Информационные технологии. Основные термины и определения в области технической защиты информации

Настоящиерекомендации по стандартизации устанавливают термины и определения понятий в областитехнической защиты информации при применении информационных технологий.

Термины,установленные настоящими рекомендациями по стандартизации, рекомендуются дляиспользования во всех видах документации и литературы по вопросам техническойзащиты информации при применении информационных технологий, входящих в сферуработ по стандартизации и (или) использующих результаты этих работ.

Настоящиерекомендации по стандартизации должны применяться совместно с ГОСТР 50922.

2 Нормативные ссылки

В настоящихрекомендациях использованы нормативные ссылки на следующие стандарты:

ГОСТ1.1-2002 Межгосударственная система стандартизации. Термины и определения

ГОСТ34.003-90 Информационная технология. Комплекс стандартов наавтоматизированные системы. Автоматизированные системы. Термины и определения

ГОСТ15971-90 Системы обработки информации. Термины и определения

ГОСТР 50922-96 Защита информации. Основные термины и определения

ГОСТР 51275-99 Защита информации. Объект информатизации. Факторы,воздействующие на информацию. Общие положения

ГОСТР 51898-2002 Аспекты безопасности. Правила включения в стандарты

Примечания — Припользовании настоящими рекомендациями целесообразно проверить действиессылочных стандартов по указателю «Национальные стандарты», составленному по состояниюна 1 января текущего года, и по соответствующим информационным указателям, опубликованным в текущем году. Еслиссылочный стандарт заменен (изменен), то при пользовании настоящими рекомендациями следуетруководствоваться замененным (измененным) стандартом. Если ссылочный стандартотменен без замены, то положение, в котором дана ссылка на него, применяется вчасти, не затрагивающей эту ссылку.

3 Стандартизованныетермины и определения

3.1Объекты технической защиты информации

3.1.1 защищаемая автоматизированная информационная система: Автоматизированная информационная система, предназначенная для сбора, хранения, обработки, передачи и использования защищаемой информации с требуемымуровнем ее защищенности.

trusted computer system

3.1.2 защищаемые информационные ресурсы (автоматизированнойинформационной системы): Информационные ресурсы автоматизированнойинформационной системы, для которых должен быть обеспечен требуемый уровеньих защищенности.

 

Примечание — Информационные ресурсы включают в себядокументы и массивы документов, используемые в автоматизированныхинформационных системах.

 

3.1.3 защищаемая информационная технология:Информационная технология, предназначенная для сбора, хранения, обработки,передачи и использования защищаемой информации с требуемым уровнем еезащищенности.

 

3.1.4 безопасность информации [данных]:Состояние защищенности информации [данных], при котором обеспечиваются ее[их] конфиденциальность, доступность и целостность.

information [data] security

Примечание — Безопасность информации [данных]определяется отсутствием недопустимого риска, связанного с утечкой информациипо техническим каналам, несанкционированными и непреднамереннымивоздействиями на данные и (или) на другие ресурсы автоматизированнойинформационной системы, используемые при применении информационнойтехнологии.

 

3.1.5 безопасность информации (при примененииинформационных технологий): Состояние защищенности информационнойтехнологии, обеспечивающее безопасность информации, для обработки которой онаприменяется, и информационную безопасность автоматизированной информационнойсистемы, в которой она реализована.

IT security

3.1.6 безопасность автоматизированнойинформационной системы: Состояние защищенности автоматизированнойинформационной системы, при котором обеспечиваются конфиденциальность,доступность, целостность, подотчетность и подлинность ее ресурсов.

 

3.1.7 конфиденциальность (информации [ресурсов автоматизированнойинформационной системы]): Состояние информации [ресурсовавтоматизированной информационной системы], при котором доступ к ней [к ним]осуществляют только субъекты, имеющие на него право.

confidentiality

3.1.8 целостность (информации [ресурсов автоматизированной информационнойсистемы]): Состояние информации [ресурсов автоматизированнойинформационной системы], при котором ее [их] изменение осуществляется толькопреднамеренно субъектами, имеющими на него право.

integrity

3.1.9 доступность (информации [ресурсов автоматизированной информационнойсистемы]): Состояние информации [ресурсов автоматизированнойинформационной системы], при котором субъекты, имеющие право доступа, могутреализовать их беспрепятственно.

availability

Примечание — К правам доступа относятся: право начтение, изменение, копирование, уничтожение информации, а также права наизменение, использование, уничтожение ресурсов.

 

3.1.10 подотчетность (ресурсовавтоматизированной информационной системы): Состояние ресурсовавтоматизированной информационной системы, при котором обеспечиваются ихидентификация и регистрация.

accountability

3.1.11 подлинность (ресурсов автоматизированной информационной системы):Состояние ресурсов автоматизированной информационной системы, при которомобеспечивается реализация информационной технологии с использованием именнотех ресурсов, к которым субъект, имеющий на это право, обращается.

authenticity

3.2Угрозы безопасности информации

3.2.1 угроза (безопасности информации): Совокупность условий ифакторов, создающих потенциальную или реально существующую опасностьнарушения конфиденциальности, доступности и (или) целостности информации.

threat

3.2 2 источник угрозы безопасности информации: Субъект,материальный объект или физическое явление, являющиеся причиной возникновенияугрозы безопасности информации.

 

3.2.3 уязвимость (автоматизированной информационной системы):Недостаток или слабое место в автоматизированной информационной системе,которые могут быть условием реализации угрозы безопасности обрабатываемой вней информации.

vulnerability

3.2.4 утечка (информации) по техническому каналу:Неконтролируемое распространение информации от носителя защищаемой информациичерез физическую среду до технического средства, осуществляющего перехватинформации.

leakage

3.2.5 перехват (информации): Неправомерное получение информациис использованием технического средства, осуществляющего обнаружение, прием иобработку информативных сигналов.

interception

3.2.6 информативный сигнал: Сигнал, по параметрам которого можетбыть oпределена защищаемая информация.

informative signal

3.2.7 доступ (в автоматизированной информационной системе):Получение возможности ознакомления с информацией, ее обработки и (или)воздействия на информацию и (или) ресурсы автоматизированной информационнойсистемы с использованием программных и (или) технических средств.

access

Примечание — Доступ осуществляется субъектамидоступа, к которым относятся лица, а также логические и физические объекты.

 

3.2.8 субъект доступа (в автоматизированнойинформационной системе): Лицо или единица ресурса автоматизированнойинформационной системы, действия которой по доступу к ресурсамавтоматизированной информационной системы регламентируются правиламиразграничения доступа.

subject

3.2.9 объект доступа (в автоматизированной информационной системе):Единица ресурса автоматизированной информационной системы, доступ к которойрегламентируется правилами разграничения доступа.

object

3.2.10 несанкционированный доступ (к информации [ресурсам автоматизированнойинформационной системы]); НСД: Доступ к информации [ресурсамавтоматизированной информационной системы], осуществляемый с нарушениемустановленных прав и (или) правил доступа к информации [ресурсамавтоматизированной информационной системы].

unauthorized access

Примечания

 

1 Несанкционированныйдоступ может быть осуществлен преднамеренно или непреднамеренно.

 

2 Права иправила доступа к информации и ресурсам информационной системыустанавливаются для процессов обработки информации, обслуживанияавтоматизированной информационной системы, изменения программных, техническихи информационных ресурсов, а также получения информации о них.

 

3.2.11 несанкционированное воздействие (наинформацию [ресурсы автоматизированной информационной системы])(при применении информационных технологий); НСВ: Изменение информации[ресурсов автоматизированной информационной системы], осуществляемое снарушением установленных прав и (или) правил.

 

Примечания

 

1 Несанкционированноевоздействие может быть осуществлено преднамеренно или непреднамеренно.Преднамеренные несанкционированные воздействия являются специальнымивоздействиями.

 

2 Изменениеможет быть осуществлено в форме замены информации [ресурсов автоматизированнойинформационной системы], введения новой информации [новых ресурсовавтоматизированной информационной системы], а также уничтожения илиповреждения информации [ресурсов автоматизированной информационной системы].

 

3.2.12 атака (при применении информационныхтехнологий): Действия, направленные на реализацию угроз несанкционированногодоступа к информации, воздействия на нее или на ресурсы автоматизированнойинформационной системы с применением программных и (или) технических средств.

attack

3.2.13 вторжение (в автоматизированную информационную систему):Выявленный факт попытки несанкционированного доступа к ресурсамавтоматизированной информационной системы.

intrusion

3.2.14 блокирование доступа (к информации) (при примененииинформационных технологий): Создание условий, препятствующих доступу кинформации субъекту, имеющему право на него.

 

Примечание — Создание условий, препятствующихдоступу к информации, может быть осуществлено по времени доступа, функциям пообработке информации (видам доступа) и (или) доступным информационнымресурсам.

 

3.2.15 закладочное устройство: Техническоесредство, скрытно устанавливаемое на объекте информатизации или вконтролируемой зоне с целью перехвата информации или несанкционированноговоздействия на информацию и (или) ресурсы автоматизированной информационнойсистемы.

 

Примечание — Местами установки закладочныхустройств на охраняемой территории могут быть любые элементы контролируемойзоны, например ограждение, конструкции, оборудование, предметы интерьера,транспортные средства.

 

3.2.16 программное воздействие:Несанкционированное воздействие на ресурсы автоматизированной информационнойсистемы, осуществляемое с использованием вредоносных программ.

 

3.2.17 вредоносная программа: Программа, предназначенная дляосуществления несанкционированного доступа и (или) воздействия на информациюили ресурсы автоматизированной информационной системы.

 

3.2.18 (компьютерный) вирус: Вредоносная программа, способнаясоздавать вредоносные программы и (или) свои копии.

computer virus

3.2.19 недекларированные возможности (программного обеспечения):Функциональные возможности программного обеспечения, не описанные вдокументации.

 

3.2.20 программная закладка: Преднамеренно внесенные впрограммное обеспечение функциональные объекты, которые при определенныхусловиях инициируют реализацию недекларированных возможностей программногообеспечения.

malicious logic

Примечание — Программная закладка может бытьреализована в виде вредоносной программы или программного кода.

 

3.3Меры технической защиты информации

3.3.1 техническая защита информации; ТЗИ: Обеспечение защитынекриптографическими методами информации, содержащей сведения, составляющиегосударственную тайну, иной информации с ограниченным доступом,предотвращение ее утечки по техническим каналам, несанкционированного доступак ней, специальных воздействий на информацию и носители информации в целях еедобывания, уничтожения, искажения и блокирования доступа к ней на территорииРоссийской Федерации [1].

technical informationprotection

Примечание — Техническая защита информации приприменении информационных технологий осуществляется в процессах сбора,обработки, передачи, хранения, распространения информации с целью обеспеченияее безопасности на объектах информатизации.

 

3.3.2 политика безопасности (информации ворганизации): Одно или несколько правил, процедур, практических приемовили руководящих принципов в области безопасности информации, которымируководствуется организация в своей деятельности.

organizational security policy

3.3.3 профиль защиты: Совокупность типовых требований пообеспечению безопасности информации, которые должны быть реализованы взащищаемой автоматизированной информационной системе.

protection profile

Примечание — Профиль защиты может разрабатыватьсядля автоматизированной информационной системы, средства вычислительнойтехники, а также их технических и программных средств.

 

3.3.4 аудит безопасности (информации):Совокупность действий по независимой проверке и изучению документации автоматизированнойинформационной системы, а также по испытаниям средств защиты информации,направленная на обеспечение выполнения установленной политики безопасностиинформации и правил эксплуатации автоматизированной информационной системы,на выявление уязвимостей автоматизированной информационной системы и навыработку рекомендаций по устранению выявленных недостатков в средствахзащиты информации, политике безопасности информации и правилах эксплуатацииавтоматизированной информационной системы.

security audit

Примечание — Аудит безопасности можетосуществляться независимой организацией (третьей стороной) по договору спроверяемой организацией (внешний аудит), а также подразделением илидолжностным лицом организации (внутренний аудит).

 

3.3.5 аудит безопасности автоматизированнойинформационной системы: Проверка реализованных вавтоматизированной информационной системе процедур обеспечения безопасности сцелью оценки их эффективности и корректности, а также разработки предложенийпо их совершенствованию.

computer-system audit

3.3.6 мониторинг безопасности информации (при примененииинформационных технологий): Процедуры регулярного наблюдения за процессомобеспечения безопасности информации при применении информационных технологий.

IT security monitoring

3.3.7 правила разграничения доступа (в автоматизированнойинформационной системе): Правила, регламентирующие условия доступасубъектов доступа к объектам доступа в автоматизированной информационнойсистеме.

 

3.3.8 аутентификация (субъекта доступа): Действия по проверкеподлинности субъекта доступа в автоматизированной информационной системе.

authentication

3.3.9 идентификация: Действия по присвоению субъектам и объектамдоступа идентификаторов и (или) по сравнению предъявляемого идентификатора сперечнем присвоенных идентификаторов.

identification

Алфавитный указательтерминов

атака

3.2.12

аудит безопасности

3.3.4

аудит безопасности автоматизированной информационной системы

3.3.5

аудит безопасности информации

3.3.4

аутентификация

3.3.8

аутентификация субъекта доступа

3.3.8

безопасность автоматизированной информационной системы

3.1.6

безопасность данных

3.1.4

безопасность информации

3.1.4, 3.1.5

блокирование доступа

3.2.14

блокирование доступа к информации

3.2.14

вирус

3.2.18

вирус компьютерный

3.2.18

воздействие несанкционированное

3.2.11

воздействие несанкционированное на информацию

3.2.11

воздействие несанкционированное на ресурсы автоматизированной информационнойсистемы

3.2.11

воздействие программное

3.2.16

возможности недекларированные

3.2.19

возможности недекларированные программного обеспечения

3.2.19

вторжение

3.2.13

вторжение в автоматизированную информационную систему

3.2.13

доступ

3.2.7

доступ в автоматизированной информационной системе

3.2.7

доступ несанкционированный

3.2.10

доступ несанкционированный к информации

3.2.10

доступ несанкционированный к ресурсам автоматизированной информационной системы

3.2.10

доступность

3.1.9

доступность информации

3.1.9

доступность ресурсов автоматизированной информационной системы

3.1.9

закладка программная

3.2.20

защита информации техническая

3.3.1

идентификация 

3.3.9

источник угрозы безопасности информации

3.2.2

конфиденциальность

3.1.7

конфиденциальность информации

3.1.7

конфиденциальность ресурсов автоматизированной информационной системы

3.1.7

мониторинг безопасности информации

3.3.6

НСВ

3.2.11

НСД

3.2.10

объект доступа

3.2.9

объект доступа в автоматизированной информационной системе

3.2.9

перехват

3.2.5

перехват информации

3.2.5

подлинность

3.1.11

подлинность ресурсов автоматизированной информационной системы

3.1.11

подотчетность

3.1.10

подотчетность ресурсов автоматизированной информационной системы

3.1.10

политика безопасности

3.3.2

политика безопасности информации в организации 

3.3.2

правила разграничения доступа

3.3.7

правила разграничения доступа в автоматизированной информационной системе

3.3.7

программа вредоносная

3.2.17

профиль защиты

3.3.3

ресурсы защищаемые информационные

3.1.2

ресурсы защищаемые информационные автоматизированной информационной системы

3.1.2

сигнал информативный

3.2.6

система защищаемая автоматизированная информационная

3.1.1

субъект доступа

3.2.8

субъект доступа в автоматизированной информационной системе

3.2.8

технология защищаемая информационная

3.1.3

ТЗИ

3.3.1

угроза

3.2.1

угроза безопасности информации

3.2.1

устройство закладочное

3.2.15

утечка информации по техническому каналу

3.2.4

утечка по техническому каналу

3.2.4

уязвимость

3.2.3

уязвимость автоматизированной информационной системы

3.2.3

целостность

3.1.8

целостность информации

3.1.8

целостность ресурсов автоматизированной информационной системы

3.1.

Алфавитный указательиноязычных эквивалентов стандартизованных терминов

access

3.2.7

accountability

3.1.10

attack

3.2.12

authentication

3.3.8

authenticity

3.1.11

availability

3.1.9

computer-system audit

3.3.5

computer virus

3.2.18

confidentiality

3.1.7

data security

3.1.4

identification

3.3.9

information security

3.1.4

informative signal

3.2.6

integrity

3.1.8

interception

3.2.5

intrusion

3.2.13

IT security

3.1.5

IT security monitoring

3.3.6

leakage

3.2.4

malicious logic

3.2.20

object

3.2.9

organizational security policy

3.3.2

protection profile

3.3.3

security audit

3.3.4

subject

3.2.8

technical information protection

3.3.1

threat

3.2.1

trusted computer system

3.1.1

unauthorized access

3.2.10

vulnerability

3.2.

Приложение А
(справочное)
Термины и определения общетехнических понятий

А.1 защита информации; ЗИ: Деятельность,направленная на предотвращение утечки защищаемой информации,несанкционированных и непреднамеренных воздействий на защищаемую информацию.

[ГОСТ Р 50922, статья 2]

 

А.2 автоматизированная система: Система,состоящая из персонала и комплекса средств автоматизации его деятельности, реализующаяинформационную технологию выполнения установленных функций.

[ГОСТ34.003, статья 1]

 

А.3 информационная система: Организационноупорядоченная совокупность документов (массивов документов) и информационныхтехнологий, в том числе с использованием средств вычислительной техники и связи[2].

А.4 защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требования ми правовых документов или требованиями, устанавливаемыми собственникоминформации.

Примечание- Собственником информации может быть: государство, юридическое лицо, группа физическихлиц, отдельное физическое лицо.

[ГОСТР 50922, статья 1]

 

А.5 информационная технология: Приемы, способыи методы применения средств вычислительной техники при выполнении функцийсбора, хранения, обработки, передачи и использования данных.

[ГОСТР 34.003, приложение 1, статья 4]

 

А.6 объектинформатизации: Совокупность информационных ресурсов, средств и системобработки информации, используемых в соответствии с заданной информационной технологией,средств обеспечения объекта информатизации, помещений или объектов (зданий,сооружений, технических средств), в которых они установлены, или помещения иобъекты, предназначенные для ведения конфиденциальных переговоров.

[ГОСТР 51275, пункт 2.1]

 

А.7 безопасность информационной технологии:Состояние информационной технологии, определяющее защищенность информации иресурсов информационной технологии от действия объективных и субъективных,внешних и внутренних, случайных и преднамеренных угроз, а также способностьинформационной технологии выполнять предписанные функции без нанесениянеприемлемого ущерба субъектам информационных отношений [3]

 

А.8 безопасность: Отсутствие недопустимогориска, связанного с возможностью нанесения ущерба.

[ГОСТ1.1, статья А.7]

 

А.9 данные: Информация, представленная ввиде, пригодном для обработки автоматическими средствами при возможномучастии человека.

[ГОСТ 15971.статья 4]

 

А. 10 риск: Сочетание вероятности нанесенияущерба и тяжести этого ущерба.

[ГОСТ Р 51898, пункт 3.2]

 

А. 11 защита информации от утечки: Деятельность,направленная на предотвращение неконтролируемого распространения защищаемойинформации в результате ее разглашения, несанкционированного доступа кинформации и получения защищаемой информации разведками.

[ГОСТ Р 50922, статья 3]

 

А. 12 требование: Положение нормативногодокумента, содержащее критерии, которые должны быть соблюдены.

[ГОСТ1.1, статья 6.1.1]

 

А. 13 криптографическая защита: Защитаданных при помощи криптографического преобразования данных.

 

Приложение Б
(рекомендуемое)
Схема взаимосвязи стандартизованных терминов

 

Библиография

[1] Положение о Федеральной службе по техническому и экспортному контролю. Утверждено Указом Президента Российской Федерации от 16.08.2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю»

[2] Федеральный закон Российской Федерации от 20.02.1995 № 24-ФЗ (в ред. Федерального закона от 10,01.2003 г. № 15-ФЗ) «Об информации, информатизации и защите информации»

[3] Руководящий документ Гостехкомиссии России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий». Введен в действие Приказом Гостехкомиссии России от 19.06.02 г. №187

Ключевые слова: информационная технология, техническая защита информации, термины, определения, защита информации, безопасность информации, конфиденциальность, доступность, целостность

Кроме быстрого и качественного ремонта труб отопления, оказываем профессиональный монтаж систем отопления под ключ. На нашей странице по тематике отопления > resant.ru/otoplenie-doma.html < можно посмотреть и ознакомиться с примерами наших работ. Но более точно, по стоимости работ и оборудования лучше уточнить у инженера.

Для связи используйте контактный телефон ООО ДИЗАЙН ПРЕСТИЖ 8(495) 744-67-74, на который можно звонить круглосуточно.

Обратите внимание

Наша компания ООО ДИЗАЙН ПРЕСТИЖ входит в состав некоммерческой организации АНО МЕЖРЕГИОНАЛЬНАЯ КОЛЛЕГИЯ СУДЕБНЫХ ЭКСПЕРТОВ. Мы так же оказываем услуги по независимой строительной технической эесаертизе.