ГЛОСАРІЙ. Активи –усе, що має цінність для організації – ресурси організації (матеріальні й нематеріальні цінності)

Активи – усе, що має цінність для організації – ресурси організації (матеріальні й нематеріальні цінності).

Аналіз ризику – процес визначання ймовірності ураження активів, наслідків уражень і ділянок, що потребують застосування засобів захисту.

А удит – ревізія, що здійснюється уповноваженою особою з метою забезпечення незалежної оцінки програмних продуктів та процесів, щоб оцінити їх відповідність вимогам.

Базові засоби керування – мінімально необхідна кількість засобів захисту, визначених для системи чи організації.

Б азис – офіційно схвалена версія елементу конфігурації, незалежна від середовища, формально розроблена та виправлена впродовж заданого часу в рамках життєвого циклу елементу конфігурації.

Б езпека – безпека інформації та даних у такий спосіб, щоб не уповноважена особа або організація не могла їх прочитати або змінити, але щоб це не перешкоджало доступові до них з боку уповноважених осіб чи організацій.

Безпека інформації – сукупність правових, адміністративних,
організаційних, технічних та інших заходів, що забезпечують збереження, цілісність інформації та належний порядок доступу до неї.

Безпека інформації в системі – діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі.

Безпека в інформаційних технологіях – всі аспекти, пов’язані з визначенням, досягненням і забезпеченням конфіденційності, цілісності, доступності, обліковості, достовірності і надійності.

Блокування інформації в системі – дії, внаслідок яких унеможливлюється доступ до інформації в системі.

Валідація – підтвердження того, що окремі вимоги щодо визначеного передбаченого використання виконуються і яке здійснюється шляхом перевірки та забезпечення об’єктивних доказів

Примітка 1. При проектуванні та розробленні валідація полягає у процесі перевірки продукту для встановлення відповідності потребам користувача.

Примітка 2. Валідація виконується, як правило, над кінцевим продуктом у заданих умовах функціонування. Потреба у ній може виникнути на більш ранніх етапах.

Примітка 3. Термін «валідований» використовується для надання відповідного статусу.

Примітка 4. Багаторазова валідація може здійснюватись у разі наявності різних передбачених використань.[ІSО 8402, 2.18].

Верифікація – підтвердження виконання заданих вимог, що здійснюється шляхом перевірки та забезпечення об’єктивних доказів.

Примітка 1. При проектуванні та розробленні верифікація полягає у процесі перевірки

результатів певної діяльності для визначення відповідності вимогам, встановленим щодо цієї діяльності.

Примітка 2. Термін «верифікація» використовується для надання відповідного статусу.

Версія – примірник елемента, що підлягає ідентифікації.

Примітка. Модифікація версії програмного продукту, результатом якої є нова версія, потребує дії щодо керування конфігурацією.

Вилучення – припинення активної підтримки з боку організації, що здійснює експлуатацію та супровід, часткова чи повна заміна на нову систему або введення в дію оновленої системи.

Вірус інформаційної системи – це спеціально написана програма, котра може «приписувати» себе до інших програм (тобто «заражати» їх), розмножуватися і народжувати нові віруси для виконання різних небажаних дій на інформаційній системі.

Виток інформації – результат дій, внаслідок яких інформація в системі стає відомчою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї.

Віднесення інформації до державної таємниці – процедура прийняття (державним експертом з питань таємниці) рішення про віднесення категорії відомостей або окремих відомостей до державної таємниці з установленням ступеня їх секретності шляхом обґрунтування та визначення можливої шкоди національній безпеці України у разі розголошення цих відомостей, включенням цієї інформації до Зводу відомостей, що становлять державну таємницю, та з опублікуванням цього Зводу, змін до нього.

Власник інформації – фізична або юридична особа, якій належить право власності на інформацію.

Власник системи – фізична або юридична особа, якій належить право власності на систему.

Готовий для використання продукт – вже розроблений та доступний продукт, що може використовуватись у початковому вигляді («як є») або із модифікацією.

Гриф секретності – реквізит матеріального носія секретної інформації, що засвідчує ступінь секретності даної інформації.

Державна таємниця (далі також – секретна інформація) – вид таємної інформації, що охоплює відомості у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може завдати шкоди національній безпеці України та які визнані у порядку, встановленому Законом України «Про державну таємницю», державною таємницею і підлягають охороні державою.

Державний експерт з питань таємниці – посадова особа, уповноважена здійснювати відповідно до вимог Закону України «Про державну таємницю» віднесення інформації до державної таємниці у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, змін ступеня секретності цієї інформації до її розсекречування.

Достовірність – властивість, яка гарантує, що ідентифікатори предмета чи ресурсу задовольняють необхідні вимоги. Достовірність застосовують до об’єктів: споживачів, процесів, систем чи інформації.

Доступність – властивість, що гарантує доступність і придатність до використовування авторизованого об’єкта до завершення запиту.

Доступ до інформації в системі – отримання користувачем можливості оброблення інформації в системі

Допуск до державної таємниці – оформлення права громадянина на доступ до секретної інформації.

Доступ до державної таємниці – надання повноваженою посадовою особою дозволу громадянину на ознайомлення з конкретною секретною інформацією та провадження діяльності, пов’язаної з державною таємницею або ознайомлення з конкретною секретною інформацією та провадження діяльності, пов’язаної з державною таємницею, цією посадовою особою відповідно до її службових повноважень.

Елемент конфігурації – об’єкт (сутність) в рамках конфігурації, який задовольняє функцію кінцевого користування і може бути однозначно ідентифікований з певної точки зору (у вказаному значенні, щодо певної базової точки).

Елемент, що не передається – апаратні чи програмні продукти, які не потребують передачі згідно з контрактом, але які можуть застосовуватись під час розроблення програмного продукту.

Забезпечення якості – всі дії, що плануються та регулярно здійснюються в рамках системи якості і належним чином демонструються з метою забезпечення достатньої впевненості в тому, що об'єкт буде задовольняти вимоги щодо якості.

Примітка 1. Забезпечення якості може мати як внутрішню, так і зовнішню мету:

а) внутрішнє забезпечення якості. У межах організації, забезпечення якості передбачає надання впевненості керівництву;

б) зовнішнє забезпечення якості. При наявності відповідного контракту забезпечення якості передбачає надання впевненості клієнтові або іншим організаціям чи особам.

Примітка 2. Між деякими діями з керування якістю та забезпечення якості існує взаємозв’язок.

Примітка 3. Якщо вимоги щодо якості не відображають повністю потреби користувача, забезпечення якості може не передбачати достатньої впевненості.

Загроза – потенційна причина небажаного інциденту, що заподіює шкоду системі, організації чи тому й іншому.

Загроза для інформації – витік, можливості блокування або порушення цілісності інформації.

Примітка. Загроза для інформації може здійснюватися під час застосування технічних засобів чи технологій, недосконалих щодо захисту інформації.

Замовник – організація, що замовляє або дістає систему, програмний продукт чи послугу від постачальника.

Примітка. Термін «замовник» є синонімом покупця, клієнта, власника або користувача.

Замовляння – процес одержання системи, програмного продукту або програмної послуги.

Запит щодо пропозиції [тендер] – документ, що використовується замовником як засіб для оголошення своїх намірів потенційним учасникам тендеру щодо замовляння певної системи, програмного продукту чи програмної послуги.

Засекречування матеріальних носіїв інформації – введення у встановленому законодавством порядку обмежень на поширення та доступ до конкретної секретної інформації шляхом надання відповідного грифу секретності документам, виробам або іншим матеріальним носіям цієї інформації.

Засіб захисту – засіб, процедури чи механізми, що дають змогу зменшити ризик.

Залишковий ризик – ризик, що залишається після впровадження засобів захисту.

Звід відомостей, що становлять державну таємницю – акт, в якому зведено перелік відомостей, що згідно з рішеннями державних експертів з питань таємниць становлять державну таємницю у визначених Законом України «Про державну таємницю».

Знищення інформації в системі – дії, внаслідок яких інформація в системі зникає.

Ідентифікація користувача – розпізнання користувача (за прізвищем і паролем) для виявлення повноважень-прав доступу до даних. Вибір режиму їх використання.

Інтернет – всесвітня інформаційна сиситема загального доступу, яка логічно зв’язана глобальним адресним простром та базується на Інтернет-протоколі, визначеному міжнародними стандартами.

Інформаційна безпека телекомунікаційних мереж – здатність телекомунікаційних мереж забезпечувати захист від знищення, перекручення, блокування інформації, її несанкціонованого витоку або від порушення встановленого порядку її маршрутизації.

Інформація – 1) тільки однина, інформування;

2) відомості про які-небудь події, чиюсь діяльність і т. ін, повідомлення про щось;

3) сукупність відомостей (даних), які сприймають з навколишнього середовища (вхідна інформація), видають у навколишнє середовище (вихідна інформація) або зберігають всередині нової системи (внутрішня інформація);

4) головний елемент будь-якої з функцій управління, вона повинна відображати реальний світ, процеси, явища, використовувати при цьому зрозумілу користувачеві мову, бути своєчасною, корисною та необхідною йому;

5) це знання, відомості, дані, отримані і накопичені у процесі розвитку науки і практичної діяльності людей, які можуть бути використані у суспільному виробництві і управлінні як фактор збільшення обсягу виробництва і підвищення його ефективності;

6) стосовно до електронного документообігу, сукупність фактів, явищ, подій, що представляють інтерес, що підлягають обліку й обробці.

7) під інформацією Закон України «Про інформацію» [3–2] розуміє інформація – будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді.

У розглянутих виразах завжди існують: джерело й споживач інформації. Як першим, так і другим можуть бути об’єкти науки, техніки, суспільства та природи, тварини, люди. У взаємодії між ними й народжується інформація. Залежно від області знань розрізняють наукову, технічний, комерційну й інший види інформації.

До поняття «інформація» може розглядатися підхід, що існує два типи інформації.

Перший тип – інформація технічна, яка передається по каналам зв’язку і відображається на екранах дисплеїв. Кількість такої інформації може бути точно обраховано і процеси, що проходять із такою інформацією, підпорядковуються фізичним законам.

Другий тип – інформація семантична, тобто смислова. Це та інформація, яка вміщується, наприклад, у літературному творі.При такому визначені інформації предпологаються різні кількісні оцінки і будуються математичні теорії. Но все зводиться до того, що оцінки тут вісьма умовні і приблизні.

Другий підхід полягає в тому, що інформація – фізична величина, така ж, як температура, швидкість і в означених умовах, інформація рівним чином описує як процеси, що проходять у природніх фізичних системах, так і процеси в системах штучно створених.

Третій підхід заклечається у тому, що інформація едина, але кількісна і якісна оцінки повинні бути рівними. У цьому випадку, з одної сторони, можливо обчислити цінність інформації, а з другої сторони, такі обчислення справедливі лише в обмеженому числі віпадків, наприклад, цінність будь-якого винаходу неможливо підрахувати на момент появи винаходу.

Інформація, що становить банківську таємницю – це вид таємної інформації, який охоплює відомості про операції, рахунки, вклади клієнтів та кореспондентів.

Інформація, що становить професійну таємницю – це вид таємної інформації, який охоплює відомості, надані органові державної влади у зв’язку з виконанням покладених на нього функцій, якщо розголошення таких відомостей заборонено законом, що визначає статус відповідного органа державної влади, і вони не належать до інших передбачених законом видів таємної інформації або інформації про особу.

Інформація, що становить таємницю усиновлення – це вид таємної інформації, який охоплює відомості про те, що усиновителі не є кровними батьками усиновленого.

Інформація, що становить службову таємниця – це вид таємної інформації, який створюється під час поточної діяльності організацій і який охоплює відомості в сфері управління, внутрішньої та зовнішньої політики, економіки та фінансів, банківської діяльності, науки й техніки, зовнішніх відносин, охорони здоров’я, а також відомості у сфері оборони, державної політики, охорони правопорядку та в інших сферах державної діяльності, що не містять інших видів таємної інформації, розголошення якої може завдати шкоди інтересам держави та суспільства.

Інформація, що становить адвокатську таємницю – це вид таємної інформації, який охоплює відомості про питання, у яких громадянин або юридична особа зверталися до адвоката, про факт такого звернення, про суть консультацій, порад, роз’яснень та інші відомості, які одержав адвокат під час виконання своїх професійних обов’язків.

Інформація, що становить лікарську таємницю – це вид таємної інформації, який охоплює відомості про стан здоров’я, медичне обстеження, огляд та їхні результати, інтимний та сімейний аспекти життя громадян, а також анонімність донора.

Інформація, що становить таємницю листування, телефонних розмов і телеграфної та іншої кореспонденції – це вид таємної інформації, який охоплює відомості, яку передають засобами зв’язку за допомогою листування, телефонних розмов, телеграфної та іншої кореспонденції.

Інформація в сфері оборони – це вид таємної інформації, який охоплює відомості в сфері оборони, державної безпеки та охорони правопорядку, розголошення якої може завдати шкоди інтересам державної безпеки, бойовій готовності Збройних сил України та інших військових формувань, їхніх окремих підроз­ділів, якщо ці відомості не належать до державної таємниці згідно із законодавством України.

Інформація, що становить таємницю страхування – це вид таємної інформації, який охоплює відомості про страхувальника та його майновий стан.

Інформація, що становить комерційну таємницю – відомості науково-технічного, технічного, виробничого, фінансово-економічного або іншого характеру (у тому числі секрети виробництва (ноу-хау)), що мають дійсну або потенційну комерційну цінність у силу невідомості її третім особам, до якої немає вільного доступу на законній підставі й у відношенні якої власником такої інформації введений режим комерційної таємниці.

Термін «ноу-хау» («know-how») вперше був застосований в американській судовій практиці в 1916 році у судовій праві «Дізенд проти Брауна» і з того часу застосовується у всьому світі, дослівний переклад терміну означає «знаю як» (скорочення від «знаю як зробити») і знайшов застосування в правовій літературі більшості держав світу та став звичайним в економічному обігу. Він відомий в комерційних і юридичних колах, але до теперішнього часу немає достатньо чіткого його визначення, щоб задовольнити усіх, вираз «ноу-хау» є професіоналізмом, побутовим жаргоном, що набув повсюдного поширення у зв’язку зі своєю виразністю.

Загальним для всіх термінів є те, що до «ноу-хау» відносяться технічні прийоми і виробнича інформація. «Ноу-хау» може виступати як інформація з обмеженим доступом так і відкрита інформація.

Інформаційна система – організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів.

Інформаційно-телекомунікаційна система – сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле.

Інформаційний процес – любий процес, у якому присутній хоча б один із елементів: передача інформації, її приймання, зберігання, обробка, видача користувачу.

Кваліфікація – процес демонстрації здатності об’єкту виконувати задані вимоги.

Кваліфікаційні вимоги – множина критеріїв чи вимог, які повинні задовольнятись для того, щоб програмний продукт можна було кваліфікувати як такий, що відповідає специфікаціям на нього і готовий для використання в його цільовому середовищі.

Кваліфікаційні випробування – випробування, які проводить розробник і засвідчує замовник (відповідним чином) для демонстрації того, що програмний продукт відповідає специфікаціям на нього і готовий для використання в його цільовому середовищі.

Керування ризиком – загальний процес визначання, регулювання і відокремлювання чи мінімізації сумнівних подій, що можуть впливати на ресурси системи інформаційних технологій.

Комплексна система захисту інформації – взаємопов’язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.

Контракт – двостороння угода, якій, як правило, надано юридичної сили, або подібна внутрішня угода, виключно у межах організації, щодо надання програмних послуг або постачання, розроблення, виробництва, експлуатації чи супроводу програмного продукту.

Конфіденційність – властивість, яка гарантує, що інформація недоступна і не може бути розкрита несанкціонованими особами, об’єктами чи процесами.

Користувач – особа або організація, що використовує діючу систему для виконання заданої функції.

Примітка. Користувач може виконувати інші ролі, наприклад, замовника, розробника, супроводжувача.

Криптографічний захист інформації – вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/відновлення змісту інформації, підтвердження її спроможності, цілісності, авторства тощо.

Криптографічний ключ – послідовність символів, що забезпечує можливість шифрування – дешифрування.

Логічна бомба – здійснює тайне вставлення в програму набору команд, яке повинно спрацювати лише одного разу, але при визначених умовах.

Матеріальні носії секретної інформації – матеріальні об’єкти, в тому числі фізичні поля, в яких відомості, що становлять державну таємницю, відображені у вигляді текстів, знаків, символів, образів, сигналів, технічних рішень, процесів тощо.

Модель життєвого циклу – концептуальна структура, що включає процеси, дії та завдання, які стосуються розроблення, експлуатації та супроводу програмного продукту, і охоплює життєвий цикл системи, починаючи з визначення вимог до неї і закінчуючи припиненням її використання.

Модель загроз для інформації – формалізований опис методів та засобів здійснення загроз для інформації.

Моніторинг – перевірка стану діяльності постачальника та її результатів з боку замовника або третьої сторони.

Надійність – властивість незмінності визначених поведінки та результатів.

Несанкціоновані дії щодо інформації в системі – дії, що провадяться з порушеннями порядку доступу до цієї інформації, установленого відповідно до законодавства.

Обробка інформації в системі – виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, знищення, реєстрації, приймання, оброблення, передавання, які здійснюються в системі за допомогою технічних і програмних засобів.

Обліковість – властивість, яка гарантує, що за діями об’єкта завжди можна однозначно визначити сам об’єкт.

Оцінювання – систематичне визначення ступеня відповідності об’єкта (сутності) заданим щодо нього критеріям.

Охорона державної таємниці – комплекс організаційно-правових, інженерно-технічних, криптографічних та оперативно-розшукових заходів, спрямованих на запобігання розголошення секретної інформації та втратам її матеріальних носіїв.

Перепустка – картка чи інший вид документа, виданий окремим особам, котрі працюють або котрим в силу інших причин потрібен санкціонований доступ в організацію або на режимну територію, зону, приміщення з метою спрощення допуску та упізнання осіб, включаючи документи на транспортні засоби, видані для аналогічних цілей. Перепустками іноді називають посвідчення особи.

Порушення цілісності інформації в системі – несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її зміст.

Порядок доступу до інформації в системі – умови отримання користувачем можливості оброблення інформації в системі та правила обробки цієї інформації.

Постачальник – організація, що укладає контракт із замовником на постачання системи, програмного продукту чи програмної послуги згідно з умовами контракту.

Примітка 1. Термін «постачальник» є синонімом підрядника, виробника, продавця або торговця.

Примітка 2. Замовник може визначити частину своєї організації як підрядника.

Програмна послуга – виконання діяльності, роботи або обов’язків, пов’язаних із програмним продуктом, наприклад, таких, як його розроблення, супровід та експлуатація.

Програмний модуль – фрагмент коду, що може бути скомпільований окремо.

Програмний продукт – набір програм, процедур та, можливо, пов’язаної з ними документації та даних.

Примітка. Термін «продукт» має інтерпретуватися як частина системи у загальновживаному значенні.

Програмно-апаратні засоби – поєднання апаратного пристрою та машинних інструкцій або комп’ютерних даних, що розміщуються як програмний засіб типу «тільки для читання» в апаратному пристрої. Програмний засіб не можна швидко змінювати програмним шляхом.

Процес – множина взаємопов’язаних дій, що перетворює входи на виходи.

Примітка. Термін «дії» охоплює використання ресурсів; [ІSО 8402. 1.2.]

Редакція – окрема версія елементу конфігурації, що надається з певною метою (наприклад, тестова редакція).

Режим секретності – встановлений згідно з вимогами Закону України «Про державну таємницю» та інших видах відповідно до нього нормативно-правових актів єдиного порядку забезпечення охорони державної таємниці.

Режимна зона – частина режимної території режимного об’єкта, що визначена для здійснення діяльності, пов’язаної з інформацією, що має гриф обмеженим доступом.

Режимне приміщення – кімната, декілька кімнат із загальним для них входом (виходом), аудиторія, зал тощо, що визначені для здійснення діяльності, пов’язаної з інформацією з обмеженим доступом.

Розробник – організація, що провадить дії з розроблення (включно з аналізом вимог, проектуванням, випробуваннями під час приймання) в межах життєвого циклу програмного забезпечення.

Розсекречування матеріальних носіїв секретної інформації – зняття в установленому законодавством порядку обмежень на поширення та доступ до конкретної секретної інформації шляхом скасування раніше наданого грифу секретності документам, виробам або іншим матеріальним носіям цієї інформації.

Ризик – імовірність того, що активи чи група активів уразливі до загрози, що може спричинювати їхнє ушкодження чи знищення.

Система – інтегрована структура, що складається з одного чи більшої кількості процесів, компонентів апаратного забезпечення, компонентів програмного забезпечення, засобів та персоналу, що забезпечує можливість задоволення встановленої потреби або цільової функції.

Стратегія захисту в інформаційних технологіях –правила, директиви і дії з керування захистом, які поширюються на активи, разом із критичною інформацією організації і її систем інформаційних технологій.

Ступінь секретності («особливої важливості», «цілком таємно», «таємно») – категорія, яка характеризує важливість секретної інформації, ступінь обмеження доступу до неї та рівень її охорони державою.

Супроводжувач – організація, що здійснює діяльність із супроводу.

Телекомунікаційна система – сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб.

Тестове покриття – ступінь, до якого набір тестових даних випробовує вимоги до системи або програмного продукту. (Міра, що характеризує здатність тестових даних випробовувати вимоги до системи або програмного продукту).

Тестопридатність – ступінь можливості розроблення об'єктивного та здійсненого тесту для встановлення відповідності вимогам.

Технічний захист інформації – вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації.

Троянський кінь – здійснює введення до чужої програми таких команд, які дозволяють здійснити інші, не плановані власником програми функції, але одночасно зберегти і попередню працездатність.

Угода – визначення термінів та умов, за яких будуть здійснюватися робочі стосунки.

Ураження – результат небажаного інциденту.

Уразливість – сприйнятливість активів чи групи активів до загроз.

Формулювання роботи – документ, що використовується замовником як засіб опису та специфікації завдань, які слід виконати згідно з контрактом.

Цілісність – див. цілісність даних і цілісність системи.

Цілісність даних – дані не можуть бути змінені чи зруйновані несанкціонованим способом.

Цілісність системи – властивість, яка гарантує, що система повноцінно виконує свої функції без навмисних чи випадкових несанкціонованих втручань.

Черв’як інформаційної системи – представляє собою спеціальну самостійно розповсюджуючи програму, що здійснює зміни даних або програм інформаційної системи, без права на це, шляхом передачі, впровадження або розповсюдження за допомогою мережі інформаційних систем.