ГОСТ Р 56205—2014
уязвимостях и периодического аудита систем управления с целью поддержания мер безопасности на
эффективном и адекватном уровне.
П р и м е ч а н и е — Для оценки практической эффективности безопасности необходимы испытания, ау
диты. инструментарии, критерии и другие средства и методы.
3.2.112 политика безопасности (security policy): Набор правил, которые регламентируют или
регулируют способ предоставления сервисов безопасности системой или организацией для защиты
ее объектов.
3.2.113 процедуры безопасности (security procedures): Описания точных способов воплощения
и реализации на практике методик обеспечения безопасности.
П р и м е ч а н и е — Процедуры безопасности реализуются посредством обучения персонала и других
действий по доступной на текущий момент технологии.
3.2.114 программа безопасности (security program): Комбинация всех аспектов управления
безопасностью — от формулировки и доведения до сведения политики до реализации передовых
промышленных методик, рутинных операций и аудита.
3.2.115 сервисы безопасности (security services): Механизмы, используемые для обеспечения
конфиденциальности, целостности данных, аутентификации, или предотвращения непризнания уча
стия в обмене информацией.
3.2.116 нарушение безопасности (security violation): Акт или событие, которые приводят к на
рушению или преодолению барьеров политики безопасности и являются следствием несанкциониро
ванного проникновения в систему или действий благонамеренного инсайдера.
3.2.117 зона безопасности (security zone): Совокупность логических или физических объектов, к
которым предъявляются общие требования безопасности.
П р и м е ч а н и е 1 — Термин «зона», употребляемый в настоящем стандарте, следует всегда относить к
зоне безопасности.
П р и м е ч а н и е 2 — Зона имеет четкую границу с другими зонами. Политика безопасности зоны обыч
но определяется комбинацией механизмов как на периферии зоны, так и внутри нее. Зоны могут иметь иерархи
ческую структуру в том смысле, что могут быть образованы совокупностью подзон.
3.2.118 датчики и исполнительные механизмы (sensors and actuators): Измерительные или
исполнительные элементы, соединенные с технологическим оборудованием и системой управления.
3.2.119 сервер (server): Устройство или приложение, которые предоставляют информацию или
сервисы клиентским приложениям и устройствам.
3.2.120 несанкционированный анализ трафика (сниффинг) (sniffing): См. 3.2.61.
3.2.121 фиктивная авторизация (spoof): Выдача себя за авторизованного пользователя с це
лью выполнения несанкционированного действия.
3.2.122 система диспетчерского контроля и сбора данных (supervisory control and data acqui
sition system), система SCADA (SCADA system): Разновидность слабо связанной рассредоточенной
системы мониторинга и контроля, которая обычно ассоциируется с системами передачи и
распреде ления электрической энергии, трубопроводами нефти и газа, а также системами
водопотребления и канализации.
П р и м е ч а н и е — Системы диспетчерского контроля используются также на объектах для осуществ
ления серийного, непрерывного и дискретного производства, с целью централизации процессов мониторинга и
контроля на этих объектах.
3.2.123 система (system): Взаимодействующие между собой, взаимосвязанные или взаимоза
висимые элементы, образующие сложное целое.
3.2.124 системное программное обеспечение (system software): Специальное программное
обеспечение, которое разработано для конкретной компьютерной системы или семейства компью
терных систем с целью упрощения использования и обслуживания компьютерной системы и относя
щихся к ней программ и данных.
3.2.125 угроза (threat): Потенциальная возможность нарушения безопасности при наличии об
стоятельства. средства, процесса или события, способных нарушить безопасность и нанести ущерб.
3.2.126 угрожающее действие (threat action): Посягательство на безопасность системы.
3.2.127 фактор угрозы (threat agent): Причинный фактор угрожающего действия.
13