Дата введения 01.02.2008
Предисловие
Цели и принципы
стандартизации в Российской Федерации установлены Федеральным законом от 27
декабря 2002 г.
N 184-ФЗ «О техническом регулировании», а правила применения национальных
стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской
Федерации. Основные положения».
Сведения
о стандарте
1. РАЗРАБОТАН Федеральным государственным
учреждением «Государственный научно-исследовательский испытательный институт
проблем технической защиты информации Федеральной службы по техническому и
экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»).
2. ВНЕСЕН Управлением технического регулирования
и стандартизации Федерального агентства по техническому регулированию и
метрологии.
3. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом
Федерального агентства по техническому регулированию и метрологии от 27 декабря
2006 г.
N 373-ст.
4. В настоящем стандарте реализованы нормы
Федеральных законов от 27 июля 2006
г. N 149-ФЗ «Об информации, информационных технологиях и
о защите информации» и от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне».
5. ВЗАМЕН ГОСТ Р 50922-96.
Введение
Установленные настоящим стандартом термины расположены в
систематизированном порядке, отражающем систему понятий в данной области
знания.
Для каждого понятия установлен один стандартизованный
термин.
Наличие квадратных скобок в терминологической статье
означает, что в нее входят два термина, имеющих общие терминоэлементы. В
алфавитном указателе данные термины приведены отдельно. Цифра, заключенная в
квадратные скобки, означает ссылку на документ, приведенный в структурном
элементе «Библиография».
Заключенная в круглые скобки часть термина может быть
опущена при использовании термина в документах по стандартизации, при этом не
входящая в круглые скобки часть термина образует его краткую форму. За
стандартизованными терминами приведены отделенные точкой с запятой их краткие
формы, представленные аббревиатурой.
Приведенные определения можно при необходимости изменять,
вводя в них производные признаки, раскрывая значения используемых в них
терминов, указывая объекты, входящие в объем определяемого понятия.
Изменения не должны нарушать объем и содержание понятий,
определенных в настоящем стандарте.
Стандартизованные термины набраны полужирным шрифтом, их
краткие формы, представленные аббревиатурой, - светлым, а синонимы - курсивом.
Термины и определения общетехнических понятий, которые
необходимы для понимания текста основной части настоящего стандарта, приведены
в приложении А.
1. Область применения
Настоящий стандарт устанавливает основные термины с
соответствующими определениями, применяемые при проведении работ по
стандартизации в области защиты информации.
Термины, установленные настоящим стандартом, рекомендуется
использовать в правовой, нормативной, технической и организационно-распорядительной
документации, научной, учебной и справочной литературе.
2. Термины и определения
2.1. Общие понятия
2.1.1. Защита информации; ЗИ - деятельность, направленная на предотвращение утечки защищаемой информации,
несанкционированных и непреднамеренных воздействий на защищаемую информацию.
2.2. Термины, относящиеся к видам защиты информации
2.2.1.Правовая защита информации - защита информации
правовыми методами, включающая в себя разработку законодательных и нормативных
правовых документов (актов), регулирующих отношения субъектов по защите
информации, применение этих документов (актов), а также надзор и контроль за их
исполнением.
2.2.2.Техническая защита информации; ТЗИ - защита
информации, заключающаяся в обеспечении некриптографическими методами
безопасности информации (данных), подлежащей (подлежащих) защите в соответствии
с действующим законодательством, с применением технических, программных и
программно-технических средств.
2.2.3.Криптографическая защита информации - защита информации
с помощью ее криптографического преобразования.
2.2.4.Физическая защита информации - защита информации путем
применения организационных мероприятий и совокупности средств, создающих
препятствия для проникновения или доступа неуполномоченных физических лиц к
объекту защиты.
Примечания:
1. Организационные мероприятия по обеспечению
физической защиты информации предусматривают установление режимных, временных,
территориальных, пространственных ограничений на условия использования и
распорядок работы объекта защиты.
2. К объектам защиты информации могут быть
отнесены: охраняемая территория, здание (сооружение), выделенное помещение,
информация и (или) информационные ресурсы объекта информатизации.
2.3. Термины, относящиеся к способам защиты информации
2.3.1. Способ защиты информации - порядок и правила
применения определенных принципов и средств защиты информации.
2.3.2. Защита информации от утечки - защита информации,
направленная на предотвращение неконтролируемого распространения защищаемой
информации в результате ее разглашения и несанкционированного доступа к ней, а
также на исключение (затруднение) получения защищаемой информации
[иностранными] разведками и другими заинтересованными субъектами.
Примечание: Заинтересованными
субъектами могут быть: государство, юридическое лицо, группа физических лиц,
отдельное физическое лицо.
2.3.3. Защита информации от несанкционированного
воздействия; ЗИ от НСВ - защита информации, направленная на предотвращение
несанкционированного доступа и воздействия на защищаемую информацию с
нарушением установленных прав и (или) правил на изменение информации,
приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному
перехвату и копированию, блокированию доступа к информации, а также к утрате,
уничтожению или сбою функционирования носителя информации.
2.3.4. Защита информации от непреднамеренного воздействия - защита информации,
направленная на предотвращение воздействия на защищаемую информацию ошибок ее
пользователя, сбоя технических и программных средств информационных систем,
природных явлений или иных нецеленаправленных на изменение информации событий,
приводящих к искажению, уничтожению, копированию, блокированию доступа к
информации, а также к утрате, уничтожению или сбою функционирования носителя
информации.
2.3.5. Защита информации от разглашения - защита информации,
направленная на предотвращение несанкционированного доведения защищаемой
информации до заинтересованных субъектов (потребителей), не имеющих права
доступа к этой информации.
2.3.6. Защита
информации от несанкционированного доступа; ЗИ от НСД - защита информации,
направленная на предотвращение получения защищаемой информации
заинтересованными субъектами с нарушением установленных нормативными и
правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к
защищаемой информации.
Примечание: Заинтересованными
субъектами, осуществляющими несанкционированный доступ к защищаемой информации,
могут быть: государство, юридическое лицо, группа физических лиц, в том числе
общественная организация, отдельное физическое лицо.
2.3.7. Защита информации от преднамеренного воздействия; ЗИ
от ПДВ - защита информации, направленная на предотвращение преднамеренного
воздействия, в том числе электромагнитного и (или) воздействия другой физической
природы, осуществляемого в террористических или криминальных целях.
2.3.8. Защита информации от [иностранной] разведки - защита информации,
направленная на предотвращение получения защищаемой информации [иностранной]
разведкой.
2.4. Термины, относящиеся к замыслу защиты информации
2.4.1. Замысел защиты информации - основная идея,
раскрывающая состав, содержание, взаимосвязь и последовательность осуществления
технических и организационных мероприятий, необходимых для достижения цели
защиты информации.
2.4.2. Цель защиты информации - заранее намеченный
результат защиты информации.
Примечание: Результатом
защиты информации может быть предотвращение ущерба обладателю информации из-за
возможной утечки информации и (или) несанкционированного и непреднамеренного
воздействия на информацию.
2.4.3. Система защиты информации - совокупность органов и
(или) исполнителей, используемой ими техники защиты информации, а также
объектов защиты информации, организованная и функционирующая по правилам и
нормам, установленным соответствующими документами в области защиты информации.
2.4.4. Политика безопасности (информации в организации) - совокупность
документированных правил, процедур, практических приемов или руководящих
принципов в области безопасности информации, которыми руководствуется
организация в своей деятельности.
2.4.5. Безопасность информации [данных] - состояние защищенности
информации [данных], при котором обеспечены ее [их] конфиденциальность,
доступность и целостность.
2.5. Термины, относящиеся к объекту защиты информации
2.5.1.Объект защиты информации - информация или
носитель информации, или информационный процесс, которые необходимо защищать в
соответствии с целью защиты информации.
2.5.2. Защищаемая информация - информация, являющаяся
предметом собственности и подлежащая защите в соответствии с требованиями
правовых документов или требованиями, устанавливаемыми собственником
информации.
Примечание: Собственниками информации могут быть:
государство, юридическое лицо, группа физических лиц, отдельное физическое
лицо.
2.5.3. Носитель защищаемой информации - физическое лицо или
материальный объект, в том числе физическое поле, в котором информация находит
свое отражение в виде символов, образов, сигналов, технических решений и
процессов, количественных характеристик физических величин.
2.5.4. Защищаемый объект информатизации - объект информатизации,
предназначенный для обработки защищаемой информации с требуемым уровнем ее
защищенности.
2.5.5. Защищаемая
информационная система - информационная система, предназначенная для обработки
защищаемой информации с требуемым
уровнем ее защищенности.
2.6. Термины, относящиеся к угрозам безопасности информации
2.6.1. Угроза (безопасности информации) - совокупность условий и
факторов, создающих потенциальную или реально существующую опасность нарушения
безопасности информации.
2.6.2. Фактор, воздействующий на защищаемую информацию - явление, действие или
процесс, результатом которого могут быть утечка, искажение, уничтожение
защищаемой информации, блокирование доступа к ней.
2.6.3. Источник угрозы безопасности информации - субъект (физическое
лицо, материальный объект или физическое явление), являющийся непосредственной
причиной возникновения угрозы безопасности информации.
2.6.4. Уязвимость (информационной системы); брешь - свойство
информационной системы, обусловливающее возможность реализации угроз
безопасности обрабатываемой в ней информации.
Примечания:
1. Условием реализации угрозы безопасности
обрабатываемой в системе информации может быть недостаток или слабое место в
информационной системе.
2. Если уязвимость соответствует угрозе, то
существует риск.
2.6.5. Вредоносная программа - программа,
предназначенная для осуществления несанкционированного доступа к информации и
(или) воздействия на информацию или ресурсы информационной системы.
2.6.6. Несанкционированное воздействие на информацию - воздействие на
защищаемую информацию с нарушением установленных прав и (или) правил доступа,
приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к
информации, а также к утрате, уничтожению или сбою функционирования носителя
информации.
2.6.7. Преднамеренное силовое электромагнитное воздействие
на информацию - несанкционированное
воздействие на информацию, осуществляемое путем применения источника
электромагнитного поля для наведения (генерирования) в автоматизированных
информационных системах электромагнитной энергии с уровнем, вызывающим
нарушение нормального функционирования (сбой в работе) технических и
программных средств этих систем.
2.6.8. Модель угроз (безопасности информации) - физическое,
математическое, описательное представление свойств или характеристик угроз
безопасности информации.
Примечание:
Видом описательного представления свойств или характеристик угроз безопасности
информации может быть специальный нормативный документ.
2.7. Термины, относящиеся к технике защиты информации
2.7.1. Техника защиты информации - средства защиты
информации, в том числе средства физической защиты информации,
криптографические средства защиты информации, средства контроля эффективности
защиты информации, средства и системы управления, предназначенные для
обеспечения защиты информации.
2.7.2. Средство защиты информации - техническое,
программное, программно-техническое средство, вещество и (или) материал,
предназначенные или используемые для защиты информации.
2.7.3. Средство контроля эффективности защиты информации - средство защиты
информации, предназначенное или используемое для контроля эффективности защиты
информации.
2.7.4. Средство физической защиты информации - средство защиты
информации, предназначенное или используемое для обеспечения физической защиты
объекта защиты информации.
2.7.5. Криптографическое
средство защиты информации - средство
защиты информации, реализующее алгоритмы криптографического преобразования
информации.
2.8. Термины, относящиеся к способам оценки соответствия требованиям по
защите информации
2.8.1. Оценка соответствия требованиям по защите
информации - прямое
или косвенное определение степени соблюдения требований по защите информации,
предъявляемых к объекту защиты информации.
2.8.2. Лицензирование в области защиты информации - деятельность,
заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять
работы в области защиты информации в соответствии с установленными требованиями
и выдаче разрешения на выполнение этих работ.
2.8.3. Сертификация на соответствие требованиям по
безопасности информации - форма осуществляемого органом по сертификации
подтверждения соответствия объектов оценки требованиям по безопасности информации,
установленным техническими регламентами, стандартами или условиями договоров.
Примечание:
К объектам оценки могут относиться: средство защиты информации, средство
контроля эффективности защиты информации.
2.8.4. Специальное исследование (объекта защиты
информации) - исследование,
проводимое в целях выявления технических каналов утечки защищаемой информации и
оценки соответствия защиты информации (на объекте защиты) требованиям
нормативных и правовых документов в области безопасности информации.
2.8.5. Специальная проверка - проверка объекта информатизации в целях
выявления и изъятия возможно внедренных закладочных устройств.
2.8.6. Аудиторская проверка информационной безопасности в
организации; аудит информационной безопасности в организации - периодический независимый и
документированный процесс получения свидетельств аудита и объективной оценки с
целью определить степень выполнения в организации установленных требований по
обеспечению информационной безопасности.
Примечание:
Аудит информационной безопасности в организации может осуществляться
независимой организацией (третьей стороной) по договору с проверяемой
организацией, а также подразделением или должностным лицом организации
(внутренний аудит).
2.8.7. Мониторинг безопасности информации - постоянное наблюдение
за процессом обеспечения безопасности информации в информационной системе с
целью установить его соответствие требованиям безопасности информации.
2.8.8. Экспертиза документа по защите информации - рассмотрение документа
по защите информации физическим или юридическим лицом, имеющим право на
проведение работ в данной области, с целью подготовить соответствующее
экспертное заключение.
Примечание:
Экспертиза документа по защите информации может включать в себя
научно-техническую, правовую, метрологическую, патентную и терминологическую
экспертизу.
2.8.9. Анализ информационного риска - систематическое
использование информации для выявления угроз безопасности информации,
уязвимостей информационной системы и количественной оценки вероятностей реализации
угроз с использованием уязвимостей и последствий реализации угроз для
информации и информационной системы, предназначенной для обработки этой
информации.
2.8.10. Оценка информационного риска - общий процесс анализа
информационного риска и его оценивания.
2.9. Термины, относящиеся к эффективности защиты информации
2.9.1. Эффективность защиты информации - степень соответствия
результатов защиты информации цели защиты информации.
2.9.2. Требование по защите информации - установленное правило
или норма, которая должна быть выполнена при организации и осуществлении защиты
информации, или допустимое значение показателя эффективности защиты информации.
2.9.3. Показатель эффективности защиты информации - мера или
характеристика для оценки эффективности защиты информации.
2.9.4. Норма эффективности защиты информации - значение показателя
эффективности защиты информации, установленное нормативными и правовыми
документами.
Приложение А
Термины и определения общетехнических понятий
А1. Информация - сведения (сообщения, данные) независимо
от формы их представления.
А2. Документированная информация - зафиксированная на
материальном носителе путем документирования информация с реквизитами,
позволяющими определить такую информацию, или в установленных законодательством
Российской Федерации случаях ее материальный носитель.
А3. Информация, составляющая коммерческую тайну - научно-техническая,
технологическая, производственная, финансово-экономическая или иная информация
(в том числе составляющая секреты производства (ноу-хау)), которая имеет
действительную или потенциальную коммерческую ценность в силу неизвестности ее
третьим лицам, к которой нет свободного доступа на законном основании и в
отношении которой обладателем такой информации введен режим коммерческой тайны.
А4. Данные - факты, понятия или команды, представленные в
формализованном виде и позволяющие осуществлять их передачу или обработку как
вручную, так и с помощью средств автоматизации.
А5. Носитель информации - материальный объект, в том числе
физическое поле, в котором информация находит свое отображение в виде символов,
образов, сигналов, технических решений и процессов, количественных
характеристик физических величин.
А6. Информационная система - совокупность содержащейся в
базах данных информации и обеспечивающих ее обработку информационных технологий
и технических средств.
А7. Обладатель информации - лицо, самостоятельно создавшее
информацию либо получившее на основании закона или договора право разрешать или
ограничивать доступ к информации, определяемой по каким-либо признакам.
А8. Пользователь информации - субъект, пользующийся
информацией, полученной от ее собственника, владельца или посредника, в
соответствии с установленными правами и правилами доступа к информации либо с
их нарушением.
А9. Доступ к информации - возможность получения информации
и ее использования.
А10. Право доступа к защищаемой информации; право доступа
- совокупность правил доступа к защищаемой информации, установленных правовыми
документами или собственником, владельцем информации.
А11. Правило доступа к защищаемой информации; правило
доступа - совокупность правил, устанавливающих порядок и условия доступа
субъекта к защищаемой информации и к ее носителям.
А12. Конфиденциальность информации - обязательное для
выполнения лицом, получившим доступ к определенной информации, требование не
передавать такую информацию третьим лицам без согласия ее обладателя.
А13. Предоставление информации - действия, направленные на
получение информации определенным кругом лиц или передачу информации определенному
кругу лиц.
А14. Распространение информации - действия, направленные
на получение информации неопределенным кругом лиц или передачу информации
неопределенному кругу лиц.
А15. Оператор информационной системы - гражданин или
юридическое лицо, осуществляющие деятельность по эксплуатации информационной
системы, в том числе по обработке информации, содержащейся в ее базах данных.
А16. Доступность информации [ресурсов информационной
системы] - состояние информации [ресурсов информационной системы], при котором
субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
Примечание: К правам доступа относятся: право на чтение,
изменение, копирование, уничтожение информации, а также право на изменение,
использование, уничтожение ресурсов.
А17. Целостность - состояние информации, при котором
отсутствует любое ее изменение либо изменение осуществляется только
преднамеренно субъектами, имеющими на него право.