3.34. Доступность информационных активов: Свойство ИБ организации банковской системы Российской Федерации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем, в виде и месте, необходимом пользователю, и в то время, когда они ему необходимы.
3.35. Целостность информационных активов: Свойство ИБ организации банковской системы Российской Федерации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах.
3.36. Конфиденциальность информационных активов: Свойство ИБ организации банковской системы Российской Федерации, состоящее в том, что обработка, хранение и передача информационных активов осуществляется таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.
3.37. Система информационной безопасности; СИБ: Совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.
3.38. Система менеджмента информационной безопасности; СМИБ: Часть менеджмента организации банковской системы Российской Федерации, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ.
3.39. Система обеспечения информационной безопасности; СОИБ: Совокупность СИБ и СМИБ организации банковской системы Российской Федерации.
3.40. Область действия системы обеспечения информационной безопасности; область действия СОИБ: Совокупность информационных активов и элементов информационной инфраструктуры организации банковской системы Российской Федерации.
3.41. Осознание необходимости обеспечения информационной безопасности; осознание ИБ: понимание руководством организации банковской системы Российской Федерации необходимости самостоятельно на основе принятых в этой организации ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению ИБ, а также поддерживать эту деятельность адекватно прогнозу.
Примечание – Осознание ИБ является внутренней побудительной причиной для руководства банковской системы Российской Федерации инициировать и поддерживать деятельность по обеспечению ИБ в отличие от побуждения или принуждения, когда решение об инициировании и поддержке деятельности по обеспечению ИБ определяется соответственно либо возникшими проблемами организации, либо внешними факторами, например, требованиями законов.
3.42. Защитная мера: сложившаяся практика, процедура или механизм, которые используются для уменьшения риска нарушения ИБ организации банковской системы Российской Федерации.
3.43. Угроза информационной безопасности; угроза ИБ: Угроза нарушения свойств ИБ - доступности, целостности или конфиденциальности информационных активов организации банковской системы Российской Федерации.
3.44. Уязвимость информационной безопасности; уязвимость ИБ: Слабое место в инфраструктуре организации банковской системы Российской Федерации, включая СОИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ.
3.45. Ущерб: Утрата активов, повреждение (утрата свойств) активов и (или) инфраструктуры организации или другой вред активам и (или) инфраструктуре организации банковской системы Российской Федерации, наступивший в результате реализации угроз ИБ через уязвимости ИБ.
3.46. Инцидент информационной безопасности; инцидент ИБ: Событие, указывающее на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ.
Примечания:
1. Реализация угрозы ИБ - реализация нарушения свойств ИБ информационных активов организации банковской системы Российской Федерации.
2.Нарушение может вызываться источниками угроз ИБ: либо случайными факторами (ошибкой персонала, неправильным функционированием технических средств, природными факторами, например, пожаром или наводнением), либо преднамеренными действиями, приводящими к нарушению доступности, целостности или конфиденциальности информационных активов.
3.47. Нарушитель информационной безопасности; нарушитель ИБ: Субъект, реализующий угрозы ИБ организации банковской системы Российской Федерации, нарушая предоставленные ему полномочия по доступу к активам организации банковской системы Российской Федерации или по распоряжению ими.
3.48. Модель нарушителя информационной безопасности; модель нарушителя ИБ: Описание и классификация нарушителей ИБ, включая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, возможной мотивации их действий, а также способы реализации угроз ИБ со стороны указанных нарушителей.
3.49. Модель угроз информационной безопасности; модель угроз ИБ: Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба.
3.50. Риск нарушения информационной безопасности; риск нарушения ИБ: Риск, связанный с угрозой ИБ.
3.52. Оценка риска нарушения информационной безопасности: Систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов организации банковской системы Российской Федерации на всех стадиях их жизненного цикла.
3.53. Обработка риска нарушения информационной безопасности: Процесс выбора и осуществления защитных мер, снижающих риск нарушения ИБ, или мер по переносу, принятию или уходу от риска.
3.54. Остаточный риск нарушения информационной безопасности: Риск, остающийся после обработки риска нарушения ИБ.
3.55. Допустимый риск нарушения информационной безопасности: Риск нарушения ИБ, предполагаемый ущерб от которого организация банковской системы Российской Федерации в данное время и в данной ситуации готова принять.
3.56. Документация: Совокупность взаимосвязанных документов, объединенных общей целевой направленностью.
3.57. План работ по обеспечению информационной безопасности: Документ, устанавливающий перечень намеченных к выполнению работ или мероприятий по обеспечению ИБ организации банковской системы Российской Федерации, их последовательность, объем (в той или иной форме), сроки выполнения, ответственных лиц и конкретных исполнителей.
3.58. Свидетельства выполнения деятельности по обеспечению информационной безопасности: Документ или элемент документа, содержащий достигнутые результаты (промежуточные или окончательные), относящиеся к обеспечению ИБ организации банковской системы Российской Федерации.
3.59. Политика информационной безопасности; политика ИБ: Документация, определяющая высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенная для организации банковской системы Российской Федерации в целом.
3.60. Частная политика информационной безопасности; частная политика ИБ: Документация, детализирующая положения политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации банковской системы Российской Федерации.
3.61. Мониторинг: Постоянное наблюдение за объектами и субъектами, влияющими на ИБ организации банковской системы Российской Федерации, а также сбор, анализ и обобщение результатов наблюдений.
3.62. Аудит информационной безопасности; аудит ИБ: Систематический, независимый и документируемый процесс получения свидетельств деятельности организации банковской системы Российской Федерации по обеспечению ИБ, установления степени выполнения в организации банковской системы Российской Федерации критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения о состоянии ИБ организации банковской системы Российской Федерации.
Примечание – Аудит ИБ выполняется работниками организации, являющейся внешней по отношению к организации банковской системы Российской Федерации.
3.63. Критерии оценки (аудита) информационной безопасности; критерии оценки (аудита) ИБ: Совокупность требований в области ИБ, определенных стандартом Банка России СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" или его частью.
3.64. Свидетельства оценки соответствия (аудита) информационной безопасности установленным критериям; свидетельства оценки соответствия (аудита) ИБ: Записи, изложение фактов или другая информация, которые имеют отношение к критериям оценки соответствия (самооценки соответствия, аудита) ИБ и могут быть проверены.
Примечание – Свидетельства оценки соответствия (самооценки соответствия, аудита) ИБ могут быть качественными или количественными.
3.65. Выводы аудита информационной безопасности; выводы аудита ИБ: Результат оценки собранных свидетельств аудита ИБ.
3.66. Заключение по результатам аудита информационной безопасности (аудиторское заключение); заключение по результатам аудита ИБ: Качественная или количественная оценка соответствия установленным критериям аудита ИБ, представленные аудиторской группой после рассмотрения всех выводов аудита ИБ в соответствии с целями аудита ИБ.
3.67. Область аудита информационной безопасности; область аудита ИБ: Содержание и границы аудита ИБ.
Примечание – Область аудита ИБ обычно включает местонахождение, организационную структуру, виды деятельности проверяемой организации и процессы, которые подвергаются аудиту ИБ, а также охватываемый период времени.