20TD02S_Repos - itnett/FTD02H-N GitHub Wiki

Cybersikkerhet

Emnets innhold

Grunnleggende sikkerhetsprinsipper

• Konfidensialitet, integritet og tilgjengelighet (CIA-triaden)
• Autentisering, autorisering og regnskapsføring (AAA-prinsippet)
• Prinsippet om minst privilegium
• Sikker design og sikkerhet gjennom dybde (Defense in Depth)

Grunnleggende sikkerhet

• Brannmurer, antivirusprogramvare og antimalware-verktøy
• Sikkerhetsoppdateringer og patch management
• Sikkerhetskopiering og gjenoppretting

Trusselbilde innen IT-sikkerhet

• Vanlige trusler som malware, phishing, og DDoS-angrep
• Trusselaktører som cyberkriminelle, hacktivister og statssponsede aktører

Angreps- og forsvarsmetoder

• Phishing, SQL-injeksjon, Cross-Site Scripting (XSS)
• Intrusion Detection Systems (IDS) og Intrusion Prevention Systems (IPS)
• Sikkerhetsvurderinger og penetrasjonstesting

Risikostyring

• Identifisering av trusler og sårbarheter
• Risikoanalysemetoder som kvantitativ og kvalitativ risikoanalyse
• Tiltaksplanlegging og implementering av risikoreduserende tiltak

Rammeverk for IT-sikkerhet

• ISO/IEC 27001, NIST Cybersecurity Framework, COBIT
• Sikkerhetsstandarder og retningslinjer

Lover og regler

• Personvernforordningen (GDPR)
• Lov om elektronisk kommunikasjon (ekomloven)
• Sikkerhetsloven og NIS-direktivet

Læringsutbytte

Kunnskap

Kandidaten har kunnskap om:

• Grunnleggende prinsipper for IT-sikkerhet:

  • Forståelse av CIA-triaden og AAA-prinsippet
  • Prinsippet om minst privilegium og Defense in Depth
  • Kunnskap om sikker design

• Aktuelle trusler og aktører:

  • Kjennskap til ulike typer trusler som malware, phishing og DDoS
  • Kunnskap om forskjellige trusselaktører

• Ulike angreps- og forsvarsmetoder:

  • Forståelse av vanlige angrepsvektorer som phishing og SQL-injeksjon
  • Forsvarsmetoder som IDS/IPS og penetrasjonstesting

• Rammeverk som er relevante innen IT:

  • Kjennskap til ISO/IEC 27001, NIST, COBIT

• Risikostyring:

  • Forståelse av risikoanalysemetoder
  • Planlegging og implementering av risikoreduserende tiltak

• Relevante lover og regler:

  • Kunnskap om GDPR, ekomloven, sikkerhetsloven og NIS-direktivet

Ferdigheter

Kandidaten kan:

• Holde seg selv kontinuerlig oppdatert på trusselbildet innen IT:

  • Bruk av ressurser som CVE-databaser og sikkerhetsblogger

• Identifisere angreps-metoder og implementere grunnleggende mottiltak:

  • Oppdage og reagere på phishingforsøk
  • Implementere sikkerhetsmekanismer som brannmurer og antivirusprogrammer

• Utføre risikovurderinger og planlegge tiltak for risikoredusering:

  • Gjennomføre risikoanalyser
  • Utvikle og implementere risikoreduserende tiltak

• Finne og henvise til lover og regler, samt vurdere relevansen for en yrkesfaglig problemstilling:

  • Bruke juridiske ressurser for å finne relevant lovverk
  • Vurdere hvordan lover og regler påvirker IT-sikkerhetspraksis

Generell kompetanse

Kandidaten kan:

• Delta aktivt i prosjekter:

  • Jobbe effektivt i team og bidra til prosjekter innen IT-sikkerhet

• Vurdere om bedriftens IT-løsning er i henhold til behov, lover, regler og etiske krav:

  • Utføre vurderinger av bedriftens IT-infrastruktur

• Utveksle bransjerelaterte synspunkter og informasjon:

  • Delta i faglige diskusjoner og dele kunnskap

• Vedlikeholde og utvikle sin egen kompetanse innenfor emnet:

  • Holde seg oppdatert på nye trender og teknologier innen IT-sikkerhet

Anbefalte GitHub Repositories og Ressurser

Grunnleggende sikkerhetsprinsipper og trusselbilde

• OWASP Top Ten: En oversikt over de ti mest kritiske sikkerhetsrisikoene for webapplikasjoner.
• MITRE ATT&CK: En kunnskapsbase med taktikker og teknikker brukt av trusselaktører.

Angreps- og forsvarsmetoder

• Awesome Cybersecurity Blue Team: Ressurser for forsvarsmetoder og beste praksis for sikkerhetsteam.
• Metasploit Framework: Et populært verktøy for penetrasjonstesting og sikkerhetsvurderinger.

Risikostyring og rammeverk

• NIST Cybersecurity Framework: Et rammeverk for å forbedre kritisk infrastruktur sikkerhet.
• ISO/IEC 27001 resources: Ressurser og veiledninger for implementering av ISO/IEC 27001.

Lover og regler

• GDPR Compliance: Verktøy og ressurser for å hjelpe organisasjoner med å overholde GDPR-krav.
• CIS Controls: Sikkerhetskontroller for å beskytte organisasjoner mot kjente cybertrusler.

Disse ressursene gir en omfattende oversikt over temaene innen cybersikkerhet, og hjelper deg med å utvikle nødvendige ferdigheter og kunnskaper for å jobbe med IT-sikkerhet på en effektiv måte.