суббота, 11 июля 2009 г.

Терминология \ Международные стандарты и ГОСТы на их основе

Часто при разработке очередного документа нужно найти определение того или иного термина. Иногда это не так просто и на поиски уходит значительное время... Чтобы избежать этого, в разделе Терминология буду выкладывать определения терминов различных российских и международных документов, касающихся информационной безопасности. Содержимое постов этого раздела будет периодически обновляться.
Итак, начнем с международных стандартов.


Административное управление ключом - генерация, сохранение, распределение, удаление, каталогизирование и применение ключей в соответствии со стратегией защиты. (ГОСТ 7498-2)

Актив (asset) - Все, что имеет ценность для организации. (ГОСТ 13335-1)

Активация плана обеспечения непрерывности бизнеса - объявление о необходимости приведения плана обеспечения непрерывности бизнеса организации в исполнение с целью продолжения предоставления основных продуктов или услуг (BS 25999-1)

Активная угроза - угроза преднамеренного несанкционированного изменения состояния системы. Примерами активных угроз, относящихся к защите информации, могут служить модификация сообщений, дублирование сообщений, вставка ложных сообщений, маскирование какого-либо логического объекта под санкционированный логический объект и отклонение услуги. (ГОСТ 7498-2)

Анализ воздействия на бизнес - процесс анализа бизнес-функций и воздействия, которое может на них оказать нарушение нормального хода бизнеса. (BS 25999-1)

Анализ затрат и преимуществ - финансовый метод, позволяющий оценить затраты, связанные с реализацией определенного решения, и сравнить их с преимуществами, обеспечиваемыми этим решением. (BS 25999-2)

Анализ издержек и прибылей - финансовый метод, позволяющий оценить издержки, связанные с реализацией определенного решения, и сравнить их с прибылью, обеспечиваемой этим решением. (BS 25999-1)

Анализ процедур защиты - независимый просмотр и анализ системных записей и актив-ностей с целью проверки их адекватности системным управляющим функциям для обеспечения соответствия с принятой стратегией защиты и операционными процедурами, обнаружения пробелов в защите и выдачи рекомендаций по любым указанным изменениям в управлении, стратегии и процедурах. (ГОСТ 7498-2)

Анализ риска - систематическое использование информации для идентификации источников и оценки величины риска. Информация может включать в себя исторические данные, теоретический анализ, компетентные мнения и интересы владельцев бизнеса. (ГОСТ 51897)

Анализ риска (risk analysis) - Систематический процесс определения величины риска. (ГОСТ 13335-1)

Анализ трафика - заключение о состоянии информации на основе наблюдения за потоками трафика (наличие, отсутствие, объем, направление и частота). (ГОСТ 7498-2)

Аудит - систематическая проверка на предмет соответствия деятельности и ее результатов запланированным мерам, а также эффективности осуществления таких мер и их уместности для реализации политики и целей организации (ГОСТ 9000)

Аутентификация - см. аутентификация отправителя данных и равноправного логического объекта. (ГОСТ 7498-2)

Аутентификация (authentication) - Обеспечение однозначного соответствия заявленного идентификатора объекту. (ISO 10181-2)

Аутентификация отправителя данных - подтверждение того, что отправитель полученных данных соответствует заявленному. (ГОСТ 7498-2)

Аутентификация равноправного логического объекта - подтверждение того, что равноправный логический объект в какой-либо ассоциации является заявленным логическим объектом. (ГОСТ 7498-2)

Аутентичность (authenticity) - Свойство, гарантирующее, что субъект или ресурс идентичны заявленным. (ГОСТ 13335-1)

Базис (baseline) - Описание состояния услуги или отдельных конфигурационных элементов в определенный момент времени. (ISO 20000-1)

Базовые защитные меры (baseline controls) - Минимальный набор защитных мер, установленный для системы или организации. (ГОСТ 13335-1)

Безопасность информационно-телекоммуникационных технологий (ICT security) - Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно-телекоммуникационных технологий. (ГОСТ 13335-1)

Вероятность - возможность наступления какого-либо события, которая объективно либо субъективно определена, измерена или оценена, либо описана с помощью слов (например, «редко», «маловероятно», «вероятно», «почти определенно»), показателей частоты или математической вероятности. Вероятность может быть выражена в количественной или качественной форме. (BS 25999-1)

Внутренний аудит - аудит, проводимый самой организацией или от ее имени с целью обеспечения возможности проведения анализа со стороны руководства и для других внутренних целей, в результате которого могут быть получены основания для заявления организацией о соблюдении ею соответствующих требований. (BS 25999-2)

Воздействие - оцененное последствие для конкретного случая. (BS 25999-1)

Воздействие (impact) - Результат нежелательного инцидента ИБ. (ГОСТ 13335-1)

Выгода - положительное последствие. (BS 25999-1)

Высшее руководство - человек или группа людей, которые руководят организацией и контролируют ее деятельность на высшем уровне. (ГОСТ 9000)

Готовность к принятию риска - общая величина риска, который организация готова принять, перенести или действию которого готова подвергнуться любой момент времени. (BS 25999-1)

Данные трассировки защиты - накопленные и готовые к использованию данные, предназначенные для детализации причины анализа процедур защиты. (ГОСТ 7498-2)

Дешифрование - процесс, обратный соответствующему обратимому процессу шифрования. (ГОСТ 7498-2)

Деятельность - один или несколько процессов, осуществляемых организацией (или от ее имени) с целью производства или поддержки одного или нескольких продуктов или услуг (BS 25999-1)

Диспетчерская служба Сервис-деск (service desk) - Группа сотрудников поставщика услуг, представляющая собой точку контакта для потребителей услуг и выполняющая основной объем работ по поддержке предоставляемых им услуг. (ISO 20000-1)

Доверительная функциональность - функционирование, которое воспринимается правильным с точки зрения некоторого критерия, например, критерия, предъявляемого посредством стратегии защиты. (ГОСТ 7498-2)

Документ (document) - Информация и соответствующий носитель. (ISO 20000-1)
Достоверность (reliability) - Свойство соответствия предусмотренному поведению и результатам. (ГОСТ 13335-1)

Доступность - свойство быть доступным и используемым по запросу со стороны уполномоченного логического объекта. (ГОСТ 7498-2)

Доступность (availability) - свойство быть доступным и используемым по запросу со стороны уполномоченного логического объекта. (ISO 7498-2)

Доступность (availability) - Способность компонента или услуги выполнять свои функции в определенный момент или в течение определенного промежутка времени. Доступность обычно выражается как отношение периода, на протяжении которого услуга была доступна для использования, к согласованному периоду предоставления услуги. (ISO 20000-1)

Жизненный цикл управления непрерывностью бизнеса - ряд направлений деятельности по обеспечению непрерывности бизнеса, в совокупности охватывающих все аспекты и стадии программы управления непрерывностью бизнеса. (BS 25999-1)

Заинтересованные стороны - лица, заинтересованные в достижении организацией ее целей. (BS 25999-1)

Запись (record) - Документ, содержащий достигнутые результаты или свидетельства выполнения какой-либо деятельности. (ISO 20000-1)

Запись об изменении (change record) - Запись, содержащая сведения о том, на какие конфигурационные элементы и каким образом утвержденное изменение оказывает влияние. (ISO 20000-1)

Заполнение трафика - генерация фиктивных сеансов обмена данными, фиктивных блоков данных и/или фиктивных данных в составе блоков данных. (ГОСТ 7498-2)

Запрос на изменение (request for change) - документ на бумажном носителе или в электронном виде, содержащий сведения о запросе на изменение любого конфигурационного элемента, связанного с услугой или инфраструктурой. (ISO 20000-1)

Защитная мера (safeguard) - Сложившаяся практика, процедура или механизм обработки риска. (ГОСТ 13335-1)

Идентификация (identification) - Процесс присвоения объекту уникального идентификатора. (ГОСТ 13335-1)

Избежание риска - принятие решения о том, чтобы не вовлекать компанию в ситуацию, связанную с риском, или о принятии мер по выходу из такой ситуации. (ГОСТ 51897)

Избирательная защита поля - защита конкретных полей внутри сообщения, подлежащего передаче. (ГОСТ 7498-2)

Информационная безопасность (ИБ) – обеспечение конфиденциальности, целостности и доступности информации; кроме того, могут также вовлекаться другие свойства, такие как подлинность, подотчетность, неотказуемость и надежность. (ISO 17799:2005)

Информационная безопасность (information security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки. (ГОСТ 13335-1)

Информация аутентификации - информация, используемая для установления подлинности запрашиваемой личности. (ГОСТ 7498-2)

Инцидент - ситуация, которая может представлять собой нарушение нормального хода бизнеса, убыток, чрезвычайную ситуацию или кризис, либо приводить к их возникновению. (BS 25999-1)

Инцидент (incident) - Любое событие, которое не является частью стандартного функционирования услуги и которое приводит или может привести к остановке в предоставлении этой услуги или к снижению её качества. (ISO 20000-1)

Инцидент ИБ - одно или серия нежелательных или неожиданных событий ИБ, имеющих значительную вероятность нарушения бизнес-операций или представляющих угрозу для ИБ. (ГОСТ 18044)

Инцидент ИБ (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или ИБ. Инцидентами ИБ являются:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политик или рекомендаций;
- нарушение физических мер защиты;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа. (ГОСТ 13335-1)

Канал - маршрут передачи информации. (ГОСТ 7498-2)

Ключ - последовательность символов, управляющая операциями шифрования и дешифрования. (ГОСТ 7498-2)

Контроль (control): - см. «Защитная мера». (ГОСТ 13335-1)

Контроль риска - действия, реализующие решения по управлению риском. Контроль риска может включать в себя мониторинг, повторное оценивание и исполнение принятых решений. (ГОСТ 51897)

Конфигурационная база данных (configuration management database) - База данных, которая содержит все соответствующие потребностям реализации процессов управления услугами сведения по каждому конфигурационному элементу и сведения о важных взаимосвязях между ними. (ISO 20000-1)

Конфигурационный элемент (configuration item) - Компонент инфраструктуры или элемент, который находится или будет находиться под контролем процесса управления конфигурациями. (ISO 20000-1)

Конфиденциальность - свойство, позволяющее не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам. (ГОСТ 7498-2)

Конфиденциальность (confidentiality) - свойство, позволяющее не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам. (ISO 7498-2)

Конфиденциальность потока трафика - услуга конфиденциальности, предназначенная для защиты от анализа трафика. (ГОСТ 7498-2)

Криптоанализ - анализ криптографической системы и/или ее входов и выходов с целью получения конфиденциальных переменных и/или чувствительных данных, включая открытый текст. (ГОСТ 7498-2)

Криптографическое контрольное значение - информация, получаемая в результате выполнения криптографического преобразования (см. криптография) блока данных. (ГОСТ 7498-2)

Криптография - дисциплина, охватывающая принципы, средства и методы преобразования данных для сокрытия их информационного содержимого, предотвращения их необнаруживаемой модификации и/или их несанкционированного использования. Криптография устанавливает методы, используемые при шифровании и дешифровании. Любое вторжение в криптографические принципы, средства или методы, представляет собой криптоанализ. (ГОСТ 7498-2)

Критерии риска - показатели, при помощи которых оценивается значимость риска. Критерии риска могут включать в себя связанные с ним расходы и извлекаемые выгоды, требования законодательства и нормативной базы, социально-экономические аспекты и аспекты, связанные с окружающей средой, интересы владельцев бизнеса, приоритеты и другие входные данные для оценки. (ГОСТ 51897)

Критически важные виды деятельности - виды деятельности, которые необходимо осуществлять для предоставления основных продуктов и услуг, которые позволяют организации достигать наиболее важные цели, зависящие от соблюдения сроков. (BS 25999-1)

Максимально допустимая продолжительность нарушения нормального хода деятельности - период, по истечении которого, жизнеспособность организации может быть безвозвратно утрачена, если предоставление продукта или услуги не будет возобновлено. (BS 25999-1)

Маскирование - стремление какого-либо логического объекта выглядеть в виде другого логического объекта. (ГОСТ 7498-2)

Межконцевое шифрование - шифрование данных внутри или на стороне отправителя оконечной системы с соответствующим дешифрованием, выполняемое только внутри или на стороне получателя оконечной системы. (См. также позвенное шифрование.) (ГОСТ 7498-2)

Менеджмент риска (risk management) - Полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий. (ГОСТ 13335-1)

Метка защиты - граничная метка, присваиваемая какому-либо ресурсу (в качестве которого может служить блок данных), которая именует или обозначает атрибуты защиты этого ресурса. (ГОСТ 7498-2)

Нарушение нормального хода деятельности - предвиденное (например, забастовка или ураган) или непредвиденное (например, прекращение подачи электроэнергии или землетрясение) событие, которое влечет за собой незапланированное нарушение от сроков предоставления продуктов или услуг, установленных в соответствии с целями организации. (BS 25999-1)

Неотказуемость (non-repudiation) - Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты. (ISO 7498-2)

Непрерывность бизнеса - стратегическая и тактическая способность организации планировать свои действия и реагировать на инциденты и нарушения нормального хода бизнеса с целью продолжения хозяйственных операций на определенном приемлемом уровне (BS 25999-1)

Нотаризация - регистрация данных доверенным третьим лицом, которое обеспечивает последующее подтверждение правильности их характеристик, таких как содержимое, отправитель, время и получатель. (ГОСТ 7498-2)

Обмен аутентификацией - механизм, предназначенный для подтверждения подлинности какого-либо логического объекта путем обмена информацией. (ГОСТ 7498-2)

Обнаружение манипуляции - механизм, используемый для обнаружения возможной модификации блока данных (случайной или преднамеренной). (ГОСТ 7498-2)

Обработка риска - процесс выбора и реализации мер по модификации риска. Меры по обработке риска могут включать в себя избежание, оптимизацию, передачу или сохранение риска. (ГОСТ 51897)

Обработка риска (risk treatment) - Процесс выбора и осуществления мер по модификации риска. (ГОСТ 13335-1)

Организация - группа людей и производственных мощностей, имеющая определенное устройство в виде системы обязанностей, полномочий и взаимоотношений. (ГОСТ 9000)

Остаточный риск (residual risk): Риск, остающийся после его обработки. (ГОСТ 13335-1)

Отклонение услуги - предотвращение санкционированного доступа к ресурсам или задержка операций, критичных ко времени. (ГОСТ 7498-2)

Открытый текст - смысловые данные, семантическое содержимое которых доступно. (ГОСТ 7498-2)

Оценивание риска - процесс сравнения оценочной величины риска с установленным критерием риска с целью определения уровня значимости риска. (ГОСТ 51897)

Оценка риска - общий процесс анализа и оценивания риска. (ГОСТ 51897)

Оценка риска - общий процесс идентификации, анализа и оценивания риска. (BS 25999-1)

Оценка риска (risk assessment) - Процесс, объединяющий идентификацию риска, анализ риска и оценивание риска. (ГОСТ 13335-1)

Пароль - конфиденциальная информация аутентификации, обычно состоящая из строки знаков. (ГОСТ 7498-2)

Пассивная угроза - угроза несанкционированного раскрытия информации без изменения состояния системы. (ГОСТ 7498-2)

Передача риска - разделение с другой стороной тяжести потери или извлекаемых выгод, связанных с риском. Передача риска может осуществляться путем заключения договоров страхования или других договоров. Передача риска может порождать другие риски или модифицировать существующий риск. (ГОСТ 51897)

Персонал по управлению непрерывностью бизнеса - лица, наделенные обязанностями, определенными в СУНБ; лица, отвечающие за политику УНБ и ее реализацию; лица, осуществляющие внедрение и сопровождение СУНБ; лица, применяющие или активизирующие планы обеспечения непрерывности бизнеса и управления инцидентами; а также лица, наделенные полномочиями на период инцидента. (BS 25999-2)

План обеспечения непрерывности бизнеса (ПОНБ) - совокупность документированных процедур и информации, которая разработана, собрана и готова к использованию на случай инцидента с целью обеспечения возможности продолжения организацией критически важных видов деятельности на определенном приемлемом уровне. (BS 25999-1)

План управления инцидентами (ПУИ) - четко определенный и документально оформленный план действий, который используется в случае инцидента и, как правило, охватывает ключевой персонал, ресурсы, услуги и действия, необходимые для реализации процесса управления инцидентом. (BS 25999-2)

Планирование мероприятий на случай чрезвычайных ситуаций - разработка и поддержание согласованных процедур по предупреждению, уменьшению масштабов, контролю, смягчению последствий и принятию других мер в случае наступления гражданской чрезвычайной ситуации. (BS 25999-1)

Подотчетность (accountability) - Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта. (ГОСТ 7498-2).

Позвенное шифрование - индивидуальное прикладное применение шифрования к данным на каждом звене системы обмена данных. Позвенное шифрование подразумевает, что данные, передаваемые через логический объект ретранслятора, должны иметь формат открытого текста. (ГОСТ 7498-2)

Политика безопасности информационно-телекоммуникационных технологий (ICТ security policy) - Правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию. (ГОСТ 13335-1)

Полномочие - предоставление прав, гарантирующих доступ к ресурсам в соответствии с правами на доступ. (ГОСТ 7498-2)

Положение о применимости – документ, описывающий цели управления и средства управления, которые признаны значимыми и применимыми к СУИБ организации. Цели управления и средства управления основываются на результатах и выводах, полученных из процессов оценки рисков и обработки рисков, правовых и нормативных требованиях, договорных обязательствах и бизнес-требованиях организации к ИБ. (ГОСТ 27001)

Последствие - результат инцидента, который может повлиять на достижение целей организации. Последствие может быть определенным или неопределенным и может оказывать положительное или отрицательное влияние на достижение целей. (BS 25999-1)

Поставщик услуг (service provider) - Организация, поставившая перед собой цель соответствовать требованиям ISO 20000. В некоторых случаях поставщиком услуг может являться внутреннее подразделение организации, например, департамент ИТ. (ISO 20000-1)

Принятие риска - решение о принятии риска (ГОСТ 51897)

Проблема (problem) - Неизвестная корневая причина одного или нескольких инцидентов. (ISO 20000-1)

Программа управления непрерывностью бизнеса - непрерывный процесс управления, осуществляемый при поддержке высшего руководства и надлежащим образом обеспечиваемый ресурсами с целью принятия необходимых мер по выявлению последствий потенциальных потерь, поддержанию жизнеспособности стратегий и планов по восстановлению бизнеса и обеспечению непрерывности производства продуктов и предоставления услуг посредством проведения обучения, учений, поддержания и анализа. (BS 25999-1)

Продукты и услуги - полезные результаты деятельности, предоставляемые организацией ее клиентам, получателям и заинтересованным сторонам, например, готовые изделия, страхование автомобилей, соблюдение нормативных требований. (BS 25999-1)

Процесс - ряд взаимосвязанных или взаимодействующих видов деятельности, с помощью которых ресурсы преобразуются в результаты. (ГОСТ 9000)

Реагирование в рамках управления непрерывностью бизнеса - элемент УНБ, связанный с разработкой и реализацией надлежащих планов и мероприятий, направленных на обеспечение непрерывности критически важных видов деятельности, а также управление инцидентами. (BS 25999-2)

Рекомендации (guidelines) - Описание, поясняющее действия и способы их выполнения, необходимые для достижения установленных целей. (ГОСТ 13335-1)

Релиз (release) - Совокупность новых и/или изменённых конфигурационных элементов, которые проходят совместное тестирование и внедрение в рабочую среду. (ISO 20000-1)

Ресурсы - все активы, человеческие ресурсы, навыки, информация, технологии (включая технику и оборудование), помещения, товарно-материальные ценности и информация (в электронном или ином виде), которыми должна располагать организация для использования по мере необходимости с целью осуществления деятельности и достижения своих целей. (BS 25999-2)

Риск - комбинация вероятности события и его последствий. (ГОСТ 51897)

Риск - событие, которое может произойти, и воздействие(я), которое оно может оказать на достижение целей. (BS 25999-1)

Риск (risk) - Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов. Определяется как сочетание вероятности события и его последствий. (ГОСТ 13335-1)

Самоотказ - самоотрицание одного из логических объектов, участвующих в обмене данными, полного или частичного своего участия в этом обмене. (ГОСТ 7498-2)

Система - набор взаимосвязанных или взаимодействующих элементов (ГОСТ 9000)

Система управления - система, направленная на определение политики и целей, а также на достижение этих целей (ГОСТ 9000)

Система управления ИБ (СУИБ) – часть общей системы управления, основанная на оценке бизнес-рисков и предназначенная для разработки, реализации, эксплуатации, мониторинга, анализа, сопровождения и совершенствования ИБ. Система управления включает в себя организационную структуру, политики, разработку планов, распределение ответственности, инструкции, процедуры, процессы и ресурсы. (ГОСТ 27001)
Система управления непрерывностью бизнеса (СУНБ) - часть общей системы управления, направленная на создание, внедрение, эксплуатацию, мониторинг, анализ, сопровождение и совершенствование непрерывности бизнеса. Система управления включает организационную структуру, политики, планирование, обязанности, процедуры, процессы и ресурсы. (BS 25999-2)

Система управления рисками - набор элементов системы управления компанией, предназначенных для управления рисками. Элементы системы управления могут включать в себя стратегическое планирование, принятие решений и другие процессы, имеющие дело с рисками. (ГОСТ 51897)

Собственность - право отдельных лиц контролировать или влиять на сбор и хранение относящейся к ним информации и на определение тех, кем и для кого может быть раскрыта эта информация. (ГОСТ 7498-2)

Событие ИБ - идентифицированное состояние системы, сервиса или сети, свидетельствующее о возможном нарушении политики безопасности или отсутствии механизмов защиты, либо прежде неизвестная ситуация, которая может иметь отношение к безопасности. (ГОСТ 18044)

Соглашение об уровнях обслуживания (service level agreement, SLA) - Письменное соглашение между поставщиком и потребителем, в котором задокументированы услуги и согласованные уровни обслуживания. (ISO 20000-1)

Сообщение о риске - обмен или совместное использование информации о риске между лицом, принимающим решение и другими владельцами бизнеса (ГОСТ 51897)

Список управления доступом - список логических объектов, имеющих разрешение на доступ к ресурсу, вместе с перечнем их прав на доступ. (ГОСТ 7498-2)

Способность к восстановлению - способность организации противостоять воздействию со стороны инцидента. (BS 25999-1)

Средство(а) обработки информации (information processing facility(ies)) - Любая система обработки информации, сервис или инфраструктура, или их физические места размещения. (ГОСТ 13335-1)

Стратегия защиты - набор критериев для обеспечения услуг защиты (см. также «стратегия защиты, основанная на идентификации» и «стратегия защиты, основанная на правилах»). (ГОСТ 7498-2)

Стратегия защиты, основанная на идентификации - стратегия защиты информации, основанная на идентификаторах и/или атрибутах пользователей, группы пользователей или логических объектов, действующих от имени пользователей и доступных им ресурсов/логических объектов. (ГОСТ 7498-2)

Стратегия защиты, основанная на правилах - стратегия защиты, основанная на общих правилах, предъявляемых ко всем пользователям. Эти правила обычно основываются на сравнении чувствительности доступных ресурсов и обладании отдельными пользователями, группами пользователей или логическими объектами, действующими от имени пользователей, соответствующими атрибутами. (ГОСТ 7498-2)

Стратегия обеспечения непрерывности бизнеса - применяемый организацией подход, гарантирующий восстановление и продолжение ее деятельности в условиях катастрофы или другого серьезного инцидента, либо при нарушении нормального хода бизнеса. (BS 25999-1)

Убыток - негативное последствие (BS 25999-1)

Угроза - потенциальная возможность нарушения защиты. (ГОСТ 7498-2)

Угроза (threat) - Потенциальная причина инцидента, который может нанести ущерб системе или организации. (ГОСТ 13335-1)

Удостоверение личности - данные, передаваемые для установления заявленной подлинности логического объекта. (ГОСТ 7498-2)

Уменьшение риска - действия, предпринимаемые с целью снижения вероятности или негативных последствий, связанных с риском, или того и другого. (ГОСТ 51897)

Управление доступом - предотвращение несанкционированного использования какого-либо ресурса, включая предотвращение использования ресурса неполномочным способом. (ГОСТ 7498-2)

Управление маршрутизацией - применение правил в процессе маршрутизации по выбору или исключению конкретных сетей, звеньев данных или ретрансляторов. ((ГОСТ 7498-2))

Управление непрерывностью бизнеса (УНБ) - целостный процесс управления, в ходе которого выявляются потенциальные угрозы для организации и определяются возможные последствия для хозяйственных операций в случае осуществления этих угроз, а также создается основа обеспечения способности организации восстанавливаться и эффективно реагировать на инциденты, что гарантирует соблюдение интересов основных заинтересованных сторон, сохранение репутации, брэнда и деятельности по созданию добавленной стоимости. УНБ включает управление восстановлением и продолжением хозяйственной деятельности в случае нарушения нормального хода бизнеса, а также управление общей программой посредством проведения обучения, учений и анализа с целью поддержания плана(ов) обеспечения непрерывности бизнеса на современном и актуальном уровне. (BS 25999-1)

Управление рисками - структурированная разработка и применение культуры, политики, процедур и методов управления для решения задач по идентификации, анализу, оцениванию и контролю рисков. (BS 25999-1)

Управление риском - скоординированные действия по управлению и контролю организации в отношении риска. Управление риском обычно включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске. (ГОСТ 51897)

Управление услугами (service management) - Деятельность поставщика услуг по управлению услугами, направленная на выполнение требований бизнеса их потребителей. (ISO 20000-1)

Услуга защиты - услуга, предоставляемая каким-либо уровнем взаимосвязанных открытых систем, которая обеспечивает адекватную защиту систем или процедур передачи данных. (ГОСТ 7498-2)

Учение - деятельность, в ходе которой полностью или частично отрабатываются действия в соответствии с планом (планами) обеспечения непрерывности бизнеса, чтобы гарантировать, что план(ы) содержит(ат) нужную информацию и, при их вводе в действие, позволяют получить желаемый результат. (BS 25999-1)

Учетность - свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта. (ГОСТ 7498-2)

Уязвимость (vulnerability) - Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами. (ГОСТ 13335-1)

Физическая защита - средства, используемые для обеспечения физической защиты ресурсов от преднамеренной или случайной угрозы. (ГОСТ 7498-2)

Функциональная возможность - маркер, используемый в качестве идентификатора какого-либо ресурса, овладение которым дает право на доступ к данному ресурсу. (ГОСТ 7498-2)

Целевой срок восстановления - целевой срок, установленный для:
- возобновления предоставления продуктов или услуг после инцидента; или
- возобновления деятельности после инцидента; или
- восстановления ИТ системы или приложения после инцидента.

Целостность (integrity) - Свойство сохранения правильности и полноты активов. (ГОСТ 13335-1)

Целостность данных - способность данных не подвергаться изменению или аннулированию в результате несанкционированного доступа. (ГОСТ 7498-2)

Цифровая подпись - дополнительные данные или криптографическое преобразование (см. криптография) какого-либо блока данных, позволяющие получателю блока данных убедиться в подлинности отправителя и целостности блока данных и защитить его от искажения с помощью, например, средств получателя. (ГОСТ 7498-2)

Чувствительность - характеристика ресурса, которая определяет его ценность или важность и может учитывать его уязвимость. (ГОСТ 7498-2)

Шифрование - криптографическое преобразование данных (см. криптография) для получения шифротекста. (ГОСТ 7498-2)

Шифротекст - данные, получаемые в результате использования шифрования. Семантическое содержимое полученных в результате шифрования данных недоступно. (ГОСТ 7498-2)

Комментариев нет: