Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
2.2 Область применения глоссария
Подраздел 2.3 содержит только те термины, которые используются во всем тексте ОК особым образом. Большинство терминов в ОК применяется согласно словарным или общепринятым определениям, которые включены в глоссарии по безопасности ИСО или в другие широко известные сборники терминов по безопасности. Некоторые комбинации общих терминов, используемые в ОК и не вошедшие в глоссарий, объясняются непосредственно в тексте по месту использования. Объяснение терминов и понятий, применяемых особым образом во второй и третьей частях ОК, можно найти в подразделе "Парадигма" соответствующей части.
2.3 Глоссарий
В ОК применяются следующие термины
активы: Информация или ресурсы, подлежащие защите контрмерами ОО. | assets |
атрибут безопасности: Информация, связанная с субъектами, пользователями и/или объектами, которая используется для осуществления ПБО. | security attribute |
аутентификационные данные: Информация, используемая для верификации предъявленного идентификатора пользователя. | authentication data |
базовая СФБ: Уровень стойкости функции безопасности ОО, на котором, как показывает анализ, функция предоставляет адекватную защиту от случайного нарушения безопасности ОО нарушителями с низким потенциалом нападения. | SOF-basic |
внешний объект ИТ: Любые продукт или система ИТ, доверенные или нет, находящиеся вне ОО и взаимодействующие с ним. | external IT entity |
внутренний канал связи: Канал связи между разделенными частями ОО. | internal communication channel |
выбор: Выделение одного или нескольких элементов из перечня в компоненте. | selection |
высокая СФБ: Уровень стойкости функции безопасности ОО, на котором, как показывает анализ, функция предоставляет адекватную защиту от тщательно спланированного и организованного нарушения безопасности ОО нарушителями с высоким потенциалом нападения. | SOF-high |
данные ФБО: Данные, созданные ФБО или для ФБО, которые могут повлиять на выполнение ФБО. | TSF data |
данные пользователя: Данные, созданные пользователем и для пользователя, которые не влияют на выполнение ФБО. | user data |
доверенный канал: Средство взаимодействия между ФБО и удаленным доверенным продуктом ИТ, обеспечивающее необходимую степень уверенности в поддержании ПБО. | trusted channel |
доверенный маршрут: Средство взаимодействия между пользователем и ФБО, обеспечивающее необходимую степень уверенности в поддержании ПБО. | trusted path |
доверие: Основание для уверенности в том, что сущность отвечает своим целям безопасности. | assurance |
зависимость: Соотношение между требованиями, при котором требование, от которого зависят другие требования, должно быть, как правило, удовлетворено, чтобы и другие требования могли отвечать своим целям. | dependency |
задание по безопасности: Совокупность требований безопасности и спецификаций, предназначенная для использования в качестве основы для оценки конкретного ОО. | security target |
идентификатор: Представление уполномоченного пользователя (например, строка символов), однозначно его идентифицирующее. Таким представлением может быть либо полное или сокращенное имя этого пользователя, либо его псевдоним. | identity |
интерфейс функций безопасности ОО: Совокупность интерфейсов, как интерактивных (человеко-машинные интерфейсы), так и программных (интерфейсы прикладных программ), с использованием которых осуществляется доступ к ресурсам ОО при посредничестве ФБО или получение от ФБО какой-либо информации. | TOE security functions interface |
итерация: Более чем однократное использование компонента при различном выполнении операций. | iteration |
класс: Группа семейств, объединенных общим назначением. | class |
компонент: Наименьшая выбираемая совокупность элементов, которая может быть включена в ПЗ, ЗБ или пакет. | component |
механизм проверки правомочности обращений: Реализация концепции монитора обращений, обладающая следующими свойствами: защищенностью от проникновения; постоянной готовностью; простотой, достаточной для проведения исчерпывающего анализа и тестирования. | reference validation mechanism |
модель политики безопасности ОО: Структурированное представление политики безопасности, которая должна быть осуществлена ОО. | TOE security policy model |
монитор обращений: Концепция абстрактной машины, осуществляющей политики управления доступом ОО. | reference monitor |
назначение: Спецификация определенного параметра в компоненте. | assignment |
неформальный: Выраженный на естественном языке. | informal |
область действия ФБО: Совокупность возможных взаимодействий с ОО или в его пределах, которые подчинены правилам ПБО. | TSF scope of control |
объект: Сущность в пределах ОДФ, которая содержит или получает информацию, и над которой субъекты выполняют операции. | object |
объект оценки: Подлежащие оценке продукт ИТ или система с руководствами администратора и пользователя. | target of evaluation |
орган оценки: Организация, которая посредством системы оценки обеспечивает реализацию ОК для определенного сообщества и в связи с этим устанавливает стандарты и контролирует качество оценок, проводимых организациями в пределах данного сообщества. | evaluation authority |
оценка: Оценка ПЗ, ЗБ или ОО по определенным критериям. | evaluation |
оценочный уровень доверия: Пакет компонентов доверия из части 3 ОК, представляющий некоторое положение на предопределенной в ОК шкале доверия. | evaluation assurance level |
пакет: Предназначенная для многократного использования совокупность функциональных компонентов или компонентов доверия (например, ОУД), объединенных для удовлетворения совокупности определенных целей безопасности. | package |
передача в пределах ОО: Передача данных между разделенными частями ОО. | internal TOE transfer |
передача за пределы области действия ФБО: Передача данных сущностям, не контролируемым ФБО. | transfers outside TSF control |
передача между ФБО: Передача данных между ФБО и функциями безопасности других доверенных продуктов ИТ. | inter-TSF transfers |
политика безопасности организации: Одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности. | organisational security policies |
политика безопасности ОО: Совокупность правил, регулирующих управление активами, их защиту и распределение в пределах ОО. | TOE security policy |
политика функции безопасности: Политика безопасности, осуществляемая ФБ. | security function policy |
полуформальный: Выраженный на языке с ограниченным синтаксисом и определенной семантикой. | semiformal |
пользователь: Любая сущность (человек-пользователь или внешний объект ИТ) вне ОО, которая взаимодействует с ОО. | user |
потенциал нападения: Прогнозируемый потенциал для успешного (в случае реализации) нападения, выраженный в показателях компетентности, ресурсов и мотивации нарушителя. | attack potential |
продукт: Совокупность программных, программно-аппаратных и/или аппаратных средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы. | product |
профиль защиты: Независимая от реализации совокупность требований безопасности для некоторой категории ОО, отвечающая специфическим запросам потребителя. | protection profile |
расширение: Добавление в ЗБ или ПЗ функциональных требований, не содержащихся в части 2 ОК, и/или требований доверия, не содержащихся в части 3 ОК. | extension |
ресурс ОО: Все, что может использоваться или потребляться в ОО. | TOE resource |
роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между пользователем и ОО. | role |
связность: Свойство ОО, позволяющее ему взаимодействовать с объектами ИТ, внешними по отношению к ОО. Это взаимодействие включает обмен данными по проводным или беспроводным средствам на любом расстоянии, в любой среде или при любой конфигурации. | connectivity |
секрет: Информация, которая должна быть известна только уполномоченным пользователям и/или ФБО для осуществления определенной ПФБ. | secret |
семейство: Группа компонентов, которые объединены одинаковыми целями безопасности, но могут отличаться акцентами или строгостью. | family |
система: Специфическое воплощение ИТ с конкретным назначением и условиями эксплуатации. | system |
система оценки: Административно-правовая структура, в рамках которой в определенном сообществе органы оценки применяют ОК. | evaluation scheme |
средняя СФБ: Уровень стойкости функции безопасности ОО, на котором, как показывает анализ, функция предоставляет адекватную защиту от прямого или умышленного нарушения безопасности ОО нарушителями с умеренным потенциалом нападения. | SOF-medium |
стойкость функции безопасности: Характеристика функции безопасности ОО, выражающая минимальные усилия, предположительно необходимые для нарушения ее ожидаемого безопасного поведения при прямой атаке на лежащие в ее основе механизмы безопасности. | strength of function |
субъект: Сущность в пределах ОДФ, которая инициирует выполнение операций. | subject |
уполномоченный пользователь: Пользователь, которому в соответствии с ПБО разрешено выполнять какую-либо операцию. | authorised user |
усиление: Добавление одного или нескольких компонентов доверия из части 3 ОК в ОУД или пакет требований доверия. | augmentation |
уточнение: Добавление деталей в компонент. | refinement |
функции безопасности ОО: Совокупность всех функций безопасности ОО, направленных на осуществление ПБО. | TOE security functions |
функция безопасности: Функциональные возможности части или частей ОО, обеспечивающие выполнение подмножества взаимосвязанных правил ПБО. | security function |
формальный: Выраженный на языке с ограниченным синтаксисом и определенной семантикой, основанной на установившихся математических понятиях. | formal |
человек-пользователь: Любое лицо, взаимодействующее с ОО. | human user |
цель безопасности: Изложенное намерение противостоять установленным угрозам и/или удовлетворять установленной политике безопасности организации и предположениям. | security objective |
элемент: Неделимое требование безопасности. | element |