Состав и содержание документов, разрабатываемых для проведения аттестации и по результатам аттестации автоматизированной системы

Глоссарий

Автоматизированная система Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Акт классификации автоматизированной системы Документ, оформляемый по результатам проведения процедуры классификации автоматизированной системы

Аттестационная комиссия Квалифицированная группа сотрудников органа по аттестации, формирующаяся с целью проведения работ по аттестации объектов информатизации заявителя

Аттестационные испытания объекта информатизации Комплексная проверка защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации

Аттестация объектов информатизации Комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России

Вспомогательные технические средства и системы Технические средства и системы, которые размещаются в тех же помещениях, где и объект информатизации, представляющий собой совокупность основных технических средств и систем, но не участвующие в процессе обработки информации ограниченного доступа

Вспомогательные технические средства и системы в защищаемом помещении Технические средства и системы, не используемые (отключаемые от сети питания) во время проведения "закрытых" совещаний и переговоров, но установленные в защищаемом помещении

Государственная информационная система Система, которая создается в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

Добровольная аттестация Процедура аттестации, которая проводится в соответствии с установленными требованиями по защите информации по решению владельца объекта информатизации

Защищаемое помещение Специально выделенное помещение, в котором планируется в ходе закрытых переговоров, совещаний, встреч обсуждать информацию ограниченного доступа, не содержащую сведения, составляющие государственную тайну

Заявитель юридическое лицо или индивидуальный предприниматель, орган власти или орган местного самоуправления, а также подведомственные им учреждения, которые заявляются на обработку информации ограниченного доступа на объекте информатизации, подлежащем аттестации по требованиям безопасности информации

Инструментальные (инструментально-расчетные) измерения и оценка защищенности Метод проверки, проводимый специалистами органа по аттестации с использованием контрольно-измерительной аппаратуры в соответствии с требованиями действующих нормативных и методических документов по защите информации

Информация Сведения (сообщения, данные) независимо от формы их представления

Инцидент информационной безопасности Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность

Испытательная лаборатория Лаборатория, осуществляющая сертификацию средств и систем защиты информации, на основании лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации

Канал утечки информации Совокупность источника (носителя) информации, приемника информации (нарушителя), а также физической среды, по которой происходит распространение информации от источника к приемнику

коммерческая тайна Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и Федеральными законами

Контролируемая зона Пространство вокруг объекта информатизации, в котором исключено неконтролируемое пребывание посторонних лиц, а также движение транспортных средств

Лицензирование в области защиты информации Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ

Лицензия Специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается документом, выданным лицензирующим органом

Многопользовательский режим обработки информации Режим, при котором в автоматизированной системе обработку информации осуществляет несколько пользователей, с учетом администратора и обслуживающего персонала

Модель нарушителя Абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа

Несанкционированный доступ к информации Получение защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации

Обладатель информации Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам

Объект информатизации Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров

Объекты информатизации, аттестуемые по требованиям безопасности информации Автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они расположены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров

Обязательная аттестация Процедура аттестации, которая должна быть проведена в обязательном порядке для определенного вида объектов информатизации

Однопользовательский режимом обработки информации Режим, при котором ко всей обрабатываемой информации, к программным средствам и носителям информации этой АС допущен только один пользователь

Оператор персональных данных Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Орган по аттестации Специальный центр ФСТЭК России, а также предприятия и организации, аккредитованные ФСТЭК России и имеющие лицензию на право проведения работ по технической защите информации

Организационные меры по защите информации Установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации

Основные технические средства и системы Технические средства и системы, включая соединительные линии и кабели питания, используемые для обработки, передачи и хранения информации ограниченного доступа

Оценка соответствия требованиям по защите информации Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации

Персональные данные Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность

Побочные электромагнитные излучения Электромагнитное излучение, возникающее при работе технических средств обработки информации

Побочные электромагнитные излучения и наводки Электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания

Подсистема криптографической защиты Подсистема, позволяющая усилить защиту информации от несанкционированного доступа посредством использования механизмов шифрования пользовательских данных

Подсистема обеспечения целостности Подсистема, предназначенная для защиты от несанкционированных изменений программной и аппаратной среды ПЭВМ и обеспечивающая защиту ПЭВМ от внедрения программных закладок, вирусов и прочих специальных математических воздействий на систему

Подсистема регистрации и учета Подсистема, предназначенная для регистрации событий (вход/выход из системы, сбои в работе, попытки несанкционированного доступа и т.д.) в специальном системной журнале

Подсистема управления доступом Подсистема, предназначена для защиты объекта информатизации от сторонних пользователей, не имеющих прав доступа к объекту информатизации и пытающихся осуществить несанкционированный доступ к информации, а также для управления доступом уполномоченных пользователей к объекту информатизации в соответствии с правилами разграничения доступа

Реестр лицензий на деятельность по технической защите конфиденциальной информации Сводный реестр лицензий на деятельность по технической защите конфиденциальной информации, содержащий данные о выданных ФСТЭК России лицензий органам по аттестации

сертификат соответствия Документ, удостоверяющий соответствие объекта требованиям технических регламентов, документам по стандартизации или условиям договоров

сертификация средств защиты информации по требованиям безопасности информации Деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Гостехкомиссией России

Сертификация средств защиты информации по требованиям безопасности информации Деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России

система сертификации Совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом

служебная тайна Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и Федеральными законами

Специальная проверка Проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств

Специальные исследования Выявление с использованием контрольно-измерительной аппаратуры возможных технических каналов утечки защищаемой информации от основных и вспомогательных технических средств и систем и оценка соответствия зашиты информации требованиям нормативных документов по защите информации

Специальный защитный знак Сертифицированное и зарегистрированное в установленном порядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определения подлинности и целостности специального защитного знака путем сравнения самого знака или композиции "специальный защитный знак - подложка" по критериям соответствия характерным признакам визуальными, инструментальными и другими методами

Техническая защита информации Деятельность, направленная на обеспечение некриптографическими методами безопасности информации (данных), подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств

Технические меры по защите информации Меры по защите информации, предусматривающие обеспечение некриптографическими методами безопасности информации (данных), подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Технический канал утечки информации Совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация

Угроза безопасности информации Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации

Уровень значимости информации Критерий, определяющийся степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации

Федеральная служба по техническому и экспортному контролю Российской Федерации Федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации

Федеральный орган исполнительной власти, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации

Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля

Цель аттестации объекта информатизации по требованиям безопасности информации Подтверждение соответствия реализованной на объекте информатизации системы защиты информации уровню безопасности информации, заданному владельцем объекта информатизации исходя из требований по защите информации, установленных законодательством Российской Федерации

Цель защиты информации Заранее намеченный результат защиты информации

Цель защиты информации Заранее намеченный результат защиты информации

Цель защиты объекта информатизации Предотвращение утечки информации по техническим каналам и защиты ее от несанкционированного доступа или непреднамеренного воздействия на нее

Цель информационной безопасности (организации) Заранее намеченный результат обеспечения информационной безопасности организации в соответствии с установленными требованиями в политике информационной безопасности (организации)

Экспертно-документальный метод Экспертная оценка, проводимая сотрудниками органа по аттестации и заключающаяся в анализе полноты и достаточности мер по защите информации, принятых на объекте информатизации, и соответствия системы защиты объекта информатизации установленным требованиям по безопасности информации

Электромагнитные токи Токи и напряжения в токопроводящих элементах, электрические заряды или магнитные потоки, вызванные электромагнитным полем