Để định nghĩa bảo mật, người ta thường sử dụng các khái niệm Bảo mật, Tính toàn vẹn và Tính sẵn sàng, hay còn gọi là bộ ba CIA. Mục đích của các thuật ngữ này là mô tả bảo mật bằng cách sử dụng các từ ngữ liên quan và có ý nghĩa, giúp bảo mật dễ hiểu hơn đối với ban quản lý và người dùng, đồng thời định nghĩa mục đích của nó.
Bảo mật liên quan đến việc cho phép truy cập được ủy quyền vào thông tin, đồng thời bảo vệ thông tin khỏi bị tiết lộ không đúng cách. Tính toàn vẹn là thuộc tính của thông tin, theo đó nó được ghi lại, sử dụng và duy trì theo cách đảm bảo tính đầy đủ, chính xác, nhất quán bên trong và hữu ích cho một mục đích đã nêu. Tính sẵn sàng có nghĩa là các hệ thống và dữ liệu có thể truy cập được vào thời điểm người dùng cần chúng.
Confidentiality (Tính bảo mật)
Bảo mật là một sự cân bằng khó đạt được khi nhiều người dùng hệ thống là khách hoặc khách hàng, và không biết liệu họ có đang truy cập hệ thống từ một máy tính bị xâm nhập hoặc ứng dụng di động dễ bị tổn thương hay không. Vì vậy, nghĩa vụ của chuyên gia bảo mật là điều chỉnh quyền truy cập — bảo vệ dữ liệu cần được bảo vệ, nhưng vẫn cho phép truy cập vào các cá nhân được ủy quyền.
Thông tin Nhận dạng Cá nhân (PII) là một thuật ngữ liên quan đến lĩnh vực bảo mật. Nó liên quan đến bất kỳ dữ liệu nào về một cá nhân có thể được sử dụng để xác định họ. Các thuật ngữ khác liên quan đến bảo mật là thông tin sức khỏe được bảo vệ (PHI), là thông tin liên quan đến tình trạng sức khỏe của một người, và thông tin được phân loại hoặc nhạy cảm, bao gồm bí mật thương mại, nghiên cứu, kế hoạch kinh doanh và sở hữu trí tuệ.
Một định nghĩa hữu ích khác là độ nhạy cảm, là thước đo mức độ quan trọng được gán cho thông tin bởi chủ sở hữu của nó, hoặc mục đích biểu thị sự cần thiết phải bảo vệ nó. Thông tin nhạy cảm là thông tin mà nếu bị tiết lộ không đúng cách (bảo mật) hoặc bị sửa đổi (tính toàn vẹn) sẽ gây hại cho một tổ chức hoặc cá nhân. Trong nhiều trường hợp, độ nhạy cảm liên quan đến tác hại đối với các bên liên quan bên ngoài; tức là, những người hoặc tổ chức có thể không phải là một phần của tổ chức xử lý hoặc sử dụng thông tin.
Integrity (Tính toàn vẹn)
Tính toàn vẹn đo lường mức độ mà một thứ gì đó là toàn bộ và đầy đủ, nhất quán bên trong và chính xác. Khái niệm tính toàn vẹn áp dụng cho:
- thông tin hoặc dữ liệu
- hệ thống và quy trình cho hoạt động kinh doanh
- các tổ chức
- con người và hành động của họ
Tính toàn vẹn dữ liệu là sự đảm bảo rằng dữ liệu không bị thay đổi theo cách trái phép. Điều này đòi hỏi việc bảo vệ dữ liệu trong hệ thống và trong quá trình xử lý để đảm bảo rằng nó không bị sửa đổi không đúng cách, lỗi hoặc mất thông tin và được ghi lại, sử dụng và duy trì theo cách đảm bảo tính đầy đủ của nó. Tính toàn vẹn dữ liệu bao gồm dữ liệu trong quá trình lưu trữ, trong quá trình xử lý và trong khi truyền tải.
Thông tin phải chính xác, nhất quán bên trong và hữu ích cho một mục đích đã nêu. Tính nhất quán bên trong của thông tin đảm bảo rằng thông tin là chính xác trên tất cả các hệ thống liên quan để nó được hiển thị và lưu trữ theo cùng một cách trên tất cả các hệ thống. Tính nhất quán, như là một phần của tính toàn vẹn dữ liệu, yêu cầu tất cả các thể hiện của dữ liệu phải giống hệt nhau về hình thức, nội dung và ý nghĩa.
Tính toàn vẹn hệ thống đề cập đến việc duy trì cấu hình tốt đã biết và chức năng hoạt động dự kiến khi hệ thống xử lý thông tin. Đảm bảo tính toàn vẹn bắt đầu bằng nhận thức về trạng thái, là tình trạng hiện tại của hệ thống. Cụ thể, nhận thức này liên quan đến khả năng ghi lại và hiểu trạng thái của dữ liệu hoặc hệ thống tại một thời điểm nhất định, tạo ra một đường cơ sở. Ví dụ, đường cơ sở có thể đề cập đến trạng thái hiện tại của thông tin — cho dù nó được bảo vệ hay không. Sau đó, để bảo tồn trạng thái đó, thông tin phải luôn tiếp tục được bảo vệ thông qua một giao dịch.
Tiếp tục từ đường cơ sở đó, tính toàn vẹn của dữ liệu hoặc hệ thống luôn có thể được xác định bằng cách so sánh đường cơ sở với trạng thái hiện tại. Nếu hai cái khớp nhau, thì tính toàn vẹn của dữ liệu hoặc hệ thống còn nguyên vẹn; nếu hai cái không khớp nhau, thì tính toàn vẹn của dữ liệu hoặc hệ thống đã bị xâm phạm. Tính toàn vẹn là một yếu tố chính trong độ tin cậy của thông tin và hệ thống.
Nhu cầu bảo vệ tính toàn vẹn của thông tin và hệ thống có thể bị chi phối bởi luật pháp và quy định. Thường thì, nó được quyết định bởi nhu cầu của tổ chức để truy cập và sử dụng thông tin đáng tin cậy, chính xác.
Availability (Tính sẵn sàng)
Tính sẵn sàng có thể được định nghĩa là (1) truy cập kịp thời và đáng tin cậy vào thông tin và khả năng sử dụng nó, và (2) đối với người dùng được ủy quyền, truy cập kịp thời và đáng tin cậy vào dữ liệu và dịch vụ thông tin.
Khái niệm cốt lõi của tính sẵn sàng là dữ liệu có thể truy cập được đối với người dùng được ủy quyền khi và ở đâu cần thiết và ở dạng và định dạng được yêu cầu. Điều này không có nghĩa là dữ liệu hoặc hệ thống có sẵn 100% thời gian. Thay vào đó, các hệ thống và dữ liệu đáp ứng các yêu cầu của doanh nghiệp về truy cập kịp thời và đáng tin cậy.
Một số hệ thống và dữ liệu quan trọng hơn nhiều so với những hệ thống và dữ liệu khác, vì vậy chuyên gia bảo mật phải đảm bảo rằng mức độ sẵn sàng phù hợp được cung cấp. Điều này đòi hỏi phải tham khảo ý kiến của doanh nghiệp liên quan để đảm bảo rằng các hệ thống quan trọng được xác định và có sẵn. Tính sẵn sàng thường được liên kết với thuật ngữ mức độ nghiêm trọng, bởi vì nó thể hiện tầm quan trọng mà một tổ chức dành cho dữ liệu hoặc hệ thống thông tin trong việc thực hiện các hoạt động của mình hoặc đạt được sứ mệnh của mình.
