3. Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 50922, ГОСТ 34.003, ГОСТ Р 56545, ГОСТ Р 56546, а также следующие термины с соответствующими определениями:

3.1 меры защиты информации: Организационные (в том числе управленческие) и технические меры, применяемые для защиты информации и обеспечения доступности АС.
Примечание. Адаптировано из ГОСТ Р 51275


3.2 техническая мера защиты информации: Мера защиты информации, реализуемая с помощью применения аппаратных, программных, аппаратно-программных средств и (или) систем.

3.3 организационная мера защиты информации: Мера, не являющаяся технической мерой защиты информации, предусматривающая установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации и (или) иных связанных с ним объектов.

3.4 система защиты информации: Совокупность мер защиты информации, применение которых направлено на непосредственное обеспечение защиты информации, процессов применения указанных мер защиты информации, ресурсного и организационного обеспечения, необходимого для применения указанных мер защиты информации.

3.5 система организации и управления защитой информации: Совокупность мер защиты информации, применение которых направлено на обеспечение полноты и качества защиты информации, предназначенных для планирования, реализации, контроля и совершенствования процессов системы защиты информации.

3.6 объект информатизации финансовой организации (объект информатизации): Совокупность объектов и ресурсов доступа, средств и систем обработки информации, в том числе АС, используемых для обеспечения информатизации бизнес-процессов и (или) технологических процессов финансовой организации, используемых для предоставления финансовых услуг.
Примечание. Адаптировано из ГОСТ Р 51275
3.7 технологический процесс финансовой организации (технологический процесс): Набор взаимосвязанных операций с информацией и (или) объектами информатизации, используемых при функционировании финансовой организации и (или) необходимых для предоставления финансовых услуг.

3.8 объект доступа: Объект информатизации, представляющий собой аппаратное средство, средство вычислительной техники и (или) сетевое оборудование, в том числе входящие в состав АС финансовой организации.
Примечание. В составе основных типов объектов доступа рекомендуется как минимум рассматривать:
  • автоматизированные рабочие места (АРМ) пользователей; 
  • АРМ эксплуатационного персонала; 
  • серверное оборудование; 
  • сетевое оборудование; 
  • системы хранения данных; 
  • аппаратные модули безопасности (HSM); 
  • устройства печати и копирования информации; 
  • объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы).
3.9 ресурс доступа: Объект информатизации, представляющий собой совокупность информации и программного обеспечения (ПО) обработки информации.
Примечание. В составе основных типов ресурсов доступа рекомендуется как минимум рассматривать:
  • АС;
  • базы данных;
  • сетевые файловые ресурсы;
  • виртуальные машины, предназначенные для размещения серверных компонентов АС;
  • виртуальные машины, предназначенные для размещения АРМ пользователей и эксплуатационного персонала;
  • ресурсы доступа, относящиеся к сервисам электронной почты;
  • ресурсы доступа, относящиеся к WEB-сервисам финансовой организации в сетях Интранет и Интернет.
3.10 контур безопасности: Совокупность объектов информатизации, определяемая областью применения настоящего стандарта, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности), для которой финансовой организацией применяется единая политика (режим) защиты информации (единый набор требований к обеспечению защиты информации).

3.11 уровень защиты информации: Определенная совокупность мер защиты информации, входящих в состав системы защиты информации и системы организации и управления защитой информации, применяемых совместно в пределах контура безопасности для реализации политики (режима) защиты информации, соответствующей критичности (важности) защищаемой информации бизнес-процессов и (или) технологических процессов финансовой организации.

3.12 физический доступ к объекту доступа (физический доступ): Доступ к объекту доступа, включая доступ в помещение, в котором расположен объект доступа, позволяющий осуществить физическое воздействие на него.

3.13 логический доступ к ресурсу доступа (логический доступ): Доступ к ресурсу доступа, в том числе удаленный, реализуемый с использованием вычислительных сетей, позволяющий, в том числе без физического доступа, осуществить доступ к защищаемой информации или выполнить операции по обработке защищаемой информации.

3.14 субъект доступа: Работник финансовой организации или иное лицо, осуществляющий физический и (или) логический доступ, или программный сервис, осуществляющий логический доступ.
Примечание.В составе основных типов субъектов доступа в настоящем стандарте как минимум рассматриваются следующие:
  • пользователи — субъекты доступа, в том числе клиенты финансовой организации, осуществляющие доступ к объектам и (или) ресурсам доступа с целью использования финансовых услуг, предоставляемых информационной инфраструктурой финансовой организации;
  • эксплуатационный персонал — субъекты доступа, в том числе представители подрядных организаций, которые решают задачи обеспечения эксплуатации и (или) администрирования объектов и (или) ресурсов доступа, для которых необходимо осуществление логического доступа, включая задачи, связанные с эксплуатацией и администрированием технических мер защиты информации;
  • технический (вспомогательный) персонал — субъекты доступа, в том числе представители подрядных организаций, решающие задачи, связанные с обеспечением эксплуатации объектов доступа, для выполнения которых не требуется осуществление логического доступа, или выполняющие хозяйственную деятельность и осуществляющие физический доступ к объектам доступа без цели их непосредственного использования;
  • программные сервисы — процессы выполнения программ в информационной инфраструктуре, осуществляющие логический доступ к ресурсам доступа.


3.15 авторизация: Проверка, подтверждение и предоставление прав логического доступа при осуществлении субъектами доступа логического доступа.

3.16 идентификация: Присвоение для осуществления логического доступа субъекту (объекту) доступа уникального признака (идентификатора); сравнение при осуществлении логического доступа предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов.

3.17 аутентификация: Проверка при осуществлении логического доступа принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

3.18 регистрация событий защиты информации (регистрация): Фиксация данных о совершенных субъектами доступа действиях или данных о событиях защиты информации.

3.19 учетная запись: Логический объект (информация), существующий в пределах одного или нескольких ресурсов доступа и представляющий субъекта доступа в его (их) пределах.

3.20 техническая учетная запись: Учетная запись, используемая для осуществления логического доступа программными сервисами.

3.21 права логического доступа: Набор действий, разрешенных для выполнения субъектом доступа над ресурсом доступа с использованием соответствующей учетной записи.

3.22 роль логического доступа (роль): Заранее определенная совокупность функций и задач субъекта доступа, для выполнения которых необходим определенный набор прав логического доступа.

3.23 роль защиты информации: Заранее определенная совокупность функций и задач субъекта доступа, в том числе работника финансовой организации, связанных с применением организационных и (или) технических мер защиты информации.

3.24 легальный субъект доступа: Субъект доступа, наделенный финансовой организацией полномочиями на осуществление физического и (или) логического доступа.

3.25 аутентификационные данные: Данные в любой форме и на любом носителе, известные или принадлежащие легальному субъекту доступа — легальному владельцу аутентификационных данных, или данные, которыми обладает легальный субъект доступа, используемые для выполнения процедуры аутентификации при осуществлении логического доступа.

3.26 компрометация аутентификационных данных: Событие, связанное с возникновением возможности использования аутентификационных данных субъектом, не являющимся легальным владельцем указанных аутентификационных данных.

3.27 фактор аутентификации: Блок данных, используемых при аутентификации субъекта или объекта доступа. Подробнее.
Примечание. Адаптировано из [4].
Факторы аутентификации подразделяются на следующие три категории:
  • что-то, что субъект или объект доступа знает, например пароли легальных субъектов доступа, ПИН-коды;
  • что-то, чем субъект или объект доступа обладает, например данные, хранимые на персональных технических устройствах аутентификации: токенах, смарт-картах и иных носителях;
  • что-то, что свойственно субъекту или объекту доступа, например биометрические данные физического лица — легального субъекта доступа.


3.28 однофакгорная аутентификация: Аутентификация, для осуществления которой используется один фактор аутентификации.

3.29 многофакторная аутентификация: Аутентификация, для осуществления которой используются два и более различных факторов аутентификации. Подробнее.

3.30 двухсторонняя аутентификация: Метод аутентификации объектов и ресурсов доступа, обеспечивающий взаимную проверку принадлежности предъявленных объектом (ресурсом) доступа идентификаторов при их взаимодействии.
Примечание. Адаптировано из [4].


3.31 событие защиты информации: Идентифицированное возникновение и (или) изменение состояния объектов информатизации финансовой организации, действия работников финансовой организации и (или) иных лиц, указывающие на возможный (потенциальный) инцидент защиты информации.

3.32 инцидент защиты информации: Одно или серия связанных нежелательных или неожиданных событий защиты информации, которые могут привести к риску нарушения выполнения бизнес-процессов, технологических процессов финансовой организации и (или) нарушить безопасность информации.
Примечание. Адаптировано из ГОСТ Р ИСО/МЭК27001.
В составе типов инцидентов защиты информации рекомендуется как минимум рассматривать:
  • несанкционированный доступ к информации;
  • нарушение в обеспечении защиты информации, включая нарушение работы технических мер защиты информации, появление уязвимостей защиты информации;
  • нарушение требований законодательства Российской Федерации, в том числе нормативных актов Банка России, внутренних документов финансовой организации в области обеспечения защиты информации;
  • нарушение регламентированных сроков выполнения процедур и операций в рамках предоставления финансовых услуг;
  • нарушение установленных показателей предоставления финансовых услуг;
  • нанесение финансового ущерба финансовой организации, ее клиентам и контрагентам;
  • выполнение операций (транзакций), приводящих к финансовым последствиям финансовой организации, ее клиентов и контрагентов, осуществление переводов денежных средств по распоряжению лиц, не обладающих соответствующими полномочиями, или с использованием искаженной информации, содержащейся в соответствующих распоряжениях (электронных сообщениях).


3.33 управление инцидентами защиты информации: Деятельность по своевременному обнаружению инцидентов защиты информации, адекватному и оперативному реагированию на них, направленная на минимизацию и (или) ликвидацию негативных последствий от инцидентов защиты информации для финансовой организации и (или) ее клиентов, а также на снижение вероятности повторного возникновения инцидентов защиты информации.

3.34 группа реагирования на инциденты защиты информации; ГРИЗИ: Действующая на постоянной основе группа работников финансовой организации и (или) иных лиц, привлекаемых ею, которая выполняет регламентированные в финансовой организации процедуры реагирования на инциденты защиты информации.

3.35 информация конфиденциального характера: Информация, для которой в соответствии с законодательством Российской Федерации, в том числе нормативными актами Банка России, и (или) внутренними документами финансовой организации обеспечивается сохранение свойства конфиденциальности.

3.36 утечка информации: Неконтролируемое финансовой организацией распространение информации конфиденциального характера.
Примечание. Адаптировано из ГОСТ Р 53114.


3.37 защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого финансовой организацией распространения информации конфиденциального характера.
Примечание. Адаптировано из ГОСТ Р 50922.


3.38 серверные компоненты виртуализации: Совокупность гипервизора, технических средств, необходимых для функционирования гипервизора, технических средств, предназначенных для управления и администрирования гипервизора, ПО, предназначенного для предоставления доступа к виртуальным машинам с АРМ пользователей (например, брокер соединений).

3.39 базовый образ виртуальной машины: Образ виртуальной машины, используемый в качестве первоначального образа при запуске (загрузке) виртуальной машины.

3.40 текущий образ виртуальной машины: Образ виртуальной машины в определенный (текущий) момент времени ее функционирования.

3.41 информационный обмен между виртуальными машинами: Межпроцессорное взаимодействие, а также сетевые информационные потоки между виртуальными машинами, в том числе реализуемые средствами гипервизора и виртуальными вычислительными сетями.

3.42 система хранения данных виртуализации (система хранения данных): Совокупность технических средств, предназначенных для хранения данных, используемых при реализации виртуализации, в том числе образов виртуальных машин и данных, обрабатываемых виртуальными машинами.

3.43 защита от вредоносного кода на уровне гипервизора: Способ реализации защиты от вредоносного кода виртуальных машин с использованием программных средств защиты от вредоносного кода, функционирующих как отдельные виртуальные машины на уровне гипервизора, без непосредственной установки агентов на защищаемые виртуальные машины.

3.44 централизованное управление техническими мерами защиты информации: Управление средствами и системами, реализующими технические меры защиты информации, множественно размещаемыми на АРМ пользователей и эксплуатационного персонала.
Примечание. В составе функций централизованного управления рассматриваются:
  • автоматизированные установка и обновление ПО технических мер защиты информации, получаемых из единого (эталонного) источника;
  • автоматизированное обновление сигнатурных баз в случае их использования, получаемых из единого (эталонного) источника, с установленной периодичностью;
  • автоматизированное установление параметров настроек технических мер защиты информации, получаемых из единого (эталонного) источника;
  • контроль целостности ПО технических мер защиты информации, параметров настроек технических мер защиты информации и сигнатурных баз при осуществлении их автоматизированной установки и (или) обновлении;
  • контроль целостности единого (эталонного) источника ПО технических мер защиты информации, параметров настроек технических мер защиты информации и сигнатурных баз;
  • централизованный сбор данных регистрации о событиях защиты информации, формируемых техническими мерами защиты информации.

3.45 удаленный доступ работника финансовой организации (удаленный доступ): Логический доступ работников финансовых организаций, реализуемый из-за пределов вычислительных сетей финансовых организаций.

3.46 ресурс персональных данных: База данных или иная совокупность персональных данных (ПДн) многих субъектов ПДн, объединенных общими целями обработки, обрабатываемых финансовой организацией с использованием или без использования объектов информатизации, в том числе АС.



к Оглавлению ГОСТ 57580.1-2017 | Назад | Вперед


Рейтинг@Mail.ru Яндекс.Метрика