SÄK

Question 1

Informationssäkerhet: Vad är det som ska blir säkert?

Answer 1

Informationen, eftersom det är en tillgång

Question 2

Var finns informationen?

Answer 2

Överallt, oftast fokuserat på IT-system

Question 3

Vad är informationen?

Answer 3

Data med mening. Kunskap som kommuniceras. Kan lagras i datorer, skickas via kommunikation

Question 4

Vad är informationssäkerhetens mål?

Answer 4

Att hålla informationen hålls hemlig för obehöriga(Sekretess), att informationen skall vara riktig(Riktighet), Att informationen är tillgänglig för den som är behörig och behöver den(Tillgänglighet). - (Finns de som lägger till Spårbarhet)!

Question 5

konfidentialitet/Sekretess?

Answer 5

Information och IT-system inte avslöjas eller görs tillgängliga för obheöriga

Question 6

Riktighet?

Answer 6

Inte förändras eller system inte felaktigt förändras av misstag eller av obehöriga.

Question 7

Tillgänglighet?

Answer 7

Att information och IT-system är tillgängliga för behöriga användare, i förväntas utsträckning och inom önskad tid.

Question 8

Nämn några säkerhetsåtgärder:

Answer 8

Lösenord, kryptering, backupper osv

Question 9

Skydd går att dela in i tre kategorier

Answer 9

Logiska, fysiska och administrativa

Question 10

Vad finns det för hot?

Answer 10

Misstag, hackers, strömmen slutar funka, olyckor.

Question 11

Hur ska man utforma skyddet?

Answer 11

Utefter vad som man tror kan inträffa, vilka hot det finns.

Question 12

Säkerhetsekonomi, vad innebär det?

Answer 12

Att för mycket informationssäkerhet är för jobbigt och dyrt och för lite är för jobbigt och dyrt

Question 13

Informationssäkerhet handlar om att hitta en bra balans som tar hänsyn till:

Answer 13

Informationens värde, hot och risker(vad kan faktiskt hända med denna info) samt externa och interna krav(måste va tillgänglig för)

Question 14

Vad handlar informationssäkerhet mer om än informationssäkerhet?

Answer 14

Om management-/styrningsfrågor

Question 15

Mål med informationssäkerhet?

Answer 15

Sekretess, riktighet, tillgänglighet och (spårbarhet)

Question 16

Vad är en aktör?

Answer 16

En organisation, en grupp eller individ - inom eller utanför organisationen

Question 17

Interna aktörer är:

Answer 17

beslutande, kravställande, säkerhetsstödjande, införande och anställda. ex. ledningen, systemägare

Question 18

Externa aktörer är:

Answer 18

köpande(kunder), leverande, övervakande(finansinspektionen inom bank), opionsbildande, konkurrerande(“denna banken tar jag den är säkrare”), och hotande(inte bara externa)

Question 19

Alla aktörer påverkar hur vi sköter säkerheten. Men behöver kontrolleras och styras. Hur gör man det?

Answer 19

Policyer och riktlinjer inom ett företag - ta fram och kommunicera dessa!

Question 20

Vems stöd behöver man för att åstadkomma någonting?

Answer 20

Ledningens engagemang.

Question 21

Vilka steg finns det för Modell för Informationssäkerhetsarbete?

Answer 21

Förbereda, analysera, utforma, införa, följa upp och förbättra

Question 22

Förbereda:

Answer 22

Introduktion, ledningens engagemang och projektplanering

Question 23

Analysera:

Answer 23

Verksamhet, risk och GAP

Question 24

Utforma:

Answer 24

Åtgärder, processer och styrdokument

Question 25

Införa:

Answer 25

Planera genomförande, konstruera och anskaffa och införa

Question 26

Följa upp:

Answer 26

Övervaka, granska, ledningens genomgång

Question 27

Förbättra:

Answer 27

Utveckla LIS, Kommunicera förbättringar och fortsatt arbete

Question 28

Vad finns det för analyser?

Answer 28

Riskanalys, verksamhetsanalys och GAP-analys

Question 29

Verksamhetsanalysen svarar på två frågor, vilka?

Answer 29

1. Vilka är våra kritiska tillgångar?

2. Vilka är kraven/behoven av informationssäkerheten när det gäller de tillgångarna?

Question 30

Kritiska tillgångar:

Answer 30

De som har stor betydelse för verksamheten. Hur hittar man dem(de i i mitten av modellen). Utgå från affären och affärsprocesserna - vilka är de centrala informationstillgångarna och processerna? Gäller att använda olika fokus

Question 31

Använd olika fokus när du tar reda på de kritiska informationstillgångarna:

Answer 31

Informationsflöden: tidigare dokument, kritiska processer, kärnprocesser, kränprocesser, kritiska informationsflöden

IT-system: ofta brad okus om man har gemensamma namn och ansvarsområden, lagom grepp, tydligt avgränsat, finns lista på IT-enheten, potentiellt problem: fokus på IT snarare än info.

Viktiga information: Vad är kritisk information för oss?

Potentiellt problem: Svårt att veta vad som är viktigt.

Question 32

Vad händer om man gör rätt?

Answer 32

Det blir som en karta av vad vi säkrar upp på verksamheten.

Question 33

ex. på hur man tar reda på kritiska tillgångarna:

Answer 33

Skicka ut enkät/email från anställda. Då blir det en karta man kan använda och utgå från.

Question 34

Vad gör vi med resultatet av verksamhetsanalysen?

Answer 34

Nu vet vi vad vi ska skydda och: territorier är kartlagt, vi vet på ett ungefär vad som är kritiska informationstillgångar, vi kartlägger INTE alla tillgångar. NU är det dags att titta på KRAV/BEHOV!

Question 35

NU lägg undan HOT och RISK. Nu ska vi se till krav och behoven på informationssäkerheten för de tillgångar vi identifierat. Vilka typer av krav finns det på informationssäkerhet?

Answer 35

Externa(legala krav) och Interna(verksamhetens krav)

Question 36

Exempel på legala krav?

Answer 36

Personuppgiftslag, upphovsrättsliga lagar och bokföringslag

Question 37

Exempel på verksamhetens krav?

Answer 37

Krav på riktighet, krav på sekretess, krav på tillgänglighet och krav på spårbarhet

Question 38

Vad innebär informationsklassificering?

Answer 38

Att avgöra säkerhetskraven för en informationstillgång, klassificering sker för varje tillgång som identifierats. Ofta sker det praktiskt i workshopformat. Låt oss fokusera på en tillgång och klassificera den.

Question 39

Informationstillgången klassificeras i följande klasser:

Answer 39

Sekretess, riktighet och tillgänglighet. Man måste ta reda på vilken klass informationen tillhör.

Question 40

Vad innebär klassificering?

Answer 40

Att det finns ett visst behov av tillgänglighet, sekretess, riktighet för informationstillgången. Vissa verksamheter kopplar klassen direkt till vissa tekniska åtgärder (för- och nackdelar). Klassificering innebär dels: Att vi fastställt behov och krav, att verksamheten som varit med fått medvetande om vikten av informationssäkerhet. (VIKTIGT) och att vi har kunskap som vi kan ta med oss in i riskanalys och val av åtgärder.

Question 41

RISKANALYS?

Answer 41

Vad kan hända och vad får det för konsekvenser? (du kan ta vilket objekt som helst och analysera: ad kan hända med detta?)

Question 42

Vad analyseras?

Answer 42

Olika fokus

• Hela verksamheten
• Enskild informationsstil

Question 43

Säg varje Metodsteg i Riskanalys

Answer 43

• Verksamhetens krav på informationen.
• Val och beskrivning av analysobjekt.
• Identifiering av hot-
• Sammanställning och gruppering av hot.
• Riskbedömning: konsekvens och sannolikhe.
• Framtagning av åtgärdsförslag.

Question 44

Beskriv Hot =

Answer 44

En möjlig, oönskad händelse som kan störa verksamheten

Question 45

Beskriv Konsekvens =

Answer 45

Hur påverkas verksamheten till följd av händelse?

Question 46

Beskriv Sannolikhet =

Answer 46

Hur troligt är det att en händelse inträffar?

Question 47

Beskriv Risk =

Answer 47

En kombination av hur allvarligt en händelse kan störa verksamheten och hur troligt det är att händelsen inträffa

Question 48

Efter metodstegen handlar det om att kartlägga. Hur många steg och vilka?

Answer 48

5 stycken.

1. Vad är det som ska analyseras?
2. Ta fram hot.
3. Sammanställ och ordna
4. Värda risken
5. Åtgärder

Question 49

Beskriv steg 1.

Answer 49

Vad är det som ska analyseras?

• Gruppen enas om vad som vad uppgiften omfattar.
• Eventuella avgräsningar och tillägg tas upp. Lätt om det är hela verksamheten.
• Gå igenom dokumentationen - Finns all information som behövs?

Question 50

Beskriv steg 2.

Answer 50

Ta fram hot!
Vad kan inträffa som stör verksamheten och analysobjektet?
Skriv upp alla hot som kommer fram, både stort och smått.
- vad har hänt?
- vad kan hända?

Question 51

Beskriv steg 3.

Answer 51

Sammanställ och ordna

• ta bort dubletter
• förtydliga hoten och bygg scenarier
• gruppera hoten om de är många
• numrera hoten

Question 52

Beskriv steg 4.

Answer 52

Värdera risken

• vilken konsekvens kan hotet ha?
• hur sannolikt eller troligt är det att hotet blir verklighet?

Question 53

Vad innebär en riskvärdering?

Answer 53

Man värderar risken, på y-axeln är det konsekvens och x-axeln sannolikhet. Dp ser man att exempelvis “hot H” kommer vara katastrofalt om det inträffar och det kommer inträffa ofta. Hur kan man minska konsekvensen?

Question 54

Beskriv steg 5.

Answer 54

Åtgärder! Vad kan man göra för att minska risken?
- Reducera konsekvensen - göra följderna mindre allvarliga om det händer?
- Minska sannolikheten, göra det mindre troligt att det ska inträffa.
Ser gruppen några direkta åtgärder att vidta?

Question 55

Vad vet vi efter verksamhetsanalysen och riskanalysen?

Answer 55

Behoven, kraven och riskerna!

Question 56

Vad kommer efter verksamhetsanalysen och riskanalysen?

Answer 56

GAP-analysen

Question 57

Vad innebär GAP-analysen?

Answer 57

Analys av nuläget gällande informationssäkerheten - en GAP-analys!

Question 58

Vad syftar namnet “GAP”-analys till?

Answer 58

Gapet mellan det som en standard beskriver som bästa praxis och den rådande säkerhetsnivån i verksamheten.

Question 59

Vad måste man ta i beaktande när man gör analysen?

Answer 59

Skyddsbehovet!

Question 60

Beskriv metoden för GAP

Answer 60

1. Verksamhetens skyddsbehov. 2. Identifiera kunskapskällor. 3. Dokumentera nuläget. 4. Dokumentera förbättringsåtgärder.

Question 61

Vad är syftet med GAP?

Answer 61

• Ge bekräftelse på att skyddet är infört i tillräcklig omfattning.
• Ge en uppfattning om kvaliteten på informationssäkerhetsarbetet.
• Information om styrkor och svagheter i skyddet.
• Ett underlag för resten av arbetet med att styra informationssäkerheten.

Question 62

Vilka ingångsvärden är grundläggande för att kunna genomföra en GAP-analys?

Answer 62

• Behov och krav( det är nödvändigt att känna till tillgångar, krav och risken enligt resultaten från verksamhetsanalysen och riskanalysen).
• Säkerhetsdokument(Analys-ledaren måste studera vad eventuellt existerande policydokument och riktlinjer säger om informationssäkerhet).
• Standard och norm(GAP utgår från en norm, dvs en lista med krav elr säkerhetsåtgärder).

Question 63

Vad ska analysledaren göra med ingångsvärdena?

Answer 63

Sammanställa material och kunskap.

Question 64

Hur många krav innehåller standarden 27001?

Answer 64

133 på säkerhetsåtgärder och analysledaren ska gå igenom dem för att se vilka av dessa säkerhetsåtgärder som: - redan finns och fungerar tillfredställande (utifrån verksamhetens specifika behov).

• fungerar tillfredsställande tack vare kompenserande åtgärder.
• inte existerar eller inte fungerar tillfredsställande.
• inte behövs.

Question 65

Hur dokumenteras sedan analysen?

Answer 65

Genom att beskriva nuläget och eventuella förbättringsåtgärder för varje krav i standarden.

Question 66

Vad kan rapporten från GAP-analsen inkludera?

Answer 66

• en översiktlig beskrivning av analysprocessen, hur arbetet genomfört.
• information om vad som har legat till grund för analysen.
• dokumentation av själva analysen.
• sammanfattande slutsatser kring verksamhetens nuvarande informationssäkerhetsnivå

Question 67

Vad gör vi med resultatet från GAP`

Answer 67

• Informationstillgångar och krav: tar vi med oss till informationssäkerhetschefen till IT_sidan som har förståelse för hur behovet ser ut.
• Risker. Mynnar ut i åtgärder.
• GAP-analysen: det mest konkreta, där ser man tydligt vilka små miniprojekt vi måste genomföra.

Question 68

Vad gör vi efter vi vet resultatet?

Answer 68

Tar fram policys och riktlinjer, åtgärder och processer för hur anställa mm ska jobba.

Question 69

Vad ger en god informationssäkerhet?

Answer 69

Ekonomi, förtroende, effektivitet och efterlevnad

Question 70

Beskriv ekonomi inom god informationssäkerhet

Answer 70

En sparad krona är lika mycket värd som en tjänad

Question 71

Beskriv förtroende inom god informationssäkerhet

Answer 71

hos anställa och kunder

Question 72

Beskriv efterlevnad inom god informationssäkerhet

Answer 72

Efter lagkrav

Question 73

Beskriv effektivitet inom god informationssäkerhet

Answer 73

Effektiviserad verksamhet

Question 74

Vad ger dessa fyra komponenter av god informationssäkerhet?

Answer 74

Nytta!

Question 75

Vad är personlig integritet?

Answer 75

Rätten till en “privat sfär” - rätten at få “vara ifred” anses som en av människans grundläggande rättigheter
“Personlig integritet eller “Dataskydd” kallas den säkerhetsprincip vilken anger att personlig och privat information inte behandlas eller delges utan individens vetskap eller samtycke.

Question 76

Varför är det viktigt med personlig integritet?

Answer 76

• Frihet, öppenhet -> yttrandefrihet!
• Respekt för önskan att hålla något hemligt.
• Rätten till en privat sfär
• Begränsa myndigheternas makt över medborgare

(Totalitära stater använder begränsning av “privacy” som ett centralt verktyg för att behålla makt över medborgare

Question 77

Vilka använder “privacy” som ett centralt verktyg för att behålla makt över medborgare?

Answer 77

Totalitära makter

Question 78

Vad är lagstiftningen dataskyddsförordningen GDPR är till för?

Answer 78

The general data protection regulation är till för att skydda enskildas grundläggande rättigheter och friheter, särkilt deras till rätt till skydd av personuppgifter.

Question 79

Var gäller dataskyddsförordningen?

Answer 79

Hela EU och har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flöder av uppgifter inom Europa inte hindras.

Question 80

Gäller samma regler inom hela EU?

Answer 80

Ja

Question 81

Vilka har till tillsyn över detta i Sverige?

Answer 81

Datainspektionen

Question 82

Den nya förordningen har skapat en massa arbete i verksamheter, inte minst pga möjliga sanktionsavgifter på hur mycket?

Answer 82

4% i global omsättning.

Question 83

Beskriv begreppet “Personuppgifter” inom GDRP:

Answer 83

All information som handlar om fysiska personer som kan identifieras är personuppgifter. Det spelar ingen roll om du är direkt identifierbar genom uppgifter, eller om det krävs att ytterligare information inhämtas för att du ska kunna identifieras. Det kan vara tex ditt namn, din e-post, ett foto på dig, ditt ID-kortnummer och din IP-adress när du surfar på nätet.

Question 84

Beskriv begreppet “Behandling(av personuppgifter)” inom GDRP:

Answer 84

all typ av behandling, lagring, ta emot, skriva ut och överföra.

Question 85

Beskriv begreppet “Personuppgiftsansvarig” inom GDRP:

Answer 85

Den som beslutar om ändamålet med behandlingen (ofta en juridisk person som ett företag)

Question 86

Beskriv begreppet “Personuppgiftsbiträde” inom GDRP:

Answer 86

den som behandlar uppgifter å den personppgiftsasvariges vägnar.

Question 87

Beskriv begreppet “Registrerad” inom GDRP:

Answer 87

Den uppgifterna handlar om (exempelvis dig och mig).

Question 88

Vilka principer måste alltid följas om man vill behandla personuppgifter?

Answer 88

Laglig grund, ändamålsbegränsning, uppgiftsminimering, riktighet, lagringsminimering, konfidentialitet och ansvarsskyldighet

Question 89

Beskriv kraven i huvuddrag i förordningen?

Answer 89

• Register över behandlingen(eng. “ROPA”: var finns personuppgifterna, hur behandlas de, för vilka ändamål etc.
• Analyser: konsekvensanalys (eng. “DIPA”): riskanalys
• Skydd: Tekniska och organisatoriska skyddsåtgärder ska införas.
• Incidentrapportering: till datainspektionen.

Question 90

Vad innebär dataskyddsombud inom GDPR?

Answer 90

• Oberoende anställd eller inhyrt ombud
• Lokal “tillsyn” över dataskyddsarbetet
• Kompetenskrav
• Goda affärsmöjligheter

Question 91

Patientdatalagen innebär?

Answer 91

• Sammanhållen journalföring mellan vårdgivare
• Inre sekretess, bara den som har vårdrelation får ta del av informationen.
• Egen rätt att spärra åtkomst till uppgifter.
• Lagen medger direktåtkomst till journal och loggar via Internet
• Behörigheter, spårbarhet, åtkomstkontroll

Question 92

Vilka gäller Lagom elektronisk information?

Answer 92

Tillhandahållare av “allmänt tillgängliga elektroniska kommunikationstjänster”. E-post, telefoni, etc.

Question 93

Vilken information gäller lagen om Elektronisk information?

Answer 93

Främst information i kommunikationen och som kan hänföras till abonnenten.

Question 94

“Integritetsincident” medför rapportskyldighet till vad?

Answer 94

Post- och Telestyrelsen och i vissa fall abonnenten.

Question 95

Vad hittar man hos Post- och telestyrelsens?

Answer 95

Föreskrifter och allmänna råd om skyddsåtgärder för behandlande uppgifter. Alltså. lag, förordning, föreskrift och allmänna råd.

Question 96

Tjänstetillhandahållarens säkerhetsarbete avseende behandlande uppgifter ska bedrivas hur?

Answer 96

Långsiktigt, kontinuerligt och systematiskt.

Question 97

I säkerhetsabretet ska det finnas en tydlig rollfördelning med särkilt utpekade ansvariga. Vad ska dokumenteras?

Answer 97

Rutiner, processer och rollfördelning för säkerhetsarbetet ska dokumenteras.

Question 98

Vad ska tjänstetillhandahållaren analysera?

Answer 98

Riskerna för att intregritetsincidenter inträffar för de identifierade informationstillgångarna.

Question 99

Vad ska tjänstetillhandarenhållaren vidta?

Answer 99

Nödvändiga skyddsåtgärder som föreskriv i 6-9 samt andra nödvändiga skyddsåtgärder på den nivå som är lämplig. Vidtagna skyddsåtgärder ska dokumenteras och följas upp årligen och vid behov.

Question 100

Åtkomst- och behörighetshantering. Vad ska tjänstetillhandahållaren säkerställa att åtkomst till behandlade uppgifter endast ges till den som?

Answer 100

1. Behöver det för att utföra sina arbetsuppgifter.
2. Har relevant utbildning med hänsyn till de uppgifter denne hanterar.
3. Har upplyst om tystnadsplikten i 6 kap-20 - 21 lagen om elektronisk kommunikation.

Question 101

Lagstiftning - FRA-lagen. Gäller vad?

Answer 101

Tele och datatrafik som passerar Sveriges gränser

Question 102

FRA får signalspana i kabel efter vad?

Answer 102

Beslut av domstol

Question 103

Spaningen gäller?

Answer 103

Särskilda teman

Question 104

Det gäller även innehåller i exempelvis?

Answer 104

Ett telefonsamtal eller SMS.

Question 105

Lagstiftning – Datalagringsdirektivet 1/2 är till för?

Answer 105

Brottsbekämning. Inom lagring av uppgifter i elektronisk kommunikation, dvs parter(telefonnummer), geografisk placering, IP-nummer på dator etc.

Question 106

Behov och kritik inom Datalagringsdirektivet?

Answer 106

• EU-domstolen har ogiltigförklarat direktivet med Sverige hade länge kvar den nationella lagstiftningen.
• Datainspeltionen var kritisk till proportionaliteten.
• 2016 upphörde lagen att gälla.

Question 107

Lagstiftning – Datalagringsdirektivet 2/2. Ge ett exempel?

Answer 107

Teleoperatör

Question 108

Vad infördes under detta direktiv?

Answer 108

Central databas för att samla uppgifter som fanns i tidigare olika system.

Question 109

Det infördes ett system som polis kan ringa eller maila för att?

Answer 109

Snabbt få ut uppgifter kring ett fall eller person

Question 110

Frågan som kvarstår:

Answer 110

Lagen gäller inte längre, men har alla operatörer skrotat sina databaser för detta?

Question 111

Ge exempel på en individs hårdvara och dess svaga punkter?

Answer 111

Mobiltelefon: ofta internetuppkopplad(ständigt), GPS-funktion(kan positioneras i nätet).
Trådlös accesspunkt/router (ofta inbyggd i brandvägg).
Dator (bärbar/stationär)

Question 112

Ge exempel på en individs tjänster inom IT-miljö:

Answer 112

Gmail/outlook, iCloud, Facebook etc.

Question 113

Ge exempel på problem med tjänsterna inom IT-miljö:

Answer 113

Svårt att hålla reda på alla automatiska synkningar och funktioner ex. bildström på telefonen, påslagen positionering på karta åt kompisar

Question 114

IP-nummer?

Answer 114

Alla tjänster kan se vilket nummer du har. Det kan kopplas ihop med dig som person dels genom information din internetleverantör har dels på andra sätt.

Question 115

När är det bra med IP?

Answer 115

Vid spårning av attacker, hot, bedrägerier etc.

Question 116

Cookies?

Answer 116

En textsträng som kan sparas i din webbläsare över tid.

Question 117

Vilket problem löser cookies?

Answer 117

Att IP-numret kan användas av flera.

Question 118

Vad håller cookies reda på?

Answer 118

Vem som surfar in på en visst tjänst.

Question 119

HTTP-referrer?

Answer 119

Om du är på en webbsida och klickar på en länk kan den som länken går till se varifrån du kom. Ex. från en webbmail, från googlesökning etc.

Question 120

Vad kan HTTP göra?

Answer 120

Para ihop data, exempelvis om du surfar in på min webbsida kan jag se hur gammal du är, vad du sökt på för att komma till mig etc.