Notater eksamen Sikkerhet PDF

Notater, alle prinsipper 1. CIA-triaden ============== 1\. Konfidensialitet #### Eksempler: - **Tiltak:** Bruk av kryptering, tilgangskontroll (for eksempel passord eller tofaktorautentisering), og dataklassifisering. - **Trusler:** Datainnbrudd, sosial manipulering, eller lekkasje av sensitive opplysninger. 2\. Integritet #### Eksempler: - **Tiltak:** Bruk av hashing for å sikre at data ikke er endret, versjonskontroll, og logging av endringer. - **Trusler:** Man-in-the-middle-angrep, ondsinnet programvare som endrer data, eller utilsiktede feil i prosesser. 3\. Tilgjengelighet #### Eksempler: - **Tiltak:** Redundans, lastbalansering, regelmessig vedlikehold, og forsvar mot tjenestenektangrep (DDoS). - **Trusler:** Nettverksangrep, strømbrudd, naturkatastrofer, eller utilstrekkelige ressurser. 2. Personvernfordringen 7 prinsipper (GDPR) =========================================== 1\. Lovlighet, rettferdighet og åpenthet 2\. Fårmålsbegrensing 3\. Dataminimering 4\. Riktighet 5\. Lagringsbegrensing 6\. Integritet og konfidensialitet 7\. Ansvarlighet 3. EU etiske prinsipper (2019) rammeverk 7 prinsipper (AI) ========================================================== 1\. Menneskets Selvbestemmelse 2\. Teknisk Robusthet 3\. Personvern 4\. Transparens 5\. Mangfold og Rettferdighet 6\. Nytte for Samfunnet og Miljø 7\. Ansvarlighet 4. ISO 27001 ============ **ISO 27001** er en internasjonal standard som setter krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av et **styringssystem for informasjonssikkerhet (ISMS)**. Standarden er avgjørende for å beskytte sensitive data, sikre tilgjengelighet, integritet og konfidensialitet, og minimere risiko knyttet til informasjonshåndtering. ### Hovedformålet med ISO 27001: 1. **Beskytte sensitiv informasjon** mot trusler som hacking, datainnbrudd og menneskelige feil. 2. **Redusere risiko** gjennom en systematisk og kontinuerlig risikostyringsprosess. 3. **Bygge tillit** hos kunder, samarbeidspartnere og regulatoriske organer ved å demonstrere god praksis i informasjonssikkerhet. 4. **Sikre overholdelse** av lover og reguleringer, som GDPR i Europa. **ISO 27001** er en internasjonal standard som setter krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av et **styringssystem for informasjonssikkerhet (ISMS)**. Standarden er avgjørende for å beskytte sensitive data, sikre tilgjengelighet, integritet og konfidensialitet, og minimere risiko knyttet til informasjonshåndtering. ### Hovedformålet med ISO 27001: 1. **Beskytte sensitiv informasjon** mot trusler som hacking, datainnbrudd og menneskelige feil. 2. **Redusere risiko** gjennom en systematisk og kontinuerlig risikostyringsprosess. 3. **Bygge tillit** hos kunder, samarbeidspartnere og regulatoriske organer ved å demonstrere god praksis i informasjonssikkerhet. 4. **Sikre overholdelse** av lover og reguleringer, som GDPR i Europa. ### Nøkkelkomponenter i ISO 27001: #### 1. ISMS (Information Security Management System): - Et rammeverk som sørger for at sikkerhetstiltak er systematiske og godt integrert i organisasjonen. - Krever en systematisk tilnærming til å beskytte informasjon. #### 2. Risikobasert tilnærming: - Standarden fokuserer på å identifisere, evaluere og håndtere risikoer. - Organisasjoner må gjennomføre risikovurderinger og implementere tiltak basert på identifiserte trusler. #### 3. Kontinuerlig forbedring: - Standarden legger vekt på regelmessig revisjon og forbedring av ISMS. - Dette sikrer at systemet er oppdatert og effektivt mot nye trusler. ### 14 Kontrollkategorier i ISO 27001 (Annex A): Standarden inkluderer et rammeverk med 93 kontroller, organisert i 14 hovedkategorier. De viktigste er: 1. **Informasjonssikkerhetspolitikk:** Utvikling og vedlikehold av en styringsstrategi. 2. **Organisering av informasjonssikkerhet:** Tydelige roller og ansvar. 3. **Human Resource Security:** Sørge for at ansatte forstår sine sikkerhetsforpliktelser. 4. **Fysisk sikkerhet:** Beskyttelse av fysiske ressurser og data. 5. **Kommunikasjon og drift:** Sikre nettverk, datalagring og drift mot uautorisert tilgang. 6. **Tilgangsstyring:** Kontroll over hvem som kan få tilgang til hvilke data. 7. **Kryptering:** Beskytte data under lagring og overføring. 8. **Sikker utvikling:** Implementering av sikkerhetsprinsipper ved utvikling av programvare. 9. **Håndtering av hendelser:** Etablering av prosedyrer for å håndtere sikkerhetshendelser. 10. **Compliance:** Overholdelse av lover, forskrifter og kontraktsmessige krav. ### 14 Kontrollkategorier i ISO 27001 (Annex A): Standarden inkluderer et rammeverk med 93 kontroller, organisert i 14 hovedkategorier. De viktigste er: 1. **Informasjonssikkerhetspolitikk:** Utvikling og vedlikehold av en styringsstrategi. 2. **Organisering av informasjonssikkerhet:** Tydelige roller og ansvar. 3. **Human Resource Security:** Sørge for at ansatte forstår sine sikkerhetsforpliktelser. 4. **Fysisk sikkerhet:** Beskyttelse av fysiske ressurser og data. 5. **Kommunikasjon og drift:** Sikre nettverk, datalagring og drift mot uautorisert tilgang. 6. **Tilgangsstyring:** Kontroll over hvem som kan få tilgang til hvilke data. 7. **Kryptering:** Beskytte data under lagring og overføring. 8. **Sikker utvikling:** Implementering av sikkerhetsprinsipper ved utvikling av programvare. 9. **Håndtering av hendelser:** Etablering av prosedyrer for å håndtere sikkerhetshendelser. 10. **Compliance:** Overholdelse av lover, forskrifter og kontraktsmessige krav. 5. ISMS (Information Security Management System) ================================================ er et rammeverk for å håndtere og beskytte en organisasjons informasjon på en systematisk og helhetlig måte. Formålet med et ISMS er å sikre **konfidensialitet, integritet og tilgjengelighet (CIA)** for all informasjon organisasjonen håndterer, og beskytte denne mot trusler som datainnbrudd, tap av data, eller andre former for kompromittering. ### Hovedtrekk ved ISMS: 1. **Systematisk tilnærming:** - ISMS hjelper med å identifisere, vurdere og håndtere risikoer knyttet til informasjonssikkerhet. - Det omfatter både tekniske, organisatoriske og menneskelige aspekter. 2. **Risikostyring:** - Kjernen i et ISMS er å håndtere sikkerhetsrisikoer ved å identifisere mulige trusler og sårbarheter, og implementere tiltak for å redusere risikoen. 3. **Kontinuerlig forbedring:** - ISMS er en dynamisk prosess, der revisjoner og tilpasninger sikrer at systemet forblir effektivt i møte med nye trusler og teknologiske endringer. 4. **Standardisert tilnærming:** - Et ISMS følger ofte standarder som **ISO 27001**, som setter rammer for hvordan informasjon skal beskyttes. ### Viktige komponenter i et ISMS: 1. **Ledelsesforankring:** - Sikkerhetsstyring må være støttet og ledet av toppledelsen for å være effektiv. 2. **Policyer og prosedyrer:** - Dokumenterte retningslinjer for hvordan informasjonssikkerhet skal håndteres. 3. **Risikohåndtering:** - Metodisk identifisering, vurdering, og mitigering av sikkerhetsrisikoer. 4. **Sikkerhetskontroller:** - Teknologiske, organisatoriske og menneskelige tiltak som implementeres for å beskytte informasjon. 5. **Overvåking og revisjon:** - Kontinuerlig overvåking av systemet for å identifisere svakheter og områder for forbedring. 6. **Samsvar med lovverk:** - Sikre at organisasjonen overholder relevante lover og reguleringer, som GDPR eller NIS-direktivet. ### Hvordan fungerer ISMS i praksis? 1. **Planlegging (Plan):** - Identifisere risikoer og sette mål for informasjonssikkerhet. 2. **Implementering (Do):** - Innføre sikkerhetskontroller og prosedyrer basert på identifiserte risikoer. 3. **Overvåking (Check):** - Evaluere ytelsen til ISMS gjennom revisjoner og analyser. 4. **Forbedring (Act):** - Justere og forbedre systemet basert på evalueringer. 6. Hendelsehåndtering ===================== ### Prinsipper for hendelseshåndtering Effektiv hendelseshåndtering krever en strukturert tilnærming. Følgende prinsipper kan legges til grunn: #### 1. Forberedelse (Preparation) - Opprette og vedlikeholde en plan for hendelseshåndtering. - Trene ansatte i å identifisere og rapportere hendelser. - Ha nødvendige verktøy og ressurser klare (som overvåkingsverktøy, responsteam og kommunikasjonskanaler). - Gjennomføre jevnlige øvelser og simuleringer. #### 2. Identifikasjon (Identification) - Overvåke systemer for å oppdage unormale aktiviteter. - Verifisere og klassifisere hendelser for å skille mellom falske alarmer og reelle trusler. - Loggføre alle relevante detaljer om hendelsen, inkludert tidspunkt, omfang og påvirkede ressurser. #### 3. Håndtering og inneslutning (Containment) - Isolere de berørte systemene for å forhindre videre skade. - Prioritere tiltak basert på hendelsens alvorlighet og risiko. - Begrense spredning av malware eller stoppe pågående angrep. #### 4. Eliminering (Eradication) - Fjerne trusler som virus, uautoriserte brukere eller sårbare systemer. - Sikre at alle inngangspunkter for angrep er tettet (for eksempel gjennom patching eller oppgradering av systemer). #### 5. Gjenoppretting (Recovery) - Gjenopprette normale operasjoner ved å reparere eller reinstallere berørte systemer. - Sikre at gjenopprettede systemer er trygge og oppdaterte før de tas i bruk igjen. - Bekrefte at trusselen er fullstendig eliminert. #### 6. Læring og forbedring (Lessons Learned) - Gjennomføre en post-mortem analyse for å forstå årsakene bak hendelsen. - Dokumentere erfaringer og foreslå forbedringer for å redusere sannsynligheten for fremtidige hendelser. - Oppdatere hendelseshåndteringsplanen og andre relaterte prosedyrer. #### 7. Kommunikasjon (Communication) - Varsle relevante parter, inkludert ledelse, ansatte, kunder og eksterne regulatorer dersom nødvendig. - Sikre klar og transparent kommunikasjon for å håndtere omdømmerisiko. - Utpeke en talsperson for mediehåndtering dersom hendelsen har offentlig interesse.

Notater eksamen Sikkerhet PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue