Уязвимость (vulnerability):
• слабость в защите, которая может стать объектом воздействия (например, из-за неверно проведенного анализа, планирования или реализации системы защиты);
• слабость в информационной системе или составляющая (например, системные процедуры защиты, аппаратная реализация или внутренние средства управления), способная привести к реализации негативных событий, связанных с информацией;
• слабость в процедурах защиты, проектировании информационной системы, реализации системы, внутренней системе управления и т.д., которая в состоянии способствовать нарушению политики информационной безопасности;
• недостатки или бреши на этапе проектирования информационной системы, ее реализации или управления ею, которые могут стать причиной нарушения политики информационной безопасности;
• слабость защиты в объекте потенциальной атаки (например, из-за недоработок на стадиях анализа, проектирования, построении системы или эксплуатации);
• существование слабости, ошибок проектирования или построения системы, из-за которых возможно наступление неожиданного, нежелательного события, компрометирующего систему ИБ, сеть, приложения или протоколы;
• слабость в информационной системе или компонентах (например, в процедурах обеспечения безопасности на системном уровне, проектных решениях на аппаратном уровне, системах управления), с помощью которых можно реализовать угрозу, связанную с информационными ресурсами;
• слабость в процедурах обеспечении безопасности, системном проекте, системе управления и т.д., способная случайно или преднамеренно вызвать нарушение политики ИБ. Свойство или слабость в процедурах обеспечения информационной безопасности, системе управления техническими средствами или физической защите, способствующие реализации угрозы;
• слабость ресурса или группы ресурсов информационной системы, помогающая реализовать угрозу;
• слабость в аппаратных средствах, программном обеспечении и потоках данных, которые составляют систему обработки информации. Слабости в автоматизированных системах обеспечения ИБ на программно-техническом уровне, системе административного управления, размещении оборудования и т.д., которые могут способствовать реализации угроз несанкционированного доступа к информации или привести к нарушениям в критически важном процессе обработки информации.
[ГОСТ Р 51898–2002, статья 3.3] |
|