Терминология, применяемая по ГОСТ Р 57580.1

В национальном стандарте ГОСТ Р 57580.1 используется как терминология, определенная рядом действующих национальных стандартов, так и терминология, определенная непосредственно в ГОСТ Р 57580.1.
К национальным стандартам, терминология которых используется в ГОСТ Р 57580.1, относятся:
– ГОСТ Р 50922 Защита информации. Основные термины и определения;
– ГОСТ 34.003 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения;
– ГОСТ Р 56545 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей;
– ГОСТ Р 56546 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем.
Термины, определенные в ГОСТ Р 57580.1, можно условно разделить на следующие группы:
– термины, связанные с организацией системы защиты информации;
– термины, связанные с аутентификацией;
– термины, связанные с организацией контура безопасности;
– термины, связанные с деятельностью по управлению инцидентами защиты информации;
– термины, связанные с деятельностью по защите информации конфиденциального характера;
– термины, связанные с осуществление физического и логического доступа;
– термины, связанные с виртуализацией.
В группу терминов, связанных с организацией системы защиты информации, входят следующие:
– меры защиты информации;
– техническая мера защиты информации;
– организационная мера защиты информации;
– система защиты информации;
– система организации и управления защитой информации;
– централизованное управление техническими мерами защиты информации.
Взаимосвязи перечисленных терминов, связанных с организацией системы защиты информации, иллюстрирует рисунок 7.

Рассмотрим определения приведенных терминов.
Меры защиты информации — организационные (в том числе управленческие) и технические меры, применяемые для защиты информации и обеспечения доступности АС.
Техническая мера защиты информации — мера защиты информации, реализуемая с помощью применения аппаратных, программных, аппаратно-программных средств и (или) систем.
Организационная мера защиты информации — мера, не являющаяся технической мерой защиты информации, предусматривающая установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации и (или) иных связанных с ним объектов.
Система защиты информации — совокупность мер защиты информации, применение которых направлено на непосредственное обеспечение защиты информации, процессов применения указанных мер защиты информации, ресурсного и организационного обеспечения, необходимого для применения указанных мер защиты информации.
Система организации и управления защитой информации — совокупность мер защиты информации, применение которых направлено на обеспечение полноты и качества защиты информации, предназначенных для планирования, реализации, контроля и совершенствования процессов системы защиты информации.
Централизованное управление техническими мерами защиты информации — управление средствами и системами, реализующими технические меры защиты информации, множественно размещаемыми на АРМ пользователей и эксплуатационного персонала.
Примечание – В составе функций централизованного управления рассматриваются:

  • автоматизированные установка и обновление ПО технических мер защиты информации, получаемых из единого (эталонного) источника;
  • автоматизированное обновление сигнатурных баз в случае их использования, получаемых из единого (эталонного) источника, с установленной периодичностью;
  • автоматизированное установление параметров настроек технических мер защиты информации, получаемых из единого (эталонного) источника;
  • контроль целостности ПО технических мер защиты информации, параметров настроек технических мер защиты информации и сигнатурных баз;
  • контроль целостности единого (эталонного) источника ПО технических мер защиты информации, параметров настроек технических мер защиты информации и сигнатурных баз;
  • централизованный сбор данных регистрации о событиях защиты информации, формируемых техническими мерами защиты информации.
    В группу терминов, связанных с аутентификацией, входят следующие:
    – аутентификация;
    – аутентификационные данные;
    – компрометация аутентификационных данных;
    – двухсторонняя аутентификация;
    – фактор аутентификации;
    – однофакторная аутентификация;
    – многофакторная аутентификация.
    Взаимосвязи перечисленных терминов, связанных с аутентификацией, иллюстрирует рисунок 8.
    Рассмотрим определения приведенных терминов. Ряд определений дан с учетом положений международного стандарта ИСО/МЭК 29115:2013 «Информационная технология. Методы и средства обеспечения безопасности. Структура для обеспечения доверия в аутентификации сущности (Information technology — Security techniques — Entity authentication assurance framework)». В разделе «Библиография» ГОСТ Р 57580.1 русскоязычное наименование ИСО/МЭК 29115 приведено не правильное. На этапе типографской верстки стандарта наименование было взято из Указателя Росстандарта, содержание которого не контролируется профильными ТК.

Аутентификация — проверка при осуществлении логического доступа принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
Аутентификационные данные — данные в любой форме и на любом носителе, известные или принадлежащие легальному субъекту доступа — легальному владельцу аутентификационных данных, или данные, которыми обладает легальный субъект доступа, используемые для выполнения процедуры аутентификации при осуществлении логического доступа.
Компрометация аутентификационных данных — событие, связанное с возникновением возможности использования аутентификационных данных субъектом, не являющимся легальным владельцем указанных аутентификационных данных.
Двухсторонняя аутентификация — метод аутентификации объектов и ресурсов доступа, обеспечивающий взаимную проверку принадлежности предъявленных объектом (ресурсом) доступа идентификаторов при их взаимодействии.
Примечание – Адаптировано из ИСО/МЭК 29115:2013 (ISO/IEC 29115:2013).
Фактор аутентификации — блок данных, используемых при аутентификации субъекта или объекта доступа.
Примечания
1 Факторы аутентификации подразделяются на следующие три категории:

  • что-то, что субъект или объект доступа знает, например, пароли легальных субъектов доступа, ПИН-коды;
  • что-то, чем субъект или объект доступа обладает, например, данные, хранимые на персональных технических устройствах аутентификации: токенах, смарт-картах и иных носителях;
  • что-то, что свойственно субъекту или объекту доступа, например, биометрические данные физического лица – легального субъекта доступа.
    2 Адаптировано из ИСО/МЭК 29115:2013 (ISO/IEC 29115:2013).
    Однофакторная аутентификация — аутентификация, для осуществления которой используется один фактор аутентификации.
    Многофакторная аутентификация — аутентификация, для осуществления которой используются два и более различных факторов аутентификации.
    В группу терминов, связанных с организацией контура безопасности, входят следующие:
    – объект информатизации финансовой организации;
    – технологический процесс финансовой организации;
    – контур безопасности;
    – объект доступа;
    – ресурс доступа;
    – уровень защиты информации;
    – ресурс персональных данных.
    Взаимосвязи перечисленных терминов, связанных с организацией контура безопасности, иллюстрирует рисунок 9.

Рассмотрим определения приведенных терминов.
Объект информатизации финансовой организации (объект информатизации) — совокупность объектов и ресурсов доступа, средств и систем обработки информации, в том числе АС, используемых для обеспечения информатизации бизнес-процессов и (или) технологических процессов финансовой организации, используемых для предоставления финансовых услуг.
Примечание – Адаптировано из ГОСТ Р 51275.
Технологический процесс финансовой организации (технологический процесс) — набор взаимосвязанных операций с информацией и (или) объектами информатизации, используемых при функционировании финансовой организации и (или) необходимых для предоставления финансовых услуг.
Контур безопасности — совокупность объектов информатизации, определяемая областью применения настоящего стандарта, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности), для которой финансовой организацией применяется единая политика (режим) защиты информации (единый набор требований к обеспечению защиты информации).
Объект доступа — объект информатизации, представляющий собой аппаратное средство, средство вычислительной техники и (или) сетевое оборудование, в том числе входящие в состав АС финансовой организации.
Примечание – В составе основных типов объектов доступа рекомендуется как минимум рассматривать:

  • автоматизированные рабочие места (АРМ) пользователей;
  • АРМ эксплуатационного персонала;
  • серверное оборудование;
  • сетевое оборудование;
  • системы хранения данных;
  • аппаратные модули безопасности (HSM);
  • устройства печати и копирования информации;
  • объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы).
    Ресурс доступа — объект информатизации, представляющий собой совокупность информации и программного обеспечения (ПО) обработки информации.
    Примечание – В составе основных типов ресурсов доступа рекомендуется как минимум рассматривать:
  • АС;
  • базы данных;
  • сетевые файловые ресурсы;
  • виртуальные машины, предназначенные для размещения серверных компонентов АС;
  • виртуальные машины, предназначенные для размещения АРМ пользователей и эксплуатационного персонала;
  • ресурсы доступа, относящиеся к сервисам электронной почты;
  • ресурсы доступа, относящиеся к WEB-сервисам финансовой организации в сетях Интранет и Интернет.
    Уровень защиты информации — определенная совокупность мер защиты информации, входящих в состав системы защиты информации и системы организации и управления защитой информации, применяемых совместно в пределах контура безопасности для реализации политики (режима) защиты информации, соответствующей критичности (важности) защищаемой информации бизнес-процессов и (или) технологических процессов финансовой организации.
    Ресурс персональных данных — база данных или иная совокупность персональных данных (ПДн) многих субъектов ПДн, объединенных общими целями обработки, обрабатываемых финансовой организацией с использованием или без использования объектов информатизации, в том числе АС.
    В группу терминов, связанных с деятельностью по управлению инцидентами защиты информации, входят следующие:
    – инцидент защиты информации;
    – событие защиты информации;
    – регистрация событий защиты информации;
    – управление инцидентами защиты информации;
    – группа реагирования на инциденты защиты информации.
    Взаимосвязи перечисленных терминов, связанных с деятельностью по управлению инцидентами защиты информации, иллюстрирует рисунок 10.

Рассмотрим определения приведенных терминов.
Инцидент защиты информации — одно или серия связанных нежелательных или неожиданных событий защиты информации, которые могут привести к риску нарушения выполнения бизнес-процессов, технологических процессов финансовой организации и (или) нарушить безопасность информации.

В составе типов инцидентов защиты информации рекомендуется как минимум рассматривать

  • несанкционированный доступ к информации;
  • нарушение в обеспечении защиты информации, появление уязвимостей защиты информации;
  • нарушение требований законодательства РФ, в том числе нормативных актов Банка России, внутренних документов финансовой организации в области обеспечения защиты информации;
  • нарушение установленных показателей предоставления финансовых услуг;
  • нанесение финансового ущерба финансовой организации, ее клиентам и контрагентам;
  • выполнение операций (транзакций), приводящих к финансовым последствиям организации, ее клиентов и контрагентов, осуществление переводов денежных средств по распоряжению лиц, или с использованием искаженной информации, содержащейся в соответствующих распоряжениях.
    2 Адаптировано из ГОСТ Р ИСО/МЭК 27001.
    Событие защиты информации — идентифицированное возникновение и (или) изменение состояния объектов информатизации финансовой организации, действия работников финансовой организации и (или) иных лиц, указывающие на возможный (потенциальный) инцидент защиты информации.
    Примечание – Адаптировано из ГОСТ Р ИСО/МЭК 27001.
    Регистрация событий защиты информации (регистрация) — фиксация данных о совершенных субъектами доступа действиях или данных о событиях защиты информации.
    Управление инцидентами защиты информации — деятельность по своевременному обнаружению инцидентов защиты информации, адекватному и оперативному реагированию на них, направленная на минимизацию и (или) ликвидацию негативных последствий от инцидентов защиты информации для финансовой организации и (или) ее клиентов, а также на снижение вероятности повторного возникновения инцидентов защиты информации.
    Группа реагирования на инциденты защиты информации (ГРИЗИ) — действующая на постоянной основе группа работников финансовой организации и (или) иных лиц, привлекаемых ею, которая выполняет регламентированные в финансовой организации процедуры реагирования на инциденты защиты информации.
    В группу терминов, связанных с деятельностью по защите информации конфиденциального характера, входят следующие:
    – информация конфиденциального характера;
    – утечка информации;
    – защита информации от утечки.
    Взаимосвязи перечисленных терминов, связанных с деятельностью по защите информации конфиденциального характера, иллюстрирует рисунок 11.

Рассмотрим определения приведенных терминов.
Информация конфиденциального характера — информация, для которой в соответствии с законодательством Российской Федерации, в том числе нормативными актами Банка России, и (или) внутренними документами финансовой организации обеспечивается сохранение свойства конфиденциальности.
Утечка информации — неконтролируемое финансовой организацией распространение информации конфиденциального характера.
Примечание – Адаптировано из ГОСТ Р 53114.
Защита информации от утечки — защита информации, направленная на предотвращение неконтролируемого финансовой организацией распространения информации конфиденциального характера.
Примечание – Адаптировано из ГОСТ Р 50922.
В группу терминов, связанных с осуществление физического и логического доступа, входят следующие:
– физический доступ к объекту доступа;
– логический доступ к ресурсу доступа;
– удаленный доступ работника финансовой организации;
– права логического доступа;
– авторизация;
– субъект доступа;
– легальный субъект доступа;
– идентификация;
– учетная запись;
– техническая учетная запись;
– роль логического доступа;
– роль защиты информации.
Взаимосвязи перечисленных терминов, связанных с осуществление физического и логического доступа, иллюстрирует рисунок 12.

Рассмотрим определения приведенных терминов.
Физический доступ к объекту доступа (физический доступ) — доступ к объекту доступа, включая доступ в помещение, в котором расположен объект доступа, позволяющий осуществить физическое воздействие на него.
Логический доступ к ресурсу доступа (логический доступ) — доступ к ресурсу доступа, в том числе удаленный, реализуемый с использованием вычислительных сетей, позволяющий, в том числе без физического доступа, осуществить доступ к защищаемой информации или выполнить операции по обработке защищаемой информации.
Удаленный доступ работника финансовой организации (удаленный доступ) — логический доступ работников финансовых организаций, реализуемый из-за пределов вычислительных сетей финансовых организаций.
Права логического доступа — набор действий, разрешенных для выполнения субъектом доступа над ресурсом доступа с использованием соответствующей учетной записи.
Авторизация — проверка, подтверждение и предоставление прав логического доступа при осуществлении субъектами доступа логического доступа.
Субъект доступа — работник финансовой организации или иное лицо, осуществляющий физический и(или) логический доступ, или программный сервис, осуществляющий логический доступ.
Примечание – В составе основных типов субъектов доступа в стандарте как минимум рассматриваются следующие:

  • пользователи – субъекты доступа, в том числе клиенты финансовой организации, осуществляющие доступ к объектам и (или) ресурсам доступа с целью использования финансовых услуг, предоставляемых информационной инфраструктурой финансовой организации;
  • эксплуатационный персонал – субъекты доступа, в том числе представители подрядных организаций, которые решают задачи обеспечения эксплуатации и (или) администрирования объектов и (или) ресурсов доступа, для которых необходимо осуществление логического доступа;
  • технический (вспомогательный) персонал – субъекты доступа, в том числе представители подрядных организаций, решающие задачи, связанные с обеспечением эксплуатации объектов доступа, для выполнения которых не требуется осуществление логического доступа;
  • программные сервисы – процессы выполнения программ в информационной инфраструктуре, осуществляющие логический доступ к ресурсам доступа.
    Легальный субъект доступа — субъект доступа, наделенный финансовой организацией полномочиями на осуществление физического и (или) логического доступа.
    Идентификация — присвоение для осуществления логического доступа субъекту (объекту) доступа уникального признака (идентификатора); сравнение при осуществлении логического доступа, предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов.
    Учетная запись — логический объект (информация), существующий в пределах одного или нескольких ресурсов доступа и представляющий субъекта доступа в его (их) пределах.
    Техническая учетная запись — учетная запись, используемая для осуществления логического доступа программными сервисами.
    Роль логического доступа (роль) — заранее определенная совокупность функций и задач субъекта доступа, для выполнения которых необходим определенный набор прав логического доступа.
    Роль защиты информации — заранее определенная совокупность функций и задач субъекта доступа, в том числе работника финансовой организации, связанных с применением организационных и (или) технических мер защиты информации.
    В группу терминов, связанных с виртуализацией, входят следующие:
    – серверные компоненты виртуализации;
    – базовый образ виртуальной машины;
    – текущий образ виртуальной машины;
    – информационный обмен между виртуальными машинами;
    – система хранения данных виртуализации;
    – защита от вредоносного кода на уровне гипервизора.
    Взаимосвязи перечисленных терминов, связанных с виртуализацией, иллюстрирует рисунок 13.

Рассмотрим определения приведенных терминов.
Серверные компоненты виртуализации — совокупность гипервизора, технических средств, необходимых для функционирования гипервизора, технических средств, предназначенных для управления и администрирования гипервизора, ПО, предназначенного для предоставления доступа к виртуальным машинам с АРМ пользователей (например, брокер соединений).
Базовый образ виртуальной машины — образ виртуальной машины, используемый в качестве первоначального образа при запуске (загрузке) виртуальной машины.
Текущий образ виртуальной машины — образ виртуальной машины в определенный (текущий) момент времени ее функционирования.
Информационный обмен между виртуальными машинами — межпроцессорное взаимодействие, а также сетевые информационные потоки между виртуальными машинами, в том числе реализуемые средствами гипервизора и виртуальными вычислительными сетями.
Система хранения данных виртуализации (система хранения данных) — совокупность технических средств, предназначенных для хранения данных, используемых при реализации виртуализации, в том числе образов виртуальных машин и данных, обрабатываемых виртуальными машинами.
Защита от вредоносного кода на уровне гипервизора — способ реализации защиты от вредоносного кода виртуальных машин с использованием программных средств защиты от вредоносного кода, функционирующих как отдельные виртуальные машины на уровне гипервизора, без непосредственной установки агентов на защищаемые виртуальные машины.

Развитие интернет-банкинга

Развитие интернет-банкингаРазвитие интернет-банкинга

Количественные факторы, включая конкурентные затраты, обслуживание клиентов и демографические условия, стимулируют банки к оцениванию используемых технологий и пересмотру своих стратегий в части электронной коммерции и интернет-банкинга. Многие исследователи ожидают быстрого

Информационное общество и кибербезопасностьИнформационное общество и кибербезопасность

Средства информационного обмена постоянно развиваются и совершенствуются, благодаря чему наш мир пронизывают все более тесные взаимосвязи. Информатизация общества берет начало во второй половине XX в., и уже к началу XXI

Проблемы обеспечения ИБ на местах в банковском сектореПроблемы обеспечения ИБ на местах в банковском секторе

Электронные системы, за исключением случаев аутсорсинга, являются неотъемлемой частью инфраструктуры банка, а качество локальной безопасности напрямую влияет на способность злоумышленника атаковать банк. Зачастую банк сам является пользователем систем интернет-банкинга. К