Informationssäkerhet – generella termer (Fredrik Björck) Informationssäkerhet handlar om att skydda informationstillgångar. Då organisationer ofta hanterar stora mängder värdefull information beskrivs området ofta ur ett organisatoriskt perspektiv, där information och IT-system ses som en skyddsvärd tillgång i en verksamhet. Genom företrädelsevis datatekniska och administrativa åtgärder söker man uppnå och upprätthålla en optimal nivå beträffande informationstillgångarnas sekretess, riktighet, och tillgänglighet. Detta generella avsnitt tar upp begreppet informationssäkerhet och semantiskt närliggande begrepp, samt begrepp vilka anses centrala för hela informationssäkerhetsområdet. Termer beträffande personlig integritet behandlas inte här, utan i ett eget avsnitt. Ord – engelskt Ord – svenskt KAP Beskrivning Bef computer security datasäkerhet ledsys säkerhet beträffande skydd av datorsystem och dess data syftande till att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling x Datasäkerhet kan betraktas som synonymt med den något vidare termen ITsäkerhet vilken dock även innefattar säkerhet i samband med dator- och telekommunikation (sk. kommunikationssäkerhet). Se även tillgänglighet, riktighet, sekretess, spårbarhet och oavvislighet. Jämför IT-säkerhet och informationssäkerhet. IT security IT-säkerhet ledsys säkerhet beträffande skydd av IT-system och dess data syftande till att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling samt dator- och telekommunikation x Se även tillgänglighet, riktighet, sekretess, spårbarhet och oavvislighet. Jämför datasäkerhet och informationssäkerhet. information security informationssäkerhet ledsys säkerhet beträffande skydd av informationstillgångar syftande till att uppräthålla önskad sekretess, riktighet och tillgänglighet (även spårbarhet och oavvislighet) för desamma x Begreppet kunskapssäkerhet (eng., knowledge security) används allt oftare för att beteckna skydd av den information och kunskap individer i en organisation håller i sitt minne, eftersom denna vanligen inte anses omfattas av informationssäkerhetsbegreppet. security informatics säkerhetsinformatik ledsys tvärvetenskapligt område som behandlar teorier och metoder för hur information kan hanteras på ett säkert sätt i en organisation eller i ett tekniskt system Ur detta perspektiv anses ett säkert system vara ett sådant som har kontroll över sina in-, genom-, och utflöden. Området kan även omfatta användning av x Nytt informationsteknologi som hjälpmedel i säkerhetsberoende sociala, sociotekniska och tekniska sammanhang. information assets informationstillgångar ledsys en organisations informationsrelaterade tillgångar, vilka utgör ett värde och därmed är skyddsvärda x Exempel på informationstillgångar är: Information (kunddatabas, metodik, dokument, etc.) Program (applikation, operativsystem, etc.) Tjänster (Internetförbindelse, elförsörjning, etc.) Fysiska tillgångar (dator, bildskärm, telefon, etc.) Informationstillgångar kan vara av fysisk eller logisk karaktär, eller bådadera. Jämför objekt. user användare ledsys person eller process som använder en informationstillgång x Ofta avses en person som direkt interagerar med en datoriserad applikation (t.ex. ett ekonomisystem). I begreppet ligger som regel att användaren har behörighet att använda informationstillgången. Se även användaridentitet. Jämför subjekt. permission; authorisation behörighet ledsys en användares tilldelade rättighet att använda en informationstillgång på ett specificerat sätt x Behörighet kan innefatta exempelvis rättigheten för en viss användare att ta del av innehållet i en databas eller att skriva ut på en viss skrivare. Se även behörighetskontrollsystem. confidentiality sekretess; konfidentialitet ledsys integrity; data integrity riktighet; integritet ledsys säkerhetsprincip med innebörden att information inte görs tillgänglig eller avslöjas för obehörig person eller process x Ingår som en del av begreppet informationssäkerhet. säkerhetsprincip med innebörden att information inte förändras eller förstörs av misstag eller av obehörig person eller process x Ingår som en del av begreppet informationssäkerhet. Det närliggande begreppet systemintegritet (eng., system integrity) används för att beteckna ett IT-systems förmåga att upprätthålla sin avsedda funktion och därvid skydda sig mot oönskad påverkan, förändring eller insyn. availability tillgänglighet ledsys säkerhetsprincip med innebörden att x informationstillgångar är tillgängliga för behöriga användare, i förväntad utsträckning och inom önskad tid Avsaknad av tillgänglighet resulterar i en sk. funktionsförlust (eng., denial-ofservice). Ingår som en del av begreppet informationssäkerhet. accountability spårbarhet ledsys säkerhetsprincip vid användning av informationssystem med innebörden att; alla aktiviteter i systemet skall kunna härledas till en identifierad användare som kan hållas ansvarig för dessa x För att åstadkomma spårbarhet krävs åtminstonde identifiering och autentisering av användare, samt loggning av relevanta händelser i ITsystemet. non-repudiation oavvislighet ledsys säkerhetsprincip och funktion avseende kommunikation med innebörden att avsändandet eller mottagandet av ett givet meddelande ej i efter-hand skall kunna förnekas av avsändaren respektive mottagaren Datatekniskt implementeras ofta oavvislighet för avsändaren med hjälp av en digital signatur. Se även avsändningsbevis, mottagningsbevis. x