3.3 Термины, относящиеся к угрозам безопасности информации ГОСТ Р 53114-2008

Угроза информационной безопасности организации по ГОСТ Р 53114-2008

Совокупность факторов и условий, создающих опасность нарушения информационной безопасности организации, вызывающую или способную вызвать негативные последствия (ущерб/вред) для организации.

Примечания:

  1. Формой реализации (проявления) угрозы ИБ является наступление одного или нескольких взаимосвязанных событий ИБ и инцидентов ИБ, приводящего(их) к нарушению свойств информационной безопасности объекта (ов) защиты организации.
  2. Угроза характеризуется наличием объекта угрозы, источника угрозы и проявления угрозы.

[из 3.3.1 ГОСТ Р 53114-2008]

Модель угроз безопасности информации по ГОСТ Р 53114-2008

Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Примечание - Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ [из 3.3.3 ГОСТ Р 53114-2008]

Уязвимость (информационной системы), брешь по ГОСТ Р 53114-2008

Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Примечания:

  1. Условием реализации угрозы безопасности, обрабатываемой в системе информации, может быть недостаток или слабое место в информационной системе.
  2. Если уязвимость соответствует угрозе, то существует риск.

[ГОСТ Р 50922-2006, пункт 2.6.4] [из 3.3.4 ГОСТ Р 53114-2008]

Нарушитель информационной безопасности организации по ГОСТ Р 53114-2008

Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации [из 3.3.5 ГОСТ Р 53114-2008]

Несанкционированный доступ по ГОСТ Р 53114-2008

Доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа.

Примечания:

  1. Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно.
  2. Права и правила доступа к информации и ресурсам информационной системы устанавливаются для процессов обработки информации, обслуживания автоматизированной информационной системы, изменения программных, технических и информационных ресурсов, а также получения информации о них.

[из 3.3.6 ГОСТ Р 53114-2008]

Сетевая атака по ГОСТ Р 53114-2008

Действия с применением программных и (или) технических средств и с использованием сетевого протокола, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на нее или на ресурсы автоматизированной информационной системы.

Примечание - Сетевой протокол - совокупность семантических и синтаксических правил, определяющих взаимодействие программ управления сетью, находящейся в одной ЭВМ, с одноименными программами, находящимися в другой ЭВМ [из 3.3.7 ГОСТ Р 53114-2008]

Утечка информации по ГОСТ Р 53114-2008

Неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками [из 3.3.10 ГОСТ Р 53114-2008]

Недекларированные возможности по ГОСТ Р 53114-2008

Функциональные возможности средств вычислительной техники и программного обеспечения, не описанные или не соответствующие описанным в документации, которые могут привести к снижению или нарушению свойств безопасности информации [из 3.3.14 ГОСТ Р 53114-2008]

Побочные электромагнитные излучения и наводки по ГОСТ Р 53114-2008

Электромагнитные излучения технических средств обработки информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания [из 3.3.15 ГОСТ Р 53114-2008]