Глоссарий по ЗИ. Актив (asset) чтолибо, что имеет ценность для организации
 Скачать 30.73 Kb.
|
|
Актив (asset) - что-либо, что имеет ценность для организации. Типы активов: информация, программное обеспечение, материальные активы, услуги, люди и их квалификация, навыки и опыт, нематериальные активы (репутация, имидж ……) Источник ГОСТ Р ИСО/МЭК 27000 Активная угроза - угроза преднамеренного несанкционированного изменения состояния системы. Примечание - Примерами активных угроз, относящихся к защите информации, могут служить модификация сообщений, дублирование сообщений, вставка ложных сообщений, маскирование какого-либо логического объекта под санкционированный логический объект и отклонение услуги. ГОСТ Р ИСО 7498-2-99 Анализ информационного риска: Систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации. ГОСТ Р 50922-2006 Атака (attack) попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа к активу или его несанкционированного использования. ГОСТ Р ИСО/МЭК 27000 Аудиторская проверка информационной безопасности в организации; аудит информационной безопасности в организации: Периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности. Примечание - Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит). ГОСТ Р 50922-2006 Аутентификация (authentication) Обеспечение гарантии того, что заявленные характеристики объекта правильны. Источник ГОСТ Р ИСО/МЭК 27000 Аутентификация отправителя данных - подтверждение того, что отправитель полученных данных соответствует заявленному. ГОСТ Р ИСО 7498-2-99
Безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность. ГОСТ Р 50922-2006
Вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы. ГОСТ Р 50922-2006
ГОСТ Р 50922-2006 НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ "Защита информации. Основные термины и определения"
Дешифрование - процесс, обратный соответствующему обратимому процессу шифрования. ГОСТ Р ИСО 7498-2-99 Доступность - свойство быть доступным и используемым по запросу со стороны уполномоченного логического объекта. ГОСТ Р ИСО 7498-2-99 Доступность (availability) Свойство быть доступным и готовым к использованию по запросу авторизованного субъекта. Источник ГОСТ Р ИСО/МЭК 27000
Замысел защиты информации: Основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации. ГОСТ Р 50922-2006 Защита информации от [иностранной] разведки: Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой. ГОСТ Р 50922-2006 Защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. ГОСТ Р 50922-2006 Защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. ГОСТ Р 50922-2006 Защита информации от несанкционированного доступа; ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации. Примечание - Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо. ГОСТ Р 50922-2006 Защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях. ГОСТ Р 50922-2006 Защита информации от разглашения: Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации. ГОСТ Р 50922-2006 Защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами. Примечание - Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо. ГОСТ Р 50922-2006 Защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. ГОСТ Р 50922-2006 Защищаемая информационная система: Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности. ГОСТ Р 50922-2006 Защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Примечание - Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо. ГОСТ Р 50922-2006 Защищаемый объект информатизации: Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности. ГОСТ Р 50922-2006
Информационная безопасность (information security): Сохранение конфиденциальности, целостностии доступности информации. Примечание - Также сюда могут быть включены другие свойства, такие как подлинность, подотчетность, неотказуемостьи достоверность. Источник ГОСТ Р ИСО/МЭК 27000 Информация аутентификации - информация, используемая для установления подлинности запрашиваемой личности. ГОСТ Р ИСО 7498-2-99 Инцидент информационной безопасности (information security incident): Одно или несколько нежелательных или неожиданных событий информационной безопасности, которые со значительной степенью вероятности приводят к компрометации операций бизнеса и создают угрозы для информационнойбезопасности. Источник ГОСТ Р ИСО/МЭК 27000 Источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации. ГОСТ Р 50922-2006
Канал - маршрут передачи информации. ГОСТ Р ИСО 7498-2-99 Конфиденциальность - свойство, позволяющее не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам. ГОСТ Р ИСО 7498-2-99 Конфиденциальность (confidentiality): Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов. Источник ГОСТ Р ИСО/МЭК 27000 Криптоанализ - анализ криптографической системы и/или ее входов и выходов с целью получения конфиденциальных переменных и/или чувствительных данных, включая открытый текст. ГОСТ Р ИСО 7498-2-99 Криптографическая защита информации: Защита информации с помощью ее криптографического преобразования. ГОСТ Р 50922-2006 Криптографическое контрольное значение - информация, получаемая в результате выполнения криптографического преобразования (см. криптография) блока данных. Примечание - Контрольное значение может быть получено путем выполнения одного или нескольких шагов и является результатом математической функции ключа и блока данных. Оно обычно используется для проверки целостности блока данных. ГОСТ Р ИСО 7498-2-99 Криптографическое средство защиты информации: Средство защиты информации, реализующее алгоритмы криптографического преобразования информации. ГОСТ Р 50922-2006 Криптография - дисциплина, охватывающая принципы, средства и методы преобразования данных для сокрытия их информационного содержимого, предотвращения их необнаруживаемой модификации и/или их несанкционированного использования. Примечание - Криптография устанавливает методы, используемые при шифровании и дешифровании. Любое вторжение в криптографические принципы, средства или методы, представляет собой криптоанализ. ГОСТ Р ИСО 7498-2-99
Лицензирование в области защиты информации: Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ. ГОСТ Р 50922-2006
Модель угроз (безопасности информации): Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации. Примечание - Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ. ГОСТ Р 50922-2006 Мониторинг безопасности информации: Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации. ГОСТ Р 50922-2006
Неотказуемость (non-repudiation): Способность удостоверять имевшее место событие или действие и их субъекты так, чтобы это событиеили действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение. ГОСТ Р ИСО/МЭК 27000-2012 Несанкционированное воздействие на информацию: Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. ГОСТ Р 50922-2006 Норма эффективности защиты информации: Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами. ГОСТ Р 50922-2006 Носитель защищаемой информации: Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. ГОСТ Р 50922-2006
Обмен аутентификацией - механизм, предназначенный для подтверждения подлинности какого-либо логического объекта путем обмена информацией. ГОСТ Р ИСО 7498-2-99 Объект защиты информации: Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации. ГОСТ Р 50922-2006 Отклонение услуги - предотвращение санкционированного доступа к ресурсам или задержка операций, критичных ко времени. ГОСТ Р ИСО 7498-2-99 Открытый текст - смысловые данные, семантическое содержимое которых доступно. ГОСТ Р ИСО 7498-2-99 Оценка информационного риска: Общий процесс анализа информационного риска и его оценивания. ГОСТ Р 50922-2006 Оценка соответствия требованиям по защите информации: Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации. ГОСТ Р 50922-2006
Подлинность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичен заявленному. Источник ГОСТ Р ИСО/МЭК 27000 Показатель эффективности защиты информации: Мера или характеристика для оценки эффективности защиты информации. ГОСТ Р 50922-2006
Политика безопасности (информации в организации): Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. ГОСТ Р 50922-2006 Полномочие - предоставление прав, гарантирующих доступ к ресурсам в соответствии с правами на доступ. ГОСТ Р ИСО 7498-2-99 Правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением. ГОСТ Р 50922-2006 Преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем. ГОСТ Р 50922-2006 Предупреждающее действие (preventive action): Действие, предпринятое для устранения потенциального несоответствия или другой потенциально нежелательной ситуации. ГОСТ Р ИСО/МЭК 27000-2012
Риск информационной безопасности (information security risk): Потенциальная возможность того, что уязвимостьбудет использоваться для создания угрозыактивуили группе активов, приводящей к ущербу для организации. ГОСТ Р ИСО/МЭК 27000-2012
Сертификация на соответствие требованиям по безопасности информации: Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров. Примечание - К объектам оценки могут относиться: средство защиты информации, средство контроля эффективности защиты информации. ГОСТ Р 50922-2006 Система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации. ГОСТ Р 50922-2006 Специальная проверка: Проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств. ГОСТ Р 50922-2006 Специальное исследование (объекта защиты информации): Исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации. ГОСТ Р 50922-2006 Список управления доступом - список логических объектов, имеющих разрешение на доступ к ресурсу, вместе с перечнем их прав на доступ. ГОСТ Р ИСО 7498-2-99 Способ защиты информации: Порядок и правила применения определенных принципов и средств защиты информации. ГОСТ Р 50922-2006 Средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации. ГОСТ Р 50922-2006 Средство контроля эффективности защиты информации: Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации. ГОСТ Р 50922-2006 Средство физической защиты информации: Средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации. ГОСТ Р 50922-2006
Техника защиты информации: Средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации. ГОСТ Р 50922-2006 Техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств. ГОСТ Р 50922-2006 Требование по защите информации: Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации. ГОСТ Р 50922-2006
Угроза (threat): Возможная причина нежелательного инцидента, который может нанести ущерб системе или организации. ГОСТ Р ИСО/МЭК 27000-2012 Угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. ГОСТ Р 50922-2006 Угроза информационной безопасности Российской Федерации (далее –информационная угроза) -совокупность действий и факторов, создающих опасность нанесения ущерба национальным интересам в информационной сфере (п. 1 пп. б) Доктрина информационной безопасности Российской Федерации: утв. Указом Президента РФ от 05.12.2016 N 646. Удостоверение личности - данные, передаваемые для установления заявленной подлинности логического объекта. ГОСТ Р ИСО 7498-2-99 Управление доступом - предотвращение несанкционированного использования какого-либо ресурса, включая предотвращение использования ресурса неполномочным способом. ГОСТ Р ИСО 7498-2-99 Уязвимость (vulnerability): Слабое место активаили меры и средства контроля и управления, которое может быть использовано угрозой. ГОСТ Р ИСО/МЭК 27000-2012 Уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. Примечания 1 Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе. 2 Если уязвимость соответствует угрозе, то существует риск. ГОСТ Р 50922-2006
Фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней. ГОСТ Р 50922-2006 Физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты. Примечания 1 Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты. 2 К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации. ГОСТ Р 50922-2006 Функциональная возможность - маркер, используемый в качестве идентификатора какого-либо ресурса, овладение которым дает право на доступ к данному ресурсу ГОСТ Р ИСО 7498-2-99
Целостность (integrity): Свойство сохранения правильности и полноты активов. ГОСТ Р ИСО/МЭК 27000-2012 Целостность данных - способность данных не подвергаться изменению или аннулированию в результате несанкционированного доступа. ГОСТ Р ИСО 7498-2-99 Цель защиты информации: Заранее намеченный результат защиты информации. Примечание - Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию. ГОСТ Р 50922-2006 Цифровая подпись - дополнительные данные или криптографическое преобразование (см. криптография) какого-либо блока данных, позволяющие получателю блока данных убедиться в подлинности отправителя и целостности блока данных и защитить его от искажения с помощью, например, средств получателя. ГОСТ Р ИСО 7498-2-99
Шифрование - криптографическое преобразование данных (см. криптография) для получения шифротекста. Примечание - Шифрование может быть необратимым процессом, в связи с чем соответствующий процесс дешифрования невозможно реализовать. ГОСТ Р ИСО 7498-2-99 Шифротекст - данные, получаемые в результате использования шифрования. Семантическое содержимое полученных в результате шифрования данных недоступно. Примечание - Шифротекст может сам по себе служить входом в процесс шифрования, в результате чего вырабатывается суперзашифрованный выход. ГОСТ Р ИСО 7498-2-99
Экспертиза документа по защите информации: Рассмотрение документа по защите информации физическим или юридическим лицом, имеющим право на проведение работ в данной области, с целью подготовить соответствующее экспертное заключение. Примечание - Экспертиза документа по защите информации может включать в себя научно-техническую, правовую, метрологическую, патентную и терминологическую экспертизу. ГОСТ Р 50922-2006 Эффективность защиты информации: Степень соответствия результатов защиты информации цели защиты информации. ГОСТ Р 50922-2006 |