ГОСТ Р ИСО/МЭК 27000-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

3 Термины и определения

 

ИСО и МЭК поддерживают терминологические базы, используемые в сфере стандартизации, доступные на следующих сайтах:

- Онлайн-библиотека стандартов ISO: https://www.iso.org/obp;

- IEC Electropedia: https://www.electropedia.org/

3.1 управление доступом (access control): Обеспечение санкционированного доступа к активам в соответствии с бизнес-требованиями и требованиями (3.56) безопасности.

3.2 атака (attack): Попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа к активу или его несанкционированного использования.

3.3 аудит (audit): Систематический, независимый и задокументированный процесс (3.54), предназначенный для получения свидетельств аудита и объективной оценки аудиторами степени соблюдения критериев аудита.

Примечания

1 Аудит может быть внутренним (первой стороны), внешним (второй или третьей стороны) или комбинированным (сочетание двух и более сторон).

2 Внутренний аудит проводится самой организацией или сторонней (внешней) организацией.

3 Термины "свидетельства аудита" и "критерии аудита" определены в ИСО 19011.

 

3.4 область аудита (audit scope): Объем и границы аудита (3.3).

[ИСО 19011:2011, статья 3.14, с изменениями - примечание 1 было удалено]

3.5 аутентификация (authentication): Обеспечение гарантии того, что заявленные характеристики субъекта и объекта являются подлинными <1>.

--------------------------------

<1> Данное определение по смыслу соответствует определению по ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения".

 

3.6 подлинность (authenticity): Свойство, определяющее, что фактический субъект или объект совпадает с заявленным.

3.7 доступность (availability): Свойство, определяющее возможность использования объекта авторизованным субъектом по запросу.

3.8 основной показатель (base measure): Показатель (3.42), определенный в терминах атрибута и метода для его количественного определения.

Примечание - Основной показатель функционально не зависит от других показателей.

 

[ИСО/МЭК/ИИЭР 15939:2017, статья 3.3, с изменениями - примечание 2 было удалено]

3.9 компетентность (competence): Способность применять знания и навыки для достижения намеченных результатов.

3.10 конфиденциальность (confidentiality): Недоступность для неавторизованных лиц, объектов или процессов (3.54).

3.11 соответствие (conformity): Выполнение требования (3.56).

3.12 последствие (consequence): Результат события (3.21), оказывающего влияние на достижение цели (3.49).

Примечания

1 Результатом воздействия события может быть целый ряд последствий.

2 Последствия могут быть определенными или неопределенными и в контексте информационной безопасности, как правило, носят негативный характер.

3 Последствия могут оцениваться качественно или количественно.

4 Первоначальные последствия могут усугубляться из-за эффекта цепной реакции.

 

[Руководство ИСО 73:2009, статья 3.6.1.3, с изменениями - примечание 2 было изменено после "и"]

3.13 постоянное улучшение (continual improvement): Действия по повышению производительности (3.52), осуществляемые по регламенту с определенной периодичностью.

3.14 мера обеспечения информационной безопасности (control): Мера, направленная на изменение риска (3.61).

Примечания

1 К мерам обеспечения информационной безопасности относятся процессы (3.54), политика (3.53), устройства, практические приемы или другие действия, используемые для изменения риска (3.61).

2 Меры обеспечения информационной безопасности не всегда могут приводить к запланированным или предполагаемым изменениям риска.

 

[Руководство ИСО 73:2009, статья 3.8.1.1, с изменениями примечания 2]

3.15 цель применения мер (control objective): Описание того, что должно быть достигнуто в результате применения мер обеспечения информационной безопасности (3.14).

3.16 коррекция (correction): Действие по устранению выявленного несоответствия (3.47).

3.17 корректирующее действие (corrective action): Действие, позволяющее устранить причину несоответствия (3.47) и предотвратить его повторение в будущем.

3.18 производный показатель (derived measure): Показатель (3.42), определяемый как функция от двух или более значений основных показателей (3.8).

[ИСО/МЭК/ИИЭР 15939:2017, статья 3.8, с изменениями - примечание 1 было удалено]

3.19 документированная информация (documented information): Информация, которая должна управляться и поддерживаться организацией (3.50), и носитель, который ее содержит.

Примечания

1 Документированная информация может иметь любой формат, быть записана на любом типе носителя и поступать из любого источника.

2 Документированная информация может относиться:

- к системе менеджмента (3.41), включая связанные с ней процессы (3.54);

- к информации, создаваемой для функционирования организации (3.50) (документация);

- к доказательствам достигнутых результатов (записям).

 

3.20 эффективность (effectiveness): Степень реализации запланированных мероприятий и достижения намеченных результатов.

3.21 событие (event): Возникновение или изменение определенного набора условий.

Примечания

1 Событие может быть единичным или многократным и иметь несколько причин.

2 Событие может быть определенным или неопределенным.

3 Событие может иногда называться "инцидентом" или "происшествием".

 

[Руководство ИСО 73:2009, статья 3.5.1.3, с изменениями - примечание 4 было удалено]

3.22 внешний контекст (external context): Внешняя среда, в которой организация стремится к достижению своих целей (3.49).

Примечание - Внешняя среда может включать в себя следующее:

- внешнюю среду, связанную с культурной, социальной, политической, законодательной, регулирующей, экономической, природной или конкурентной сферой на международном, национальном, региональном или местном уровне;

- ключевые критерии и тенденции, которые могут воздействовать на достижение установленных целей организации (3.50);

- взаимоотношения с внешними заинтересованными сторонами, восприятие ими риска и значимость для организации этих заинтересованных сторон (3.37).

 

[Руководство ИСО 73:2009, статья 3.3.1.1]

3.23 руководство деятельностью по обеспечению информационной безопасности (governance of information security): Система, с помощью которой контролируется и управляется деятельность организации (3.50) в области обеспечения информационной безопасности (3.28).

3.24 руководящий орган (governing body): Лицо или группа лиц, несущих ответственность за производительность (3.52) организации (3.50) и за соблюдение ею применяемых норм.

Примечание - В некоторых юрисдикциях руководящим органом может быть совет директоров.

 

3.25 индикатор (indicator): Показатель (3.42), используемый для расчета или оценки.

3.26 информационная потребность (information need): Знание, необходимое для управления задачами, целями (3.49), рисками и проблемами.

[ИСО/МЭК/ИИЭР 15939:2017, статья 3.12]

3.27 средства обработки информации (information processing facilities): Совокупность автономных устройств сбора, накопления, передачи, обработки и представления информации.

3.28 информационная безопасность (ИБ) (information security): Сохранение конфиденциальности (3.10), целостности (3.36) и доступности (3.7) информации.

Примечание - Этот термин может включать в себя и другие дополнительные свойства, такие как подлинность (3.6), подотчетность, неотказуемость (3.48) и достоверность (3.55).

 

3.29 обеспечение непрерывности информационной безопасности (information security continuity): Процессы (3.54) и процедуры, гарантирующие непрерывность операций по обеспечению информационной безопасности (3.28).

3.30 событие информационной безопасности (information security event): Выявленное состояние системы, услуги или сети, указывающее на возможное нарушение политики (3.53) обеспечения информационной безопасности (3.28) или сбой мер обеспечения информационной безопасности (3.14), или ранее неизвестная ситуация, которая может иметь отношение к вопросам безопасности.

3.31 инцидент информационной безопасности (information security incident): Одно или несколько нежелательных или неожиданных событий информационной безопасности (3.30), которые с высокой степенью вероятности могут привести к компрометации в бизнес-процессах и создают угрозы для информационной безопасности (3.28).

3.32 менеджмент инцидентов информационной безопасности (information security incident management): Совокупность процессов (3.54) обнаружения, информирования, оценки, реагирования, рассмотрения инцидентов информационной безопасности (3.31) и извлечения соответствующего полезного опыта.

3.33 специалист (администратор) системы менеджмента информационной безопасности (СМИБ) (information security management system (ISMS) professional): Лицо, которое устанавливает, внедряет, поддерживает и постоянно совершенствует один или несколько процессов (3.54) системы менеджмента информационной безопасности.

3.34 сообщество по обмену информацией (information sharing community): Группа организаций (3.50), которые согласны обмениваться информацией.

Примечание - В качестве организации может выступать физическое лицо.

 

3.35 информационная система (information system): Набор приложений, услуг, информационно-технических активов или других компонентов для обработки информации.

3.36 целостность (integrity): Свойство сохранения правильности и полноты активов.

3.37 заинтересованная сторона (предпочтительный термин) [interested party (preferred term)]

участник (допустимый термин) [stakeholder (admitted term)]: Лицо или организация (3.50), способные влиять на какое-либо решение или действия.

3.38 внутренний контекст (internal context): Внутренняя среда, в которой организация стремится к достижению своих целей.

Примечание - Внутренняя среда может включать в себя:

- управление, организационную структуру, обязанности и подотчетность;

- политику (3.53), цели (3.49) и стратегии, направленные на их достижение;

- возможности организации с точки зрения ресурсов и знаний (например, капитал, время, люди, процессы (3.54), системы и технологии);

- информационные системы (3.35), информационные потоки и процессы принятия решений (формальные и неформальные);

- взаимоотношения с внутренними заинтересованными сторонами, восприятие ими риска и значимость для организации этих заинтересованных сторон (3.37);

- культуру организации;

- стандарты, руководящие принципы и модели работы, принятые организацией;

- форму и объем договорных отношений.

 

[Руководство ИСО 73:2009, статья 3.3.1.2]

3.39 уровень риска (level of risk): Мера риска (3.61), выраженная в виде сочетания последствий (3.12) и их вероятности (3.40).

[Руководство ИСО 73:2009, статья 3.6.1.8, с изменениями - фраза "или комбинация рисков" исключена из определения]

3.40 вероятность (likelihood): Степень возможности наступления какого-либо события.

[Руководство ИСО 73:2009, статья 3.6.1.1, с изменениями - примечания 1 и 2 были удалены]

3.41 система менеджмента (management system): Набор политик (3.53), целей (3.49) и процессов (3.54), используемых организацией (3.50) для достижения этих целей.

Примечания

1 Система менеджмента может охватывать один или несколько аспектов.

2 К элементам такой системы относятся организационная структура, роли и обязанности, процессы планирования и функционирования.

3 Сфера действия системы менеджмента может охватывать организацию в целом, конкретные выявленные функции или сегменты организации, а также одну (несколько) функций в рамках группы организаций.

 

3.42 показатель (measure): Переменная, которой присваивается какое-либо значение как конкретный результат измерения (3.43).

[ИСО/МЭК/ИИЭР 15939:2017, статья 3.15, с изменениями - примечание 2 было удалено]

3.43 измерения (measurement): Процесс (3.54) определения значения.

3.44 функция измерения (measurement function): Алгоритм или расчет, выполненный для комбинации двух или более основных показателей (3.8).

[ИСО/МЭК/ИИЭР 15939:2017, статья 3.20]

3.45 метод измерения (measurement method): Логическая последовательность описанных в общих чертах операций, используемая для количественной оценки атрибута относительно заданной шкалы.

Примечание - Тип метода измерения зависит от природы операций, используемых для количественной оценки атрибута. Можно выделить два типа:

- субъективный: количественная оценка на основе человеческого суждения;

- объективный: количественная оценка на основе численных методов.

 

[ИСО/МЭК/ИИЭР 15939:2017, статья 3.21, с изменениями - примечание 2 было удалено]

3.46 мониторинг (monitoring): Определение состояния системы, процесса (3.54) или вида деятельности.

Примечание - Для определения состояния может потребоваться проверка, наблюдение или критическое наблюдение.

 

3.47 несоответствие (nonconformity): Несоблюдение требования (3.56).

3.48 неотказуемость (non-repudiation): Способность удостоверять имевшее место событие (3.21) или действие, которые в дальнейшем не могут быть поставлены под сомнение.

3.49 цель (objective): Ожидаемый результат.

Примечания

1 Цель может быть стратегической, тактической или операционной.

2 Цели могут относиться к различным аспектам (например, существуют финансовые, медицинские, экологические цели и цели обеспечения безопасности) и применяться на различных уровнях [стратегическом, организационном, проектном, продуктовом и процесном (3.54)].

3 Цель может быть выражена другим способом, например, как предполагаемый результат, намерение, операционный критерий, задача информационной безопасности или путем использования других слов с аналогичным значением (например, стремление, намерение, плановый показатель).

4 В контексте систем менеджмента информационной безопасности цели информационной безопасности устанавливаются организацией согласно политике информационной безопасности для достижения конкретных результатов.

 

3.50 организация (organization): Лицо или группа лиц, наделенных определенными функциями, областями ответственности, полномочиями и взаимоотношениями для достижения своих целей (3.49).

Примечание - Под "организацией" понимают, помимо прочего, индивидуальных предпринимателей, компании, корпорации, фирмы, партнерства, благотворительные организации, учреждения, любые составные части и сочетания названных объектов вне зависимости от того, зарегистрирована ли организация в качестве юридического лица, является ли она государственной или частной.

 

3.51 аутсорсинг (outsource): Договоренность о том, что внешняя организация (3.50) выполняет часть функции или процесса (3.54) организации.

Примечание - Внешняя организация находится вне сферы охвата системы менеджмента (3.41), однако функция или процесс, переданные на внешний подряд, входят в эту сферу.

 

3.52 производительность (performance): Результат измерений.

Примечания

1 Показатели производительности могут иметь отношение как к количественным, так и к качественным выводам.

2 Производительность может относиться к управлению деятельностью, процессами (3.54), продуктами (включая услуги), системами или организациями (3.50).

 

3.53 политика (policy): Намерения и направления деятельности организации (3.50), официально выраженные ее высшим руководством (3.75).

3.54 процесс (process): Набор взаимосвязанных или взаимодействующих мероприятий, в результате которых исходные ресурсы преобразуются в конечный продукт.

3.55 достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам.

3.56 требование (requirement): Заявленная потребность или ожидание, обычно подразумеваемые или обязательные.

Примечания

1 "Обычно подразумеваемые" означает, что заявленная потребность или ожидание рассматриваются в соответствии со стандартной или общепринятой практикой организации и заинтересованных сторон.

2 Указанным требованием является требование, изложенное, например, в документированной информации.

 

3.57 остаточный риск (residual risk): Риск (3.61), остающийся после обработки риска (3.72).

Примечания

1 Остаточный риск может содержать неопределенный риск.

2 Остаточный риск может также называться "сохраненным риском".

 

3.58 проверка (review): Деятельность, предпринимаемая для анализа пригодности, адекватности, эффективности (3.20) рассматриваемого объекта по отношению к достижению установленных целей (3.49).

[Руководство ИСО 73:2009, статья 3.8.2.2, с изменениями - примечание 1 было удалено]

3.59 объект проверки (review object): Конкретный проверяемый объект.

3.60 цель проверки (review objective): Формулировка, характеризующая, чего следует достичь в результате проверки (3.58).

3.61 риск (risk): Влияние неопределенности на достижение целей (3.49).

Примечания

1 Следствием влияния является отклонение (как в положительную сторону, так и в отрицательную) от ожидаемого результата.

2 Неопределенность представляет собой состояние, в том числе частичное, отсутствия информации о событии, его последствиях или вероятности его наступления.

3 Зачастую риск описывается как потенциальное событие (в соответствии с определением, приведенном в Руководстве ИСО 73:2009, статья 3.5.1.3) и его последствия (в соответствии с определением, приведенным в Руководстве ИСО 73:2009, статья 3.6.1.3) или как их сочетание.

4 Риск обычно описывается сочетанием последствий события (в том числе изменений обстоятельств) и вероятности (в соответствии с определением, приведенном в Руководстве ИСО 73:2009, статья 3.6.1.1) их возникновения.

5 В контексте систем менеджмента информационной безопасности риски в области информационной безопасности могут выражаться в виде влияния неопределенности на цели информационной безопасности.

6 Риск в области информационной безопасности связан с возможностью того, что угрозы будут эксплуатировать уязвимости того или иного информационного актива (группы таких активов) и тем самым причинят вред организации.

 

3.62 принятие риска (risk acceptance): Обоснованное решение о принятии риска (3.61).

Примечания

1 Решение о принятии риска может быть принято без обработки риска (3.72) или в процессе (3.54) обработки риска.

2 Необходимо проводить мониторинг (3.46) и проверки (3.58) принятого риска.

 

[Руководство ИСО 73:2009, статья 3.7.1.6]

3.63 анализ риска (risk analysis): Процесс (3.54) изучения природы и характера риска (3.61) и определения уровня риска (3.39).

Примечания

1 Анализ риска обеспечивает основу для проведения оценивания риска (3.67) и принятия решения об обработке риска (3.72).

2 Анализ риска включает в себя установление значения риска.

 

[Руководство ИСО 73:2009, статья 3.6.1]

3.64 оценка риска (risk assessment): Процесс (3.54), охватывающий идентификацию риска (3.68), анализ риска (3.63) и оценивание риска (3.67).

[Руководство ИСО 73:2009, статья 3.4.1]

3.65 передача информации о риске и консультация (risk communication and consultation): Набор непрерывных и повторяющихся процессов (3.54), которые организация осуществляет для предоставления и получения информации либо для обмена ею, а также для участия в диалоге с заинтересованными сторонами (3.37) по вопросам менеджмента риска (3.61).

Примечания

1 Информация может относиться к наличию, природе, форме, вероятности (3.40), значимости, оценке, приемлемости и обработке риска.

2 Консультация представляет собой двусторонний процесс содержательного обмена информацией между организацией (3.50) и ее заинтересованными сторонами по тому или иному вопросу до принятия решения или определения направления деятельности по соответствующему вопросу. Консультация представляет собой:

- процесс, который влияет на принятие решения посредством авторитета, а не посредством власти;

- предварительный этап принятия решения, а не совместное принятие решения.

 

3.66 критерии риска (risk criteria): Совокупность факторов, по сопоставлению с которыми оценивают значимость риска (3.61).

Примечания

1 Критерии риска основаны на установленных целях организации, на внешнем (3.22) и внутреннем контексте (3.38) ее деятельности.

2 Критерии риска могут быть сформированы на основе требований стандартов, политики (3.53), законодательных и других требований (3.56).

 

[Руководство ИСО 73:2009, статья 3.3.1.3]

3.67 оценивание риска (risk evaluation): Процесс (3.54) сравнения результатов анализа риска (3.63) с критериями риска (3.66) для определения, является ли риск (3.61) и/или его величина приемлемой или допустимой.

Примечание - Оценивание риска может быть использовано при принятии решения об обработке риска (3.72).

 

[Руководство ИСО 73:2009, статья 3.7.1]

3.68 идентификация риска (risk identification): Процесс (3.54) обнаружения, осознания и описания риска (3.61).

Примечания

1 Элементы риска могут включать в себя источники риска, событий (3.21), их причин и возможные последствия (3.12).

2 Идентификация рисков может включать в себя теоретический анализ, анализ хронологических данных, экспертных оценок и потребностей заинтересованных сторон (3.37).

 

[Руководство ИСО 73:2009, статья 3.5.1]

3.69 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией (3.50) в области риска (3.61).

[Руководство ИСО 73:2009, статья 2.1]

3.70 процесс менеджмента риска (risk management process): Систематическое применение политики (3.53), процедур и практических методов в области управления деятельностью по информированию, консультированию, определению контекста и выявлению, анализу, оценке, обработке, мониторингу и проверке рисков (3.61).

Примечание - В ИСО/МЭК 27005 термин "процесс" (3.54) используется для описания управления рисками в целом. Элементы процесса менеджмента риска (3.69) называются "мероприятиями".

 

[Руководство ИСО 73:2009, статья 3.1, с изменениями - добавлено примечание]

3.71 владелец риска (risk owner): Лицо или организация, обладающие ответственностью и полномочиями по менеджменту риска (3.61).

[Руководство ИСО 73:2009, статья 3.5.1.5]

3.72 обработка риска (risk treatment): Процесс (3.54) управления риском (3.61).

Примечания

1 Обработка риска может включать в себя:

- исключение риска путем отказа от начала или продолжения деятельности, являющейся источником риска;

- принятие риска или повышение его уровня для обеспечения определенной возможности;

- устранение источников риска;

- изменение вероятности (3.40);

- изменение последствий (3.12);

- разделение риска с другой стороной или сторонами (путем включения в контракты или финансирования обработки риска);

- обоснованное решение о сохранении риска.

2 Обработка рисков, связанная с негативными последствиями, иногда называется снижением, устранением или предотвращением риска.

3 Обработка риска может создавать новые риски или модифицировать существующие.

 

[Руководство ИСО 73:2009, статья 3.8.1, с изменениями - "решение" было заменено на "выбор" в примечании 1]

3.73 стандарт реализации безопасности (security implementation standard): Документ, определяющий разрешенные способы обеспечения безопасности.

3.74 угроза (threat): Потенциальная причина нежелательного инцидента, который может нанести вред системе или организации (3.50).

3.75 высшее руководство (top management): Лицо или группа лиц, руководящих организацией (3.50) и контролирующих ее на высшем уровне.

Примечания

1 Высшее руководство имеет право делегировать полномочия и предоставлять ресурсы в рамках организации.

2 Если область применения системы менеджмента (3.41) охватывает только часть организации, то высшее руководство относится к тем, кто руководит этой частью организации и контролирует ее.

3 Высшее руководство иногда именуется исполнительным руководством и может включать в себя главных исполнительных директоров, финансовых директоров, директоров по информационным технологиям и аналогичных должностных лиц.

 

3.76 доверенная структура передачи информации (trusted information communication entity): Автономная организация (3.50), поддерживающая обмен информацией в рамках сообщества по обмену информацией (3.34).

3.77 уязвимость (vulnerability): Слабое место актива или меры обеспечения информационной безопасности (3.14), которое может быть использовано одной или несколькими угрозами (3.74).