Словарь Терминов по Безопасности и Криптографии

       

Словарь Терминов по Безопасности и Криптографии


Словарь Терминов по Безопасности и Криптографии

Автор словаря: Европейский Институт Стандартов по Электросвязи.

Перевод выполнен специалистами Киевского военного института управления и связи.

Подготовил к публикации: Карэн Исагулиев &copy, ЗАО "КТС".

Авторизация - разрешение, передаваемое владельцем, с определенной целью.

Альтернативные определения - Передача прав, включая передачу доступа, основанную на правах доступа. Свойство, посредством которого устанавливаются и реализуются права доступа к ресурсам.

Администрация безопасности - должностное лицо, которое устанавливает политику безопасности, а также идентифицирует объекты и участников, к которым применяется политика.

Аккредитация - процедура приемки системы для использования в конкретном окружении.

Активная атака - реализация активной угрозы.

Активная угроза - угроза намеренного несанкционированного изменения состояния системы.

Алгоритм аутентификации - алгоритм аутентификации - это последовательность связанной с безопасностью информации, которая известна пользователю или содержится в устройстве доступа. Он используется для защищенного доступа к услуге. Могут использоваться сложные алгоритмы.

Алгоритм блочного шифрования (n-битный) - алгоритм блочного шифрования, в котором блоки открытого текста и блоки шифротекста имеют длину n бит.

Альтернативное определение - Криптографическая система, в которой открытый текст и шифротекст разбиты на блоки

Алгоритм поточного шифра - криптографическая система, в которой открытый текст и зашифрованный текст обрабатываются как непрерывный поток.

Анализ риска - анализ ресурсов и уязвимости системы для установления ожидаемых потерь в случае определенных событий, основанный на оценках вероятности наступления этих событий.

Анализ трафика - Получение информации из наблюдения за потоками трафика (наличие, отсутствие, объем, направление и частота).

Анонимность - принцип, в соответствии с которым чья-либо идентичность скрывается от других сторон.

Архитектура безопасности - архитектура участников и объектов, относящихся к безопасности, и полное множество процедур информации и потоков информации для реализации характеристик безопасности.

Аутентификационная информация - информация, используемая для установления достоверности заявленной идентичности.

Аутентификационный запрос - информация, используемая заявителем для получения обменной аутентификационной информации в целях аутентификации принципала.

Аутентификационный маркер - информация, передаваемая при процедуре сильной аутентификации; может использоваться для аутентификации ее отправителя.

Аутентификационный сертификат - аутентификационная информация в виде сертификата безопасности, который может использоваться для подтверждения идентичности объекта, гарантируемой органом аутентификации.

Аутентификация - свойство, посредством которого устанавливается правильная идентичность объекта или стороны с требуемой гарантией

Аутентификация источника данных - подтверждение того, что заявленный источник принятых данных является таковым.

Аутентификация однорангового объекта - подтверждение, что взаимодействующий заявленный одноранговый объект является таковым.

Аутентификация объекта - подтверждение, что заявленный объект является таковым.

Аутентификация пользователя - процесс, разработанный для проверки истинности заявки пользователя относительно своей идентичности.

Аутентификация сообщения - проверка того, что сообщение было послано неповрежденным, неизмененным и от подразумеваемого отправителя предназначенному получателю.

Аутентичность - избежание недостатка полноты или точности при санкционированных изменениях информации.


Действующая привилегия - привилегия, которая в текущий момент может использоваться процессом. Система принимает во внимание только действующие привилегии при осуществлении контроля доступа и принятии других решений, связанных с политикой безопасности.

Дешифрование - обратное выполнение соответствующего обратимого шифрования.

Доверенная третья сторона - орган безопасности или его представитель, которому другие объекты доверяют при осуществлении деятельности, связанной с безопасностью. В частности, доверенной третьей стороне доверяет заявитель и/или проверяющий в целях аутентификации.

Доверенная функциональная возможность - та, которая воспринимается правильной относительно некоторых критериев, например, установленная политикой безопасности.

Домен - см. "домен безопасности".

Домен безопасности - множество объектов и участников, подчиняющихся единой политике безопасности и единой администрации безопасности.

Допуск - атрибут пользователя, разрешающий информационный доступ ко всей чувствительной информации заданного и более низких грифов секретности.

Достоверность - общая точность и полнота информации.

Доступ - способность использовать или вступать в контакт с информацией, либо ресурсами ИТ в информационной системе.

Доступ к информации - способность использовать определенную информацию в рамках информационной системы.

Доступность - избежание неприемлемой задержки в получении санкционированного доступа к информации или ресурсам ИТ.

Альтернативное определение - Свойство быть доступным и используемым по запросу санкционированного объекта.

Доступность информации - избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Дублирование информации - резервная копия информации, которую можно использовать для восстановления.

Заверение - регистрация данных у доверенной третьей стороны, обеспечивающая последующую гарантию точности их характеристик, таких как содержание, время и факт доставки.

Загрузчик ключа - электронный автономный блок для хранения, по крайней мере, одного криптографического ключа и передачи его по запросу в оборудование.

Заявитель - объект, который является принципалом или представляет его от имени этого объекта при аутентификационном обмене. Заявитель выполняет функции, необходимые для обеспечения аутентификационного обмена от имени принципала.

Идентификационная политика безопасности - политика безопасности, основанная на идентичностях и/или атрибутах пользователей, группы пользователей или объектов, действующих от имени пользователей, и ресурсов/объектов, к которым осуществляется доступ.



Идентификация пользователя - процесс, с помощью которого система ИТ распознает пользователя на основе соответствия более раннему описанию.

Идентичность - уникальный системный признак, применяемый для пользователя.

Избирательная защита полей - защита определенных полей сообщения, предназначенного для передачи.

Избыточность - дублирование (критичных) компонентов информационной системы для уменьшения воздействия неисправностей.

Изменение информационной метки - операция, при которой одна информационная метка сочетается с другой информационной меткой. Результатом операции может быть изменение одной из сочетаемых информационных меток (например, если процесс с одной информационной меткой пишет в файл с другой информационной меткой, метка файла может измениться), либо возврат новой информационной метки. Информационная метка, получившаяся в результате изменения, определяется условиями реализации.

Инициализирующее (начальное) значение - значение, используемое для установления начальной точки процесса шифрования.

Инструкционная политика безопасности - политика безопасности, основанная общих правилах, обязательных для всех пользователей. Эти правила обычно основаны на сравнении чувствительности ресурсов, к которым требуется доступ, и наличии соответствующих атрибутов у пользователей, групп пользователей или объектов, выступающих от имени пользователей.



Канальное шифрование - индивидуальное использование шифрования данных на каждом канале системы связи (см. также "оконечное шифрование").

Класс регистрируемого события - способ классификации регистрируемых событий по группам на основе типов регистрируемых событий. Тип регистрируемых событий может охватывать несколько классов регистрируемых событий.

Класс функциональных возможностей - предопределенное множество механизмов безопасности, описанных общим образом.

Альтернативное определение - Предопределенное множество дополнительных функций осуществления безопасности, которое может быть реализовано в предмете оценки.

Ключ - последовательность символов, которая управляет выполнением шифрования и дешифрования.

Ключевое отношение - состояние, существующее между связующейся парой, в течение которого они совместно владеют, по крайней мере, одним ключом данных.

Ключевой материал, криптографический ключевой материал - данные (например, ключи и инициализирующие значения), необходимые для установления и ведения ключевого отношения.

Код аутентификации сообщения (КАС) - поле данных, используемое для проверки аутентичности сообщения.

Компонент ключа - один из двух или нескольких параметров, имеющий формат криптографического ключа и объединяемый с одним или несколькими подобными параметрами путем сложения по модулю 2 для формирования криптографического ключа.

Контрмеры - услуги безопасности или механизмы, разработанные для противостояния определенной угрозе

Контроль (аудит) безопасности - независимая проверка безопасности информационной системы с определенными целями.

Альтернативное определение - независимый просмотр и изучение системных записей и действий для проверки адекватности системных средств управления, обеспечения соответствия установленной политике и рабочим процедурам, обнаружения брешей в безопасности и выдачи рекомендаций по изменению управления, политики и процедур.

Контроль доступа - предотвращение несанкционированного использования ресурса, в том числе предотвращение использования ресурса несанкционированным образом.

Контроль доступа для записи - контроль доступа к информации с целью изменения определенной информации или данных в определенной информационной системе.

Контроль доступа для чтения - контроль доступа к информации, выполняемого для инициирования перемещения определенной информации или данных из определенной информационной системы.

Контроль доступа к информации - разрешение доступа к информации только полномочным пользователям.

Контроль доступа к системе - разрешение доступа к системе только санкционированным пользователям.

Контрольный журнал - свидетельство, в документальной или другой форме, обеспечивающее проверку функционирования элементов информационной системы.



Альтернативное определение - Исторические данные и информация, доступные для изучения с целью доказательства правильности и целостности выполнения установленных процедур безопасности, связанных с ключом или транзакцией (транзакциями), и возможности обнаружения брешей в безопасности

Контрольный журнал безопасности - данные, собираемые и потенциально используемые для облегчения контроля безопасности.

Конфиденциальность - избежание раскрытия информации без разрешения ее владельца.

Альтернативное определение - Свойство, заключающееся в том, что информация не становится доступной или раскрытой несанкционированным лицам, объектам или процессам.

Конфиденциальность потока трафика - Услуга конфиденциальности для защиты от анализа трафика.

Корпоративная политика безопасности - совокупность законов, правил и мероприятий, регулирующих управление, защиту и распределение ресурсов, в том числе чувствительной информации, в пользовательской среде.

Криптоанализ - анализ криптографической системы и/или ее входных и выходных данных для получения конфиденциальных переменнных и/или чувствительных данных, в том числе открытого текста.

Криптографическая синхронизация - согласование процесса шифрования и дешифрования.

Криптографическая система, криптосистема - совокупность преобразований открытого текста в шифротекст и наоборот, при чем определенное используемое преобразование (преобразования) выбирается посредством ключей. Преобразования обычно определяются математическим алгоритмом.

Криптографический ключ - параметр, используемый в алгоритме для проверки достоверности, аутентификации, шифрования или дешифрования сообщения.

Криптографическое контрольное число - информация, получаемая при выполнении криптографического преобразования (см. "криптография") над блоком данных.

Криптографическое устройство - блок или узел электронной аппаратуры, реализующий алгоритм шифрования.

Криптографическое оборудование - оборудование, в котором выполняются криптографические функции (например, шифрование, аутентификация, генерация ключей).

Криптография - дисциплина, включающая принципы, средства и методы преобразования данных с целью сокрытия их информационного содержания, предотвращения их необнаружимой модификации и/или несанкционированного использования.

Криптопериод - временной интервал, в течение которого разрешено использование определенного ключа, либо в течение которого могут действовать ключи для данной системы.

Критичный механизм - входящий в предмет оценки механизм, который не защищен другими механизмами и чей отказ приведет к ослаблению безопасности.

Лазейка - скрытый программный или аппаратный механизм, позволяющий обойти системные механизмы защиты. Активизируется некоторым неочевидным способом (например, специальная "случайная" последовательность нажатий на клавиши терминала).



Личные данные - любая информация, связанная с идентифицируемым лицом.

Мандат - маркер, используемый в качестве идентификатора ресурса; обладание маркером предоставляет права доступа к ресурсу.

Маркер - Обменння аутентификационная информация, передаваемая при аутентификационном обмене.

Маскарад - попытка объекта выдать себя за другой объект.

Альтернативное определение - Нападение на систему, в котором участвует несанкционированный объект, выдающий себя за санкционированный объект с целью получения доступа к системным ресурсам.

Мера обеспечения безопасности - мера, разработанная для предотвращения нарушения безопасности или ограничения его воздействия.

Метка безопасности - маркировка, присоединяемая к ресурсу (который может быть блоком данных); именует или назначает атрибуты безопасности этого ресурса.

Механизм безопасности - логическая схема или алгоритм, реализующие определенную функцию защиты программно или аппаратно.

Многоуровневый справочник - объект файловой системы, похожий на обычный справочник, но со специальной семантикой путевого имени, которая зависит от метки кода аутентификации сообщения субъекта.

Мониторинг (текущий контроль) - непрерывный процесс обнаружения, предназначенный для идентификации характера и времени происшествий или нарушений защиты.

Назначение ПИН - процесс установления связи между аутентификацией покупателя и идентификационными данными.

Нарушение безопасности - событие, при котором компрометируется один или несколько аспектов - доступность, конфиденциальность, целостность и достоверность.

Наследуемая привилегия - привилегия, для которой установлен признак привилегии наследуемого процесса.

Начальное значение - переменная, получаемая из инициализирующего значения и используемая для определения начальной точки режимов работы.

Непривилегированный субъект - субъект без соответствующих привилегий для выполнения операции.

Непризнание участия - отказ одного из взаимодействующих объектов от факта участия во всех или части процедур взаимодействия.

Несанкционированный - без определенного разрешения владельца.

Hесимметричный метод аутентификации - метод демонстрации знания секрета, в котором не каждый из объектов имеет всю аутентификационную информацию.

Обмен данными безопасности - передача протокольной управляющей информации между открытыми системами как часть работы механизма безопасности.



Обменная аутентификационная информация - информация, которой обмениваются заявитель и проверяющий в процессе аутентификации принципала.

Обнаружение - установление факта происшествия или нарушения безопасности.

Обнаружение манипуляций - механизм, используемый для обнаружения модификации блока данных (случайной или преднамеренной).

Обнаружение происшествий - установление факта происшествия.

Объект безопасности - пассивный объект, к которому предоставляется или запрещается доступ в соответствии с политикой предоставления полномочий.

Ограничение привилегии - практика предоставления привилегии только на требуемый период для выполнения определенной функции.

Ограничение урона - снижение с помощью соответствующих мер и действий последствий нарушения безопасности.

Односторонняя функция - (математическая) функция, которую легко вычислить, но для которой вычислительно сложно найти обращение.

Оконечное (абонентское) шифрование - шифрование данных, выполняемое в пределах оконечной системы-источника, с соответствующим дешифрованием, выполняемым только в пределах оконечной системы-адресата.

Онлайновый (оперативный) аутентификационный сертификат - особый вид аутентификации, сертифицированный доверенным органом; может использоваться для аутентификации после непосредственного взаимодействия с органом.

Орган сертификации - орган, которому один или несколько пользователей доверяют создание и назначение сертификатов. Дополнительно орган сертификации может создавать ключи пользователей.

Основная информация о счете - данные в финансовом учреждение, которые служат для идентификации лица и установления связи этого лица со счетами.

Основной номер счета - назначенный номер, который идентифицирует эмитента и владельца карточки. Данный номер состоит из идентификационного номера эмитента, идентификатора индивидуального счета и соответствующего контрольного значения, определяемых стандартом МОС 7812.

Открытый текст - читаемые данные с доступным семантическим содержанием.

Отказ в услуге - воспрепятствование санкционированному доступу к ресурсам, либо задержка критичная ко времени операций.

Отличительный идентификатор - информация, которая однозначно определяет объект в процессе аутентификации.

Относящийся к безопасности - тот, что может скомпрометировать осуществление безопасности

Оффлайновый (независимый) аутентификационный сертификат - особый вид аутентификационной информации, связывающий идентичность с криптографическим ключом и сертифицированный доверенным органом; может использоваться без непосредственного взаимодействия с органом.

Оценка уязвимости - аспект оценивания эффективности предмета оценки, а именно могут ли на практике известные уязвимые места предмета оценки скомпрометировать его безопасность, определяемую предметом безопасности



Пароль - секретная строка символов, используемая при аутентификации пользователя.

Альтернативное определение - Конфиденциальная аутентификационная информация, состоящая обычно последовательности символов.

Пассивная угроза - угроза несанкционированного раскрытия информации без изменения состояния системы.

Пассивное нападение - реализация пассивной угрозы.

Передача риска - меры, принимаемые для снижения воздействия на владельца информации и/или владельца системы, либо на их организацию путем переназначения всего или части потенциального воздействия на третью сторону.

Переменный временной параметр - элемент данных, используемый объектом для проверки того, что сообщение не является повторно переданным.

Персональный идентификационный номер (ПИН) - ПИH - это 4-12-значный буквенно-цифровой код или пароль, имеющийся у покупателя для аутентификации

Подпись - строка битов, полученная в процессе подписи.; см. "цифровая подпись".

Политика защищенного взаимодействия - общие аспекты политик безопасности, действующих в каждом из взаимодействующих приложении и процессе.

Политика безопасности - множество критериев для обеспечения услуг безопасности (см. также "Идентификационная" и "Инструкционная политика безопасности")

Альтернативное определение - Множество правил, определяющих и ограничивающих виды деятельности объектов и участников, относящиеся к безопасности.

Порядковый номер сертификата - целочисленное значение, которое является уникальным для выпускающего органа сертификации и однозначно ассоциируется с сертификатом, выпущенным органом сертификации.

Предмет безопасности - спецификация безопасности, требуемой от предмета оценки; используется в качестве основы при оценке. Предмет безопасности определяет функции безопасности предмета оценки. Он также может определять цели безопасности, угрозы этим целям и конкретные внедряемые механизмы безопасности.

Предмет оценки - система ИТ или продукт, подвергаемый оценке безопасности.

Преднамеренная угроза - угроза, в основе которой лежит злое намерение человека.

Предотвращение непризнания участия - доказательство отправки или доставки данных, осуществляемых между двумя связующимися компонентами ИТ, предотвращающее последующие ложные отказы пользователя от факта передачи или приема таких данных или их содержания.



Альтернативное определение - Свойство, в соответствии с которым один из объектов или одна из сторон, участвующих в связи, не могут отрицать свое участие во всем или в части процесса связи.

Привилегия (полномочие) - способность осуществлять контролируемую или с ограниченным доступом услугу.

Признак привилегии процесса - каждый процесс в соответствующей системе может иметь несколько связанных с ним признаков привилегий. Состояние данных признаков привилегий определяет, может ли данная привилегия использоваться в текущий момент или контролироваться процессом.

Проверка достоверности - процесс проверки целостности сообщения или его отдельных частей.

Проверочная аутентификационная информация - информация, используемая проверяющим для проверки идентичности, заявленной с помощью информации обменной аутентификации.

Проверяющий - объект, который сам является или представляет объект, требующий аутентифицированной идентичности. Проверяющий наделен функциями, необходимыми для выполнения аутентификационных обменов.

Происшествие - событие, которое может представлять осуществление угрозы.

Профиль гарантии - гарантийное требование к предмету оценки, в соответствии с которым для разных функций безопасности требуются разные уровни доверия.

Рабочие процедуры - совокупность правил, устанавливающих правильное использование предмета оценки.

Разделение обязанностей - процедура, которая обеспечивает участие, по крайней мере, двух человек данной организации в любой работе, связанной (в частности) с чувствительной информацией.

Разделенное знание - условие, при котором две или более стороны раздельно и конфиденциально имеют на хранении компоненты одного ключа, которые по отдельности не дают знания результирующего криптографического ключа.

Разрешенная привилегия - привилегия, для которой установлен признак привилегии разрешенного процесса.

Распределенная безопасность - безопасность информационной системы, разделенной ("распределенной") на две или более взаимосвязанные системы, часто находящиеся в различных географических местоположениях и требующие координированных действий для достижения функциональных требований.

Регистрационная запись - дискретный блок данных, записываемый в контрольный журнал при наступлении регистрируемого события. Регистрационная запись состоит из множества регистрационных описаний, каждое из которых имеет ассоциируемые с ним регистрационные атрибуты. Каждая регистрационная запись всегда имеет регистрационное описание заголовка записи и, как правило, дополнительные регистрационные описания субъекта(ов) и объекта(ов), участвующих в событии.

Регистрационная поствыборка - процесс, в ходе которого аудитор выбирает записи из контрольного журнала для анализа. Поствыборка обеспечивает гибкость работы аудитора при выборе записей.

Регистрационная предварительная выборка - процесс, в ходе которого система решает, создавать или нет регистрационную запись при каждом наступлении регистрируемого события. Предварительная выборка предоставляет аудитору средства снижения объема создаваемых регистрационных записей, создавая при этом записи, важные для анализа.

Регистрационное описание - часть регистрационной записи, которая описывает один из субъектов и/или объектов, участвующих в регистрируемом событии.

Регистрация работы - возможность информационной системы, позволяющая отследить в системе действия лиц или идентичностей.

Регистрируемое событие - внутренне обнаруживаемое системой действие, которое может привести к созданию регистрационной записи. Если событие приводит к созданию регистрационной записи (для записи в контрольный журнал), это "записываемое событие", в противном случае - "незаписываемое событие". Система при обнаружении каждого события решает на основе алгоритма регистрационной предварительной выборки, создавать или нет регистрационную запись. Множество регистрируемых событий определяется системной политикой безопасности.

Рейтинг - мера гарантии, которая может устанавливаться для предмета оценки; состоит из указания его предмета безопасности, уровня оценки, устанавливаемого путем оценивания правильности его реализации, мнения о его эффективности в контексте существующего или предполагаемого рабочего применения и подтвержденного рейтинга минимальной стойкости механизмов безопасности в контексте этого применения.

Риск - производное от воздействия и опасности. В данном определении как опасность, так и воздействие относятся к одному и тому же определенному сочетанию "угроза-уязвимость". Рассчитанный подобным образом риск для каждого отдельного сочетания "угроза-уязвимость" дает в сумме общий риск. На практике термин "риск" часто используется более упрощенно; при этом используется ограниченный диапазон уровней и для опасности и для воздействия (например, высокий, низкий и средний уровни), что приводит к такому же ограниченному диапазону уровней риска. Риск представляет собой вероятный убыток или возрастание стоимости, являющиеся результатом определенного сочетания "угроза-уязвимость". Данная частная концепция и ее определение наиболее полезны, если можно выполнить надлежащие статистические расчеты на большом объеме данных, обеспечивающем достоверность, например, в страховом деле. Отдельная организация обычно полагается на более простые оценки опасности и воздействия.

Сертификат - открытые ключи пользователя и некоторая другая информация, защищенные от подделки с помощью шифрования на секретном ключе органа сертификации, выпустившего сертификат.



Сертификационный путь - упорядоченная последовательность сертификатов объектов в информационном дереве справочника, которую можно обработать совместно с открытым ключом начального объекта пути для получения последнего объекта пути.

Альтернативное определение - Выпуск формальных заявлений, подтверждающих результаты оценки и правильность использования критериев оценки.

Сертифицирующее учреждение - независимая и непредвзятая государственная организация, выполняющая сертификацию.

Системная политика безопасности - совокупность законов, правил и практических методов, регулирующих порядок управления, защиты и распределения чувствительной информации и других ресурсов в определенной системе.

Скрытый канал - использование механизма, не предназначенного для передачи данных, с целью пересылки информации способом, нарушающим безопасность.

Случайная угроза - угроза, происхождение которой не является злонамеренным.

Смещение ключа, смещение - процесс сложения по модулю 2 счетчика с ключом.

Событие, связанное с безопасностью - событие, имеющее отношение к безопасности.

Состояние безопасности - информация состояния, хранимая в открытой системе и требуемая для обеспечения услуг безопасности ВОС.

Состояние привилегии процесса - переменная состояния, идентифицирующая значение всех определенных признаков привилегий процесса для всех привилегий, определенных при реализации.

Список доступа - список объектов, имеющих разрешение на доступ к ресурсу, в совокупности с их правами доступа.

Средства обнаружения - обнаружение и выполнение соответствующих восстановительных действий.

Средства управления ключами - защищенный замкнутый объем (например, комната или криптографическое оборудование) и его содержимое для размещения криптографических элементов.

Срок безопасности - временной интервал, в течение которого криптографически защищенные данные имеют ценность.

Стойкость механизма - аспект оценивания эффективности предмета оценки, а именно свойство его механизмов безопасности противостоять непосредственному нападению на недостатки в их алгоритмах, принципах и свойствах.

Субъект безопасности - активный объект, которому предоставляется или запрещается доступ к объектам безопасности в соответствии с политикой предоставления полномочий.

Сцепление блоков - шифрование информации таким образом, что каждый блок шифротекста криптографически зависим от предшествующего блока шифротекста.

Техническая политика безопасности - совокупность законов, правил и практических методов, регулирующих обработку чувствительной информации и использование ресурсов аппаратным и программным обеспечением системы ИТ или продукта (European IT SysITSEC).



Техническая угроза - угроза, возникающая в результате технологической неисправности за пределами системы ИТ.

Техническая уязвимость - уязвимость, возникающая в результате неисправности технологического компонента системы ИТ.

Троянский конь - компьютерная программа с видимо или действительно полезной функцией, которая содержит дополнительные (скрытые) функции, тайно использующие законные полномочия инициирующего процесса в ущерб безопасности. Например, снятие "слепой копии" чувствительного файла для создателя троянского коня.

Угроза - потенциальное действие или событие, которое может привести к нарушению одного или более аспектов безопасности информационной системы.

Альтернативные определения - Действие или событие, которое может нанести ущерб безопасности. Потенциальное нарушение безопасности.

Угроза со стороны человека - угроза, проистекающая из действий человека.

Управление безопасностью - управление аспектами безопасности, связанными с управлением сетью и услугами, включая административные, функциональные и эксплуатационные вопросы.

Управление ключами - выработка, хранение, распределение, уничтожение, архивирование и использование ключей в соответствии с политикой безопасности.

Управление маршрутизацией - выполнение правил в процессе маршрутизации с целью выбора или избежания определенных сетей, соединений или коммутационных станций.

Услуга безопасности - услуга, предоставляемая уровнем взаимодействующих открытых систем и обеспечивающая надлежащую безопасность систем или передачи данных.

Устойчивая к конфликтам - свойство функции, для которой вычислительно невозможно найти различные входные значения, приводящие к одному и тому же выходному значению.

Учитываемость - принцип, в соответствии с которым лица несут ответственность за последствия любых своих действий, которые могут привести к нарушению безопасности.

Альтернативное определение - Свойство, позволяющее однозначно отследить действия объекта.

Уязвимость - слабое место в информационной системе, которое может привести к нарушению безопасности.



Альтернативное определение - Слабое место в безопасности предмета оценки ввиду ошибок при анализе, проектировании, внедрении или функционировании.

Физическая безопасность - меры, предпринимаемые для обеспечения физической защиты ресурсов от преднамеренных и случайных угроз.

Физическая защита - устройства и процедуры, разработанные для защиты компонентов информационной системы, а также структуры, в которых они размещаются для защиты от ущерба со стороны физических угроз.

Физическая угроза - угроза, последствия которой приводят к физическому повреждению информационной системы.

Формальная модель политики безопасности - математически точное определение политики безопасности.

Функция общей безопасности - объект, который моделирует связанную с безопасностью обработку и спецификация которого выпадает за рамки ВОС; при этом объект может быть вызван объектами ВОС.

Хэш-код - результат применения к битам данных хэш-функции.

Хэш-функция - (математическая) функция, отображающая значения из (возможно, очень) большого множества значений в меньший диапазон значений.

Цели безопасности - вклад в безопасность, который должен обеспечить предмет оценки

Целостность - избежание несанкционированной модификации информации.

Альтернативные определения - Предотвращение несанкционированной модификации информации.

Целостность данных - свойство, в соответствии с которым данные не были изменены или разрушены несанкционированным образом.

Целостность личных данных - свойство, заключающееся в том, что личные данные не были изменены или разрушены несанкционированным образом.

Целостность системы - свойство, заключающееся в том, что данные и методы обработки данных нельзя изменить или разрушить несанкционированным образом.

Цель - максимальный остаточный предельный риск, который готов допустить владелец информации или его представитель.

Центр сертификации ключей - средства, управляемые органом сертификации, для выработки и возврата сертификатов.

Цифровая подпись - данные, добавляемые к блоку данных, или криптографическое преобразование (см. "криптография") блока данных, позволяющее получателю блока данных проверить источник и целостность блока данных и защититься от подделки, например, со стороны получателя.

Цифровой отпечаток - характеристика элемента данных, такая как криптографическое контрольное число или результат применения к данным односторонней функции; в значительной степени индивидуальна для элемента данных, при этом вычислительно невозможно найти другой элемент данных, обладающий такой же характеристикой.

Человеческая уязвимость - уязвимость людей, составляющих часть ИТ.



Червь - независимая программа, которая воспроизводится путем копирования себя из одного компьютера в другой, как правило, в сети. Отличается от вируса тем, что не портит данные/программы и не вызывает непредсказуемого поведения, однако может вызвать неоправданную загрузку каналов связи и памяти.

Чувствительная информация - информация, несанкционированное раскрытие, модификация или сокрытие которой может привести к ощутимому убытку или ущербу для кого-то или для чего-то.

Чувствительность - мера важности, приписываемая чувствительной информации ее владельцем для указания необходимости в защите.

Альтернативное определение - Характеристика ресурса, обозначающая его ценность или важность, в том числе его уязвимость.

Шифрование - криптографическое преобразование данных (см. "криптография") для получения шифротекста.

Шифротекст - данные, полученные в результате шифрования. Семантическое содержание полученных данных недоступно.

Эмитент - учреждение, которое выпускает карточки для их владельцев; отвечает за общий файл данных и распределение файлов прикладных данных.

Язык заявок - ограниченное подмножество естественного языка, применяемое для снижения неоднозначности при описании потребности в мерах обеспечения защиты и их заявленных функциональных возможностей.


Содержание раздела