Безопасность и надежность. Без компромисов.

Мнение эксперта ИБ

Обсуждение новостей в сфере информационной безопасности

  • Информационная безопасность
  • ИТ-инфраструктура
  • Системы видеонаблюдения
  • Виртуализация
Термин Определение Нормативный документ
Атака сетевая (сетевая атака) Действия с использованием протоколов сетевого взаимодействия, направленные на получение несанкционированного доступа в операционную среду компьютера или на нарушение функционирования аппаратных или программных средств компьютера «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» (утв. ФСТЭК России 18.05.2007)
Аттестация автоматизированной системы в защищенном исполнении Процесс комплексной проверки выполнения заданных функций автоматизированной системы по обработке защищаемой информации на соответствие требованиям стандартов и/или нормативных документов в области защиты информации и оформления документов о ее соответствии выполнению функции по обработке защищаемой информации на конкретном объекте информатизации. ГОСТ Р 53114-2008
Аттестация объекта в защищенном исполнении Официальное подтверждение наличия на объекте защиты необходимых и достаточных условий, обеспечивающих выполнение установленных требований руководящих документов и норм эффективности защиты информации. «Положение о государственном лицензировании деятельности в области защиты информации» Решение Гостехкомиссии России и ФАПСИ от 27 апреля 1994 года № 10 (с дополнениями от 24 июня 1997 года № 60)
Аттестация объектов информатизации Комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия". «Положение по аттестации объектов информатизации по требованиям безопасности информации» Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994г.
Аудит Систематический независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита. Примечания: 1 Внутренние аудиты, называемые аудитами первой стороны, проводит для внутренних целей сама организация или от ее имени другая организация. Результаты внутреннего аудита могут служить основанием для декларации о соответствии. Во многих случаях, особенно на малых предприятиях, аудит должен проводиться специалистами (людьми, не несущими ответственности за проверяемую деятельность). 2 Внешние аудиты включают аудиты, называемые аудитами второй стороны и аудитами третьей стороны. Аудиты второй стороны проводят стороны, заинтересованные в деятельности предприятия, например, потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации. Эти организации проводят сертификацию или регистрацию на соответствие требованиям, например, требованиям ГОСТ Р ИСО 9001 и ГОСТ Р ИСО 14001. 3 Аудит систем менеджмента качества и экологического менеджмента, проводимый одновременно, называют «комплексным аудитом». 4 Если аудит проверяемой организации проводят одновременно несколько организаций, то такой аудит называют «совместным аудитом». ГОСТ Р 53114-2008
Аудит (Аudit) Служба, задачей которой является проверка наличия адекватных мер контроля и сообщение руководству соответствующего уровня о несоответствиях. ГОСТ Р ИСО/ТО 13569-2007
Аудит безопасности (информации) Совокупность действий по независимой проверке и изучению документации автоматизированной информационной системы, а также по испытаниям средств защиты информации, направленная на обеспечение выполнения установленной политики безопасности информации и правил эксплуатации автоматизированной информационной системы, на выявление уязвимостей автоматизированной информационной системы и на выработку рекомендаций по устранению выявленных недостатков в средствах защиты информации, политике безопасности информации и правилах эксплуатации автоматизированной информационной системы. (security audit) Примечание — Аудит безопасности может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией (внешний аудит), а также подразделением или должностным лицом организации (внутренний аудит). Р 50.1.053—2005
Аудит безопасности автоматизированной информационной системы (computer-system аudit) Проверка реализованных в автоматизированной информационной системе процедур обеспечения безопасности с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию. Р 50.1.053—2005