Информационная безопасность — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные. Основная задача информационной безопасности — сбалансированная защита конфиденциальности, целостности и доступности данных, с учётом целесообразности применения и без какого-либо ущерба производительности организации. Это достигается, в основном, посредством многоэтапного процесса управления рисками, который позволяет идентифицировать основные средства и нематериальные активы, источники угроз, уязвимости, потенциальную степень воздействия и возможности управления рисками. Этот процесс сопровождается оценкой эффективности плана по управлению рисками.
ISO 9000 — серия международных стандартов, содержащих термины и определения, основные принципы менеджмента качества, требования к системе менеджмента качества организаций и предприятий, а также руководство по достижению устойчивого результата.
Информацио́нные техноло́гии — процессы, использующие совокупность средств и методов сбора, обработки, накопления и передачи данных для получения информации нового качества о состоянии объекта, процесса, явления, информационного продукта, а также распространения информации и способы осуществления таких процессов и методов.
Стейкхо́лдер, также заинтересованная сторона, причастная сторона, участник работ, роль в проекте — лицо или организация, имеющая права, долю, требования или интересы относительно системы или её свойств, удовлетворяющих их потребностям и ожиданиям.
Общие критерии оценки защищённости информационных технологий —. Общеизвестным является более короткое название Общие критерии. Международный стандарт по компьютерной безопасности. В отличие от стандарта FIPS 140, Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework), в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом, Common Criteria позволяет обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью.
BS 7799 Part 1 // Code of Practice for Information Security Management
ISO/IEC 27002 — стандарт информационной безопасности, опубликованный организациями ISO и IEC. Он называется «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». До 2007 года данный стандарт назывался ISO/IEC 17799. Стандарт разработан в 2005 году на основе версии ISO 17799, опубликованной в 2000, которая являлась полной копией Британского стандарта BS 7799-1:1999.
ISO/IEC 27000 — серия международных стандартов, включающая стандарты по информационной безопасности опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC).
ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединенного технического комитета JTC 1. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).
CobiT — представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта — всё то, что так или иначе имело отношение к целям управления.
Стандарты информационной безопасности — это методы, обычно изложенные в опубликованных материалах, которые используются для защиты киберсреды пользователя или организации.
Объединённый технический комитет № 1 ИСО/МЭК или Совместный технический комитет № 1 ИСО/МЭК — подразделение Международной организации по стандартизации и Международной электротехнической комиссии, которое занимается всеми вопросами связанными со стандартами в области информационных технологий.
ISO 20000 — международный стандарт для управления и обслуживания IT сервисов. Данный стандарт был создан в 2005 году и заменил более ранний стандарт BS 15000, который был создан Британским институтом стандартов.
ISO/IEC 12207:2008 Systems and software engineering — Software life cycle processes — стандарт ISO, описывающий процессы жизненного цикла программного обеспечения.
ISO 19011:2011 «Руководящие указания по аудиту систем менеджмента» — международный стандарт, содержащий руководящие указания по аудиту систем менеджмента организаций.
ISO 13485 — международный отраслевой стандарт, который был разработан Международной организацией по стандартизации. Стандарт содержит требования к системе менеджмента качества производителей медицинских изделий. Требования к системе менеджмента качества, установленные в стандарте, являются дополнительными по отношению к техническим требованиям к продукции. Данный вид стандарта является добровольным к применению.
Security Vision — программный комплекс, предназначенный для автоматизации процессов информационной безопасности, мониторинга и реагирования на инциденты кибербезопасности. Включен в Единый реестр российских программ для ЭВМ и БД. Победитель Премии Рунета в номинации «Информационная безопасность».
SIEM — объединение двух терминов, обозначающих область применения ПО: SIM — управление информацией о безопасности, и SEM — управление событиями безопасности.
Управление информационной безопасностью — это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия.
Риск информационных технологий, или ИТ риск, любой риск, связанный с использованием информационных технологий.
