Рекомендации по стандартизации Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 06.04.2005 N 77-ст)

Information technologies. Basic terms and definitions in scope of technical protection of information

Дата введения - 1 января 2006 г.

Предисловие

Задачи, основные принципы и правила проведения работ по государственной стандартизации в Российской Федерации установлены ГОСТ Р 1.0-92 "Государственная система стандартизации Российской Федерации. Основные положения" и ГОСТ Р 1.2-92 "Государственная система стандартизации Российской Федерации. Порядок разработки государственных стандартов".

ГАРАНТ:

Взамен ГОСТ Р 1.0-92 приказом Ростехрегулирования от 30 декабря 2004 г. N 152-ст с 1 июля 2005 г. введен в действие ГОСТ Р 1.0-2004

Взамен ГОСТ Р 1.2-92 приказом Ростехрегулирования от 30 декабря 2004 г. N 153-ст с 1 июля 2005 г. введен в действие ГОСТ Р 1.2-2004

Введение

Установленные в настоящих рекомендациях термины расположены в систематизированном порядке, отражающем систему понятий в области технической защиты информации при применении информационных технологий.

Для каждого понятия установлен один стандартизованный термин.

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации. При этом не входящая в крутые скобки часть термина образует его краткую форму.

Наличие квадратных скобок в терминологической статье означает, что в нее включены два термина, имеющие общие терминоэлементы.

В алфавитном указателе данные термины приведены отдельно с указанием номера статьи.

Помета, указывающая на область применения многозначного термина, приведена в круглых скобках светлым шрифтом после термина. Помета не является частью термина.

Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия. Изменения не должны нарушать объем и содержание понятий, определенных в настоящих рекомендациях.

В случае, когда в термине содержатся все необходимые и достаточные признаки понятия, определение не приводится и вместо него ставится прочерк.

В настоящих рекомендациях приведены эквиваленты стандартизованных терминов на английском языке.

Термины и определения общетехнических понятий, необходимые для понимания текста настоящих рекомендаций, приведены в приложении А. Схема взаимосвязи стандартизованных терминов приведена в приложении Б.

Стандартизованные термины набраны полужирным шрифтом, их краткие формы, представленные аббревиатурой, - светлым.

1 Область применения

Настоящие рекомендации по стандартизации устанавливают термины и определения понятий в области технической защиты информации при применении информационных технологий.

Термины, установленные настоящими рекомендациями по стандартизации, рекомендуются для использования во всех видах документации и литературы по вопросам технической защиты информации при применении информационных технологий, входящих в сферу работ по стандартизации и (или) использующих результаты этих работ.

Настоящие рекомендации по стандартизации должны применяться совместно с ГОСТ Р 50922.

2 Нормативные ссылки

В настоящих рекомендациях использованы нормативные ссылки на следующие стандарты:

ГОСТ 1.1-2002 Межгосударственная система стандартизации. Термины и определения

ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения

ГОСТ 15971-90 Системы обработки информации. Термины и определения

ГОСТ Р 50922-96 Защита информации. Основные термины и определения

ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты

Примечания - При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных стандартов по указателю "Национальные стандарты", составленному по состоянию на 1 января текущего года, и по соответствующим информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящими рекомендациями следует руководствоваться замененным (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

3 Стандартизованные термины и определения

3.1 Объекты технической защиты информации
3.1.1 защищаемая автоматизированная информационная система: Автоматизированная информационная система, предназначенная для сбора, хранения, обработки, передачи и использования защищаемой информации с требуемым уровнем ее защищенности.	trusted computer system
3.1.2 защищаемые информационные ресурсы (автоматизированной информационной системы): Информационные ресурсы автоматизированной информационной системы, для которых должен быть обеспечен требуемый уровень их защищенности.
Примечание - Информационные ресурсы включают в себя документы и массивы документов, используемые в автоматизированных информационных системах.
3.1.3 защищаемая информационная технология: Информационная технология, предназначенная для сбора, хранения, обработки, передачи и использования защищаемой информации с требуемым уровнем ее защищенности.
3.1.4 безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечиваются ее [их] конфиденциальность, доступность и целостность.	information [data] security
Примечание - Безопасность информации [данных] определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии.
3.1.5 безопасность информации (при применении информационных технологий): Состояние защищенности информационной технологии, обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.	IT security
3.1.6 безопасность автоматизированной информационной системы: Состояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность ее ресурсов.
3.1.7 конфиденциальность (информации [ресурсов автоматизированной информационной системы]): Состояние информации [ресурсов автоматизированной информационной системы], при котором доступ к ней [к ним] осуществляют только субъекты, имеющие на него право.	confidentiality
3.1.8 целостность (информации [ресурсов автоматизированной информационной системы]): Состояние информации [ресурсов автоматизированной информационной системы], при котором ее [их] изменение осуществляется только преднамеренно субъектами, имеющими на него право.	integrity
3.1.9 доступность (информации [ресурсов автоматизированной информационной системы]): Состояние информации [ресурсов автоматизированной информационной системы], при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно.	availability
Примечание - К правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации, а также права на изменение, использование, уничтожение ресурсов.
3.1.10 подотчетность (ресурсов автоматизированной информационной системы): Состояние ресурсов автоматизированной информационной системы, при котором обеспечиваются их идентификация и регистрация.	accountability
3.1.11 подлинность (ресурсов автоматизированной информационной системы): Состояние ресурсов автоматизированной информационной системы, при котором обеспечивается реализация информационной технологии с использованием именно тех ресурсов, к которым субъект, имеющий на это право, обращается.	authenticity
3.2 Угрозы безопасности информации
3.2.1 угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.	threat
3.2.2 источник угрозы безопасности информации: Субъект, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
3.2.3 уязвимость (автоматизированной информационной системы): Недостаток или слабое место в автоматизированной информационной системе, которые могут быть условием реализации угрозы безопасности обрабатываемой в ней информации.	vulnerability
3.2.4 утечка (информации) по техническому каналу: Неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.	leakage
3.2.5 перехват (информации): Неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.	interception
3.2.6 информативный сигнал: Сигнал, по параметрам которого может быть определена защищаемая информация.	informative signal
3.2.7 доступ (в автоматизированной информационной системе): Получение возможности ознакомления с информацией, ее обработки и (или) воздействия на информацию и (или) ресурсы автоматизированной информационной системы с использованием программных и (или) технических средств.	access
Примечание - Доступ осуществляется субъектами доступа, к которым относятся лица, а также логические и физические объекты.
3.2.8 субъект доступа (в автоматизированной информационной системе): Лицо или единица ресурса автоматизированной информационной системы, действия которой по доступу к ресурсам автоматизированной информационной системы регламентируются правилами разграничения доступа.	subject
3.2.9 объект доступа (в автоматизированной информационной системе): Единица ресурса автоматизированной информационной системы, доступ к которой регламентируется правилами разграничения доступа.	object
3.2.10 несанкционированный доступ (к информации [ресурсам автоматизированной информационной системы]); НСД: Доступ к информации [ресурсам автоматизированной информационной системы], осуществляемый с нарушением установленных прав и (или) правил доступа к информации [ресурсам автоматизированной информационной системы].	unauthorized access
Примечания 1 Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно. 2 Права и правила доступа к информации и ресурсам информационной системы устанавливаются для процессов обработки информации, обслуживания автоматизированной информационной системы, изменения программных, технических и информационных ресурсов, а также получения информации о них.
3.2.11 несанкционированное воздействие (на информацию [ресурсы автоматизированной информационной системы]) (при применении информационных технологий); НСВ: Изменение информации [ресурсов автоматизированной информационной системы], осуществляемое с нарушением установленных прав и (или) правил.
Примечания 1 Несанкционированное воздействие может быть осуществлено преднамеренно или непреднамеренно. Преднамеренные несанкционированные воздействия являются специальными воздействиями. 2 Изменение может быть осуществлено в форме замены информации [ресурсов автоматизированной информационной системы], введения новой информации [новых ресурсов автоматизированной информационной системы], а также уничтожения или повреждения информации [ресурсов автоматизированной информационной системы].
3.2.12 атака (при применении информационных технологий): Действия, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на нее или на ресурсы автоматизированной информационной системы с применением программных и (или) технических средств.	attack
3.2.13 вторжение (в автоматизированную информационную систему): Выявленный факт попытки несанкционированного доступа к ресурсам автоматизированной информационной системы.	intrusion
3.2.14 блокирование доступа (к информации) (при применении информационных технологий): Создание условий, препятствующих доступу к информации субъекту, имеющему право на него.
Примечание - Создание условий, препятствующих доступу к информации, может быть осуществлено по времени доступа, функциям по обработке информации (видам доступа) и (или) доступным информационным ресурсам.
3.2.15 закладочное устройство: Техническое средство, скрытно устанавливаемое на объекте информатизации или в контролируемой зоне с целью перехвата информации или несанкционированного воздействия на информацию и (или) ресурсы автоматизированной информационной системы.
Примечание - Местами установки закладочных устройств на охраняемой территории могут быть любые элементы контролируемой зоны, например ограждение, конструкции, оборудование, предметы интерьера, транспортные средства.
3.2.16 программное воздействие: Несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
3.2.17 вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на информацию или ресурсы автоматизированной информационной системы.
3.2.18 (компьютерный) вирус: Вредоносная программа, способная создавать вредоносные программы и (или) свои копии.	computer virus
3.2.19 недекларированные возможности (программного обеспечения): Функциональные возможности программного обеспечения, не описанные в документации.
3.2.20 программная закладка: Преднамеренно внесенные в программное обеспечение функциональные объекты, которые при определенных условиях инициируют реализацию недекларированных возможностей программного обеспечения.	malicious logic
Примечание - Программная закладка может быть реализована в виде вредоносной программы или программного кода.
3.3 Меры технической защиты информации
3.3.1 техническая защита информации; ТЗИ: Обеспечение защиты некриптографическими методами информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию и носители информации в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации [1].	Technical information protection
Примечание - Техническая защита информации при применении информационных технологий осуществляется в процессах сбора, обработки, передачи, хранения, распространения информации с целью обеспечения ее безопасности на объектах информатизации.
3.3.2 политика безопасности (информации в организации): Одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.	organizational security policy
3.3.3 профиль защиты: Совокупность типовых требований по обеспечению безопасности информации, которые должны быть реализованы в защищаемой автоматизированной информационной системе.	protection profile
Примечание - Профиль защиты может разрабатываться для автоматизированной информационной системы, средства вычислительной техники, а также их технических и программных средств.
3.3.4 аудит безопасности (информации): Совокупность действий по независимой проверке и изучению документации автоматизированной информационной системы, а также по испытаниям средств защиты информации, направленная на обеспечение выполнения установленной политики безопасности информации и правил эксплуатации автоматизированной информационной системы, на выявление уязвимостей автоматизированной информационной системы и на выработку рекомендаций по устранению выявленных недостатков в средствах защиты информации, политике безопасности информации и правилах эксплуатации автоматизированной информационной системы.	security audit
Примечание - Аудит безопасности может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией (внешний аудит), а также подразделением или должностным лицом организации (внутренний аудит).
3.3.5 аудит безопасности автоматизированной информационной системы: Проверка реализованных в автоматизированной информационной системе процедур обеспечения безопасности с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию.	computer-system audit
3.3.6 мониторинг безопасности информации (при применении информационных технологий): Процедуры регулярного наблюдения за процессом обеспечения безопасности информации при применении информационных технологий.	IT security monitoring
3.3.7 правила разграничения доступа (в автоматизированной информационной системе): Правила, регламентирующие условия доступа субъектов доступа к объектам доступа в автоматизированной информационной системе.
3.3.8 аутентификация (субъекта доступа): Действия по проверке подлинности субъекта доступа в автоматизированной информационной системе.	authentication
3.3.9 идентификация: Действия по присвоению субъектам и объектам доступа идентификаторов и (или) по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов.	identification

Алфавитный указатель терминов

атака	3.2.12
аудит безопасности	3.3.4
аудит безопасности автоматизированной информационной системы	3.3.5
аудит безопасности информации	3.3.4
аутентификация	3.3.8
аутентификация субъекта доступа	3.3.8
безопасность автоматизированной информационной системы	3.1.6
безопасность данных	3.1.4
безопасность информации	3.1.4, 3.1.5
безопасность информации при применении информационных технологий	3.1.5
блокирование доступа	3.2.14
блокирование доступа к информации	3.2.14
вирус	3.2.18
вирус компьютерный	3.2.18
воздействие несанкционированное	3.2.11
воздействие несанкционированное на информацию	3.2.11
воздействие несанкционированное на ресурсы автоматизированной информационной системы	3.2.11
воздействие программное	3.2.16
возможности недекларированные	3.2.19
возможности недекларированные программного обеспечения	3.2.19
вторжение	3.2.13
вторжение в автоматизированную информационную систему	3.2.13
доступ	3.2.7
доступ в автоматизированной информационной системе	3.2.7
доступ несанкционированный	3.2.10
доступ несанкционированный к информации	3.2.10
доступ несанкционированный к ресурсам автоматизированной информационной системы	3.2.10
доступность	3.1.9
доступность информации	3.1.9
доступность ресурсов автоматизированной информационной системы	3.1.9
закладка программная	3.2.20
защита информации техническая	3.3.1
идентификация	3.3.9
источник угрозы безопасности информации	3.2.2
конфиденциальность	3.1.7
конфиденциальность информации	3.1.7
конфиденциальность ресурсов автоматизированной информационной системы	3.1.7
мониторинг безопасности информации	3.3.6
НСВ	3.2.11
НСД	3.2.10
объект доступа	3.2.9
объект доступа в автоматизированной информационной системе	3.2.9
перехват	3.2.5
перехват информации	3.2.5
подлинность	3.1.11
подлинность ресурсов автоматизированной информационной системы	3.1.11
подотчетность	3.1.10
подотчетность ресурсов автоматизированной информационной системы	3.1.10
политика безопасности	3.3.2
политика безопасности информации в организации	3.3.2
правила разграничения доступа	3.3.7
правила разграничения доступа в автоматизированной информационной системе	3.3.7
программа вредоносная	3.2.17
профиль защиты	3.3.3
ресурсы защищаемые информационные	3.1.2
ресурсы защищаемые информационные автоматизированной информационной системы	3.1.2
сигнал информативный	3.2.6
система защищаемая автоматизированная информационная	3.1.1
субъект доступа	3.2.8
субъект доступа в автоматизированной информационной системе	3.2.8
технология защищаемая информационная	3.1.3
ТЗИ	3.3.1
угроза	3.2.1
угроза безопасности информации	3.2.1
устройство закладочное	3.2.15
утечка информации по техническому каналу	3.2.4
утечка по техническому каналу	3.2.4
уязвимость	3.2.3
уязвимость автоматизированной информационной системы	3.2.3
целостность	3.1.8
целостность информации	3.1.8
целостность ресурсов автоматизированной информационной системы	3.1.8

Алфавитный указатель иноязычных эквивалентов стандартизованных терминов

access	3.2.7
accountability	3.1.10
attack	3.2.12
authentication	3.3.8
authenticity	3.1.11
availability	3.1.9
computer-system audit	3.3.5
computer virus	3.2.18
confidentiality	3.1.7
data security	3.1.4
identification	3.3.9
information security	3.1.4
informative signal	3.2.6
integrity	3.1.8
interception	3.2.5
intrusion	3.2.13
IT security	3.1.5
IT security monitoring	3.3.6
leakage	3.2.4
malicious logic	3.2.20
object	3.2.9
organizational security policy	3.3.2
protection profile	3.3.3
security audit	3.3.4
subject	3.2.8
technical information protection	3.3.1
threat	3.2.1
trusted computer system	3.1.1
unauthorized access	3.2.10
vulnerability	3.2.3

Библиография

[1]	Положение о Федеральной службе по техническому и экспортному контролю. Утверждено Указом Президента Российской Федерации от 16.08.2004 г. N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю"
[2]	Федеральный закон Российской Федерации от 20.02.1995 N 24-ФЗ (в ред. Федерального закона от 10.01.2003 г. N 15-ФЗ) "Об информации, информатизации и защите информации"
[3]	Руководящий документ Гостехкомиссии России "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий". Введен в действие Приказом Гостехкомиссии России от 19.06.02 г. N 187