3.2 Термины, относящиеся к объекту защиты информации ГОСТ Р 53114-2008

Информационная безопасность (ИБ) организации по ГОСТ Р 53114-2008

Состояние защищенности интересов организации в условиях угроз в информационной сфере.

Примечание - Защищенность достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры организации. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации [из 3.2.1 ГОСТ Р 53114-2008]

Нарушение информационной безопасности организации по ГОСТ Р 53114-2008

Случайное или преднамеренное неправомерное действие физического лица (субъекта, объекта) в отношении активов организации, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах, вызывающее негативные последствия (ущерб/вред) для организации [из 3.2.4 ГОСТ Р 53114-2008]

Чрезвычайная (непредвиденная) ситуация (ЧС) по ГОСТ Р 53114-2008

Обстановка на определенной территории или акватории, сложившаяся в результате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия, которые могут повлечь или повлекли за собой человеческие жертвы, ущерб здоровью людей или окружающей природной среде, значительные материальные потери и нарушение условий жизнедеятельности людей.

Примечание - Различают чрезвычайные ситуации по характеру источника (природные, техногенные, биолого-социальные и военные) и по масштабам (локальные, местные, территориальные, региональные, федеральные и трансграничные) [ГОСТ Р 22.0.02-94, статья 2.1.1] [из 3.2.5 ГОСТ Р 53114-2008]

Инцидент информационной безопасности по ГОСТ Р 53114-2008

Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

Примечание - Инцидентами информационной безопасности являются:

[ГОСТ Р ИСО/МЭК 27001-2006, статья 3.6] [из 3.2.7 ГОСТ Р 53114-2008]

Событие по ГОСТ Р 53114-2008

Возникновение или наличие определенной совокупности обстоятельств.

Примечания:

  1. Характер, вероятность и последствия события могут быть не полностью известны.
  2. Событие может возникать один или несколько раз.
  3. Вероятность, связанная с событием, может быть оценена.
  4. Событие может состоять из невозникновения одного или нескольких обстоятельств.
  5. Непредсказуемое событие иногда называют «инцидентом».
  6. Событие, при котором не происходит никаких потерь, иногда называют предпосылкой к происшествию (инциденту), опасным состоянием, опасным стечением обстоятельств и т.д.

[из 3.2.8 ГОСТ Р 53114-2008]

Риск по ГОСТ Р 53114-2008

Влияние неопределенностей на процесс достижения поставленных целей.

Примечания:

  1. Цели могут иметь различные аспекты: финансовые, аспекты, связанные со здоровьем, безопасностью и внешней средой, и могут устанавливаться на разных уровнях: на стратегическом уровне, в масштабах организации, на уровне проекта, продукта и процесса.
  2. Риск часто характеризуется ссылкой на потенциальные события, последствия или их комбинацию, а также на то, как они могут влиять на достижение целей.
  3. Риск часто выражается в терминах комбинации последствий события или изменения обстоятельств и их вероятности.

[из 3.2.9 ГОСТ Р 53114-2008]

Идентификация риска по ГОСТ Р 53114-2008

Процесс обнаружения, распознавания и описания рисков.

Примечания:

  1. Идентификация риска включает в себя идентификацию источников риска, событий и их причин, а также их возможных последствий.
  2. Идентификация риска может включать в себя статистические данные, теоретический анализ, обоснованные точки зрения и экспертные заключения и потребности заинтересованных сторон.

[из 3.2.12 ГОСТ Р 53114-2008]

Определение приемлемости уровня риска по ГОСТ Р 53114-2008

Процесс сравнения результатов анализа риска с критериями риска с целью определения приемлемости или допустимости уровня риска.

Примечание - Определение приемлемости уровня риска помогает принять решения об обработке риска [из 3.2.14 ГОСТ Р 53114-2008]

Обработка риска информационной безопасности организации по ГОСТ Р 53114-2008

Процесс разработки и (или) отбора и внедрения мер управления рисками информационной безопасности организации.

Примечания:

  1. Обработка риска может включать в себя:
    • избежание риска путем принятия решения не начинать или не продолжать действия, создающие условия риска;
    • поиск благоприятной возможности путем принятия решения начать или продолжать действия, могущие создать или увеличить риск;
    • устранение источника риска;
    • изменение характера и величины риска;
    • изменение последствий;
    • разделение риска с другой стороной или сторонами;
    • сохранение риска как в результате сознательного решения, так и «по умолчанию».
  2. Обработки риска с негативными последствиями иногда называют смягчением, устранением, предотвращением, снижением, подавлением и коррекцией риска.

[из 3.2.15 ГОСТ Р 53114-2008]

Источник риска информационной безопасности организации по ГОСТ Р 53114-2008

Объект или действие, способное вызвать (создать) риск.

Примечания:

  1. Риск отсутствует при отсутствии взаимодействия объекта, лица или организации с источником риска.
  2. Источник риска может быть материальным или нематериальным.

[из 3.2.17 ГОСТ Р 53114-2008]

Политика информационной безопасности организации по ГОСТ Р 53114-2008

Формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности.

Примечание - Политики должны содержать:

  • предмет, основные цели и задачи политики безопасности;
  • условия применения политики безопасности и возможные ограничения;
  • описание позиции руководства организации в отношении выполнения политики безопасности и организации режима информационной безопасности организации в целом;
  • права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности организации;
  • порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности.

[из 3.2.18 ГОСТ Р 53114-2008]

Цель информационной безопасности организации по ГОСТ Р 53114-2008

Заранее намеченный результат обеспечения информационной безопасности организации в соответствии с установленными требованиями в политике ИБ (организации).

Примечание - Результатом обеспечения ИБ может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию [из 3.2.19 ГОСТ Р 53114-2008]

Система документов по информационной безопасности в организации по ГОСТ Р 53114-2008

Объединенная целевой направленностью упорядоченная совокупность документов, взаимосвязанных по признакам происхождения, назначения, вида, сферы деятельности, единых требований к их оформлению и регламентирующих в организации деятельность по обеспечению информационной безопасности [из 3.2.20 ГОСТ Р 53114-2008]