Grunnprinsipper for IKT-sikkerhet
Begreper
Publisert:
Oppdatert:
Følgende begreper er nyttig å kjenne til ved lesning av NSMs grunnprinsipper:
- Enhet – For eksempel en klient, en server, en skriver, en sensor (f.eks. IoT-enhet) eller nettverksutstyr. Enheter kan være fysiske gjenstander, eller de kan være virtuelle enheter. Noen underkategorier av enheter benyttet i denne teksten er:
- Forvaltede enheter – Enheter som kontrolleres og driftes av virksomheten. Hvis det er en klient så bør ikke brukeren kunne endre sikkerhetskonfigurasjonen.
- Ikke-forvaltede enheter – Enheter som ikke er kontrollert av virksomheten. Det kan være private enheter («Bring Your Own Device» - BYOD), IoT-enheter, enheter delt ut av virksomheten, eller enheter til besøkende. Ikke-forvaltede enheter bør kun ha tilgang til en begrenset del av virksomhetens infrastruktur.
- Mobile enheter – Alle flyttbare enheter (primært klienter), som benyttes både innenfor og utenfor virksomhetens lokaler.
- Klient – En datamaskin som benyttes av sluttbrukere, for eksempel en «PC», «MAC», mobiltelefon, nettbrett eller virtuell klient («Virtual Desktop»).
- Server/Tjener – En datamaskin som typisk kjører i et datarom eller datasenter og som kjører applikasjoner eller infrastruktur-tjenester. En server kan være både fysisk og virtuell. De fleste moderne fysiske servere kjører en «hypervisor» som er en plattform for virtuelle servere og/eller «containere».
- Virtuelle enheter – Enheter som er virtuelle, og ikke fysiske. Det kan være: virtuelle servere, virtuelle klienter (desktops) og virtuelle nettverkskomponenter (f.eks. virtuelle svitsjer).
- Godkjentlisting – Et prinsipp hvor tillatte handlinger eller hendelser spesifiseres. Handlinger/hendelser som ikke er eksplisitt tillatt blir automatisk sperret. Blokkerinslisting vil til forskjell si å liste opp handlinger som ikke er tillatt. Sistnevnte regnes som sikkerhetsmessig mindre effektivt enn godkjentlisting.
- IaaS/PaaS/SaaS – Begreper som beskriver forskjellige modeller for virksomhetens egne eller innkjøpte virtualiseringstjenester. De mest vanlige modellene er Infrastructure as a Service (IaaS), Platform as a Service (PaaS) og Software as a Service (SaaS).
- IKT-system – Maskinvare, programvare og tilknyttet infrastruktur.
- Informasjonssystem – IKT-system, data og tjenestene det tilbyr, bruken av dette, samt menneskers interaksjon med IKT-systemet for å støtte opp under virksomhetsprosesser.
- Sikkerhetshendelse – En avvikssituasjon hvor det er et potensiale for tap av konfidensialitet, integritet, og/eller tilgjengelighet for informasjon eller IKT-tjenester. En sikkerhetshendelse kan oppstå som følge av et dataangrep, teknisk svikt, eller utilsiktede feilhandlinger.
- Sikker tilstand – Er det virksomhetsbestemte normalnivå for sikkerhet i virksomheten. Kategori 2 - Beskytte og opprettholde beskriver en mulig oppbygging av en sikker tilstand.
- Sårbarheter – En sårbarhet i et IKT-system slik det er omtalt i disse grunnprinsippene kan være alt som kan utnyttes av en angriper, av organisatoriske og teknisk art. Eksempler på tekniske sårbarheter er manglende oppdeling av nettverket, manglende kontroll på hvilken programvare brukere kan kjøre, mangelfull tilgangsstyring og manglende sikkerhetsoppdatering av enheter. Summen av alle sårbarheter omtales ofte som den mulige angrepsflaten («attack surface»). Menneskelige og fysiske sårbarheter må også vurderes, men omtales i liten grad i grunnprinsipper for IKT-sikkerhet.