Redigerer Informasjonssikkerhet

'''Informasjonssikkerhet''', samt de noe snevrere begrepene '''datasikkerhet''' og '''[[informasjonsteknologi|IT]]-sikkerhet''', er et fagområde som er knyttet til nøkkelbegrepene [[konfidensialitet]], [[dataintegritet|integritet]] og [[Tilgjengelighet#Informasjons- og kommunikasjonsteknologi|tilgjengelighet]].

Det engelske ordet for informasjonssikkerhet, ''information security'', blir ofte forkortet «infosec».

== Nøkkelbegrep ==
[[Fil:Kalkulatorer_04.jpg|150px|thumb|right|Bruk av kodekalkulator er fortsatt den vanligste metoden for å autentisere brukere på en sikker måte før konfidensiell informasjon gjøres tilgjengelig.]]

;Konfidensialitet: Å sikre at informasjon og informasjonssystemer bare er tilgjengelig for de som skal ha tilgang.

;Integritet: Å sikre at informasjon og informasjonssystemer er korrekte, gyldige og fullstendige.

;Tilgjengelighet: Å sikre at informasjon og informasjonssystemer er tilgjengelig innenfor de tilgjengelighetskrav som er satt.

Hensikten med datasikkerhet er å iverksette relevante, tilstrekkelige og effektive tiltak slik at forretningsprosessene har tilgang til informasjon med ønsket grad av sikkerhet. Relevante og kjente internasjonale standarder for informasjonssikkerhet er ISO/IEC 27000-serien og ISF Standard of Good Practice.

=== Informasjonssikkerhet kontra datasikkerhet og IT-sikkerhet ===
Merk at denne artikkelen omhandler informasjonssikkerhet. Tittelen datasikkerhet skyldes begrepsforvirring:

Begrepene ''datasikkerhet'' og ''IT-sikkerhet'' er ikke dekkende for begrepet ''informasjonssikkerhet'', siden (de synonyme begrepene) datasikkerhet og IT-sikkerhet bare adresserer de tekniske aspekter av informasjonssikkerheten. Således er de kun et subsett av informasjonssikkerhet. Informasjonssikkerhet dekker i tillegg også ''fysisk sikkerhet'' (fysisk sikring av informasjon og informasjonssystemer) og ''organisatorisk sikkerhet'' (herunder også lovmessig etterlevelse, styringssystemer, regelverk, prosesser, prosedyrer og avtaler).

== Andre begrep ==
Andre begrep knyttet til datasikkerhet er ''ikke-benekting'' og ''sporbarhet'' som har en innbyrdes avhengighet.

;Ikke-benekting: Ikke-benekting (engelsk: ''non-repudiation'') beskriver metoder som skal dokumentere at en handling virkelig har vært gjort av en konkret definert person.

;Sporbarhet: Sporbarhet beskriver metoder som skal knytte enhver endring av informasjon til en ident, for eksempel slik som historikk-siden på Wikipedia.

== Risikostyring ==
Nettopp bildet av hva «nødvendig kvalitet» betyr er vesentlig. Alle tiltak som gjøres vil være kostnadsdrivende slik at det er viktig å velge de rette tiltakene. Fagområdet [[risikostyring]] blir dermed viktig. En risikoanalyse vil avdekke områder hvor kostnaden til et tiltak oppveier kostnaden ved å unnlate å gjøre tiltaket.

== Policy-arbeid ==
For at en bedrift skal gjøre tiltak som virker i samme retning og er konsistente bør enhver bedrift utvikle en datasikkerhetspolicy og ha en datasikkerhets-håndbok som detaljerer policyen. Det finnes gode standarder som kan benyttes i dette arbeidet, for eksempel NS 7799 som finnes i en del varianter bl.a BS 7799 og NS-ISO/IEC 17799.

== Revisjon ==
Datasikkerhet er knyttet nært mot bedriftens økonomistyring. I forkant av regnskapsrevisjon gjøres det ofte revisjon av IT-systemene. [[COBIT]] er en modell som ofte benyttes i det arbeidet.

== Vanlige feil ==
Det er vesentlig at datasikkerhetsarbeidet er en kontinuerlig prosess og ikke preges av en samling strakstiltak. Konsekvensen av slike er at tiltakene blir kostnadsdrivende, ikke er effektive og virker mot hverandre.

«Manglende eierskap» er et område som ofte er årsak til økt kostnad og risiko. Alle IT-system bør ha en eier som er ansvarlig for leveransen fra systemet og som bærer kostnaden ved både kvalitetsfremmende tiltak og de feil som inntreffer.

Hackeren [[Jeffrey Moss]] sa i 2012 at « Personlig internettsikkerhet handler mer om ikke å være lettlurt enn det handler om å få seg fancy hjelpemidler. Ingen teknologi i hele verden kan hjelpe en person som ikke sjekker om man faktisk er på de ekte nettsidene til banken sin før han eller hun logger inn».<ref>[http://www.nrk.no/vitenskap-og-teknologi/1.10850278 Slik beskytter hackere seg mot hacking]</ref>

==Referanser==
<references/>

== Organisasjoner ==
* [http://nislab.no/ NISlab] Forskningsinstitusjon innen informasjonssikkerhet tilknyttet NTNU i Gjøvik
* [https://www.ccis.no CCIS] Senter for Cyber- og Informasjonssikkerhet
* [http://www.securityforum.org/ Information Security Forum] er en verdensomspennende sikkerhetsorganisasjon
* [http://www.norsis.no NorSIS] Norsk Senter for Informasjonssikring. Nyheter, veiledninger og råd om informasjonssikkerhet
* [http://www.nettvett.no Nettvett.no] er et nettsted hvor du finner informasjon, råd og veiledning om sikker bruk av Internett.
* [http://www.isf.no Norsk Informasjonssikkerhetsforum – ISF] Norges største sikkerhetorganisasjon
* [http://www.isaca.org ISACA] utgiver av COBIT
* [http://www.xml-dev.com/blog/?action=viewtopic&id=141 InfoSec Training Media Archive- Videos and Poster]
* [http://www.iso.org/iso/home.htm ISO] International Organisation for Standardization

==Litteratur==
{{Kilde bok
  | url= http://www.datasikkerhetsboka.no/
 | tittel= Datasikkerhet - Ikke bli svindlerens neste offer
  | isbn= 978-82-05-48026-1
  | utgave=1
  | bind=
  | utgivelsessted=Oslo
  | side=
  | språk= Norsk
  | id=
  | ref= 
  | forfatter= Nätt, Tom Heine og Heide, Christian F.
  | redaktør= 
  | utgivelsesår= 2015
  | artikkel=
  | forlag=Gyldendal Akademisk
  | kommentar=
  }}

{{risiko}}
{{Data}}

{{Autoritetsdata}}

[[Kategori:Datasikkerhet]]