Begreper - kapittel 1

Question 1

Informasjonssikkerhet

Answer 1

Informasjonssikkerhet er beskyttelse av informasjonens konfidensialitet integritet og tilgjengelighet. I tillegg kan andre egenskaper, f.eks. autentisitet, sporbarhet, uavviselighet og pålitelighet, omfattes.

Question 2

Trusselaktør

Answer 2

en aktiv entitet som kan utløse eller gjennomføre et trusselscenario. Trusselaktører kan være intelligent entiteter med bevisst skadehensikt, eller naturkrefter som er for sterke eller uforutsigbare for effektiv forebygging

Question 3

Trusselscenario

Answer 3

En sekvens av trinn som kan utløses eller styres av en trusselaktør, og som kan skade informasjonsverdier. Et trusselscenario er mulig å gjennomføre og kan føre til en hendelse når det fins sårbarheter

Question 4

Sårbarhet

Answer 4

En svakhet,feil eller mangel som gjør at et trusselscenario kan gejnnomføres, som gjør det mer sannsynlig at en hendelse inntreffer

Question 5

Tiltak

Answer 5

Et sikkerhetstiltak er en måte å hindre eller bemse et trusselscenario på slik at det ikke lett kan gjennomføres. Å innføre sikkerhetstiltak er det samme som å gjerne sårbarheter.

Question 6

Verdi

Answer 6

En informasjonsverdi kan være informasjon, me også en ressurs for representering og behandling av informasjon. Eks: data, fysisk it-utstyr og infrastruktur, systemer, konfigureringer, programvare, applikasjoner, og menneskelige ressurser.

Question 7

Hendelse

Answer 7

En sikkerhethendelse er at det oppstår et brudd på konfidensialitet , integritet eller tilgjengelighet for en informasjonsverdi som resulterer i en negativ konsekvens for eier av informasjonsverdien.

Question 8

Konsekvens

Answer 8

En sikkerhetshendelse er en form for tap som kan ha ulike aspekter, som f.eks.tapt fortjenest/profitt, tap av ytelse/tjenester, tap av omdømme, kostnader som følge av brudd på juridisk etterlevelse eller kostnader ved gjenoppretting av skaden etter hendelsen.

Question 9

Risiko

Answer 9

En relevant kombinasjon av trussel, sårbarhet og potensiell sikkerhetshendelse som kan berøre en informasjonsverdi.

Question 10

Konfidensialitet

Answer 10

Egenskapen av at informasjon ikke blir gjort tilgjengelig eller vist til uautoriserte individer, entiteter eller prosesser

Question 11

Datantegritet

Answer 11

Egenskapen av at data ikke har blitt endret eller slettet på en uautorisert måte

Question 12

Sysemintegritet

Answer 12

Egenskapen av å opprettholde korrekthet og kompletthet av dataressurser

Question 13

Trusler mot konfidensialitet

Answer 13

datatyveri, datalekkasje (uhell eller tilsiktet)

Question 14

Sikkerhetstiltakk- konfidensialitet

Answer 14

• brukerautentisering og tilgangskontroll
• kryptering av data
• sikkerhetsfunksjone i operativsystemer
• vakter og fysisk adgangskontrol
• indirekt: sikkerhetskulter, policyer, prosedyrer og prakses

Question 15

Sikkerhetstiltakk- dataintegritet

Answer 15

-brukerautentisering og tilgangskontroll
- kyrptering eller kryptografisk sjekksum av data
-sikkerhetskopier av data
-vakter og fysisk adgangskontroll

Question 16

Sikkerhetstiltakk - systemintegritet

Answer 16

• brukerautentisering og tilgangskontroll
• konfigurasjonsstyring
• Endringsledelse

Question 17

Sikkerhetstiltakk - tilgjenelighet

Answer 17

-filtrering av skadetrafikk
-redundans av ressurser
-lastdeling for prosessering
-sikkerhetskopier
-hendelsesrespons
- beredskap

Question 18

Trusler - tilgjenelighet

Answer 18

• tjenestenekt (DoS/DDoS)
• hindring av autorisert tilgagn til ressurser
• forsinkelse av tidskritiske funksjoner

Question 19

Trusler- informasjonssikkerhet

Answer 19

• miskonfigurerte systemer forårsket av trusselaktører eller intern uhel eller tilsiktet
  -utdatert programvarer

Question 20

Trusler - dataintegritet

Answer 20

• korrupte data
• uautorisert sletting av data
• uautorisert oppretting eller endring av data og filer

Question 21

Autentisering: to hoved kategorier

Answer 21

data autentisering og entitets autentisering (bruker og system)

Question 22

brukerautentisering - trusler og tiltak?

Answer 22

trusler - idtyveri, falsk identitet, falsk innlogging
tiltak - tofaktor-autentisering, sterke passord

Question 23

systemautentisering -trusler og tiltak?

Answer 23

trusler - falske noder i nettverk, falske datatransaksjoner, man-in-the-middle-angrep og nettverksinnbrudd
tiltak - kryptografiske autentiseringsprotokoller

Question 24

data-autentisering- trusler og tiltak?

Answer 24

• trusler - forfalskning av digitale dokumenter og av meldinger sendt gjennom datanett,
• tiltak - bruk mac eller digital signatur

Question 25

uavviselighet

Answer 25

betyr at autentisitet kan valideres av tredjeparter, men kan også være et kryptografisk bevis for at en bestemt aktør har utført en bestemt handling

Question 26

pålitelighet

Answer 26

systemer og nettverk betyr at de ikke inneholder feil eller svakheter. Hvis feil forekommer kan systemene tolerere viss feil uten at funksjonalitet faller ut