Точный
Статус документа
Статус документа

ГОСТ Р 58142-2018 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 1. Использование доступных источников для идентификации потенциальных уязвимостей

     3 Термины и определения


В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 верифицировать: Провести строгую детальную проверку с независимым определением ее достаточности.

Примечание - См. также термин "подтвердить". Термин "верифицировать" имеет более глубокий смысл. Он используется в контексте действий оценщика, когда требуются независимые усилия оценщика.

3.2 подтвердить: Декларировать, что что-то детально проверено с независимым определением достаточности.

Примечание - Требуемый уровень строгости зависит от типа рассматриваемого предмета. Данный термин применим только к действиям оценщика.

3.3 делать заключение: Подтвердить некоторое заключение, основанное на независимом анализе для достижения этого заключения.

Примечание - Использование данного термина подразумевает выполнение действительно независимого анализа, обычно в условиях отсутствия какого бы то ни было предшествующего анализа. Термин "делать заключение" отличается от терминов "подтвердить" или "верифицировать", которые предполагают необходимость проверки ранее выполненного анализа.

3.4 выбор: Выделение одного или нескольких пунктов из перечня в компоненте требований.

3.5 объект оценки: Совокупность программного, программно-аппаратного и/или аппаратного обеспечения, сопровождаемая руководствами.

3.6 потенциал нападения: Мера усилий, выраженная в показателях компетентности, оснащенности ресурсами и мотивации нарушителя.

3.7 шаблон атаки: Способ (модель) использования уязвимости для реализации компьютерной атаки.

3.8 уязвимость: Недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации.

3.9 недостаток: Характеристика или свойство объекта оценки, которое при определенных условиях может способствовать внесению уязвимости в объект оценки.

3.10 обнаруженные потенциальные уязвимости: Потенциально уязвимые места объекта оценки, идентифицированные оценщиком при выполнении видов деятельности по оценке, которые могли бы быть использованы для нарушения функциональных требований безопасности.

3.11 пригодная для использования уязвимость: Уязвимое место объекта оценки, которое может быть использовано для нарушения функциональных требований безопасности в среде функционирования объекта оценки.

3.12 потенциальная уязвимость: Предполагаемый, но не подтвержденный недостаток объекта оценки.

Примечание - Предположение основывают на теоретически допустимой схеме нападения с целью нарушения функциональных требований безопасности.

3.13 остаточная уязвимость: Уязвимое место объекта оценки, которое не может быть использовано в среде функционирования объекта оценки, но которое может быть использовано для нарушения функциональных требований безопасности нарушителем с более высоким потенциалом нападения, чем предполагается в среде функционирования объекта оценки.

3.14 профиль защиты: Независимое от реализации изложение потребностей в обеспечении безопасности для некоторого типа объекта оценки.

3.15 задание по безопасности: Зависимое от реализации изложение потребностей в обеспечении безопасности для конкретного идентифицированного объекта оценки.