CIA-triaden Quiz

Questions and Answers

Hvilken av følgende komponenter er IKKE en del av et ISMS?

Kundebehandling (correct)

Samsvar med lovverk

Sikkerhetskontroller

Ledelsesforankring

Overvåking og revisjon er en del av prinsippene for hendelseshåndtering.

False

Hva er hovedmålet med risikohåndtering i et ISMS?

Å identifisere, vurdere og mitigere sikkerhetsrisikoer.

I hendelseshåndtering er det viktig å ha en ______ for å håndtere hendelser effektivt.

plan

Knytt prinsippene for hendelseshåndtering til deres beskrivelse:

Forberedelse = Opprette og vedlikeholde en plan Identifikasjon = Loggføre detaljer om hendelsen Håndtering = Isolere de berørte systemene Inneslutning = Prioritere tiltak basert på alvorlighet

Hvilket av følgende tiltak kan brukes for å sikre konfidensialitet?

Bruk av kryptering

Integritet sikrer at informasjonen er tilgjengelig når som helst for alle brukere.

False

Hva er hovedformålet med dataminimering i henhold til GDPR?

Å behandle kun data som er nødvendig for det spesifikke formålet.

For å sikre _______ må informasjonen være korrekt og oppdatert.

integritet

Match prinsippene fra GDPR med deres betydning:

Lovlighet, rettferdighet og åpenhet = Behandling av data må være lovlig og transparent Formålsbegrensing = Data skal kun samles inn for spesifikke formål Riktighet = Opplysningene skal være korrekte og oppdaterte Lagringsbegrensing = Data skal lagres i henhold til behov for identifikasjon

Hvilke trusler kan påvirke tilgjengeligheten av informasjon?

Nettverksangrep

Tiltak som redundans og lastbalansering er viktige for å opprettholde integritet.

False

Nevn ett eksempel på en trussel mot integritet.

Man-in-the-middle-angrep

Hva er hovedformålet med ISO 27001?

Beskytte sensitiv informasjon

ISO 27001 krever ikke kontinuerlig forbedring av sikkerhetssystemet.

False

Hva står ISMS for?

Informasjonssikkerhetsstyringssystem

ISO 27001 inkluderer 93 kontroller, organisert i 14 hovedkategorier, og en av disse er __________.

Human Resource Security

Match de viktigste komponentene i ISO 27001 med deres beskrivelser:

ISMS = Rammeverk for informasjonssikkerhet Risikobasert tilnærming = Identifisere og håndtere risikoer Kontinuerlig forbedring = Regelmessig oppdatering av ISMS

Hvilken av følgende er ikke et mål med ISO 27001?

Skape nye produkter

ISO 27001 har fokus på å redusere risiko gjennom systematiske tiltak.

True

Nevn én trussel som ISO 27001 beskytter mot.

Hacking

En av kontrollkategoriene i ISO 27001 er __________.

Fysisk sikkerhet

Hvilken lov overholder ISO 27001 i Europa?

GDPR

Hvilket prinsipp handler om at KI-systemer skal respektere menneskers rettigheter og autonomi?

Menneskets Selvbestemmelse

Teknisk Robusthet krever at KI-systemer er utsatt for tester før de tas i bruk.

True

Hva sikrer personvernet i KI-systemer?

Ansvarlig håndtering av data.

Den internasjonale standarden for informasjonssikkerhet heter ______.

ISO 27001

Match disse prinsippene med deres betydning:

Mangfold og Rettferdighet = Fremmer sosial rettferdighet og inkludering Nytte for Samfunnet og Miljø = Bidrar til bærekraftig utvikling Ansvarlighet = Sikrer etterlevelse av etiske retningslinjer Transparens = Brukere forstår hvordan systemer fungerer

Hvilket av følgende tiltak sikter mot å forhindre diskriminering i KI?

Eliminering av skjevheter

Integritet og konfidensialitet handler ikke om å beskytte data mot uautorisert tilgang.

False

Hva må den behandlingsansvarlige dokumentere for å vise at personopplysninger behandles riktig?

Rutiner og kontrollmekanismer.

KI-systemer må være robuste og sikre også under ______ forhold.

uforutsette

Hva er hovedformålet med et ISMS?

Å sikre konfidensialitet, integritet og tilgjengelighet av informasjon

Tilgangsstyring handler om hvem som kan få tilgang til hvilke data.

True

Hva er ett av hovedtrekkene ved ISMS?

Risikoidentifisering og håndtering

Den viktigste kategorien innen ISO 27001 for å utvikle en styringsstrategi er ______.

Informasjonssikkerhetspolitikk

Koble de ulike kontrollkategoriene i ISO 27001 med deres beskrivelser:

1. Håndtering av hendelser = a. Prosedyrer for å håndtere sikkerhetshendelser
2. Kryptering = b. Beskytte data under lagring og overføring
3. Fysisk sikkerhet = c. Beskyttelse av fysiske ressurser og data
4. Compliance = d. Overholdelse av lover og forskrifter

Hvilket av følgende er ikke en del av ISMS-prosessen?

Optimalisering av ansatte

Kryptering er kun viktig for data i bevegelse, ikke for lagret data.

False

Hvilken standard inneholder kontrollene som er nevnt i informasjonssikkerhet?

ISO 27001

_______ handler om å utvikle og vedlikeholde en styringsstrategi for informasjonssikkerhet.

Informasjonssikkerhetspolitikk

Hva innebærer 'sikker utvikling'?

Implementering av sikkerhetsprinsipper i programvareutvikling

Study Notes

CIA-triaden

• Konfidensialitet: Sikrer at kun autoriserte personer har tilgang til sensitiv informasjon. Beskytter mot uautorisert innsyn eller deling.
• Eksempler på tiltak: Kryptering, tilgangskontroll (passord, tofaktorautentisering), og dataklassifisering.
• Eksempler på trusler: Datainnbrudd, sosial manipulering, sensitive opplysningers lekkasje.

Integritet

• Integritet: Sikrer at informasjon er korrekt, konsistent og ikke endres uten autorisasjon. Gjelder både data og systemer.
• Eksempler på tiltak: Hashing for å sikre uendret data, versjonskontroll, og logging av endringer.
• Eksempler på trusler: Man-in-the-middle angrep, skadelig programvare som endrer data, utilsiktede feil i prosesser.

Tilgjengelighet

• Tilgjengelighet: Autoriserte brukere kan få tilgang til informasjon og systemer når det trengs. Unngår nedetid eller forsinkelser.
• Eksempler på tiltak: Redundans, lastbalansering, regelmessig vedlikehold, forsvar mot tjenestenektangrep (DDoS).
• Eksempler på trusler: Nettverksangrep, strømbrudd, naturkatastrofer, utilstrekkelige ressurser.

Personvern (GDPR) Prinsipper

• Lovlighet, rettferdighet og åpenhet: Behandlingen av personopplysninger må være lovlig, rettferdig og gjennomsiktig for den registrerte.
• Formålsbegrensning: Samles inn for spesifikke, eksplisitte og legitime formål, og ikke viderebehandles på en måte som er uforenlig med disse.
• Dataminimering: Kun nødvendig data behandles, begrense innsamlet data.
• Riktighet: Oppdaterte og korrekte opplysninger, retting eller sletting av feilaktig data.
• Lagringsbegrensing: Data lagres kun så lenge det er nødvendig for formålet.
• Integritet og konfidensialitet: Sikre tilstrekkelig sikkerhet mot uautorisert tilgang, ulovlig behandling (tap eller skade) med passelige tekniske og organisatoriske tiltak.
• Ansvarlighet: Behandlingsansvarlig må kunne vise til samsvar med prinsippene, dokumentere etterlevelse.

EU etiske prinsipper (2019)

• Menneskets selvbestemmelse: KI-systemer må respektere menneskerettigheter, sikre autonomi og fungere som støtte uten å begrense evnen til å ta beslutninger.
• Teknisk robusthet: KI-systemer må være robuste og sikre under uforutsette forhold, ha forsvar mot angrep og feil.
• Personvern: KI-systemer må beskytte personvern og sikre ansvarlig håndtering av data.
• Transparens: KI-systemer skal være transparente og brukere skal forstå hvordan de fungerer og hvorfor de tar beslutninger.
• Mangfold og rettferdighet: KI-systemer bør utvikles og brukes på en måte som fremmer inkludering og utelater diskriminering.
• Nytte for samfunnet og miljøet: KI bør bidra til bærekraftig utvikling og ikke skade miljøet/øke sosiale forskjeller.
• Ansvarlighet: Det må være klare ansvarslinjer i utvikling/bruk av KI.

ISO 27001

• ISO 27001: En internasjonal standard for etablering, implementering, vedlikehold og kontinuerlig forbedring av et styringssystem for informasjonssikkerhet (ISMS).
• Hovedformål: Beskytte sensitive data, sikre tilgjengelighet, integritet og konfidensialitet, minimere risiko knyttet til informasjonshåndtering.
• Nøkkelingredienser: Risikobasert tilnærming, kontinuerlig forbedring, overholdelse av lover og reguleringer, som GDPR.
• Nøkkelkomponenter: ISMS (Information Security Management System) et rammeverk som sikrer at sikkerhetstiltak er systematiske og integrert i organisasjonen.

Hendelsehåndtering

• Prinsipper for hendelseshåndtering: Etabler en strukturert tilnærming som inkluderer forberedelse (planlegging og trening), identifisering, håndtering/inneslutning, eliminering, gjenoppretting, læring og forbedring. Det inkluderer også kommunikasjon med relevante parter.

Description

Test kunnskapen din om CIA-triaden, som omfatter konfidensialitet, integritet og tilgjengelighet. Denne quizen dekker tiltak og trusler relatert til informasjonssikkerhet. Perfekt for studenter og fagfolk innen IT-sikkerhet.