Последнее обновление: 26.11.2024
Законодательная база Российской Федерации
8 (800) 350-23-61
Бесплатная горячая линия юридической помощи
- Главная
- "ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)
3. Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1. Активы (asset): все, что имеет ценность для организации.
(ИСО/МЭК 13335-1:2004) [4]
3.2. Доступность (availability): свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта.
(ИСО/МЭК 13335-1:2004) [4]
3.3. Конфиденциальность (confidentiality): свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.
(ИСО/МЭК 13335-1:2004) [4]
3.4. Информационная безопасность; ИБ (information security): свойство информации сохранять конфиденциальность, целостность и доступность.
Примечание - Кроме того, данное понятие может включать в себя также и свойство сохранять аутентичность, подотчетность, неотказуемость и надежность.
(ИСО/МЭК 17799:2005)
3.5. Событие информационной безопасности (information security event): идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.
(ИСО/МЭК ТО 18044:2004) [5]
3.6. Инцидент информационной безопасности (information security incident): любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
Примечание - Инцидентами информационной безопасности являются:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политики или рекомендаций по ИБ;
- нарушение физических мер защиты;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
(ИСО/МЭК ТО 18044:2004) [5]
3.7. Система менеджмента информационной безопасности; СМИБ (information security management system; ISMS): часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.
Примечание - Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.
3.8. Целостность (integrity): свойство сохранять правильность и полноту активов.
(ИСО/МЭК 13335-1:2004) [4]
3.9. Остаточный риск (residual risk): риск, остающийся после его обработки.
(Руководство ИСО/МЭК 73:2002) [6]
3.10. Принятие риска (risk acceptance): решение по принятию риска.
(Руководство ИСО/МЭК 73:2002) [6]
3.11. Анализ риска (risk analysis): систематическое использование информации для определения источников риска и количественной оценки риска.
(Руководство ИСО/МЭК 73:2002) [6]
3.12. Оценка риска (risk assessment): общий процесс анализа риска и его оценивания.
(Руководство ИСО/МЭК 73:2002) [6]
3.13. Оценивание риска (risk evaluation): процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости.
(Руководство ИСО/МЭК 73:2002) [6]
3.14. Менеджмент риска (risk management): скоординированные действия по руководству и управлению организацией в отношении риска.
Примечание - Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникацию риска.
(Руководство ИСО/МЭК 73:2002) [6]
3.15. обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации риска.
(Руководство ИСО/МЭК 73:2002) [6]
Примечания:
1. Меры по обработке риска могут включать в себя избежание, оптимизацию, перенос или сохранение риска.
2. В настоящем стандарте термин "мера управления" (control) использован как синоним термина "мера" (measure).
3.16. Положение о применимости (statement of applicability): документированное предписание, определяющее цели и меры управления, соответствующие и применимые к системе менеджмента информационной безопасности организации.
Примечание - Цели и меры управления основываются на результатах и выводах процессов оценки и обработки рисков, на требованиях законодательных или нормативных актов, на обязательствах по контракту и бизнес-требованиях организации по отношению к информационной безопасности.
- Главная
- "ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)