Действующий
- объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы).
3.9 ресурс доступа: Объект информатизации, представляющий собой совокупность информации и программного обеспечения (ПО) обработки информации.
- виртуальные машины, предназначенные для размещения АРМ пользователей и эксплуатационного персонала;
3.10 контур безопасности: Совокупность объектов информатизации, определяемая областью применения настоящего стандарта, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности), для которой финансовой организацией применяется единая политика (режим) защиты информации (единый набор требований к обеспечению защиты информации).
3.11 уровень защиты информации: Определенная совокупность мер защиты информации, входящих в состав системы защиты информации и системы организации и управления защитой информации, применяемых совместно в пределах контура безопасности для реализации политики (режима) защиты информации, соответствующей критичности (важности) защищаемой информации бизнес-процессов и (или) технологических процессов финансовой организации.
3.12 физический доступ к объекту доступа (физический доступ): Доступ к объекту доступа, включая доступ в помещение, в котором расположен объект доступа, позволяющий осуществить физическое воздействие на него.
3.13 логический доступ к ресурсу доступа (логический доступ): Доступ к ресурсу доступа, в том числе удаленный, реализуемый с использованием вычислительных сетей, позволяющий, в том числе без физического доступа, осуществить доступ к защищаемой информации или выполнить операции по обработке защищаемой информации.
3.14 субъект доступа: Работник финансовой организации или иное лицо, осуществляющий физический и (или) логический доступ, или программный сервис, осуществляющий логический доступ.
Примечание - В составе основных типов субъектов доступа в настоящем стандарте как минимум рассматриваются следующие:
- пользователи - субъекты доступа, в том числе клиенты финансовой организации, осуществляющие доступ к объектам и (или) ресурсам доступа с целью использования финансовых услуг, предоставляемых информационной инфраструктурой финансовой организации;
- эксплуатационный персонал - субъекты доступа, в том числе представители подрядных организаций, которые решают задачи обеспечения эксплуатации и (или) администрирования объектов и (или) ресурсов доступа, для которых необходимо осуществление логического доступа, включая задачи, связанные с эксплуатацией и администрированием технических мер защиты информации;
- технический (вспомогательный) персонал - субъекты доступа, в том числе представители подрядных организаций, решающие задачи, связанные с обеспечением эксплуатации объектов доступа, для выполнения которых не требуется осуществление логического доступа, или выполняющие хозяйственную деятельность и осуществляющие физический доступ к объектам доступа без цели их непосредственного использования;
- программные сервисы - процессы выполнения программ в информационной инфраструктуре, осуществляющие логический доступ к ресурсам доступа.
3.15 авторизация: Проверка, подтверждение и предоставление прав логического доступа при осуществлении субъектами доступа логического доступа.
3.16 идентификация: Присвоение для осуществления логического доступа субъекту (объекту) доступа уникального признака (идентификатора); сравнение при осуществлении логического доступа предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов.
3.17 аутентификация: Проверка при осуществлении логического доступа принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
3.18 регистрация событий защиты информации (регистрация): Фиксация данных о совершенных субъектами доступа действиях или данных о событиях защиты информации.
3.19 учетная запись: Логический объект (информация), существующий в пределах одного или нескольких ресурсов доступа и представляющий субъекта доступа в его (их) пределах.
3.20 техническая учетная запись: Учетная запись, используемая для осуществления логического доступа программными сервисами.
3.21 права логического доступа: Набор действий, разрешенных для выполнения субъектом доступа над ресурсом доступа с использованием соответствующей учетной записи.
3.22 роль логического доступа (роль): Заранее определенная совокупность функций и задач субъекта доступа, для выполнения которых необходим определенный набор прав логического доступа.
3.23 роль защиты информации: Заранее определенная совокупность функций и задач субъекта доступа, в том числе работника финансовой организации, связанных с применением организационных и (или) технических мер защиты информации.
3.24 легальный субъект доступа: Субъект доступа, наделенный финансовой организацией полномочиями на осуществление физического и (или) логического доступа.
3.25 аутентификационные данные: Данные в любой форме и на любом носителе, известные или принадлежащие легальному субъекту доступа - легальному владельцу аутентификационных данных, или данные, которыми обладает легальный субъект доступа, используемые для выполнения процедуры аутентификации при осуществлении логического доступа.
3.26 компрометация аутентификационных данных: Событие, связанное с возникновением возможности использования аутентификационных данных субъектом, не являющимся легальным владельцем указанных аутентификационных данных.
3.27 фактор аутентификации: Блок данных, используемых при аутентификации субъекта или объекта доступа.
- что-то, что субъект или объект доступа знает, например, пароли легальных субъектов доступа, ПИН-коды;
- что-то, чем субъект или объект доступа обладает, например, данные, хранимые на персональных технических устройствах аутентификации: токенах, смарт-картах и иных носителях;
- что-то, что свойственно субъекту или объекту доступа, например, биометрические данные физического лица - легального субъекта доступа.
3.28 однофакторная аутентификация: Аутентификация, для осуществления которой используется один фактор аутентификации.
3.29 многофакторная аутентификация: Аутентификация, для осуществления которой используются два и более различных факторов аутентификации.
3.30 двухсторонняя аутентификация: Метод аутентификации объектов и ресурсов доступа, обеспечивающий взаимную проверку принадлежности предъявленных объектом (ресурсом) доступа идентификаторов при их взаимодействии.
3.31 событие защиты информации: Идентифицированное возникновение и (или) изменение состояния объектов информатизации финансовой организации, действия работников финансовой организации и (или) иных лиц, указывающие на возможный (потенциальный) инцидент защиты информации.