Властивості інформації і загрози

4.2.1 Ознайомлення (disclosure) — одержання користувачем або процесом інформації, що міститься в об’єкті. 

4.2.2 Модифікація (modification)  — зміна користувачем або процесом інформації, що міститься в об’єкті.  

4.2.3 Критична інформація (sensitive information) — інформація, що вимагає захисту; будь-яка інформація, втрата або неправильне використання якої (модифікація, ознайомлення) може нанести шкоду власникові інформації або АС, або будь-якій іншій фізичній (юридичній) особі чи групі осіб.

4.2.4 Конфіденційність інформації (information confidentiality) — властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем і/або процесом.

4.2.5. Цілісність інформації (information integrity) — властивість інформації, яка полягає в тому, що інформація не може бути модифікована неавторизованим користувачем і/або процесом.

4.2.6 Цілісність системи (system integrity) — властивість системи, яка полягає в тому, що жоден її компонент не може бути усунений, модифікований або доданий з порушенням політики безпеки.

4.2.7 Доступність (availability) — властивість ресурсу системи (КС, послуги, об’єкта КС, інформації), яка полягає в тому, що користувач і/або процес, який володіє відповідними повноваженнями, може використовувати ресурс відповідно до правил, встановлених політикою безпеки, не очікуючи довше заданого (малого) проміжку часу, тобто коли він знаходиться у вигляді, необхідному користувачеві, в місці, необхідному користувачеві, і в той час, коли він йому необхідний.

4.2.8 Спостереженість (accountability) — властивість КС, що дозволяє фіксувати діяльність користувачів і процесів, використання пасивних об’єктів, а також однозначно установлювати ідентифікатори причетних до певних подій користувачів і процесів з метою запобігання порушення політики безпеки і/або забезпечення відповідальності за певні дії.

4.2.9 Атака (attack) — спроба реалізації загрози.

4.2.10 Проникнення (penetration) — успішне подолання механізмів захисту системи.

4.2.11 Вразливість системи (system vulnerability) — нездатність системи протистояти реалізації певної загрози або сукупності загроз.

4.2.12 Компрометація (compromise) — порушення політики безпеки; несанкціоноване ознайомлення.

4.2.13 Втрата інформації (information leakage) — неконтрольоване розповсюдження інформації, що веде до її несанкціонованого одержання.

4.2.14 Прихований канал (covert channel) — спосіб одержання інформації за рахунок використання шляхів передачі інформації, існуючих у КС, але не керованих КЗЗ, або спостереження за існуючими потоками інформації.

4.2.15 Прихований канал з пам’яттю (storage covert channel) — прихований канал, що реалізується шляхом прямого або непрямого запису інформації в певну область пам’яті одним процесом і прямим чи непрямим читанням даної області пам’яті іншим процесом.

4.2.16 Часовий прихований канал (timing covert channel) — прихований канал, що дозволяє передавати інформацію від одного процесу до іншого шляхом модулювання першим процесом часових характеристик системи (наприклад, часу зайнятості центрального процесора), що спостерігаються іншим процесом.

4.2.17 Пропускна здатність прихованого каналу (covert channel bandwidth) — кількість інформації, що одержується використанням прихованого каналу за одиницю часу.

4.2.18 Відмова (fault, failure) — втрата здатності КС або її компонента виконувати певну функцію.

4.2.19 Відмова в обслуговуванні (denial of service) — будь-яка дія або послідовність дій, що призводять будь-яку частину (компонент) системи до виходу із ладу; нездатність системи виконувати свої функції (надавати декларовані послуги) внаслідок виходу із ладу якого-небудь компонента або інших причин.

4.2.20 Невизнання участі (repudiation) — відмова одного з об’єктів КС від факту участі в події, що трапилась.

4.2.21 Відмова від авторства (repudiation of origin) — заперечення причетності до утворення або передачі якого-небудь документа чи повідомлення.

4.2.22 Відмова від одержання (repudiation of receipt) — заперечення причетності до одержання якого-небудь документа або повідомлення.

4.2.23 Комп’ютерний вірус (computer virus) — програма, що володіє здатністю до самовідтворення і, як правило, здатна здійснювати дії, які можуть порушити функціонування КС і/або зумовити порушення політики безпеки.

4.2.24 Програмна закладка (program bug) — потайно впроваджена програма або недокументовані властивості програмного забезпечення, використання яких може призвести до обходу КЗЗ і/або порушення політики безпеки.

4.2.25 Люк (trap door) — залишені розробником недокументовані функції, використання яких дозволяє обминути механізми захисту.

4.2.26 Троянський кінь (Trojan horse) — програма, яка, будучи авторизованим процесом, окрім виконання документованих функцій, здатна здійснювати приховані дії від особи авторизованого користувача в інтересах розробника цієї програми.

4.2.27 Збирання сміття — загроза, що полягає в захопленні і аналізі користувачем або процесом спільно використовуваних об’єктів, звільнених іншим користувачем чи процесом, з метою одержання інформації, що в них знаходиться.