Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение A
Терминосистемы, используемые в стандарте
(справочное)
A.1. Информационная безопасность организации банковской системы
A.1.1. Информационная безопасность организации банковской системы Российской Федерации: Состояние защищенности интересов (целей) организации БС РФ в условиях угроз в информационной сфере.
Примечания.
1. Защищенность достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации.
2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.
A.1.2. Организация: Юридическое лицо, которое имеет в собственности, хозяйственном ведении или оперативном управлении обособленное имущество и отвечает по своим обязательствам этим имуществом, может от своего имени приобретать и осуществлять имущественные и личные неимущественные права, нести обязанности, быть истцом и ответчиком в суде.
[ГОСТ Р 40.002-2000, статья 3.6]
A.1.3. Банковская система Российской Федерации: Банк России и кредитные организации, а также филиалы и представительства иностранных банков.
[Федеральный закон "О банках и банковской деятельности" от 01.12.1990 N 395-1 в редакции ФЗ от 03.02.1996 N 17-ФЗ, от 31.07.1998 N 151-ФЗ, от 05.07.1999 N 126-ФЗ, от 08.07.1999 N 136-ФЗ, от 19.06.2001 N 82-ФЗ, от 07.08.2001 N 121-ФЗ, от 21.03.2002 N 31-ФЗ, с изменениями, внесенными постановлением Конституционного Суда Российской Федерации от 23.02.1999 N 4-П]
A.1.4. Безопасность: Отсутствие недопустимого риска.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты, пункт 3.1]
A.1.5. Безопасность Российской Федерации: Состояние защищенности жизненно важных интересов личности, общества и государства.
[Закон Российской Федерации "О безопасности"]
A.1.6. Безопасность информации: Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы от внутренних или внешних угроз.
[Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения, статья 21]
A.1.7. Информационная безопасность Российской Федерации: Состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
[Доктрина информационной безопасности Российской Федерации от 09.09.2000]
A.1.8. Информация: Сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
[ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию, пункт 2.1]
A.1.9. Риск: Сочетание вероятности нанесения ущерба и тяжести этого ущерба.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты, пункт 3.2]
A.1.10. Допустимый риск: Риск, который в данной ситуации считается приемлемым для руководства.
A.1.11. Вероятность: Мера того, что событие может произойти.
Примечание.
ГОСТ Р 50799.10 дает математическое определение вероятности: "действительное число в интервале от 0 до 1, относящееся к случайному событию". Число может отражать относительную частоту в серии наблюдений или степень уверенности в том, что некоторое событие произойдет. Для высокой степени уверенности вероятность близка к единице.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения, статья 3]
A.1.12. Ущерб: Физическое повреждение или другой вред здоровью людей, имуществу (активам) или окружающей среде.
A.1.13. Управление информационной безопасностью организации банковской системы Российской Федерации: Совокупность целенаправленных действий, осуществляемых для достижения заявленных целей организации БС РФ в условиях угроз в информационной сфере.
Примечание.
Совокупность действий включает оценку ситуации и состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер (средств управления информационной безопасностью).
A.1.14. Оценка соответствия информационной безопасности организации банковской системы Российской Федерации установленным требованиям: Любая деятельность, связанная с прямым или косвенным определением того, что выполняются или не выполняются соответствующие требования информационной безопасности в организации БС РФ.
A.1.15. Аудит информационной безопасности организации банковской системы Российской Федерации: Периодический, независимый от объекта аудита и документированный процесс получения свидетельств аудита и объективной их оценки с целью определения степени выполнения в организациях БС РФ установленных требований по обеспечению информационной безопасности.
Примечания.
1. Внутренние аудиты ("аудиты первой стороной") проводятся самой организацией или от ее имени для анализа менеджмента или других внутренних целей и могут служить основанием для самодеклараций организации о соответствии требованиям по ИБ.
2. Внешние аудиты включают "аудиты второй стороной" и "аудиты третьей стороной". Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации, например, потребителями или другими лицами от их имени. Аудиты третьей стороной проводятся внешними независимыми организациями.
A.1.16. Модель зрелости процессов управления информационной безопасностью организации банковской системы Российской Федерации: Схема для измерения проработанности процессов менеджмента информационной безопасностью организации БС РФ.
A.1.17. Мониторинг информационной безопасности организации банковской системы Российской Федерации: Постоянное наблюдение за объектами, влияющими на обеспечение информационной безопасности в организации БС РФ, сбор, анализ и обобщение результатов наблюдения под заданные цели.
Примечания.
1. Объектом мониторинга в зависимости от целей могут быть автоматизированная банковская система или ее часть, банковские информационные технологические процессы, информационные банковские услуги и пр.
2. Цели мониторинга информационной безопасности определяются службой безопасности организации БС РФ.
A.1.18. Нормативный документ: Документ, устанавливающий правила, общие принципы или характеристики, касающиеся различных видов деятельности или их результатов.
Примечания.
1. Под документом следует понимать зафиксированную на материальном носителе информацию с реквизитами, позволяющими ее идентифицировать.
2. Термины, обозначающие различные виды нормативных документов, определяются в дальнейшем исходя из того, что документ и его содержание рассматриваются как единое целое.
[ГОСТ 1.1-2002. Межгосударственная система стандартизации. Термины и определения, статья 4.1]
A.1.19. Положение (нормативного документа): Логическая единица содержания нормативного документа, которая имеет форму требования, правила, рекомендации или комментария.
[ГОСТ 1.1-2002. Межгосударственная система стандартизации. Термины и определения, статья 6.1]
A.1.20. Требование: Положение нормативного документа, содержащее критерии, которые должны быть соблюдены.
[ГОСТ 1.1-2002. Межгосударственная система стандартизации. Термины и определения, статья 6.1.1]
A.1.21. Правило: Положение нормативного документа, описывающее действие, которое должно быть выполнено.
[ГОСТ 1.1-2002. Межгосударственная система стандартизации. Термины и определения, статья 6.1.2]
A.1.22. Политика информационной безопасности организации: Одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности.
A.1.23. Свидетельство аудита: Записи, изложение фактов или другой информации, связанной с критериями аудита, которые могут быть перепроверены.
Примечание.
Свидетельство аудита может быть качественным или количественным.
Связи между понятиями данной группы графически представлены на рисунке А.1. Изображения связей заимствованы из ГОСТ Р ИСО/МЭК 9000-2001 "Системы менеджмента качества. Основные положения и словарь". На рисунке линиями (веерными или в виде дерева) без стрелок показаны родовидовые связи, когда субординатные понятия в рамках иерархии наследуют признаки суперординатного понятия и содержат описания тех признаков, которые отличают их от суперординатных (вышестоящих) и координатных (соподчиненных) понятий. В виде грабель показаны партитивные отношения между понятиями, когда субординатные понятия в рамках одной иерархической системы являются частью одного суперординатного понятия. Чертой со стрелками с каждого конца показаны ассоциативные связи, определяющие природу взаимоотношений между понятиями в рамках данной системы понятий, например, причина и следствие, действие и место, действие и результат, инструмент и функция, материал и продукция.
Рисунок А.1. Понятия, относящиеся к информационной безопасности организации БС РФ
/------------\ /------\ /--------\ /-----------------------\
|Безопасность| | Риск |----| Ущерб | | Банковская система |-\
| | | |---\ | | | Российской Федерации | |
\------------/ \------/ | \--------/ \-----------------------/ |
| | |
| | | | /---------------\ | |
| | | | | Вероятность | | |
| | | \---\\---------------/ | |
| | | | | |
| | | /-------------------\ /--------------\ |
| | \---------------| Допустимый риск | | Организация | |
| | \-------------------/ \--------------/ |
| | /----------------------\ |
| | | Безопасность | | |
| \-----------------| Российской Федерации | | |
\----------------------/ | |
/-----------------------\ | | |
|Безопасность информации|------\ | | |
\-----------------------/ | | | |
| | | |
| | | | | |
| | | | |
/---------------\ | | | | |
| Информация | | | | |
\---------------/ | /-----------------------------\ | |
| | Информационная безопасность | | |
| | Российской Федерации | | |
| \-----------------------------/ | |
/------------------\ | | |
| Политика | | /--------------------------------------------\ |
| информационной | \-| Информационная безопасность организации | |
| безопасности |--| банковской системы Российской Федерации |-----/
| организации | | |
\------------------/ \--------------------------------------------/
/----------------/
/-------------------------\ /-------------------------\ /-------------\
| Управление | | Оценка соответствия | | Нормативный |
| информационной | | информационной | | документ |
|безопасностью организации|---|безопасности организации | \-------------/
| банковской системы |--\| банковской системы | |
| Российской Федерации |-\|| Российской Федерации | /-------------\
\-------------------------/ ||\-------------------------/ | Положение |-\
|| \-------------/ |
| || | | |
|| \-----------------------\ | |
/-------------------------\ || | |
| Модель зрелости | ||/-------------------------\ /-------------\ |
| процессов управления | ||| Аудит информационной | | Требование | |
| информационной | |||безопасности организации | \-------------/ |
|безопасностью организации| |\| банковской системы | /-----------\ |
| банковской системы | | | Российской Федерации | | Правило |-/
| Российской Федерации | | \-------------------------/ \-----------/
\-------------------------/ |
| | /-------------\
| \----------------|Свидетельство|
| | аудита |
/------------------------------\ \-------------/
| Мониторинг информационной |
| безопасности организации |
| банковской системы |
| Российской Федерации |
\------------------------------/
A.2. Банковские технологии и технологические процессы
A.2.1. Банковская технология: Система методов, способов, приемов деятельности в банковской отрасли.
A.2.2. Банковский технологический процесс: Технологический процесс, содержащий операции по изменению и(или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг, функционирования организации БС РФ.
Примечания.
1. Операции над банковской информацией могут выполняться вручную или быть автоматизированными, например, с помощью комплексов средств автоматизации автоматизированных банковских систем.
2. Операции над банковской информацией требуют указания ролей их участников (исполнителей и лиц, принимающих решения или имеющих полномочия по изменению технологических процессов, в том числе персонала автоматизированных банковских систем).
A.2.3. Банковский платежный технологический процесс: Часть банковского технологического процесса, содержащая расчетные, учетные, кассовые и иные банковские операции над платежной информацией, связанные с перемещением денежных средств с одного счета на другой, открытием (закрытием) счетов или контролем за данными операциями.
Примечание.
Платежная информация может включать в себя платежные (расчетные) сообщения и информацию, связанную с проведением расчетных, учетных, кассовых и иных технологических операций.
A.2.4. Банковский информационный технологический процесс: Часть банковского технологического процесса, содержащая операции над неплатежной информацией, необходимой для функционирования организации БС РФ.
Примечание.
Неплатежная информация, необходимая для функционирования организации БС РФ, может включать в себя данные статистической отчетности и внутрихозяйственной деятельности, аналитическую, финансовую, справочную информацию.
A.2.5. Автоматизированная банковская система: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая банковскую информационную технологию выполнения установленных функций.
A.2.6. Банковская информационная технология: Приемы, способы и методы применения средств вычислительной техники при выполнении функций хранения, обработки, передачи и использования финансовой или другой связанной с функционированием организаций БС РФ информации.
A.2.7. Роль в организации: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом в организации.
Примечания.
1. К субъектам относятся лица из числа руководства организации, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.
2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационные ресурс, услуга, процесс, система, над которыми выполняются действия.
A.2.8. Технология: Система взаимосвязанных методов, способов, приемов предметной деятельности.
[ГОСТ Р 52069.0-2003. Защита информации. Система стандартов. Основные положения, пункт 3.10]
A.2.9. Банк: Кредитная организация, которая имеет исключительное право осуществлять в совокупности следующие банковские операции: привлечение во вклады денежных средств физических и юридических лиц; размещение указанных средств от своего имени и за свой счет на условиях возвратности, платности, срочности; открытие и ведение банковских счетов физических и юридических лиц.
[Федеральный закон "О банках и банковской деятельности" от 01.12.1990 N 395-1 в редакции ФЗ от 03.02.1996 N 17-ФЗ, от 31.07.1998 N 151-ФЗ, от 05.07.1999 N 126-ФЗ, от 08.07.1999 N 136-ФЗ, от 19.06.2001 N 82-ФЗ, от 07.08.2001 N 121-ФЗ, от 21.03.2002 N 31-ФЗ, с изменениями, внесенными постановлением Конституционного Суда Российской Федерации от 23.02.1999 N 4-П]
A.2.10. Процесс: Совокупность взаимосвязанных и взаимодействующих видов деятельности, преобразующая входы в выходы.
Примечания.
1. Входами к процессу обычно являются выходы других процессов.
2. Процессы в организации, как правило, планируются и осуществляются в управляемых условиях с целью добавления ценности.
3. Процесс, в котором подтверждение соответствия конечной продукции затруднено или экономически нецелесообразно, часто относят к "специальному процессу".
[ГОСТ Р ИСО 9000-2001. Системы менеджмента качества. Основные положения и словарь, статья 3.4.1]
A.2.11. Технологический процесс: Процесс, содержащий целенаправленные действия по изменению и(или) определению состояния предмета труда.
Примечания.
1. Технологический процесс может быть отнесен к изделию, его составной части или к методам обработки, формообразования и сборки.
2. К предметам труда относятся заготовки и изделия.
[ГОСТ 3.1109-82. Единая система технологической документации. Термины и определения основных понятий, статья 1]
А.2.12. Автоматизированная система: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Примечания.
1. В зависимости от вида деятельности выделяют, например, следующие виды АС: автоматизированные системы управления (АСУ), системы автоматизированного проектирования (САПР), автоматизированные системы научных исследований (АСНИ) и др.
2. В зависимости от вида управляемого объекта (процесса) АСУ делят, например, на АСУ технологическими процессами (АСУТП), АСУ предприятиями (АСУП) и т.д.
[ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Термины и определения, статья 1.1]
А.2.13. Информационная технология: Приемы, способы и методы применения средств вычислительной техники при выполнении функций хранения, обработки, передачи и использования данных.
[ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Термины и определения, Приложение]
А.2.14. Система: Множество (совокупность) материальных объектов (элементов) любой, в том числе различной, физической природы и информационных объектов, взаимодействующих между собой для достижения общей цели, обладающее системным свойством (свойствами), т.е. свойством, которого не имеет ни один из элементов и ни одно из подмножеств элементов при любом способе членения. Системное свойство не выводимо непосредственно из свойств элементов и частей.
[Рекомендации по стандартизации Р 50.1.031-2001 Информационные технологии поддержки жизненного цикла продукции. Терминологический словарь. Часть 1. Стадии жизненного цикла продукции, статья 3.1.5]
А.2.15. Комплекс средств автоматизации АС: Совокупность всех компонентов автоматизированной системы, за исключением людей.
[ГОСТ 34.003. Информационная технология. Комплекс стандартов на автоматизированные системы. Термины и определения, статья 2.12]
Связи между понятиями данной группы графически представлены на рисунке А.2.
Рисунок А.2. Понятия, относящиеся к банковским технологиям и банковским технологическим процессам
/-------------------\
| Технология |
\-------------------/
| | | /---------------\
| | | | Процесс |
| | | \---------------/
| | |
| | | |
/-------------\ | |
| Банковская | | | /----------------------------------\
| технология | | \---------| Технологический процесс |
\-------------/ | \----------------------------------/
| | |
| | /-------------------\ | /------------------------\
| | |Роль в организации | | | Технологическая |
| | | | | | операция |
| | \-------------------/ | \------------------------/
| | | |
| | | | |
| | \---------\ | |
| | |
/------\ | /-------------------------------------\
| Банк |-------+-----------------| Банковский технологический процесс |
\------/ | \-------------------------------------/
| |
| | | /---------\ |
| | | | Система | |
| | | \---------/ |
| | | |
| /----------------------\ | | |
| | Информационная | | |
| | технология | | /------------------------\ |
| \----------------------/ | | Автоматизированная | |
| | | | система | |
| | | \------------------------/ |
| | |
/-----------------------------\ | | |
| Банковская информационная | | |
| технология | | /--------------------------\ |
\-----------------------------/ | | Автоматизированная | |
\-| банковская система | |
| \--------------------------/ |
/----------------------------/ |
/---------------------------\ |
| Комплекс средств | |
| автоматизации | |
\---------------------------/ |
/-------------------------------------------------------/
/-------------------------------\ /----------------------------\
| Банковский информационный | | Банковский платежный |
| технологический процесс | | технологический процесс |
\-------------------------------/ \----------------------------/
A.3. Риск и инцидент информационной безопасности организации БС РФ
A.3.1. Риск: Сочетание вероятности нанесения ущерба и тяжести этого ущерба.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты, пункт 3.2]
A.3.2. Вероятность: Мера того, что событие может произойти.
Примечание.
ГОСТ Р 50799.10 дает математическое определение вероятности: "действительное число в интервале от 0 до 1, относящееся к случайному событию". Число может отражать относительную частоту в серии наблюдений или степень уверенности в том, что некоторое событие произойдет. Для высокой степени уверенности вероятность близка к единице.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения, статья 3]
A.3.3. Ущерб: Физическое повреждение или другой вред здоровью людей, имуществу или окружающей среде.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты, пункт 3.3]
A.3.4. Инцидент информационной безопасности: Действительное, предпринимаемое или вероятное нарушение информационной безопасности.
Примечание.
Нарушение может вызываться либо ошибкой людей, либо неправильным функционированием технических средств, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, приводящими к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.
A.3.5. Информационная безопасность организации банковской системы Российской Федерации: Состояние защищенности интересов (целей) организации БС РФ в информационной сфере.
Примечание.
Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений.
A.3.6. Риск инцидента информационной безопасности организации банковской системы Российской Федерации: Сочетание вероятности нанесения ущерба и тяжести этого ущерба от действительного, предпринимаемого или вероятного нарушения состояния защищенности интересов (целей) организации БС РФ в информационной сфере.
A.3.7. Нарушение информационной безопасности организации банковской системы Российской Федерации: Событие, вызывающее ущерб состояния защищенности интересов (целей) организации БС РФ в информационной сфере.
A.3.8. Вызывающее ущерб событие: Событие, при котором опасная ситуация приводит к ущербу.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты, пункт 3.4]
A.3.9. Опасная ситуация: Обстоятельства, в которых люди, имущество или окружающая среда подвергаются опасности.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты, пункт 3.6]
A.3.10. Опасность: Потенциальный источник возникновения ущерба.
Примечание.
Термин "опасность" может быть конкретизирован в части определения природы опасности или вида ожидаемого ущерба (например, опасность электрического шока, опасность разрушения, травматическая опасность, токсическая опасность, опасность пожара, опасность утонуть).
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты, пункт 3.5]
A.3.11. Остаточный риск: Риск, остающийся после предпринятых защитных мер.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты, пункт 3.9]
A.3.12. Защитная мера: Мера, используемая для уменьшения риска.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты, пункт 3.8]
A.3.13. Анализ риска: Систематическое использование информации для выявления опасности и количественной оценки риска.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты, пункт 3.10]
A.3.14. Оценивание риска: Основанная на результатах анализа риска процедура проверки, устанавливающая, не превышен ли допустимый риск.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты, пункт 3.11]
A.3.15. Оценка риска: Общий процесс анализа и оценивания риска.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты, пункт 3.12]
A.3.16. Допустимый риск: Риск, который в данной ситуации считают приемлемым при существующих общественных ценностях.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты, пункт 3.7]
A.3.17. Управление риском: Действия, осуществляемые для выполнения решений в рамках менеджмента риска.
Примечание.
Управление риском может включать в себя мониторинг, переоценивание и действия, направленные на обеспечение соответствия принятым решениям.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения, статья 3.4.2]
A.3.18. Менеджмент риска: Скоординированные действия по руководству и управлению организацией в отношении риска.
Примечание.
Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникацию риска.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения, статья 3.1.7]
A.3.19. Обработка риска: Процесс выбора и осуществления мер по модификации риска.
Примечания.
1. Термин "обработка риска" иногда используют для обозначения самих мер.
2. Меры по обработке риска могут включать в себя избежание, оптимизацию, перенос или сохранение риска.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения, статья 3.4.1]
A.3.20. Принятие риска: Решение принять риск.
Примечание.
Принятие риска зависит от критериев риска.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения, статья 3.4.10]
A.3.21. Коммуникация риска: Обмен информацией о риске или совместное использование этой информации между лицом, принимающим решение, и другими причастными сторонами.
Примечание.
Информация может касаться существования, природы, формы, вероятности, тяжести, приемлемости, мероприятий или других аспектов риска.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения, статья 3.2.4]
A.3.22. Оптимизация риска: Процесс, связанный с риском, направленный на минимизацию негативных и максимальное использование позитивных последствий и, соответственно, их вероятности.
Примечания.
1. С точки зрения безопасности оптимизация риска направлена на снижение риска.
2. Оптимизация риска зависит от критериев риска с учетом стоимости и законодательных требований.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения, статья 3.4.3]
A.3.23. Перенос риска: Разделение с другой стороной бремени потерь или выгод от риска.
Примечания.
1. Законодательные или обязательные требования могут ограничивать, запрещать или поручать перенос определенного риска.
2. Перенос риска может быть осуществлен страхованием или другими соглашениями.
3. Перенос риска может создавать новый риск или модифицировать существующий риск.
4. Перемещение источника не является переносом риска.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения, статья 3.4.7]
A.3.24. Сохранение риска: Принятие бремени потерь или выгоды от конкретного риска.
Примечание.
Сохранение риска не включает в себя обработку риска в результате страхования или перенос риска другими средствами.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения, статья 3.4.9]
A.3.25. Критерии риска: Правила, по которым оценивают значимость риска.
Примечание.
Критерии риска могут включать в себя сопутствующие стоимость и выгоды, законодательные и обязательные требования, социально-экономические и экологические аспекты, озабоченность причастных сторон, приоритеты и другие затраты на оценку.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения, статья 3.1.6]
A.3.26. Снижение риска: Действия, предпринятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения, статья 3.4.4]
A.3.27. Причастная сторона: Любой индивидуум, группа или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженными действию риска.
Примечания.
1. Лицо, принимающее решение, также является причастной стороной.
2. Причастная сторона включает в себя заинтересованную сторону, но имеет более широкое значение, чем заинтересованная сторона.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения, статья 3.2.1]
A.3.28. Заинтересованная сторона: Лицо или группа лиц, заинтересованные в деятельности или успехе организации.
Примеры: потребители, владельцы, работники организации, поставщики, банкиры, ассоциации, партнеры или общество.
Примечание.
Группа лиц может состоять из организации, ее части или нескольких организаций (ГОСТ Р ИСО 9000).
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения, статья 3.2.2]
Связи между понятиями данной группы графически представлены на рисунке А.3.
Рисунок А.3. Понятия, относящиеся к рискам и инцидентам информационной безопасности организации БС РФ
/-------------------------------\ /-----------------------\
| Нарушение информационной | | Остаточный риск |
| безопасности организации | \-----------------------/
| банковской системы |
| Российской Федерации | /---------/ |
\-------------------------------/
| /-------\ /--------------\
| /-----------| Риск |------\ |Защитные меры |
| | \-------/ | \--------------/
| | |
/-----------------\ /-----------\ | | | \--\ \---------\
| Инцидент | | Допустимый| | | |/-------\ /---------------\
| информационной | | риск | | | || Ущерб | | Вероятность |
| безопасности | \-----------/ | | |\-------/ \---------------/
\-----------------/ | | |
/-------------/ | | |
| | | | \-------------\
| | |
/--------------------------------\ | |
| Риск инцидента информационной | | | /--------------\
| безопасности организации | | | | Вызывающее |
| банковской системы | | | |ущерб событие |
| Российской Федерации | | | \--------------/
\--------------------------------/ /------/ |
| | |
| | |
| | | /----------------\
| | | |Опасная ситуация|
| | \----------------/
/---------------------------\ | |
| Информационная | | |
| безопасность организации | | /------------\
| банковской системы | | | Менеджмент | /------------\
| Российской Федерации | | | риска | | Опасность |
\---------------------------/ | \------------/ \------------/
| | | |
/--------------\ | | | |
/----------------| Оценка риска |-/ | | |
| \--------------/ | | |
| | | | \---------------\
/----------------\ | | | /---------------\
| Анализ риска | | | | | Коммуникация |
| | | | | | риска |
\----------------/ /-----------\ | | \---------------/
|Оценивание | | |
\-----------| риска | | |
\-----------/ | |
/-----------------------------------/ |
/------------------\ /--------------\ /--------------\
| Обработка риска | |Принятие риска|----|Критерии риска|
\------------------/ \--------------/ \--------------/
| | |
| | | |
| | \---------\
/-------------\ | /---------------\ /------------------\
|Перенос риска| | | Оптимизация | |Причастная сторона|
\-------------/ | | риска | | |
| \---------------/ \------------------/
| |
| | |
| |
/-------------------\ /--------------\ |
| Сохранение риска | | Снижение | /------------------------\
\-------------------/ | риска | |Заинтересованная сторона|
\--------------/ \------------------------/
A.4. Информационные активы организации БС РФ
A.4.1. Информационные активы организации банковской системы Российской Федерации: Активы организации БС РФ, представляющие ценность для нее с точки зрения достижения целей и имеющие отношение к ее информационной сфере.
A.4.2. Активы организации банковской системы Российской Федерации: Все, представляющее ценность для организации БС РФ с точки зрения достижения ее целей.
Примечание.
К активам организации БС РФ могут относиться:
- банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.);
- информационные активы, в т.ч. различные виды банковской информации (платежной, финансово-аналитической служебной, управляющей и пр.) на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;
- банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.);
- банковские продукты и услуги, предоставляемые клиентам.
A.4.3. Активы: Все, что имеет ценность для организации.
[ISO/IEC TR 13335-1: 1996 Information technology - Guidelines for the management of IT Security (GMITS) - Part 1: Concepts and models for IT Security, пункт 3.2]
A.4.4. Ресурс: Объект, который используется или использован в течение выполнения процесса.
Примечания.
1. Ресурс может включать разнообразные объекты типа персонала, средств обслуживания, капитального оборудования, инструментов и предприятий коммунального обслуживания типа электроэнергии, воды, топлива и инфраструктуры связи.
2. Ресурсы могут быть многократного использования, возобновляемые или расходуемые.
[ISO/IEC 15288 Information technology - Life Cycle Management - System Life Cycle Processes]
A.4.5. Процесс: Совокупность взаимосвязанных и взаимодействующих видов деятельности, преобразующая входы в выходы.
Примечания.
1. Входами к процессу обычно являются выходы других процессов.
2. Процессы в организации, как правило, планируются и осуществляются в управляемых условиях с целью добавления ценности.
3. Процесс, в котором подтверждение соответствия конечной продукции затруднено или экономически нецелесообразно, часто относят к "специальному процессу".
[ГОСТ Р ИСО 9000-2001, статья 3.4.1]
A.4.6. Ценность: Имущество, деньги, нематериальные блага, а также их свойства или отношения.
[ГОСТ Р 22.10.01-2001. Безопасность в чрезвычайных ситуациях. Оценка ущерба. Термины и определения, статья 2.1.14]
Рисунок А.4. Понятия, относящиеся к информационным активам организации БС РФ
/-----------------------------------------------------\
/-------------------\ /-------------------\
| Активы |-------------------\ | Ценность |
\-------------------/ | \-------------------/
| |
/------------------------\ | /---------------------\
| Активы организации | \---------| Уязвимость |
| банковской системы |------------------\ \---------------------/
| Российской Федерации |------------\ |
\------------------------/ | |
| | | | | /------------------------------\
/---------\ /--------\ | /--------\ | | Информационные активы |
| Ресурс | | Процесс| | | Услуга | \--|организации банковской системы|
\---------/ \--------/ | \--------/ | Российской Федерации |
| \------------------------------/
/----------\
| Продукт |
\----------/
A.4.7. Продукт: Совокупность программных, программно-аппаратных и/или аппаратных средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы.
[ГОСТ Р ИСО/МЭК 15408-2002. Критерии оценки безопасности информационных технологий, пункт 2.3]
A.4.8. Услуга: Действия субъектов (собственников и владельцев) по обеспечению пользователей продуктами.
Связи между понятиями данной группы графически представлены на рисунке А.4.
A.4.9. Уязвимость: Недостатки или слабые места активов, которые могут быть использованы угрозой.
<< Назад |
||
Содержание Стандарт ЦБР "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения"... |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.