Текст книги "Информационная безопасность. Национальные стандарты Российской Федерации"

1.3. Основы стандартизации в Российской Федерации

В соответствии с Федеральным законом «О стандартизации в Российской Федерации» в России действует Государственная система стандартизации. Законодательную и нормативную базу национальной системы стандартизации составляют:

• Федеральный закон «О стандартизации в Российской Федерации»;

• нормативно-правовые акты Правительства РФ по вопросам стандартизации;

• основополагающие стандарты Национальной системы стандартизации.

Основополагающие вопросы организации и практической деятельности в области стандартизации в Российской Федерации регламентированы в комплексе основополагающих национальных стандартов, правил и рекомендаций:

ГОСТ Р 1.0–2012 «Стандартизация в Российской Федерации. Основные положения (с Изменением № 1)».

ГОСТ Р 1.1–2013 «Стандартизация в Российской Федерации. Технические комитеты по стандартизации. Правила создания и деятельности».

ГОСТ Р 1.2–2016 «Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила разработки, утверждения, обновления, внесения поправок, приостановки действия и отмены».

ГОСТ Р 1.4–2004 «Стандартизация в Российской Федерации. Стандарты организаций. Общие положения».

ГОСТ Р 1.5–2012 «Стандартизация в Российской Федерации. Стандарты национальные. Правила построения, изложения, оформления и обозначения (с Поправкой, с Изменением № 1)».

ГОСТ Р 1.6–2013 «Стандартизация в Российской Федерации. Проекты стандартов. Правила организации и проведения экспертизы».

ГОСТ Р 1.7–2014 «Стандартизация в Российской Федерации. Стандарты национальные. Правила оформления и обозначения при разработке на основе применения международных стандартов (с Изменением № 1)».

ГОСТ Р 1.8–2011 «Стандартизация в Российской Федерации. Стандарты межгосударственные. Правила проведения в Российской Федерации работ по разработке, применению, обновлению и прекращению применения».

ГОСТ Р 1.9–2004 «Стандартизация в Российской Федерации. Знак соответствия национальным стандартам Российской Федерации. Изображение. Порядок применения».

ГОСТ Р 1.10–2004 «Стандартизация в Российской Федерации. Правила стандартизации и рекомендации по стандартизации. Порядок разработки, утверждения, изменения, пересмотра и отмены».

ГОСТ Р 1.12–2004 «Стандартизация в Российской Федерации. Термины и определения».

ГОСТ Р 1.13-2004 «Стандартизация в Российской Федерации. Уведомления о проектах документов в области стандартизации. Общие требования (с Изменением № 1)».

ГОСТ Р 1.14–2017 «Стандартизация в Российской Федерации. Программа разработки национальных стандартов. Требования к структуре, правила формирования, утверждения и контроля за реализацией».

ГОСТ Р 1.15–2017 «Стандартизация в Российской Федерации. Службы стандартизации в организациях. Правила создания и функционирования».

ГОСТ Р 1.16–2011 «Стандартизация в Российской Федерации. Стандарты национальные предварительные. Правила разработки, утверждения, применения и отмены».

ГОСТ Р 1.17–2017 «Стандартизация в Российской Федерации. Эксперт по стандартизации. Общие требования».

ПР 50.1.008–2013 «Организация и проведение работ по международной стандартизации в Российской Федерации».

ПР 50.1.025–2007 «Методика формирования перечня национальных стандартов и/или сводов правил, в результате применения которых на добровольной основе обеспечивается соблюдение требований технического регламента».

ПР 50.1.074–2004 «Подготовка проектов национальных стандартов Российской Федерации и проектов изменений к ним к утверждению, регистрации и опубликованию. Внесение поправок в стандарты и подготовка документов для их отмены».

Р 50.1.004–2011 «Подготовка межгосударственных стандартов для принятия и применения в Российской Федерации в качестве национальных стандартов».

Р 50.1.039–2002 «Разработка, обновление и отмена правил и рекомендаций по стандартизации, метрологии, сертификации, аккредитации и каталогизации».

Р 50.1.057–2006 «Комплектование, хранение, ведение и учет документов Федерального информационного фонда технических регламентов и стандартов и порядок предоставления пользователям информационной продукции и услуг. Основные положения».

Р 50.1.058–2011 «Методика оценки стоимости разработки и экспертизы национальных стандартов Российской Федерации».

Р 50.1.075–2011 «Разработка стандартов на термины и определения».

Представителями государств бывшего СССР 13 марта 1992 г. было подписано Соглашение о проведении согласованной политики в области стандартизации. В нем заложены основы системы межгосударственной стандартизации. На межправительственном уровне был создан Межгосударственный совет по стандартизации, метрологии и сертификации (МГС). В области межгосударственной стандартизации действуют следующие основополагающие документы:

ГОСТ 1.0–2015 «Межгосударственная система стандартизации (МГСС). Основные положения».

ГОСТ 1.1–2002 «Межгосударственная система стандартизации. Термины и определения».

ГОСТ 1.2–2015 «Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены».

ГОСТ 1.3–2014 «Межгосударственная система стандартизации. Стандарты межгосударственные. Правила разработки на основе международных и региональных стандартов».

ГОСТ 1.4–2015 «Межгосударственная система стандартизации. Межгосударственные технические комитеты по стандартизации. Правила создания и деятельности».

ГОСТ 1.5–2001 «Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Общие требования к построению, изложению, оформлению, содержанию и обозначению».

ПМГ 03–93 «Порядок регистрации и подготовки к изданию межгосударственных нормативных документов по стандартизации».

ПМГ 04–94 «Порядок распространения межгосударственных стандартов и нормативной документации Межгосударственного совета по стандартизации, метрологии и сертификации».

Национальный стандарт Российской Федерации ГОСТ Р 1.0–2012 «Стандартизация в Российской Федерации. Основные положения» введен в действие с 01.07.2013 г. взамен ранее принятого стандарта ГОСТ Р 1.0–2004.

Стандарт устанавливает основные положения по организации и проведению в Российской Федерации работ в области стандартизации, цели и принципы стандартизации, требования к документам в области стандартизации, правила их опубликования, распространения и применения, а также задачи международного сотрудничества в области стандартизации.

Стандарт устанавливает следующие принципы осуществления национальной стандартизации в Российской Федерации:

• добровольности применения заинтересованным лицом документов в области стандартизации и обязательности соблюдения указанным лицом требований, содержащихся в этих документах, в случае объявления об их использовании, а также в случае определения обязательности исполнения требований стандартов в рамках контрактных (договорных) обязательств;

• применения в установленном порядке на территории Российской Федерации международных и региональных стандартов, региональных сводов правил, стандартов иностранных государств и сводов правил иностранных государств;

• максимального учета мнения заинтересованных лиц при разработке документов в области стандартизации;

• обеспечения преемственности работ по стандартизации;

• обеспечения условий для единообразного применения документов в области стандартизации;

• открытости (прозрачности) процедур разработки документов в области стандартизации;

• обеспечения доступности документов в области стандартизации и информации о них для заинтересованных лиц;

• однозначности понимания требований, включаемых в документы в области стандартизации;

• соответствия документов в области стандартизации нормативным правовым актам Российской Федерации;

• прогрессивности и оптимальности требований документов в области стандартизации;

• недопустимости разработки национальных стандартов Российской Федерации на объекты и аспекты стандартизации, стандартизованные на межгосударственном уровне;

• недопустимости разработки и применения национальных стандартов Российской Федерации, которые создают излишние препятствия международной торговле;

• унификации процессов разработки, хранения стандартов, а также процессов внесения в них изменений и обеспечения доступа к документам в области стандартизации;

• обеспечения системности и комплексности информационных ресурсов в области стандартизации с использованием информационных технологий;

15 обеспечения актуальности и достоверности информационных ресурсов в области стандартизации.

Раздел 5 стандарта посвящен организации работ по стандартизации и функциям национального органа по стандартизации (Федеральное агентство по техническому регулированию и метрологии – Росстандарт).

В разделах 6 и 7 описаны требования к документам в области стандартизации, порядок их опубликования и распространения.

Стандарт определяет также основные задачи международного сотрудничества в области стандартизации, а именно:

• гармонизация системы стандартизации в Российской Федерации с международными, региональными, прогрессивными национальными системами стандартизации других стран;

• совершенствование фонда документов в области стандартизации, используемых в Российской Федерации;

• гармонизация национальных стандартов Российской Федерации с международными, региональными стандартами и национальными стандартами других стран;

• повышение качества отечественной продукции и ее конкурентоспособности на мировом рынке;

• содействие внедрению инноваций, проведению технологической модернизации и продвижению отечественной продукции на мировой рынок;

• активное привлечение представителей отечественной промышленности к разработке международных и региональных стандартов;

• разработка международных и межгосударственных стандартов на основе национальных стандартов Российской Федерации;

• улучшение нормативного обеспечения торгово-экономического и научно-технического сотрудничества Российской Федерации с другими странами и участие Российской Федерации в международном разделении труда;

• обеспечение защиты национальных интересов Российской Федерации при разработке международных и региональных стандартов;

• обеспечение единства измерений при взаимодействии с другими странами.

Национальный стандарт Российской Федерации ГОСТ Р 1.2–2016 «Стандарты национальные Российской Федерации. Правила разработки, утверждения, обновления, внесения поправок, приостановки действия и отмены» введен в действие с 18.07.2016 г. взамен ГОСТ Р 1.2–2014. Стандарт устанавливает правила разработки и утверждения национальных стандартов Российской Федерации, проведения работ по их обновлению, внесению поправок, а также правила приостановки действия и отмены стандартов.

Разработку национальных стандартов осуществляют на основе программы разработки национальных стандартов в такой последовательности:

• организация разработки стандарта;

• разработка первой редакции проекта стандарта и ее публичное обсуждение;

• доработка проекта стандарта по результатам публичного обсуждения и его редактирование;

• подготовка окончательной редакции с учетом замечаний по результатам редактирования;

• проведение контроля проектов стандартов на соответствие правилам, установленным в ГОСТ Р 1.7 и/или ГОСТ Р 1.5, и требованиям к их оформлению (нормоконтроль);

• проведение экспертизы и подготовка мотивированного предложения об утверждении проекта стандарта в качестве национального стандарта, или об утверждении проекта национального стандарта в качестве предварительного национального стандарта, или об отклонении проекта национального стандарта;

• подготовка к утверждению, утверждение и регистрация стандарта.

В разделе 4 подробно описаны правила разработки и утверждения национальных стандартов в соответствии с указанной выше последовательностью.

Официальное опубликование утвержденного стандарта должно быть осуществлено незамедлительно, не позднее даты его введения в действие.

В разделе 5 описаны правила проведения работ по обновлению национальных стандартов, а в разделе 7 – правила осуществления отмены национальных стандартов.

Национальный стандарт Российской Федерации ГОСТ Р 1.4–2004 «Стандарты организаций. Общие положения» введен в действие с 01.07.2005 г. взамен ГОСТ Р 1.4–93. Он устанавливает объекты стандартизации и общие положения при разработке и применении стандартов организаций.

В соответствии с п. 4.1 данного стандарта стандарты организаций, в том числе коммерческих, общественных, научных организаций, саморегулируемых организаций, объединений юридических лиц, разрабатываются этими организациями в случаях и на условиях, указанных в статье 17 закона «О техническом регулировании».

ВНИМАНИЕ

Статья 17 утратила силу с 1 июля 2016 г. в связи с вступлением в силу соответствующих статей Федерального закона от 29.06.2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». В нем содержится статья 21 «Стандарты организаций и технические условия» в соответствии с которой:

1. Стандарты организаций разрабатываются организациями самостоятельно исходя из необходимости их применения для обеспечения целей, указанных в статье 3 настоящего Федерального закона.

2. Стандарты организаций и технические условия разрабатываются с учетом соответствующих документов национальной системы стандартизации.

3. Технические условия разрабатываются изготовителем и/или исполнителем и применяются в соответствии с условиями, установленными в договорах (контрактах).

4. Порядок разработки, утверждения, учета, изменения, отмены и применения стандартов организаций и технических условий устанавливается организациями самостоятельно с учетом применимых принципов, предусмотренных статьей 4 настоящего Федерального закона.

5. Проект стандарта организации, а также проект технических условий перед их утверждением может представляться в соответствующий технический комитет по стандартизации или проектный технический комитет по стандартизации для проведения экспертизы, по результатам которой технический комитет по стандартизации или проектный технический комитет по стандартизации готовит соответствующее заключение.

Стандарты организации могут разрабатываться на применяемые в данной организации продукцию, процессы и оказываемые в ней услуги, а также на продукцию, создаваемую и поставляемую данной организацией на внутренний и внешний рынок, на работы, выполняемые данной организацией на стороне, и оказываемые ею на стороне услуги в соответствии с заключенными договорами.

Стандарты организации не должны противоречить требованиям технических регламентов, а также национальных стандартов. Порядок разработки, утверждения, учета, изменения и отмены стандартов организаций устанавливается организациями самостоятельно. Стандарты организации утверждает руководитель (заместитель руководителя) организации приказом и/или личной подписью на титульном листе стандарта в установленном в организации порядке. В случае утверждения стандарта организации приказом дату введения стандарта в действие устанавливают в приказе.

При необходимости проект стандарта может быть направлен организацией-разработчиком в специализированные организации для проведения экспертиз. Стандарт организации, разработанный и утвержденный одной организацией, может использоваться другой организацией в своих интересах только по договору с утвердившей его организацией.

Организация, разработавшая и утвердившая стандарт организации на продукцию, поставляемую на внутренний или внешний рынок, может при необходимости готовить предложения о разработке национального стандарта на основе этого стандарта.

Межгосударственный стандарт ГОСТ 1.0–2015 «Межгосударственная система стандартизации (МГСС). Основные положения» введен в действие 01.07.2016 г. взамен ГОСТ 1.0–92. Он устанавливает цели и принципы межгосударственной стандартизации, основные направления работ и объекты межгосударственной стандартизации, организационные основы межгосударственной системы стандартизации, категории документов по межгосударственной стандартизации и правила их применения.

Организацию работ по межгосударственной стандартизации осуществляет Межгосударственный совет по стандартизации, метрологии и сертификации.

Объектами межгосударственной стандартизации в соответствии со стандартом являются:

• общетехнические нормы и требования, в том числе единый технический язык, типоразмерные ряды и типовые конструкции изделий общемашиностроительного применения, совместимые программные и технические средства информационных технологий, справочные данные о свойствах материалов и веществ;

• объекты крупных промышленных и хозяйственных комплексов (транспорт, энергетика, связь и др.);

• объекты крупных межгосударственных социально-экономических и научно-технических программ;

• взаимопоставляемая продукция и услуги.

В зависимости от специфики объекта стандартизации и содержания устанавливаемых к нему требований применяют следующие основные виды межгосударственных стандартов:

• стандарты основополагающие;

• стандарты на продукцию;

• стандарты на услуги;

• стандарты на процессы;

• стандарты на методы контроля (испытаний, измерений, анализа);

• стандарты на термины и определения.

К документам по межгосударственной стандартизации относятся:

• межгосударственные стандарты;

• правила по межгосударственной стандартизации;

• рекомендации по межгосударственной стандартизации;

• межгосударственные классификаторы технико-экономической и социальной информации.

1.4. Основы стандартизации в области защиты информации

В системе стандартов в области защиты информации к основополагающим можно отнести следующие:

1. ГОСТ Р 50739–95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».

2. ГОСТ Р 51188–98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство».

3. Р 50.1.053–2005 «Рекомендации по стандартизации. Информационные технологии. Основные термины и определения в области технической защиты информации».

4. Р 50.1.056–2005 «Рекомендации по стандартизации. Техническая защита информации. Основные термины и определения».

5. ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения».

6. ГОСТ Р 53114–2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения».

7. ГОСТ Р 51275–2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».

8. ГОСТ Р 52069.0–2013 «Защита информации. Система стандартов. Основные положения».

Практически в каждом стандарте дается описание терминов в соответствующей предметной области. Описанию основных общих терминов в области защиты информации посвящен ряд специальных рекомендаций по стандартизации и национальных стандартов. Эти документы относятся к основополагающим в области защиты информации.

Р 50.1.053–2005 «Рекомендации по стандартизации. Информационные технологии. Основные термины и определения в области технической защиты информации».

Р 50.1.056–2005 «Рекомендации по стандартизации. Техническая защита информации. Основные термины и определения».

ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения».

ГОСТ Р 53114–2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения».

Указанные документы устанавливают основные термины и определения понятий в области защиты информации. Приведенные трактовки терминов рекомендуется использовать в правовой, нормативной, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

Следует отметить, что трактовка одних и тех же терминов в разных документах иногда различается. Более того, в нормативно-правовых документах последних лет, в том числе и в Федеральных законах, даются несколько другие трактовки терминов по сравнению с приведенными в ранее принятых стандартах. Кроме того, некоторые различия имеются и в определениях, приведенных в национальных и международных стандартах в области защиты информации. Как указано в ГОСТ Р 50922, приведенные в национальных документах термины можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия. Изменения не должны нарушать объем и содержание понятий, определенных в стандартах.

Описание терминов, описывающих конкретные предметные области, даны в соответствующих разделах данного учебного пособия, где описаны конкретные стандарты. Ниже приведены основные термины с соответствующими определениями, относящиеся к общим проблемам защиты информации.

Атака «отказ в обслуживании» – сетевая атака, приводящая к блокированию информационных процессов в автоматизированной системе.

Атака компьютерная – целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств.

Аутентификация (субъекта доступа) – действия по проверке подлинности субъекта доступа в автоматизированной информационной системе.

Аудит безопасности автоматизированной информационной системы – проверка реализованных в автоматизированной информационной системе процедур обеспечения безопасности с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию.

Аудит информационной безопасности организации – систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению ИБ и установлению степени выполнения в организации критериев ИБ.

Аттестация АС в защищенном исполнении – процесс комплексной проверки выполнения заданных функций АС по обработке защищаемой информации на соответствие требованиям стандартов и/или нормативных документов в области защиты информации и оформления документов о ее соответствии выполнению функции по обработке защищаемой информации на конкретном объекте информатизации.

Аттестация объекта информатизации – деятельность по установлению соответствия комплекса организационно-технических мероприятий по защите объекта информатизации требованиям по безопасности информации.

Безопасность информации [данных] – состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

Безопасность информационной технологии – состояние защищенности информационной технологии, при котором обеспечиваются безопасность информации, для обработки которой она применяется, и информационная безопасность информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы – состояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность ее ресурсов.

Блокирование доступа (к информации) – прекращение или затруднение доступа к информации лиц, имеющих на это право (законных пользователей).

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа к информации и/или воздействия на информацию или ресурсы ИС.

Вредоносная программа – программа, используемая для осуществления несанкционированного доступа к информации и/или воздействия на информацию или ресурсы автоматизированной информационной системы.

Доступность (информации [ресурсов автоматизированной информационной системы]) – состояние информации [ресурсов автоматизированной информационной системы], при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно.

Защита информации (ЗИ) – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Инцидент ИБ – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

В стандарте ГОСТ Р 53114 указаны следующие виды инцидентов:

• утрата услуг, оборудования или устройств;

• системные сбои или перегрузки;

• ошибки пользователей;

• несоблюдение политики или рекомендаций по ИБ;

• нарушение физических мер защиты;

• неконтролируемые изменения систем;

• сбои программного обеспечения и технических средств;

• нарушение правил доступа.

Информационный процесс – процесс создания, сбора, обработки, накопления, хранения, поиска, распространения и использования информации.

Информационная технология – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационная сфера – совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.

Информационная безопасность организации – состояние защищенности интересов организации в условиях угроз в информационной сфере.

Идентификация – действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Конфиденциальность (информации [ресурсов автоматизированной информационной системы]) – состояние информации [ресурсов автоматизированной информационной системы], при котором доступ к ней [к ним] осуществляют только субъекты, имеющие на него право.

Криптографическая защита информации – защита информации с помощью ее криптографического преобразования.

Критически важная система информационной инфраструктуры (КСИИ) – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление или информационное обеспечение критическим объектом или процессом или используется для официального информирования общества и граждан, нарушение или прерывание функционирования которой может привести к чрезвычайной ситуации со значительными негативными последствиями.

Критический объект – объект или процесс, нарушение непрерывности функционирования которого может нанести значительный ущерб.

ПРИМЕЧАНИЕ

В Федеральном законе от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» даны следующие определения:

критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;

объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Критерий обеспечения ИБ организации – показатель, на основании которого оценивается степень достижения цели (целей) ИБ организации.

Меры обеспечения информационной безопасности – совокупность действий, направленных на разработку и/или практическое применение способов и средств обеспечения ИБ.

Мониторинг безопасности информации (при применении информационных технологий) – процедуры регулярного наблюдения за процессом обеспечения безопасности информации при применении информационных технологий.

Недекларированные возможности – функциональные возможности средств вычислительной техники и программного обеспечения, не описанные или не соответствующие описанным в документации, которые могут привести к снижению или нарушению свойств безопасности информации.

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Объект защиты информации – информация или носитель информации или информационный процесс, который необходимо защищать в соответствии с целью ЗИ.

Оценка риска – выявление угроз безопасности информации, уязвимостей информационной системы, оценка вероятностей реализации угроз с использованием уязвимостей и оценка последствий реализации угроз для информации и информационной системы, используемой для обработки этой информации.

Оценка соответствия ИБ организации установленным требованиям – деятельность, связанная с прямым или косвенным определением выполнения или невыполнения в организации установленных требований ИБ.

Оценка соответствия требованиям по ЗИ – прямое или косвенное определение степени соблюдения требований по ЗИ, предъявляемых к объекту ЗИ.

Обеспечение информационной безопасности организации – деятельность, направленная на устранение (нейтрализацию, парирование) внутренних и внешних угроз информационной безопасности организации или на минимизацию ущерба от возможной реализации таких угроз.

Организационные меры обеспечения информационной безопасности – меры обеспечения ИБ, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации.

Политика информационной безопасности (организации) – формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности.

Подотчетность (ресурсов автоматизированной информационной системы) – состояние ресурсов автоматизированной информационной системы, при котором обеспечиваются их идентификация и регистрация.

Подлинность (ресурсов автоматизированной информационной системы) – состояние ресурсов автоматизированной информационной системы, при котором обеспечивается реализация информационной технологии с использованием именно тех ресурсов, к которым субъект, имеющий на это право, обращается.