Глоссария железнодорожных терминов и определений №2663/р от 25.10.2023. Формирования единой базы терминов и определений в ОАО «РЖД»
70.1. Анализ информационного риска
Систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации.
[статья 2.8.9 ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]70.2. Оценка информационного риска
Общий процесс анализа информационного риска и его оценивания. [статья 2.8.10 ГОСТ Р 50922-2006 Защита информации. Основные
термины и определения]
70.3. Уязвимость
Недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации.
70.4. Уязвимость информационной системы
Недостаток (слабость) информационной системы, который (которая) создает потенциальные или реально существующие условия для реализации или проявления угроз безопасности информации.
Примечание. Если уязвимость соответствует угрозе, то существует риск.
[на основе положений статья 2.6.4 ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]70.5. Угроза
Совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности.
[статья А.10 ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения]70.6. Угроза (безопасности информации)
Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
70.7. Модель угроз (безопасности информации)
Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.
Примечание. Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.
[статья 3.3.3 ГОСТ Р 53114-2008 Защита информации. Обеспечениеинформационной безопасности в организации. Основные термины и определения; статья 2.6.8 ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]
70.8. Источник угрозы безопасности информации
Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.
70.9. Несанкционированное воздействие на информацию
Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
70.10. Вредоносная программа
Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.
70.11. Преднамеренное силовое электромагнитное воздействие на информацию
Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.
70.12. Инцидент информационной безопасности; инцидент ИБ Непредвиденное или нежелательное событие (группа событий) ИБ,
которое привело (могут привести) к нарушению функционирования информационного ресурса или возникновению угроз безопасности информации или нарушению требований по защите информации.
[статья 26 ГОСТ Р 59709-2022 Защита информации. Управление компьютерными инцидентами. Термины и определения]70.13. Компьютерный инцидент
1. Факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.
«О безопасности критической информационной инфраструктуры Российской Федерации»]
2. Факт нарушения и (или) прекращения функционирования информационного ресурса, сети электросвязи, используемой для организации взаимодействия информационных ресурсов, и (или) нарушения безопасности обрабатываемой в информационном ресурсе информации, в том числе произошедший в результате компьютерной атаки.
[статья 27 ГОСТ Р 59709-2022 Защита информации. Управление компьютерными инцидентами. Термины и определения]
70.14. Тип компьютерного инцидента
Классификация разновидностей компьютерных инцидентов.
70.15. Регистрация компьютерного инцидента
Процесс (процедура, функция) фиксации сведений о компьютерном инциденте по установленной форме.
70.16. Реагирование на компьютерный инцидент
Последовательное выполнение этапов реагирования на компьютерный инцидент с целью установления технических причин и условий возникновения компьютерного инцидента и ликвидации его последствий.
70.17. Этап реагирования (на компьютерный инцидент)
Действие или совокупность действий, осуществляемых по отношению к зарегистрированному компьютерному инциденту.
70.18. План реагирования (на компьютерный инцидент)
Набор документированных процедур и инструкций, определяющих порядок реализации мероприятий по реагированию на компьютерные инциденты.
70.19. Время реагирования (на компьютерный инцидент)
Время реакции на инцидент, характеризующее интервал между получением информации о возникновении компьютерного инцидента и моментом закрытия компьютерного инцидента.
70.20. Локализация компьютерного инцидента
Совокупность действий, направленных на определение и ограничение функционирования информационных ресурсов, на которых обнаружены
признаки зарегистрированного компьютерного инцидента, с целью предотвращения его дальнейшего распространения.
[статья 46 ГОСТ Р 59709-2022 Защита информации. Управление компьютерными инцидентами. Термины и определения]70.21. Выявление последствий компьютерного инцидента
Совокупность действий, направленных на определение фактов несанкционированного раскрытия, модификации, уничтожения информации или блокирования доступа к ней, а также фактов внесения нарушителем ИБ в информационный ресурс изменений, позволяющих ему осуществлять дальнейшие несанкционированные действия по отношению к защищаемой информации, связанных с зарегистрированным компьютерным инцидентом.
Примечание. В качестве фактов внесения в информационный ресурс изменений следует рассматривать: создание нарушителем ИБ нелегитимной учетной записи пользователя, внедрение в информационный ресурс нештатного программного обеспечения, изменение настроек средств защиты информации и программного обеспечения, а также другие изменения, вносимые нарушителем ИБ в информационный ресурс с целью использования их для осуществления дальнейших несанкционированных действий по отношению к защищаемой информации.
[статья 47 ГОСТ Р 59709-2022 Защита информации. Управлениекомпьютерными инцидентами. Термины и определения]
70.22. Ликвидация последствий компьютерного инцидента
Совокупность действий, направленных на восстановление штатного режима функционирования информационных ресурсов после компьютерного инцидента и удаление изменений, внесенных нарушителем ИБ в информационный ресурс.
70.23. Установление причин компьютерного инцидента
Совокупность действий, направленных на определение факторов, обусловивших возможность возникновения компьютерного инцидента и (или) способствовавших его возникновению.
70.24. Закрытие компьютерного инцидента
Совокупность действий, направленных на проверку результатов выполнения мероприятий (этапов) реагирования на компьютерный инцидент для принятия решения о его закрытии или о необходимости проведения дополнительных действий по реагированию.
[статья 50 ГОСТ Р 59709-2022 Защита информации. Управление компьютерными инцидентами. Термины и определения]
70.25. Принятие мер по предотвращению повторного возникновения компьютерных инцидентов
Реализация мер защиты информации, обеспечивающих противодействие (снижение вероятности вплоть до недопущения) повторному возникновению компьютерных инцидентов.
70.26. Компьютерная атака
1. Целенаправленное воздействие программных и (или) программно- аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации.
«О безопасности критической информационной инфраструктуры Российской Федерации»]
2. Целенаправленное воздействие программных и (или) программно- аппаратных средств на информационный ресурс в целях нарушения и (или) прекращения его функционирования и (или) создания угрозы безопасности обрабатываемой таким ресурсом информации.
[статья 30 ГОСТ Р 59709-2022 Защита информации. Управление компьютерными инцидентами. Термины и определения]70.27. Источник компьютерной атаки
Лицо (или инициируемый им процесс), проводящее (проводящий) атаку. [статья 31 ГОСТ Р 59709-2022 Защита информации. Управление
компьютерными инцидентами. Термины и определения]
70.28. Тип компьютерной атаки
Классификация разновидностей компьютерных атак.
70.29. Обнаружение компьютерных атак
Комплекс мероприятий по выявлению и анализу признаков компьютерных атак и определению их типа.
70.30. Защита информации; ЗИ
1. Представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
[часть 1 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ«Об информации, информационных технологиях и о защите информации»]
2. Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
[статья 2.1.1 ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]70.31. Замысел защиты информации
Основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.
70.32. Цель защиты информации
Заранее намеченный результат защиты информации.
Примечание. Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.
[статья 2.4.2 ГОСТ Р 50922-2006 Защита информации. Основные терминыи определения]
70.33. Правовая защита информации
Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
70.34. Требование по защите информации
Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.
[статья 2.9.2 ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]70.35. Оценка соответствия требованиям по защите информации
Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.
70.36. Лицензирование в области защиты информации
Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ.
70.37. Система защиты информации
Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
70.38. Общий регламент по защите данных
Правила регулирования процедуры сбора, обработки, хранения и распространения персональных данных. Их основная цель — защитить личные данные, согласно правам человека.
70.39. Защита информации от [иностранной] разведки
Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.
70.40. Защита информации от непреднамеренного воздействия
Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
70.41. Защита информации от преднамеренного воздействия; ЗИ от
ПДВ
Защита информации, направленная на предотвращение преднамеренного
воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.
[статья 2.3.7 ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]70.42. Защита информации от несанкционированного воздействия;
ЗИ от НСВ
Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
[статья 2.3.3 ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]70.43. Защита информации от несанкционированного доступа; ЗИ от
НСД
Защита информации, направленная на предотвращение получения
защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.
Примечание. Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство,
юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
[статья 2.3.6 ГОСТ Р 50922-2006 Защита информации. Основные терминыи определения]
70.44. Защита информации от разглашения
Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.
70.45. Защита информации от утечки
Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.
Примечание. Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
[статья 2.3.2 ГОСТ Р 50922-2006 Защита информации. Основные терминыи определения]
70.46. Объект защиты информации
Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.
70.47. Специальная проверка
Проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств.
70.48. Специальное исследование (объекта защиты информации)
Исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации.
70.49. Способ защиты информации
Порядок и правила применения определенных принципов и средств защиты информации.
70.50. Физическая защита информации
Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.
Примечания:
1. Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.
2. К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.
[статья 2.2.4 ГОСТ Р 50922-2006 Защита информации. Основные терминыи определения]
70.51. Криптографическая защита информации
Защита информации с помощью ее криптографического преобразования. [статья 2.2.3 ГОСТ Р 50922-2006 Защита информации. Основные термины
и определения]
70.52. Средство контроля эффективности защиты информации
Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.
70.53. Техника защиты информации
Средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
70.54. Средство защиты информации
Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
[статья 2.7.2 ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]
70.55. Средство физической защиты информации
Средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации.
70.56. Криптографическое средство защиты информации
Средство защиты информации, реализующее алгоритмы криптографического преобразования информации.
70.57. Техническая защита информации; ТЗИ
Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно- технических средств.
70.58. Показатель эффективности защиты информации
Мера или характеристика для оценки эффективности защиты информации.
70.59. Норма эффективности защиты информации
Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.
70.60. Экспертиза документа по защите информации
Рассмотрение документа по защите информации физическим или юридическим лицом, имеющим право на проведение работ в данной области, с целью подготовить соответствующее экспертное заключение.
Примечание. Экспертиза документа по защите информации может включать в себя научно-техническую, правовую, метрологическую, патентную и терминологическую экспертизу.
[статья 2.8.8 ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]
70.61. Эффективность защиты информации
Степень соответствия результатов защиты информации цели защиты информации.
70.62. Защищаемая информация
Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Примечание. Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
[статья 2.5.2 ГОСТ Р 50922-2006 Защита информации. Основные терминыи определения]
70.63. Носитель защищаемой информации
Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
70.64. Фактор, воздействующий на защищаемую информацию
Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.
70.65. Защищаемая информационная система
Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.
70.66. Защищаемый объект информатизации
Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.
[статья 3.3.1 Р 50.1.056-2005 Техническая защита информации. Основные термины и определения; статья 2.5.4 ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]
70.67. Информационная безопасность; ИБ
Обеспечение защиты конфиденциальности, целостности и доступности информации.
Примечание. Кроме того, могут быть также включены другие свойства, такие, как подлинность, учетность, невозможность отказа от авторства и надежность.
[ГОСТ Р 53131-2008 (ИСО/МЭК ТО 24762:2008) Защита информации.Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения]
70.68. Информационная безопасность организации; ИБ организации Состояние защищенности интересов организации в условиях угроз в
информационной сфере.
Примечание. Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры организации. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации.
[статья 3.2.1 ГОСТ Р 53114-2008 Защита информации. Обеспечениеинформационной безопасности в организации. Основные термины и определения]
70.69. Безопасность информации [данных]Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.
[статья 2.4.5 ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]70.70. Конфиденциальность информации
1/Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
«Об информации, информационных технологиях и о защите информации»]
2/ Свойство безопасности информации, при котором доступ к ней осуществляют только субъекты доступа, имеющие на него право.
[Приложение № 1 к Методическому документу «Меры защиты информации в государственных информационных системах», утвержденному ФСТЭК России 11 февраля 2014 года]
70.71. Целостность информации
Свойство безопасности информации, при котором отсутствует любое ее изменение либо изменение субъектами доступа, имеющими на него право.
70.72. Информационный актив
Ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении.
Примечание. Информационными активами являются различные виды информации, циркулирующие в информационной системе (служебная, управляющая, аналитическая, деловая и т.д.) на всех этапах жизненного цикла (генерация, хранение, обработка, передача, уничтожение).
[на основе положений ГОСТ Р 53114-2008 Защита информации.Обеспечение информационной безопасности в организации. Основные термины и определения]
70.73. Инвентаризация информационного ресурса
Деятельность, направленная на сбор информации об информационном ресурсе, включая используемые в нем технические, программные и (или) программно-аппаратные средства (программно-технические средства).
70.74. Информационная инфраструктура (субъекта ГосСОПКА); ИИ Информационные ресурсы, а также сети электросвязи, используемые для
организации их взаимодействия.
[статья 23 ГОСТ Р 59709-2022 Защита информации. Управление компьютерными инцидентами. Термины и определения]70.75. Информационные ресурсы (входящие в зону ответственности субъекта ГосСОПКА)
Информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления.
70.76. Элементы информационной инфраструктуры (субъекта ГосСОПКА); элементы ИИ
Программно-технические средства (средства вычислительной техники), обладающие функциями хранения, обработки и (или) передачи информации, входящие в состав ИИ.
70.77. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; ГосСОПКА
Единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
70.78. Национальный координационный центр по компьютерным инцидентам; НКЦКИ
Организация, осуществляющая на национальном уровне координацию деятельности сил субъектов ГосСОПКА по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, а также обмен информацией о компьютерных инцидентах с уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
70.79. Политика безопасности (информации в организации)
Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
70.80. Нарушение информационной безопасности организации;
нарушение ИБ организации
Случайное или преднамеренное неправомерное действие физического лица (субъекта, объекта) в отношении активов организации, следствием
которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах, вызывающее негативные последствия (ущерб/вред) для организации.
[статья 3.2.4 ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения]70.81. Событие (информационной) безопасности
Зафиксированное состояние информационной (автоматизированной) системы, сетевого, телекоммуникационного, коммуникационного, иного прикладного сервиса или информационно-телекоммуникационной сети, указывающее на возможное нарушение безопасности информации, сбой средств ЗИ, или ситуацию, которая может быть значимой для безопасности информации.
70.82. Мониторинг информационной безопасности; мониторинг ИБ Процесс постоянного наблюдения и анализа результатов регистрации
событий безопасности и иных данных с целью выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей.
[пункт 3.7 ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности. Общие положения]70.83. Данные мониторинга ИБ (информационной безопасности)
Данные о состоянии объектов мониторинга ИБ, а также данные, получаемые из среды функционирования объектов мониторинга и внешних сервисов, которые могут использоваться для выявления уязвимостей и угроз безопасности информации.
70.84. Источники данных мониторинга ИБ (информационной безопасности)
Программные или программно-технические средства, с которых может быть осуществлен сбор данных мониторинга.
70.85. Объект мониторинга ИБ (информационной безопасности)
Объект или процесс, изменение состояния которого может привести к нарушению безопасности информации.
[пункт 3.10 ГОСТ Р 59547-2021 Защита информации. Мониторинг информационной безопасности. Общие положения]
70.86. Сертификация на соответствие требованиям по безопасности информации
Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.
Примечание. К объектам оценки могут относиться: средство защиты информации, средство контроля эффективности защиты информации.
[статья 2.8.3 ГОСТ Р 50922-2006 Защита информации. Основные терминыи определения]
70.87. [аудиторская проверка информационной безопасности в организации, аудит информационной безопасности в организации]Периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности.
Примечание. Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит).
[статья 2.8.6 ГОСТ Р 50922-2006 Защита информации. Основные терминыи определения]
70.88. Информационная инфраструктура
Совокупность объектов информатизации, обеспечивающая доступ потребителей к информационным ресурсам.
70.89. Критическая информационная инфраструктура
Объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
«О безопасности критической информационной инфраструктуры Российской Федерации»]
70.90. Безопасность критической информационной инфраструктуры
Состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак.
[пункт 2 статьи 2 Федерального закона от 26 июля 2017 г. № 187-ФЗ«О безопасности критической информационной инфраструктуры Российской Федерации»]
70.91. Объекты критической информационной инфраструктуры
Информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
«О безопасности критической информационной инфраструктуры Российской Федерации»]
70.92. Значимый объект критической информационной инфраструктуры
Объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
«О безопасности критической информационной инфраструктуры Российской Федерации»]
70.93. Субъекты критической информационной инфраструктуры
Государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
«О безопасности критической информационной инфраструктуры Российской Федерации»]
70.94. Права доступа
Совокупность правил, определяющих условия и регламент доступа к ИС.
[пункт 4 Порядка предоставления доступа к информационным системам ОАО «РЖД», утвержденного распоряжением ОАО «РЖД» от 26 января 2023 г.
№ 152/р]
70.95. Внешний пользователь
Работник сторонней организации (в том числе хозяйственного общества с прямым или косвенным участием ОАО «РЖД») или индивидуальный предприниматель и его работник, которому предоставляется доступ к ИС.
№ 152/р]
70.96. Внутренний пользователь
Работник подразделения ОАО «РЖД», которому предоставляется доступ
к ИС.
[пункт 4 Порядка предоставления доступа к информационным системамОАО «РЖД», утвержденного распоряжением ОАО «РЖД» от 26 января 2023 г.
№ 152/р]
70.97. Коммерческая тайна
Режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
«О коммерческой тайне»]
70.98. Информация, составляющая коммерческую тайну
Сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
«О коммерческой тайне»]
70.99. Обладатель информации, составляющей коммерческую тайну
Лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны.
[пункт 4 статьи 3 Федерального закона от 29 июля 2004 г. № 98-ФЗ
«О коммерческой тайне»]
70.100. Доступ к информации, составляющей коммерческую тайну
Ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.
«О коммерческой тайне»]
70.101. Передача информации, составляющей коммерческую тайну
Передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности.
«О коммерческой тайне»]
70.102. Предоставление информации, составляющей коммерческую тайну
Передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций.
«О коммерческой тайне»]
70.103. Разглашение информации, составляющей коммерческую тайну
Действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.
«О коммерческой тайне»]