Информация с реквизитами позволяющими ее идентифицировать имеющая ценность для компании

Классификация информационных активов (ИА)  это  важнейший процесс не только для обеспечения ИБ, но так же и построения управляемой ИТ-инфраструктуры всей компании. Классификация позволяет получить ключевые метрики для используемой информации — ценность, степень влияния на бизнес-процессы, требования к обеспечению т.д.  От качества выполненной классификации во многом зависит то как будет защищаться и обрабатываться информация. Более того, многие нормативные стандарты требует проведения обязательной инвентаризации и классификации ИА. Однако, какой либо единой процедуры на этот счет не существует. В сегодняшнем материалы мы попытаемся систематизировать имеющийся опыт по методике классификации ИА, а так же рассмотрим общие подходы существующие на сегодняшний день

Если, вспомнить определения, приведенные в отраслевом стандарте Банка России СТО БР ИББС-1.0-2014, то там четко прописаны определения:

Другие документы в которых так же есть отсылка к классификации ИА:

Более того в Российской Федерации для обеспечения защиты конфиденциальной информации в режиме коммерческой тайны (КТ) согласно ФЗ от 29 июля 2004 г. №98-ФЗ «О коммерческой тайне», собственнику просто необходимо произвести классификацию имеющихся у него ИА.

Для проведения классификации ИА в соответствии с нормами действующего законодательства РФ определены следующие типы информации:

Классификацию ИА можно выполнять основываясь по одной из следующих моделей:

1. Однофакторная классификация основанная на степени ущерба.

По сути здесь все просто, классифицируем информацию, к примеру на четыре блока по степени нанесения ущерба в случае ее утечки  — минимальный, средний, высокий и критический. Так, например, если неопределенному кругу лиц станет известно о том, кого сегодня директор принимает в своем кабинете это один вид ущерба (минимальный), другое дело если  утекут условия и детали сделки по какому-либо крупному проекту (высокий или критический)

2. Многофакторная модель классификации по трем классическим параметрам

Здесь вся информация рассматривается с точки зрения обеспечения ее конфиденциальности, целостности и доступности. И так для каждого отдельного ИА проставляется требования отдельно по трем описанным позициям — высокий, средний, низкий. По совокупности так можно будет качественно оценить ИА, к примеру, критичной важности или базовой важности.

Электронное делопроизводство ГОСТ Р 7.0.8.-2013, заменивший ГОСТ Р 51141-98, описывает все действующие в законодательстве РФ термины и определения делопроизводства и архивного дела. Вы можете ознакомиться с ним, а также сохранить эту страницу в закладки браузера.

Предисловие

1. Разработан Федеральным бюджетным учреждением «Всероссийский научно-исследовательский институт документоведения и архивного дела» (ВНИИДАД) Федерального архивного агентства.

2. Внесен Техническим комитетом по стандартизации ТК 191 «Научно-техническая информация, библиотечное и издательское дело».

3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 17 октября 2013 г. № 1185-ст.

4. В настоящем стандарте реализованы нормы федеральных законов от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации».

5 Взамен ГОСТ Р 51141-98

Правила применения настоящего стандарта установлены в ГОСТ Р 1.1-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru).

Введение

Установленные в стандарте термины расположены в систематизированном порядке, отражающем терминологическую систему понятий в области делопроизводства и архивного дела.

Для каждого понятия установлен один стандартизированный термин.

Стандартизированные термины набраны полужирным шрифтом, их краткие формы представлены аббревиатурой, а синонимы — курсивом.

Термины-синонимы, нерекомендуемые к применению, приведены в круглых скобках после стандартизированного термина и обозначены пометкой «Нрк».

Термины-синонимы без пометы «Нрк» приведены в качестве справочных данных и не являются стандартизованными.

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации.

Термины, в определении которых разработчики не пришли к единому мнению, содержат два варианта определений, указанных под одним номером.

Помета, указывающая на область применения многозначного термина, приведена в круглых скобках светлым шрифтом после термина. Помета не является частью термина.

Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывающие значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия. Изменения не должны нарушать объем и содержание понятий, определенных в данном стандарте.

Стандартизованные термины набраны полужирным шрифтом, их краткие формы, представленные аббревиатурой, — светлым, синонимы — курсивом.

1. Область применения

Настоящий стандарт устанавливает термины и определения основных понятий, используемые в области делопроизводства и архивного дела.

Термины, установленные настоящим стандартом, рекомендуются для применения во всех видах документации и литературы по делопроизводству и архивному делу, входящих в сферу действия работ по стандартизации и (или) использующих результаты этих работ.

2. Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 1.2-2004 Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила разработки, утверждения, обновления и отмены

ГОСТ Р 1.5-2004 Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила построения, изложения, оформления, обозначения

ГОСТ Р ИСО 704-2010 Терминологическая работа. Принципы и методы

Примечание — При пользовании настоящим стандартом, целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанием выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3. Термины и определения

3.1 Общие понятия

1. Делопроизводство: Деятельность, обеспечивающая документирование, документооборот, оперативное хранение и использование документов.

2. Документационное обеспечение (управления), ДОУ: Деятельность, целенаправленно обеспечивающая функции управления документами.

3. Управление документами: Деятельность, обеспечивающая реализацию единой политики и стандартов по отношению к документальному фонду организации.

4. Архивное дело: Деятельность, обеспечивающая организацию хранения, комплектования, учета и использования архивных документов.

5. Служба делопроизводства: Структурное подразделение, на которое возложены функции по ведению делопроизводства, а также лица, ответственные за ведение делопроизводства в других подразделениях организации.

6. Архив (нрк архивохранилище): Организация или структурное подразделение организации, осуществляющее комплектование, учет, хранение и использование архивных документов.

7. Документ: Зафиксированная на носителе информация с реквизитами, позволяющими ее идентифицировать.

8. Официальный документ: Документ, созданный организацией, должностным лицом или гражданином, оформленный в установленном порядке.

9. Архивный документ: Документ, сохраняемый или подлежащий сохранению в силу его значимости для граждан, общества, государства.

10. Электронный документ: Документ, информация которого представлена в электронной форме.

11. Документированная информация: Структурированная информация, зафиксированная на носителе.

12. Носитель (документированной) информации: Материальный объект, предназначенный для закрепления, хранения (и воспроизведения) речевой, звуковой или изобразительной информации.

13. Автор документа: Организация, должностное лицо или гражданин, создавшие документ.

14. Юридическая значимость документа: Свойство документа выступать в качестве подтверждения деловой деятельности либо событий личного характера.

15. Юридическая сила документа: Свойство официального документа вызывать правовые последствия.

16. Аутентичность (электронного документа): Свойство электронного документа, гарантирующее, что электронный документ идентичен заявленному.

17. Достоверность (электронного документа): Свойство электронного документа, при котором содержание электронного документа является полным и точным представлением подтверждаемых операций, деятельности или фактов и которому можно доверять в последующих операциях или в последующей деятельности.

18. Целостность (электронного документа): Состояние электронного документа, в который после его создания не вносились никакие изменения.

19. Пригодность для использования (электронного документа): Свойство электронного документа, позволяющее его локализовать и воспроизвести в любой момент времени.

20. Подлинный документ: Документ, сведения об авторе, времени и месте создания которого, содержащиеся в самом документе или выявленные иным путем, подтверждают достоверность его происхождения.

21. Подлинник документа: Первый или единственный экземпляр документа.

22. Дубликат документа: Повторный экземпляр подлинника документа.

23. Копия документа: Экземпляр документа, полностью воспроизводящий информацию подлинника документа.

24. Электронная копия документа: Копия документа, созданная в электронной форме.

25. Заверенная копия документа: Копия документа, на которой в соответствии’ с установленным порядком проставлены реквизиты, обеспечивающие ее юридическую значимость.

26. Выписка из документа: Копия части документа, заверенная в установленном порядке.

27. Письменный документ: Документ, информация которого зафиксирована знаками письменности.

28. Текстовой документ: Содержащий речевую информацию, зафиксированную любым типом письма или любой системой звукозаписи.

29. Изобразительный документ: Документ, воспроизводящий внешний вид и/или внутреннюю структуру какого-либо объекта.

30. Фотодокумент: Изобразительный документ, созданный фотографическим или электронным (цифровым) способом, фиксирующий информацию в виде отдельных изображений — статичных образов.

31. Аудиовизуальный документ: Документ, содержащий изобразительную и/или звуковую информацию.

32. Видеодокумент: Аудиовизуальный документ, созданный способом видеозаписи, фиксирующим информацию в виде последовательно расположенных изображений — динамичных образов.

33. Кинодокумент: Изобразительный или аудиовизуальный документ, созданный фотографическим или электронным (цифровым) способом, фиксирующий информацию в виде последовательно расположенных изображений — динамичных образов.

34. Фонодокумент: Аудиовизуальный документ, содержащий звуковую информацию, зафиксированную любой системой звукозаписи.

35. Графический документ: Изобразительный документ, в котором изображение объекта получено посредством линий, штрихов, светотени, точек, цвета.

36. Реквизит документа: Элемент оформления документа.

37. Формуляр документа: Совокупность реквизитов документа, расположенных в установленной последовательности.

38. Хранение документов: Организация рационального размещения и обеспечение сохранности документов.

39. Экспертиза ценности документов: Изучение документов на основании критериев их ценности для определения сроков хранения документов.

40. Срок хранения документов: Период времени, в течение которого должно обеспечиваться хранение документа в составе документального или архивного фонда.

41. Постоянное хранение документов: Вечное хранение документов без права их уничтожения.

42. Временное хранение документов: Хранение документов до их уничтожения в течение сроков, установленных нормативными правовыми актами.

43. Доступ к документу: Возможность и условия получения и использования документа

3.2. Делопроизводство

3.2.1. Документирование

44. Документирование: Запись информации на носителе по установленным правилам.

45. Средства документирования: Средства организационной и компьютерной техники, используемые для записи информации на носителе.

46. Система документации: Совокупность документов, взаимосвязанных по признакам назначения, сферы деятельности и единых требований к их оформлению.

47. Вид документа: Классификационное понятие, обозначающее принадлежность документа к определенной группе документов по признаку общности функционального назначения.

48. Бланк документа: Лист бумаги или электронный шаблон с реквизитами, идентифицирующими автора официального документа.

49. Унифицированная форма документа; УФД: Формуляр документа определенного вида, содержащий постоянную часть текста.

50. Табель унифицированных форм документов: Перечень установленных к применению унифицированных форм документов.

51. Альбом унифицированных форм документов: Сборник установленных к применению унифицированных форм документов с указаниями по их заполнению.

52. Оформление документа: Проставление на документе необходимых реквизитов.

53. Согласование документа; визирование: Оценка проекта официального документа заинтересованными организациями, должностными лицами, специалистами.

54. Лист согласования (визирования) документа: Часть официального документа с отметками (визами) о согласовании.

55. Виза: Реквизит, фиксирующий согласие или несогласие должностного лица с содержанием документа.

56. Гриф согласования: Реквизит, выражающий согласие организации, не являющейся автором документа, с его содержанием.

57. Подписание (документа): Заверение документа собственноручной подписью должностного или физического лица по установленной форме.

58. Подпись: Реквизит, содержащий собственноручную роспись должностного или физического лица.

59. Электронная подпись: Информация в электронной форме, присоединенная к электронному документу или иным образом связанная с ним и позволяющая идентифицировать лицо, подписавшее электронный документ.

60. Утверждение документа: Способ придания документу правового статуса.

61. Гриф утверждения: Реквизит официального документа, свидетельствующий о правовом статусе документа.

62. Гриф ограничения доступа к документу: Реквизит, свидетельствующий об особом характере информации документа и ограничивающий доступ к нему.

63. Дата документа: Реквизит, обозначающий время подписания (утверждения) документа или зафиксированного в нем события.

64. Место составления (издания) документа: Реквизит, обозначающий наименование населенного пункта, являющегося местонахождением организации — автора документа.

65. Резолюция: Реквизит, содержащий указания должностного лица по исполнению документа.

66. Текст документа: Основная содержательная часть документа.

67. Адресат: Реквизит, содержащий информацию о получателе документа.

68. Отметка о наличии приложения: Реквизит, содержащий сведения о дополнительно прилагаемом документе (документах).

69. Отметка о поступлении документа: Реквизит, подтверждающий факт получения документа организацией.

70. Отметка о заверении копии: Реквизит, используемый для придания копии правового статуса.

71. Печать: Устройство, используемое для заверения подлинности подписи должностного лица посредством нанесения его оттиска на документ.

72. Официальное опубликование документа: Первая публикация полного текста законодательного и иного нормативного правового акта в официальном издании или его первое размещение на официальном Интернет-портале.

3.2.2. Организация работы с документами

73. Документооборот: Движение документов в организации с момента их создания или получения до завершения исполнения или отправки.

74. Электронный документооборот: Документооборот с использованием автоматизированной информационной системы (системы электронного документооборота).

75. Объем документооборота: Количество документов, поступивших в организацию и созданных ею за определенный период.

76. Документопоток: Совокупность документов одного вида или назначения, имеющих единый маршрут.

77. Плотность документопотока: Количество документов, проходящих через определенный пункт обработки за единицу времени.

78. Включение документа в СЭД: Осуществление действий, обеспечивающих размещение сведений о документе и/или документа в системе электронного документооборота.

79. Метаданные: Данные, описывающие контекст, содержание, структуру документов, обеспечивающие управление документами в информационной системе.

80. Конвертирование (электронных документов), конвертация (электронных документов): Процесс перемещения электронных документов с одного носителя на другой или из одного формата в другой.

81. Миграция (электронных документов): Перемещение электронных документов из одной информационной системы в другую с сохранением аутентичности, целостности, достоверности документов и их пригодности для использования.

82. Первичная обработка документов; экспедиционная обработка документов: Обработка документов (проверка целостности, комплектности, сортировка и др.) при поступлении в организацию.

83. Предварительное рассмотрение документов: Изучение документа, поступившего в организацию, для определения должностного лица, в компетенцию которого входит его рассмотрение.

84. Регистрация документа: Присвоение документу регистрационного номера и внесение данных о документе в регистрационно-учетную форму.

85. Регистрационный номер документа; регистрационный индекс документа: Цифровое или буквенно-цифровое обозначение, присваиваемое документу при его регистрации.

86. Регистрационно-учетная форма: Документ (карточка, журнал), в том числе в электронном виде, используемый для записи сведений о документе в целях учета, поиска и контроля.

87. Государственный регистрационный номер документа: Номер, присваиваемый документу при его включении в соответствующий государственный реестр.

88. Контроль исполнения документов: Совокупность действий, обеспечивающих своевременное исполнение документов.

89. Типовой срок исполнения документа: Срок исполнения документа, установленный нормативным правовым актом.

90. Индивидуальный срок исполнения документа: Срок исполнения документа, установленный организационно-распорядительным документом организации или резолюцией.

91. Отметка об исполнении документа и направлении его в дело: Реквизит, определяющий место хранения документа после завершения работы с ним.

92. Оперативное хранение документов: Хранение документов в структурном подразделении до их передачи в архив организации или уничтожения.

93. Документальный фонд: Совокупность документов, образующихся в деятельности организации.

94. Номенклатура дел: Систематизированный перечень заголовков дел, создаваемых в организации, с указанием сроков их хранения.

95. Дело: Документ или совокупность документов, относящихся к одному вопросу или участку деятельности, помещенных в отдельную обложку.

96. Электронное дело: Электронный документ или совокупность электронных документов и метаданных к ним, сформированные в соответствии с номенклатурой дел.

97. Признаки заведения дела: Основания, в соответствии с которыми формулируется заголовок дела и формируется дело.

98. Формирование дела: Группировка исполненных документов в дело в соответствии с номенклатурой дел и их систематизация внутри дела.

99. Оформление дела: Подготовка дела к передаче на архивное хранение.

100. Заголовок дела: Краткое обозначение сведений о составе и содержании документов дела.

101. Внутренняя опись: Документ, включаемый в дело для учета документов дела, раскрытия их состава и содержания.

102. Лист-заверитель дела: Документ, содержащий сведения о количестве листов дела, физическом состоянии документов и особенностях формирования дела.

103. Индекс дела: Цифровое или буквенно-цифровое обозначение дела в соответствии с номенклатурой дел организации.

104. Опись дел структурного подразделения: Учетный документ, включающий сведения о делах, сформированных в подразделении и подлежащих передаче на архивное хранение.

105. Уничтожение документов: Исключение документов из документального или архивного фонда по истечении срока их хранения с последующим уничтожением (утилизацией) в установленном порядке.

3.3. Архивное дело

3.3.1. Хранение и учет архивных документов

106. Государственный архив: Федеральное государственное учреждение, создаваемое Российской Федерацией, или государственное учреждение субъекта Российской Федерации, создаваемое субъектом Российской Федерации, которые осуществляют комплектование, учет, хранение и использование документов Архивного фонда Российской Федерации, а также других архивных документов.

107. Муниципальный архив: Структурное подразделение органа местного самоуправления муниципального района, городского округа или муниципальное учреждение, создаваемое муниципальным районом, городским округом и осуществляющее хранение, комплектование, учет и использование документов Архивного фонда Российской Федерации, а также других архивных документов.

108. Профиль архива: Установленный для архива состав документов, подлежащих хранению.

109. Архивный фонд: Совокупность архивных документов, исторически и/или логически связанных между собой.

110. Архивный фонд Российской Федерации: Исторически сложившаяся и постоянно пополняемая совокупность архивных документов, отражающих материальную и духовную жизнь общества, имеющих историческое, научное, социальное, экономическое, политическое и культурное значение, подлежащих постоянному хранению.

111. Объединенный архивный фонд (Нрк групповой архивный фонд, комплексный архивный фонд): Архивный фонд, сформированный из документов двух фондообразователей или более, имеющих между собой исторические и/или логические обусловленные связи.

112. Архивный фонд личного происхождения: Архивный фонд, состоящий из документов, образовавшихся в процессе жизни и деятельности физического лица, семьи, рода.

113. Архивная коллекция: Совокупность документов, объединенных по одному или нескольким общим для них сущностным признакам.

114. Фондирование документов: Определение принадлежности документов конкретному фондообразователю и хронологических границ архивного фонда.

115. Фондообразователь: Юридическое или физическое лицо, в процессе деятельности которого образуется документальный фонд.

116. Обеспечение сохранности документов: Комплекс мероприятий по созданию и соблюдению нормативных условий, режимов и надлежащей организации хранения архивных документов.

117. Обеспечение физико-химической сохранности документов: Разработка, создание и практическое применение научно-технических средств и методов хранения, реставрации, консервации, биохимической защиты и воспроизведения архивных документов.

118. Архивохранилище (Нрк архив): Специально оборудованное помещение для хранения архивных документов.

119. Режим хранения архивных документов: Совокупность противопожарных и охранных мер, температурно-влажностных, санитарно-гигиенических и световых условий, создаваемых в архивохранилищах для обеспечения сохранности документов, и контроль за их выполнением.

120. Реставрация архивного документа: Восстановление первоначальных или близких к первоначальным свойств и внешних признаков архивного документа, подвергшегося повреждению или разрушению.

121. Консервация архивного документа: Система мероприятий по предохранению документа от разрушающего воздействия внешней среды.

122. Старение документа: Изменение первоначальных физико-химических свойств документа под воздействием внешних и внутренних факторов.

123. Страховая копия архивного документа: Копия особо ценного или уникального архивного документа, изготовленная в целях сохранения содержащейся в нем информации на случай утраты или повреждения подлинника.

124. Страховой фонд архивных документов: Совокупность страховых копий особо ценных и уникальных архивных документов.

125. Фонд пользования (архива): Совокупность копий архивных документов, предназначенных для пользования вместо подлинников с целью предотвращения их износа.

126. Депозитарное хранение документов Архивного фонда Российской Федерации: Хранение документов Архивного фонда Российской Федерации государственными органами и организациями в течение сроков и на условиях, определенных соответствующими договорами между ними и специально уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.

127. Учет архивных документов: Определение количества и состава архивных документов в единицах учета и отражение этого количества и состава в учетных документах для контроля за их наличием и состоянием.

128. Централизованный государственный учет документов Архивного фонда Российской Федерации: Система учета документов Архивного фонда Российской Федерации на уровне субъекта Российской Федерации и государства в целом, основанная на сосредоточении в органах управления архивным делом сведений о количестве, составе архивных фондов и количестве единиц хранения.

129. Единица учета архивных документов: Единица измерения количества документов в архиве для отражения этого количества в учетных документах и архивных справочниках.

130. Единица хранения архивных документов: Учетная и классификационная единица, представляющая собой физически обособленный документ или совокупность документов, имеющая самостоятельное значение.

131. Учетные документы (архива): Комплекс документов установленной формы, фиксирующих поступление, выбытие, количество, состав и состояние архивных документов в единицах учета.

132. Список фондов: Учетный документ, содержащий перечень официальных наименований хранящихся в архиве, а также выбывших архивных фондов в порядке возрастания присвоенных им номеров.

133. Лист фонда: Учетный документ, содержащий в рамках архивного фонда сведения о количестве и составе описей дел, документов и их нумерации, количестве и составе архивных документов, состоянии их описания, динамике изменений по каждой описи дел, документов и архивному фонду в целом, фиксирующий изменения в названии архивного фонда.

134. Архивный шифр: Обозначение, наносимое на единицу хранения архивных документов в целях ее идентификации и учета, состоящее из сокращенного названия архива (официальной аббревиатуры), номера архивного фонда, номера описи дел, документов, номера единицы хранения, номера единицы учета.

135. Проверка наличия и состояния архивных документов: Установление соответствия фактического наличия количества единиц хранения записям в учетных документах архива, а также выявление архивных документов, требующих консервации, реставрации, дезинфекции.

136. Топографический указатель: Документ, содержащий сведения о точном местонахождении архивных фондов в архивохранилище.

3.3.2. Комплектование архива

137. Комплектование архива: Систематическое пополнение архива документами в соответствии с его профилем.

138. Критерии экспертизы ценности документов: Признаки, определяющие значимость происхождения, содержания и внешних особенностей документов.

139. Источник комплектования (архива): Организация или гражданин, чьи документы поступают или могут поступить на хранение в архив.

140. Выборочный прием документов: Прием на постоянное хранение отдельных видов документов организаций или всех ценных документов ряда организаций из числа однородных.

141. Перечень документов со сроками хранения: Систематизированный список видов и категорий документов с указанием сроков их хранения.

142. Документ временного срока хранения: Документ ограниченного срока хранения, по истечении которого он подлежит уничтожению.

143. Документ постоянного срока хранения: Документ, которому в соответствии с нормативными правовыми актами установлено вечное хранение.

144. Документ Архивного фонда Российской Федерации: Архивный документ, прошедший экспертизу ценности документов, поставленный на государственный учет и подлежащий постоянному хранению.

145. Особо ценный документ: Документ Архивного фонда Российской Федерации, имеющий непреходящую культурно-историческую и научную ценность, особую важность для общества и государства, и в отношении которого установлен особый режим учета, хранения и использования.

146. Уникальный документ: Особо ценный документ, не имеющий себе подобных по содержащейся в нем информации и/или его внешним признакам, невосполнимый при утрате с точки зрения его значения и/или автографичности.

147. Упорядочение архивных документов: Комплекс работ по формированию архивных документов в единицы хранения (дела), их описанию и оформлению в соответствии с правилами, установленными специально уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.

148. Выделение документов к уничтожению: Выявление в процессе экспертизы научной и практической ценности документов с истекшими сроками хранения и отбор их для уничтожения.

3.3.3. Информационная деятельность архива

149. Информационная деятельность архива: Создание архивных справочников и организация использования архивных документов.

150. Использование архивных документов: Применение информации архивных документов в культурных, научных, политических, экономических целях и для обеспечения законных прав и интересов граждан.

151. Пользование архивными документами: Ознакомление с архивными документами посредством их прочтения, просмотра или прослушивания.

152. Организация пользования архивными документами: Деятельность архивных учреждений по предоставлению государственным органам, органам местного самоуправления, юридическим или физическим лицам архивных документов для их прочтения, просмотра или прослушивания.

153. Пользователь архивными документами: Государственный орган, орган местного самоуправления либо юридическое или физическое лицо, обращающиеся на законных основаниях к архивным документам для получения и использования необходимой информации.

154. Владелец архивных документов: Государственный орган, орган местного самоуправления либо юридическое или физическое лицо, осуществляющие владение и пользование архивными документами и реализующие полномочия по распоряжению ими в пределах, установленных законом или договором.

155. Собственник архивных документов: Государство, муниципальное образование либо юридическое или физическое лицо, в полном объеме реализующие права владения, пользования, распоряжения архивными документами.

156. Ограничение доступа к архивным документам: Временные или иные условия, исключающие свободное пользование архивными документами в соответствии с законодательством или по воле фондообразователя, собственника, владельца документов.

157. Публикация архивных документов: Подготовка архивных документов к изданию и осуществление их издания в соответствии с общепринятыми научными принципами и нормами.

158. Документальная выставка: Экспонирование архивных документов или их копий в специальном, приспособленном для этого помещении или на интернет-сайте.

159. Описание архивных документов: Структурированное изложение сведений о составе и содержании документов в архивных справочниках.

160. Описательная статья архивного справочника: Совокупность сведений об объекте описания (документе, его части, единице хранения, группе единиц хранения, архивном фонде, группе архивных фондов) в архивном справочнике.

161. Научно-справочный аппарат архива, справочно-поисковые средства архива; НСА архива: Совокупность описаний архивных документов.

162. Система научно-справочного аппарата к документам архива: Комплекс взаимосвязанных и взаимодополняемых, созданных на единой научно-методической основе архивных справочников о составе и содержании документов архива.

163. Архивный справочник: Справочник о составе, содержании и местонахождении архивных документов.

164. Опись дел, документов: Справочный и учетный документ, содержащий систематизированный перечень единиц хранения/единиц учета архивного фонда, предназначенный для раскрытия их содержания и учета.

165. Архивный путеводитель: Справочник, содержащий систематизированные сведения о фондах архива (архивов) и предназначенный для ознакомления с их составом и содержанием.

166. Архивный каталог: Справочник, в котором сведения о содержании архивных фондов, единиц хранения/единиц учета, архивных документов (или их частей), расположены в соответствии с выбранной схемой классификации.

167. Архивный указатель: Справочник, содержащий систематизированный перечень наименований предметных понятий, упоминаемых в архивных документах, с указанием их архивных шифров.

168. Обзор архивного фонда: Справочник, содержащий систематизированные сведения о составе и содержании архивных документов одного архивного фонда, дополненные их источниковедческим анализом.

169. Тематический обзор архивных документов: Справочник, содержащий систематизированные сведения о составе, содержании и поисковых данных комплексов архивных документов одного или группы архивных фондов по определенной теме, дополненные их источниковедческим анализом.

170. Историческая справка к архивному фонду: Документ, содержащий сведения по истории фондообразователя и архивного фонда, краткую характеристику состава и содержания документов архивного фонда и научно-справочного аппарата к нему.

171. Каталогизация архивных документов: Подготовка, составление и ведение архивных каталогов.

172. Архивная справка: Документ, составленный на бланке архива, имеющий юридическую силу и содержащий документную информацию о предмете запроса, с указанием архивных шифров и номеров листов единиц хранения тех архивных документов, на основании которых он составлен.

173. Архивная копия: Дословно воспроизводящая текст или изображение архивного документа копия с указанием архивного шифра и номеров листов единицы хранения, заверенная в установленном порядке.

174. Архивная выписка: Документ, составленный на бланке архива, дословно воспроизводящий часть текста архивного документа, относящуюся к определенным факту, событию, лицу, с указанием архивного шифра и номеров листов единицы хранения.

ФЕДЕРАЛЬНОЕ АГЕНТСТВО
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Защита
информации

ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ

Основные термины и определения

Предисловие

Цели и принципы стандартизации в Российской Федерации
установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании»,
а правила применения национальных стандартов Российской Федерации — ГОСТ Р
1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения
о стандарте

1 РАЗРАБОТАН Федеральным
государственным учреждением «Государственный научно-исследовательский
испытательный институт проблем технической защиты информации Федеральной службы
по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»),
Обществом с ограниченной ответственностью «Научно-производственная фирма
«Кристалл» (ООО «НПФ «Кристалл»)

2 ВНЕСЕН Управлением технического регулирования и стандартизации
Федерального агентства по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом
Федерального агентства по техническому регулированию и метрологии от 18 декабря
2008 г. № 532-ст

4 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется
в ежегодно издаваемом информационном указателе «Национальные стандарты», а
текст изменений и поправок —
в ежемесячно издаваемых информационных
указателях «Национальные стандарты». В случае пересмотра (замены) или отмены
настоящего стандарта соответствующее уведомление будет опубликовано в
ежемесячно издаваемом информационном указателе «Национальные стандарты».
Соответствующая информация, уведомление и тексты размещаются также в
информационной системе общего пользования — на официальном сайте Федерального агентства по техническому
регулированию и метрологии в сети Интернет

СОДЕРЖАНИЕ

Введение

Установленные настоящим стандартом термины расположены в
систематизированном порядке, отражающем систему понятий в данной области
знания.

Для каждого понятия установлен один стандартизованный
термин.

Наличие квадратных скобок в терминологической статье
означает, что в нее входят два термина, имеющих общие терминоэлементы. В
алфавитном указателе данные термины приведены отдельно.

Заключенная в круглые скобки часть термина может быть
опущена при использовании термина в документах по стандартизации, при этом не
входящая в круглые скобки часть термина образует его краткую форму. За
стандартизованными терминами приведены отделенные точкой с запятой их краткие
формы, представленные аббревиатурой.

Приведенные определения можно при необходимости изменять,
вводя в них производные признаки, раскрывая значения используемых в них
терминов, указывая объекты, входящие в объем определяемого понятия.

Изменения не должны нарушать объем и содержание понятий,
определенных в настоящем стандарте.

Стандартизованные термины набраны полужирным шрифтом, их
краткие формы в тексте и в алфавитном указателе, в том числе аббревиатуры, —
светлым, а синонимы — курсивом.

Термины и определения общетехнических понятий, необходимые
для понимания текста основной части настоящего стандарта, приведены в
приложении А.

ГОСТ Р 53114-2008

НАЦИОНАЛЬНЫЙ СТАНДАРТ
РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита
информации

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
ОРГАНИЗАЦИИ

Основные термины и определения

Protection of information.
Information security provision in organization.
Basic terms and definitions

Дата
введения — 2009-10-01

1
Область применения

Настоящий стандарт устанавливает основные термины,
применяемые при проведении работ по стандартизации в области обеспечения
информационной безопасности в организации.

Термины, установленные настоящим стандартом, рекомендуется
использовать в нормативных документах, правовой, технической и
организационно-распорядительной документации, научной, учебной и справочной
литературе.

Настоящий стандарт применяется совместно с ГОСТ
34.003, ГОСТ
19781, ГОСТ Р
22.0.02, ГОСТ
Р 51897, ГОСТ Р 50922, ГОСТ
Р 51898, ГОСТ Р
52069.0, ГОСТ
Р 51275, ГОСТ Р ИСО
9000, ГОСТ
Р ИСО 9001, ГОСТ
Р ИСО 14001, ГОСТ
Р ИСО/МЭК 27001, ГОСТ
Р ИСО/МЭК 13335-1, [1], [2].

Термины, приведенные в настоящем стандарте, соответствуют
положениям Федерального Закона Российской Федерации от 27 декабря 2002 г. №
184-ФЗ «О техническом регулировании» [3], Федерального Закона
Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных
технологиях и защите информации» [4], Федерального Закона Российской Федерации от
27 июля 2006 г. № 152-ФЗ «О персональных данных» [5], Доктрины информационной
безопасности Российской Федерации, утвержденной Президентом Российской
Федерации от 9 сентября 2000 г. Пр-1895 [6].

2 Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие
стандарты:

ГОСТ Р
22.0.02-94 Безопасность в чрезвычайных ситуациях. Термины и определения
основных понятий

ГОСТ Р ИСО
9000-2001 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО 9001-2008
Системы менеджмента качества. Требования

ГОСТ
Р ИСО 14001-2007 Системы экологического менеджмента. Требования и
руководство по применению

ГОСТ
Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства
обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности
информационных и телекоммуникационных технологий

ГОСТ
Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства
обеспечения безопасности. Системы менеджмента информационной безопасности.
Требования

ГОСТ Р 50922-2006
Защита информации. Основные термины и определения

ГОСТ
Р 51275-2006 Защита информации. Объект информатизации. Факторы,
воздействующие на информацию. Общие положения

ГОСТ Р 51897-2002
Менеджмент риска. Термины и определения

ГОСТ Р 51898-2003
Аспекты безопасности. Правила включения в стандарты

ГОСТ Р
52069.0-2003 Защита информации. Система стандартов. Основные положения

ГОСТ
34.003-90 Информационная технология. Комплекс стандартов на
автоматизированные системы. Автоматизированные системы. Термины и определения

ГОСТ
19781-90 Обеспечение систем обработки информации программное. Термины и
определения

Примечание — При
пользовании настоящим стандартом целесообразно проверить действие ссылочных
стандартов в информационной системе общего пользования — на официальном сайте
Федерального агентства по техническому регулированию и метрологии в сети
Интернет или по ежегодно издаваемому информационному указателю «Национальные
стандарты», который опубликован по состоянию на 1 января текущего года, и по
соответствующим ежемесячно издаваемым информационным указателям, опубликованным
в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании
настоящим стандартом следует руководствоваться замененным (измененным)
стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором
дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

3 Термины и определения

3.1 Общие понятия

3.1.1

3.1.2

3.1.3

3.1.4 информационная
инфраструктура: Совокупность
объектов информатизации, обеспечивающая доступ потребителей к информационным
ресурсам.

3.1.5

3.1.6 активы
организации: Все, что имеет
ценность для организации в интересах достижения целей деятельности и находится
в ее распоряжении.

Примечание — К
активам организации могут относиться:

—
информационные активы, в том числе различные виды информации, циркулирующие в информационной
системе (служебная, управляющая, аналитическая, деловая и т.д.) на всех этапах
жизненного цикла (генерация, хранение, обработка, передача, уничтожение);

—
ресурсы (финансовые, людские, вычислительные, информационные,
телекоммуникационные и прочие);

—
процессы (технологические, информационные и пр.);

— выпускаемая продукция и/или оказываемые услуги.

3.1.7

3.1.8 информационный
процесс: Процесс создания,
сбора, обработки, накопления, хранения, поиска, распространения и использования
информации.

3.1.9

3.1.10

техническое
обеспечение автоматизированной системы; техническое обеспечение АС: Совокупность всех
технических средств, используемых при функционировании АС.

[ГОСТ Р 34.003-90, пункт 2.5]

3.1.11

3.1.12

3.1.13 услуга; сервис: Результат деятельности исполнителя по удовлетворению
потребности потребителя.

Примечание — В качестве исполнителя (потребителя)
услуги может выступать организация, физическое лицо или процесс.

3.1.14 услуги информационных технологий; услуги ИТ: Совокупность
функциональных возможностей информационных и, возможно, неинформационных
технологий, предоставляемая конечным пользователям в качестве услуги.

Примечание — Примерами услуг ИТ могут служить
передача сообщений, бизнес-приложения, сервисы файлов и печати, сетевые сервисы
и т.д.

3.1.15 критически
важная система информационной инфраструктуры; ключевая система информационной инфраструктуры; КСИИ: Информационно-управляющая или
информационно-телекоммуникационная система, которая осуществляет управление или
информационное обеспечение критическим объектом или процессом, или используется
для официального информирования общества и граждан, нарушение или прерывание
функционирования которой (в результате деструктивных информационных
воздействий, а также сбоев или отказов) может привести к чрезвычайной ситуации
со значительными негативными последствиями.

3.1.16 критический
объект: Объект или процесс,
нарушение непрерывности функционирования которого может нанести значительный
ущерб.

Примечание — Ущерб может быть нанесен имуществу
физических или юридических лиц, государственному или муниципальному имуществу,
окружающей среде, а также выражаться в причинении вреда жизни или здоровью
граждан.

3.1.17

3.1.18

3.1.19 автоматизированная
система в защищенном исполнении; АС
в защищенном исполнении: Автоматизированная система, реализующая информационную
технологию выполнения установленных функций в соответствии с требованиями стандартов
и/или нормативных документов по защите информации.

3.2 Термины, относящиеся к объекту защиты
информации

3.2.1 информационная безопасность организации; ИБ
организации: Состояние защищенности интересов организации в условиях угроз в информационной
сфере.

Примечание — Защищенность достигается обеспечением
совокупности свойств информационной безопасности — конфиденциальностью,
целостностью, доступностью информационных активов и инфраструктуры организации.
Приоритетность свойств информационной безопасности определяется значимостью
информационных активов для интересов (целей) организации.

3.2.2

3.2.3 защищаемый
процесс (информационной технологии):
Процесс, используемый в информационной технологии для обработки защищаемой
информации с требуемым уровнем ее защищенности.

3.2.4 нарушение
информационной безопасности организации; нарушение ИБ организации: Случайное или преднамеренное
неправомерное действие физического лица (субъекта, объекта) в отношении активов
организации, следствием которых является нарушение безопасности информации при
ее обработке техническими средствами в информационных системах, вызывающее
негативные последствия (ущерб/вред) для организации.

3.2.5

3.2.6

3.2.7

3.2.8 событие: Возникновение или наличие
определенной совокупности обстоятельств.

Примечания

1
Характер, вероятность и последствия события могут быть не полностью известны.

2
Событие может возникать один или несколько раз.

3
Вероятность, связанная с событием, может быть оценена.

4
Событие может состоять из невозникновения одного или нескольких обстоятельств.

5
Непредсказуемое событие иногда называют «инцидентом».

6 Событие, при котором не происходит никаких потерь, иногда называют
предпосылкой к происшествию [инциденту], опасным состоянием, опасным стечением
обстоятельств и т.д.

3.2.9 риск: Влияние неопределенностей на процесс
достижения поставленных целей.

Примечания

1
Цели могут иметь различные аспекты: финансовые, аспекты, связанные со
здоровьем, безопасностью и внешней средой, и могут устанавливаться на разных
уровнях: на стратегическом уровне, в масштабах организации, на уровне проекта,
продукта и процесса.

2
Риск часто характеризуется ссылкой на потенциальные события, последствия или их
комбинацию, а также на то, как они могут влиять на достижение целей.

3 Риск часто выражается в терминах комбинации последствий события или
изменения обстоятельств и их вероятности.

3.2.10

3.2.11 оценка
риска информационной безопасности (организации); оценка риска ИБ (организации): Общий процесс идентификации,
анализа и определения приемлемости уровня риска информационной безопасности
организации.

3.2.12 идентификация
риска: Процесс обнаружения,
распознавания и описания рисков.

Примечания

1
Идентификация риска включает в себя идентификацию источников риска, событий и
их причин, а также их возможных последствий.

2 Идентификация риска может включать в себя статистические данные,
теоретический анализ, обоснованные точки зрения и экспертные заключения и
потребности заинтересованных сторон.

3.2.13

3.2.14 определение
приемлемости уровня риска: Процесс
сравнения результатов анализа риска с критериями риска с целью определения
приемлемости или допустимости уровня риска.

Примечание — Определение приемлемости уровня риска
помогает принять решения об обработке риска.

3.2.15 обработка риска информационной безопасности
организации; обработка риска
ИБ организации: Процесс разработки и/или отбора и внедрения мер управления
рисками информационной безопасности организации.

Примечания

1
Обработка риска может включать в себя:

—
избежание риска путем принятия решения не начинать или не продолжать действия,
создающие условия риска;

—
поиск благоприятной возможности путем принятия решения начать или продолжать действия,
могущие создать или увеличить риск;

—
устранение источника риска;

—
изменение характера и величины риска;

—
изменение последствий;

—
разделение риска с другой стороной или сторонами;

—
сохранение риска как в результате сознательного решения, так и «по умолчанию».

2 Обработки риска с негативными последствиями иногда называют
смягчением, устранением, предотвращением, снижением, подавлением и коррекцией
риска.

3.2.16 управление
рисками: Координированные
действия по направлению и контролю над деятельностью организации в связи с
рисками.

3.2.17 источник
риска информационной безопасности организации; источник риска ИБ организации: Объект или действие, способное
вызвать [создать] риск.

Примечания

1
Риск отсутствует при отсутствии взаимодействия объекта, лица или организации с
источником риска.

2 Источник риска может быть материальным или нематериальным.

3.2.18 политика
информационной безопасности (организации); политика ИБ (организации): Формальное изложение правил поведения,
процедур, практических приемов или руководящих принципов в области
информационной безопасности, которыми руководствуется организация в своей
деятельности.

Примечание — Политики
должны содержать:

—
предмет, основные цели и задачи политики безопасности;

—
условия применения политики безопасности и возможные ограничения;

—
описание позиции руководства организации в отношении выполнения политики
безопасности и организации режима информационной безопасности организации в
целом;

—
права и обязанности, а также степень ответственности сотрудников за выполнение
политики безопасности организации;

— порядок действия в чрезвычайных ситуациях в случае нарушения политики
безопасности.

3.2.19 цель
информационной безопасности (организации); цель ИБ (организации): Заранее намеченный результат обеспечения
информационной безопасности организации в соответствии с установленными
требованиями в политике ИБ (организации).

Примечание — Результатом обеспечения ИБ может быть
предотвращение ущерба обладателю информации из-за возможной утечки информации и
(или) несанкционированного и непреднамеренного воздействия на информацию.

3.2.20 система
документов по информационной безопасности в организации; система документов по ИБ в
организации: Объединенная целевой направленностью упорядоченная совокупность
документов, взаимосвязанных по признакам происхождения, назначения, вида, сферы
деятельности, единых требований к их оформлению и регламентирующих в
организации деятельность по обеспечению информационной безопасности.

3.3 Термины, относящиеся к угрозам безопасности
информации

3.3.1 угроза информационной безопасности организации; угроза ИБ
организации: Совокупность факторов и условий, создающих опасность нарушения
информационной безопасности организации, вызывающую или способную вызвать
негативные последствия (ущерб/вред) для организации.

Примечания

1
Формой реализации (проявления) угрозы ИБ является наступление одного или
нескольких взаимосвязанных событий ИБ и инцидентов ИБ, приводящего (их) к
нарушению свойств информационной безопасности объекта (ов) защиты организации.

2 Угроза характеризуется наличием объекта угрозы, источника угрозы и
проявления угрозы.

3.3.2

3.3.3 модель угроз
(безопасности информации): Физическое,
математическое, описательное представление свойств или характеристик угроз
безопасности информации.

Примечание — Видом описательного представления
свойств или характеристик угроз безопасности информации может быть специальный
нормативный документ.

3.3.4

3.3.5 нарушитель
информационной безопасности организации; нарушитель ИБ организации: Физическое лицо или логический объект,
случайно или преднамеренно совершивший действие, следствием которого является
нарушение информационной безопасности организации.

3.3.6 несанкционированный
доступ: Доступ к информации
или к ресурсам автоматизированной информационной системы, осуществляемый с
нарушением установленных прав и (или) правил доступа.

Примечания

1
Несанкционированный доступ может быть осуществлен преднамеренно или
непреднамеренно.

2 Права и правила доступа к информации и ресурсам информационной системы
устанавливаются для процессов обработки информации, обслуживания
автоматизированной информационной системы, изменения программных, технических и
информационных ресурсов, а также получения информации о них.

3.3.7 сетевая
атака: Действия с
применением программных и (или) технических средств и с использованием сетевого
протокола, направленные на реализацию угроз несанкционированного доступа к
информации, воздействия на нее или на ресурсы автоматизированной информационной
системы.

Примечание — Сетевой протокол — совокупность
семантических и синтаксических правил, определяющих взаимодействие программ
управления сетью, находящейся в одной ЭВМ, с одноименными программами,
находящимися в другой ЭВМ.

3.3.8 блокирование
доступа (к информации): Прекращение
или затруднение доступа к информации лиц, имеющих на это право (законных
пользователей).

3.3.9 атака «отказ
в обслуживании»: Сетевая
атака, приводящая к блокированию информационных процессов в автоматизированной
системе.

3.3.10 утечка
информации: Неконтролируемое
распространение защищаемой информации в результате ее разглашения,
несанкционированного доступа к информации и получения защищаемой информации
иностранными разведками.

3.3.11 разглашение
информации: Несанкционированное
доведение защищаемой информации до лиц, не имеющих права доступа к этой
информации.

3.3.12

3.3.13

3.3.14 недекларированные
возможности: Функциональные
возможности средств вычислительной техники и программного обеспечения, не
описанные или не соответствующие описанным в документации, которые могут
привести к снижению или нарушению свойств безопасности информации.

3.3.15 побочные
электромагнитные излучения и наводки: Электромагнитные излучения технических средств обработки
информации, возникающие как побочное явление и вызванные электрическими
сигналами, действующими в их электрических и магнитных цепях, а также
электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и
цепи питания.

3.4 Термины, относящиеся к менеджменту
информационной безопасности организации

3.4.1 менеджмент информационной безопасности
организации; менеджмент ИБ организации:
Скоординированные действия по руководству и управлению организацией в части
обеспечения ее информационной безопасности в соответствии с изменяющимися
условиями внутренней и внешней среды организации.

3.4.2 менеджмент
риска информационной безопасности организации; менеджмент риска ИБ организации: Скоординированные действия по
руководству и управлению организацией в отношении риска ИБ с целью его
минимизации.

Примечание — Основными процессами менеджмента риска
являются установление контекста, оценка риска, обработка и принятие риска,
мониторинг и пересмотр риска.

3.4.3

3.4.4 роль
информационной безопасности в организации; роль ИБ в организации: Совокупность определенных функций и задач
обеспечения информационной безопасности организации, устанавливающих допустимое
взаимодействие между субъектом и объектом в организации.

Примечания

1
К субъектам относятся лица из числа руководителей организации, ее персонал или
инициируемые от их имени процессы по выполнению действий над объектами.

2 Объектами могут быть техническое, программное, программно-техническое
средство, информационный ресурс, над которыми выполняются действия.

3.4.5 служба информационной безопасности
организации: Организационно-техническая
структура системы менеджмента информационной безопасности организации,
реализующая решение определенной задачи, направленной на противодействие
угрозам информационной безопасности организации.

3.5 Термины, относящиеся к контролю и оценке
информационной безопасности организации

3.5.1 контроль обеспечения информационной безопасности организации;
контроль обеспечения ИБ организации: Проверка соответствия обеспечения
информационной безопасности в организации, наличия и содержания документов
требованиям нормативных документов, технической, правовой
организационно-распорядительной документации в области информационной
безопасности.

3.5.2 мониторинг
информационной безопасности организации; мониторинг ИБ организации: Постоянное наблюдение за процессом
обеспечения информационной безопасности в организации с целью установить его
соответствие требованиям по информационной безопасности.

3.5.3 аудит
информационной безопасности организации; аудит ИБ организации: Систематический, независимый и
документируемый процесс получения свидетельств деятельности организации по
обеспечению информационной безопасности и установлению степени выполнения в
организации критериев информационной безопасности, а также допускающий
возможность формирования профессионального аудиторского суждения о состоянии
информационной безопасности организации.

3.5.4 свидетельства
(доказательства) аудита информационной безопасности организации; свидетельства аудита ИБ организации:
Записи, изложение фактов или другая информация, которые имеют отношение к
критериям аудита информационной безопасности организации и могут быть
проверены.

Примечание — Свидетельства аудита информационной безопасности
могут быть качественными или количественными.

3.5.5 оценка
соответствия информационной безопасности организации установленным требованиям; оценка соответствия ИБ организации
установленным требованиям: Деятельность, связанная с прямым или косвенным
определением выполнения или невыполнения в организации установленных требований
информационной безопасности.

3.5.6 критерий
аудита информационной безопасности организации; критерий аудита ИБ организации: Совокупность принципов,
положений, требований и показателей действующих нормативных документов,
относящихся к деятельности организации в области информационной безопасности.

Примечание — Критерии аудита информационной
безопасности используют для сопоставления с ними свидетельств аудита
информационной безопасности.

3.5.7 аттестация
автоматизированной системы в защищенном исполнении: Процесс комплексной проверки выполнения заданных функций
автоматизированной системы по обработке защищаемой информации на соответствие
требованиям стандартов и/или нормативных документов в области защиты информации
и оформления документов о ее соответствии выполнению функции по обработке
защищаемой информации на конкретном объекте информатизации.

3.5.8 критерий
обеспечения информационной безопасности организации; критерий обеспечения ИБ организации: Показатель, на основании
которого оценивается степень достижения цели (целей) информационной
безопасности организации.

3.5.9 эффективность
обеспечения информационной безопасности; эффективность обеспечения ИБ: Связь между достигнутым результатом
и использованными ресурсами для обеспечения заданного уровня информационной
безопасности.

3.6 Термины, относящиеся к средствам обеспечения
информационной безопасности организации

3.6.1 обеспечение информационной безопасности
организации; обеспечение ИБ
организации: Деятельность, направленная на устранение (нейтрализацию,
парирование) внутренних и внешних угроз информационной безопасности организации
или на минимизацию ущерба от возможной реализации таких угроз.

3.6.2 мера
безопасности; мера
обеспечения безопасности: Сложившаяся
практика, процедура или механизм обработки риска.

3.6.3 меры
обеспечения информационной безопасности; меры обеспечения ИБ: Совокупность действий, направленных на
разработку и/или практическое применение способов и средств обеспечения
информационной безопасности.

3.6.4 организационные
меры обеспечения информационной безопасности; организационные меры обеспечения ИБ: Меры обеспечения
информационной безопасности, предусматривающие установление временных,
территориальных, пространственных, правовых, методических и иных ограничений на
условия использования и режимы работы объекта информатизации.

3.6.5 техническое
средство обеспечения информационной безопасности; техническое средство обеспечения ИБ: Оборудование, используемое
для обеспечения информационной безопасности организации некриптографическими
методами.

Примечание — Такое оборудование может быть
представлено техническими и программно-техническими средствами, встроенными в объект
защиты и/или функционирующими автономно (независимо от объекта защиты).

3.6.6 средство
обнаружения вторжений, средство
обнаружения атак: Программное
или программно-техническое средство, которое автоматизирует процесс контроля
событий, протекающих в компьютерной системе или сети, а также самостоятельно
анализирует эти события в поисках признаков инцидента информационной
безопасности.

3.6.7 средство
защиты от несанкционированного доступа: Программное, техническое или программно-техническое средство, предназначенное
для предотвращения или существенного затруднения несанкционированного доступа.

Алфавитный указатель терминов

Приложение А
(справочное)

Термины
и определения общетехнических понятий

А.1

Примечания

1
К организации относятся: компания, корпорация, фирма, предприятие, учреждение, благотворительная
организация, предприятие розничной торговли, ассоциация, а также их
подразделения или комбинация из них.

2
Распределение обычно бывает упорядоченным.

3 Организация может быть государственной или частной.

А.2
бизнес: Экономическая
деятельность, дающая прибыль; любой вид деятельности, приносящий доход,
являющийся источником обогащения.

А.3
бизнес-процесс: Процессы,
используемые в экономической деятельности организации.

А.4

А.5

А.6
ресурсы: Активы
(организации), которые используются или потребляются в ходе выполнения
процесса.

Примечания

1
Ресурсы могут включать в себя такие разнообразные объекты, как персонал,
оборудование, основные средства, инструменты, а также коммунальные услуги: энергию,
воду, топливо и инфраструктуру сетей связи.

2 Ресурсы могут быть многократно используемыми, возобновляемыми или
расходуемыми.

А.7
опасность: Свойство
объекта, характеризующее его способность наносить ущерб или вред другим
объектам.

А.8
чрезвычайное событие: Событие,
приводящее к чрезвычайной ситуации.

А.9
ущерб: Физическое
повреждение или нанесение вреда здоровью людей либо нанесение вреда имуществу
или окружающей среде.

А.10
угроза: Совокупность
условий и факторов, которые могут стать причиной нарушения целостности,
доступности, конфиденциальности.

А.11
уязвимость: Внутренние
свойства объекта, создающие восприимчивость к воздействию источника риска,
которое может привести к какому-либо последствию.

А.12
атака: Попытка
преодоления системы защиты информационной системы.

Примечания — Степень «успеха» атаки зависит от
уязвимости и эффективности системы защиты.

А.13
менеджмент: Скоординированная
деятельность по руководству и управлению организацией.

А.14
менеджмент (непрерывности) бизнеса: Скоординированная деятельность по руководству и управлению
бизнес-процессами организации.

А.15
роль: Заранее
определенная совокупность правил и процедур деятельности организации,
устанавливающих допустимое взаимодействие между субъектом и объектом
деятельности.

А.16

А.17

А.18
аудит: Систематический
независимый и документированный процесс получения свидетельств аудита и
объективного их оценивания с целью установления степени выполнения
согласованных критериев аудита.

Примечания

1
Внутренние аудиты, называемые аудитами первой стороны, проводит для внутренних
целей сама организация или от ее имени другая организация. Результаты
внутреннего аудита могут служить основанием для декларации о соответствии. Во
многих случаях, особенно на малых предприятиях, аудит должен проводиться
специалистами (людьми, не несущими ответственности за проверяемую
деятельность).

2
Внешние аудиты включают аудиты, называемые аудитами второй стороны и аудитами
третьей стороны. Аудиты второй стороны проводят стороны, заинтересованные в
деятельности предприятия, например, потребители
или другие лица от их имени. Аудиты третьей стороны проводят внешние
независимые организации. Эти организации проводят сертификацию или регистрацию
на соответствие требованиям, например, требованиям ГОСТ Р ИСО 9001 и ГОСТ
Р ИСО 14001.

3
Аудит систем менеджмента качества и экологического менеджмента, проводимый
одновременно, называют «комплексным аудитом».

4 Если аудит проверяемой организации проводят одновременно несколько
организаций, то такой аудит называют «совместным аудитом».

А.19
мониторинг: Систематическое
или непрерывное наблюдение за объектом с обеспечением контроля и/или измерения
его параметров, а также проведение анализа с целью предсказания изменчивости параметров
и принятия решения о необходимости и составе корректирующих и предупреждающих
действий.

А.20

А.21
технология: Система
взаимосвязанных методов, способов, приемов предметной деятельности.

А.22

А.23
обработка информации: Совокупность
операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения,
регистрации, уничтожения, преобразования, отображения, осуществляемых над
информацией.

Приложение Б

(справочное)

Взаимосвязь основных понятий в области
обеспечения информационной безопасности в организации

Взаимосвязь
основных понятий приведена на рисунке Б.1.

Рисунок
Б.1 — Взаимосвязь основных понятий

Библиография

Ключевые
слова: информация, защита информации, информационная
безопасность в организации, угрозы безопасности информации, критерии
безопасности информации

1 Область применения

2 Нормативные ссылки

3 Термины и определения

     3.1 Общие понятия

     3.2 Термины, относящиеся к объекту защиты информации

     3.3 Термины, относящиеся к угрозам безопасности информации

     3.4 Термины, относящиеся к менеджменту информационной безопасности организации

     3.5 Термины, относящиеся к контролю и оценке информационной безопасности организации

     3.6 Термины, относящиеся к средствам обеспечения информационной безопасности организации

Алфавитный указатель терминов

Приложение А (справочное) Термины и определения общетехнических понятий

Приложение Б (справочное) Взаимосвязь основных понятий в области обеспечения информационной безопасности в организации

Библиография