ГОСТ Р 56205—2014
3.2.85 непризнание участия (repudiation): Полное или частичное непризнание одним из субъек
тов. участвовавших в передаче данных, своего участия в данной передаче.
3.2.86 остаточный риск (residual risk): Риск, сохраняющийся после реалиизации мер защиты
или контрмер.
3.2.87 риск (risk): Ожидание ущерба, выраженное как вероятность того, что определенный ис
точник угрозы воспользуется определенной уязвимостью системы, и это приведет к определенным
последствиям".
3.2.88 оценка риска (risk assessment): Процесс систематического выявления потенциальных
уязвимостей значимых ресурсов системы и угроз для этих ресурсов, количественной оценки потенци
ального ущерба и последствий на основе вероятностей их возникновения, и (в случае необходимо
сти) разработки рекомендаций по выделению ресурсов для организации контрмер с целью миними
зации общей уязвимости.
П р и м в ч а н и е 1 — Ресурсы могут быть физическими, логическими, кадровыми идр.
П р и м е ч а н и е 2 — Оценки рисков часто бывают комбинированы с оценками уязвимостей, выполняе
мыми для выявления уязвимостей, и количественной оценкой связанных с ними рисков. Их проводят в самом
начале и затем периодически для отражения изменений в границах допустимости рисков для организации, ее
уязвимостях, процедурах, а также кадровых перестановок и технологических преобразований.
3.2.89 управление риском (risk management): Процесс определения и применения контрмер в
соответствии со значимостью защищаемых объектов, на основе оценки риска.
3.2.90 меры смягчения риска (risk mitigation controls): Комбинация контрмер и планов ведения
бизнеса.
3.2.91 уровень допустимости риска (risk tolerance level): Уровень остаточного риска, приемле
мый для организации.
3.2.92 ролевая модель управления доступом (role-based access control): Форма управления
доступом на основе идентификационной информации, когда субъекты системы, которые подвергают ся
идентификации и контролю, являются должностными позициями в организации или процессе.
3.2.93 маршрутизатор (router): Шлюз между двумя сетями, функционирующими на уровне 3
взаимодействия открытых систем (OSI), который перенаправляет и посылает пакеты данных во внут
реннюю сеть. Наиболее известные типы маршрутизаторов пересылают пакеты интернет-протокола
(IP).
3.2.94 безопасность (safety): Отсутствие недопустимого риска.
3.2.95 автоматизированная система безопасности (safety-instrumented system): Система, ис
пользуемая для реализации одной или нескольких функций технологической безопасности.
П р и м е ч а н и е — Автоматизированная система безопасности может представлять собой любую ком
бинацию из датчика(ов). логического решающего устройства(ств) и исполнительного механизма(ов).
3.2.96 уровень целостности безопасности (safety integrity level): Дискретный уровень (один из
четырех) для определения требований к целостности безопасности, предъявляемых к функциям тех
нологической безопасности, которыми наделяются автоматизированные системы безопасности.
П р и м е ч а н и е — Уровень 4 целостности безопасности соответствует высшей степени целостности
безопасности: уровень 1 целостности безопасности — низшей.
3.2.97 сеть безопасности (safety network): Сеть, которая связывает между собой автоматизиро
ванные системы безопасности для передачи информации о мерах обеспечения безопасности.
3.2.98 секретность (secret): Статус информации, защищаемой от передачи любым субъектам
системы, кроме тех. на кого она ориентирована.
3.2.99 защита (security):
a) меры, предпринимаемые для защиты системы;
b
) состояние системы, которое является результатом разработки и проведения мер защиты сис
темы;
ъ Другое определение риска, например. Специальная публикация Национального института
стандартов и технологий (NIST) 800-30. Руководство по управлению рисками для систем информаци
онных технологий.
11