Обозначения и сокращения

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ

РОССИЙСКОЙ ФЕДЕРАЦИИ.

ОБЩИЕ ПОЛОЖЕНИЯ

 

                                                                                            

                                                                              Дата введения: 20хх-хх-хх

 

Издание официальное

 

Москва

 20хх

Предисловие

1.    ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от __ _____ 20__ года № Р-____.

 

2. ВЗАМЕН СТО БР ИББС–1.0–2008.

 

 

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.

Содержание

Введение. V

Введение. V

1. Область применения. 6

2. Нормативные ссылки.. 6

3. Термины и определения. 6

4. Обозначения и сокращения. 12

5. Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций банковской системы Российской Федерации.. 13

6. Модели угроз и нарушителей информационной безопасности организаций банковской системы Российской Федерации.. 18

7. Система информационной безопасности организаций банковской системы Российской Федерации.. 20

7.1. Общие положения. 20

7.2. Общие требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу. 22

7.3. Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла. 23

7.4. Общие требования по обеспечению информационной безопасности при управлении доступом и регистрации.. 24

7.5. Общие требования по обеспечению информационной безопасности средствами антивирусной защиты.. 26

7.6. Общие требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет. 27

7.7. Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации.. 28

7.8. Общие требования по обеспечению информационной безопасности банковских платежных технологических процессов. 29

7.9. Общие требования по обеспечению информационной безопасности банковских информационных технологических процессов. 31

7.10. Общие требования по обработке персональных данных в организации БС РФ.. 32

7.11. Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные. 35

8. Система менеджмента информационной безопасности организаций банковской системы Российской Федерации.. 36

8.1. Общие положения. 36

8.2. Требования к организации и функционированию службы информационной безопасности организации банковской системы Российской Федерации.. 38

8.3. Требования к определению/коррекции области действия системы обеспечения информационной безопасности.. 39

8.4. Требования к выбору/коррекции подхода к оценке рисков нарушения информационной безопасности и проведению оценки рисков нарушения информационной безопасности.. 39

8.5. Требования к разработке планов обработки рисков нарушения информационной безопасности.. 40

8.6. Требования к разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения информационной безопасности.. 41

8.7. Требования к принятию руководством организации банковской системы Российской Федерации решений о реализации и эксплуатации системы обеспечения информационной безопасности.. 42

8.8. Требования к организации реализации планов внедрения системы обеспечения информационной безопасности.. 43

8.9. Требования к разработке и организации реализации программ по обучению и повышению осведомленности в области информационной безопасности.. 43

8.10. Требования к организации обнаружения и реагирования на инциденты информационной безопасности.. 44

8.11. Требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний.. 44

8.12. Требования к мониторингу и контролю защитных мер. 45

8.13. Требования к проведению самооценки информационной безопасности.. 46

8.14. Требования к проведению аудита информационной безопасности.. 47

8.15. Требования к анализу функционирования системы обеспечения информационной безопасности.. 48

8.16. Требования к анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы Российской Федерации.. 49

8.17. Требования к принятию решений по тактическим улучшениям системы обеспечения информационной безопасности.. 50

8.18. Требования к принятию решений по стратегическим улучшениям системы обеспечения информационной безопасности.. 51

9. Проверка и оценка информационной безопасности организаций банковской системы Российской Федерации.. 52

Библиография. 55

 

 
Введение

Банковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков [1]. Развитие и укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России [2]. Важнейшим условием реализации этих целей является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) организаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уровнем ИБ банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем, эксплуатирующихся организациями БС РФ.

Особенности БС РФ таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы ИБ представляют существенную опасность.

Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционный, репутационный, стратегический и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.

Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим, Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки риска нарушения ИБ и принятия мер, необходимых для управления этим риском.

Исходя из этого, разработан настоящий стандарт по обеспечению ИБ организаций БС РФ, который является базовым для развивающей и обеспечивающей его группы документов в области стандартизации, в целом составляющих комплекс документов в области стандартизации по обеспечению ИБ организаций БС РФ.

Основные цели стандартизации по обеспечению ИБ организаций БС РФ:

– развитие и укрепление БС РФ;

– повышение доверия к БС РФ;

– поддержание стабильности организаций БС РФ и на этой основе – стабильности БС РФ в целом;

– достижение адекватности мер защиты реальным угрозам ИБ;

– предотвращение и (или) снижение ущерба от инцидентов ИБ.

Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:

– установление единых требований по обеспечению ИБ организаций БС РФ;

– повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.

 

СТАНДАРТ БАНКА РОССИИ

 

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ

Общие положения

Дата введения 2009–хх–хх

Область применения

Настоящий стандарт распространяется на организации банковской системы Российской Федерации (далее — организации БС РФ) и устанавливает положения по обеспечению ИБ в организациях БС РФ.

Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних нормативных и методических документах организаций БС РФ, а также в договорах.

Положения настоящего стандарта применяются на добровольной основе, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, иными нормативными правовыми актами, в том числе, нормативными актами Банка России.

Обязательность применения настоящего стандарта может быть установлена договорами, заключенными организациями БС РФ, или решением организации БС РФ. В этих случаях, требования настоящего стандарта, содержащие положения долженствования, применяются на обязательной основе, а рекомендации, применяются по решению организации БС РФ.

Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р ИСО 9001–2001 Система менеджмента качества. Требования

Термины и определения

Термины, установленные настоящим стандартом, применяются во всех видах документации и во всех видах деятельности по обеспечению ИБ в рамках Комплекса БР ИББС[1].

3.1. Банковская система Российской Федерации: Банк России и кредитные организации, а также филиалы и представительства иностранных банков [1].

3.2. Стандарт: Документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг.

Примечание – Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения.

3.3. Рекомендации в области стандартизации: Документ, содержащий советы организационно-методического характера, которые касаются проведения работ по стандартизации и способствуют применению основополагающего стандарта.

3.4. Комплекс БР ИББС: Взаимоувязанная совокупность документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации".

3.5. Менеджмент: Скоординированная деятельность по руководству и управлению.

3.6. Система: Множество (совокупность) материальных объектов (элементов) любой, в том числе различной физической природы и информационных объектов, взаимодействующих между собой для достижения общей цели, обладающее системным свойством (свойствами).

Примечание – системным свойством (свойствами) является свойство, которое не имеет ни один из элементов и ни одно из подмножеств элементов при любом способе членения. Системное свойство не выводимо непосредственно из свойств элементов и частей.

3.7. Информация: Сведения (сообщения, данные) независимо от формы их представления [3].

3.8. Инфраструктура: Комплекс взаимосвязанных обслуживающих структур, составляющих основу для решения проблемы (задачи).

3.9. Информационная инфраструктура: Система организационных структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия.

Примечание – Информационная инфраструктура:

включает совокупность информационных центров, банков данных и знаний, систем связи;

обеспечивает доступ потребителей к информационным ресурсам.

3.10. Документ: Зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

[ГОСТ Р 52069.0-2003]

Примечание — Под материальным носителем подразумевается изделие (материал), на котором записана информация и которое обеспечивает возможность сохранения этой информации и снятие ее копий, например, бумага, магнитная лента или карта, магнитный или лазерный диск, фотопленка и т. п.

3.11. Процесс: Совокупность взаимосвязанных ресурсов и деятельности, преобразующая входы в выходы.

3.12. Технология: Совокупность взаимосвязанных методов, способов, приемов предметной деятельности.

3.13. Технологический процесс: Процесс, реализующий некоторую технологию.

3.14. Автоматизированная система: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

[ГОСТ 34.003‑90]

3.15. Авторизация: Предоставление прав доступа.

3.16. Идентификация: Процесс присвоения идентификатора (уникального имени); сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

3.17. Аутентификация: Проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности).

3.18. Регистрация: Фиксация данных о совершенных действиях (событиях).

3.19. Роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом.

Примечания

1. К субъектам относятся лица из числа руководителей организации банковской системы Российской Федерации, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.

2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.

3.20. Угроза: Опасность, предполагающая возможность потерь (ущерба).

3.21. Риск: Мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.

3.22. Актив: Все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении.

Примечание – К активам организации банковской системы Российской Федерации могут относиться:

работники (персонал), финансовые (денежные) средства, средства вычислительной техники, телекоммуникационные средства и пр.;

различные виды банковской информации - платежная, финансово-аналитическая, служебная, управляющая, персональные данные и пр.;

банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы);

банковские продукты и услуги, предоставляемые клиентам.

3.23. Информационный актив: Информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации банковской системы Российской Федерации; находящаяся в распоряжении организации банковской системы Российской Федерации и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.

3.24. Классификация информационных активов: Разделение существующих информационных активов организации банковской системы Российской Федерации по типам, выполняемое в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ.

3.25. Объект среды информационного актива: Материальный объект среды использования и (или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.).

3.26. Ресурс: Актив организации банковской системы Российской Федерации, который используется или потребляется в процессе выполнения некоторой деятельности.

3.27. Банковский технологический процесс: Технологический процесс, реализующий операции по изменению и (или) определению состояния активов организации банковской системы Российской Федерации, используемых при функционировании или необходимых для реализации банковских услуг.

Примечания

1. Операции над активами организации банковской системы Российской Федерации могут выполняться вручную или быть автоматизированными, например, с помощью автоматизированных банковских систем.

2. В зависимости от вида деятельности выделяют: банковский платежный технологический процесс, банковский информационный технологический процесс и др.

3.28. Банковский платежный технологический процесс: часть банковского технологического процесса, реализующая банковские операции над информационными активами организации банковской системы Российской Федерации, связанные с перемещением денежных средств с одного счета на другой и (или) контролем данных операций.

3.29. Банковский информационный технологический процесс: Часть банковского технологического процесса, реализующая операции по изменению и (или) определению состояния информационных активов, необходимых для функционирования организации банковской системы Российской Федерации и не являющихся платежной информацией.

Примечания:

1. Платежная информация – информация, содержащаяся в документах, на основании которой совершаются операции, связанные с перемещением денежных средств с одного счета на другой.

2. Неплатежная информация, необходимая для функционирования организации банковской системы Российской Федерации, может включать в себя, например, данные статистической отчетности и внутрихозяйственной деятельности, аналитическую, финансовую, справочную информацию.

3.30. Автоматизированная банковская система: Автоматизированная система, реализующая технологию выполнения функций организации банковской системы Российской Федерации.

3.31. Комплекс средств автоматизации автоматизированной банковской системы: Совокупность всех компонентов автоматизированной банковской системы организации банковской системы Российской Федерации за исключением людей.

3.32. Безопасность: Состояние защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз.

3.33. Информационная безопасность, ИБ: Безопасность, связанная с угрозами в информационной сфере.

Примечания

1. Защищенность достигается обеспечением совокупности свойств ИБ - доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей) организации банковской системы Российской Федерации.

2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.

3.34. Доступность информационных активов: Свойство ИБ организации банковской системы Российской Федерации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем, в виде и месте, необходимом пользователю, и в то время, когда они ему необходимы.

3.35. Целостность информационных активов: Свойство ИБ организации банковской системы Российской Федерации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах.

3.36. Конфиденциальность информационных активов: Свойство ИБ организации банковской системы Российской Федерации, состоящее в том, что обработка, хранение и передача информационных активов осуществляется таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.

3.37. Система информационной безопасности; СИБ: Совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.

3.38. Система менеджмента информационной безопасности; СМИБ: Часть менеджмента организации банковской системы Российской Федерации, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ.

3.39. Система обеспечения информационной безопасности; СОИБ: Совокупность СИБ и СМИБ организации банковской системы Российской Федерации.

3.40. Область действия системы обеспечения информационной безопасности; область действия СОИБ: Совокупность информационных активов и элементов информационной инфраструктуры организации банковской системы Российской Федерации.

3.41. Осознание необходимости обеспечения информационной безопасности; осознание ИБ:понимание руководством организации банковской системы Российской Федерации необходимости самостоятельно на основе принятых в этой организации ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению ИБ, а также поддерживать эту деятельность адекватно прогнозу.

Примечание – Осознание ИБ является внутренней побудительной причиной для руководства банковской системы Российской Федерации инициировать и поддерживать деятельность по обеспечению ИБ в отличие от побуждения или принуждения, когда решение об инициировании и поддержке деятельности по обеспечению ИБ определяется соответственно либо возникшими проблемами организации, либо внешними факторами, например, требованиями законов.

3.42. Защитная мера: сложившаяся практика, процедура или механизм, которые используются для уменьшения риска нарушения ИБ организации банковской системы Российской Федерации.

3.43. Угроза информационной безопасности; угроза ИБ: Угроза нарушения свойств ИБ - доступности, целостности или конфиденциальности информационных активов организации банковской системы Российской Федерации.

3.44. Уязвимость информационной безопасности; уязвимость ИБ: Слабое место в инфраструктуре организации банковской системы Российской Федерации, включая СОИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ.

3.45. Ущерб: Утрата активов, повреждение (утрата свойств) активов и (или) инфраструктуры организации или другой вред активам и (или) инфраструктуре организации банковской системы Российской Федерации, наступивший в результате реализации угроз ИБ через уязвимости ИБ.

3.46. Инцидент информационной безопасности; инцидент ИБ: Событие, указывающее на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ.

Примечания:

1. Реализация угрозы ИБ - реализация нарушения свойств ИБ информационных активов организации банковской системы Российской Федерации.

2.Нарушение может вызываться источниками угроз ИБ: либо случайными факторами (ошибкой персонала, неправильным функционированием технических средств, природными факторами, например, пожаром или наводнением), либо преднамеренными действиями, приводящими к нарушению доступности, целостности или конфиденциальности информационных активов.

 

3.47. Нарушитель информационной безопасности; нарушитель ИБ: Субъект, реализующий угрозы ИБ организации банковской системы Российской Федерации, нарушая предоставленные ему полномочия по доступу к активам организации банковской системы Российской Федерации или по распоряжению ими.

3.48. Модель нарушителя информационной безопасности; модель нарушителя ИБ: Описание и классификация нарушителей ИБ, включая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, возможной мотивации их действий, а также способы реализации угроз ИБ со стороны указанных нарушителей.

3.49. Модель угроз информационной безопасности; модель угроз ИБ: Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба.

3.50. Риск нарушения информационной безопасности; риск нарушения ИБ: Риск, связанный с угрозой ИБ.

3.52. Оценка риска нарушения информационной безопасности: Систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов организации банковской системы Российской Федерации на всех стадиях их жизненного цикла.

3.53. Обработка риска нарушения информационной безопасности: Процесс выбора и осуществления защитных мер, снижающих риск нарушения ИБ, или мер по переносу, принятию или уходу от риска.

3.54. Остаточный риск нарушения информационной безопасности: Риск, остающийся после обработки риска нарушения ИБ.

3.55. Допустимый риск нарушения информационной безопасности: Риск нарушения ИБ, предполагаемый ущерб от которого организация банковской системы Российской Федерации в данное время и в данной ситуации готова принять.

3.56. Документация: Совокупность взаимосвязанных документов, объединенных общей целевой направленностью.

3.57. План работ по обеспечению информационной безопасности: Документ, устанавливающий перечень намеченных к выполнению работ или мероприятий по обеспечению ИБ организации банковской системы Российской Федерации, их последовательность, объем (в той или иной форме), сроки выполнения, ответственных лиц и конкретных исполнителей.

3.58. Свидетельства выполнения деятельности по обеспечению информационной безопасности: Документ или элемент документа, содержащий достигнутые результаты (промежуточные или окончательные), относящиеся к обеспечению ИБ организации банковской системы Российской Федерации.

 

3.59. Политика информационной безопасности; политика ИБ: Документация, определяющая высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенная для организации банковской системы Российской Федерации в целом.

3.60. Частная политика информационной безопасности; частная политика ИБ: Документация, детализирующая положения политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации банковской системы Российской Федерации.

3.61. Мониторинг: Постоянное наблюдение за объектами и субъектами, влияющими на ИБ организации банковской системы Российской Федерации, а также сбор, анализ и обобщение результатов наблюдений.  

3.62. Аудит информационной безопасности; аудит ИБ: Систематический, независимый и документируемый процесс получения свидетельств деятельности организации банковской системы Российской Федерации по обеспечению ИБ, установления степени выполнения в организации банковской системы Российской Федерации критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения о состоянии ИБ организации банковской системы Российской Федерации.

Примечание – Аудит ИБ выполняется работниками организации, являющейся внешней по отношению к организации банковской системы Российской Федерации.

3.63. Критерии оценки (аудита) информационной безопасности; критерии оценки (аудита) ИБ: Совокупность требований в области ИБ, определенных стандартом Банка России СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" или его частью.

3.64. Свидетельства оценки соответствия (аудита) информационной безопасности установленным критериям; свидетельства оценки соответствия (аудита) ИБ: Записи, изложение фактов или другая информация, которые имеют отношение к критериям оценки соответствия (самооценки соответствия, аудита) ИБ и могут быть проверены.

Примечание – Свидетельства оценки соответствия (самооценки соответствия, аудита) ИБ могут быть качественными или количественными.

3.65. Выводы аудита информационной безопасности; выводы аудита ИБ: Результат оценки собранных свидетельств аудита ИБ.

3.66. Заключение по результатам аудита информационной безопасности (аудиторское заключение); заключение по результатам аудита ИБ: Качественная или количественная оценка соответствия установленным критериям аудита ИБ, представленные аудиторской группой после рассмотрения всех выводов аудита ИБ в соответствии с целями аудита ИБ.

3.67. Область аудита информационной безопасности; область аудита ИБ: Содержание и границы аудита ИБ.

Примечание – Область аудита ИБ обычно включает местонахождение, организационную структуру, виды деятельности проверяемой организации и процессы, которые подвергаются аудиту ИБ, а также охватываемый период времени.

3.68. Программа аудита информационной безопасности; программа аудита ИБ: План деятельности по проведению одного или нескольких аудитов ИБ (и других проверок ИБ), запланированных на конкретный период времени и направленных на достижение конкретной цели.

Примечание – Программа аудита ИБ включает всю деятельность, необходимую для планирования, проведения, контроля, анализа и совершенствования аудитов ИБ (и других проверок ИБ).

Обозначения и сокращения

АБС – автоматизированная банковская система;

БС – банковская система;

ЖЦ – жизненный цикл;

ИБ – информационная безопасность;

ИСПДн – информационная система персональных данных;

НСД – несанкционированный доступ;

НРД – нерегламентированные действия в рамках предоставленных полномочий;

РФ – Российская Федерация;

СКЗИ – средство криптографической защиты информации;

СМИБ – система менеджмента информационной безопасности;

СИБ – система информационной безопасности;

СОИБ – система обеспечения информационной безопасности;

ЭВМ – электронная вычислительная машина;

ЭЦП – электронная цифровая подпись;