06.10.2025 12:03
D3One 1 2900 Источник

Представляемый глоссарий терминов для руководителя информационной безопасности (CISO) создан как рабочий инструмент, обеспечивающий единое понимание ключевых концепций в области управления информационной безопасностью. Унификация терминологии крайне важна для эффективного взаимодействия между техническими специалистами, менеджментом и бизнес-подразделениями, а также для построения прозрачной и соответственной требованиям системы защиты информации.

Для углубленного изучения каждого из терминов и связанных с ними практик рекомендуется обращаться к следующим авторитетным источникам:

  • Международные фреймворки:

    • ISACA: Эта международная ассоциация предлагает обширный глоссарий (ссылка на глоссарий ISACA) и стандарты для аудита, управления и защиты информационных систем, такие как CISA (Certified Information Systems Auditor).

    • NIST (Национальный институт стандартов и технологий США): Разрабатывает детальные framework и руководства (серия Special Publications 800-53, 800-37 и др.), которые содержат определения и являются основой для многих программ безопасности по всему миру.

  • Российские нормативные документы:

    • ФСТЭК России: Издает обязательные к применению методические документы и приказы, которые определяют требования по защите информации, не составляющей государственную тайну. К ним относятся, например, «Методика оценки угроз безопасности информации» и «Базовая модель угроз безопасности персональных данных».

    • ФСБ России: Устанавливает требования в области защиты информации, являющейся государственной тайной, и регулирует вопросы криптографической защиты (шифрования).

    • ГОСТы: Национальные стандарты, такие как серия ГОСТ Р ИСО/МЭК 27000, которая адаптирует международные стандарты семейства ISO/IEC 27000 для Российской Федерации.

Как он собран: синтез широко применяемых фреймворков и источников (NIST CSF/800-53/800-61/800-171, ISO/IEC 27001/27002, CIS Controls v8, COBIT, MITRE ATT&CK/D3FEND, OWASP, AICPA SOC 2, PCI DSS, FFIEC, рекомендации CISA, ITIL 4), а также практик управленческого учёта и проектного управления (ROI, TCO, NPV, OKR, KPI) и типовых шаблонов эксплуатации средств защиты.

1) Корпоративное управление и лидерство

  1. Corporate Governance (корпоративное управление) — структуры (совет директоров/комитеты/регламенты), направляющие и контролирующие риск, комплаенс и безопасность.

  2. Enterprise Risk Management (ERM) — согласованный подход к идентификации, анализу, обработке и мониторингу рисков предприятия.

  3. Risk Appetite (аппетит к риску) — уровень/типы риска, приемлемые для руководства ради достижения целей.

  4. Risk Tolerance (толерантность к риску) — допустимые отклонения от аппетита по конкретным метрикам (напр., «≤ 1 существенный инцидент/год»).

  5. Risk Capacity (ёмкость риска) — максимум риска, который организация может поглотить без угрозы жизнеспособности (капитал/ликвидность/операционные пределы).

  6. Three Lines Model (модель трёх линий) — (1) менеджмент/владельцы рисков, (2) надзор за рисками/комплаенс, (3) независимое заверение (внутренний аудит).

  7. GRC (Governance, Risk, and Compliance) — интеграция политики, риска и контроля со стратегией.

  8. Control Objective (цель контроля) — требуемый исход, которого должен достигать контроль (напр., «Только уполномоченные лица получают доступ к PHI»).

  9. Compensating Control (компенсирующий контроль) — альтернативный контроль с эквивалентной защитой, когда стандартный невыполним.

  10. Risk Register (реестр рисков) — авторитетный журнал рисков, владельцев, обработок и статусов.

  11. Materiality (существенность) — порог, при котором информация влияет на решения инвесторов; ключевой для раскрытий киберрисков по SEC.

  12. Policy / Standard / Procedure / Guideline — иерархия управления от высокоуровневых намерений до пошаговых действий.

  13. Security Strategy (стратегия безопасности) — многолетний план, выравнивающий результаты безопасности с ростом, надёжностью и комплаенсом.

  14. Security Operating Model (операционная модель безопасности) — оргдизайн, процессы и инструменты, реализующие стратегию (централизованная, федеративная, гибридная).

  15. Information Security Management System (ISMS) — управленческая система для политик, рисков, контролей, метрик и непрерывного улучшения.

2) Финансы, бюджетирование и ценность (основы для CISO)

  1. P&L (отчёт о прибылях и убытках) — выручка, COGS, валовая маржа, OpEx, операционная прибыль, чистая прибыль.

  2. OpEx / CapEx — операционные и капитальные затраты; важны для амортизации и одобрений бюджета.

  3. EBITDA — прибыль до процентов, налогов, амортизации и износа; прокси операционной эффективности.

  4. TCO (Total Cost of Ownership) — полная стоимость решения (лицензии, облако, труд, обучение, миграция, вывод из эксплуатации).

  5. ROI (Return on Investment) — (Доход − Затраты)/Затраты; может включать избежание потерь.
    Пример: ожидаемый убыток $800k → $200k после контроля при затратах $200k ≈ ROI 200%.

  6. NPV / IRR / Payback Period — дисконтированные метрики для сравнения инвестиций.

  7. Unit Economics (юнит-экономика) — рычаги прибыльности на единицу; безопасность влияет на отток, конверсию, поддержку.

  8. Cost of Risk (CoR) — ожидаемый годовой убыток + стоимость контролей + страхование; помогает оптимизировать уровень инвестиций в ИБ.

  9. ALE / SLE / ARO — годовая/разовая ожидаемая потеря; годовая частота наступления (классический количественный риск).

  10. FAIR (Factor Analysis of Information Risk) — калиброванное вероятностное моделирование убытков (P10/P50/P90).

  11. Zero-Based Budgeting (ZBB) — бюджет «с нуля» по реальной потребности, а не от прошлого года.

  12. Run-Grow-Transform (RGT) Split — классификация трат на поддержание, расширение и стратегические изменения.

  13. Chargeback / Showback — распределение стоимости безопасности по БЕ (жёсткое/информативное).

  14. Vendor Lock-In — барьеры перехода (контракты, «гравитация данных», компетенции); заранее оговаривайте права выхода.

  15. Cyber Insurance (киберстрахование) — перенос риска с франшизами, исключениями, доказательной базой и требованиями панельных подрядчиков.

  16. RFP / RFI / RFQ — запрос предложения/информации/квоты в закупках.

  17. Total Cost of Delay (TCD) — экономический эффект от отсрочки меры или исправления.

  18. Depreciation / Amortization — распределение CapEx/нематериальных активов по сроку службы; влияет на «оптику» P&L.

  19. Budget Guardrails (ограничители бюджета) — правила и пределы (напр., доли SaaS vs perpetual, штат vs услуги).

  20. Business Case — структурированное обоснование выгод, затрат, рисков и опций инициативы.

3) Фреймворки, стандарты и комплаенс

  1. NIST CSF (2.0) — Identify, Protect, Detect, Respond, Recover + Governance; ориентирован на результаты.

  2. NIST SP 800-53 — всеобъемлющий каталог контролей (AC, AU, CM, IR, SC и др.).

  3. NIST SP 800-61 — руководство по реагированию на инциденты (жизненный цикл IR).

  4. NIST SP 800-171 — защита CUI в не-федеральных системах; основа для CMMC.

  5. CMMC — уровни соответствия поставщиков DoD.

  6. ISO/IEC 27001/27002 — сертифицируемая ISMS + практики контролей.

  7. COBIT — фреймворк управления ценностью и обеспечением ИТ.

  8. CIS Controls v8 — приоритизированные меры с группами внедрения (IG1–IG3).

  9. MITRE ATT&CK — база знаний тактик/техник противника; основа для detection engineering.

  10. MITRE D3FEND — сопоставление контрмер техникам ATT&CK.

  11. SOC 2 (AICPA) — аттестация по принципам Security, Availability, Processing Integrity, Confidentiality, Privacy (Type I/II).

  12. PCI DSS — защита данных держателей карт; сегментация CDE.

  13. HIPAA — правила приватности/безопасности/уведомления о нарушениях для PHI; роли CE/BA.

  14. GLBA (Safeguards Rule) — требования к программам безопасности у финорганизаций.

  15. SOX (Sec. 404) — внутренний контроль над финотчётностью; релевантность ITGC.

  16. CCPA/CPRA — права в Калифорнии (доступ, удаление, opt-out продажи/шеринга); договорные и чувствительные данные.

  17. DPIA/PIA — оценка влияния на приватность для высокорисковой обработки.

  18. Records of Processing (RoPA) — реестр операций обработки.

  19. Breach Notification — законодательно установленные сроки/пороги уведомления регуляторов/потребителей.

  20. Secure SDLC — встраивание требований/тестирования безопасности в ЖЦ ПО (см. § SecOps).

4) Идентичность, доступ и данные

  1. IAM — идентичности, роли, провижининг и жизненный цикл.

  2. IdP — аутентифицирует пользователей, выпускает токены/утверждения.

  3. SSO — централизованная аутентификация между приложениями.

  4. MFA — минимум два фактора: знание/владение/био (напр., FIDO2/WebAuthn).

  5. SAML / OAuth 2.0 / OIDC — федерация и делегированная аутентификация; OIDC добавляет слой идентичности к OAuth.

  6. PAM — хранение привилегированных секретов, мониторинг сессий, JIT-повышение прав.

  7. CIEM — гигиена прав доступа в облаке в масштабе.

  8. RBAC / ABAC — модели управления доступом на ролях/атрибутах.

  9. PoLP — принцип наименьших привилегий.

  10. DLP — обнаружение/предотвращение несанкционированного перемещения данных.

  11. Tokenization / Encryption — замена чувствительных значений; защита данных «на покое»/«в пути»; KMS/HSM.

  12. Data Classification — маркировка по чувствительности (Public, Internal, Confidential, Restricted).

  13. Secrets Management — жизненный цикл API-ключей, учёток, сертификатов.

  14. Keystore / KMS / HSM — сервис управления ключами; аппаратный модуль безопасности.

  15. Data Minimization — сбор/хранение только необходимого под заявленные цели.

5) Сети, периметр и Zero Trust

  1. Zero Trust — непрерывная проверка пользователя, устройства и контекста; микро-сегментация; явная авторизация.

  2. ZTNA — брокер приложений вместо широкого VPN-доступа.

  3. SASE / SSE — облачно доставляемые сеть/безопасность (SWG, CASB, ZTNA, FWaaS, DLP).

  4. NAC — контроль позы устройства и идентичности при подключении к сети.

  5. Segmentation / Micro-segmentation — ограничение радиуса поражения зонованием и политиками.

  6. IDS/IPS / NDR — обнаружение/предотвращение вторжений; сетевое обнаружение и реагирование.

  7. WAF / API Gateway — защита веб/API (OWASP Top 10, bot mgmt, rate limiting).

  8. TLS / mTLS / QUIC — защитный транспорт; mTLS для доверия «сервис-к-сервису».

  9. DNS Security — DNSSEC, фильтрация/«раковины», egress-контроль.

  10. Email Authentication — SPF, DKIM, DMARC: согласование и принуждение.

  11. DDoS Protection — поглощение/скраббинг, anycast, адаптивный rate-limit.

  12. BGP Security — угон маршрутов/ROA/RPKI.

  13. Egress Filtering — ограничение исходящего трафика разрешёнными направлениями/портами.

  14. Proxy / SWG — инспекция исходящего веб-трафика; применение политик.

  15. VPN (IPsec/SSL) — шифрованный удалённый доступ; всё чаще заменяется ZTNA.

  16. NAT / PAT — трансляция адресов/портов; влияет на телеметрию и атрибуцию.

  17. Decryption Strategy — правомерная, риск-ориентированная TLS-дешифрация с исключениями приватности.

  18. Network Telemetry — NetFlow/IPFIX, SPAN/TAP; вход в NDR/SIEM.

6) Операции безопасности, детектирование и реагирование

  1. SOC — люди/процессы/технологии для мониторинга, обнаружения и реагирования.

  2. SIEM — агрегация логов, корреляция, оповещение, отчётность по комплаенсу.

  3. SOAR — оркестрация/автоматизация по плейбукам (обогащение, изоляция, уведомление).

  4. EDR/XDR — защита/обнаружение на конечных точках и расширенно (идентичность/сеть/облако).

  5. UEBA — поведенческая аналитика пользователей/объектов.

  6. Deception Technology — «приманки» для выявления латерального перемещения.

  7. Threat Intelligence (TI/CTI) — индикаторы, TTP, профили акторов; стратегический/операционный/тактический уровни.

  8. Detection Engineering — разработка/тест детектов, мэппинг на ATT&CK, измерение покрытия.

  9. Use Case Catalog — приоритизированный список детектов (напр., подозрительный PowerShell, дамп учётных данных).

  10. IR Playbook — шаги под конкретные типы инцидентов (BEC, ransomware, утечка данных).

  11. Tabletop Exercise (TTX) — сценарные учения с участием руководителей и партнёров (юр/PR).

  12. Post-Incident Review (PIR) — безобвинительный разбор, корректирующие действия, обновление метрик.

  13. MTTD / MTTR — среднее время обнаружения/реагирования; ключевые KPI SOC.

  14. Containment / Eradication / Recovery — фазы IR: остановить, удалить, восстановить.

  15. Forensics Readiness — логирование/хранение, синхронизация времени, имиджинг, цепочка хранения.

  16. Backup Strategy (3-2-1) — три копии, два носителя, одна внешняя/офлайн; неизменяемые снапшоты.

  17. Ransomware Controls — EDR + харденинг + сегментация + офлайн-бэкапы + плейбуки (юр/правоохранители/страховщик).

  18. Security Telemetry Quality — покрытие, точность, нормализация, метка времени, контекст.

  19. Runbook — пошаговая операционная процедура (напр., отключить учётку, изолировать хост).

  20. Purple Teaming — сотрудничество red/blue для проверки и улучшения детектов.

  21. Exposure Management — непрерывное управление поверхностью атаки + уязвимости + конфигурационный дрейф.

  22. Asset Inventory — авторитетная CMDB/граф активов для объёма и приоритезации.

7) Windows-энтерпрайз: атаки и защиты

  1. Active Directory (AD) — ядро идентичности (домены, леса, трасты, GPO); критично для харденинга.

  2. Kerberoasting — запрос TGS и офлайн-взлом; защита: сильные ключи SPN и мониторинг.

  3. Pass-the-Hash (PtH) — повторное использование NTLM-хешей; защита: изоляция учётных данных, LAPS, SMB-подпись.

  4. Pass-the-Ticket (PtT) — повторное использование билетов Kerberos (TGT/TGS); искать аномалии TTL/привилегий SID.

  5. DCSync — злоупотребление DRS для получения хешей; мониторить вызовы DRSUAPI от не-DC.

  6. Golden Ticket — подделка TGT с ключом KRBTGT; ротация KRBTGT, мониторинг выдачи TGT.

  7. LSASS Dumping — извлечение секретов из памяти (напр., Mimikatz); включать Credential Guard, блокировать дампы не-админам.

  8. NTDS.dit Exfiltration — кража базы AD; ограничивать доступ к DC, изолированные бэкапы DC.

  9. WMI/WinRM Lateral Movement — каналы удалённого исполнения; логировать/тревожить необычные операции.

  10. PowerShell Abuse — LOLBins; включать Constrained Language Mode, Script Block Logging, AMSI.

  11. AppLocker/WDAC — белые списки приложений; блок неизвестных бинарей/скриптов.

  12. LAPS / LAPS-NG — случайные локальные админ-пароли на машину; ротация и аудит доступа.

  13. GPO Hardening — безопасные политики; ограничение делегирования; Protected Users, тирование.

  14. Sysmon / ETW — расширенная телеметрия; тюнинг под кражу учёток/латеральное перемещение.

  15. PrinterNightmare / Spooler — отключение лишних сервисов; патчи без задержек.

  16. SAM / SECURITY Hive Protection — защита от экспонирования через shadow copy; охрана реестровых ульев.

  17. Tiered Admin Model — разделение админ-уровней (рабочие станции/серверы/AD) без перекрёстного использования учёток.

8) Linux, контейнеры и Kubernetes

  1. PrivEsc — эскалация привилегий (ядро/SETUID/CONFIG); патчинг и минимальные capabilities.

  2. sudoers Abuse — ошибки sudo дают root; PoLP и ревью NOPASSWD.

  3. SSH Key Theft — кража приватных ключей/агентов; пароли к ключам, аппаратные ключи, ограничения from=.

  4. LD_PRELOAD / подмена библиотек — загрузка подложных библиотек; целостность пакетов и проверка подписи.

  5. Cron/Systemd Persistence — вредоносные задания/юниты; аудит таймеров/сервисов.

  6. Capabilities (cap_setuid, cap_net_raw) — гранулярные привилегии; отбрасывать лишние в контейнерах.

  7. Container Escape — побеги через namespaces/cgroups или сокеты демона; rootless, seccomp, AppArmor/SELinux.

  8. K8s RBAC — минимальные права сервис-аккаунтам; избегать cluster-admin; сетевые политики.

  9. Admission Control / OPA/Gatekeeper — политика-как-код для деплоев.

  10. Подпись/сканирование образов (SBOM) — проверка происхождения (Sigstore/COSIGN), сканы уязвимостей, ведение SBOM.

  11. Секреты в K8s — внешние секрет-сторы (KMS/HSM), без плейна в манифестах.

  12. Etcd Security — шифрование «на покое», mTLS между компонентами, ограниченный доступ.

  13. Supply Chain Security — уровни SLSA, аттестации происхождения, закреплённые версии.

  14. Runtime Security — eBPF-детектирование, правила системных вызовов, контроль дрейфа.

  15. Docker Daemon Socket — защита /var/run/docker.sock; избегать привилегированных контейнеров.

9) Облака и SaaS

  1. Модель разделения ответственности — обязанности провайдера и клиента различаются для IaaS/PaaS/SaaS.

  2. CSPM / CWPP / CNAPP — управление позой; защита рабочих нагрузок/рантайма; конвергированная платформа.

  3. CASB / SSPM — видимость теневого ИТ; управление позой SaaS (мисконфиги, токены).

  4. Key Management (KMS/HSM/CSE) — клиентские ключи; крипто-разделение обязанностей.

  5. IAM в облаке — минимальные роли, permission boundaries, JIT-повышение.

  6. Сетевые контроли — VPC, подсети, SG/NACL, private endpoints, WAF/CDN.

  7. Логи и телеметрия — нативные облачные логи (control/identity/data plane) в SIEM; ретенция.

  8. Федерация идентичности — SAML/OIDC к центральному IdP; SCIM для провижининга.

  9. Харденинг SaaS — только SSO-логин, принудительный MFA, роли в приложении, аудит-логи арендатора.

  10. Резидентность/суверенитет данных — регионы, трансграничные передачи, договорные оговорки.

  11. Управление стоимостью — теги, бюджеты/алерты, райтсайзинг; избегать небезопасных «оптимизаций ценой безопасности».

  12. Резерв и DR в облаке — кросс-региональная репликация, неизменяемость, тест восстановления.

10) AppSec и данные

  1. SAST / DAST / IAST / RASP — статическое/динамическое/интерактивное тестирование; самозащита рантайма.

  2. OWASP Top 10 / ASVS — типовые риски веб/API и стандарты верификации.

  3. OWASP API Security Top 10 — специфические риски API (авторизация, избыточные данные, mass assignment).

  4. Threat Modeling — структурный анализ (STRIDE, attack trees) для приоритезации мер.

  5. SBOM — ведомость компонентов ПО; прозрачность зависимостей и реакция на уязвимости.

  6. Secrets Scanning — поиск секретов в коде/логах CI; pre-commit хуки и проверки в пайплайне.

  7. Data Discovery — поиск чувствительных данных в хранилищах/стримах; классификация и контроль.

  8. Privacy by Design — встраивание минимизации и целевого ограничения в системы.

11) Люди, оргдизайн и культура

  1. Org Topology — централизованная/федеративная безопасность; «чемпионы» безопасности в командах.

  2. Headcount Plan / Job Families — уровни ролей, компетенции, кадровый резерв.

  3. Span of Control — число прямых подчинённых; баланс фокуса и гибкости.

  4. Performance Management — OKR, KPI, рамки роста; не ограничиваться активностными метриками.

  5. PIP — структурная поддержка при проседании эффективности.

  6. Blameless Postmortem — культура обучения и системных исправлений вместо поиска виновных.

  7. Security Champions — обученные инженеры в продуктовых командах, продвигающие secure-практики.

  8. Training & Phishing Sims — обучение по ролям; измерять снижение риска, а не только клики.

  9. Duty of Care — безопасные инструменты/процессы; отслеживать выгорание и устойчивость on-call.

  10. Diversity & Inclusion — расширение перспектив, сокращение слепых зон в дизайне/операциях.

12) Переговоры и коммуникации на уровне C-suite

  1. BATNA — лучшая альтернатива в переговорах; усиливает позиции.

  2. ZOPA — зона возможного соглашения.

  3. Anchoring (якорение) — установка стартовых ориентиров (цена/условия) для влияния на исход.

  4. Concession Strategy — планируемые уступки, жёстко привязанные к ценности (срок vs цена vs права выхода).

  5. C-Suite Narrative — лаконичное изложение риска/выгоды на языке бизнеса, а не фич.

  6. Board-Level Metrics — несколько стабильных метрик результатов (материальные инциденты, тренд экспозиции, время восстановления).

  7. Executive Readout — одностраничник: контекст → риск → опции → рекомендация → стоимость/выгода.

  8. Crisis Communications — согласованные сообщения юр/PR/регуляторам; единый «источник правды».

13) Небольшие примеры

  • Решение о существенности (SEC): «Инцидент затронул систему с 17% годовой выручки и риском простоя ≥ 1 недели; вероятное финансовое влияние превышает порог раскрытия».

  • Zero Trust в одном предложении: «Непрерывно проверяйте пользователя, устройство и контекст; авторизуйте каждый запрос; ограничивайте латеральное перемещение».

  • Бизнес-кейс одним тезисом: «$2,4 млн снижения ожидаемых потерь за 3 года при TCO $900k; NPV положительный к 14-му месяцу».

Заключение

Данный глоссарий охватывает самые важные, ключевые термины, с которыми ежедневно сталкивается руководитель службы информационной безопасности в своей работе. Однако область кибербезопасности динамична: постоянно появляются новые технологии, угрозы и, как следствие, новые понятия. Поэтому данный словарь следует рассматривать как живую базу знаний, требующую постоянного обновления и расширения.

Используйте его как «единый словарь» в стратегиях, бюджетировании, переговорах с вендорами и коммуникациях с советом директоров. Для углубления — опирайтесь на официальные документы из списка выше и поддерживайте терминологию в вашей организации единой и понятной.

В конечном счете, именно это является основной задачей CISO — говорить с бизнесом на одном языке, трансформируя технические риски в бизнес-решения.

Комментарии (1)


  1. rnv812
    07.10.2025 09:40
    #28929378

    Было бы неплохо привести расшифровки аббревиатур и их перевод на русский язык.