3.2 Угрозы безопасности информации Р 50.1.056-2005

Уязвимость информационной системы, брешь (Vulnerability, breach) по Р 50.1.056-2005

Свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации.

Примечания:

  1. Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.
  2. Если уязвимость соответствует угрозе, то существует риск.

[из 3.2.3 Р 50.1.056-2005]

Утечка информации по техническому каналу (Leakage) по Р 50.1.056-2005

Неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации [Р 50.1.053-2005] [из 3.2.4 Р 50.1.056-2005]

Несанкционированный доступ к информации (ресурсам информационной системы), НСД по Р 50.1.056-2005

Доступ к информации (ресурсам информационной системы), осуществляемый с нарушением установленных прав и (или) правил доступа к информации (ресурсам информационной системы) с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.

Примечания:

  1. Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно.
  2. Права и правила доступа к информации и ресурсам информационной системы устанавливают для процессов обработки информации, ее обслуживания, изменения программных, технических и информационных ресурсов, а также получения информации о них.

[из 3.2.6 Р 50.1.056-2005]

Несанкционированное воздействие на информацию (ресурсы информационной системы) по Р 50.1.056-2005

Изменение, уничтожение или копирование информации (ресурсов информационной системы), осуществляемое с нарушением установленных прав и (или) правил.

Примечания:

  1. Несанкционированное воздействие может быть осуществлено преднамеренно или непреднамеренно. Преднамеренные несанкционированные воздействия являются специальными воздействиями.
  2. Изменение может быть осуществлено в форме замены информации (ресурсов информационной системы); введения новой информации (новых ресурсов информационной системы), а также уничтожения или повреждения информации (ресурсов информационной системы).

[из 3.2.7 Р 50.1.056-2005]

Несанкционированное блокирование доступа к информации (ресурсам информационной системы), отказ в обслуживании (Denial of service) по Р 50.1.056-2005

Создание условий, препятствующих доступу к информации (ресурсам информационной системы) субъекту, имеющему право на него.

Примечания:

  1. Несанкционированное блокирование доступа осуществляется нарушителем безопасности информации, а санкционированное - администратором.
  2. Создание условий, препятствующих доступу к информации (ресурсам информационной системы), может быть осуществлено по времени доступа, функциям по обработке информации (видам доступа) и (или) доступным информационным ресурсам.

[из 3.2.10 Р 50.1.056-2005]

Закладочное устройство, закладка по Р 50.1.056-2005

Элемент средства съема информации или воздействия на нее, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации.

Примечание - Местами возможного съема информации могут быть ограждение, конструкция здания, оборудование, предметы интерьера, транспортные средства, а также технические средства и системы обработки информации [из 3.2.11 Р 50.1.056-2005]

Компьютерный вирус (Computer virus) по Р 50.1.056-2005

Исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения.

Примечание - Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению [из 3.2.13 Р 50.1.056-2005]

Программная закладка (Malicious logic) по Р 50.1.056-2005

Скрытно внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие.

Примечание - Программная закладка может быть реализована в виде вредоносной программы или программного кода [из 3.2.15 Р 50.1.056-2005]