3.1 Introduktion till informationssäkerhet
Informationssäkerhet är ett ord som kan ha flera meningar. För att mera gå in på djupet av själva ordet kan man dela in ordet i två delar, information och säkerhet. Med
information menar Agneta Syrén i boken På egen risk - Handbok om
informationssäkerhet, (2006) information ett företag har vid ett visst tillfälle. Det kan
vara information i pappersformat lagrat i ett arkiv eller information lagrat på filer som finns på servrar, hårddiskar eller kanske bärbara lagringsmedia. Även företagets anställda kan ses som bärare av viktig information.[12]
Andra delen, säkerhet, kan ha många olika meningar. Man kan t.ex. titta på engelska språket där två olika ord beskriver säkerhet. Dessa ord är safety och security där security innebär att användaren känner trygghet och safety innebär att de materiel som en
användare använder är säkra.[12]
För att definiera inforationssäkerhets begrepp kan man återigen se till en definition i Agneta Syréns bok På egen risk - Handbok om informationssäkerhet, (2006) som lyder: ”informationen ska vara säker, tillgänglig, spårbar och riktig så att företaget, dess medarbetare, kunder, ägare samt leverantörer och andra intressenter skall kunna vara säkra”. I definitionen nämns vissa principer som bör uppnås för att ett system ska vara säkert. Dessa principer är sekretess, riktighet, tillgänglighet och spårbarhet. Några av dessa principer finns även beskrivna i en mängd litteratur och är även med i den så kallade CIA-treenigheten (som beskrivs i kapitel 3.2).[12]
I praktiken brukar informationssäkerheten delas in i två huvuddelar. Dessa är den administrativ säkerhet, vilken handlar om regler, organisationen och styrning av informationssäkerheten. Den andra delen är den tekniska säkerheten, vilken i sin tur är indelad i två delar. Dessa delar är fysisk säkerhet och IT-säkerhet. Med fysisk säkerhet menas hur man fysiskt skyddar olika datamedia. IT-säkerheten handlar om hur systemet skyddas mot obehörig åtkomst (datasäkerhet) och hur man skyddar informationen när den överförs (kommunikationssäkerhet).[15]
3.2 CIA
När man pratar om information- och datasäkerhet i allmänhet har olika personer olika syn på vad dessa begrepp verkligen innebär. För att få ett gemensamt och väldefinierat sätt att beskriva informationssäkerhet, har personer som arbetar med informationssäkerhet framkastat den så kallade CIA-treenigheten. CIA är en förkortning av orden
Confidentiality, Integrity och Availability. Dessa tre bokstäver i CIA beskriver olika delar av säkerhetsaspekter som är viktiga att ett informationssystem tar hänsyn till för att klassas som säkert. För att veta vad varje bokstav beskriver följer en kort genomgång av respektive bokstav i CIA. Varje bokstav är översatt till svenska men har samma
betydelse.[10][12]
3.2.1 Sekretess
Denna del av CIA-treenigheten är kanske den vanligaste då man pratar om
informationssäkerhet. Sekretess (eng. confidentiality) innebär att obehöriga personer inte ska kunna ta del av känslig information. I dagens system finns en mängd sätt att införa sekretess i sitt system. Accesskontroll i olika former som t.ex. lösenord är vanligt precis som kryptering där man förhindrar att information uppfattas av en tredje part vid
kommunikation över t.ex. Internet eller inom det trådlösa nätverket i företaget.[10][12]
3.2.2 Tillförlitlighet
Den andra delen av treenigheten handlar om att skydda tillförlitligheten (eng. integrity) hos den känsliga informationen. Med tillförlitlighet menas att man ska kunna lita på att informationen är riktig och inte modifierad (att tillståndet av informationen inte blivit rubbat) Informationen ska bara kunna ändras av behöriga användare samt funktioner. Informationen ska alltså skyddas från obehörig ändring som t.ex. att en hacker bryter sig in i systemet. Tillförlitlighet innebär även att informationen ska skyddas från incidenter som är beror på incidenter som inte kan påverkas, exempelvis strömavbrott. På samma sätt som sekretess uppnås kan även tillförlitlighet säkerhetsställas. Accesskontroll och kryptering med digitala signaturer där informationen bara kan ändras av behöriga är ett sätt att uppnå tillförlitlighet.[10][12]
3.2.3 Tillgänglighet
Sista delen av treenigheten är tillgänglighet (eng. availability), vilket innebär att behöriga användare ska ha tillgång till informationssystemet. Kan inte företaget eller
organisationen använda informationen som skyddas är informationen värdelös och säkerheten runt informationen onödig.[10][12]
3.3 DAD
Om CIA-treenigheten utgör normer och rekommendationer för vad ett
informationssystem ska täcka för att anses som säkert, så utgör DAD-treenigheten tre delar som kan ses som antagonister till respektive CIA del. Vad händer då respektive del i CIA inte kan uppnås. Detta beskrivs inom DAD-treenigheten. Förkortningen DAD står för Disclosure, Alteration och Denial. Nedan följer en liknande beskrivning av DAD- treenigheten som av CIA-treenigheten i föregående kapitel. Precis som i kapitel 3.2 har varje bokstav översatts till svenska men har samma betydelse.[10]
3.3.1 Avslöjande
Då sekretess delen misslyckas uppstår avslöjande av informationen (eng. disclosure). Med avslöjande av informationen kommer obehöriga åt information som ska vara säker. Det finns många sätt i hur avslöjande kan inträffa. Hackerintrång, insiderläckor eller att ett program som står för säkerheten helt enkelt slutar att fungera som det ska.[10]
3.3.2 Modifiering
Denna del av DAD-treenigheten uppkommer då tillförlitlighetsdelen av CIA-treenigheten slutar att fungera. Modifiering (eng. alteration) kan uppkomma på många olika sätt. Dessa kan både vara elaka attacker från en obehörig eller olyckor som ingen kan förutspå, exempelvis olycklig borttagning av data av en behörig okunnig användare, strömavbrott som resulterar i avbrutet sparande av information samt hackerattacker.[10]
3.3.3 Nekande
Sista delen av treenigheten är den del som uppkommer då tillgänglighet (eng.
availability) inte säkerställs eller inte uppnås. Detta kan hända då behörig personal inte kan komma åt information, vilken de har behörighet för. Incidenter som orsakar nekande (eng. denial) kan både vara illa menade men även olyckliga som t.ex. ett datorhaveri.[10]