Глоссарий
Словарь терминов информационной безопасности. Понятные определения для специалистов и руководителей.
А
Аттестация
Комплекс мероприятий по подтверждению соответствия объекта информатизации требованиям безопасности информации. Проводится аккредитованными организациями по методике ФСТЭК.
Г
ГИС
Государственная информационная система — информационная система, создаваемая или эксплуатируемая в целях реализации полномочий государственных органов.
ГосСОПКА
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Д
ДМЗ
Демилитаризованная зона — сегмент сети, размещённый между внутренней (защищённой) сетью и внешней (например, интернет), для изоляции публичных сервисов.
И
ИСПДн
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
К
КИИ
Критическая информационная инфраструктура — объекты, системы и сети, нарушение функционирования которых может нанести ущерб безопасности государства, экономике и социальной сфере.
М
Модель угроз
Документ, описывающий потенциальные угрозы безопасности информации, их источники, способы реализации и возможные последствия. Является основой для проектирования системы защиты.
Н
НКЦКИ
Национальный координационный центр по компьютерным инцидентам — организация, координирующая деятельность субъектов КИИ по обнаружению и реагированию на инциденты.
О
Оператор ПДн
Государственный или муниципальный орган, юридическое или физическое лицо, определяющее цели обработки персональных данных, состав ПДн и совершаемые с ними действия.
ОРД
Организационно-распорядительная документация — комплект документов (политики, положения, приказы, инструкции, регламенты), регулирующих процессы обработки и защиты информации.
П
ПДн
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Пентест
Тестирование на проникновение — метод оценки защищённости информационных систем путём моделирования атак злоумышленников для выявления уязвимостей.
Р
РКН
Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) — уполномоченный орган по защите прав субъектов ПДн.
С
СЗИ
Средства защиты информации — технические, программные и программно-аппаратные средства, предназначенные для обеспечения безопасности информации.
СКЗИ
Средства криптографической защиты информации — средства шифрования, электронной подписи и другие криптографические средства, сертифицированные ФСБ России.
Ф
ФСТЭК
Федеральная служба по техническому и экспортному контролю — федеральный орган исполнительной власти, осуществляющий контроль в области обеспечения безопасности информации.
D
DLP
Data Loss Prevention — система предотвращения утечки конфиденциальных данных. Контролирует каналы передачи информации и блокирует несанкционированную передачу.
N
NGFW
Next Generation Firewall — межсетевой экран нового поколения, совмещающий функции классического МСЭ с системами обнаружения вторжений (IDS/IPS) и инспекцией трафика.
P
PCI DSS
Payment Card Industry Data Security Standard — стандарт безопасности данных индустрии платёжных карт, обязательный для организаций, обрабатывающих данные банковских карт.
R
Red Team
Метод оценки безопасности, при котором группа специалистов имитирует действия реальных злоумышленников, используя любые доступные векторы атак для проверки защищённости организации.
S
SIEM
Security Information and Event Management — система управления событиями информационной безопасности. Собирает, коррелирует и анализирует события из различных источников.
W
WAF
Web Application Firewall — межсетевой экран уровня приложений, защищающий веб-приложения от атак: SQL-инъекций, XSS, CSRF и других уязвимостей.