Глоссарий GuardCore
За основу взят документ Глоссарий ИБ v.2.0 2026.docx (составители: Вячеслав Аксёнов, Enterprise Security Architect itsec.by, Татьяна Аксёнова, студентка БГУИР)
V
VDI (Virtual Desktop Infrastructure)
программный инструмент для централизованного создания виртуальных рабочих столов и управления ими.
А
абонент
пользователь услуг электросвязи, с которым заключен договор об оказании таких услуг при выделении для этих целей абонентского номера или уникального кода идентификации.
автоматизированная банковская система
автоматизированная система, реализующая банковский технологический процесс или его часть.
автоматизированная система
система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных для данной системы функций.
автоматизированная система взаимодействия
информационная система государственного органа и иной организации, предназначенная для сбора, обработки, накопления, систематизации и хранения событий информационной безопасности, регистрации киберинцидентов, а также направления и получения уведомлений (запросов) и иной информации в рамках информационного взаимодействия элементов национальной системы обеспечения кибербезопасности.
авторизация
предоставление работникам банка, клиентам прав доступа к объекту. К объектам относятся аппаратные, программные и программно-аппаратные средства, информационный ресурс, процесс, система, над которыми выполняются действия.
актив
ресурсы банка, информационные активы, банковские процессы, банковские продукты и услуги, предоставляемые клиентам, имеющие ценность для банка и находящиеся в его распоряжении.
Финансовые, вычислительные (аппаратные и программные), телекоммуникационные ресурсы, люди и их квалификация, навыки, опыт и другие ресурсы банка.
Различные виды банковской информации (платежная, финансово-аналитическая, служебная, управляющая и др.) на всех стадиях жизненного цикла информационных активов (генерация (создание), обработка, хранение, передача, уничтожение).
Банковские платежные технологические и банковские информационные технологические процессы, процессы жизненного цикла АБС и другие банковские процессы.
активы информационной системы
средства вычислительной техники, телекоммуникационное оборудование, системное и прикладное программное обеспечение, информационные ресурсы, входящие в состав информационной системы.
активы критически важного объекта информатизации
входящие в состав критически важного объекта информатизации технические, программные, программно-аппаратные средства (в том числе средства защиты информации), обрабатываемая информация, системы управления информационными, производственными и (или) технологическими процессами.
анализ риска (risk analysis)
анализ риска (risk analysis) — процесс изучения природы и характера риска и определения уровня риска.
Примечания:
1 Анализ риска обеспечивает основу для проведения оценивания риска (3.67) и принятия решения об обработке риска.
2 Анализ риска включает в себя установление значения риска.
[Руководство ИСО 73:2009, статья 3.6.1]
апостериорные защитные меры
защитные меры, эксплуатация которых сокращает степень тяжести последствий нарушения свойств информационной безопасности информационных активов (например, средства резервного копирования и восстановления информации).
априорные защитные меры
защитные меры, эксплуатация которых сокращает качественно или количественно существующие уязвимости объектов защиты информационных активов, тем самым снижая вероятность реализации соответствующих угроз информационной безопасности (например, средства защиты от несанкционированного доступа).
атака
попытка разрушения, умышленного раскрытия, изменения, блокировки, кражи актива, получения незаконного доступа к нему или его несанкционированного использования.
атака (attack)
атака (attack) — попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа к активу или его несанкционированного использования.
атрибутный сертификат
электронный документ, изданный поставщиком услуг и содержащий информацию о полномочиях физического лица, в том числе индивидуального предпринимателя (далее, если не предусмотрено иное, – физическое лицо), являющегося владельцем личного ключа электронной цифровой подписи (далее – личный ключ), на подписание определенных видов электронных документов, а также об иных полномочиях, предоставленных ему от имени организации или другого физического лица (далее, если не предусмотрено иное, – полномочия).
аттестат соответствия системы защиты информации информационной системы требованиям по защите информации
документ установленной формы, подтверждающий соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации.
аттестация объекта информатизации
комплекс организационно-технических мероприятий, осуществляемых до ввода объекта информатизации в эксплуатацию, в результате которых документально подтверждается соответствие объекта информатизации требованиям законодательства о государственных секретах.
аттестация системы защиты информации
комплекс организационно-технических мероприятий, в результате которых документально подтверждается соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации.
аудит ИБ
системный документированный процесс получения объективных качественных и количественных оценок о текущем состоянии ИБ в банке в соответствии с определенными критериями и показателями безопасности.
аудит системы информационной безопасности критически важного объекта информатизации
систематический, независимый и документированный процесс получения информации о деятельности владельца критически важного объекта информатизации по обеспечению информационной безопасности этого объекта информатизации и установлению степени соответствия выполнения требований, установленных законодательством, в том числе обязательными для соблюдения техническими нормативными правовыми актами.
аудит (audit)
аудит (audit) — систематический, независимый и задокументированный процесс, предназначенный для получения свидетельств аудита и объективной оценки аудиторами степени соблюдения критериев аудита.
Примечания:
1 Аудит может быть внутренним (первой стороны), внешним (второй или третьей стороны) или комбинированным (сочетание двух и более сторон).
2 Внутренний аудит проводится самой организацией или сторонней (внешней) организацией.
3 Термины «свидетельства аудита» и «критерии аудита» определены в ИСО 19011.
аутентификация (authentication)
аутентификация (authentication) — обеспечение гарантии того, что заявленные характеристики субъекта и объекта являются подлинными.
аутсорсинг
передача организацией банковского сектора на основании договора на длительный срок сторонней (внешней) организации-поставщику услуг выполнения бизнес-функций организации банковского сектора, которые являются необходимыми для ее деятельности и которые в обычных условиях (без привлечения поставщика услуг) осуществлялись бы организацией банковского сектора самостоятельно.
аутсорсинг (outsource)
аутсорсинг (outsource) — договоренность о том, что внешняя организация выполняет часть функции или процесса организации.
Примечание — Внешняя организация находится вне сферы охвата системы менеджмента, однако функция или процесс, переданные на внешний подряд, входят в эту сферу.
Б
база данных
совокупность структурированной и взаимосвязанной информации, организованной по определенным правилам на материальных носителях.
базовый образ виртуальной машины
образ виртуальной машины, используемый в качестве первоначального образа при запуске (загрузке) виртуальной машины.
банк данных
организационно-техническая система, включающая одну или несколько баз данных и систему управления ими.
банковский информационный технологический процесс
часть банковского технологического процесса, реализующая действия с информацией, необходимые для выполнения банком своих функций.
банковский платежный технологический процесс
часть банковского технологического процесса, реализующая действия с информацией, связанные с осуществлением переводов денежных средств, клиринга и расчета, и действия с архивами указанной информации.
банковский технологический процесс
технологический процесс, реализующий операции по изменению и (или) определению состояния активов банка, используемых при функционировании или необходимых для предоставления банковских услуг.
безопасность
состояние защищенности интересов (целей) организации в условиях угроз.
биометрические персональные данные
информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое).
блокирование персональных данных
прекращение доступа к персональным данным без их удаления.
В
вероятность (likelihood)
вероятность (likelihood) — степень возможности наступления какого-либо события.
[Руководство ИСО 73:2009, статья 3.6.1.1, с изменениями — примечания 1 и 2 были удалены].
виртуальная машина
средство вычислительной техники, функционирование которого осуществляется с использованием гипервизора, способное выполнять собственную операционную систему, системное и иное программное обеспечение.
владелец актива
подразделение банка, ответственное за использование актива, устанавливающее требования к функционированию актива и права доступа к нему.
владелец критически важного объекта информатизации
организация, в собственности, хозяйственном ведении или оперативном управлении которой находится критически важный объект информатизации.
владелец объекта информатизации
организация, в собственности, хозяйственном ведении или оперативном управлении которой находится объект информатизации.
владелец программно-технических средств, информационных ресурсов, информационных систем и информационных сетей
субъект информационных отношений, реализующий права владения, пользования и распоряжения программно-техническими средствами, информационными ресурсами, информационными системами и информационными сетями в пределах и порядке, определенных их собственником в соответствии с законодательством.
владелец риска (risk owner)
владелец риска (risk owner) — лицо или организация, обладающие ответственностью и полномочиями по менеджменту риска.
[Руководство ИСО 73:2009, статья 3.5.1.5].
внешний контекст (external context)
внешний контекст (external context) — внешняя среда, в которой организация стремится к достижению своих целей.
Примечание — Внешняя среда может включать в себя следующее:
— внешнюю среду, связанную с культурной, социальной, политической, законодательной, регулирующей, экономической, природной или конкурентной сферой на международном, национальном, региональном или местном уровне.
— ключевые критерии и тенденции, которые могут воздействовать на достижение установленных целей организации.
— взаимоотношения с внешними заинтересованными сторонами, восприятие ими риска и значимость для организации этих заинтересованных сторон.
[Руководство ИСО 73:2009, статья 3.3.1.1].
внутренний контекст (internal context)
внутренний контекст (internal context) — внутренняя среда, в которой организация стремится к достижению своих целей.
Примечание — Внутренняя среда может включать в себя:
— управление, организационную структуру, обязанности и подотчетность.
— политику, цели и стратегии, направленные на их достижение.
— возможности организации с точки зрения ресурсов и знаний (например, капитал, время, люди, процессы, системы и технологии).
— информационные системы, информационные потоки и процессы принятия решений (формальные и неформальные).
— взаимоотношения с внутренними заинтересованными сторонами, восприятие ими риска и значимость для организации этих заинтересованных сторон.
— культуру организации.
— стандарты, руководящие принципы и модели работы, принятые организацией.
— форму и объем договорных отношений.
[Руководство ИСО 73:2009, статья 3.3.1.2].
воздействие на информацию
действие по изменению формы предоставления и (или) содержания информации.
выпуск средств защиты информации в обращение
поставка (предоставление права использования) или ввоз средств защиты информации (в том числе отправка со склада изготовителя или отгрузка без складирования) в целях их распространения (реализации) на территории Республики Беларусь в ходе коммерческой деятельности на безвозмездной или возмездной основе.
высшее руководство (top management)
высшее руководство (top management) — лицо или группа лиц, руководящих организацией и контролирующих ее на высшем уровне.
Примечания:
1 Высшее руководство имеет право делегировать полномочия и предоставлять ресурсы в рамках организации.
2 Если область применения системы менеджмента охватывает только часть организации, то высшее руководство относится к тем, кто руководит этой частью организации и контролирует ее.
3 Высшее руководство иногда именуется исполнительным руководством и может включать в себя главных исполнительных директоров, финансовых директоров, директоров по информационным технологиям и аналогичных должностных лиц.
Г
генетические персональные данные
информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
государственная информационная система
Вариант 1
информационная система, создаваемая и (или) приобретаемая за счет средств республиканского или местных бюджетов, государственных внебюджетных фондов, а также средств государственных юридических лиц.
Вариант 2
совокупность банков данных, информационных технологий и комплекса (комплексов) программно-технических средств, формируемая или приобретаемая за счет средств республиканского или местных бюджетов, государственных внебюджетных фондов, а также средств государственных юридических лиц.
государственный информационный ресурс
Вариант 1
информационный ресурс, формируемый или приобретаемый за счет средств республиканского или местных бюджетов, государственных внебюджетных фондов, а также средств государственных юридических лиц.
Вариант 2
организованная совокупность документированной информации, включающая базы данных, другие совокупности взаимосвязанной информации в информационных системах, формируемая или приобретаемая за счет средств республиканского или местных бюджетов, государственных внебюджетных фондов, а также средств государственных юридических лиц.
Д
данные
совокупность сведений, зафиксированных на определенном носителе в форме, пригодной для постоянного хранения, передачи и обработки.
деструктивное информационное воздействие
осуществление информационного влияния на политические и социально-экономические процессы, деятельность государственных органов, а также на физических и юридических лиц в целях ослабления обороноспособности государства, нарушения общественной безопасности, принятия и заключения заведомо невыгодных решений и международных договоров, ухудшения отношений с другими государствами, создания социально-политической напряженности, формирования угрозы возникновения чрезвычайных ситуаций, разрушения традиционных духовных и нравственных ценностей, создания препятствий для нормальной деятельности государственных органов, причинения иного ущерба национальной безопасности.
доверенная загрузка операционной системы
специальная процедура загрузки операционной системы с заранее определенных носителей информации после успешного завершения процедур проверки целостности загружаемой операционной системы, технических (программных) компонент средства вычислительной техники, предназначенного для запуска операционной системы, а также идентификации (аутентификации) пользователя.
доверенная структура передачи информации (trusted information communication entity)
доверенная структура передачи информации (trusted information communication entity) — автономная организация, поддерживающая обмен информацией в рамках сообщества по обмену информацией.
доверие
состояние уверенности в том, что автоматизированная банковская система соответствует установленным для нее требованиям к обеспечению ИБ.
документированная информация
информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать.
документированная информация (documented information)
документированная информация (documented information) — информация, которая должна управляться и поддерживаться организацией, и носитель, который ее содержит.
Примечания:
1 Документированная информация может иметь любой формат, быть записана на любом типе носителя и поступать из любого источника.
2 Документированная информация может относиться:
— к системе менеджмента, включая связанные с ней процессы.
— к информации, создаваемой для функционирования организации (документация).
— к доказательствам достигнутых результатов (записям).
документы
локальные правовые акты банка, договоры, иные документы, разрабатываемые банком.
допустимый риск ИБ
риск ИБ (предполагаемый ущерб), который банк в данное время и в данной ситуации готов принять.
достоверность (reliability)
достоверность (reliability) — свойство соответствия предусмотренному поведению и результатам.
доступ к информации
возможность получения информации и пользования ею.
доступ к информационной системе и (или) информационной сети
возможность использования информационной системы и (или) информационной сети.
доступность информационных активов
свойство ИБ, которое заключается в предоставлении информационных активов пользователю, прошедшему авторизацию, в виде, месте и во время, необходимые данному пользователю.
доступность (availability)
доступность (availability) — свойство, определяющее возможность использования объекта авторизованным субъектом по запросу.
Е
единая республиканская сеть передачи данных
(ЕРСПД) – мультисервисная сеть электросвязи, являющаяся частью сети электросвязи общего пользования и представляющая собой комплекс взаимодействующих между собой сетей передачи данных республиканских органов государственного управления, местных исполнительных и распорядительных органов, иных государственных органов и других государственных организаций, хозяйственных обществ, в отношении которых Республика Беларусь либо административно-территориальная единица, обладая акциями (долями в уставных фондах), могут определять решения, принимаемые этими хозяйственными обществами, а также других юридических лиц негосударственной формы собственности и индивидуальных предпринимателей, присоединяющих существующие сети к ЕРСПД в добровольном порядке, за исключением сетей передачи данных, предназначенных для обеспечения национальной безопасности, обороны и охраны правопорядка.
Ж
жизненный цикл АБС
непрерывный временной интервал, начинающийся с момента принятия решения о необходимости создания системы и заканчивающийся в момент ее полного изъятия из эксплуатации.
журнал регистрации событий информационной безопасности
журнал регистрации событий ИБ — электронный журнал, содержащий записи о событиях информационной безопасности, в том числе о действиях пользователей и эксплуатирующего персонала автоматизированной банковской системы.
З
заинтересованная сторона (interested party)
заинтересованная сторона (предпочтительный термин) [interested party (preferred term)] участник (допустимый термин) [stakeholder (admitted term)] — лицо или организация, способные влиять на какое-либо решение или действия.
защита информации
комплекс правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации.
защита от воздействия вредоносного кода на уровне гипервизора
способ защиты от воздействия вредоносного кода с использованием программных средств, функционирующих как отдельные виртуальные машины на уровне гипервизора без установки специального программного обеспечения на защищаемые виртуальные машины.
защитная мера
сложившаяся практика, процедура или механизм, которые используются для уменьшения риска ИБ банка.
защищаемая информация
защищаемая информация – любая информация, распространение и (или) предоставление которой ограничено.
защищенный канал передачи данных
установленный между средствами криптографической защиты информации отправителя и получателя информации канал передачи данных, в котором конфиденциальность и контроль целостности передаваемой информации обеспечиваются криптографическими методами защиты информации.
И
идентификация риска (risk identification)
идентификация риска (risk identification) — процесс обнаружения, осознания и описания риска.
Примечания:
1 Элементы риска могут включать в себя источники риска, событий, их причин и возможные последствия.
2 Идентификация рисков может включать в себя теоретический анализ, анализ хронологических данных, экспертных оценок и потребностей заинтересованных сторон.
[Руководство ИСО 73:2009, статья 3.5.1].
измерения (measurement)
измерения (measurement) — процесс определения значения.
индикатор (indicator)
индикатор (indicator) — показатель, используемый для расчета или оценки.
интерфейс (использования) функции обеспечения информационной безопасности
описание и реализация способов использования функций обеспечения информационной безопасности.
информатизация
организационный, социально-экономический и научно-технический процесс, обеспечивающий условия для формирования и использования информационных ресурсов и реализации информационных отношений.
информационная безопасность
Вариант 1
состояние защищенности сбалансированных интересов личности, общества и государства от внешних и внутренних угроз в информационной сфере.
Вариант 2
состояние защищенности информационного пространства, информационной инфраструктуры и информационных ресурсов от внешних и внутренних угроз в информационной сфере.
информационная безопасность критически важного объекта информатизации
состояние защищенности активов критически важного объекта информатизации от угроз и рисков информационной безопасности критически важного объекта информатизации.
информационная безопасность (information security)
информационная безопасность (information security) — сохранение конфиденциальности, целостности и доступности информации.
Примечание — Этот термин может включать в себя и другие дополнительные свойства, такие как подлинность, подотчетность, неотказуемость и достоверность.
информационная инфраструктура
совокупность технических средств, систем и технологий создания, преобразования, передачи, использования и хранения информации.
информационная потребность (information need)
информационная потребность (information need) — знание, необходимое для управления задачами, целями, рисками и проблемами.
[ИСО/МЭК/ИИЭР 15939:2017, статья 3.12].
информационная сеть
совокупность информационных систем либо комплексов программно-технических средств информационной системы, взаимодействующих посредством сетей электросвязи.
информационная система
совокупность банков данных, информационных технологий и комплекса (комплексов) программно-технических средств.
информационная система (information system)
информационная система (information system) — набор приложений, услуг, информационно-технических активов или других компонентов для обработки информации.
информационная сфера
совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.
информационная технология
совокупность процессов, методов осуществления поиска, получения, передачи, сбора, обработки, накопления, хранения, распространения и (или) предоставления информации, а также пользования информацией и защиты информации.
информационная услуга
деятельность по осуществлению поиска, получения, передачи, сбора, обработки, накопления, хранения, распространения и (или) предоставления информации, а также защиты информации.
информационное пространство
область деятельности, связанная с созданием, преобразованием, передачей, использованием, хранением информации, оказывающая воздействие в том числе на индивидуальное и общественное сознание и собственно информацию;.
информационные отношения
отношения, возникающие при поиске, получении, передаче, сборе, обработке, накоплении, хранении, распространении и (или) предоставлении информации, пользовании информацией, защите информации, а также при применении информационных технологий.
информационный актив
Вариант 1
информация, имеющая ценность для ее владельца (собственника).
Вариант 2
информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации БС; находящаяся в распоряжении организации БС и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.
информационный обмен между виртуальными машинами
межпроцессорное взаимодействие, а также сетевые информационные потоки между виртуальными машинами, в том числе реализуемые средствами гипервизора в оперативной разделяемой памяти хост-сервера.
информационный посредник
субъект информационных отношений, предоставляющий информационные услуги обладателям и (или) пользователям информации.
информационный ресурс
организованная совокупность документированной информации, включающая базы данных, другие совокупности взаимосвязанной информации в информационных системах.
информационный суверенитет Республики Беларусь
неотъемлемое и исключительное верховенство права государства самостоятельно определять правила владения, пользования и распоряжения национальными информационными ресурсами, осуществлять независимую внешнюю и внутреннюю государственную информационную политику, формировать национальную информационную инфраструктуру, обеспечивать информационную безопасность.
информация
сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
инфраструктура
комплекс взаимосвязанных структур, составляющих основу для решения проблемы (задачи).
инцидент ИБ
событие или комбинация событий, указывающие на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ.
инцидент информационной безопасности (information security incident)
инцидент информационной безопасности (information security incident) — одно или несколько нежелательных или неожиданных событий информационной безопасности, которые с высокой степенью вероятности могут привести к компрометации в бизнес-процессах и создают угрозы для информационной безопасности.
источник угрозы информационной безопасности
объект или субъект, реализующий угрозы информационной безопасности путем воздействия на объекты среды информационных активов организации банковского сектора.
К
кибератака
целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации.
кибербезопасность
состояние защищенности информационной инфраструктуры и содержащейся в ней информации от внешних и внутренних угроз.
киберинцидент
событие, которое фактически или потенциально угрожает конфиденциальности, целостности, подлинности, доступности и сохранности информации, а также представляет собой нарушение (угрозу нарушения) политики безопасности.
кибертерроризм
атаки на информационные системы, несущие угрозу здоровью и жизни людей, а также способные спровоцировать серьезные нарушения функционирования критически важных объектов в целях оказания воздействия на принятие решений органами власти, либо воспрепятствования политической или иной общественной деятельности, либо устрашения населения, либо дестабилизации общественного порядка.
киберустойчивость
способность информационной системы предвидеть изменения обстановки и своевременно адаптироваться к ним в целях успешного предотвращения негативных последствий или быстрого восстановления после киберинцидента.
классификация информационных активов
распределение существующих информационных активов банка по типам, выполняемое в соответствии со степенью тяжести последствий от потери ими значимых свойств ИБ.
клиент
юридическое или физическое лицо, пользующиеся услугами банка.
компетентность (competence)
компетентность (competence) — способность применять знания и навыки для достижения намеченных результатов.
комплекс программно-технических средств
совокупность программных и технических средств, обеспечивающих осуществление информационных отношений с помощью информационных технологий.
компрометация криптографического ключа
событие, в результате которого криптографический ключ или его часть становятся известными лицам, не имеющим прав доступа к данному ключу.
контур безопасности
совокупность аппаратно-программных средств и информационных ресурсов, для которых в организации банковского сектора установлен единый набор требований к обеспечению информационной безопасности.
конфиденциальность информации
требование не допускать распространения и (или) предоставления информации без согласия ее обладателя или иного основания, предусмотренного законодательными актами.
конфиденциальность информационных активов
свойство ИБ, которое заключается в том, что обработка, хранение и передача информационных активов доступны только пользователям, прошедшим авторизацию, объектам системы или процессам.
конфиденциальность (confidentiality)
конфиденциальность (confidentiality) — недоступность для неавторизованных лиц, объектов или процессов.
копия электронного документа
форма внешнего представления электронного документа на бумажном носителе, удостоверенная в порядке, установленном настоящим Законом и иными актами законодательства.
корректирующее действие (corrective action)
корректирующее действие (corrective action) — действие, позволяющее устранить причину несоответствия и предотвратить его повторение в будущем.
коррекция (correction)
коррекция (correction) — действие по устранению выявленного несоответствия.
криптографическая защита информации
деятельность, направленная на обеспечение конфиденциальности, контроля целостности и подлинности информации с использованием средств криптографической защиты информации.
критерии риска (risk criteria)
критерии риска (risk criteria) — совокупность факторов, по сопоставлению с которыми оценивают значимость риска.
Примечания:
1 Критерии риска основаны на установленных целях организации, на внешнем и внутреннем контексте ее деятельности.
2 Критерии риска могут быть сформированы на основе требований стандартов, политики, законодательных и других требований.
[Руководство ИСО 73:2009, статья 3.3.1.3].
критически важный объект информатизации
объект информатизации, который на основании критериев отнесения объектов информатизации к критически важным объектам информатизации и показателей уровня вероятного ущерба национальным интересам Республики Беларусь в политической, экономической, социальной, информационной, экологической и иных сферах включен в Государственный реестр критически важных объектов информатизации.
Л
линейно-кабельные сооружения электросвязи
специально созданные или приспособленные сооружения электросвязи для размещения кабелей электросвязи.
линии электросвязи
линии передачи, физические цепи и линейно-кабельные сооружения электросвязи.
личный ключ
последовательность символов, принадлежащая определенным организации или физическому лицу и используемая при выработке электронной цифровой подписи.
М
международная информационная безопасность
состояние международных отношений, исключающее нарушение мировой стабильности и создание угрозы безопасности государств и мирового сообщества в информационном пространстве.
менеджмент
Вариант 1
скоординированная деятельность по руководству и управлению организацией (СТБ ISО 9000).
Вариант 2
скоординированная деятельность по руководству и управлению.
менеджмент инцидентов информационной безопасности
деятельность по своевременному обнаружению инцидентов информационной безопасности, адекватному и оперативному реагированию на них, направленная на минимизацию и (или) ликвидацию негативных последствий от инцидентов информационной безопасности для организации банковского сектора и (или) его клиентов.
менеджмент инцидентов информационной безопасности (information security incident management)
менеджмент инцидентов информационной безопасности (information security incident management) — совокупность процессов обнаружения, информирования, оценки, реагирования, рассмотрения инцидентов информационной безопасности и извлечения соответствующего полезного опыта.
менеджмент риска (risk management)
менеджмент риска (risk management) — скоординированные действия по руководству и управлению организацией в области риска.
[Руководство ИСО 73:2009, статья 2.1].
мера обеспечения информационной безопасности (control)
мера обеспечения информационной безопасности (control) — мера, направленная на изменение риска.
Примечания:
1 К мерам обеспечения информационной безопасности относятся процессы, политика, устройства, практические приемы или другие действия, используемые для изменения риска.
2 Меры обеспечения информационной безопасности не всегда могут приводить к запланированным или предполагаемым изменениям риска.
[Руководство ИСО 73:2009, статья 3.8.1.1, с изменениями примечания 2].
метод измерения (measurement method)
метод измерения (measurement method) — логическая последовательность описанных в общих чертах операций, используемая для количественной оценки атрибута относительно заданной шкалы.
Примечание — Тип метода измерения зависит от природы операций, используемых для количественной оценки атрибута. Можно выделить два типа:
— субъективный: количественная оценка на основе человеческого суждения.
— объективный: количественная оценка на основе численных методов.
[ИСО/МЭК/ИИЭР 15939:2017, статья 3.21, с изменениями — примечание 2 было удалено].
модель нарушителя ИБ
описание и классификация нарушителей ИБ, включая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, возможной мотивации их действий, а также способы реализации угроз ИБ со стороны указанных нарушителей.
модель угроз ИБ
описание источников угроз ИБ, методов реализации угроз ИБ, объектов, пригодных для реализации угроз ИБ, уязвимостей, используемых источниками угроз ИБ, типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов), масштабов потенциального ущерба.
мониторинг ИБ
постоянное наблюдение за объектами, работниками банка, клиентами, действиями и процессами, влияющими на ИБ банка, а также регистрация, сбор, анализ и обобщение результатов наблюдений.
мониторинг (monitoring)
мониторинг (monitoring) — определение состояния системы, процесса или вида деятельности.
Примечание — Для определения состояния может потребоваться проверка, наблюдение или критическое наблюдение.
Н
нарушитель ИБ
лицо, реализующее угрозы ИБ с нарушением установленных правил доступа к активам банка или правил распоряжения ими.
неотказуемость (non-repudiation)
неотказуемость (non-repudiation) — способность удостоверять имевшее место событие или действие, которые в дальнейшем не могут быть поставлены под сомнение.
неплатежная информация
информация, необходимая для функционирования банка, не являющаяся платежной информацией, включающая данные статистической отчетности и внутрихозяйственной деятельности, аналитическую, финансовую, справочную и другую информацию.
несанкционированное воздействие на информацию
изменение или уничтожение информации, осуществляемое с нарушением установленных прав или правил.
несанкционированный доступ
доступ к информации, активам, объектам, осуществляемый с нарушением установленных прав или правил разграничения доступа.
несанкционированный доступ к информации
доступ к информации, осуществляемый с нарушением установленных прав или правил разграничения доступа.
несоответствие (nonconformity)
несоответствие (nonconformity) — несоблюдение требования.
носитель информации
Вариант 1
материальный объект, в котором информация находит свое отображение и (или) хранится.
Вариант 2
материальный объект, в котором информация находит свое отображение и (или) хранится.
О
обезличивание персональных данных
действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
обеспечение ИБ
система правовых, организационно-технических и организационно-экономических мер по выявлению угроз ИБ, предотвращению их реализации, пресечению и ликвидации последствий реализации таких угроз.
обеспечение информационной безопасности
система мер правового, организационно-технического и организационно-экономического характера по выявлению угроз информационной безопасности, предотвращению их реализации, пресечению и ликвидации последствий реализации таких угроз.
обеспечение непрерывности информационной безопасности (information security continuity)
обеспечение непрерывности информационной безопасности (information security continuity) — процессы и процедуры, гарантирующие непрерывность операций по обеспечению информационной безопасности.
обладатель информации
субъект информационных отношений, получивший права обладателя информации по основаниям, установленным актами законодательства, или по договору.
область аудита (audit scope)
область аудита (audit scope) — объем и границы аудита.
[ИСО 19011:2011, статья 3.14, с изменениями — примечание 1 было удалено].
обработка персональных данных
любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
обработка риска (risk treatment)
обработка риска (risk treatment) — процесс управления риском.
Примечания:
1 Обработка риска может включать в себя:
— исключение риска путем отказа от начала или продолжения деятельности, являющейся источником риска.
— принятие риска или повышение его уровня для обеспечения определенной возможности.
— устранение источников риска.
— изменение вероятности.
— изменение последствий.
— разделение риска с другой стороной или сторонами (путем включения в контракты или финансирования обработки риска).
— обоснованное решение о сохранении риска.
2 Обработка рисков, связанная с негативными последствиями, иногда называется снижением, устранением или предотвращением риска.
3 Обработка риска может создавать новые риски или модифицировать существующие.
[Руководство ИСО 73:2009, статья 3.8.1, с изменениями — «решение» было заменено на «выбор» в примечании 1].
образ виртуальной машины
набор файлов, представляющий собой настройки виртуальной машины, системное, прикладное и иное программное обеспечение виртуальной машины и данных, обрабатываемый с использованием указанного программного обеспечения.
общедоступные персональные данные
персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
объект информатизации
Вариант 1
средства электронной вычислительной техники вместе с программным обеспечением, в том числе системы управления различного уровня и назначения, информационные системы и сети, автономные стационарные и персональные электронные вычислительные машины, используемые в соответствии с заданной информационной технологией, системы управления информационными, производственными и (или) технологическими процессами.
Вариант 2
средство вычислительной техники, предназначенное для обработки информации, содержащей государственные секреты, или помещение, предназначенное для проведения мероприятий, в ходе которых циркулирует речевая информация, содержащая государственные секреты.
объект проверки (review object)
объект проверки (review object) — конкретный проверяемый объект.
объект среды информационного актива
материальный объект среды использования и (или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.).
объекты информационной инфраструктуры
критически важные объекты информатизации, информационные сети, информационные системы, информационные ресурсы и иные совокупности технических средств, систем и технологий создания, преобразования, передачи, использования и хранения информации, принадлежащие государственным органам и иным организациям на праве собственности, хозяйственного ведения, оперативного управления или на ином законном основании, за исключением объектов информатизации, предназначенных для обработки информации, содержащей государственные секреты.
объекты информационной системы
средства вычислительной техники, сетевое оборудование, системное и прикладное программное обеспечение, средства защиты информации.
объекты электросвязи
комплексы средств электросвязи и сооружений электросвязи, используемые при оказании услуг электросвязи.
оконечное абонентское устройство (терминал)
техническое устройство пользователя услуг электросвязи, предназначенное для подключения к сети электросвязи в целях обеспечения доступа к услугам электросвязи.
оператор
(перс данные) – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, – физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.
оператор информационной системы
субъект информационных отношений, осуществляющий эксплуатацию информационной системы и (или) оказывающий посредством ее информационные услуги.
организация (organization)
организация (organization) — лицо или группа лиц, наделенных определенными функциями, областями ответственности, полномочиями и взаимоотношениями для достижения своих целей.
Примечание — Под «организацией» понимают, помимо прочего, индивидуальных предпринимателей, компании, корпорации, фирмы, партнерства, благотворительные организации, учреждения, любые составные части и сочетания названных объектов вне зависимости от того, зарегистрирована ли организация в качестве юридического лица, является ли она государственной или частной.
основной показатель (base measure)
основной показатель (base measure) — показатель, определенный в терминах атрибута и метода для его количественного определения.
Примечание — Основной показатель функционально не зависит от других показателей.
[ИСО/МЭК/ИИЭР 15939:2017, статья 3.3, с изменениями — примечание 2 было удалено].
остаточный риск ИБ
риск, остающийся после обработки риска ИБ.
остаточный риск (residual risk)
остаточный риск (residual risk) — риск, остающийся после обработки риска.
Примечания:
1 Остаточный риск может содержать неопределенный риск.
2 Остаточный риск может также называться «сохраненным риском».
отзыв открытого ключа проверки электронной цифровой подписи, атрибутного сертификата
отзыв открытого ключа проверки электронной цифровой подписи (далее – открытый ключ), атрибутного сертификата – процедура, заключающаяся в досрочном прекращении действия открытого ключа, атрибутного сертификата.
открытый ключ
последовательность символов, соответствующая определенному личному ключу, доступная для всех заинтересованных организаций или физических лиц и применяемая при проверке электронной цифровой подписи.
оценивание риска (risk evaluation)
оценивание риска (risk evaluation) — процесс сравнения результатов анализа риска с критериями риска для определения, является ли риск и/или его величина приемлемой или допустимой.
Примечание — Оценивание риска может быть использовано при принятии решения об обработке риска.
[Руководство ИСО 73:2009, статья 3.7.1].
оценка риска ИБ
систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющий провести оценивание рисков ИБ, связанных с использованием информационных активов банка на всех стадиях их жизненного цикла.
оценка риска (risk assessment)
оценка риска (risk assessment) — процесс, охватывающий идентификацию риска, анализ риска и оценивание риска.
[Руководство ИСО 73:2009, статья 3.4.1].
оценка соответствия ИБ
систематический и документированный процесс получения свидетельств о результатах деятельности банка по реализации требований ИБ и установлению степени выполнения банком критериев оценки (аудита) ИБ.
П
передача информации о риске и консультация (risk communication and consultation)
передача информации о риске и консультация (risk communication and consultation) — набор непрерывных и повторяющихся процессов, которые организация осуществляет для предоставления и получения информации либо для обмена ею, а также для участия в диалоге с заинтересованными сторонами по вопросам менеджмента риска.
Примечания:
1 Информация может относиться к наличию, природе, форме, вероятности, значимости, оценке, приемлемости и обработке риска.
2 Консультация представляет собой двусторонний процесс содержательного обмена информацией между организацией (3.50) и ее заинтересованными сторонами по тому или иному вопросу до принятия решения или определения направления деятельности по соответствующему вопросу. Консультация представляет собой:
— процесс, который влияет на принятие решения посредством авторитета, а не посредством власти.
— предварительный этап принятия решения, а не совместное принятие решения.
персональные данные
любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
персонифицированная учетная запись
запись, содержащая идентифицирующую информацию пользователя, используемую для его аутентификации при доступе к информационному ресурсу.
план работ по обеспечению ИБ банка
документ, устанавливающий перечень намеченных к выполнению работ (оказанию услуг) или мероприятий по обеспечению ИБ банка, их последовательность, объем (в той или иной форме), сроки выполнения, ответственных лиц и конкретных исполнителей.
платежная информация
информация, на основании которой совершаются операции, связанные с переводом денежных средств.
подлинность электронного документа
свойство электронного документа, определяющее, что электронный документ подписан действительной электронной цифровой подписью (электронными цифровыми подписями).
подлинность (authenticity)
подлинность (authenticity) — свойство, определяющее, что фактический субъект или объект совпадает с заявленным.
подписание электронной цифровой подписью
процедура выработки электронной цифровой подписи с использованием личного ключа.
показатель информационной безопасности
мера или характеристика для оценки информационной безопасности.
показатель (measure)
показатель (measure) — переменная, которой присваивается какое-либо значение как конкретный результат измерения.
[ИСО/МЭК/ИИЭР 15939:2017, статья 3.15, с изменениями — примечание 2 было удалено].
политика ИБ
документация, определяющая высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенная для банка в целом.
политика информационной безопасности
общие намерения по обеспечению конфиденциальности, целостности, подлинности, доступности и сохранности информации, документально закрепленные собственником (владельцем) информационной системы.
политика (policy)
политика (policy) — намерения и направления деятельности организации, официально выраженные ее высшим руководством.
пользователь
работник банка и (или) клиент, которые используют автоматизированную систему, АБС, систему дистанционного обслуживания для получения информации и (или) выполнения конкретной функции.
пользователь информации
субъект информационных отношений, получающий, распространяющий и (или) предоставляющий информацию, реализующий право на пользование ею.
пользователь информационной системы и (или) информационной сети
субъект информационных отношений, получивший доступ к информационной системе и (или) информационной сети и пользующийся ими.
пользователь услуг электросвязи
юридическое или (и) физическое лицо, заказывающее услуги электросвязи и (или) пользующееся ими.
последствие (consequence)
последствие (consequence) — результат события, оказывающего влияние на достижение цели.
Примечания:
1 Результатом воздействия события может быть целый ряд последствий.
2 Последствия могут быть определенными или неопределенными и в контексте информационной безопасности, как правило, носят негативный характер.
3 Последствия могут оцениваться качественно или количественно.
4 Первоначальные последствия могут усугубляться из-за эффекта цепной реакции.
[Руководство ИСО 73:2009, статья 3.6.1.3, с изменениями — примечание 2 было изменено после «и»].
поставщик услуг
Вариант 1
организация, осуществляющая одну или несколько из следующих функций: издание, распространение и хранение сертификатов открытых ключей, атрибутных сертификатов, списков отозванных сертификатов открытых ключей и списков отозванных атрибутных сертификатов; достоверное подтверждение принадлежности открытого ключа определенным организации или физическому лицу; предоставление информации о действительности сертификатов открытых ключей, атрибутных сертификатов; отзыв сертификатов открытых ключей, атрибутных сертификатов; проставление штампа времени; выработка личных ключей для организаций или физических лиц.
Вариант 2
обслуживающая организация, специализирующаяся на предоставлении услуг, которой организации банковского сектора передают выполнение своих бизнес-функций на аутсорсинг.
поставщик услуг электросвязи
юридическое лицо или индивидуальный предприниматель, предоставляющие услуги электросвязи, для оказания которых не требуется получения специального разрешения (лицензии) на деятельность в области связи.
постоянное улучшение (continual improvement)
постоянное улучшение (continual improvement) — действия по повышению производительности, осуществляемые по регламенту с определенной периодичностью.
предоставление информации
действия, направленные на ознакомление с информацией определенного круга лиц.
предоставление персональных данных
действия, направленные на ознакомление с персональными данными определенных лица или круга лиц.
преступления в информационной сфере
предусмотренные Уголовным кодексом Республики Беларусь преступления против информационной безопасности (киберпреступления) и иные преступления, предметом или средством совершения которых являются информация, информационные системы и сети.
принятие риска (risk acceptance)
принятие риска (risk acceptance) — обоснованное решение о принятии риска.
Примечания:
1 Решение о принятии риска может быть принято без обработки риска или в процессе обработки риска.
2 Необходимо проводить мониторинг и проверки принятого риска.
[Руководство ИСО 73:2009, статья 3.7.1.6].
проверка (review)
проверка (review) — деятельность, предпринимаемая для анализа пригодности, адекватности, эффективности рассматриваемого объекта по отношению к достижению установленных целей.
[Руководство ИСО 73:2009, статья 3.8.2.2, с изменениями — примечание 1 было удалено].
программно-технические средства
совокупность программных и технических средств автоматизации, предназначенных для создания или входящих в состав информационной системы.
производительность (performance)
производительность (performance) — результат измерений.
Примечания:
1 Показатели производительности могут иметь отношение как к количественным, так и к качественным выводам.
2 Производительность может относиться к управлению деятельностью, процессами, продуктами (включая услуги), системами или организациями.
производный показатель (derived measure)
производный показатель (derived measure) — показатель, определяемый как функция от двух или более значений основных показателей.
[ИСО/МЭК/ИИЭР 15939:2017, статья 3.8, с изменениями — примечание 1 было удалено].
пропуск международного трафика
деятельность, направленная на передачу сообщений электросвязи (включая телефонные вызовы, телеграфные сообщения, служебные и информационные сообщения, сетевые пакеты сетей передачи данных без ограничений по используемым пользовательским, транспортным и сетевым протоколам) между сетями электросвязи Республики Беларусь и сетями электросвязи иностранных государств, а также между сетями электросвязи иностранных государств, если передача сообщений электросвязи из одного иностранного государства в другое осуществляется через сети электросвязи, расположенные на территории Республики Беларусь.
пропуск межсетевого трафика
деятельность, направленная на передачу сообщений электросвязи (включая телефонные вызовы, телеграфные сообщения, служебные и информационные сообщения, сетевые пакеты сетей передачи данных без ограничений по используемым пользовательским, транспортным и сетевым протоколам) между сетями электросвязи Республики Беларусь.
пропуск трафика
деятельность, направленная на передачу сообщений электросвязи между сетями электросвязи.
процесс
Вариант 1
(process) — набор взаимосвязанных или взаимодействующих мероприятий, в результате которых исходные ресурсы преобразуются в конечный продукт.
Вариант 2
совокупность взаимосвязанных и (или) взаимодействующих видов деятельности для получения намеченного результата.
процесс менеджмента риска (risk management process)
процесс менеджмента риска (risk management process) — систематическое применение политики, процедур и практических методов в области управления деятельностью по информированию, консультированию, определению контекста и выявлению, анализу, оценке, обработке, мониторингу и проверке рисков.
Примечание — В ИСО/МЭК 27005 термин «процесс» используется для описания управления рисками в целом. Элементы процесса менеджмента риска называются «мероприятиями».
[Руководство ИСО 73:2009, статья 3.1, с изменениями — добавлено примечание].
Р
распространение информации
действия, направленные на ознакомление с информацией неопределенного круга лиц.
распространение персональных данных
действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
риск информационной безопасности критически важного объекта информатизации
вероятность реализации угроз информационной безопасности активам критически важного объекта информатизации, которая может повлечь нарушение или прекращение их функционирования.
риск нарушения информационной безопасности
риск, связанный с угрозой информационной безопасности.
риск (risk)
риск (risk) — влияние неопределенности на достижение целей.
Примечания:
1 Следствием влияния является отклонение (как в положительную сторону, так и в отрицательную) от ожидаемого результата.
2 Неопределенность представляет собой состояние, в том числе частичное, отсутствия информации о событии, его последствиях или вероятности его наступления.
3 Зачастую риск описывается как потенциальное событие (в соответствии с определением, приведенном в Руководстве ИСО 73:2009, статья 3.5.1.3) и его последствия (в соответствии с определением, приведенным в Руководстве ИСО 73:2009, статья 3.6.1.3) или как их сочетание.
4 Риск обычно описывается сочетанием последствий события (в том числе изменений обстоятельств) и вероятности (в соответствии с определением, приведенном в Руководстве ИСО 73:2009, статья 3.6.1.1) их возникновения.
5 В контексте систем менеджмента информационной безопасности риски в области информационной безопасности могут выражаться в виде влияния неопределенности на цели информационной безопасности.
6 Риск в области информационной безопасности связан с возможностью того, что угрозы будут эксплуатировать уязвимости того или иного информационного актива (группы таких активов) и тем самым причинят вред организации.
роль
заранее определенная совокупность правил, устанавливающих допустимое взаимодействие пользователя и объекта.
руководство деятельностью по обеспечению информационной безопасности (governance of information security)
руководство деятельностью по обеспечению информационной безопасности (governance of information security) — система, с помощью которой контролируется и управляется деятельность организации в области обеспечения информационной безопасности.
руководящий орган (governing body)
руководящий орган (governing body) — лицо или группа лиц, несущих ответственность за производительность организации и за соблюдение ею применяемых норм.
Примечание — В некоторых юрисдикциях руководящим органом может быть совет директоров.
С
серверные компоненты виртуализации
совокупность гипервизора, технических средств, необходимых для функционирования гипервизора, технических средств, предназначенных для управления и администрирования гипервизора, программного обеспечения, предназначенного для предоставления доступа к виртуальным машинам с автоматизированных рабочих мест пользователей (брокер соединений).
сертификат открытого ключа
электронный документ, изданный поставщиком услуг и содержащий информацию, подтверждающую принадлежность указанного в нем открытого ключа определенным организации или физическому лицу, и иную информацию, предусмотренную настоящим Законом и иными актами законодательства.
сетевой сервер (network server)
вычислительная система, служащая центральным хранилищем разделяемых ресурсов сети — файлов, приложений, служб и т.д.
сеть передачи данных
любая сеть электросвязи, которая предназначена и (или) может использоваться для целей приема, передачи, обработки, хранения данных и сообщений электросвязи (включая телефонные вызовы, телеграфные сообщения, служебные и информационные сообщения, сетевые пакеты сетей передачи данных) без ограничений по используемым пользовательским, транспортным и сетевым протоколам передачи данных, за исключением сетей электросвязи, реализующих предоставление услуг эфирной трансляции телевизионных и звуковых программ, спутниковой электросвязи.
сеть электросвязи
технологическая система, включающая в себя средства электросвязи и линии электросвязи.
система
Вариант 1
комплекс, состоящий из процессов, технических и программных средств, устройств и персонала, обладающий возможностью удовлетворять установленным потребностям или целям (СТБ ИСО/МЭК 12207).
Вариант 2
комплекс, состоящий из процессов, технических и программных средств, устройств и персонала, позволяющий реализовать установленные потребности или цели.
система дистанционного банковского обслуживания
(далее – СДБО) – совокупность технологий, применяемых в целях осуществления финансовых операций с использованием программно-технических средств, телекоммуникационных систем, обеспечивающих взаимодействие банка и клиентов, в том числе передачу электронных документов и (или) документов в электронном виде.
система защиты информации
совокупность мер по защите информации, реализованных в информационной системе.
система ИБ
(далее – СИБ) – совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.
система информационной безопасности критически важного объекта информатизации
совокупность правовых, организационных и технических мер, направленных на обеспечение информационной безопасности критически важного объекта информатизации.
система менеджмента ИБ
(далее – СМИБ) – часть менеджмента банка, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ.
система менеджмента (management system)
система менеджмента (management system) — набор политик, целей и процессов, используемых организацией для достижения этих целей.
Примечания:
1 Система менеджмента может охватывать один или несколько аспектов.
2 К элементам такой системы относятся организационная структура, роли и обязанности, процессы планирования и функционирования.
3 Сфера действия системы менеджмента может охватывать организацию в целом, конкретные выявленные функции или сегменты организации, а также одну (несколько) функций в рамках группы организаций.
система хранения данных
совокупность технических средств, предназначенных для хранения данных, используемых при реализации технологии виртуализации, в том числе образов виртуальных машин и данных, обрабатываемых виртуальными машинами.
собственник программно-технических средств, информационных ресурсов, информационных систем и информационных сетей
субъект информационных отношений, реализующий права владения, пользования и распоряжения программно-техническими средствами, информационными ресурсами, информационными системами и информационными сетями.
событие ИБ
идентифицированное состояние системы, сервиса или сети, указывающее на возможное нарушение политики ИБ, отказ защитных мер или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
событие информационной безопасности
изменение состояния объекта или области мониторинга ИБ, действия работников организации банковского сектора и (или) иных лиц, которые указывают на возможный инцидент информационной безопасности Б.
событие информационной безопасности (information security event)
событие информационной безопасности (information security event) — выявленное состояние системы, услуги или сети, указывающее на возможное нарушение политики обеспечения информационной безопасности или сбой мер обеспечения информационной безопасности, или ранее неизвестная ситуация, которая может иметь отношение к вопросам безопасности.
событие (event)
событие (event) — возникновение или изменение определенного набора условий.
Примечания:
1 Событие может быть единичным или многократным и иметь несколько причин.
2 Событие может быть определенным или неопределенным.
3 Событие может иногда называться «инцидентом» или «происшествием».
[Руководство ИСО 73:2009, статья 3.5.1.3, с изменениями — примечание 4 было удалено].
соглашение об уровне услуг (SLA, Service Level Agreement)
соглашение между организацией банковского сектора и поставщиком услуг, описывающее определенные полномочия и услугу, а также целевые показатели уровня услуги, зоны ответственности сторон — организации банковского сектора и поставщика услуг.
сообщество по обмену информацией (information sharing community)
сообщество по обмену информацией (information sharing community) — группа организаций, которые согласны обмениваться информацией.
Примечание — В качестве организации может выступать физическое лицо.
сооружения электросвязи
объекты инженерной инфраструктуры, в том числе линейно-кабельные сооружения, здания, строения, нежилые помещения, специально созданные или приспособленные для размещения средств электросвязи.
соответствие (conformity)
соответствие (conformity) — выполнение требования.
специалист (администратор) системы менеджмента информационной безопасности (СМИБ) (information security management system (ISMS) professional)
специалист (администратор) системы менеджмента информационной безопасности (СМИБ) (information security management system (ISMS) professional) — лицо, которое устанавливает, внедряет, поддерживает и постоянно совершенствует один или несколько процессов системы менеджмента информационной безопасности.
специальные персональные данные
персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
средства антивирусной защиты
специализированные программные средства, реализующие функции обнаружения вредоносных либо иных нежелательных компьютерных программ, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирования на обнаружение этих программ и информации.
средства защиты государственных секретов
технические, программные, криптографические и другие средства, используемые для защиты государственных секретов, а также средства контроля эффективности защиты государственных секретов.
средства защиты информации
средства защиты государственных секретов, средства криптографической защиты информации, средства технической защиты информации.
средства криптографической защиты информации
программные, программно-аппаратные средства, реализующие один или несколько криптографических алгоритмов (шифрование, выработка и проверка электронной цифровой подписи, хэширование, имитозащита) и криптографические протоколы, а также функции управления криптографическими ключами и функциональные возможности безопасности.
средства обработки информации (information processing facilities)
средства обработки информации (information processing facilities) — совокупность автономных устройств сбора, накопления, передачи, обработки и представления информации.
средства технической защиты информации
технические, программные, программно-аппаратные средства, предназначенные для защиты информации от несанкционированного доступа и несанкционированных воздействий на нее, блокирования правомерного доступа к ней, иных неправомерных воздействий на информацию, а также для контроля ее защищенности.
средства электросвязи
технические и программные средства, используемые для формирования, обработки, хранения, передачи или приема сообщений электросвязи, а также иные технические и программные средства, используемые при оказании услуг электросвязи или обеспечении функционирования сетей электросвязи.
средство виртуализации (гипервизор)
программное средство, используемое для реализации технологии виртуализации, которое обеспечивает эмуляцию на одном физическом средстве вычислительной техники (хост-сервере) нескольких виртуальных машин.
средство электронной цифровой подписи
средство криптографической защиты информации, с помощью которого реализуются одна или несколько из следующих функций: выработка электронной цифровой подписи; проверка электронной цифровой подписи; выработка личного ключа или открытого ключа.
стандарт реализации безопасности (security implementation standard)
стандарт реализации безопасности (security implementation standard) — документ, определяющий разрешенные способы обеспечения безопасности.
субъект персональных данных
физическое лицо, в отношении которого осуществляется обработка персональных данных.
суверенитет данных
подчиненность отношений по поводу информации в цифровой форме, возникающих на территории Беларуси, национальной юрисдикции Республики Беларусь.
Т
текущий образ виртуальной машины
образ виртуальной машины в определенный (текущий) момент времени ее функционирования.
техническая защита информации
деятельность, направленная на обеспечение конфиденциальности, целостности, доступности и сохранности информации техническими мерами без применения средств криптографической защиты информации.
техническое обслуживание
комплекс технологических операций и организационных действий по поддержанию работоспособности или исправности объекта при использовании по назначению, ожидании, хранении и транспортировании.
техническое средство
аппаратное, программное или аппаратно-программное средство.
технологическая инфраструктура банка
аппаратные и программные компоненты, которые поддерживают работу технологии банка.
технология
совокупность взаимосвязанных методов, способов, приемов предметной деятельности.
технология виртуализации
информационная технология, позволяющая с использованием аппаратно-программных средств эмулировать на одном физическом средстве вычислительной техники (хост-сервере) функционирование нескольких средств вычислительной техники, включая их программное обеспечение.
трансграничная передача персональных данных
передача персональных данных на территорию иностранного государства.
трафик
нагрузка в сетях электросвязи, создаваемая совокупностью сообщений электросвязи, передаваемых по сетям электросвязи.
требование (requirement)
требование (requirement) — заявленная потребность или ожидание, обычно подразумеваемые или обязательные.
Примечания:
1 «Обычно подразумеваемые» означает, что заявленная потребность или ожидание рассматриваются в соответствии со стандартной или общепринятой практикой организации и заинтересованных сторон.
2 Указанным требованием является требование, изложенное, например, в документированной информации.
У
угроза
опасность, предполагающая возможность потерь (ущерба).
угроза ИБ
угроза нарушения свойств ИБ (доступности, целостности или конфиденциальности) информационных активов и технологической инфраструктуры банка.
угроза информационной безопасности критически важного объекта информатизации
потенциальная или реально существующая возможность нанесения ущерба активам критически важного объекта информатизации, которая может повлечь нарушение или прекращение их функционирования.
угроза (threat)
угроза (threat) — потенциальная причина нежелательного инцидента, который может нанести вред системе или организации.
удаление персональных данных
действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
универсальные услуги электросвязи
услуги электросвязи общего пользования, предоставление которых государство гарантирует всем пользователям услуг электросвязи на территории Республики Беларусь по доступным тарифам.
уполномоченное лицо
государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах.
управление документами
совокупность планомерных и эффективных действий по созданию, использованию, хранению и уничтожению документов с целью доказательства проведения деловых (управленческих) операций банком.
управление доступом (access control)
управление доступом (access control) — обеспечение санкционированного доступа к активам в соответствии с бизнес-требованиями и требованиями безопасности.
управление ИБ
процесс, который обеспечивает конфиденциальность, целостность и доступность активов, информации, данных и услуг банка.
управление рисками
планомерный непрерывный процесс, основной задачей которого являются своевременное обнаружение, оценка и уменьшение рисков вероятности появления угроз ИБ.
уровень риска (level of risk)
уровень риска (level of risk) — мера риска, выраженная в виде сочетания последствий и их вероятности.
[Руководство ИСО 73:2009, статья 3.6.1.8, с изменениями — фраза «или комбинация рисков» исключена из определения].
услуга
деятельность поставщика услуг по выполнению бизнес-функций организаций банковского сектора, переданных на аутсорсинг.
услуги электросвязи
деятельность по приему, обработке, хранению и передаче сообщений электросвязи.
услуги электросвязи общего пользования
услуги электросвязи, оказываемые любому пользователю услуг электросвязи посредством сети электросвязи общего пользования.
ущерб
утрата активов, повреждение (утрата свойств) активов и (или) инфраструктуры банка или другой вред, причиненный активам и (или) инфраструктуре банка, наступивший в результате реализации угроз ИБ через уязвимости ИБ.
уязвимость ИБ
слабость в инфраструктуре банка, включая систему обеспечения информационной безопасности (далее – СОИБ), которая может использоваться для реализации или способствовать реализации угрозы ИБ.
уязвимость (vulnerability)
уязвимость (vulnerability) — слабое место актива или меры обеспечения информационной безопасности, которое может быть использовано одной или несколькими угрозами.
Ф
физическое лицо, которое может быть идентифицировано
физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
функциональные требования к обеспечению информационной безопасности
требования к функциям обеспечения информационной безопасности компонентов автоматизированной банковской системы, а также интерфейсам их использования.
функция измерения (measurement function)
функция измерения (measurement function) — алгоритм или расчет, выполненный для комбинации двух или более основных показателей.
[ИСО/МЭК/ИИЭР 15939:2017, статья 3.20].
функция обеспечения информационной безопасности
реализованная функциональная возможность одного или нескольких компонентов автоматизированной банковской системы, связанная с обеспечением информационной безопасности.
Х
хостинг
услуга по размещению информационного ресурса на сервере и обеспечению постоянного доступа к этому ресурсу в глобальной компьютерной сети Интернет.
Ц
целостность электронного документа
свойство электронного документа, определяющее, что в электронный документ не были внесены изменения.
целостность (integrity)
целостность (integrity) — свойство сохранения правильности и полноты активов.
цель применения мер (control objective)
цель применения мер (control objective) — описание того, что должно быть достигнуто в результате применения мер обеспечения информационной безопасности.
цель проверки (review objective)
цель проверки (review objective) — формулировка, характеризующая, чего следует достичь в результате проверки.
цель (objective)
цель (objective) — ожидаемый результат.
Примечания:
1 Цель может быть стратегической, тактической или операционной.
2 Цели могут относиться к различным аспектам (например, существуют финансовые, медицинские, экологические цели и цели обеспечения безопасности) и применяться на различных уровнях [стратегическом, организационном, проектном, продуктовом и процессном].
3 Цель может быть выражена другим способом, например, как предполагаемый результат, намерение, операционный критерий, задача информационной безопасности или путем использования других слов с аналогичным значением (например, стремление, намерение, плановый показатель).
4 В контексте систем менеджмента информационной безопасности цели информационной безопасности устанавливаются организацией согласно политике информационной безопасности для достижения конкретных результатов.
Ч
частная политика ИБ
политика ИБ, применяемая к одной или нескольким областям ИБ, видам и технологиям деятельности банка.
Ш
штамп времени
реквизит электронного документа, удостоверяющий дату и время создания электронного документа.
Э
эксплуатационный персонал
субъекты доступа, которые решают задачи обеспечения эксплуатации и администрирования, в том числе эксплуатации и администрирования автоматизированных банковских систем организации БС, систем управления базами данных, сетевого оборудования, прикладных программных комплексов, а также задачи, связанные с эксплуатацией и администрированием средств и систем обеспечения информационной безопасности.
электронная копия документа на бумажном носителе
электронное отображение документа на бумажном носителе, соответствующее оригиналу и подписанное электронной цифровой подписью лица, изготовившего такое электронное отображение.
электронная цифровая подпись
последовательность символов, являющаяся реквизитом электронного документа и предназначенная для подтверждения его целостности и подлинности, а также для иных целей, предусмотренных настоящим Законом и иными законодательными актами.
электронный документ
документ в электронном виде с реквизитами, позволяющими установить его целостность и подлинность, которые подтверждаются путем применения сертифицированных средств электронной цифровой подписи с использованием при проверке электронной цифровой подписи открытых ключей организации или физического лица (лиц), подписавших этот электронный документ.
электросвязь
вид связи, представляющий собой любые излучения, передачу или прием знаков, сигналов, голосовой информации, письменного текста, изображений, звуков или иных сообщений по радиосистеме, проводной, оптической и другим электромагнитным системам.
эффективность (effectiveness)
эффективность (effectiveness) — степень реализации запланированных мероприятий и достижения намеченных результатов.