Alla inlägg den 5 mars 2023

:

Kommentera
Av Svenn Dybvik - 5 mars 2023 00:00

https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/systematiskt-informationssakerhetsarbete/

Systematiskt informationssäkerhetsarbete


Systematiskt informationssäkerhetsarbete är att arbeta förebyggande och att kontinuerligt anpassa skyddet utifrån organisationens behov och risker. Då finns informationen tillgänglig när vi behöver den, vi kan lita på att den är riktig och inte manipulerad och att endast behöriga personer får ta del av den.


Läs mer om systematiskt informationssäkerhetsarbete

 

Tänk sä­kert!

Varje år anordnar MSB och Polisen kampanjen "Tänk säkert". Syftet med kampanjen är att öka medvetenheten om informations- och cybersäkerhetsfrågor. Det gemensamma temat 2023 är nätfiske, säkra lösenord och säkerhetskopiering.

Tänk säkert 2023

 

Nytt öv­nings­ma­te­ri­al för led­ning­en

Beredskapsveckan som infaller veckan före säkerhetsmånaden har i år temat Öva! I samband med detta har MSB lanserat ett nytt övningsmaterial Informationssäkerhet för ledningen.
Det rör sig om handledning och presentationsunderlag som kan användas i olika typer av organisationer för att genomföra en övning om informationssäkerhet med ledningsgruppen. Passa på att planera in detta under oktober!

Övning – Informationssäkerhet för ledningen

 


Material om NIS

NIS står för "The Directive on security of network and information systems - the NIS Directive".

På svenska heter direktivet ”åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen”. Kortfattat ställer NIS-direktivet krav på säkerhet i nätverk och informationssystem.

NIS-direktivet



https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/standardisering-inom-informationssakerhet/termbank-for-informationssakerhet/

 

Termbank för informationssäkerhet

 

Termbanken för informationssäkerhet är en webbaserad, fritt tillgänglig och sökbar nationell databas för informationssäkerhetsområdet. Tjänsten är framtagen för att öka möjligheten till att alla som arbetar med området ska kunna samarbeta utifrån gemensamma definitioner på centrala begrepp.

Termbanken för informationssäkerhet innehåller den nationella terminologin för informations- och cybersäkerhetsområdet och innehåller svenska och engelska termer, definitioner och förtydligande anmärkningar på svenska med hänvisning till relevanta källor. Terminologiarbetet har utförts inom ramen för nationell (SIS/TK 318) och internationell (ISO/SC 27) standardisering, vilket bidrar till det gemensamma fackspråket.

 

Rik­tar sig till en bred mål­grupp

 

I första hand riktar sig Termbanken för informationssäkerhet till yrkesgrupper som direkt arbetar med informationssäkerhet eller på annat sätt berörs av området. Även journalister, forskare, studenter samt en intresserad allmänhet kan dra nytta av termbankens innehåll.

 

Upp­da­te­ras kon­ti­nu­er­ligt av en ex­pert­grupp

 

Termbanken för informationssäkerhet uppdateras kontinuerligt med nya termer och definitioner. Innehållet tas fram av MSB:s expertgrupp som följer nationell och internationell standardisering inom informationssäkerhetsområdet. Genom att göra terminologin lättillgänglig i en termbank vill MSB öka möjligheten att alla som arbetar med informationssäkerhet förstår varandra.

Termbanken på informationssäkerhet.se

 

Fak­tab­lad om Term­ban­ken för in­for­ma­tions­sä­ker­het

 

Här finns ett faktablad som berättar om Termbanken för informationssäkerhet. Faktabladet kan skrivas ut och användas vid till exempel mässor och liknande tillfällen.

Publikationsnummer: MSB2094

Utgivningsår: 2022


Publikationsnummer: MSB2094

Utgivningsår: 2022

Faktablad om Termbanken för informationssäkerhet
 
 
 
 
 
 

https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/nationell-cyber-range-och-test-webb/

 

Nationell cyber range och testbädd

Under 2016 togs beslutet att lyfta den testbädd som Myndigheten för samhällsskydd och beredskap (MSB) och Försvarsmakten (FM) finansierat och som realiserats genom Totalförsvarets forsknings institut (FOI) till en Nationell Cyber range och testbädd. Testbädden benämns även ”Cyber Range And Training Environment” (CRATE)

Utan en välfungerande nationell cyber range och testbädd är det mycket svårt att bibehålla och på ett effektivt och ekonomiskt sätt vidmakthålla och vidareutveckla den förmåga inom sakområdet Cybersäkerhet som nationen behöver.

 

Vad är Cyber range och test­bädd?

En Cyber range och testbädd är en virtualiserad miljö som återspeglar verkligheten på ett realistiskt sätt ned till minsta tekniska detalj. Syftet är att i en helt kontrollerad miljö bedriva verksamhet på ett kontrollerat, strukturerat och deterministisk sätt.

Anläggningen består i dagsläget av cirka 800 fysiska servrar i ett kluster tillsammans med kommunikationsutrustning för att återskapa mycket komplexa miljöer. Exempelvis existerar ett simulerat internet med geolokaliserade routrar.

Miljöer med tusentals samtidigt virtualiserade enheter kan genereras och styras genom egenutvecklade verktyg. I anläggningen nyttjas bland annat virtualiseringsprogramvaran Virtualbox. Det vill säga, alla operativsystem och programvaror som VirtualBox kan hantera går med lätthet att implementera och simulera i denna anläggning. För utrustning som inte går att virtualisera finns möjligheter att koppla in fysiska enheter direkt i anläggningen. För utökad konnektivitet finns det färdigutvecklade VPN lösningar för att koppla upp intressenter till denna anläggning.

I anläggningen finns även simulerade användare, dessa användare (bots) kan bland annat, logga in på maskiner, läsa e-post, öppna bilagor, skicka e-post, skapa dokument och nyttja resurser, allt för att kunna återskapa en så verklig miljö som möjligt.

 

Vad är test­bäd­den till för?

Denna testbädd är den basplatta för all teknisk verksamhet inom NCS3 och har även möjliggjort ett antal världsunika tekniska övningar. I dagsläget nyttjas denna nationella resurs av flera parter, men det har visat sig att behovet är större än vad denna resurs är kapabel till idag. MSB ser att efterfrågan för att nyttja denna nationella resurs ökar snabbt vilket medför behov både av teknikutveckling för att skala upp förmågan samt att hålla hård- och mjukvara uppdaterad.

I och med detta har MSB nu startat upp fleråriga projekt som ska leda till att renodla denna nationella resurs mer, bland annat genom tekniska uppgraderingar och mjukvaruutveckling. I och med detta kan denna resurs fungera som en mer generisk infrastruktur och genom en modulär arkitektur kan instansieras i multipla segmenterade delar.

Detta kommer leda till att det finns en möjlighet att facilitera test/laborationer, forskning, övningar och utbildningar för att kunna nå målet med ett mer resilient samhälle som kan motstå cyberattacker.

När star­ta­de ar­be­tet?

Arbetet med denna testbädd startades redan 2008 och har använts i cyberförsvars- och cybersäkerhetsövningar, kursverksamhet och laborationer samt i ett flertal forskningsprojekt.

 

Kon­takt

Vid frågor om denna nationella resurs, kontaktascada@msb.se

 

 

 

 

 

 

https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/eus-cyberregleringar/

 

Aktuella EU-regleringar för informations- och cybersäkerhetsområdet

Hur svenska aktörer inom offentlig och privat sektor förväntas arbeta med informations- och cybersäkerhet styrs i många fall av EU-regleringar. Här finns MSB:s policyöversikt, som ger en orientering inom några centrala, både gällande och kommande regleringar och initiativ inom informations- och cybersäkerhetsområdet.

EU har aviserat en stor mängd nya regleringar och andra satsningar med bäring på informations- och cybersäkerhetsområdet under de kommande åren. Initiativen förväntas påverka såväl svensk som europeisk säkerhet i stor utsträckning. Även fördelningen av roller, uppdrag och uppgifter hos offentliga och privata aktörer i Sverige kan komma att påverkas.

 

Sam­man­ställ­ning av ak­tu­el­la och kom­man­de re­gel­verk

MSB följer utvecklingen i de olika EU-initiativen och deltar även i EU-arbetet med flera av dem. Vi får också många frågor från svenska verksamheter om aktuella och kommande EU-regleringar. För att säkerställa en god förståelse om hur EU-regleringar inom informations- och cybersäkerhet påverkar svenska verksamheter sammanställer och tillhandahåller MSB en policyöversikt kring aktuella och kommande regelverk.

 

Ori­en­te­ran­de över­blick för cy­ber­om­rå­det

Policyöversikten riktar sig till beslutsfattare, strateger, analytiker och andra yrkesroller inom såväl privat som statlig, regional och kommunal verksamhet som behöver informera sig om vilka EU-regleringar inom informations- och cybersäkerhet som är på gång. De aviserade regleringarna kan komma att bli gränssättande på flera områden som berör cyberområdet och policyöversikten syftar till att ge en orienterande överblick.

Innehållet i MSB:s policyöversikt uppdateras löpande för att följa utvecklingen av EU-initiativen och vid behov kompletteras med ytterligare regelverk.

 

 

 

 

 

 

Policyöversikt för EU-reglering inom informations- och cybersäkerhetsområdet

https://cert.se/tema/natfiske/

Nätfiske

Nätfiske, eller phishing, är vanligt förekommande och en av de mest effektiva metoderna för angripare att tillskansa sig obehörig åtkomst till system och känslig information. Denna sida innehåller generella råd och stöd för hur man bäst förebygger och hanterar nätfiske.

Behöver du omgående stöd i hantera försök till nätfiske mot din organisation, kontakta oss på cert@cert.se eller 010-240 40 40.

 

Nätfiske är vanligt förekommande och går ut på att lura till sig känslig information som användaruppgifter, lösenord, kontouppgifter, kreditkortsinformation med mera. Angreppen kan vara mer eller mindre skräddarsydda och riktas ofta mot organisationer som hanterar olika typer av personuppgifter, finansiella transaktioner och/eller annan känslig information.

En viktig åtgärd i det förebyggande arbetet mot nätfiske är att införa multifaktorautentisering och en effektiv lösenordspolicy i organisationen. I båda fallen bör den egna riskbedömningen ligga till grund för hur dessa utformas. Lösenordspolicyn bör innehålla aspekter såsom komplexitet, giltighetstid, distribution och skyddsåtgärder. En lösenordshanterare kan användas för att underlätta efterlevnad. Vid behov kan så kallad phishing resistant MFA implementeras, exempelvis genom fysiska säkerhetsnycklar eller smarta kort.

CERT-SE går regelbundet ut med uppmaningar till organisationer att vara vaksamma på olika typer av nätfiske. Dessa uppmaningar publiceras i regel som artiklar i vårt nyhetsflöde och berör framförallt olika modus. Några exempel från det senaste året är nätfiske från falska avsändare med PDF-bilagor, nätfiskekampanj mot bland annat kommuner och skolor, nätfiske med bifogade HTML-filer, och nätfiske med bifogade OneNote-filer.

 

Rekommendationer

  1. Inför multifaktorautentisering och en effektiv lösenordspolicy för alla medarbetare.
  2. Har någon inom er organisation drabbats av nätfiske rekommenderar vi att gå igenom konfigurationen av kontot.
  3. Underlätta för medarbetare genom att markera e-post som kommer från externa avsändare. Då blir det tydligt om ett internt mejlkonto spoofas (olovligen används som avsändare för att verka legitim).
  4. Utbilda medarbetare i grundläggande cyberhygien gällande nätfiske, till exempel genom att uppmuntra dem att:
    • vara vaksamma på e-post från okända och/eller externa avsändare
    • titta på avsändaradressen och inte bara namnet i misstänkt e-post
    • skyndsamt rapportera om de misstänker att de mottagit nätfiskemeddelanden och om de i misstänkt e-post tex. klickat på bilagor, länkar, skannat QR-koder, uppgett känsliga uppgifter, osv.

CERT-SE uppmanar till vaksamhet på nätfiske i allmänhet.

Kontakta gärna CERT-SE med observationer och/eller exempel på mottagna e-postmeddelanden.

 

Läs mer om systematiskt informationssakerhetsarbete

Systematiskt informationssäkerhetsarbete:
https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/systematiskt-informationssakerhetsarbete/

 

Stöd för uppföljning och förbättring av informationssäkerhetsarbetet:
https://www.msb.se/infosakkollen

 

Information om polisanmälan hos Polismyndigheten:
https://polisen.se

 

 

 

 

 

 

Dataskydds­förordningen i fulltext

https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/introduktion-till-gdpr/dataskyddsforordningen-i-fulltext/


Dataskydds­förordningens beaktandesatser (skäl)

https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/introduktion-till-gdpr/dataskyddsforordningen-i-fulltext/beaktandesatser/#S60


Grundläggande principer

https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/grundlaggande-principer/




All behandling av personuppgifter måste följa de grundläggande principerna som anges i dataskyddsförordningen.
 

Ska genomsyra all personuppgiftsbehandling

De grundläggande principerna kan sägas vara kärnan i dataskyddsförordningen. Principerna gäller för all personuppgiftsbehandling och sätter de yttersta ramarna för vad som är en tillåten behandling. Det är därför viktigt att ni förstår principerna och tillämpar dem i er verksamhet när ni behandlar personuppgifter. Ha alltid principerna i bakhuvudet när ni arbetar med personuppgiftsbehandling.

Principerna innebär bland annat att ni som personuppgiftsansvariga

  • måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
  • bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
  • inte ska behandla fler personuppgifter än vad som behövs för ändamålen
  • ska se till att personuppgifterna är riktiga
  • ska radera personuppgifterna när de inte längre behövs
  • ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
  • ska kunna visa att ni lever upp till dataskyddsförordningen och hur ni gör det.


En genomgång av de grundläggande principerna



Laglighet, korrekthet och öppenhet


All personuppgiftsbehandling måste vara laglig, korrekt och präglas av öppenhet.

Laglighet

Att personuppgiftsbehandlingen ska vara laglig innebär först och främst att ni måste ha en rättslig grund för all er personuppgiftsbehandling. I dataskyddsförordningen finns sex rättsliga grunder, varav en ska vara uppfylld för varje personuppgiftsbehandling.

Ni måste också följa övriga principer och bestämmelser i dataskyddsförordningen och i annan kompletterande lagstiftning.

Korrekthet

Behandlingen av personuppgifter ska vara rättvis, skälig, rimlig och proportionerlig i förhållande till de registrerade.

Personuppgiftsbehandlingen ska stå i rimlig proportion till den nytta som personuppgiftsbehandlingen innebär. Det betyder att ni ska väga era egna intressen mot de registrerades innan personuppgifterna behandlas. Ni ska också ta hänsyn till vilken personuppgiftsbehandling de registrerade rimligen kan förvänta sig. Personuppgiftsbehandlingen ska vara förståelig och begriplig för de registrerade och inte ske på dolda eller manipulerande sätt.

Öppenhet

Det ska vara klart och tydligt för de registrerade hur ni behandlar deras personuppgifter. De ska alltså veta att ni samlar in personuppgifter, varför ni samlar in dem och hur ni sedan använder dem. De registrerade ska också veta vad de har för rättigheter, till exempel hur de kan få felaktiga uppgifter rättade och hur de kan få personuppgifter raderade.

De registrerade måste därför få information om allt detta. Informationen ska vara lätt att hitta och den ska vara formulerad på ett sätt som är enkelt och begripligt. Det är särskilt viktigt att använda ett klart och tydligt språk om de registrerade är barn.

 

 

 

 

 

 

Information som ska lämnas till de registrerade när ni samlar in personuppgifter


Ändamålsbegränsning


Ni får bara samla in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Ni måste därför ha klart för er varför ni ska behandla personuppgifterna redan när ni börjar samla in dem. Ändamålen sätter ramarna för vad ni får och inte får göra, till exempel vilka uppgifter ni får behandla och hur länge ni får spara dem. Dokumentera vilka ändamål ni har med personuppgiftsbehandlingen. Det behöver ni för att kunna visa att ni uppfyller principen om ansvarsskyldighet.

 

Specifika och berättigade ändamål

 

Ändamålen måste vara specifika och konkreta, inte luddiga eller otydliga. Det är till exempel inte tillräckligt att ange "kontroller" som ändamål för loggning och övervakning, utan att också ange syftet med kontrollen. Syftet med kontrollen är kanske övervakning av säkerhets- eller tekniska skäl eller uppföljning av interna regler.

Det räcker normalt inte heller att ert ändamål enbart är att "förbättra användarnas upplevelse", "it-säkerhet" eller "framtida forskning". Det är alltför brett uttryckt, och de registrerade kan inte bedöma vad sådan personuppgiftsbehandling kan innebära.

Ändamålet måste också vara berättigat. Detta innebär att personuppgiftsbehandlingen dels ska ha en rättslig grund i dataskyddsförordningen, dels ska ske i enlighet med övrig tillämplig lagstiftning och allmänna rättsprinciper.

 

Behandla redan insamlade personuppgifter på nya sätt?

 

Om ni vill behandla insamlade personuppgifter på ett nytt sätt, måste det vara förenligt med de ursprungliga ändamålen. I sådana fall kan ni stödja er på samma rättsliga grund som ni hade när ni samlade in personuppgifterna. Kom ihåg att ni måste informera de registrerade om den nya personuppgiftsbehandlingen innan den påbörjas.

Om ni däremot vill använda personuppgifterna på ett sätt som inte är förenligt med de ursprungliga ändamålen, är det fråga om en helt ny personuppgiftsbehandling. Ni måste då börja om från början och finna en rättslig grund för personuppgiftsbehandlingen, stämma av så att den sker i enlighet med de grundläggande principerna och så vidare.

 

Är den nya personuppgiftsbehandlingen förenlig med de ursprungliga ändamålen?

 

När ni bedömer om en ny personuppgiftsbehandling är förenlig med tidigare ändamål ska ni bland annat ta hänsyn till och ställa er följande frågor:

  • Vilka kopplingar finns mellan ändamålen med den ursprungliga personuppgiftsbehandlingen och den nya?
  • I vilket sammanhang har ni samlat in personuppgifterna? Vilket förhållande har de registrerade till er som personuppgiftsansvarig? Vilken personuppgiftsbehandling kan de registrerade rimligen förvänta sig?
  • Vilken typ av personuppgifter ska ni behandla? Är uppgifterna känsliga?
  • Vilka konsekvenser kan personuppgiftsbehandlingen få för de registrerade?
  • Vilka skyddsåtgärder har ni, till exempel behörighetsstyrning, kryptering och pseudonymisering?


Det är som regel förenligt med de ursprungliga ändamålen att behandla personuppgifter även för

  • arkivändamål av allmänt intresse
  • vetenskapliga eller historiska forskningsändamål
  • statistiska ändamål.

Ni måste dock ha vidtagit lämpliga säkerhetsåtgärder för att skydda de registrerades rättigheter.


Uppgiftsminimering


Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandla aldrig fler personuppgifter än vad som behövs. De personuppgifter som behandlas ska vara tydligt kopplade till ändamålet. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov, för att de kan vara "bra att ha".

 

Riktighet

 

Personuppgifter som behandlas ska vara riktiga och, om nödvändigt, uppdaterade. Om personuppgifterna inte stämmer ska ni rätta eller radera dem. Det är därför viktigt att det finns rutiner på plats för att kunna korrigera och ta bort oriktiga personuppgifter, till exempel om en registrerad begär det.



Lagringsminimering


Ni får spara personuppgifter så länge som de behövs för ändamålet med personuppgiftsbehandlingen. När personuppgifterna inte längre behövs för ändamålet ska ni radera eller avidentifiera dem. Ni bör därför införa rutiner för gallring av personuppgifter, till exempel att ni genomför regelbundna kontroller eller raderar efter viss tid.

 

Personuppgifter som måste sparas

 

I vissa fall måste ni spara handlingar som innehåller personuppgifter även efter det att ni slutat använda dem. Det gäller till exempel bokföring, där bokföringslagen ställer krav på hur länge vissa handlingar ska sparas. Lagra då handlingarna på ett sådant sätt att de inte längre är tillgängliga i den dagliga verksamheten, det vill säga avskilj personuppgifterna. Det kan ni göra genom att separera handlingarna.

Det kan också vara tillåtet att lagra personuppgifter när det ursprungliga ändamålet inte längre är aktuellt, om det sker för

  • arkivändamål av allmänt intresse
  • vetenskapliga eller historiska forskningsändamål
  • statistiska ändamål.

Ni måste dock alltid vidta lämpliga säkerhetsåtgärder för att skydda personuppgifterna.


Integritet och konfidentialitet


När ni behandlar personuppgifter måste ni se till att uppgifterna skyddas på ett bra sätt genom att vidta lämpliga säkerhetsåtgärder.

Alla personuppgifter som ni behandlar måste skyddas, så att ingen obehörig kommer åt dem och så att de inte används på ett otillåtet sätt. Ni ska också se till så att personuppgifter inte förloras eller blir förstörda, till exempel genom olyckshändelser.

Ni måste därför införa lämpliga tekniska och organisatoriska säkerhetsåtgärder. Till tekniska åtgärder räknas till exempel brandväggar, kryptering, pseudonymisering, säkerhetskopiering och anti-virus-skydd. Organisatoriska åtgärder handlar till exempel om interna rutiner, instruktioner och riktlinjer.


Ansvarsskyldighet


Ni ansvarar för att följa de grundläggande principerna om personuppgiftsbehandling. Ni måste också kunna visa att ni följer dem och hur.

Ni kan visa att ni följer de grundläggande principerna på flera sätt, till exempel genom att

  • lämna tydlig information till de registrerade
  • föra register över och dokumentera de personuppgiftsbehandlingar som pågår i er organisation, inklusive vilka överväganden ni har gjort
  • upprätta interna riktlinjer för dataskydd (en dataskyddspolicy) och utbilda personalen
  • bygga in integritetsvänliga lösningar i era system (så kallat inbyggt dataskydd)
  • göra en konsekvensbedömning innan ni påbörjar personuppgiftsbehandling som innebär särskilda integritetsrisker
  • ansluta er till en godkänd uppförandekod eller certifieringsmekanism.


Rättsinformation

 

Fördjupa dig

Allmänt · ‽IT · · interrobangit · § · §IT
Dela · Kommentera  
Ovido - Quiz & Flashcards