ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности

Терминология ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности:

3.4 активы (asset): Все, что имеет ценность для организации [2].

Определения термина из разных документов: активы

3.58 анализ риска (risk analysis): Систематический процесс определения величины рисков [2].

Определения термина из разных документов: анализ риска

3.5 аудит (audit): Служба, задачей которой является проверка наличия адекватных мер контроля и сообщение руководству соответствующего уровня о несоответствиях.

Определения термина из разных документов: аудит

3.7 аутентификация (authentication): Предоставление гарантии заявленной идентичности объекта. [ИСО/МЭК 10181-1:1196] [4], [ИСО/МЭК ТО 13335-4:2000] [5]

Определения термина из разных документов: аутентификация

3.8 аутентичность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Примечание - Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.

Определения термина из разных документов: аутентичность

3.65 безопасность (security): Качество или состояние защищенности от несанкционированного доступа или неконтролируемых потерь или воздействий.

Примечания

1 Абсолютная безопасность является практически недостижимой, а качество определенной системы безопасности - относительным.

2 В рамках системы безопасности «состояние - модель» безопасность является таким «состоянием», которое должно сохраняться при различных операциях.

Определения термина из разных документов: безопасность

3.11 биометрические данные (biometric): Измеримая биологическая или поведенческая характеристика, с достоверностью отличающая одного человека от другого, используемая для установления либо подтверждения личности человека.

[ANSI X9.84:2003] [6]

Определения термина из разных документов: биометрические данные

3.12 биометрия (biometrics): Автоматические методы, используемые для распознавания личности или подтверждения заявленной личности человека на основе физиологических или поведенческих характеристик.

Определения термина из разных документов: биометрия

3.43 гарантийное письмо (letter of assurance): Документ, описывающий меры обеспечения информационной безопасности, применяемые для защиты информации, хранимой по поручению получателя письма.

Определения термина из разных документов: гарантийное письмо

3.27 двойной контроль (dual control): Процесс использования двух или более отдельных логических объектов (обычно людей), действующих совместно для обеспечения защиты важных функций или информации [3].

Примечания

1 Оба логических объекта несут равную ответственность за обеспечение физической защиты материалов, задействованных в уязвимых операциях. Ни один человек в отдельности не может получить доступ к материалам (например, криптографическому ключу) или использовать их.

2 При ручном формировании, передаче, загрузке, хранении и извлечении ключей и сертификатов двойной контроль требует, чтобы каждый из сотрудников знал только часть ключа.

3 При использовании двойного контроля следует позаботиться о том, чтобы обеспечить независимость лиц друг от друга.

Определения термина из разных документов: двойной контроль

3.54 достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам [2]:

Определения термина из разных документов: достоверность

3.9 доступность (availability): Характеристика, определяющая доступность и используемость по запросу со стороны авторизованного логического объекта [1], [2].

Определения термина из разных документов: доступность

3.6 журнал аудита (audit journal): Запись в хронологическом порядке действий системы, содержащей достаточно сведений для того, чтобы реконструировать, проанализировать и проверить последовательность сред и действий, окружающих каждое событие или ведущих к каждому событию по ходу операции от ее начала до выдачи окончательных результатов.

[ИСО 15782-1:2003] [3]

Определения термина из разных документов: журнал аудита

3.64 защитная мера (safeguard): Сложившаяся практика, процедура или механизм обработки риска [2].

Примечание - Следует заметить, что понятие «защитная мера» может считаться синонимом понятия «мера управления».

Определения термина из разных документов: защитная мера

3.73 идентификатор пользователя (user ID): Строка символов, используемая для однозначной идентификации каждого пользователя системы.

Определения термина из разных документов: идентификатор пользователя

3.30 идентификация (identification): Процесс установления единственным образом однозначной идентичности объекта [5].

Определения термина из разных документов: идентификация

3.61 идентификация риска (risk identification): Процесс идентификации рисков, рассматривающий бизнес-цели, угрозы и уязвимости как основу для дальнейшего анализа.

Определения термина из разных документов: идентификация риска

3.36 информационная безопасность (information security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки [2].

Определения термина из разных документов: информационная безопасность

3.35 информационные активы (information asset): Информационные ресурсы или средства обработки информации организации.

Определения термина из разных документов: информационные активы

3.38 информационные ресурсы (information resource): Оборудование, используемое для обработки, передачи или хранения информации, независимо от того, находится оно внутри организации или за ее пределами.

Примечание - К подобному оборудованию относятся: телефоны, факсимильные аппараты и компьютеры.

Определения термина из разных документов: информационные ресурсы

3.34 информация (information): Любые данные, представленные в электронной форме, написанные на бумаге, высказанные на совещании или находящиеся на любом другом носителе, используемые финансовым учреждением для принятия решений, перемещения денежных средств, установления ставок, предоставления ссуд, обработки операций и т.п., включая компоненты программного обеспечения системы обработки.

Определения термина из разных документов: информация

3.32 инцидент (incident): Любое непредвиденное или нежелательное событие, которое может нарушать деятельность или информационную безопасность [2].

Примечание - К инцидентам информационной безопасности относятся:

- утрата услуг, оборудования или устройств;

- системные сбои или перегрузки;

- ошибки пользователей;

- несоблюдение политик или рекомендаций;

- нарушение физических защитных мер;

- неконтролируемые изменения систем;

- сбои программного обеспечения и отказы технических средств;

- нарушение правил доступа.

Определения термина из разных документов: инцидент

3.41 использование фальшивого чека (kiting): Использование фальшивого чека для получения кредита или денег.

Определения термина из разных документов: использование фальшивого чека

3.69 карточка хранения ценностей (stored value card): Устройство, позволяющее хранить и осуществлять операции с электронными деньгами.

Определения термина из разных документов: карточка хранения ценностей

3.14 классификация (classification): Схема, в соответствии с которой информация подразделяется на категории с целью применения соответствующих защитных мер против этих категорий.

Примечание - Соответствующие защитные меры применяют для следующих категорий: возможность мошенничества, конфиденциальность или критичность информации.

Определения термина из разных документов: классификация

3.40 ключ (key): По 3.23, термин «Криптографический ключ».

Определения термина из разных документов: ключ

3.45 код аутентификации сообщений (КАС) (message authentication code MAC): Код, который присоединяется к сообщению его автором, являющийся результатом обработки сообщения посредством криптографического процесса.

Примечание - Если получатель может создать такой же код, возникает уверенность в том, что сообщение не было модифицировано и что оно исходит от владельца соответствующего криптографического ключа.

Определения термина из разных документов: код аутентификации сообщений (КАС)

3.15 конфиденциальность (confidentialit): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса [1], [2], [3].

Определения термина из разных документов: конфиденциальность

3.19 кредитный риск (credit risk): Риск того, что контрагент в системе будет не способен полностью выполнить свои финансовые обязательства в системе в срок или в любое время в будущем.

[CPSS Ключевые принципы для системно значимых платежных систем] [7]

Определения термина из разных документов: кредитный риск

3.22 криптографическая аутентификация (cryptographic authentication): Аутентификация, основанная на цифровой подписи, коде аутентификации сообщения, генерируемых в соответствии с криптографическим ключом.

Определения термина из разных документов: криптографическая аутентификация

3.23 криптографический ключ (cryptographic key): Значение, используемое для управления криптографическим процессом, таким как шифрование или аутентификация.

Примечание - Знание соответствующего криптографического ключа дает возможность правильно дешифровать сообщение или подтвердить его целостность.

Определения термина из разных документов: криптографический ключ

3.21 криптография (cryptography): Математический аппарат, используемый для шифрования или аутентификации информации.

Определения термина из разных документов: криптография

3.20 критичность (criticality): Требования к тому, чтобы конкретная информация или средства обработки информации были доступны для ведения бизнеса.

Определения термина из разных документов: критичность

3.37 лицо, ответственное за информационную безопасность (information security officer): Лицо, отвечающее за внедрение и поддержку программы обеспечения информационной безопасности.

Определения термина из разных документов: лицо, ответственное за информационную безопасность

3.29 межсетевой экран (firewall): Совокупность компонентов, помещенных между двумя сетями, которые вместе обладают следующими свойствами:

- весь входящий и исходящий сетевой трафик должен проходить через межсетевой экран;

- пропускается только сетевой трафик, авторизованный в соответствии с локальной политикой безопасности;

- межсетевой экран сам по себе устойчив к проникновению.

Определения термина из разных документов: межсетевой экран

3.62 менеджмент риска (risk management): Полный процесс идентификации, контроля, устранения или уменьшение последствий вероятных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий [2].

Определения термина из разных документов: менеджмент риска

3.17 мера управления (control): По 3.64, термин «защитная мера».

Определения термина из разных документов: мера управления

3.13 метод аутентификации карточек (МАК) (card authentication method (CAM)): Метод, делающий возможной уникальную машиночитаемую идентификацию банковской карточки для финансовых операций и предотвращающий копирование карт.

Определения термина из разных документов: метод аутентификации карточек

3.46 модификация информации (modification of information): Обнаруженное или необнаруженное несанкционированное или случайное изменение информации.

Определения термина из разных документов: модификация информации

3.49 неотказуемость (non-repudiation): Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты [1], [2].

[ИСО/МЭК 13888-1:2004] [9]

Определения термина из разных документов: неотказуемость

3.51 обладатель информации (owner of information): Работник или служба, отвечающие за сбор и сохранение данной совокупности информации.

Определения термина из разных документов: обладатель информации

3.63 обработка риска (risk treatment): Процесс выбора и реализации мер по изменению рисков.

Определения термина из разных документов: обработка риска

3.31 образ (image): Цифровое представление документа для обработки или хранения в системе обработки информации.

Определения термина из разных документов: образ

3.50 операционный риск (operational risk): Риск того, что операционные факторы, такие как технические нарушения функционирования или операционные ошибки, вызовут или усугубят кредитный риск или риск ликвидности [7].

Определения термина из разных документов: операционный риск

3.55 остаточный риск (residual risk): Риск, остающийся после его обработки [2].

Определения термина из разных документов: остаточный риск

3.60 оценивание риска (risk evaluation): Процесс сравнения проанализированных уровней риска с заранее установленными критериями и идентификации областей, где требуется обработка риска.

Определения термина из разных документов: оценивание риска

3.59 оценка риска (risk assessment): Процесс, объединяющий идентификацию риска, анализ риска и оценивание риска [2].

Определения термина из разных документов: оценка риска

3.52 пароль (password): Строка символов, служащая в качестве аутентификатора пользователя.

Определения термина из разных документов: пароль

3.16 план действий в чрезвычайных обстоятельствах (contingency plan): Порядок действия, который позволяет организации восстановить работу после природного или иного бедствия.

Определения термина из разных документов: план действий в чрезвычайных обстоятельствах

3.2 подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.

[ИСО 7498-2:1989] [1], [ИСО/МЭК 13335-1:2004] [2]

Определения термина из разных документов: подотчетность

3.18 политика информационной безопасности организации [политика] (corporate information security policy) [policy]: Общее положение о намерениях и целях разработки программы обеспечения информационной безопасности организации.

Определения термина из разных документов: политика информационной безопасности организации

3.42 правовой риск (legal risk): Риск потерь из-за непредвиденного применения закона или нормативного акта или из-за невозможности выполнения контракта [7].

Определения термина из разных документов: правовой риск

3.47 принцип необходимого знания (need to know): Концепция безопасности, ограничивающая доступ к информации и ресурсам обработки информации в объеме, необходимом для выполнения обязанностей данного лица.

Определения термина из разных документов: принцип необходимого знания

3.57 принятие риска (risk acceptance): Решение организации взять риск на себя, связанное с исключением в политике.

Определения термина из разных документов: принятие риска

3.68 разделенное знание (split knowledge): Разделение критичной информации на множество частей так, чтобы требовалось наличие минимального числа частей, перед выполнением какого-либо действия.

Примечание - Разделенное знание часто используется для осуществления двойного контроля.

Определения термина из разных документов: разделенное знание

3.26 раскрытие информации (disclosure of information): Несанкционированный просмотр или потенциальная возможность несанкционированного просмотра информации.

Определения термина из разных документов: раскрытие информации

3.67 регистрация (sign-on): Завершение идентификации и аутентификации пользователя.

Определения термина из разных документов: регистрация

3.10 резервное копирование (back-up): Сохранение бизнес-информации для обеспечения непрерывности бизнес-процесса в случае утраты информационных ресурсов.

Определения термина из разных документов: резервное копирование

3.56 риск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов [2].

Примечание - Определяется как сочетание вероятности события и его последствий.

Определения термина из разных документов: риск

3.44 риск ликвидности (liquidity risk): Риск того, что у контрагента в системе будет недостаточно средств для выполнения своих финансовых обязательств в системе в полном объеме в срок, хотя существует возможность, что он сможет сделать это в какой-то момент в будущем [7].

Определения термина из разных документов: риск ликвидности

3.66 сервер (server): Компьютер, действующий как поставщик некоторых услуг, таких как обработка коммуникаций, обеспечение интерфейса с системой хранения файлов или печатное устройство.

Определения термина из разных документов: сервер

3.48 сеть (network): Совокупность систем связи и систем обработки информации, которая может использоваться несколькими пользователями.

Определения термина из разных документов: сеть

3.3 сигнал тревоги (alarm): Указание на нарушение безопасности, необычное или опасное состояние, которое может потребовать немедленного внимания.

Определения термина из разных документов: сигнал тревоги

3.70 системный риск (systemic risk): Риск того, что неспособность одного из участников выполнить свои обязательства либо нарушения в функционировании самой системы могут привести к неспособности других участников системы или других финансовых учреждений в других частях финансовой системы выполнять свои обязательства в срок [7].

Примечание - Подобный сбой может вызвать распространение проблем с ликвидностью или кредитами и в результате поставить под угрозу стабильность системы или финансовых рынков.

Определения термина из разных документов: системный риск

3.72 средство идентификации (token): Контролируемое пользователем устройство (например, диск, смарт-карта, компьютерный файл), содержащее информацию, которая может использоваться в электронной торговле для аутентификации или управления доступом.

Определения термина из разных документов: средство идентификации

3.33 средство(а) обработки информации (information processing facility): Любая система обработки информации, сервис или инфраструктура, или их физические места размещения [2].

Определения термина из разных документов: средство(а) обработки информации

3.71 угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или организации [2].

Определения термина из разных документов: угроза

3.24 уничтожение информации (destruction of information): Любое условие, делающее информацию непригодной для использования независимо от причины.

Определения термина из разных документов: уничтожение информации

3.1 Управление доступом (access control): Функции, ограничивающие доступ к информации или средствам обработки информации только авторизованным лицам или приложениям, включая физическое управление доступом, основанное на размещении физических барьеров между неавторизованными лицами и защищаемыми информационными ресурсами, и логические средства управления доступом, использующие другие способы управления.

Определения термина из разных документов: Управление доступом

3.74 уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами [2].

Определения термина из разных документов: уязвимость

3.53 целесообразная бизнес-практика (prudent business practice): Совокупность практических приемов, которые были в целом признаны как необходимые.

Определения термина из разных документов: целесообразная бизнес-практика

3.39 целостность (integrity): Свойство сохранения правильности и полноты активов [2].

Определения термина из разных документов: целостность

3.25 цифровая подпись (digital signature): Криптографическое преобразование, которое, будучи связано с элементом данных, обеспечивает услуги по аутентификации источника, целостности данных и неотказуемости подписавшей стороны.

[ANSI X9.79] [8]

Определения термина из разных документов: цифровая подпись

3.28 шифрование (encryption): Процесс преобразования информации к виду, когда она не имеет смысла ни для кого, кроме обладателей криптографического ключа.

Примечание - Использование шифрования защищает информацию в период между процессом шифрования и процессом дешифрования (который является противоположным шифрованию) от несанкционированного раскрытия.

Определения термина из разных документов: шифрование