В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 верифицировать: Провести строгую детальную проверку с независимым определением ее достаточности.
Примечание - См. также термин "подтвердить". Термин "верифицировать" имеет более глубокий смысл. Он используется в контексте действий оценщика, когда требуются независимые усилия оценщика.
3.2 подтвердить: Декларировать, что что-то детально проверено с независимым определением достаточности.
Примечание - Требуемый уровень строгости зависит от типа рассматриваемого предмета. Данный термин применим только к действиям оценщика.
3.3 делать заключение: Подтвердить некоторое заключение, основанное на независимом анализе для достижения этого заключения.
Примечание - Использование данного термина подразумевает выполнение действительно независимого анализа, обычно в условиях отсутствия какого бы то ни было предшествующего анализа. Термин "делать заключение" отличается от терминов "подтвердить" или "верифицировать", которые предполагают необходимость проверки ранее выполненного анализа.
3.4 выбор: Выделение одного или нескольких пунктов из перечня в компоненте требований.
3.5 объект оценки: Совокупность программного, программно-аппаратного и/или аппаратного обеспечения, сопровождаемая руководствами.
3.6 потенциал нападения: Мера усилий, выраженная в показателях компетентности, оснащенности ресурсами и мотивации нарушителя.
3.7 шаблон атаки: Способ (модель) использования уязвимости для реализации компьютерной атаки.
3.8 уязвимость: Недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации.
3.9 недостаток: Характеристика или свойство объекта оценки, которое при определенных условиях может способствовать внесению уязвимости в объект оценки.
3.10 обнаруженные потенциальные уязвимости: Потенциально уязвимые места объекта оценки, идентифицированные оценщиком при выполнении видов деятельности по оценке, которые могли бы быть использованы для нарушения функциональных требований безопасности.
3.11 пригодная для использования уязвимость: Уязвимое место объекта оценки, которое может быть использовано для нарушения функциональных требований безопасности в среде функционирования объекта оценки.
3.12 потенциальная уязвимость: Предполагаемый, но не подтвержденный недостаток объекта оценки.
Примечание - Предположение основывают на теоретически допустимой схеме нападения с целью нарушения функциональных требований безопасности.
3.13 остаточная уязвимость: Уязвимое место объекта оценки, которое не может быть использовано в среде функционирования объекта оценки, но которое может быть использовано для нарушения функциональных требований безопасности нарушителем с более высоким потенциалом нападения, чем предполагается в среде функционирования объекта оценки.
3.14 профиль защиты: Независимое от реализации изложение потребностей в обеспечении безопасности для некоторого типа объекта оценки.
3.15 задание по безопасности: Зависимое от реализации изложение потребностей в обеспечении безопасности для конкретного идентифицированного объекта оценки.