Правила информационной безопасности — список разрешенных и/или запрещенных действий для субъектов информационной системы. Такие правила могут быть определены не только для человека (пользователя, администратора и т. д.), но и для процесса (например, процесса предоставления доступа на межсетевом экране).

Права (англ. rights) — набор разрешенных действий (правил) для данного субъекта, часть профиля субъекта.

Несанкционированным будем считать такое действие, которое производится субъектом (или частью субъекта), для которого данное действие не определено как разрешенное (либо определено как запрещенное) правилами информационной безопасности.

Средство работы с информацией — устройство информационного обеспечения, с помощью которого производится или обеспечивается работа в информационной системе.

Угроза — возможность реализации нарушения того или иного правила информационной безопасности.

Уязвимость (англ. vulnerability) — незащищенность или ошибка в объекте или информационной системе, которая приводит или может привести к возникновению угрозы.

Атака — практическая реализация угрозы или попытка ее реализации с использованием той или иной уязвимости.

Авария — незлоумышленное происшествие неординарного характера, несущее деструктивное воздействие на объект или информационную систему.

Пользователь — человек, субъект информационной системы, выполняющий в ней бизнес-функции, т. е. использующий объект в целях производства.

Администратор — человек, субъект информационной системы, создающий условия для работы в ней пользователей.