ГОСТРИСО/МЭКТ019791 — 2008
3.13 домой безопасности (security domain): Часть автоматизированной системы, которая реализует
одни и те же политики безопасности.
3.14 подсистема (subsystem): Один или более компонентов автоматизированной системы, которые
допускают их выполнение отдельно от остальной системы.
3.15 система как объект оценки (system target ofevaluation): Автоматизированная система, которая
эксплуатируется в соответствии с рекомендациями по эксплуатации, включая технические и организацион
ные меры обеспечения безопасности, и является предметом оценки.
П р и м е ч а н и е — Организционные меры обеспечения безопасности образуют часть эксплуатационной
среды. Они не оцениваются по критериям оценки в соответствии со стандартами серии ИСО/МЭК 15408.
3.16 технические меры безопасности (technical controls): Меры безопасности информационной
системы, которые реализуются и выполняются самой информационной системой через механизмы, содер
жащиеся в аппаратных, программных или программно-аппаратных компонентах системы.
[НИСТ СП 800-53]
П р и м е ч а н и е — Меры безопасности — меры зашиты и контрмеры.
3.17 верификация (verification): Процессы оценки, используемые для подтверждения того, что моры
обеспечения безопасности для автоматизированной системы реализованы корректно, и их применение яв
ляется эффективным.
3.18 уязвимость (vulnerability): Недостатки или слабости в проекте или реализации информационной
системы, включая меры обеспечения безопасности, которые могут быть преднамеренно или непреднаме
ренно использованы для оказания неблагоприятного воздействия на активы организации или ее функциони
рование.
4 Сокращения
В настоящем стандарте используют следующие сокращения:
TOO(ETR)— технический отчет об оценке:
СМИБ (ISMS) — система менеджмента информационной безопасности;
ОФБ (OSF)— организационные функциональные требования безопасности:
СП (SP)
ПЗС (SPP)
— специальная публикация;
— профиль защиты системы;
ДБС (SSA)
ФБС (SSF)
— доверие к безопасности системы;
— функции безопасности системы;
ЗБС (SST)— задание по безопасности для автоматизированной системы;
COO(STOE) — система как объект оценки;
ИТ(IT)
ОО(ТОЕ)
— информационная технология;
— объект оценки;
ТФБ(ТБЕ)
ОФБ (OSF)
— технические функции безопасности;
— функции безопасности, реализуемые организационными мерами;
ЗБ(БТ) —
ПЗ(БР) —
задание по безопасности;
профильзащиты.
5 Методологический подход к решению проблемы безопасности
5.1 Сущность автоматизированных систем
В целях настоящего стандарта автоматизированная система определена как информационная систе
ма. включая ее аспекты, не связанные с ИТ. рассматриваемая в контексте среды ее эксплуатации.
Многие автоматизированные системы являются по своему характеру составными, состоят из сово
купности подсистем, которые посвоей природе являются отчасти оригинальными и уникальными, а частич но
построены с использованием покупных широко распространенных продуктов. Автоматизированные си
стемы взаимодействуют с другими системами и имеют зависимости от других систем. Автоматизирован
ная система обычно строится с использованием компонентов от разных поставщиков. Для создания авто
матизированной системы эти компоненты могут быть объединены интегратором, который не выполняет ка
ких-либо функций по разработке, а только функции конфигурирования и подключения.
3