Термины и определения в области ИБ и ЗИ
Автоматизированная система в защищенном исполнении; АС в защищенном исполнении - Автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или нормативных документов по защите информации. [ГОСТ Р 53114-2008]
Авторизация - Предоставление прав доступа. (СТО БР ИББС-1.0-2014)
Активы (asset): Все, что имеет ценность для организации. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Анализ информационного риска: Систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации. (ГОСТ Р 50922-2006)
Анализ риска - Систематическое использование информации для определения источников риска и количественной оценки риска. [ГОСТ Р ИСО/МЭК 27001 -2006, статья 3.11]
Атака (при применении информационных технологий): Действия, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на нее или на ресурсы автоматизированной информационной системы с применением программных и (или) технических средств. (ГОСТ Р 50.1.053-2005)
Атака «отказ в обслуживании» - Сетевая атака, приводящая к блокированию информационных процессов в автоматизированной системе. [ГОСТ Р 53114-2008]
Аттестация автоматизированной системы в защищенном исполнении - Процесс комплексной проверки выполнения заданных функций автоматизированной системы по обработке защищаемой информации на соответствие требованиям стандартов и/или нормативных документов в области защиты информации и оформления документов о ее соответствии выполнению функции по обработке защищаемой информации на конкретном объекте информатизации. [ГОСТ Р 53114-2008]
Аудит безопасности (информации): Совокупность действий по независимой проверке и изучению документации автоматизированной информационной системы, а также по испытаниям средств защиты информации, направленная на обеспечение выполнения установленной политики безопасности информации и правил эксплуатации автоматизированной информационной системы, на выявление уязвимостей автоматизированной информационной системы и на выработку рекомендаций по устранению выявленных недостатков в средствах защиты информации, политике безопасности информации и правилах эксплуатации автоматизированной информационной системы. (ГОСТ Р 50.1.053-2005)
Аудит безопасности автоматизированной информационной системы: Проверка реализованных в автоматизированной информационной системе процедур обеспечения безопасности с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию. (ГОСТ Р 50.1.053-2005)
Аудит информационной безопасности организации; аудит ИБ организации - Систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению информационной безопасности и установлению степени выполнения в организации критериев информационной безопасности, а также допускающий возможность формирования профессионального аудиторского суждения о состоянии информационной безопасности организации. [ГОСТ Р 53114-2008]
Аудит информационной безопасности; аудит ИБ - Независимая оценка соответствия ИБ, выполняемая работниками организации, являющейся внешней по отношению к организации БС РФ, допускающая возможность формирования профессионального аудиторского суждения о состоянии ИБ организации БС РФ. (СТО БР ИББС-1.0-2014)
Аудиторская проверка безопасности информации в информационной системе;аудит безопасности информации в информационной системе: Проверка реализованных в информационной системе процедур обеспечения безопасности информации с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию ГОСТ Р 50.1.056-2005
Аудиторская проверка информационной безопасности в организации; аудит информационной безопасности в организации: Периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности. (ГОСТ Р 50922-2006)
Аудиторская проверка информационной безопасности в организации; аудит информационной безопасности в организации: Периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организации установленных требований по обеспечению информационной безопасности. ГОСТ Р 50.1.056-2005
Аутентификация - Проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности). (СТО БР ИББС-1.0-2014)
Аутентификация (подлинности субъекта доступа): Действия по проверке подлинности субъекта доступа в информационной системе ГОСТ Р 50.1.056-2005
Аутентификация (субъекта доступа): Действия по проверке подлинности субъекта доступа в автоматизированной информационной системе. (ГОСТ Р 50.1.053-2005)
Аутентичность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичны заявленным. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Базовые защитные меры (baseline controls): Минимальный набор защитных мер, установленный для системы или организации. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Безопасность - Состояние защищенности интересов (целей) организации БС РФ в условиях угроз. (СТО БР ИББС-1.0-2014)
Безопасность автоматизированной информационной системы: Состояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность ее ресурсов. (ГОСТ Р 50.1.053-2005)
Безопасность информации (данных): Состояние защищенности информации (данных ), при котором обеспечены ее (их) конфиденциальность, доступность и целостность. (ГОСТ Р 50922-2006)
Безопасность информации (при применении информационных технологий): (IT security)Состояние защищенности информационной технологии, обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована. (ГОСТ Р 50.1.053-2005)
Безопасность информации [данных] - Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность. [ГОСТ Р 50922 -2006, пункт 2.4.5]
Безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечиваются ее [их] конфиденциальность, доступность и целостность. ГОСТ Р 50.1.056-2005
Безопасность информации [данных]:Состояние защищенности информации [данных], при котором обеспечиваются ее [их] конфиденциальность, доступность и целостность. (ГОСТ Р 50.1.053-2005)
Безопасность информационной технологии: Состояние защищенности информационной технологии, при котором обеспечивается выполнение изделием, реализующим информационную технологию, предписанных функций без нарушений безопасности обрабатываемой информации. ГОСТ Р 50.1.056-2005
Безопасность информационно-телекоммуникационных технологий (безопасность ИТТ) (ICT security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно-телекоммуникационных технологий. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Блокирование доступа (к информации) - Прекращение или затруднение доступа к информации лиц, имеющих на это право (законных пользователей). [ГОСТ Р 53114-2008]
Блокирование доступа (к информации) (при применении информационных технологий): Создание условий, препятствующих доступу к информации субъекту, имеющему право на него. (ГОСТ Р 50.1.053-2005)
Владелец сайта в сети "Интернет" - лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети "Интернет", в том числе порядок размещения информации на таком сайте (п. 17 введен Федеральным законом от 28.07.2012 N 139-ФЗ)
Воздействие (impact): Результат нежелательного инцидента информационной безопасности. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Восстановление данных: Действия по воссозданию данных, которые были утеряны или изменены в результате несанкционированных воздействий ГОСТ Р 50.1.056-2005
Вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы. (ГОСТ Р 50922-2006)
Вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на информацию или ресурсы автоматизированной информационной системы. (ГОСТ Р 50.1.053-2005)
Вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на информацию или ресурсы информационной системы. ГОСТ Р 50.1.056-2005
Вторжение (в автоматизированную информационную систему): Выявленный факт попытки несанкционированного доступа к ресурсам автоматизированной информационной системы. (ГОСТ Р 50.1.053-2005)
Выводы аудита информационной безопасности; выводы аудита ИБ - Результат оценки собранных свидетельств аудита ИБ. (СТО БР ИББС-1.0-2014)
Группа реагирования на инциденты ИБ (ГРИИБ) – группа обученных и доверенных членов организации. ( ГОСТ Р ИСО/МЭК ТО 18044-2007)
Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель (№149-ФЗ)
Доменное имя - обозначение символами, предназначенное для адресации сайтов в сети "Интернет" в целях обеспечения доступа к информации, размещенной в сети "Интернет" (п. 15 введен Федеральным законом от 28.07.2012 N 139-ФЗ)
Допустимый риск нарушения информационной безопасности - Риск нарушения ИБ, предполагаемый ущерб от которого организация БС РФ в данное время и в данной ситуации готова принять. (СТО БР ИББС-1.0-2014)
Достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Доступ (в автоматизированной информационной системе): Получение возможности ознакомления с информацией, ее обработки и (или) воздействия на информацию и (или) ресурсы автоматизированной информационной системы с использованием программных и (или) технических средств. (ГОСТ Р 50.1.053-2005)
Доступ к информации - возможность получения информации и ее использования (№149-ФЗ)
Доступ к информации: Возможность получения информации и ее использования. (ГОСТ Р 50922-2006)
Доступность - свойство объекта находиться в состоянии готовности использования по запросу авторизованного логического объекта (ИСО/МЭК 13335-1:2004)
Доступность (availability) (информации [ресурсов автоматизированной информационной системы]):Состояние информации [ресурсов автоматизированной информационной системы], при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно. (ГОСТ Р 50.1.053-2005)
Доступность (availability): Свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Доступность информации [ресурсов информационной системы]: Состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно. ГОСТ Р 50.1.056-2005
Доступность информационных активов - Свойство ИБ организации БС РФ, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы. (СТО БР ИББС-1.0-2014)
Единая система идентификации и аутентификации - федеральная государственная информационная система, порядок использования которой устанавливается Правительством Российской Федерации и которая обеспечивает в случаях, предусмотренных законодательством Российской Федерации, санкционированный доступ к информации, содержащейся в информационных системах. (п. 19 введен Федеральным законом от 07.06.2013 N 112-ФЗ)
Закладочное устройство: Техническое средство, скрытно устанавливаемое на объекте информатизации или в контролируемой зоне с целью перехвата информации или несанкционированного воздействия на информацию и (или) ресурсы автоматизированной информационной системы. (ГОСТ Р 50.1.053-2005)
Закладочное устройство; закладка: Элемент средства съема информации или воздействия на нее, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации. ГОСТ Р 50.1.056-2005
Заключение по результатам аудита информационной безопасности (аудиторское заключение); заключение по результатам аудита ИБ - Качественная или количественная оценка соответствия установленным критериям аудита ИБ, представленная аудиторской группой после рассмотрения всех выводов аудита ИБ в соответствии с целями аудита ИБ. (СТО БР ИББС-1.0-2014)
Замысел защиты информации: Основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации. (ГОСТ Р 50922-2006)
Защита информации от [иностранной] разведки: Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой. (ГОСТ Р 50922-2006)
Защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. (ГОСТ Р 50922-2006)
Защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. (ГОСТ Р 50922-2006)
Защита информации от несанкционированного доступа; ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации. (ГОСТ Р 50922-2006)
Защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях. (ГОСТ Р 50922-2006)
Защита информации от разглашения: Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей ), не имеющих права доступа к этой информации. (ГОСТ Р 50922-2006)
Защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами. (ГОСТ Р 50922-2006)
Защита информации: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. (ГОСТ Р 50922-2006)
Защитная мера - сложившаяся практика, процедура или механизм, которые используются для уменьшения риска нарушения ИБ организации БС РФ. (СТО БР ИББС-1.0-2014)
Защитная мера (safeguard): Сложившаяся практика, процедура или механизм обработки риска. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Защищаемая автоматизированная информационная система:(trusted computer system) Автоматизированная информационная система, предназначенная для сбора, хранения, обработки, передачи и использования защищаемой информации с требуемым уровнем ее защищенности. (ГОСТ Р 50.1.053-2005)
Защищаемая информационная система: Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности ГОСТ Р 50.1.056-2005
Защищаемая информационная система: Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности. (ГОСТ Р 50922-2006)
Защищаемая информационная технология: Информационная технология, предназначенная для сбора, хранения, обработки, передачи и использования защищаемой информации с требуемым уровнем ее защищенности ГОСТ Р 50.1.056-2005
Защищаемая информационная технология:(information [data] security)Информационная технология, предназначенная для сбора, хранения, обработки, передачи и использования защищаемой информации с требуемым уровнем ее защищенности. (ГОСТ Р 50.1.053-2005)
Защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. (ГОСТ Р 50922-2006)
Защищаемая сеть связи: Сеть связи, используемая при обмене защищаемой информацией с требуемым уровнем ее защищенность ГОСТ Р 50.1.056-2005
Защищаемые информационные ресурсы (автоматизированной информационной системы):Информационные ресурсы автоматизированной информационной системы, для которых должен быть обеспечен требуемый уровень их защищенности. (ГОСТ Р 50.1.053-2005)
Защищаемые программные средства: Программные средства, используемые в информационной системе при обработке защищаемой информации с требуемым уровнем ее защищенности ГОСТ Р 50.1.056-2005
Защищаемые ресурсы (информационной системы): Ресурсы, использующиеся в информационной системе при обработке защищаемой информации с требуемым уровнем ее защищенности ГОСТ Р 50.1.056-2005
Защищаемый объект информатизации: Объект информатизации предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности ГОСТ Р 50.1.056-2005
Защищаемый объект информатизации: Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности. (ГОСТ Р 50922-2006)
Защищаемый процесс (информационной технологии) - Процесс, используемый в информационной технологии для обработки защищаемой информации с требуемым уровнем ее защищенности. [ГОСТ Р 53114-2008]
Идентификация - Процесс присвоения идентификатора (уникального имени); сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. (СТО БР ИББС-1.0-2014)
Идентификация риска - Процесс обнаружения, распознавания и описания рисков. [ГОСТ Р 53114-2008]
Идентификация риска (risk identification): Процесс нахождения, составления перечня и описания элементов риска. ( ГОСТ Р ИСО/МЭК 27005-2010)
Идентификация: Действия по присвоению субъектам и объектам доступа идентификаторов и (или) действия по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов ГОСТ Р 50.1.056-2005
Информативный сигнал - Сигнал, по параметрам которого может быть определена защищаемая информация.[Р 50.1.053 -2005, пункт 3.2.6]
Информативный сигнал: (informative signal) Сигнал, по параметрам которого может быть определена защищаемая информация. (ГОСТ Р 50.1.053-2005)
Информационная безопасность – свойство информации сохранять конфиденциальность, целостность и доступность (может включать в себя свойства сохранять аутентичность, подотчетность, целостность и доступность) (ИСО/МЭК 17799:2005)
Информационная безопасность (information security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Информационная безопасность объекта информатизации: Состояние защищенности объекта информатизации, при котором обеспечивается безопасность информации и автоматизированных средств ее обработки.ГОСТ Р 50.1.056-2005
Информационная безопасность организации; ИБ организации - Состояние защищенности интересов организации в условиях угроз в информационной сфере.[ГОСТ Р 53114-2008]
Информационная безопасность, ИБ - Безопасность, связанная с угрозами в информационной сфере. (СТО БР ИББС-1.0-2014)
Информационная инфраструктура - Система организационных структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия. (СТО БР ИББС-1.0-2014)
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (№149-ФЗ)
Информационная сфера - Совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. [Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. Пр -1895]
Информационная технология; ИТ - Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.[Федеральный Закон Российской Федерации от 27 декабря 2002 г. № 184 -ФЗ, статья 2, пункт 2)]
Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники (№149-ФЗ)
Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов (№149-ФЗ)
Информационный актив - Информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении организации БС РФ и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме. (СТО БР ИББС-1.0-2014)
Информационный процесс - Процесс создания, сбора, обработки, накопления, хранения, поиска, распространения и использования информации. [ГОСТ Р 53114-2008]
Информация - сведения (сообщения, данные) независимо от формы их представления (№149-ФЗ)
Информация - Сведения (сообщения, данные) независимо от формы их представления. (СТО БР ИББС-1.0-2014)
Инцидент ИБ – появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес – операций и создания угрозы ИБ. ( ГОСТ Р ИСО/МЭК ТО 18044-2007)
Инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. (ИСО/МЭК ТО 18044:2004)
Инцидент информационной безопасности - Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.[ГОСТ Р ИСО/МЭК 27001 -2006, статья 3.6]
Инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Инцидент информационной безопасности; инцидент ИБ - Событие или комбинация событий, указывающая на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ. (СТО БР ИББС-1.0-2014)
Источник риска информационной безопасности организации; источник риска ИБ организации - Объект или действие, способное вызвать [создать] риск. [ГОСТ Р 53114-2008]
Источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление ), являющийся непосредственной причиной возникновения угрозы безопасности информации. (ГОСТ Р 50922-2006)
Источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.ГОСТ Р 50.1.056-2005
Источник угрозы безопасности информации:Субъект, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации. (ГОСТ Р 50.1.053-2005)
Количественная оценка риска (risk estimation): Процесс присвоения значений вероятности и последствий риска. ( ГОСТ Р ИСО/МЭК 27005-2010)
Коммуникация риска (risk communication): Обмен информацией о риске или совместное использование этой информации лицом, принимающим решение, и другими причастными сторонами. ( ГОСТ Р ИСО/МЭК 27005-2010)
Компьютерная атака: целенаправленное несанкционированное воздействие на информацию, на ресурс информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств ГОСТ Р 50.1.056-2005
Компьютерный вирус: Вредоносная программа, способная создавать вредоносные программы и (или) свои копии. (ГОСТ Р 50.1.053-2005)
Компьютерный вирус: Исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. ГОСТ Р 50.1.056-2005
Контроль доступа (в информационной системе): Проверка выполнения субъектами доступа установленных правил разграничения доступа в информационной системе ГОСТ Р 50.1.056-2005
Контроль обеспечения информационной безопасности организации; контроль обеспечения ИБ организации - Проверка соответствия обеспечения информационной безопасности в организации, наличия и содержания документов требованиям нормативных документов, технической, правовой организационно - распорядительной документации в области информационной безопасности. [ГОСТ Р 53114-2008]
Конфиденциальность – свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса (ИСО/МЭК 13335-1:2004)
Конфиденциальность (confidentiality) (информации [ресурсов автоматизированной информационной системы]): Состояние информации [ресурсов автоматизированной информационной системы], при котором доступ к ней [к ним] осуществляют только субъекты, имеющие на него право. (ГОСТ Р 50.1.053-2005)
Конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя (№149-ФЗ)
Конфиденциальность информации: Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. (ГОСТ Р 50922-2006)
Конфиденциальность информации: Состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право ГОСТ Р 50.1.056-2005
Конфиденциальность информационных активов - Свойство ИБ организации БС РФ, состоящее в том, что обработка, хранение и передача информационных активов осуществляется таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам. (СТО БР ИББС-1.0-2014)
Криптографическая защита информации: Защита информации с помощью ее криптографического преобразования. (ГОСТ Р 50922-2006)
Криптографическое средство защиты информации: Средство защиты информации, реализующее алгоритмы криптографического преобразования информации. (ГОСТ Р 50922-2006)
Критерий аудита информационной безопасности организации; критерий аудита ИБ организации - Совокупность принципов, положений, требований и показателей действующих нормативных документов, относящихся к деятельности организации в области информационной безопасности. [ГОСТ Р 53114-2008]
Критерий обеспечения информационной безопасности организации; критерий обеспечения ИБ организации - Показатель, на основании которого оценивается степень достижения цели (целей) информационной безопасности организации. [ГОСТ Р 53114-2008]
Критерии оценки (аудита) информационной безопасности; критерии оценки (аудита) ИБ - Совокупность требований к обеспечению ИБ, определенных стандартом Банка России СТО БР ИББС-1.0 “Обеспечение информационной безопасности организаций БС РФ. Общие положения” или его частью. (СТО БР ИББС-1.0-2014)
Критически важная система информационной инфраструктуры; ключевая система информационной инфраструктуры; КСИИ - Информационно -управляющая или информационно -телекоммуникационная система, которая осуществляет управление или информационное обеспечение критическим объектом или процессом, или используется для официального информирования общества и граждан, нарушение или прерывание функционирования которой (в результате деструктивных информационных воздействий, а также сбоев или отказов) может привести к чрезвычайной ситуации со значительными негативными последствиями. [ГОСТ Р 53114-2008]
Критический объект - Объект или процесс, нарушение непрерывности функционирования которого может нанести значительный ущерб.[ГОСТ Р 53114-2008]
Лицензирование в области защиты информации: Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ. (ГОСТ Р 50922-2006)
Межсетевой экран: локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство(комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и (или) выходящей из автоматизированной системы ГОСТ Р 50.1.056-2005
Менеджмент и анализ рисков ИБ – сбор более качественных данных для идентификации и определения характеристик различных типов угроз и связанных с ними уязвимостей, а также предоставлению данных о частоте возникновения идентифицированных типов угроз. ( ГОСТ Р ИСО/МЭК ТО 18044-2007)
Менеджмент информационной безопасности организации; менеджмент ИБ организации - Скоординированные действия по руководству и управлению организацией в части обеспечения ее информационной безопасности в соответствии с изменяющимися условиями внутренней и внешней среды организации. [ГОСТ Р 53114-2008]
Менеджмент риска информационной безопасности организации; менеджмент риска ИБ организации - Скоординированные действия по руководству и управлению организацией в отношении риска ИБ с целью его минимизации. [ГОСТ Р 53114-2008]
Мера безопасности; мера обеспечения безопасности - Сложившаяся практика, процедура или механизм обработки риска.[ГОСТ Р 53114-2008]
Меры обеспечения информационной безопасности; меры обеспечения ИБ - Совокупность действий, направленных на разработку и/или практическое применение способов и средств обеспечения информационной безопасности. [ГОСТ Р 53114-2008]
Модель нарушителя информационной безопасности; модель нарушителя ИБ - Описание и классификация нарушителей ИБ, включая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, возможной мотивации их действий, а также способы реализации угроз ИБ со стороны указанных нарушителей. (СТО БР ИББС-1.0-2014)
Модель угроз (безопасности информации) - Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации. [ГОСТ Р 53114-2008]
Модель угроз (безопасности информации): Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации. (ГОСТ Р 50922-2006)
Модель угроз информационной безопасности; модель угроз ИБ - Описание актуальных для организации БС РФ источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба. (СТО БР ИББС-1.0-2014)
Мониторинг безопасности информации (при применении информационных технологий): Процедуры регулярного наблюдения за процессом обеспечения безопасности информации при применении информационных технологий. (ГОСТ Р 50.1.053-2005)
Мониторинг безопасности информации: Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации. (ГОСТ Р 50922-2006)
Мониторинг безопасности информации: Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью выявления его соответствия требованиям по безопасности информации ГОСТ Р 50.1.056-2005
Мониторинг ИБ - Постоянное наблюдение за объектами и субъектами, влияющими на ИБ организации БС РФ, а также сбор, анализ и обобщение результатов наблюдений. (СТО БР ИББС-1.0-2014)
Мониторинг информационной безопасности организации; мониторинг ИБ организации - Постоянное наблюдение за процессом обеспечения информационной безопасности в организации с целью установить его соответствие требованиям по информационной безопасности.[ГОСТ Р 53114-2008]
Нарушение информационной безопасности организации; нарушение ИБ организации - Случайное или преднамеренное неправомерное действие физического лица (субъекта, объекта) в отношении активов организации, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах, вызывающее негативные последствия (ущерб/вред) для организации. [ГОСТ Р 53114-2008]
Нарушитель информационной безопасности организации; нарушитель ИБ организации - Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации.[ГОСТ Р 53114-2008]
Нарушитель информационной безопасности; нарушитель ИБ - Субъект, реализующий угрозы ИБ организации БС РФ, нарушая предоставленные ему полномочия по доступу к активам организации БС РФ или по распоряжению ими. (СТО БР ИББС-1.0-2014)
Недекларированные возможности - Функциональные возможности средств вычислительной техники и программного обеспечения, не описанные или не соответствующие описанным в документации, которые могут привести к снижению или нарушению свойств безопасности информации. [ГОСТ Р 53114-2008]
Недекларированные возможности (программного обеспечения): Функциональные возможности программного обеспечения, не описанные в документации. (ГОСТ Р 50.1.053-2005)
Недекларированные возможности (программного обеспечения): Функциональные возможности программного обеспечения, не описанные в документации ГОСТ Р 50.1.056-2005
Неотказуемость (non-repudiation): Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Несанкционированное блокирование доступа к информации [ресурсам информационной системы]; отказ в обслуживании: Создание условий, препятствующих доступу к информации [ресурсам информационной системы] субъекту, имеющему право на него. ГОСТ Р 50.1.056-2005
Несанкционированное воздействие (на информацию [ресурсы автоматизированной информационной системы]) (при применении информационных технологий); НСВ: Изменение информации [ресурсов автоматизированной информационной системы], осуществляемое с нарушением установленных прав и (или) правил. (ГОСТ Р 50.1.053-2005)
Несанкционированное воздействие на информацию [ресурсы информационной системы ] ; НСВ: Изменение, уничтожение или копирование информации [ ресурсов информационной системы ] , осуществляемое с нарушением установленных прав и (или) правил ГОСТ Р 50.1.056-2005
Несанкционированное воздействие на информацию: Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. (ГОСТ Р 50922-2006)
Несанкционированный доступ - Доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа.[ГОСТ Р 53114-2008]
Несанкционированный доступ (unauthorized access) (к информации [ресурсам автоматизированной информационной системы]); НСД: Доступ к информации [ресурсам автоматизированной информационной системы], осуществляемый с нарушением установленных прав и (или) правил доступа к информации [ресурсам автоматизированной информационной системы]. (ГОСТ Р 50.1.053-2005)
Несанкционированный доступ к информации [ресурсам информационной системы]; НСД: Доступ к информации [ресурсам информационной системы], осуществляемый с нарушением установленных прав и (или) правил доступа к информации [ресурсам информационной системы] с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам. ГОСТ Р 50.1.056-2005
Норма эффективности защиты информации: Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами. (ГОСТ Р 50922-2006)
Носитель защищаемой информации: Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. (ГОСТ Р 50922-2006)
Обеспечение информационной безопасности организации; обеспечение ИБ организации - Деятельность, направленная на устранение (нейтрализацию, парирование) внутренних и внешних угроз информационной безопасности организации или на минимизацию ущерба от возможной реализации таких угроз. [ГОСТ Р 53114-2008]
Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам (№149-ФЗ)
Область аудита информационной безопасности; область аудита ИБ - Содержание и границы аудита ИБ. (СТО БР ИББС-1.0-2014)
Область действия системы обеспечения информационной безопасности; область действия СОИБ - Совокупность информационных активов и элементов информационной инфраструктуры организации БС РФ. (СТО БР ИББС-1.0-2014)
Обработка риска информационной безопасности организации; обработка риска ИБ организации - Процесс разработки и/или отбора и внедрения мер управления рисками информационной безопасности организации. [ГОСТ Р 53114-2008]
Обработка риска нарушения информационной безопасности - Процесс выбора и осуществления защитных мер, снижающих риск нарушения ИБ, или мер по переносу, принятию или уходу от риска. (СТО БР ИББС-1.0-2014)
Объект доступа (object) (в автоматизированной информационной системе): Единица ресурса автоматизированной информационной системы, доступ к которой регламентируется правилами разграничения доступа. (ГОСТ Р 50.1.053-2005)
Объект защиты информации - Информация или носитель информации, или информационный процесс, которую(ый) необходимо защищать в соответствии с целью защиты информации.[ГОСТ Р 50922 -2006, пункт 2.5.1]
Объект защиты информации: Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации. (ГОСТ Р 50922-2006)
Объект информатизации - Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров. [ГОСТ Р 51275 -2006, пункт 3.1]
Объект среды информационного актива - Материальный объект среды использования и (или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.). (СТО БР ИББС-1.0-2014)
Опасная ситуация - Обстоятельства, в которых люди, имущество или окружающая среда подвергаются опасности.[ГОСТ Р 51898 -2003, пункт 3.6]
Оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных (№149-ФЗ)
Определение приемлемости уровня риска - Процесс сравнения результатов анализа риска с критериями риска с целью определения приемлемости или допустимости уровня риска. [ГОСТ Р 53114-2008]
Организационно-технические мероприятия по обеспечению защиты информации: Совокупность действий, направленных на применение организационных мер и программно-технических способов защиты информации на объекте информатизации. ГОСТ Р 50.1.056-2005
Организационные меры обеспечения информационной безопасности; организационные меры обеспечения ИБ - Меры обеспечения информационной безопасности, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации. [ГОСТ Р 53114-2008]
Организационный контроль эффективности защиты информации: Проверка соответствия требованиям нормативных документов в области зашиты информации [ ГОСТ Р 50992 -96 . статья 31 ]
Осознание необходимости обеспечения информационной безопасности; осознание ИБ - Понимание руководством организации БС РФ необходимости самостоятельно на основе принятых в этой организации ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению ИБ, а также поддерживать эту деятельность адекватно прогнозу. (СТО БР ИББС-1.0-2014)
Остаточный риск (residual risk): Риск, остающийся после его обработки. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Остаточный риск нарушения информационной безопасности - Риск, остающийся после обработки риска нарушения ИБ. (СТО БР ИББС-1.0-2014)
Отчетность (ресурсов информационной системы): Состояние ресурсов информационной системы, при котором обеспечиваются идентификация и регистрация действий с ними. ГОСТ Р 50.1.056-2005
Оценка информационного риска: Общий процесс анализа информационного риска и его оценивания. (ГОСТ Р 50922-2006)
Оценка риска информационной безопасности (организации); оценка риска ИБ (организации) - Общий процесс идентификации, анализа и определения приемлемости уровня риска информационной безопасности организации. [ГОСТ Р 53114-2008]
Оценка риска нарушения информационной безопасности - Систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов организации БС РФ на всех стадиях их жизненного цикла. (СТО БР ИББС-1.0-2014)
Оценка риска; анализ риска: Выявление угроз безопасности информации, уязвимостей информационной системы, оценка вероятностей реализации угроз с использованием уязвимостей и оценка последствий реализации угроз для информации и информационной системы, используемой для обработки этой информации ГОСТ Р 50.1.056-2005
Оценка соответствия информационной безопасности организации установленным требованиям; оценка соответствия ИБ организации установленным требованиям - Деятельность, связанная с прямым или косвенным определением выполнения или невыполнения в организации установленных требований информационной безопасности.[ГОСТ Р 53114-2008]
Оценка соответствия информационной безопасности; оценка соответствия ИБ - Систематический и документируемый процесс получения свидетельств деятельности организации БС РФ по реализации требований ИБ и установлению степени выполнения в организации БС РФ критериев оценки (аудита) ИБ. (СТО БР ИББС-1.0-2014)
Оценка соответствия требованиям по защите информации: Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации. (ГОСТ Р 50922-2006)
Оценка уязвимостей — это проверка слабостей, которые могут быть использованы существующими угрозами. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Перенос риска (risk transfer): Разделение с другой стороной бремени потерь или выгод от риска. ( ГОСТ Р ИСО/МЭК 27005-2010)
Перехват (информации) - Неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.[Р 50.1.053 -2005, пункт 3.2.5]
Перехват (информации): Неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов. (ГОСТ Р 50.1.053-2005)
Перехват (информации): Неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов ГОСТ Р 50.1.056-2005
План работ по обеспечению информационной безопасности - Документ, устанавливающий перечень намеченных к выполнению работ или мероприятий по обеспечению ИБ организации БС РФ, их последовательность, объем (в той или иной форме), сроки выполнения, ответственных лиц и конкретных исполнителей. (СТО БР ИББС-1.0-2014)
Побочные электромагнитные излучения и наводки - Электромагнитные излучения технических средств обработки информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.[ГОСТ Р 53114-2008]
Подлинность (ресурсов автоматизированной информационной системы): Состояние ресурсов автоматизированной информационной системы, при котором обеспечивается реализация информационной технологии с использованием именно тех ресурсов, к которым субъект, имеющий на это право, обращается. (ГОСТ Р 50.1.053-2005)
Подлинность (ресурсов информационной системы): Состояние ресурсов информационной системы, при котором обеспечивается реализация информационной технологии с использованием именно тех ресурсов, к которым субъект, имеющий на это право, обращается. ГОСТ Р 50.1.056-2005
Подотчетность (accountability) (ресурсов автоматизированной информационной системы):Состояние ресурсов автоматизированной информационной системы, при котором обеспечиваются их идентификация и регистрация. (ГОСТ Р 50.1.053-2005)
Подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Показатель защищенности информации: Количественная или качественная характеристика безопасности информации, определяющая уровень требований, предъявляемых к конфиденциальности, целостности и доступности этой информации и реализуемых при ее обработке ГОСТ Р 50.1.056-2005
Показатель эффективности защиты информации: Мера или характеристика для оценки эффективности защиты информации. (ГОСТ Р 50922-2006)
Политика безопасности (информации в организации ): Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. (ГОСТ Р 50922-2006)
Политика безопасности (информации в организации): Одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. (ГОСТ Р 50.1.053-2005)
Политика безопасности (информации в организации): Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. ГОСТ Р 50.1.056-2005
Политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) (ICТ security policy): Правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Политика информационной безопасности (организации); политика ИБ (организации) - Формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности. [ГОСТ Р 53114-2008]
Политика информационной безопасности; политика ИБ - Документация, определяющая высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенная для организации БС РФ в целом. (СТО БР ИББС-1.0-2014)
Правила разграничения доступа (в автоматизированной информационной системе): Правила, регламентирующие условия доступа субъектов доступа к объектам доступа в автоматизированной информационной системе. (ГОСТ Р 50.1.053-2005)
Правила разграничения доступа (в информационной системе): Правила, регламентирующие условия доступа субъектов доступа к объектам доступа в информационной системе ГОСТ Р 50.1.056-2005
Правило доступа к защищаемой информации; правило доступа: Совокупность правил, устанавливающих порядок и условия доступа субъекта к защищаемой информации и ее носителям. (ГОСТ Р 50922-2006)
Право доступа к защищаемой информации; право доступа: Совокупность правил доступа к защищаемой информации, установленных правовыми документами или собственником, владельцем информации. (ГОСТ Р 50922-2006)
Правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением. (ГОСТ Р 50922-2006)
Преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем. (ГОСТ Р 50922-2006)
Предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц (№149-ФЗ)
Предотвращение риска (risk avoidance): Решение не быть вовлеченным в рискованную ситуацию или действие, предупреждающее вовлечение в нее. ( ГОСТ Р ИСО/МЭК 27005-2010)
Примечание - К объектам оценки могут относиться: средство защиты информации, средство контроля эффективности защиты информации. (ГОСТ Р 50922-2006)
Провайдер хостинга - лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет" (п. 18 введен Федеральным законом от 28.07.2012 N 139-ФЗ)
Программа аудита информационной безопасности; программа аудита ИБ - План деятельности по проведению одного или нескольких аудитов ИБ (и других проверок ИБ), запланированных на конкретный период времени и направленных на достижение конкретной цели. (СТО БР ИББС-1.0-2014)
Программная закладка: Преднамеренно внесенные в программное обеспечение функциональные объекты, которые при определенных условиях инициируют реализацию недекларированных возможностей программного обеспечения. (ГОСТ Р 50.1.053-2005)
Программная закладка: Скрытно внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие ГОСТ Р 50.1.056-2005
Программное воздействие: Несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ. (ГОСТ Р 50.1.053-2005)
Профиль защиты: Совокупность типовых требований по обеспечению безопасности информации, которые должны быть реализованы в защищаемой автоматизированной информационной системе. (ГОСТ Р 50.1.053-2005)
Разглашение информации - Несанкционированное доведение защищаемой информации до лиц, не имеющих права доступа к этой информации. [ГОСТ Р 53114-2008]
Распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц (№149-ФЗ)
Регистрация - Фиксация данных о совершенных действиях (событиях). (СТО БР ИББС-1.0-2014)
Ресурс - Актив организации БС РФ, который используется или потребляется в процессе выполнения некоторой деятельности. (СТО БР ИББС-1.0-2014)
Риск - Мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы. (СТО БР ИББС-1.0-2014)
Риск (risk):Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Риск информационной безопасности (information security risk): Возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации. ( ГОСТ Р ИСО/МЭК 27005-2010)
Риск нарушения информационной безопасности; риск нарушения ИБ - Риск, связанный с угрозой ИБ. (СТО БР ИББС-1.0-2014)
Роль - Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом. (СТО БР ИББС-1.0-2014)
Роль информационной безопасности в организации; роль ИБ в организации - Совокупность определенных функций и задач обеспечения информационной безопасности организации, устанавливающих допустимое взаимодействие между субъектом и объектом в организации.[ГОСТ Р 53114-2008]
Сайт в сети "Интернет" - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет" (п. 13 введен Федеральным законом от 28.07.2012 N 139-ФЗ, в ред. Федерального закона от 07.06.2013 N 112-ФЗ)
Самооценка информационной безопасности; самооценка ИБ - Оценка соответствия информационной безопасности, выполняемая работниками организации БС РФ. (СТО БР ИББС-1.0-2014)
Санкционирование доступа; авторизация: Предоставление субъекту прав на доступ, а также предоставление доступа в соответствии с установленными правами на доступ ГОСТ Р 50.1.056-2005
Свидетельства (доказательства) аудита информационной безопасности организации; свидетельства аудита ИБ организации - Записи, изложение фактов или другая информация, которые имеют отношение к критериям аудита информационной безопасности организации и могут быть проверены. [ГОСТ Р 53114-2008]
Свидетельства выполнения деятельности по обеспечению информационной безопасности - Документ или элемент документа, содержащий достигнутые результаты (промежуточные или окончательные), относящиеся к обеспечению ИБ организации БС РФ. (СТО БР ИББС-1.0-2014)
Сертификация на соответствие требованиям по безопасности информации: Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров. (ГОСТ Р 50922-2006)
Сертификация средств технической защиты информации на соответствие требованиям по безопасности информации: Деятельность органа по сертификации по подтверждению соответствия средств технической защиты информации требованиям технических регламентов, положениям стандартов или условиям договоров
Сетевая атака - Действия с применением программных и (или) технических средств и с использованием сетевого протокола, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на нее или на ресурсы автоматизированной информационной системы. [ГОСТ Р 53114-2008]
Сетевая атака: компьютерная атака с использованием протоколов межсетевого взаимодействия ГОСТ Р 50.1.056-2005
Сетевой адрес - идентификатор в сети передачи данных, определяющий при оказании телематических услуг связи абонентский терминал или иные средства связи, входящие в информационную систему (п. 16 введен Федеральным законом от 28.07.2012 N 139-ФЗ)
Система документов по информационной безопасности в организации; система документов по ИБ в организации - Объединенная целевой направленностью упорядоченная совокупность документов, взаимосвязанных по признакам происхождения, назначения, вида, сферы деятельности, единых требований к их оформлению и регламентирующих в организации деятельность по обеспечению информационной безопасности. [ГОСТ Р 53114-2008]
Система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации. (ГОСТ Р 50922-2006)
Система информационной безопасности; СИБ - Совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение. (СТО БР ИББС-1.0-2014)
Система менеджмента информационной безопасности СМИБ – часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинг, анализа, поддержки и улучшения информационной безопасности. (ИСО/МЭК 27001-2006)
Система менеджмента информационной безопасности; СМИБ - Часть менеджмента организации БС РФ, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ. (СТО БР ИББС-1.0-2014)
Система менеджмента информационной безопасности; СМИБ - Часть общей системы менеджмента, основанная на использовании методов оценки бизнес -рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.[ГОСТ Р ИСО/МЭК 27001 -2006, пункт 3.7]
Система обеспечения информационной безопасности; СОИБ - Совокупность СИБ и СМИБ организации БС РФ. (СТО БР ИББС-1.0-2014)
Служба информационной безопасности организации - Организационно -техническая структура системы менеджмента информационной безопасности организации, реализующая решение определенной задачи, направленной на противодействие угрозам информационной безопасности организации. [ГОСТ Р 53114-2008]
Снижение риска (risk reduction): Действия, предпринятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском. ( ГОСТ Р ИСО/МЭК 27005-2010)
Событие ИБ - идентифицированное появления определенного состояния системы, сервиса или сети, указывающее на возможное нарушение политики ИБ или отказ от защищенных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности. ( ГОСТ Р ИСО/МЭК ТО 18044-2007)
Событие информационной безопасности – идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью. (ИСО/МЭК ТО 18044:2004)
Сохранение риска (risk retention): Принятие бремени потерь или выгод от конкретного риска. ( ГОСТ Р ИСО/МЭК 27005-2010)
Специальная проверка: Проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств. (ГОСТ Р 50922-2006)
Специальная проверка: Проверка объекта информатизации с целью выявления и изъятия возможно внедренных закладочных устройств ГОСТ Р 50.1.056-2005
Специальное исследование (объекта защиты информации): Исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации. (ГОСТ Р 50922-2006)
Специальное исследование (объекта технической защиты информации): Исследования с целью выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте технической защиты информации) требованиям нормативных правовых документов в области безопасности информации ГОСТ Р 50.1.056-2005
Способ защиты информации: Порядок и правила применения определенных принципов и средств защиты информации. (ГОСТ Р 50922-2006)
Средство защиты информации от утечки по техническим каналам: Техническое средство, вещество или материал, предназначенные и (или) используемые для защиты информации от утечки по техническим каналам ГОСТ Р 50.1.056-2005
Средство защиты информации от несанкционированного воздействия: Техническое, программное или программно-техническое средство, предназначенное для предотвращения несанкционированного воздействия на информацию или ресурсы информационной системы ГОСТ Р 50.1.056-2005
Средство защиты информации от несанкционированного доступа: Техническое, программное или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа к информации или ресурсам информационной системы ГОСТ Р 50.1.056-2005
Средство защиты информации: Техническое, программное, программно - техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации. (ГОСТ Р 50922-2006)
Средство защиты от несанкционированного доступа - Программное, техническое или программно -техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа. [ГОСТ Р 53114-2008]
Средство контроля эффективности защиты информации: Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации. (ГОСТ Р 50922-2006)
Средство контроля эффективности технической защиты информации: Средство измерений, программное средство, вещество и (или) материал, предназначенные и (или) используемые для контроля эффективности технической защиты информации ГОСТ Р 50.1.056-2005
Средство обеспечения технической защиты информации: Техническое, программное, программно-техническое средство, используемое и (или) создаваемое для обеспечения технической защиты информации на всех стадиях жизненного цикла защищаемого объекта ГОСТ Р 50.1.056-2005
Средство обнаружения вторжений, средство обнаружения атак - Программное или программно-техническое средство, которое автоматизирует процесс контроля событий, протекающих в компьютерной системе или сети, а также самостоятельно анализирует эти события в поисках признаков инцидента информационной безопасности.[ГОСТ Р 53114-2008]
Средство поиска закладочных устройств: Техническое средство, предназначенное для поиска закладочных устройств, установленных на объекте информатизации ГОСТ Р 50.1.056-2005
Средство физической защиты информации: Средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации. (ГОСТ Р 50922-2006)
Средство(а) обработки информации (information processing facility(ies)): Любая система обработки информации, сервис или инфраструктура, или их физические места размещения. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Страница сайта в сети "Интернет" (далее также - интернет-страница) - часть сайта в сети "Интернет", доступ к которой осуществляется по указателю, состоящему из доменного имени и символов, определенных владельцем сайта в сети "Интернет" (п. 14 введен Федеральным законом от 28.07.2012 N 139-ФЗ)
Субъект доступа (subject) (в автоматизированной информационной системе): Лицо или единица ресурса автоматизированной информационной системы, действия которой по доступу к ресурсам автоматизированной информационной системы регламентируются правилами разграничения доступа. (ГОСТ Р 50.1.053-2005)
Техника защиты информации: Средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации. (ГОСТ Р 50922-2006)
Техника защиты информации: Средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации. [ ГОСТ Р 50922 -96 , статья 20]
Техническая защита информаци:: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств. (ГОСТ Р 50922-2006)
Техническая защита информации ; ТЗИ : Деятельность , направлен ная на обеспечение не криптографическими методами безопасности информации (данных), подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств ГОСТ Р 50.1.056-2005
Техническая защита информации; ТЗИ: Обеспечение защиты некриптографическими методами информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию и носители информации в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации (ГОСТ Р 50.1.053-2005)
Технический контроль эффективности защиты информации: Контроль эффективности защиты информации, проводимый с использованием средств контроля. ГОСТ Р 50922 -96 , статья 31
Техническое средство обеспечения информационной безопасности; техническое средство обеспечения ИБ - Оборудование, используемое для обеспечения информационной безопасности организации некриптографическими методами. [ГОСТ Р 53114-2008]
Требование по защите информации: Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации. (ГОСТ Р 50922-2006)
Угроза - Опасность, предполагающая возможность потерь (ущерба). (СТО БР ИББС-1.0-2014)
Угроза (threat) (безопасности информации):Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации. (ГОСТ Р 50.1.053-2005)
Угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или организации. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Угроза (безопасности информации) - Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.[ГОСТ Р 50922 -2006, пункт 2.6.1]
Угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. (ГОСТ Р 50922-2006)
Угроза (безопасности информации): Совокупность условий и фак торов , создающих потенциальную или реально существующую опасность нарушения безопасности информации.ГОСТ Р 50.1.056-2005
Угроза информационной безопасности организации; угроза ИБ организации - Совокупность факторов и условий, создающих опасность нарушения информационной безопасности организации, вызывающую или способную вызвать негативные последствия (ущерб/вред) для организации. [ГОСТ Р 53114-2008]
Угроза информационной безопасности; угроза ИБ - Угроза нарушения свойств ИБ — доступности, целостности или конфиденциальности информационных активов организации БС РФ. (СТО БР ИББС-1.0-2014)
Удостоверение подлинности; нотаризация: Регистрация данных защищенной третьей стороной, что в дальнейшем позволяет обеспечить точность характеристик данных. ГОСТ Р 50.1.056-2005
Улучшение безопасности – структурный процесс обнаружения, оповещения, оценки и менеджмента инцидентов и событий ИБ позволяет быстро идентифицировать любое событие или инцидент ИБ и реагировать на них, тем самым улучшая общую безопасность за счет быстрого определения и реализации правильного решения, а также обеспечивая средства предотвращения подобных инцидентов ИБ в будущем. ( ГОСТ Р ИСО/МЭК ТО 18044-2007)
Утечка (leakage)(информации) по техническому каналу: Неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации. (ГОСТ Р 50.1.053-2005)
Утечка (информации) по техническому каналу: Неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации ГОСТ Р 50.1.056-2005
Утечка информации - Неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками. [ГОСТ Р 53114-2008]
Ущерб - Утрата активов, повреждение (утрата свойств) активов и (или) инфраструктуры организации или другой вред активам и (или) инфраструктуре организации БС РФ, наступивший в результате реализации угроз ИБ через уязвимости ИБ. (СТО БР ИББС-1.0-2014)
Уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Уязвимость (автоматизированной информационной системы): Недостаток или слабое место в автоматизированной информационной системе, которые могут быть условием реализации угрозы безопасности обрабатываемой в ней информации. (ГОСТ Р 50.1.053-2005)
Уязвимость (информационной системы ); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. (ГОСТ Р 50922-2006)
Уязвимость (информационной системы); брешь - Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.[ГОСТ Р 50922 -2006, пункт 2.6.4]
Уязвимость (информационной системы); брешь: Свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации. ГОСТ Р 50.1.056-2005
Уязвимость информационной безопасности; уязвимость ИБ - Слабое место в инфраструктуре организации БС РФ, включая СОИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ. (СТО БР ИББС-1.0-2014)
Фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней. (ГОСТ Р 50922-2006)
Физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты. (ГОСТ Р 50922-2006)
Целостность (integrity) (информации [ресурсов автоматизированной информационной системы]):Состояние информации [ресурсов автоматизированной информационной системы], при котором ее [их] изменение осуществляется только преднамеренно субъектами, имеющими на него право. (ГОСТ Р 50.1.053-2005)
Целостность (integrity): Свойство сохранения правильности и полноты активов. (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
Целостность информации: Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами , имеющими на него право.ГОСТ Р 50.1.056-2005
Целостность информационных активов - Свойство ИБ организации БС РФ сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах. (СТО БР ИББС-1.0-2014)
Целостность ресурсов информационной системы: Состояние ресурсов информационной системы, при котором их изменение осуществляется только преднамеренно субъектами, имеющими на него право, при этом сохраняются их состав, содержание и организация взаимодействия.ГОСТ Р 50.1.056-2005
Цель защиты информации: Заранее намеченный результат защиты информации. (ГОСТ Р 50922-2006)
Цель информационной безопасности (организации); цель ИБ (организации) - Заранее намеченный результат обеспечения информационной безопасности организации в соответствии с установленными требованиями в политике ИБ (организации).[ГОСТ Р 53114-2008]
Частная политика информационной безопасности; частная политика ИБ - Документация, детализирующая положения политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности БС РФ. (СТО БР ИББС-1.0-2014)
Чрезвычайная ситуация; непредвиденная ситуация; ЧС - Обстановка на определенной территории или акватории, сложившаяся в результате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия, которые могут повлечь или повлекли за собой человеческие жертвы, ущерб здоровью людей или окружающей природной среде, значительные материальные потери и нарушение условий жизнедеятельности людей.[ГОСТ Р 22.0.02 -94, статья 2.1.1]
Экспертиза документа по защите информации: Рассмотрение документа по защите информации физическим или юридическим лицом, имеющим право на проведение работ в данной области, с целью подготовить соответствующее экспертное заключение. (ГОСТ Р 50922-2006)
Электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети (№149-ФЗ)
Электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах (п. 11.1 введен Федеральным законом от 27.07.2010 N 227-ФЗ)
Эффективность защиты информации: Степень соответствия результатов защиты информации цели защиты информации. (ГОСТ Р 50922-2006)
Эффективность обеспечения информационной безопасности; эффективность обеспечения ИБ - Связь между достигнутым результатом и использованными ресурсами для обеспечения заданного уровня информационной безопасности.[ГОСТ Р 53114-2008]