Фрагмент документа "НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ЗАЩИТА ИНФОРМАЦИИ. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ. PROTECTION OF INFORMATION. BASIC TERMS AND DEFINITIONS".
2. Термины и определения
2.1. Общие понятия
2.1.1. #Защита информации#; ЗИ: деятельность, направленная на
предотвращение утечки защищаемой информации, несанкционированных и
непреднамеренных воздействий на защищаемую информацию.
2.2. Термины, относящиеся к видам защиты информации
2.2.1. #Правовая защита информации#: защита информации правовыми
методами, включающая в себя разработку законодательных и нормативных
правовых документов (актов), регулирующих отношения субъектов по
защите информации, применение этих документов (актов), а также надзор
и контроль за их исполнением.
2.2.2. #Техническая защита информации#; ТЗИ: защита информации,
заключающаяся в обеспечении некриптографическими методами безопасности
информации (данных), подлежащей (подлежащих) защите в соответствии с
действующим законодательством, с применением технических, программных
и программно-технических средств.
2.2.3. #Криптографическая защита информации#: защита информации с
помощью ее криптографического преобразования.
2.2.4. #Физическая защита информации#: защита информации путем
применения организационных мероприятий и совокупности средств,
создающих препятствия для проникновения или доступа неуполномоченных
физических лиц к объекту защиты.
Примечания:
1. Организационные мероприятия по обеспечению физической защиты
информации предусматривают установление режимных, временных,
территориальных, пространственных ограничений на условия использования
и распорядок работы объекта защиты.
2. К объектам защиты информации могут быть отнесены: охраняемая
территория, здание (сооружение), выделенное помещение, информация и
(или) информационные ресурсы объекта информатизации.
2.3. Термины, относящиеся к способам защиты информации
2.3.1. #Способ защиты информации#: порядок и правила применения
определенных принципов и средств защиты информации.
2.3.2. #Защита информации от утечки#: защита информации,
направленная на предотвращение неконтролируемого распространения
защищаемой информации в результате ее разглашения и
несанкционированного доступа к ней, а также на исключение
(затруднение) получения защищаемой информации [иностранными]
разведками и другими заинтересованными субъектами.
Примечание - Заинтересованными субъектами могут быть:
государство, юридическое лицо, группа физических лиц, отдельное
физическое лицо.
2.3.3. #Защита информации от несанкционированного воздействия#;
ЗИ от НСВ: защита информации, направленная на предотвращение
несанкционированного доступа и воздействия на защищаемую информацию с
нарушением установленных прав и (или) правил на изменение информации,
приводящих к разрушению, уничтожению, искажению, сбою в работе,
незаконному перехвату и копированию, блокированию доступа к
информации, а также к утрате, уничтожению или сбою функционирования
носителя информации.
2.3.4. #Защита информации от непреднамеренного воздействия#:
защита информации, направленная на предотвращение воздействия на
защищаемую информацию ошибок ее пользователя, сбоя технических и
программных средств информационных систем, природных явлений или иных
нецеленаправленных на изменение информации событий, приводящих к
искажению, уничтожению, копированию, блокированию доступа к
информации, а также к утрате, уничтожению или сбою функционирования
носителя информации.
2.3.5. #Защита информации от разглашения#: защита информации,
направленная на предотвращение несанкционированного доведения
защищаемой информации до заинтересованных субъектов (потребителей), не
имеющих права доступа к этой информации.
2.3.6. #Защита информации от несанкционированного доступа#; ЗИ от
НСД: защита информации, направленная на предотвращение получения
защищаемой информации заинтересованными субъектами с нарушением
установленных нормативными и правовыми документами (актами) или
обладателями информации прав или правил разграничения доступа к
защищаемой информации.
Примечание - Заинтересованными субъектами, осуществляющими
несанкционированный доступ к защищаемой информации, могут быть:
государство, юридическое лицо, группа физических лиц, в том числе
общественная организация, отдельное физическое лицо.
2.3.7. #Защита информации от преднамеренного воздействия#; ЗИ от
ПДВ: защита информации, направленная на предотвращение преднамеренного
воздействия, в том числе электромагнитного и (или) воздействия другой
физической природы, осуществляемого в террористических или
криминальных целях.
2.3.8. #Защита информации от [иностранной] разведки#: защита
информации, направленная на предотвращение получения защищаемой
информации [иностранной] разведкой.
2.4. Термины, относящиеся к замыслу защиты информации
2.4.1. #Замысел защиты информации#: основная идея, раскрывающая
состав, содержание, взаимосвязь и последовательность осуществления
технических и организационных мероприятий, необходимых для достижения
цели защиты информации.
2.4.2. #Цель защиты информации#: заранее намеченный результат
защиты информации.
Примечание - Результатом защиты информации может быть
предотвращение ущерба обладателю информации из-за возможной утечки
информации и (или) несанкционированного и непреднамеренного
воздействия на информацию.
2.4.3. #Система защиты информации#: совокупность органов и (или)
исполнителей, используемой ими техники защиты информации, а также
объектов защиты информации, организованная и функционирующая по
правилам и нормам, установленным соответствующими документами в
области защиты информации.
2.4.4. #Политика безопасности (информации в организации)#:
совокупность документированных правил, процедур, практических приемов
или руководящих принципов в области безопасности информации, которыми
руководствуется организация в своей деятельности.
2.4.5. #Безопасность информации [данных]#: состояние защищенности
информации [данных], при котором обеспечены ее [их]
конфиденциальность, доступность и целостность.
2.5. Термины, относящиеся к объекту защиты информации
2.5.1. #Объект защиты информации#: информация или носитель
информации, или информационный процесс, которые необходимо защищать в
соответствии с целью защиты информации.
2.5.2. #Защищаемая информация#: информация, являющаяся предметом
собственности и подлежащая защите в соответствии с требованиями
правовых документов или требованиями, устанавливаемыми собственником
информации.
Примечание - Собственниками информации могут быть: государство,
юридическое лицо, группа физических лиц, отдельное физическое лицо.
2.5.3. #Носитель защищаемой информации#: физическое лицо или
материальный объект, в том числе физическое поле, в котором информация
находит свое отражение в виде символов, образов, сигналов, технических
решений и процессов, количественных характеристик физических величин.
2.5.4. #Защищаемый объект информатизации#: объект информатизации,
предназначенный для обработки защищаемой информации с требуемым
уровнем ее защищенности.
2.5.5. #Защищаемая информационная система#: информационная
система, предназначенная для обработки защищаемой информации с
требуемым уровнем ее защищенности.
2.6. Термины, относящиеся к угрозам безопасности информации
2.6.1. #Угроза (безопасности информации)#: совокупность условий и
факторов, создающих потенциальную или реально существующую опасность
нарушения безопасности информации.
2.6.2. #Фактор, воздействующий на защищаемую информацию#:
явление, действие или процесс, результатом которого могут быть утечка,
искажение, уничтожение защищаемой информации, блокирование доступа к
ней.
2.6.3. #Источник угрозы безопасности информации#: субъект
(физическое лицо, материальный объект или физическое явление),
являющийся непосредственной причиной возникновения угрозы безопасности
информации.
2.6.4. #Уязвимость (информационной системы)#; &брешь&: свойство
информационной системы, обусловливающее возможность реализации угроз
безопасности обрабатываемой в ней информации.
Примечания:
1. Условием реализации угрозы безопасности обрабатываемой в
системе информации может быть недостаток или слабое место в
информационной системе.
2. Если уязвимость соответствует угрозе, то существует риск.
2.6.5. #Вредоносная программа#: программа, предназначенная для
осуществления несанкционированного доступа к информации и (или)
воздействия на информацию или ресурсы информационной системы.
2.6.6. #Несанкционированное воздействие на информацию#:
воздействие на защищаемую информацию с нарушением установленных прав и
(или) правил доступа, приводящее к утечке, искажению, подделке,
уничтожению, блокированию доступа к информации, а также к утрате,
уничтожению или сбою функционирования носителя информации.
2.6.7. #Преднамеренное силовое электромагнитное воздействие на
информацию#: несанкционированное воздействие на информацию,
осуществляемое путем применения источника электромагнитного поля для
наведения (генерирования) в автоматизированных информационных системах
электромагнитной энергии с уровнем, вызывающим нарушение нормального
функционирования (сбой в работе) технических и программных средств
этих систем.
2.6.8. #Модель угроз (безопасности информации)#: физическое,
математическое, описательное представление свойств или характеристик
угроз безопасности информации.
Примечание - Видом описательного представления свойств или
характеристик угроз безопасности информации может быть специальный
нормативный документ.
2.7. Термины, относящиеся к технике защиты информации
2.7.1. #Техника защиты информации#: средства защиты информации, в
том числе средства физической защиты информации, криптографические
средства защиты информации, средства контроля эффективности защиты
информации, средства и системы управления, предназначенные для
обеспечения защиты информации.
2.7.2. #Средство защиты информации#: техническое, программное,
программно-техническое средство, вещество и (или) материал,
предназначенные или используемые для защиты информации.
2.7.3. #Средство контроля эффективности защиты информации#:
средство защиты информации, предназначенное или используемое для
контроля эффективности защиты информации.
2.7.4. #Средство физической защиты информации#: средство защиты
информации, предназначенное или используемое для обеспечения
физической защиты объекта защиты информации.
2.7.5. #Криптографическое средство защиты информации#: средство
защиты информации, реализующее алгоритмы криптографического
преобразования информации.
2.8. Термины, относящиеся к способам оценки соответствия
требованиям по защите информации
2.8.1. #Оценка соответствия требованиям по защите информации#:
прямое или косвенное определение степени соблюдения требований по
защите информации, предъявляемых к объекту защиты информации.
2.8.2. #Лицензирование в области защиты информации#:
деятельность, заключающаяся в проверке (экспертизе) возможностей
юридического лица выполнять работы в области защиты информации в
соответствии с установленными требованиями и выдаче разрешения на
выполнение этих работ.
2.8.3. #Сертификация на соответствие требованиям по безопасности
информации#: форма осуществляемого органом по сертификации
подтверждения соответствия объектов оценки требованиям по безопасности
информации, установленным техническими регламентами, стандартами или
условиями договоров.
Примечание - К объектам оценки могут относиться: средство защиты
информации, средство контроля эффективности защиты информации.
2.8.4. #Специальное исследование (объекта защиты информации)#:
исследование, проводимое в целях выявления технических каналов утечки
защищаемой информации и оценки соответствия защиты информации (на
объекте защиты) требованиям нормативных и правовых документов в
области безопасности информации.
2.8.5. #Специальная проверка#: проверка объекта информатизации в
целях выявления и изъятия возможно внедренных закладочных устройств.
2.8.6. #Аудиторская проверка информационной безопасности в
организации#; &аудит информационной безопасности в организации&:
периодический независимый и документированный процесс получения
свидетельств аудита и объективной оценки с целью определить степень
выполнения в организации установленных требований по обеспечению
информационной безопасности.
Примечание - Аудит информационной безопасности в организации
может осуществляться независимой организацией (третьей стороной) по
договору с проверяемой организацией, а также подразделением или
должностным лицом организации (внутренний аудит).
2.8.7. #Мониторинг безопасности информации#: постоянное
наблюдение за процессом обеспечения безопасности информации в
информационной системе с целью установить его соответствие требованиям
безопасности информации.
2.8.8. #Экспертиза документа по защите информации#: рассмотрение
документа по защите информации физическим или юридическим лицом,
имеющим право на проведение работ в данной области, с целью
подготовить соответствующее экспертное заключение.
Примечание - Экспертиза документа по защите информации может
включать в себя научно-техническую, правовую, метрологическую,
патентную и терминологическую экспертизу.
2.8.9. #Анализ информационного риска#: систематическое
использование информации для выявления угроз безопасности информации,
уязвимостей информационной системы и количественной оценки
вероятностей реализации угроз с использованием уязвимостей и
последствий реализации угроз для информации и информационной системы,
предназначенной для обработки этой информации.
2.8.10. #Оценка информационного риска#: общий процесс анализа
информационного риска и его оценивания.
2.9. Термины, относящиеся к эффективности защиты информации
2.9.1. #Эффективность защиты информации#: степень соответствия
результатов защиты информации цели защиты информации.
2.9.2. #Требование по защите информации#: установленное правило
или норма, которая должна быть выполнена при организации и
осуществлении защиты информации, или допустимое значение показателя
эффективности защиты информации.
2.9.3. #Показатель эффективности защиты информации#: мера или
характеристика для оценки эффективности защиты информации.
2.9.4. #Норма эффективности защиты информации#: значение
показателя эффективности защиты информации, установленное нормативными
и правовыми документами.
|
Фрагмент документа "НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ЗАЩИТА ИНФОРМАЦИИ. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ. PROTECTION OF INFORMATION. BASIC TERMS AND DEFINITIONS".