Generalmente comprendono informazioni, hardware, software e persone. Il valore di un bene è determinato dall'impatto che produrrebbe la perdita del bene all'azienda. Un bene critico è quello che è essenziale al raggiungimento della missione dell'organizzazione o agli obiettivi di lavoro.
Denial of Services (DoS)
É un tipo di attacco che satura le
risorse del sistema utilizzando tutte le risorse e non rendendole
disponibili agli utenti legittimi.
EAL (Livelli di valutazione della sicurezza)
I livelli di sicurezza definiscono una scala per la misura dei criteri di valutazione del PP e del ST. Vengono costruiti seguendo le componenti sulla sicurezza contenuti nella Parte 3 dei Common Criteria Ver. 2.1. Gli EAL forniscono un uniforme scala crescente che bilancia i livelli di sicurezza ottenuti col costo e con la fattibilità necessarie per quel grado di sicurezza. Ci sono sette livelli gerarchici di EAL; maggiore è il livello e maggiore è la sicurezza.
Eavesdropping elettronico
(origliamento elettronico dal verbo
inglese to eavesdrop: origliare) É la capacità di catturare il
traffico di rete.
Indicatore di rischio
Indica la gravità del rischio e quale sia il gap tra la corrente politica di sicurezza applicata al bene minacciato da quel rischio e quella stimata.
IT
Information Technology.
LAN (Local Area Network)
rete di area locale, solitamente la rete
interna dell'ufficio, dipartimento azienda ecc.
Minaccia (Threat)
É definito come qualunque cosa che possa compromettere un bene. Questo può essere una persona, come un impiegato o un hacker1 oppure può essere un concorrente o chiunque altro con il dichiarato scopo di compromettere un bene. I rischi includono anche qualunque cosa che possa risultare in una accidentale perdita o danneggiamento del/dei beni (ad esempio un disastro naturale, un incendio ecc.), la possibilità dell'accesso per fare ciò o qualunque risultato o esito che comporti un effetto non desiderato come ad esempio disclousure, modifica, distruzione, perdita o interruzione.
Le minacce includono anche le vulnerabilità e l'esposizione ai rischi.
PP (Protection Profile)
É la descrizione di un prodotto o di un tipo di sistema e come tale rappresenta un insieme di requisiti di sicurezza per una
categoria di diversi TOE che incontrano le esigenze del cliente (requisiti per l'applicazione delle politiche di sicurezza stabilite dall'organizzazione).
Reference Monitor
É il concetto di una macchina astratta che
applica le politiche di controllo degli accessi del TOE.
SF (Security Function)
Una parte o più parti del TOE sulle quali
bisogna basarsi per avere un sottoinsieme strettamente legato alle regole del
TSP.
SFP (Security Function Policy)
É la politica di sicurezza applicata da una SF.
SOF (Forza di una funzione)
É il livello minimo dichiarato di robustezza dei meccanismi che applicano le funzioni.
SOF-basic
É un livello della forza delle funzioni del TOE dove l'analisi mostra che la funzione fornisce un'adeguata protezione contro un'offensiva casuale nella sicurezza del TOE portata da attaccanti con un basso potenziale di attacco.
SOF-medium
É un livello della forza delle funzioni del TOE dove l'analisi mostra che la funzione fornisce un'adeguata protezione contro un'offensiva intenzionale nella sicurezza del TOE portata da attaccanti con un moderato potenziale di attacco.
SOF-high
É un livello della forza delle funzioni del TOE dove l'analisi mostra che la funzione fornisce un'adeguata protezione contro un'offensiva deliberatamente pianificata o organizzata nella sicurezza del TOE portata da attaccanti con un alto potenziale di attacco.
Sponsor
Il cliente, ente, azienda, organizzazione che
commissiona la valutazione.
ST (Security Target)
É un insieme di requisiti, specifiche e meccanismi di
sicurezza da usare come base per la valutazione di un definito TOE. Inoltre definisce le misure che forniscono l'assicurazione che il prodotto o il sistema si oppone alle minacce e applica le politiche di sicurezza dell'organizzazione.
Sviluppatore
É colui o coloro che hanno creato, amministrato il
TOE, ovvero gli amministratori della rete aziendale.
TOE (Target of Evaluation)
Il TOE è un prodotto IT o un sistema
(comprensivo di amministratore, utenti) che contiene risorse come
dispositivi di deposito elettronico (ad esempio hard disk, router),
periferiche (ad esempio stampanti) e capacità di calcolo (tempo e potenza
di CPU) che possono essere usati per l'elaborazione e l'immagazzinamento
di informazioni che è soggetto alla valutazione.
TSC (TSF Scope of Control)
É l'insieme delle interazioni che possono avvenire all'interno del TOE e sono soggetti alle regole del TSP.
TSF (TOE Security Functions)
É un insieme costituito da tutto
l'hardware, software e firmware del TOE su quale bisogna fare affidamento per
una corretta applicazione del TSP. Lo scopo primario del TSF è la completa
e corretta applicazione del TSP sulle risorse e le informazioni
controllate dal TOE.
TSP (TOE Security Policy)
Definisce le regole con le quali il TOE
governa l'accesso alle sue risorse e tutte le informazioni e servizi
controllati dal TOE.
Valutatore
É colui che esegue l'esame del TOE con la
collaborazione dello sviluppatore.
