F1-3 Flashcards

1
Q

Vad är information?

A

Data med mening. Kunskap som kommuniceras. Kan lagras i datorer, skickas via kommunikation.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Vad menas med att information är säkert (och som också är målet med informationssäkerhet)?

A
  • Konfidentialitet(hemlig)
  • Riktighet
  • Tillgänglighet
  • Spårbarhet
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Vad innebär att information är konfidentiellt?

A

Den avslöjas inte eller görs tillgänglig för obehöriga.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Vad innebär att information är tillgängligt?

A

Den är tillgänglig för behöriga användare, i förväntad utsträckning och inom önskad tid.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Hur kan information skyddas?

A
  • Administrativt
  • Logiskt(tekniskt)
  • Fysiskt
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Vilka krav finns på informationssäkerheten?

A

Externa och interna krav.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

En bra informationssäkerhet handlar om att hitta en bra balans som tar hänsyn till:

A
  • informationens värde
  • hot och risker
  • interna och externa krav
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Ge exempel på interna aktörer som påverkar informationssäkerheten i en organisation.

A

beslutande, kravställande, säkerhetsstödjande, införande och anställda.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Ge exempel på externa aktörer som påverkar informationssäkerheten i en organisation.

A

köpande, levererande, övervakande, opinionsbildande, konkurrerande och hotande.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Informationssäkerhetsarbete följer en modell i fem steg, vilka?

A

Förbereda, analysera, utforma, införa, följa upp och förbättra.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

En verksamhetsanalys svara på två frågor, vilka?

A
  1. vilka är våra kritiska informationstillgångar?

2. vilka är kraven/behovet av informationssäkerhet när det gäller de tillgångarna?

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

När man identifierar kritiska tillgångar kan man ha tre olika fokusområden, vilka?

A
  • informationsflöden i verksamhetsprocesser
  • IT-system
  • viktig information
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Ge exempel på externa krav på informationssäkerhet.

A

lagar, förordningar, föreskrifter, avtal

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Ge exempel på interna krav på informationssäkerhet.

A

behov som verksamheten har, interna policyer mm.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Vad innebär informationsklassificering?

A

Att avgöra säkerhetskraven för en informationstillgång.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Vad är målen med en informationsklassificering?

A
  • Att man fastställt behov/krav.
  • Att verksamheten som varit med fått medvetande om vikten av informationssäkerhet.
  • Att man har kunskap som kan tas med in i riskanalys och val av åtgärder.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Vilka olika fokus finns vid en riskanalys av informationssäkerhet?

A
  • hela verksamheten

- en enskild informationstillgång.

18
Q

Vilka metodsteg finns vid en riskanalys?

A
  • verksamhetens krav på informationen
    1. val och beskrivning av analysobjektet
    2. identifiering av hot
    3. sammanställning och gruppering av hot
    4. riskbedömning: konsekvens och sannolikhet
    5. framtagning av åtgärdsförslag
19
Q

Vad innebär risk, i en riskanalys?

A

en kombination av hur allvarligt en händelse kan störa verksamheten(konsekvensen) och hur troligt det är att händelsen ska inträffa. K x S = R

20
Q

steg 1 i en riskanalys innebär:

A
  • vad är det som ska analyseras?
  • gruppen enas om vad uppgiften omfattar.
    eventuella avgränsningar och tillägg tas upp.
  • gå igenom dokumentation- finns all information som behövs?
21
Q

steg 2 i en riskanalys innebär:

A
  • att ta fram hot
  • vad kan inträffa som stör verksamheten och analysobjektet?
  • dokumentera möjliga hot. Vad har hänt? vad kan hända?
22
Q

steg 3 i en riskanalys innebär:

A
  • sammanställ och ordna
  • ta bort dubbletter
  • förtydliga hoten: bygg scenarier
  • gruppera hoten
  • numrera hoten
23
Q

steg 4 i en riskanalys innebär:

A
  • värdera risken
  • vilken konsekvens kan hotet ha?
  • hur sannolikt eller troligt är det att hotet blir verklighet?
24
Q

steg 5 i en riskanalys innebär:

A
  • hitta åtgärder
  • vad kan man göra för att minska risken? reducera konsekvensen eller minska sannolikheten.
  • ser gruppen några direkta åtgärder att vidta?
25
Q

Vad innebär en GAP-analys?

A

Det är en analys av nuläget, som beskriver gapet mellan idealläget(best practice) och rådande säkerhetsnivån.

26
Q

Vad är syftet med en GAP-analys?

A
  • ge bekräftelse att skyddet är infört i tillräcklig omfattning
  • ge en uppfattning om kvaliteten på informationssäkerhetsarbetet
  • ge information om styrkor och svagheter i skyddet
  • ge underlag för resten av arbetet med att styra informationssäkerheten
27
Q

Vilka ingångsvärden behövs för en GAP-analys? dvs vilken kunskap behövs

A
  • tillgångar, krav och risker från verksamhets- och riskanalys.
  • säkerhetsdokument med existerande policys och riktlinjer
  • standarder och norm (tex 27002-standarden)
28
Q

Vad ska rapporten av en GAP-analys ge?

A
  • översiktlig beskrivning av analysprocessen
  • info om vad som legat till grund för analysen
  • dokumentation av analysen
  • sammanfattande slutsatser kring nuvarande säkerhetsnivå
29
Q

Vad ger god informationssäkerhet?

A
  • en förutsättning att skydda pengar eller tjäna nya.
  • skapar ett ökat förtroende för kunder
  • man ser till att efterleva lagkrav
  • det skapar effektivitet i verksamheten
30
Q

Vad är personlig integritet?

A
  • rätten till en privat sfär, att vara ifred.

- att personlig information inte ska behandlas eller delges andra utan individens vetskap och samtycke.

31
Q

Vad är en personuppgift?

A

all information som behandlar fysiska personer som kan identifieras

32
Q

Vad innebär en behandling av en personuppgift?

A

all typ av behandling, tex lagring, ta emot, skriva ut, överföra.

33
Q

Vad gör en personuppgiftsansvarig?

A

den som beslutar om ändamålet med behandlingen (juridisk person som ett företag)

34
Q

Vad gör ett personuppgiftsbiträde?

A

den som behandlar uppgifter å den personuppgiftsansvarige vägnar.

35
Q

Vad är en registrerad?

A

den individ uppgifterna handlar om.

36
Q

Vilka principer måste alltid följas vid behandling av personuppgifter enl GDPR?

A
  • Laglig grund: stöd i dataskyddsförordningen för att få behandla personuppgifter.
  • Ändamålsbegränsning: man får bara samla in uppgifter för specifika, angivna ändamål.
  • Uppgiftsminimering: man får inte behandla fler uppgifter än vad som behövs för ändamål.
  • Riktighet: personuppgifter ska vara riktiga.
  • Lagringsminimering: uppgifter ska raderas när de inte längre behövs.
  • Konfidentialitet: uppgifter ska skyddas från obehöriga.
    Ansvarsskyldighet: man ska kunna visa att man lever upp till förordningen.
37
Q

Huvudsakliga krav i GDPR:

A
  • register över behandling
  • analyser: konsekvensanalys o riskanalys
  • skydd: tekniska och organisatoriska skyddsåtgärder
  • incidentrapportering: till datainspektionen
38
Q

Vad är ett dataskyddsombud?

A

en lokal tillsyn över dataskyddsarbetet. ser till att GDPR efterföljs.

39
Q

Vad innebär patientdatalagen?

A
  • en sammanhållen journalföring mellan vårdgivare.
  • bara den som har vårdrelation får ta del av patientinformation.
  • patienter har rätt att spärra åtkomst till uppgifter.
40
Q

Vad innebär LEK- lagen om elektronisk information?

A
  • omfattar allmänt tillgängliga elektroniska kommunikationstjänster (e-post/telefon)
41
Q

Vad innebär FRA-lagen?

A
  • gäller tele- och datatrafik som passerar Sveriges gränser.

- spaning får ske efter domslut.

42
Q

Vad innebär/innebar datalagringsdirektivet?

A
  • till för brottsbekämpning
  • lagring av uppgifter i elektronisk kommunikation: telefonnr, geografisk placering, IP-nr mm.
  • ogiltig sedan 2016