Законодательная база Российской Федерации

"РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ. ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ. Р 50.1.056-2005" (утв. Приказом Ростехрегулирования от 29.12.2005 N 479-ст)

А .1

автоматизированная система, АС: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

[ГОСТ 34.003 -90, статья 1.1]

А.2 информационная система:

1. Организационно-упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи [5].

2. Автоматизированная система, результатом функционирования которой является представление выходной информации для последующего использования.

А.3

защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Примечание - Собственником информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

[ГОСТ Р 50992-96, статья 1]

А.4

данные: Информация, представленная в виде, пригодном для обработки автоматическими средствами при возможном участии человека.

[ГОСТ 15971-90, статья 1]

А.5

безопасность: Отсутствие недопустимого риска связанного с возможностью нанесения ущерба.

[ГОСТ 1.1-2002, статья А.7]

А.6

информационная технология: Приемы, способы и методы применения средств вычислительной техники при выполнении функций сбора, хранения, обработки, передачи и использования данных.

[ГОСТ 34.003 -90, приложение 1, статья 4]

А.7

защиты информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

[ГОСТ Р 50922-96, статья 2]

А.8

защита информации от утечки: Деятельность, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками.

[ГОСТ Р 50922-96, статья 3]

А.9 криптографическая защита (данных): Защита данных при помощи криптографического преобразования данных [1].

А.10

требование: Положение нормативного документа, содержащее критерии, которые должны быть соблюдены.

[ГОСТ 1.1- 2002, статья 6.1.1]

А.11

объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

[ГОСТ Р 51275-99, пункт 2.1]

А.12

риск: Сочетание вероятности нанесения ущерба и тяжести этого ущерба.

[ГОСТ Р 51898-2002, пункт 3.2]

А. 13 информативный сигнал: Сигнал, по параметрам которого может быть определена защищаемая информация.

А.14 доступ: Извлечение информации из памяти средства вычислительной техники (электронно-вычислительной машины) или помещение информации в память средства вычислительной техники (электронно-вычислительной машины).

А.15 доступ к информации (ресурсам информационной системы): Получение возможности ознакомления с информацией, обработки информации и (или) воздействия на информацию и (или) ресурсы информационной системы с использованием программных и (или) технических средств [1].

Примечание - Доступ осуществляется субъектами доступа, к которым относятся лица, а также логические и физические объекты [1].

16 субъект доступа (в информационной системе): Лицо или единица ресурса информационной системы, действия которого по доступу к ресурсам информационной системы регламентируются правилами разграничения доступа.

А.17 объект доступа (в информационной системе): Единица ресурса информационной системы, доступ к которой регламентируется правилами разграничения доступа [1].

А.18 средство измерений: Техническое средство, предназначенное для измерений, имеющее нормированные метрологические характеристики, воспроизводящее и/или хранящее единицу физической величины, размер которой принимают неизменным (в пределах установленной погрешности) в течение известного интервала времени

A.19 сеть связи: Технологическая система включающая в себя средства и линии связи и предназначенная для электросвязи или почтовой связи [6].

А.20 ресурсы (информационной системы): Средства, использующиеся в информационной системе, привлекаемые для обработки информации (например, информационные, программные, технические, лингвистические).

А.21 нормативный правовой документ: Письменный официальный документ, принятый в установленном порядке, управомоченного на то органа государственной власти, органа местного самоуправления или должностного лица, устанавливающий правовые нормы (правила поведения), обязательные для неопределенного круга лиц, рассчитанные на неоднократное применение и действующие независимо от того, возникли или прекратились конкретные правоотношения, предусмотренные актом [7].

А.22 выделенное помещение: специальное помещение, предназначенное для регулярного проведения собраний, совещаний, бесед и других мероприятий секретного характера.

А.23

измерительный контроль : контроль, осуществляемый с применением средств измерений. [ГОСТ 16504 -81 , статья 111]

А.24

информация: Сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

[ГОСТ Р 50922-96, статья Б.1]

А.25 нарушитель безопасности информации: Физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах.

А.26 документированный процесс: Процесс, реализация которого осуществляется в соответствии с разработанным комплектом документов (документацией) и подтверждается соответствующими записями.

А.27 свидетельства (доказательства) аудита информационной безопасности: Записи, изложения фактов или другая информация, которые имеют отношение к критериям аудита информационной безопасности и могут быть проверены.

Примечание - Свидетельства аудита информационной безопасности могут быть качественными или количественными.

А.28 критерии аудита информационной безопасности в организации: Совокупность принципов, положений, требований и показателей действующих нормативных документов, относящихся к деятельности организации в области информационной безопасности.

Примечание - Критерии аудита информационной безопасности используют для сопоставления с ними свидетельств аудита информационной безопасности.

А.29

управление риском: Действия, осуществляемые для выполнения решений в рамках менеджмента риска.

Примечание. Управление риском может включать в себя мониторинг, переоценивание и действия, направленные на обеспечение соответствия принятым решениям.

[ГОСТ Р 51897-2002, статья 3.4.2]

Приложение Б
(рекомендуемое)