Informationssikkerhed

Informationssikkerhed er kontrol over information.

Informationssikkerhed, CIA-triade. Fortrolighed, integritet, tilgængelighed. Anden version.

En referencemodel for informationssikring og -sikkerhed (RMIAS; forkortet fra Reference Model of Information Assurance and Security)

Diagram, der viser trusselsagenter, angrebsvektorer, svagheder, kontroller, IT-aktiver og forretningsmæssig påvirkning.

Diagrammet viser trinnene i konfigurations- og driftsfaserne af IAM (Identitets- og Adgangsstyring).

Når informationer sikres, foregår det grundlæggende ved, at en eller anden form for kontrol over information er i anvendelse. Det essentielle ved informationssikkerhed er, at kunne styre og sikre kontrollen over hvem eller hvad, der må få eller påvirke information på et givent tidspunkt.

Typisk vil informationssikkerhed blive refereret til virksomheders eller myndigheders evne til, at efterleve krav til informationssikkerhed (compliance) efter gældende lovkrav eller en godkendt standard (fx DS484). I erhvervsmæssig sammenhæng er formålet gennem procesledelse, at styre og have kontrol over fortrolighed, integritet (pålidelighed) og tilgængelighed. Informationssikkerhed udgør her er et fundament, som faglige discipliner bygger oven på, fx It-sikkerhed, informationssikkerhedsledelse og IT-revision.

Informationssikkerhed findes dog også i naturen. Vores arvemateriale (DNA) er i den biologiske celle underlagt kontrolmekanismer, som har til hensigt, at sikre tilgængelighed og integritet på et givent tidspunkt i cellens livscyklys.

Grundlæggende principper

CIA-triaden fra engelsk confidentiality, integrity and availability; dansk datafortrolighed, dataintegritet og datatilgængelighed er hjertet of informationsikkerhed.^[1] (Medlemmerne af den klassiske InfoSec triade — datafortrolighed, dataintegritet og datatilgængelighed — bliver ofte omtalt i litteraturen som sikkerhedsattributter, egenskaber, sikkerhedsmål, fundamentale aspekter, informationskriterier, kritisk informationskarakteristikker og grundlæggende byggeblokke.) Men det debatteres stadig om denne CIA-triade er tilstrækkelig til at adressere de hurtigt skiftende teknologi og virksomhedskrav, med anbefalinger som ønsker at udvide fællesmængden mellem datatilgængelighed og datafortrolighed, såvel som forholdet mellem informationssikkerhed og privatliv.^[2] Andre principper såsom "reviderbarhed" er nogle gange blevet foreslået; det er blevet påpeget at problemstillinger såsom uafviselighed ikke let kan tilpasses med de tre kernebegreber.^[3]

I 1992 og revideret i 2002 foreslog OECD's Guidelines for the Security of Information Systems and Networks^[4] de ni generelt accepterede principper: bevidsthed, ansvarlighed, reaktionssvar, etik, demokrati, risikovurdering, sikkerhedsdesign og implementering, sikkerhedsadministration, og fornyet sikkerhedsvurdering.