3.5 Мероприятия по технической защите информации Р 50.1.056-2005

Организационно-технические мероприятия по обеспечению защиты информации (Technical safeguards) по Р 50.1.056-2005

Совокупность действий, направленных на применение организационных мер и программно-технических способов защиты информации на объекте информатизации.

Примечания:

  1. Организационно-технические мероприятия по обеспечению защиты информации должны осуществляться на всех этапах жизненного цикла объекта информатизации.
  2. Организационные меры предусматривают установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации.

[из 3.5.1 Р 50.1.056-2005]

Аудиторская проверка информационной безопасности в организации, аудит (Security audit) по Р 50.1.056-2005

Периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организации установленных требований по обеспечению информационной безопасности.

Примечание - Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит) [из 3.5.4 Р 50.1.056-2005]

Аудиторская проверка безопасности информации в информационной системе, аудит (Computer system audit) по Р 50.1.056-2005

Проверка реализованных в информационной системе процедур обеспечения безопасности информации с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию [из 3.5.5 Р 50.1.056-2005]

Удостоверение подлинности, нотаризация (Notarization) по Р 50.1.056-2005

Регистрация данных защищенной третьей стороной, что в дальнейшем позволяет обеспечить точность характеристик данных.

Примечание - К характеристикам данных, например, относятся содержание, происхождение, время и способ доставки [из 3.5.13 Р 50.1.056-2005]

Оценка, анализ риска (Risk assessment, analysis) по Р 50.1.056-2005

Выявление угроз безопасности информации, уязвимостей информационной системы, оценка вероятностей реализации угроз с использованием уязвимостей и оценка последствий реализации угроз для информации и информационной системы, используемой для обработки этой информации [из п. 3.5.19 Р 50.1.056-2005]