Нормативное регулирование

Нормативное регулирование

Основные нормативные правовые акты в области информационной безопасности и защиты информации.

Информационное законодательство представляет собой совокупность законов, иных нормативно-правовых актов, с помощью и посредствам которых государство устанавливает, изменяет либо прекращает действие соответствующих информационно-правовых норм. Информационное законодательство выступает главенствующей формой закрепления норм информационного права и важнейшим правообразующим фактором. Появление информационного законодательства в системе нормативно-правовых актов РФ свидетельствует о повышении роли государства в регулировании информационных отношений и придании им качества общественно значимых отношений.

Систему информационного законодательства образуют различные законы и издаваемые в соответствии с ними иные нормативные правовые акты, посвященные прямому или опосредованному регулированию отношений, объектом которых является информация, производные от нее продукты и связанная с ними деятельность.

Системы информационного законодательства включает в себя правовые акты федеральных органов и органов субъектов РФ. Среди правовых актов федеральных органов главное место занимают федеральные законы. Они обладают высшей юридической силой, регулируют наиболее важные, основополагающие отношения и содержат информационно-равовые нормы исходного характера, которые рассчитаны на постоянное либо длительное действие.

Нормативные акты, не относящиеся к категории законов, являются подзаконными. В их число входят нормативные акты Президента РФ, Правительства РФ, ведомственные нормативные акты.

Многие из них носят комплексный характер, но включают в себя и правила информационно-правового содержания.

Указы Президента РФ – основные акты осуществления компетенции Президента РФ, непосредственно закрепленной в Конституции РФ и вытекающей из основополагающих принципов разделения властей. Правовые акты Правительства РФ издаются главным образом тогда, когда в законе есть на то прямые указания либо дано конкретное поручение Президента РФ.

Ведомственные акты издаются на основе законов, указов президента и актов правительства. Они представляют собой управленческие акты органов специальной компетенции. Их юридическая сила зависит от функций издавшего их органа и специфики государственного управления информационной сферой. На уровне субъектов РФ применяются все те же формы выражения информационного права, что и на федеральном уровне (законы субъектов РФ, постановления органов исполнительной власти, акты отраслевых и территориальных органов управления).

Наряду с актами законодательства и подзаконными нормативными актами существуют так называемые локальные нормативные акты Они, как правило, представляют собой приказы и распоряжения нормативного и индивидуального значения, принимаемые руководителями различных организаций. С помощью локальных актов регулируются самые различные информационные вопросы, например, порядок конфиденциального делопроизводства, допуска сотрудников к служебной и коммерческой тайнам, порядок организации защиты коммерческой тайны в организации и т. п.

В систему информационного законодательства следует включить и международно-правовые акты, предметом регулирования которых являются информационные отношения.

Несмотря на то, что информационное законодательство находится на этапе своего становления, уже сегодня можно говорить о наличии некой его упорядоченности. В основу этой упорядоченности положен принцип иерархии, выражающийся в соподчиненности актов различного уровня. Первый уровень, который можно условно назвать конституционным, отражает ведущую роль Конституции в информационно-правовом нормотворчестве. Он представлен рядом конституционных норм. Второй уровень нормативных правовых актов составляют акты информационного законодательства. Специфика данного уровня состоит в том, что федеральные законы, регулирующие отношения в информационной среде, а равно иные принятые в соответствии с ними нормативные акты подчинены Конституции и не могут ей противоречить.

Среди законов выделяют базовый для информационной сферы федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», пришедший на смену ФЗ от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации».

Новым законом регулируются три группы взаимосвязанных между собой отношений, складывающихся:

– при осуществлении права на поиск, получение, передачу, производство и распространение информации;

– применении информационных технологий;

– обеспечении защиты информации (ЗИ).

К актам информационного законодательства федерального уровня относится и ФЗ от 29.11.1994 № 77-ФЗ «Об обязательном экземпляре документов». Данный нормативный акт определяет политику государства в области формирования обязательного экземпляра документов как ресурсной базы комплектования библиотечно-информационного фонда РФ и развития системы государственной библиографии, предусматривает обеспечение сохранности обязательного экземпляра документов, его общественное использование. Этим законом установлены виды обязательного экземпляра документов в категории их производителей и получателей, сроки и порядок доставки обязательного экземпляра документов, ответственность за их нарушение.

Видное место среди законов, регулирующих отношения в информационной среде, занимает закон РФ от 27.12.1991 № 2124 – 1 «О средствах массовой информации», представляющий собой комплексный нормативный акт, регламентирующий отношения, возникающие в процессе организации и функционирования средств массовой информации (СМИ). В основных разделах закона нашли правовое опосредование вопросы организации деятельности СМИ, распространения массовой информации, отношений СМИ с гражданами и организациями, прав и обязанностей журналиста, межгосударственного сотрудничества в области массовой информации, ответственности за нарушение законодательства о СМИ.

Особое место среди нормативных актов, регулирующих отношения по поводу информации, принадлежит закону РФ от 21.07.1993 № 5485 – 1 «О государственной тайне».

Один из законов, регулирующих отношения в информационной сфере, – ФЗ от 07.07.2003 № 126-ФЗ «О связи». Он устанавливает правовую основу деятельности в области связи, осуществляемой под юрисдикцией РФ, определяет полномочия органов государственной власти по регулированию этой деятельности, а также права и обязанности физических лиц, осуществляющих деятельность в области связи.

К законам, регулирующим информационные отношения, также относится и ФЗ от 06.04.2011 № 63-ФЗ «Об электронной подписи». Его цель – обеспечение правовых условий использование электронной подписи в электронных документах.

Отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников отношений, в том числе государства, на рынке товаров, работ и услуг, регулируются ФЗ от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

К нормативным актам данной проблематики относятся федеральные законы:

– от 13.01.1995 № 7-ФЗ «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации»;

– от 12.05.2009 № 95-ФЗ «О гарантиях равенства парламентских партий при освещении их деятельности государственными общедоступными телеканалами и радиоканалами»;

– от 27.07.2006 № 152-ФЗ «О персональных данных»;

– от 28.12.2010 № 390-ФЗ «О безопасности»;

– от 28.07.2012 № 139-ФЗ «О внесении изменений в федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты».

Помимо названных выше существует множество законов, непосредственно не направленных на регулирование информационных отношений, но содержащих отдельные статьи, посвященные информации или связанные с ней. К числу следует отнести следующие федеральные законы: от 13.03.2006 № 38 -ФЗ «О рекламе»; от 29.12.1994 № 78-ФЗ «О библиотечном деле»; от 22.10.2004 № 125-ФЗ «Об архивном деле в РФ»; от 17.07.1999 № 176-ФЗ «О почтовой связи»; от 17.08.1995 № 147-ФЗ «О естественных монополиях»; от 21.02.1992 № 2395-1 «О недрах».

Часть норм, касающихся информационных отношений, содержатся в Гражданском кодексе РФ (ГК РФ). Так, ст. 150 относит личную и семейную тайну к нематериальным благам, ст. 726 устанавливает обязанность подрядчика передать информацию заказчику, ст. 857 посвящается банковской тайне, ст. 946 – тайне страхования. Четвертая часть ГК РФ направлена на регулирование отношений в области охраны прав на результаты интеллектуальной деятельности.

Среди подзаконных нормативных актов, регулирующих отношения в информационной сфере, можно выделить следующие:

а) указы Президента:

– от 11.02.2006 № 90 «О перечне сведений, отнесенных к государственной тайне»;

– от 06.10.2004 № 1286 «Вопросы межведомственной комиссии по защите государственной тайны»;

– от 17.05.2004 № 611 «О мерах по обеспечению безопасности РФ в сфере международного информационного обмена»;

– от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;

– от 15.01.2913 № 31/с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ».

б) постановления Правительства:

– от 12.02.2003 № 98 «Об обеспечении доступа к информации о деятельности Правительства РФ и федеральных органов исполнительной власти»;

– от 27.05.2002 № 348 «Об утверждении Положения о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»; – от 18.02.2005 № 87 «Об утверждении перечня наименований услуг связи, вносимых в лицензии, и перечней лицензионных условий»;

– от 22.08.1908 № 1003 «О порядке допуска лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне»;

– от 28.10.1995 № 1050 «Об утверждении Инструкции о порядке допуска должностных лиц и граждан РФ к государственной тайне»;

– от 26.10.2012 № 1101 «О создании единой автоматизированной системе «Единый реестр доменных имен, указателей страниц, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащие информацию, распространение которой в РФ запрещено».

Наряду с указами Президента РФ и постановлениями Правительства источниками информационного права выступают акты центральных органов государственного управления РФ (ведомственные нормативно-правовые акты). В области информационных отношений существует значительное их количество. Тематика и направленность данных актов зависит от компетенции издавшего их органа.

Так, приказом Федеральной службы безопасности (ФСБ) РФ от 13.11.1999 № 564 утверждено «Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну», которое определяет организационную структуру системы сертификации, порядок проведения сертификации и инспекционного контроля, требования к нормативным и методическим документам по сертификации, а также виды средств защиты информации, подлежащих сертификации.

Приказом ФСБ РФ от 09.02.2005 № 66 утверждено «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации)».

Важный элемент системы законодательства РФ в информационной сфере – международные соглашения. В соответствии с ч. 4 ст. 15 Конституции РФ нормы международных договоров обладают приоритетом по отношению к противоречащим им правилам внутригосударственных законов. Это относится как к многосторонним, так и к двусторонним договорам.

Особое место среди многочисленных многосторонних соглашений, содержащих информационные нормы, занимают:

– «Всеобщая декларация прав человек» от 10.12.1948;

– «Международный пакт о гражданских и политических правах» от 10.12.1966;

– «Заключительный акт совещания по безопасности и сотрудничеству в Европе» от 01.08.1975.

В этих документах нашли свое воплощение международные принципы и стандарты, провозглашающие право на свободу информации, которые, однако, налагают особые обязанности и особую ответственность, сопряженные с некоторыми ограничениями прав и свобод.

Важнейший документ, посвященный организации и активизации деятельности международного сообщества в области формирования глобального информационного общества, – «Окинавская хартия глобального информационного общества», принятая в июле 2000 г. представителями восьми ведущих стран. Этот документ устанавливает основные принципы вхождения государств в глобальное информационное общество.

ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.

Национальный стандарт Российской Федерации

Защита информации

Основные термины и определения

Protection of information. Basic terms and definitions

Дата введения 2008-02-01

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 РАЗРАБОТАН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России")

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст

4 В настоящем стандарте реализованы нормы Федеральных законов от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне"

5 ВЗАМЕН ГОСТ Р 50922-96

Введение

Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

Для каждого понятия установлен один стандартизованный термин.

Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно. Цифра, заключенная в квадратные скобки, означает ссылку на документ, приведенный в структурном элементе "Библиография".

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.

Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.

Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

Стандартизованные термины набраны полужирным шрифтом, их краткие формы, представленные аббревиатурой, - светлым, а синонимы - курсивом.

Термины и определения общетехнических понятий, которые необходимы для понимания текста основной части настоящего стандарта, приведены в приложении А.

1 Область применения

Настоящий стандарт устанавливает основные термины с соответствующими определениями, применяемые при проведении работ по стандартизации в области защиты информации.

Термины, установленные настоящим стандартом, рекомендуется использовать в правовой, нормативной, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

2 Термины и определения

2.1 Общие понятия

2.1.1 защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

2.2 Термины, относящиеся к видам защиты информации

2.2.1 правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

2.2.2 техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

2.2.3 криптографическая защита информации: Защита информации с помощью ее криптографического преобразования.

2.2.4 физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Примечания

1 Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временны х, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

2 К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

2.3 Термины, относящиеся к способам защиты информации

2.3.1 способ защиты информации: Порядок и правила применения определенных принципов и средств защиты информации.

2.3.2 защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.

Примечание - Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2.3.3 защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.3.4 защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.3.5 защита информации от разглашения: Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

2.3.6 защита информации от несанкционированного доступа; ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Примечание - Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

2.3.7 защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

2.3.8 защита информации от [иностранной] разведки: Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.

2.4 Термины, относящиеся к замыслу защиты информации

2.4.1 замысел защиты информации: Основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.

2.4.2 цель защиты информации: Заранее намеченный результат защиты информации.

Примечание - Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.

2.4.3 система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

2.4.4 политика безопасности (информации в организации): Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

2.4.5 безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

2.5 Термины, относящиеся к объекту защиты информации

2.5.1 объект защиты информации: Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

2.5.2 защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Примечание - Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2.5.3 носитель защищаемой информации: Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

2.5.4 защищаемый объект информатизации: Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.

2.5.5 защищаемая информационная система: Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.

2.6 Термины, относящиеся к угрозам безопасности информации

2.6.1 угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

2.6.2 фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

2.6.3 источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

2.6.4 уязвимость (информационной системы);брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Примечания

1 Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.

2 Если уязвимость соответствует угрозе, то существует риск.

2.6.5 вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.

2.6.6 несанкционированное воздействие на информацию: Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.6.7 преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

2.6.8 модель угроз (безопасности информации): Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Примечание - Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.

2.7 Термины, относящиеся к технике защиты информации

2.7.1 техника защиты информации: Средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

2.7.2 средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

2.7.3 средство контроля эффективности защиты информации: Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.

2.7.4 средство физической защиты информации: Средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации.

2.7.5 криптографическое средство защиты информации: Средство защиты информации, реализующее алгоритмы криптографического преобразования информации.

2.8 Термины, относящиеся к способам оценки соответствия требованиям по защите информации

2.8.1 оценка соответствия требованиям по защите информации: Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.

2.8.2 лицензирование в области защиты информации: Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ.

2.8.3 сертификация на соответствие требованиям по безопасности информации: Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.

Примечание - К объектам оценки могут относиться: средство защиты информации, средство контроля эффективности защиты информации.

2.8.4 специальное исследование (объекта защиты информации): Исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации.

2.8.5 специальная проверка: Проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств.

2.8.6 аудиторская проверка информационной безопасности в организации;аудит информационной безопасности в организации: Периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности.

Примечание - Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит).

2.8.7 мониторинг безопасности информации: Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.

2.8.8 экспертиза документа по защите информации: Рассмотрение документа по защите информации физическим или юридическим лицом, имеющим право на проведение работ в данной области, с целью подготовить соответствующее экспертное заключение.

Примечание - Экспертиза документа по защите информации может включать в себя научно-техническую, правовую, метрологическую, патентную и терминологическую экспертизу.

2.8.9 анализ информационного риска: Систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации.

2.8.10 оценка информационного риска: Общий процесс анализа информационного риска и его оценивания.

2.9 Термины, относящиеся к эффективности защиты информации

2.9.1 эффективность защиты информации: Степень соответствия результатов защиты информации цели защиты информации.

2.9.2 требование по защите информации: Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.

2.9.3 показатель эффективности защиты информации: Мера или характеристика для оценки эффективности защиты информации.

2.9.4 норма эффективности защиты информации: Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.

Алфавитный указатель терминов*1