Notater eksamen Sikkerhet PDF

Summary

These notes cover various aspects of security, including the CIA triad, GDPR principles, and EU ethical principles for AI. They also delve into the ISO 27001 standard for information security management systems.

Full Transcript

Notater, alle prinsipper

1. CIA-triaden
1. Konfidensialitet
Konfidensialitet handler om å sikre at kun autoriserte personer har tilgang til sensitiv
informasjon. Dette innebærer å beskytte informasjon mot uautorisert innsyn eller
deling.

Eksempler:

 Tiltak: Bruk av kryptering, tilgangskontroll (for eksempel passord eller
tofaktorautentisering), og dataklassifisering.
 Trusler: Datainnbrudd, sosial manipulering, eller lekkasje av sensitive opplysninger.

2. Integritet

Integritet sikrer at informasjonen er korrekt, konsistent og ikke endres eller
manipuleres uten autorisasjon. Dette gjelder både data (for eksempel filer) og
systemer (for eksempel databaseprogramvare).

Eksempler:

 Tiltak: Bruk av hashing for å sikre at data ikke er endret, versjonskontroll, og logging
av endringer.
 Trusler: Man-in-the-middle-angrep, ondsinnet programvare som endrer data, eller
utilsiktede feil i prosesser.

3. Tilgjengelighet

Tilgjengelighet handler om at autoriserte brukere har tilgang til informasjonen og
systemene når de trenger det. Dette innebærer å unngå systemnedetid eller
forsinkelser.

Eksempler:

 Tiltak: Redundans, lastbalansering, regelmessig vedlikehold, og forsvar mot
tjenestenektangrep (DDoS).
 Trusler: Nettverksangrep, strømbrudd, naturkatastrofer, eller utilstrekkelige
ressurser.
2. Personvernfordringen 7 prinsipper (GDPR)
1. Lovlighet, rettferdighet og åpenthet
Behandlingen av personopplysninger må være lovlig, rettferdig og gjennomsiktig
overfor den registrerte. Informasjon om hvorfor og hvordan data brukes skal
kommuniseres tydelig.

2. Fårmålsbegrensing
Personopplysninger skal samles inn for spesifikke, eksplisitte og legitime formål og
ikke viderebehandles på en måte som er uforenlig med disse formålene.

3. Dataminimering
Kun data som er nødvendig for det spesifikke formålet, skal behandles. Det
innebærer å begrense mengden innsamlet data til det som er strengt nødvendig.

4. Riktighet
Opplysningene skal være korrekte og, om nødvendig, oppdaterte. Feil eller
unøyaktige data skal rettes eller slettes uten unødig opphold.

5. Lagringsbegrensing
Data skal lagres på en måte som tillater identifikasjon av den registrerte kun så lenge
det er nødvendig for formålet med behandlingen. Unødvendig lagring skal unngås.

6. Integritet og konfidensialitet
Opplysningene skal behandles på en måte som sikrer tilstrekkelig sikkerhet, inkludert
beskyttelse mot uautorisert tilgang, ulovlig behandling, tap eller skade, gjennom bruk
av passende tekniske og organisatoriske tiltak.

7. Ansvarlighet
Den behandlingsansvarlige skal kunne påvise at personopplysninger behandles i
samsvar med disse prinsippene, og de må dokumentere etterlevelse gjennom rutiner
og kontrollmekanismer.
3. EU etiske prinsipper (2019) rammeverk 7 prinsipper
(AI)
1. Menneskets Selvbestemmelse
KI-systemer må respektere menneskerettigheter, sikre autonomi, og fungere som
støtte for mennesker uten å undergrave deres evne til å ta egne beslutninger. Det må
være mekanismer for å overvåke og kontrollere KI-løsninger.

2. Teknisk Robusthet
KI må være robust og sikkert, også under uforutsette forhold. Systemene må tåle
angrep og feil, og risiko for skade må minimeres. Robusthet inkluderer også
beskyttelse mot manipulasjon og tilstrekkelig testing før bruk.

3. Personvern
KI må ivareta personvern og sikre ansvarlig håndtering av data. Dette innebærer
dataminimering, transparens i databehandling og beskyttelse av sensitive
opplysninger, samtidig som data brukes på en ansvarlig måte.

4. Transparens
KI-systemer må være transparente. Brukere skal kunne forstå hvordan systemene
fungerer, og det skal være mulig å forklare beslutningene de tar. Dette inkluderer
krav om sporbarhet i data og prosesser og åpenhet om formålet med KI-bruken.

5. Mangfold og Rettferdighet
KI skal utvikles og brukes på en måte som fremmer sosial rettferdighet, mangfold og
inkludering. Diskriminering må aktivt forebygges gjennom tiltak som eliminerer
skjevheter i data eller algoritmer.

6. Nytte for Samfunnet og Miljø
KI må bidra til samfunnets beste og bærekraftig utvikling, og ikke skade miljøet eller
øke sosiale forskjeller. Teknologien bør brukes til å fremme positiv samfunnsendring
og redusere negative konsekvenser.

7. Ansvarlighet
Det må være klare ansvarsforhold i utvikling og bruk av KI. Dette inkluderer
mekanismer for å sikre etterlevelse av etiske retningslinjer og muligheter for å rette
feil og skade som oppstår som følge av KI-systemet.
4. ISO 27001
ISO 27001 er en internasjonal standard som setter krav til etablering, implementering,
vedlikehold og kontinuerlig forbedring av et styringssystem for informasjonssikkerhet
(ISMS). Standarden er avgjørende for å beskytte sensitive data, sikre tilgjengelighet,
integritet og konfidensialitet, og minimere risiko knyttet til informasjonshåndtering.

Hovedformålet med ISO 27001:

1. Beskytte sensitiv informasjon mot trusler som hacking, datainnbrudd og
menneskelige feil.
2. Redusere risiko gjennom en systematisk og kontinuerlig risikostyringsprosess.
3. Bygge tillit hos kunder, samarbeidspartnere og regulatoriske organer ved å
demonstrere god praksis i informasjonssikkerhet.
4. Sikre overholdelse av lover og reguleringer, som GDPR i Europa.

ISO 27001 er en internasjonal standard som setter krav til etablering, implementering,
vedlikehold og kontinuerlig forbedring av et styringssystem for informasjonssikkerhet
(ISMS). Standarden er avgjørende for å beskytte sensitive data, sikre tilgjengelighet, integritet
og konfidensialitet, og minimere risiko knyttet til informasjonshåndtering.

Hovedformålet med ISO 27001:

1. Beskytte sensitiv informasjon mot trusler som hacking, datainnbrudd og
menneskelige feil.
2. Redusere risiko gjennom en systematisk og kontinuerlig risikostyringsprosess.
3. Bygge tillit hos kunder, samarbeidspartnere og regulatoriske organer ved å
demonstrere god praksis i informasjonssikkerhet.
4. Sikre overholdelse av lover og reguleringer, som GDPR i Europa.

Nøkkelkomponenter i ISO 27001:
1. ISMS (Information Security Management System):

 Et rammeverk som sørger for at sikkerhetstiltak er systematiske og godt integrert i
organisasjonen.
 Krever en systematisk tilnærming til å beskytte informasjon.
2. Risikobasert tilnærming:

 Standarden fokuserer på å identifisere, evaluere og håndtere risikoer.
 Organisasjoner må gjennomføre risikovurderinger og implementere tiltak basert på
identifiserte trusler.

3. Kontinuerlig forbedring:

 Standarden legger vekt på regelmessig revisjon og forbedring av ISMS.
 Dette sikrer at systemet er oppdatert og effektivt mot nye trusler.

14 Kontrollkategorier i ISO 27001 (Annex A):

Standarden inkluderer et rammeverk med 93 kontroller, organisert i 14 hovedkategorier. De
viktigste er:

1. Informasjonssikkerhetspolitikk: Utvikling og vedlikehold av en styringsstrategi.
2. Organisering av informasjonssikkerhet: Tydelige roller og ansvar.
3. Human Resource Security: Sørge for at ansatte forstår sine sikkerhetsforpliktelser.
4. Fysisk sikkerhet: Beskyttelse av fysiske ressurser og data.
5. Kommunikasjon og drift: Sikre nettverk, datalagring og drift mot uautorisert tilgang.
6. Tilgangsstyring: Kontroll over hvem som kan få tilgang til hvilke data.
7. Kryptering: Beskytte data under lagring og overføring.
8. Sikker utvikling: Implementering av sikkerhetsprinsipper ved utvikling av
programvare.
9. Håndtering av hendelser: Etablering av prosedyrer for å håndtere
sikkerhetshendelser.
10. Compliance: Overholdelse av lover, forskrifter og kontraktsmessige krav.

14 Kontrollkategorier i ISO 27001 (Annex A):

Standarden inkluderer et rammeverk med 93 kontroller, organisert i 14 hovedkategorier. De
viktigste er:

1. Informasjonssikkerhetspolitikk: Utvikling og vedlikehold av en styringsstrategi.
2. Organisering av informasjonssikkerhet: Tydelige roller og ansvar.
3. Human Resource Security: Sørge for at ansatte forstår sine sikkerhetsforpliktelser.
4. Fysisk sikkerhet: Beskyttelse av fysiske ressurser og data.
5. Kommunikasjon og drift: Sikre nettverk, datalagring og drift mot uautorisert tilgang.
6. Tilgangsstyring: Kontroll over hvem som kan få tilgang til hvilke data.
7. Kryptering: Beskytte data under lagring og overføring.
8. Sikker utvikling: Implementering av sikkerhetsprinsipper ved utvikling av
programvare.
 9. Håndtering av hendelser: Etablering av prosedyrer for å håndtere
sikkerhetshendelser.
10. Compliance: Overholdelse av lover, forskrifter og kontraktsmessige krav.

5. ISMS (Information Security Management System)
er et rammeverk for å håndtere og beskytte en organisasjons informasjon på en systematisk
og helhetlig måte. Formålet med et ISMS er å sikre konfidensialitet, integritet og
tilgjengelighet (CIA) for all informasjon organisasjonen håndterer, og beskytte denne mot
trusler som datainnbrudd, tap av data, eller andre former for kompromittering.

Hovedtrekk ved ISMS:

1. Systematisk tilnærming:
o ISMS hjelper med å identifisere, vurdere og håndtere risikoer knyttet til
informasjonssikkerhet.
o Det omfatter både tekniske, organisatoriske og menneskelige aspekter.
2. Risikostyring:
o Kjernen i et ISMS er å håndtere sikkerhetsrisikoer ved å identifisere mulige
trusler og sårbarheter, og implementere tiltak for å redusere risikoen.
3. Kontinuerlig forbedring:
o ISMS er en dynamisk prosess, der revisjoner og tilpasninger sikrer at systemet
forblir effektivt i møte med nye trusler og teknologiske endringer.
4. Standardisert tilnærming:
o Et ISMS følger ofte standarder som ISO 27001, som setter rammer for
hvordan informasjon skal beskyttes.

Viktige komponenter i et ISMS:

1. Ledelsesforankring:
o Sikkerhetsstyring må være støttet og ledet av toppledelsen for å være
effektiv.
2. Policyer og prosedyrer:
o Dokumenterte retningslinjer for hvordan informasjonssikkerhet skal
håndteres.
3. Risikohåndtering:
o Metodisk identifisering, vurdering, og mitigering av sikkerhetsrisikoer.
4. Sikkerhetskontroller:
o Teknologiske, organisatoriske og menneskelige tiltak som implementeres for
å beskytte informasjon.
 5. Overvåking og revisjon:
o Kontinuerlig overvåking av systemet for å identifisere svakheter og områder
for forbedring.
6. Samsvar med lovverk:
o Sikre at organisasjonen overholder relevante lover og reguleringer, som GDPR
eller NIS-direktivet.

Hvordan fungerer ISMS i praksis?

1. Planlegging (Plan):
o Identifisere risikoer og sette mål for informasjonssikkerhet.
2. Implementering (Do):
o Innføre sikkerhetskontroller og prosedyrer basert på identifiserte risikoer.
3. Overvåking (Check):
o Evaluere ytelsen til ISMS gjennom revisjoner og analyser.
4. Forbedring (Act):
o Justere og forbedre systemet basert på evalueringer.

6. Hendelsehåndtering

Prinsipper for hendelseshåndtering

Effektiv hendelseshåndtering krever en strukturert tilnærming. Følgende prinsipper kan legges
til grunn:

1. Forberedelse (Preparation)

 Opprette og vedlikeholde en plan for hendelseshåndtering.
 Trene ansatte i å identifisere og rapportere hendelser.
 Ha nødvendige verktøy og ressurser klare (som overvåkingsverktøy, responsteam og
kommunikasjonskanaler).
 Gjennomføre jevnlige øvelser og simuleringer.

2. Identifikasjon (Identification)

 Overvåke systemer for å oppdage unormale aktiviteter.
 Verifisere og klassifisere hendelser for å skille mellom falske alarmer og reelle trusler.
 Loggføre alle relevante detaljer om hendelsen, inkludert tidspunkt, omfang og
påvirkede ressurser.
3. Håndtering og inneslutning (Containment)

 Isolere de berørte systemene for å forhindre videre skade.
 Prioritere tiltak basert på hendelsens alvorlighet og risiko.
 Begrense spredning av malware eller stoppe pågående angrep.

4. Eliminering (Eradication)

 Fjerne trusler som virus, uautoriserte brukere eller sårbare systemer.
 Sikre at alle inngangspunkter for angrep er tettet (for eksempel gjennom patching
eller oppgradering av systemer).

5. Gjenoppretting (Recovery)

 Gjenopprette normale operasjoner ved å reparere eller reinstallere berørte systemer.
 Sikre at gjenopprettede systemer er trygge og oppdaterte før de tas i bruk igjen.
 Bekrefte at trusselen er fullstendig eliminert.

6. Læring og forbedring (Lessons Learned)

 Gjennomføre en post-mortem analyse for å forstå årsakene bak hendelsen.
 Dokumentere erfaringer og foreslå forbedringer for å redusere sannsynligheten for
fremtidige hendelser.
 Oppdatere hendelseshåndteringsplanen og andre relaterte prosedyrer.

7. Kommunikasjon (Communication)

 Varsle relevante parter, inkludert ledelse, ansatte, kunder og eksterne regulatorer
dersom nødvendig.
 Sikre klar og transparent kommunikasjon for å håndtere omdømmerisiko.
 Utpeke en talsperson for mediehåndtering dersom hendelsen har offentlig interesse.