IN5080
Risikostyring kan utøves på hvilket niva? - 1. IT-system - 2. Prosess - 3. Prosjekt - 4. Organisatorisk - Alternativ 1, 2, 3 og 4 er riktig - Alternativ 1, 2 og 4 er riktig - Alternativ 1 og 2 er riktig
- Alternativ 1, 2, 3 og 4 er riktig Risikostyring på alle nivåer
Gi et eksempel på at tiltak som ivaretar RPO og forklar hvorfor dette ikke er RTO.
- Backup (også RTO) - Recovery Point (også RTO) - Arkivering - Speiling - Clustering (også RTO)
Gi to eksempler på aktiviteter som aktiveringsfasen (beredskapsplan) inneholder, og beskriv formålet med aktivitetene.
- Lage kriterier som ligger til grunn for at man kan aktivere planen - Datainnsamling. Kriterier på data som skal innhentes. - Hvem kan aktivere? Spesifiser roller og ansvar på hvem som kan aktivere planen og roller for andre interessenter - Varslingsrutiner
Gi et eksempel på at tiltak som ivaretar RTO og forklar hvorfor dette ikke er RPO.
- Manuell feilretting (også RPO) - Clustering (også RPO) - Speiling (også RPO) - Redundans
Virksomhetsforståelse. Nevn noen strategier du kan anvende for å forstå virksomheten og gi en kortfattet beskrivelse av dem.
- Policy: Forstå policyene og føringer fra virksomheten - Mål og Strategier: Forstå virksomhetens prioriteringer og mål - Business Impact Analysis: For å få oversikt over virksomhetskritiske funksjoner og verdier - RPO, RTO og MTD: Forstå terskelverdi for hvor mye data man kan tape (RPO), hvor lenge tjenesten kan være nede (RTO) og hvor lang nedetiden kan være før man går konkurs (MTD). Deretter tilpasse beredskapsplanen basert på RPO, RTO og MTD. - Eksisterende tiltak: Få oversikt over tiltakene som er etablert om de er i henholdt til det nevnt ovenfor. - Oversikt/Liste over kritiske verdier: Forvalte en liste med kriiske verdier og sortert på alvorlighetsgrad
Hvilken funksjon har foretaksstyringen?
- definere mål - vurdere om mål oppnås - sette krav om risiko - vurdere om krav oppnås - etisk og lovlig forvaltning
Tegn en detaljert risikomodell
1 (Aktør - motivasjon x kapasitet = styrke Styrke x Sårbarhet - = sannsynlighet for fororsaking av hendelse) 2 ( Trusselscenario - utnytter sårbarheter og skader verdi - slik at det oppstår hendelse - med negative konsekvenser) 1+2 (- Sannsynlighet for forårsaking av hendelse x konsekvenser = RISIKONIVÅ)
Modenhetsskala for ISMS Plasser elementene så de kommer i riktig rekkefølge fra mist moden til mest moden. - Formalisert (Ledelsesforankring) - Fragmentert (Usammenhengende) - Fraværende (Kaos) - Optimalisert (Målbart) - Systematisert (Risikostyring) - Tilfeldighet (Brannslukking)
1 er minst moden. 1) Fraværende (kaos) 2) Tilfeldighet (brannslukking) 3) Fragmentert (usammenhengende) 4) Formalisert (ledelsesforankring) 5) Systematisert (risikostyring) 6) Optimalisert (målbart)
Begrepet "ansvarlig" er tvetydig på norsk. På engelsk: responsible og accountable Bestem hva som er hva: 1) Den behandlingsansvarlige er en rolle definert i GDPR 2) For skytjenester er virksomheten og skylevrandøren ansvarlig for sikkerhetstiltak på hver sine områder
1) Den behandlingsansvarlige er en rolle definert i GDPR - ACCOUNTABLE 2) For skytjenester er virksomheten og skyleverandøren ansvarlig for sikkerhetstiltak på hver sine områder - RESPONSIBLE
Hvilke av disse er kjennetegn for en risiko? (3 riktige) 1) En risiko er kombinasjon av sannsynlighet av hendelse vil inntreffe og konsekvensen når hendelsen inntreffer. 2) Noe som ligger frem i tid 3) Noe som kan, men ikke nødvendigvis vil inntreffe 4) En risiko er en hendelse 5) Noe som har inntruffet
1) En risiko er kombinasjon av sannsynlighet av hendelse vil inntreffe og konsekvensen når hendelsen inntreffer. 2) Noe som ligger frem i tid 3) Noe som kan, men ikke nødvendigvis vil inntreffe
Indiker hva som er korrekt om forskrifter og veiledning til forskrifter. 1) Gir råd til etterlevelse 2) Virksomheten kan benytte alternativ 3) Forvaltes typisk av direktorater 4) Kan medføre sanksjoner å ikke følge
1) Gir råd til etterlevelse - VEILEDNING 2) Virksomheten kan benytte alternativ - VEILEDNING 3) Forvaltes typisk av direktorater - BEGGE 4) Kan medføre sanksjoner å ikke følge - FORSKRIFT
Angi med ja/nei om elementene nedenfor inngår i fasen for risikovurdering 1) Identifisering av trusler 2) Identifisering av sårbarheter 3) Vurdere konsekvens av hendelser 4) Vurdere sannsynlighet for hendelser 5) Beregne risikonivåer 6) Rangere/ Visualisere risikoene etter nivå
1) Identifisering av trusler - Nei 2) Identifisering av sårbarheter - Nei 3) Vurdere konsekvens av hendelser - Ja 4) Vurdere sannsynlighet for hendelser - Ja 5) Beregne risikonivåer - Ja 6) Rangere/Visualisere risikoene etter nivå - Nei
Beskriv de tre viktigste typer kilder til krav om informasjonssikkerhet
1) Juridiske krav 2) Risikovurdering 3) Standard praksis
Hva er de 4 faser av prosessyklusen for ISMS?
1) Kartlegging og organisering 2) Risikovurdering og håndtering 3) Evaluering og forbedring 4) Drift og hendelseshåndtering
DPIA kan beskrives som en prosess med 5 trinn. Beskriv trinnene.
1) Lag en systematisk beskrivelse av den planlagte behandlingen og formålet med behandlingen 2) Foreta en vurdering av om behandlingsaktivitetene er nødvendige og står i rimelig forhold til formålene 3) Gjør en vurdering av risikoene for de registrertes rettigheter og friheter» 4) Spesifiser de planlagte tiltakene: - «for å håndtere risikoene» - «for å påvise at Personvernforordning overholdes». 5) Få ledelsens validering av DPIA. I praksis vil DPIA-teamet først lage et utkast til systematisk beskrivelse, deretter gjøre en iterasjon over punktene 2 - 4 til det vurderes at "behandling ikke får konsekvenser for den registrertes rettigheter og friheter", og til slutt redigere endelig versjon av den systematiske beskrivelsen, som valideres av ledelsen.
Plasser de ulike trinnene i risikostyring i riktig rekkefølge. To av dem skal ikke med. Akseptert risiko Er håndteringsplan akseptabel? Er risikovurdering akseptabel? Planlegging Risikoanalyse Risikohåndteringsplan Risikovurdering Sårbarhetsanalyse
1) Planlegging 2) Risikovurdering 3) Er risikovurdering akseptabel? 4) Risikohåndteringsplan 5) Er håndteringsplan akseptabel? 6) Akseptert risiko
Velg ut de alternativene som er riktig beskrivelse: (3 riktige) 1) Risikostyring hjelper virksomheten å utnytte sine ressurser optimalt 2) Risiko kan endre seg over tid 3) Risikoanalysefasen handler om å rangere risiko etter alvorlighetsgrad 4) Risikostyring er en kontinuerlig prosess 5) Restrisiko må ikke overvåkes 6) Risikostyring er en engangsoppgave
1) Risikostyring hjelper virksomheten å utnytte sine ressurser optimalt 2) Risiko kan endre seg over tid 4) Risikostyring er en kontinuerlig prosess
Skriv en oversikt over prosessen rundt DPIA basert på disse elementene. Du skal bruke 8 av dem. - Begynne behandling - Forhåndsdrøftelse - Høy restrisiko - Ikke DPIA, kan begynne behandling - Personvernskonsekvens - Revidering ved behov - Sannsynlighet for høy risiko - Tilsyn - Unntak? - Utfør DPIA
1) Sannsynlighet for høy risiko - NEI: Ikke DPIA, kan begynne med behandling 2) JA: Unntak? - JA: Ikke DPIA, kan begynne med behandling 3) NEI: Utfør DPIA 4a) Revidering ved behov 4b) Høy restrisiko? - JA: Forhåndsdrøftelse - NEI: Begynne behandling
Nevn 3 vanlige former for tilsyn som direktorater kan uføre overfor virksomheter.
1) Stedlig tilsyn (stikkprøvekontroll, ikke komplett) 2) Inspeksjon (fysisk sikkerhet) 3) Dokumentkontroll 4) Skriftlig forespørsel og innrapportering av spesifikke forhold
Følgende definisjon kommer fra NSM: "Risiko er forholdet mellom trusselen mot en gitt verdi og denne verdiens sårbarhet for og konsekvens av en uønsket hendelse." Virksomheter som benytter denne definisjonen er avgrenset til å betrakte risiko relatert til: (2 riktige) 1) Tilsiktede handlinger 2) Naturfenomen 3) Teknisk feil 4) Positiv konsekvens 5) Utilsiktede handlinger 5) Negativ konsekvens
1) Tilsiktede handlinger 5) Negativ konsekvens
Indiker hva som er korrekt om lover og forskrifter 1) Vedtas av stortinget 2) Må ha hjemmel i noe 3) Skal typisk være uforandret lenge 4) Er mest detaljert 5) Spesifiserer hva/hvem som er underlagt (loven og/eller forskriften)
1) Vedtas av stortinget - Lov 2) Må ha hjemmel i noe - Forskrift 3) Skal typisk være uforandret lenge - Lov 4) Er mest detaljert - Forskrift 5) Spesifiserer hva/hvem som er underlagt (loven og/eller forskriften) - Begge
Indiker hva som er korrekt om lover og forskrifter. Hvilken av dem: 1) Vedtas av stortinget 2) Lages av f. eks. et direktorat 3) Må ha hjemmel i/ referere til noe 4) Skal typisk forbli uforandret lenge 5) Er mest detaljert 6) Spesifiserer hva/hvem som er underlagt
1) Vedtas av stortinget - lov 2) Lages av f.eks et direktorat - forskrift 3) Må ha hjemmel i noe - forskrift 4) Skal typisk forbli uforandret - lov 5) Er mest detaljert - forskrift 6) Spesifiserer hvem/hva som er underlagt - begge
Angi det mest passende behandlingsgrunnlag (bokstav fra Art.6 Nr.1) Et nettapotek har behov for å lagre og behandle personopplysninger for å betjene kundene.
2 mulige grunnlag a) Kundene kan gi samtykke. b) Å registrere seg som kunde innebærer å inngå en avtale mellom nettapoteket og kundene, der behandling av personopplysninger inngår.
Angi det mest passende behandlingsgrunnlag (bokstav fra Art.6 Nr.1) Virksomheten har en nettside og ønsker å spore besøkende med cookies.
2 mulige grunnlag a) Virksomheten har ingen kontrakt med brukeren (den registrerte). Derfor er samtykke adekvat behandlingsgrunnlag. f) Virksomheten kan argumentere med at den har berettighet grunnlag for å bruke cookies. Her er formålet avgjørende. Hvis det er for å støtte sikkerhet og pålitelighet er det OK. Hvis det er for å sende reklame er det ikke OK.
Angi det mest passende behandlingsgrunnlag (bokstav fra Art.6 Nr.1) Et forsikringsselskap har behov for å behandle personopplysninger om kunder og andre personer av interesse for å etterforske og avdekke mulig forsikringssvindel.
2 mulige grunnlag f) Forsikringsselskapene har en berettiget interesse av å behandle personopplysninger for å avdekke forsikringssvindel e) Det er i almenhetens interesse å behandle personopplysninger for å avdekke forsikringssvindel
Fullfør setningen med mest riktig alternativ. Cyberberedskap er.. 1) en del av IKT-beredskapsplan 2) en integrert og naturlig del av virksomhetens beredskapsplan 3) en del av virksomhetens beredskapsplan 4) en del av virksomhetens beredskapsplan, men må fungere uavhengig av andre beredskapsplaner
2) Cyberberedskap er en integrert og naturlig del av virksomhetens beredskapsplan
Spesifiser hva som er korrekt om NIS2-direktivet. Hvilket år ble NIS2-direktivet vedtatt i EU? 2021 2022 2023 eller 2024
2022
Spesifiser hva som er korrekt om NIS2-direktivet. Hvilket år måtte/må nasjonale NIS2-lover bli vedtatt og tre i kraft i EU-landene? 2021 2022 2023 eller 2024
2024
Angi det mest passende behandlingsgrunnlag (bokstav fra Art.6 Nr.1) En privat barnehage har behov for å behandle personopplysninger om barna for å drifte barnehagen.
3 mulige grunnlag b) Å få plass i barnehagen innebærer å inngå en avtale mellom barnehagen og foreldrene med myndighet over barna, der behandling av personopplysninger inngår a) Foreldrene kan gi samtykke d) Som del av behandlingsgrunnlag kan opplysninger om allergi og spesielle medisinske forhold være av vital betydning.
Hva menes med begrepet adekvansbeslutning?
Adekvansbeslutning betyr at EU-kommisjonen har besluttet at et spesifikt land utenfor EU/EØS har tilstrekkelig beskyttelsesnivå for personopplysninger som tilsvarer GDPR, slik at dette i seg selv danner overføringsgrunnlag til det landet.
Hva menes med begrepet "adekvansbeslutning"?
Adekvansbeslutning handler om at en virksomhet eller et land utenfor EU/EØS har bitt godkjent av EU kommisjonen som et land som har strenge nok regler til personvern, som tilsvarer GDPR - slik at man kan overføre personopplysninger dit. Adekvansbeslutning betyr at EU-kommisjonen har besluttet at et spesifikt land utenfor EU/EØS har tilstrekkelig beskyttelsesnivå for personopplysninger som tilsvarer GDPR, slik at dette i seg selv danner overføringsgrunnlag til det landet.
Hva heter fasen før man utfører selve beredskapsplanen?
Aktiveringsfasen
Hva er bakgrunnen til Schrems II dommen?
Amerikanske myndigheter har rettslig lov til å hente ut personopplysninger fra et amerikansk selskap. Dette gir ikke samme grad av personvern som i GDPR. Schems mente at dette ikke var forsvarlig å basere en adekvansbesluning på, og gikk derfor til rettsak.
Det har oppstått et strømbrudd, men virksomheten SOC (Security Operations Centre) blir ikke rammet siden de har UPS (Uninteruptable Power Supply) også kjent som avbruddsfri/backup strøm. Dette betyr at SOC miljøet vil være operativ i 4-timer før UPS-en blir tom. Hva slags planver er igangsatt?
BCP (Business Continuity Plan) - prosedyrer for å opprettholde driften, eller raskt gjenoppta driften, under en ikke-planlagt avbrudd, katastrofe eller krise.
Hva er BCP og DRP?
BCP (Business Continuity Plan) = nødrutine, hvordan holde virksomheten operativ DRP (Disaster Recovery Plan) = feilretting, fikse feilen slik at man kommer til normal situasjon
Hva var bakgrunnen for Schems II -dommen?
Bakgrunnen for Schrems-II-dommen var at amerikanske myndigheter lovlig kan kreve at et amerikansk selskap utleverer personopplysninger, noe som ikke gir samme grad personvern som GDPR.
Hvilken av ISO/IEC standardene danner grunnlag for sertifisering og hvorfor?
Bare ISO/IEC 27001 danner grunnlag for sertifisering, fordi det kan verifiseres at en virksomhet etterlever kravene. Mens 27000 kun er en generell beskrivelse, og 27002 beskriver alle mulig tiltak som ikke nødvendigvis er relevante for alle virksomheter.
Hva var belutningen av Schems II dommen?
Beslutningen var at adekvansbeslutningen ikke holdt mål. Dette førte til store problemer hos mange norsk virksomheter ettersom at mange benyttet seg av blant annet Windows 365. Alle virksomheter ble derfor beordret om å gjøre sine egne individuelle vurderinger.
Angi det mest passende behandlingsgrunnlag (bokstav fra Art.6 Nr.1) Virksomheten har en nettside, og ønsker spore besøkende med cookies.
Bokstav a): Virksomheten har ingen kontrakt med brukeren (den registrerte). Derfor er samtykke adekvat behandlingsgrunnlag. Bokstav f): Virksomheten kan argumentere med at den har berettighet grunnlag for å bruke cookies. Her er formålet avgjørende. Hvis det er for å støtte sikkerhet og pålitelighet er det OK. Hvis det er for å sende reklame er det ikke OK.
Angi det mest passende behandlingsgrunnlag (bokstav fra Art.6 Nr.1) Virksomheten har behov for å behandle personopplysninger om sine ansatte.
Bokstav b): Ansettelse er basert på en avtale mellom arbeidsgiver og den ansatte, der behandling av personopplysninger inngår. Bokstav a) De ansatte kan gi samtykke.
Angi det mest passende behandlingsgrunnlag (bokstav fra Art.6 Nr.1) Et privat sykehus har behov for å behandle personopplysninger om en pasient som er ubevisst og trenger øyeblikkelig behandling.
Bokstav d): Pasientens vitale interesser tilsier at sykehuset kan behandle personopplysninger uten samtykke eller annen avtale. Bokstav c): Sykehuset kan ha en rettslig forpliktelse å gi behandling for å redde liv
Angi det mest passende behandlingsgrunnlag (bokstav fra Art.6 Nr.1) Politiet trenger å behandle personopplysninger for å etterforske kriminalsaker.
Bokstav e): Politiet er en offentlig myndighet som er pålagt å etterforske kriminalitet, som dessuten er i almennhetens interesse
Angi det mest passende behandlingsgrunnlag (bokstav fra Art.6 Nr.1) Et forsikringsselskap har behov for å behandle personopplysninger om kunder og andre personer av interesse for å etterforske og avdekke mulig forsikringssvindel.
Bokstav f): Forsikringsselskaper har en berettiget interesse av å forhindre svindel, og bør derfor kunne behandle relevante personopplysninger for det formål, uten samtykke eller annen avtale.
Som oftest er det fokus på teknologiske sårbarheter når man identifiserer informasjonsikkerhetrisikoer. Hvilke kategorier av sårbarhet kan gi opphav til risiko?
De 4 P-ene: 1) People/ Mennesker 2) Process/ Prosess 3) Product/ Produkt - teknologiske 4) Partner/ Partner - leverandører
Beskriv kort de tre vanligste kildene til krav om informasjonssikkerhet.
De tre vanligste kildene til krav om informasjonssikkerhet er: 1. Juridiske krav 2. Vanlig god praksis 3. Risikovurdering
Beskriv hva en risikobeskrivelse skal inneholde og gi et eksempel på en vilkårlig risikobeskrivelse som følger det prinsippet.
Det er risiko for at *hendelse X* skal føre til *konsekvens Y* "Det er en risiko for at uvedkomne får tilgang til ukryptert data, som kan lede til at kritisk data blir eksfiltrert."
Begrepet ansvar er tvetydig på norsk. Beskriv de 2 vanligste betydningene av begrepet "ansvar". Hvilke to ulike engelske begreper oversettes vanligvis til "ansvar"?
Det to vanligste betydningene av begrepet "ansvar" er det vi på engelsk kaller "responsibility" og "accountability". Den ene betyr at man har ansvaret for at for eksempel en oppgave blir gjort. Den andre betyr at man står tilregnelig ovenfor tredjeparter for det som gjøres eller har skjedd.
Hva var beslutningen etter Schems II - dommen?
Dommens beslutning var at adekvansbeslutningen for USA (basert på Privacy Shield avtalen) ble kjent ugyldig.
Gi et eksempel på et sikkerhetstiltak hvor man betytter BCP (Business Continuity Plan) , og forklar hvorfor dette er BCP og ikke DRP.
Eksempler på BCP: - UPS (Uninterruptible Power Supply) - Speiling: systemet lagrer og endrer data på flere lokasjoner i sanntid. Sikkerhetskopien vil alltid være en identisk kopi av originalen. - Redundans: flere tilgjengelige systemer utfører samme type oppgave, slik at funksjonene ivaretas i tilfelle et eller flere av de parallelle systemene skulle falle bort. - Cluster: Cluster-sikkerhet er en kommunikasjons protokoll som sikrer kommunikasjon om datapakker mellom tilgangs-områder. Disse tiltakene er ikke DRP tiltak fordi de ikke retter opp feilen, men holder tjenesten oppe på begrenset tid, slik at man kan iverksette DRP-plan for å rette opp feilen uten at man må stoppe drift.
Gi et eksempel på et sikkerhetstiltak hvor man betytter DRP (Data Recovery Plan) , og forklar hvorfor dette er DRP og ikke BCP.
Eksempler på DRP: - Backup and Restore: ta periodiske kopier av data og applikasjoner på en separat enhet. Deretter bruke denne dataen til å gjenopprette dataen og applikasjonene. - Antivirus - Recovery Points: F.eks. den maksimale mengden data, målt med tid, som kan mistes etter en innhenting eller en katastrofe. Eller feil før data-misten overstiger det som er akseptabelt for organisasjonen. - Manuell feilsøking og retting. Disse tiltakene retter feilen slik at virksomheten er i normalsituasjon. Dette er ikke BCP fordi de retter selve feilen og ingen av tiltakene kan holde virksomheten operativ dersom en hendelse intreffer. Men unntak av ativirus som kan korrigere, forhindre og oppdage.
EU publiserer ulike typer regelverk som ofte gjelder Norge. Hva er en EU- forordning (regulation) og hvordan implementeres en EU-forordning i Norge?
En EU-forordning skal som hovedregel implementeres som nasjonal lov nøyaktig slik som den er artikulert av Europakommisjonen, bare oversatt til norsk. Den nasjonale lover er da en henvisningslov (altså henviser den til forordningen). I midlertid kan en forordning inneholde bestemmelser som gir den enkelte stat mulighet til å tilpasse deler av en forordning.
Konsekvens
En konsekvens er en form for tap eller negativt resultat som en følge av en sikkerhetshendelse.
Sårbarhet
En sårbarhet er manglende sikkerhetstiltak mot trusler, og manglende evne til å håndtere hendelser.
Hvis du skal vurdere en sikkerhetsvurdering. Hvilke spørsmål er det du skal stille deg selv?
Er det flere faktorer som kan medføre risiko? Er det noen uvissheter i denne sikkerhetsvurderingen? Er alle stegene gjennomført ordentlig? Er det noe man kunne undersøkt grundigere?
EU publiserer ulike typer regelverk som ofte gjelder Norge. Hva er et EU-direktiv (directive), og hvordan implementeres et EU-direktiv i Norge?
Et EU-direktiv skal implementeres i en eller flere nasjonale lover med omtrent tilsvarende innhold. Når et nytt direktiv kommer kan det hende at Norge allerede har lover som dekker direktivet helt eller delvis. Norge kan også vedta lover som er i samsvar med et direktiv eller en forordning, uten at disse blir formelt en del av EØS-avtalen.
Trussel
Et potensielt angrepsscenario som kontrolleres av en trusselaktør. Angrepet kan skade organisasjonens verdier
Tiltak
Et tiltak er en metode for å forhindre trusler eller redusere konsekvenser av hendelser.
Kom med et eksempel på tiltak som kan redusere konsekvens.
Etablere "data loss prevention" for å forhindre at data blir eksfiltrert eller for å varsle "uregelmessig" aktivitet. DATA LOSS PREVENTION: er et sett med verktøy og prosesser som brukes for å forsikre at sensitive data ikke mistes, misbrukes, blir aksessert av uautoriserte brukere. Etablere BCP (Business Continuity Plan) og iverksette manuelle rutiner eller alternativ verktøy for å fortsette drift i tilfelle enheten er utilgjengelig.
EU publiserer ulike typer regelverk som ofte gjelder Norge. Hvordan bestemmes det om et direktiv eller en forordning skal gjelde Norge?
EØS landene bestemmer sammen om et EU-direktiv eller en EU-forordning skal gjelde i EØS landene, som betyr at direktivet eller forordningen blir tatt inn i EØS-avtalen. Her gjelder prinsippet om alle eller ingen. Det vil si at Norge ikke alene kan bestemme om vi skal eller ikke skal ta det inn.
Behandlingsgrunnlag For å kunne vurdere om bokstav f) berettigede interesser - danner behandlingsgrunnlag kan det gjennomføres en test bestående av å svare på 3 spørsmål. Hvilke tre spørsmål?
FORMÅLSTEST Ligger det en berettighet interesse bak handlingen? NØDVENDIGHETSTEST Er behandlingen nødvendig for formålet? BALANSETEST Bør den registrerte sine interesser eller grunnleggende friheter vike for den behandlingsansvarliges interesser?
Hva er formålet med cyberberedskap?
Formålet med cyberberedskap er å etablere et sett med aktiviteter for å forebygge, slik at hendelser ikke oppstår, og håndtere dersom en hendelse oppstår.
Uvisshet ved risikovurdering Estimering av sannsynlighet og konsekvens som del av risikovurdering vil alltid ha en grad av uvisshet. List opp minst 3 rammefaktorer som kan påvirke og redusere uvisshet ved risikovurdering.
HISTORISKE DATA - "Har risikoen inntruffet tidligere?" NÅVÆRENDE TILTAKSSTATUS - "Hva er tiltakstatus per nå for å forhindre risikoen?" TIDSDIMENSJON - Enhver risiko må settes inn i tidsperspektiv. - Tidsdimensjonen har en stor påvirkning på uvissheten i en risikovurdering. For langt frem => preget av større uvisshet. Kortere perspektiv => uvisshet vil være mindre DATAGRUNNLAG - Vurdere kvaliteten på innsamlet data - Datagrunnlaget har stor påvirkning på uvissheten i en vurdering
Hva er ansvarsprinsippet?
I Norge baseres arbeidet med samfunnssikkerhet på fire grunnleggende prinsipper. Ansvarsprinsippet betyr at den organisasjonen som har ansvar for et fagområde i en normalsituasjon, også har ansvaret for nødvendige beredskapsforberedelser og for å håndtere ekstraordinære hendelser på området.
Hva er likhetsprinsippet?
I Norge baseres arbeidet med samfunnssikkerhet på fire grunnleggende prinsipper. Likhetsprinsippet betyr at den organisasjonen som skal håndtere en krise, i utgangspunktet er mest mulig lik den daglige organisasjonen.
Hva er nærhetsprinsippet?
I Norge baseres arbeidet med samfunnssikkerhet på fire grunnleggende prinsipper. Nærhetsprinsippet betyr at kriser organisatorisk skal håndteres på lavest mulig nivå.
Hva er samvirkeprinsippet?
I Norge baseres arbeidet med samfunnssikkerhet på fire grunnleggende prinsipper. Samvirkeprinsippet betyr at alle aktører har et selvstendig ansvar for å sikre optimalt samvirke, og samarbeid med relevante aktører i arbeidet med forebygging, beredskap og krisehåndtering.
Hva beskriver standarden ISO/IEC 27000?
ISO/IEC 27000 - ISMS/LSIS oversikt og begreper - gir en generell beskrivelse av hva ISMS er - definerer begreper for informasjonssikkerhet - gir en oversikt over andre standarder i 27000-familien
Hva handler standarden ISO/IEC 27000 om?
ISO/IEC 27000 -ISMS OVERSIKT OG BEGREPER - gir en generell beskrivelse av hva ISMS er - definerer begreper for informasjonssikkerhet - gir en oversikt over andre standarder i 27000-familien
Hva beskriver standarden ISO/IEC 27001?
ISO/IEC 27001 - spesifiserer krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av LSIS i en organisasjon.
Hva beskriver standarden ISO/IEC 27002?
ISO/IEC 27002 - Tiltak for Informasjonssikkerhet En tiltaksbank. Dvs. den beskriver et stort utvalg av sikkerhetstiltak som kan vurderes å bli implementert/brukt i organisasjoner.
Standarder og veiledere som beskriver informasjonssikkerhetstiltak benytter ulike kategoriseringer av sikkerhetstiltakene. Kategorisering er som regel: 1) Faser for sikkerhetstiltak (kartlegge, beskytte, detektere, respondere, gjenopprette) 2) Helhetlige tiltakskategorier (organisatioriske/personell, fysiske, teknologiske) 3) Spesifikke tiltakskategorier (tiltakskontroll, data/media - beskyttelse, IAM, nettverkssikkerhet, hendelsesrespons, opplæring, leverandørsikkerhet etc.) ISO/IEC 27002:2022 NIST SP 800-53 NSM Grunnprinsipper for IKT NIST Cyber Security Framework CIS Controls
ISO/IEC 27002:2022 - Helhetlig NIST SP 800-53 - Spesifikk NSM Grunnprinsipper for IKT - Faser NIST Cyber Security Framework - Faser CIS Controls - Spesifikk
Indiker hva som er riktig om begrepet internkontroll (3 riktig): 1) Nevnes spesifikt i eForvaltningsforskriften (2004) 2) Fokuserer hovedsaklig på ansattes adferd 3) Betyr omtrent det samme som ledelsessystem 4) Betyr omtrent det samme som internrevisjon 5) Har fokus på etterlevelse av lover og forskrifter 6) Nevnes spesifikt i sikkerhetsloven
Internkontroll = LSIS 1) eForvaltningsloven - Riktig 2) Fokus på ansattes adferd - Feil 3) Betyr det samme som LSIS - Riktig 4) Betyr det samme som internrevisjon - Feil 5) Fokus, etterlevelse av lover og forskrifter - Riktig 6) Sikkerhetsloven - Feil
"Den organisasjonen man etablere under kriser skal være mest mulig lik den man opererer med til daglig" er en beskrivelse av hvilket prinsipp?
Likhetsprinsippet
Beskriv kort sikkerhetslovens formål (§1-1).
Loven skal bidra til a) å trygge Norges suverenitet, teretorielle integretet og demokratiske styreform og andre nasjonale sikkerhetsinteresser b) Å forebygge, avdekke og motvirke sikkerhetstruende virksomhet c) At sikkerhetstiltak gjennomføres i samsvar med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn
Tilordne kategoriene til riktig rekkefølge i NIST og NSM sine rammeverk: Identifisere og kartlegge Håndtere og gjennopprette Recover Protect Oppdage Respond Beskytte og opprettholde Identify Detect
NIST CSF: Identify - Protect - Detect - Respond - Recover NSM GRUNNPRINSIPPER: Identifisering og Kartlegging - Beskytte og opprettholde - Oppdage - Håndtere og Gjenopprette
Hva er LSIS/Internkontroll?
Nevnes spesifikt i eForvaltningsloven Består av policyer, prosedyrer, retningslinjer, og tilhørende ressurser og aktiviteter Hensikt = å beskytte informasjonsverdier Spesifisere en systematisk tilnærming for å etablere, implementere, drifte, vedlikeholde og forbedre
Når kan det være en fordel å bruke top-down approach i noen situasjoner?
Når man har begrenset med informasjon og lite tid.
"Kriser håndteres på lavest mulig nivå" er en beskrivelse av hvilket prinsipp?
Nærhetsprinsippet
Kom med et eksempel på tiltak som kan redusere sannsynlighet.
Oppdatere versoner, forhindre utgått programvare
Hva menes med "overføringsgrunnlag"?
Overføringsgrunnlag handler om at en virksomhet må ha et grunnlag for å overføre personopplysninger til virksomheter utenfor EU/EØS Overføringsgrunnlag betyr at en virksomhet har en lovlig grunn for å eksportere personopplysninger ut av EU/EØS.
Hva menes med begrepet overføringsgrunnlag?
Overføringsgrunnlag handler om at organisasjonen skal få godkjent at deres overføring av personopplysninger ut av EU/ EØS blir gjort på en måte som er i henhold til lovverket.
Virksomhetsforståelse er en viktig del i utviklingen av beredskapsplanen. Hvilke strategier kan vi bruke for å forstå en virksomhet?
Policy, Mål og Strategier, Business Impact Analysis (RTO, RPO, MTD), Eksisterende tiltak, Oversikt/Liste over kritiske verdier.
Virksomheten har akseptert at bed driftsavbrudd så er virksomheten villig til å miste de siste 10 minuttene av forretningstransaksjoner. Dette er et eksempel på definert:
RPO (Recovery Point Objective) - Definerer hva som er akseptabelt datatap (målt i tid).
Gi et eksempel på et sikkerhetstiltak som ivaretar RPO og forklar hvorfor det ikke er et tiltak knyttet til RTO.
RPO (Recovery Point Objective) tiltak: - Backup - Recovery point - Arkivering - Speiling: systemet lagrer og endrer data på flere lokasjoner i sanntid. Sikkerhetskopien vil alltid være en identisk kopi av originalen. - Cluster: Cluster-sikkerhet er en kommunikasjons protokoll som sikrer kommunikasjon om datapakker mellom tilgangs-områder. Disse tiltakene sørger for at man opprettholder RPO. Arkivering, Backup og Recovery point er RPO tiltak. Mens de andre er både RPO og RTO.
Forklar forskjellen på RTO og RPO.
RTO (Recovery Time Objective) = Definert terskelverdi på når en tjeneste må opp igjen etter inntruffet hendelse. F.eks. må en tjeneste opp igjen innen 1 time. RPO (Recovery Point Objective) = Definert terskelverdi på hvor mye data man kan miste når en hendelse inntreffer, målt i tid. F.eks. man kan miste maksimalt 5 minutter med data.
Forklar forskjellen mellom RTO og RPO
RTO (Recovery Time Objective) = hvor mye tid man kan miste/hvor lang nedetiden kan være for det går utover systemet RPO (Recovery Point Objective) = hvor mye data man kan miste før det går utover systemet (målt i tid)
Gi et eksempel på et sikkerhetstiltak som ivaretar RTO og forklar hvorfor det ikke er et tiltak knyttet til RPO.
RTO (Recovery Time Objective) tiltak: - Manuell feilretting - Cluster: Cluster-sikkerhet er en kommunikasjons protokoll som sikrer kommunikasjon om datapakker mellom tilgangs-områder. - Speiling: systemet lagrer og endrer data på flere lokasjoner i sanntid. Sikkerhetskopien vil alltid være en identisk kopi av originalen. - Redundans: flere tilgjengelige systemer utfører samme type oppgave, slik at funksjonene ivaretas i tilfelle et eller flere av de parallelle systemene skulle falle bort. Disse tiltakene _holder en tjeneste oppe_ eller _feilretter situasjonen_ ihht RTO. Clustering, speiling og redundans ivaretar både RPO og RTO
Du jobber i et direktorat som forvalter en forskrift på informasjonssikkerhet, og har som oppgave å gjennomføre tilsyn med virksomhetens etterlevelse av krav til informasjonssikkerhet. Nevn rekkefølgen av trinn i prosessen for å gjennomføre slike tilsyn.
Rekkefølgen for tilsyn: 1) Planlegging og utvelgelse av selskap 2) Avtale tidspunkt 3) Sende ut brev med tidfesting, lovhjemmel, deltakerne, tema og forespørsel om å få tilsendt dokumentasjon 4) Tilgangsforberedende møte hos NVE - gjennomgang av dokumenter og spørsmål 5) Tilsynsmøte 6) Revisjonsrapport 7) Oppfølging
Ved en beredskapshendelse viser det seg at virksomheten har behov for bistand fra en leverandør i forvindelse med feilretting. Det viser seg at på grunn av manglende avtale mellom leverandøren vil det bli kostbart å få bistand. Hvilket beredskapsprinsipp er dette brudd på?
Samvirkeprinsippet: Myndigheter, virksomheter og etater har et selvstendig ansvar for å sikre et best mulig samvirke med relevante aktører og virksomheter i arbeidet med forebygging, beredskap og krisehåndtering.
Hva er en top-down approach, og hva er en bottom-up approach?
TOP-DOWN APPROACH: risikoer først, altså bekymringer først og deretter gjennomføre risikovurdering i etterkant BOTTOM-UP APPROACH: gjennomgår dokumentasjon først og nøye og lister opp risikoer som er relevante. Mer tidskrevende, krever grundig arbeid og kan oppdage risikoer man normalt ikke har tenkt på. (avhenger selvfølgelig av kompetansen til den som gjennomfører)
Nevn hvilken type årsak/kilde til sikkerhetshendelser som er fokus for sikkerhetsloven
Tilsiktede handlinger
Beskriv typiske negative resultater av at risikoen er uforholdsmessig høy, og når risikoen er uforholdsmessig lav i forhold til implementerte sikkerhetstiltak.
Ved uforholdsmessig høy risiko: forventes mange og kanskje alvorlige hendelser som vil medføre uforholdsmessige store tap. Ved uforholdsmessig lav risiko: kostnader med sikkerhetstiltak vil være uforholdsmessig høy
Hva må en norsk virksomhet vurdere før den kan behandle personopplysninger om nordmenn hos en amerikansk skyleverandør?
Virksomheten må vurdere om den kan basere overføringsgrunnlaget på art. 46: Overføringer som omfattes av nødvendige garantier. Art.46 beskriver dette som at "behandlingsansvarlig eller databehandleren har gitt nødvendige garantier, og under forutsetning av at de registrerte har håndhevbare rettigheter og effektive rettsmidler".
Hva må en norsk virksomhet vurdere før den kan behandle personopplysninger om nordmenn hos en amerikansk skyleverandør?
Virksomheten må vurdere om den kan basere overføringsgrunnlaget på artikkel 46. _ARTIKKEL 46 - OVERFØRINGER SOM OMFATTES AV NØDVENDIGE GARANTIER_ - "Behandlingsansvarlig eller databehandler har gitt nødvendige garantier og under forutsetning at de registrerte har håndhevbare rettigheter og effektive rettsmidler."
Hva er innholdet i en beredskapsplan?
_AKTIVERINGSFASEN_ 1) Aktivere - kriterier: som ligger til grunn for at man kan aktivere planen - datainnsamling: kriterier på data som skal innhentes - aktivere: hvem kan aktivere? Spesifisert roller og ansvar på hvem som kan aktivere planen og roller for andre interessenter - varsle: varslingsrutiner _BEREDSKAPSPLAN_ 2) Gjenopprette (BCP) - steg for steg plan for å få verdiene til å fungere - logging av gjennomførte steg 3) Gjenoppbygge (DRP) - steg for steg plan på hvordan man skal oppnå normalsituasjon - logging av gjennomførte steg - logging av læringspunkter - forslag til tiltak for å forhindre gjentagende hendelser
Tegn modellen for identitet- og tilgangshåndtering basert på disse stegene. - tilgangshåndtering - klargjør autentikator - identitetshåndtering - tilgangskontroll - oppgi autentikator - oppgi bruker-ID - registrer ny bruker - tilgangsautorisering
_KONFIGURERINGSFASE_ Registrer ny bruker Klargjør autentikator Tilgangsautentisering _IAM_ Identitetshåndtering Tilgangshåndtering _BRUKSFASE_ Oppgi Bruker ID Oppgi autentikator Tilgangskontroll
Spesifiser hva som er korrekt om NIS2-direktivet. Hva er hovedformålet med NIS2-direktivet? a ) Krav om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen b) Krav om at statlig sektor gjør innkjøp av nettverks- og informasjonssystemer fra europeiske leverandører for å sikre europeisk digital suverenitet (autonomi). c) Avtale om massiv innsamling av data gjennom nettverk og informasjonssystemer for å bekjempe kriminalitet og terrorisme. d) Avtale om etisk bruk av offensive cyberoperasjoner.
a ) Krav om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen
Spesifiser hva som er korrekt om NIS2-direktivet. Hvordan har Norge implementert/ skal implementere NIS2 direktivet? a) Direkte oversettelse av NIS2-direktivet til norsk, som ble/blir vedtatt som ny lov. b) Tilpasning av NIS2 som ny lov om digital sikkerhet. c) Innlemmelse av NIS2 i revidert Sikkerhetslov. d) Ble/blir ikke implementert i Norge
b) Tilpasning av NIS2 som ny lov om digital sikkerhet.
Informasjonssikkerhet
Å beskytte informasjonsverdier fra skade. ( Å opprettholde KIT-sikkerhetsmålene for verdier: Konfidensialitet, Integritet, Tilgjengelighet)
