• Hvað er áhættumat?
• Hvað eru áætlanir um samfelldan rekstur?
• Hvað er dulkóðun?
• Hvað er faggilding?
• Hvað er ISO/IEC 27002, ISO/IEC 27001 og ISO 9001?
• Hvað þýðir rekjanleiki gagna?
• Hvað er upplýsingakerfi?
• Hvað er vottun?
• Hvað er öryggisstjórnkerfi?

Hvað er áhættumat?

Áhættumat er heildarferli áhættugreiningar og áhættuvægismats, skv. ISO/IEC 27001. Mat á ógnum sem steðja að upplýsingum og upplýsingavinnslu, áhrifum þeirra og viðkvæmni fyrir þeim og líkum á að þær gerist. Metin er hættan á því að óviðkomandi fái aðgang að upplýsingum, geti breytt upplýsingum eða skert öryggi þeirra að öðru leyti. Áhættumat tekur einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra upplýsinga sem unnið er með. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum. Áhættumat skal endurskoða reglulega.

Hvað eru áætlanir um samfelldan rekstur?

Stjórnun rekstarsamfellu er liður í góðri stjórnun upplýsingaöryggis í samræmi við alþjóðlega staðla á því sviði. Markmið stjórnunar á rekstarsamfellu er að vernda mikilvæga starfsemi gegn áhrifum meiriháttar bilana og áfalla. Með samsettum ráðstöfunum sem felast í forvörnum og viðréttingu er dregið úr áhrifum bilana og áfalla að ásættanlegu marki.

Áætlanir um samfelldan rekstur eru óhjákvæmilegur hluti af stjórnun rekstarsamfellu. Í slíkum áætlunum er m.a. starfsemi flokkuð eftir mikilvægi, tilgreindir eru aðilar með afmörkuð hlutverk í neyðarástandi, aðgerðir sem framkvæma skal til að endurreisa starfsemi tímanlega og prófanir sem gera þarf reglulega. Áætlanir um samfelldan rekstur þarf að yfirfara reglulega svo þær haldi gildi sínu.

Áætlanir um samfelldan rekstur eru einnig nefndar viðlagaáætlanir eða viðbragðsáætlanir.

Hvað er dulkóðun?

Dulkóðun:

Brenglun gagna sem dylur merkingu gagnanna. Dulkóðun gerir upplýsingar ólæsilegar þeim sem hafa ekki leyfi til að lesa þær. Þegar orð eða talnarunur eru dulkóðaðar er þeim umbreytt með ákveðinni aðferð, algrími, þannig að útkoman verður óskiljanleg runa af táknum. Til að afkóða upplýsingarnar og gera þær skiljanlegar á ný þarf að umbreyta dulkóðuðu upplýsingunum til baka. Við dulkóðun er oft notaður leynilegur talnalykill, svokallaður dulkóðunarlykill.

Dulkóðun í eina átt:

Dulkóðun án dulkóðunarlykils. Inntaki, orði eða talnarunu t.d. kennitölu, er breytt í runu af táknum sem ekki er hægt að rekja til baka með kóðunarlykli. Þetta er oft gert með stærðfræðilegu falli, tætifalli í eina átt (e. one way hash function).

Dulkóðun samhverf:

Dulkóðun með einum dulkóðunarlykli. Inntaki, orði eða talnarunu, er umbreytt með því að nota ákveðið algrím og lykil. Sá sem dulkóðar velur sjálfur lykilinn og þarf að gæta hans fyrir óviðkomandi. Sami lykill er notaður til að umbreyta kóðuðu upplýsingunum til baka.

Dulkóðun ósamhverf:

Dulkóðun með tveimur dulkóðunarlyklum. Mismunandi lyklar eru notaðir til að kóða og afkóða. Búið er til lyklapar. Annar lykillinn er notaður til að kóða upplýsingarnar, hinn lykillinn er notaður til að afkóða upplýsingarnar. Lyklarnir eru stærðfræðilega tengdir en samt er ekki hægt að finna afkóðunarlykilinn út frá dulkóðunarlyklinum. Þegar svona dulkóðun er notuð skiptir mestu máli að halda afkóðunarlyklinum leyndum fyrir þeim sem ekki er ætlað að komast í kóðuðu upplýsingarnar. Við dulkóðun í tölvupóstsendingum er algengt að nota þessa leið til dulkóðunar. Sendandi dulkóðar póstinn með opinberum lykli (e. public key) viðtakandans. Viðtakandinn afkóðar síðan póstinn með einkalykli sínum (e. private key).

Hvað er faggilding?

Faggilding er aðferð sem felst í því að aðili, sem hefur til þess vald, veitir formlega viðurkenningu á því að aðili eða einstaklingur sé hæfur til að framkvæma sérstök verkefni. Sjá nánar: http://www.neytendastofa.is/

Hvað er ISO/IEC 27002, ISO/IEC 27001 og ISO 9001?

ÍST ISO/IEC 27002:2005 er staðall með leiðbeiningum um starfsvenjur fyrir stjórnun upplýsingaöryggis.Forveri hans er ISO 17799:2000

ÍST ISO/IEC 27001:2005 eru kröfustaðall varðandi stjórnun upplýsingaöryggis. Forveri hans er breski staðallinn BS 7799

ISO 9001 er kröfustaðall varðandi gæðastjórnunarkerfi.

Sjá nánar: http://www.stadlar.is/

Hvað þýðir rekjanleiki gagna?

Í öllum hugbúnaði er mikilvægt að hægt sé að skoða hvernig gögn eru að þróast eða hafa breyst. Þetta á sérstaklega við um hugbúnað sem snýr að áhættu- og gæðastjórnun. Í hugbúnaði sem býður upp á rekjanleika þarf við sérhverja breytingu gagna að skrá a.m.k. eftirfarandi:

1. Hvaða notandi framkvæmdi breytingu
2. Hvernig var staða gagna fyrir breytingu
3. Hvernig var staða gagna eftir breytingu
4. Hvenær átti breyting sér stað
5. Hvaða áhrif hafði breytingin á einstaka hluta kerfisins eða kerfið í heild.

Rekjanleiki gagna er lykilatriði í hugbúnaði Stika.

Hvað er upplýsingakerfi?

Upplýsingakerfi nær til upplýsingasafns og kerfis fyrir vinnslu upplýsinga sem sameiginlega mynda heildarkerfi til þess að varðveita og nota upplýsingar. Upplýsingakerfi tekur til mannafla, tækjabúnaðar, hugbúnaðar, þjónustu, fjármagns og annarra þeirra þátta sem veita upplýsingar eða dreifa þeim.

Hvað er vottun?

Vottun er staðfesting þriðja aðila á að verklag sé með þeim hætti sem lýst er. Hægt er að votta hluta af starfsemi fyrirtækis/stofnunar eða fyrirtæki/stofnun alla. Umfang starfseminnar sem votta á þarf að liggja fyrir og afmarkast vottunin við þá starfsemi. Vottun er faggild ef vottunaraðili er sjálfur vottaður af löggildum vottunaraðila. Löggildur vottunaraðili er t.d. UKAS (United Kingdom Accredidation Service) í Bretlandi. Breska staðlastofnunin í London, British Standards Institution, sem jafnframt er með útibú á Íslandi, er faggildur vottunaraðili. Vottun er ekki faggild ef vottunaraðili er ekki vottaður sjálfur af löggiltum vottunaraðila, t.d. er Vottun hf. á Íslandi ekki faggildur vottunaraðili.

Hvað er öryggisstjórnkerfi?

Öryggisstjórnkerfi eða stjórnkerfi upplýsingaöryggis er þýðing á enska hugtakinu Information Security Management System. Öryggisstjórnkerfi er hluti af heildarstjórnkerfi fyrirtækis. Því er ætlað að viðhalda og auka öryggi upplýsinga. Öryggisstjórnkerfið nær til starfsemi fyrirtækis og samskipta við viðskiptavini. Það tekur til skipurits fyrirtækis, stefnumiða þess, innra skipulags, skiptingu ábyrgðar, starfsvenja, verklagsreglna, verkferla og auðlinda.

Umfang eins stjórnkerfis getur náð yfir starfsemi fyrirtækis í heild sinni eða afmarkaða hluti starfseminnar. Stjórnkerfi upplýsingaöryggis þarf að ná yfir þau upplýsingakerfi, m.a. eignir, þjónustu og hugbúnað, sem notuð eru við þá starfsemi sem tilgreind er í umfangi.