Государственный стандарт РФ ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации" (принят и введен в действие постановлением Госстандарта РФ от 18 марта 1999 г. N 77 стр. 14

b) услуги передачи и обработки данных;
c) оборудование и средства.
А.2.4 Угрозы
Угрозы системе передачи данных означают следующее:
a) разрушение информации и/или других ресурсов;
b) искажение или модификацию информации;
c) хищение, удаление или потерю информации и/или других ресурсов;
d) раскрытие информации;
e) прерывание обслуживания.
Угрозы могут классифицироваться на случайные и преднамеренные и могут быть активными и пассивными.
А.2.4.1 Случайные угрозы
Случайные угрозы - это те угрозы, которые возникают непреднамеренно. Примерами реальных случайных угроз могут служить отказы системы, операционные грубые ошибки и ошибки в программных комплектах.
А.2.4.2 Преднамеренные угрозы
Преднамеренные угрозы могут быть различных видов: от небрежного анализа, использующего легко доступные средства управления, до изощренных вторжений с использованием специальных сведений о системе. Реализуемая преднамеренная угроза может рассматриваться как "вторжение".
А.2.4.3 Пассивные угрозы
К пассивным угрозам относятся те, которые при их реализации не приводят к какой-либо модификации любой информации, содержащейся в системе(ах), и где работа и состояние системы не изменяются. Использование пассивного перехвата для анализа информации, передаваемой по каналам связи, представляет собой реализацию пассивной угрозы.
А.2.4.4 Активные угрозы
Активные угрозы системе означают изменение информации, содержащейся в системе, либо изменения состояния или работы системы. Примером активной угрозы служит умышленное изменение таблиц маршрутизации системы неполномочным пользователем.
А.2.5 Некоторые конкретные виды вторжений
Ниже кратко рассмотрены некоторые из вторжений, специально касающихся функциональной среды передачи/обработки данных. В последующих разделах встречаются термины "полномочный" и "неполномочный". "Полномочие" означает "предоставление прав". Такое определение подразумевает два аспекта: рассматриваемые права являются правами на выполнение некоторой активности (такой как доступ к данным); и эти права предоставлены некоторому логическому объекту, агенту или процессу. Таким образом, полномочное поведение является рабочей характеристикой тех активностей, для выполнения которых предоставляются (и не аннулируются) права. Более подробное описание концепции полномочия приведено в А.3.3.1.
А.2.5.1 Маскирование
Маскирование имеет место, когда какой-либо логический объект претендует на то, чтобы выглядеть подобно другому логическому объекту. Маскирование обычно используется совместно с некоторыми другими формами активных вторжений, особенно, с воспроизведением и модификацией сообщений. Например, после того, как имела место действительная последовательность аутентификации, могут быть перехвачены и воспроизведены другие последовательности аутентификации. Полномочный логический объект, обладающий небольшим числом привилегий, может использовать маскирование для получения дополнительных привилегий путем исполнения роли логического объекта, имеющего такие привилегии.
А.2.5.2 Воспроизведение
Воспроизведение происходит, когда сообщение или часть сообщения повторяется с целью получения неполномочного результата. Например, действительное сообщение, содержащее информацию аутентификации, может быть воспроизведено другим логическим объектом для того, чтобы заявить о своей подлинности (как чего-то такого, чего не существует).
А.2.5.3 Модификация сообщений
Модификация сообщений происходит, когда происходит необнаруживаемое изменение содержимого передачи, и приводит к некоторому неполномочному результату, как, например, в случае, когда сообщение "Разрешить 'Джону Смиту' считать секретный файл 'счетные данные'" заменяется на сообщение "Разрешить 'Фреду Брауну' считать секретный файл 'счетные данные'".
А.2.5.4 Отклонение услуги
Отклонение услуги происходит, когда логический объект неспособен выполнять свойственные ему функции или он действует таким образом, что препятствует другим логическим объектам выполнять свойственные им функции. Это вторжение может быть всеобщим, если логический объект подавляет передачу всех сообщений, или оно может иметь конкретную цель, если логический объект подавляет передачу всех сообщений, направляемых в сторону конкретного получателя, в качестве которых может быть услуга проверки защиты. Это вторжение может включать подавление трафика, как описано в данном примере, или может генерировать дополнительный трафик. Возможна также генерация сообщений, предназначенных для нарушения работы сети, особенно если сеть имеет ретрансляционные логические объекты, которые принимают решения о маршрутизации на основе отчетов о состоянии, полученных от других ретрансляционных логических объектов.
А.2.5.5 Внутренние вторжения
Внутренние вторжения происходят, когда уполномоченные пользователи системы ведут себя непреднамеренным или неполномочным образом. Наиболее широко распространенное нарушение работы вычислительной машины подразумевает внутренние вторжения, которые компрометируют защиту системы. К используемым методам защиты от внутренних вторжений относятся следующие:
a) тщательная проверка персонала;
b) тщательное исследование аппаратного и программного обеспечения, стратегии защиты и конфигураций системы с такой степенью гарантии, которая обеспечила бы их правильную работу (так называемая доверительная функциональность);
c) данные отслеживания, предназначенные для повышения вероятности обнаружения подобных вторжений.
А.2.5.6 Внешние вторжения
Внешние вторжения могут использовать следующие методы:
a) подсоединение к линии (активное и пассивное);
b) перехват излучений;
c) маскирование под полномочных пользователей системы или под ее компоненты;
d) обход механизмов аутентификации или управления доступом.
А.2.5.7 "Лазейка"
Когда логический объект системы изменяется таким образом, что он разрешает нарушителю произвести неполномочное воздействие либо на команду, либо на заранее определенное событие, либо на последовательность таких событий, результат этого действия рассматривается как вторжение типа "лазейка". Например, аутентификация пароля может быть изменена таким образом, чтобы дополнительно к обычным действиям проверялась правильность пароля нарушителя.
А.2.5.8 "Троянский конь"
При введении в систему вторжение типа "троянский конь" в дополнение к его полномочным функциям получает некоторые неполномочные функции. Действие ретранслятора, который копирует сообщения также и в неполномочные каналы, представляет собой вторжение типа "троянский конь".
А.2.6 Оценка угроз, степени риска и мер противодействия
Средства защиты обычно повышают стоимость системы и могут усложнить се использование. Поэтому перед разработкой системы защиты необходимо определить конкретные угрозы, от которых требуется защита. Такая спецификация известна как оценка угрозы. Система уязвима по многим параметрам, однако только некоторые из них используются, поскольку нарушитель обладает ограниченными возможностями или потому что достигаемые результаты не оправдывают его усилий и риска быть обнаруженным. Хотя детализация целей оценки угрозы не входит в предмет рассмотрения данного приложения, в общих чертах такие оценки включают в себя:
a) идентификацию уязвимых мест системы;
b) анализ вероятности угроз, направленных на использование таких уязвимых мест;
c) оценку последствия успешного выполнения угрозы;
d) оценку стоимости каждого вторжения;
e) анализ стоимости возможных мер противодействия;