Informationssikkerhed

Fra Wikipedia, den frie encyklopædi
Gå til: navigation, søg

Informationssikkerhed er kontrol over information.

Når informationer sikres, foregår det grundlæggende ved, at en eller anden form for kontrol over information er i anvendelse. Det essentielle ved informationssikkerhed er, at kunne styre og sikre kontrollen over hvem eller hvad, der må få eller påvirke information på et givent tidspunkt.

Typisk vil informationssikkerhed blive referet til virksomheders eller myndigheders evne til, at efterleve krav til informationssikkerhed (compliance) efter gældende lovkrav eller en godkendt standard (fx DS484). I erhvervsmæssig sammenhæng er formålet gennem procesledelse, at styre og have kontrol over fortrolighed, integritet (pålidelighed) og tilgængelighed. Informationssikkerhed udgør her er et fundament, som faglige discipliner bygger oven på, fx It-sikkerhed, informationssikkerhedsledelse og IT-revision.

Informationssikkerhed findes dog også i naturen. Vores arvemateriale (DNA) er i den biologiske celle underlagt kontrolmekanismer, som har til hensigt, at sikre tilgængelighed og integritet på et givent tidspunkt i cellens livscyklys.

Grundlæggende principper[redigér | redigér wikikode]

CIA-triaden fra engelsk confidentiality, integrity and availability; dansk fortrolighed, dataintegritet og tilgængelighed er hjertet of informationsikkerhed.[1] (Medlemmerne af den klassiske InfoSec triade — fortrolighed, dataintegritet og tilgængelighed — bliver ofte omtalt i litteraturen som sikkerhedsattributter, egenskaber, sikkerhedsmål, fundamentale aspekter, informationskriterier, kritisk informationskarakteristikker og grundlæggende byggeblokke.) Men det debatteres stadig om denne CIA-triade er tilstrækkelig til at adressere de hurtigt skiftende teknologi og virksomhedskrav, med anbefalinger som ønsker at udvide fællesmængden mellem tilgængelighed og fortrolighed, såvel som forholdet mellem sikkerhed og privatliv.[2] Andre principper såsom "reviderbarhed" er nogle gange blevet foreslået; det er blevet påpeget at problemstillinger såsom uafviselighed ikke let kan tilpasses med de tre kernebegreber.[3]

I 1992 og revideret i 2002 foreslog OECD's Guidelines for the Security of Information Systems and Networks[4] de ni generelt accepterede principper: bevidsthed, ansvarlighed, reaktionssvar, etik, demokrati, risikovurdering, sikkerheds design og implementation, sikkerhedsadministration, and fornyet sikkerhedsvurdering.

Kilder/referencer[redigér | redigér wikikode]

  1. ^ Perrin, Chad. The CIA Triad. Hentet 31 May 2012. 
  2. ^ Samonas, S.; Coss, D. (2014). "The CIA Strikes Back: Redefining Confidentiality, Integrity and Availability in Security". Journal of Information System Security 10 (3): 21–45. 
  3. ^ Engineering Principles for Information Technology Security. csrc.nist.gov. 
  4. ^ (PDF)oecd.org. Arkiveret fra originalen May 16, 2011. Hentet 2014-01-17.