General Security Concepts Flashcards Preview

Information Security > General Security Concepts > Flashcards

Flashcards in General Security Concepts Deck (35)
Loading flashcards...
1
Q

Definition of information security (ISO27000)

A

Definisjonen av informasjonssikkerhet i følge ISO27000 er bevaring av konfidensialitet, integritet og tilgjengelighet av informasjon. I tillegg kan andre egenskaper som authenticity, accountability, non-repudiation og reliabilty bli involvert.
Ordrett: “The preservation of confidentiality, integrity and availability of information; in addition, other properties such as authenticity, accountability, non-repudiation and reliability can also be involved. “

2
Q

Definitions of CIA services

A

De tre hoved sikkerhetstjenestene og målene Confidentiality, Integrity and Availability.

3
Q

Privacy

A

Data privacy. Protecting personal data. Data Privacy
To protect specific aspects of information that may be related
to natural persons (personal information).
• Prevent unauthorized collection and storage of personal information
• Prevent unauthorized use of collected personal information
• Make sure your personal information is correct

4
Q

GDPR

A

General Data Protection Regulation (Personvernsloven)

5
Q

authentication

A

Bekrefter identiteten til brukeren eller systemet som opprettet informasjonen

6
Q

non-repudiation

A

Sikrer at avsenderen ikke kan benekte å ha sendt meldingen.(Strong form of Data Authentication)
Goal: Making sending and receiving messages undeniable through unforgible evidence.
– Non-repudiation of origin: proof that data was sent.
– Non-repudiation of delivery: proof that data was received.

Threat:
– Sender falsely denying having sent message
– Recipient falsely denying having received message

Control: digital signature

7
Q

access control

A

Selektiv begrensning av tilgang til data og ressurser.

8
Q

authorization

A

Ved å bevise identitet, blir personen deretter utstyrt med nøkkelen eller passordet som vil gi tilgang til en eller annen ressurs

9
Q

3 categories of security controls

A

physical, technical, administrative

10
Q

physical security control

A
  • Facility protection
  • Security guards
  • Locks
  • Monitoring
  • Environmental controls
  • Intrusion detection
11
Q

technical security control

A
  • Logical access control
  • Cryptographic controls
  • Security devices
  • User authentication
  • Intrusion detection
  • Forensics
12
Q

administrative security control

A
  • Policies & standards
  • Procedures & practice
  • Personnel screening
  • Awareness training
  • Secure System Dev.
  • Incident Response
13
Q

Preventive security controls

A

prevent attempts to exploit vulnerabilities

Example: encryption of files

14
Q

Detective security controls

A

warn of attempts to exploit vulnerabilities

Example: Intrusion detection systems (IDS)

15
Q

Corrective security controls

A

correct errors or irregularities that have been detected.

Example: Restoring all applications from the last known good image to bring a corrupted system back online

16
Q

Security controls during storage

A

Information security involves protecting information assets from harm or damage.
• Information storage containers
• Electronic, physical, human

17
Q

Security controls during transmission

A

Information security involves protecting information assets from harm or damage.
• Physical or electronic

18
Q

Security controls during processing (Use)

A

Information security involves protecting information assets from harm or damage.
• Physical or electronic

19
Q

Confidentiality

A

The property that information is not made available or
disclosed to unauthorized individuals, entities, or
processes. (ISO 27000).

Går ut på at informasjonen ikke er tilgjengelig eller avslørt for uautoriserte individer, enheter eller prosesser. Den kan bli delt inn i tre deler: secrecy, privacy og anonymity. Secrecy går ut på å beskytte business data, privacy går ut på beskyttelse av personlig data og anonymity på å gjemme hvem som tar del i ulike aktiviteter. Kontrollene her kan være gjennom kryptering, tilgangskontroll, perimeter defence (sikkerhetsbarriere) som generelle kontroller, inkluderes også : sikker systemutvikling og hendelses respons.

Threat: Information theft, unintentional disclosure.

Controls: Encryption, Access Control, Perimeter defence

20
Q

Integrity

A

Kan deles i to hovedkategorier: 1. Data integrity: The property that data has not been altered or destroyed in an unauthorized manner.
2. System integrity: The property of accuracy and completeness.

Integrity er opprettholdt når man er sikker på at nøyaktigheten og reliabiliteten av informasjonen og systemet er gitt og hvilken som helst uautorisert modifikasjon er forhindret. Hardware, software og kommunikasjon mekanismer må fungere sammen i enighet for å opprettholde og prosessere data riktig og flytte data til tiltenkte destinasjoner uten uforventede endringer

Threat: Data and system corruption, loss of accountability

Controls:
– Hashing, cryptographic integrity check and encryption
– Authentication, access control and logging
– Software digital signing

21
Q

Availability

A

The property of being accessible and usable
upon demand by an authorized entity (ISO 27000).

(Tilgjengelighet) beskyttelse som forsikrer reliabilitet og presis tilgang til data og ressurser til autoriserte individer. Nettverksenheter, datamaskiner og applikasjoner bør gi tilstrekkelig funksjonalitet til å bli utført i en forutsigbar måte, med et akseptabelt nivå av ytelse. De burde være i stand til å gjenopprette seg fra avbrudd på en sikker og rask måte, slik at effektiviteten ikke blir påvirket negativt.

Threat: Denial o Service (DoS)

Controls:
– Redundancy of resources,
– Load balancing,
– Software and data backups

22
Q

Security services

A

Mål man ønsker å oppnå som er uavhengig av implementasjonen og støttet av spesifikke sikkerhetskontroller

23
Q

Security controls

A

Praktiske mekanismer, handlinger, verktøy eller prosedyrer brukt til å kunne tilby security services

24
Q

User authentication

A

Verifiseringsprosessen av en claimed identity of a (legal) user when accessing a system or an application.

Threat: Spoofed identity and false login

25
Q

Organisation authentication

A

Verifiseringsprosessen av en claimed identity of a (legal)
organisation in an online interaction/session.

Threat:

  • Network intrusion
  • Masquerading attacks,
  • Replay attacks
  • (D)DOS attacks
26
Q

System authentication

A

The verification that a system in an association (connection, session) is the one claimed.

Mål:
– Establish the correct identity of organisations/remote hosts

27
Q

Data origin authentication (message authentication)

A

The corroboration (verification) that the source of data received is as claimed.

Mål: Mottaker av en melding kan verifisere at hevdet avsenderidentitet er korrekt

Threat:

  • False transactions
  • False messages and data
28
Q

Identification vs Authentication

A

Identification
– Who you claim to be
– Method: (user)name, biometrics.

User authentication
– Prove that you are the one you claim to be

29
Q

Access management

A

Beskriver prosessen av access control (tilgangskontroll)

30
Q

Threat

A

Threat Actor: En aktiv enhet eller individ som kan utføre et threat scenario.
Threat Scenario: Et sett med trinn, utført for å foreta et (potensielt) cyber attack

31
Q

Vulnerabilities

A

Svakheter eller muligheter som tillater et threat scenario å bli utført.

32
Q

Security Control

A

En metode for å bli kvitt vulnerabilities og redusere security risk

33
Q

Security Risk

A

Sannsynligheten, kombinert med den potensielle skaden som kan oppstå ved en hendelse.

34
Q

Accountability

A

Mål: Spore handlingene til en spesifikk bruker og holde vedkommende ansvarlige.

Threat:

  • manglende evne til å identifisere kilden til hendelsen
  • Manglende evne til å holde the attacker ansvarlig.
Controls:
– Identify and authenticate users
– Log all system events (audit)
– Electronic signature
– Non-repudiation based on digital signature
35
Q

Hva er forskjellen på access control og Autherization? (Viktig til eksamen)

A

Autorisasjon er definisjonen av access policy. Dvs. at du må få en autorisasjon for å få access. Mens access control er at du bruker autorisasjonen til å oppnå accessen du er utdelt.