Из Р 50.1.053-2005 Информационные технологии. Основные термины и определения в области технической защиты информации

Р 50.1.053–2005 Информационные технологии. Основные термины и определения в области технической защиты информации. Information technologies. Basic terms and definitions in scope of technical protection of information. УДК 001.4:025.4:006.354 ОКС 01.040.01 Э00 ОКСТУ 0090. Редакция от 15.12.2023.

1 Область применения Р 50.1.053-2005

Настоящие рекомендации по стандартизации устанавливают термины и определения понятий в области технической защиты информации при применении информационных технологий.

Термины, установленные настоящими рекомендациями по стандартизации, рекомендуются для использования во всех видах документации и литературы по вопросам технической защиты информации при применении информационных технологий, входящих в сферу работ по стандартизации и (или) использующих результаты этих работ.

Настоящие рекомендации по стандартизации должны применяться совместно с ГОСТ Р 50922.

2 Нормативные ссылки Р 50.1.053-2005

В настоящих рекомендациях использованы нормативные ссылки на следующие стандарты:

  • ГОСТ 1.1–2002 Межгосударственная система стандартизации. Термины и определения
  • ГОСТ 34.003–90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения
  • ГОСТ 15971–90 Системы обработки информации. Термины и определения
  • ГОСТ Р 50922–96 Защита информации. Основные термины и определения
  • ГОСТ Р 51275–99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
  • ГОСТ Р 51898–2002 Аспекты безопасности. Правила включения в стандарты

3 Стандартизованные термины и определения Р 50.1.053-2005

3.1 Объекты технической защиты информации Р 50.1.053-2005

Защищаемая автоматизированная информационная система (trusted computer system) по Р 50.1.053-2005

Автоматизированная информационная система, предназначенная для сбора, хранения, обработки, передачи и использования защищаемой информации с требуемым уровнем ее защищенности [из 3.1.1 Р 50.1.053–2005]

Защищаемые информационные ресурсы (автоматизированной информационной системы) по Р 50.1.053-2005

Информационные ресурсы автоматизированной информационной системы, для которых должен быть обеспечен требуемый уровень их защищенности.

Примечание — Информационные ресурсы включают в себя документы и массивы документов, используемые в автоматизированных информационных системах.

[из 3.1.2 Р 50.1.053–2005]

Безопасность информации (данных) (information (data) security) по Р 50.1.053-2005

Состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность.

Примечание — Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии.

[из 3.1.4 Р 50.1.053–2005]

Безопасность информации при применении информационных технологий (IT security) по Р 50.1.053-2005

Состояние защищенности информационной технологии, обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована [из 3.1.5 Р 50.1.053–2005]

Безопасность автоматизированной информационной системы по Р 50.1.053-2005

Состояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность ее ресурсов [из 3.1.6 Р 50.1.053–2005]

Конфиденциальность информации, ресурсов автоматизированной информационной системы (confidentiality) по Р 50.1.053-2005

Состояние информации (ресурсов автоматизированной информационной системы), при котором доступ к ней (к ним) осуществляют только субъекты, имеющие на него право [из 3.1.7 Р 50.1.053–2005]

Целостность информации, ресурсов автоматизированной информационной системы (integrity) по Р 50.1.053-2005

Состояние информации (ресурсов автоматизированной информационной системы), при котором ее (их) изменение осуществляется только преднамеренно субъектами, имеющими на него право [из 3.1.8 Р 50.1.053–2005]

Доступность информации, ресурсов автоматизированной информационной системы (availability) по Р 50.1.053-2005

Состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно.

Примечание — К правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации, а также права на изменение, использование, уничтожение ресурсов.

[из 3.1.9 Р 50.1.053–2005]

Подлинность ресурсов автоматизированной информационной системы (authenticity) по Р 50.1.053-2005

Состояние ресурсов автоматизированной информационной системы, при котором обеспечивается реализация информационной технологии с использованием именно тех ресурсов, к которым субъект, имеющий на это право, обращается [из 3.1.11 Р 50.1.053–2005]

3.2 Угрозы безопасности информации Р 50.1.053-2005

Уязвимость автоматизированной информационной системы (vulnerability) по Р 50.1.053-2005

Недостаток или слабое место в автоматизированной информационной системе, которые могут быть условием реализации угрозы безопасности обрабатываемой в ней информации [из 3.2.3 Р 50.1.053–2005]

Утечка информации по техническому каналу (leakage) по Р 50.1.053-2005

Неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации [из 3.2.4 Р 50.1.053–2005]

Доступ в автоматизированной информационной системе (access) по Р 50.1.053-2005

Получение возможности ознакомления с информацией, ее обработки и (или) воздействия на информацию и (или) ресурсы автоматизированной информационной системы с использованием программных и (или) технических средств.

Примечание — Доступ осуществляется субъектами доступа, к которым относятся лица, а также логические и физические объекты.

[из 3.2.7 Р 50.1.053–2005]

Субъект доступа в автоматизированной информационной системе (subject) по Р 50.1.053-2005

Лицо или единица ресурса автоматизированной информационной системы, действия которой по доступу к ресурсам автоматизированной информационной системы регламентируются правилами разграничения доступа [из 3.2.8 Р 50.1.053–2005]

Несанкционированный доступ к информации, ресурсам автоматизированной информационной системы, НСД (unauthorized access) по Р 50.1.053-2005

Доступ к информации (ресурсам автоматизированной информационной системы), осуществляемый с нарушением установленных прав и (или) правил доступа к информации (ресурсам автоматизированной информационной системы).

Примечания

  1. Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно.
  2. Права и правила доступа к информации и ресурсам информационной системы устанавливаются для процессов обработки информации, обслуживания автоматизированной информационной системы, изменения программных, технических и информационных ресурсов, а также получения информации о них.

[из 3.2.10 Р 50.1.053–2005]

Несанкционированное воздействие на информацию, ресурсы автоматизированной информационной системы при применении информационных технологий, НСВ по Р 50.1.053-2005

Изменение информации (ресурсов автоматизированной информационной системы), осуществляемое с нарушением установленных прав и (или) правил.

Примечания

  1. Несанкционированное воздействие может быть осуществлено преднамеренно или непреднамеренно. Преднамеренные несанкционированные воздействия являются специальными воздействиями.
  2. Изменение может быть осуществлено в форме замены информации (ресурсов автоматизированной информационной системы), введения новой информации (новых ресурсов автоматизированной информационной системы), а также уничтожения или повреждения информации (ресурсов автоматизированной информационной системы).

[из 3.2.11 Р 50.1.053–2005]

Атака при применении информационных технологий (attack) по Р 50.1.053-2005

Действия, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на нее или на ресурсы автоматизированной информационной системы с применением программных и (или) технических средств [из 3.2.12 Р 50.1.053–2005]

Блокирование доступа к информации при применении информационных технологий по Р 50.1.053-2005

Создание условий, препятствующих доступу к информации субъекту, имеющему право на него.

Примечание — Создание условий, препятствующих доступу к информации, может быть осуществлено по времени доступа, функциям по обработке информации (видам доступа) и (или) доступным информационным ресурсам.

[из 3.2.14 Р 50.1.053–2005]

Закладочное устройство по Р 50.1.053-2005

Техническое средство, скрытно устанавливаемое на объекте информатизации или в контролируемой зоне с целью перехвата информации или несанкционированного воздействия на информацию и (или) ресурсы автоматизированной информационной системы.

Примечание — Местами установки закладочных устройств на охраняемой территории могут быть любые элементы контролируемой зоны, например ограждение, конструкции, оборудование, предметы интерьера, транспортные средства.

[из 3.2.15 Р 50.1.053–2005]

Программная закладка (malicious logic) по Р 50.1.053-2005

Преднамеренно внесенные в программное обеспечение функциональные объекты, которые при определенных условиях инициируют реализацию недекларированных возможностей программного обеспечения.

Примечание — Программная закладка может быть реализована в виде вредоносной программы или программного кода.

[из 3.2.20 Р 50.1.053–2005]

3.3 Меры технической защиты информации Р 50.1.053-2005

Техническая защита информации, ТЗИ (technical information protection) по Р 50.1.053-2005

Обеспечение защиты некриптографическими методами информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию и носители информации в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации [1].

Примечание — Техническая защита информации при применении информационных технологий осуществляется в процессах сбора, обработки, передачи, хранения, распространения информации с целью обеспечения ее безопасности на объектах информатизации.

[из 3.3.1 Р 50.1.053–2005]

Политика безопасности информации в организации (organizational security policy) по Р 50.1.053-2005

Одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности [из 3.3.2 Р 50.1.053–2005]

Профиль защиты (protection profile) по Р 50.1.053-2005

Совокупность типовых требований по обеспечению безопасности информации, которые должны быть реализованы в защищаемой автоматизированной информационной системе.

Примечание — Профиль защиты может разрабатываться для автоматизированной информационной системы, средства вычислительной техники, а также их технических и программных средств.

[из 3.3.3 Р 50.1.053–2005]

Аудит безопасности информации (security audit) по Р 50.1.053-2005

Совокупность действий по независимой проверке и изучению документации автоматизированной информационной системы, а также по испытаниям средств защиты информации, направленная на обеспечение выполнения установленной политики безопасности информации и правил эксплуатации автоматизированной информационной системы, на выявление уязвимостей автоматизированной информационной системы и на выработку рекомендаций по устранению выявленных недостатков в средствах защиты информации, политике безопасности информации и правилах эксплуатации автоматизированной информационной системы.

Примечание — Аудит безопасности может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией (внешний аудит), а также подразделением или должностным лицом организации (внутренний аудит).

[из 3.3.4 Р 50.1.053–2005]

Аудит безопасности автоматизированной информационной системы (computer-system audit) по Р 50.1.053-2005

Проверка реализованных в автоматизированной информационной системе процедур обеспечения безопасности с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию [из 3.3.5 Р 50.1.053–2005]

Мониторинг безопасности информации при применении информационных технологий (IT security monitoring) по Р 50.1.053-2005

Процедуры регулярного наблюдения за процессом обеспечения безопасности информации при применении информационных технологий [из 3.3.6 Р 50.1.053–2005]

Приложение А (справочное) - Термины и определения общетехнических понятий Р 50.1.053-2005

Информационная система по Р 50.1.056-2005

  1. Организационно–упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи [5].
  2. Автоматизированная система, результатом функционирования которой является представление выходной информации для последующего использования.

[из А.2 Р 50.1.056–2005]

Защищаемая информация по ГОСТ Р 50922-2006

Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Примечание — Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

[из 2.5.2 ГОСТ Р 50922–2006]

Объект информатизации по ГОСТ Р 51275-2006

Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенные для ведения конфиденциальных переговоров [из 3.1 ГОСТ Р 51275–2006]

Безопасность информационной технологии по Р 50.1.053-2005

Состояние информационной технологии, определяющее защищенность информации и ресурсов информационной технологии от действия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также способность информационной технологии выполнять предписанные функции без нанесения неприемлемого ущерба субъектам информационных отношений [3] [из А.7 Р 50.1.053–2005]

Безопасность по ГОСТ 1.1-2002

Отсутствие недопустимого риска, связанного с возможностью нанесения ущерба.

Примечание — В области стандартизации безопасность продукции, процессов и услуг обычно рассматривается с целью достижения оптимального баланса ряда факторов, включая такие нетехнические факторы как поведение человека, позволяющее свести устранимый риск, связанный с возможностью нанесения ущерба здоровью людей и сохранности имущества, до приемлемого уровня.

[из А.7 ГОСТ 1.1—2002]

Защита информации от утечки по ГОСТ Р 50922-2006

Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации (иностранными) разведками и другими заинтересованными субъектами.

Примечание — Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

[из 2.3.2 ГОСТ Р 50922–2006]

Библиография Р 50.1.053-2005

[1] Положение о Федеральной службе по техническому и экспортному контролю. Утверждено Указом Президента Российской Федерации от 16.08.2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю»

[2] Федеральный закон Российской Федерации от 20.02.1995 № 24–ФЗ (в ред. Федерального закона от 10.01.2003 г. № 15–ФЗ) «Об информации, информатизации и защите информации»

[3] Руководящий документ Гостехкомиссии России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий». Введен в действие Приказом Гостехкомиссии России от 19.06.02 г. № 187