3.5 Мероприятия по технической защите информации Р 50.1.056-2005

Организационно-технические мероприятия по обеспечению защиты информации (Technical safeguards) по Р 50.1.056-2005

Совокупность действий, направленных на применение организационных мер и программно-технических способов защиты информации на объекте информатизации.

Примечания:

  1. Организационно-технические мероприятия по обеспечению защиты информации должны осуществляться на всех этапах жизненного цикла объекта информатизации.
  2. Организационные меры предусматривают установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации.

[из 3.5.1 Р 50.1.056-2005]

Политика безопасности информации в организации (Organisational security policy) по Р 50.1.056-2005

Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности [из 3.5.2 Р 50.1.056-2005]

Аудиторская проверка информационной безопасности в организации, аудит (Security audit) по Р 50.1.056-2005

Периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организации установленных требований по обеспечению информационной безопасности.

Примечание - Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит) [из 3.5.4 Р 50.1.056-2005]

Аудиторская проверка безопасности информации в информационной системе, аудит (Computer system audit) по Р 50.1.056-2005

Проверка реализованных в информационной системе процедур обеспечения безопасности информации с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию [из 3.5.5 Р 50.1.056-2005]

Мониторинг безопасности информации (Security monitoring) по Р 50.1.056-2005

Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью выявления его соответствия требованиям по безопасности информации [из 3.5.6 Р 50.1.056-2005]

Удостоверение подлинности, нотаризация (Notarization) по Р 50.1.056-2005

Регистрация данных защищенной третьей стороной, что в дальнейшем позволяет обеспечить точность характеристик данных.

Примечание - К характеристикам данных, например, относятся содержание, происхождение, время и способ доставки [из 3.5.13 Р 50.1.056-2005]

Специальное исследование объекта технической защиты информации по Р 50.1.056-2005

Исследования с целью выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте технической защиты информации) требованиям нормативных правовых документов в области безопасности информации [из 3.5.16 Р 50.1.056-2005]

Сертификация средств технической защиты информации на соответствие требованиям по безопасности информации по Р 50.1.056-2005

Деятельность органа по сертификации по подтверждению соответствия средств технической защиты информации требованиям технических регламентов, положениям стандартов или условиям договоров [из 3.5.17 Р 50.1.056-2005]

Оценка, анализ риска (Risk assessment, analysis) по Р 50.1.056-2005

Выявление угроз безопасности информации, уязвимостей информационной системы, оценка вероятностей реализации угроз с использованием уязвимостей и оценка последствий реализации угроз для информации и информационной системы, используемой для обработки этой информации [из п. 3.5.19 Р 50.1.056-2005]