Безопасность информации - степень (мера) защищенности информации, хранимой и обрабатываемой в автоматизированной системе (АС), от негативного воздействия на нее, с точки зрения нарушения ее физической и логической целостности (уничтожения, искажения) или несанкционированного использования.
 

Автоматизированная система - организованная совокупность средств, методов и мероприятий, используемых для регулярной обработки информации в процессе решения определенного круга прикладных задач.
 

Защищенность информации - поддержание на заданном уровне тех параметров информации, находящейся в автоматизированной системе, которые обеспечивают установленный статус ее хранения, обработки и использования.
 

Защита информации (ЗИ) - процесс создания и использования в автоматизированных системах специальных механизмов, поддерживающих установленный статус ее защищенности.
 

Комплексная защита информации - целенаправленное регулярное применение в автоматизированных системах средств и методов защиты информации, а также осуществление комплекса мероприятий с целью поддержания заданного уровня защищенности информации по всей совокупности показателей и условий, являющихся существенно значимыми с точки зрения обеспечения безопасности информации.
 

Безопасная информационная система - это система, которая, во-первых, защищает данные от несанкционированного доступа, во-вторых, всегда готова предоставить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по определению обладает свойствами конфиденциальности, доступности и целостности.
 

Конфиденциальность - гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными).
 

Доступность – гарантия того, что авторизованные пользователи всегда получат доступ к данным.
 

Целостность – гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным.
 

Понятия конфиденциальности, доступности и целостности могут быть определены не только по отношению к информации, но и к другим ресурсам вычислительной сети, например внешним устройствам или приложениям. Существует множество системных ресурсов, возможность “незаконного” использования которых может привести к нарушению безопасности системы. Например, неограниченный доступ к устройству печати позволяет злоумышленнику получать копии распечатываемых документов, изменять параметры настройки, что может привести к изменению очередности работ и даже к выводу устройства из строя. Свойство конфиденциальности, примененное к устройству печати, можно интерпретировать так: доступ к устройству имеют те и только те пользователи, которым этот доступ разрешен, причем они могут выполнять только те операции с устройством, которые для них определены. Свойство доступности устройства означает его готовность к использованию всякий раз, когда в этом возникает необходимость, а свойство целостности может быть определено как свойство неизменности параметров настройки данного устройства.

Важным для понимания дальнейших определений являются такие понятия, как объект, субъект, доступ.
 

Объект – пассивный компонент системы, хранящий, принимающий или передающий информацию.
 

Субъект – активный компонент системы, обычно представленный в виде пользователя, процесса или устройства, которому может потребоваться обращение к объекту или системе.
 

Доступ – взаимодействие между субъектом и объектом, обеспечивающее передачу информации между ними, или изменение состояния системы.
 

Доступ к информации – обеспечение субъекту возможности ознакомления с информацией и ее обработки, в частности, копирования, модификации или уничтожения информации.
 

Идентификация – присвоение субъектам и объектам доступа уникального идентификатора в виде номера, шифра, кода и т.п. с целью получения доступа к информации.
 

Аутентификация – проверка подлинности субъекта по предъявленному им идентификатору для принятия решения о предоставлении ему доступа к ресурсам системы.
 

Угроза – любое действие, направленное на нарушение конфиденциальности, целостности и/или доступности информации, а также на нелегальное использование других ресурсов информационной системы (ИС).
 

Уязвимость информации – возможность возникновения на каком-либо этапе жизненного цикла автоматизированной системы такого ее состояния, при котором создаются условия для реализации угроз безопасности информации. Атака – реализованная угроза.
 

Риск – это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки.

Значение риска тем выше, чем более уязвимой является существующая система безопасности и чем выше вероятность реализации атаки.

Изначально защищенная информационная технология – информационная технология, которая изначально содержит все необходимые механизмы для обеспечения требуемого уровня защиты информации.
 

Качество информации – совокупность свойств, обусловливающих пригодность информации удовлетворять определенные потребности в соответствии с ее назначением.