3.1 Общие понятия ГОСТ Р 53114-2008
Безопасность информации (данных) по ГОСТ Р 53114-2008
Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность [ГОСТ Р 50922-2006, пункт 2.4.5] [из 3.1.1 ГОСТ Р 53114-2008]
Безопасность информационной технологии по ГОСТ Р 53114-2008*
Состояние защищенности информационной технологии, при котором обеспечиваются безопасность информации, для обработки которой она применяется, и информационная безопасность информационной системы, в которой она реализована [Р 50.1.056-2005, пункт 2.4.5] [из 3.1.2 ГОСТ Р 53114-2008]
Информационная сфера по ГОСТ Р 53114-2008
Совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений [Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. Пр-1895] [из 3.1.3 ГОСТ Р 53114-2008]
Информационная инфраструктура по ГОСТ Р 53114-2008
Совокупность объектов информатизации, обеспечивающая доступ потребителей к информационным ресурсам [из 3.1.4 ГОСТ Р 53114-2008]
Объект информатизации по ГОСТ Р 53114-2008
Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров [ГОСТ Р 51275-2006, пункт 3.1] [из 3.1.5 ГОСТ Р 53114-2008]
Активы организации по ГОСТ Р 53114-2008
Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении.
Примечание - К активам организации могут относиться:
- информационные активы, в том числе различные виды информации, циркулирующие в информационной системе (служебная, управляющая, аналитическая, деловая и т.д.) на всех этапах жизненного цикла (генерация, хранение, обработка, передача, уничтожение);
- ресурсы (финансовые, людские, вычислительные, информационные, телекоммуникационные и прочие);
- процессы (технологические, информационные и пр.);
- выпускаемая продукция и (или) оказываемые услуги.
[из 3.1.6 ГОСТ Р 53114-2008]
Ресурс системы обработки информации по ГОСТ Р 53114-2008
Средство системы обработки информации, которое может быть выделено процессу обработки данных на определенный интервал времени.
Примечание - Основными ресурсами являются процессоры, области основной памяти, наборы данных, периферийные устройства, программы [ГОСТ 19781-90, пункт 93] [из 3.1.7 ГОСТ Р 53114-2008]
Информационный процесс по ГОСТ Р 53114-2008
Процесс создания, сбора, обработки, накопления, хранения, поиска, распространения и использования информации [из 3.1.8 ГОСТ Р 53114-2008]
Информационная технология (ИТ) по ГОСТ Р 53114-2008
Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов [Федеральный Закон Российской Федерации от 27 декабря 2002 г. № 184–ФЗ, статья 2, пункт 2)] [из 3.1.9 ГОСТ Р 53114–2008]
Техническое обеспечение автоматизированной системы, АС по ГОСТ Р 53114-2008
Совокупность всех технических средств, используемых при функционировании АС [ГОСТ Р 34.003-90, пункт 2.5] [из 3.1.10 ГОСТ Р 53114-2008]
Программное обеспечение автоматизированной системы, АС по ГОСТ Р 53114-2008
Совокупность программ на носителях данных и программных документов, предназначенных для отладки, функционирования и проверки работоспособности АС [ГОСТ Р 34.003-90, пункт 2.7] [из 3.1.11 ГОСТ Р 53114-2008]
Информационное обеспечение автоматизированной системы, АС по ГОСТ Р 53114-2008
Совокупность форм документов, классификаторов, нормативной базы и реализованных решений по объемам, размещению и формам существования информации, применяемой в АС при ее функционировании [ГОСТ 34.003-90, пункт 2.8] [из 3.1.12 ГОСТ Р 53114-2008]
Услуга, сервис по ГОСТ Р 53114-2008
Результат деятельности исполнителя по удовлетворению потребности потребителя.
Примечание - В качестве исполнителя (потребителя) услуги может выступать организация, физическое лицо или процесс [из 3.1.13 ГОСТ Р 53114-2008]
Услуги информационных технологий по ГОСТ Р 53114-2008
Совокупность функциональных возможностей информационных и, возможно, неинформационных технологий, предоставляемая конечным пользователям в качестве услуги.
Примечание - Примерами услуг ИТ могут служить передача сообщений, бизнес-приложения, сервисы файлов и печати, сетевые сервисы и т.д. [из 3.1.14 ГОСТ Р 53114-2008]
Критически важная (ключевая) система информационной инфраструктуры по ГОСТ Р 53114-2008
Информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление или информационное обеспечение критическим объектом или процессом, или используется для официального информирования общества и граждан, нарушение или прерывание функционирования которой (в результате деструктивных информационных воздействий, а также сбоев или отказов) может привести к чрезвычайной ситуации со значительными негативными последствиями [из 3.1.15 ГОСТ Р 53114-2008]
Критический объект по ГОСТ Р 53114-2008
Объект или процесс, нарушение непрерывности функционирования которого может нанести значительный ущерб.
Примечание - Ущерб может быть нанесен имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, а также выражаться в причинении вреда жизни или здоровью граждан [из 3.1.16 ГОСТ Р 53114-2008]
Информационная система персональных данных по ГОСТ Р 53114-2008
Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств [Федеральный Закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ, статья 3, пункт 9] [из 3.1.17 ГОСТ Р 53114-2008]
Персональные данные по ГОСТ Р 53114-2008
Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация [Федеральный Закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ, статья 3, пункт 1] [из 3.1.18 ГОСТ Р 53114-2008]
Автоматизированная система (АС) в защищенном исполнении по ГОСТ Р 53114-2008
Автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и (или) нормативных документов по защите информации [из 3.1.19 ГОСТ Р 53114-2008]
3.2 Термины, относящиеся к объекту защиты информации ГОСТ Р 53114-2008
Информационная безопасность (ИБ) организации по ГОСТ Р 53114-2008
Состояние защищенности интересов организации в условиях угроз в информационной сфере.
Примечание - Защищенность достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры организации. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации [из 3.2.1 ГОСТ Р 53114-2008]
Объект защиты информации по ГОСТ Р 53114-2008
Информация или носитель информации, или информационный процесс, которую(ый) необходимо защищать в соответствии с целью защиты информации [ГОСТ Р 50922-2006, пункт 2.5.1] [из 3.2.2 ГОСТ Р 53114-2008]
Защищаемый процесс информационной технологии по ГОСТ Р 53114-2008
Процесс, используемый в информационной технологии для обработки защищаемой информации с требуемым уровнем ее защищенности [из 3.2.3 ГОСТ Р 53114-2008]
Нарушение информационной безопасности организации по ГОСТ Р 53114-2008
Случайное или преднамеренное неправомерное действие физического лица (субъекта, объекта) в отношении активов организации, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах, вызывающее негативные последствия (ущерб/вред) для организации [из 3.2.4 ГОСТ Р 53114-2008]
Чрезвычайная (непредвиденная) ситуация (ЧС) по ГОСТ Р 53114-2008
Обстановка на определенной территории или акватории, сложившаяся в результате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия, которые могут повлечь или повлекли за собой человеческие жертвы, ущерб здоровью людей или окружающей природной среде, значительные материальные потери и нарушение условий жизнедеятельности людей.
Примечание - Различают чрезвычайные ситуации по характеру источника (природные, техногенные, биолого-социальные и военные) и по масштабам (локальные, местные, территориальные, региональные, федеральные и трансграничные) [ГОСТ Р 22.0.02-94, статья 2.1.1] [из 3.2.5 ГОСТ Р 53114-2008]
Опасная ситуация по ГОСТ Р 53114-2008
Обстоятельства, в которых люди, имущество или окружающая среда подвергаются опасности [ГОСТ Р 51898-2003, пункт 3.6] [из 3.2.6 ГОСТ Р 53114-2008]
Инцидент информационной безопасности по ГОСТ Р 53114-2008
Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
Примечание - Инцидентами информационной безопасности являются:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политики или рекомендаций по ИБ;
- нарушение физических мер защиты;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
[ГОСТ Р ИСО/МЭК 27001-2006, статья 3.6] [из 3.2.7 ГОСТ Р 53114-2008]
Событие по ГОСТ Р 53114-2008
Возникновение или наличие определенной совокупности обстоятельств.
- Характер, вероятность и последствия события могут быть не полностью известны.
- Событие может возникать один или несколько раз.
- Вероятность, связанная с событием, может быть оценена.
- Событие может состоять из невозникновения одного или нескольких обстоятельств.
- Непредсказуемое событие иногда называют «инцидентом».
- Событие, при котором не происходит никаких потерь, иногда называют предпосылкой к происшествию (инциденту), опасным состоянием, опасным стечением обстоятельств и т.д.
[из 3.2.8 ГОСТ Р 53114-2008]
Риск по ГОСТ Р 53114-2008
Влияние неопределенностей на процесс достижения поставленных целей.
- Цели могут иметь различные аспекты: финансовые, аспекты, связанные со здоровьем, безопасностью и внешней средой, и могут устанавливаться на разных уровнях: на стратегическом уровне, в масштабах организации, на уровне проекта, продукта и процесса.
- Риск часто характеризуется ссылкой на потенциальные события, последствия или их комбинацию, а также на то, как они могут влиять на достижение целей.
- Риск часто выражается в терминах комбинации последствий события или изменения обстоятельств и их вероятности.
[из 3.2.9 ГОСТ Р 53114-2008]
Оценка риска по ГОСТ Р 53114-2008
Процесс, объединяющий идентификацию риска, анализ риска и их количественную оценку [ГОСТ Р ИСО/МЭК 13335-1-2006, пункт 2.21] [из 3.2.10 ГОСТ Р 53114-2008]
Оценка риска информационной безопасности организации по ГОСТ Р 53114-2008
Общий процесс идентификации, анализа и определения приемлемости уровня риска информационной безопасности организации [из 3.2.11 ГОСТ Р 53114-2008]
Идентификация риска по ГОСТ Р 53114-2008
Процесс обнаружения, распознавания и описания рисков.
- Идентификация риска включает в себя идентификацию источников риска, событий и их причин, а также их возможных последствий.
- Идентификация риска может включать в себя статистические данные, теоретический анализ, обоснованные точки зрения и экспертные заключения и потребности заинтересованных сторон.
[из 3.2.12 ГОСТ Р 53114-2008]
Анализ риска по ГОСТ Р 53114-2008
Систематическое использование информации для определения источников риска и количественной оценки риска [ГОСТ Р ИСО/МЭК 27001-2006, статья 3.11] [из 3.2.13 ГОСТ Р 53114-2008]
Определение приемлемости уровня риска по ГОСТ Р 53114-2008
Процесс сравнения результатов анализа риска с критериями риска с целью определения приемлемости или допустимости уровня риска.
Примечание - Определение приемлемости уровня риска помогает принять решения об обработке риска [из 3.2.14 ГОСТ Р 53114-2008]
Обработка риска информационной безопасности организации по ГОСТ Р 53114-2008
Процесс разработки и (или) отбора и внедрения мер управления рисками информационной безопасности организации.
- Обработка риска может включать в себя:
- избежание риска путем принятия решения не начинать или не продолжать действия, создающие условия риска;
- поиск благоприятной возможности путем принятия решения начать или продолжать действия, могущие создать или увеличить риск;
- устранение источника риска;
- изменение характера и величины риска;
- изменение последствий;
- разделение риска с другой стороной или сторонами;
- сохранение риска как в результате сознательного решения, так и «по умолчанию».
- Обработки риска с негативными последствиями иногда называют смягчением, устранением, предотвращением, снижением, подавлением и коррекцией риска.
[из 3.2.15 ГОСТ Р 53114-2008]
Управление рисками по ГОСТ Р 53114-2008
Координированные действия по направлению и контролю над деятельностью организации в связи с рисками [из 3.2.16 ГОСТ Р 53114-2008]
Источник риска информационной безопасности организации по ГОСТ Р 53114-2008
Объект или действие, способное вызвать (создать) риск.
- Риск отсутствует при отсутствии взаимодействия объекта, лица или организации с источником риска.
- Источник риска может быть материальным или нематериальным.
[из 3.2.17 ГОСТ Р 53114-2008]
Политика информационной безопасности организации по ГОСТ Р 53114-2008
Формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности.
Примечание - Политики должны содержать:
- предмет, основные цели и задачи политики безопасности;
- условия применения политики безопасности и возможные ограничения;
- описание позиции руководства организации в отношении выполнения политики безопасности и организации режима информационной безопасности организации в целом;
- права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности организации;
- порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности.
[из 3.2.18 ГОСТ Р 53114-2008]
Цель информационной безопасности организации по ГОСТ Р 53114-2008
Заранее намеченный результат обеспечения информационной безопасности организации в соответствии с установленными требованиями в политике ИБ (организации).
Примечание - Результатом обеспечения ИБ может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию [из 3.2.19 ГОСТ Р 53114-2008]
Система документов по информационной безопасности в организации по ГОСТ Р 53114-2008
Объединенная целевой направленностью упорядоченная совокупность документов, взаимосвязанных по признакам происхождения, назначения, вида, сферы деятельности, единых требований к их оформлению и регламентирующих в организации деятельность по обеспечению информационной безопасности [из 3.2.20 ГОСТ Р 53114-2008]
3.3 Термины, относящиеся к угрозам безопасности информации ГОСТ Р 53114-2008
Угроза информационной безопасности организации по ГОСТ Р 53114-2008
Совокупность факторов и условий, создающих опасность нарушения информационной безопасности организации, вызывающую или способную вызвать негативные последствия (ущерб/вред) для организации.
- Формой реализации (проявления) угрозы ИБ является наступление одного или нескольких взаимосвязанных событий ИБ и инцидентов ИБ, приводящего(их) к нарушению свойств информационной безопасности объекта (ов) защиты организации.
- Угроза характеризуется наличием объекта угрозы, источника угрозы и проявления угрозы.
[из 3.3.1 ГОСТ Р 53114-2008]
Угроза (безопасности информации) по ГОСТ Р 53114-2008
Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [ГОСТ Р 50922-2006, пункт 2.6.1] [из 3.3.2 ГОСТ Р 53114-2008]
Модель угроз безопасности информации по ГОСТ Р 53114-2008
Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.
Примечание - Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ [из 3.3.3 ГОСТ Р 53114-2008]
Уязвимость (информационной системы), брешь по ГОСТ Р 53114-2008
Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
- Условием реализации угрозы безопасности, обрабатываемой в системе информации, может быть недостаток или слабое место в информационной системе.
- Если уязвимость соответствует угрозе, то существует риск.
[ГОСТ Р 50922-2006, пункт 2.6.4] [из 3.3.4 ГОСТ Р 53114-2008]
Нарушитель информационной безопасности организации по ГОСТ Р 53114-2008
Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации [из 3.3.5 ГОСТ Р 53114-2008]
Несанкционированный доступ по ГОСТ Р 53114-2008
Доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа.
- Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно.
- Права и правила доступа к информации и ресурсам информационной системы устанавливаются для процессов обработки информации, обслуживания автоматизированной информационной системы, изменения программных, технических и информационных ресурсов, а также получения информации о них.
[из 3.3.6 ГОСТ Р 53114-2008]
Сетевая атака по ГОСТ Р 53114-2008
Действия с применением программных и (или) технических средств и с использованием сетевого протокола, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на нее или на ресурсы автоматизированной информационной системы.
Примечание - Сетевой протокол - совокупность семантических и синтаксических правил, определяющих взаимодействие программ управления сетью, находящейся в одной ЭВМ, с одноименными программами, находящимися в другой ЭВМ [из 3.3.7 ГОСТ Р 53114-2008]
Блокирование доступа к информации по ГОСТ Р 53114-2008
Прекращение или затруднение доступа к информации лиц, имеющих на это право (законных пользователей) [из 3.3.8 ГОСТ Р 53114-2008]
Атака «отказ в обслуживании» по ГОСТ Р 53114-2008
Сетевая атака, приводящая к блокированию информационных процессов в автоматизированной системе [из 3.3.9 ГОСТ Р 53114-2008]
Утечка информации по ГОСТ Р 53114-2008
Неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации иностранными разведками [из 3.3.10 ГОСТ Р 53114-2008]
Разглашение информации по ГОСТ Р 53114-2008
Несанкционированное доведение защищаемой информации до лиц, не имеющих права доступа к этой информации [из 3.3.11 ГОСТ Р 53114-2008]
Перехват информации по ГОСТ Р 53114-2008
Неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов [Р 50.1.053-2005, пункт 3.2.5] [из 3.3.12 ГОСТ Р 53114-2008]
Информативный сигнал по ГОСТ Р 53114-2008
Сигнал, по параметрам которого может быть определена защищаемая информация [из 3.3.13 ГОСТ Р 53114–2008]
Недекларированные возможности по ГОСТ Р 53114-2008
Функциональные возможности средств вычислительной техники и программного обеспечения, не описанные или не соответствующие описанным в документации, которые могут привести к снижению или нарушению свойств безопасности информации [из 3.3.14 ГОСТ Р 53114-2008]
Побочные электромагнитные излучения и наводки по ГОСТ Р 53114-2008
Электромагнитные излучения технических средств обработки информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания [из 3.3.15 ГОСТ Р 53114-2008]
3.4 Термины, относящиеся к менеджменту информационной безопасности организации ГОСТ Р 53114-2008
Менеджмент информационной безопасности организации по ГОСТ Р 53114-2008
Скоординированные действия по руководству и управлению организацией в части обеспечения ее информационной безопасности в соответствии с изменяющимися условиями внутренней и внешней среды организации [из 3.4.1 ГОСТ Р 53114-2008]
Менеджмент риска информационной безопасности организации по ГОСТ Р 53114-2008
Скоординированные действия по руководству и управлению организацией в отношении риска ИБ с целью его минимизации.
Примечание - Основными процессами менеджмента риска являются установление контекста, оценка риска, обработка и принятие риска, мониторинг и пересмотр риска [из 3.4.2 ГОСТ Р 53114-2008]
Система менеджмента информационной безопасности по ГОСТ Р 53114-2008
Часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.
Примечание - Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы [ГОСТ Р ИСО/МЭК 27001-2006, пункт 3.7] [из 3.4.3 ГОСТ Р 53114-2008]
Роль информационной безопасности в организации по ГОСТ Р 53114-2008
Совокупность определенных функций и задач обеспечения информационной безопасности организации, устанавливающих допустимое взаимодействие между субъектом и объектом в организации.
- К субъектам относятся лица из числа руководителей организации, ее персонал или инициируемые от их имени процессы по выполнению действий над объектами.
- Объектами могут быть техническое, программное, программно-техническое средство, информационный ресурс, над которыми выполняются действия.
[из 3.4.4 ГОСТ Р 53114-2008]
Служба информационной безопасности организации по ГОСТ Р 53114-2008
Организационно-техническая структура системы менеджмента информационной безопасности организации, реализующая решение определенной задачи, направленной на противодействие угрозам информационной безопасности организации [из 3.4.5 ГОСТ Р 53114-2008]
3.5 Термины, относящиеся к контролю и оценке информационной безопасности организации ГОСТ Р 53114-2008
Контроль обеспечения информационной безопасности организации по ГОСТ Р 53114-2008
Проверка соответствия обеспечения информационной безопасности в организации, наличия и содержания документов требованиям нормативных документов, технической, правовой, организационно-распорядительной документации в области информационной безопасности [из 3.5.1 ГОСТ Р 53114-2008]
Мониторинг информационной безопасности организации по ГОСТ Р 53114-2008
Постоянное наблюдение за процессом обеспечения информационной безопасности в организации с целью установить его соответствие требованиям по информационной безопасности [из 3.5.2 ГОСТ Р 53114-2008]
Аудит информационной безопасности организации по ГОСТ Р 53114-2008
Систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению информационной безопасности и установлению степени выполнения в организации критериев информационной безопасности, а также допускающий возможность формирования профессионального аудиторского суждения о состоянии информационной безопасности организации [из 3.5.3 ГОСТ Р 53114-2008]
Свидетельства (доказательства) аудита информационной безопасности организации по ГОСТ Р 53114-2008
Записи, изложение фактов или другая информация, которые имеют отношение к критериям аудита информационной безопасности организации и могут быть проверены.
Примечание - Свидетельства аудита информационной безопасности могут быть качественными или количественными [из 3.5.4 ГОСТ Р 53114-2008]
Оценка соответствия информационной безопасности организации установленным требованиям по ГОСТ Р 53114-2008
Деятельность, связанная с прямым или косвенным определением выполнения или невыполнения в организации установленных требований информационной безопасности [из 3.5.5 ГОСТ Р 53114-2008]
Критерий аудита информационной безопасности организации по ГОСТ Р 53114-2008
Совокупность принципов, положений, требований и показателей действующих нормативных документов, относящихся к деятельности организации в области информационной безопасности.
Примечание - Критерии аудита информационной безопасности используют для сопоставления с ними свидетельств аудита информационной безопасности [из 3.5.6 ГОСТ Р 53114-2008]
Аттестация автоматизированной системы в защищенном исполнении по ГОСТ Р 53114-2008
Процесс комплексной проверки выполнения заданных функций автоматизированной системы по обработке защищаемой информации на соответствие требованиям стандартов и (или) нормативных документов в области защиты информации и оформления документов о ее соответствии выполнению функции по обработке защищаемой информации на конкретном объекте информатизации [из 3.5.7 ГОСТ Р 53114-2008]
Критерий обеспечения информационной безопасности организации по ГОСТ Р 53114-2008
Показатель, на основании которого оценивается степень достижения цели (целей) информационной безопасности организации [из 3.5.8 ГОСТ Р 53114-2008]
Эффективность обеспечения информационной безопасности по ГОСТ Р 53114-2008
Связь между достигнутым результатом и использованными ресурсами для обеспечения заданного уровня информационной безопасности [из 3.5.9 ГОСТ Р 53114-2008]
3.6 Термины, относящиеся к средствам обеспечения информационной безопасности организации ГОСТ Р 53114-2008
Обеспечение информационной безопасности организации по ГОСТ Р 53114-2008
Деятельность, направленная на устранение (нейтрализацию, парирование) внутренних и внешних угроз информационной безопасности организации или на минимизацию ущерба от возможной реализации таких угроз [из 3.6.1 ГОСТ Р 53114-2008]
Мера обеспечения безопасности по ГОСТ Р 53114-2008
Сложившаяся практика, процедура или механизм обработки риска [из 3.6.2 ГОСТ Р 53114-2008]
Меры обеспечения информационной безопасности по ГОСТ Р 53114-2008
Совокупность действий, направленных на разработку и (или) практическое применение способов и средств обеспечения информационной безопасности [из 3.6.3 ГОСТ Р 53114-2008]
Организационные меры обеспечения информационной безопасности по ГОСТ Р 53114-2008
Меры обеспечения информационной безопасности, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации [из 3.6.4 ГОСТ Р 53114-2008]
Техническое средство обеспечения информационной безопасности по ГОСТ Р 53114-2008
Оборудование, используемое для обеспечения информационной безопасности организации некриптографическими методами.
Примечание - Такое оборудование может быть представлено техническими и программно-техническими средствами, встроенными в объект защиты и (или) функционирующими автономно (независимо от объекта защиты) [из 3.6.5 ГОСТ Р 53114-2008]
Средство обнаружения вторжений (атак) по ГОСТ Р 53114-2008
Программное или программно-техническое средство, которое автоматизирует процесс контроля событий, протекающих в компьютерной системе или сети, а также самостоятельно анализирует эти события в поисках признаков инцидента информационной безопасности [из 3.6.6 ГОСТ Р 53114-2008]
Средство защиты от несанкционированного доступа по ГОСТ Р 53114-2008
Программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа [из 3.6.7 ГОСТ Р 53114-2008]
