ФЕДЕРАЛЬНОЕАГЕНТСТВО
ПОТЕХНИЧЕСКОМУРЕГУЛИРОВАНИЮИМЕТРОЛОГИИ |
| рекомендации ПОстандартизации | Р 50.1.053-
2005 |
ИНФОРМАЦИОННЫЕТЕХНОЛОГИИ
ОСНОВНЫЕТЕРМИНЫИОПРЕДЕЛЕНИЯ ВОБЛАСТИТЕХНИЧЕСКОЙЗАЩИТЫ ИНФОРМАЦИИ
Москва
Стандартинформ
2005
Предисловие
Задачи, основныепринципыиправилапроведенияработпогосударственнойстандартизациив
РоссийскойФедерацииустановленыГОСТР 1.0-92«ГосударственнаясистемастандартизацииРоссийскойФедерации. Основныеположения»иГОСТР 1.2-92«ГосударственнаясистемастандартизацииРоссийскойФедерации. Порядокразработкигосударственныхстандартов»
Сведенияорекомендациях
1 РАЗРАБОТАНЫ Государственным научно-исследовательским испытательным
институтом проблем технической защиты информации Гостехкомиссии России
2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 362 «Защита
информации»
3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по
техническому регулированию и метрологии от 6 апреля 2005 г. № 77-ст
4 ВВЕДЕНЫ ВПЕРВЫЕ
Информация о введении в действие
(прекращении действия) настоящих рекомендаций, изменениях и поправках к ним, а
также тексты изменений и поправок публикуются в информационных указателях
«Национальные стандарты». В случае пересмотра или отмены настоящих рекомендаций
соответствующая информация будет опубликована в информационном указателе
«Национальные стандарты»
Содержание
1 Область применения 2 Нормативные ссылки 3 Стандартизованные термины и
определения 3.1 Объекты технической защиты
информации 3.2 Угрозы безопасности информации 3.3 Меры технической защиты
информации Алфавитный указатель терминов Алфавитный указатель иноязычных
эквивалентов стандартизованных терминов Приложение А (справочное) Термины
и определения общетехнических понятий Приложение Б (рекомендуемое) Схема
взаимосвязи стандартизованных терминов |
Введение
Установленные
в настоящих рекомендациях термины расположены в систематизированном порядке,
отражающем систему понятий в области технической защиты информации при
применении информационных технологий.
Для
каждого понятия установлен один стандартизованный термин.
Заключенная
в круглые скобки часть термина может быть опущена при использовании термина в
документах по стандартизации. При этом не входящая в круглые скобки часть
термина образует его краткую форму.
Наличие
квадратных скобок в терминологической статье означает, что в нее включены два
термина, имеющие общие терминоэлементы.
В
алфавитном указателе данные термины приведены отдельно с указанием номера
статьи.
Помета,
указывающая на область применения многозначного термина, приведена в круглых
скобках светлым шрифтом после термина. Помета не является частью термина.
Приведенные
определения можно при необходимости изменять, вводя в них производные признаки,
раскрывая значения используемых в них терминов, указывая объекты, входящие в
объем определяемого понятия. Изменения не должны нарушать объем и содержание
понятий, определенных в настоящих рекомендациях.
В
случае, когда в термине содержатся все необходимые и достаточные признаки
понятия, определение не приводится и вместо него ставится прочерк.
В
настоящих рекомендациях приведены эквиваленты стандартизованных терминов на
английском языке.
Термины
и определения общетехнических понятий, необходимые для понимания текста
настоящих рекомендаций, приведены в приложении А.
Схема взаимосвязи стандартизованных терминов приведена в приложении
Б.
Стандартизованные
термины набраны полужирным шрифтом, их краткие формы, представленные
аббревиатурой, - светлым.
РЕКОМЕНДАЦИИПОСТАНДАРТИЗАЦИИ |
Информационныетехнологии ОСНОВНЫЕТЕРМИНЫИОПРЕДЕЛЕНИЯВОБЛАСТИ
ТЕХНИЧЕСКОЙЗАЩИТЫИНФОРМАЦИИ Information technologies.
Basic terms and definitions in scope of technical protection of information |
Датавведения- 2006-01-01
1 Область применения
Настоящие
рекомендации по стандартизации устанавливают термины и определения понятий в
области технической защиты информации при применении информационных технологий.
Термины,
установленные настоящими рекомендациями по стандартизации, рекомендуются для
использования во всех видах документации и литературы по вопросам технической
защиты информации при применении информационных технологий, входящих в сферу
работ по стандартизации и (или) использующих результаты этих работ.
Настоящие
рекомендации по стандартизации должны применяться совместно с ГОСТ
Р 50922.
2 Нормативные ссылки
В
настоящих рекомендациях использованы нормативные ссылки на следующие стандарты:
ГОСТ
1.1-2002 Межгосударственная система стандартизации. Термины и
определения
ГОСТ
34.003-90 Информационная технология. Комплекс стандартов на
автоматизированные системы. Автоматизированные системы. Термины и определения
ГОСТ
15971-90 Системы обработки информации. Термины и определения
ГОСТ
Р 50922-96 Защита информации. Основные термины и определения
ГОСТ
Р 51275-99 Защита информации. Объект информатизации. Факторы,
воздействующие на информацию. Общие положения
ГОСТ
Р 51898-2002 Аспекты безопасности. Правила включения в стандарты
Примечания
- При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных
стандартов по указателю «Национальные стандарты», составленному по состоянию на
1 января текущего года, и по соответствующим информационным указателям,опубликованным в текущем году.
Если ссылочный стандарт заменен (изменен), то припользовании настоящими
рекомендациями следует руководствоваться замененным (измененным) стандартом.
Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка
на него, применяется в части, не затрагивающей эту ссылку.
3 Стандартизованные термины и определения
3.1 Объекты технической защиты информации
3.1.1 защищаемаяавтоматизированнаяинформационнаясистема: Автоматизированнаяинформационнаясистема, предназначеннаядлясбора, хранения, обработки, передачиииспользованиязащищаемойинформациистребуемым
уровнемеезащищенности. | trusted computer system |
3.1.2 защищаемые информационные ресурсы (автоматизированной
информационной системы): Информационные ресурсы автоматизированной информационной
системы, для которых должен быть обеспечен требуемый уровень их защищенности. | |
Примечание - Информационные
ресурсы включают в себя документы и массивы документов, используемые в
автоматизированных информационных системах. | |
3.1.3 защищаемая информационная технология:
Информационная технология, предназначенная для сбора, хранения, обработки,
передачи и использования защищаемой информации с требуемым уровнем ее
защищенности. | |
3.1.4 безопасность информации [данных]:
Состояние защищенности информации [данных], при котором обеспечиваются ее
[их] конфиденциальность, доступность и целостность. | information [data]
security |
Примечание
- Безопасность информации [данных] определяется отсутствием недопустимого
риска, связанного с утечкой информации по техническим каналам,
несанкционированными и непреднамеренными воздействиями на данные и (или) на
другие ресурсы автоматизированной информационной системы, используемые при применении
информационной технологии. | |
3.1.5 безопасность информации (при применении
информационныхтехнологий): Состояние защищенности информационной
технологии, обеспечивающее безопасность информации, для обработки которой она
применяется, и информационную безопасность автоматизированной информационной
системы, в которой она реализована. | IT security |
3.1.6 безопасность автоматизированной
информационной системы: Состояние защищенности автоматизированной
информационной системы, при котором обеспечиваются конфиденциальность,
доступность, целостность, подотчетность и подлинность ее ресурсов. | |
3.1.7 конфиденциальность (информации [ресурсовавтоматизированной
информационной системы]): Состояние информации [ресурсов автоматизированной
информационной системы], при котором доступ к ней [к ним] осуществляют только
субъекты, имеющие на него право. | confidentiality |
3.1.8 целостность (информации [ресурсов автоматизированнойинформационной
системы]): Состояние информации [ресурсов автоматизированной
информационной системы], при котором ее [их] изменение осуществляется только
преднамеренно субъектами, имеющими на него право. | integrity |
3.1.9 доступность (информации [ресурсов автоматизированнойинформационной
системы]): Состояние информации [ресурсов автоматизированной
информационной системы], при котором субъекты, имеющие право доступа, могут
реализовать их беспрепятственно. | availability |
Примечание
- К правам доступа относятся: право на чтение, изменение, копирование,
уничтожение информации, а также права на изменение, использование,
уничтожение ресурсов. | |
3.1.10 подотчетность (ресурсов
автоматизированной информационнойсистемы): Состояние ресурсов
автоматизированной информационной системы, при котором обеспечиваются их
идентификация и регистрация. | accountability |
3.1.11 подлинность (ресурсов автоматизированной информационнойсистемы):
Состояние ресурсов автоматизированной информационной системы, при котором
обеспечивается реализация информационной технологии с использованием именно
тех ресурсов, к которым субъект, имеющий на это право, обращается. | authenticity |
3.2 Угрозы безопасности информации
3.2.1 угроза (безопасности информации): Совокупность условий и факторов,
создающих потенциальную или реально существующую опасность нарушения
конфиденциальности, доступности и (или) целостности информации. | threat |
3.2 2 источник угрозы безопасности информации: Субъект,
материальный объект или физическое явление, являющиеся причиной возникновения
угрозы безопасности информации. | |
3.2.3 уязвимость (автоматизированной информационной системы):
Недостаток или слабое место в автоматизированной информационной системе, которые
могут быть условием реализации угрозы безопасности обрабатываемой в ней
информации. | vulnerability |
3.2.4 утечка (информации) по техническому каналу:
Неконтролируемое распространение информации от носителя защищаемой информации
через физическую среду до технического средства, осуществляющего перехват
информации. | leakage |
3.2.5 перехват (информации): Неправомерное получение информации
с использованием технического средства, осуществляющего обнаружение, прием и
обработку информативных сигналов. | interception |
3.2.6 информативный сигнал: Сигнал, по параметрам которого может
быть oпределена защищаемая информация. | informative signal |
3.2.7 доступ (в автоматизированной информационной системе): Получение
возможности ознакомления с информацией, ее обработки и (или) воздействия на
информацию и (или) ресурсы автоматизированной информационной системы с
использованием программных и (или) технических средств. | access |
Примечание
- Доступ осуществляется субъектами доступа, к которым относятся лица, а также
логические и физические объекты. | |
3.2.8 субъект доступа (в автоматизированной
информационной системе): Лицо или единица ресурса автоматизированной информационной
системы, действия которой по доступу к ресурсам автоматизированной
информационной системы регламентируются правилами разграничения доступа. | subject |
3.2.9 объект доступа (в автоматизированной информационнойсистеме):
Единица ресурса автоматизированной информационной системы, доступ к которой
регламентируется правилами разграничения доступа. | object |
3.2.10 несанкционированный доступ (к информации [ресурсамавтоматизированной
информационной системы]); НСД: Доступ к информации [ресурсам
автоматизированной информационной системы], осуществляемый с нарушением
установленных прав и (или) правил доступа к информации [ресурсам
автоматизированной информационной системы]. | unauthorized access |
Примечания | |
1
Несанкционированный доступ может быть осуществлен преднамеренно или
непреднамеренно. | |
2
Права и правила доступа к информации и ресурсам информационной системы
устанавливаются для процессов обработки информации, обслуживания автоматизированной
информационной системы, изменения программных, технических и информационных
ресурсов, а также получения информации о них. | |
3.2.11 несанкционированное воздействие (на
информацию [ресурсыавтоматизированной информационной системы]) (при
применении информационных технологий); НСВ: Изменение информации [ресурсов
автоматизированной информационной системы], осуществляемое с нарушением
установленных прав и (или) правил. | |
Примечания | |
1
Несанкционированное воздействие может быть осуществлено преднамеренно или
непреднамеренно. Преднамеренные несанкционированные воздействия являются
специальными воздействиями. | |
2
Изменение может быть осуществлено в форме замены информации [ресурсов
автоматизированной информационной системы], введения новой информации [новых
ресурсов автоматизированной информационной системы], а также уничтожения или
повреждения информации [ресурсов автоматизированной информационной системы]. | |
3.2.12 атака (при применении информационных
технологий): Действия, направленные на реализацию угроз несанкционированного
доступа к информации, воздействия на нее или на ресурсы автоматизированной
информационной системы с применением программных и (или) технических средств. | attack |
3.2.13 вторжение (в автоматизированную информационную систему):
Выявленный факт попытки несанкционированного доступа к ресурсам
автоматизированной информационной системы. | intrusion |
3.2.14 блокирование доступа (к информации) (при применении
информационных технологий): Создание условий, препятствующих доступу к
информации субъекту, имеющему право на него. | |
Примечание
- Создание условий, препятствующих доступу к информации, может быть
осуществлено по времени доступа, функциям по обработке информации (видам
доступа) и (или) доступным информационным ресурсам. | |
3.2.15 закладочное устройство: Техническое
средство, скрытно устанавливаемое на объекте информатизации или в
контролируемой зоне с целью перехвата информации или несанкционированного воздействия
на информацию и (или) ресурсы автоматизированной информационной системы. | |
Примечание
- Местами установки закладочных устройств на охраняемой территории могут быть
любые элементы контролируемой зоны, например ограждение, конструкции, оборудование,
предметы интерьера, транспортные средства. | |
3.2.16 программное воздействие:
Несанкционированное воздействие на ресурсы автоматизированной информационной
системы, осуществляемое с использованием вредоносных программ. | |
3.2.17 вредоносная программа: Программа, предназначенная для
осуществления несанкционированного доступа и (или) воздействия на информацию
или ресурсы автоматизированной информационной системы. | |
3.2.18 (компьютерный) вирус: Вредоносная программа, способная создавать
вредоносные программы и (или) свои копии. | computer virus |
3.2.19 недекларированные возможности (программного обеспечения):
Функциональные возможности программного обеспечения, не описанные в
документации. | |
3.2.20 программная закладка: Преднамеренно внесенные в
программное обеспечение функциональные объекты, которые при определенных
условиях инициируют реализацию недекларированных возможностей программного
обеспечения. | malicious logic |
Примечание
- Программная закладка может быть реализована в виде вредоносной программы
или программного кода. | |
3.3 Меры технической защиты информации
3.3.1 техническая защита информации; ТЗИ: Обеспечение защиты
некриптографическими методами информации, содержащей сведения, составляющие государственную
тайну, иной информации с ограниченным доступом, предотвращение ее утечки по
техническим каналам, несанкционированного доступа к ней, специальных
воздействий на информацию и носители информации в целях ее добывания,
уничтожения, искажения и блокирования доступа к ней на территории Российской
Федерации [1]. | technical information
protection |
Примечание
- Техническая защита информации при применении информационных технологий
осуществляется в процессах сбора, обработки, передачи, хранения,
распространения информации с целью обеспечения ее безопасности на объектах
информатизации. | |
3.3.2 политика безопасности (информации в
организации): Одно или несколько правил, процедур, практических приемов или
руководящих принципов в области безопасности информации, которыми
руководствуется организация в своей деятельности. | organizational security policy |
3.3.3 профиль защиты: Совокупность типовых требований по
обеспечению безопасности информации, которые должны быть реализованы в
защищаемой автоматизированной информационной системе. | protection profile |
Примечание
- Профиль защиты может разрабатываться для автоматизированной информационной
системы, средства вычислительной техники, а также их технических и
программных средств. | |
3.3.4 аудит безопасности (информации):
Совокупность действий по независимой проверке и изучению документации
автоматизированной информационной системы, а также по испытаниям средств
защиты информации, направленная на обеспечение выполнения установленной
политики безопасности информации и правил эксплуатации автоматизированной
информационной системы, на выявление уязвимостей автоматизированной
информационной системы и на выработку рекомендаций по устранению выявленных
недостатков в средствах защиты информации, политике безопасности информации и
правилах эксплуатации автоматизированной информационной системы. | security audit |
Примечание
- Аудит безопасности может осуществляться независимой организацией (третьей
стороной) по договору с проверяемой организацией (внешний аудит), а также
подразделением или должностным лицом организации (внутренний аудит). | |
3.3.5 аудит безопасности автоматизированной
информационнойсистемы: Проверка реализованных в
автоматизированной информационной системе процедур обеспечения безопасности с
целью оценки их эффективности и корректности, а также разработки предложений
по их совершенствованию. | computer-system audit |
3.3.6 мониторинг безопасности информации (при применении
информационных технологий): Процедуры регулярного наблюдения за процессом
обеспечения безопасности информации при применении информационных технологий. | IT security monitoring |
3.3.7 правила разграничения доступа(в автоматизированнойинформационной системе): Правила, регламентирующие условия доступа
субъектов доступа к объектам доступа в автоматизированной информационной
системе. | |
3.3.8 аутентификация (субъекта доступа): Действия по проверке
подлинности субъекта доступа в автоматизированной информационной системе. | authentication |
3.3.9 идентификация: Действия по присвоению субъектам и объектам
доступа идентификаторов и (или) по сравнению предъявляемого идентификатора с
перечнем присвоенных идентификаторов. | identification |
Алфавитный указатель терминов
Администратор
04.10.2013
