В национальном стандарте ГОСТ Р 57580.1 используется как терминология, определенная рядом действующих национальных стандартов, так и терминология, определенная непосредственно в ГОСТ Р 57580.1.
К национальным стандартам, терминология которых используется в ГОСТ Р 57580.1, относятся:
– ГОСТ Р 50922 Защита информации. Основные термины и определения;
– ГОСТ 34.003 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения;
– ГОСТ Р 56545 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей;
– ГОСТ Р 56546 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем.
Термины, определенные в ГОСТ Р 57580.1, можно условно разделить на следующие группы:
– термины, связанные с организацией системы защиты информации;
– термины, связанные с аутентификацией;
– термины, связанные с организацией контура безопасности;
– термины, связанные с деятельностью по управлению инцидентами защиты информации;
– термины, связанные с деятельностью по защите информации конфиденциального характера;
– термины, связанные с осуществление физического и логического доступа;
– термины, связанные с виртуализацией.
В группу терминов, связанных с организацией системы защиты информации, входят следующие:
– меры защиты информации;
– техническая мера защиты информации;
– организационная мера защиты информации;
– система защиты информации;
– система организации и управления защитой информации;
– централизованное управление техническими мерами защиты информации.
Взаимосвязи перечисленных терминов, связанных с организацией системы защиты информации, иллюстрирует рисунок 7.
Рассмотрим определения приведенных терминов.
Меры защиты информации — организационные (в том числе управленческие) и технические меры, применяемые для защиты информации и обеспечения доступности АС.
Техническая мера защиты информации — мера защиты информации, реализуемая с помощью применения аппаратных, программных, аппаратно-программных средств и (или) систем.
Организационная мера защиты информации — мера, не являющаяся технической мерой защиты информации, предусматривающая установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации и (или) иных связанных с ним объектов.
Система защиты информации — совокупность мер защиты информации, применение которых направлено на непосредственное обеспечение защиты информации, процессов применения указанных мер защиты информации, ресурсного и организационного обеспечения, необходимого для применения указанных мер защиты информации.
Система организации и управления защитой информации — совокупность мер защиты информации, применение которых направлено на обеспечение полноты и качества защиты информации, предназначенных для планирования, реализации, контроля и совершенствования процессов системы защиты информации.
Централизованное управление техническими мерами защиты информации — управление средствами и системами, реализующими технические меры защиты информации, множественно размещаемыми на АРМ пользователей и эксплуатационного персонала.
Примечание – В составе функций централизованного управления рассматриваются:
- автоматизированные установка и обновление ПО технических мер защиты информации, получаемых из единого (эталонного) источника;
- автоматизированное обновление сигнатурных баз в случае их использования, получаемых из единого (эталонного) источника, с установленной периодичностью;
- автоматизированное установление параметров настроек технических мер защиты информации, получаемых из единого (эталонного) источника;
- контроль целостности ПО технических мер защиты информации, параметров настроек технических мер защиты информации и сигнатурных баз;
- контроль целостности единого (эталонного) источника ПО технических мер защиты информации, параметров настроек технических мер защиты информации и сигнатурных баз;
- централизованный сбор данных регистрации о событиях защиты информации, формируемых техническими мерами защиты информации.
В группу терминов, связанных с аутентификацией, входят следующие:
– аутентификация;
– аутентификационные данные;
– компрометация аутентификационных данных;
– двухсторонняя аутентификация;
– фактор аутентификации;
– однофакторная аутентификация;
– многофакторная аутентификация.
Взаимосвязи перечисленных терминов, связанных с аутентификацией, иллюстрирует рисунок 8.
Рассмотрим определения приведенных терминов. Ряд определений дан с учетом положений международного стандарта ИСО/МЭК 29115:2013 «Информационная технология. Методы и средства обеспечения безопасности. Структура для обеспечения доверия в аутентификации сущности (Information technology — Security techniques — Entity authentication assurance framework)». В разделе «Библиография» ГОСТ Р 57580.1 русскоязычное наименование ИСО/МЭК 29115 приведено не правильное. На этапе типографской верстки стандарта наименование было взято из Указателя Росстандарта, содержание которого не контролируется профильными ТК.
Аутентификация — проверка при осуществлении логического доступа принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
Аутентификационные данные — данные в любой форме и на любом носителе, известные или принадлежащие легальному субъекту доступа — легальному владельцу аутентификационных данных, или данные, которыми обладает легальный субъект доступа, используемые для выполнения процедуры аутентификации при осуществлении логического доступа.
Компрометация аутентификационных данных — событие, связанное с возникновением возможности использования аутентификационных данных субъектом, не являющимся легальным владельцем указанных аутентификационных данных.
Двухсторонняя аутентификация — метод аутентификации объектов и ресурсов доступа, обеспечивающий взаимную проверку принадлежности предъявленных объектом (ресурсом) доступа идентификаторов при их взаимодействии.
Примечание – Адаптировано из ИСО/МЭК 29115:2013 (ISO/IEC 29115:2013).
Фактор аутентификации — блок данных, используемых при аутентификации субъекта или объекта доступа.
Примечания
1 Факторы аутентификации подразделяются на следующие три категории:
- что-то, что субъект или объект доступа знает, например, пароли легальных субъектов доступа, ПИН-коды;
- что-то, чем субъект или объект доступа обладает, например, данные, хранимые на персональных технических устройствах аутентификации: токенах, смарт-картах и иных носителях;
- что-то, что свойственно субъекту или объекту доступа, например, биометрические данные физического лица – легального субъекта доступа.
2 Адаптировано из ИСО/МЭК 29115:2013 (ISO/IEC 29115:2013).
Однофакторная аутентификация — аутентификация, для осуществления которой используется один фактор аутентификации.
Многофакторная аутентификация — аутентификация, для осуществления которой используются два и более различных факторов аутентификации.
В группу терминов, связанных с организацией контура безопасности, входят следующие:
– объект информатизации финансовой организации;
– технологический процесс финансовой организации;
– контур безопасности;
– объект доступа;
– ресурс доступа;
– уровень защиты информации;
– ресурс персональных данных.
Взаимосвязи перечисленных терминов, связанных с организацией контура безопасности, иллюстрирует рисунок 9.
Рассмотрим определения приведенных терминов.
Объект информатизации финансовой организации (объект информатизации) — совокупность объектов и ресурсов доступа, средств и систем обработки информации, в том числе АС, используемых для обеспечения информатизации бизнес-процессов и (или) технологических процессов финансовой организации, используемых для предоставления финансовых услуг.
Примечание – Адаптировано из ГОСТ Р 51275.
Технологический процесс финансовой организации (технологический процесс) — набор взаимосвязанных операций с информацией и (или) объектами информатизации, используемых при функционировании финансовой организации и (или) необходимых для предоставления финансовых услуг.
Контур безопасности — совокупность объектов информатизации, определяемая областью применения настоящего стандарта, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности), для которой финансовой организацией применяется единая политика (режим) защиты информации (единый набор требований к обеспечению защиты информации).
Объект доступа — объект информатизации, представляющий собой аппаратное средство, средство вычислительной техники и (или) сетевое оборудование, в том числе входящие в состав АС финансовой организации.
Примечание – В составе основных типов объектов доступа рекомендуется как минимум рассматривать:
- автоматизированные рабочие места (АРМ) пользователей;
- АРМ эксплуатационного персонала;
- серверное оборудование;
- сетевое оборудование;
- системы хранения данных;
- аппаратные модули безопасности (HSM);
- устройства печати и копирования информации;
- объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы).
Ресурс доступа — объект информатизации, представляющий собой совокупность информации и программного обеспечения (ПО) обработки информации.
Примечание – В составе основных типов ресурсов доступа рекомендуется как минимум рассматривать: - АС;
- базы данных;
- сетевые файловые ресурсы;
- виртуальные машины, предназначенные для размещения серверных компонентов АС;
- виртуальные машины, предназначенные для размещения АРМ пользователей и эксплуатационного персонала;
- ресурсы доступа, относящиеся к сервисам электронной почты;
- ресурсы доступа, относящиеся к WEB-сервисам финансовой организации в сетях Интранет и Интернет.
Уровень защиты информации — определенная совокупность мер защиты информации, входящих в состав системы защиты информации и системы организации и управления защитой информации, применяемых совместно в пределах контура безопасности для реализации политики (режима) защиты информации, соответствующей критичности (важности) защищаемой информации бизнес-процессов и (или) технологических процессов финансовой организации.
Ресурс персональных данных — база данных или иная совокупность персональных данных (ПДн) многих субъектов ПДн, объединенных общими целями обработки, обрабатываемых финансовой организацией с использованием или без использования объектов информатизации, в том числе АС.
В группу терминов, связанных с деятельностью по управлению инцидентами защиты информации, входят следующие:
– инцидент защиты информации;
– событие защиты информации;
– регистрация событий защиты информации;
– управление инцидентами защиты информации;
– группа реагирования на инциденты защиты информации.
Взаимосвязи перечисленных терминов, связанных с деятельностью по управлению инцидентами защиты информации, иллюстрирует рисунок 10.
Рассмотрим определения приведенных терминов.
Инцидент защиты информации — одно или серия связанных нежелательных или неожиданных событий защиты информации, которые могут привести к риску нарушения выполнения бизнес-процессов, технологических процессов финансовой организации и (или) нарушить безопасность информации.
В составе типов инцидентов защиты информации рекомендуется как минимум рассматривать
- несанкционированный доступ к информации;
- нарушение в обеспечении защиты информации, появление уязвимостей защиты информации;
- нарушение требований законодательства РФ, в том числе нормативных актов Банка России, внутренних документов финансовой организации в области обеспечения защиты информации;
- нарушение установленных показателей предоставления финансовых услуг;
- нанесение финансового ущерба финансовой организации, ее клиентам и контрагентам;
- выполнение операций (транзакций), приводящих к финансовым последствиям организации, ее клиентов и контрагентов, осуществление переводов денежных средств по распоряжению лиц, или с использованием искаженной информации, содержащейся в соответствующих распоряжениях.
2 Адаптировано из ГОСТ Р ИСО/МЭК 27001.
Событие защиты информации — идентифицированное возникновение и (или) изменение состояния объектов информатизации финансовой организации, действия работников финансовой организации и (или) иных лиц, указывающие на возможный (потенциальный) инцидент защиты информации.
Примечание – Адаптировано из ГОСТ Р ИСО/МЭК 27001.
Регистрация событий защиты информации (регистрация) — фиксация данных о совершенных субъектами доступа действиях или данных о событиях защиты информации.
Управление инцидентами защиты информации — деятельность по своевременному обнаружению инцидентов защиты информации, адекватному и оперативному реагированию на них, направленная на минимизацию и (или) ликвидацию негативных последствий от инцидентов защиты информации для финансовой организации и (или) ее клиентов, а также на снижение вероятности повторного возникновения инцидентов защиты информации.
Группа реагирования на инциденты защиты информации (ГРИЗИ) — действующая на постоянной основе группа работников финансовой организации и (или) иных лиц, привлекаемых ею, которая выполняет регламентированные в финансовой организации процедуры реагирования на инциденты защиты информации.
В группу терминов, связанных с деятельностью по защите информации конфиденциального характера, входят следующие:
– информация конфиденциального характера;
– утечка информации;
– защита информации от утечки.
Взаимосвязи перечисленных терминов, связанных с деятельностью по защите информации конфиденциального характера, иллюстрирует рисунок 11.
Рассмотрим определения приведенных терминов.
Информация конфиденциального характера — информация, для которой в соответствии с законодательством Российской Федерации, в том числе нормативными актами Банка России, и (или) внутренними документами финансовой организации обеспечивается сохранение свойства конфиденциальности.
Утечка информации — неконтролируемое финансовой организацией распространение информации конфиденциального характера.
Примечание – Адаптировано из ГОСТ Р 53114.
Защита информации от утечки — защита информации, направленная на предотвращение неконтролируемого финансовой организацией распространения информации конфиденциального характера.
Примечание – Адаптировано из ГОСТ Р 50922.
В группу терминов, связанных с осуществление физического и логического доступа, входят следующие:
– физический доступ к объекту доступа;
– логический доступ к ресурсу доступа;
– удаленный доступ работника финансовой организации;
– права логического доступа;
– авторизация;
– субъект доступа;
– легальный субъект доступа;
– идентификация;
– учетная запись;
– техническая учетная запись;
– роль логического доступа;
– роль защиты информации.
Взаимосвязи перечисленных терминов, связанных с осуществление физического и логического доступа, иллюстрирует рисунок 12.
Рассмотрим определения приведенных терминов.
Физический доступ к объекту доступа (физический доступ) — доступ к объекту доступа, включая доступ в помещение, в котором расположен объект доступа, позволяющий осуществить физическое воздействие на него.
Логический доступ к ресурсу доступа (логический доступ) — доступ к ресурсу доступа, в том числе удаленный, реализуемый с использованием вычислительных сетей, позволяющий, в том числе без физического доступа, осуществить доступ к защищаемой информации или выполнить операции по обработке защищаемой информации.
Удаленный доступ работника финансовой организации (удаленный доступ) — логический доступ работников финансовых организаций, реализуемый из-за пределов вычислительных сетей финансовых организаций.
Права логического доступа — набор действий, разрешенных для выполнения субъектом доступа над ресурсом доступа с использованием соответствующей учетной записи.
Авторизация — проверка, подтверждение и предоставление прав логического доступа при осуществлении субъектами доступа логического доступа.
Субъект доступа — работник финансовой организации или иное лицо, осуществляющий физический и(или) логический доступ, или программный сервис, осуществляющий логический доступ.
Примечание – В составе основных типов субъектов доступа в стандарте как минимум рассматриваются следующие:
- пользователи – субъекты доступа, в том числе клиенты финансовой организации, осуществляющие доступ к объектам и (или) ресурсам доступа с целью использования финансовых услуг, предоставляемых информационной инфраструктурой финансовой организации;
- эксплуатационный персонал – субъекты доступа, в том числе представители подрядных организаций, которые решают задачи обеспечения эксплуатации и (или) администрирования объектов и (или) ресурсов доступа, для которых необходимо осуществление логического доступа;
- технический (вспомогательный) персонал – субъекты доступа, в том числе представители подрядных организаций, решающие задачи, связанные с обеспечением эксплуатации объектов доступа, для выполнения которых не требуется осуществление логического доступа;
- программные сервисы – процессы выполнения программ в информационной инфраструктуре, осуществляющие логический доступ к ресурсам доступа.
Легальный субъект доступа — субъект доступа, наделенный финансовой организацией полномочиями на осуществление физического и (или) логического доступа.
Идентификация — присвоение для осуществления логического доступа субъекту (объекту) доступа уникального признака (идентификатора); сравнение при осуществлении логического доступа, предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов.
Учетная запись — логический объект (информация), существующий в пределах одного или нескольких ресурсов доступа и представляющий субъекта доступа в его (их) пределах.
Техническая учетная запись — учетная запись, используемая для осуществления логического доступа программными сервисами.
Роль логического доступа (роль) — заранее определенная совокупность функций и задач субъекта доступа, для выполнения которых необходим определенный набор прав логического доступа.
Роль защиты информации — заранее определенная совокупность функций и задач субъекта доступа, в том числе работника финансовой организации, связанных с применением организационных и (или) технических мер защиты информации.
В группу терминов, связанных с виртуализацией, входят следующие:
– серверные компоненты виртуализации;
– базовый образ виртуальной машины;
– текущий образ виртуальной машины;
– информационный обмен между виртуальными машинами;
– система хранения данных виртуализации;
– защита от вредоносного кода на уровне гипервизора.
Взаимосвязи перечисленных терминов, связанных с виртуализацией, иллюстрирует рисунок 13.
Рассмотрим определения приведенных терминов.
Серверные компоненты виртуализации — совокупность гипервизора, технических средств, необходимых для функционирования гипервизора, технических средств, предназначенных для управления и администрирования гипервизора, ПО, предназначенного для предоставления доступа к виртуальным машинам с АРМ пользователей (например, брокер соединений).
Базовый образ виртуальной машины — образ виртуальной машины, используемый в качестве первоначального образа при запуске (загрузке) виртуальной машины.
Текущий образ виртуальной машины — образ виртуальной машины в определенный (текущий) момент времени ее функционирования.
Информационный обмен между виртуальными машинами — межпроцессорное взаимодействие, а также сетевые информационные потоки между виртуальными машинами, в том числе реализуемые средствами гипервизора и виртуальными вычислительными сетями.
Система хранения данных виртуализации (система хранения данных) — совокупность технических средств, предназначенных для хранения данных, используемых при реализации виртуализации, в том числе образов виртуальных машин и данных, обрабатываемых виртуальными машинами.
Защита от вредоносного кода на уровне гипервизора — способ реализации защиты от вредоносного кода виртуальных машин с использованием программных средств защиты от вредоносного кода, функционирующих как отдельные виртуальные машины на уровне гипервизора, без непосредственной установки агентов на защищаемые виртуальные машины.