Kontaktinformation
Säkerhetsenheten:
sakerhet@slu.se
Terminologi inom informationssäkerhetsområdet
Senast ändrad: 29 december 2022
På den här sidan listas ett antal termer som används inom informationssäkerhetsområdet tillsammans med definitioner av de begrepp termerna avser.
|
Term |
Definition |
|
administratör |
Användare som har högre eller andra rättigheter än en vanlig användare, t.ex. systemadministratör, säkerhetsadministratör |
|
användare |
Person som utnyttjar informationstillgång |
|
användarnamn |
Namn som en användare anger för att identifiera sig (logga in) och få tillgång till ett datornät, datorprogram eller en webbsida |
|
assurans |
Tilltro till att ett systems eller en produkts säkerhetsfunktioner uppfyller specificerade säkerhetskrav |
|
auktorisation |
Fastställande av åtkomsträttigheter för en användare till olika systemresurser |
|
autenticitet |
Äkthet |
|
autentisering |
Kontroll av användares eller systems identitet för att säkerställa att denne verkligen är den han eller hon utger sig för att vara |
|
back-up |
Se säkerhetskopia |
|
behörighet |
Den hierarki av rättigheter i ett datorsystem som är knutna till arbetsuppgifter och befattningar. Behörighet är knuten till identitet, så behörighetskontroll sker efter att användarens identitet har kontrollerats (autentiserats). |
|
botnet |
Logiskt nät av datorer som smittats av sabotageprogram som gör det möjligt för utomstående att fjärrstyra dem i syfte att sabotera eller utnyttja dem för egen vinning |
|
brandvägg |
Nätverkskomponent som enligt given konfiguration begränsar och övervakar trafik mellan nät |
|
certifikat |
Ett certifikat är en elektronisk signatur som används för att identifiera en person, en dator, en organisation eller liknande. Liksom en identitetshandling bevisar ett certifikat att en person är den han utger sig för att vara |
|
certifikatutfärdare |
Av flera användare betrodd instans som har till uppgift att skapa och utge användarcertifikat eller andra typer av certifikat |
|
DoS attack, |
Denial of Service attack (överbelastningsattack, tillgänglighetsattack) är en typ av sabotage där någon överbelastar en server eller router genom att sända enorma mängder felaktiga datapaket så att den till slut kraschar. Distributed Denial of Service Attack är en distribuerad överbelastningsattack där anropen sker från många olika datorer, ofta fjärrstyrda via maskar eller trojaner som infekterat dessa datorer utan ägarnas vetskap. |
|
e-legitimation |
Elektronisk legitimationshandling som används för säker identifiering på Internet, t.ex. e-legitimation, elektronisk legitimation, e-leg, eID, BankId. |
|
elektronisk signatur digital signatur |
Omvandling av t.ex. ett meddelande på ett sätt som endast avsändaren kan utföra och som tillåter mottagaren att kontrollera meddelandets äkthet, innehåll och avsändarens identitet |
|
federerad identitet |
En användaridentitet som kan användas inom olika organisationer, eftersom man har enats om hur man ska hantera identiteter över organisationsgränserna. En användare som autentiserat sig hos en organisation kan med automatik bli autentiserad hos en annan organisation som ingår i federationen. Resultatet kan bli en singel sign-on som överskrider organisationsgränserna. |
|
hemlig uppgift |
Uppgift som omfattas av sekretess enligt offentlighets- och sekretesslagen och som rör rikets säkerhet |
|
hoax |
En lögn, en falsk varning eller uppmaning som ser ut att vara sann. |
|
hot |
Möjlig, oönskad händelse med negativa konsekvenser för verksamheten. Oavsiktligt hot: existerar trots att illasinnad avsikt saknas. Avsiktligt hot: syftar till att skada verksamheten Inre hot: orsakas av individer inom organisationen Yttre hot: har sitt ursprung utanför organisationen |
|
hotbild |
Hot som bedöms förekomma mot en viss verksamhet |
|
identifiering |
Att knyta en person med uppgiven identitetsbeteckning (namn, personnummer eller liknande) till en på förhand registrerad identitet. I de flesta fall förutsätts någon form av identitetskontroll (autentisering). |
|
identitet |
Unik beteckning för en viss entitet (person, process, fysisk enhet eller liknande) i ett visst system |
|
informationsbärare |
Bär, lagrar eller kommunicerar information. Kan exempelvis vara papper, IT-system, lagringsmedia, telefoni |
|
informationssäkerhet |
Bevarande av konfidentialitet, riktighet och tillgänglighet hos information. Informationssäkerhet är en kombination av administrativ och teknisk säkerhet, där fysisk och IT-säkerhet ingår i den tekniska säkerheten |
|
informationssäkerhets-incident |
En enskild eller en serie oönskade eller oväntade informationssäkerhetshändelser vilka med stor sannolikhet kan äventyra informationssäkerheten |
|
informationssäkerhets-klassning |
Att genom konsekvensanalys värdera sin information utifrån aspekterna konfidentialitet, riktighet och tillgänglighet. |
|
Informationsägare |
Avser en person eller enhet som har ett uttalat ledningsansvar för att styra produktion, utveckling, underhåll, användning och säkerhet avseende dessa tillgångar. Termen ”ägare” innebär inte att personen har faktisk äganderätt till tillgången. |
|
Integritet |
Okränkbarhet med förmåga att upprätthålla sitt värde genom skydd mot oönskad förändring, påverkan eller insyn. Kan avse såväl ett tekniskt system (systemintegritet) som en person (personlig integritet) |
|
intrång |
Oönskad interaktion och aktiviteter mot system – i strid med systemets policy – som kan medföra förändringar, störningar eller skada |
|
IT-säkerhet |
Säkerhet beträffande IT-system med förmåga att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid såväl kommunikation som lagring och bearbetning av data. |
|
Konfidentialitet |
Egenskapen att information inte tillgängliggörs eller avslöjas till obehöriga individer, enheter eller processer |
|
konsekvens |
Resultat av en händelse med negativ inverkan |
|
kontinuitetshantering |
Förmågan och beredskapen att hantera avbrott i verksamheten, att minska skador pga avbrott samt att sörja för att kontinuitet i verksamhetens kritiska processer ligger på en accepterad lägsta nivå. |
|
Kryptering |
Omvandling av klartext till en, för obehöriga, oläslig kryptotext med hjälp av ett kryptosystem och en krypteringsnyckel. |
|
Kryptotext |
Text som krypterats. Motsats är klartext. |
|
Ledningssystem |
System för att fastställa grundprinciper för ledning av verksamheten och ställa upp mål samt för att uppnå dessa mål |
|
LIS – ledningssystem för informationssäkerhet |
En organisations process för styrning och ledning av informationssäkerhetsarbetet, vilket omfattar bl.a. organisation, resurser samt tekniska respektive administrativa säkerhetsåtgärder. |
|
Logg |
Insamlad information om de händelser/aktiviteter som utförs i ett system, vilka användare eller systemfunktioner som initierat dessa och vid vilken tidpunkt det skedde. |
|
Lösenord |
Kombination av tecken som tillsammans med användarnamn anges för att verifiera användaridentitet |
|
mask |
program som mångfaldigar sig i ett distribuerat system |
|
molntjänst |
En teknik där resurser, som till exempel processorkraft, lagring och funktioner, tillhandahålls som tjänster via internet. |
|
Oavvislighet |
Att en handling inte i efterhand ska kunna förnekas av utföraren. Oförnekbarhet |
|
obehörig åtkomst |
åtkomst av system, resurs eller annat objekt i strid med behörighetsregler |
|
outsourcing |
Utkontraktering av en it-relaterad tjänst som tidigare utfördes internt, till en extern leverantör |
|
pharming |
IP-adressförfalskning, omdirigeringsattack till falsk webbsida |
|
phishing, nätfiske |
attack som via epost söker locka mottagaren att besöka en till synes äkta webbsida (för t.ex. en bank eller kreditkortsföretag) och där uppge inloggningsinformation eller andra känsliga uppgifter |
|
PIN-kod |
Personal identification number är ett numeriskt lösenord. |
|
policy |
Övergripande avsikt och viljeinriktning formellt uttryckt av ledningen |
|
ransomware, kryptovirus |
Skadlig kod som krypterar hela eller delar av innehållet i systemet. Det kan vara viss typ av filer (crypto ransomware) eller att datorn inte kan startas upp (locker ransomware). Angriparen begär en lösensumma för att lämna ut det lösenord som låser upp krypteringen. |
|
riktighet |
Egenskapen att skydda exaktheten och fullständigheten gällande tillgångar |
|
risk |
Kombination av sannolikheten för att ett givet hot realiseras och dess konsekvenser |
|
riskanalys |
Process som identifierar hot mot verksamheten och uppskattar storleken hos relaterade risker |
|
riskbedömning |
Övergripande process för riskidentifiering, riskanalys och riskutvärdering. |
|
riskhantering |
Samordnade aktiviteter för att bedöma (identifiera, analysera och utvärdera) och behandla risker |
|
riskidentifiering |
Process för att upptäcka, kartlägga/känna igen och beskriva risker |
|
riskutvärdering |
Process för att jämföra resultaten från riskanalysen med riskkriterierna för att avgöra om risken och/eller dess storlek är acceptabel eller godtagbar |
|
riskägare |
Person eller enhet som ansvarar för och har befogenhet att hantera en risk |
|
rootkit |
Ett spökrogram som döljer saker för användare och administratörer genom att modifiera systemets funktion |
|
rättighet |
Användares rätt att utföra olika handlingar på en dator eller i ett nätverk. Rättigheterna gäller sådant som att köra, installera och radera program, hämta, läsa, ändra och lägga till information, ändra inställningar, komma åt, använda och sprida information över nätverket och över internet. |
|
sabotageprogram |
En överordnad term för oönskade datorprogram, framför allt virus, maskar, trojaner och hybrider därav |
|
sekretess |
Ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. |
|
single sign-on, SSO |
En metod för att hantera användare med aspekt på autentisering och auktorisering, så att dessa användare endast behöver logga in en enda gång för att nå de system som är anpassade till tjänsten. |
|
skadlig kod |
Otillåten programkod som är till för att ändra, röja, förstöra eller avlyssna ett elektroniskt kommunikationsnät eller funktioner eller uppgifter i ett IT-system |
|
skydd |
Effekt av handlingar, rutiner och tekniska arrangemang som syftar till att minska sårbarheten |
|
skyddsvärde |
En verksamhets olika värden (tillgångar) mot vilka det kan riktas risker. Det kan vara information, material, varumärke, byggnader, beställningar, nyckelpersoner, beroenden, apparatur osv. |
|
sniffer |
Anordning eller program som samlar in data som skickas över ett nätverk, en nätlyssnare |
|
social engineering |
manipulering genom använda olika sociala knep för att skapa förtroende och senare tillgång till känslig eller hemlig information |
|
spam |
Massutskick av oönskad, obeställd e-post, ofta med kommersiellt budskap och utan mottagarens samtycke. Skräppost |
|
spyware |
Spionprogram som körs på en dator utan användarens godkännande, och samlar och vidarebefordrar information till annan part |
|
spårbarhet |
Möjlighet att entydigt kunna härleda utförda aktiviteter i systemet till en identifierad användare vid en speciell tidpunkt |
|
systemägare |
Person eller enhet som har det övergripande ansvaret för ett it-system |
|
sårbarhet |
Svaghet gällande en tillgång eller grupp av tillgångar, vilken kan utnyttjas av ett eller flera hot |
|
säkerhet |
Security - egenskap eller tillstånd som innebär skydd mot risk för oönskad insyn, förlust eller påverkan. Oftast i samband med medvetna försök att utnyttja eventuella svagheter Safety - egenskap eller tillstånd som innebär skydd mot skada för liv och lem (personsäkerhet) |
|
säkerhetskopia |
Kopia av en informationsmängd som skapats för att kunna utnyttjas vid förlust av hela eller delar av den ursprungliga informationsmängden. Se back-up |
|
säkerhetsskydd |
Med säkerhetsskydd avses 1. skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, 2. skydd i andra fall av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen och som rör rikets säkerhet, och 3. skydd mot terroristbrott enligt 2 § lagen om straff för terroristbrott (terrorism), även om brotten inte hotar rikets säkerhet. |
|
tillgänglighet |
Egenskapen att vara åtkomlig och användbar vid begäran av en behörig enhet. |
|
tillgänglighetsförlust |
Övergång till ett tillstånd hos ett system där det inte i erforderlig utsträckning eller inom önskad tid kan leverera önskade tjänster |
|
trojan |
Ett program som utger sig för att vara till nytta eller nöje, men är någon skadlig programkod |
|
tvåfaktors-autentisering |
Identitetskontroll genom två av faktorerna något man har, något man vet och något man är (tex kort, lösenord, biometri). Var för sig är kort, kod eller biometri oanvändbar i inloggningssyfte men två tillsammans ger autentisering. |
|
virus |
Illasinnad kod som sprider sig genom att lägga en kopia av sig själva inuti andra program, värdprogram, på sådant sätt att koden körs då värdprogrammet körs |
|
åtgärd |
Handling, procedur eller tekniskt arrangemang som genom att minska sårbarheten möter identifierat hot |