Терминология, применяемая по ГОСТ Р 57580.1

В национальном стандарте ГОСТ Р 57580.1 используется как терминология, определенная рядом действующих национальных стандартов, так и терминология, определенная непосредственно в ГОСТ Р 57580.1.
К национальным стандартам, терминология которых используется в ГОСТ Р 57580.1, относятся:
– ГОСТ Р 50922 Защита информации. Основные термины и определения;
– ГОСТ 34.003 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения;
– ГОСТ Р 56545 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей;
– ГОСТ Р 56546 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем.
Термины, определенные в ГОСТ Р 57580.1, можно условно разделить на следующие группы:
– термины, связанные с организацией системы защиты информации;
– термины, связанные с аутентификацией;
– термины, связанные с организацией контура безопасности;
– термины, связанные с деятельностью по управлению инцидентами защиты информации;
– термины, связанные с деятельностью по защите информации конфиденциального характера;
– термины, связанные с осуществление физического и логического доступа;
– термины, связанные с виртуализацией.
В группу терминов, связанных с организацией системы защиты информации, входят следующие:
– меры защиты информации;
– техническая мера защиты информации;
– организационная мера защиты информации;
– система защиты информации;
– система организации и управления защитой информации;
– централизованное управление техническими мерами защиты информации.
Взаимосвязи перечисленных терминов, связанных с организацией системы защиты информации, иллюстрирует рисунок 7.

Рассмотрим определения приведенных терминов.
Меры защиты информации — организационные (в том числе управленческие) и технические меры, применяемые для защиты информации и обеспечения доступности АС.
Техническая мера защиты информации — мера защиты информации, реализуемая с помощью применения аппаратных, программных, аппаратно-программных средств и (или) систем.
Организационная мера защиты информации — мера, не являющаяся технической мерой защиты информации, предусматривающая установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации и (или) иных связанных с ним объектов.
Система защиты информации — совокупность мер защиты информации, применение которых направлено на непосредственное обеспечение защиты информации, процессов применения указанных мер защиты информации, ресурсного и организационного обеспечения, необходимого для применения указанных мер защиты информации.
Система организации и управления защитой информации — совокупность мер защиты информации, применение которых направлено на обеспечение полноты и качества защиты информации, предназначенных для планирования, реализации, контроля и совершенствования процессов системы защиты информации.
Централизованное управление техническими мерами защиты информации — управление средствами и системами, реализующими технические меры защиты информации, множественно размещаемыми на АРМ пользователей и эксплуатационного персонала.
Примечание – В составе функций централизованного управления рассматриваются:

  • автоматизированные установка и обновление ПО технических мер защиты информации, получаемых из единого (эталонного) источника;
  • автоматизированное обновление сигнатурных баз в случае их использования, получаемых из единого (эталонного) источника, с установленной периодичностью;
  • автоматизированное установление параметров настроек технических мер защиты информации, получаемых из единого (эталонного) источника;
  • контроль целостности ПО технических мер защиты информации, параметров настроек технических мер защиты информации и сигнатурных баз;
  • контроль целостности единого (эталонного) источника ПО технических мер защиты информации, параметров настроек технических мер защиты информации и сигнатурных баз;
  • централизованный сбор данных регистрации о событиях защиты информации, формируемых техническими мерами защиты информации.
    В группу терминов, связанных с аутентификацией, входят следующие:
    – аутентификация;
    – аутентификационные данные;
    – компрометация аутентификационных данных;
    – двухсторонняя аутентификация;
    – фактор аутентификации;
    – однофакторная аутентификация;
    – многофакторная аутентификация.
    Взаимосвязи перечисленных терминов, связанных с аутентификацией, иллюстрирует рисунок 8.
    Рассмотрим определения приведенных терминов. Ряд определений дан с учетом положений международного стандарта ИСО/МЭК 29115:2013 «Информационная технология. Методы и средства обеспечения безопасности. Структура для обеспечения доверия в аутентификации сущности (Information technology — Security techniques — Entity authentication assurance framework)». В разделе «Библиография» ГОСТ Р 57580.1 русскоязычное наименование ИСО/МЭК 29115 приведено не правильное. На этапе типографской верстки стандарта наименование было взято из Указателя Росстандарта, содержание которого не контролируется профильными ТК.

Аутентификация — проверка при осуществлении логического доступа принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
Аутентификационные данные — данные в любой форме и на любом носителе, известные или принадлежащие легальному субъекту доступа — легальному владельцу аутентификационных данных, или данные, которыми обладает легальный субъект доступа, используемые для выполнения процедуры аутентификации при осуществлении логического доступа.
Компрометация аутентификационных данных — событие, связанное с возникновением возможности использования аутентификационных данных субъектом, не являющимся легальным владельцем указанных аутентификационных данных.
Двухсторонняя аутентификация — метод аутентификации объектов и ресурсов доступа, обеспечивающий взаимную проверку принадлежности предъявленных объектом (ресурсом) доступа идентификаторов при их взаимодействии.
Примечание – Адаптировано из ИСО/МЭК 29115:2013 (ISO/IEC 29115:2013).
Фактор аутентификации — блок данных, используемых при аутентификации субъекта или объекта доступа.
Примечания
1 Факторы аутентификации подразделяются на следующие три категории:

  • что-то, что субъект или объект доступа знает, например, пароли легальных субъектов доступа, ПИН-коды;
  • что-то, чем субъект или объект доступа обладает, например, данные, хранимые на персональных технических устройствах аутентификации: токенах, смарт-картах и иных носителях;
  • что-то, что свойственно субъекту или объекту доступа, например, биометрические данные физического лица – легального субъекта доступа.
    2 Адаптировано из ИСО/МЭК 29115:2013 (ISO/IEC 29115:2013).
    Однофакторная аутентификация — аутентификация, для осуществления которой используется один фактор аутентификации.
    Многофакторная аутентификация — аутентификация, для осуществления которой используются два и более различных факторов аутентификации.
    В группу терминов, связанных с организацией контура безопасности, входят следующие:
    – объект информатизации финансовой организации;
    – технологический процесс финансовой организации;
    – контур безопасности;
    – объект доступа;
    – ресурс доступа;
    – уровень защиты информации;
    – ресурс персональных данных.
    Взаимосвязи перечисленных терминов, связанных с организацией контура безопасности, иллюстрирует рисунок 9.

Рассмотрим определения приведенных терминов.
Объект информатизации финансовой организации (объект информатизации) — совокупность объектов и ресурсов доступа, средств и систем обработки информации, в том числе АС, используемых для обеспечения информатизации бизнес-процессов и (или) технологических процессов финансовой организации, используемых для предоставления финансовых услуг.
Примечание – Адаптировано из ГОСТ Р 51275.
Технологический процесс финансовой организации (технологический процесс) — набор взаимосвязанных операций с информацией и (или) объектами информатизации, используемых при функционировании финансовой организации и (или) необходимых для предоставления финансовых услуг.
Контур безопасности — совокупность объектов информатизации, определяемая областью применения настоящего стандарта, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности), для которой финансовой организацией применяется единая политика (режим) защиты информации (единый набор требований к обеспечению защиты информации).
Объект доступа — объект информатизации, представляющий собой аппаратное средство, средство вычислительной техники и (или) сетевое оборудование, в том числе входящие в состав АС финансовой организации.
Примечание – В составе основных типов объектов доступа рекомендуется как минимум рассматривать:

  • автоматизированные рабочие места (АРМ) пользователей;
  • АРМ эксплуатационного персонала;
  • серверное оборудование;
  • сетевое оборудование;
  • системы хранения данных;
  • аппаратные модули безопасности (HSM);
  • устройства печати и копирования информации;
  • объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы).
    Ресурс доступа — объект информатизации, представляющий собой совокупность информации и программного обеспечения (ПО) обработки информации.
    Примечание – В составе основных типов ресурсов доступа рекомендуется как минимум рассматривать:
  • АС;
  • базы данных;
  • сетевые файловые ресурсы;
  • виртуальные машины, предназначенные для размещения серверных компонентов АС;
  • виртуальные машины, предназначенные для размещения АРМ пользователей и эксплуатационного персонала;
  • ресурсы доступа, относящиеся к сервисам электронной почты;
  • ресурсы доступа, относящиеся к WEB-сервисам финансовой организации в сетях Интранет и Интернет.
    Уровень защиты информации — определенная совокупность мер защиты информации, входящих в состав системы защиты информации и системы организации и управления защитой информации, применяемых совместно в пределах контура безопасности для реализации политики (режима) защиты информации, соответствующей критичности (важности) защищаемой информации бизнес-процессов и (или) технологических процессов финансовой организации.
    Ресурс персональных данных — база данных или иная совокупность персональных данных (ПДн) многих субъектов ПДн, объединенных общими целями обработки, обрабатываемых финансовой организацией с использованием или без использования объектов информатизации, в том числе АС.
    В группу терминов, связанных с деятельностью по управлению инцидентами защиты информации, входят следующие:
    – инцидент защиты информации;
    – событие защиты информации;
    – регистрация событий защиты информации;
    – управление инцидентами защиты информации;
    – группа реагирования на инциденты защиты информации.
    Взаимосвязи перечисленных терминов, связанных с деятельностью по управлению инцидентами защиты информации, иллюстрирует рисунок 10.

Рассмотрим определения приведенных терминов.
Инцидент защиты информации — одно или серия связанных нежелательных или неожиданных событий защиты информации, которые могут привести к риску нарушения выполнения бизнес-процессов, технологических процессов финансовой организации и (или) нарушить безопасность информации.

В составе типов инцидентов защиты информации рекомендуется как минимум рассматривать

  • несанкционированный доступ к информации;
  • нарушение в обеспечении защиты информации, появление уязвимостей защиты информации;
  • нарушение требований законодательства РФ, в том числе нормативных актов Банка России, внутренних документов финансовой организации в области обеспечения защиты информации;
  • нарушение установленных показателей предоставления финансовых услуг;
  • нанесение финансового ущерба финансовой организации, ее клиентам и контрагентам;
  • выполнение операций (транзакций), приводящих к финансовым последствиям организации, ее клиентов и контрагентов, осуществление переводов денежных средств по распоряжению лиц, или с использованием искаженной информации, содержащейся в соответствующих распоряжениях.
    2 Адаптировано из ГОСТ Р ИСО/МЭК 27001.
    Событие защиты информации — идентифицированное возникновение и (или) изменение состояния объектов информатизации финансовой организации, действия работников финансовой организации и (или) иных лиц, указывающие на возможный (потенциальный) инцидент защиты информации.
    Примечание – Адаптировано из ГОСТ Р ИСО/МЭК 27001.
    Регистрация событий защиты информации (регистрация) — фиксация данных о совершенных субъектами доступа действиях или данных о событиях защиты информации.
    Управление инцидентами защиты информации — деятельность по своевременному обнаружению инцидентов защиты информации, адекватному и оперативному реагированию на них, направленная на минимизацию и (или) ликвидацию негативных последствий от инцидентов защиты информации для финансовой организации и (или) ее клиентов, а также на снижение вероятности повторного возникновения инцидентов защиты информации.
    Группа реагирования на инциденты защиты информации (ГРИЗИ) — действующая на постоянной основе группа работников финансовой организации и (или) иных лиц, привлекаемых ею, которая выполняет регламентированные в финансовой организации процедуры реагирования на инциденты защиты информации.
    В группу терминов, связанных с деятельностью по защите информации конфиденциального характера, входят следующие:
    – информация конфиденциального характера;
    – утечка информации;
    – защита информации от утечки.
    Взаимосвязи перечисленных терминов, связанных с деятельностью по защите информации конфиденциального характера, иллюстрирует рисунок 11.

Рассмотрим определения приведенных терминов.
Информация конфиденциального характера — информация, для которой в соответствии с законодательством Российской Федерации, в том числе нормативными актами Банка России, и (или) внутренними документами финансовой организации обеспечивается сохранение свойства конфиденциальности.
Утечка информации — неконтролируемое финансовой организацией распространение информации конфиденциального характера.
Примечание – Адаптировано из ГОСТ Р 53114.
Защита информации от утечки — защита информации, направленная на предотвращение неконтролируемого финансовой организацией распространения информации конфиденциального характера.
Примечание – Адаптировано из ГОСТ Р 50922.
В группу терминов, связанных с осуществление физического и логического доступа, входят следующие:
– физический доступ к объекту доступа;
– логический доступ к ресурсу доступа;
– удаленный доступ работника финансовой организации;
– права логического доступа;
– авторизация;
– субъект доступа;
– легальный субъект доступа;
– идентификация;
– учетная запись;
– техническая учетная запись;
– роль логического доступа;
– роль защиты информации.
Взаимосвязи перечисленных терминов, связанных с осуществление физического и логического доступа, иллюстрирует рисунок 12.

Рассмотрим определения приведенных терминов.
Физический доступ к объекту доступа (физический доступ) — доступ к объекту доступа, включая доступ в помещение, в котором расположен объект доступа, позволяющий осуществить физическое воздействие на него.
Логический доступ к ресурсу доступа (логический доступ) — доступ к ресурсу доступа, в том числе удаленный, реализуемый с использованием вычислительных сетей, позволяющий, в том числе без физического доступа, осуществить доступ к защищаемой информации или выполнить операции по обработке защищаемой информации.
Удаленный доступ работника финансовой организации (удаленный доступ) — логический доступ работников финансовых организаций, реализуемый из-за пределов вычислительных сетей финансовых организаций.
Права логического доступа — набор действий, разрешенных для выполнения субъектом доступа над ресурсом доступа с использованием соответствующей учетной записи.
Авторизация — проверка, подтверждение и предоставление прав логического доступа при осуществлении субъектами доступа логического доступа.
Субъект доступа — работник финансовой организации или иное лицо, осуществляющий физический и(или) логический доступ, или программный сервис, осуществляющий логический доступ.
Примечание – В составе основных типов субъектов доступа в стандарте как минимум рассматриваются следующие:

  • пользователи – субъекты доступа, в том числе клиенты финансовой организации, осуществляющие доступ к объектам и (или) ресурсам доступа с целью использования финансовых услуг, предоставляемых информационной инфраструктурой финансовой организации;
  • эксплуатационный персонал – субъекты доступа, в том числе представители подрядных организаций, которые решают задачи обеспечения эксплуатации и (или) администрирования объектов и (или) ресурсов доступа, для которых необходимо осуществление логического доступа;
  • технический (вспомогательный) персонал – субъекты доступа, в том числе представители подрядных организаций, решающие задачи, связанные с обеспечением эксплуатации объектов доступа, для выполнения которых не требуется осуществление логического доступа;
  • программные сервисы – процессы выполнения программ в информационной инфраструктуре, осуществляющие логический доступ к ресурсам доступа.
    Легальный субъект доступа — субъект доступа, наделенный финансовой организацией полномочиями на осуществление физического и (или) логического доступа.
    Идентификация — присвоение для осуществления логического доступа субъекту (объекту) доступа уникального признака (идентификатора); сравнение при осуществлении логического доступа, предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов.
    Учетная запись — логический объект (информация), существующий в пределах одного или нескольких ресурсов доступа и представляющий субъекта доступа в его (их) пределах.
    Техническая учетная запись — учетная запись, используемая для осуществления логического доступа программными сервисами.
    Роль логического доступа (роль) — заранее определенная совокупность функций и задач субъекта доступа, для выполнения которых необходим определенный набор прав логического доступа.
    Роль защиты информации — заранее определенная совокупность функций и задач субъекта доступа, в том числе работника финансовой организации, связанных с применением организационных и (или) технических мер защиты информации.
    В группу терминов, связанных с виртуализацией, входят следующие:
    – серверные компоненты виртуализации;
    – базовый образ виртуальной машины;
    – текущий образ виртуальной машины;
    – информационный обмен между виртуальными машинами;
    – система хранения данных виртуализации;
    – защита от вредоносного кода на уровне гипервизора.
    Взаимосвязи перечисленных терминов, связанных с виртуализацией, иллюстрирует рисунок 13.

Рассмотрим определения приведенных терминов.
Серверные компоненты виртуализации — совокупность гипервизора, технических средств, необходимых для функционирования гипервизора, технических средств, предназначенных для управления и администрирования гипервизора, ПО, предназначенного для предоставления доступа к виртуальным машинам с АРМ пользователей (например, брокер соединений).
Базовый образ виртуальной машины — образ виртуальной машины, используемый в качестве первоначального образа при запуске (загрузке) виртуальной машины.
Текущий образ виртуальной машины — образ виртуальной машины в определенный (текущий) момент времени ее функционирования.
Информационный обмен между виртуальными машинами — межпроцессорное взаимодействие, а также сетевые информационные потоки между виртуальными машинами, в том числе реализуемые средствами гипервизора и виртуальными вычислительными сетями.
Система хранения данных виртуализации (система хранения данных) — совокупность технических средств, предназначенных для хранения данных, используемых при реализации виртуализации, в том числе образов виртуальных машин и данных, обрабатываемых виртуальными машинами.
Защита от вредоносного кода на уровне гипервизора — способ реализации защиты от вредоносного кода виртуальных машин с использованием программных средств защиты от вредоносного кода, функционирующих как отдельные виртуальные машины на уровне гипервизора, без непосредственной установки агентов на защищаемые виртуальные машины.

Защита клиентских рабочих местЗащита клиентских рабочих мест

Работа конечных пользователей с центром обработки данных (ЦОДом) может строиться несколькими различными способами: работа с виртуальными рабочими станциями, работа на основе терминального доступа, web-доступа или смешано. Во всех этих случаях

Угрозы безопасности Операционной системыУгрозы безопасности Операционной системы

Большинство программ информационной безопасности — это прикладные программы. Для работы им требуется поддержка OC. Среда, в которой работает ОС, называется Trusted Computing Base (TBC). DVB включает в себя полный набор