2.
ВНЕСЕНЫ Управлением технического регулирования и стандартизации Федерального
агентства по техническому регулированию и метрологии
3.
УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому
регулированию и метрологии от 29 декабря 2005
г. № 479-ст
4.
ВВЕДЕНЫ ВПЕРВЫЕ
Информация о введении в действие
(прекращении действия) настоящих рекомендаций, изменениях и поправках, а также
тексты изменений и поправок к ним публикуются в информационном указателе
«Национальные стандарты»
Установленные
настоящими рекомендациями термины расположены в систематизированном порядке,
отражающем систему понятий в области технической защиты информации.
Для
каждого понятия установлен один стандартизованный термин.
Заключенная
в круглые скобки часть термина может быть опущена при использовании термина в
документах по стандартизации. При этом не входящая в круглые скобки часть
термина образует его краткую форму.
Наличие
квадратных скобок в терминологической статье означает, что в нее включены два
термина, имеющие общие терминоэлементы.
В
алфавитном указателе данные термины приведены отдельно с указанием номера
статьи.
Приведенные
определения можно при необходимости изменять, вводя в них производные признаки,
раскрывая значения используемых в них терминов, указывая объекты, входящие в
объем определяемого понятия. Изменения не должны нарушать объем и содержание
понятий, определенных в настоящих рекомендациях.
В
настоящих рекомендациях приведены термины на английском языке.
Термины
и определения общетехнических понятий, необходимые для понимания текста
настоящих рекомендаций, приведены в приложении А.
Схема
взаимосвязи стандартизованных терминов приведена в приложении Б.
Стандартизованные
термины набраны полужирным шрифтом, их краткие формы, представленные
аббревиатурой, - светлым, а синонимы - курсивом.
В
настоящих рекомендациях приведен алфавитный указатель терминов на русском
языке, а также алфавитный указатель терминов на английском языке.
РЕКОМЕНДАЦИИПОСТАНДАРТИЗАЦИИ
Техническаязащитаинформации
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Technical Information
protection. Terms and definitions
Настоящие
рекомендации устанавливают термины и определения понятий в области технической
защиты информации в различных сферах деятельности.
Термины,
установленные настоящими рекомендациями, рекомендуются для использования во
всех видах документации и литературы по вопросам технической защиты информации,
используемой в сфере работ по стандартизации.
ГОСТ
Р 51898-2002 Аспекты безопасности. Правила включения в стандарты
ГОСТ
1.1-2002 Межгосударственная система стандартизации. Термины и определения
ГОСТ
34.003-90 Информационная технология. Комплекс стандартов на
автоматизированные системы. Термины и определения.
ГОСТ
15971-90 Системы обработки информации. Термины и определения
ГОСТ
16504-81 Система государственных испытаний продукции. Испытания и контроль
качества продукции. Основные термины и определения
Примечание - При
пользовании настоящими рекомендациями целесообразно проверить действие
ссылочного стандарта в информационной системе общего пользования - на
официальном сайте Федерального агентства по техническому регулированию и
метрологии в сети Интернет или по ежегодно издаваемому информационному
указателю «Национальные стандарты», который опубликован по состоянию на 1
января текущего года, и по соответствующим ежемесячно издаваемым информационным
указателям, опубликованным в текущем году. Если ссылочный документ заменен
(изменен), то при пользовании настоящими рекомендациями следует
руководствоваться замененным (измененным) документом. Если ссылочный документ
отменен без замены, то положение, в котором дана ссылка на него, применяется в
части, не затрагивающей эту ссылку.
3.1.1 информационная безопасность объектаинформатизации: Состояние защищенности объекта информатизации, при
котором обеспечивается безопасность информации и автоматизированных средств
ее обработки
3.1.2 техническаязащитаинформации; ТЗИ: Деятельность, направленная на обеспечение некриптографическими методами
безопасности информации (данных), подлежащей защите в соответствии с
действующим законодательством, с применением технических, программных и
программно-технических средств
en Technical Information protection
3.1.3 безопасность информации [данных]:
Состояние защищенности информации [данных], при котором обеспечиваются ее
[их] конфиденциальность, доступность и целостность [1].
enInformation [data] security
Примечание -
Безопасность информации [данных] определяется отсутствием недопустимого
риска, связанного с утечкой информации по техническим каналам, с
несанкционированными и непреднамеренными воздействиями на данные и (или) на другие
ресурсы автоматизированной информационной системы, используемые при
применении информационной технологии [1]
3.1.4 безопасность информационной
технологии: Состояние защищенности информационной технологии, при котором
обеспечивается выполнение изделием, реализующим информационную технологию,
предписанных функций без нарушений безопасности обрабатываемой информации
en IT security
3.1.5 конфиденциальность информации: Состояние
информации, при котором доступ к ней осуществляют только субъекты, имеющие на
него право [1]
enConfidentiality
3.1.6 целостность информации:
Состояние информации, при котором отсутствуетлюбоеееизменениелибоизменениеосуществляетсятолько
преднамеренносубъектами, имеющиминанегоправо
enIntegrity
3.1.7 целостность ресурсов информационной
системы: Состояние ресурсов информационной системы, при котором их
изменение осуществляется только преднамеренно субъектами, имеющими на него
право, при этом сохраняются их состав, содержание и организация
взаимодействия
3.1.8 доступность информации [ресурсовинформационной системы]: Состояние информации [ресурсов информационной
системы], при котором субъекты, имеющие права доступа, могут реализовать их
беспрепятственно [1].
enAvailability
Примечание - К правам
доступа относятся: право на чтение, изменение, копирование, уничтожение
информации, а также право на изменение, использование, уничтожение ресурсов [1]
3.1.9 отчетность (ресурсов информационной
системы): Состояние ресурсов информационной системы, при котором
обеспечиваются идентификация и регистрация действий с ними
enAccountability
3.1.10 подлинность (ресурсов
информационной системы): Состояние ресурсов информационной системы, при
котором обеспечивается реализация информационной технологии с использованием
именно тех ресурсов, к которым субъект, имеющий на это право, обращается [1]
enAuthenticity
3.1.11 показатель защищенности информации:
Количественная или качественная характеристика безопасности информации,
определяющая уровень требований, предъявляемых к конфиденциальности, целостности
и доступности этой информации и реализуемых при ее обработке [2]
3.2.1 угроза (безопасности информации):
Совокупность условий и факторов, создающихпотенциальнуюилиреальносуществующуюопасность
нарушениябезопасностиинформации
enThreat
3.2.2 источник угрозы безопасности
информации: Субъект (физическое лицо, материальный объект или физическое явление),
являющийся непосредственной причиной возникновения угрозы безопасности
информации
3.2.3 уязвимость (информационной
системы);брешь: Свойство
информационной системы, предоставляющее возможность реализации угроз
безопасности обрабатываемой в ней информации.
en Vulnerability, breach
Примечания
1. Условием реализации угрозы безопасности
обрабатываемой в системе информации может быть недостаток или слабое место в
информационной системе.
2. Если уязвимость соответствует угрозе, то существует
риск [3]
3.2.4 утечка (информации) по техническому
каналу: Неконтролируемое распространение информации от носителя
защищаемой информации через физическую среду до технического средства,
осуществляющего перехват информации [1]
enLeakage
3.2.5 перехват (информации):
Неправомерное получение информации с использованием технического средства,
осуществляющего обнаружение, прием и обработку информативных сигналов [1]
enInterception
3.2.6 несанкционированный доступ к
информации[ресурсам информационной системы]; НСД: Доступ к информации
[ресурсам информационной системы], осуществляемый с нарушением установленных
прав и (или) правил доступа к информации [ресурсам информационной системы] с
применением штатных средств информационной системы или средств, аналогичных
им по своим функциональному предназначению и техническим характеристикам.
Примечания
1. Несанкционированный доступ может быть осуществленпреднамеренно или непреднамеренно [1].
2. Права и правила доступа к информации и ресурсам
информационной системы устанавливают для процессов обработки информации, ее
обслуживания, изменения программных, технических и информационных ресурсов, а
также получения информации о них [1]
3.2.7 несанкционированное воздействие на
информацию[ресурсы информационной системы]; НСВ: Изменение,
уничтожение или копирование информации [ресурсов информационной системы], осуществляемое с
нарушением установленных прав и (или) правил
Примечания
1. Несанкционированное воздействие может быть осуществлено
преднамеренно или непреднамеренно. Преднамеренные несанкционированные
воздействия являются специальными воздействиями [1].
2. Изменение может быть осуществлено в форме
замены информации [ресурсов информационной системы]; введения новой
информации [новых ресурсов информационной системы], а также уничтожения или
повреждения информации [ресурсов информационной системы] [1]
3.2.8 компьютерная атака:
целенаправленное несанкционированное воздействие на информацию, на ресурс
информационной системы или получение несанкционированного доступа к ним с
применением программных или программно-аппаратных средств
enAttack
3.2.9 сетевая атака: компьютерная
атака с использованием протоколов межсетевого взаимодействия
3.2.10 несанкционированное блокирование
доступа кинформации [ресурсам информационной системы]; отказ в
обслуживании: Создание условий, препятствующих доступу к информации [ресурсам
информационной системы] субъекту, имеющему право на него.
en Denial of service
Примечания
1. Несанкционированное блокирование доступа осуществляется нарушителем
безопасности информации, а санкционированное - администратором
2. Создание условий, препятствующих доступу к
информации (ресурсам информационной системы), может быть осуществлено по
времени доступа, функциям по обработке информации (видам доступа) и (или)
доступным информационным ресурсам [1]
3.2.11 закладочное устройство; закладка:
Элемент средства съема информации или воздействия на нее, скрытно внедряемый
(закладываемый или вносимый) в места возможного съема информации.
Примечание -
Местами возможного съема информации могут быть ограждение, конструкция
здания, оборудование, предметы интерьера, транспортные средства, а также
технические средства и системы обработки информации
3.2.12 вредоносная программа:
Программа, предназначенная для осуществления несанкционированного доступа и
(или) воздействия на информацию или ресурсы информационной системы [1]
3.2.13 (компьютерный) вирус:
Исполняемый программный код или интерпретируемый набор инструкций, обладающий
свойствами несанкционированного распространения и самовоспроизведения.
en Computer virus
Примечание - Созданные дубликаты компьютерного вируса не всегда совпадают с
оригиналом, но сохраняют способность к дальнейшему распространению и
самовоспроизведению
3.2.14 недекларированные возможности
(программногообеспечения): Функциональные возможности
программного обеспечения, не описанные в документации [1]
3.2.15 программная закладка:
Скрытновнесенный в программное обеспечение функциональный объект, который при
определенных условиях способен обеспечить несанкционированное программное
воздействие
en Malicious logic
Примечание программная
закладка может быть реализована в виде вредоносной программы или программного
кода [1]
3.3.1 Защищаемый объект информатизации:
Объект информатизации предназначенный для обработки защищаемой информации с
требуемым уровнем ее защищенности
3.3.2 защищаемая информационная система:Информационная система, предназначенная для
обработки защищаемой информации с требуемым уровнем ее защищенности
3.3.3 защищаемые ресурсы (информационной
системы): Ресурсы, использующиеся в информационной системе при обработке
защищаемой информации с требуемым уровнем ее защищенности
3.3.4 защищаемая информационная
технология:Информационная
технология, предназначенная для сбора, хранения, обработки, передачи и
использования защищаемой информации с требуемым уровнем ее защищенности [1]
3.3.5 защищаемые программные средства:
Программные средства, используемые в информационной системе при обработке
защищаемой информации с требуемым уровнем ее защищенности
3.3.6 защищаемая сеть связи: Сеть связи,
используемая при обмене защищаемой информацией с требуемым уровнем ее
защищенность
3.4.1 техника защиты информации:
Средства защиты информации, средства контроля эффективности защиты информации,
средства и системы управления, предназначенные для обеспечения защиты
информации.
[ГОСТ Р 50922-96, статья 20]
3.4.2 средство защиты информации от
утечки потехническим каналам: Техническое средство, вещество или
материал, предназначенные и (или) используемые для защиты информации от
утечки по техническим каналам
3.4.3 средство защиты информации отнесанкционированного
доступа: Техническое, программное или программно-техническоесредство, предназначенное для
предотвращения или существенного затруднения несанкционированного доступа к
информации или ресурсам информационной системы
3.4.4 средство защиты информации отнесанкционированного
воздействия: Техническое, программное или программно-техническое
средство, предназначенное для предотвращения несанкционированного воздействия
на информацию или ресурсы информационной системы
3.4.5 межсетевой экран: локальное (однокомпонентное)
или функционально-распределенное программное (программно-аппаратное)
средство(комплекс), реализующее контроль за информацией, поступающей в
автоматизированную систему и (или) выходящей из автоматизированной системы [4]
3.4.6 средство поиска закладочных
устройств: Техническое средство, предназначенное для поиска закладочных
устройств, установленных на объекте информатизации
3.4.7 средство контроля эффективности
техническойзащиты информации: Средство измерений, программное
средство, вещество и (или) материал, предназначенные и (или) используемые для
контроля эффективности технической защиты информации
3.4.8 средство обеспечения технической
защитыинформации: Техническое, программное,
программно-техническое средство, используемое и (или) создаваемое для
обеспечения технической защиты информации на всех стадиях жизненного цикла
защищаемого объекта
3.5.1 организационно-технические
мероприятия пообеспечению защиты информации: Совокупность
действий, направленных на применение организационных мер и программно-технических
способов защиты информации на объекте информатизации.
en Technical safeguards
Примечания
1. Организационно-технические мероприятия по обеспечению защиты
информации должны осуществляться на всех этапах жизненного цикла объекта информатизации.
2. Организационные меры предусматривают
установление временных, территориальных, пространственных, правовых,
методических и иных ограничений на условия использования и режимы работы
объекта информатизации
3.5.2 политика безопасности (информации ворганизации): Совокупность документированных правил, процедур,
практических приемов или руководящих принципов в области безопасности
информации, которыми руководствуется организация в своей деятельности
en Organisational security policy
3.5.3 правила разграничения доступа (в
информационнойсистеме): Правила, регламентирующие условия доступа
субъектов доступа к объектам доступа в информационной системе [1]
3.5.4 аудиторская проверка информационнойбезопасности в организации; аудит
информационнойбезопасности в
организации: Периодический, независимый и документированный процесс
получения свидетельств аудита и объективной их оценки с целью установления
степени выполнения в организации установленных требований по обеспечению
информационной безопасности.
en Security audit
Примечание -
Аудит информационной безопасности в организации может осуществляться
независимой организацией (третьей стороной) по договору с проверяемой
организацией, а также подразделением или должностным лицом организации
(внутренний аудит)
3.5.5 аудиторская проверка безопасности
информации винформационной системе; аудит безопасностиинформации
в информационной системе: Проверка реализованных в информационной системе
процедур обеспечения безопасности информации с целью оценки их эффективности
и корректности, а также разработки предложений по их совершенствованию[1]
en Computer system audit
3.5.6 мониторинг безопасности информации:
Постоянное наблюдение за процессом обеспечения безопасности информации в
информационной системе с целью выявления его соответствия требованиям по
безопасности информации
en Security monitoring
3.5.7
технический контроль эффективности защитыинформации: Контроль эффективности
защиты информации, проводимый с использованием средств контроля.
[ГОСТ Р 50922-96, статья 31]
3.5.8
организационный контроль эффективности защитыинформации: Проверка соответствия
требованиям нормативных документов в области зашиты информации
[ГОСТ
Р 50992-96. статья 31]
3.5.9 контроль доступа (в информационной
системе): Проверка выполнения субъектами доступа установленных правил
разграничения доступа в информационной системе
en Access control
3.5.10 санкционирование доступа; авторизация: Предоставление субъекту прав
на доступ, а также предоставление доступа в соответствии с установленными
правами на доступ
enAuthorization
3.5.11 аутентификация (подлинности
субъекта доступа): Действия по проверке подлинности субъекта доступа в
информационной системе [1]
enAuthentication
3.5.12 идентификация: Действия по
присвоению субъектам и объектам доступа идентификаторов и (или) действия по
сравнению предъявляемого идентификатора с перечнем присвоенных
идентификаторов [1]
enIdentification
3.5.13 удостоверение подлинности; нотаризация: Регистрация данных
защищенной третьей стороной, что в дальнейшем позволяет обеспечить точность
характеристик данных.
enNotarization
Примечание - К
характеристикам данных, например, относятся: содержание, происхождение, время
и способ доставки
3.5.14 восстановление данных:
Действия по воссозданию данных, которые были утеряны или изменены в
результате несанкционированных воздействий
en Data restoration
3.5.15 специальная проверка: Проверка
объекта информатизации с целью выявления и изъятия возможно внедренных
закладочных устройств
3.5.16 специальное исследование (объекта
техническойзащиты информации): Исследования с целью выявления
технических каналов утечки защищаемой информации и оценки соответствия защиты
информации (на объекте технической защиты информации) требованиям нормативных
правовых документов в области безопасности информации
3.5.17 сертификация средств технической
защитыинформации на соответствие требованиям по безопасностиинформации:
Деятельность органа по сертификации по подтверждению соответствия средств
технической защиты информации требованиям технических регламентов, положениям
стандартов или условиям договоров
3.5.18 аттестация объекта информатизации:
Деятельность по установлению соответствия комплекса
организационно-технических мероприятий по защите объекта информатизации
требованиям по безопасности информации
3.5.19 оценка риска; анализ риска: Выявление угроз
безопасности информации, уязвимостей информационной системы, оценка
вероятностей реализации угроз с использованием уязвимостей и оценка
последствий реализации угроз для информации и информационной системы,
используемой для обработки этой информации
Приложение А
(справочное)
Общетехнические термины и определения, связанные с областью информационных
технологий
А.1
автоматизированная система, АС: Система, состоящая из
персонала и комплекса средств автоматизации его деятельности, реализующая
информационную технологию выполнения установленных функций.
1.
Организационно-упорядоченная совокупность документов (массивов документов) и
информационных технологий, в том числе с использованием средств вычислительной
техники и связи [5].
2.
Автоматизированная система, результатом функционирования которой является
представление выходной информации для последующего использования.
А.3
защищаемая информация: Информация, являющаяся предметом собственности
и подлежащая защите в соответствии с требованиями правовых документов или
требованиями, устанавливаемыми собственником информации.
Примечание - Собственником информации могут быть:
государство, юридическое лицо, группа физических лиц, отдельное физическое
лицо.
[ГОСТ
Р 50992-96, статья 1]
А.4
данные: Информация, представленная в виде, пригодном для обработки
автоматическими средствами при возможном участии человека.
информационная технология: Приемы, способы и методы применения
средств вычислительной техники при выполнении функций сбора, хранения,
обработки, передачи и использования данных.
защиты информации; ЗИ: Деятельность, направленная на предотвращение
утечки защищаемой информации, несанкционированных и непреднамеренных
воздействий на защищаемую информацию.
[ГОСТ Р 50922-96,
статья 2]
А.8
защита информации от утечки: Деятельность,
направленная на предотвращение неконтролируемого распространения защищаемой
информации в результате ее разглашения, несанкционированного доступа к
информации и получения защищаемой информации разведками.
[ГОСТ Р 50922-96,
статья 3]
А.9
криптографическая защита (данных):
Защита данных при помощи криптографического преобразования данных [1].
А.10
требование: Положение нормативного документа, содержащее
критерии, которые должны быть соблюдены.
объект информатизации: Совокупность информационных ресурсов, средств
и систем обработки информации, используемых в соответствии с заданной
информационной технологией, средств обеспечения объекта информатизации,
помещений или объектов (зданий, сооружений, технических средств), в которых они
установлены, или помещения и объекты, предназначенные для ведения
конфиденциальных переговоров.
А.
13 информативный сигнал: Сигнал, по параметрам
которого может быть определена защищаемая информация.
А.14 доступ: Извлечение информации из памяти
средства вычислительной техники (электронно-вычислительной машины) или
помещение информации в память средства вычислительной техники (электронно-вычислительной
машины).
А.15 доступ к информации (ресурсам
информационной системы): Получение возможности ознакомления с информацией,
обработки информации и (или) воздействия на информацию и (или) ресурсы
информационной системы с использованием программных и (или) технических средств
[1].
Примечание - Доступ
осуществляется субъектами доступа, к которым относятся лица, а также логические
и физические объекты [1].
А.16
субъект доступа (в информационной
системе): Лицо или единица ресурса информационной системы, действия
которого по доступу к ресурсам информационной системы регламентируются
правилами разграничения доступа.
А.17 объект доступа (в информационной системе):
Единица ресурса информационной системы, доступ к которой регламентируется
правилами разграничения доступа [1].
А.18 средство измерений: Техническое средство,
предназначенное для измерений, имеющее нормированные метрологические
характеристики, воспроизводящее и/или хранящее единицу физической величины,
размер которой принимают неизменным (в пределах установленной погрешности) в
течение известного интервала времени
A.19 сеть связи: Технологическая система
включающая в себя средства и линии связи и предназначенная для электросвязи или
почтовой связи [6].
А.20 ресурсы (информационной системы): Средства,
использующиеся в информационной системе, привлекаемые для обработки информации
(например, информационные, программные, технические, лингвистические).
А.21 нормативный правовой документ:
Письменный официальный документ, принятый в установленном порядке,
управомоченного на то органа государственной власти, органа местного
самоуправления или должностного лица, устанавливающий правовые нормы (правила
поведения), обязательные для неопределенного круга лиц, рассчитанные на
неоднократное применение и действующие независимо от того, возникли или
прекратились конкретные правоотношения, предусмотренные актом [7].
А.22 выделенное помещение: специальное
помещение, предназначенное для регулярного проведения собраний, совещаний,
бесед и других мероприятий секретного характера.
А.23
измерительный контроль: контроль, осуществляемый с применением
средств измерений. [ГОСТ
16504-81, статья 111]
А.24
информация: Сведения о лицах, предметах, фактах, событиях,
явлениях и процессах независимо от формы их представления.
[ГОСТ Р 50922-96,
статья Б.1]
А.25
нарушитель безопасности информации:
Физическое лицо, случайно или преднамеренно совершающее действия, следствием
которых является нарушение безопасности информации при ее обработке техническими
средствами в информационных системах.
А.26 документированный процесс: Процесс,
реализация которого осуществляется в соответствии с разработанным комплектом
документов (документацией) и подтверждается соответствующими записями.
А.27 свидетельства (доказательства) аудита
информационной безопасности: Записи, изложения фактов или другая
информация, которые имеют отношение к критериям аудита информационной
безопасности и могут быть проверены.
Примечание -
Свидетельства аудита информационной безопасности могут быть качественными или
количественными.
А.28
критерии аудита информационной
безопасности в организации: Совокупность принципов, положений, требований и
показателей действующих нормативных документов, относящихся к деятельности
организации в области информационной безопасности.
Примечание - Критерии аудита информационной
безопасности используют для сопоставления с ними свидетельств аудита
информационной безопасности.
А.29
управление риском: Действия, осуществляемые для выполнения
решений в рамках менеджмента риска.
ПримечаниеУправление риском может включать в себя мониторинг, переоценивание и
действия, направленные на обеспечение соответствия принятым решениям.
Средства
вычислительной техники. Межсетевые экраны. Защита от несанкционированного
доступа к информации. Показатели защищенности от несанкционированного доступа
к информации