среда, 29 июля 2009 г.

Терминология \ ISSP

Термины и определения, используемые в книге Shon Harris "CISSP All-In-One Exam Guide".

Обновлено: 20.12.2009
ALE (ожидаемый среднегодовой ущерб) ALE = SLE х ARO

ARO (среднегодовая частота возникновения инцидентов) – это величина, представляющая собой ожидаемую частоту реализации соответствующей угрозы в год. Значение ARO может быть от 0,0 (никогда) до 1,0 (по крайней мере, раз в год) и выше (несколько раз в год).

EF (фактор воздействия) – это процент ущерба для актива от реализовавшейся угрозы, т.е. часть значения (ценности), которую актив потеряет в результате инцидента.

SLE (ущерб от единичного инцидента) – это потенциальная сумма (в деньгах) ущерба для компании в результате единичного факта реализации соответствующей угрозы. SLE = Ценность актива x EF

Базис – это минимальный уровень безопасности.

Базис (baseline) – это точка во времени, которая используется для сравнения с будущими изменениями.

Белый шум (white noise) – это контрмера для противодействия извлечению информации из электрического излучения, которая представляет собой однородный спектр случайных электрических сигналов.

Брутфорс-атака (brute force attack, атака полного перебора) - это последовательный перебор всех возможных комбинаций символов до нахождения комбинации, подходящей в качестве пароля.

Владелец данных (информации) (data owner) – обычно руководитель соответствующего подразделения, который несет персональную ответственность за защиту и использование определенного подмножества информации.

Владелец процесса (process owner) отвечает за правильное определение, повышение качества и мониторинг процессов компании.

Владелец системы (system owner) отвечает за одну или несколько систем, в каждой из которых хранятся и обрабатываются данные, принадлежащие различным владельцам данных.

Воздействие (exposure) – это нечто, приводящее к потерям в связи с действиями источника угрозы.

Гарантия (assurance) – это степень уверенности в достижении определенного уровня безопасности.

Децентрализованное администрирование управления доступом (decentralized access control administration) передает управление доступом людям, которые непосредственно связаны с ресурсами и лучше понимают, кто должен и кто не должен иметь доступ к определенным файлам, данным и ресурсам.

Дискреционное (избирательное) управление доступом (DAC – Discretionary Access Control) позволяет владельцам данных указывать, какие субъекты должны иметь доступ к файлам и ресурсам этих владельцев.

Доступ – это поток информации между субъектом и объектом.

Доступность обеспечивает уполномоченным лицам надежный и своевременный доступ к данным и ресурсам.

Инициализация пользователя (user provisioning) - это создание, сопровождение и деактивация пользовательских объектов и атрибутов, имеющихся в одной или нескольких системах, каталогах или приложениях в соответствии с бизнес-процессами.

Источник угрозы (threat agent) - нечто, дающее возможность использования уязвимости.

Качественный анализ рисков использует различные сценарии вероятности риска, уровней серьезности угроз и обоснованности различных возможных контрмер. Для качественного анализа рисков применяются суждения, лучшие практики, интуиция и опыт.

Когнитивные пароли – это пароли на основе фактов или мнений, используемые для аутентификации человека.

Количественный анализ рисков пытается присвоить реальные и осмысленные числа всем элементам процесса анализа рисков. Этими элементами могут быть стоимость защитных мер, ценность актива, ущерб для бизнеса, частота возникновения угрозы, эффективность защитных мер, вероятность использования уязвимости и т.д.

Контрмеры (или защитные меры) – это меры, внедрение которых позволяет снизить уровень потенциального риска.

Конфиденциальность обеспечивает необходимый уровень секретности в каждой точке обработки данных и предотвращает их несанкционированное раскрытие. Конфиденциальность должна обеспечиваться как при хранении информации, так и в процессе ее передачи.

Кража личности (identity theft) относится к ситуации, когда кто-то получает ключевые элементы личной информации, например, номер водительских прав, номер банковского счета, учетные данные или номер социального страхования, а затем использует эту информацию для того, чтобы выдавать себя за другого.

Мандатное управление доступом (MAC – Mandatory Access Control) использует систему меток безопасности. Пользователи имеют допуски, а ресурсы имеют метки безопасности, которые отражают классификацию данных. MAC сравнивает эти два атрибута для определения возможности доступа субъекта к объекту.

Матрица контроля доступа (access control matrix) – это таблица субъектов и объектов, содержащая информацию о том, какие действия конкретные субъекты могут делать с конкретными объектами.

Модель управления доступом – это структура, которая определяет порядок доступа субъектов к объектам. Существует три основных модели управления доступом: дискреционная, мандатная и недискреционная (ролевая).

Мониторинг нажатия клавиш (keystroke monitoring) – это вид мониторинга, позволяющий проанализировать и записать последовательность нажатий клавиш пользователем в течение сеанса его работы.

Общий риск (total risk) – это риск, перед лицом которого стоит компания, не внедрившая никаких защитных мер. Общий риск = угроза х уязвимость х ценность актива.

Объект – пассивная сущность, содержащая информацию.

Ограниченный пользовательский интерфейс (constrained user interface) ограничивает возможности доступа пользователей к отдельным функциям, информации или отдельным системным ресурсам. Существует три основных типа ограниченного интерфейса: меню и оболочки, представления баз данных и физически ограниченные интерфейсы.

Одноразовые пароли (one-time password) используются для аутентификации лишь один раз, после использования пароль становится недействительным.

Остаточный риск (residual risk) - это риск, перед лицом которого стоит компания, внедрившая защитные меры. Необходимо обеспечить, чтобы уровень остаточного риска был приемлем для компании. Остаточный риск = (угроза х уязвимость х ценность актива) х недостаток контроля.

Ответственный за хранение данных (информации) (data custodian) – это лицо, ответственное за поддержку и защиту данных.

Ошибка первого рода в биометрии означает, что система отказала в доступе уполномоченному пользователю.

Ошибка второго рода в биометрии означает, что система разрешила доступ самозванцу.

Парольная фраза (passphrase) – это длинная последовательность символов, которая, в некоторых случаях, заменяет пароль при аутентификации. Пользователь вводит парольную фразу в приложение, а оно преобразует ее в виртуальный пароль необходимой приложению длины и формата.

Политика безопасности – это всеобъемлющее основное заявление высшего руководства компании, указывающее роль безопасности в организации.

Пользователь (user) – любой человек, который санкционировано использует данные, имея к ним уровень доступа, достаточный для выполнения своих должностных обязанностей.

Принцип «необходимо знать» (need-to-know) говорит о том, что человек должен иметь доступ только к той информации, которая ему необходима для выполнения своих должностных обязанностей.

Процедуры (procedures) – это детальные, описанные «шаг за шагом» задачи, выполняемые чтобы достичь определенной цели.

Разделение обязанностей (separation of duties) гарантирует, что один человек не сможет самостоятельно выполнить критичную задачу.

Риск – это вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному воздействию на бизнес. Риск можно перенести, избежать, снизить или принять.

Ролевое (недискреционное) управление доступом (RBAC – Role-based Access Control, Nondiscretionary Access Control) основано на ролях пользователей и их обязанностях в компании.

Руководства (guidelines) описывают рекомендующиеся действия и являются эксплуатационными инструкциями для пользователей, ИТ-специалистов и других сотрудников, там, где не применяются соответствующие стандарты.

Списки контроля доступа (ACL – access control list) - это списки субъектов, которым разрешен доступ к определенному объекту, с указанием уровня разрешенного доступа. Списки контроля доступа являются границами доступа к объектам и указывают, что субъекты могут делать с ними.

Стандарты (standards) – это обязательные действия или правила. Стандарты поддерживают и развивают политику по определенным направлениям.

Стратегическое управление (governance) – это набор обязанностей и функций, выполняющихся Советом Директоров и высшим руководством, которые задают стратегическое направление, контролируют достижение целей, надлежащее управление рисками и ответственное использование ресурсов компании.

Субъект – активная сущность, запрашивающая доступ к объекту или данным внутри объекта.

Супервизор (supervisor) несет персональную ответственность за все действия пользователей и любые активы, которые создали пользователи и которыми они владеют.

Таблица разрешений (capability tables) – это границы для субъекта, в ней указываются списки объектов, к которым этот субъект имеет доступ.

Техника Delphi – это метод группового принятия решений, обеспечивающий получение от каждого члена его истинного мнения, не подверженного влиянию мнения других.

Угроза – это потенциальная опасность для информации или системы.

Управление доступом – это механизм безопасности, который управляет процессом взаимодействия пользователей с системами и ресурсами, а также систем между собой.

Управление информационными рисками – это процесс идентификации, оценки и снижения рисков до приемлемого уровня, внедрение эффективных механизмов поддержания этого уровня рисков.

Уязвимость – это недостаток в программном обеспечении, оборудовании или процедуре, который может предоставить атакующему возможность доступа к компьютеру или сети и получения несанкционированного доступа к информационным ресурсам компании.

Уязвимость – это отсутствие или слабость защитных мер.

Фишинг – это разновидность социальной инженерии, которая направлена на получение персональной информации, учетных данных, номеров кредитных карт или финансовых данных.

Хост-приманка (honeypot) – это специально настроенный компьютер-жертва, на котором открыто много портов, запущено много служб. Такой компьютер должен привлечь злоумышленника больше, чем реальные системы в сети. Хост-приманка не содержит никакой реальной информации компании, и нет никаких рисков в случае его успешного взлома.

Целостность обеспечивает гарантии точности и надежности информации и предоставляющих ее информационных систем, предотвращает возможность несанкционированных изменений.

Централизованное администрирование управления доступом (centralized access control administration) - передает управление доступом одному субъекту (человеку или подразделению), который следит за доступом ко всем корпоративным ресурсам.

1 комментарий:

eagle комментирует...

Добавлены определения из второго домена