Vedlegg 1: Definisjoner

Allment tilgjengelig elektronisk postjournal/ internettjournal

Allment tilgjengelig elektronisk postjournal, eller kortformen internettjournal, er elektronisk postjournal lagt ut på internett uten tilgangsbegrensninger. Dog kan det være begrensning i hvor mye informasjon som er lagt ut (sladding) eller hvor lenge den enkelte journalpost er tilgjengelig.

Autentisering

Prosessen med å bekrefte en oppgitt identitet.

Autorisasjon

En avgjørelse om at en person kan få adgang til informasjon opp til en bestemt gradering eller til informasjon innenfor bestemte taushetspliktområder.

Avgradering

Nedgradering av informasjon til ugradert. Skjer automatisk etter en gitt tid eller etter en skadevurdering.

Behovsprøvd tilgang

Tilgang til informasjon ut fra tjenstlige behov og autorisasjon ("Need-to-know").

Beskyttelsesgrad

Beskyttelsesgrad er en av betegnelsene FORTROLIG eller STRENGT FORTROLIG som brukes om informasjon gradert etter Beskyttelsesinstruksen.

Beskyttelsesgradert informasjon

Informasjon som er gradert etter Beskyttelsesinstruksen.

Brannmur

Kombinasjon av maskinvare og programvare for å begrense eller sikre informasjonsflyten mellom et sikret og et usikret datasystem.

Brukerbestemt tilgangskontroll

Tilgangskontroll der eieren bestemmer hvilke andre brukere eller grupper av andre brukere som kan få tilgang til dataene, og hvilke rettigheter de får.

(Tidligere kalt diskresjonær aksesskontroll.)

Depnett

Departementsnettet (Depnett) er en sammenkobling av departementenes lokalnett. I tilknytning til Depnett har Statens forvaltningstjeneste ansvar for enkelte fellestjenester som blant annet e-post og tilknytninger til eksterne nettverk.

Digital signatur

Elektronisk generert datablokk til erstatning for en håndskrevet signatur.

Digitale signaturer realiseres ved en asymmetrisk kryptoalgoritme (RSA) som krever at informasjonsleverandøren har en privat og en offentlig nøkkel. Den private nøkkelen er hemmelig, og må oppbevares på en sikker måte, for med denne alene kan man utgi seg for å være informasjonsleverandør. Den oppbevares derfor kryptert i en fil på klientens PC (Lotus Notes gjør det på samme måte med sin personlige ID-fil.). Det er også et poeng at den private nøkkelen beviselig aldri kan ha vært kjent for operatøren. Derfor genereres denne på klienten og forlater den aldri.

Digitale sertifikat

Digitale sertifikater er et elektronisk kort med eierens unike signatur på. Det inneholder en offentlig nøkkel, informasjon om eieren av nøkkelen og er digitalt signert (sertifisert) av en tiltrodd tredjepart. Digitale sertifikater benyttes til å verifisere offentlige nøkler til privatpersoner og organisasjoner og til å distribuere offentlige nøkler.

Elektronisk postjournal

Elektronisk postjournal er tjenesten å tilby offentlige postjournaler fra et antall departementer og underliggende etater på elektronisk form, foreløpig til et begrenset antall brukere.

Godkjenningsansvarlig

En virksomhet som er tildelt myndighet til å sikkerhetsmessig godkjenne et

datasystem.

Godkjenningsnivå

Den høyeste graderingen et datasystem er godkjent for.

Gradering

Påføring av en beskyttelses- eller sikkerhetsgrad.

Gradert informasjon

En felles betegnelse for beskyttelses- og sikkerhetsgradert informasjon.

Informasjonleverandør

Informasjonleverandør er et departement eller annen offentlig etat som leverer sin journal til Elektronisk postjournal.

Integritet

Det at informasjon ikke blir endret eller ødelagt på en uautorisert måte.

Internkontroll

Brukes her om virksomhetens pålagte kontroll med etterlevelse av Datasikkerhetsdirektivet.

Klarering

En avgjørelse om at en person ut fra en forutgående undersøkelse anses skikket med hensyn til lojalitet, pålitelighet og andre egenskaper for tilgang til informasjon opp til en bestemt sikkerhetsgrad. (Lov om forebyggende sikkerhet: avgjørelse foretatt av klareringsmyndighet og bygd på personkontroll, om en persons antatte sikkerhetsmessige skikkethet for angitt sikkerhetsgrad.)

Kompromittering

Det at informasjon blir tilgjengelig for uvedkommende.

Konfidensialitet

Det at informasjon ikke er tilgjengelig for uautoriserte personer eller ikke-godkjentesystemer.

Kontrollert område

Det området virksomheten har jurisdiksjonsrett over. Sikkerhetsinstruksen benytter denne definisjonen:

"Kontrollert område kan være uteområder eller bygninger som omgir sperrede eller begrensede områder (buffersoner). Normalt vil det ikke bli behandlet eller oppbevart informasjon gradert høyere enn BEGRENSET i områdene. Områdene skal ha en klart definert begrensning. Adgangskontroll kan primært gå ut på å hindre adgang for andre enn de som kan legitimere et tjenstlig behov for adgang til området. Kontrollerte områder kan være militærleir, driftsbygninger, lagerområder m.v."

Logisk bombe

Plantet programvare som utløser iverksettelsen av en uautorisert handling

når en spesiell situasjon oppstår i systemet.

Nedgradering

Endring til et lavere graderingsnivå, eventuelt til ugradert nivå (avgradering).

Skjer automatisk etter en gitt tid eller etter en skadevurdering.

Ondsinnet programvare

Maskinvare, programvare eller maskinvarebasert programvare som med

hensikt er laget for å forårsake tap eller skade. (Eksempler: trojansk hest, logisk

bombe, ormer og virus.)

Operasjonsmåte

Fellesbetegnelse for dedikert operasjonsmåte, utvidet dedikert

operasjonsmåte, fellesnivå operasjonsmåte og flernivå

operasjonsmåts.

Operatør

Operatør er den som driver tjenesten Elektronisk postjounal etter avtale med SI. I dag er dette Posten SDS.

Orm

Ondsinnet kode som har evnen til å kopiere seg selv, og som spres gjennom datanett.

Passord

Beskyttet/privat tegnstreng brukt til å autentisere en identitet eller for å autorisere tilgang til data.

Prosjekt elektronisk postjournal

Prosjekt elektronisk postjournal er prosjektet under SI som har stått for utvikling av tjenesten elektronisk postjournal som den fremstår i dag. Prosjektet administrerer pilot-ordningen, d.v.s. hvem som skal ha tilgang til tjenesten i pilot-perioden.

Proxy

Stedfortreder. Brukes om et dataprogram som implementerer en kommunikasjonsprotokoll, og som opptrer på vegne av en annen datamaskins kommunikasjonsprogram. En proxy vil som oftest tilby tilleggsfunksjonalitet som utvidet tilgangskontroll, filtrering, utvidet sjekk og korrigering av protokollkommandoer og data, virussjekk osv.

RAID-system

En samling disker som er organisert slik at man får økt hastighet og/eller feiltoleranse som resultat.

Redundante systemer

Feiltolerante systemer for å bedre driftssikkerheten.

Review and release position

Manuell gjennomgang av informasjon for å kunne overføre den til et annet system med en annen gradering.

Risiko

Sannsynligheten for at en gitt trussel vil utnytte sårbarhet i systemet og forårsake

skade.

Risikohåndtering

På grunnlag av risikovurdering ta stilling til den enkelte risiko og innføre tiltak for å

redusere den.

Risikovurdering

Prosessen med å identifisere sikkerhetsrisikoer, bestemme deres betydning og identifisere områder som trenger sikring. Risikovurdering er en del av risikohåndteringen.

Ruter

En ruter er en datamaskin i et Wide Area Network (WAN), f.eks. Internet som kan knytte sammen to like eller ulike nettverk. En ruter opererer på lag 3 i OSI-modellen.

Screening ruter er en type rutere som ofte inngår i en sikkerhetsarkitektur, gjerne sammen med en brannmur. Slike ruteren kan tilby beskyttelse mot angrep som følge av bevisste endringer av opsjonsflagg i IP-header. Den kan også hindre såkalt IP-spoofing ("stjele" IP-adresser), både at eksterne brukere stjeler interne adresser og at interne brukere stjeler eksterne adresser. I tillegg kan den blokkere alle ICMP pakker for å hindre kjente angrep som "Ping of Death". Ruteren bør også kunne speile regelverket til brannmuren for å tilby tilstrekkelig sikring.

Secure Socket Layer (SSL)

Secure Socket Layer (SSL) er en protokoll som sikrer HTTP-kommunikasjon ved å krypterer overføringene mellom nettleser og Web Server. I tillegg til kryptering sørger også SSL for autentisering mellom nettleser og Web Server. Ved oppretting av kontakt vil Web Serveren presentere sitt sertifikat, og dermed bevise overfor klienten at den virkelig er operatørens server. På samme måte vil også Web Server kunne sjekke nettleseren.

Sertifisering

En prosess som resulterer i et sertifikat som bevis på at et produkt eller system

oppfyller gitte sikkerhetskrav. Videre skal sertifiseringen godtgjøre at design og

dokumentasjon er tilstrekkelig grundige til å gi tillit til implementeringen.

SIGILL

SIGILL er produkter som legger en sjekksum sist i filen, basert på filens innhold. Blir filens innhold endret, vil mottagers sjekksum ikke stemme med sjekksum opprettet når filen ble opprettet.

Sikkerhetsgrad

Sikkerhetsgrad er en av betegnelsene BEGRENSET, KONFIDENSIELT, HEMMELIG eller STRENGT HEMMELIG som brukes om informasjon gradert etter Sikkerhetsinstruksen.

Sikkerhetsgradert informasjon

Informasjon som er gradert etter Sikkerhetsinstruksen.

Trojansk hest

Et dataprogram som inneholder en tilsynelatende nyttig funksjon som i virkeligheten inneholder en skjult tilleggsfunksjon (ondsinnet kode) som tillater uautorisert kopiering, forfalskning eller ødeleggelse av data.

Trusselvurdering

Analyse av den kapasiteten som danner grunnlaget for en trussel. Dersom kapasiteten styres av mennesker, kan analysen også omfatte deres intensjoner om å anvende kapasiteten.

Virus

Ondsinnet kode som modifiserer andre programmer, og som kan ha evnen til å spre seg.