Основные термины.

Я обещал писать понятно. Но от минимальной терминологии не уйти. Здесь будут даны самые необходимые термины и аббревиатуры без которых мы не поймем друг друга. На всякий случай название каждого термина будет представлено в виде гиперссылки на более развернутое описание. Сразу оговорюсь: я не сторонник выдумывать своё толкование терминов. Правильное толкование (описание, значение, расшифровка) это то, которое даёт законодатель! Избегайте других толкований.

Не нужно стремится запомнить все термины и определения, просто возвращайтесь к этой таблице в случае необходимости.

Термин Определение Комментарий

152 Федералный Закон (ФЗ-152)

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»

Полный перечень нормативных документов здесь.

1119 Постановление  правительства (ПП-1119)

Постановление правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

 Раскрывает требования ФЗ-152 в части защиты персональных данных.

Администратор безопасности

Функциональная роль в информационной системе, отвечающая за информационную безопасность в этой системе и имеющая право назначать иные роли и распределять права доступа

 У это термина много определений в различных источниках. Здесь приведено краткое суммирующее определение, достаточное для понимания роли.

Защита информации (ЗИ)

Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию

 Термин определён в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»

Защищаемая информация

Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации

 Термин определён в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»

Информационная безопасность (ИБ)

Непрерывный во времени процесс обеспечения одно или нескольких атрибутов защищаемой информации: конфиденциальность, целостность, доступность.

 У это термина просто потрясающее количество определений в различных источниках. Здесь приведено определение ИБ как процесса. Именно в таком виде оно нам понадобится в наших документах.

Информационная система (ИС)

Совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств.

 Определение дано в Федеральном законе Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Информационная система персональных данных (ИСПДн)

Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 Определение дано в ФЗ-152. Спорное опеределение, но уж какое есть. Законодателя не выбирают  🙂 

Инцидент информационной безопасности (Инцидент ИБ)

Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

Примечание:

Инцидентами информационной безопасности являются:

  • утрата услуг, оборудования или устройств;
  • системные сбои или перегрузки;
  • ошибки пользователей;
  • несоблюдение политики или рекомендаций по ИБ;
  • нарушение физических мер защиты;
  • неконтролируемые изменения систем;
  • сбои программного обеспечения и отказы технических средств;
  • нарушение правил доступа.

 Термин определён в ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»

Коммерческая тайна (В значении: информация, составляющая коммерческую тайну) (КТ)

Сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны

 Определение дано в Федеральном законе Российской Федерации  от 29.07.2004 N 98-ФЗ «О коммерческой тайне».

Контролируемая зона (КЗ)

Пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств.

К границам контролируемой зоны могут быть отнесены ограждающие конструкции помещений, территории относящихся к вашей организации (заборы, стены, двери, окна, потолки и пр.).
Обратите внимание на фразу «исключено неконтролируемое пребывание». Т.е. границы КЗ должны быть замкнуты и проход в границы КЗ должен быть каким-либо способом ограничен и контролироваться (охранник, система контроля и управления доступом (СКУД) и пр.)

Модель угроз безопасности информации (МУ)

Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Термин определён в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»

Несанкционированный доступ к информации (НСД)

Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

 Термин определён в РД «Защита от несанкционированного доступа к информации. Термины и определения.»

Носитель защищаемой информации

Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит своё отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

 Термин определён в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»

Обработка персональных данных

Любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (в том числе распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 Обратите внимание: «любое действие«. Очень часто приходится слышать: «Да мы ничего не обрабатываем, мы просто копии паспортов в папочку складываем».

Определение дано в ФЗ-152.

Ответственный за защиту информации

Отдельный сотрудник или выделенное подразделение обязанность по защите информации на которых возложена приказом руководителя организации. 

 Действующая нормативная база подразумевает наличие целого отряда ответственных. Этот один из них. Отвечает за защиту информации в целом (а не только за защиту ПДн или КТ). Часто эту функцию выполняет выделенное подразделение (отдел, группа) по защите информации.

Оператор

Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Определение дано в ФЗ-152.

Персональные данные (ПДн)

 

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

 

Так написано в ФЗ-152. Т.е. нигде не написано что это именно ФИО, паспортные данные или еще что-то. Нет, это ЛЮБАЯ совокупность сведений (в том числе и косвенных), которая позволяет идентифицировать человека. Кстати ФИО, в отрыве от других сведений, к персональных данным не относится так как полных тёзок в мире очень много. А вот ФИО и адрес проживания, или ФИО и номер паспорта уже позволяют идентифицировать конкретную личность и относятся к ПДн.

Подсистема информационной безопасности (ПИБ)

Структурная часть общей системы информационной безопасности Общества. Подсистема информационной безопасности служит для реализации технических защитных мер в отношении: отдельной информационной системы; сети передачи данных или её сегмента; автоматизированного рабочего места; конкретной категории защищаемой информации. 

Т.е.  это функциональная часть от всей построенной в организации системы информационной безопасности. Допустим мы защищает и КТ и ПДн. Требования и меры по защите отличаются, поэтому и применяемые решения для защиты тоже отличаются. Удобно разделять всю систему на подсистемы. Когда мы пишем «ПИБ ИСПДн», то имеем в виду, что это та часть системы безопасности, которая выполняет требования ФЗ-152 (и его подзаконных актов) по защите ПДн.

Режим коммерческой тайны (режим КТ)

Режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду

 Термин определён в Федеральном Законе Российской федерации от 29.07.2004г. №98-ФЗ «О коммерческой тайне».

Сертификация на соответствие требованиям по безопасности информации

Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки[1] требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров

[1] К объектам оценки могут относиться: средства защиты информации, средства контроля эффективности защиты информации.

 Термин определён в Федеральном законе Российской Федерации от 27.12.2002 N 184-ФЗ «О техническом регулировании».

Средство защиты информации (СЗИ)

Техническое и(или) программное средство предназначенное или используемое для защиты информации.

 Термин определён в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»

Средство криптографической защиты информации (СКЗИ)

Совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем и осуществлять криптографическое преобразование информации для обеспечения ее безопасности.

 Термин определён в: 

Система обеспечения информационной безопасности (СОИБ)

Функционирующая как единое целое совокупность средств и мероприятий, и применяемых при проведении мероприятий мер, устремлённая на ликвидацию внутренних и внешних угроз жизненно важным интересам субъекта безопасности, создание, поддержание и развитие состояния защищённости его информационной среды.

Обратите внимание, что СОИБ — это совокупность как организационных так и технических мер по защите информации.

 

 

Вы можите оставить комментарий, или поставить трэкбек со своего сайта.

Написать комментарий

XHTML: Вы можете использовать эти теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>