Informasjonssikkerhet

Fra Wikipedia, den frie encyklopedi

Informasjonssikkerhet, samt de noe snevrere begrepene datasikkerhet og IT-sikkerhet, er et fagområde som er knyttet til nøkkelbegrepene konfidensialitet, integritet og tilgjengelighet.

Det engelske ordet for informasjonssikkerhet, information security, blir ofte forkortet «infosec».

Nøkkelbegrep[rediger | rediger kilde]

Bruk av kodekalkulator er fortsatt den vanligste metoden for å autentisere brukere på en sikker måte før konfidensiell informasjon gjøres tilgjengelig.
Konfidensialitet
Å sikre at informasjon og informasjonssystemer bare er tilgjengelig for de som skal ha tilgang.
Integritet
Å sikre at informasjon og informasjonssystemer er korrekte, gyldige og fullstendige.
Tilgjengelighet
Å sikre at informasjon og informasjonssystemer er tilgjengelig innenfor de tilgjengelighetskrav som er satt.

Hensikten med datasikkerhet er å iverksette relevante, tilstrekkelige og effektive tiltak slik at forretningsprosessene har tilgang til informasjon med ønsket grad av sikkerhet. Relevante og kjente internasjonale standarder for informasjonssikkerhet er ISO/IEC 27000-serien og ISF Standard of Good Practice.

Informasjonssikkerhet kontra datasikkerhet og IT-sikkerhet[rediger | rediger kilde]

Merk at denne artikkelen omhandler informasjonssikkerhet. Tittelen datasikkerhet skyldes begrepsforvirring:

Begrepene datasikkerhet og IT-sikkerhet er ikke dekkende for begrepet informasjonssikkerhet, siden (de synonyme begrepene) datasikkerhet og IT-sikkerhet bare adresserer de tekniske aspekter av informasjonssikkerheten. Således er de kun et subsett av informasjonssikkerhet. Informasjonssikkerhet dekker i tillegg også fysisk sikkerhet (fysisk sikring av informasjon og informasjonssystemer) og organisatorisk sikkerhet (herunder også lovmessig etterlevelse, styringssystemer, regelverk, prosesser, prosedyrer og avtaler).

Andre begrep[rediger | rediger kilde]

Andre begrep knyttet til datasikkerhet er ikke-benekting og sporbarhet som har en innbyrdes avhengighet.

Ikke-benekting
Ikke-benekting (engelsk: non-repudiation) beskriver metoder som skal dokumentere at en handling virkelig har vært gjort av en konkret definert person.
Sporbarhet
Sporbarhet beskriver metoder som skal knytte enhver endring av informasjon til en ident, for eksempel slik som historikk-siden på Wikipedia.

Risikostyring[rediger | rediger kilde]

Nettopp bildet av hva «nødvendig kvalitet» betyr er vesentlig. Alle tiltak som gjøres vil være kostnadsdrivende slik at det er viktig å velge de rette tiltakene. Fagområdet risikostyring blir dermed viktig. En risikoanalyse vil avdekke områder hvor kostnaden til et tiltak oppveier kostnaden ved å unnlate å gjøre tiltaket.

Policy-arbeid[rediger | rediger kilde]

For at en bedrift skal gjøre tiltak som virker i samme retning og er konsistente bør enhver bedrift utvikle en datasikkerhetspolicy og ha en datasikkerhets-håndbok som detaljerer policyen. Det finnes gode standarder som kan benyttes i dette arbeidet, for eksempel NS 7799 som finnes i en del varianter bl.a BS 7799 og NS-ISO/IEC 17799.

Revisjon[rediger | rediger kilde]

Datasikkerhet er knyttet nært mot bedriftens økonomistyring. I forkant av regnskapsrevisjon gjøres det ofte revisjon av IT-systemene. COBIT er en modell som ofte benyttes i det arbeidet.

Vanlige feil[rediger | rediger kilde]

Det er vesentlig at datasikkerhetsarbeidet er en kontinuerlig prosess og ikke preges av en samling strakstiltak. Konsekvensen av slike er at tiltakene blir kostnadsdrivende, ikke er effektive og virker mot hverandre.

«Manglende eierskap» er et område som ofte er årsak til økt kostnad og risiko. Alle IT-system bør ha en eier som er ansvarlig for leveransen fra systemet og som bærer kostnaden ved både kvalitetsfremmende tiltak og de feil som inntreffer.

Hackeren Jeffrey Moss sa i 2012 at « Personlig internettsikkerhet handler mer om ikke å være lettlurt enn det handler om å få seg fancy hjelpemidler. Ingen teknologi i hele verden kan hjelpe en person som ikke sjekker om man faktisk er på de ekte nettsidene til banken sin før han eller hun logger inn».[1]

Referanser[rediger | rediger kilde]

Organisasjoner[rediger | rediger kilde]

Litteratur[rediger | rediger kilde]

Nätt, Tom Heine og Heide, Christian F. (2015). Datasikkerhet - Ikke bli svindlerens neste offer (norsk) (1 utg.). Oslo: Gyldendal Akademisk. ISBN 978-82-05-48026-1.