Обновлено: 20.12.2009
ALE (ожидаемый среднегодовой ущерб) ALE = SLE х AROARO (среднегодовая частота возникновения инцидентов) – это величина, представляющая собой ожидаемую частоту реализации соответствующей угрозы в год. Значение ARO может быть от 0,0 (никогда) до 1,0 (по крайней мере, раз в год) и выше (несколько раз в год).
EF (фактор воздействия) – это процент ущерба для актива от реализовавшейся угрозы, т.е. часть значения (ценности), которую актив потеряет в результате инцидента.
SLE (ущерб от единичного инцидента) – это потенциальная сумма (в деньгах) ущерба для компании в результате единичного факта реализации соответствующей угрозы. SLE = Ценность актива x EF
Базис – это минимальный уровень безопасности.
Базис (baseline) – это точка во времени, которая используется для сравнения с будущими изменениями.
Белый шум (white noise) – это контрмера для противодействия извлечению информации из электрического излучения, которая представляет собой однородный спектр случайных электрических сигналов.
Брутфорс-атака (brute force attack, атака полного перебора) - это последовательный перебор всех возможных комбинаций символов до нахождения комбинации, подходящей в качестве пароля.
Владелец данных (информации) (data owner) – обычно руководитель соответствующего подразделения, который несет персональную ответственность за защиту и использование определенного подмножества информации.
Владелец процесса (process owner) отвечает за правильное определение, повышение качества и мониторинг процессов компании.
Владелец системы (system owner) отвечает за одну или несколько систем, в каждой из которых хранятся и обрабатываются данные, принадлежащие различным владельцам данных.
Воздействие (exposure) – это нечто, приводящее к потерям в связи с действиями источника угрозы.
Гарантия (assurance) – это степень уверенности в достижении определенного уровня безопасности.
Децентрализованное администрирование управления доступом (decentralized access control administration) передает управление доступом людям, которые непосредственно связаны с ресурсами и лучше понимают, кто должен и кто не должен иметь доступ к определенным файлам, данным и ресурсам.
Дискреционное (избирательное) управление доступом (DAC – Discretionary Access Control) позволяет владельцам данных указывать, какие субъекты должны иметь доступ к файлам и ресурсам этих владельцев.
Доступ – это поток информации между субъектом и объектом.
Доступность обеспечивает уполномоченным лицам надежный и своевременный доступ к данным и ресурсам.
Инициализация пользователя (user provisioning) - это создание, сопровождение и деактивация пользовательских объектов и атрибутов, имеющихся в одной или нескольких системах, каталогах или приложениях в соответствии с бизнес-процессами.
Источник угрозы (threat agent) - нечто, дающее возможность использования уязвимости.
Качественный анализ рисков использует различные сценарии вероятности риска, уровней серьезности угроз и обоснованности различных возможных контрмер. Для качественного анализа рисков применяются суждения, лучшие практики, интуиция и опыт.
Когнитивные пароли – это пароли на основе фактов или мнений, используемые для аутентификации человека.
Количественный анализ рисков пытается присвоить реальные и осмысленные числа всем элементам процесса анализа рисков. Этими элементами могут быть стоимость защитных мер, ценность актива, ущерб для бизнеса, частота возникновения угрозы, эффективность защитных мер, вероятность использования уязвимости и т.д.
Контрмеры (или защитные меры) – это меры, внедрение которых позволяет снизить уровень потенциального риска.
Конфиденциальность обеспечивает необходимый уровень секретности в каждой точке обработки данных и предотвращает их несанкционированное раскрытие. Конфиденциальность должна обеспечиваться как при хранении информации, так и в процессе ее передачи.
Кража личности (identity theft) относится к ситуации, когда кто-то получает ключевые элементы личной информации, например, номер водительских прав, номер банковского счета, учетные данные или номер социального страхования, а затем использует эту информацию для того, чтобы выдавать себя за другого.
Мандатное управление доступом (MAC – Mandatory Access Control) использует систему меток безопасности. Пользователи имеют допуски, а ресурсы имеют метки безопасности, которые отражают классификацию данных. MAC сравнивает эти два атрибута для определения возможности доступа субъекта к объекту.
Матрица контроля доступа (access control matrix) – это таблица субъектов и объектов, содержащая информацию о том, какие действия конкретные субъекты могут делать с конкретными объектами.
Модель управления доступом – это структура, которая определяет порядок доступа субъектов к объектам. Существует три основных модели управления доступом: дискреционная, мандатная и недискреционная (ролевая).
Мониторинг нажатия клавиш (keystroke monitoring) – это вид мониторинга, позволяющий проанализировать и записать последовательность нажатий клавиш пользователем в течение сеанса его работы.
Общий риск (total risk) – это риск, перед лицом которого стоит компания, не внедрившая никаких защитных мер. Общий риск = угроза х уязвимость х ценность актива.
Объект – пассивная сущность, содержащая информацию.
Ограниченный пользовательский интерфейс (constrained user interface) ограничивает возможности доступа пользователей к отдельным функциям, информации или отдельным системным ресурсам. Существует три основных типа ограниченного интерфейса: меню и оболочки, представления баз данных и физически ограниченные интерфейсы.
Одноразовые пароли (one-time password) используются для аутентификации лишь один раз, после использования пароль становится недействительным.
Остаточный риск (residual risk) - это риск, перед лицом которого стоит компания, внедрившая защитные меры. Необходимо обеспечить, чтобы уровень остаточного риска был приемлем для компании. Остаточный риск = (угроза х уязвимость х ценность актива) х недостаток контроля.
Ответственный за хранение данных (информации) (data custodian) – это лицо, ответственное за поддержку и защиту данных.
Ошибка первого рода в биометрии означает, что система отказала в доступе уполномоченному пользователю.
Ошибка второго рода в биометрии означает, что система разрешила доступ самозванцу.
Парольная фраза (passphrase) – это длинная последовательность символов, которая, в некоторых случаях, заменяет пароль при аутентификации. Пользователь вводит парольную фразу в приложение, а оно преобразует ее в виртуальный пароль необходимой приложению длины и формата.
Политика безопасности – это всеобъемлющее основное заявление высшего руководства компании, указывающее роль безопасности в организации.
Пользователь (user) – любой человек, который санкционировано использует данные, имея к ним уровень доступа, достаточный для выполнения своих должностных обязанностей.
Принцип «необходимо знать» (need-to-know) говорит о том, что человек должен иметь доступ только к той информации, которая ему необходима для выполнения своих должностных обязанностей.
Процедуры (procedures) – это детальные, описанные «шаг за шагом» задачи, выполняемые чтобы достичь определенной цели.
Разделение обязанностей (separation of duties) гарантирует, что один человек не сможет самостоятельно выполнить критичную задачу.
Риск – это вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному воздействию на бизнес. Риск можно перенести, избежать, снизить или принять.
Ролевое (недискреционное) управление доступом (RBAC – Role-based Access Control, Nondiscretionary Access Control) основано на ролях пользователей и их обязанностях в компании.
Руководства (guidelines) описывают рекомендующиеся действия и являются эксплуатационными инструкциями для пользователей, ИТ-специалистов и других сотрудников, там, где не применяются соответствующие стандарты.
Списки контроля доступа (ACL – access control list) - это списки субъектов, которым разрешен доступ к определенному объекту, с указанием уровня разрешенного доступа. Списки контроля доступа являются границами доступа к объектам и указывают, что субъекты могут делать с ними.
Стандарты (standards) – это обязательные действия или правила. Стандарты поддерживают и развивают политику по определенным направлениям.
Стратегическое управление (governance) – это набор обязанностей и функций, выполняющихся Советом Директоров и высшим руководством, которые задают стратегическое направление, контролируют достижение целей, надлежащее управление рисками и ответственное использование ресурсов компании.
Субъект – активная сущность, запрашивающая доступ к объекту или данным внутри объекта.
Супервизор (supervisor) несет персональную ответственность за все действия пользователей и любые активы, которые создали пользователи и которыми они владеют.
Таблица разрешений (capability tables) – это границы для субъекта, в ней указываются списки объектов, к которым этот субъект имеет доступ.
Техника Delphi – это метод группового принятия решений, обеспечивающий получение от каждого члена его истинного мнения, не подверженного влиянию мнения других.
Угроза – это потенциальная опасность для информации или системы.
Управление доступом – это механизм безопасности, который управляет процессом взаимодействия пользователей с системами и ресурсами, а также систем между собой.
Управление информационными рисками – это процесс идентификации, оценки и снижения рисков до приемлемого уровня, внедрение эффективных механизмов поддержания этого уровня рисков.
Уязвимость – это недостаток в программном обеспечении, оборудовании или процедуре, который может предоставить атакующему возможность доступа к компьютеру или сети и получения несанкционированного доступа к информационным ресурсам компании.
Уязвимость – это отсутствие или слабость защитных мер.
Фишинг – это разновидность социальной инженерии, которая направлена на получение персональной информации, учетных данных, номеров кредитных карт или финансовых данных.
Хост-приманка (honeypot) – это специально настроенный компьютер-жертва, на котором открыто много портов, запущено много служб. Такой компьютер должен привлечь злоумышленника больше, чем реальные системы в сети. Хост-приманка не содержит никакой реальной информации компании, и нет никаких рисков в случае его успешного взлома.
Целостность обеспечивает гарантии точности и надежности информации и предоставляющих ее информационных систем, предотвращает возможность несанкционированных изменений.
Централизованное администрирование управления доступом (centralized access control administration) - передает управление доступом одному субъекту (человеку или подразделению), который следит за доступом ко всем корпоративным ресурсам.
1 комментарий:
Добавлены определения из второго домена
Отправить комментарий