Термины и определения по защите информации

Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая инфор­мационную технологию выполнения установленных функций.

Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, тех­нических средств и информационных технологий обеспечить конфиденци­альность, целостность и доступность персональных данных при их обработ­ке в информационных системах персональных данных.

Биометрические персональные данные - сведения, которые ха­рактеризуют физиологические особенности человека, и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную ин­формацию.

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, пер­сональных данных, в том числе их передачи.

Вредоносная программа - программа, предназначенная для осуще­ствления несанкционированного доступа и (или) воздействия на персо­нальные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хране­ния персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.

Защищаемая информация - информация, являющаяся предметом собст­венности и подлежащая защите в соответствии с требованиями правовых доку­ментов или требованиями, устанавливаемыми собственником информации.

Идентификация - присвоение субъектам и объектам доступа идентифи­катора и (или) сравнение предъявляемого идентификатора с перечнем присво­енных идентификаторов.

Идентификация ИСПДн - выделение в информационно- телекоммуникационной инфраструктуре учреждения областей (отдельных рабочих станций, узлов и сегментов сети), в которых осуществляется об­работка персональных данных, определение границ контролируемых зон для выделенных областей, присвоение наименований отдельным инфор­мационным системам персональных данных в составе информационно- телекоммуникационной инфраструктуры учреждения.

Информативный сигнал - электрический сигнал, акустические, элек­тромагнитные и другие физические поля, по параметрам которых может быть рас­крыта конфиденциальная информация (персональные данные), обрабатываемая в информационной системе персональных данных.

Информационная система персональных данных - информаци­онная система, представляющая собой совокупность персональных дан­ных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персо­нальных данных с использованием средств автоматизации или без исполь­зования таких средств.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия ре­шений или совершения иных действий, порождающих юридические по­следствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональ­ных данных или других лиц.

Источник угрозы безопасности информации - субъект доступа, матери­альный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Классификация информационной системы персональных дан­ных - присвоение каждой идентифицированной информационной системе персональных данных класса (К1, К2, К3, К4), соответствующего ее инди­видуальным признакам, с составлением акта классификации каждой ин­формационной системы персональных данных.

Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных - обязательное для со­блюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта пер­сональных данных или наличия иного законного основания.

Межсетевой экран - локальное (однокомпонентное) или функциональ­но-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную сис­тему персональных данных и (или) выходящей из информационной системы.

Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.

Модель угроз - документ, содержащий перечень возможных угроз безопасности персональных данных при их обработке в информационных системах персональных данных и характеризующий наступление различ­ных видов последствий в результате несанкционированного или случайно­го доступа и реализации угроз безопасности персональных данных.

Нарушитель безопасности персональных данных - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых явля­ется нарушение безопасности персональных данных при их обработке техниче­скими средствами в информационных системах персональных данных.

Неавтоматизированная обработка персональных данных - обра­ботка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осу­ществленной без использования средств автоматизации (неавтоматизиро­ванной), если такие действия с персональными данными, как использова­ние, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Недекларированные возможности - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нару­шение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила раз­граничения доступа с использованием штатных средств, предоставляемых ин­формационными системами персональных данных.

Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количест­венных характеристик физических величин.

Обезличивание персональных данных - действия, в результате ко­торых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных - действия (операции) с персональ­ными данными, включая сбор, систематизацию, накопление, хранение, уточне­ние (обновление, изменение), использование, распространение (в том числе пе­редачу), обезличивание, блокирование, уничтожение персональных данных.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с феде­ральными законами не распространяется требование соблюдения конфи­денциальности.

Оператор (персональных данных) - государственный орган, муни­ципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные - любая информация, относящаяся к опреде­ленному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, от­чество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая ин­формация.

Побочные электромагнитные излучения и наводки - электромаг­нитные излучения технических средств обработки защищаемой информа­ции, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, кон­струкции и цепи питания.

Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы пер­сональных данных или использующее результаты ее функционирования.

Правила разграничения доступа - совокупность правил, регламен­тирующих права доступа субъектов доступа к объектам доступа.

Программное (программно-математическое) воздействие - несанк­ционированное воздействие на ресурсы автоматизированной информацион­ной системы, осуществляемое с использованием вредоносных программ.

Раскрытие персональных данных - умышленное или случайное нарушение конфиденциальности персональных данных.

Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно- телекоммуникационных сетях или предоставление доступа к персональ­ным данным каким-либо иным способом.

Ресурс информационной системы - именованный элемент систем­ного, прикладного или аппаратного обеспечения функционирования ин­формационной системы.

Система защиты персональных данных - совокупность организа­ционных мер и технических средств защиты информации, а также исполь­зуемых в информационной системе информационных технологий, в рам­ках которых реализуются организационные и технические мероприятия, обеспечивающие безопасность персональных данных.

Специальные информационные системы - информационные сис­темы, в которых вне зависимости от необходимости обеспечения конфи­денциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от кон­фиденциальности (защищенность от уничтожения, изменения, блокирова­ния, а также иных несанкционированных действий).

Специальные категории персональных данных - персональные данные, касающиеся расовой и национальной принадлежности, политиче­ских взглядов, религиозных или философских убеждений, состояния здо­ровья и интимной жизни субъекта персональных данных.

Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функцио­нировать самостоятельно или в составе других систем.

Субъект доступа (субъект) - лицо или процесс, действия которого рег­ламентируются правилами разграничения доступа.

Субъект персональных данных - физическое лицо, к которому от­носятся определенные персональные данные либо которое может быть оп­ределено на основании определенных персональных данных.

Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональ­ных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизве­дения, переговорные и телевизионные устройства, средства изготовления, тира­жирования документов и другие технические средства обработки речевой, гра­фической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Технический канал утечки информации - совокупность носителя ин­формации (средства обработки), физической среды распространения информа­тивного сигнала и средств, которыми добывается защищаемая информация.

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональ­ных данных.

Трансграничная передача персональных данных - передача пер­сональных данных оператором через Государственную границу Россий­ской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Угрозы безопасности персональных данных - совокупность усло­вий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распростране­ние персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществ­ляющего перехват информации.

Уязвимость - слабость в средствах защиты, которая может быть исполь­зована для проникновения в систему.

Целостность информации - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность ин­формации в условиях случайного и (или) преднамеренного искажения (разрушения).

Частная модель угроз - модель угроз применительно к конкретным условиям функционирования информационной системы персональных данных.