SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Термины и определения в области информационной безопасности

Термины и определения в области информационной безопасности
27.11.2023

Руслан Рахметов, Security Vision


Дорогие друзья, при изучении основ информационной безопасности - в ВУЗе, на курсах повышения квалификации или самостоятельно - у новичка неизбежно возникает множество вопросов относительно базовых терминов и определений, используемых в кибербезопасности. В данной статье мы дадим определение наиболее часто встречающимся терминам и определениям кибербезопасности, но при этом, по возможности, постараемся дать объяснение терминов простым языком и обойтись без ненужных канцеляризмов. Следует также указать, что при разработке каких-либо документов (например, внутренних нормативных документов в компании) следует использовать официальный глоссарий, поэтому можем порекомендовать использовать перечень самых базовых терминов из следующих документов:


· Стандарт ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;

· Стандарт ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»;

· Стандарт ГОСТ Р 59709-2022 «Защита информации. Управление компьютерными инцидентами. Термины и определения»;

· Рекомендации по стандартизации Р 50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации»;

· Рекомендации по стандартизации Р 50.1.056-2005 «Техническая защита информации. Основные термины и определения»;

· Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

· Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;

· Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».


Итак, перейдем к основным определениям в области информационной безопасности:


Защита информации - это обеспечение целостности, конфиденциальности, доступности информации.


Безопасность информации (или информационная безопасность, сокращенно ИБ) - это состояние защищенности информации, при котором обеспечиваются её целостность, конфиденциальность, доступность.


Целостность информации - это состояние информации, при котором она либо остается неизменной, либо изменения осуществляются только теми, кто имеет на это право.


Конфиденциальность информации - это состояние информации, при котором доступ к ней имеют только те, кто обладает соответствующими правами доступа.


Доступность информации (ресурсов информационной системы) - это состояние информации (ресурсов информационной системы), при котором обладающие необходимыми правами доступа могут их беспрепятственно реализовать.


Права доступа - это полномочия пользователя или сущности (например, программы или устройства) на обработку информации - чтение, запись, изменение, копирование, передачу, удаление.


Субъект доступа - это пользователь или сущность, которые выполняют обработку информации в соответствии с назначенными им правами доступа.


Объект доступа - это информация или ресурс информационной системы (например, файл или запись в базе данных), с которым взаимодействует субъект доступа в соответствии с назначенными ему правами доступа.


Актив (информационный актив) - это информация или ресурс информационной системы, имеющие ценность для организации, использующиеся для достижения целей организации, являющиеся объектами защиты и кибератаки с целью нарушения свойств безопасности.


Кибератака (компьютерная атака) - это целенаправленное вредоносное воздействие на актив для нарушения его нормального функционирования и/или для реализации угрозы ИБ обрабатываемой ресурсом информации.


Инцидент ИБ - это событие (или группа событий) ИБ, которые могут привести или уже привели к успешной кибератаке, нарушению работы информационного актива, нанесению ущерба интересам компании.


Событие ИБ - это зафиксированное изменение состояния информационного актива, которое может являться причиной инцидента ИБ.


Ущерб от реализации кибератаки - это негативные последствия для интересов и благополучия компании. Ущерб может быть прямым или непрямым:

1) прямой ущерб - это непосредственные и легкопрогнозируемые потери компании, например, утеря прав интеллектуальной собственности, разглашение секретов производства, снижение стоимости активов или их частичное или полное разрушение, судебные издержки и выплата штрафов и компенсаций и т.д.;

2) непрямой ущерб - это опосредованные и труднопрогнозируемые качественные или косвенные потери компании:

2а) качественные потери - это, например, приостановка или снижение эффективности деятельности компании, потеря клиентов, снижение качества производимых товаров или оказываемых услуг;

2б) косвенные потери - это, например, недополученная прибыль, потеря деловой репутации, дополнительно понесенные расходы.


Угроза безопасности информации (киберугроза, угроза ИБ) - это набор условий и факторов, создающих опасность нарушения безопасности информации и являющихся потенциальной причиной возникновения инцидента ИБ.


Реализация угрозы ИБ - это сочетание условий и факторов, приведших к наступлению инцидента ИБ.

 

Моделирование угроз - это идентификация всех угроз, которые могут нанести ущерб компании, и векторов атак, которые могут быть использованы источниками угроз для нанесения ущерба.


Угроза ИБ может возникнуть при наличии:

1) источника угрозы,

2) уязвимости актива,

3) способа реализации угрозы,

4) объекта воздействия,

5) вредоносного воздействия и его последствий.


1. Источник угрозы - это субъекты (нарушители, третьи лица, технические средства, физические явления, силы природы), являющиеся причиной возникновения угрозы безопасности информации.


Нарушители могут быть внешними или внутренними по отношению к рассматриваемому объекту защиты:


1) внешние нарушители - это субъекты, не имеющие легитимного доступа к объекту защиты. Они не являются сотрудниками компании, легитимными пользователями внутренних информационных систем, аутсорсерами, подрядчиками, поставщиками, заказчиками и прочими лицами, связанными действующими юридическими отношениями с рассматриваемой организацией;


2) внутренние нарушители (или инсайдеры, от англ. insider) - это сотрудники и руководители компании, а также юридические лица, которые имеют действующие юридические отношения с компанией. Они отличаются хорошими знаниями о работе атакуемого ресурса, имеют или могут получить к нему доступ, зачастую санкционированный и с расширенными полномочиями. Инсайдеры условно делятся на:

· халатных, которые могут реализовать угрозы ИБ ненамеренно,

· саботирующих, которые нарушают работу бизнес-процессов компании в силу своей нелояльности,

· увольняющихся, которые стремятся оставить у себя конфиденциальную рабочую информацию для использования на новом месте,

· целенаправленных, которые могут быть специально внедрены конкурентами для бизнес-разведки.


Моделирование нарушителей - это оценка опасности атакующих с учетом наличия у них способов, мотивов, возможностей для реализации киберугроз, а также с учетом привлекательности конкретной компании для злоумышленников.


2. Уязвимость - это слабое место актива или средства контроля и управления, которое может быть использовано злоумышленниками для реализации угроз безопасности информации. Уязвимость характеризуется степенью опасности, включающей простоту эксплуатации (использования) уязвимости и её влияние на свойства безопасности информации (конфиденциальность, целостность, доступность).

 

3. Способ реализации угрозы - это использование источником угрозы выявленных уязвимостей, нарушений и ошибок в технических и организационных процессах компании, недостатков контроля и управления для оказания вредоносного воздействия на объект защиты. Способы реализации угроз можно также классифицировать по применяемым злоумышленниками тактикам, техникам, процедурам кибератак (сокращенно TTPs, от англ. Tactics, Techniques, Procedures).


4. Объект воздействия - это люди, информация, процессы и технологии, включая процессы разработки, производства и поставки, каналы передачи данных, программные и аппаратные средства и компоненты информационных систем. На объект воздействия атакующими оказывается негативное влияние для реализации угроз ИБ, например: злоумышленники отправляют сотрудникам фишинговые ссылки для реализации кибератак с помощью методов социальной инженерии, запускают вирусы-шифровальщики для получения выкупа за расшифрование данных или неразглашение украденных сведений, внедряются в процессы разработки ПО для встраивания вируса в очередное обновление программы, подключают к компьютерам аппаратные кейлоггеры (устройства для негласного съема информации).


5. Вредоносное воздействие - это непосредственно кибератака, например, DDoS-атака, кража данных, заражение вирусом-шифровальщиком, хищение денежных средств. Вредоносное воздействие приводит к последствиям в виде ущерба интересам и благополучию компании.


Риск информационной безопасности (риск ИБ, киберриск) - это потенциальная возможность использования уязвимостей активов конкретной угрозой для причинения ущерба компании. Существуют следующие способы обработки киберриска:


1) игнорировать - но это рано или поздно приведет к успешной кибератаке,

2) принять - при взвешенном и коллегиально вынесенном решении это допустимо для несущественных рисков или рисков, которые невозможно обработать иным способом,

3) избежать - отказ от внедрения или использования тех или иных рискованных технологий, однако при этом может пострадать продуктивность процессов компании,

4) передать - использование услуг киберстрахования,

5) минимизировать - реализация стратегии кибербезопасности, внедрение мер защиты информации (организационные, технические, физические), установка и эксплуатация средств защиты информации.


Средство защиты информации (сокр. СЗИ или СрЗИ) от несанкционированного доступа / воздействия - это техническое, программное или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа / воздействия на информацию или ресурсы информационной системы.

Управление ИБ СЗИ Управление ИТ-активами Угрозы ИБ Нарушители ИБ ИБ для начинающих

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса