Säkerhetstermer

Här finns samlat ett antal termer inom Informationssäkerhet med deras motsvarighet inom engelska samt i vissa fall även en ackronym. Varje term har beskrivits med en kort förklaring.

Anonymitet - Anonymity: En situation där användarens identitet är okänd.
Ansvarighet - Accountability: Princip som innebär att en individ har givits och också påtagit sig visst ansvar och därvid att denne i efterhand kan ställas till svars för sitt handlande.
Användarstyrd åtkomstkontroll - Discretionary Access Control (DAC): Metod för att begränsa åtkomst till ett objekt utgående från subjektets identitet och/eller grupptillhörighet där andras åtkomst styrs av ägaren till objektet.
Asymmetrisk kryptering - Asymmetric encryption: Kryptoteknik baserat på ett nyckelpar, en öppen och en privat (hemlig) som är matematisk knutna till varandra.
Auktorisation - Authorization: Bestämmande av åtkomsträttigheter för en användare till olika systemresurser eller data.
Autentisering - Authentication: Verifiering, med teknisk hjälp, av uppgiven identitet eller av ett meddelandes riktighet.
Behörighet - Permission: Rättighet för en användare att använda informationstillgångar på ett specificerat sätt.
Brandvägg - Firewall: Teknisk utrustning, ansluten till nätverk, som enligt given konfiguration begränsar och övervakar trafik mellan två nät. Oftast är syftet att skydda det inre nätverket från det yttre.
Certifikat - Certificate: En informationsmängd signerad av en certifikatutfärdare. Certifikatet innehåller information om det certifierad subjektet (användare, server eller liknande) samt en nyckel som kan vara verifieringsnyckeln för digitala signaturer eller den publika nyckeln till ett asymmetriskt krypteringssystem.
Certifikatutfärdare - Certificate Authority (CA): En betrodd part som har till uppgift att skapa och utge användarcertifikat eller andra typer av certifikat.
Dekryptering - Decryption: Återskapande av klartext från kryptotext med användning av (de)krypteringsnyckel.
Digital signatur - Digital signature: Avsändaren förser ett meddelande (eller ett kondensat av detta) med en digital signatur. Denna signatur skapas med en privat nyckel som endast avsändaren har tillgång till och som tillåter mottagaren att kontrollera meddelandets äkthet, innehåll och avsändarens identitet.
e-legitimation -: Elektronisk motsvarighet till normala identitetskort som medger att innehavaren kan identifieras/autentiseras via nät och som oftast även medger undertecknande av elektroniska dokument. Betecknar oftast ett användarcertifikat tillsammans med en privat nyckel. Termen saknar engelsk motsvarighet.
Elektronisk signatur - Electronic signature: Uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra elektroniska uppgifter och som används som en metod för autentisering. Detta begrepp kommer från EG-direktivet och skillnaden mellan elektronisk och digital signatur är mer legal än teknisk. Normalt undviker men begreppet elektronisk signatur i tekniska sammanhang.
Engångslösenord - One-Time Password (OTP): Ett lösenord som bara kan användas vid ett tillfälle.
Entropi - Entropy: Informationsmängd (i binära bitar) som innehålls eller överförs per enskild symbol, givet en definierad uppsättning symboler samt de förekommande symbolernas statistiska sannolikhet (frekvens).
Envägskryptering - One-way encryption: Användning av en enkelriktad funktion för att gömma värdet på en variabel, till exempel ett lösenord i en lösenordslista.
Exponering - Exposure: Förekomst av en svaghet i ett realiserat säkerhetsskydd och som är känd av någon.
Flerfaktorautenticering - Multi-factor authentication: Autentisering baserad på flera oberoende tekniker för autentisering. Oftast kombinerar man tekniker för att verifiera något som användaren har, något som användaren vet eller något som användaren är (biometrisk egenskap).
Förlitande part - Relying party: Part som, för sina beslut, litar på uppgifterna i ett certifikat.
Hashfunktion - Hash function: Matematisk funktion som återger ett värde från en godtyckligt lång datasträng till ett värde bestående av en kortare datasträng med fast längd, s.k. hashvärde.
Hot - Threat: Möjlig, oönskad händelse med negativa konsekvenser för verksamheten. Hot kan vara av olika art, t.ex. aktiva hot, passiva hot, avsiktliga eller oavsiktliga hot samt yttre (externa) eller inre (interna) hot.
Hotanalys - Threat analysis: Identifiering av vilka hot som kan finnas och vem eller vad som kan tänkas utlösa dessa hot, samt vilka resurser samt vilken tid och kompetens som en angripare kan tänkas disponera.
Hotbild - Threat profile: En samlad bild av hot som bedöms föreligga mot en viss verksamhet.
Identifiering - Identification: Autentisering av en individ.
Identitetsfederation - Identity federation: Samverkan rörande systematiserat informationsutbyte mellan säkerhetsdomäner gällande användaridentiteter och attribut för att möjliggöra åtkomst till resurser i flera domäner.
Incident - Incident: Händelse som potentiellt kan få eller kunnat få allvarliga konsekvenser för verksamheten. Incidenter bör dokumenteras och vid behov utredas.
Informationssäkerhet - Information security: Säkerhet för informationstillgångar avseende förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet. Kan även inkludera ansvarighet och oavvislighet.
Informationstillgångar - Information assets: En organisations informationsrelaterade tillgångar.
Infrastruktur för publika nycklar - Public Key Infrastructure (PKI): Organisation, regler och teknik för nyttjande av öppna nycklar.
Integritet - Integrity: Se Riktighet
Integritetspolicy - Privacy policy: Deklaration som beskriver vilka personuppgifter som insamlas, för vilket ändamål och till vilka dessa kan föras vidare.
Intrångsdetekteringssystem - Intrusion Detection System (IDS): System för upptäckt av försök till eller fullbordat intrång.
Intrångsförhindrande system - Intrusion Protection System (IPS): Intrångsdetekterande system som är särskilt konstruerat för att aktivt kunna reagera på attacker eller attackförsök. Reaktionen i systemet kan innebära att resurser stängs av, åtkomst förhindras eller liknande.
IT-säkerhet - IT security: Säkerhet beträffande IT-system med förmåga att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling samt dator- och telekommunikation.
Katastrofplanering - Disaster Recovery Planning (DRP): Planering och förberedelser nödvändiga för att minimera förluster och säkra driften av kritiska delar av verksamheten i händelse av allvarlig störning.
Klartext - Clear text: Information utformad på ett sätt så att innebörden direkt kan läsas och förstås. I krypteringssammanhang är detta den text som skall krypteras eller resultatet efter en lyckad dekryptering.
Kommunikationssäkerhet - Communication security: Säkerhet i samband med överföring av data. Överförd data inkluderar information, data i protokoll och andra styrdata. Skyddet syftar till att förhindra att * Känslig information kommer avslöjas för obehörig * Information förvanskas under överföring * Information inte når avsedd mottagare eller blir fördröjd * Missledande information eller signaler introduceras i kommunikationssystemet.
Konfidentialitet - Confidentiality: Skyddsmål som innebär att innehållet i ett informationsobjekt (eller ibland även dess existens) inte får göras tillgängligt eller avslöjas för obehöriga. Begreppet är synonymt med sekretess vilket oftast används i legala sammanhang.
Konsekvens - Consequence: Resultatet av en händelse med, oftast negativ, påverkan.
Kontinuitetsplan - Business Continuity Plan (BCP): Dokument som beskriver hur verksamheten skall bedrivas när identifierade, kritiska verksamhetsprocesser allvarligt påverkas under en längre, specificerad tidsperiod.
Kryptering - Encryption: Omvandling av klartext till kryptotext med hjälp av kryptosystem och en kryptonyckel i syfte att förhindra obehörig åtkomst av konfidentiell information.
Krypteringsalgoritm - Encryption algorithm: Schema, oftast i form av en matematisk beskrivning, för hur kryptotext genereras från klartext och krypteringsnyckel i ett krypteringssystem.
Kryptografi - Cryptography: Metoder och principer för att skydda information mot oönskad insyn och manipulation samt för att möjliggöra autentisering.
Kryptotext - Cipher text: Information som bildas genom att klartext krypteras i avsikt att göra innehållet obegripligt för obehöriga.
Kvarstående risk - Residual risk: Efter införande av skyddsåtgärder återstår oftast vissa sårbarheter som ger upphov till kvarstående risk. Beslut att acceptera kvarstående risk kallas riskacceptans eller riskvillighet.
Ledningssystem för informationssäkerhet - Information Security Management System (LIS): Del i ett övergripande ledningssystem som, baserad på verksamhetens risktänkande, syftar till att upprätta, införa, driva, övervaka, granska, underhålla och förbättra informationssäkerheten. Beskrivs i den internationella standarden ISO/IEC 27001 och omfattar organisationsstruktur, policy, planeringsaktiviteter, ansvar, praxis, rutiner, processer och resurser.
Logisk bomb - Logic bomb: Illasinnad kod innefattande en dold funktion i ett program eller programsystem som när vissa villkor uppfylls utlöser en oönskad aktivitet.
Man-i-mitten attack - Man-in-the-middle attack: Attack där en angripare genom aktiv inkoppling i en kommunikation mellan två parter samtidigt simulerar respektive parts identitet mot den andra och därvid kan avlyssna eller förändra överförd information.
Mask - Worm: Program som mångfaldigar sig själv i ett distribuerat system.
Nätfiske - Phishing: Attack som via e-post eller länkar försöker locka mottagaren att besöka en falsk webbplats (en till synes äkta webbsida för t.ex. en bank, telefonioperatör eller kreditkortsföretag) och där uppge inloggningsuppgifter eller annan känslig information.
Oavvislighet - Non-repudiation: Skyddsmål att en handling inte i efterhand skall kunna förnekas av utföraren.
Oförnekbarhet -: Se Oavvislighet.
Penetrationstest, intrångstest - Penetration testing: Test av säkerheten i ett IT-system eller en komponent i avsikt att påvisa existensen av svagheter i förhållande till uttryckta säkerhetskrav.
Personlig integritet - Privacy: En individs rättighet till sin egen integritet. Denna rättighet innefattar att personlig och privat information inte behandlas eller delges andra utan individens vetskap eller samtycke.
Personuppgift - Personal data: All slags information som direkt eller indirekt kan kopplas till en fyk person.
Policy för certifikatutgivning - Certificate Policy (CP): Publikt policydokument som beskriver det ansvar och de ändamål som certifikatutfärdaren intygar beträffande sin verksamhet.
Portavsökning - Port scan: Systematisk eller slumpmässig scanning av ett systems kommunikationsportar. Sökningen görs i syfte att identifiera vilka tjänster som kan finnas aktiva i datorn.
Privat nyckel - Private key: Hemlighållen nyckel som används vid dekryptering i ett asymmetriskt kryptosystem eller vid generering av digitala signaturer. Observera att man inte bör använda samma privata nyckel till både signering och dekryptering.
Publik nyckel - Public key: Nyckel som kan publiceras eller göras känd på annat sätt och som används kryptering i ett asymmetrisk system eller vid verifiering av en digital signatur.
Regelstyrd åtkomstkontroll - Mandatory Access Control (MAC): Åtkomstkontroll som utnyttjar obligatoriska etiketter för användare och resurser.
Regelverk för certifikatutfärdare - Certificate Practice Statement (CPS): Regelverk som certifikatutfärdaren åtar sig att följa i sin verksamhet. Regelverket kompletterar policyn och beskriver mer i detalj de rutiner som tillämpas.
Revokeringslista - Certificate Revocation List (CRL): Periodiskt uppdaterad, tidsstämplad och signerad lista, utgiven av en certifikatutfärdare. Listan anger certifikat som återkallats innan deras giltighetstid gått ut. Listan används av förlitande part för att verifiera ett certifikats giltighet.
Riktad attack - Targeted attack: Attack skräddarsydd för viss måltavla eller målgrupp.
Riktat nätfiske - Spear phishing: Nätfiske mot en utvald grupp mottagare.
Riktighet - Integrity: Skyddsmål att information inte förändras, vare sig obehörigen, av misstag eller på grund av funktionsstörning.
Risk - Risk: Kombinationen av sannolikheten för att ett existerande hot realiseras och den därmed uppkommande skadekostnaden.
Risk analys - Risk analysis: En process som identifierar och uppskattar storleken hos hot mot verksamheten och dess relaterade risker.
Riskhantering - Risk Management (RM): Samordnade aktiviteter för identifiering, styrning och kontroll av risker.
Riskundvikande - Risk avoidance: Tendens att undvika risker genom fokusering på skydd alternativt genom operativ passivitet.
Riskvillighet - Risk appetite: Beredskap att ta vissa, större risker balanserade mot förväntade vinstmöjligheter.
Rollbaserad åtkomstkontroll - Role Based Access Control (RBAC): Åtkomstkontroll där åtkomsträttigheter styrs utifrån vilken eller vilka roller en användare agerar som.
Sekretess -: Se Konfidentialitet.
Servercertifikat - Server certificate: Certifikat för en publik nyckel som tilldelats en dator eller annan teknisk komponent.
Sessionsnyckel - Session key: Nyckel som används vid ett tillfälle, vid en session. Kan vara t.ex. en dataöverföringssession, ett uppkopplingstillfälle, ett telefonsamtal eller motsvarande.
Signera - Sign: Att förse ett meddelande eller annan datamängd med en digital signatur.
Signeringsnyckel - Signature key: Privat nyckel som används för att skapa digitala signaturer.
Skyddsåtgärd - Safeguard: Handling, rutin eller tekniskt lösning som, genom att minska sårbarheten möter ett identifierat hot.
Spionprogram - Spyware: Illasinnad kod i syfte att söka efter och vidareförmedla information i underrättelsesyfte.
Spårbarhet - Traceability: Möjlighet att entydigt kunna bevisa utförda aktiviteter i systemet kopplat till en identifierad användare. Spårbarhet är en förutsättning för att kunna ha ansvarighet. För att åstadkomma spårbarhet krävs identifiering och autentisering av användare samt loggning av relevanta händelser.
Svaghet - Vulnerability: Brist i skyddet av en tillgång som är exponerad för hot.
Symmetrisk kryptering - Symmetrical encryption: Krypteringssystem där samma (hemliga) nyckel används för både kryptering och dekryptering.
Sårbarhet - Vulnerability: En tillgång som verksamheten är kritiskt beroende av.
Sårbarhetsanalys - Vulnerability analysis: Process som identifierar en organisations sårbarheter eller sårbarheter i ett system eller en produkt.
Säkerhet - Security: Säkerhet i betydelsen ”security” innebär en egenskap eller tillstånd som innebär skydd mot risk för oönskad insyn, förlust eller påverkan; oftast i samband med medvetna försök att utnyttja eventuella svagheter. Säkerhet i betydelsen ”safety” är en egenskap eller tillstånd som innebär skydd mot skada för liv och lem (personsäkerhet).
Säkerhetsmål - Security objectives: Beskrivning av i vilka avseenden säkerheten skall tillgodoses för ett system eller en komponent. Beskrivs ofta med termer som Konfidentialitet, Riktighet och Tillgänglighet.
Säkerhetspolicy - Security policy: Generella krav på säkerhetsåtgärder eller handlingsregler för en organisation eller verksamhet.
Tillgång - Asset: Allt som är av värde för organisationen. Kan även innefatta immateriella värden som goodwill.
Tillgänglighet - Availability: Skyddsmål där informationstillgångar skall kunna utnyttjas i förväntad utsträckning och inom önskad tid.
Tillgänglighetsattack - Denial of Service attack (DoS): Aktivitet som förhindrar behörig åtkomst till resurser i ett IT-system eller som fördröjer tidskritiska operationer. Attacken kan även vara av distribuerad typ (DDoS), dvs attacken utförs som en synkroniserad attack från många olika datorer.
Virus - Computer virus: Illasinnad kod, gömd i ett annat program, som är självreproducerande och i vissa fall en självmodifierande instruktionssekvens, som även kan innehålla en skadedel.
Åtkomstkontroll - Access control: Funktioner i ett system som syftar till att reglera och kontrollera en användares åtkomst till olika resurser.
- (ISMS): Se LIS.
- Impact: Se Consequence.
- Counter measure: Se Safeguard.
- Cipher: Se Encryption algorithm.