Vedlegg 1: Definisjoner
Historisk arkiv
Publisert under: Regjeringen Bondevik I
Utgiver: Arbeids- og administrasjonsdepartementet
Rapport | Dato: 20.12.1999
Vedlegg 1: Definisjoner
Allment tilgjengelig elektronisk postjournal/ internettjournal
Allment tilgjengelig elektronisk postjournal, eller kortformen internettjournal, er elektronisk postjournal lagt ut på internett uten tilgangsbegrensninger. Dog kan det være begrensning i hvor mye informasjon som er lagt ut (sladding) eller hvor lenge den enkelte journalpost er tilgjengelig.
Autentisering
Prosessen med å bekrefte en oppgitt identitet.
Autorisasjon
En avgjørelse om at en person kan få adgang til informasjon opp til en bestemt gradering eller til informasjon innenfor bestemte taushetspliktområder.
Avgradering
Nedgradering av informasjon til ugradert. Skjer automatisk etter en gitt tid eller etter en skadevurdering.
Behovsprøvd tilgang
Tilgang til informasjon ut fra tjenstlige behov og autorisasjon ("Need-to-know").
Beskyttelsesgrad
Beskyttelsesgrad er en av betegnelsene FORTROLIG eller STRENGT FORTROLIG som brukes om informasjon gradert etter Beskyttelsesinstruksen.
Beskyttelsesgradert informasjon
Informasjon som er gradert etter Beskyttelsesinstruksen.
Brannmur
Kombinasjon av maskinvare og programvare for å begrense eller sikre informasjonsflyten mellom et sikret og et usikret datasystem.
Brukerbestemt tilgangskontroll
Tilgangskontroll der eieren bestemmer hvilke andre brukere eller grupper av andre brukere som kan få tilgang til dataene, og hvilke rettigheter de får.
(Tidligere kalt diskresjonær aksesskontroll.)
Depnett
Departementsnettet (Depnett) er en sammenkobling av departementenes lokalnett. I tilknytning til Depnett har Statens forvaltningstjeneste ansvar for enkelte fellestjenester som blant annet e-post og tilknytninger til eksterne nettverk.
Digital signatur
Elektronisk generert datablokk til erstatning for en håndskrevet signatur.
Digitale signaturer realiseres ved en asymmetrisk kryptoalgoritme (RSA) som krever at informasjonsleverandøren har en privat og en offentlig nøkkel. Den private nøkkelen er hemmelig, og må oppbevares på en sikker måte, for med denne alene kan man utgi seg for å være informasjonsleverandør. Den oppbevares derfor kryptert i en fil på klientens PC (Lotus Notes gjør det på samme måte med sin personlige ID-fil.). Det er også et poeng at den private nøkkelen beviselig aldri kan ha vært kjent for operatøren. Derfor genereres denne på klienten og forlater den aldri.
Digitale sertifikat
Digitale sertifikater er et elektronisk kort med eierens unike signatur på. Det inneholder en offentlig nøkkel, informasjon om eieren av nøkkelen og er digitalt signert (sertifisert) av en tiltrodd tredjepart. Digitale sertifikater benyttes til å verifisere offentlige nøkler til privatpersoner og organisasjoner og til å distribuere offentlige nøkler.
Elektronisk postjournal
Elektronisk postjournal er tjenesten å tilby offentlige postjournaler fra et antall departementer og underliggende etater på elektronisk form, foreløpig til et begrenset antall brukere.
Godkjenningsansvarlig
En virksomhet som er tildelt myndighet til å sikkerhetsmessig godkjenne et
datasystem.
Godkjenningsnivå
Den høyeste graderingen et datasystem er godkjent for.
Gradering
Påføring av en beskyttelses- eller sikkerhetsgrad.
Gradert informasjon
En felles betegnelse for beskyttelses- og sikkerhetsgradert informasjon.
Informasjonleverandør
Informasjonleverandør er et departement eller annen offentlig etat som leverer sin journal til Elektronisk postjournal.
Integritet
Det at informasjon ikke blir endret eller ødelagt på en uautorisert måte.
Internkontroll
Brukes her om virksomhetens pålagte kontroll med etterlevelse av Datasikkerhetsdirektivet.
Klarering
En avgjørelse om at en person ut fra en forutgående undersøkelse anses skikket med hensyn til lojalitet, pålitelighet og andre egenskaper for tilgang til informasjon opp til en bestemt sikkerhetsgrad. (Lov om forebyggende sikkerhet: avgjørelse foretatt av klareringsmyndighet og bygd på personkontroll, om en persons antatte sikkerhetsmessige skikkethet for angitt sikkerhetsgrad.)
Kompromittering
Det at informasjon blir tilgjengelig for uvedkommende.
Konfidensialitet
Det at informasjon ikke er tilgjengelig for uautoriserte personer eller ikke-godkjentesystemer.
Kontrollert område
Det området virksomheten har jurisdiksjonsrett over. Sikkerhetsinstruksen benytter denne definisjonen:
"Kontrollert område kan være uteområder eller bygninger som omgir sperrede eller begrensede områder (buffersoner). Normalt vil det ikke bli behandlet eller oppbevart informasjon gradert høyere enn BEGRENSET i områdene. Områdene skal ha en klart definert begrensning. Adgangskontroll kan primært gå ut på å hindre adgang for andre enn de som kan legitimere et tjenstlig behov for adgang til området. Kontrollerte områder kan være militærleir, driftsbygninger, lagerområder m.v."
Logisk bombe
Plantet programvare som utløser iverksettelsen av en uautorisert handling
når en spesiell situasjon oppstår i systemet.
Nedgradering
Endring til et lavere graderingsnivå, eventuelt til ugradert nivå (avgradering).
Skjer automatisk etter en gitt tid eller etter en skadevurdering.
Ondsinnet programvare
Maskinvare, programvare eller maskinvarebasert programvare som med
hensikt er laget for å forårsake tap eller skade. (Eksempler: trojansk hest, logisk
bombe, ormer og virus.)
Operasjonsmåte
Fellesbetegnelse for dedikert operasjonsmåte, utvidet dedikert
operasjonsmåte, fellesnivå operasjonsmåte og flernivå
operasjonsmåts.
Operatør
Operatør er den som driver tjenesten Elektronisk postjounal etter avtale med SI. I dag er dette Posten SDS.
Orm
Ondsinnet kode som har evnen til å kopiere seg selv, og som spres gjennom datanett.
Passord
Beskyttet/privat tegnstreng brukt til å autentisere en identitet eller for å autorisere tilgang til data.
Prosjekt elektronisk postjournal
Prosjekt elektronisk postjournal er prosjektet under SI som har stått for utvikling av tjenesten elektronisk postjournal som den fremstår i dag. Prosjektet administrerer pilot-ordningen, d.v.s. hvem som skal ha tilgang til tjenesten i pilot-perioden.
Proxy
Stedfortreder. Brukes om et dataprogram som implementerer en kommunikasjonsprotokoll, og som opptrer på vegne av en annen datamaskins kommunikasjonsprogram. En proxy vil som oftest tilby tilleggsfunksjonalitet som utvidet tilgangskontroll, filtrering, utvidet sjekk og korrigering av protokollkommandoer og data, virussjekk osv.
RAID-system
En samling disker som er organisert slik at man får økt hastighet og/eller feiltoleranse som resultat.
Redundante systemer
Feiltolerante systemer for å bedre driftssikkerheten.
Review and release position
Manuell gjennomgang av informasjon for å kunne overføre den til et annet system med en annen gradering.
Risiko
Sannsynligheten for at en gitt trussel vil utnytte sårbarhet i systemet og forårsake
skade.
Risikohåndtering
På grunnlag av risikovurdering ta stilling til den enkelte risiko og innføre tiltak for å
redusere den.
Risikovurdering
Prosessen med å identifisere sikkerhetsrisikoer, bestemme deres betydning og identifisere områder som trenger sikring. Risikovurdering er en del av risikohåndteringen.
Ruter
En ruter er en datamaskin i et Wide Area Network (WAN), f.eks. Internet som kan knytte sammen to like eller ulike nettverk. En ruter opererer på lag 3 i OSI-modellen.
Screening ruter er en type rutere som ofte inngår i en sikkerhetsarkitektur, gjerne sammen med en brannmur. Slike ruteren kan tilby beskyttelse mot angrep som følge av bevisste endringer av opsjonsflagg i IP-header. Den kan også hindre såkalt IP-spoofing ("stjele" IP-adresser), både at eksterne brukere stjeler interne adresser og at interne brukere stjeler eksterne adresser. I tillegg kan den blokkere alle ICMP pakker for å hindre kjente angrep som "Ping of Death". Ruteren bør også kunne speile regelverket til brannmuren for å tilby tilstrekkelig sikring.
Secure Socket Layer (SSL)
Secure Socket Layer (SSL) er en protokoll som sikrer HTTP-kommunikasjon ved å krypterer overføringene mellom nettleser og Web Server. I tillegg til kryptering sørger også SSL for autentisering mellom nettleser og Web Server. Ved oppretting av kontakt vil Web Serveren presentere sitt sertifikat, og dermed bevise overfor klienten at den virkelig er operatørens server. På samme måte vil også Web Server kunne sjekke nettleseren.
Sertifisering
En prosess som resulterer i et sertifikat som bevis på at et produkt eller system
oppfyller gitte sikkerhetskrav. Videre skal sertifiseringen godtgjøre at design og
dokumentasjon er tilstrekkelig grundige til å gi tillit til implementeringen.
SIGILL
SIGILL er produkter som legger en sjekksum sist i filen, basert på filens innhold. Blir filens innhold endret, vil mottagers sjekksum ikke stemme med sjekksum opprettet når filen ble opprettet.
Sikkerhetsgrad
Sikkerhetsgrad er en av betegnelsene BEGRENSET, KONFIDENSIELT, HEMMELIG eller STRENGT HEMMELIG som brukes om informasjon gradert etter Sikkerhetsinstruksen.
Sikkerhetsgradert informasjon
Informasjon som er gradert etter Sikkerhetsinstruksen.
Trojansk hest
Et dataprogram som inneholder en tilsynelatende nyttig funksjon som i virkeligheten inneholder en skjult tilleggsfunksjon (ondsinnet kode) som tillater uautorisert kopiering, forfalskning eller ødeleggelse av data.
Trusselvurdering
Analyse av den kapasiteten som danner grunnlaget for en trussel. Dersom kapasiteten styres av mennesker, kan analysen også omfatte deres intensjoner om å anvende kapasiteten.
Virus
Ondsinnet kode som modifiserer andre programmer, og som kan ha evnen til å spre seg.