Lesere bør være kjent med følgende begreper som benyttes i NSMs grunnprinsipper for IKT-sikkerhet:

  • Enhet – For eksempel en klient, en server, en skriver, en sensor (f.eks. IoT-enhet) eller nettverksutstyr. Enheter kan være fysiske gjenstander, eller de kan være virtuelle enheter. Noen underkategorier av enheter benyttet i denne teksten er:
    • Forvaltede enheter – Enheter som kontrolleres og driftes av virksomheten. Hvis det er en klient så bør ikke brukeren kunne endre sikkerhetskonfigurasjonen.
    • Ikke-forvaltede enheter – Enheter som ikke er kontrollert av virksomheten. Det kan være private enheter («Bring Your Own Device» - BYOD), IoT-enheter, enheter delt ut av virksomheten, eller enheter til besøkende. Ikke-forvaltede enheter bør kun ha tilgang til en begrenset del av virksomhetens infrastruktur.
    • Mobile enheter – Alle flyttbare enheter (primært klienter), som benyttes både innenfor og utenfor virksomhetens lokaler.
    • Klient – En datamaskin som benyttes av sluttbrukere, for eksempel en «PC», «MAC», mobiltelefon, nettbrett eller virtuell klient («Virtual Desktop»).
    • Server/Tjener – En datamaskin som typisk kjører i et datarom eller datasenter og som kjører applikasjoner eller infrastruktur-tjenester. En server kan være både fysisk og virtuell. De fleste moderne fysiske servere kjører en «hypervisor» som er en plattform for virtuelle servere og/eller «containere».
    • Virtuelle enheter – Enheter som er virtuelle, og ikke fysiske. Det kan være: virtuelle servere, virtuelle klienter (desktops) og virtuelle nettverkskomponenter (f.eks. virtuelle svitsjer).
  • Hvitelisting – Er et prinsipp hvor man spesifiser hvilke handlinger/hendelser som er tillatt. Handlinger/hendelser som ikke er eksplisitt tillatt blir automatisk sperret. Typisk er det mindre og enklere arbeid å liste opp handlinger/hendelser som er tillatt enn alle de handlinger/hendelser som ikke er tillatt. Sistnevnte kalles for «svartelisteprinsippet».
  • IaaS/PaaS/SaaS – Begreper som beskriver forskjellige modeller for virksomhetens egne eller innkjøpte virtualiseringstjenester. De mest vanlige modellene er Infrastructure as a Service (IaaS), Platform as a Service (PaaS) og Software as a Service (SaaS).
  • IKT-system – Maskinvare, programvare og tilknyttet infrastruktur.
  • Informasjonssystem – IKT-system, data og tjenestene det tilbyr, bruken av dette, samt menneskers interaksjon med IKT-systemet for å støtte opp under virksomhetsprosesser.
  • Sikkerhetshendelse – En avvikssituasjon hvor det er et potensiale for tap av konfidensialitet, integritet, og/eller tilgjengelighet for informasjon eller IKT-tjenester. En sikkerhetshendelse kan oppstå som følge av et dataangrep, teknisk svikt, eller utilsiktede feilhandlinger.
  • Sikker tilstand – Er det virksomhetsbestemte normalnivå for sikkerhet i virksomheten. Kategori 2 - Beskytte og opprettholde beskriver en mulig oppbygging av en sikker tilstand.
  • Sårbarheter – En sårbarhet i et IKT-system slik det er omtalt i disse grunnprinsippene kan være alt som kan utnyttes av en angriper, og kan være både organisatoriske og tekniske. Eksempler er manglende oppdeling av nettverket, manglende kontroll på hvilken programvare brukere kan kjøre, mangelfull tilgangsstyring og manglende sikkerhetsoppdatering av enheter. Summen av alle sårbarheter omtales ofte som den mulige angrepsflaten («attack surface»). Menneskelige og fysiske sårbarheter må også vurderes, men omtales i liten grad i grunnprinsipper for IKT-sikkerhet.