ГОСТ Р ИСО/МЭК 13335-1 — 2006
2.7 контроль (control): —
П р и м е ч а н и е — В контексте безопасности информационно-телекоммуникационных технологий термин
«контроль» может считаться синонимом «защитной меры» (см. 2.24).
2.8 рекомендации (guidelines): Описание, поясняющее действия и способы их выполнения, необхо
димые для достижения установленных целей.
2.9 воздействие (impact): Результат нежелательного инцидента информационной безопасности.
2.10 инцидент информационной безопасности (information security incident): Любое непредвиден
ное или нежелательное событие, которое может нарушить деятельность или информационную безопас
ность.
П р и м е ч а н и е — Инцидентами информационной безопасности являются:
- утрата услуг, оборудования или устройств:
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политик или рекомендаций;
- нарушение физических мер защиты;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
2.11 безопасность информационно-телекоммуникационных технологий (безопасность ИТТ)
(ICT security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциально
сти, целостности,доступности, неотказуемости. подотчетности,аутентичности и достоверности информаци
онно-телекоммуникационных технологий.
2.12 политика безопасности информационно-телекоммуникационных технологий (политика
безопасности ИТТ) (ICT security policy): Правила, директивы, сложившаяся практика, которые определя
ют. как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защи
щать и распределять активы, в том числе критичную информацию.
2.13 средство(а) обработки информации (information processing fadlity(ies)): Любая система обра
ботки информации, сервис или инфраструктура, или их физичесхие места размещения.
2.14 информационная безопасность (information security): Все аспекты, связанные с определени
ем.достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости. под
отчетности. аутентичности и достоверности информации или средств ее обработки.
2.15 целостность (integrity); Свойство сохранения правильности и полноты активов.
2.16 неотказуемость (non-repudiation): Способность удостоверять имевшее местодействие или со
бытие так. чтобы эти события илидействия не могли быть позже отвсртуты.
(ИСО/МЭК 13888-1. ИСО/МЭК 7498-2]
2.17 достоверность (reliability): Свойство соответствия предусмотренному поведению и результа
там.
2.18 остаточный риск (residual risk): Риск, остающийся после его обработки.
2.19 риск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации
некоторой угрозы с использованием уязвимостей актива или группы активов.
П р и м е ч а н и е — Определяется как сочетание вероятности события и его последствий.
2.20 анализ риска (risk analysis): Систематический процессопределения величины риска.
2.21 оценка риска (risk assessment): Процесс, объединяющий идентификацию риска, анализ риска и
оценивание риска.
2.22 менеджмент риска (risk management): Полный процесс идентификации, контроля, устранения
или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информацион
но-телекоммуникационных технологий.
2.23 обработка риска (risk treatment): Процесс выбора и осуществления мер по модификации риска.
2.24 защитная мера (safeguard): Сложившаяся практика, процедура или механизм обработки риска.
П р и м е ч а н и е — Следует заметить, что понятие «защитная мера» может считаться синонимом понятию
«контроль» (см. 2.7).
2.25 угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или
организации.
2