Capacidad de protección de la información y los datos de manera que las personas u otros productos tengan el grado de acceso a los datos adecuado a sus tipos y niveles de autorización, y para defenderse de los patrones de ataque de agentes malintencionados.. Esta característica se subdivide a su vez en las siguientes subcaracterísticas:
- Confidencialidad. Capacidad de asegurar que los datos solo son accesibles a aquellos con autorización para ello.
- Integridad. Capacidad de un producto para garantizar que el estado de su sistema y sus datos están protegidos frente a modificaciones o eliminaciones no autorizadas, ya sea por acciones malintencionadas o por errores informáticos.
- No repudio. Capacidad de demostrar las acciones o eventos que han tenido lugar, de manera que dichas acciones o eventos no puedan ser repudiados posteriormente.
- Responsabilidad. Capacidad de rastrear de forma inequívoca las acciones de una entidad.
- Autenticidad. Capacidad de un producto para demostrar que la identidad de un sujeto o recurso es la que se afirma.
- Resistencia. Capacidad de mantener la operación de un producto bajo condiciones de ataque de un actor malicioso.