Fil: http://www.idi.ntnu.no/grupper/su/publ/ese/nou2000-24-ordliste.html

Noen sikkerhets- og sårbarhetdefinisjoner

Fra Kåre Willoch (red.): Et sårbart samfunn – Utfordringer for sikkerhets- og beredskapsarbeidet i samfunnet, NoU 2000:24, juli 2000.

Kapittel 27: Vedlegg 1 Sentrale begreper og definisjoner
ReidarC: Merk at disse er generelle, ikke bare for IKT.

BAS-prosjektet: Serie av forskningsprosjekter ved Forsvarets forskningsinstitutt om samfunnets sårbarhet. BAS er en forkortelse for `Beskyttelse av samfunnet'.

EOS-tjenestene: EOS er en forkortelse for etterretning, overvåking og sikkerhet. EOS-tjenestene består av Forsvarets etterretningstjeneste, Politiets overvåkingstjeneste og Forsvarets sikkerhetstjeneste.

IKT: IKT er en forkortelse for informasjons- og kommunikasjonsteknologi. IKT er en betegnelse som fanger opp sammensmeltningen mellom informasjonsteknologi (IT) og telekommunikasjon.

Informasjonssikkerhet: Forebyggende tiltak som sikrer konfidensialitet, integritet og tilgjengelighet til gradert informasjon gjennom dens levetid.

Integritet: Personers eller organisasjoners vilje og motivasjon til å realisere en trussel.
ReidarC: her er det vel en feil, da opprinnelig def. av integritet kan ha falt ut?? – dette er mer "ond hensikt"

Kapasitet: De ressurser og den kompetanse som er nødvendig for å realisere en trussel.

Konfidensialitet: Det at informasjonen ikke er tilgjengelig for uautoriserte personer eller ikke-godkjente systemer.

Konsekvens: Mulig følge av en uønsket hendelse. Konsekvenser kan uttrykkes med ord eller som en tallverdi for omfanget av skader på et objekt.

Objektsikkerhet: Forebyggende tiltak som sikrer funksjonalitet og legitim kontroll med utpekt materiell, utstyr, personell og aktiviteter.

Risiko: Uttrykk for fare for tap av viktige verdier som følge av en uønsket hendelse. Risiko uttrykkes ved sannsynligheten for og konsekvensene av en ønsket hendelse.
ReidarC: Skal vel være uønsket sådan!!

Risikoanalyse En systematisk gjennomgang av et system i den hensikt å beregne systemets evne til å motstå uønskede hendelser.

Safety: Sikkerhet mot uønskede hendelser som opptrer som følge av en eller flere tilfeldigheter.
ReidarC: Ikke i samsvar med internasjonale definisjoner!!

Security: Sikkerhet mot uønskede hendelser som er et resultat av overlegg og planlegging.
ReidarC: Ikke i samsvar med internasjonale definisjoner!!

Sårbarhet: Uttrykk for de problemer et system får med å fungere når det utsettes for en uønsket hendelse, samt de problemer systemet får med å gjenoppta sin virksomhet etter at hendelsen har inntruffet.

Sårbarhetsanalyse: En systematisk gjennomgang av et system i den hensikt å beregne systemets evne til å motstå trusler og overleve uønskede hendelser, ved å identifisere trusler, klargjøre risiko og evaluere evne til stabilisering av systemet.

Tilgjengelighet: Tilgang til objekter, tjenester og informasjon ved behov og uten unødvendig forsinkelse.

Trussel: Ethvert forhold eller enhver enhet med potensiale til å forårsake en uønsket hendelse.

Utførende aktør: En person, organisasjon, stat eller et objekt som ønsker og er i stand til å utløse en uønsket hendelse.

Villede (bevisste) handlinger: Handlinger som er planlagte og utførte med overlegg.

Aktuell WEB-adresse: http://www.ipk.ntnu.no/rams/saarbar. (ReidarC: Virker ikke!)

   

Fra separat IKT-utredning Samfunnets sårbarhet som følge av avhengighet til IKT, Nærings- og Handelsdepartementet, oktober 2000.

Fra kapittel 1.3: Begrepsavklaring

Sårbarhet: Begrepet sårbarhet betegner en egenskap ved funksjoners utforming, gjennomføring eller drift, som gjør funksjonene følsomme overfor ødeleggelse eller å bli gjort funksjonsudyktige som følge av en trussel.

IKT-sårbarhet: Egenskap ved funksjoner som gjør dem følsomme overfor ødeleggelse eller å bli gjort funksjonsudyktige som følge av en trussel som rammer funksjonenes IT-systemer.
ReidarC: bedre å bruke "svikt" (brukt i trussel-definisjon nedenfor) og ikke funksjonsudyktighet??.

EKSTRA DEFINISJON – Svikt (eng. "failure"): Manglende evne (ved helt eller delvis systemutfall, gale resultater o.l.) til å tilfredsstille avtalte systemkrav, vanligvis pga. aktivering av ytre eller indre feil (eng. "defect"), pga. datainnbrudd, eller pga. fysisk ødeleggelse.
ReidarC: føyd til, ikke definert!! – samme som uønsket hendelse?

EKSTRA DEFINISJON – Sikring: Forebygging, forhindring eller skadereduksjon av svikt.
ReidarC: føyd til, ikke definert!!

Trussel: En trussel mot et system er et sett med mulige utfordringer som kan føre til svikt i systemet. Disse utfordringene kan ha utgangspunkt i mennesker ondsinnethet, eller være av tilfeldig naturlig art. Den førstnevnte kategorien vil være en kombinasjon av angriperens mulige intensjon for en handling, og den kapasitet vedkommende måtte inneha for å kunne gjennomføre handlingen.

Risiko: Risiko er vanligvis definert som en kombinasjon av sannsynligheten for at en hendelse skal inntreffe, og konsekvensen av den svikt som oppstår, det vil si skadeomfanget av hendelsen (1).

IKT-avhengighet: En beskrivelse/beregning av i hvilken grad et gitt system er avhengig av IKT-systemer.

Risiko- og sårbarhetsanalyse (ROS): En systematisk fremgangsmåte for å utlede potensielt tap gjennom en kartlegging av mulige uønskede hendelser og skadeomfanget av disse. Her inngår anslag eller beregning av sannsynligheten for at en uønsket hendelse skal inntreffe, og beregning eller anslag av hva som blir konsekvensen av hendelsen (2).

(1) Dersom en skal ta med i betraktningen svært sjeldne eller usikre trusseltyper er det nødvendig å definere nærmere hva som menes med sannsynlighet.

(2) I de fleste tilfeller der begrepet analyse benyttes i denne rapporten er begrepet vurdering mer formelt korrekt. Siden ordet analyse likevel er i bred anvendelse i det norske samfunnet velges det likevel å bruke dette.

Fra kapittel 2.3: Trusler og virkemidler mot samfunnets IKT-systemer

Sikker funksjon i et IKT-system er avhengig av følgende tre basisegenskaper:
...

Tilfeldig svikt eller et villet angrep mot informasjonen innen en infrastruktur vil bestå av et sett med virkemidler rettet mot en eller flere av disse egenskapene.
...

File created 20 Feb. 2004, Reidar Conradi.