Fogalomtár

A védelem érdekében hozott szervezési, szabályozási, ellenőrzési intézkedések, továbbá a védelemre vonatkozó oktatás.

A fenyegetések általánosított csoportosítása.
Alapfenyegetettségnek minősül az alábbiak kritériumok sérülése vagy elvesztése:
• bizalmasság,
• hitelesség,
• sértetlenség,
• rendelkezésre állás,
• funkcionalitás.

Az adat tulajdonsága, amely arra vonatkozik, hogy az adat csak az arra jogosultak ismerhessék meg, illetve rendelkezhessenek a felhasználásáról.

Az adat azon tulajdonsága, amely arra vonatkozik, hogy az adat fizikailag és logikailag teljes. A sértetlenséget általában az információkra, adatokra, illetve a programokra értelmezik. Az információk sértetlensége alatt azt a fogalmat értjük, hogy az információkat csak az arra jogosultak változtathatják meg és azok véletlenül sem módosulnak. Ez az alap-veszélyforrás a programokat is érinti, mivel az adatok sértetlenségét csak rendeltetésszerű feldolgozás és átvitel esetén lehet biztosítani. A sértetlenség fogalma alatt gyakran értik a sérthetetlenségen túli teljességet, továbbá az ellentmondás mentességet és a korrektséget, együttesen: integritást. Az integritás ebben az összefüggésben azt jelenti, hogy az információ valamennyi része rendelkezésre áll, elérhető. Korrektek azok az információk, amelyek a valós dologi vagy pl.:” modellezésnél” feltételezett állapotot helyesen írják le.

A rendszer olyan állapota, amelyben eredeti rendeltetésének megfelelő szolgáltatásokat tud nyújtani (funkcionalitás) meghatározott helyen és időben (elérhetőség), továbbá annak biztosítása, hogy a felhatalmazott felhasználók mindig hozzáférjenek az információkhoz és a kapcsolódó értékekhez, amikor szükséges.

A rendszer tulajdonsága. Sokkal több, mint mechanizmusok vagy funkciók adott készlete. Az IT biztonság egyrészt rendszer tulajdonság, valamint mechanizmusok összessége, melyek lefedik mind logikailag, mind fizikailag a teljes rendszert. 

Az informatikai rendszer biztonságában beállt olyan kedvezőtlen változás, melynek hatására az informatikai rendszerben kezelt adatok bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása megsérült vagy megsérülhet.

Az informatikai rendszerben bekövetkezett biztonsági esemény dokumentálása, következményeinek felszámolása, a bekövetkezés okainak és felelőseinek megállapítása, és a hasonló biztonsági események jövőbeni előfordulásának megakadályozása érdekében végzett tervszerű tevékenység.

Az informatikai rendszer védelmének elvárt erőssége.

Az adatnak az adatkezelés során a kezelés módjára, körülményeire, a védelem eszközeire vonatkozó védelmi szintet meghatározó besorolása, osztályozása.

A szervezet felkészültségének meghatározása a jogszabályokban meghatározott biztonsági feladatok kezelésére.

Olyan technikai eljárás, amely biztosítja az érintett személy vagy céges ügyfél és az adat közötti kapcsolat helyreállítása lehetőségének végleges kizárását, oly módon, hogy adatokat vissza nem állítható módon elmaszkolja vagy egyéb módon torzítja. Ezáltal nem lehet egyértelműen az adott személyt (akár természetes, akár jogi személy) beazonosítani.

A körülmények egy adott összességének bekövetkezése.

A kockázatelemzés olyan szakértők által elvégzett, elemző és értékelő jellegű vizsgálat, amely az informatikai rendszerben kezelt adatok és alkalmazások értékelése, gyenge pontjainak és fenyegetettségeinek elemzése útján meghatározza a lehetséges kárértékeket és azok bekövetkezési gyakoriságát.

Olyan elemző és értékelő jellegű szakértői vizsgálat, amelynek során a védelmi célok, a rendszer biztonsága feltérképezésre kerül és kockázatelemzés után a nem elviselhető kockázatot jelentő fenyegetéseket kimutatja. A kockázatok felmérése alapján meghatározza a nem elviselhető kockázatokat, amelyek alapján védelmi intézkedési terv készül. A vizsgálat során kockázat-kezelés, intézkedési javaslatok készülnek.

A becsült kockázat és az adott kockázati kritériumok összehasonlításának folyamata a kockázat jelentőségének meghatározása céljából.

Az elektronikus információs rendszerre ható kockázatok csökkentésére irányuló intézkedésrendszer kidolgozása és végrehajtása. A kockázatkezelés a kockázatpotenciál csökkentését jelenti kármegelőzéssel, vagyis a várható negatív esemény bekövetkezési valószínűségének csökkentésével, illetve kárcsökkentéssel, a kárhatás horderejének ellensúlyozásával.

A kockázatokkal arányos a védelem, ha egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel.

Nem kívánt vagy nem várt egyedi, vagy sorozatos információbiztonsági események, amelyek nagy valószínűséggel veszélyeztetik az üzleti tevékenységet és fenyegetik az információbiztonságot.

Olyan jogszabályok, előírások, szabványok betartásának eredménye, amelyek az információk elérhetőségét, sérthetetlenségét és megbízhatóságát, valamint az informatikai rendszer és elemeinek sértetlenségét és rendelkezésre állását érintik, és amelyeket az informatikai rendszerekben vagy komponenseikben, valamint az informatikai rendszerek vagy komponenseik alkalmazása során megelőző biztonsági intézkedésekkel lehet elérni. Informatikai biztonság alatt valamely informatikai rendszer azon állapota értendő, amelyben a kockázatok és fenyegető tényezők az informatikai rendszerben alkalmazott elfogadható intézkedések hatására az adott kockázati tényezővel arányos védelmet kapnak.

Információs, ügyviteli, üzletviteli vagy folyamatot, szolgáltatás működését támogató elektronikus adatfeldolgozó eszközök és eljárások, valamint az ezeket kiszolgáló emberi erőforrások és a kapcsolódó folyamatok összessége.

A biztonsági kockázatkezelés eszközei, beleértve a szabályzatokat, eljárásokat, irányelveket, gyakorlatot vagy szervezeti felépítést, amelyek lehetnek adminisztratív, műszaki, irányítási vagy jogi természetűek.

A kibertérben létező kockázatok kezelésére alkalmazható politikai, jogi, gazdasági, oktatási és tudatosságnövelő, valamint technikai eszközök folyamatos és tervszerű alkalmazása, amelyek a kibertérben létező kockázatok elfogadható szintjét biztosítva a kiberteret megbízható környezetté alakítják a társadalmi és gazdasági folyamatok zavartalan működéséhez és működtetéséhez.

A Szervezetet veszélyeztető kockázatok feltárása, a velük kapcsolatba hozható veszélyforrásokkal, hibákkal, kiváltott következményekkel és szabályozásokkal. Az elemzés valószínűségeket, biztonsági mérőszámokat nem állít elő, csupán súlyossági és kockázati szinteket ad meg.

A kockázatot jelentő események bekövetkezési valószínűségének vagy gyakoriságának számszerű meghatározása, a gyenge pontok azonosítása, valamint a bizonytalansági mérőszámok meghatározása és a kapott adatok statisztikai elemzése. Ezeket az eredményeket a modellezési technikák alkalmazásával kapjuk meg.

Az a kockázat, amely alapvetően – kis mértékben – annak ellenére fennmarad, hogy a fenyegető tényezők ellen intézkedéseket tettünk.

Az IT biztonságban a „sérülékenység” vagy „biztonsági rés” olyan gyengeség, amelyet egy támadó (hacker, támadó program vagy robot) kihasználhat azért, hogy számítógépes rendszeren belül jogosulatlan lépéseket hajthasson végre. A sérülékenységek és biztonsági rések kihasználásához a támadónak valamilyen eszköz, felület kell, amellyel kapcsolódhat a rendszer gyenge pontjához (exploit). A sérülékenységet szokták még támadási felületnek is nevezni.

A Szervezet informatikai sérülékenység vizsgáló eszköze által folyamatosan végzett automatizált vizsgálat (szkennelés).

Valamennyi felhasználó számára kötelező, általános szabályokon alapuló biztonsági politika. Ezen szabályok rendszerint az elérendő erőforrások érzékenységének összehasonlítására, a felhasználók vagy a felhasználói csoportok nevében tevékenykedő entitások megfelelő jellemzőinek ismeretére épülnek.

Minden olyan tevékenység, amelynek célja valamely informatikai rendszer veszélyeztetése és az abban történő kártokozás.

Teljes körű a védelem, ha az az informatikai rendszer összes elemére kiterjed.

Az üzletmenet folytonossági tervezés egy olyan keretrendszer, amely képessé teszi a szervezetet arra, hogy hatékonyan reagáljon a működésének folyamatosságát veszélyeztető fenyegetésekre. Az üzleti hatáselemzés alapján kiválasztott kritikus folyamatokra üzletmenet-folytonossági terveket kell készíteni, melyek tesztelésre kerülnek.

Annak a mértéke, hogy egy esemény milyen eséllyel következik be.