Turve kui olek või protsess koosneb kolmest kompo- nendist. Turvakadu (turvarike, turvaintsident) võib olla: käideldavuskadu (ingl availability loss) ehk käi- deldavusrike ehk käideldavusintsident tervikluskadu (ingl integrity loss) ehk terviklusrike ehk terviklusintsident konfidentsiaalsuskadu (ingl confidentiality loss) ehk konfidentsiaalsusrike ehk konfidentsiaalsus- intsident.
Turbeülesande kirjeldamisel ja lahendamisel kasuta-
takse enamasti kokkuleppelist mudelit, mis koosneb viiest osast.
1. Infovarad (ingl information assets)
Turvanõuded esitatakse küll andmetele, kuid need ei mõju andmetele otse, vaid andmete keskkonna vahen- dusel. Selle keskkonna komponente nimetatakse info- varadeks, nende kogusummat aga infosüsteemiks. 2. Ohud (ingl threat) Ohud on kõikvõimalikud välismõjurid, mis andmetur- vet ohustavad. Ohud jagunevad omakorda stiihilisteks ohtudeks (kus ei ole taga kellegi tahtlikku tegevust) ja rünneteks (kus see tahtlikkus on). 3. Nõrkused ehk turvaaugud (ingl vulnerabilities) Turvaaugud on kaitstava objekti igasugused nõrgad kohad, mille kaudu saavad realiseeruda infovarasid ja infovarade kaudu ka andmeid ähvardavad ohud. Kui ohud olid enamjaolt infosüsteemivälised tegurid, siis turvaaugud iseloomustavad süsteemi ennast. Täpse- malt – need iseloomustavad süsteemi võimet lasta end mõjutada välistest ohuteguritest.
1 detsember 2007 2.2. Infoturbe tagamise ja kirjeldamise mudel
4. Risk ehk turvarisk (ingl risk)
Risk näitab, milline on tõenäosus, et andmeturve kahjustub teatud aja jooksul. Riski saab mõõta tõe- näosuslikes suurustes (nt 12%, 6% vms). Riskitaseme määravad praktikas välised ohud koosmõjus süsteemi enda nõrkustega. Tavaliselt tuleb konkreetsete andmete turvariski määramiseks vaadelda korraga väga paljusid erinevaid ohte ja nõrkusi. 5. Turvameetmed (security measures) Kui süsteemi (andmete) tegelik turvarisk on suurem kui äriprotsessis lubatud risk, tuleb äriprotsessi nor- maalseks toimimiseks turvariski vähendada. Väliseid ohte ei saa tavaliselt mõjutada, küll aga saab muuta oma infosüsteemi ja sellega seotult ka nõrkusi. Turvameet- meteks nimetataksegi kõikvõimalikke infosüsteemi teisendusi ja täiustusi, mis süsteemi nõrkusi ja seeläbi ka turvariski vähendavad.
Joonis 1. Turbeülesande kirjeldamise ja lahendamise