Słownik

 

  • akceptacja ryzyka - decyzja najwyższego kierownictwa organizacji, dopuszczająca pewien zidentyfikowany stopień ryzyka, podejmowana zazwyczaj z przyczyn ekonomicznych (brak środków finansowych) lub technicznych (brak możliwości realizacji)
  • algorytm kryptograficzny - algorytm przekształcający dane w celu ukrycia lub ujawnienia ich zawartości informacyjnej i który wykorzystuje co najmniej jeden tajny parametr np. klucz kryptograficzny lub jest funkcją jednokierunkową
  • algorytm szyfrowania - zestaw przekształceń matematycznych służących do zamiany informacji na niezrozumiałą, czasami z wykorzystaniem parametrów zależnych od zastosowanego klucza
  • analiza ryzyka - metoda systematycznej identyfikacji zasobów systemu przetwarzania informacji, zagrożeń, które mogą wpłynąć na te zasoby oraz podatności tych zasobów
  • analiza zagrożeń - badanie działań i zdarzeń, które mogą szkodliwie wpływać na system przetwarzania danych
  • archiwizować - przechowywać składowane pliki i skojarzone z nimi dzienniki, zwykle przez określony czas
  • atak kryptoanalityczny - próba przełamania kodu lub znalezienia klucza, wykorzystująca metody analityczne
  • atak z tekstem jawnym - atak analityczny, w którym kryptoanalityk dysponuje znaczną ilością tekstu jawnego i odpowiadającego mu tekstu zaszyfrowaneg
  • atak z tekstem zaszyfrowanym - atak analityczny, w którym kryptoanalityk dysponuje jedynie tekstem zaszyfrowanym
  • atak z wybranym tekstem jawnym - atak analityczny, w którym kryptoanalityk może podstawiać nieograniczona ilość wiadomości w postaci tekstu jawnego i poddawać sprawdzeniu z odpowiadającym tekstem zaszyfrowanym
  • audyt bezpieczeństwa - niezależny przegląd i sprawdzenie zapisów oraz funkcji systemu przetwarzania danych w celu sprawdzenia prawidłowości kontroli systemowej, zapewnienie zgodności z przyjętą polityką bezpieczeństwa i procedurami działania w celu wykrycia przełamań bezpieczeństwa oraz w celu zalecenia określonych zmian w kontroli, w polityce bezpieczeństwa i w procedurach
  • autentyczność - właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka jak deklarowana
  • autoryzacja - nadanie praw, które obejmują przyznanie dostępu na podstawie praw dostępu
  • bezpieczeństwo fizyczne - środki zastosowane w celu fizycznej ochrony zasobów przed umyślnymi lun przypadkowymi zagrożeniami
  • bezpieczeństwo teleinformatyczne - zespół procesów zmierzających do zdefiniowania, osiągnięcia i utrzymywania założonego poziomu poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności, czyli atrybutów bezpieczeństwa w systemach teleinformatycznych
  • Business Impact Analysis (BIA) - analiza wpływu incydentów na funkcjonowanie organizacji, w tym zwłaszcza na jej procesy biznesowe
  • ciągłość działania - utrzymanie niezbędnych usług systemu informatycznego po poważnej awarii w centrum informatycznym, która może być spowodowana przyczynami naturalnymi, takimi jak pożar, powódź lub trzęsienie ziemi lub zdarzeniem wywołanym umyślnie, np. sabotaż
  • dane osobowe - każda informacja dotycząca osoby fizycznej, umożliwiająca określenie tożsamości tej osoby
  • dane uwierzytelniające - dane, które są przekazywane w celu ustalenia deklarowanej tożsamości jednostki
  • deklaracja stosowania - dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w SZBI danej organizacji
  • deszyfrowanie - kryptograficzne przekształcenie tekstu zaszyfrowanego w tekst jawny
  • Discretionary Access Control (DAC) - uznaniowa metoda kontroli dostępu, w której prawo dostępu do wybranych obiektów jest wyznaczone na podstawie prawa własności obiektu, identyfikacji podmiotu próbującego uzyskać dostęp do danego zasobu oraz pośrednio lub bezpośrednio sformułowanych praw dostępu do zasobu przyznanych podmiotowi przez właściciela zasobu
  • dostępność - właściwość zapewniająca, że zasób jest osiągalny i może być wykorzystany na żądanie
  • funkcja jednokierunkowa - funkcja matematyczne f, która jest łatwa do obliczenia (w czasie wielomianowym), lecz dla której, dla dowolnej wartości y z jej zakresu, jest obliczeniowo trudne (w czasie wykładniczym) znalezienie takiego argumentu x, aby była spełniona zależność f(x)=y, przy czym może istnieć skończona liczba wartości y, dla których znalezienie x nie jest obliczeniowo trudne
  • funkcja skrótu - funkcja odwzorowująca ciągi bitów na ciągi bitów o stałej długości, w której dla danej wartości funkcji jest obliczeniowo trudne wyznaczenie argumentu odwzorowywanego na tę wartość, a dla danego argumentu jest obliczeniowo trudne wyznaczenie drugiego argumentu odwzorowywanego na tę samą wartość
  • generator kluczy - rodzaj sprzętu kryptograficznego wykorzystywanego do generowania kluczy kryptograficznych i/lub, jeśli jest potrzebne, wartości początkowych
  • hasło - ciąg znaków, który jest używany jako informacja uwierzytelniająca
  • identyfikator użytkownika - ciąg znaków lub wzorzec, który jest używany przez system przetwarzania danych do identyfikowania użytkownika
  • identyfikowanie - proces zautomatyzowanego rozpoznawania określonego użytkownika w systemie, możliwy do zrealizowania dzięki zastosowaniu unikalnych nazw
  • incydent bezpieczeństwa - to zdarzenie, które może być uznane jako faktyczne lub domniemane naruszenie zasad ochrony informacji lub prawa własności
  • informacja wrażliwa - informacja, którą należy chronić ponieważ jej ujawnienie, modyfikacja, zniszczenie lub strata spowoduje zauważalną szkodę dla kogoś lub czegoś
  • integralność danych - właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany
  • integralność systemu - właściwość polegająca na tym, że system realizuje swoje funkcjonalności w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej
  • klucz kryptograficzny - ciąg bitów, który steruje operacjami szyfrowania lub deszyfrowania
  • klucz prywatny - klucz przeznaczony do deszyfrowania i do wyłącznego użytku przez jego właściciela
  • klucz publiczny - klucz, który jest przeznaczony do użycia przez dowolną jednostkę w celu zaszyfrowania informacji wymienianej z właścicielem odpowiadającego mu klucza prywatnego
  • kontrola dostępu - środki mające na celu zapewnienie, że do zasobów systemu przetwarzania danych mogą mieć dostęp tylko uprawnione jednostki w uprawniony sposób
  • koń trojański - pozornie nieszkodliwy program, zawierający algorytm złośliwy, który umożliwia nieuprawnione gromadzenie, fałszowanie lub niszczenie danych
  • kryptoanaliza - analiza kryptograficzna
  • kryptografia - dyscyplina, która obejmuje zasady, środki i metody przekształcania danych w celu ukrycia ich zawartości semantycznej, zapobiegania ich nieuprawnionemu wykorzystaniu lub zapobiegania ich niewykrywalnej modyfikacji
  • kryptografia asymetryczna - kryptografia z kluczem publicznym
  • kryptografia symetryczna - kryptografia, w której używa się tego samego klucza do szyfrowania i deszyfrowania
  • kryptologia - dziedzina obejmująca kryptografię i kryptoanalizę
  • lista kontroli dostępu - wykaz podmiotów, które są uprawnione do dostępu do zasobów, wraz z ich prawami dostępu
  • luka, dziura - błąd proceduralny, zaniechanie lub przeoczenie, które pozwala na obejście lub zneutralizowanie mechanizmów bezpieczeństwa
  • Mandatory Access Control (MAC) - sposób kontroli dostępu polegający na restrykcyjnym przyznawaniu uprawnień do zasobów w systemie informatycznym odgórnie - przez administratora
  • minimalne przywileje - zasada, według której każdemu podmiotowi przyznaje się najbardziej ograniczony zestaw uprawnień, niezbędnych do realizacji uprawnionych zadań
  • monitorowanie zagrożeń - analiza, ocena i przegląd danych w celu wyszukania zdarzeń w systemie, które mogą stanowić naruszenie lub próby naruszenia bezpieczeństwa systemu
  • naruszenie bezpieczeństwa - przypadek, w którym użytkownik lub inna osoba, pomija lub niszczy środki nadzoru systemu w celu pozyskania nieuprawnionego dostępu do informacji w nim zawartej lub do jego zasobu
  • następstwa - wszelkie negatywne dla organizacji skutki wystąpienia incydentu
  • niezawodność - właściwość oznaczająca spójne, zamierzone zachowania i skutki
  • obszar bezpieczeństwa - fizycznie określona przestrzeń zawierająca sklasyfikowane obiekty, dokumenty lub materiały podlegające fizycznej ochronie oraz środki kontroli dostępu
  • podatność - słabość lub luka w systemie przetwarzania informacji, która może być wykorzystana przez zagrożenia, prowadząc do strat
  • podpis cyfrowy - przekształcenie kryptograficzne danych, umożliwiające odbiorcy danych sprawdzenie autentyczności i integralności danych oraz zapewniające nadawcy ochronę przed sfałszowaniem danych przez odbiorcę
  • podsłuch łącza - potajemny dostęp do pewnej części łącza danych w celu pozyskania, modyfikacji lub wprowadzenia danych
  • podsłuchiwanie - nieuprawnione przechwytywanie emisji przenoszących informacje
  • polityka bezpieczeństwa - plan lub sposób postępowania przyjęty w celu zapewnienia bezpieczeństwa systemu informatycznego
  • poufność - właściwość zapewniająca, że informacja nie jest udostępniana nieautoryzowanym osobom, podmiotom lub procesom
  • procedura awaryjna - procedura, która jest alternatywą do normalnej ścieżki realizacji procesu, gdy zaistnieje sytuacja nadzwyczajna, ale przewidywalna
  • procedura odtwarzania - działania konieczne do odtworzenia zdolności systemu do przetwarzania danych oraz zbiorów danych po awarii systemu lub penetracji
  • program antywirusowy - program zaprojektowany do wykrywania wirusów i w miarę możliwości do zalecania lub podejmowania działania naprawczego
  • program złośliwy - program, którego celem jest wykonanie pewnych nieuprawnionych lub szkodliwych działań, zainstalowany w sprzęcie lub oprogramowaniu
  • Role-Based Access Control (RBAC) - sposób kontroli dostępu do systemu informatycznego bazujący na przynależności do grupy lub posiadaniu odpowiedniej roli
  • robak - samoistny program, który może rozprzestrzeniać się w systemach przetwarzania danych i w sieciach komputerowych
  • rozliczalność - właściwość zapewniająca, że działania podmiotu mogą być jednoznacznie przypisane tylko temu podmiotowi
  • ryzyko - prawdopodobieństwo, że określone zagrożenie wykorzysta podatność zasobu lub grupy zasobów, aby spowodować naruszenie lub zniszczenie zasobów
  • ryzyko szczątkowe - ryzyko pozostające po procesie postępowania z ryzykiem
  • skrót - ciąg bitów będący wartością funkcji skrótu
  • strefa kontroli - przestrzeń wokół sprzętu przetwarzającego informacje wrażliwe, która jest pod fizycznym i technicznym nadzorem, wystarczającym aby zapobiec nieuprawnionemu wejściu lub naruszeniu ochrony danych
  • symetryczny algorytm szyfrowania - odwracalny algorytm szyfrowania, który wykorzystuje ten sam klucz tajny do przekształcenia twórcy i do przekształcenia odbiorcy tekstu zaszyfrowanego
  • System Zarządzania Bezpieczeństwem Informacji (ISMS) - to część systemu zarządzania organizacją, oparty na podejściu wynikającym z ryzyka biznesowego, który obejmuje ustanawianie, wdrażanie, monitorowanie, utrzymywanie i doskonalenie bezpieczeństwa informacji
  • szyfrogram - tekst zaszyfrowany
  • szyfrowanie - kryptograficzne przekształcenie tekstu jawnego w tekst zaszyfrowany
  • szyfrowanie blokowe - odwracalny algorytm szyfrowania, szyfrujący jednocześnie ustaloną liczbę bitów, wykorzystujący klucz jako parametr, w wyniku czego uzyskuje się dane w postaci ciągu bitów o takiej samej długości co ciąg bitów wejściowych
  • szyfrowanie nieodwracalne - szyfrowanie jednokierunkowe
  • szyfrowanie podstawieniowe - szyfrowanie, które zastępuje ciągi bitów lub ciągi znaków innymi ciągami bitów lub ciągami znaków
  • szyfrowanie przestawieniowe - szyfrowanie, które zmienia porządek bitów lub znaków zgodnie z pewnym schematem
  • tajemnica przedsiębiorcy - stanowi podstawę i upoważnienie do odmowy udostępniania informacji publicznej
  • tajemnica przedsiębiorstwa - nieujawnione do wiadomości publicznej informacje o charakterze technicznym, technologicznym, organizacyjne lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności
  • testowanie penetracyjne - sprawdzanie funkcji systemu przetwarzania danych w celu wyszukania sposobów obejścia bezpieczeństwa przedmiotu ocena
  • tożsamość - element danych przypisany podmiotowi i wykorzystywany do jego identyfikacji
  • ujawnienie - naruszenie bezpieczeństwa systemu informatycznego, po którym dane mogą być dostępne dla nieuprawnionych jednostek
  • uprawnienia - opis typu uprawnionych wzajemnych oddziaływań podmiotu i obiektu, obejmujących odczyt, wykonanie, wprowadzenie, modyfikację, usunięcie
  • usługa krytyczna - usługa mająca bezpośrednie znaczenie dla funkcjonowania organizacji
  • uwierzytelnianie - działanie weryfikowania deklarowanej tożsamości podmiotu
  • uwierzytelnienie wiadomości - weryfikowanie, czy wiadomość została wysłana przez podanego nadawcę do zamierzonego odbiorcy oraz czy wiadomość ta nie została zamieniona w trakcie przekazywania
  • uzgadnianie klucza - proces utworzenia wspólnego klucza tajnego przez podmioty w taki sposób, że żaden z nich nie może odgadnąć wcześniej wartości tego klucza
  • wirus - program, który sam się rozprzestrzenia poprzez modyfikację innych programów, w celu dołączenia do nich swojej, być może zmienionej, kopii i który jest wykonywany wtedy, gdy zostanie wywołany program zainfekowany
  • zabezpieczenie - praktyka, procedura lub mechanizm, którego wdrożenie ma na celu redukcję ryzyka do pewnego akceptowalnego poziomu
  • zagrożenie - potencjalna przyczyna niepożądanego incydentu np. pożar, kradzież, włamanie do systemu informatycznego, atak wirusowy, utrata zasilania itp.
  • zagrożenie aktywne - dowolne zagrożenie związane z zamierzoną, nieuprawnioną zmianą stanu systemu przetwarzania danych
  • zagrożenie pasywne - zagrożenie ujawnienia informacji bez zmiany stanu systemu przetwarzania danych
  • zarządzanie ryzykiem - całkowity proces postępowania z ryzykiem, obejmujący m.in. identyfikację zagrożeń i podatności, określenie i wdrożenie zabezpieczeń oraz monitorowanie ryzyka
  • zarządzanie zmianami w systemie - to zarządzanie zmianami dokonywanymi w sprzęcie, oprogramowaniu, mikroprogramach i związanej z nimi dokumentacji w cyklu życia systemów
  • zasoby (aktywa) - elementy mające wartość dla organizacji i wymagające odpowiedniego poziomu ochrony np. informacje, systemy informatyczne, sprzęt itp.