2.2. "Методический документ. Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" (утв. Банком России 10.07.2020)

Администратор ППО

Субъект доступа из состава эксплуатационного персонала, уполномоченный выполнять некоторые действия по администрированию ППО (имеющий административные полномочия) в соответствии с установленной ролью и требуемыми привилегиями в прикладном программном обеспечении финансовой организации и обеспечивающих компонентах АС на выполнение этих действий.

Администратор безопасности

Субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации, на которого возложены обязанности по мониторингу ИБ и контролю защитных мер, аудиту прав и контролю действий пользователей и эксплуатирующего персонала.

Доверенный продукт ИТ

Продукт ИТ, отличный от ОО, для которого имеются свои функциональные требования, организационно скоординированные с ОО, и который, как предполагается, реализует свои функциональные требования корректно.

Задание по безопасности (ЗБ)

Зависимое от реализации изложение потребностей в безопасности для прикладного программного обеспечения и приложений финансовых организаций.

Защищаемая информация

Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями действующего законодательства Российской Федерации или требованиями, устанавливаемыми собственником информации. При этом несанкционированное раскрытие, модификация или сокрытие такой информации может повлечь убытки собственника информации.

Краткая спецификация ОО (КСО)

Описание в ЗБ того, как ОО удовлетворяет ФТБ.

Обеспечивающие компоненты АС

Компоненты обеспечивающей среды функционирования прикладного программного обеспечения автоматизированных систем и приложений финансовых организаций, а также всего аппаратного, программного и программно-аппаратного обеспечения, в том числе системное программное обеспечение, средства вычислительной техники, средства защиты информации.

Объект доступа

В настоящем документе под объектом доступа понимается ресурс доступа - объект, представляющий собой совокупность информации прикладного программного обеспечения автоматизированных систем и приложений финансовых организаций.

Объект оценки (ОО)

ППО автоматизированных систем и приложений финансовых организаций, предназначенных для осуществления финансовых операций, и поддерживающая его документация, выступающие продуктом для оценки. Совокупность программного, программно-аппаратного и/или аппаратного обеспечения, возможно, сопровождаемая руководствами.

Пользователь ППО

Субъект доступа, в том числе клиент финансовой организации, осуществляющий доступ к объекту доступа с целью использования финансовых услуг, предоставляемых информационной инфраструктурой финансовой организации. Пользователь ППО не имеет административных полномочий.

Пользователь

Субъект доступа, которому в соответствии с ФТБ разрешено выполнять некоторые действия (операции) по администрированию ППО или обработке информации в ППО.

Права логического доступа

Набор действий, разрешенных для выполнения субъектом доступа над объектом доступа с использованием соответствующей учетной записи.

Профиль защиты (ПЗ)

Независимое от реализации изложение потребностей в безопасности для прикладного программного обеспечения и приложений финансовых организаций.

Роль

Заранее определенная совокупность функций и задач субъекта доступа, для выполнения которых необходим определенный набор прав логического доступа.

Субъект доступа

Работник финансовой организации или иное лицо (клиент, потребитель услуг), осуществляющий физический и (или) логический доступ, или программный сервис, осуществляющий логический доступ.

Требования доверия к безопасности (ТДБ)

Требования к обеспечению безопасности ОО: требования, обеспечивающие уверенность в том, что прикладное программное обеспечение автоматизированной системы и приложений финансовых организаций соответствует функциональным требованиям безопасности.

Финансовая организация

Кредитная организация и некредитная финансовая организация.

Функция обеспечения ИБ

Реализованная функциональная возможность одного или нескольких компонентов прикладного программного обеспечения автоматизированной системы и приложений финансовых организаций, связанная с обеспечением ИБ.

Функциональное требование безопасности (ФТБ)

Требование к осуществлению безопасности ОО: требования к функциям обеспечения информационной безопасности прикладного программного обеспечения автоматизированной системы и приложений финансовых организаций.

Функциональные возможности безопасности ОО (ФБО)

Совокупность функциональных возможностей всего аппаратного, программного и программно-аппаратного обеспечения ОО, которые необходимо использовать для корректной реализации ФТБ.

Эксплуатационный персонал

Субъект доступа, в том числе представитель подрядной организации, который решает задачи обеспечения эксплуатации и (или) администрирования объекта доступа, для которого необходимо осуществление логического доступа, включая задачи, связанные с эксплуатацией и администрированием технических мер защиты информации.