IBBS-1.0-2004 (1027736), страница 10
Текст из файла (страница 10)
Информационная безопасность организации банковской системы Россий"ской Федерации: Состояние защищенности интересов (целей) организации БС РФ в условияхугроз в информационной сфере.Примечания.1. Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры.Приоритетность свойств информационной безопасности определяется значимостью информационныхактивов для интересов (целей) организации.2.
Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.A.1.2. Организация: Юридическое лицо, которое имеет в собственности, хозяйственномведении или оперативном управлении обособленное имущество и отвечает по своим обязательствам этим имуществом, может от своего имени приобретать и осуществлять имущественные и личные неимущественные права, нести обязанности, быть истцом и ответчиком в суде.[ГОСТ Р 40.0022000, статья 3.6]A.1.3.
Банковская система Российской Федерации: Банк России и кредитные организации, а также филиалы и представительства иностранных банков.[Федеральный закон “О банках и банковской деятельности” от 01.12.1990 № 3951 в редакции ФЗ от 03.02.1996 № 17ФЗ, от 31.07.1998 № 151ФЗ, от 05.07.1999 № 126ФЗ, от08.07.1999 № 136ФЗ, от 19.06.2001 № 82ФЗ, от 07.08.2001 № 121ФЗ, от 21.03.2002 № 31ФЗ, сизменениями, внесенными постановлением Конституционного Суда Российской Федерации от23.02.1999 № 4П]A.1.4. Безопасность: Отсутствие недопустимого риска.[ГОСТ Р 518982002 Аспекты безопасности.
Правила включения в стандарты, пункт 3.1]A.1.5. Безопасность Российской Федерации: Состояние защищенности жизненно важных интересов личности, общества и государства.[Закон Российской Федерации “О безопасности”]A.1.6. Безопасность информации: Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы от внутреннихили внешних угроз.[Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения, статья 21]A.1.7. Информационная безопасность Российской Федерации: Состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностьюсбалансированных интересов личности, общества и государства.[Доктрина информационной безопасности Российской Федерации от 09.09.2000]A.1.8.
Информация: Сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.[ГОСТ Р 5127599 Защита информации. Объект информатизации. Факторы, воздействующие на информацию, пункт 2.1]A.1.9. Риск: Сочетание вероятности нанесения ущерба и тяжести этого ущерба.[ГОСТ Р 518982002 Аспекты безопасности. Правила включения в стандарты, пункт 3.2]A.1.10. Допустимый риск: Риск, который в данной ситуации считается приемлемым дляруководства.A.1.11. Вероятность: Мера того, что событие может произойти.Примечание.ГОСТ Р 50799.10 дает математическое определение вероятности: “действительное число в интервале от 0 до 1, относящееся к случайному событию”.
Число может отражать относительную частоту в серии наблюдений или степень уверенности в том, что некоторое событие произойдет. Для высокой степени уверенности вероятность близка к единице.[ГОСТ Р 518972002 Менеджмент риска. Термины и определения, статья 3]A.1.12. Ущерб: Физическое повреждение или другой вред здоровью людей, имуществу(активам) или окружающей среде.26СТО БР ИББС1.02004A.1.13. Управление информационной безопасностью организации банковской сис"темы Российской Федерации: Совокупность целенаправленных действий, осуществляемыхдля достижения заявленных целей организации БС РФ в условиях угроз в информационнойсфере.Примечание.Совокупность действий включает оценку ситуации и состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение иобслуживание защитных мер (средств управления информационной безопасностью).A.1.14.
Оценка соответствия информационной безопасности организации банков"ской системы Российской Федерации установленным требованиям: Любая деятельность,связанная с прямым или косвенным определением того, что выполняются или не выполняютсясоответствующие требования информационной безопасности в организации БС РФ.A.1.15. Аудит информационной безопасности организации банковской системыРоссийской Федерации: Периодический, независимый от объекта аудита и документированный процесс получения свидетельств аудита и объективной их оценки с целью определения степени выполнения в организациях БС РФ установленных требований по обеспечению информационной безопасности.Примечания.1. Внутренние аудиты (“аудиты первой стороной”) проводятся самой организацией или от ее именидля анализа менеджмента или других внутренних целей и могут служить основанием для самодекларацийорганизации о соответствии требованиям по ИБ.2.
Внешние аудиты включают “аудиты второй стороной” и “аудиты третьей стороной”. Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации, например, потребителями или другими лицами от их имени. Аудиты третьей стороной проводятся внешними независимыми организациями.A.1.16. Модель зрелости процессов управления информационной безопасностьюорганизации банковской системы Российской Федерации: Схема для измерения проработанности процессов менеджмента информационной безопасностью организации БС РФ.A.1.17.
Мониторинг информационной безопасности организации банковской сис"темы Российской Федерации: Постоянное наблюдение за объектами, влияющими на обеспечение информационной безопасности в организации БС РФ, сбор, анализ и обобщение результатов наблюдения под заданные цели.Примечания.1. Объектом мониторинга в зависимости от целей могут быть автоматизированная банковская система или ее часть, банковские информационные технологические процессы, информационные банковские услуги и пр.2. Цели мониторинга информационной безопасности определяются службой безопасности организации БС РФ.A.1.18.
Нормативный документ: Документ, устанавливающий правила, общие принципы или характеристики, касающиеся различных видов деятельности или их результатов.Примечания.1. Под документом следует понимать зафиксированную на материальном носителе информацию среквизитами, позволяющими ее идентифицировать.2. Термины, обозначающие различные виды нормативных документов, определяются в дальнейшем исходя из того, что документ и его содержание рассматриваются как единое целое.[ГОСТ 1.12002 Межгосударственная система стандартизации. Термины и определения,статья 4.1]A.1.19. Положение (нормативного документа): Логическая единица содержания нормативного документа, которая имеет форму требования, правила, рекомендации или комментария.[ГОСТ 1.12002 Межгосударственная система стандартизации.
Термины и определения,статья 6.1]A.1.20. Требование: Положение нормативного документа, содержащее критерии, которые должны быть соблюдены.[ГОСТ 1.12002 Межгосударственная система стандартизации. Термины и определения,статья 6.1.1]A.1.21. Правило: Положение нормативного документа, описывающее действие, котороедолжно быть выполнено.[ГОСТ 1.12002 Межгосударственная система стандартизации. Термины и определения,статья 6.1.2]СТО БР ИББС1.0200427A.1.22. Политика информационной безопасности организации: Одно или несколькоправил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности.A.1.23.
Свидетельство аудита: Записи, изложение фактов или другой информации, связанной с критериями аудита, которые могут быть перепроверены.Примечание.Свидетельство аудита может быть качественным или количественным.Связи между понятиями данной группы графически представлены на рисунке А.1. Изображения связей заимствованы из ГОСТ Р ИСО/МЭК 90002001 “Системы менеджмента качества.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
