Защита информации. Термины и определения

 

Терминов и определений, характеризующих понятия, связанные с информационной безопасностью, довольно много и не всегда удается разобраться в них, выделить основное. Для начала обратимся к нормативным документам. Так "Национальный стандарт РФ. Защита информации. Основные термины и определения. Protection of information. Basic terms and definitions. ГОСТ Р 50922-2006". утвержденный Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст, дата введения - 1 февраля 2008 года, дает нам следующие стандартизованные термины и их определения.

Защита информации (ЗИ). деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Правовая защита информации. защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

Техническая защита информации (ТЗИ). защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Криптографическая защита информации. защита информации с помощью ее криптографического преобразования.

Физическая защита информации. защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Физическая защита информации. защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Способ защиты информации. порядок и правила применения определенных принципов и средств защиты информации.

Защита информации от утечки. защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.

Защита информации от несанкционированного воздействия (ЗИ от НСВ). защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от непреднамеренного воздействия. защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от разглашения. защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

Защита информации от несанкционированного доступа (ЗИ от НСД). защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Защита информации от преднамеренного воздействия (ЗИ от ПДВ). защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

Защита информации от [иностранной] разведки. защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.

Замысел защиты информации. основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.

Цель защиты информации. заранее намеченный результат защиты информации.

Система защиты информации. совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

Политика безопасности (информации в организации). совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Безопасность информации [данных]. состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

Объект защиты информации. информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

Защищаемая информация. информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Носитель защищаемой информации. физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Защищаемый объект информатизации. объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.

Защищаемая информационная система. информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.

Угроза (безопасности информации). совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Фактор, воздействующий на защищаемую информацию. явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

Источник угрозы безопасности информации. субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

Уязвимость (информационной системы). свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Вредоносная программа. программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.

Несанкционированное воздействие на информацию. воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Преднамеренное силовое электромагнитное воздействие на информацию. несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

Модель угроз (безопасности информации). физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Техника защиты информации. средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Средство защиты информации. техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Средство контроля эффективности защиты информации. средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.

Средство физической защиты информации. средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации.

Криптографическое средство защиты информации. средство защиты информации, реализующее алгоритмы криптографического преобразования информации.

Оценка соответствия требованиям по защите информации. прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.

Лицензирование в области защиты информации. деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ.

Сертификация на соответствие требованиям по безопасности информации. форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.

Специальное исследование (объекта защиты информации). исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации.

Специальная проверка. проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств.

Аудиторская проверка информационной безопасности в организации (аудит информационной безопасности в организации). периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности.

Мониторинг безопасности информации. постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.

Экспертиза документа по защите информации. рассмотрение документа по защите информации физическим или юридическим лицом, имеющим право на проведение работ в данной области, с целью подготовить соответствующее экспертное заключение.

Анализ информационного риска. систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации.

Оценка информационного риска. общий процесс анализа информационного риска и его оценивания.

Эффективность защиты информации. степень соответствия результатов защиты информации цели защиты информации.

Требование по защите информации. установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.

Показатель эффективности защиты информации. мера или характеристика для оценки эффективности защиты информации.

Норма эффективности защиты информации. значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.

Термины и определения общетехнических понятий

Информация. сведения (сообщения, данные) независимо от формы их представления.

Документированная информация. зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию, или в установленных законодательством Российской Федерации случаях ее материальный носитель.

Информация, составляющая коммерческую тайну. научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.

Данные. факты, понятия или команды, представленные в формализованном виде и позволяющие осуществлять их передачу или обработку как вручную, так и с помощью средств автоматизации.

Носитель информации. материальный объект, в том числе физическое поле, в котором информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Информационная система. совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Обладатель информации. лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Пользователь информации. субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника, в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.

Доступ к информации. возможность получения информации и ее использования.

Право доступа к защищаемой информации; право доступа. совокупность правил доступа к защищаемой информации, установленных правовыми документами или собственником, владельцем информации.

Правило доступа к защищаемой информации; правило доступа. совокупность правил, устанавливающих порядок и условия доступа субъекта к защищаемой информации и ее носителям.

Конфиденциальность информации. обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Предоставление информации. действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.

Распространение информации. действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.

Оператор информационной системы. гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Доступность информации [ресурсов информационной системы]. состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно. К правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации, а также право на изменение, использование, уничтожение ресурсов.

Целостность. состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

 



  • На главную