Я обещал писать понятно. Но от минимальной терминологии не уйти. Здесь будут даны самые необходимые термины и аббревиатуры без которых мы не поймем друг друга. На всякий случай название каждого термина будет представлено в виде гиперссылки на более развернутое описание. Сразу оговорюсь: я не сторонник выдумывать своё толкование терминов. Правильное толкование (описание, значение, расшифровка) это то, которое даёт законодатель! Избегайте других толкований.
Не нужно стремится запомнить все термины и определения, просто возвращайтесь к этой таблице в случае необходимости.
Термин | Определение | Комментарий |
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» |
Полный перечень нормативных документов здесь. |
|
Постановление правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» |
Раскрывает требования ФЗ-152 в части защиты персональных данных. |
|
Функциональная роль в информационной системе, отвечающая за информационную безопасность в этой системе и имеющая право назначать иные роли и распределять права доступа |
У это термина много определений в различных источниках. Здесь приведено краткое суммирующее определение, достаточное для понимания роли. |
|
Защита информации (ЗИ) |
Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию |
Термин определён в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» |
Защищаемая информация |
Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации |
Термин определён в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» |
Непрерывный во времени процесс обеспечения одно или нескольких атрибутов защищаемой информации: конфиденциальность, целостность, доступность. |
У это термина просто потрясающее количество определений в различных источниках. Здесь приведено определение ИБ как процесса. Именно в таком виде оно нам понадобится в наших документах. | |
Информационная система (ИС) |
Совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств. |
Определение дано в Федеральном законе Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» |
Информационная система персональных данных (ИСПДн) |
Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. |
Определение дано в ФЗ-152. Спорное опеределение, но уж какое есть. Законодателя не выбирают 🙂 |
Инцидент информационной безопасности (Инцидент ИБ) |
Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Примечание: Инцидентами информационной безопасности являются:
|
Термин определён в ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» |
Коммерческая тайна (В значении: информация, составляющая коммерческую тайну) (КТ) |
Сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны |
Определение дано в Федеральном законе Российской Федерации от 29.07.2004 N 98-ФЗ «О коммерческой тайне». |
Контролируемая зона (КЗ) |
Пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств. |
К границам контролируемой зоны могут быть отнесены ограждающие конструкции помещений, территории относящихся к вашей организации (заборы, стены, двери, окна, потолки и пр.). |
Модель угроз безопасности информации (МУ) |
Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации. |
Термин определён в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» |
Несанкционированный доступ к информации (НСД) |
Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. |
Термин определён в РД «Защита от несанкционированного доступа к информации. Термины и определения.» |
Носитель защищаемой информации |
Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит своё отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. |
Термин определён в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» |
Обработка персональных данных |
Любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (в том числе распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. |
Обратите внимание: «любое действие«. Очень часто приходится слышать: «Да мы ничего не обрабатываем, мы просто копии паспортов в папочку складываем». Определение дано в ФЗ-152. |
Ответственный за защиту информации |
Отдельный сотрудник или выделенное подразделение обязанность по защите информации на которых возложена приказом руководителя организации. |
Действующая нормативная база подразумевает наличие целого отряда ответственных. Этот один из них. Отвечает за защиту информации в целом (а не только за защиту ПДн или КТ). Часто эту функцию выполняет выделенное подразделение (отдел, группа) по защите информации. |
Оператор |
Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными |
Определение дано в ФЗ-152. |
|
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
|
Так написано в ФЗ-152. Т.е. нигде не написано что это именно ФИО, паспортные данные или еще что-то. Нет, это ЛЮБАЯ совокупность сведений (в том числе и косвенных), которая позволяет идентифицировать человека. Кстати ФИО, в отрыве от других сведений, к персональных данным не относится так как полных тёзок в мире очень много. А вот ФИО и адрес проживания, или ФИО и номер паспорта уже позволяют идентифицировать конкретную личность и относятся к ПДн. |
Подсистема информационной безопасности (ПИБ) |
Структурная часть общей системы информационной безопасности Общества. Подсистема информационной безопасности служит для реализации технических защитных мер в отношении: отдельной информационной системы; сети передачи данных или её сегмента; автоматизированного рабочего места; конкретной категории защищаемой информации. |
Т.е. это функциональная часть от всей построенной в организации системы информационной безопасности. Допустим мы защищает и КТ и ПДн. Требования и меры по защите отличаются, поэтому и применяемые решения для защиты тоже отличаются. Удобно разделять всю систему на подсистемы. Когда мы пишем «ПИБ ИСПДн», то имеем в виду, что это та часть системы безопасности, которая выполняет требования ФЗ-152 (и его подзаконных актов) по защите ПДн. |
Режим коммерческой тайны (режим КТ) |
Режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду |
Термин определён в Федеральном Законе Российской федерации от 29.07.2004г. №98-ФЗ «О коммерческой тайне». |
Сертификация на соответствие требованиям по безопасности информации |
Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки[1] требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров [1] К объектам оценки могут относиться: средства защиты информации, средства контроля эффективности защиты информации. |
Термин определён в Федеральном законе Российской Федерации от 27.12.2002 N 184-ФЗ «О техническом регулировании». |
Средство защиты информации (СЗИ) |
Техническое и(или) программное средство предназначенное или используемое для защиты информации. |
Термин определён в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» |
Средство криптографической защиты информации (СКЗИ) |
Совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем и осуществлять криптографическое преобразование информации для обеспечения ее безопасности. |
Термин определён в: |
Система обеспечения информационной безопасности (СОИБ) |
Функционирующая как единое целое совокупность средств и мероприятий, и применяемых при проведении мероприятий мер, устремлённая на ликвидацию внутренних и внешних угроз жизненно важным интересам субъекта безопасности, создание, поддержание и развитие состояния защищённости его информационной среды. |
Обратите внимание, что СОИБ — это совокупность как организационных так и технических мер по защите информации.
|