Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
отчет24124214.docx
Скачиваний:
6
Добавлен:
20.11.2019
Размер:
245.09 Кб
Скачать

Глоссарий

В глоссарии рассматриваются стандартные термины и понятия, используемые в отрасли обеспечения безопасности и включенные в данный отчет. Кроме того, могут быть включены и другие термины, не использованные в этом отчете.

Термин

Определение

AoAs

Области анализа, которые являются инфраструктуры, приложений, операции, и люди.

Приложения

Прикладная программа, функциональные возможности которой использует конечный пользователь. Работает в загруженной операционной системе. В качестве примера приложения можно привести текстовый редактор, электронные таблицы и программы управления базами данных.

антивирус

Программные и аппаратные технологии, защищающие вычислительную среду от злонамеренных программных средств.

профиль риска для бизнеса (ПРБ)

Величина измерения риска, которому подвергается организация, в зависимости от бизнес-среды и отрасли, в условиях которых она конкурирует.

индекс эшелонированной защиты (DiDI)

Величина измерения защитных мер по обеспечению безопасности, используемых в отношении персонала, процессов и технологий для снижения рисков, выявленных на предприятии.

демилитаризованная зона (ДМЗ)

Часть сети, отделенная от внутренней сети межсетевым экраном, а также подключенная к Интернету через другой межсетевой экран.

межсетевой экран

Аппаратное или программное устройство, обеспечивающее защиту хост-компьютеров от несанкционированного доступа через сеть.

Инфраструктура

Сетевые функции, возможности управления ими и их поддержки для обеспечения защиты сети, реагирования на нештатные ситуации, безотказной работы сети и анализа ошибок. Включены поддержка внутренних и внешних бизнес-процессов, а также способы создания и развертывания узлов.

многофакторная проверка подлинности

Проверка подлинности, требующая сочетания как минимум двух из следующих условий: что известно; что имеем; или кто вы. Например, дебетовая банковская карта - это двухфакторная проверка подлинности. Для нее требуется то, что имеем (сама карта), и то, что известно (ПИН-код). Необходимость ввода кем-то нескольких паролей для проверки подлинности - это лишь однофакторная проверка подлинности, поскольку это как раз "то, что известно". Вообще, чем больше факторов, тем выше уровень безопасности при проверке подлинности. Таким образом, система, для которой требуется карта с идентификатором (то, что имеем), ПИН-код (то, что известно) и сканер отпечатков пальцев (кто вы), является более безопасной, чем система, которой требуется лишь имя пользователя/пароль (один фактор) или карта с идентификатором и ПИН-код.

Операции

The policies, processes, procedures, and practices related to the protection

Персонал

Члены организации, а также политики, процессы, процедуры и методы, относящиеся к защите сотрудников и организации.

инфраструктура открытых ключей (PKI)

Комплексный набор технологий, требуемых для обеспечения шифрования с использованием открытых ключей и цифровых подписей. Для обеспечения распределения ключей, целостности и конфиденциальности данных используется шифрование с комбинированием открытых и закрытых ключей.

процесс

Документированная серия последовательных задач, используемых для выполнения бизнес-функции.

Интерпретация графиков

  • Показатель ПРБ находится в диапазоне от 0 до 100, где более высокая оценка подразумевает более высокий показатель потенциального риска для бизнеса в данной специфической области анализа (AoA). Важно отметить, что нулевое значение в данном случае невозможно, так как деловая деятельность сама по себе подразумевает наличие какого-то уровня риска. Кроме того, важно понимать, что существуют определенные аспекты ведения бизнеса, для которых отсутствует прямая стратегия снижения риска.

  • Индекс DiDI также находится в диапазоне от 0 до 100. Высокий показатель свидетельствует о среде, в которой было принято множество мер для развертывания стратегий эшелонированной защиты (DiD) в конкретной области (AoA). Показатель DiDI не отражает общей эффективности безопасности или же ресурсы, затраченные на безопасность. Это, скорее, отражение общей стратегии, использованной для защиты среды.

  • На первый взгляд, может показаться, что низкий показатель ПРБ и высокий показатель DiDI - это хороший результат, но это не всегда так. Масштаб данной самооценки не предусматривает все факторы, которые следует принять во внимание. При значительной диспропорции между показателями ПРБ и DiDI в конкретной области анализа рекомендуется изучить ее (AoA) как можно глубже. При анализе результатов важно учитывать индивидуальные показатели, как для ПРБ, так и DiDI, по отношению друг к другу. Стабильная среда, вероятно, будет представлена сравнительно одинаковыми показателями во всех областях. Разница между показателями DiDI - это явный признак того, что общая стратегия безопасности базируется на одной методике снижения риска. Если стратегия обеспечения безопасности не уравновешивает аспекты, связанные с персоналом, процессами и технологиями, то для среды существует вероятность повышенной уязвимости для злонамеренных атак.