CIA-triaden Quiz

Questions and Answers

Hvilken av følgende komponenter er IKKE en del av et ISMS?

• Kundebehandling (correct)
• Samsvar med lovverk
• Sikkerhetskontroller
• Ledelsesforankring

Overvåking og revisjon er en del av prinsippene for hendelseshåndtering.

False (B)

Hva er hovedmålet med risikohåndtering i et ISMS?

Å identifisere, vurdere og mitigere sikkerhetsrisikoer.

I hendelseshåndtering er det viktig å ha en ______ for å håndtere hendelser effektivt.

plan

Knytt prinsippene for hendelseshåndtering til deres beskrivelse:

Forberedelse = Opprette og vedlikeholde en plan Identifikasjon = Loggføre detaljer om hendelsen Håndtering = Isolere de berørte systemene Inneslutning = Prioritere tiltak basert på alvorlighet

Hvilket av følgende tiltak kan brukes for å sikre konfidensialitet?

Bruk av kryptering (D)

Integritet sikrer at informasjonen er tilgjengelig når som helst for alle brukere.

False (B)

Hva er hovedformålet med dataminimering i henhold til GDPR?

Å behandle kun data som er nødvendig for det spesifikke formålet.

For å sikre _______ må informasjonen være korrekt og oppdatert.

integritet

Match prinsippene fra GDPR med deres betydning:

Lovlighet, rettferdighet og åpenhet = Behandling av data må være lovlig og transparent Formålsbegrensing = Data skal kun samles inn for spesifikke formål Riktighet = Opplysningene skal være korrekte og oppdaterte Lagringsbegrensing = Data skal lagres i henhold til behov for identifikasjon

Hvilke trusler kan påvirke tilgjengeligheten av informasjon?

Nettverksangrep (D)

Tiltak som redundans og lastbalansering er viktige for å opprettholde integritet.

False (B)

Nevn ett eksempel på en trussel mot integritet.

Man-in-the-middle-angrep

Hva er hovedformålet med ISO 27001?

Beskytte sensitiv informasjon (D)

ISO 27001 krever ikke kontinuerlig forbedring av sikkerhetssystemet.

False (B)

Hva står ISMS for?

Informasjonssikkerhetsstyringssystem

ISO 27001 inkluderer 93 kontroller, organisert i 14 hovedkategorier, og en av disse er __________.

Human Resource Security

Match de viktigste komponentene i ISO 27001 med deres beskrivelser:

ISMS = Rammeverk for informasjonssikkerhet Risikobasert tilnærming = Identifisere og håndtere risikoer Kontinuerlig forbedring = Regelmessig oppdatering av ISMS

Hvilken av følgende er ikke et mål med ISO 27001?

Skape nye produkter (A)

ISO 27001 har fokus på å redusere risiko gjennom systematiske tiltak.

True (A)

Nevn én trussel som ISO 27001 beskytter mot.

Hacking

En av kontrollkategoriene i ISO 27001 er __________.

Fysisk sikkerhet

Hvilken lov overholder ISO 27001 i Europa?

GDPR (A)

Hvilket prinsipp handler om at KI-systemer skal respektere menneskers rettigheter og autonomi?

Menneskets Selvbestemmelse (A)

Teknisk Robusthet krever at KI-systemer er utsatt for tester før de tas i bruk.

True (A)

Hva sikrer personvernet i KI-systemer?

Ansvarlig håndtering av data.

Den internasjonale standarden for informasjonssikkerhet heter ______.

ISO 27001

Match disse prinsippene med deres betydning:

Mangfold og Rettferdighet = Fremmer sosial rettferdighet og inkludering Nytte for Samfunnet og Miljø = Bidrar til bærekraftig utvikling Ansvarlighet = Sikrer etterlevelse av etiske retningslinjer Transparens = Brukere forstår hvordan systemer fungerer

Hvilket av følgende tiltak sikter mot å forhindre diskriminering i KI?

Eliminering av skjevheter (A)

Integritet og konfidensialitet handler ikke om å beskytte data mot uautorisert tilgang.

False (B)

Hva må den behandlingsansvarlige dokumentere for å vise at personopplysninger behandles riktig?

Rutiner og kontrollmekanismer.

KI-systemer må være robuste og sikre også under ______ forhold.

uforutsette

Hva er hovedformålet med et ISMS?

Å sikre konfidensialitet, integritet og tilgjengelighet av informasjon (C)

Tilgangsstyring handler om hvem som kan få tilgang til hvilke data.

True (A)

Hva er ett av hovedtrekkene ved ISMS?

Risikoidentifisering og håndtering

Den viktigste kategorien innen ISO 27001 for å utvikle en styringsstrategi er ______.

Informasjonssikkerhetspolitikk

Koble de ulike kontrollkategoriene i ISO 27001 med deres beskrivelser:

1. Håndtering av hendelser = a. Prosedyrer for å håndtere sikkerhetshendelser
2. Kryptering = b. Beskytte data under lagring og overføring
3. Fysisk sikkerhet = c. Beskyttelse av fysiske ressurser og data
4. Compliance = d. Overholdelse av lover og forskrifter

Hvilket av følgende er ikke en del av ISMS-prosessen?

Optimalisering av ansatte (A)

Kryptering er kun viktig for data i bevegelse, ikke for lagret data.

False (B)

Hvilken standard inneholder kontrollene som er nevnt i informasjonssikkerhet?

ISO 27001

_______ handler om å utvikle og vedlikeholde en styringsstrategi for informasjonssikkerhet.

Informasjonssikkerhetspolitikk

Hva innebærer 'sikker utvikling'?

Implementering av sikkerhetsprinsipper i programvareutvikling (A)

Flashcards

Konfidensialitet (CIA-triaden)

Dette prinsippet fokuserer på å beskytte sensitive opplysninger mot uautorisert tilgang. Tenk på å låse en safe med en kombinasjonslås for å sikre verdifulle eiendeler.

Integritet (CIA-triaden)

Dette prinsippet sikrer at informasjonen forblir korrekt og ikke endres uten autorisasjon. Det er som å sikre at en kontrakt ikke forfalskes.

Tilgjengelighet (CIA-triaden)

Dette prinsippet fokuserer på å gjøre informasjon og systemer tilgjengelige for autoriserte brukere når de trenger det. Du vil ikke at en nettbutikk skal være utilgjengelig når du vil kjøpe noe.

Lovlighet, rettferdighet og åpenthet (GDPR)

Dette prinsippet krever tydelig og transparent kommunikasjon om hvordan personopplysninger samles inn og brukes. Hvem har tilgang til dine personlige data og hvorfor?

Fårmålsbegrensing (GDPR)

Data skal kun samles inn for spesifikke formål som er opplyst på forhånd. Husk på hvorfor du ga denne informasjonen?

Dataminimering (GDPR)

Dataminimering krever at kun nødvendige data samles inn for et spesifikt formål. Husk på at mindre data er bedre.

Riktighet (GDPR)

Personopplysninger må være korrekte og oppdaterte. Tenk på å holde kontaktinformasjonen din oppdatert i en adressebok.

Lagringsbegrensing (GDPR)

Personopplysninger skal lagres så lenge det er strengt nødvendig for formålet. Unødvendig lagring bør unngås. Som å rengjøre en datamaskin og slette unødvendige filer.

Menneskets Selvbestemmelse (AI)

KI-systemer må respektere menneskerettigheter, sikre autonomi, og fungere som støtte for mennesker uten å undergrave deres evne til å ta egne beslutninger. Det må være mekanismer for å overvåke og kontrollere KI-løsninger.

Teknisk Robusthet (AI)

KI må være robust og sikkert, også under uforutsette forhold. Systemene må tåle angrep og feil, og risiko for skade må minimeres. Robusthet inkluderer også beskyttelse mot manipulasjon og tilstrekkelig testing før bruk.

Personvern (AI)

KI må ivareta personvern og sikre ansvarlig håndtering av data. Dette innebærer dataminimering, transparens i databehandling og beskyttelse av sensitive opplysninger, samtidig som data brukes på en ansvarlig måte.

Transparens (AI)

KI-systemer må være transparente. Brukere skal kunne forstå hvordan systemene fungerer, og det skal være mulig å forklare beslutningene de tar. Dette inkluderer krav om sporbarhet i data og prosesser og åpenhet om formålet med KI-bruken.

Mangfold og Rettferdighet (AI)

KI skal utvikles og brukes på en måte som fremmer sosial rettferdighet, mangfold og inkludering. Diskriminering må aktivt forebygges gjennom tiltak som eliminerer skjevheter i data eller algoritmer.

Nytte for Samfunnet og Miljø (AI)

KI må bidra til samfunnets beste og bærekraftig utvikling, og ikke skade miljøet eller øke sosiale forskjeller. Teknologien bør brukes til å fremme positiv samfunnsendring og redusere negative konsekvenser.

Ansvarlighet (AI)

Det må være klare ansvarsforhold i utvikling og bruk av KI. Dette inkluderer mekanismer for å sikre etterlevelse av etiske retningslinjer og muligheter for å rette feil og skade som oppstår som følge av KI-systemet.

Integritet og Konfidensialitet

Informasjonen skal behandles på en måte som sikrer tilstrekkelig sikkerhet, inkludert beskyttelse mot uautorisert tilgang, ulovlig behandling, tap eller skade, gjennom bruk av passende tekniske og organisatoriske tiltak.

Ansvarlighet (Data)

Den behandlingsansvarlige skal kunne påvise at personopplysninger behandles i samsvar med disse prinsippene, og de må dokumentere etterlevelse gjennom rutiner og kontrollmekanismer.

ISO 27001

ISO 27001 er en internasjonal standard som setter krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av et styringssystem for informasjonssikkerhet (ISMS).

Informasjonssikkerhetspolitikk

En styringsstrategi som beskriver hvordan organisasjonen skal håndtere informasjonsikkerhet.

Organisering av informasjonssikkerhet

Definerer klare roller og ansvar for å sikre informasjonssikkerheten i organisasjonen.

Human Resource Security

Sikrer at ansatte er klar over sine forpliktelser og plikter når det gjelder informasjonssikkerhet.

Fysisk sikkerhet

Beskytter fysiske ressurser og data mot uautorisert tilgang.

Kommunikasjon og drift

Sikrer nettverk, datalagring og drift mot uautorisert tilgang.

Tilgangsstyring

Kontrollerer hvem som har tilgang til hvilke data og hva de kan gjøre med dem.

Kryptering

Beskytter data under lagring og overføring.

Sikker utvikling

Sikkerhetsprinsipper integreres i utviklingsprosessen for å sikre at programvare blir laget på en sikker måte.

Håndtering av hendelser

Etablerer prosedyrer for å håndtere sikkerhetshendelser, for eksempel datainnbrudd eller systemfeil.

Compliance

Overholdelse av lover, forskrifter og kontraktsmessige krav knyttet til informasjonssikkerhet.

Hva er et ISMS?

Et styringssystem for å beskytte informasjonen til en organisasjon. Det inkluderer policyer, prosedyrer, risikovurderinger, sikkerhetskontroller og kontinuerlig overvåking.

Hva er ISO 27001?

En internasjonal standard som setter krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av et styringssystem for informasjonssikkerhet (ISMS).

Hva er et ISMS?

En systematisk tilnærming til å beskytte informasjon mot trusler som hacking, datainnbrudd, og menneskelige feil.

Hvordan er et ISMS strukturert?

Et ISMS bruker en standardisert tilnærming som ofte følger ISO 27001 for å sette rammer for informasjonssikkerhet.

Hva er 'Planlegging' i et ISMS?

Denne fasen innebærer å identifisere risikoer, definere mål for informasjonssikkerhet, og utvikle en handlingsplan for å oppnå målene.

Hva er risikobasert tilnærming?

En prosess der organisasjoner identifiserer, evaluerer og håndterer risikoer som kan true sikkerheten til dataene.

Hva er 'Implementering' i et ISMS?

Implementering innebærer å sette i gang sikkerhetskontroller og prosedyrer basert på de identifiserte risikoene.

Hva er viktig når det gjelder kontinuerlig forbedring?

Krever regelmessig revisjon og forbedring av ISMS for å sikre at systemet er oppdatert og effektivt mot nye trusler.

Hva er 'Hendelseshåndtering' i et ISMS?

Hendelseshåndtering er et viktig element i et ISMS, og det inkluderer forberedelse, identifikasjon, håndtering og inneslutning av sikkerhetshendelser.

Hva er Annex A?

Et rammeverk med 93 kontroller organisert i 14 hovedkategorier som gir detaljert veiledning om hvordan man implementerer ISMS.

Hva er Informasjonssikkerhetspolitikk?

Utvikling og vedlikehold av en strategi for å styre informasjonssikkerhet i organisasjonen.

Hva er Organisering av informasjonssikkerhet?

En systematisk tilnærming til å identifisere roller og ansvar for å sikre at alle i organisasjonen forstår sine sikkerhetsforpliktelser.

Hva er Human Resource Security?

Sikre at ansatte forstår sine sikkerhetsforpliktelser og følger prosedyrer for å beskytte data.

Hva er Fysisk sikkerhet?

Beskyttelse av fysiske ressurser og data mot uautorisert tilgang, skade og tap.

Hva er Tilgjengelighet?

Å gjøre det mulig å beskytte data mot tap eller utilgjengelighet ved å sikre backup, redundans og andre beredskapsplaner.

Study Notes

CIA-triaden

• Konfidensialitet: Sikrer at kun autoriserte personer har tilgang til sensitiv informasjon. Beskytter mot uautorisert innsyn eller deling.
• Eksempler på tiltak: Kryptering, tilgangskontroll (passord, tofaktorautentisering), og dataklassifisering.
• Eksempler på trusler: Datainnbrudd, sosial manipulering, sensitive opplysningers lekkasje.

Integritet

• Integritet: Sikrer at informasjon er korrekt, konsistent og ikke endres uten autorisasjon. Gjelder både data og systemer.
• Eksempler på tiltak: Hashing for å sikre uendret data, versjonskontroll, og logging av endringer.
• Eksempler på trusler: Man-in-the-middle angrep, skadelig programvare som endrer data, utilsiktede feil i prosesser.

Tilgjengelighet

• Tilgjengelighet: Autoriserte brukere kan få tilgang til informasjon og systemer når det trengs. Unngår nedetid eller forsinkelser.
• Eksempler på tiltak: Redundans, lastbalansering, regelmessig vedlikehold, forsvar mot tjenestenektangrep (DDoS).
• Eksempler på trusler: Nettverksangrep, strømbrudd, naturkatastrofer, utilstrekkelige ressurser.

Personvern (GDPR) Prinsipper

• Lovlighet, rettferdighet og åpenhet: Behandlingen av personopplysninger må være lovlig, rettferdig og gjennomsiktig for den registrerte.
• Formålsbegrensning: Samles inn for spesifikke, eksplisitte og legitime formål, og ikke viderebehandles på en måte som er uforenlig med disse.
• Dataminimering: Kun nødvendig data behandles, begrense innsamlet data.
• Riktighet: Oppdaterte og korrekte opplysninger, retting eller sletting av feilaktig data.
• Lagringsbegrensing: Data lagres kun så lenge det er nødvendig for formålet.
• Integritet og konfidensialitet: Sikre tilstrekkelig sikkerhet mot uautorisert tilgang, ulovlig behandling (tap eller skade) med passelige tekniske og organisatoriske tiltak.
• Ansvarlighet: Behandlingsansvarlig må kunne vise til samsvar med prinsippene, dokumentere etterlevelse.

EU etiske prinsipper (2019)

• Menneskets selvbestemmelse: KI-systemer må respektere menneskerettigheter, sikre autonomi og fungere som støtte uten å begrense evnen til å ta beslutninger.
• Teknisk robusthet: KI-systemer må være robuste og sikre under uforutsette forhold, ha forsvar mot angrep og feil.
• Personvern: KI-systemer må beskytte personvern og sikre ansvarlig håndtering av data.
• Transparens: KI-systemer skal være transparente og brukere skal forstå hvordan de fungerer og hvorfor de tar beslutninger.
• Mangfold og rettferdighet: KI-systemer bør utvikles og brukes på en måte som fremmer inkludering og utelater diskriminering.
• Nytte for samfunnet og miljøet: KI bør bidra til bærekraftig utvikling og ikke skade miljøet/øke sosiale forskjeller.
• Ansvarlighet: Det må være klare ansvarslinjer i utvikling/bruk av KI.

ISO 27001

• ISO 27001: En internasjonal standard for etablering, implementering, vedlikehold og kontinuerlig forbedring av et styringssystem for informasjonssikkerhet (ISMS).
• Hovedformål: Beskytte sensitive data, sikre tilgjengelighet, integritet og konfidensialitet, minimere risiko knyttet til informasjonshåndtering.
• Nøkkelingredienser: Risikobasert tilnærming, kontinuerlig forbedring, overholdelse av lover og reguleringer, som GDPR.
• Nøkkelkomponenter: ISMS (Information Security Management System) et rammeverk som sikrer at sikkerhetstiltak er systematiske og integrert i organisasjonen.

Hendelsehåndtering

• Prinsipper for hendelseshåndtering: Etabler en strukturert tilnærming som inkluderer forberedelse (planlegging og trening), identifisering, håndtering/inneslutning, eliminering, gjenoppretting, læring og forbedring. Det inkluderer også kommunikasjon med relevante parter.

Description

Test kunnskapen din om CIA-triaden, som omfatter konfidensialitet, integritet og tilgjengelighet. Denne quizen dekker tiltak og trusler relatert til informasjonssikkerhet. Perfekt for studenter og fagfolk innen IT-sikkerhet.