05.10.2025 10:00
D3One 0 158 Источник

Зачем глоссарий?

Для руководителей и специалистов, работающих на стыке кибербезопасности и бизнеса: BISO, CISO, владельцев продуктов, руководителей направлений (BU), финансовых директоров и всех, кто принимает решения о рисках и инвестициях в защиту.

Главная идея роли BISO — переводить безопасность на язык бизнеса и обратно, помогая принимать решения, где контроль ≈ ценность/риск для конкретного бизнес-процесса. Эту идею закрепляют многие отраслевые описания роли BISO как «моста» между ИБ и бизнесом, а не дубля CISO.

1) Базовые роли и оргструктура

  • BISO (Business Information Security Officer) — представитель функции безопасности внутри конкретного бизнес-направления (BU). Соотносит требования ИБ с P&L, целями BU, SLA клиентов. Часто подчиняется CISO, действует как «полевой» владелец риска в бизнесе.

  • CISO (Chief Information Security Officer) — отвечает за стратегию и программу ИБ уровня компании: политика, стандарты, бюджет, отчётность совету/CEO.

  • BU (Business Unit) — бизнес-направление с собственными продуктами/доходом.

  • GRC (Governance, Risk, Compliance) — управление, риск-менеджмент и соответствие; каркас процессов ИБ.

  • Security Champion — выделенный представитель ИБ в команде разработки/продукта.

  • RACI — матрица распределения ролей (Responsible, Accountable, Consulted, Informed).

2) Риск-менеджмент и метрики

  • Risk Appetite / Risk Tolerance — аппетит/допуск к риску, установленный советом/менеджментом.

  • Risk Register — реестр рисков с владельцами, оценкой и планами обработки.

  • Inherent / Residual Risk — исходный/остаточный риск до/после контролей.

  • KPI / KRI — метрики эффективности и индикаторы риска (например, % покрытых крит. уязвимостей, MTTR).

  • FAIR — количественная модель оценки киберриска в денежных терминах.

  • Heat Map / Bow-tie — визуализация риска и сценариев потерь.

  • ALE / SLE / ARO — ожидаемые потери в год / за событие / частота.

3) Стандарты и контрольные рамки

  • ISO/IEC 27001/27002 — система менеджмента ИБ и каталог контролей.

  • NIST CSF 2.0 — Identify–Protect–Detect–Respond–Recover (рамка киберриска).

  • SOC 2 — отчётность по доверительным принципам (Security/Availability/Confidentiality и др.).

  • PCI DSS — требования для компаний, работающих с данными платёжных карт.

  • COBIT / COSO — корпоративное управление IT и внутренние контроли.

  • Well-Architected (Security Pillar) — принципы безопасности облачных архитектур.

4) Процессы инцидентов и устойчивость

  • IR (Incident Response) — управление инцидентами; SLA/OLA по реагированию.

  • Playbook / Runbook — сценарии реагирования и операционные шаги.

  • SOAR / SIEM / XDR — автоматизация, корреляция и расширенная детекция.

  • Tabletop Exercise / Purple Teaming — «настольные» тренировки и совместные учения Blue+Red.

  • BCP / DRP / RTO / RPO — непрерывность бизнеса, аварийное восстановление и целевые показатели.

  • Root Cause Analysis / PIR — анализ первопричин и пост-инцидентный разбор.

5) Управление доступом и идентичность

  • IAM — политики, роли, федерация.

  • PAM — привилегированный доступ (временные права, сессии под надзором).

  • MFA / Phishing-resistant MFA — многофакторная аутентификация (желательно FIDO2/WebAuthn).

  • SSO — единый вход, минимизация паролей.

  • JML (Joiner-Mover-Leaver) — онбординг/перевод/увольнение и жизненный цикл прав.

  • Zero Trust — проверяй каждый запрос, минимальные привилегии везде.

6) Данные и приватность

  • Data Classification — классификация (Public/Internal/Confidential/Restricted).

  • Encryption (At Rest / In Transit) — шифрование в покое/транзите, управление ключами (KMS/HSM).

  • Tokenization / Pseudonymization — снижение чувствительности данных.

  • DLP — предотвращение утечек (каналы: почта, веб, облака, эндпоинт).

  • Privacy by Design / DPIA — приватность по умолчанию и оценка влияния.

  • GDPR / CPRA / HIPAA / GLBA / SOX — ключевые регуляции; роль BISO — связать контроль с юридическими требованиями.

7) Архитектура, сеть и периметр

  • ZTNA / SASE / SWG / CASB — современный удалённый доступ и облачная безопасность.

  • Micro-segmentation — сегментация на уровне ворклоадов/идентичностей.

  • Egress Control — политика исходящих соединений, контроль DNS/HTTP.

  • WAF / API Security — защита веб-приложений и API (OWASP Top-10/ASVS).

  • ASM (Attack Surface Management) — внешняя поверхность атаки.

8) Разработка и поставка ПО

  • Secure SDLC — безопасность на каждом этапе (threat modeling, SAST/DAST/IAST).

  • SBOM / Supply-chain Security — состав ПО и доверие к цепочке поставок.

  • Secrets Management — ротация/хранение секретов; запрет «секретов в коде».

  • DevSecOps / IaC Security — «безопасность как код», проверки в CI/CD.

  • PenTest / Bug Bounty — тестирование на проникновение и краудсорс-поиск уязвимостей.

9) Облака и платформы

  • Shared Responsibility Model — разграничение зон ответственности провайдера и клиента.

  • Landing Zone — эталонная облачная среда (аккаунты, сеть, guardrails).

  • Baseline Controls / Guardrails — обязательные политики/лимиты (например, запрет public-S3).

  • IMDSv2 / Temporary Credentials — безопасный доступ к метаданным/ролевым ключам.

  • KMS / BYOK / HYOK — модели владения ключами.

  • CSPM / CWPP / CIEM — контроль конфигураций, ворклоадов и полномочий в облаке.

10) Поставщики, финансы и стратегия

  • Third-Party Risk / Due Diligence — оценка вендоров и контрактные контролы (DPA, SLA, SOC 2).

  • Cyber Insurance — страхование киберрисков, условия покрытия и исключения.

  • CapEx / OpEx / TCO / ROI / Payback — язык финансового диалога с бизнесом.

  • Roadmap / Target Operating Model (TOM) — целевая модель функции ИБ в компании.

  • Metrics to Board — «доске» нужны метрики в бизнес-терминах: риск-редукция, соответствие, влияние на выручку/сервисы.

Мини-шпаргалка различий BISO vs CISO

  • CISO: стратегия и политика ИБ уровня предприятия; управление программой ИБ; отчётность совету/CEO.

  • BISO: «приземляет» стратегию CISO в конкретном BU, связывает риски и P&L, закрывает разрыв между командами продукта/продаж/операций и функцией ИБ.

Как BISO объясняет ценность безопасности

  1. Связать контроль ↔ бизнес-эффект: что именно мы защищаем (процесс/выручку/обязательства)?

  2. Квантифицировать риск: в деньгах/простой/штрафах, а не только «красно-жёлто-зелёно».

  3. Показать альтернативы: страхование, перенос, снижение, принятие — и стоимость каждого шага.

  4. Договориться о метриках: KRI/KPI понятные владельцу процесса.

  5. Зафиксировать ответственность: RACI и «владельцы риска» на стороне бизнеса.

Заключение

BISO — это прежде всего переводчик ценности: он ставит безопасность на службу бизнесу, а не наоборот. Учите термины, договаривайтесь о метриках и говорите с бизнесом на его языке — так вы станете тем самым профессионалом, который делает компанию и безопаснее, и успешнее.

Комментарии (0)