● 93 entries

Соответствие и стандарты

Аппетит к рискуСовокупный объём и виды риска, которые организация готова принимать для достижения стратегических целей, устанавливаемые советом директоров и высшим руководством.
Вектор атакиКонкретный путь или техника, которыми атакующий получает несанкционированный доступ: фишинг, эксплуатация CVE, украденные учётные данные и тому подобное.
Вектор угрозы (Threat Vector)Канал или средство, по которому актор угроз может доставить атаку; часто употребляется как синоним attack vector, но с уклоном в моделирование угроз.
Директива NIS2Директива ЕС 2022/2555, повышающая базовые требования к кибербезопасности и обязанности по уведомлению об инцидентах для существенных и важных субъектов в Союзе.
Единая точка отказа (SPOF)Компонент, индивидуальный сбой которого приводит к остановке всей системы, разрушая доступность, устойчивость и цели восстановления.
Закон ЕС об ИИРегламент ЕС 2024/1689, устанавливающий гармонизированные правила в отношении ИИ на основе риск-ориентированного подхода, с поэтапным применением с 2025 по 2027 год.
Закон Сарбейнза-Оксли (SOX)Федеральный закон США 2002 года, налагающий требования к корпоративному управлению, внутреннему контролю и отчётности публичных компаний для защиты инвесторов.
Качественный анализ рисковПодход, при котором вероятность и последствия оцениваются по описательным шкалам (низкий/средний/высокий или 1-5), а не в денежных или вероятностных значениях.
КиберстрахованиеСпециализированный страховой продукт, переносящий на страховщика финансовые последствия киберинцидентов — реагирование, перерыв в деятельности и ответственность.
Количественный анализ рисковПодход, при котором вероятность и последствия выражаются в числах — обычно в виде вероятностей и распределений денежных потерь — для принятия решений на основе данных.
Корпоративное управление рисками (ERM)Интегрированный подход к идентификации, управлению и обработке стратегических, финансовых, операционных, комплаенс- и киберрисков в масштабе всей организации, согласованный с её целями.
Ландшафт угроз (Threat Landscape)Текущая картина угроз, с которыми сталкивается организация, отрасль или регион: акторы, тактики, семейства вредоносного ПО, уязвимости и тренды во времени.
Метод OCTAVEМетодология оценки рисков информационной безопасности, разработанная Институтом программной инженерии CMU и сфокусированная на организационных и операционных рисках критичных активов.
Модель угроз PASTAProcess for Attack Simulation and Threat Analysis — риск-ориентированная семиэтапная методология моделирования угроз, связывающая технические угрозы с бизнес-последствиями.
Модель DREADКачественная модель оценки рисков, оценивающая угрозы по показателям Damage, Reproducibility, Exploitability, Affected users и Discoverability.
Модель STRIDEФреймворк классификации угроз от Microsoft, разделяющий программные угрозы на Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service и Elevation of Privilege.
Обработка рисковРешение и действия по изменению риска, обычно через принятие, снижение, передачу или избежание, на основе принятых организацией критериев риска.
Остаточный рискРиск, остающийся после применения запланированных контролей и мер обработки, который организация должна принять, передать или обрабатывать дополнительно.
Оценка безопасности поставщикаСтруктурированная оценка средств контроля, политик и практик безопасности стороннего поставщика до и в течение деловых отношений для измерения вносимого им риска.
Оценка воздействия на защиту данных (DPIA)Структурированная оценка, требуемая статьёй 35 GDPR, которая выявляет и снижает риски для прав и свобод людей до начала обработки персональных данных с высоким риском.
Оценка рисковСтруктурированная деятельность в рамках управления рисками, в ходе которой выявляются угрозы, уязвимости и последствия для конкретных активов и определяется итоговый рейтинг риска для принятия решений по обработке.
Поверхность атаки (Attack Surface)Сумма всех точек, через которые атакующий может попытаться войти в систему, извлечь данные или повлиять на неё: сети, ПО, идентичности, цепочка поставок, люди.
Принцип Need-to-KnowПринцип безопасности: доступ к информации получают только те, чьи обязанности этого требуют, даже если у них есть подходящий допуск.
Присущий рискУровень риска, существующий для деятельности или актива до применения каких-либо контролей и мер снижения, отражающий «сырое» воздействие угроз.
Разделение обязанностей (SoD)Принцип контроля, при котором чувствительная операция распределена между несколькими людьми или системами, и никто не может выполнить её в одиночку.
Реестр рисковПостоянно обновляемый перечень выявленных рисков с описанием, владельцем, оценками, мерами обработки и статусом, используемый для отслеживания подверженности рискам организации во времени.
Сертификации GIACСемейство ролевых сертификаций по кибербезопасности от GIAC, согласованных с обучением SANS Institute и охватывающих операции, реагирование, форензику и пентест.
Симуляция рисков методом Монте-КарлоВычислительный метод оценки риска, при котором проводятся тысячи случайных сценариев из заданных входных распределений вероятностей и получают распределение возможных исходов.
Соглашение об обработке данных (DPA)Обязательный договор, требуемый статьёй 28 GDPR между контролёром и обработчиком, когда персональные данные обрабатываются от имени контролёра.
Соответствие требованиямДисциплина обеспечения соблюдения законов, нормативных актов, договорных и внутренних требований безопасности через документированные меры контроля, сбор доказательств и регулярную оценку.
Толерантность к рискуДопустимое отклонение относительно конкретной цели или категории риска, выраженное в количественных или качественных границах, производных от аппетита к риску.
Триада CIAБазовая модель информационной безопасности: цели сгруппированы в конфиденциальность, целостность и доступность.
Управление рискамиСкоординированный процесс выявления, анализа, оценки, обработки, мониторинга и коммуникации рисков для удержания их в пределах установленной организацией толерантности.
Управление рисками поставщиковПодмножество TPRM, направленное на оценку и контроль непосредственных поставщиков, прежде всего их практик безопасности, приватности и операционной устойчивости.
Управление рисками третьих сторон (TPRM)Сквозная дисциплина идентификации, оценки, контрактации, мониторинга и отключения сторонних контрагентов, чтобы вносимые ими кибер-, операционные и комплаенс-риски оставались в пределах аппетита.
Эшелонированная защита (Defense in Depth)Стратегия безопасности, при которой независимые средства контроля выстраиваются слоями: отказ одного компенсируется другими через предотвращение, обнаружение или сдерживание.
Atomic Red TeamОткрытая библиотека небольших целевых тестов от Red Canary, эмулирующих отдельные техники MITRE ATT&CK для валидации детектов и средств защиты.
CAPECCommon Attack Pattern Enumeration and Classification — поддерживаемый MITRE открытый каталог шаблонов атак, используемых противниками для эксплуатации известных слабостей.
CCPAЗакон о защите частной жизни потребителей Калифорнии — закон штата США, наделяющий жителей Калифорнии правами в отношении их персональных данных, хранимых бизнесом.
CCSPСертификация по облачной безопасности от ISC2, охватывающая архитектуру, защиту данных, безопасность платформ и инфраструктуры, операции и правовое соответствие у крупных провайдеров.
CEHСертификация этичного хакера от EC-Council, изучающая инструменты и методы атакующих в разведке, эксплуатации, веб-, беспроводных и облачных тестах.
CIS ControlsПриоритизированный набор лучших практик кибербезопасности, поддерживаемый Center for Internet Security для защиты от наиболее распространённых атак.
CISAСертификация ISACA для аудиторов информационных систем, охватывающая процесс аудита, управление, приобретение, операции и защиту информационных активов в пяти доменах.
CISMУправленческая сертификация ISACA для руководителей по информационной безопасности, охватывающая управление, риски, развитие программы и реагирование на инциденты в четырех доменах.
CISSPСертификация старшего уровня от ISC2, не привязанная к вендору, охватывающая восемь доменов CBK и требующая пяти лет оплачиваемого опыта работы.
CMMCПрограмма сертификации Министерства обороны США, подтверждающая наличие достаточных мер кибербезопасности у подрядчиков оборонной промышленной базы.
COBITФреймворк ISACA для управления и руководства корпоративной информацией и технологиями, связывающий бизнес-цели с ИТ-задачами и контролями.
CompTIA Security+Сертификация начального уровня от CompTIA, не привязанная к вендору и охватывающая основы угроз, архитектуры, операций и управления для начинающих специалистов.
CPRAКалифорнийский закон о правах на конфиденциальность 2020 года, дополняющий и расширяющий CCPA; полностью вступил в силу 1 января 2023 года.
CRISCСертификация ISACA для специалистов по ИТ-рискам и контролям, охватывающая управление, оценку рисков, реагирование и отчетность, выбор контролей в четырех доменах.
CVE Numbering Authority (CNA)Организация, уполномоченная программой CVE присваивать идентификаторы CVE и публиковать записи CVE для уязвимостей в рамках своей области ответственности.
DORAРегламент ЕС 2022/2554 о цифровой операционной устойчивости финансового сектора, применяется с 17 января 2025 года.
DPFРамочное соглашение ЕС-США о конфиденциальности данных — механизм адекватности от июля 2023 года, заменяющий Privacy Shield для трансатлантических передач персональных данных.
FAIR (Factor Analysis of Information Risk)Открытый международный стандарт количественной оценки информационных и киберрисков в финансовом выражении путём декомпозиции риска на факторы частоты потерь и величины потерь.
FedRAMPПрограмма правительства США, стандартизирующая оценку безопасности, авторизацию и непрерывный мониторинг облачных сервисов, используемых федеральными ведомствами.
FERPAФедеральный закон США, защищающий конфиденциальность образовательных записей учащихся и наделяющий правами родителей и совершеннолетних студентов.
FISMAФедеральный закон США, обязывающий федеральные ведомства и их подрядчиков создавать риск-ориентированные программы информационной безопасности для систем, обрабатывающих государственные данные.
GDPRОбщий регламент по защите данных Европейского союза, регулирующий обработку персональных данных лиц, находящихся в ЕС и ЕЭЗ.
Gramm-Leach-Bliley Act (GLBA)Федеральный закон США, обязывающий финансовые организации защищать сведения о клиентах и раскрывать свои практики обмена информацией.
HIPAAАмериканский закон о переносимости и подотчётности медицинского страхования, устанавливающий национальные стандарты защиты индивидуально идентифицируемой медицинской информации.
HITRUSTОриентированная на риск и комплаенс рамочная модель безопасности HITRUST CSF, широко применяемая в здравоохранении США для подтверждения соответствия HIPAA, NIST и иным авторитетным источникам.
ISO/IEC 27001Международный стандарт, устанавливающий требования к системе менеджмента информационной безопасности (СМИБ), по которому организации могут пройти официальную сертификацию.
ISO/IEC 27002Международный свод практик с детальными рекомендациями по применению мер защиты, перечисленных в Приложении A ISO/IEC 27001.
ITILПризнанный во всём мире свод лучших практик AXELOS/PeopleCert по управлению ИТ-сервисами в рамках системы создания ценности услуг.
LGPDОбщий закон Бразилии о защите персональных данных (Закон № 13.709/2018), действующий с 18 сентября 2020 года и регулирующий обработку персональных данных государственными и частными организациями.
MITRE ATT&CKГлобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
MITRE D3FENDГрафовая база знаний MITRE о защитных мерах кибербезопасности и цифровых артефактах, на которые они воздействуют, дополняющая MITRE ATT&CK.
NIST Cybersecurity FrameworkДобровольная риск-ориентированная методика NIST (США), структурирующая цели кибербезопасности в шесть ключевых функций.
NIST Risk Management FrameworkСемишаговый процесс NIST, определённый в SP 800-37, который интегрирует управление рисками безопасности, приватности и цепочки поставок в жизненный цикл системы.
NIST SP 800-171Публикация NIST, определяющая требования к защите контролируемой несекретной информации (CUI), хранимой или обрабатываемой нефедеральными организациями.
NIST SP 800-30Специальная публикация NIST, дающая рекомендации по проведению оценки рисков информационных систем и поддерживаемых ими задач.
NIST SP 800-37Risk Management Framework NIST: семишаговый процесс управления рисками безопасности и конфиденциальности на протяжении жизненного цикла системы.
NIST SP 800-53Публикация NIST с исчерпывающим каталогом мер защиты и приватности для федеральных информационных систем США и многих организаций частного сектора.
NIST SP 800-61Руководство NIST по обработке инцидентов компьютерной безопасности, описывающее четырехэтапный жизненный цикл, используемый командами реагирования в государственном и частном секторах.
OSCPПрактическая сертификация по наступательной безопасности от Offensive Security, получаемая после 24-часового экзамена с компрометацией лабораторной сети.
OSSTMMОткрытая, проверенная сообществом методология тестирования безопасности от ISECOM, определяющая научные и воспроизводимые измерения операционной безопасности в пяти каналах.
OWASP API Security Top 10Образовательный документ OWASP, ранжирующий наиболее критичные риски безопасности веб-API в дополнение к общему OWASP Top 10 для веб-приложений.
OWASP ASVSOWASP Application Security Verification Standard — каталог проверяемых требований безопасности для проектирования, разработки и верификации веб-приложений и API.
OWASP Dependency-CheckОткрытый SCA-инструмент OWASP, который сканирует зависимости проекта и сообщает об известных уязвимостях путём сопоставления CPE и CVE-данных.
OWASP MASVSOWASP Mobile Application Security Verification Standard — базовый набор проверяемых требований безопасности для мобильных приложений iOS и Android.
OWASP Mobile Top 10Образовательный документ OWASP, ранжирующий наиболее критичные риски безопасности мобильных приложений для iOS, Android и подобных платформ.
OWASP SAMMOWASP Software Assurance Maturity Model — модель для измерения и развития практик безопасной разработки ПО в организации со временем.
OWASP Top 10Информационный документ OWASP, перечисляющий наиболее критические риски безопасности веб-приложений и обновляемый по реальным данным о уязвимостях.
OWASP WSTGOWASP Web Security Testing Guide — подробное открытое руководство по тестированию веб-приложений на типовые слабости безопасности.
OWASP ZAPZed Attack Proxy — открытый инструмент тестирования безопасности веб-приложений, изначально из OWASP, ныне сопровождаемый Checkmarx и сообществом ZAP.
PCI DSSМеждународный стандарт информационной безопасности для организаций, хранящих, обрабатывающих или передающих данные платёжных карт, поддерживаемый PCI Security Standards Council.
PIPEDAФедеральный закон Канады о защите персональных данных в частном секторе, регулирующий сбор, использование и раскрытие персональных данных в коммерческой деятельности.
PTESМетодология тестирования на проникновение, разработанная сообществом, организующая работу в семь этапов от предварительной фазы до отчета и рекомендаций по устранению.
SANS Top 25Ежегодно публикуемый список MITRE совместно с SANS Institute, ранжирующий наиболее опасные программные слабости на основе реальных данных CVE.
SCCСтандартные договорные условия — типовые контракты Еврокомиссии, обеспечивающие соответствующие GDPR гарантии для передач персональных данных за пределы ЕЭП.
Security by Obscurity (безопасность через сокрытие)Подход, при котором главным средством защиты считается сокрытие дизайна, реализации или расположения системы, а не её внутренняя прочность.
SOC 2Стандарт аттестации AICPA, в рамках которого независимый аудитор оценивает контроли сервисной организации на соответствие Trust Services Criteria.
TrikeОткрытая методология моделирования угроз, использующая риск-ориентированный подход на основе требований и сосредоточенная на акторах, активах и разрешённых действиях.