№ | Термины и определения | Сокращение | Иностранный аналог | Описание | Примечание | Полное наименование стандарта | Год принятия стандарта | Соответствие международному стандарту |
1 | Активы | Asset | Все, что имеет ценность для организации | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" | ||
2 | Анализ риска | Risk analysis | Систематическое использование информации для определения источников риска и количественной оценки риска | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" | ||
3 | Доступность | Availability | Cвойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" | ||
4 | Информационная безопасность | ИБ | Information security | Защита конфиденциальности, целостности и доступности информации; кроме того, сюда могут быть отнесены и другие свойства, например аутентичность, подотчетность, неотказуемость и надежность | ГОСТ Р ИСО/МЭК 27002-2012 "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности" | 2012 | ISO/IEC 27002:2005 "Information technology - Security techniques - Code of practice for information security management" | |
5 | Информационная безопасность | ИБ | Information security | Свойство информации сохранять конфиденциальность, целостность и доступность | Кроме того, данное понятие может включать в себя также и свойство сохранять аутентичность, подотчетность, неотказуемость и надежность. | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" |
6 | Инцидент информационной безопасности | Information security incident | Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность | Инцидентами информационной безопасности являются: - утрата услуг, оборудования или устройств; - системные сбои или перегрузки; - ошибки пользователей; - несоблюдение политики или рекомендаций по ИБ; - нарушение физических мер защиты; - неконтролируемые изменения систем; - сбои программного обеспечения и отказы технических средств; - нарушение правил доступа. | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" | |
7 | Инцидент информационной безопасности | Information security incident | Какой-либо инцидент информационной безопасности, являющийся следствием одного или нескольких нежелательных или неожиданных событий информационной безопасности, которые имеют значительную вероятность компрометации операции бизнеса или создания угрозы информационной безопасности | ГОСТ Р ИСО/МЭК 27002-2012 "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности" | 2012 | ISO/IEC 27002:2005 "Information technology - Security techniques - Code of practice for information security management" | ||
8 | Конфиденциальность | Сonfidentiality | Cвойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" | ||
9 | Менеджмент риска | Risk management | Скоординированные действия по руководству и управлению организацией в отношении риска | Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникацию риска | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" | |
10 | Мера и средство контроля и управления | Control | Средство менеджмента риска, включающее в себя политики, процедуры, рекомендации, инструкции или организационные структуры, которые могут быть административного, технического, управленческого или правового характера | Термин "мера и средство контроля и управления" также используется как синоним терминов "защитная мера" (safeguard) или "контрмера" (countermeasure) | ГОСТ Р ИСО/МЭК 27002-2012 "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности" | 2012 | ISO/IEC 27002:2005 "Information technology - Security techniques - Code of practice for information security management" | |
11 | Обработка риска | Risk treatment | Процесс выбора и осуществления мер по модификации риска | Примечания: 1. Меры по обработке риска могут включать в себя избежание, оптимизацию, перенос или сохранение риска. 2. В настоящем стандарте термин "мера управления" (control) использован как синоним термина "мера" (measure). | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" | |
12 | Остаточный риск | Residual risk | Риск, остающийся после его обработки | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" | ||
13 | Оценивание риска | Risk evaluation | Процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" | ||
14 | Оценка риска | Risk assessment | Общий процесс анализа риска и его оценивания | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" | ||
15 | Политика | Policy | Общее намерение и направление, официально выраженное руководством | ГОСТ Р ИСО/МЭК 27002-2012 "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности" | 2012 | ISO/IEC 27002:2005 "Information technology - Security techniques - Code of practice for information security management" | ||
16 | Положение о применимости | Statement of applicability | Документированное предписание, определяющее цели и меры управления, соответствующие и применимые к системе менеджмента информационной безопасности организации | Цели и меры управления основываются на результатах и выводах процессов оценки и обработки рисков, на требованиях законодательных или нормативных актов, на обязательствах по контракту и бизнес-требованиях организации по отношению к информационной безопасности | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" | |
17 | Принятие риска | Risk acceptance | Решение по принятию риска | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" | ||
18 | Рекомендация | Guideline | Описание, поясняющее действия и способы их выполнения, необходимые для достижения целей, изложенных в политике | ГОСТ Р ИСО/МЭК 27002-2012 "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности" | 2012 | ISO/IEC 27002:2005 "Information technology - Security techniques - Code of practice for information security management" | ||
19 | Риск | Risk | Сочетание вероятности события и его последствий | ГОСТ Р ИСО/МЭК 27002-2012 "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности" | 2012 | ISO/IEC 27002:2005 "Information technology - Security techniques - Code of practice for information security management" | ||
20 | Система менеджмента информационной безопасности | СМИБ | Information security management system; ISMS | Часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности | Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" |
21 | Событие информационной безопасности | Information security event | Какое-либо событие информационной безопасности, идентифицируемое появлением определенного состояния системы, сервиса или сети, указывающее на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности | ГОСТ Р ИСО/МЭК 27002-2012 "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности" | 2012 | ISO/IEC 27002:2005 "Information technology - Security techniques - Code of practice for information security management" | ||
22 | Событие информационной безопасности | Information security event | Идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности, отказ защитных мер, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" | ||
23 | Средства обработки информации | Information processing facilities | Любая система обработки информации, услуга или инфраструктура, или их фактическое месторасположение | ГОСТ Р ИСО/МЭК 27002-2012 "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности" | 2012 | ISO/IEC 27002:2005 "Information technology - Security techniques - Code of practice for information security management" | ||
24 | Третья сторона | Third party | Лица или организация, которые признаны независимыми от участвующих сторон, по отношению к рассматриваемой проблеме | ГОСТ Р ИСО/МЭК 27002-2012 "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности" | 2012 | ISO/IEC 27002:2005 "Information technology - Security techniques - Code of practice for information security management" | ||
25 | Угроза | Threat | Потенциальная причина нежелательного инцидента, результатом которого может быть нанесение ущерба системе или организации | ГОСТ Р ИСО/МЭК 27002-2012 "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности" | 2012 | ISO/IEC 27002:2005 "Information technology - Security techniques - Code of practice for information security management" | ||
26 | Уязвимость | Vulnerability | Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами | ГОСТ Р ИСО/МЭК 27002-2012 "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности" | 2012 | ISO/IEC 27002:2005 "Information technology - Security techniques - Code of practice for information security management" | ||
27 | Целостность | Integrity | Свойство сохранять правильность и полноту активов | ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" | 2006 | ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements" |
Термины и определения
Подписаться на:
Сообщения
(
Atom
)
Комментариев нет :
Отправить комментарий