Ogólnie rzecz biorąc, naruszenie bezpieczeństwa jest naruszeniem jakiejkolwiek polityki lub prawa, które mają na celu zabezpieczenie czegoś. Kiedy ludzie lub pojazdy omijają punkty kontrolne lub wchodzą do zabezpieczonych budynków bez okazania odpowiednich poświadczeń, naruszenia bezpieczeństwa są na ogół oczywiste. Mniej oczywiste są naruszenia bezpieczeństwa, które dotyczą danych lub informacji. W kontekście danych naruszenie bezpieczeństwa to każde działanie, które zagraża poufnemu charakterowi niektórych informacji.
W większości przypadków to, co jest lub nie jest naruszeniem bezpieczeństwa, jest określone przez prawo. Ustawy w wielu krajach określają środki bezpieczeństwa dla wielu rzeczy, od przejść granicznych po udostępnianie danych i transakcje handlu elektronicznego. Naruszenie jest zwykle definiowane jako każde działanie, celowe lub inne, które osłabia określony interes bezpieczeństwa.
Najbardziej znane naruszenia bezpieczeństwa zwykle powodują zauważalne szkody. Naruszenie bezpieczeństwa na lotnisku, które pozwala pasażerowi wejść na pokład samolotu z bronią, lub utrata danych, która prowadzi do kradzieży tożsamości, to jasne przykłady. Jednak zgodnie z większością przepisów dotyczących naruszenia bezpieczeństwa szkoda nie zawsze jest wymogiem. Zwykle wystarczy groźba wyrządzenia krzywdy lub prawdopodobieństwo wyrządzenia krzywdy.
Przepisy dotyczące naruszeń bezpieczeństwa w większości krajów opierają się na prawdopodobieństwie wyrządzenia szkody, zarówno w celu stworzenia zachęt do stosowania silnych praktyk bezpieczeństwa, jak i karania za złe działania, nie czekając, aby najpierw zobaczyć, czy ktoś lub coś zostanie ranne. Chociaż kary za naruszenia mogą być surowe zgodnie z prawem, nadrzędnym celem jest zwykle bezpieczeństwo. Zwłaszcza w przypadku naruszenia bezpieczeństwa danych i bezpieczeństwa informacji, nawet prawdopodobieństwo szkody często wystarcza, aby skłonić do podjęcia poważnych działań ochronnych.
Ponieważ coraz więcej poufnych informacji jest przechowywanych w Internecie, szanse na naruszenie bezpieczeństwa Internetu i komputera stają się coraz bardziej realne, a wraz z nim ryzyko kradzieży tożsamości, poważnych strat finansowych lub innych szkód. Większość przepisów dotyczących bezpieczeństwa danych wymaga, aby każdy podmiot, który regularnie gromadzi lub przechowuje poufne informacje, podjął pewne środki ostrożności, jeśli chodzi o zabezpieczenie tych informacji. W większości przypadków dane muszą być chronione szeregiem haseł i kluczy elektronicznych. Dane mobilne, w szczególności dane przechowywane na laptopach pracowników lub innym sprzęcie przenośnym, muszą zazwyczaj być chronione przed nieumyślnym ujawnieniem lub naruszeniem danych w przypadku utraty lub kradzieży.
Przepisy są często dodatkowo wyspecjalizowane przez branżę. W wielu krajach obowiązują przepisy dotyczące bezpieczeństwa danych medycznych, które różnią się od przepisów dotyczących informacji finansowych i na przykład możliwości naruszenia bezpieczeństwa karty kredytowej. W każdym kraju, a czasem w każdym kraju, w każdym stanie lub prowincji obowiązują inne prawa i obowiązkowe zasady bezpieczeństwa. Większość ma również przepisy dotyczące tego, w jaki sposób osoby, których to dotyczy, muszą być powiadamiane w przypadku, gdy ich informacje stanowiły część naruszenia bezpieczeństwa. Pacjenci, których akta zostały nieumyślnie zamieszczone w Internecie, studenci, których dane naukowe zostały zhakowane z uniwersyteckiej bazy danych oraz inne osoby, których informacje zostały w jakikolwiek sposób skompromitowane, mają co do zasady przynajmniej prawo do powiadomienia, jeśli nie do wynagrodzenia i rekompensaty.
Różnice między wymaganiami prawnymi mogą utrudnić firmom działającym w wielu jurysdykcjach zapewnienie powszechnej zgodności ich praktyk w zakresie bezpieczeństwa. Ponieważ przepisy zmieniają się i ewoluują wraz z technologią, indywidualne procedury bezpieczeństwa również muszą. W większości przypadków firmy zatrudniają specjalistów ds. zgodności, prawników i analityków ds. bezpieczeństwa danych, aby nadzorować wszystkie wymiany danych i innych informacji oraz zapewnić przestrzeganie wszystkich odpowiednich przepisów dotyczących bezpieczeństwa.