ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
2 Определения
2.1 Общие сокращения
Следующие сокращения являются общими для всех частей ОК.
ЗБ (ST) | Задание по безопасности | |||
ИТ (IT) | Информационная технология | |||
ИФБО (TSFI) | Интерфейс ФБО | |||
ОДФ (TSC) | Область действия ФБО | |||
ОК (СС) | Общие критерии, исторически сложившееся название, часто используемое в ГОСТ Р ИСО/МЭК 15408 вместо его официального названия "Критерии оценки безопасности информационных технологий" | |||
ОО (TOE) | Объект оценки | |||
ОУД (EAL) | Оценочный уровень доверия | |||
ПБО (TSP) | Политика безопасности ОО | |||
ПЗ (РР) | Профиль защиты | |||
ПФБ (SFP) | Политика функции безопасности | |||
СФБ (SOF) | Стойкость функции безопасности | |||
ФБ (SF) | Функция безопасности | |||
ФБО (TSF) | Функции безопасности ОО | |||
2.2 Область применения глоссария
Подраздел 2.3 содержит только те термины, которые используются во всем тексте ОК особым образом. Большинство терминов в ОК применяется согласно словарным или общепринятым определениям, которые включены в глоссарии по безопасности ИСО или в другие широко известные сборники терминов по безопасности. Некоторые комбинации общих терминов, используемые в ОК и не вошедшие в глоссарий, объясняются непосредственно в тексте по месту использования. Объяснение терминов и понятий, применяемых особым образом в ГОСТ Р ИСО/МЭК 15408-2 и ГОСТ Р ИСО/МЭК 15408-3, можно найти в подразделе "Парадигма" соответствующего стандарта.
2.3 Глоссарий
В ГОСТ Р ИСО/МЭК 15408 применяются следующие термины.
активы: Информация или ресурсы, подлежащие защите контрмерами ОО. | assets | |
атрибут безопасности: Информация, связанная с субъектами, пользователями и/или объектами, которая используется для осуществления ПБО. | security attribute | |
аутентификационные данные: Информация, используемая для верификации предъявленного идентификатора пользователя. | authentication data | |
базовая СФБ: Уровень стойкости функции безопасности ОО, на котором, как показывает анализ, функция предоставляет адекватную защиту от случайного нарушения безопасности ОО нарушителями с низким потенциалом нападения. | SOF-basic | |
внешний объект ИТ: Любые продукт или система ИТ, доверенные или нет, находящиеся вне ОО и взаимодействующие с ним. | external IT entity | |
внутренний канал связи: Канал связи между разделенными частями ОО. | internal communication channel | |
выбор: Выделение одного или нескольких элементов из перечня в компоненте. | selection | |
высокая СФБ: Уровень стойкости функции безопасности ОО, на котором, как показывает анализ, функция предоставляет адекватную защиту от тщательно спланированного и организованного нарушения безопасности ОО нарушителями с высоким потенциалом нападения. | SOF-high | |
данные ФБО: Данные, созданные ФБО или для ФБО, которые могут повлиять на выполнение ФБО. | TSF data | |
данные пользователя: Данные, созданные пользователем и для пользователя, которые не влияют на выполнение ФБО. | user data | |
доверенный канал: Средство взаимодействия между ФБО и удаленным доверенным продуктом ИТ, обеспечивающее необходимую степень уверенности в поддержании ПБО. | trusted channel | |
доверенный маршрут: Средство взаимодействия между пользователем и ФБО, обеспечивающее необходимую степень уверенности в поддержании ПБО. | trusted path | |
доверие: Основание для уверенности в том, что сущность отвечает своим целям безопасности. | assurance | |
зависимость: Соотношение между требованиями, при котором требование, от которого зависят другие требования, должно быть, как правило, удовлетворено, чтобы и другие требования могли отвечать своим целям. | dependency | |
задание по безопасности: Совокупность требований безопасности и спецификаций, предназначенная для использования в качестве основы для оценки конкретного ОО. | security target | |
идентификатор: Представление уполномоченного пользователя (например, строка символов), однозначно его идентифицирующее. Таким представлением может быть либо полное или сокращенное имя этого пользователя, либо его псевдоним. | identity | |
интерфейс функций безопасности ОО: Совокупность интерфейсов как интерактивных (человеко-машинные интерфейсы), так и программных (интерфейсы прикладных программ), с использованием которых осуществляется доступ к ресурсам ОО при посредничестве ФБО или получение от ФБО какой-либо информации. | TOE security functions interface | |
итерация: Более чем однократное использование компонента при различном выполнении операций. | iteration | |
класс: Группа семейств, объединенных общим назначением. | class | |
компонент: Наименьшая выбираемая совокупность элементов, которая может быть включена в ПЗ, ЗБ или пакет. | component | |
механизм проверки правомочности обращений: Реализация концепции монитора обращений, обладающая следующими свойствами: защищенностью от проникновения; постоянной готовностью; простотой, достаточной для проведения исчерпывающего анализа и тестирования. | reference validation mechanism | |
модель политики безопасности ОО: Структурированное представление политики безопасности, которая должна быть осуществлена ОО. | TOE security policy model | |
монитор обращений: Концепция абстрактной машины, осуществляющей политики управления доступом ОО. | reference monitor | |
назначение: Спецификация определенного параметра в компоненте. | assignment | |
неформальный: Выраженный на естественном языке. | informal | |
область действия ФБО: Совокупность возможных взаимодействий с ОО или в его пределах, которые подчинены правилам ПБО. | TSF scope of control | |
объект: Сущность в пределах ОДФ, которая содержит или получает информацию и над которой субъекты выполняют операции. | object | |
объект оценки: Подлежащие оценке продукт ИТ или система с руководствами администратора и пользователя. | target of evaluation | |
орган оценки: Организация, которая посредством системы оценки обеспечивает реализацию ОК для определенного сообщества и в связи с этим устанавливает стандарты и контролирует качество оценок, проводимых организациями в пределах данного сообщества. | evaluation authority | |
оценка: Оценка ПЗ, ЗБ или ОО по определенным критериям. | evaluation | |
оценочный уровень доверия: Пакет компонентов доверия из части 3 ОК, представляющий некоторое положение на предопределенной в ОК шкале доверия. | evaluation assurance level | |
пакет: Предназначенная для многократного использования совокупность функциональных компонентов или компонентов доверия (например, ОУД), объединенных для удовлетворения совокупности определенных целей безопасности. | package | |
передача в пределах ОО: Передача данных между разделенными частями ОО. | internal TOE transfer | |
передача за пределы области действия ФБО: Передача данных сущностям, не контролируемым ФБО. | transfers outside TSF control | |
передача между ФБО: Передача данных между ФБО и функциями безопасности других доверенных продуктов ИТ. | inter-TSF transfers | |
политика безопасности организации: Одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности. | organisational security policies | |
политика безопасности ОО: Совокупность правил, регулирующих управление активами, их защиту и распределение в пределах ОО. | TOE security policy | |
политика функции безопасности: Политика безопасности, осуществляемая ФБ. | security function policy | |
полуформальный: Выраженный на языке с ограниченным синтаксисом и определенной семантикой. | semiformal | |
пользователь: Любая сущность (человек-пользователь или внешний объект ИТ) вне ОО, которая взаимодействует с ОО. | user | |
потенциал нападения: Прогнозируемый потенциал для успешного (в случае реализации) нападения, выраженный в показателях компетентности, ресурсов и мотивации нарушителя. | attack potential | |
продукт: Совокупность программных, программно-аппаратных и/или аппаратных средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы. | product | |
профиль защиты: Независимая от реализации совокупность требований безопасности для некоторой категории ОО, отвечающая специфическим запросам потребителя. | protection profile | |
расширение: Добавление в ЗБ или ПЗ функциональных требований, не содержащихся в части 2 OK, и/или требований доверия, не содержащихся в части 3 ОК. | extension | |
ресурс ОО: Все, что может использоваться или потребоваться в ОО. | TOE resource | |
роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между пользователем и ОО. | role | |
связность: Свойство ОО, позволяющее ему взаимодействовать с объектами ИТ, внешними по отношению к ОО. Это взаимодействие включает обмен данными по проводным или беспроводным средствам на любом расстоянии, в любой среде или при любой конфигурации. | connectivity | |
секрет: Информация, которая должна быть известна только уполномоченным пользователям и/или ФБО для осуществления определенной ПФБ. | secret | |
семейство: Группа компонентов, которые объединены одинаковыми целями безопасности, но могут отличаться акцентами или строгостью. | family | |
система: Специфическое воплощение ИТ с конкретным назначением и условиями эксплуатации. | system | |
система оценки: Административно-правовая структура, в рамках которой в определенном сообществе органы оценки применяют ОК. | evaluation scheme | |
средняя СФБ: Уровень стойкости функции безопасности ОО, на котором, как показывает анализ, функция предоставляет адекватную защиту от прямого или умышленного нарушения безопасности ОО нарушителями с умеренным потенциалом нападения. | SOF-medium | |
стойкость функции безопасности: Характеристика функции безопасности ОО, выражающая минимальные усилия, предположительно необходимые для нарушения ее ожидаемого безопасного поведения при прямой атаке на лежащие в ее основе механизмы безопасности. | strength of function | |
субъект: Сущность в пределах ОДФ, которая инициирует выполнение операций. | subject | |
уполномоченный пользователь: Пользователь, которому в соответствии с ПБО разрешено выполнять какую-либо операцию. | authorised user | |
усиление: Добавление одного или нескольких компонентов доверия из части 3 OK в ОУД или пакет требований доверия. | augmentation | |
уточнение: Добавление деталей в компонент. | refinement | |
функции безопасности ОО: Совокупность всех функций безопасности ОО, направленных на осуществление ПБО. | TOE security functions | |
функция безопасности: Функциональные возможности части или частей ОО, обеспечивающие выполнение подмножества взаимосвязанных правил ПБО. | security function | |
формальный: Выраженный на языке с ограниченным синтаксисом и определенной семантикой, основанной на установившихся математических понятиях. | formal | |
человек-пользователь: Любое лицо, взаимодействующее с ОО. | human user | |
цель безопасности: Изложенное намерение противостоять установленным угрозам и/или удовлетворять установленной политике безопасности организации и предположениям. | security objective | |
элемент: Неделимое требование безопасности. | element |