Что значит обеспечить защиту информации

Обновлено: 04.07.2024

Разработка таких систем включает в себя проработку всех правовых аспектов, организационные мероприятия, а также работы по программному и техническому оснащению. Главное - все факторы должны быть интегрированы между собой. Сегодняшний уровень технологий исключает игнорирование, хотя бы одной составляющей.

Современные предприятия государственного уровня, а также крупные коммерческие структуры имеют индивидуальные требования по мероприятиям, нацеленным на сохранность данных.

Нельзя говорить об обеспечении защиты информации на должном уровне, если функционал информационной безопасности не был заложен в ИС ещё на стадии проектирования и выбора используемых компонентов.

Общий подход к информационной безопасности

Три основных принципа, которым должна соответствовать ИБ – конфиденциальность, целостность, доступность. Рассмотрим их чуть подробнее.

— Принцип конфиденциальности: обеспечивает возможность получения информации только легитимным пользователям (процессам).

— Принцип целостности: информация в системе должна быть актуальной, правильной и полной.

— Принцип доступности: говорит нам о том, что информация должна быть доступна только для легитимных пользователей (процессов) в установленное время.

Если все условия (принципы) соблюдаются, систему можно считать защищенной. Оговоримся сразу, полностью защищенной информации не существует. Чем ценнее данные, тем больше ресурсов на их защиту расходуется, естественно до тех пор, пока это целесообразно, прежде всего, экономически или с точки зрения сохранности тайны.

Факторы угроз

Так от кого мы ее защищаем? Очевидно, что если есть легитимные (авторизованные) пользователи, то есть и не легитимные (неавторизованные).

Вот они и представляют опасность или угрозу. Угрозы бывают внутренние и внешние.

Для того, что бы данные защитить, соблюдая основные принципы защиты информации - создаются модели угроз, как внешних, так и внутренних. Отметим, что правильней всего это делать на этапе проектирования. Но для действующих объектов, это тоже крайне полезно.

Исходя из моделей угроз, собственно, выстраивается подход к защите от этих угроз.

Что касается внутренних угроз, то здесь все немного сложнее. По оценкам специалистов компании IBM, основной объем похищенных данных в мире 75%-85%, приходится на внутренние угрозы, а попросту говоря на инсайдеров.

Для борьбы с инсайдерами используется техническая защита информации.

Инсайдер, как правило, сотрудник компании, имеющий доступ к информации, которую он передает неавторизованным пользователям. Как оградить свою компанию, от злоумышленника (помимо традиционных средств – пароли, журналы администратора, контроль доступа, видеонаблюдение и т.д.)?

Решения и обеспечительные меры

По статистике до 60% компьютерных инцидентов так или иначе связаны с компрометацией рабочих мест сотрудников. Оно и понятно, ведь рабочее место – это портал, точка входа в ИС предприятия, поэтому не стоит недооценивать важность защиты рабочего компьютера.

Решение - в ограничении доступа к данным, с одной стороны, и, с другой стороны, в ограничении возможности копирования данных на внешние носители, а также жесткий контроль и системы оповещения о несанкционированных действиях.

Простым языком это означает, что сотрудник должен работать только с той информацией, к которой у него есть доступ. Не иметь на своем компьютере другой информации (вообще-то даже заставки на рабочем столе компьютера должны проходить модерацию). Должно быть жесткое отсечение возможности скачивания данных, с которыми он работает, на флешку или другой носитель. То есть, компьютер не должен иметь возможности подключения внешних устройств.

Ограничение доступа к данным для обеспечения информационной безопасности

В идеале, рабочая станция сотрудника должна обладать всеми функциями предотвращающими злоумышленные действия, а предприятие не рассчитывать на человеческие качества. Такая система обеспечивает замкнутую программную среду для каждого пользователя. Это означает, что пользователь видит и может запускать только разрешенные приложения.

Современные отечественные программно-аппаратные комплексы (ПАК) на тонких клиентах ТОНК, успешно реализовали готовые решения, включающие весь необходимый арсенал технических средств и, предлагающие на выбор предустановленные ОС (в том числе, имеющие сертификаты ФСТЭК, ФСБ, Генерального штаба Вооруженных сил РФ, Минобороны), расширенное антивирусное программное обеспечение.

АПК ТОНК рассчитаны на предотвращение практически всех моделей угроз, как внешних, так и внутренних. Удобный функционал позволяет сотрудникам выполнять абсолютно все задачи без риска для информационных систем.

Подтверждение легитимности пользователя достигается средствами двухфакторной аутентификации по смарт-карте или токену. Работа в доверенной среде обеспечивается программными и аппартаными средствами доверенной загрузки ПО, а также контролем физической целостности устройства (датчик вскрытия корпуса).

С помощью этих инструментов формируется доверенная информационная среда, которая надежно обеспечивает безопасность сохранности данных.

Внедряя на предприятии информационные системы на базе АПК ТОНК, решаются задачи не только по информационной безопасности, но и выполняется соответствие программе импортозамещения и требованиям Российского законодательства.

Защитой данных занимается информационная безопасность. Разобрались, что это и какие именно данные она защищает.

Что такое информационная безопасность

Информационная безопасность — это различные меры по защите информации от посторонних лиц.

Однако цифровую информацию тоже нужно защищать не только виртуально, но и физически. Антивирус не поможет, если посторонний похитит сам сервер с важными данными. Поэтому их ставят в охраняемые помещения.

За что отвечает информационная безопасность

Она отвечает за три вещи: конфиденциальность, целостность и доступность информации. В концепции информационной безопасности их называют принципами информационной безопасности.

Конфиденциальность означает, что доступ к информации есть только у того, кто имеет на это право. Например, ваш пароль от электронной почты знаете только вы, и только вы можете читать свои письма. Если кто-то узнает пароль или другим способом получит доступ в почтовый ящик, конфиденциальность будет нарушена.

Целостность означает, что информация сохраняется в полном объеме и не изменяется без ведома владельца. Например, на вашей электронной почте хранятся письма. Если злоумышленник удалит некоторые или изменит текст отдельных писем, то это нарушит целостность.

Доступность означает, что тот, кто имеет право на доступ к информации, может ее получить. Например, вы в любой момент можете войти в свою электронную почту. Если хакеры атакуют серверы, почта будет недоступна, это нарушит доступность.

Какая бывает информация и как ее защищают

Информация бывает общедоступная и конфиденциальная. К общедоступной имеет доступ любой человек, к конфиденциальной — только отдельные лица.

Может показаться, что защищать общедоступную информацию не надо. Но на общедоступную информацию не распространяется только принцип конфиденциальности — она должна оставаться целостностной и доступной. Поэтому информационная безопасность занимается и общедоступной информацией.

Главная задача информационной безопасности в IT и не только — защита конфиденциальной информации. Если доступ к ней получит посторонний, это приведет к неприятным последствиям: краже денег, потере прибыли компании, нарушению конституционных прав человека и другим неприятностям.

"Защита конфиденциальных данных — главная задача специалистов по информационной безопасности. Сама конфиденциальная информация бывает разной. Например, у оборонной компании это стратегическое расположение средств ПВО. А у ресторана — рецепт секретного соуса."

Если с общедоступной информацией все понятно, то о конфиденциальной информации стоит поговорить отдельно, так как у нее есть несколько разновидностей.

Основные виды конфиденциальной информации

Тот, кто работает с персональными данными, обязан защищать их и не передавать третьим лицам. Информация о клиентах и сотрудниках относится как раз к персональным данным.

Коммерческая тайна. Внутренняя информация о работе компании: технологиях, методах управления, клиентской базе. Если эти данные станут известны посторонним, компания может потерять прибыль.

Профессиональная тайна. Сюда относятся врачебная, нотариальная, адвокатская и другие виды тайны, относящиеся к профессиональной деятельности. С ней связано сразу несколько законов.

Служебная тайна. Информация, которая известна отдельным службам, например, налоговой или ЗАГСу. Эти данные обычно хранят государственные органы, они отвечают за их защиту и предоставляют только по запросу.

Государственная тайна. Сюда относят военные сведения, данные разведки, информацию о состоянии экономики, науки и техники государства, его внешней политики. Эти данные самые конфиденциальные — к безопасности информационных систем, в которых хранится такая информация, предъявляют самые строгие требования.

Если ваша компания хранит персональные данные, коммерческую или профессиональную тайну, то эти данные нужно защищать особым образом. Для этого необходимо ограничить доступ к ней посторонним лицам — установить уровни доступа и пароли, поставить защитное ПО, настроить шифрование.

Правовые основы защиты информации

В статье рассмотрены правовые основы защиты информации на основании 149 федерального закона и доктрины информационной безопасности с комментариями.

149-ФЗ об информации, информационных технологиях и о защите информации

Я рекомендую использовать 149-ФЗ как справочник, желательно его знать. Но не обязательно заучивать, если что к нему всегда можно вернуться.

Так вот, в 149-ФЗ определены следующие моменты.

Защита информации это принятие правовых, организационных и технических мер. Вся защита информации строится на этих трех китах.

Эти меры в комплексе направлены на:

  1. обеспечение защиты информации от неправомерного доступа, уничтожения,

модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

  1. соблюдение конфиденциальности информации ограниченного доступа;
  2. реализацию права на доступ к информации.

Когда мы работаем в сфере защиты информации, мы должны знать следующее.

Во-первых, мы должны, знать какое есть правовое обеспечение нашей деятельности.

Во-вторых, какие есть требования к нам и нашей деятельности.

В-третьих, мы должны знать, какие организационно-технические меры мы должны применять в своей деятельности (они, чаще всего, идут в комплексе).

Доктрина информационной безопасности

В доктрине указано что:

  • правовые;
  • организационно – технические;
  • экономические.

При этом нужно понимать что организационно – технические меры принимаются в едином комплексе. Они основываются на основании каких-то документах (правовых нормах) которые разрабатываются для каждой организации отдельно.

Экономические методы защиты информации это крайне размытое понятие. Тут все зависит от бюджета, который организация может (или не может) выделить на защиту информации. Ведь бывает так, что защищать информацию нужно, а денег нет.

Возникают вопросы, какими методами, как и что (самое главное) мы можем защитить? Соответственно перед любыми начинаниями нужно понимать четкие ответы на эти вопросы.

Иная нормативная документация

В своей деятельности специалист по информационной безопасности руководствуется правовыми нормами. Все утвержденные нормативно-правовые документы в области информационной безопасности подлежат обязательной публикации (за исключением секретных документов, естественно). Не опубликованные законы не применяются (согласно статье 15 части 3 Конституции РФ).

Поэтому я привожу список сайтов, на которых вы можете найти такие документы:

На самом деле их очень много.

Так же вы можете (и должны) использовать справочно-правовые информационные системы. На этом моменте я не останавливаюсь, так как с Гарантом и Консультантом обычно все умеют работать.

Основная ценность этих систем это аналитика нормативно правовых актов, а так же их актуальность.

При этом стоит вспомнить о Конституции РФ. Конституция является основным законом, которому не должны противоречить все остальные законы.

То есть сначала идет Конституция, затем идут Федеральные конституционные законы, далее Федеральные законы (самый большой пласт с которым приходится работать).

Далее по уровню идут акты Президента и Правительства РФ, нормативная документация Министерств, затем Региональная документация, Муниципальная документация и в конце внутренняя документация.

Это я к чему вспомнил? К тому, что любая документация, которую разрабатывает специалист по защите информации, не должна противоречить всем вышестоящим нормативно-правовым документам. Поэтому тут не все так просто.

Основы информационного права

Информационное право — отрасль права, совокупность правовых норм, регулирующих общественные отношения в информационной сфере.

Это может быть изобретение, торговый знак, патент и так далее. Это очень важный процесс, так как если мы хотим защищать нашу информацию, то мы должны иметь документы, которые подтвердят наше право на ту или иную информацию.

Нам нужно понимать, где и какая информация обрабатывается и на каком основании? Тесть должно быть понимание того, как все это дело работает.

Конституция РФ и защита информации

Давайте выделим статьи Конституции, которые непосредственно касаются защиты информации.

То есть, до того момента, пока у нас нет судебного решения, получать доступ к указанной выше информации мы не можем.

  1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
  2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Эту информацию нужно запомнить и руководствоваться ей в своей деятельности.

  1. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.

Базовые определения

Вернемся к 149-ФЗ. Практически в любой нормативно-правовой документации связанной с защитой информации есть ссылки на 149-ФЗ. Поэтому я выделю основные определения.

Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Тут все очень интересно. Получается, что информационные технологии это все, что позволяет обрабатывать информацию. Если мы слышим звуки, то уши это информационные технологии. Вообще организм человека это информационные технологии, между прочим (ну ведь получается так).

Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Из определения непонятно одно. Это все же свойство информации или какое-либо действие. По определение можно подгонять все что угодно.

Принципы правового регулирования отношений в сфере защиты информации

Эти принципы описываются во многих документах связанных с защитой информации.

Свобода поиска, получения, передачи, производства и распространения информации любым законным способом.

Помним, что все должно быть законно.

Если вы хотите ограничить доступ к какой-либо информации своим внутренним нормативным актом, но он противоречит федеральному закону, то у вас ничего не получиться.

Если же в федеральном законе нет данных о той информации, доступ к которой вы хотите ограничить – то флаг вам в руки и вперед.

Всегда лучше действовать строго по закону.

Открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами.

Государственные органы работают открыто, они публичные. Исключение составляет информация ограниченного доступа.

Равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации.

Основной язык это русский. Но мы можем создавать информационные системы в регионах, в которых народ знает другие языки. В этом случае информационная система должна создаваться с учетом этих языков.

Например, в ХМАО и ЯНАО в государственных учреждениях информация размещается на двух языках.

Или еще пример, на некоторых телеканалах субтитры выходят на местных языках.

Обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации.

При создании любой информационной системы мы должны ее защищать. Я имею ввиду защищать информацию в этой системе, доступ к ней.

Тут комментировать особо нечего. Идем дальше.

Неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия.

Вспоминаем согласие на обработку персональных данных. Если мы обрабатываем информацию лица, то мы должны взять согласие не обработку.

Недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

С точки зрения государственных информационных систем, при обработке информации мы должны использовать только рекомендуемые министерствами информационные технологии.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации ведет реестры:

  • организаций, осуществляющих деятельность в области информационных технологий;
  • рекомендуемого программного обеспечения.

Так же нам следует понимать следующее.

То есть мы можем продавать, распространять, использовать и арендовать информацию.

Порядок предоставления и распространения информация

В зависимости от порядка предоставления и распространения информация делится следующим образом.

Кто является обладателем информации?

По факту обладателем информации моет быть физическое или юридическое лицо. При этом данный факт должен быть закреплен в нормативно-правовой документации.

Что вправе делать обладатель информации?

Он вправе разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа.

То есть, если вы являетесь владельцем информационной системы, в которой обрабатывается информация, то вы должны не просто предоставить кому-либо доступ. Вы должны определить порядок и условия такого доступа, и только после этого выдать доступ.

Тут все предельно ясно, комментировать не буду.

Вся информация должна передаваться на каком-то законном основании. Для этого нужно знать действую законодательство в области защиты информации.

Защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами.

Собственно, этот относиться к защите своей интеллектуальной собственности.

То есть обладатель информации руководит правами доступа к этой информации.

Обязанности обладателя информации

  • соблюдать права и законные интересы иных лиц;
  • принимать меры по защите информации;
  • ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

На этом статья правовые основы защиты информации заканчивается. Задавайте ваши вопросы в комментариях.

Анатолий Бузов

Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.

ГОСТ Р 50922-2006

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Protection of information. Basic terms and definitions

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 РАЗРАБОТАН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России")

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Введение

Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

Для каждого понятия установлен один стандартизованный термин.

Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно. Цифра, заключенная в квадратные скобки, означает ссылку на документ, приведенный в структурном элементе "Библиография".

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.

Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.

Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

Стандартизованные термины набраны полужирным шрифтом, их краткие формы, представленные аббревиатурой, - светлым, а синонимы - курсивом.

Термины и определения общетехнических понятий, которые необходимы для понимания текста основной части настоящего стандарта, приведены в приложении А.

1 Область применения

Настоящий стандарт устанавливает основные термины с соответствующими определениями, применяемые при проведении работ по стандартизации в области защиты информации.

Термины, установленные настоящим стандартом, рекомендуется использовать в правовой, нормативной, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

2 Термины и определения

2.1 Общие понятия

2.1.1 защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

2.2 Термины, относящиеся к видам защиты информации

2.2.1 правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

2.2.2 техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

2.2.3 криптографическая защита информации: Защита информации с помощью ее криптографического преобразования.

2.2.4 физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

1 Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

2 К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

2.3 Термины, относящиеся к способам защиты информации

2.3.1 способ защиты информации: Порядок и правила применения определенных принципов и средств защиты информации.

2.3.2 защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.

Примечание - Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2.3.3 защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.3.4 защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.3.5 защита информации от разглашения: Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

2.3.6 защита информации от несанкционированного доступа; ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Примечание - Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

2.3.7 защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

2.3.8 защита информации от [иностранной] разведки: Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.

2.4 Термины, относящиеся к замыслу защиты информации

2.4.1 замысел защиты информации: Основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.

2.4.2 цель защиты информации: Заранее намеченный результат защиты информации.

Примечание - Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.

2.4.3 система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

2.4.4 политика безопасности (информации в организации): Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

2.4.5 безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

2.5 Термины, относящиеся к объекту защиты информации

2.5.1 объект защиты информации: Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

2.5.2 защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Примечание - Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2.5.3 носитель защищаемой информации: Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

2.5.4 защищаемый объект информатизации: Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.

2.5.5 защищаемая информационная система: Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.

2.6 Термины, относящиеся к угрозам безопасности информации

2.6.1 угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

2.6.2 фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

2.6.3 источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

2.6.4 уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

1 Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.

2 Если уязвимость соответствует угрозе, то существует риск.

2.6.5 вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.

2.6.6 несанкционированное воздействие на информацию: Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.6.7 преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

2.6.8 модель угроз (безопасности информации): Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Примечание - Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.

2.7 Термины, относящиеся к технике защиты информации

2.7.1 техника защиты информации: Средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

2.7.2 средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

2.7.3 средство контроля эффективности защиты информации: Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.

2.7.4 средство физической защиты информации: Средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации.

Читайте также: