Datasikkerhet

Fra Wikipedia, den frie encyklopedi

Datasikkerhet, Informasjonssikkerhet eller IT-sikkerhet er et fagområde som er knyttet til nøkkelbegrepene konfidensialitet, integritet og tilgjengelighet.

Det engelske ordet for informasjonssikkerhet, information security, blir ofte forkortet INFOSEC.

Innhold 1 Nøkkelbegrep 2 Andre begrep 3 Risikostyring 4 Policy-arbeid 5 Revisjon 6 Vanlige feil 7 Organisasjoner

[rediger] Nøkkelbegrep

Konfidensialitet: Å sikre at informasjon bare er tilgjengelig for de som skal ha tilgang.

Integritet: Å sikre at informasjon er korrekt og fullstendig.

Tilgjengelig: Å sikre at informasjon er tilgjengelig innenfor de krav som er satt.

Hensikten er å iverksette relevante, tilstrekkelige og effektive tiltak slik at forretningsprosessene har tilgang til informasjon med nødvendig kvalitet.

[rediger] Andre begrep

Andre begrep knyttet til datasikkerhet er ikke-benekting og sporbarhet som har en innbyrdes avhengighet.

Ikke-benekting: (Engelsk: Non repudiation) Beskriver metoder som skal dokumentere at en handling virkelig har vært gjort av en person.

Sporbarhet: Beskriver metoder som skal knytte enhver endring av informasjon til en ident, for eksempel slik som historikk-siden på Wikipedia gjør.

[rediger] Risikostyring

Nettopp bildet av hva nødvendig kvalitet betyr er vesentlig. Alle tiltak som gjøres vil være kostnadsdrivende slik at det er viktig å velge de rette tiltakene. Fagområdet risikostyring blir dermed viktig. En risikoanalyse vil avdekke områder hvor kostnaden til et tiltak oppveier kostnaden ved å unnlate å gjøre tiltaket.

[rediger] Policy-arbeid

For at en bedrift skal gøre tiltak som virker i samme retning og er konsistente bør enhver bedrift utvikle en datasikkerhetspolicy og ha en datasikkerhets-håndbok som detaljerer policyen. Det finnes gode standarder som kan benyttes i dette arbeidet, for eksempel NS 7799 som finnes i en del varianter bl.a BS 7799 og NS-ISO/IEC 17799.

[rediger] Revisjon

Datasikkerhet er knyttet nært mot bedriftens økonomistyring. I forkant av regnskapsrevisjon gøres det ofte revisjon av IT-systemene. COBIT er en modell som ofte benyttes i det arbeidet.

[rediger] Vanlige feil

Det er vesentlig at datasikkerhetsarbeidet er en kontinuerlig prosess og ikke preges av en samling strakstiltak. Konsekvensen av slike er at tiltakene blir kostnadsdrivende, ikke er effektive og virker mot hverandre.

Manglende eierskap er et område som ofte er årsak til økt kostnad og risiko. Alle IT-system bør ha en eier som er ansvarlig for leveransen fra systemet og som bærer kostnaden ved både kvalitetsfremmende tiltak og de feil som inntreffer.

[rediger] Organisasjoner

• Information Security Forum er en verdensomspennende sikkerhetsorganisasjon
• It-Sikkerhetsforum Norges største sikkerhetorganisasjon
• ISACA utgiver av COBIT
• InfoSec Training Media Archive- Videos and Poster