Информационная безопасность. Национальные стандарты Российской Федерации
Шрифт:
ПРИМЕЧАНИЕ
В Федеральном законе от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» даны следующие определения:
критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;
объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной
Критерий обеспечения ИБ организации – показатель, на основании которого оценивается степень достижения цели (целей) ИБ организации.
Меры обеспечения информационной безопасности – совокупность действий, направленных на разработку и/или практическое применение способов и средств обеспечения ИБ.
Мониторинг безопасности информации (при применении информационных технологий) – процедуры регулярного наблюдения за процессом обеспечения безопасности информации при применении информационных технологий.
Недекларированные возможности – функциональные возможности средств вычислительной техники и программного обеспечения, не описанные или не соответствующие описанным в документации, которые могут привести к снижению или нарушению свойств безопасности информации.
Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.
Объект защиты информации – информация или носитель информации или информационный процесс, который необходимо защищать в соответствии с целью ЗИ.
Оценка риска – выявление угроз безопасности информации, уязвимостей информационной системы, оценка вероятностей реализации угроз с использованием уязвимостей и оценка последствий реализации угроз для информации и информационной системы, используемой для обработки этой информации.
Оценка соответствия ИБ организации установленным требованиям – деятельность, связанная с прямым или косвенным определением выполнения или невыполнения в организации установленных требований ИБ.
Оценка соответствия требованиям по ЗИ – прямое или косвенное определение степени соблюдения требований по ЗИ, предъявляемых к объекту ЗИ.
Обеспечение информационной безопасности организации – деятельность, направленная на устранение (нейтрализацию, парирование) внутренних и внешних угроз информационной безопасности организации или на минимизацию ущерба от возможной реализации таких угроз.
Организационные меры обеспечения информационной безопасности – меры обеспечения ИБ, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации.
Политика информационной безопасности (организации) – формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется
Подотчетность (ресурсов автоматизированной информационной системы) – состояние ресурсов автоматизированной информационной системы, при котором обеспечиваются их идентификация и регистрация.
Подлинность (ресурсов автоматизированной информационной системы) – состояние ресурсов автоматизированной информационной системы, при котором обеспечивается реализация информационной технологии с использованием именно тех ресурсов, к которым субъект, имеющий на это право, обращается.
Правила разграничения доступа (в автоматизированной информационной системе) – правила, регламентирующие условия доступа субъектов доступа к объектам доступа в автоматизированной информационной системе.
Правовая защита информации – защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов, регулирующих отношения субъектов по защите информации, применение этих документов, а также надзор и контроль за их исполнением.
Программная закладка – преднамеренно внесенный в программное обеспечение функциональный объект, который при определенных условиях инициирует реализацию недекларированных возможностей программного обеспечения.
Программная закладка – скрытно внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие.
Система защиты информации – совокупность органов и/или исполнителей, используемой ими техники ЗИ, а также объектов ЗИ, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области ЗИ.
Сертификация на соответствие требованиям по безопасности информации – форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.
Средство контроля эффективности ЗИ – средство ЗИ, предназначенное или используемое для контроля эффективности ЗИ.
Средство обнаружения вторжений – программное или программно-техническое средство, которое автоматизирует процесс контроля событий, протекающих в компьютерной системе или сети, а также самостоятельно анализирует эти события в поисках признаков инцидента информационной безопасности.
Средство защиты информации – техническое, программное, программно-техническое средство, вещество и/или материал, предназначенные или используемые для защиты информации.
Сертификация средств технической защиты информации – деятельность органа по сертификации по подтверждению соответствия средств технической защиты информации требованиям технических регламентов, положениям стандартов или условиям договоров.
Техническая защита информации – защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.