II. Основные понятия и сокращения
Антивирусная программа (АВС) – специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.
Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Аутентификация отправителя данных – подтверждение того, что отправитель полученных данных соответствует заявленному.
Безопасность персональных данных – состояние защищенности персональных данных, при котором обеспечиваются их конфиденциальность, доступность и целостность при их обработке в информационных системах персональных данных.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа (ВПр) – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Вспомогательные технические средства и системы (ВТСС) – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных, или в помещениях, в которых установлены информационные системы персональных данных.
Граница контролируемой зоны – периметр охраняемой территории Министерства, ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
Доступ в операционную среду компьютера – получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.
Доступ к информации – возможность получения информации и ее использования.
Доступ к информационной системе персональных данных – получение возможности запуска исполняемого файла информационной системы, ознакомления с содержанием базы данных, персональными данными, обрабатываемыми в информационной системе персональных данных и возможности выполнения действий с персональными данными (создание, изменение, удаление, редактирование, обработка и т.п.).
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Информационные технологии (ИТ) – процессы, методы поиска, сбора, хранения, обработки, представления, распространения информации и способы осуществления таких процессов и методов.
Инцидент информационной безопасности – какой-либо инцидент информационной безопасности, являющийся следствием одного или нескольких нежелательных или неожиданных событий информационной безопасности, которые имеют значительную вероятность компрометации операций бизнеса или создания угрозы информационной безопасности.
Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Контролируемая зона (КЗ) – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Криптосредство – шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
Межсетевой экран (МЭ) – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Модель нарушителя – предположение о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Модель угроз – перечень возможных угроз.
Нарушитель безопасности конфиденциальной информации (персональных данных) – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности конфиденциальной информации (персональных данных) при их обработке техническими средствами в автоматизированных и информационных системах.
Недекларированные возможности (НДВ) – функциональные возможности средств вычислительной техники и (или) программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия, НСД) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.
Носитель информации (НИ) – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обработка конфиденциальной информации (персональных данных) – действия (операции) с конфиденциальной информацией (персональными данными), включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение конфиденциальной информации (персональных данных).
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Перехват (информации) неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Программная закладка – код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и/или блокировать аппаратные средства.
Программное (программно-математическое) воздействие – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
Побочные электромагнитные излучения и наводки (ПЭМИН) – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.
Политика «чистого стола» – мероприятия, обеспечивающие отсутствие:
- записей ключей и атрибутов доступа (паролей) на бумажные носители и хранения их вблизи объектов доступа;
- носителей (бумажные или электронные), содержащие информацию ограниченного распространения, когда они не используются, на рабочем месте (носители информации следует убирать со стола и/или запирать в шкаф, тумбочку и т.п., особенно при длительном отсутствии сотрудника на рабочем месте);
- бумажных носителей в принтерах коллективного пользования (отправленные на печать документы, содержащие информацию ограниченного распространения, должны изыматься сразу после окончания печати и процесс печати должен производиться в присутствии автора документа для исключения ознакомления с ним лиц, не имеющих доступ к информации ограниченного распространения);
Политика «чистого экрана» – мероприятия, обеспечивающие блокировку экрана или клавиатуры, паролем, токеном или другим механизмом аутентификации пользователя.
Пользователь информационной системы персональных данных (пользователь ИСПДн) – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
ПО – программное обеспечение.
Программная закладка (ПЗ) – скрытно внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие. Программная закладка может быть реализована в виде вредоносной программы или программного кода.
ПЭВМ (ПК) – персональная электронно-вычислительная машина, персональный компьютер.
Распространение конфиденциальной информации (персональных данных) – действия, направленные на передачу конфиденциальной информации (персональных данных) определенному кругу лиц (передача) или на ознакомление с ней неограниченного круга лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к конфиденциальной информации (персональным данным) каким-либо иным способом.
Режимные помещения – помещения, где установлены криптосредства или хранятся ключевые документы к ним.
Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
САЗ – система анализа защищенности.
СЗКИ – система (подсистема) защиты конфиденциальной информации.
СЗПДн – система (подсистема) защиты персональных данных.
СОВ – система обнаружения вторжений.
Событие информационной безопасности – какое-либо событие информационной безопасности, идентифицируемое появлением определенного состояния системы, сервиса или сети, указывающее на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
Средства вычислительной техники (СВТ) – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Средства обработки информации – любая система обработки информации, услуга или инфраструктура, или их фактическое местоположение.
Средство защиты информации (СЗИ) – техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы персональных данных (ТС ИСПДн) – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.
Технический канал утечки информации (ТКУИ) – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Угроза – потенциальная причина нежелательного инцидента, результатом которого может быть нанесение ущерба системе или организации.
Угрозы безопасности конфиденциальной информации (УБКИ) и персональных данных (УБПДн) – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к конфиденциальной информации (персональным данным), результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение конфиденциальной информации (персональных данных), а также иных несанкционированных действий при их обработке в информационных системах.
Уничтожение конфиденциальной информации (персональных данных) – действия, в результате которых невозможно восстановить содержание конфиденциальной информации (персональных данных) в информационных системах или в результате которых уничтожаются материальные носители конфиденциальной информации (персональных данных).
Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.
Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.
Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
Шифровальные (криптографические) средства – криптосредства:
а) средства шифрования – аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
б) средства имитозащиты – аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
в) средства электронной цифровой подписи – аппаратные, программные и аппаратно–программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
г) средства кодирования – средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);
е) ключевые документы (независимо от вида носителя ключевой информации).
Электронный носитель – носители, существующие отдельно от средств вычислительной техники (СВТ) и подключающиеся к СВТ тем или иным способом, а также встроенные в корпус СВТ, в случае, если их можно извлечь (изъять) без вскрытия корпуса СВТ (под это определение попадают: флеш-карты, HDD - жесткие диски (м.б. как внешними, так и внутренними), оптические диски (CD, DVD и т.п.), дискеты, внешние носители, на которых хранятся резервные копии (ленточные накопители, ленточные библиотеки и т.д.).
|