Законодательная база Российской Федерации

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1. Активы (asset): все, что имеет ценность для организации.

(ИСО/МЭК 13335-1:2004) [4]

3.2. Доступность (availability): свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта.

(ИСО/МЭК 13335-1:2004) [4]

3.3. Конфиденциальность (confidentiality): свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.

(ИСО/МЭК 13335-1:2004) [4]

3.4. Информационная безопасность; ИБ (information security): свойство информации сохранять конфиденциальность, целостность и доступность.

Примечание - Кроме того, данное понятие может включать в себя также и свойство сохранять аутентичность, подотчетность, неотказуемость и надежность.

(ИСО/МЭК 17799:2005)

3.5. Событие информационной безопасности (information security event): идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.

(ИСО/МЭК ТО 18044:2004) [5]

3.6. Инцидент информационной безопасности (information security incident): любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

Примечание - Инцидентами информационной безопасности являются:

- утрата услуг, оборудования или устройств;

- системные сбои или перегрузки;

- ошибки пользователей;

- несоблюдение политики или рекомендаций по ИБ;

- нарушение физических мер защиты;

- неконтролируемые изменения систем;

- сбои программного обеспечения и отказы технических средств;

- нарушение правил доступа.

(ИСО/МЭК ТО 18044:2004) [5]

3.7. Система менеджмента информационной безопасности; СМИБ (information security management system; ISMS): часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Примечание - Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.

3.8. Целостность (integrity): свойство сохранять правильность и полноту активов.

(ИСО/МЭК 13335-1:2004) [4]

3.9. Остаточный риск (residual risk): риск, остающийся после его обработки.

(Руководство ИСО/МЭК 73:2002) [6]

3.10. Принятие риска (risk acceptance): решение по принятию риска.

(Руководство ИСО/МЭК 73:2002) [6]

3.11. Анализ риска (risk analysis): систематическое использование информации для определения источников риска и количественной оценки риска.

(Руководство ИСО/МЭК 73:2002) [6]

3.12. Оценка риска (risk assessment): общий процесс анализа риска и его оценивания.

(Руководство ИСО/МЭК 73:2002) [6]

3.13. Оценивание риска (risk evaluation): процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости.

(Руководство ИСО/МЭК 73:2002) [6]

3.14. Менеджмент риска (risk management): скоординированные действия по руководству и управлению организацией в отношении риска.

Примечание - Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникацию риска.

(Руководство ИСО/МЭК 73:2002) [6]

3.15. обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации риска.

(Руководство ИСО/МЭК 73:2002) [6]

Примечания:

1. Меры по обработке риска могут включать в себя избежание, оптимизацию, перенос или сохранение риска.

2. В настоящем стандарте термин "мера управления" (control) использован как синоним термина "мера" (measure).

3.16. Положение о применимости (statement of applicability): документированное предписание, определяющее цели и меры управления, соответствующие и применимые к системе менеджмента информационной безопасности организации.

Примечание - Цели и меры управления основываются на результатах и выводах процессов оценки и обработки рисков, на требованиях законодательных или нормативных актов, на обязательствах по контракту и бизнес-требованиях организации по отношению к информационной безопасности.