Властивості інформації і загрози
Основні поняття
4.1.1 Обчислювальна система; ОС (computer system) — сукупність програмних-апаратних засобів, призначених для обробки інформації.
4.1.2 Автоматизована система; АС (automated system) — організаційно-технічна система, що реалізує інформаційну технологію і об’єднує ОС, фізичне середовище, персонал і інформацію, яка обробляється.
4.1.3 Комп’ютерна система; КС (computer system, target of evaluation) —сукупність програмно-апаратніх засобів, яка подана для оцінки.
4.1.4 Політика безпеки інформації (information security policy) — сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, які регламентують порядок обробки інформації.
4.1.5 Загроза (threat) — будь-які обставини або події, що можуть бути причиною порушення політики безпеки інформації і/або нанесення збитків АС.
4.1.6 Безпека інформації (information security) — стан інформації, в якому за-безпечується збереження визначених політикою безпеки властивостей інформації.
4.1.7 Захист інформації в АС (information protection, information security, computer system security) — діяльність, яка спрямована на забезпечення безпеки оброблюваної в АС інформації та АС в цілому, і дозволяє запобігти або ускладнити можливість реалізації загроз, а також знизити величину потенційних збитків внаслідок реалізації загроз.
4.1.8 Комплексна система захисту інформації; КСЗІ — сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС.
4.1.9 Комплекс засобів захисту; КЗЗ (trusted computing base; TCB) — сукупність програмно-апаратних засобів, які забезпечують реалізацію політики безпеки інформації.
4.1.10 Захищена комп’ютерна система; захищена КС (trusted computer system, trusted computer product) — комп’ютерна система, яка здатна забезпечувати захист оброблюваної інформації від певних загроз.
4.1.11 Об’єкт комп’ютерної системи; об’єкт КС (product object, system object) — елемент ресурсу КС, що знаходиться під керуванням КЗЗ і характеризується певними атрибутами і поводженням.
4.1.12 Пасивний об’єкт (passive object) — об’єкт КС, який в конкретному акті доступу виступає як пасивний компонент системи, над яким виконується дія і/або який служить джерелом чи приймальником інформації.
4.1.13 Об’єкт-процес (process object) — виконувана в даний момент програма, яка повністю характеризується своїм контекстом (поточним станом регістрів бчислювальної системи, адресним простором, повноваженнями і т.ін.).
4.1.14 Користувач (user) — фізична особа, яка може взаємодіяти з КС через наданий їй йінтерфейс.
4.1.15 Об’єкт-користувач (user object) — подання фізичного користувача в КС, що створюється в процесі входження користувача в систему і повністю характеризується своїм контекстом (псевдонімом, ідентифікаційним кодом, повноваженнями і т. ін.).
4.1.16 Ідентифікатор об’єкта КС (object identifier) — унікальний атрибут об’єкта КС, що дозволяє однозначно виділити даний об’єкт серед подібних.
4.1.17 Потік інформації (information flow) — передавання інформації від одного до іншого об’єкта КС.
4.1.18 Доступ до інформації (access to information ) — вид взаємодії двох об’єктів КС, внаслідок якого створюється потік інформації від одного об’єкта до іншого і/або відбувається зміна стану системи.
4.1.19 Правила розмежування доступу; ПРД (access mediation rules) — частина політики безпеки, що регламентує правила доступу користувачів і процесів до пасивних об’єктів.
4.1.20 Тип доступу (access type) — суттєвість доступу до об’єкта, що характеризує зміст здійснюваної взаємодії, а саме: проведені дії, напрям потоків інформації, зміни в стані системи (наприклад, читання, запис, запуск на виконання, видаляння, дозапис).
4.1.21 Запит на доступ (access request) — звернення одного об’єкта КС до іншого з метою отримання певного типу доступу.
4.1.22 Санкціонований доступ до інформації (authorized access to information) — доступ до інформації, що не порушує ПРД.
4.1.23 Несанкціонований доступ до інформації; НСД до інформації (unauthorized access to information) — доступ до інформації, здійснюваний з порушенням ПРД.
4.1.24 Захист від несанкціонованого доступу; захист від НСД (protection from unauthorized access) — запобігання або істотне утруднення несанкціонованого доступу до інформації.
4.1.25 Право доступу (access right) — дозвіл або заборона здійснення певного типу доступу.
4.1.26 Повноваження (privilege) — права користувача або процесу на виконання певних дій, зокрема на одержання певного типу доступу до об’єктів.
4.1.27 Керування доступом (access control) — сукупність заходів з визначення повноважень і прав доступу, контролю за додержанням ПРД.
4.1.28 Розмежування доступу (access mediation) — сукупність процедур, що реалізують перевірку запитів на доступ і оцінку на підставі ПРД можливості надання доступу.
4.1.29 Авторизація (authorization) — надання повноважень; встановлення відповідності між повідомленням (пасивним об’єктом) і його джерелом (створившим його користувачем або процесом).
4.1.30 Авторизований користувач (authorized user) — користувач, що володіє певними повноваженнями.
4.1.31 Роль користувача (user role) — сукупність функцій щодо керування КС, КЗЗ і обробки інформації, доступних користувачеві.
4.1.32 Адміністратор (administrator, administrative user) — користувач, роль якого включає функції керування КС і/або КЗЗ.
4.1.33 Адміністратор безпеки (security administrator) — адміністратор, відповідальний за дотримання політики безпеки.
4.1.34 Порушник (user violator) — користувач, який здійснює несанкціонований доступ до інформації.
Властивості інформації і загрози
4.2.1 Ознайомлення (disclosure) — одержання користувачем або процесом інформації, що міститься в об’єкті.
4.2.2 Модифікація (modification) — зміна користувачем або процесом інформації, що міститься в об’єкті.
4.2.3 Критична інформація (sensitive information) — інформація, що вимагає захисту; будь-яка інформація, втрата або неправильне використання якої (модифікація, ознайомлення) може нанести шкоду власникові інформації або АС, або будь-якій іншій фізичній (юридичній) особі чи групі осіб.
4.2.4 Конфіденційність інформації (information confidentiality) — властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем і/або процесом.
4.2.5. Цілісність інформації (information integrity) — властивість інформації, яка полягає в тому, що інформація не може бути модифікована неавторизованим користувачем і/або процесом.
4.2.6 Цілісність системи (system integrity) — властивість системи, яка полягає в тому, що жоден її компонент не може бути усунений, модифікований або доданий з порушенням політики безпеки.
4.2.7 Доступність (availability) — властивість ресурсу системи (КС, послуги, об’єкта КС, інформації), яка полягає в тому, що користувач і/або процес, який володіє відповідними повноваженнями, може використовувати ресурс відповідно до правил, встановлених політикою безпеки, не очікуючи довше заданого (малого) проміжку часу, тобто коли він знаходиться у вигляді, необхідному користувачеві, в місці, необхідному користувачеві, і в той час, коли він йому необхідний.
4.2.8 Спостереженість (accountability) — властивість КС, що дозволяє фіксувати діяльність користувачів і процесів, використання пасивних об’єктів, а також однозначно установлювати ідентифікатори причетних до певних подій користувачів і процесів з метою запобігання порушення політики безпеки і/або забезпечення відповідальності за певні дії.
4.2.9 Атака (attack) — спроба реалізації загрози.
4.2.10 Проникнення (penetration) — успішне подолання механізмів захисту системи.
4.2.11 Вразливість системи (system vulnerability) — нездатність системи протистояти реалізації певної загрози або сукупності загроз.
4.2.12 Компрометація (compromise) — порушення політики безпеки; несанкціоноване ознайомлення.
4.2.13 Втрата інформації (information leakage) — неконтрольоване розповсюдження інформації, що веде до її несанкціонованого одержання.
4.2.14 Прихований канал (covert channel) — спосіб одержання інформації за рахунок використання шляхів передачі інформації, існуючих у КС, але не керованих КЗЗ, або спостереження за існуючими потоками інформації.
4.2.15 Прихований канал з пам’яттю (storage covert channel) — прихований канал, що реалізується шляхом прямого або непрямого запису інформації в певну область пам’яті одним процесом і прямим чи непрямим читанням даної області пам’яті іншим процесом.
4.2.16 Часовий прихований канал (timing covert channel) — прихований канал, що дозволяє передавати інформацію від одного процесу до іншого шляхом модулювання першим процесом часових характеристик системи (наприклад, часу зайнятості центрального процесора), що спостерігаються іншим процесом.
4.2.17 Пропускна здатність прихованого каналу (covert channel bandwidth) — кількість інформації, що одержується використанням прихованого каналу за одиницю часу.
4.2.18 Відмова (fault, failure) — втрата здатності КС або її компонента виконувати певну функцію.
4.2.19 Відмова в обслуговуванні (denial of service) — будь-яка дія або послідовність дій, що призводять будь-яку частину (компонент) системи до виходу із ладу; нездатність системи виконувати свої функції (надавати декларовані послуги) внаслідок виходу із ладу якого-небудь компонента або інших причин.
4.2.20 Невизнання участі (repudiation) — відмова одного з об’єктів КС від факту участі в події, що трапилась.
4.2.21 Відмова від авторства (repudiation of origin) — заперечення причетності до утворення або передачі якого-небудь документа чи повідомлення.
4.2.22 Відмова від одержання (repudiation of receipt) — заперечення причетності до одержання якого-небудь документа або повідомлення.
4.2.23 Комп’ютерний вірус (computer virus) — програма, що володіє здатністю до самовідтворення і, як правило, здатна здійснювати дії, які можуть порушити функціонування КС і/або зумовити порушення політики безпеки.
4.2.24 Програмна закладка (program bug) — потайно впроваджена програма або недокументовані властивості програмного забезпечення, використання яких може призвести до обходу КЗЗ і/або порушення політики безпеки.
4.2.25 Люк (trap door) — залишені розробником недокументовані функції, використання яких дозволяє обминути механізми захисту.
4.2.26 Троянський кінь (Trojan horse) — програма, яка, будучи авторизованим процесом, окрім виконання документованих функцій, здатна здійснювати приховані дії від особи авторизованого користувача в інтересах розробника цієї програми.
4.2.27 Збирання сміття — загроза, що полягає в захопленні і аналізі користувачем або процесом спільно використовуваних об’єктів, звільнених іншим користувачем чи процесом, з метою одержання інформації, що в них знаходиться.