Други ключови понятия свързани с информационната сигурност са

8 8 потребител има легален достъп до системата, докато зложелателите имат нелегален достъп. Контролът на достъпа управлява тази възможност.
• Актив: това са ресурсите на организацията, които ще бъдат защитавани.
Активите могат да са логически (уеб сайт, информация или данни) или физически (човек, компютърна система или др. материални обекти).
Активите и особено информационните активи са обект на усилията за осигуряване на сигурност; те са тези, заради които се прилагат мерки и усилия за защита.
• Атака: преднамерено или непреднамерено действие, което може да причини повреда или да компрометира информацията, която системата осигурява.
Атаките могат да бъдат активни и пасивни, умишлени или случайни, директни и индиректни.
• Контрол, защита или противодействие: механизми за сигурност, политики или процедури, които могат успешно да противодействат на атаки, да намаляват риска, да намаляват уязвимости и да подобряват сигурността на организацията като цяло.
•
Използване/Експлоатиране: техника, която се използва за компрометиране (излагане на риск) на система. Зложелатели/агенти на заплахи може да опитат нелегално да експлоатират система или друг информационен актив за собствена изгода. Експлоатирането може да бъде процес за възползване от уязвимост или излагане на опасност, обикновено в софтуера. При експлоатирането се използват съществуващи софтуерни средства или специално създадени софтуерни компоненти.
• Излагане: условие или състояние на излагане на системата на опасност. В информационната сигурност излагане на опасност е налице когато има уязвимост, известна и на зложелателя.
• Загуба: информационен актив, който е бил обект на повреда, непреднамерена или незаконна промяна или разкриване. При кражба на информация, организацията претърпява загуба.
• Защитен профил или състояние на сигурност: цялата съвкупност от контрол и защитни мерки, включващи политики, обучение, преподаване и осведомяване, и технологии, които организацията предприема (или не успява да предприеме) за защита на активите.
• Риск: възможност за осъществяване на нежелани действия. Организациите трябва да сведат до минимум риска, така, че той да съвпада със степента им на възможност за неговото поемане.

Изтегляне 1.92 Mb.

Сподели с приятели: