grunnleggende begreper Flashcards

1
Q

Definisjon av informasjonssikkerhet

A

Beskyttelse av informasjonens Konfidensialitet, Integritet og Tilgjengelighet.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Egenskapen av at informasjon ikke blir gjort tilgjengelig eller vist til uautoriserte individer, entiteter eller prosesser.

A

Konfidensialitet

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Egenskapen av at data ikke har blitt endret eller slettet på en uautorisert måte.

A

Dataintegritet

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Egenskapen av å opprettholde korrekthet og kompletthet av dataressurser

A

Systemintegritet:

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Trusler og tiltak konfidensialitet

A
  • Datatyveri (ekstern trussel)
  • Datalekkasje (intern trussel).
  • Kryptering,
  • Kryptografiske kommunikasjons protokoller, f.eks. TLS
  • Autentisering og tilgangskontroll,
  • Anonymisering, f.eks. gjennom pseudonym eller VPN
  • Skallsikring
  • Sikkerhetskultur, bevissthet
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Trusler og tiltak Integritet

A
  • Ødelagte data og miskonfigurerte systemer
  • Hashing, MAC, kryptering
  • Konfigurasjonsstyring
  • Endringsledelse
  • Autentisering
  • Tilgangskontroll
  • Sertifisert programvare
  • Sikkerhetskultur, bevissthet
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Egenskapen av at data og tjenester er tilgjengelige og anvendbare ved forespørsel fra en autorisert entitet.

A

Tilgjengelighet

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Trusler og tiltak tilgjengelighet

A
  • Tjenestenekt (DoS / DDoS)
  • Løsepengevirus
  • Forsinkelse av tidskritiske funksjoner.
  • Redundans av ressurser,
  • Failover-konfigurasjon
  • Brannmur
  • Sikkerhetskopiering (backup)
  • Hendelsesrespons og beredskap
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Konfigureringsfase og bruksfase

A

Konfig:
registrering
klargjøring av autentikator
<->
tilgangsautorisring

Bruksfase
bruker id
oppgi autentikator
->
tilgangskontroll

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Tilgangsautorisering

A

Hvem er autorisert?

  • Tilgangsautorisering er å spesifisere tilgangsrettigheter for entiteter, dvs. for brukere, roller og prosesser
    • Spesifiserer hvem som skal ha tilgang til hva
    • Autoriseringspolicyen er vanligvis definert av mennesker
    • Autoriseringspolicyen blir formalisert som regler og konfigureringer for tilgangskontroll i systemer.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Tilgangskontroll

A

Håndheve autoriseringen

  • Tilgangskontroll foregår etter at brukeren er autentisert.
  • Brukeren/entiteten må være autentisert for at systemet skal vite hvem som prøver å utføre en handling eller forespør tilgang.
  • Tilgangskontroll benytter autoriseringspolicy/regler for å avgjøre om brukeren er autorisert for tilgang til ressurser.
  • Policy/regler for tilgangsautorisering defineres under konfigureringsfasen slik at tilgangskontroll kan utføres under bruksfasen.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Kilder til krav om informasjonssikkerhet

A

Vanlig praksis setter f.eks. krav om brukerautentisering og tilgangskontroll.

Risikovurdering kan f.eks. sette krav om 2-faktorautentisering

Juridiske, lovbestemte, regulatoriske og kontraktsmessige krav til informasjonssikkerhet, f.eks,:
- Sikkerhetsloven setter en rekke krav om sikkerhetstiltak for virksomheter som er underlagt loven.
- GDPR setter krav om beskyttelse av persondata.
- Juridiske krav om informasjonssikkerhet henviser ofte til at innføring av tiltak for informasjonssikkerhet må baseres på risikovurdering

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Balanse i risikostyring

A

Målsetting for styring av informasjonssikkerhet er å oppnå god balanse mellom sikkerhetsrisiko og sikkerhetstiltak.

Ved uforholdsmessig høy risiko kan det forventes mange og kanskje alvorlige hendelser som vil medføre uforholdsmessig store tap.

Ved uforholdsmessig lav risiko vil kostnader med sikkerhetstiltak være uforholdsmessig høy.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Trussel

A

Et angrepsscenario, som kontrolleres av en trusselaktør, et sett med angrepstrinn, eller en angrepsmåte, som kan medføre sikkerhetshendelse (skade på verdier, brudd på CIA).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Sårbarhet

A

En svakhet/mangel som gjøre det lett/mulig å gjennomføre en trussel.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Verdi / ressurs

A

(Informasjons)ressurser som er av verdi for organisasjonen. Det som kan skades.

17
Q

Hendelse

A

En hendelse er en avgrenset og spesifikk situasjon som kan inntreffe eller har inntruffet.

18
Q

Konsekvens

A

En form for tap eller negativt resultat som følge av en sikkerhetshendelse.