Из ГОСТ Р 53114–2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения

Деятельность, направленная на устранение (нейтрализацию, парирование) внутренних и внешних угроз информационной безопасности организации или на минимизацию ущерба от возможной реализации таких угроз [из 3.6.1 ГОСТ Р 53114-2008]

Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам [Федеральный Закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ, статья 2, пункт 5)] [из А.16 ГОСТ Р 53114-2008]

Совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения, осуществляемых над информацией [из А.23 ГОСТ Р 53114-2008]

Процесс разработки и (или) отбора и внедрения мер управления рисками информационной безопасности организации.

Примечания:

1. Обработка риска может включать в себя:
   • избежание риска путем принятия решения не начинать или не продолжать действия, создающие условия риска;
   • поиск благоприятной возможности путем принятия решения начать или продолжать действия, могущие создать или увеличить риск;
   • устранение источника риска;
   • изменение характера и величины риска;
   • изменение последствий;
   • разделение риска с другой стороной или сторонами;
   • сохранение риска как в результате сознательного решения, так и «по умолчанию».
2. Обработки риска с негативными последствиями иногда называют смягчением, устранением, предотвращением, снижением, подавлением и коррекцией риска.

[из 3.2.15 ГОСТ Р 53114-2008]

Информация или носитель информации, или информационный процесс, которую(ый) необходимо защищать в соответствии с целью защиты информации [ГОСТ Р 50922-2006, пункт 2.5.1] [из 3.2.2 ГОСТ Р 53114-2008]

Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров [ГОСТ Р 51275-2006, пункт 3.1] [из 3.1.5 ГОСТ Р 53114-2008]

Обстоятельства, в которых люди, имущество или окружающая среда подвергаются опасности [ГОСТ Р 51898-2003, пункт 3.6] [из 3.2.6 ГОСТ Р 53114-2008]

Свойство объекта, характеризующее его способность наносить ущерб или вред другим объектам [из А.7 ГОСТ Р 53114-2008]

Процесс сравнения результатов анализа риска с критериями риска с целью определения приемлемости или допустимости уровня риска.

Примечание - Определение приемлемости уровня риска помогает принять решения об обработке риска [из 3.2.14 ГОСТ Р 53114-2008]

Меры обеспечения информационной безопасности, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации [из 3.6.4 ГОСТ Р 53114-2008]