среда, 15 июля 2009 г.

Терминология \ Российское законодательство и стандарты

Терминология из российского законодательства и стандартов.


Автоматизированная банковская система - Автоматизированная система, реализующая технологию выполнения функций организации банковской системы РФ. (ИББС-1.0)

Автоматизированная система - Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. (ИББС-1.0)

Авторизация - Предоставление прав доступа. (ИББС-1.0)

Администратор автоматизированной системы - лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы. (СТР-К)

Администратор защиты (безопасности) информации - лицо, ответственное за защиту автоматизированной системы от несанкционированного доступа к информации. (СТР-К)

Актив - Все, что имеет ценность для организации банковской системы РФ и находится в ее распоряжении. К активам организации банковской системы РФ могут относиться:
- работники (персонал), финансовые (денежные) средства, средства вычислительной техники, телекоммуникационные средства и пр.;
- различные виды банковской информации - платежная, финансово-аналитическая, служебная, управляющая и пр.;
- банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы);
- банковские продукты и услуги, предоставляемые клиентам. (ИББС-1.0)

Аудит ИБ - Систематический, независимый и документируемый процесс получения свидетельств деятельности организации банковской системы РФ по обеспечению ИБ, установления степени выполнения в организации банковской системы РФ критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения о состоянии ИБ организации банковской системы РФ. Аудит ИБ выполняется работниками организации, являющейся внешней по отношению к организации банковской системы РФ. (ИББС-1.0)

Аутентификация - Подтверждение подлинности. (ИББС-1.0)

Банковский информационный технологический процесс - Часть банковского технологического процесса, реализующая операции по изменению и (или) определению состояния информационных активов, необходимых для функционирования организации банковской системы РФ и не являющихся платежной информацией. (ИББС-1.0)

Банковский платежный технологический процесс - Часть банковского технологического процесса, реализующая банковские операции над информационными активами организации банковской системы РФ, связанные с перемещением денежных средств с одного счета на другой и (или) контролем данных операций. (ИББС-1.0)

Банковский процесс - совокупность последовательных и законченных действий по осуществлению банковских операций и сделок. (242-П)

Банковский технологический процесс - Технологический процесс, реализующий операции по изменению и (или) определению состояния активов организации банковской системы РФ, используемых при функционировании или необходимых для реализации банковских услуг. Операции над активами организации банковской системы РФ могут выполняться вручную или быть автоматизированными, например, с помощью автоматизированных банковских систем. В зависимости от вида деятельности выделяют: банковский платежный технологический процесс, банковский информационный технологический процесс и др. (ИББС-1.0)

Безопасность - Состояние защищенности интересов (целей) организации банковской системы РФ в условиях угроз. (ИББС-1.0)

Безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами. (СТР-К)

Внутренний контроль - деятельность организации, направленная на достижение Целей внутреннего контроля. (242-П)

Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых помещениях. (СТР-К)

Выводы аудита ИБ - Результат оценки собранных свидетельств аудита ИБ. (ИББС-1.0)

Двойное управление (Dual Control) – принцип сохранения целостности процесса и борьбы с искажением функций системы, требующий дублирования (алгоритмического, временного, ресурсного или иного) действий до завершения определенных транзакций. (ИББС-1.0)

Документ - Зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. (ИББС-1.0)

Документация - Совокупность взаимосвязанных документов, объединенных общей целевой направленностью. (ИББС-1.0)

Допустимый риск нарушения ИБ - Риск нарушения ИБ, предполагаемый ущерб от которого организация банковской системы РФ в данное время и в данной ситуации готова принять. (ИББС-1.0)

Доступ к информации - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации. (СТР-К)

Доступность (санкционированная доступность) информации - состояние информации, характеризуемое способностью технических средств и информационных технологий обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия. (СТР-К)

Доступность информационных активов - Свойство ИБ организации банковской системы РФ, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы. (ИББС-1.0)

Заинтересованные лица - клиенты, участники (акционеры), контрагенты, в том числе поставщики услуг (провайдеры) КО, органы государственной власти и местного самоуправления, Банк России, другие государственные органы, в пределах своей компетенции осуществляющие функции регулирования и/или надзора в отношении КО, СМИ и др. (242-П)

Заключение по результатам аудита ИБ - Качественная или количественная оценка соответствия установленным критериям аудита ИБ, представленная аудиторской группой после рассмотрения всех выводов аудита ИБ в соответствии с целями аудита ИБ. (ИББС-1.0)

Защита информации от несанкционированного доступа (защита от НСД) или воздействия - деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил. (СТР-К)

Защищаемые помещения - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.). (СТР-К)

Защитная мера - Сложившаяся практика, процедура или механизм, которые используются для уменьшения риска нарушения ИБ организации банковской системы РФ. (ИББС-1.0)

Знать своего клиента (Know your Customer) – принцип, используемый регулирующими органами для выражения отношения к финансовым организациям с точки зрения знания деятельности их клиентов. (ИББС-1.0)

Знать своего служащего (Know your Employee) – принцип, демонстрирующий озабоченность организации по поводу отношения служащих к своим обязанностям и возможных проблем, таких, как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью. (ИББС-1.0)

Идентификация - Процесс присвоения идентификатора (уникального имени); сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. (ИББС-1.0)

Информативный сигнал - электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация, передаваемая, хранимая или обрабатываемая в основных технических средствах и системах и обсуждаемая в защищаемых помещениях. (СТР-К)

Информационная безопасность - защищенность интересов (целей) организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений. (242-П)

Информационная безопасность (ИБ) - Безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ - доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей) организации банковской системы РФ. (ИББС-1.0)

Информационная инфраструктура - Система организационных структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия. (ИББС-1.0)

Информационная сфера - совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений. (ИББС-1.0)

Информационные потоки - получение и передача информации. (242-П)

Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). (СТР-К)

Информационные сети общего пользования - вычислительные (информационно-телекоммуникационные сети) открытые для пользования всем физическим и юридическим лицам, в услугах которых этим лицам не может быть отказано. (СТР-К)

Информационный актив - Информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации банковской системы РФ; находящаяся в распоряжении организации банковской системы РФ и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме. (ИББС-1.0)

Информация - Сведения (сообщения, данные) независимо от формы их представления. (ИББС-1.0)

Инфраструктура - Комплекс взаимосвязанных обслуживающих структур, составляющих основу для решения проблемы (задачи). (ИББС-1.0)

Инцидент ИБ - Событие, указывающее на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ, т.е. реализацию нарушения свойств ИБ информационных активов организации банковской системы РФ. (ИББС-1.0)

Источник угроз ИБ - случайные факторы (ошибка персонала, неправильное функционирование технических средств, природные факторы, например, пожар или наводнение), либо преднамеренные действия, приводящие к нарушению доступности, целостности или конфиденциальности информационных активов. (ИББС-1.0)

Классификация информационных активов - Разделение существующих информационных активов организации банковской системы РФ по типам, выполняемое в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ. (ИББС-1.0)

Комплекс средств автоматизации автоматизированной банковской системы - Совокупность всех компонентов автоматизированной банковской системы организации банковской системы РФ, за исключением людей. (ИББС-1.0)

Контролируемая зона - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств. (СТР-К)

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ. (СТР-К)

Конфиденциальность информационных активов - Свойство ИБ организации банковской системы РФ, состоящее в том, что обработка, хранение и передача информационных активов осуществляются таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам. (ИББС-1.0)

Критерии оценки (аудита) ИБ - Совокупность требований в области ИБ, определенных стандартом Банка России СТО БР ИББС-1.0 “Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения” или его частью. (ИББС-1.0)

Локальная вычислительная сеть - вычислительная сеть, поддерживающая в пределах ограниченной территории один или несколько высокоскоростных каналов передачи цифровой информации, предоставляемых подключаемым устройствам для кратковременного монопольного использования. (СТР-К)

Межсетевой экран - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из нее. (СТР-К)

Менеджмент - Скоординированная деятельность по руководству и управлению (ГОСТ Р ИСО 9000-2001). (ИББС-1.0)

Модель нарушителя ИБ - Описание и классификация нарушителей ИБ, включая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, возможной мотивации их действий, а также способы реализации угроз ИБ со стороны указанных нарушителей. (ИББС-1.0)

Модель угроз ИБ - Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба. (ИББС-2.2)

Модель угроз ИБ - Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба. (ИББС-1.0)

Мониторинг - Постоянное наблюдение за объектами и субъектами, влияющими на ИБ организации банковской системы РФ, а также сбор, анализ и обобщение результатов наблюдений. (ИББС-1.0)

Мониторинг системы внутреннего контроля - постоянное наблюдение за функционированием системы внутреннего контроля в целях оценки степени ее соответствия задачам деятельности организации, выявления недостатков, разработки предложений и осуществления контроля за реализацией решений по совершенствованию системы внутреннего контроля организации. (242-П)

Нарушитель ИБ - Субъект, реализующий угрозы ИБ организации банковской системы РФ, нарушая предоставленные ему полномочия по доступу к активам организации банковской системы РФ или по распоряжению ими. (ИББС-1.0)

Необходимо знать (Need to Know) – принцип, ограничивающий полномочия по доступу к информации и ресурсам по обработке информации на уровне минимально необходимых для выполнения определенных обязанностей. (ИББС-1.0)

Неплатежная информация - необходимая для функционирования организации банковской системы РФ, может включать в себя, например, данные статистической отчетности и внутрихозяйственной деятельности, аналитическую, финансовую, справочную информацию. (ИББС-1.0)

Несанкционированный доступ (несанкционированные действия) (НСД) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. (СТР-К)

Область аудита ИБ - Содержание и границы аудита ИБ. Область аудита ИБ обычно включает местонахождение, организационную структуру, виды деятельности проверяемой организации и процессы, которые подвергаются аудиту ИБ, а также охватываемый период времени. (ИББС-1.0)

Область действия Системы обеспечения ИБ - Совокупность информационных активов и элементов информационной инфраструктуры организации банковской системы РФ. (ИББС-1.0)

Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. (ТК РФ 197-ФЗ)

Обработка риска нарушения ИБ - Процесс выбора и осуществления защитных мер, снижающих риск нарушения ИБ, или мер по переносу, принятию или уходу от риска. (ИББС-1.0)

Объект среды информационного актива - Материальный объект среды использования и (или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.). (ИББС-1.0)

Объекты - аппаратные средства, программные средства, программно-аппаратные средства, информационные ресурсы, услуги, процессы, системы, над которыми выполняются действия. (ИББС-1.0)

Основные технические средства и системы - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. В контексте настоящего документа к ним относятся технические средства и системы автоматизированных систем различного уровня и назначения на базе средств вычислительной техники, средства и системы связи и передачи данных, используемые для обработки конфиденциальной информации. (СТР-К)

Осознание необходимости обеспечения ИБ, осознание ИБ - Понимание руководством организации банковской системы РФ необходимости самостоятельно на основе принятых в этой организации ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению ИБ, а также поддерживать эту деятельность адекватно прогнозу. Осознание ИБ является внутренней побудительной причиной для руководства банковской системы РФ инициировать и поддерживать деятельность по обеспечению ИБ, в отличие от побуждения или принуждения, когда решение об инициировании и поддержке деятельности по обеспечению ИБ определяется соответственно либо возникшими проблемами организации, либо внешними факторами, например, требованиями законов. (ИББС-1.0)

Остаточный риск нарушения ИБ - Риск, остающийся после обработки риска нарушения ИБ. (ИББС-1.0)

Оценка риска нарушения ИБ - Систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов организации банковской системы РФ на всех стадиях их жизненного цикла. (ИББС-1.0)

Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. (ТК РФ 197-ФЗ)

План ОНиВД - внутренний документ (комплект документов) КО, определяющий цели, задачи, порядок, способы и сроки осуществления комплекса мероприятий по предотвращению или своевременной ликвидации последствий возможного нарушения режима повседневного функционирования КО (ее подразделений), вызванного непредвиденными обстоятельствами (возникновением чрезвычайной ситуации или иным событием, наступление которого возможно, но трудно предсказуемо и связано с угрозой существенных материальных потерь или иных последствий, препятствующих выполнению организацией принятых на себя обязательств). (242-П)

План работ по обеспечению ИБ - Документ, устанавливающий перечень намеченных к выполнению работ или мероприятий по обеспечению ИБ организации банковской системы РФ, их последовательность, объем (в той или иной форме), сроки выполнения, ответственных лиц и конкретных исполнителей. (ИББС-1.0)

Платежная информация - информация, содержащаяся в документах, на основании которой совершаются операции, связанные с перемещением денежных средств с одного счета на другой. (ИББС-1.0)

Политика ИБ - Документация, определяющая высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенная для организации банковской системы РФ в целом. (ИББС-1.0)

Провайдер Сети - уполномоченная организация, выполняющая функции поставщика услуг Сети для абонентского пункта и непосредственно для абонентов Сети. (СТР-К)

Программа аудита ИБ - План деятельности по проведению одного или нескольких аудитов ИБ (и других проверок ИБ), запланированных на конкретный период времени и направленных на достижение конкретной цели. Программа аудита ИБ включает всю деятельность, необходимую для планирования, проведения, контроля, анализа и совершенствования аудитов ИБ (и других проверок ИБ). (ИББС-1.0)

Процесс - Совокупность взаимосвязанных ресурсов и деятельности, преобразующая входы в выходы. (ИББС-1.0)

Регистрация - Фиксация данных о совершенных действиях (событиях). (ИББС-1.0)

Рекомендации в области стандартизации - Документ, содержащий советы организационно-методического характера, которые касаются проведения работ по стандартизации и способствуют применению основополагающего стандарта. (ИББС-1.0)

Ресурс - Актив организации банковской системы РФ, который используется или потребляется в процессе выполнения некоторой деятельности. (ИББС-1.0)

Риск - Мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы. (ИББС-1.0)

Риск нарушения ИБ - Риск, связанный с угрозой ИБ. (ИББС-1.0)

Роль - Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом. (ИББС-1.0)

Свидетельства выполнения деятельности по обеспечению ИБ - Документ или элемент документа, содержащий достигнутые результаты (промежуточные или окончательные), относящиеся к обеспечению ИБ организации банковской системы РФ. (ИББС-1.0)

Свидетельства оценки соответствия (аудита) ИБ установленным критериям - Записи, изложение фактов или другая информация, которые имеют отношение к критериям оценки соответствия (самооценки соответствия, аудита) ИБ и могут быть проверены. Свидетельства оценки соответствия (самооценки соответствия, аудита) ИБ могут быть качественными или количественными. (ИББС-1.0)

Система - Множество (совокупность) материальных объектов (элементов) любой, в том числе различной физической природы и информационных объектов, взаимодействующих между собой для достижения общей цели, обладающее системным свойством (свойствами), т.е. свойством, которого не имеет ни один из элементов и ни одно из подмножеств элементов при любом способе членения. Системное свойство не выводимо непосредственно из свойств элементов и частей. (ИББС-1.0)

Система внутреннего контроля - совокупность системы органов и направлений внутреннего контроля, обеспечивающая соблюдение порядка осуществления и достижения целей, установленных законодательством, настоящим Положением, учредительными и внутренними документами организации. (242-П)

Система защиты информации от НСД - комплекс организационных мер и программно-технических (при необходимости криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в автоматизированной системе. (СТР-К)

Система ИБ - Совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение. (ИББС-1.0)

Система менеджмента ИБ - Часть менеджмента организации банковской системы РФ, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ. (ИББС-1.0)

Система обеспечения ИБ - Совокупность Системы ИБ и Системы менеджмента ИБ организации банковской системы РФ. (ИББС-1.0)

Система органов внутреннего контроля - определенная учредительными и внутренними документами организации совокупность органов управления, а также подразделений и служащих (ответственных сотрудников), выполняющих функции в рамках системы внутреннего контроля. (242-П)

Стандарт - Документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения. (ИББС-1.0)

Субъекты - лица из числа руководителей организации банковской системы РФ, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами. (ИББС-1.0)

Технический канал утечки информации - совокупность объекта технической разведки, физической среды и средства технической разведки, которыми добываются разведывательные данные. (СТР-К)

Технологический процесс - Процесс, реализующий некоторую технологию. (ИББС-1.0)
Технология - Совокупность взаимосвязанных методов, способов, приемов предметной деятельности. (ИББС-1.0)

Угроза - Опасность, предполагающая возможность потерь (ущерба). (ИББС-1.0)

Угроза ИБ - Угроза нарушения свойств ИБ - доступности, целостности или конфиденциальности информационных активов организации банковской системы РФ. (ИББС-1.0)

Управление банковскими рисками:
- выявление, измерение и определение приемлемого уровня банковских рисков, типичных возможностей понесения потерь и/или ухудшения ликвидности вследствие наступления неблагоприятных событий;
- постоянное наблюдение за банковскими рисками;
- принятие мер по поддержанию рисков на уровне, не угрожающем финансовой устойчивости организации и интересам ее кредиторов и вкладчиков. (242-П)

Ущерб - Утрата активов, повреждение (утрата свойств) активов и (или) инфраструктуры организации или другой вред активам и (или) инфраструктуре организации банковской системы РФ, наступивший в результате реализации угроз ИБ через уязвимости ИБ. (ИББС-1.0)

Уязвимость ИБ - Слабое место в инфраструктуре организации банковской системы РФ, включая Системы обеспечения ИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ. (ИББС-1.0)

Целостность информации - устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации. (СТР-К)

Целостность информационных активов - Свойство ИБ организации банковской системы РФ сохранять неизменность или обнаруживать факт изменения в своих информационных активах. (ИББС-1.0)

Цель внутреннего контроля - обеспечение:
- Эффективности и результативности финансово-хозяйственной деятельности, эффективности управления активами и пассивами, включая обеспечение сохранности активов, управления банковскими рисками.
- Достоверности, полноты, объективности и своевременности составления и представления отчетности, а также информационной безопасности.
- Соблюдения требований законодательства и регуляторов, а также учредительных и внутренних документов организации.
- Исключения вовлечения организации и ее служащих в осуществление противоправной деятельности. (242-П)

Частная политика ИБ - Документация, детализирующая положения политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации банковской системы РФ. (ИББС-1.0)

Чрезвычайный режим - режим, предусмотренный Планом ОНиВД. (242-П)

3 комментария:

Анонимный комментирует...

Пробовал сделать то же самое на http://securitywiki.ru/Slovar'TerminovA

Наверно следует объединить усилия и использовать единую площадку на http://wikisec.ru/index.php?title=Категория:Определения

eagle комментирует...

поддерживаю :)

eagle комментирует...

Буду рад предоставить для wikisec любые материалы из этого блога