Глава 5. Органы сертификации и их полномочия

Организационную структуру системы сертификации № РОСС RU.0001.01БИОО образуют следующие элементы (рис. 5.1):

федеральный орган по сертификации средств защиты информации; центральный орган системы сертификации средств защиты информации;

органы по сертификации средств защиты информации; испытательные центры (лаборатории);

заявители (разработчики, изготовители, поставщики, потребители средств защиты информации).

Рис. 5.1. Структура системы сертификации средств защиты

информации

Федеральный орган по сертификации средств защиты информации (в настоящее время — ФСТЭК России) в пределах своей компетенции обладает следующими полномочиями:

• создает систему сертификации средств защиты информации и устанавливает правила проведения сертификации конкретных видов средств защиты информации в этой системе;

организует функционирование системы сертификации средств защиты информации;

определяет перечень средств защиты информации, подлежащих обязательной сертификации в данной системе;

устанавливает правила аккредитации и выдачи лицензий на проведение работ по сертификации;

организует и финансирует разработку нормативных и методических документов системы сертификации средств защиты информации;

определяет центральный орган системы сертификации средств защиты информации (при его необходимости) или выполняет функции этого органа;

утверждает нормативные документы по безопасности информации, на соответствие которым проводится сертификация средств защиты информации в системе, и методические документы по проведению сертификационных испытаний;

аккредитует органы по сертификации и испытательные центры (лаборатории), выдает им лицензии на право проведения определенных видов работ;

• ведет государственный реестр участников и объектов сертификации;

осуществляет государственный контроль и надзор и устанавливает порядок инспекционного контроля за соблюдением правил сертификации и за сертифицированными средствами защиты информации;

рассматривает апелляции по вопросам сертификации; представляет на государственную регистрацию в Госстандарт России систему сертификации и знак соответствия;

организует периодическую публикацию информации о сертификации;

осуществляет взаимодействие с соответствующими уполномоченными органами других стран и международных организаций по вопросам сертификации, принимает решение о признании международных и зарубежных сертификатов;

организует подготовку и аттестацию экспертов-аудиторов; выдает сертификаты и лицензии на применение знака соответствия; приостанавливает либо отменяет действие выданных сертификатов.

Федеральный орган по сертификации средств защиты информации может передавать некоторые из своих функций центральному органу системы сертификации и органам по сертификации.

Центральный орган системы сертификации средств защиты информации обладает следующими полномочиями:

координирует деятельность органов по сертификации и испытательных центров (лабораторий), входящих в систему;

разрабатывает предложения по номенклатуре средств защиты информации, сертифицируемых в системе и представляет их в ФСТЭК России;

участвует в работах по совершенствованию фонда нормативных документов, на соответствие которым проводится сертификация средств защиты информации в системе, и методических документов по проведению сертификационных испытаний;

участвует в рассмотрении апелляций по поводу действий органов по сертификации и испытательных центров (лабораторий), входящих в систему;

участвует в аккредитации органов по сертификации и испытательных центров (лабораторий) по сертификации средств защиты информации, входящих в систему;

ведет учет входящих в систему органов по сертификации и испытательных центров (лабораторий), выданных и аннулированных сертификатов и лицензий на применение знака соответствия, нормативных и методических документов, содержащих правила, требования, методики и рекомендации по сертификации;

обеспечивает участников сертификации информацией о деятельности системы и готовит необходимые материалы для опубликования.

Органы по сертификации средств защиты информации в пределах установленной области аккредитации реализуют следующие функции:

определяют схему проведения сертификации конкретных средств защиты информации с учетом предложений заявителя;

• уточняют требования, на соответствие которым проводятся сертификационные испытания;

рекомендуют заявителю испытательный центр (лабораторию); утверждают программы и методики проведения сертификационных испытаний;

проводят экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний этих средств;

оформляют экспертное заключение по сертификации средств защиты информации, проекты сертификатов и лицензий на применение знака соответствия и представляют их в федеральный орган по сертификации средств защиты информации;

организуют, при необходимости, предварительную проверку (аттестацию) производства сертифицируемых средств защиты информации; участвуют в аккредитации испытательных центров (лабораторий); участвуют в инспекционном контроле за стабильностью характеристик сертифицированных средств защиты информации и за деятельностью испытательных центров (лабораторий);

хранят документацию (оригиналы), подтверждающую сертификацию средств защиты информации;

ходатайствует перед федеральным органом по сертификации средств защиты информации об отмене действия выданных сертификатов;

формируют и актуализируют фонд нормативных и методических документов, необходимых для сертификации, участвуют в их разработке;

представляют заявителю необходимую информацию по сертификации.

Испытательные центры (лаборатории) в пределах установленной области аккредитации реализуют следующие полномочия:

осуществляют сертификационные испытания конкретных средств защиты информации, оформляют заключения и протоколы сертификационных испытаний, разрабатывают программы и методики сертификационных испытаний;

осуществляют отбор образцов средств защиты информации для проведения сертификационных испытаний;

участвуют в предварительной проверке (аттестации) производства сертифицируемых средств защиты информации. Испытательные центры (лаборатории) несут ответственность за полноту испытаний средств защиты информации, достоверность, объективность и требуемую точность измерений, своевременную поверку средств измерений и аттестацию испытательного оборудования.

Заявители (разработчики, изготовители, поставщики, потребители средств защиты информации) как участники системы сертификации средств защиты информации обладают следующими полномочиями:

обеспечивают соответствие средств защиты информации требованиям нормативных документов по безопасности информации;

осуществляют подготовку производства и принимают меры для обеспечения стабильности характеристик средств защиты информации, определяющих безопасность информации;

указывают в технической документации сведения о сертифицированном средстве защиты информации, нормативных документах, которым оно должно соответствовать, обеспечивают доведение этой информации до потребителя;

маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном правилами системы сертификации;

применяют сертификат и знак соответствия, руководствуясь законодательными актами Российской Федерации и правилами системы сертификации;

извещают орган по сертификации и испытательный центр (лабораторию), проводивших сертификацию, о всех изменениях в технологии, конструкции (составе) сертифицированных средств защиты информации для принятия решения о необходимости проведения повторной сертификации данных средств защиты информации;

обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих инспекционный контроль за сертифицированными средствами защиты информации;

приостанавливают или прекращают реализацию средств защиты информации, если они не отвечают требованиям нормативных документов, а также по истечению срока действия сертификата, при приостановке его действия или отмены;

при обнаружении несоответствия сертифицированных средств защиты информации требованиям нормативных документов осуществляют

мероприятия по доработке этих средств защиты информации и проведения сертификационных испытаний.

Заявители (разработчики, изготовители, поставщики) должны иметь лицензию федерального органа по сертификации средств защиты информации на соответствующий вид деятельности.

Органы по сертификации и испытательные центры (лаборатории) аккредитуются ФСТЭК России.

Органы по сертификации и испытательные центры (лаборатории) должны быть юридическими лицами, располагать подготовленными специалистами, необходимыми средствами измерений, испытательным оборудованием и методиками испытаний, нормативными документами для проведения всего комплекса работ по испытаниям конкретных средств защиты информации в своей области аккредитации.

Аккредитация производится только при наличии лицензии ФСТЭК России на соответствующие виды деятельности.

Аккредитация в качестве органов по сертификации и испытательных центров (лабораторий) предприятий, подведомственных федеральным органам исполнительной власти, осуществляется по представлению этих органов власти.

Обязательная сертификация в системе сертификации СЗИ-ГТ проводится на основании законодательства Российской Федерации [5, 6, 10, 18, 24].

Организационную структуру системы сертификации СЗИ-ГТ образуют следующие элементы (рис. 5.2.):

Рис. 5.2. Структура системы сертификации СЗИ-ГТ

• ФСБ России (федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации средств защиты информации);

центральный орган системы сертификации (создается при необходимости);

• органы по сертификации СЗИ-ГТ;

• испытательные центры (лаборатории);

• учебно-методический центр;

• заявители (разработчики, изготовители, продавцы, потребители СЗИ-ГТ).

Органы по сертификации и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, за обеспечение сохранности государственной тайны, другой информации, охраняемой законодательством Российской Федерации, за сохранность материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав заявителя при испытаниях СЗИ-ГТ.

Целями создания системы сертификации являются:

• реализация требований Закона Российской Федерации «О государственной тайне»;

• обеспечение национальной безопасности в сфере информатизации;

формирование и осуществление единой научно-технической и

промышленной политики в сфере информатизации с учетом требований системы защиты государственной тайны;

• содействие формированию рынка защищенных информационных технологий и средств их обеспечения;

• регулирование и контроль разработки, а также последующего производства СЗИ-ГТ;

содействие потребителям в компетентном выборе средств защиты информации;

защита потребителя от недобросовестности изготовителя (продавца, исполнителя);

подтверждение показателей качества продукции, заявленных изготовителями.

Полномочия органов системы сертификации СЗИ-ГТ заключаются в реализации следующих функций (Рис. 5.2.).

ФСБ России в пределах своей компетенции осуществляет следующие функции:

создает систему сертификации и устанавливает правила проведения сертификации СЗИ-ГТ;

представляет на государственную регистрацию в Госстандарт России систему сертификации СЗИ-ГТ и ее знаки соответствия;

• организует функционирование системы сертификации;

• определяет номенклатуру СЗИ-ГТ, подлежащих обязательной сертификации в данной системе;

устанавливает правила аккредитации и выдачи лицензий на проведение работ по сертификации;

осуществляет процедуру признания нормативных и методических документов сторонних организаций;

• организует и финансирует разработку нормативных и методических документов системы сертификации;

• утверждает нормативные документы, на соответствие которым проводится сертификация СЗИ-ГТ в системе сертификации, и методические документы по проведению сертификационных испытаний;

• устанавливает правила применения знаков соответствия обязательной и добровольной сертификации;

аккредитует органы по сертификации и испытательные центры (лаборатории), выдает им лицензии на право проведения определенных видов работ по сертификации и аттестаты аккредитации;

• организует подготовку, переподготовку и повышение квалификации экспертов по вопросам сертификации СЗИ-ГТ, а также аттестацию экспертов;

координирует деятельность органов по сертификации и испытательных центров (лабораторий) системы сертификации СЗИ-ГТ;

• устанавливает правила признания зарубежных сертификатов, знаков соответствия и результатов испытаний;

• ведет государственный реестр сертифицированных средств защиты информации, аккредитованных в системе сертификации СЗИ-ГТ органов по сертификации и испытательных центров (лабораторий), других участников сертификации, а также выданных и аннулированных сертификатов соответствия и лицензий на применение знака соответствия;

• регистрирует сертификаты соответствия и лицензии на применение знака соответствия до их выдачи заявителю;

• ведет учет нормативных документов, содержащих правила, требования и методические рекомендации по сертификации;

• устанавливает порядок инспекционного контроля за соблюдением правил сертификации и за сертифицированными СЗИ-ГТ;

• рассматривает апелляции по вопросам сертификации;

• обеспечивает участников сертификации информацией о деятельности системы сертификации и готовит необходимые материалы для опубликования;

• организует публикацию информации о системе сертификации;

• ежеквартально представляет информацию о работе системы сертификации в Межведомственную комиссию по защите государственной тайны;

осуществляет взаимодействие с федеральными органами по сертификации других систем сертификации.

Органы по сертификации СЗИ-ГТ в пределах установленной области аккредитации реализуют следующие функции:

• проводят идентификацию средств защиты информации;

• определяют схему сертификации конкретных СЗИ-ГТ с учетом предложений заявителя;

проводят при необходимости предварительную проверку производства при серийном выпуске сертифицируемых СЗИ-ГТ;

• разрабатывают предложения по номенклатуре СЗИ-ГТ, сертифицируемых в системе сертификации, и представляют их в ФСБ России;

участвуют в работах по совершенствованию нормативных документов, на соответствие которым проводится сертификация СЗИ-ГТ в системе сертификации, и методических документов по проведению сертификационных испытаний;

проводят анализ материалов сертификационных испытаний в системе сертификации СЗИ-ГТ;

• оформляют экспертное заключение по сертификации СЗИ-ГТ, сертификаты соответствия и лицензии на применение знака соответствия и представляют их в ФСБ России для регистрации в государственном реестре;

выдают сертификаты соответствия и лицензии на применение знака соответствия;

предоставляют заявителю перечень испытательных центров (лабораторий), в которых могут проводиться испытания конкретного СЗИ-ГТ;

• проводят инспекционный контроль сертифицированных СЗИ-ГТ;

участвуют в случае необходимости в отборе образцов СЗИ-ГТ для

проведения сертификационных испытаний;

• хранят документацию, подтверждающую сертификацию СЗИ-ГТ;

• приостанавливают либо отменяют действие выданных сертификатов соответствия и лицензий на применение знака соответствия;

• представляют заявителю необходимую информацию по сертификации;

обеспечивают конфиденциальность информации.

Испытательные центры (лаборатории) в пределах установленной области аккредитации выполняют следующие работы:

разрабатывают, утверждают программы и методики проведения сертификационных испытаний (при необходимости);

• осуществляют отбор образцов СЗИ-ГТ для проведения сертификационных испытаний;

осуществляют сертификационные и инспекционные испытания СЗИ-ГТ, оформляют технические заключения и протоколы сертификационных испытаний;

• обеспечивают полноту испытаний СЗИ-ГТ, достоверность, объективность и требуемую точность измерений, своевременную поверку средств измерений и аттестацию испытательного оборудования;

• обеспечивают сохранность образцов СЗИ-ГТ;

обеспечивают конфиденциальность информации.

Учебно-методический центр:

осуществляет подготовку, переподготовку и повышение квалификации кадров;

• осуществляет подготовку и аттестацию экспертов;

• участвует в разработке и совершенствовании нормативных и методических документов системы сертификации СЗИ-ГТ.

Заявители (разработчики, изготовители, продавцы) выполняют следующие функции:

применяют сертификат и знак соответствия СЗИ-ГТ, руководствуясь правилами системы сертификации;

• обеспечивают соответствие СЗИ-ГТ требованиям нормативных документов по безопасности информации, на соответствие которым она была сертифицирована, и маркирование ее знаком соответствия в установленном порядке;

указывают в сопроводительной технической документации сведения о сертификате на СЗИ-ГТ и нормативных документах, которым оно должно соответствовать, обеспечивают доведение этой информации до потребителя;

приостанавливают или прекращают реализацию СЗИ-ГТ по истечении срока действия сертификата соответствия, приостановке его действия или отмене, а также, если СЗИ-ГТ не отвечает требованиям нормативных документов, на соответствие которым сертифицировано;

• принимают меры для обеспечения стабильности характеристик СЗИ-ГТ, определяющих безопасность информации;

• при обнаружении несоответствия сертифицированных СЗИ-ГТ требованиям нормативных документов осуществляют мероприятия по доработке этих СЗИ-ГТ и проведению сертификационных испытаний;

• обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих обязательную сертификацию СЗИ-ГТ и контроль за сертифицированными СЗИ-ГТ;

• извещают орган по сертификации, проводивший сертификацию, обо всех изменениях в технологии, конструкции (составе) сертифицированного СЗИ-ГТ и технической документации на него для принятия решения о необходимости проведения повторной сертификации данного СЗИ-ГТ.

Заявители (разработчики, изготовители) должны иметь лицензию на соответствующий вид деятельности.

ГЛОССАРИЙ основных терминов и определения в области лицензирования и сертификации

Введение

Основные термины и определения в области лицензирования и сертификации могут служить справочным материалом для всех, кто интересуется вопросами безопасности ИТ или несет ответственность за них. Среди них можно выделить, например, следующие группы, представители которых смогут извлечь пользу из информации, приведенной в стандартах:

а) лица, ответственные за техническое состояние оборудования, и сотрудники служб безопасности, ответственные за определение и выполнение политики и требований безопасности организации в области ИТ;

б) аудиторы как внутренние, так и внешние, ответственные за оценку адекватности безопасности системы;

в) проектировщики систем безопасности, ответственные за спецификацию основного содержания безопасности систем и продуктов ИТ;

г) аттестующие, ответственные за приемку системы ИТ в эксплуатацию в конкретной среде;

д) заявители, заказывающие оценку и обеспечивающие ее проведение;

е) сотрудники органов оценки, ответственные за руководство и надзор за программами проведения оценок безопасности ИТ.

Основные термины и понятия в области защиты информации представляют собой выборку из международного и отечественного законодательства в сфере информационной безопасности.

Приведенные в настоящем словаре-справочнике термины расположены в алфавитном порядке, отражающем систему понятий в области технической защиты информации при применении информационных технологий.

Для каждого понятия установлен один стандартизованный термин.

Стандартизованные термины набраны полужирным шрифтом, их краткие формы, представленные аббревиатурой, — светлым, а синонимы — курсивом.

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации. При этом не входящая в круглые скобки часть термина образует его краткую форму.

Наличие квадратных скобок в терминологической статье означает, что в нее включены два термина, имеющие общие терминоэлементы.

Помета, указывающая на область применения многозначного термина, приведена в круглых скобках светлым шрифтом после термина. Помета не является частью термина.

В словаре-справочнике термины приведены с указанием в круглых скобках краткого наименования документа и номера статьи. Полное

76

коммерческой тайне» (с изменениями от февраля, 18 декабря 2006 г., 24 июля 2007 г.)

2

коммерческой тайне»

Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями от 27 июля 2010 г.).

Федеральный закон «Об информации, информационных технологиях и о защите информации».

Федеральный закон «О персональных данных»

Указы Президента Российской Федерации

10

Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» (с изменениями от 22 марта, 20 июля 2005 г., 30 ноября 2006 г., 23 октября, 17 ноября 2008 г.).

Указ Президента Российской Федерации от 16 августа 2004 г. № 1085

11

Указ Президента Российской Федерации от 5 мая 2004 г. № 580 «Об утверждении Списка товаров и технологий двойного назначения, которые могут быть использованы при создании вооружений и военной техники и в отношении которых осуществляется экспортный контроль» (с изменениями от 1 декабря 2005 г., 6 марта, 4 декабря 2008 г.).

Указ Президента Российской Федерации от 5 мая 2004 г. № 580

12

Указ Президента Российской Федерации от 12 мая 2009 г. № 537 «О Стратегии национальной безопасности Российской Федерации до 2020 года».

Указ Президента Российской Федерации от 12 мая 2009 г. № 537

Постановления Правительства Российской Федерации

13

Постановление Правительства Российской Федерации от 13 августа 1997 г. № 1009 «Об утверждении Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации» (с изменениями от 11 декабря 1997 г., 6 ноября 1998 г., 11 февраля 1999 г., 30 сентября 2002 г., 7 июля 2006 г., 29 декабря 2008 г., 17 марта 2009 г.). Постановление Правительства Российской Федерации от 13 августа 1997 г. № 1009 7 марта 2009 г., 20 февраля, 15 мая 2010 г.).

Постановление Правительства Российской Федерации от 13 августа 1997 г. № 1009

14

Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» (с изменениями от 21 апреля, 24 сентября 2010 г.).

Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504

15

Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» (с изменениями от 21 апреля, 24 сентября 2010 г.).

Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532

8

9

А

Абонент — пользователь услугами связи, с которым заключен договор об оказании таких услуг при выделении для этих целей абонентского номера или уникального кода идентификации (Федеральный закон «О связи», ст. 2).

Автоматизированная система; АС — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (ГОСТ 34.003-90, ст. 1.1).

ПРИМЕЧАНИЯ:

1. В зависимости от вида деятельности выделяют, например, следующие виды АС: автоматизированные системы управления (АСУ), системы автоматизированного проектирования (САПР), автоматизированные системы научных исследований (АСНИ) и др.

2. В зависимости от вида управляемого объекта (процесса) АСУ делят, например, на АСУ технологическими процессами (АСУТП), АСУ предприятиями (АСУП) и т.д.

Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (ГОСТ 2.051-2006, ст.3.1.1).

Автоматизированная система в защищенном исполнении — автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или нормативных документов по защите информации (ГОСТ Р 51583-2000, ст.3.1.1).

Автоматизированная система контроля — система контроля, обеспечивающая проведение контроля с частичным непосредственным участием человека (ГОСТ 16504-81, статья 2.96).

Автоматизированное рабочее место; АРМ — программно- технический комплекс АС, предназначенный для автоматизации деятельности определенного вида (ГОСТ 34.003-90, ст. 2.22).

ПРИМЕЧАНИЕ.

Видами АРМ, например, являются АРМ оператора-технолога, АРМ инженера, АРМ проектировщика, АРМ бухгалтера и др.

Автоматизированный производственный комплекс — автоматизированный комплекс, согласованно осуществляющий автоматизированную подготовку производства, само производство и управление им (ГОСТ 34.003-90, приложение 1, п.11).

Автоматизированный процесс — процесс, осуществляемый при совместном участии человека и средств автоматизации (ГОСТ 34.003-90, приложение 1, п.2).

Автоматическая система контроля — система контроля, обеспечивающая проведение контроля без непосредственного участия человека (ГОСТ 16504—81, ст. 2.97).

Автоматический процесс — процесс, осуществляемый без участия человека (ГОСТ 34.003-90, приложение 1, п.3).

Авторизация; санкционирование доступа — предоставление субъекту прав на доступ, а также предоставление доступа в соответствии с уста­новленными правами на доступ (Р 50.1.056-2005, ст. 3.5.10).

Адаптивность автоматизированной системы; адаптивность АС — способность АС изменяться для сохранения своих эксплуатационных показателей в заданных пределах при изменениях внешней среды (ГОСТ 34.003-90, ст. 3.10).

Адаптируемость — атрибуты программного обеспечения, относящиеся к удобству его адаптации к различным конкретным условиям эксплуатации, без применения других действий или способов, кроме тех, что предназначены для этого в рассматриваемом программном обеспечении (ГОСТ 9126-94, приложение А, ст. А.2.6.1).

Аккредитация — официальное признание органом по аккредитации компетентности физического или юридического лица выполнять работы в определенной области оценки соответствия (Федеральный закон «О техническом регулировании», ст. 2).

Активы — все, что имеет ценность для организации (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.2).

Активы — информация или ресурсы, подлежащие защите контрмерами объекта оценки (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.1).

Алгоритм — конечный набор предписаний для получения решения задачи посредством конечного количества операций (ГОСТ 34.003-90, приложение 1, п.8).

Алгоритм проектирования в САПР — совокупность предписаний, необходимых для выполнения проектирования (ГОСТ 34.003-90, ст. 8.6).

Алгоритм функционирования автоматизированной системы; алгоритм функционирования АС — алгоритм, задающий условия и последовательность действий компонентов автоматизированной системы при выполнении ею своих функций (ГОСТ 34.003-90, ст. 1.5).

Алгоритм функционирования СЧИ — логическая организация функционирования, состоящая из совокупности операций системы «человек- информация» (ГОСТ Р 43.0.2-2006, ст. 2.20).

Анализаторы сигнала — аппаратура, способная измерять и отображать основные характеристики одночастотной составляющей многочастотного сигнала (Указ Президента Российской Федерации от 5 мая 2004 г. № 580, примечания к списку, ст.4).

Анализ информационного риска — систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации (ГОСТ Р 50922-2006, ст. 2.8.9).

Анализируемость — атрибуты программного обеспечения, относящиеся к усилиям, необходимым для диагностики недостатков или случаев отказов или определения составных частей для модернизации (ГОСТ 9126-94, приложение А, ст. А.2.5.1).

Анализ информационного риска —систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации (ГОСТ Р 50922-2006, ст. 2.8.9).

Анализ риска — систематическое использование информации для определения источников и количественной оценки риска ( ГОСТ Р 51897­2002, ст. 3.3.1).

ПРИМЕЧАНИЯ:

1. Анализ риска обеспечивает базу для оценивания риска, мероприятий по снижению риска и принятия риска.

2. Информация может включать в себя исторические данные, результаты теоретического анализа, информированное мнение и касаться причастных сторон

Анализ риска — систематическое использование информации для выявления опасности и количественной оценки риска (ГОСТ Р 51898-2002, ст. 3.10).

Анализ риска — систематический процесс определения величины риска (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.9).

Асимметричный алгоритм — криптографический алгоритм, использующий различные математически связанные ключи для шифрования и дешифрования (Указ Президента Российской Федерации от 5 мая 2004 г. № 580, примечания к списку, ст.4).

ТЕХНИЧЕСКОЕ ПРИМЕЧАНИЕ:

Асимметричный алгоритм обычно применяется для управления ключом.

Ассоциация в системе «человек-информация» — связь двух или нескольких мыслительных процессов оператора, выражающаяся в том, что появление одного из мыслительных процессов вызывает появление другого (ГОСТ Р 43.0.2-2006, п.2.17).

Атака (при применении информационных технологий) — действия, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на нее или на ресурсы автоматизированной информационной системы с применением программных и (или) технических средств (Р 50.1.053-2005, ст. 3.2.12.).

Атрибут — элемент данных, который выражает определенную характеристику документа и имеет имя и значение (ГОСТ 2.051-2006, ст. 3.1.2; ИСО/МЭК 8613-1-1994 ).

Атрибут безопасности — характеристики субъектов, пользователей объектов, информации и/или ресурсов, которые используются для

осуществления политика безопасности объекта оценки (ГОСТ Р ИСО/МЭК 15408-1-2002, статья 2.39).

Аттестация — подтверждение экспертизой и представлением объективных доказательств того, что конкретные требования к конкретным объектам полностью реализованы (ГОСТ Р ИСО/МЭК 12207-99, ст. 3.35).

ПРИМЕЧАНИЯ:

1. В процессе проектирования и разработки аттестация связана с экспертизой продукта в целях определения его соответствия потребностям пользователя.

2. Аттестацию обычно проводят для конечного продукта в установленных условиях эксплуатации. При необходимости аттестация может проводиться на более ранних стадиях.

3. Термин «аттестован» используется для обозначения соответствующих состояний объекта.

4. Может быть проведен ряд аттестаций, если они преследуют различные цели.

Аттестационные испытания — испытания, проводимые для оценки уровня качества продукции при ее аттестации по категориям качества (ГОСТ 16504—81, статья 1.51).

Аттестация автоматизированной системы в защищенном исполнении — процесс комплексной проверки выполнения заданных функций автоматизированной системы по обработке защищаемой информации на соответствие требованиям стандартов и/или нормативных документов в области защиты информации и оформления документов о ее соответствии выполнять функции по обработке защищаемой информации на конкретном объекте информатизации (ГОСТ Р 51583-2000, ст.3.1.2).

Аттестация испытательного оборудования — определение нормированных точностных характеристик испытательного оборудования, их соответствия требованиям нормативно-технической документации и установление пригодности этого оборудования к эксплуатации (ГОСТ 16504­81, статья 1.18).

Аттестация испытательных организаций и подразделений —

удостоверение компетентности испытательных организаций и подразделений и их оснащенности, обеспечивающих проведение на должном техническом уровне всех предусмотренных нормативно—технической документацией испытаний закрепленных видов продукции и (или) видов испытаний (ГОСТ 16504-81, статья 1.34).

Аттестация методики испытаний — определение обеспечиваемых методикой значений показателей точности, достоверности и (или) воспроизводимости результатов испытаний и их соответствия заданным требованиям (ГОСТ 16504-81, статья 1.15).

Аттестация объекта информатизации — деятельность по установлению соответствия комплекса организационно-технических мероприятий по защите объекта информатизации требованиям по безопасности информации (Р 50.1.056-2005, ст. 3.5.18).

Аудит — проверка, выполняемая компетентным органом (лицом) с целью обеспечения независимой оценки степени соответствия программных продуктов или процессов установленным требованиям (ГОСТ Р ИСО/МЭК 12207-99, ст. 3.4).

Аудит безопасности автоматизированной информационной системы — проверка реализованных в автоматизированной информационной системе процедур обеспечения безопасности с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию (Р 50.1.053-2005, ст. 3.3.5).

Аудит информационной безопасности в организации; аудиторская проверка информационной безопасности в организации — периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организации установленных требований по обеспечению информационной безопасности (ГОСТ Р 50922-2006, ст.2.8.6; Р 50.1.056-2005, ст.3.5.4).

ПРИМЕЧАНИЕ:

Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит).

Аудиторская проверка безопасности информации в информационной системе; аудит безопасности информации в информационной системе — проверка реализованных в информационной системе процедур обеспечения безопасности информации с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию (Р 50.1.056-2005, ст. 3.5.5).

Аудиторская проверка информационной безопасности в организации; аудит информационной безопасности в организации — периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организации установленных требований по обеспечению информационной безопасности (ГОСТ Р 50922-2006, ст. 2.8.6; Р 50.1.056­2005, ст. 3.5.4).

ПРИМЕЧАНИЕ:

Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит).

Аутентичность — свойство, гарантирующее, что субъект или ресурс идентичны заявленным (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.3).

ПРИМЕЧАНИЕ:

Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.3).

Аутентичный документ — документ, одинаковый с исходным по содержанию и различный по формату и (или) кодам данных (ГОСТ 2.051­2006, 3.1.3).

ПРИМЕЧАНИЕ.

Аутентичные документы могут быть выполнены на одинаковых или разных видах носителя данных.

Аутентификационные данные — информация, используемая для верификации предъявленного идентификатора пользователя (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.6).

Аутентификация (субъекта доступа) — действия по проверке подлинности субъекта доступа в автоматизированной информационной системе (Р 50.1.053-2005, ст. 3.3.8).

Б

Базовая линия — официально принятая версия элемента конфигурации, независимая от среды, формально обозначенная и зафиксированная в конкретный момент времени жизненного цикла элемента конфигурации (ГОСТ Р ИСО/МЭК 12207-99, ст. 3.5).

Базовые защитные меры — минимальный набор защитных мер, установленный для системы или организации (ГОСТ Р ИСО/МЭК 13335-1­2006, ст. 2.5).

Безопасность — отсутствие недопустимого риска (ГОСТ Р 51898­2002, ст. 3.1).

Безопасность — отсутствие недопустимого риска, связанного с возможностью нанесения ущерба (ГОСТ 1.1-2002, ст. А.7).

Безопасность автоматизированной информационной системы —

состояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность ее ресурсов (Р 50.1.053-2005, ст. 3.1.6).

Безопасность информации [данных] — состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность (ГОСТ Р 50922-2006, ст. 2.4.5).

Безопасность информации [данных] — состояние защищенности информации [данных], при котором обеспечиваются ее [их] конфиденциальность, доступность и целостность (Р 50.1.053-2005, ст. 3.1.4.).

ПРИМЕЧАНИЕ:

Безопасность информации [данных] определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии (Р 50.1.053-2005, ст. 3.1.4.).

Безопасность информационной технологии — состояние защищенности информационной технологии, при котором обеспечивается выполнение изделием, реализующим информационную технологию, предписанных функций без нарушений безопасности обрабатываемой информации (Р 50.1.056-2005, ст. 3.1.4).

Безопасность информационно—телекоммуникационных

технологий (безопасность ИТТ) — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно- телекоммуникационных технологий (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.9).

Безопасность информации (при применении информационных технологий) — состояние защищенности информационной технологии, обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована (Р 50.1.053-2005, ст.3.1.5).

Безопасность операторской деятельности в системе «человек- информация» — состояние защищенности операторской деятельности в системе «человек-информация» в условиях преднамеренных и непреднамеренных опасных для оператора и образца техники воздействий (ГОСТ Р 43.0.2-2006, ст. 2.12).

Безопасность продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации — состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений (Федеральный закон «О техническом регулировании», ст. 2).

Безопасность сети электросвязи — способность сети электросвязи противодействовать определенному множеству угроз, преднамеренных или непреднамеренных дестабилизирующих воздействий на входящие в состав сети средства, линии связи и технологические процессы (протоколы), что может привести к ухудшению качества услуг, предоставляемых сетью электросвязи (ГОСТ Р 52448-2005, ст.3.1).

Биометрическая идентификация — идентификация, основанная на использовании индивидуальных физических признаков человека (ГОСТ Р 51241-98, ст.3).

Блокирование доступа (к информации) (при применении информационных технологий) — создание условий, препятствующих доступу к информации субъекту, имеющему право на него (Р 50.1.053-2005, ст.3.2.14).

ПРИМЕЧАНИЕ:

Создание условий, препятствующих доступу к информации, может быть осуществлено по времени доступа, функциям по обработке информации

(видам доступа) и (или) доступным информационным ресурсам (Р 50.1.053­2005, ст.3.2.14).

Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи (Федеральный закон «О персональных данных», ст. 3).

Брешь; уязвимость (информационной системы) — свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации (Р 50.1.056-2005, ст. 3.2.3; ГОСТ Р 50922-2006, ст.2.6.4).

ПРИМЕЧАНИЯ:

1. Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.

2. Если уязвимость соответствует угрозе, то существует риск (ИСО 2382-8:1998 Информационная технология. Словарь. Часть 8. Безопасность).

В

Вид испытаний — классификационная группировка испытаний по определенному признаку (ГОСТ 16504-81, ст.1.4).

Вид контроля — классификационная группировка контроля по определенному признаку (ГОСТ 16504—81, ст. 2.85).

Владелец сертификата ключа подписи — физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы) (Федеральный закон «Об электронной цифровой подписи», ст. 3).

Внешняя сущность информационных технологий — любой продукт или система информационных технологий, доверенные или нет, находящиеся вне объекта оценки и взаимодействующие с ним. (ГОСТ Р ИСО/МЭК 15408­1-2008, ст. 2.18).

Внутренний канал связи — канал связи между разделенными частями объекта оценки (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.25).

Вторжение (в автоматизированную информационную систему) — выявленный факт попытки несанкционированного доступа к ресурсам автоматизированной информационной системы (Р 50.1.053-2005, ст. 3.2.13).

Выбор — выделение одного или нескольких элементов из перечня в компоненте (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.44).

Высокая стойкость функции безопасности — уровень стойкости функции безопасности объекта оценки, на котором, как показывает анализ, функция предоставляет адекватную защиту от тщательно спланированного и

организованного нарушения безопасности объекьа оценки нарушителями с высоким потенциалом нападения (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.47).

Д

Данные пользователя — данные, созданные пользователем и для пользователя, которые не влияют на выполнение функции безопасности объекта оценки (ГОСТ Р ИСО/МЭК 15408-1-2008, ст.2.64).

Данные функции безопасности объекта оценки — данные, созданные функцией безопасности объекта оценки или для функции безопасности объекта оценки, которые могут повлиять на выполнение функции безопасности объекта оценки (ГОСТ Р ИСО/МЭК 15408-1-2008, ст.2.61).

Декларация о соответствии — документ, удостоверяющий соответствие выпускаемой в обращение продукции требованиям технических регламентов (Федеральный закон «О техническом регулировании», ст. 2).

Декларирование соответствия — форма подтверждения соответствия продукции требованиям технических регламентов (Федеральный закон «О техническом регулировании», ст. 2).

Доверенный канал — средство взаимодействия между функцией безопасности объекта оценки и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объекта оценки (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.59).

Доверенный маршрут — средство взаимодействия между пользователем и функцией безопасности объекта оценки, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объекта оценки (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.60).

Доверие — основание для уверенности в том, что сущность отвечает своим целям безопасности (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.3).

Документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель (Федеральный закон «Об информации, информационных технологиях и о защите информации», ст. 2).

Документированный процесс — процесс, реализация которого осуществляется в соответствии с разработанным комплектом документов (документацией) и подтверждается соответствующими записями (Р 50.1.056­2005, Приложение А, ст. А.26).

Достоверность — свойство соответствия предусмотренному поведению и результатам (ГОСТ Р ИСО/МЭК 13335-1 -2006, ст. 2.17).

Доступ к информации — возможность получения информации и ее использования (Федеральный закон «Об информации, информационных технологиях и о защите информации», ст. 2).

Доступ к информации (ресурсам информационной системы) —

получение возможности ознакомления с информацией, обработки информации и (или) воздействия на информацию и (или) ресурсы информационной системы с использованием программных и (или) технических средств (Р 50.1.056-2005, Приложение А, ст. А.15).

ПРИМЕЧАНИЕ:

Доступ осуществляется субъектами доступа, к которым относятся лица, а также логические и физические объекты (Р 50.1.053-2005, ст. 3.2.7).

Доступность — обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости (ГОСТ Р ИСО/МЭК 17799-2005, ст. 2.1).

Доступность — свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта (ГОСТ Р ИСО/МЭК 13335-1 -2006, ст. 2.4).

Ж

Живучесть автоматизированной системы; живучесть АС —

свойство AC, характеризуемое способностью выполнять установленный объем функций в условиях воздействий внешней среды и отказов компонентов системы в заданных пределах (ГОСТ 34.003-90, ст. 3.12).

Жизненно важные интересы — совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства. (Закон Российской Федерации «О безопасности», ст. 1).

Жизненный цикл автоматизированной системы; жизненный цикл АС — совокупность взаимосвязанных процессов создания и последовательного изменения состояния АС от формирования исходных требований к ней до окончания эксплуатации и утилизации комплекса средств автоматизации АС (ГОСТ 34.003-90, ст. 4.1).

З

Зависимость — соотношение между требованиями, при котором требование, от которого зависят другие требования, должно быть, как правило, удовлетворено с тем, чтобы и другие требования могли отвечать своим целям. (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.11).

Задание по безопасности — совокупность требований безопасности и спецификаций, предназначенная для использования в качестве основы для оценки конкретного объекта оценки (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.43).

Закрытый ключ электронной цифровой подписи — уникальная последовательность символов, известная владельцу сертификата ключа

подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи (Федеральный закон «Об электронной цифровой подписи», ст. 3).

Замысел защиты информации — основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации (ГОСТ Р 50922-2006, ст. 2.4.1).

Защита информации — деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию (ГОСТ Р 50922-2006, ст. 2.1.1).

Защита информации от агентурной разведки — деятельность по предотвращению получения защищаемой информации агентурной разведкой (ГОСТ Р 50922-2006, ст. 3.10).

Защита информации от [иностранной] разведки — деятельность по предотвращению получения защищаемой информации [иностранной] разведкой (ГОСТ Р 50922-2006, ст. 3.8).

Защита информации от [иностранной] технической разведки — деятельность по предотвращению получения защищаемой информации [иностранной] разведкой с помощью технических средств (ГОСТ Р 50922­2006, ст. 3.9).

Защита информации от непреднамеренного воздействия —

деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации (ГОСТ Р 50922-2006, ст. 3.5).

Защита информации от несанкционированного воздействия (защита информации от НСВ) — деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации (ГОСТ Р 50922-2006, ст. 3.4).

Защита информации от несанкционированного доступа (защита информации от НСД) — деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации (ГОСТ Р 50922-2006, ст. 3.7).

ПРИМЕЧАНИЕ:

Заинтересованным субъектом, осуществляющим

несанкционированный доступ к защищаемой информации, может выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо (ГОСТ Р 50922-2006, ст. 3.7).

Защита информации от разглашения — деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации (ГОСТ Р 50922-2006, ст. 3.6).

Защита информации от утечки — деятельность, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками (ГОСТ Р 50922-2006, ст. 3).

Защита программных средств — организационные, правовые, технические и технологические меры, направленные на предотвращение возможных несанкционированных действий по отношению к программным средствам и устранение последствий этих действий (ГОСТ Р 51188-98, п.3).

Защитная мера — мера, используемая для уменьшения риска (ГОСТ Р 51898-2002, ст. 3.8).

Защищаемая автоматизированная информационная система — автоматизированная информационная система, предназначенная для сбора, хранения, обработки, передачи и использования защищаемой информации с требуемым уровнем ее защищенности (Р 50.1.053-2005, ст. 3.1.1).

Защищаемая информационная система — информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности (Р 50.1.056-2005, ст. 3.3.2).

Защищаемая информационная технология — информационная технология, предназначенная для сбора, хранения, обработки, передачи и использования защищаемой информации с требуемым уровнем ее защищенности (Р 50.1.053-2005, ст. 3.1.3).

Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации (ГОСТ Р 51275-99, ст. 2.1; ГОСТ Р 50922-2006, ст. 1).

ПРИМЕЧАНИЕ:

Собственником информации может быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

Защищаемый объект информатизации — объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности (Р 50.1.056-2005, ст. 3.3.1).

Защищаемые программные средства — программные средства, используемые в информационной системе при обработке защищаемой информации с требуемым уровнем ее защищенности (Р 50.1.056-2005, ст. 3.3.5).

Защищаемые ресурсы (информационной системы) — ресурсы, использующиеся в информационной системе при обработке защищаемой информации с требуемым уровнем ее защищенности (Р 50.1.056-2005, ст. 3.3.3).

Защищаемая сеть связи — сеть связи, используемая при обмене защищаемой информацией с требуемым уровнем ее защищенности (Р 50.1.056-2005, ст. 3.3.6).

Защищенная полиграфическая продукция — полиграфическая продукция, в том числе бланки ценных бумаг, содержащая не менее двух защитных элементов, изготовленная с применением полиграфических, голографических, информационных, микропроцессорных и иных способов защиты полиграфической продукции, предотвращающих полную или частичную подделку этой продукции (Постановление Правительства Российской Федерации от 16 января 2007 г. № 15).

Защищенность объектов и грузов — состояние, при котором в отношении объектов и грузов обеспечиваются условия для предотвращения возникновения потенциальной опасности и преодоления (снижения до минимального уровня) негативных последствий кризисных ситуаций природного и техногенного характера, а также вызванных проявлениями терроризма (Распоряжение Правительства Российской Федерации от 27 августа 2005 г. № 1314-р, п.5).

И

Идентификатор — представление уполномоченного пользователя (например, строка символов), однозначно его идентифицирующее. Таким представлением может быть либо полное или сокращенное имя этого пользователя, либо его псевдоним (ГОСТ Р ИСО/МЭК 15408-1-2008, ст.2.23).

Идентификация — действия по присвоению субъектам и объектам доступа идентификаторов и (или) действия по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов (Р 50.1.056-2005, ст. 3.5.12).

Идентификация — действия по присвоению субъектам и объектам доступа идентификаторов и (или) по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов (Р 50.1.053-2005, ст. 3.3.9).

Идентификация продукции — установление тождественности характеристик продукции ее существенным признакам (Федеральный закон «О техническом регулировании», ст. 2).

Измерительный контроль — контроль, осуществляемый с применением средств измерений (ГОСТ 16504-81, ст. 111).

Инспекционные испытания — контрольные испытания установленных видов выпускаемой продукции, проводимые в выборочном порядке с целью контроля стабильности качества продукции специально

уполномоченными организациями (ГОСТ 16504-81, ст. 49).

Инспекционный контроль — контроль, осуществляемый специально уполномоченными лицами с целью проверки эффективности ранее выполненного контроля (ГОСТ 16504-81, ст. 103).

Интерфейс функций безопасности объекта оценки — совокупность интерфейсов как интерактивных (человеко-машинные интерфейсы), так и программных (интерфейсы прикладных программ), с использованием которых осуществляется доступ к ресурсам объекта оценки при посредничестве функции безопасности объекта оценки или получение от функции безопасности объекта оценки какой-либо информации (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.55).

Информационная безопасность — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.14).

Информационная безопасность — защита конфиденциальности, целостности и доступности информации (ГОСТ Р ИСО/МЭК 17799-2005, ст. 2.1).

Информационная безопасность объекта информатизации —

состояние защищенности объекта информатизации, при котором обеспечивается безопасность информации и автоматизированных средств ее обработки (Р 50.1.056-2005, ст. 3.1.1.).

Информационная система — автоматизированная система, результатом функционирования которой является представление выходной информации для последующего использования (Р 50.1.056-2005, ст. А.2.2.).

Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Федеральный закон «Об информации, информационных технологиях и о защите информации», ст. 2).

Информационная система общего пользования — информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано (Федеральный закон «Об электронной цифровой подписи», ст. 3).

Информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов) (ГОСТ Р 51275-99, ст. 2.1).

Информационные ресурсы сети электросвязи — совокупность хранимых (используемых для обеспечения процессов функционирования сети электросвязи), обрабатываемых и передаваемых данных, содержащих информацию пользователей и/или системы управления сетью электросвязи (ГОСТ Р 52448-2005, ст.3.5).

Информация — сведения (сообщения, данные) независимо от формы их представления (Федеральный закон «Об информации, информационных технологиях и о защите информации», ст. 2).

Информация, составляющая коммерческую тайну (секрет производства) — сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны (Федеральный закон «О коммерческой тайне», ст.3).

Инцидент информационной безопасности — любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.10).

ПРИМЕЧАНИЕ. Инцидентами информационной безопасности являются:

• утрата услуг, оборудования или устройств;

• системные сбои или перегрузки;

• ошибки пользователей;

• несоблюдение политик или рекомендаций;

• нарушение физических мер защиты;

• неконтролируемые изменения систем;

• сбои программного обеспечения и отказы технических средств;

• нарушение правил доступа.

Испытания — экспериментальное определение количественных и (или) качественных характеристик свойств объекта испытаний как результата воздействия на него, при его функционировании, при моделировании объекта и (или) воздействий (ГОСТ 16504-81, ст. 1.1).

Итерация — более чем однократное использование компонента при различном выполнении операций (ГОСТ Р ИСО/МЭК 15408-1-2008, ст.2.28).

К

Категорирование защищаемой информации [объекта защиты]_—

установление градаций важности защиты защищаемой информации [объекта защиты] (ГОСТ Р 50922-2006, ст. 3.22).

Категория испытаний — вид испытаний, характеризуемый организационным признаком их проведения и принятием решений по результатам оценки объекта в целом (ГОСТ 16504-81, ст. 1.5).

Квалификационные испытания — контрольные испытания установочной серии или первой промышленной партии, проводимые с целью оценки готовности предприятия к выпуску продукции данного типа в

заданном объеме (ГОСТ 16504-81, ст. 1.45).

Класс — группа семейств, объединенных общим назначением (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.8).

Ключевая информация — специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока (Приказ ФАПСИ от 13 июня 2001 г. № 152).

Ключевой документ — физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости — контрольную, служебную и технологическую информацию (Приказ ФАПСИ от 13 июня 2001 г. № 152).

Ключевой носитель — физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т.п.) (Приказ ФАПСИ от 13 июня 2001 г. № 152).

Ключевой блокнот — набор бумажных ключевых документов одного вида (таблиц, перфолент, перфокарт и т.п.), сброшюрованных и упакованных по установленным правилам (Приказ ФАПСИ от 13 июня 2001 г. № 152).

Компонент — наименьшая выбираемая совокупность элементов, которая может быть включена в профиль защиты, задание по безопасности или пакет (ГОСТ Р ИСО/МЭК15408-1-2008, ст.2.9).

Компрометация криптоключей — хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам (Приказ ФАПСИ от 13 июня 2001 г. № 152).

Компьютерная атака — целенаправленное несанкционированное воздействие на информацию, на ресурс информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств (Р 50.1.056-2005, ст. 3.2.8).

Компьютерный вирус — вредоносная программа, способная создавать вредоносные программы и (или) свои копии (Р 50.1.053-2005, ст. 3.2.18).

Компьютерный вирус — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения.

ПРИМЕЧАНИЕ:

Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению (Р 50.1.056-2005, ст. 3.2.13).

Компьютерный вирус — программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы,

системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам (ГОСТ Р 51188-98., п.3).

Контроль — сложившаяся практика, процедура или механизм обработки риска (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 24.).

ПРИМЕЧАНИЕ:

В контексте безопасности информационно-телекоммуникационных технологий термин «контроль» может считаться синонимом «защитной меры» (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.7).

Контроль доступа (в информационной системе) — проверка выполнения субъектами доступа установленных правил разграничения доступа в информационной системе (Р 50.1.056-2005, ст. 3.5.9).

Контроль качества продукции — контроль количественных и (или) качественных характеристик свойств продукции (ГОСТ 16504-81, ст. 1.82).

Контроль (надзор) за соблюдением требований технических регламентов — проверка выполнения юридическим лицом или индивидуальным предпринимателем требований технических регламентов к продукции или к связанным с ними процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации и принятие мер по результатам проверки (Федеральный закон «О техническом регулировании», ст. 2).

Контроль организации защиты информации — проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации (ГОСТ Р 50922-2006, ст. 3.27).

Контроль состояния защиты информации — проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации (ГОСТ Р 50922­2006, ст. 3.24).

Контроль эффективности защиты информации — проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации (ГОСТ Р 50922-2006, ст. 3.28).

Конфиденциальность - обеспечение доступа к информации только авторизованным пользователям (ГОСТ Р ИСО/МЭК 17799-2005, ст. 2.1).

Конфиденциальность — свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса (ГОСТ Р ИСО/МЭК 13335-1 -2006, ст. 2.).

Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя (Федеральный закон «Об информации, информационных технологиях и о защите информации», ст. 2).

Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания (Федеральный закон «О персональных данных», ст. 3) .

Криптографическая защита (данных) — защита данных при помощи криптографического преобразования данных (Р 50.1.053-2005, Приложение А, ст. А.13).

Криптографический ключ (криптоключ) — совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе (Приказ ФАПСИ от 13 июня 2001 г. № 152).

Критерии аудита информационной безопасности в организации — совокупность принципов, положений, требований и показателей действующих нормативных документов, относящихся к деятельности организации в области информационной безопасности (Р 50.1.053-2005, Приложение А, ст. А.28).

ПРИМЕЧАНИЕ:

Критерии аудита информационной безопасности используют для сопоставления с ними свидетельств аудита информационной безопасности (Р 50.1.053-2005, Приложение А, ст. А.28).

Критически важные объекты — объекты, нарушение (или прекращение) функционирования которых приводит к потере управления экономикой страны, субъекта или административно-территориальной единицы, ее необратимому негативному изменению (или разрушению) или существенному снижению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный период времени (Распоряжение Правительства Российской Федерации от 27 августа 2005 г. № 1314-р, п.5).

Л

Лицензиат — юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности (Федеральный закон «О лицензировании отдельных видов деятельности», ст. 2).

Лицензионные требования и условия при осуществлении деятельности по технической защите конфиденциальной информации

(Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504):

наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное

(техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;

наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;

• наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;

• наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.

Лицензирующие органы — федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование в соответствии с настоящим Федеральным законом (Федеральный закон «О лицензировании отдельных видов деятельности», ст. 2).

М

Менеджмент риска — полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.22).

Мероприятие по защите информации — совокупность действий по разработке и/или практическому применению способов и средств защиты информации (ГОСТ Р 50922-2006, ст. 3.17).

Мероприятие по контролю эффективности защиты информации — совокупность действий по разработке и/или практическому применению методов [способов] и средств контроля эффективности защиты информации (ГОСТ Р 50922-96, ст. 3.18).

Метод испытаний — правила применения определенных принципов и средств испытаний (ГОСТ 16504-81, ст. 1.11).

Метод контроля — правила применения определенных принципов и средств контроля (ГОСТ 16504-81, ст. 2.87).

Метод [способ] контроля эффективности защиты информации —

порядок и правила применения определенных принципов и средств контроля эффективности защиты информации (ГОСТ Р 50922-2006, ст. 3.23).

Методика испытаний — организационно-методический документ, обязательный к выполнению, включающий метод испытаний, средства и условия испытаний, отбор проб, алгоритмы выполнения операций по определению одной или нескольких взаимосвязанных характеристик свойств объекта, формы представления данных и оценивания точности, достоверности результатов, требования техники безопасности и охраны окружающей среды (ГОСТ 16504-81, ст. 1.14).

Механизм проверки правомочности обращений — реализация концепции монитора обращений, обладающая следующими свойствами: защищенностью от проникновения; постоянной готовностью, простотой, достаточной для проведения исчерпывающего анализа и тестирования (ГОСТ Р ИСО/МЭК 15408-1-2008, ст.2.35).

Модель для испытаний — изделие, процесс, явление, математическая модель, находящиеся в определенном соответствии с объектом испытаний и (или) воздействиями на него и способные замещать их в процессе испытаний (ГОСТ 16504-81, ст. 1.9).

Модель политики безопасности объекта оценки — структурированное представление политики безопасности, которая должна быть осуществлена объектом оценки (ГОСТ Р ИСО/МЭК 15408-1-2008, ст.2.57).

Мониторинг безопасности информации — постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью выявления его соответствия требованиям по безопасности информации (Р 50.1.056-2005, ст. 3.5.6).

Мониторинг безопасности информации (при применении информационных технологий) — процедуры регулярного наблюдения за процессом обеспечения безопасности информации при применении информационных технологий (Р 50.1.053-2005, ст. 3.3.6).

Монитор обращений — концепция абстрактной машины, осуществляющей политики управления доступом объекта оценки (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.34).

Н

Назначение — спецификация определенного параметра в компоненте (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.8).

Национальная безопасность — состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень

жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства (Указ Президента Российской Федерации от 12 мая 2009 г. № 537, Стратегия..., п.6).

Нарушитель безопасности информации — физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах (Р 50.1.056-2005. Приложение А, ст. А.25).

Нарушитель безопасности (нарушитель) сети электросвязи — физическое или юридическое лицо, преступная группа, процесс или событие, производящие преднамеренные или непреднамеренные воздействия на инфокоммуникационную структуру сети электросвязи, приводящие к нежелательным последствиям для интересов пользователей услугами связи, операторов связи и/или органов государственного управления (ГОСТ Р 52448-2005, ст.3.9).

Недекларированные возможности (программного обеспечения) — функциональные возможности программного обеспечения, не описанные в документации (Р 50.1.053-2005, ст. 3.2.19).

Неотказуемость — способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.16).

Несанкционированное воздействие (на информацию [ресурсы автоматизированной информационной системы]) (при применении информационных технологий) — изменение информации [ресурсов автоматизированной информационной системы], осуществляемое с нарушением установленных прав и (или) правил (Р 50.1.053-2005, ст. 3.2.11).

ПРИМЕЧАНИЯ:

1. Несанкционированное воздействие может быть осуществлено преднамеренно или непреднамеренно. Преднамеренные несанкционированные воздействия являются специальными воздействиями.

2. Изменение может быть осуществлено в форме замены информации [ресурсов автоматизированной информационной системы], введения новой информации [новых ресурсов автоматизированной информационной системы], а также уничтожения или повреждения информации [ресурсов автоматизированной информационной системы] (Р 50.1.053-2005, ст. 3.2.11).

Несанкционированное воздействие на информацию —воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации ГОСТ Р 50922-2006, ст.2.6.6).

Несанкционированное воздействие на информацию [ресурсы информационной системы]; НСВ — изменение, уничтожение или копирование информации [ресурсов информационной системы], осуществляемое с нарушением установленных прав и (или) правил (Р

50.1.056-2005, ст. 3.2.7).

ПРИМЕЧАНИЯ:

1. Несанкционированное воздействие может быть осуществлено преднамеренно или непреднамеренно. Преднамеренные несанкционированные воздействия являются специальными воздействиями (Р 50.1.053-2005, ст. 3.2.11).

2. Изменение может быть осуществлено в форме замены информации [ресурсов информационной системы]; введения новой информации [новых ресурсов информационной системы], а также уничтожения или повреждения информации [ресурсов информационной системы] (Р 50.1.053-2005, ст. 3.2.11).

Несанкционированный доступ (к информации [ресурсам автоматизированной информационной системы]) — доступ к информации [ресурсам автоматизированной информационной системы], осуществляемый с нарушением установленных прав и (или) правил доступа к информации [ресурсам автоматизированной информационной системы] (Р 50.1.053-2005, ст. 3.2.10).

ПРИМЕЧАНИЯ:

1. Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно (Р 50.1.053-2005, ст. 3.2.10).

2. Права и правила доступа к информации и ресурсам информационной системы устанавливаются для процессов обработки информации, обслуживания автоматизированной информационной системы, изменения программных, технических и информационных ресурсов, а также получения информации о них (Р 50.1.053-2005, ст. 3.2.10).

Несанкционированный доступ к информации [ресурсам информационной системы]; НСД — доступ к информации [ресурсам информационной системы], осуществляемый с нарушением установленных прав и (или) правил доступа к информации [ресурсам информационной системы] с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам (Р 50.1.056-2005, ст. 3.2.6).

ПРИМЕЧАНИЯ:

1. Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно (Р 50.1.053-2005, ст. 3.2.10).

Права и правила доступа к информации и ресурсам информационной системы устанавливаются для процессов обработки информации, обслуживания автоматизированной информационной системы, изменения программных, технических и информационных ресурсов, а также получения, информации о них (Р 50.1.053-2005, ст. 3.2.10).

Несанкционированный доступ к программным средствам — доступ к программам, записанным в памяти ЭВМ или на машинном носителе, а также отраженным в документации на эти программы, осуществленный с нарушением установленных правил (ГОСТ Р 51188-98, п.3).

Неформальный — выраженный на естественном языке (ГОСТ Р

ИСО/МЭК 15408-1-2008, ст. 2.24).

Нормальные условия испытаний — условия испытаний, установленные нормативно-технической документацией (НТД) на данный вид продукции (ГОСТ 16504-81, ст. 1.3).

Нормативный документ — документ, устанавливающий правила, общие принципы или характеристики, касающиеся различных видов деятельности или их результатов (ГОСТ 1.1-2002, ст. 4.1).

ПРИМЕЧАНИЯ:

1. Под документом следует понимать любой носитель информации, которая записана в нем или на его поверхности.

2. Термины, обозначающие различные виды нормативных документов, определяются в дальнейшем исходя из того, что документ и его содержание рассматриваются как единое целое.

Нормативный правовой акт — письменный официальный документ, принятый (изданный) в определенной форме правотворческим органом в пределах его компетенции и направленный на установление, изменение или отмену правовых норм. В свою очередь, под правовой нормой принято понимать общеобязательное государственное предписание постоянного или временного характера, рассчитанное на многократное применение (Приказ Министерства юстиции Российской Федерации от 4 мая 2007 г. № 88).

Нормативный правовой документ — письменный официальный документ, принятый в установленном порядке, управомоченного на то органа государственной власти, органа местного самоуправления или должностного лица, устанавливающий правовые нормы (правила поведения), обязательные для неопределенного круга лиц, рассчитанные на неоднократное применение и действующие независимо от того, возникли или прекратились конкретные правоотношения, предусмотренные актом (Р 50.1.056-2005, Приложение А, ст. А.21).

Нормы эффективности защиты информации — значение показателя эффективности защиты информации, установленное нормативными и правовыми документами (ГОСТ Р 50922-2006, ст. 2.9.4).

Нотаризация; удостоверение подлинности — регистрация данных защищенной третьей стороной, что в дальнейшем позволяет обеспечить точность характеристик данных.

ПРИМЕЧАНИЕ:

К характеристикам данных, например, относятся: содержание, происхождение, время и способ доставки (Р 50.1.056-2005, ст. 3.5.13).

О

Объекты — критически важные объекты и (или) потенциально опасные объекты инфраструктуры Российской Федерации (распоряжение Правительства Российской Федерации от 27 августа 2005 г. № 1314-р, п.5).

Обработка риска — процесс выбора и осуществления мер по модификации риска (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.23).

Объект — сущность в пределах области действия функции безопасности объекта оценки, которая содержит или получает информацию и над которой субъекты выполняют операции (ГОСТ Р ИСО/МЭК 15408-1­2002, ст. 2.3).

Объект доступа (в автоматизированной информационной системе)

— единица ресурса автоматизированной информационной системы, доступ к которой регламентируется правилами разграничения доступа (Р 50.1.053­2005, ст. 3.2.9).

Объект доступа (в информационной системе) — единица ресурса информационной системы, доступ к которой регламентируется правилами разграничения доступа (Р 50.1.056-2005, Приложение А, ст. А.17).

Объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров (ГОСТ Р 51275-99, ст. 2.1).

Объект защиты — информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации (ГОСТ Р 50922-2006, ст. 3.20).

Объект технического контроля — подвергаемая контролю продукция, процессы ее создания, применения, транспортирования, хранения, технического обслуживания и ремонта, а также соответствующая техническая документация (ГОСТ 16504-81, ст.1.84).

Опасность — потенциальный источник возникновения ущерба (ГОСТ Р 51898-2002, ст. 3.5).

ПРИМЕЧАНИЕ:

Термин «опасность» может быть конкретизирован в части определения природы опасности или вида ожидаемого ущерба (например, опасность электрического шока, опасность разрушения, травматическая опасность, токсическая опасность, опасность пожара, опасность утонуть).

Опасная ситуация — обстоятельства, в которых люди, имущество или окружающая среда подвергаются опасности (ГОСТ Р 51898-2002, ст. 3.6).

Оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных (Федеральный закон «Об информации, информационных технологиях и о защите информации», ст.2).

Организационно-технические мероприятия по обеспечению защиты информации — совокупность действий, направленных на применение организационных мер и программно-технических способов защиты информации на объекте информатизации (Р 50.1.056-2005, ст. 3.5.1).

ПРИМЕЧАНИЯ:

1. Организационно-технические мероприятия по обеспечению защиты информации должны осуществляться на всех этапах жизненного цикла объекта информатизации.

2. Организационные меры предусматривают установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации.

Организационный контроль эффективности защиты информации —

проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов в области защиты информации (ГОСТ Р 50992-2006, ст. 29).

Организация защиты информации — содержание и порядок действий по обеспечению защиты информации (ГОСТ Р 50922-2006, ст. 3.15).

Орган по сертификации — юридическое лицо или индивидуальный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации (Федеральный закон «О техническом регулировании», ст. 2).

Основные принципы обеспечения безопасности (Федеральный закон «О безопасности», ст. 2):

1. соблюдение и защита прав и свобод человека и гражданина;

2. законность;

3. системность и комплексность применения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, другими государственными органами, органами местного самоуправления политических, организационных, социально- экономических, информационных, правовых и иных мер обеспечения безопасности;

4. приоритет предупредительных мер в целях обеспечения безопасности;

5. взаимодействие федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов с общественными объединениями, международными организациями и гражданами в целях обеспечения безопасности.

Основными задачами и направлениями работ по формированию и развитию система стандартов по защите информации являются (ГОСТ Р 52069.0-2003, ст. 5.2):

• установление основополагающих принципов построения системы;

• обеспечение единства организационных и методических подходов к организации и обеспечению работ в области защиты информации;

• обеспечение терминологического взаимопонимания в области защиты информации;

• упорядочение системы требований по защите информации, предъявляемых к различным видам объектов защиты информации, и методов

контроля выполнения этих требований;

• установление рациональных требований к технике защиты информации ;

• оптимизация номенклатуры средств защиты информации и средств контроля эффективности защиты информации;

• установление рациональных требований к услугам по защите информации;

• нормативное и техническое обеспечение испытаний, контроля, сертификации и оценки качества объектов защиты информации, средств защиты информации и средств контроля эффективности защиты информации на соответствие требованиям по безопасности информации;

• сокращение затрат на проведение работ в области защиты информации;

• создание и ведение классификаторов в области защиты информации;

• установление требований к метрологическому, информационному и другим видам обеспечения защиты информации.

Остаточный риск — риск, остающийся после его обработки (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.18).

Остаточный риск — риск, остающийся после предпринятых защитных мер (ГОСТ Р 51898-2002, ст. 3.1).

Отказ в обслуживании; несанкционированное блокирование доступа к информации [ресурсам информационной системы] — создание условий, препятствующих доступу к информации [ресурсам информационной системы] субъекту, имеющему право на него.

ПРИМЕЧАНИЯ:

1. Несанкционированное блокирование доступа осуществляется нарушителем безопасности информации, а санкционированное — администратором.

2. Создание условий, препятствующих доступу к информации (ресурсам информационной системы). может быть осуществлено по времени доступа, функциям по обработке информации (видам доступа) и (или) доступным информационным ресурсам (Р 50.1.056-2005, ст. 3.2.10).

Открытый ключ электронной цифровой подписи — уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе (Федеральный закон «Об электронной цифровой подписи», ст. 3).

Отчетность (ресурсов информационной системы) — состояние ресурсов информационной системы, при котором обеспечиваются идентификация и регистрация действий с ними (Р 50.1.056-2005, ст. 3.1.9).

Оценка риска; анализ риска — выявление угроз безопасности информации, уязвимостей информационной системы, оценка вероятностей

реализации угроз с использованием уязвимостей и оценка последствий реализации угроз для информации и информационной системы, используемой для обработки этой информации (Р 50.1.056-2005, ст. 3.5.19).

Оценивание качества продукции — определение значений характеристик продукции с указанием точности и (или) достоверности (ГОСТ 16504-81, ст. 1.83).

Оценивание риска — основанная на результатах анализа риска процедура проверки, устанавливающая, не превышен ли допустимый риск (ГОСТ Р 51898-2002, ст. 3.11).

Оценка риска — общий процесс анализа риска и оценивания риска (ГОСТ Р 51898-2002, ст. 3.12).

Оценка риска — процесс, объединяющий идентификацию риска, анализ риска и оценивание риска (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.9).

П

Передача в пределах объекта оценки — передача данных между разделенными частями объекта оценки (ГОСТ Р ИСО/МЭК 15408-1-2002, ст. 2.3).

Передача за пределы области действия функции безопасности объекта оценки — передача данных сущностям, не контролируемым функциями безопасности объекта оценки (ГОСТ Р ИСО/МЭК 15408-1-2002, ст. 2.3).

Передача между функциями безопасности объекта оценки —

передача данных между функцией безопасности объекта оценки и функциями безопасности других доверенных продуктов информационных технологий (ГОСТ Р ИСО/МЭК 15408-1-2002, ст. 2.3).

Подотчетность — свойство, обеспечивающее однозначное прослеживание действий любого логического объекта (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.1).

Подотчетность (ресурсов автоматизированной информационной системы) — состояние ресурсов автоматизированной информационной системы, при котором обеспечиваются их идентификация и регистрация (Р 50.1.053-2005, ст. 3.1.10).

Подтверждение подлинности электронной цифровой подписи в электронном документе — положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе (Федеральный закон «Об электронной цифровой подписи», ст. 3).

Показатель эффективности защиты информации — мера или характеристика для оценки эффективности защиты информации (ГОСТ Р 50922-2006, ст. 3.13).

Политика безопасности (информации в организации) — одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности (Р 50.1.053-2005, ст. 3.3.2).

Политика безопасности (информации в организации) — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности (Р 50.1.056-2005, ст. 3.5.2).

Политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.12).

Политика безопасности оператора связи — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи (ГОСТ Р 52448-2005, ст.3.15).

Пользователь [потребитель] информации — субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением (ГОСТ Р 50922-2006, Приложение А, ст. 7).

Пользователь сертификата ключа подписи — физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи (Федеральный закон «Об электронной цифровой подписи», ст. 3).

Правила разграничения доступа (в автоматизированной информационной системе) — правила, регламентирующие условия доступа субъектов доступа к объектам доступа в автоматизированной информационной системе (Р 50.1.053-2005, ст. 3.3.7).

Правила разграничения доступа (в информационной системе) — правила, регламентирующие условия доступа субъектов доступа к объектам доступа в информационной системе (Р 50.1.056-2005, ст. 3.5.3.).

Правило доступа к информации; правило доступа — совокупность правил, устанавливающих порядок и условия доступа субъекта к защищаемой информации и ее носителям. (ГОСТ Р 50922-2006, Приложение А.11).

Право доступа к информации; право доступа — совокупность правил доступа к информации, установленных правовыми документами или

собственником, владельцем информации (ГОСТ Р 50922-2006, Приложение А.10).

Предназначенное использование — использование продукции, процесса или услуги в соответствии с информацией, представленной поставщиком (ГОСТ Р 51898-2002, ст. 3.13).

Преднамеренное силовое электромагнитное воздействие на информацию — несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем (ГОСТ Р 50922-2006, ст.2.6.7).

Принцип классификации факторов, воздействующих на защищаемую информацию (ГОСТ Р 51275-99, ст. 4.3): -подкласс; -группа; -подгруппа; -вид; -подвид.

Принципы безопасности (ГОСТ Р ИСО/МЭК 13335-1-2006, ст.3.1). Для создания эффективной программы безопасности информационных и телекоммуникационных технологий фундаментальными являются следующие высокоуровневые принципы безопасности:

менеджмент риска — активы должны быть защищены путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения;

обязательства — важны обязательства организации в области безопасности информационных и телекоммуникационных технологий и в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности информационных и телекоммуникационных технологий;

служебные обязанности и ответственность — руководство организации несет ответственность за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью информационных и телекоммуникационных технологий, должны быть определены и доведены до сведения персонала;

цели, стратегии и политика — управление рисками, связанными с безопасностью информационных и телекоммуникационных технологий, должно осуществляться с учетом целей, стратегий и политики организации.

управление жизненным циклом — управление безопасностью информационных и телекоммуникационных технологий должно быть

непрерывным в течение всего их жизненного цикла.

Принципы подтверждения соответствия (Федеральный закон «О техническом регулировании», ст. 19):

доступность информации о порядке осуществления подтверждения соответствия заинтересованным лицам;

• недопустимость применения обязательного подтверждения соответствия к объектам, в отношении которых не установлены требования технических регламентов;

установление перечня форм и схем обязательного подтверждения соответствия в отношении определенных видов продукции в соответствующем техническом регламенте;

• уменьшение сроков осуществления обязательного подтверждения соответствия и затрат заявителя;

• недопустимость принуждения к осуществлению добровольного подтверждения соответствия, в том числе в определенной системе добровольной сертификации;

защита имущественных интересов заявителей, соблюдения коммерческой тайны в отношении сведений, полученных при осуществлении подтверждения соответствия;

• недопустимость подмены обязательного подтверждения соответствия добровольной сертификацией.

Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации

(Федеральный закон «Об информации, информационных технологиях и о защите информации», ст. 3):

свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

• установление ограничений доступа к информации только федеральными законами;

• открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

• равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

• обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

• достоверность информации и своевременность ее предоставления; неприкосновенность частной жизни, недопустимость сбора,

хранения, использования и распространения информации о частной жизни лица без его согласия;

• недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных

информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Принципы стандартизации (Федеральный закон «О техническом регулировании», ст. 12):

• добровольность применения стандартов;

максимальный учет при разработке стандартов законных интересов заинтересованных лиц;

• применение международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация в соответствии с установленными процедурами выступала против принятия международного стандарта или отдельного его положения;

• недопустимость создания препятствий производству и обращению продукции, выполнению работ и оказанию услуг в большей степени, чем это минимально необходимо для выполнения целей, указанных в статье 11 настоящего Федерального закона;

• недопустимость установления таких стандартов, которые противоречат техническим регламентам;

• обеспечение условий для единообразного применения стандартов.

Принципы технического регулирования (Федеральный закон «О

техническом регулировании», ст. 3):

применение единых правил установления требований к продукции или к связанным с ними процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг;

• соответствие технического регулирования уровню развития национальной экономики, развития материально-технической базы, а также уровню научно-технического развития;

независимость органов по аккредитации, органов по сертификации от изготовителей, продавцов, исполнителей и приобретателей;

• единая система и правил аккредитации;

• единство правил и методов исследований (испытаний) и измерений при проведении процедур обязательной оценки соответствия;

• единство применения требований технических регламентов независимо от видов или особенностей сделок;

• недопустимость ограничения конкуренции при осуществлении аккредитации и сертификации;

недопустимость совмещения полномочий органа государственного контроля (надзора) и органа по сертификации;

• недопустимость совмещения одним органом полномочий на аккредитацию и сертификацию;

• недопустимости внебюджетного финансирования государственного контроля (надзора) за соблюдением требований технических регламентов;

• недопустимость одновременного возложения одних и тех же полномочий на два и более органа государственного контроля (надзора) за соблюдением требований технических регламентов.

Программа испытаний — организационно-методический документ, обязательный к выполнению, устанавливающий объект и цели испытаний, виды, последовательность и объем проводимых экспериментов, порядок, условия, место и сроки проведения испытаний, обеспечение и отчетность по ним, а также ответственность за обеспечение и проведение испытаний (ГОСТ 16504-81, ст. 1.13).

Программное воздействие — несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ (Р 50.1.053-2005, ст. 3.2.16).

Программная закладка — внесенные в программное обеспечение функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций программного обеспечения, позволяющих осуществлять несанкциониро­ванные воздействия на информацию (ГОСТ Р 51275—99, ст. 2.1).

Программная закладка — преднамеренно внесенные в программное обеспечение функциональные объекты, которые при определенных условиях инициируют реализацию недекларированных возможностей программного обеспечения (Р 50.1.053-2005, ст. 3.2.20).

ПРИМЕЧАНИЕ:

Программная закладка может быть реализована в виде вредоносной программы или программного кода (Р 50.1.053-2005, ст. 3.2.20).

Программная закладка — скрытно внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие (Р 50.1.056-2005, ст. 3.2.15).

ПРИМЕЧАНИЕ:

Программная закладка может быть реализована в виде вредоносной программы или программного кода (Р 50.1.056-2005, ст. 3.2.15).

Программный вирус — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойством несанкционированного распространения и самовоспроизведения (репликации). В процессе распространения вирусные субъекты могут себя модифицировать. Некоторые программные вирусы могут изменять, копировать или удалять программы или данные (ГОСТ Р 51275-99, ст. 2.1).

Продукт — совокупность программных, программно-аппаратных и/или аппаратных средств информационной технологии, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы (ГОСТ Р ИСО/МЭК 15408-1-2002, ст. 2.3).

Протокол испытаний — документ, содержащий необходимые

сведения об объекте испытаний, применяемых методах, средствах и условиях испытаний, результаты испытаний, а также заключение по результатам испытаний, оформленный в установленном порядке (ГОСТ 16504-81, ст. 1.24).

Профилактика — систематические действия эксплуатационного персонала, цель которых — выявить и устранить неблагоприятные изменения в свойствах и характеристиках используемых программных средств, в частности проверить эксплуатируемые, хранимые и (или) вновь полученные программные средства на наличие компьютерных вирусов (ГОСТ Р 51188-98, п.3).

Профиль защиты — независимая от реализации совокупность требований безопасности для некоторой категории объектов оценки, отвечающая специфическим запросам потребителя (ГОСТ Р ИСО/МЭК 15408-1-2002, ст. 2.3).

Профиль защиты — совокупность типовых требований по обеспечению безопасности информации, которые должны быть реализованы в защищаемой автоматизированной информационной системе (Р 50.1.053­2005, ст. 3.3.3).

ПРИМЕЧАНИЕ:

Профиль защиты может разрабатываться для автоматизированной информационной системы, средства вычислительной техники, а также их технических и программных средств (Р 50.1.053-2005, ст. 3.3.3).

Р

Ревизия — проверка вновь полученных программ специальными средствами, проводимая путем их запуска в контролируемой среде ГОСТ Р 51188-98, п.3).

Реестр лицензий — совокупность данных о предоставлении лицензий, переоформлении документов, подтверждающих наличие лицензий, приостановлении и возобновлении действия лицензий и об аннулировании лицензий (Федеральный закон «О лицензировании отдельных видов деятельности», ст. 2).

Рекомендации — описание, поясняющее действия и способы их выполнения, необходимые для достижения установленных целей (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.8).

Риск — вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда (Федеральный закон «О техническом регулировании», ст. 2).

Риск — сочетание вероятности нанесения ущерба и тяжести этого ущерба (ГОСТ Р 51898-2002, ст. 3.2).

Риск — потенциальная опасность нанесения ущерба организации в

результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.19).

ПРИМЕЧАНИЕ:

Определяется как сочетание вероятности события и его последствий (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.19).

Риск — сочетание вероятности нанесения ущерба и тяжести этого ущерба (ГОСТ Р 51898-2002, ст. 3.2).

Риск нарушения безопасности сети электросвязи — вероятность причинения ущерба сети электросвязи или ее компонентам вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости в сети электросвязи (ГОСТ Р 52448-2005, ст.3.10).

С

Санкционирование доступа; авторизация — предоставление субъ­екту прав на доступ, а также предоставление доступа в соответствии с уста­новленными правами на доступ (Р 50.1.056-2005, ст. 3.5.10).

Свидетельства (доказательства) аудита информационной безопасности — записи, изложения фактов или другая информация, которые имеют отношение к критериям аудита информационной безопасности и могут быть проверены (Р 50.1.056-2005, Приложение А, ст. А.27).

Секрет — информация, которая должна быть известна только уполномоченным пользователям и/или функция безопасности объекта оценки для осуществления определенной политики функции безопасности (ГОСТ Р ИСО/МЭК 15408-1-2008, ст. 2.38).

Сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи (Федеральный закон «Об электронной цифровой подписи», ст. 3).

Сертификат средств электронной цифровой подписи — документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям (Федеральный закон «Об электронной цифровой подписи», ст. 3).

Сертификация — действия третьей стороны, цель которых — подтвердить (с помощью сертификата соответствия) то, что изделие (в том числе программное средство) или услуга соответствует определенным стандартам или другим нормативным документам (ГОСТ Р 51188-98, п.3).

Сертификационные испытания — контрольные испытания продукции, проводимые с целью установления соответствия характеристик

ее свойств национальным и (или) международным нормативно-техническим документам (ГОСТ 16504-81, ст. 1.52).

Сертифицированные средства криптографической защиты конфиденциальной информации (Приказ ФАПСИ от 13 июня 2001 г. № 152):

• реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая СКЗИ;

• реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;

• реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и «электронной подписи»;

• аппаратные, программные и аппаратно-программные средства, системы и комплексы изготовления и распределения ключевых документов для СКЗИ независимо от вида носителя ключевой информации.

Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно- распорядительными и нормативными документами по защите информации (ГОСТ Р 50922-2006, ст. 3.16).

Система испытаний — совокупность средств испытаний, исполнителей и определенных объектов испытаний, взаимодействующих по правилам, установленным соответствующей нормативной документацией (ГОСТ 16504-81, ст. 1.19).

Система контроля — совокупность средств контроля, исполнителей и определенных объектов контроля, взаимодействующих по правилам, установленным соответствующей нормативной документацией (ГОСТ 16504­81, ст. 2.95).

Система обеспечения безопасности сети связи общего пользования

— совокупность служб безопасности операторов сетей электросвязи сети связи общего пользования и используемых ими механизмов обеспечения безопасности, взаимодействующая с органами управления сетями электросвязи, организация и функционирование которой осуществляется по нормам, правилам и обязательным требованиям, установленным в области связи (ГОСТ Р 52448-2005, ст.3.11).

Система обеспечения национальной безопасности — силы и средства обеспечения национальной безопасности (Указ Президента Российской Федерации от 12 мая 2009 г. № 537, Стратегия..., п.6).

Система сертификации — совокупность правил выполнения работ по

общие технические общие технические общие технические общие технические общие технические

устанавливающих общие требования к

115

устанавливающих

устанавливающих

устанавливающих

устанавливающих

8. координацию деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления в области обеспечения безопасности;

9. финансирование расходов на обеспечение безопасности, контроль за целевым расходованием выделенных средств;

10. международное сотрудничество в целях обеспечения безопасности;

11. осуществление других мероприятий в области обеспечения безопасности в соответствии с законодательством Российской Федерации.

Специальная проверка — проверка объекта информатизации с целью выявления и изъятия возможно внедренных закладочных устройств (Р 50.1.056-2005, ст. 3.5.15).

Специальное исследование (объекта технической защиты информации) — исследования с целью выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте технической защиты информации) требованиям нормативных правовых документов в области безопасности информации (Р 50.1.056-2005, ст. 3.5.16).

Средства имитозащиты — аппаратные, программные и аппаратно- программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации (Постановление Правительства Российской Федерации от 29 декабря 2007 г. № 957).

Средства кодирования — средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций (Постановление Правительства Российской Федерации от 29 декабря 2007 г. № 957).

Средства обеспечения объекта информатизации — технические средства и системы, их коммуникации, не предназначенные для обработки информации, но устанавливаемые вместе со средствами обработки информации на объекте информатизации (ГОСТ Р 51275-99, ст. 2.1).

Средства шифрования — аппаратные, программные и аппаратно- программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее передаче по каналам связи и (или) при ее обработке и хранении (Постановление Правительства Российской Федерации от 29 декабря 2007 г. № 957).

Средства электронной цифровой подписи — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций — создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей (Федеральный закон «Об электронной

цифровой подписи», ст. 3; Постановление Правительства Российской Федерации от 29 декабря 2007 г. № 957).

Средство защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации (ГОСТ Р 50922-2006, ст. 3.25).

Средство защиты информации от несанкционированного воздействия — техническое, программное или программно-техническое средство, предназначенное для предотвращения несанкционированного воздействия на информацию или ресурсы информационной системы (Р 50.1.056-2005, ст. 3.4.4).

Средство защиты информации от несанкционированного доступа

• техническое, программное или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа к информации или ресурсам информационной системы (Р 50.1.056-2005, ст. 3.4.3).

Средство защиты информации от утечки по техническим каналам

• техническое средство, вещество или материал, предназначенные и (или) используемые для защиты информации от утечки по техническим каналам (Р 50.1.056-2005, ст. 3.4.2).

Средство измерений — техническое средство, предназначенное для измерений, имеющее нормированные метрологические характеристики, воспроизводящее и/или хранящее единицу физической величины, размер которой принимают неизменным (в пределах установленной погрешности) в течение известного интервала времени (Р 50.1.056-2005. Приложение А, ст. А.18).

Средство контроля эффективности защиты информации —

техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации (ГОСТ Р 50922-2006, ст. 3.26).

Средство контроля эффективности технической защиты информации — средство измерений, программное средство, вещество и (или) материал, предназначенные и (или) используемые для контроля эффективности технической защиты информации (Р 50.1.056-2005, ст. 3.4.7).

Средство обеспечения технической защиты информации — техническое, программное, программно-техническое средство, используемое и (или) создаваемое для обеспечения технической защиты информации на всех стадиях жизненного цикла защищаемого объекта (Р 50.1.056-2005, ст. 3.4.8).

Стандартизация — деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг (Федеральный закон «О техническом регулировании», ст. 2).

Схема подтверждения соответствия — перечень действий участников подтверждения соответствия, результаты которых

рассматриваются ими в качестве доказательств соответствия продукции и иных объектов установленным требованиям (Федеральный закон «О техническом регулировании», ст. 2).

Субъект — сущность в пределах области действия функции безопасности объекта оценки, которая инициирует выполнение операций (ГОСТ Р ИСО/МЭК 15408-1-2002, ст. 2.3).

Субъект доступа (в автоматизированной информационной системе) — лицо или единица ресурса автоматизированной информационной системы, действия которой по доступу к ресурсам автоматизированной информационной системы регламентируются правилами разграничения доступа (Р 50.1.053-2005, ст. 3.2.8).

Субъект доступа (в информационной системе) — лицо или единица ресурса информационной системы, действия которого по доступу к ресурсам информационной системы регламентируются правилами разграничения доступа (Р 50.1.056-2005, Приложение А, ст. А.16).

Т

Техническая защита информации — обеспечение защиты некриптографическими методами информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию и носители информации в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации (Указ Президента Российской Федерации от 16 августа 2004 г. № 1085).

ПРИМЕЧАНИЕ:

Техническая защита информации при применении информационных технологий осуществляется в процессах сбора, обработки, передачи, хранения, распространения информации с целью обеспечения ее безопасности на объектах информатизации (Р 50.1.053-2005, ст. 3.3.1).

Техническая защита конфиденциальной информации — комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней (Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504).

Технические средства для выявления электронных устройств, предназначенных для негласного получения информации — специальная и контрольно-измерительная аппаратура, а также средства вычислительной техники, позволяющие осуществлять поиск электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (Постановление Правительства Российской

Федерации от 22 октября 2007 г. № 689).

Технический контроль (контроль) — проверка соответствия объекта установленным техническим требованиям (ГОСТ 16504-81, ст. 1.81).

Техническое регулирование — правовое регулирование отношений в области установления, применения и исполнения обязательных требований к продукции или к связанным с ними процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, а также в области установления и применения на добровольной основе требований к продукции, процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг и правовое регулирование отношений в области оценки соответствия (Федеральный закон «О техническом регулировании», ст. 2).

Типовые испытания — контрольные испытания выпускаемой продукции, проводимые с целью оценки эффективности и целесообразности вносимых изменений в конструкцию, рецептуру или технологический процесс (ГОСТ 16504-81, ст. 1.50).

Требование — положение нормативного документа, содержащее критерии, которые должны быть соблюдены (ГОСТ 1.1-2002, ст. 6.1.1).

У

Угроза — потенциальная причина инцидента, который может нанести ущерб системе или организации (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.25).

Угроза (безопасности информации) — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации (Р 50.1.053-2005, ст. 3.2.1).

Угроза безопасности сети электросвязи — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нанесения ущерба сети электросвязи или ее компонентам (ГОСТ Р 52448­2005, ст.3.13).

Угроза (безопасности информации) — совокупность условий и фак­торов, создающих потенциальную или реально существующую опасность нарушения безопасности информации (Р 50.1.056-2005, ст. 3.2.1).

Угроза национальной безопасности — прямая или косвенная возможность нанесения ущерба конституционным правам, свободам, достойному качеству и уровню жизни граждан, суверенитету и территориальной целостности, устойчивому развитию Российской Федерации, обороне и безопасности государства (Указ Президента Российской Федерации от 12 мая 2009 г. № 537, Стратегия..., п.6).

Удостоверение подлинности; нотаризация — регистрация данных защищенной третьей стороной, что в дальнейшем позволяет обеспечить

точность характеристик данных.

ПРИМЕЧАНИЕ:

К характеристикам данных, например, относятся: содержание, происхождение, время и способ доставки (Р 50.1.056-2005, ст. 3.5.13).

Управление риском — действия, осуществляемые для выполнения решений в рамках менеджмента риска.

ПРИМЕЧАНИЕ:

Управление риском может включать в себя мониторинг, переоценивание и действия, направленные на обеспечение соответствия принятым решениям (ГОСТ Р 51897-2002, ст. 3.4.2).

Утечка (информации) по техническому каналу — неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации (Р 50.1.053-2005, ст. 3.2.4).

Ущерб — нанесение физического повреждения или другого вреда здоровью людей, или вреда имуществу или окружающей среде (ГОСТ Р 51898-2002, ст. 3.3).

Уязвимость — слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами (ГОСТ Р ИСО/МЭК 13335-1-2006, ст. 2.9).

Уязвимость (автоматизированной информационной системы) — недостаток или слабое место в автоматизированной информационной системе, которые могут быть условием реализации угрозы безопасности обрабатываемой в ней информации (Р 50.1.053-2005, ст. 3.2.3).

Уязвимость (информационной системы); брешь — свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации (Р 50.1.056-2005, ст. 3.2.3).

ПРИМЕЧАНИЯ:

1. Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.

2. Если уязвимость соответствует угрозе, то существует риск (ИСО 2382-8:1998).

Уязвимость сети электросвязи — недостаток или слабое место в средстве связи, технологическом процессе (протоколе) обработки/передачи информации, мероприятиях и механизмах обеспечения безопасности сети электросвязи, позволяющие нарушителю совершать действия, приводящие к успешной реализации угрозы безопасности (ГОСТ Р 52448-2005, ст.3.14).

Ф

Фактор, воздействующий на защищаемую информацию — явление, действие или процесс, результатом которых могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней (ГОСТ

Р 51275-99, ст. 2.1).

Факторы, воздействующие на защищаемую информацию и подлежащие учету при организации защиты информации, по признаку отношения к природе возникновения делят на классы:

• объективные;

• субъективные.

По отношению к объекту информатизации факторы, воздействующие на защищаемую информацию, подразделяют на внутренние и внешние (ГОСТ Р 51275-99, ст. 4.1, 4.2).

Форма подтверждения соответствия — определенный порядок документального удостоверения соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров (Федеральный закон «О техническом регулировании», ст. 2).

Формуляр документа — набор реквизитов официального письменного документа, расположенных в определенной последовательности (ГОСТ Р 51141-98, п.42).

Формуляр-образец документа — модель построения документа, устанавливающая область применения, форматы, размеры полей, требования к построению конструкционной сетки и основные реквизиты (ГОСТ Р 51141 - 98, п.43).

Х

Характер изменения во времени — атрибуты программного обеспечения, относящиеся к временам отклика и обработки и к скоростям выполнения его функций (ГОСТ 9126-94, приложение А, ст. А.2.4.1).

Характер изменения ресурсов — атрибуты программного обеспечения, относящиеся к объему используемых ресурсов и продолжительности такого использования при выполнении функции (ГОСТ 9126-94, приложение А, ст. А.2.4.2).

Характеристики качества программного обеспечения — набор свойств (атрибутов) программной продукции, по которым се качество описывается и оценивается. Характеристики качества программного обеспечения могут быть уточнены на множестве уровней комплексных показателей (подхарактеристик) (ГОСТ 9126-94, ст.3.13).

Ч

Человек—пользователь — любое лицо, взаимодействующее с объектом оценки (ГОСТ Р ИСО/МЭК 15408-1-2002, ст. 2.3).

Ц

Цели подтверждения соответствия (Федеральный закон «О техническом регулировании», ст. 18):

удостоверение соответствия продукции, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, работ, услуг или иных объектов техническим регламентам, стандартам, сводам правил, условиям договоров;

содействие приобретателям в компетентном выборе продукции, работ, услуг;

• повышение конкурентоспособности продукции, работ, услуг на российском и международном рынках;

• создание условий для обеспечения свободного перемещения товаров по территории Российской Федерации, а также для осуществления международного экономического, научно—технического сотрудничества и международной торговли.

Цели принятия технических регламентов (Федеральный закон «О техническом регулировании», ст. 6):

защита жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества;

охрана окружающей среды, жизни или здоровья животных и растений;

предупреждение действий, вводящих в заблуждение приобретателей.

Цели стандартизации (Федеральный закон «О техническом регулировании», ст. 11):

повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;

обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико—статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);

содействие соблюдению требований технических регламентов;

• создание систем классификации и кодирования технико- экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.

Целостность — обеспечение достоверности и полноты информации и методов ее обработки. (ГОСТ Р ИСО/МЭК 17799-2005, ст. 2.1).

Целостность ресурсов информационной системы — состояние ресурсов информационной системы, при котором их изменение осуществляется только преднамеренно субъектами, имеющими на него право, при этом сохраняются их состав, содержание и организация взаимодействия (Р 50.1.056-2005, ст. 3.1.7).

Цель защиты информации — заранее намеченный результат защиты информации.

ПРИМЕЧАНИЕ:

Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию (ГОСТ Р 50922-2006, ст. 2.4.2).

Э

Экспертиза документа по защите информации — рассмотрение документа по защите информации физическим или юридическим лицом, имеющим право на проведение работ в данной области, с целью подготовить соответствующее экспертное заключение (ГОСТ Р 50922-2006, ст. 2.8.8).

ПРИМЕЧАНИЕ:

Экспертиза документа по защите информации может включать в себя научно-техническую, правовую, метрологическую, патентную и терминологическую экспертизу.

Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (Федеральный закон «Об электронной цифровой подписи», ст. 3).

Электронное сообщение — информация, переданная или полученная пользователем информационно-телекоммуникационной сети (Федеральный закон «Об информации, информационных технологиях и о защите информации», ст.2).

Электронные устройства, предназначенные для негласного получения информации — электронные устройства, скрыто установленные в местах возможного получения информации (Постановление Правительства

Российской Федерации от 22 октября 2007 г. № 689).

Электронный документ — документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах (Федеральный закон «Об информации, информационных технологиях и о защите информации», ст.2).

Электросвязь — любые излучения, передача или прием знаков, сигналов, голосовой информации, письменного текста, изображений, звуков или сообщений любого рода по радиосистеме, проводной, оптической и другим электромагнитным системам (ГОСТ Р 52448-2005, ст.3.17).

Эффективность защиты информации — степень соответствия результатов защиты информации цели защиты информации (ГОСТ Р 50922­2006, ст. 2.9.1).

Список литературы:

1. Конституция Российской Федерации (с поправками от 30 декабря

   2008. г.).

2. Гражданский кодекс Российской Федерации часть первая от 30 ноября 1994 г. № 51-ФЗ, часть вторая от 26 января 1996 г. № 14-ФЗ, часть третья от 26 ноября 2001 г. № 146-ФЗ и часть четвертая от 18 декабря 2006 г. № 230-ФЗ (с изменениями от 26 января, 20 февраля, 12 августа 1996 г., 24 октября 1997 г., 8 июля, 17 декабря 1999 г., 16 апреля, 15 мая, 26 ноября 2001 г., 21 марта, 14, 26 ноября 2002 г., 10 января, 26 марта, 11 ноября, 23 декабря 2003 г., 29 июня, 29 июля, 2, 29, 30 декабря 2004 г., 21 марта, 9 мая, 2, 18, 21 июля 2005 г., 3, 10 января, 2 февраля, 3, 30 июня, 27 июля, 3 ноября, 4, 18, 29, 30 декабря 2006 г., 26 января, 5 февраля, 20 апреля, 26 июня, 19, 24 июля, 2, 25 октября, 4, 29 ноября, 1, 6 декабря 2007 г., 24, 29 апреля, 13 мая, 30 июня, 14, 22, 23 июля, 8 ноября, 25, 30 декабря 2008 г., 9 февраля 2009 г.. 9 апреля,

29. июня, 17 июля, 27 декабря 2009 г., 21, 24 февраля, 8 мая, 27 июля, 4 октября 2010 г.).

    3. Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ (с изменениями от 25 апреля, 25 июля, 30, 31 октября, 31 декабря 2002 г., 30 июня, 4 июля, 11 ноября, 8, 23 декабря 2003 г., 9 мая, 26, 28 июля, 20 августа, 25 октября, 28,

30. декабря 2004 г., 7, 21 марта, 22 апреля, 9 мая, 18 июня, 2, 21, 22 июля, 27 сентября, 5, 19, 26, 27, 31 декабря 2005 г., 5 января, 2 февраля, 3, 16 марта, 15,

29. апреля, 8 мая, 3 июня, 3, 18, 26, 27 июля, 16 октября, 3, 5 ноября, 4, 18, 29,

30. декабря 2006 г., 9 февраля, 29 марта, 9, 20 апреля, 7, 10 мая, 22 июня, 19, 24 июля, 2, 18 октября, 8, 27 ноября, 1, 6 декабря 2007 г., 3 марта, 29 апреля, 13, 16 мая, 14, 22 июля, 8 ноября, 3, 22, 25, 26, 30 декабря 2008 г., 9 февраля, 7 мая, 3, 28, 29 июня, 17, 19, 24 июля, 9, 23, 25, 28 ноября, 21, 27, 28 декабря

    2009. г., 9 марта, 5, 30 апреля, 8, 19, 31 мая, 17 июня, 1, 5, 23, 26, 27, 30 июля, 4 октября, 8 ноября 2010 г.).

          4. Закон Российской Федерации от 9 октября 1992 г. № 3612-I «Основы законодательства Российской Федерации о культуре» (с изменениями от 23 июня 1999 г., 27 декабря 2000 г., 30 декабря 2001 г., 24 декабря 2002 г., 23 декабря 2003 г., 22 августа 2004 г., 31 декабря 2005 г., 3 ноября, 29 декабря 2006 г., 23 июля 2008 г. 21 декабря 2009 г., 8 мая 2010 г.)

          5. Закон Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне» (с изменениями от 6 октября 1997 г., 30 июня, 11 ноября 2003 г., 29 июня, 22 августа 2004 г., 1 декабря 2007 г., 18 июля 2009 г., 15 ноября 2010 г.).

          6. Федеральный закон от 3 апреля 1995 г. № 40-ФЗ «О федеральной службе безопасности» (с изменениями от 30 декабря 1999 г., 7 ноября 2000 г., 30 декабря 2001 г., 7 мая, 25 июля 2002 г., 10 января, 30 июня 2003 г., 22 августа 2004 г., 7 марта 2005 г., 15 апреля, 27 июля 2006 г., 5, 24 июля, 4 декабря 2007 г., 25 декабря 2008 г., 27 июля, 16 октября 2010 г.).

          7. Федеральный закон от 10 января 1996 г. № 5-ФЗ «О внешней

разведке» (с изменениями от 7 ноября 2000 г., 30 июня 2003 г., 22 августа 2004 г., 14 февраля 2007 г.).

4. Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями от 13, 21 марта, 9 декабря 2002 г., 10 января, 27 февраля, 11, 26 марта, 23 декабря 2003 г., 2 ноября 2004 г., 21 марта, 2 июля, 31 декабря 2005 г., 27 июля, 4, 29 декабря 2006 г., 5 февраля, 19 июля, 4, 8 ноября, 1, 6 декабря 2007 г., 4 мая, 14, 22, 23 июля, 22, 30 декабря 2008 г., 18 июля, 25 ноября, 27 декабря 2009 г., 19, 31 мая, 27 июля, 28 сентября, 4 октября, 8 ноября 2010 г.).

5. Федеральный закон от 8 августа 2001 г. № 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" (с изменениями от 23 июня, 8, 23 декабря 2003 г., 2 ноября 2004 г., 2 июля 2005 г., 5 февраля, 19 июля, 1 декабря 2007 г., 30 апреля, 23 июля, 30 декабря 2008 г., 19 июля, 27 декабря 2009 г., 19 мая, 27 июля 2010 г.).

6. Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» (с изменениями от 9 мая 2005 г., 1 мая, 1 декабря 2007 г., 23 июля 2008 г., 18 июля, 23 ноября, 30 декабря 2009 г., 28 сентября 2010 г.).

7. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями от 27 июля 2010 г.).

8. Федеральный закон от 28 декабря 2010 г. № 390-ФЗ «О безопасности».

9. Указ Президента Российской Федерации от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (с изменениями от 25 июля 2000 г.)

10. Указ Президента Российской Федерации от 9 января 1996 г. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» (с изменениями от 30 декабря 2000 г.).

11. Указ Президента Российской Федерации от 11 августа 2003 г. № 960 «Вопросы Федеральной службы безопасности Российской Федерации» (с изменениями от 11 июля 2004 г., 31 августа, 1 декабря 2005 г., 12 июня, 27 июля, 28 декабря 2006 г., 28 ноября, 28 декабря 2007 г., 1 сентября, 23 октября, 17 ноября 2008 г., 22 апреля, 14 мая 2010 г.).

12. Указ Президента Российской Федерации от 9 марта 2004 г. № 314 «О системе и структуре федеральных органов исполнительной власти» (с изменениями от 20 мая 2004 г., 15 марта, 14 ноября, 23 декабря 2005 г., 27 марта 2006 г., 15 февраля, 24 сентября 2007 г., 12 мая, 7 октября, 25 декабря 2008 г., 22 июня 2009 г., 22 июня 2010 г.)

4. Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» (с изменениями от 22 марта, 20 июля 2005 г., 30 ноября 2006 г., 23 октября, 17 ноября 2008 г.).

5. Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» (с изменениями от 23 апреля 1996 г., 29 марта 1999 г., 17 декабря 2004 г., 21 апреля 2010 г.).

6. Постановление Правительства Российской Федерации от 15 июля 2002 г. № 526 «Об утверждении Положения о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность» (с изменениями от 14 июня 2005 г., 26 января 2007 г., 23 апреля 2008 г., 21 апреля, 24 сентября 2010 г.).

7. Постановление Правительства Российской Федерации от 26 января 2006 г. № 45 «Об организации лицензирования отдельных видов деятельности» (с изменениями от 5 мая, 3 сентября, 2 октября 2007 г., 7 апреля, 12, 27 июня, 12 августа, 7 ноября 2008 г., 27 января, 18 мая, 15 июня 2009 г., 10, 11 мая, 20 августа, 2, 13 сентября, 30 октября 2010 г.).

8. Постановление Правительства Российской Федерации от 11 апреля 2006 г. № 208 «Об утверждении формы документа, подтверждающего наличие лицензии» (с изменениями от 9 июня 2007 г.).

9. Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» (с изменениями от 21 апреля, 24 сентября 2010 г.).

10. Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» (с изменениями от 21 апреля, 24 сентября 2010 г.).

11. Постановление Правительства Российской Федерации от 22 октября 2007 г. № 689 «Об утверждении Положения о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» (с изменениями от 21 апреля, 24 сентября 2010 г.).

12. Постановление Правительства Российской Федерации от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» (с изменениями от 21 апреля, 24 сентября 2010 г.).

13. ГОСТ 28147-89 Системы обработки информации. Защита

криптографическая. Алгоритм криптографического преобразования. Государственный стандарт Российской Федерации

4. ГОСТ Р 34.10-2001. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи .

5. ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.

6. Рекомендации по стандартизации Р 50.1.053-2005. Информационная технология. Основные термины и определения в области технической защиты информации.

7. Рекомендации по стандартизации Р 50.1.056-2005. Техническая защита информации. Основные термины и определения.

8. Система сертификации средств криптографической защиты информации № РОСС RU.0001.030001.

9. Приказ Федеральной службы безопасности Российской Федерации от 13 ноября 1999 г. № 563 «О создании систем сертификации ФСБ России"

10. Приказ Федеральной службы безопасности Российской Федерации от 13 ноября 1999 г. № 564 «Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия».

11. Приказ Федеральной службы безопасности Российской Федерации от 1 июля 2002 г. № 395 «Об аккредитации органов по сертификации в системах сертификации Федеральной службы безопасности Российской Федерации и утверждении положений об органах по сертификации».

12. Приказ Федеральной службы безопасности Российской Федерации от 9 февраля 2005 г. № 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)" (с изменениями от 12 апреля 2010 г.)

13. Приказ Федеральной службы безопасности Российской Федерации от 25 декабря 2008 г. № 635 "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по лицензированию деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность" (с изменениями от 12 апреля 2010 г.).

14. Приказ Федеральной службы безопасности Российской Федерации от 16 марта 2009 г. № 104 "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по лицензированию деятельности по предоставлению услуг в области шифрования информации" (с изменениями от 12 апреля 2010 г.).

4. Приказ Федеральной службы безопасности Российской Федерации от 16 марта 2009 г. № 105 "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по лицензированию деятельности по техническому обслуживанию шифровальных (криптографических) средств" (с изменениями от 12 апреля 2010 г.)

5. Приказ Федеральной службы безопасности Российской Федерации от 16 марта 2009 г. № 106 "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по лицензированию деятельности по распространению шифровальных (криптографических) средств" (с изменениями от 12 апреля 2010 г.).

6. Приказ Федеральной службы безопасности Российской Федерации от 1 апреля 2009 г. № 123 "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по лицензированию деятельности по разработке и (или) производству средств защиты конфиденциальной информации" (с изменениями от 12 апреля 2010 г.).

7. Приказ Федеральной службы безопасности Российской Федерации от 24 июня 2009 г. № 286 "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по лицензированию разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем" (с изменениями от 12 апреля 2010 г.).

8. Приказ Федеральной службы безопасности Российской Федерации от 24 июня 2009 г. № 287 «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по лицензированию деятельности по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» (с изменениями от 12 апреля 2010 г.).

9. Приказ Федеральной службы безопасности Российской Федерации от 12 апреля 2010 г. № 173 «О внесении изменений в некоторые нормативные правовые акты ФСБ России».

10. Положение о сертификации средств защиты информации по требованиям безопасности информации (Введено в действие приказом Председателя Гостехкомиссии России от 27 октября 1995 г. № 199).

11. Приказ Федеральной службы по техническому и экспортному контролю от 28 августа 2007 г. № 181 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности

по технической защите конфиденциальной информации» (с изменениями от 23 июня 2009 г., 15 октября 2010 г.).

4. Приказ Федеральной службы по техническому и экспортному контролю от 28 августа 2007 г. № 182 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по разработке и (или) производству средств защиты конфиденциальной информации» (с изменениями от 23 июня 2009 г., 15 октября 2010 г.).

5. Положение по аттестации объектов информатизации по требованиям безопасности информации (Утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации Ю.Яшиным 25 ноября 1994 г.).

6. http: //www.fstec.ru/_razd/_ispo .htm.

7. Толковый словарь русского языка. В 4 тт./Под ред. Ушакова Д. И.1. - М.: ТЕРРА, 1996. Столб. 1518; см. также: Словарь иностранных слов/Под ред. Лехина И.В. и Петрова Ф.Н. - М.: ЮНВЕС, 1995. - С. 375.

8. О.А. Беззубцев, А.Н. Ковалев. О лицензировании и сертификации в области защиты информации. http://www.ekey.ru/.

9. Cнытников А.А. Лицензирование и сертификация в области защиты информации. - М.: Гелиос АРВ, 2003. - 192 с.