Чуть-чуть об ИБ-терминологии

Чуть-чуть об ИБ-терминологии
Под впечатлением от вчерашнего просмотра большого количества вебинаров и докладов по ИБ от представителей типаИБшных компаний и типаИБшных подразделений софверных компаний:

То, что хочетсделать с информацией атакующий, называется угрозой
То, благодаря чемуон может это сделать, называется уязвимостью
То, как он можетэто сделать, называется атакой
То,с какой вероятностьюу него это удастся и какие последствияможет повлечь, называется риском
То, что мешаетатакующему сделать то, что он хочет, называется защищенностью
То, что снижает вероятностьуспеха атакующего и минимизирует последствия, называется безопасностью

Господа докладывающие, ну неужели это так трудно запомнить?( Вас же слушать невозможно, когда SQL-injection за 7 минут оказывается и уязвимостью, и атакой, и угрозой, и (внезапно) риском. Это атака и ничего больше. Также, как неправильная обработка данных является уязвимостью, а не угрозой. Также, как нарушение конфиденциальности информационного потока является угрозой, а не уязвимостью или риском. Я уже молчу о том, что безопасность у вас означает все, что угодно (причем в рамках одного и того же вебинара/доклада): от защищенности до риск-менеджмента, патч-менеджмента и прочих SDL (что, конечно же, имеет отношение к безопасности, но никак не является ей самой).

Потратьте PLS 20 минут своего времени и освойте эту терминологию. Если не по этому посту, то по "общим критериям", хотя бы. А то, помимо затруднения в восприятии ваших слов, еще и складывается ощущение, что вы совершенно не понимаете, о чем вообще докладываете =/
терминология
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Владимир Кочетков

Все, что вы могли бы знать об AppSec, но почему-то не спрашивали