bannerbanner
Информационная безопасность. Национальные стандарты Российской Федерации
Информационная безопасность. Национальные стандарты Российской Федерации

Полная версия

Настройки чтения
Размер шрифта
Высота строк
Поля
На страницу:
3 из 4

8. ГОСТ Р 52069.0–2013 «Защита информации. Система стандартов. Основные положения».

1.4.2. Основные термины в сфере защиты информации

Практически в каждом стандарте дается описание терминов в соответствующей предметной области. Описанию основных общих терминов в области защиты информации посвящен ряд специальных рекомендаций по стандартизации и национальных стандартов. Эти документы относятся к основополагающим в области защиты информации.

Р 50.1.053–2005 «Рекомендации по стандартизации. Информационные технологии. Основные термины и определения в области технической защиты информации».

Р 50.1.056–2005 «Рекомендации по стандартизации. Техническая защита информации. Основные термины и определения».

ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения».

ГОСТ Р 53114–2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения».

Указанные документы устанавливают основные термины и определения понятий в области защиты информации. Приведенные трактовки терминов рекомендуется использовать в правовой, нормативной, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

Следует отметить, что трактовка одних и тех же терминов в разных документах иногда различается. Более того, в нормативно-правовых документах последних лет, в том числе и в Федеральных законах, даются несколько другие трактовки терминов по сравнению с приведенными в ранее принятых стандартах. Кроме того, некоторые различия имеются и в определениях, приведенных в национальных и международных стандартах в области защиты информации. Как указано в ГОСТ Р 50922, приведенные в национальных документах термины можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия. Изменения не должны нарушать объем и содержание понятий, определенных в стандартах.

Описание терминов, описывающих конкретные предметные области, даны в соответствующих разделах данного учебного пособия, где описаны конкретные стандарты. Ниже приведены основные термины с соответствующими определениями, относящиеся к общим проблемам защиты информации.

Атака «отказ в обслуживании» – сетевая атака, приводящая к блокированию информационных процессов в автоматизированной системе.

Атака компьютерная – целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств.

Аутентификация (субъекта доступа) – действия по проверке подлинности субъекта доступа в автоматизированной информационной системе.

Аудит безопасности автоматизированной информационной системы – проверка реализованных в автоматизированной информационной системе процедур обеспечения безопасности с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию.

Аудит информационной безопасности организации – систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению ИБ и установлению степени выполнения в организации критериев ИБ.

Аттестация АС в защищенном исполнении – процесс комплексной проверки выполнения заданных функций АС по обработке защищаемой информации на соответствие требованиям стандартов и/или нормативных документов в области защиты информации и оформления документов о ее соответствии выполнению функции по обработке защищаемой информации на конкретном объекте информатизации.

Аттестация объекта информатизации – деятельность по установлению соответствия комплекса организационно-технических мероприятий по защите объекта информатизации требованиям по безопасности информации.

Безопасность информации [данных] – состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

Безопасность информационной технологии – состояние защищенности информационной технологии, при котором обеспечиваются безопасность информации, для обработки которой она применяется, и информационная безопасность информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы – состояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность ее ресурсов.

Блокирование доступа (к информации) – прекращение или затруднение доступа к информации лиц, имеющих на это право (законных пользователей).

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа к информации и/или воздействия на информацию или ресурсы ИС.

Вредоносная программа – программа, используемая для осуществления несанкционированного доступа к информации и/или воздействия на информацию или ресурсы автоматизированной информационной системы.

Доступность (информации [ресурсов автоматизированной информационной системы]) – состояние информации [ресурсов автоматизированной информационной системы], при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно.

Защита информации (ЗИ) – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Инцидент ИБ – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

В стандарте ГОСТ Р 53114 указаны следующие виды инцидентов:

• утрата услуг, оборудования или устройств;

• системные сбои или перегрузки;

• ошибки пользователей;

• несоблюдение политики или рекомендаций по ИБ;

• нарушение физических мер защиты;

• неконтролируемые изменения систем;

• сбои программного обеспечения и технических средств;

• нарушение правил доступа.


Информационный процесс – процесс создания, сбора, обработки, накопления, хранения, поиска, распространения и использования информации.

Информационная технология – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационная сфера – совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.

Информационная безопасность организации – состояние защищенности интересов организации в условиях угроз в информационной сфере.

Идентификация – действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Конфиденциальность (информации [ресурсов автоматизированной информационной системы]) – состояние информации [ресурсов автоматизированной информационной системы], при котором доступ к ней [к ним] осуществляют только субъекты, имеющие на него право.

Криптографическая защита информации – защита информации с помощью ее криптографического преобразования.

Критически важная система информационной инфраструктуры (КСИИ) – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление или информационное обеспечение критическим объектом или процессом или используется для официального информирования общества и граждан, нарушение или прерывание функционирования которой может привести к чрезвычайной ситуации со значительными негативными последствиями.

Критический объект – объект или процесс, нарушение непрерывности функционирования которого может нанести значительный ущерб.

ПРИМЕЧАНИЕ

В Федеральном законе от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» даны следующие определения:

критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;

объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Критерий обеспечения ИБ организации – показатель, на основании которого оценивается степень достижения цели (целей) ИБ организации.

Меры обеспечения информационной безопасности – совокупность действий, направленных на разработку и/или практическое применение способов и средств обеспечения ИБ.

Мониторинг безопасности информации (при применении информационных технологий) – процедуры регулярного наблюдения за процессом обеспечения безопасности информации при применении информационных технологий.

Недекларированные возможности – функциональные возможности средств вычислительной техники и программного обеспечения, не описанные или не соответствующие описанным в документации, которые могут привести к снижению или нарушению свойств безопасности информации.

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Объект защиты информации – информация или носитель информации или информационный процесс, который необходимо защищать в соответствии с целью ЗИ.

Оценка риска – выявление угроз безопасности информации, уязвимостей информационной системы, оценка вероятностей реализации угроз с использованием уязвимостей и оценка последствий реализации угроз для информации и информационной системы, используемой для обработки этой информации.

Оценка соответствия ИБ организации установленным требованиям – деятельность, связанная с прямым или косвенным определением выполнения или невыполнения в организации установленных требований ИБ.

Оценка соответствия требованиям по ЗИ – прямое или косвенное определение степени соблюдения требований по ЗИ, предъявляемых к объекту ЗИ.

Обеспечение информационной безопасности организации – деятельность, направленная на устранение (нейтрализацию, парирование) внутренних и внешних угроз информационной безопасности организации или на минимизацию ущерба от возможной реализации таких угроз.

Организационные меры обеспечения информационной безопасности – меры обеспечения ИБ, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации.

Политика информационной безопасности (организации) – формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности.

Подотчетность (ресурсов автоматизированной информационной системы) – состояние ресурсов автоматизированной информационной системы, при котором обеспечиваются их идентификация и регистрация.

Подлинность (ресурсов автоматизированной информационной системы) – состояние ресурсов автоматизированной информационной системы, при котором обеспечивается реализация информационной технологии с использованием именно тех ресурсов, к которым субъект, имеющий на это право, обращается.

Правила разграничения доступа (в автоматизированной информационной системе) – правила, регламентирующие условия доступа субъектов доступа к объектам доступа в автоматизированной информационной системе.

Правовая защита информации – защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов, регулирующих отношения субъектов по защите информации, применение этих документов, а также надзор и контроль за их исполнением.

Программная закладка – преднамеренно внесенный в программное обеспечение функциональный объект, который при определенных условиях инициирует реализацию недекларированных возможностей программного обеспечения.

Программная закладка – скрытно внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие.

Система защиты информации – совокупность органов и/или исполнителей, используемой ими техники ЗИ, а также объектов ЗИ, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области ЗИ.

Сертификация на соответствие требованиям по безопасности информации – форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.

Средство контроля эффективности ЗИ – средство ЗИ, предназначенное или используемое для контроля эффективности ЗИ.

Средство обнаружения вторжений – программное или программно-техническое средство, которое автоматизирует процесс контроля событий, протекающих в компьютерной системе или сети, а также самостоятельно анализирует эти события в поисках признаков инцидента информационной безопасности.

Средство защиты информации – техническое, программное, программно-техническое средство, вещество и/или материал, предназначенные или используемые для защиты информации.

Сертификация средств технической защиты информации – деятельность органа по сертификации по подтверждению соответствия средств технической защиты информации требованиям технических регламентов, положениям стандартов или условиям договоров.

Техническая защита информации – защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Техническая защита информации – деятельность, направленная на обеспечение некриптографическими методами безопасности информации (данных), подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Техническое средство обеспечения информационной безопасности – оборудование, используемое для обеспечения информационной безопасности организации некриптографическими методами.

Угроза — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Угроза информационной безопасности организации – совокупность факторов и условий, создающих опасность нарушения информационной безопасности организации, вызывающую или способную вызвать негативные последствия (ущерб/вред) для организации.

Угроза (безопасности информации) – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и/или целостности информации.

Уязвимость (информационной системы) – свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Уязвимость (информационной системы) – свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации.

Уязвимость (автоматизированной информационной системы) – недостаток или слабое место в автоматизированной информационной системе, которые могут быть условием реализации угрозы безопасности обрабатываемой в ней информации.

Физическая защита информации – защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Целостность (информации [ресурсов автоматизированной информационной системы]) – состояние информации [ресурсов автоматизированной информационной системы], при котором ее [их] изменение осуществляется только преднамеренно субъектами, имеющими на него право.

Эффективность защиты информации – степень соответствия результатов защиты информации цели защиты информации.

1.4.3. Система стандартов по защите информации (ГОСТ Р 52069.0–2013)

Национальный стандарт Российской Федерации ГОСТ Р 52069.0–2013 «Защита информации. Система стандартов. Основные положения» введен в действие с 01.09.2013 г. взамен ГОСТ Р 52069.0–2003. Он устанавливает цель, задачи и структуру системы стандартов по защите (некриптографическими методами) информации, объекты и аспекты стандартизации в данной области и является основополагающим национальным стандартом Российской Федерации в области защиты информации. Положения стандарта применяются при проведении работ по стандартизации в области противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информации в ключевых системах информационной инфраструктуры.

Под системой стандартов по защите информации понимается совокупность взаимосвязанных стандартов, устанавливающих характеристики продукции, правила осуществления и характеристики процессов, выполнения работ или оказания услуг в области защиты информации.

Система стандартов по защите информации (ССЗИ) является составной частью национальной системы стандартизации Российской Федерации.

Основными задачами по формированию и развитию ССЗИ являются:

• установление основополагающих принципов построения, требований к составу и содержанию системы документов в области ЗИ;

• обеспечение единства терминологии в области ЗИ;

• упорядочение объектов и аспектов стандартизации в области ЗИ;

• обеспечение единства организационных и методических подходов к проведению работ по ЗИ;

• установление системы требований по ЗИ и методов контроля выполнения этих требований;

• установление общих технических требований к средствам ЗИ (СЗИ) и услугам по ЗИ;

• установление требований к методам и методикам испытаний и оценки качества СЗИ;

• установление требований к метрологическому, информационному и другим видам обеспечения ЗИ.


Основными объектами стандартизации ССЗИ являются:

1) ЗИ как область деятельности:

• противодействие техническим разведкам;

• техническая ЗИ;

• обеспечение безопасности информации в ключевых системах информационной инфраструктуры;


2) объекты ЗИ (промышленные объекты, объекты науки, энергетики, жизнеобеспечения, объекты органов управления, объекты информатизации, продукция);

3) угрозы безопасности информации и уязвимости объектов ЗИ;

4) организация и содержание работ по ЗИ;

5) методы (процессы, работы, технологии) ЗИ и методы контроля состояния ЗИ;

6) техника ЗИ (средства ЗИ, средства контроля эффективности ЗИ);

7) услуги по ЗИ.


Основными аспектами стандартизации в ССЗИ являются:

• термины и определения в области ЗИ;

• классификация в области ЗИ (угроз, уязвимостей, работ и услуг по ЗИ, техники ЗИ);

• требования к системе документов в области ЗИ;

• общие технические требования по ЗИ, предъявляемые к объектам;

• общие требования к организации и содержанию работ по ЗИ;

• общие технические требования к СЗИ и системе контроля эффективности ЗИ и методам их испытаний;

• методы контроля организации и эффективности ЗИ, методы измерений при проведении контроля;

• общие требования к организации, содержанию работ и результатам оказания услуг по ЗИ.


Система стандартов по защите информации включает следующие виды документов в области стандартизации по ЗИ:

• национальные стандарты Российской Федерации, в том числе ограниченного распространения, государственные военные стандарты, национальные стандарты, оформленные на основе аутентичных переводов международных стандартов;

• межгосударственные стандарты;

• правила стандартизации, нормы и рекомендации в области стандартизации;

• общероссийские классификаторы технико-экономической и социальной информации;

• стандарты организаций;

• предварительные национальные стандарты;

• международные стандарты, региональные стандарты, региональные своды правил, стандарты иностранных государств и своды правил иностранных государств, принятые на учет национальным органом Российской Федерации по стандартизации, и их надлежащим образом заверенные переводы на русский язык.


В состав документов в области стандартизации по ЗИ могут входить:

• своды правил;

• нормативно-технические документы системы общих технических требований к видам вооружения и военной техники;

• международные стандарты, региональные стандарты, региональные своды правил, стандарты иностранных государств и своды правил иностранных государств, принятые на учет национальным органом Российской Федерации по стандартизации, и их надлежащим образом заверенные переводы на русский язык.


Стандарты организаций по ЗИ разрабатываются организациями и утверждаются ими самостоятельно исходя из необходимости применения этих стандартов для целей стандартизации по ЗИ и не должны противоречить другим документам в области стандартизации по ЗИ, используемым на территории Российской Федерации.

Структура системы стандартов по ЗИ представлена на рис. 1.1.

Система стандартов по защите информации включает подсистемы стандартов в области:

• противодействия техническим разведкам;

• технической защиты информации;

• обеспечение безопасности информации в ключевых системах информационной инфраструктуры.


Рис. 1.1. Структура системы стандартов по ЗИ


В каждой области подсистемы стандартов ССЗИ включают следующие комплексы стандартов:

• комплекс общесистемных стандартов по ЗИ (общие требования по ЗИ в различных областях деятельности, терминология в области ЗИ);

• комплексы стандартов по ЗИ для различных классов объектов (общие требования к объекту защиты, классификация угроз и уязвимостей, требования к методам защиты и контроля эффективности защиты);

• комплексы стандартов по технике ЗИ (требования к системе защиты и контроля эффективности защиты);

• комплекс стандартов на услуги по ЗИ (требования по организации, содержанию работ, используемым методам оценки соответствия средств защиты и их эффективности, аттестации объектов информатизации по требованиям безопасности информации).

1.4.4. Факторы, воздействующие на информацию (ГОСТ Р 51275–2006)

Национальный стандарт Российской Федерации ГОСТ Р 51275–2006 «Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения» введен в действие с 01.02.2008 г. взамен ранее принятого стандарта ГОСТ Р 51275–99.

Стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации и требований по защите информации на объекте информатизации.

Стандарт вводит ряд понятий, в частности:

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Система обработки информации – совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, необходимых для выполнения автоматизированной обработки информации.

На страницу:
3 из 4