by Dr. Radut

2.6.6. Информационная безопасность

Published by admin - чт, 04/13/2023 - 06:53
  1. Анализ информационного риска

Систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Оценка информационного риска

Общий процесс анализа информационного риска и его оценивания.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Уязвимость

Слабое место актива или меры и средства контроля и управления, которое может быть использовано угрозой.

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Уязвимость (информационной системы), брешь

Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Примечания:

1. Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.

2. Если уязвимость соответствует угрозе, то существует риск.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Угроза

Возможная причина нежелательного инцидента, который может нанести ущерб системе или организации.

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Угроза (безопасности информации)

Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения; Р 50.1.056-2005 Техническая защита информации. Основные термины и определения; ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей; ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем; СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Модель угроз (безопасности информации)

Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Примечание - Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.

[ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения» от 18 декабря 2008 г.; ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Источник угрозы безопасности информации

Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

[Р 50.1.056-2005 Техническая защита информации. Основные термины и определения; ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Несанкционированное воздействие на информацию

Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Вредоносная программа

Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Преднамеренное силовое электромагнитное воздействие на информацию

Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Инцидент, относящийся к информационной безопасности

Непредвиденное или нежелательное событие (группа событий) безопасности, которое привело (могут привести) к нарушению функционирования информационной системы или возникновению угроз безопасности информации (нарушению конфиденциальности, целостности, доступности).

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Компьютерный инцидент

Факт нарушения и (или) прекращения функционирования объекта информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Компьютерная атака

Целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств.

[ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения]

 

  1. Мера и средство контроля и управления

Средство для осуществления менеджмента риска, включающее политики, процедуры, рекомендации, практические приемы или организационные структуры, которые могут иметь административный, технический, управленческий или правовой характер.

Примечания:

1. Частным случаем меры контроля и управления является мера защиты информации.

2. Различают следующие меры защиты информации:

- правовые меры защиты информации (меры правового характера), реализующие определение взаимоотношений между субъектами права, наделение или ограничение прав юридических или физических лиц, заключение соглашений о распределении обязанностей между ними;

- организационные меры защиты информации, направленные на принятие и реализацию организационных решений в отношении всей организации (холдинга, общества) (меры административного характера) или отдельных её структурных подразделений (работников) (меры управленческого характера);

- технические меры защиты информации (меры технического характера), реализуемые за счёт использования технических (программных, программно-аппаратных) средств защиты информации.

3. Часть мер защиты информации могут отвечать признакам более одной группы, например, организационно-правовые меры защиты информации или организационно-технические меры защиты информации.

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Защита информации, ЗИ

Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Замысел защиты информации

Основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Цель защиты информации

Заранее намеченный результат защиты информации.

Примечание - Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Правовая защита информации

Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Требование по защите информации

Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Оценка соответствия требованиям по защите информации

Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Лицензирование в области защиты информации

Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Система защиты информации

Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Общий регламент по защите данных

Правила регулирования процедуры сбора, обработки, хранения и распространения персональных данных. Их основная цель - защитить личные данные, согласно правам человека.

[Унифицированный глоссарий управления цифровой трансформацией ОАО «РЖД», утверждённый распоряжением ОАО «РЖД» от 8 сентября 2022 г. № 2333/р; Концепция Корпоративной системы управления данными ОАО «РЖД», утверждённая 10 сентября 2020 г. № 1354/р]

 

  1. Защита информации от [иностранной] разведки

Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Защита информации от непреднамеренного воздействия

Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Защита информации от преднамеренного воздействия, ЗИ от ПДВ

Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Защита информации от несанкционированного воздействия, ЗИ от НСВ

Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Защита информации от несанкционированного доступа, ЗИ от НСД

Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Примечание - Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Защита информации от разглашения

Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Защита информации от утечки

Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.

Примечание - Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Объект защиты информации

Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Специальная проверка

Проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Специальное исследование (объекта защиты информации)

Исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Способ защиты информации

Порядок и правила применения определенных принципов и средств защиты информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Физическая защита информации

Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Примечания:

1. Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

2. К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Криптографическая защита информации

Защита информации с помощью ее криптографического преобразования.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Средство контроля эффективности защиты информации

Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Подсистема защиты информации

Неотъемлемая часть каждой автоматизированной информационно-телекоммуникационной системы (объекта информационной инфраструктуры) ОАО «РЖД», представляющая собой совокупность мер и средств контроля и управления (в том числе, правовых мер, организационных мероприятий, технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации).

Примечание - подсистема защиты информации может именоваться как:

система защиты информации (автоматизированной информационно-телекоммуникационной системы ОАО «РЖД»);

система (подсистема) безопасности (объекта информационной инфраструктуры ОАО «РЖД»).

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Техника защиты информации

Средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Средство защиты информации

Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Средство физической защиты информации

Средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Криптографическое средство защиты информации

Средство защиты информации, реализующее алгоритмы криптографического преобразования информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Техническая защита информации, ТЗИ

Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Показатель эффективности защиты информации

Мера или характеристика для оценки эффективности защиты информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Норма эффективности защиты информации

Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Экспертиза документа по защите информации

Рассмотрение документа по защите информации физическим или юридическим лицом, имеющим право на проведение работ в данной области, с целью подготовить соответствующее экспертное заключение.

Примечание - Экспертиза документа по защите информации может включать в себя научно-техническую, правовую, метрологическую, патентную и терминологическую экспертизу.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Эффективность защиты информации

Степень соответствия результатов защиты информации цели защиты информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Защищаемая информация

Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Примечание - Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Носитель защищаемой информации

Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Фактор, воздействующий на защищаемую информацию

Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Защищаемая информационная система

Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.

[Р 50.1.056-2005 Техническая защита информации. Основные термины и определения; ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Защищаемый объект информатизации

Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.

[Р 50.1.056-2005 Техническая защита информации. Основные термины и определения; ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Информационная безопасность организации

Состояние защищенности интересов организации в условиях угроз в информационной сфере.

Примечание - Защищенность достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры организации. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации.

[ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения; СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Безопасность информации [данных]

Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения; СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Конфиденциальность информации

Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Целостность

Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения; ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Информационный актив

Информация, которая имеет ценность для ОАО «РЖД» в интересах достижения целей деятельности и находится в распоряжении ОАО «РЖД».

Примечание - Информационными активами являются различные виды информации, циркулирующей (создаваемой, собираемой, хранимой, обрабатываемой, передаваемой и т.д.) в автоматизированных информационно-телекоммуникационных системах ОАО «РЖД».

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Инвентаризация информационных активов

Оценка наличия и состояния информационных активов ОАО «РЖД» на определенную дату за счет сравнения фактических данных с данными учета в ОАО «РЖД».

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Информационный ресурс

Информационный актив, который используется в ходе выполнения процессов ОАО «РЖД».

Примечание - Информационные ресурсы могут обрабатываться, храниться, передаваться в виде файлов, пакетов данных, логических дисков (томов), каталогов, записей и полей записей баз данных, распределённых баз данных и иных форм документов, массивов документов.

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Политика безопасности (информации в организации)

Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения; Р 50.1.056-2005 Техническая защита информации. Основные термины и определения]

 

  1. Нарушение информационной безопасности ОАО «РЖД»

Случайное или преднамеренное неправомерное действие физического лица (субъекта доступа) в отношении активов ОАО «РЖД», следствием которых является нарушение безопасности информации при ее обработке в автоматизированных информационно-телекоммуникационных системах, вызывающее негативные последствия (ущерб/вред) для ОАО «РЖД».

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Событие безопасности (информационной)

Идентифицированное возникновение состояния АИТС (сегмента, компонента АИТС), сервиса или сегмента сети, указывающее на возможное нарушение безопасности информации, или сбой средств защиты информации, или ранее неизвестная ситуация, которая может быть значимой для безопасности информации ОАО «РЖД».

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Система управления информационной безопасностью, СУИБ

Система управления, предназначенная для разработки, внедрения, применения, мониторинга, анализа, поддержания и совершенствования ИБ ОАО «РЖД».

Примечание - СУИБ включает организационную структуру, нормативно-методическую базу ИБ (настоящий стандарт, политика ИБ ИИ, политика ИБ ИИ ОАО «РЖД», положения, методические указания, регламенты, наборы требований безопасности к мерам защиты и технические проекты), процессы, информационные, технические и другие ресурсы.

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Мониторинг безопасности информации

Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Сертификация на соответствие требованиям по безопасности информации

Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.

Примечание - К объектам оценки могут относиться: средство защиты информации, средство контроля эффективности защиты информации.

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Аудиторская проверка информационной безопасности в организации, аудит информационной безопасности в организации

Периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности.

Примечание - Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит).

[ГОСТ Р 50922-2006 Защита информации. Основные термины и определения]

 

  1. Информационная инфраструктура ОАО «РЖД»

Совокупность комплексов аппаратных, программных, программно-аппаратных и телекоммуникационных средств автоматизированных информационно-телекоммуникационных систем, информационно-телекоммуникационных сетей ОАО «РЖД», реализующих информационное, вычислительное и телекоммуникационное обеспечение деятельности ОАО «РЖД», а также вспомогательных систем и их оборудования, обеспечивающих бесперебойность такого обеспечения деятельности ОАО «РЖД».

Примечания:

1. Указанные средства (аппаратные, программные, программно-аппаратные, телекоммуникационные), их комплексы, а также а также вспомогательные системы, их комплексы и их оборудование являются элементами информационной инфраструктуры ОАО «РЖД».

2. Указанные автоматизированные информационно-телекоммуникационные системы, информационно-телекоммуникационные сети, как совокупность не только средств, но и используемых технологий, являются объектами информационной инфраструктуры ОАО «РЖД». В такие объекты также могут входить информация, базы данных, операторы (работники).

3. К элементам информационной инфраструктуры может быть применима процедура сертификации продукции, а к объектам информационной инфраструктуры могут быть применимы процедуры аттестации и сертификации систем.

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Критическая информационная инфраструктура, КИИ

Объекты критической информационной инфраструктуры ОАО «РЖД», а также сети электросвязи, используемые для организации взаимодействия таких объектов.

[Унифицированный глоссарий управления цифровой трансформацией ОАО «РЖД». Утверждён распоряжением ОАО «РЖД» от 8 сентября 2022 г. № 2333/р]

 

  1. Безопасность критической информационной инфраструктуры

Состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак.

[Федеральный закон от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»]

 

  1. Объекты критической информационной инфраструктуры

Информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]

 

  1. Значимый объект критической информационной инфраструктуры

Объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

[Федеральный закон от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»]

 

  1. Субъекты критической информационной инфраструктуры

Государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

[СТО РЖД 18.002-2020 Управление информационной безопасностью. Общие положения]