.
eventuella avgränsningar och tillägg tas upp. - gå igenom dokumentation- finns all information som behövs?
steg 2 i en riskanalys innebär:
- att ta fram hot
- vad kan inträffa som stör verksamheten och analysobjektet?
- dokumentera möjliga hot. Vad har hänt? vad kan hända?
steg 3 i en riskanalys innebär:
- sammanställ och ordna
- ta bort dubbletter
- förtydliga hoten: bygg scenarier
- gruppera hoten
- numrera hoten
steg 4 i en riskanalys innebär:
- värdera risken
- vilken konsekvens kan hotet ha?
- hur sannolikt eller troligt är det att hotet blir verklighet?
steg 5 i en riskanalys innebär:
- hitta åtgärder
- vad kan man göra för att minska risken? reducera konsekvensen eller minska sannolikheten.
- ser gruppen några direkta åtgärder att vidta?
Vad innebär en GAP-analys?
Det är en analys av nuläget, som beskriver gapet mellan idealläget(best practice) och rådande säkerhetsnivån.
Vad är syftet med en GAP-analys?
- ge bekräftelse att skyddet är infört i tillräcklig omfattning
- ge en uppfattning om kvaliteten på informationssäkerhetsarbetet
- ge information om styrkor och svagheter i skyddet
- ge underlag för resten av arbetet med att styra informationssäkerheten
Vilka ingångsvärden behövs för en GAP-analys? dvs vilken kunskap behövs
- tillgångar, krav och risker från verksamhets- och riskanalys.
- säkerhetsdokument med existerande policys och riktlinjer
- standarder och norm (tex 27002-standarden)
Vad ska rapporten av en GAP-analys ge?
- översiktlig beskrivning av analysprocessen
- info om vad som legat till grund för analysen
- dokumentation av analysen
- sammanfattande slutsatser kring nuvarande säkerhetsnivå
Vad ger god informationssäkerhet?
- en förutsättning att skydda pengar eller tjäna nya.
- skapar ett ökat förtroende för kunder
- man ser till att efterleva lagkrav
- det skapar effektivitet i verksamheten
Vad är personlig integritet?
- rätten till en privat sfär, att vara ifred.
- att personlig information inte ska behandlas eller delges andra utan individens vetskap och samtycke.
Vad är en personuppgift?
all information som behandlar fysiska personer som kan identifieras
Vad innebär en behandling av en personuppgift?
all typ av behandling, tex lagring, ta emot, skriva ut, överföra.
Vad gör en personuppgiftsansvarig?
den som beslutar om ändamålet med behandlingen (juridisk person som ett företag)
Vad gör ett personuppgiftsbiträde?
den som behandlar uppgifter å den personuppgiftsansvarige vägnar.
Vad är en registrerad?
den individ uppgifterna handlar om.
Vilka principer måste alltid följas vid behandling av personuppgifter enl GDPR?
- Laglig grund: stöd i dataskyddsförordningen för att få behandla personuppgifter.
- Ändamålsbegränsning: man får bara samla in uppgifter för specifika, angivna ändamål.
- Uppgiftsminimering: man får inte behandla fler uppgifter än vad som behövs för ändamål.
- Riktighet: personuppgifter ska vara riktiga.
- Lagringsminimering: uppgifter ska raderas när de inte längre behövs.
- Konfidentialitet: uppgifter ska skyddas från obehöriga.
Ansvarsskyldighet: man ska kunna visa att man lever upp till förordningen.
Huvudsakliga krav i GDPR:
- register över behandling
- analyser: konsekvensanalys o riskanalys
- skydd: tekniska och organisatoriska skyddsåtgärder
- incidentrapportering: till datainspektionen
Vad är ett dataskyddsombud?
en lokal tillsyn över dataskyddsarbetet. ser till att GDPR efterföljs.
Vad innebär patientdatalagen?
- en sammanhållen journalföring mellan vårdgivare.
- bara den som har vårdrelation får ta del av patientinformation.
- patienter har rätt att spärra åtkomst till uppgifter.
Vad innebär LEK- lagen om elektronisk information?
- omfattar allmänt tillgängliga elektroniska kommunikationstjänster (e-post/telefon)
Vad innebär FRA-lagen?
- gäller tele- och datatrafik som passerar Sveriges gränser.
- spaning får ske efter domslut.
Vad innebär/innebar datalagringsdirektivet?
- till för brottsbekämpning
- lagring av uppgifter i elektronisk kommunikation: telefonnr, geografisk placering, IP-nr mm.
- ogiltig sedan 2016