Standarder och ramverk Flashcards

1
Q

Vad är en standard?

A

En standard är en gemensam lösning på ett återkommande problem. Syftet med standarder är att skapa enhetliga och transparenta rutiner som vi kan enas kring. Det ligger ju i allas intresse att höja kvaliteten, undvika missförstånd och slippa uppfinna hjulet på nytt varje gång

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Varför ska man följa en standard?

A
  • Undvika fallgropar
  • Allmänt beprövade metoder
  • Uppfylla viss kravnivå
  • Förbättra samverkan mellan organisationer
  • Gemensamt språk
  • Stärka varumärket genom att visa att man följer standarder
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Vad är det för skillnad på en lag och en standard?

A

En standard är frivillig och måste nödvändigtvis inte följas. Däremot, kan en lag påvisa att en viss standard måste följas. Detta är fallet för Svenska myndigheter.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Vad är tanken med GDPR?

A

Att stärka enskilda personers rättigheter över hur företag, myndigheter och organisationer får samla in och använda deras personuppgifter.

Det är också strängare krav på att företag och andra organisationer ska informera hur de hanterar personuppgifter.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

När trädde GDPR i kraft?

A

25e maj 2018

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

För vilka gäller GDPR?

A

GDPR gäller för alla medlemsstater i EU.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Vad måste en organisation göra om ett dataintrång sker?

A

Det måste rapporteras till Integritetsskyddsmyndigheten inom 72 timmar.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Vad innebär dataportabilitet?

A

När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter man själv lämnat för att föra över dem till en annan tjänst.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Vad innebär konsekvensbedömning (inom kontexten GDPR)?

A

Innan man planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Vad innebär en anmälan om personuppgiftsincident?

A

Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till Integritetsskyddsmyndigheten inom 72 timmar. Man kan också behöva informera de registrerade.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Vad för uppgifter har ett dataskyddsombud i en organisation?

A

Ett dataskyddsombud är en person inom organisationen som har till särskild uppgift att bevaka dataskyddsfrågor.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

När kan en sanktionsavgift delas ut?

A

En sanktionsavgift kan utdömas för den som bryter mot förordningens regler.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Vad bestämmer hur stor en sanktionsavgift ska vara?

A

Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Vad innebär missbruksregeln?

A

Den innebär att man får behandla uppgifter i vissa situationer så länge det inte är kränkade för någon

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Vad är tumregeln för hur mycket data man får lagra?

A

Tumregeln säger att man inte får lagra mer data än vad man behöver.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Vad är ett ledningssystem?

A

Det är en organisation mål samt hur arbetet ska bedrivas och styras för att uppnå dem.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Vad innefattas i ett ledningssystem?

A
  • Policys
  • Rutiner
  • Kontinuerligt förbättringsarbete
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Beskriv några fördelar med standarder för informationssäkerhet

A
  • Skapar förutsättningar för förbättrad informationssäkerhet
  • Arbeta med informationssäkerhet enligt beprövade metoder
  • På ett strukturerat sätt
  • Uppnå allmänt accepterade krav
  • Gemensamt språk för informationssäkerhet
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Vad innebär certifiering vid en standard?

A
  • Kontroll av efterlevnad av standard
  • Ett speciellt (externt) certifieringsorgan kan kontrollera att en viss standard efterlevs av en organisation/produkt/ledningssystem eller person
  • Vid efterlevnad av en standard erhålls en certifiering.
20
Q

Vad är certifiering bra för?

A
  • Utvecklingen går mot krav på certifiering inom många områden
  • Bra marknadsföring (ser bra ut utåt)
  • En slags kvalitetsstämpel
  • Bevis för ditt företag och externa aktörer att du följer konstens alla regler
21
Q

Vilka är de 5 ramverk som har behandlats inom kursen?

A
  • ISO/EIC 27000 Serien
  • NIST SP 800 Serien
  • CIS Controls
  • COBIT
  • ITIL
22
Q

Beskriv ISO-ramverket

A

Detta är ett ramverk som syftar till att hjälpa organisationer i arbetet att införa och driva ett ledningssystem för informationssäkerhet. Det är framtaget och verifierat av experter inom International Standards Organization (ISO) och International Electrotechnical Commission (IEC).

23
Q

Vad kallas den svenska versionen av ISO?

A

SS-ISO

24
Q

Beskriv ISO/EIC 27000

A
  • Det ger en översikt över standardserien ISO/EIC 27000
  • Går igenom och beskriver varje standard i serien
  • Förklarar begrepp och definitioner som används i serien
  • Förklarar syftet och fördelar med att använda standardserien
  • Förklarar innebörden av ett Ledningssystem för informationssäkerhet (LIS) och dess fördelar
  • Förklarar översiktligt hur arbetet med ett ledningssystem för informationssystem (LIS) fungerar
25
Q

Beskriv ISO 27001

A

Denna standard beskriver kraven inom ett LIS.

  • Specificerar kraven för: Upprättande, införande, underhåll, ständig förbättring
  • Krav på bedömning och behandling av informationssäkerhetsbrister
  • Dessa krav är obligatoriska för efterlevnad av standarden
  • Strukturerad efter rubrikerna: Ledarskap, planering, stöd, verksamhet, utvärdering av prestanda och förbättringar.
26
Q

Beskriv ISO 27002

A

Denna standard beskriver riktlinjer för informationssäkerhetsåtgärder

  • Referens för val av säkerhetsåtgärder vid införande av ett LIS
  • Vägledning för införande av allmänt accepterade informationssäkerhetsåtgärder
  • Används även i utvecklingen av branch/organisationsspecifika riktlinjer för hantering av informationssäkerhet
  • 14 avsnitt med 35 av de viktigaste säkerhetsområdena
27
Q

Beskriv ISO 27003

A

Denna standard är en vägledning för införande av ledningssystem för informationssäkerhet.

  • Fokuserar på införandet av ledningssystemet
  • Beskriver kritiska aspekter för framgångsrik utformning och införande av ett LIS
  • Beskriver processen för specificering och utformning av ett LIS
  • Ger riktlinjer för hur arbetet bör planeras.
28
Q

Beskriv ISO 27004

A

Denna standard är en vägledning för mätning av informationssäkerhet

  • Vägledning för att utföra mätningar för att utvärdera effekten av:
    . Införandet av ett LIS
    . Skyddsåtgärderna i ISO 27001
29
Q

Beskriv ISO 27005

A
  • Riktlinjer för hantering av informationssäkerhetsrisker
  • För lyckat införande av informationssäkerhet
30
Q

Vad innefattas av NIST SP 800 Serien?

A

Detta är en serie av riktlinjer och referensmaterial för informationssäkerhet. Det intresserar sig särskilt för informationssäkerhet.

31
Q

Vad är NIST - Risk Management Framework?

A

Det är en riskbaserad metod för att välja ut skyddsåtgärder och hantera risk

32
Q

Vilka 6 steg består NIST - Risk Management Framework av?

A
  • Categorize (System)
  • Select (Controls)
  • Implement (Controls)
  • Assess (Controls)
  • Authorize (System)
  • Monitor (controls)
33
Q

NIST RMF - Categorize

A

Utvärdera risk för en tillgång (Så som ett IT-system), utgångspunkt från inverkan av incidenter relaterade till Konfidentialitet, Riktighet och Tillgänglighet. Ger en säkerhetskategori som har en viss “baseline” av säkerhetsåtgärder.

34
Q

NIST RMF - Select

A

Skräddarsy säkerhetsåtgärderna (ta bort ej applicerbara, välj till där extra säkerhet behövs “overlays).

35
Q

NIST RMF - Implement

A

Implementera på lämpligast sätt säkerhetsåtgärderna i verksamheten och dokumentera. Bygga på, bygga in, bygga nytt..?

36
Q

NIST RMF - Asses

A

Utvärdera hur väl och korrekt säkerhetsåtgärderna är implementerade. Genom; Granskning, Intervjuer eller Test

37
Q

NIST RMF - Authorize

A

Ta beslut om tillgångens status för drift baserat på dess risk. OK för drift, OK på villkor, STOP till drift?

38
Q

NIST RMF - Monitor

A

Kontinuerlig, planerad uppföljning för de kritiska processerna.

39
Q

Vad är NIST - Cybersecurity Framework?`

A

Detta är ett relativt nytt, valfritt ramverk som publicerades 2014. Det är speciellt framtaget för tjänster som är kritiska för samhället och är baserat på befintliga industriledande standarder, riktlinjer och praxis framtagna av bl.a NIST och ISO

40
Q

Vad kan NIST - Cybersecurity Framework hjälpa till med?

A

Det kan hjälpa organisationer att:
- Identifiera
- Implementera
- Förbättra

Det är en informationssäkerhetspraxis och ger ett gemensamt språk för informationssäkerhet

41
Q

Vad är CIS Controls?

A

Detta är ett ramverk utgivet av Center for Internet Security (CIS). Det är fritt att använda för kommersiellt bruk och är mer inriktat mot IT-säkerhet jämfört mot ISO 27000

42
Q

Vad består CIS Controls av?

A

Det består av 18 åtgärdsområden som är indelade i 3 kategorier:
- IG1 (Essentials)
- IG2 (Intermediate)
- IG3 (Advanced)

IG står för Implementation Groups

43
Q

Vilken struktur har varje åtgärdsområde i CIS Controls?

A
  • Beskrivning om varför åtgärden är viktig
  • Tabell med specifika handlingar man bör genomföra
  • Förfaranden och verktyg som möjliggör implementering och automatisering
  • Exempel på System-ERD som visar hur de olika implementationerna samspelar.
44
Q

Vad är COBIT?

A

COBIT står för Control Objective for Information and Related Technology Standards

Det är ett ramverk för IT-styrning, som är anpassad för affärsledningen och inte bara IT-ledningen.

45
Q

Vad kan COBITS ramverk hjälpa till med?

A
  • Hjälper en organisation att få ut maximalt värde från sina IT-resurser
  • Hjälper till att skapa ordning bland standarder, regelverk och ramverk
  • Hjälper till med vad som ska uppnås, inte hur
  • Har ett specifikt ramverk för styrning av Informationssäkerhet
46
Q

Vad är COBIT 5 For information security?

A

Ett ramverk inom COBIT specifikt för styrning av informationssäkerheten. Detta ger riktlinjer för att hjälpa IT-personal att:
- Förstå, utnyttja, implementera och dirigera viktiga aktiviteter i informationssäkerhetsarbetet.
- Hjälper till att fatta mer informerade beslut om t.ex risk

47
Q

Vad är ITIL?

A

ITIL står för “The IT Infrastructure Library”

Det är världens mest accepterade och använda ramverk för “IT Service management”, vilket innebär hur man tillhandahåller och levererar IT-tjänster på ett optimalt sätt för en kund.

Det är också en serie av “best practices” som ger vägledning för att leverera högkvalitativa IT-tjänster baserat på affärsbehov.