Załącznik 3
Terminy

i

definicje

(zgodne

polskimi

normami

bezpieczeństwa informacyjnego)

1.

Aktywa

: wszystko, co ma warto

ść

dla organizacji (zasoby: to

wszystko, co ma warto

ść

dla organizacji (assets)).

{Aktywa według IFRS (Mi

ę

dzynarodowe Standardy Rachunkowo

ś

ci)

to zasób kontrolowany przez przedsi

ę

biorstwo w wyniku przeszłych

zdarze

ń

, z którego oczekuje si

ę

przepływu przyszłych korzy

ś

ci

ekonomicznych do przedsi

ę

biorstwa. Zasoby przedsi

ę

biorstwa -

wszystko to czym dysponuje przedsi

ę

biorstwo:

o

praca - siła robocza,

o

ziemia - grunty firmy,

o

kapitał:

o

rzeczowy (budynki, maszyny),

o

finansowy

(fundusz,

akcje,

obligacje,

papiery

warto

ś

ciowe),

o

technologia,

o

przedsi

ę

biorczo

ść

}.

2.

Zabezpieczenie

:

ś

rodki słu

żą

ce zarz

ą

dzaniu ryzykiem, ł

ą

cznie

z politykami, procedurami, zaleceniami, praktyk

ą

lub strukturami

organizacyjnymi,

które

mog

ą

mie

ć

natur

ę

administracyjn

ą

,

techniczn

ą

, zarz

ą

dcz

ą

lub prawn

ą

. UWAGA. Termin zabezpieczenie

jest

tak

ż

e

u

ż

ywany

jako

synonim

ś

rodka

ochrony

lub

przeciwdziałania.

3.

Zalecenie

: wyja

ś

nienie, co i jak zaleca si

ę

zrobi

ć

, aby osi

ą

gn

ąć

cele

okre

ś

lone w politykach

4.

Środki

przetwarzania

informacji:

system,

usługa

lub

infrastruktura przetwarzaj

ą

ce informacje lub fizyczna lokalizacja,

w której si

ę

znajduj

ą

5.

Bezpieczeństwo informacji

:

stan gdy funkcjonuje

, zachowanie

poufno

ś

ci, integralno

ś

ci i dost

ę

pno

ś

ci informacji; dodatkowo, mog

ą

by

ć

brane pod uwag

ę

inne własno

ś

ci, takie jak autentyczno

ść

,

rozliczalno

ść

, niezaprzeczalno

ść

i niezawodno

ść

6.

Bezpieczeństwo systemu informatycznego

:

stan gdy są

brane pod uwagę

, wszystkie aspekty zwi

ą

zane z definiowaniem,

osi

ą

ganiem i utrzymywaniem poufno

ś

ci, integralno

ś

ci, dost

ę

pno

ś

ci,

rozliczalno

ś

ci, autentyczno

ś

ci i niezawodno

ś

ci (IT security)

7.

Zdarzenie związane z bezpieczeństwem informacji

: zdarzenie

zwi

ą

zane z bezpiecze

ń

stwem informacji jest okre

ś

lonym stanem

systemu, usługi lub sieci, który wskazuje na mo

ż

liwe naruszenie

polityki bezpiecze

ń

stwa informacji, bł

ą

d zabezpieczenia lub nieznan

ą

dotychczas sytuacj

ę

, która mo

ż

e by

ć

zwi

ą

zana z bezpiecze

ń

stwem

8.

Incydent związany z bezpieczeństwem informacji

: incydent

zwi

ą

zany z bezpiecze

ń

stwem informacji jest to pojedyncze zdarzenie

lub seria niepo

żą

danych lub niespodziewanych zdarze

ń

zwi

ą

zanych

z bezpiecze

ń

stwem informacji, które stwarzaj

ą

znaczne prawdopodo-

bie

ń

stwo

zakłócenia

działa

ń

biznesowych

i

zagra

ż

aj

ą

bezpiecze

ń

stwu informacji

9.

Polityka

: wyra

ż

ona przez kierownictwo ogólna intencja i kierunki

działa

ń

10.

Polityka bezpieczeństwa instytucji w zakresie systemów
informatycznych

: zasady, zarz

ą

dzenia i procedury, które okre

ś

laj

ą

,

jak zasoby - wł

ą

cznie z informacjami wra

ż

liwymi - s

ą

zarz

ą

dzane,

chronione

i

dystrybuowane

w

instytucji

i

jej

systemach

informatycznych (IT security Policy)

11.

Ryzyko

:

kombinacja

prawdopodobie

ń

stwa

zdarzenia

i

jego

konsekwencji

12.

Analiza ryzyka

: systematyczne wykorzystanie informacji do

zidentyfikowania

ź

ródeł i oszacowania ryzyka (

Analiza ryzyka

(2):

proces

identyfikacji

ryzyka,

okre

ś

lania

jego

wielko

ś

ci

i identyfikowania obszarów wymagaj

ą

cych zabezpiecze

ń

(risk

analysis))

13.

Szacowanie ryzyka

: cało

ś

ciowy proces analizy i oceny ryzyka

14.

Ocena ryzyka

: proces porównywania oszacowanego ryzyka

z okre

ś

lonymi kryteriami w celu okre

ś

lenia znaczenia ryzyka

15.

Zarządzanie ryzykiem

: skoordynowane działania kierowania

i zarz

ą

dzania

organizacj

ą

z

uwzgl

ę

dnieniem

ryzyka;

uwaga:

zarz

ą

dzanie

ryzykiem

zawiera

zwykle

szacowanie

ryzyka,

post

ę

powanie z ryzykiem, akceptowanie ryzyka i informowanie

o ryzyku.

(

Zarządzanie

ryzykiem

(2):

całkowity

proces

identyfikacji, kontrolowania i eliminacji lub minimalizowania
prawdopodobie

ń

stwa zaistnienia niepewnych zdarze

ń

, które mog

ą

mie

ć

wpływ

na

zasoby

{systemu

informatycznego}

(risk

management))

16.

Postępowanie z ryzykiem

: proces wyboru i wdra

ż

ania

ś

rodków

modyfikuj

ą

cych ryzyko

17.

Podatność

: słabo

ść

aktywu lub grupy aktywów, która mo

ż

e by

ć

wykorzystana przez co najmniej jedno zagro

ż

enie (vulnerability)

18.

Rozliczalność

: wła

ś

ciwo

ść

zapewniaj

ą

ca,

ż

e działania podmiotu

mog

ą

by

ć

przypisane w sposób jednoznaczny tylko temu

podmiotowi (accountability)

19.

Autentyczność

: wła

ś

ciwo

ść

zapewniaj

ą

ca,

ż

e to

ż

samo

ść

podmiotu

lub zasobu jest taka, jak deklarowana. Autentyczno

ść

dotyczy takich

podmiotów jak: u

ż

ytkownicy, procesy, systemy i informacja

(authenticity)

20.

Dostępność

: wła

ś

ciwo

ść

bycia dost

ę

pnym i mo

ż

liwym do

wykorzystania na

ż

aganie, w zało

ż

onym czasie, przez autoryzowany

podmiot (availability)

21.

Podstawowa ochrona

: minimalny zbiór zabezpiecze

ń

ustalony dla

systemu lub instytucji (baseline controls)

22.

Poufność

: wła

ś

ciwo

ść

zapewniaj

ą

ca,

ż

e informacja nie jest

udost

ę

pniana lub ujawniana nieautoryzowanym osobom, podmiotom

lub procesom (confidentiality)

23.

Integralność danych

: wła

ś

ciwo

ść

zapewniaj

ą

ca,

ż

e dane nie

zostały zmienione lub zniszczone w spo sób nieautoryzowany (data
integrity)

24.

Integralność systemu

: wła

ś

ciwo

ść

polegaj

ą

ca na tym,

ż

e system

realizuje swoja zamierzona, funkcj

ę

w nienaruszony sposób, wolny

od nieautoryzowanej manipulacji, celowej lub przypadkowej (system
integrity)

25.

Następstwa

(skutki): rezultat niepo

żą

danego incydentu (impast)

26.

Zabezpieczenie

: praktyka, procedura lub mechanizm redukuj

ą

cy

ryzyko (safeguard)

27.

Zagrożenie

: potencjalna przyczyna niepo

żą

danego incydentu,

którego skutkiem mo

ż

e by

ć

szkoda dla systemu lub organizacji

(threat)