Для целей этого документа, применяются следующие термины и определения.
актив [asset] ‑ что-либо, что имеет ценность для организации [ISO/IEC 13335-1:2004];
доступность [availability] ‑ свойство быть доступным и пригодным к употреблению по требованию уполномоченного лица [ISO/IEC 13335-1:2004];
конфиденциальность [confidentiality] – свойство информации быть недоступной или не разглашенной для неуполномоченных лиц, организаций или процессов [ISO/IEC 13335-1:2004];
защита информации [information security] ‑ сохранение конфиденциальности, целостности и доступности информации; кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотрекаемость и надежность [ISO /IEC 17799:2005];
событие в системе защиты информации [information security event] ‑ выявленный случай для системы, услуги или состояния сети, указывающий на возможное нарушение политики защиты информации или нарушения в работе средств защиты, или прежде неизвестная ситуация, которая может иметь значение для защиты [ISO /IEC TR 18044:2004];
инцидент в системе защиты информации [information security incident] ‑ одно или серия нежелательных (неожиданных) событий в системе защиты информации, которые имеют большой шанс скомпрометировать деловые операции и поставить под угрозу защиту информации [ISO/IEC TR 18044:2004];
|
|
система менеджмента защиты информации СМЗИ [information security management system] [ISMS] ‑ часть общей системы менеджмента, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации, ПРИМЕЧАНИЕ: Система менеджмента включает организационную структуру, политику, деятельность по планированию, ответственность, практики, процедуры, процессы и ресурсы;
целостность [integrity] ‑ свойство активов сохранять точность и полноту [ISO/IEC 13335-1:2004];
остаточный риск [residual risk] ‑ риск, остающийся после его обработки (попытки его уменьшить) [ISO/IEC Guide 73:2002];
принятие риска [risk acceptance] ‑ решение взять на себя риск [ISO/IEC Guide 73:2002];
анализ риска [risk analysis] ‑ систематическое использование информации для выявления источников и оценки степени риска [ISO/IEC Guide 73:2002];
оценка риска [risk assessment] ‑ целостный процесс анализа риска и оценки значительности риска [ISO/IEC Guide 73:2002];
оценка значительности риска [risk evaluation] ‑ процесс сравнения расчетного риска с заданными критериями риска, с целью определить значительность риска [ISO/IEC Guide 73:2002];
менеджмент рисков [risk management] ‑ согласованные виды деятельности по руководству и управлению организацией в отношении рисков [ISO/IEC Guide 73:2002];
обработка риска [risk treatment] ‑ процесс выбора и реализации мер по изменению риска [ISO/IEC Guide 73:2002];
|
|
ПРИМЕЧАНИЕ: В этом международном стандарте термин «управление» [«control»] используется как синоним для термина «мера» [«measure»].
заявление о применимости [statement of applicability] ‑ документированное заявление, описывающее цели и средства управления, которые имеют отношение и применимы к СМЗИ организации.
ПРИМЕЧАНИЕ: Цели управления и средства управления основываются на результатах и выводах оценки рисков и процесса обработки рисков, законодательных или нормативных требованиях, договорных обязательствах и деловых требованиях защиты информации организации.
3. Система менеджменту захисту інформації