Informationssikkerhed

Informationssikkerhed er kontrol over information.

Når informationer sikres, foregår det grundlæggende ved, at en eller anden form for kontrol over information er i anvendelse. Det essentielle ved informationssikkerhed er, at kunne styre og sikre kontrollen over hvem eller hvad, der må få eller påvirke information på et givent tidspunkt.

Typisk vil informationssikkerhed blive refereret til virksomheders eller myndigheders evne til, at efterleve krav til informationssikkerhed (compliance) efter gældende lovkrav eller en godkendt standard (fx DS484). I erhvervsmæssig sammenhæng er formålet gennem procesledelse, at styre og have kontrol over fortrolighed, integritet (pålidelighed) og tilgængelighed. Informationssikkerhed udgør her er et fundament, som faglige discipliner bygger oven på, fx It-sikkerhed, informationssikkerhedsledelse og IT-revision.

Informationssikkerhed findes dog også i naturen. Vores arvemateriale (DNA) er i den biologiske celle underlagt kontrolmekanismer, som har til hensigt, at sikre tilgængelighed og integritet på et givent tidspunkt i cellens livscyklys.

Grundlæggende principper redigér

CIA-triaden fra engelsk confidentiality, integrity and availability; dansk datafortrolighed, dataintegritet og datatilgængelighed er hjertet of informationsikkerhed.^[1] (Medlemmerne af den klassiske InfoSec triade — fortrolighed, dataintegritet og tilgængelighed — bliver ofte omtalt i litteraturen som sikkerhedsattributter, egenskaber, sikkerhedsmål, fundamentale aspekter, informationskriterier, kritisk informationskarakteristikker og grundlæggende byggeblokke.) Men det debatteres stadig om denne CIA-triade er tilstrækkelig til at adressere de hurtigt skiftende teknologi og virksomhedskrav, med anbefalinger som ønsker at udvide fællesmængden mellem tilgængelighed og fortrolighed, såvel som forholdet mellem sikkerhed og privatliv.^[2] Andre principper såsom "reviderbarhed" er nogle gange blevet foreslået; det er blevet påpeget at problemstillinger såsom uafviselighed ikke let kan tilpasses med de tre kernebegreber.^[3]

I 1992 og revideret i 2002 foreslog OECD's Guidelines for the Security of Information Systems and Networks^[4] de ni generelt accepterede principper: bevidsthed, ansvarlighed, reaktionssvar, etik, demokrati, risikovurdering, sikkerhedsdesign og implementering, sikkerhedsadministration, og fornyet sikkerhedsvurdering.

Referencer redigér

^ Perrin, Chad. "The CIA Triad". Hentet 31. maj 2012.
^ Samonas, S.; Coss, D. (2014). "The CIA Strikes Back: Redefining Confidentiality, Integrity and Availability in Security". Journal of Information System Security. 10 (3): 21-45.
^ "Engineering Principles for Information Technology Security" (PDF). csrc.nist.gov.
^ "oecd.org" (PDF). Arkiveret fra originalen (PDF) 16. maj 2011. Hentet 2014-01-17.

[1] Perrin, Chad. "The CIA Triad". Hentet 31. maj 2012.

[SamonasTheCIA14-2] Samonas, S.; Coss, D. (2014). "The CIA Strikes Back: Redefining Confidentiality, Integrity and Availability in Security". Journal of Information System Security. 10 (3): 21-45.

[NIST-3] "Engineering Principles for Information Technology Security" (PDF). csrc.nist.gov.

[4] "oecd.org" (PDF). Arkiveret fra originalen (PDF) 16. maj 2011. Hentet 2014-01-17.

[1]

[2]

[3]

[4]