Informasjonssikkerhet
, samt de noe snevrere begrepene
datasikkerhet
og
IT
-sikkerhet
, er et fagomrade som er knyttet til nøkkelbegrepene
konfidensialitet
,
integritet
og
tilgjengelighet
.
Det engelske ordet for informasjonssikkerhet,
information security
, blir ofte forkortet ≪infosec≫.
- Konfidensialitet
- A sikre at informasjon og informasjonssystemer bare er tilgjengelig for de som skal ha tilgang.
- Integritet
- A sikre at informasjon og informasjonssystemer er korrekte, gyldige og fullstendige.
- Tilgjengelighet
- A sikre at informasjon og informasjonssystemer er tilgjengelig innenfor de tilgjengelighetskrav som er satt.
Hensikten med datasikkerhet er a iverksette relevante, tilstrekkelige og effektive tiltak slik at forretningsprosessene har tilgang til informasjon med ønsket grad av sikkerhet. Relevante og kjente internasjonale standarder for informasjonssikkerhet er ISO/IEC 27000-serien og ISF Standard of Good Practice.
Informasjonssikkerhet kontra datasikkerhet og IT-sikkerhet
[
rediger
|
rediger kilde
]
Merk at denne artikkelen omhandler informasjonssikkerhet. Tittelen datasikkerhet skyldes begrepsforvirring:
Begrepene
datasikkerhet
og
IT-sikkerhet
er ikke dekkende for begrepet
informasjonssikkerhet
, siden (de synonyme begrepene) datasikkerhet og IT-sikkerhet bare adresserer de tekniske aspekter av informasjonssikkerheten. Saledes er de kun et subsett av informasjonssikkerhet. Informasjonssikkerhet dekker i tillegg ogsa
fysisk sikkerhet
(fysisk sikring av informasjon og informasjonssystemer) og
organisatorisk sikkerhet
(herunder ogsa lovmessig etterlevelse, styringssystemer, regelverk, prosesser, prosedyrer og avtaler).
Andre begrep knyttet til datasikkerhet er
ikke-benekting
og
sporbarhet
som har en innbyrdes avhengighet.
- Ikke-benekting
- Ikke-benekting (engelsk:
non-repudiation
) beskriver metoder som skal dokumentere at en handling virkelig har vært gjort av en konkret definert person.
- Sporbarhet
- Sporbarhet beskriver metoder som skal knytte enhver endring av informasjon til en ident, for eksempel slik som historikk-siden pa Wikipedia.
Nettopp bildet av hva ≪nødvendig kvalitet≫ betyr er vesentlig. Alle tiltak som gjøres vil være kostnadsdrivende slik at det er viktig a velge de rette tiltakene. Fagomradet
risikostyring
blir dermed viktig. En risikoanalyse vil avdekke omrader hvor kostnaden til et tiltak oppveier kostnaden ved a unnlate a gjøre tiltaket.
For at en bedrift skal gjøre tiltak som virker i samme retning og er konsistente bør enhver bedrift utvikle en datasikkerhetspolicy og ha en datasikkerhets-handbok som detaljerer policyen. Det finnes gode standarder som kan benyttes i dette arbeidet, for eksempel NS 7799 som finnes i en del varianter bl.a BS 7799 og NS-ISO/IEC 17799.
Datasikkerhet er knyttet nært mot bedriftens økonomistyring. I forkant av regnskapsrevisjon gjøres det ofte revisjon av IT-systemene.
COBIT
er en modell som ofte benyttes i det arbeidet.
Det er vesentlig at datasikkerhetsarbeidet er en kontinuerlig prosess og ikke preges av en samling strakstiltak. Konsekvensen av slike er at tiltakene blir kostnadsdrivende, ikke er effektive og virker mot hverandre.
≪Manglende eierskap≫ er et omrade som ofte er arsak til økt kostnad og risiko. Alle IT-system bør ha en eier som er ansvarlig for leveransen fra systemet og som bærer kostnaden ved bade kvalitetsfremmende tiltak og de feil som inntreffer.
Hackeren
Jeffrey Moss
sa i 2012 at ≪ Personlig internettsikkerhet handler mer om ikke a være lettlurt enn det handler om a fa seg fancy hjelpemidler. Ingen teknologi i hele verden kan hjelpe en person som ikke sjekker om man faktisk er pa de ekte nettsidene til banken sin før han eller hun logger inn≫.
[1]
Natt, Tom Heine og Heide, Christian F. (2015).
Datasikkerhet - Ikke bli svindlerens neste offer
(norsk)
(1 utg.). Oslo: Gyldendal Akademisk.
ISBN
978-82-05-48026-1
.
|
---|
Vurdering
| |
---|
Kommmunikasjon
| |
---|
Persepsjon
| |
---|
Styring
| |
---|
Andre forhold
| |
---|
Verktøy
| |
---|
Fag med risikofokus
| |
---|