grunnleggende begreper Flashcards
Definisjon av informasjonssikkerhet
Beskyttelse av informasjonens Konfidensialitet, Integritet og Tilgjengelighet.
Egenskapen av at informasjon ikke blir gjort tilgjengelig eller vist til uautoriserte individer, entiteter eller prosesser.
Konfidensialitet
Egenskapen av at data ikke har blitt endret eller slettet på en uautorisert måte.
Dataintegritet
Egenskapen av å opprettholde korrekthet og kompletthet av dataressurser
Systemintegritet:
Trusler og tiltak konfidensialitet
- Datatyveri (ekstern trussel)
- Datalekkasje (intern trussel).
- Kryptering,
- Kryptografiske kommunikasjons protokoller, f.eks. TLS
- Autentisering og tilgangskontroll,
- Anonymisering, f.eks. gjennom pseudonym eller VPN
- Skallsikring
- Sikkerhetskultur, bevissthet
Trusler og tiltak Integritet
- Ødelagte data og miskonfigurerte systemer
- Hashing, MAC, kryptering
- Konfigurasjonsstyring
- Endringsledelse
- Autentisering
- Tilgangskontroll
- Sertifisert programvare
- Sikkerhetskultur, bevissthet
Egenskapen av at data og tjenester er tilgjengelige og anvendbare ved forespørsel fra en autorisert entitet.
Tilgjengelighet
Trusler og tiltak tilgjengelighet
- Tjenestenekt (DoS / DDoS)
- Løsepengevirus
- Forsinkelse av tidskritiske funksjoner.
- Redundans av ressurser,
- Failover-konfigurasjon
- Brannmur
- Sikkerhetskopiering (backup)
- Hendelsesrespons og beredskap
Konfigureringsfase og bruksfase
Konfig:
registrering
klargjøring av autentikator
<->
tilgangsautorisring
Bruksfase
bruker id
oppgi autentikator
->
tilgangskontroll
Tilgangsautorisering
Hvem er autorisert?
- Tilgangsautorisering er å spesifisere tilgangsrettigheter for entiteter, dvs. for brukere, roller og prosesser
- Spesifiserer hvem som skal ha tilgang til hva
- Autoriseringspolicyen er vanligvis definert av mennesker
- Autoriseringspolicyen blir formalisert som regler og konfigureringer for tilgangskontroll i systemer.
Tilgangskontroll
Håndheve autoriseringen
- Tilgangskontroll foregår etter at brukeren er autentisert.
- Brukeren/entiteten må være autentisert for at systemet skal vite hvem som prøver å utføre en handling eller forespør tilgang.
- Tilgangskontroll benytter autoriseringspolicy/regler for å avgjøre om brukeren er autorisert for tilgang til ressurser.
- Policy/regler for tilgangsautorisering defineres under konfigureringsfasen slik at tilgangskontroll kan utføres under bruksfasen.
Kilder til krav om informasjonssikkerhet
Vanlig praksis setter f.eks. krav om brukerautentisering og tilgangskontroll.
Risikovurdering kan f.eks. sette krav om 2-faktorautentisering
Juridiske, lovbestemte, regulatoriske og kontraktsmessige krav til informasjonssikkerhet, f.eks,:
- Sikkerhetsloven setter en rekke krav om sikkerhetstiltak for virksomheter som er underlagt loven.
- GDPR setter krav om beskyttelse av persondata.
- Juridiske krav om informasjonssikkerhet henviser ofte til at innføring av tiltak for informasjonssikkerhet må baseres på risikovurdering
Balanse i risikostyring
Målsetting for styring av informasjonssikkerhet er å oppnå god balanse mellom sikkerhetsrisiko og sikkerhetstiltak.
Ved uforholdsmessig høy risiko kan det forventes mange og kanskje alvorlige hendelser som vil medføre uforholdsmessig store tap.
Ved uforholdsmessig lav risiko vil kostnader med sikkerhetstiltak være uforholdsmessig høy.
Trussel
Et angrepsscenario, som kontrolleres av en trusselaktør, et sett med angrepstrinn, eller en angrepsmåte, som kan medføre sikkerhetshendelse (skade på verdier, brudd på CIA).
Sårbarhet
En svakhet/mangel som gjøre det lett/mulig å gjennomføre en trussel.