вторник, 28 июня 2011 г.

Сертификация по ISO 27001 \ Глоссарий

Информационная безопасность требует использования правильной терминологии, чтобы передать все сложности и нюансы этой дисциплины. Использование некорректных терминов ведет к непониманию, применению неверного контекста. Термины и понятия, используемые в этой книге определены ниже.



  • Актив (asset). Что-то, что имеет ценность для компании, например, информация, информационные технологии, оборудование, интеллектуальная собственность, ключевые клиенты и т.п.
  • Анализ рисков (Risk analysis). Систематический анализ активов компании, угроз этим активам, бизнес-функций компании и персонала для определения ключевых аспектов, потенциального ущерба для них и влияния их потери на компаю.
  • Бизнес-функции (business functions). Общий термин, означающий деятельность, совместно выполняемую с помощью персонала, информации, информационных технологий и поддерживающей их инфраструктуры. Примером бизнес-функций может быть бухгалтерский учет, продажи, управление проектами, предоставление сервиса (в т.ч. предоставление сервисов внешними провайдерами).
  • Выявление угроз (Threat identification (validation)). Владелец и другие назначенные участники выполняют анализ угроз. Необходимо выявить угрозы, которые могут оказать влияние на определенные активы, воспользоваться или получить преимущества от уязвимостей активов и, таким образом, создать риск. Все найденные угрозы должны быть оценены. Для этого могут использоваться различные способы. Реалистично подходите к оценке угроз, работайте только с теми угрозами, которые имеют значительную вероятность реализации или которые могут оказать критическое воздействие. Угрозами могут быть, в частности, природные катастрофы, человеческие ошибки, технологические сбои. Кроме того, следует рассчитать периодичность реализации угрозы, которая будет считаться приемлемой.
  • Выявление уязвимостей (Vulnerability identification). Процесс обнаружения недостатков и слабостей.
  • Доступность (Availability). Свойство информации и информационных технологий быть готовыми к использованию по требованию уполномоченного лица.
  • Заявление о применимости (SoA – Statement of applicability). Термин ISO, относящийся к документу, в котором описаны средства управления безопасностю и цели этих средств управления, относящиеся к компании.
  • Игнорирование риска (Risk ignoring). Решение не учитывать риск. Это существенно отличается от принятия риска. Принятие риска означает понимание риска и его потенциального воздействия на компанию. Игнорирование риска – это понимание, что риск существует, но у компании нет достаточного понимания риска, чтобы принять решение о принятии риска. Такой риск игнорируется, в отношении него ничего не предпринимается.
  • Категорирование и определение критичности актива (Asset categorization and criticality). Процесс оценки актива, включая перечисление содержимого актива и определение уровня его важности для компании.
  • Ключевые бизнес-функции (Key business functions). Ключевые бизнес-функции – это то, что позволяет компании оставаться в бизнесе. Например, банк занимается расчетно-кассовым обслуживанием. Расчетно-кассовое обслуживание – это один из продуктов, которые продает банк, получая прибыль. А прибыль – это то, ради чего любая коммерческая организация существует на рынке. Если, например, 80% расчетных операций клиенты банка выполняют посредством системы дистанционного банковского обслуживания, эта система является для банка ключевой бизнес-функцией.
  • Конфиденциальность (Confidentiality). Информация не раскрывается неуполномоченным лицам и автоматизированным системам.
  • Определение вероятности (Determining probability). Процесс расчета вероятности реализации определенного события. Для каждой уязвимости существует вероятность реализации угрозы, при которой источник угрозы воспользуется этой уязвимостью.
  • Остаточный риск (Residual risk). Часть риска, оставшаяся после реализации мер по снижению риска, его разделению или передаче. Снизить риски до нуля обычно не представляется возможным, целью является достижение оптимального баланса между остаточным риском и инвестициями в снижение, разделение и передачу риска.
  • Оценка рисков (Risk assessment). Процесс определения рисков компании.
  • Передача риска (Risk transfer). Решение о снижении риска путем привлечения другой стороны, которая возьмет на себя весь этот риск, например, передача на аутсорсинг определенных операций и связанных с ними рисков компании, предоставляющей услуги аутсорсинга.
  • Политика (Policy). Официальное заявление о соответствующей бизнес-деятельности. Политику поддерживают процедуры и стандарты.
  • Политика информационной безопасности (Information security policy). Набор документов, которые отражают взгляд бизнеса на информационую безопасность. Эти документы могут охватывать ключевые элементы стандарта ISO 27002.
  • Политика СМИБ (ISMS policy). Отдельная политика, поддерживающая потребности СМИБ.
  • Принятие риска (Risk acceptance). Решение о признании угрозы, потенциальной уязвимости компании к этой угрозе, уровня потенциального ущерба от ее реализации, а также об отсутствии необходимости делать что-либо. Такое решение принимается на основе уровня риска и величины возврата инвестиций (ROI – Return on investment) для любых корректирующих мер или иных действий.
  • Программа менеджмента безопасности (ПМБ, Security management program – SMP). Авторский термин, относящийся к работам по определению и планированию мер и средств для защиты информации, который включает в себя персонал, организацию, технологии, бизнес-процессы и функции. ПМБ – это документ, который определяет цели и методы обеспечения безопасности. По существу, это то же, что и СМИБ.
  • Процедуры информационной безопасности (Information security procedures). Набор документов, объясняющих, как реализовывать положения политики. Обычно процедуры оформляются в виде набора шагов и инструкций.
  • Разделение риска (Risk sharing). Решение о снижении риска путем привлечения другой стороны, которая возьмет на себя часть этого риска, например, покупка страховки для получения определенного возмещения в случае реализации риска.
  • Расчет воздействия на бизнес (Calculating business impact). Процесс определения влияния инцидента на функционирование бизнеса и его жизнеспособность.
  • Расчет риска (Calculating risk). Процесс определения потенциального влияния на бизнес потенциальной угрозы. Числовые значения уровня рисков позволяют приоритезировать задачи по их снижению этих рисков.
  • Риск (Risk). Вероятность, что определенный источник угрозы воспользуется уязвимостью, что приведет к нанесению ущерба или утрате активов компании.
  • Руководство (Guidelines). Дополнительный документ, поддерживающий политику или стандарт, который содержит указания и рекомендации по интерпретации угроз, уязвимостей, реализации защитных мер, мониторингу, реагированию на те или иные события и т.п.
  • Система менеджмента информационной безопасности (СМИБ, Information security management system – ISMS). ISO определяет СМИБ как часть общей системы менеджмента, основанную на оценке бизнес-рисков и предназначенную для создания, внедрения, эксплуатации, мониторинга, сопровождения и совершенствования информационной безопасности.
  • Снижение риска (Risk mitigation). Снижение риска путем внедрения защитных мер и средств, например, установка межсетевого экрана или системы выявления вторжений, повышение осведомленности персонала в отношении этого риска и т.п.
  • Соответствие (Compliance). Действия по обеспечению соответствия или соблюдению применимых требований в соответствующей бизнес-деятельности. В состав требований, которым должна соответствовать компания, могут входить требования законодательства, требования регуляторов (соответствующей отрасли), а также применимые стандарты (например, ISO 27001).
  • Средства управления (Controls). Организационные и технические защитные меры и средства, реализующие положения политики безопасности с целью обеспечения конфиденциальности, целостности и доступности.
  • Стандарты информационной безопасности (Information security standards). Набор документов, которые содержат рекомендации, что нужно использовать для реализации политики безопасности.
  • Стратегическое управление безопасностью (Security governance). Действия по определению бизнес-рисков и бизнес-драйверов в области безопасности. Одним из результатов стратегического управления безопасностью является политика, которая определяет организационное поведение.
  • Структура менеджмента безопасности (СМБ, Security management framework – SMF). Авторский термин, предназначенный для описания специфики компании. Возьмите за основу отраслевой стандарт безопасности (например, ISO 27002) и внесите в него изменения, чтобы он отражал требования, которым должна соответствовать компания.
  • Сущность (Entity). Человек или некий объект, которым может быть устройство (компьютер, принтер, маршрутизатор и т.п.) или программное обеспечение (операционная система, приложение, утилита, фоновый процесс и т.п.).
  • Угроза (Threat). Сущность или событие, которое может умышленно или неумышленно нанести вред активам компании. Сущностью может быть человек, устройство или что-то другое. Событие может быть природным, случайным или преднамеренным.
  • Управление непрерывностью бизнеса (BCM – Business continuity management). Процесс, обеспечивающий продолжение функционирования в случае возникновения инцидента, потенциально способного прервать функционирование.
  • Управление рисками (Risk management). Процесс работы с рисками компании. Частью управления рисками являются работы по обработке рисков, а именно, их снижение, разделение, передача или принятие.
  • Уязвимость (Vulnerability). Недостаток или слабость. Уязвимость может быть организационной, процедурной, системной или относящейся к персоналу.
  • Целостность (Integrity). Обеспечение защиты информации от несанкционированного изменения или повреждения, сохранение информации в том виде, в котором она была создана автором.

2 комментария:

Игорь Бурцев комментирует...

Опечатка в английском названии термина "Снижения риска" - mitiNgation.

eagle комментирует...

Поправил. Спасибо!