Из ГОСТ Р 53114–2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения

Скоординированные действия по руководству и управлению организацией в отношении риска ИБ с целью его минимизации.

Примечание - Основными процессами менеджмента риска являются установление контекста, оценка риска, обработка и принятие риска, мониторинг и пересмотр риска [из 3.4.2 ГОСТ Р 53114-2008]

Сложившаяся практика, процедура или механизм обработки риска [из 3.6.2 ГОСТ Р 53114-2008]

Совокупность действий, направленных на разработку и (или) практическое применение способов и средств обеспечения информационной безопасности [из 3.6.3 ГОСТ Р 53114-2008]

Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Примечание - Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ [из 3.3.3 ГОСТ Р 53114-2008]

Постоянное наблюдение за процессом обеспечения информационной безопасности в организации с целью установить его соответствие требованиям по информационной безопасности [из 3.5.2 ГОСТ Р 53114-2008]

Систематическое или непрерывное наблюдение за объектом с обеспечением контроля и (или) измерения его параметров, а также проведение анализа с целью предсказания изменчивости параметров и принятия решения о необходимости и составе корректирующих и предупреждающих действий [из А.19 ГОСТ Р 53114-2008]

Случайное или преднамеренное неправомерное действие физического лица (субъекта, объекта) в отношении активов организации, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах, вызывающее негативные последствия (ущерб/вред) для организации [из 3.2.4 ГОСТ Р 53114-2008]

Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации [из 3.3.5 ГОСТ Р 53114-2008]

Функциональные возможности средств вычислительной техники и программного обеспечения, не описанные или не соответствующие описанным в документации, которые могут привести к снижению или нарушению свойств безопасности информации [из 3.3.14 ГОСТ Р 53114-2008]

Доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа.

Примечания:

1. Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно.
2. Права и правила доступа к информации и ресурсам информационной системы устанавливаются для процессов обработки информации, обслуживания автоматизированной информационной системы, изменения программных, технических и информационных ресурсов, а также получения информации о них.

[из 3.3.6 ГОСТ Р 53114-2008]