FTP (англ. File Transfer Protocol) – протокол передачи файлов по сети, появившийся в 1971 году задолго до HTTP и даже до TCP/IP, благодаря чему является одним из старейших прикладных протоколов.

HTTP (англ. HyperText Transfer Protocol) – протокол, позволяющий получать различные ресурсы, например HTML-документы.

HTTPS – защищенный протокол передачи данных с криптографическим шифрованием HyperText Transfer Protocol Secure.

NIST (англ. The National Institute of Standards and Technology, NIST) – подразделение Управления по технологиям США, одного из агентств Министерства торговли США.

OWASP (сокр. от Open Web Application Security Project) — это открытый проект обеспечения безопасности веб-приложений.

SMTP (англ. Simple Mail Transfer Protocol) — сетевой протокол, предназначенный для передачи электронной почты в сетях TCP/IP.

SOC (сокр. Security Operations Center) — Центр мониторинга событий информационной безопасности

TLS (англ. Transport Layer Security) — криптографический протокол, который обеспечивает защищённый обмен данными между сервером и клиентом.

TOCTOU — в разработке программного обеспечения время проверки на время использования (TOCTOU, TOCTTOU или TOC/TOU) — это класс программных ошибок, вызванных состоянием гонки, включающим проверку состояния части системы (например, учетных данных безопасности) и использование этих результатов.

Web Application Firewall – межсетевой экран защиты веб-приложений.

Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Автоматизированная система управления (сокращ. АСУ) — комплекс аппаратных и программных средств, а также персонала, предназначенный для управления различными процессами в рамках технологического процесса, производства, предприятия.

Адекватность – свойство соответствия преднамеренному поведению и результатам (ISO/IEC 13335–1:2004).

Администратор автоматизированной системы — лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы.(СТР-К)

Администратор защиты (безопасности) информации — лицо, ответственное за защиту АС от НСД к информации. (СТР-К)

Аллокатор (англ. allocator) — программа для реализации и инкапсуляции малозначимых с прикладной точки зрения деталей распределения и освобождения ресурсов памяти, другими словами — «распределитель памяти». 

Антивирусное ПО — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления заражённых (модифицированных) такими программами файлов и профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Атака – целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого. (Приказ ФСБ России от 21 февраля 2008 г. № 149/54-144)

Кибератака, в ходе которой злоумышленники взламывают компанию путем компрометации поставщиков ПО или оборудования. Например, преступники могут внедрить вредоносный код в исходный код продукта или распространить вредоносные обновления, чтобы заразить инфраструктуру целевой организации.

Хорошо организованная, тщательно спланированная многоэтапная целевая кибератака. За APT-атакой стоят преступные группировки (APT-группировки), участники которых отличаются высоким уровнем квалификации. APT-группировки, как правило, обладают значительными финансовыми ресурсами и техническими возможностями.

Аудит информационной безопасности — систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению ИБ, установления степени выполнения в организации критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения о состоянии ИБ организации.

Аутентичность

– идентичность объекта тому, что заявлено.

– свойство обеспечения идентичности субъекта или ресурса заявленной идентичности. Аутентичность применяется к таким субъектам как пользователи, процессы, системы и информация (ISO/IEC 13335–1:2004)

Безопасность информации

— состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами. (СТР-К)

— состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.(ГОСТ Р 50922-2006)

Вспомогательные технические средства и системы (ВТСС) — технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, размещаемые совместно с ОТСС или в ЗП. (СТР-К)

Встраивание криптосредства – процесс подключения криптосредства к техническим и программным средствам, совместно с которыми предполагается его штатное функционирование, за исключением процесса инсталляции. (Приказ ФСБ России от 21 февраля 2008 г. № 149/54-144)

ГИС – (сокр.) государственная информационная система

Государственные Информационные системы — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.

Десериализация – преобразование потока байтов в объект. По сути, процесс «зеркальный» сериализации.

Дискреционное управление доступом — разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту.

Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством РФ случаях ее материальный носитель. (149-ФЗ от 27 июля 2006 года)

Доступ (в АИС) — получение возможности ознакомления с информацией, ее обработки и (или) воздействия на информацию и (или) ресурсы АИС с использованием программных и (или) технических средств. (Р 50.1.053-2005)

Доступ к информации

– возможность получения информации и ее использования. (149-ФЗ от 27 июля 2006 года)

– ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации (СТР-К)

Доступность информации (ресурсов информационной системы) — состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно. (ГОСТ Р 50922-2006)

Доступность информации availability

— состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия. (СТР-К)

— свойство быть доступным и готовым к использованию по запросу авторизованного субъекта. (ГОСТ Р ИСО/МЭК 27000)

ЕСИА – (сокр.) единая система идентификации и аутентификации

Защищаемые помещения (ЗП) — помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.). (СТР-К)

Зона 1 — пространство вокруг ОТСС, на границе и за пределами которого уровень наведенного от ОТСС сигнала в ВТСС, а также в посторонних проводах и линиях передачи информации, имеющих выход за пределы КЗ, не превышает нормированного значения.

Зона 2 — пространство вокруг ОТСС на границе и за пределами которого напряженность электромагнитного поля информативного сигнала не превышает нормированного значения.

Импортозамещение — это процесс в национальной экономике, в ходе которого в стране производится необходимая продукция силами производителей данного государства

Инсталляция – установка программного продукта на компьютер. Инсталляция обычно выполняется под управлением инсталлятора – программы, которая приводит состав и структуру устанавливаемого программного изделия в соответствие с конфигурацией компьютера, а также настраивает программные параметры согласно типу имеющейся операционной системы, классам решаемых задач и режимам работы. Таким образом, инсталляция делает программный продукт пригодным для использования в данной вычислительной системе и готовым решать определенный класс задач в определенном режиме работы. (Приказ ФСБ России от 21 февраля 2008 г. № 149/54-144)

Информационная безопасность РФ — состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства (Указ Президента РФ от 5 декабря 2016 г. № 646)

Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. (149-ФЗ от 27 июля 2006 года)

Информационная система (сокращ. ИС) — система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы, которые обеспечивают и распространяют информацию.

Информационная сфера — совокупность информации, объектов информатизации, информационных систем, сайтов в ИТС «Интернет», сетей связи, информационных технологий, субъектов, деятельность которых связана с формированием и обработкой информации, развитием и использованием названных технологий, обеспечением информационной безопасности, а также совокупность механизмов регулирования соответствующих общественных отношений. (Указ Президента РФ от 5 декабря 2016 г. № 646)

Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. (149-ФЗ от 27 июля 2006 года)

Информационно-телекоммуникационная сеть (сокращ. ИТС) — технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Информационные системы общего пользования (ИСОП) — федеральные государственные ИС, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством РФ.

Информационные системы персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. (149-ФЗ от 27 июля 2006 года)

Информация — сведения (сообщения, данные) независимо от формы их представления (149-ФЗ от 27 июля 2006 года)

— акустическая (речевая) информация

— видовая информация

— информация, обрабатываемая (циркулирующая) в ИС, в виде электрических, электромагнитных, оптических сигналов

— информация, обрабатываемая в ИС, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур

Инъекция – ввод вредоносных данных для получения несанкционированного доступа к ресурсам. При инъекциях происходит непредусмотренная создателем веб-ресурса работа программы.

Искусственный интеллект (ИИ; англ. artificial intelligence, AI) — свойство искусственных интеллектуальных систем выполнять творческие функции человека; наука и технология создания интеллектуальных машин, особенно интеллектуальных компьютерных программ.

Источник угрозы безопасности информации — субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации. (Р 50.1.056-2005)

Канал атаки – среда переноса от субъекта к объекту атаки (а, возможно, и от объекта к субъекту атаки) действий, осуществляемых при проведении атаки. (Приказ ФСБ России от 21 февраля 2008 г. № 149/54-144)

Использование реквизитов банковской карты для совершения финансовой операций без участия владельца карты; вид мошенничества.

КИИ — критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Компрометация криптоключей — хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут (!!!) стать доступными несанкционированным лицам и (или) процессам. (Приказ ФСБ России от 21 февраля 2008 г. № 149/54-144)

Конвейер CI/CD — DevOps-практика непрерывной интеграции / поставки. Представляет собой способ разработки приложений с непрерывными изменениями кода, сборкой, тестированием и развертыванием в автоматическом режиме.

Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. (149-ФЗ от 27 июля 2006 года) (ГОСТ Р 50922-2006)

Конфиденциальность информации confidentiality

— состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранение в тайне информации от субъектов, не имеющих полномочий на ознакомление с ней.(СТР-К)

— свойство информации быть недоступной и закрытой для неавторизованных лиц, субъектов или процессов. (ГОСТ Р ИСО/МЭК 27000)

— состояние информации (ресурсов АИС), при котором доступ к ней (к ним) осуществляют только субъекты, имеющие на него право. (Р 50.1.053-2005)

Криптографически опасная информация (КОИ) – информация о состояниях криптосредства, знание которой нарушителем позволит ему строить алгоритмы определения ключевой информации (или ее части) или алгоритмы бесключевого чтения. (Приказ ФСБ России от 21 февраля 2008 г. № 149/54-144)

Криптография – технология шифрования исходного сообщения в секретный код или шифр и его последующего дешифрования.

Криптосредство – шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. (Приказ ФСБ России от 21 февраля 2008 г. № 149/54-144)

Лицензионное ПО — это правовой инструмент, определяющий использование и распространение программного обеспечения, защищённого авторским правом. Обычно лицензия на программное обеспечение разрешает получателю использовать одну или несколько копий программы, причём без лицензии такое использование рассматривалось бы в рамках закона как нарушение авторских прав издателя.

Мандатное управление доступом — разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.

Машинное обучение (агнл. machine learning, ML) — использование математических моделей данных, которые помогают компьютеру обучаться без непосредственных инструкций. Оно считается одной из форм искусственного интеллекта (ИИ).

Модель нарушителя – предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.

Модель угроз – перечень возможных угроз. (Приказ ФСБ России от 21 февраля 2008 г. № 149/54-144)

Модификация – открытие несанкционированного доступа к ресурсу и его изменение нарушителем.

— Изменение значений в файле данных.

— Модификация кода программы с целью изменения ее функций.

— Изменение содержимого передаваемого по сети сообщения.

Нарушитель (субъект атаки) – лицо (или инициируемый им процесс), проводящее (проводящий) атаку.

Негативные функциональные возможности – документированные и недокументированных возможности программных и аппаратных компонентов криптосредства и среды функционирования криптосредства, позволяющие:

— модифицировать или искажать алгоритм работы криптосредств в процессе их использования;

— модифицировать или искажать информационные или управляющие потоки и процессы, связанные с функционированием криптосредства;

— получать доступ нарушителям к хранящейся в открытом виде ключевой, идентификационной и (или) аутентифицирующей информации, а также к защищаемой информации.

Недекларированные возможности — функциональные возможности средств вычислительной техники (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Недокументированные (недекларированные) возможности ПО (ТС) – функциональные возможности ПО (ТС), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение характеристик безопасности защищаемой информации.

Неотказуемость – способность доказать, что действие или событие произошло таким образом, что факт действия или события не может быть опровергнут (ИСО 7498–2:99 и ИСО 13888–1:2004).

Несанкционированное воздействие (на информацию) — изменение информации (ресурсов АИС), осуществляемое с нарушением установленных прав и (или) правил. НСВ может быть осуществлено преднамеренно или непреднамеренно. Преднамеренные НСВ являются специальными воздействиями.

Несанкционированный доступ – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых СВТ или АС. (СТР-К)

Носитель информации — физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. (149-ФЗ от 27 июля 2006 года)

Объект несанкционированного воздействия со стороны киберпреступников, например веб-ресурс, компьютер, сервер, сетевое оборудование, мобильное устройство. Объектом атаки может быть и человек, если атака проводится с помощью методов социальной инженерии.

Объект доступа — единица ресурса информационной системы, доступ к которой регламентируется ПРД. (Р 50.1.053-2005)

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров. (ГОСТ Р 51275-2006)

Объекты КИИ — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры

Оператор

— государственный орган

— муниципальный орган

— юридическое лицо

— физическое лицо

совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными. (152-ФЗ от 27 июля 2006)

Оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.(149-ФЗ от 27 июля 2006 года)

Орган по сертификации — юридическое лицо или индивидуальный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации.

Основные технические средства и системы (ОТСС) — технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации.(СТР-К)

Отладочный аллокатор (англ. debug allocator) — «подвид» аллокатора, предназначенный для анализа использования памяти и выявления возможных случаев утечек памяти, двойном высвобождении памяти, освобождении нераспределенной памяти и иных аналогичных проблемах.

ПДн – (сокр.) персональные данные

Пентест (англ. penetration test, тестирование на проникновение) – метод анализа ИБ-системы на наличие уязвимостей путем моделирования атаки злоумышленников. Пентестинг ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы.

Перехват — получение несанкционированного доступа к ресурсу:

— подключение к кабелю связи с целью перехвата данных;

— незаконное копирование файлов и программ.

Поверхность атаки – возможно уязвимые места в системе, к их числу относят «участки кода», куда могут попадать на вход данные из непроверенных источников.

Подтверждение соответствия — документальное удостоверение соответствия продукции или иных объектов, процессов проектирования, производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

Пользователь – лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования. (Приказ ФСБ России от 21 февраля 2008 г. № 149/54-144)

Правила разграничения доступа

— совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

— правила, регламентирующие условия доступа субъектов доступа к объектам доступа в информационной системе. (Р50.1.053-2005)

Предоставление информации – действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц. (149-ФЗ от 27 июля 2006 года)

Программа аудита ИБ – план деятельности по проведению одного или нескольких аудитов ИБ (и других проверок ИБ), запланированных на конкретный период времени и направленных на достижение конкретной цели.
Включает всю деятельность, необходимую для планирования, проведения, контроля, анализа и совершенствования аудитов ИБ (и других проверок ИБ).

Программно-аппаратные шифровальные (криптографические) средства — устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для ЭВМ, предназначенных для осуществления этих преобразований информации или их части. (ПП №313 от 16 апреля 2012)

Программные шифровальные (криптографические) средства – программы для ЭВМ и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программноаппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств. (ПП №313 от 16 апреля 2012)

Разъединение — уничтожение ресурса системы, либо приведение его в состояние недоступности или негодности.

— Вывод из строя оборудования.

— Обрыв линии связи.

— Разрушение файловой системы.

Распространение информации – действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц. (149-ФЗ от 27 июля 2006 года)

РКН (сокр. от Роскомнадзор) — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций

Санитайзер (sanitizer) – это средство поиска ошибок в исходном коде, входящее в состав компиляторов.

Сериализация – преобразование объекта в «поток» байтов, который можно сохранять в виде файла, сохранять в базе данных или отправлять по локальной / глобальной сети. По сути этот состояние объекта, которое может быть использовано для его «реконструкции» и создании полной копии. Дает возможность сохранить данные, чтобы воссоздать объект в месте, отличном от «точки» создания.

Сертификат соответствия — документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов или условиям договоров

Сертификация — форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров

СЗИ – (сокр.) средства защиты информации

СИ — выявление с помощью контрольно-измерительной аппаратуры возможных ТКУИ

Система сертификации — совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом.

СО

— определение соответствия условий эксплуатации ОИ требованиям аттестатов соответствия, предписаний …. без применения контрольно-измерительной аппаратуры (ФСТЭК России)

— проверки помещений на наличие возможно внедренных ЭУПИ (ФСБ России)

СП

— проверка ОИ с целью выявления и изъятия возможно внедренных закладочных устройств (ФСТЭК России)

— проверки ТСПИ на наличие возможно внедренных ЭУПИ (ФСБ России)

Специальные исследования (специсследования)

– выявление с помощью контрольно — измерительной аппаратуры возможных каналов утечки информации ограниченного доступа, обрабатываемой ТСПИ.

— исследования с целью выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте ТЗИ) требованиям нормативных правовых документов в области безопасности информации. (Р 50.1.056-2005)

Специальные обследования (спецобследования) – определение соответствия условий эксплуатации объектов ТСПИ требованиям аттестатов соответствия, предписаний на эксплуатацию и других руководящих документов по спецзащите без применения контрольно-измерительной аппаратуры.

Специальные проверки (спецпроверки)

– проверки ТСПИ иностранного и совместного производства на наличие возможно внедренных электронных устройств перехвата информации.

– проверка объекта информатизации с целью выявления и изъятия возможно внедренных закладочных устройств. (Р50.1.056-2005)

Среда распространения информативного сигнала — физическая среда, по которой информативный сигнал может распространяться и регистрироваться приемником.

Среда функционирования криптосредства (СФК) – совокупность технических и программных средств, совместно с которыми предполагается штатное функционирование криптосредства и которые способны повлиять на выполнение предъявляемых к криптосредству требований.

Средства изготовления ключевых документов — аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств. (ПП №313 от 16 апреля 2012)

Средства имитозащиты — аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации. (ПП №313 от 16 апреля 2012)

Средства кодирования — средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций. (ПП №313 от 16 апреля 2012)

Средства обработки информации — любые системы, службы или инфраструктуры по обработке информации, а также их физические местонахождения. (СТР-К)

Средства шифрования – аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче. (ПП №313 от 16 апреля 2012)

Субъект доступа

— лицо или единица ресурса ИС, действия которого по доступу к ресурсам ИС регламентируются ПРД. (Р 50.1.053-2005)

– лицо или процесс, действия которого регламентируются правилами разграничения доступа. Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Техническая защита информации

— защита информации некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам (ТКУИ), от несанкционированного доступа (НСД), от специальных воздействий на информацию в целях ее уничтожения, искажения или блокирования (СТР-К)

— выполнение работ и (или) оказание услуг по защите информации от несанкционированного доступа, утечки по техническим каналам, специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней. (Постановление Правительства РФ от 13 февраля 2012 г. № 79)

Технический канал утечки информации (ТКУИ)

— совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация. (СТР-К)

— совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация. (Базовая модель …)

Угроза (безопасности информации) — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. (Р 50.1.056-2005)

Угроза безопасности – совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства. (Приказ ФСБ России от 21 февраля 2008 г. № 149/54-144)

Угроза безопасности объекта – возможное нарушение характеристики безопасности объекта. (Приказ ФСБ РФ, № 149/54-144, 2008)

Уровень криптографической защиты информации – совокупность требований, предъявляемых к криптосредству.

Усиленная квалифицированная электронная подпись (УКЭП) — цифровой аналог собственноручной подписи. Документы, подписанные от руки или с помощью УКЭП, имеют равнозначную ценность.

УКЭП — это файл, в котором хранится зашифрованная информация, подтверждающая личность человека и подлинность подписанного документа.

Успешная атака – атака, достигшая своей цели. (Приказ ФСБ России от 21 февраля 2008 г. № 149/54-144)

Утилита — вспомогательная компьютерная программа в составе общего программного обеспечения для выполнения специализированных типовых задач, связанных с работой оборудования и операционной системы

Учетность

– обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены уникально по отношению к субъекту.

– свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта (ИСО 7498–2:99)

Уязвимость (информационной системы)

— недостаток или слабое место в АИС, которые могут быть условием реализации угрозы безопасности обрабатываемой в ней информации. (Р 50.1.053-2005)

— свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации. (Р 50.1.056-2005)

— недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации.(ЗИ. Уязвимости ИС. ГОСТ 56546-2015)

Уязвимость архитектуры – уязвимость, появившаяся в процессе проектирования ИС. (ЗИ. Уязвимости ИС. ГОСТ 56546-2015)

Уязвимость кода – уязвимость, появившаяся в процессе задания конфигурации (применения параметров настройки) ПО и технических средств ИС. (ЗИ. Уязвимости ИС. ГОСТ 56546-2015)

Уязвимость конфигурации – уязвимость, появившаяся в процессе задания конфигурации (применения параметров настройки) ПО и технических средств ИС. (ЗИ. Уязвимости ИС. ГОСТ 56546-2015)

Уязвимость многофакторная – уязвимость, появившаяся в результате наличия нескольких недостатков различных типов. (ЗИ. Уязвимости ИС. ГОСТ 56546-2015)

Уязвимость организационная – уязвимость, появившаяся в связи с отсутствием (или недостатками) организационных мер ЗИ в ИС и (или) несоблюдением правил эксплуатации СЗИ ИС, требований ОРД по ЗИ и (или) несвоевременное выполнение соответствующих действий должностным лицом или подразделением, ответственным за ЗИ. (ЗИ. Уязвимости ИС. ГОСТ 56546-2015)

Фаззинг – техника тестирования ПО. Заключается в передаче на вход приложения случайных, неожиданных или неправильных данных. Обычно проводится в автоматическом либо полуавтоматическом режиме. 

ФСТЭК – (сокр.) Федеральная служба по техническому и экспортному контролю— государственный орган, выполняющий функции по координации и организации совместной работы ведомств в сфере госбезопасности по вопросам противодействия зарубежным техразведкам на территории РФ, защиты данных, относящихся к гостайне, отвечающий за безопасность важнейших точек информационной инфраструктуры РФ, а также занимающийся экспортным контролем.

Хэширование – это преобразование входного массива данных определенного типа и произвольной длины в выходную битовую строку фиксированной длины. 

Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право. (ГОСТ Р 50922 2006)

Целостность информации integrity

— состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки и хранения. (СТР-К)

— свойство сохранения правильности и полноты активов. (ГОСТ Р ИСО/МЭК 27000)

Электронное сообщение – информация, переданная или полученная пользователем информационно-телекоммуникационной сети. (149-ФЗ от 27 июля 2006 года)

Электронный документ – документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием ЭВМ, а также для передачи по ИТКС или обработки в ИС (ГОСТ Р 52292-2004)