Informasjonssikkerhet

Arbeidet med informasjonssikkerhet handler om å sikre informasjonsbehandling som inngår i oppgaver og tjenester eller understøtter dem. Det betyr å sikre at informasjon i alle former

• ikke blir kjent for uvedkommende (konfidensialitet)
• ikke blir endret utilsiktet eller av uvedkommende (integritet)
• er tilgjengelig ved behov (tilgjengelighet)

Det inkluderer «digitale data» og data som kun brukes maskinelt, og som ikke nødvendigvis skal leses og forstås av mennesker. Det inkluderer å sikre informasjonssystemene som brukes – inkludert alle IKT-systemer, IKT-tjenester og IKT-komponenter som inngår i informasjonssystemene.

Digital sikkerhet, cybersikkerhet og IKT-sikkerhet

I mange sammenhenger benyttes digital sikkerhet, cybersikkerhet og IKT-sikkerhet synonymt med «informasjonssikkerhet» slik vi beskriver det her. I andre sammenhenger menes deler av det som inngår i beskrivelsen av «informasjonssikkerhet», og i noen sammenhenger inkluderer det ting som ikke inngår i beskrivelsen av «informasjonssikkerhet».

Det handler ofte bare om forskjellige perspektiver på det som stort sett er det samme.

Det kan være spesielt viktig å være bevisst på tilfeller

• hvor bruken av disse begrepene begrenser seg til sikring av teknologien (inkludert styringsaktivitetene for ledelsesstyringen av dette)
• hvor bruken av disse begrepene begrenser seg til sikkerhetstiltak for å sikre teknologien (uten ledelsesstyringen av dette)
• hvor bruken av disse begrepene begrenser seg til beskyttelse mot menneskestyrte angrep

«Cybersikkerhet» er et begrep som har hatt økende bruk de siste årene. Eksempelvis benytter føderal forvaltning i USA ofte «cybersecurity» synonymt med det de tidligere brukte «information security» eller «information assurance» for. Det er tilfeller hvor dette begrepet benyttes til å inkludere forhold som ikke nødvendigvis innebærer informasjonssikkerhetsbrudd som beskrevet her, for eksempel mobbing via digitale kanaler eller å benytte sosiale medier til påvirkningsoperasjoner.

Vi kan forvente at flere forskjellige, og delvis overlappende, begreper vil bli benyttet i lang tid framover. Dersom det oppstår usikkerhet om hva som menes i dialog med andre, er det lurt å avklare hva som legges i begrepene som brukes.

Styringsaktiviteter og sikkerhetstiltak

Med «styringsaktiviteter» menes de lederstyrte aktivitetene som utgjør kjernen i styring og kontroll på informasjonssikkerhetsområdet. Det er blant annet snakk om aktiviteter for å vurdere og håndtere risiko. Det handler om å ta beslutninger, prioritere oppgaver, fordele ressurser og følge opp arbeidet – å styre dette området som en del av den helhetlige styringen av virksomheten.

Med «sikkerhetstiltak» menes de varige tiltakene som virksomheten etablerer og forvalter for å redusere risikoen for informasjonssikkerhetsbrudd. Dette er tiltak som velges og etableres ved gjennomføring av styringsaktivitetene «risikovurdering» og «risikohåndtering».

Man kan skille mellom tiltak som har som formål å forebygge uønskede hendelser, tiltak som skal oppdage og avdekke hendelser, og tiltak som skal benyttes i respons på hendelser som er under utvikling eller har funnet sted.

Det er vanlig å gruppere sikkerhetstiltak på mange forskjellige måter, bl.a. ved inndeling i

• organisatoriske tiltak (roller og ansvar, retningslinjer, prosedyrer og rutiner mv.)
• menneskelige tiltak (kompetanse og kultur)
• tekniske tiltak (se for eksempel Nasjonal sikkerhetsmyndighets «Grunnprinsipper for IKT-sikkerhet»[2] )

Styringsaktivitetene er svært like, og bygget over samme lest, uavhengig av hvilket område som styres (Informasjonssikkerhet, personvern, sikkerhetsstyring iht. sikkerhetsloven, ansattes helse iht. HMS-regelverk osv.). Sikkerhetstiltakene er i større grad rettet kun mot informasjonssikkerhetsområdet.

De som er kjent med ISO-standarder i 27000-serien vil kjenne igjen krav til styringsaktiviteter fra ISO/IEC 27001 (kapittel 4 til 10) og en katalog med sikkerhetstiltak i form av ISO/IEC 27002 (eller Annex A til ISO/IEC 27001).

Digitaliseringsdirektoratets veiledning for styring og kontroll på informasjonssikkerhetsområdet beskriver styringsaktivitetene. NSMs grunnprinsipper for IKT-sikkerhet inneholder en del av sikkerhetstiltakene en virksomhet kan ha behov for.

Risikostyring og internkontroll

Informasjonssikkerhetsarbeidet er i hovedsak en del av arbeidet med risiko knyttet til gjennomføringen av prosesser og leveranse av tjenester. Det handler om «operasjonell risiko» og håndtering av det som ligger innenfor virksomhetens kontroll.

Ved bruk av en risikobasert tilnærming til styring og kontroll er «risikostyring» og «internkontroll» i praksis det samme. Les mer om sammenhengen mellom risikostyring og internkontroll.