Термины, установленные настоящим стандартом, применяются во всех видах документации и во всех видах деятельности по обеспечению ИБ в рамках Комплекса БР ИББС <1>.
--------------------------------
<1> См. п. 3.4.
3.1. Банковская система Российской Федерации: Банк России, кредитные организации, а также представительства иностранных банков [1].
3.2. Стандарт: Документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг [3].
Стандарт также может содержать правила и методы исследований (испытаний) и измерений, правила отбора образцов, требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения.
3.3. Рекомендации в области стандартизации: Документ, содержащий советы организационно-методического характера, которые касаются проведения работ по стандартизации и способствуют применению основополагающего стандарта.
3.4. Комплекс БР ИББС: Взаимоувязанная совокупность документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации".
3.5. Менеджмент: Скоординированная деятельность по руководству и управлению.
3.6. Система: Множество (совокупность) материальных объектов (элементов) любой, в том числе различной физической, природы и информационных объектов, взаимодействующих между собой для достижения общей цели, обладающее системным свойством (свойствами).
Системным свойством (свойствами) является свойство, которого не имеет ни один из элементов и ни одно из подмножеств элементов при любом способе членения. Системное свойство не выводимо непосредственно из свойств элементов и частей.
3.7. Информация: Сведения (сообщения, данные) независимо от формы их представления [4].
3.8. Инфраструктура: Комплекс взаимосвязанных обслуживающих структур, составляющих основу для решения проблемы (задачи).
3.9. Информационная инфраструктура: Система организационных структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия.
Информационная инфраструктура:
включает совокупность информационных центров, банков данных и знаний, систем связи;
обеспечивает доступ потребителей к информационным ресурсам.
3.10. Документ: Зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Под материальным носителем подразумевается изделие (материал), на котором записана информация и которое обеспечивает возможность сохранения этой информации и снятие ее копий, например бумага, магнитная лента или карта, магнитный или лазерный диск, фотопленка и т.п.
3.11. Процесс: Совокупность взаимосвязанных ресурсов и деятельности, преобразующая входы в выходы.
3.12. Технология: Совокупность взаимосвязанных методов, способов, приемов предметной деятельности.
3.13. Технологический процесс: Процесс, реализующий некоторую технологию.
3.14. Автоматизированная система: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
3.15. Авторизация: Предоставление прав доступа.
3.16. Идентификация: Процесс присвоения идентификатора (уникального имени); сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
3.17. Аутентификация: Проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности).
3.18. Регистрация: Фиксация данных о совершенных действиях (событиях).
3.19. Роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом.
1. К субъектам относятся лица из числа руководителей организации банковской системы Российской Федерации, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.
2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.
3.20. Угроза: Опасность, предполагающая возможность потерь (ущерба).
3.21. Риск: Мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.
3.22. Актив: Все, что имеет ценность для организации БС РФ и находится в ее распоряжении.
К активам организации БС РФ могут относиться:
работники (персонал), финансовые (денежные) средства, средства вычислительной техники, телекоммуникационные средства и пр.;
различные виды банковской информации - платежная, финансово-аналитическая, служебная, управляющая, персональные данные и пр.;
банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы);
банковские продукты и услуги, предоставляемые клиентам.
3.23. Информационный актив: Информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении организации БС РФ и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.
3.24. Классификация информационных активов: Разделение существующих информационных активов организации БС РФ по типам, выполняемое в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ.
3.25. Объект среды информационного актива: Материальный объект среды использования и (или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.).
3.26. Ресурс: Актив организации БС РФ, который используется или потребляется в процессе выполнения некоторой деятельности.
3.27. Банковский технологический процесс: Технологический процесс, реализующий операции по изменению и (или) определению состояния активов организации БС РФ, используемых при функционировании или необходимых для реализации банковских услуг.
1. Операции над активами организации БС РФ могут выполняться вручную или быть автоматизированными, например, с помощью автоматизированных банковских систем.
2. В зависимости от вида деятельности выделяют: банковский платежный технологический процесс, банковский информационный технологический процесс и др.
3.28. Банковский платежный технологический процесс: Часть банковского технологического процесса, реализующая действия с информацией, связанные с осуществлением переводов денежных средств, платежного клиринга и расчета, и действия с архивами указанной информации.
3.29. Банковский информационный технологический процесс: Часть банковского технологического процесса, реализующая действия с информацией, необходимые для выполнения организацией БС РФ своих функций, и не являющаяся банковским платежным технологическим процессом.
3.30. Платежная информация: Информация, на основании которой совершаются операции, связанные с осуществлением переводов денежных средств.
3.31. Неплатежная информация: Информация, необходимая для функционирования организации БС РФ, не являющаяся платежной информацией, которая может включать в себя, например, данные статистической отчетности и внутрихозяйственной деятельности, аналитическую, финансовую, справочную информацию.
3.32. Автоматизированная банковская система: Автоматизированная система, реализующая банковский технологический процесс.
3.33. Комплекс средств автоматизации автоматизированной банковской системы: Совокупность всех компонентов автоматизированной банковской системы организации БС РФ за исключением людей.
3.34. Безопасность: Состояние защищенности интересов (целей) организации БС РФ в условиях угроз.
3.35. Информационная безопасность, ИБ: Безопасность, связанная с угрозами в информационной сфере.
1. Защищенность достигается обеспечением совокупности свойств ИБ - доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей) организации БС РФ.
2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.
3.36. Доступность информационных активов: Свойство ИБ организации БС РФ, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы.
3.37. Целостность информационных активов: Свойство ИБ организации БС РФ сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах.
3.38. Конфиденциальность информационных активов: Свойство ИБ организации БС РФ, состоящее в том, что обработка, хранение и передача информационных активов осуществляется таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.
3.39. Система информационной безопасности; СИБ: Совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.
3.40. Система менеджмента информационной безопасности; СМИБ: Часть менеджмента организации БС РФ, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ.
3.41. Система обеспечения информационной безопасности; СОИБ: Совокупность СИБ и СМИБ организации БС РФ.
3.42. Область действия системы обеспечения информационной безопасности; область действия СОИБ: Совокупность информационных активов и элементов информационной инфраструктуры организации БС РФ.
3.43. Осознание необходимости обеспечения информационной безопасности; осознание ИБ: Понимание руководством организации БС РФ необходимости самостоятельно на основе принятых в этой организации ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению ИБ, а также поддерживать эту деятельность адекватно прогнозу.
Осознание ИБ является внутренней побудительной причиной для руководства БС РФ инициировать и поддерживать деятельность по обеспечению ИБ в отличие от побуждения или принуждения, когда решение об инициировании и поддержке деятельности по обеспечению ИБ определяется соответственно либо возникшими проблемами организации, либо внешними факторами, например требованиями законов.
3.44. Защитная мера: сложившаяся практика, процедура или механизм, которые используются для уменьшения риска нарушения ИБ организации БС РФ.
3.45. Угроза информационной безопасности; угроза ИБ: Угроза нарушения свойств ИБ - доступности, целостности или конфиденциальности информационных активов организации БС РФ.
3.46. Уязвимость информационной безопасности; уязвимость ИБ: Слабое место в инфраструктуре организации БС РФ, включая СОИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ.
3.47. Ущерб: Утрата активов, повреждение (утрата свойств) активов и (или) инфраструктуры организации или другой вред активам и (или) инфраструктуре организации БС РФ, наступивший в результате реализации угроз ИБ через уязвимости ИБ.
3.48. Инцидент информационной безопасности; инцидент ИБ: Событие или комбинация событий, указывающая на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ, результатом которой являются:
- нарушение или возможное нарушение работы средств защиты информации в составе СОИБ организации БС РФ;
- нарушение или возможное нарушение требований законодательства РФ, нормативных актов и предписаний регулирующих и надзорных органов, внутренних документов организации БС РФ в области обеспечения ИБ, нарушение или возможное нарушение в выполнении процессов СОИБ организации БС РФ;
- нарушение или возможное нарушение в выполнении банковских технологических процессов организации БС РФ;
- нанесение или возможное нанесение ущерба организации БС РФ и (или) ее клиентам.
3.49. Нарушитель информационной безопасности; нарушитель ИБ: Субъект, реализующий угрозы ИБ организации БС РФ, нарушая предоставленные ему полномочия по доступу к активам организации БС РФ или по распоряжению ими.
3.50. Модель нарушителя информационной безопасности; модель нарушителя ИБ: Описание и классификация нарушителей ИБ, включая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, возможной мотивации их действий, а также способы реализации угроз ИБ со стороны указанных нарушителей.
3.51. Модель угроз информационной безопасности; модель угроз ИБ: Описание актуальных для организации БС РФ источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба.
3.52. Риск нарушения информационной безопасности; риск нарушения ИБ: Риск, связанный с угрозой ИБ.
3.53. Оценка риска нарушения информационной безопасности: Систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов организации БС РФ на всех стадиях их жизненного цикла.
3.54. Обработка риска нарушения информационной безопасности: Процесс выбора и осуществления защитных мер, снижающих риск нарушения ИБ, или мер по переносу, принятию или уходу от риска.
3.55. Остаточный риск нарушения информационной безопасности: Риск, остающийся после обработки риска нарушения ИБ.
3.56. Допустимый риск нарушения информационной безопасности: Риск нарушения ИБ, предполагаемый ущерб от которого организация БС РФ в данное время и в данной ситуации готова принять.
3.57. Документация: Совокупность взаимосвязанных документов, объединенных общей целевой направленностью.
3.58. План работ по обеспечению информационной безопасности: Документ, устанавливающий перечень намеченных к выполнению работ или мероприятий по обеспечению ИБ организации БС РФ, их последовательность, объем (в той или иной форме), сроки выполнения, ответственных лиц и конкретных исполнителей.
3.59. Свидетельства выполнения деятельности по обеспечению информационной безопасности: Документ или элемент документа, содержащий достигнутые результаты (промежуточные или окончательные), относящиеся к обеспечению ИБ организации БС РФ.
3.60. Политика информационной безопасности; политика ИБ: Документация, определяющая высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенная для организации БС РФ в целом.
3.61. Частная политика информационной безопасности; частная политика ИБ: Документация, детализирующая положения политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности БС РФ.
3.62. Мониторинг ИБ: Постоянное наблюдение за объектами и субъектами, влияющими на ИБ организации БС РФ, а также сбор, анализ и обобщение результатов наблюдений.
3.63. Оценка соответствия информационной безопасности; оценка соответствия ИБ: Систематический и документируемый процесс получения свидетельств деятельности организации БС РФ по реализации требований ИБ и установлению степени выполнения в организации БС РФ критериев оценки (аудита) ИБ.
3.64. Аудит информационной безопасности; аудит ИБ: Независимая оценка соответствия ИБ, выполняемая работниками организации, являющейся внешней по отношению к организации БС РФ, допускающая возможность формирования профессионального аудиторского суждения о состоянии ИБ организации БС РФ.
3.65. Самооценка информационной безопасности; самооценка ИБ: Оценка соответствия информационной безопасности, выполняемая работниками организации БС РФ.
3.66. Критерии оценки (аудита) информационной безопасности; критерии оценки (аудита) ИБ: Совокупность требований к обеспечению ИБ, определенных стандартом Банка России СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций БС РФ. Общие положения" или его частью.
3.67. Свидетельства оценки соответствия (аудита) информационной безопасности установленным критериям; свидетельства оценки соответствия (аудита) ИБ: Записи, изложение фактов или другая информация, которые имеют отношение к критериям оценки соответствия (самооценки соответствия, аудита) ИБ и могут быть проверены.
Свидетельства оценки соответствия (самооценки соответствия, аудита) ИБ могут быть качественными или количественными.
3.68. Выводы аудита информационной безопасности; выводы аудита ИБ: Результат оценки собранных свидетельств аудита ИБ.
3.69. Заключение по результатам аудита информационной безопасности (аудиторское заключение); заключение по результатам аудита ИБ: Качественная или количественная оценка соответствия установленным критериям аудита ИБ, представленная аудиторской группой после рассмотрения всех выводов аудита ИБ в соответствии с целями аудита ИБ.
3.70. Область аудита информационной безопасности; область аудита ИБ: Содержание и границы аудита ИБ.
Область аудита ИБ обычно включает местонахождение, организационную структуру, виды деятельности проверяемой организации и процессы, которые подвергаются аудиту ИБ, а также охватываемый период времени.
3.71. Программа аудита информационной безопасности; программа аудита ИБ:
План деятельности по проведению одного или нескольких аудитов ИБ (и других проверок ИБ), запланированных на конкретный период времени и направленных на достижение конкретной цели.
Программа аудита ИБ включает всю деятельность, необходимую для планирования, проведения, контроля, анализа и совершенствования аудитов ИБ (и других проверок ИБ).
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей