Etter hvert som enkeltpersoner, organisasjoner og samfunnet gjør seg mer avhengig av fungerende IT-systemer er det viktig at vi har et bevisst forhold til alle mulige trusler som medfører at vi får andre virkninger enn de vi ville ha.
Vi er opptatt av sikkerhet i forhold til tre typer tap, av:
· konfidensialitet; egenskapen at informasjon ikke tilgjengeliggjøres eller utleveres til uautoriserte personer, enheter eller prosesser,
· integritet; egenskap som innebærer å beskytte nøyaktigheten og fullstendigheten ved aktiva (alt som har verdi for organisasjonen, for eksempel a) informasjon, b) programvare, f.eks. et dataprogram, c) fysiske, f.eks. en datamaskin, d) tjenester, e) mennesker og deres kvalifikasjoner, evner og erfaring f) immaterielle aktiva, f.eks. omdømme og profil),
· tilgjengelighet; egenskap av å være tilgjengelig og kunne brukes ved etterspørsel fra en autorisert enhet.
Innen IT-sikkerhet snakker vi om trusler og med det forstår vi alt av handlinger eller hendelser som kan påvirke IT-sikkerheten negativt. Her kan en dele inn på ulike vis. Noen ganger er vi opptatt av hva trusselen retter seg mot. Andre ganger av hvordan truslene kan imøtegås og noen ganger etter hvordan truslene faktisk oppstår,
For å anslå hyppigheten av en trusselforekomst må en vite hvordan den faktisk oppstår. Sammen med de politiske og økonomiske konsekvensene har beregnet hyppighet betydning for å velge tiltak for beskyttelse.
Er det uhell, er det bevisst handling er det trusler rettet mot ting, mot data, mot registre? Er det nye forhold som påvirker trusselbildet? Hvordan skal vi få et totalt system på dette arbeidet? Hvordan anslår vi hyppigheten og konsekvensen av hendelser? Hvordan kan vi lære av god praksis hos andre?
Kan vi legge lista på et nivå som gjør at det er mulig å vurdere sikkerheten i et samlet system når dataløsninger skal virke sammen?
Dette er noen av alle spørsmålene komiteene under virksomhetsområdet IT-sikkerhet arbeider med.
Den internasjonale komiteen, ISO/IEC JTC 1/SC 27 IT – Security Techniques har bestått i 20 år. Komiteen har utgitt mange standarder og har fem arbeidsgrupper som alle er aktive.
En arbeider med systemer for å opprettholde sikkerhet i en virksomhet, en annen arbeider mer teknisk med krypteringsalgoritmer, en tredje er opptatt av hvordan sikkerhetstilstanden og -tiltakene kan evalueres, en fjerde arbeider med sikkerhet i forhold til nye trusler og særlig ny teknologi og den siste arbeider med forvaltning av identitet og personvernproblemstillinger.
SC 27 produserer bøker, artikler osv ved siden av standarder. Mye av dette materiale finnes på ISI eller i ISO Focus.
Standard Norge har en komité som følger arbeidet i SC 27. Her kan norske eksperter påvirke internasjonale standarder og samkjøre sine syn før internasjonale møter eller i avstemning over dokumenter.