Под впечатлением от вчерашнего просмотра большого количества вебинаров и докладов по ИБ от представителей типаИБшных компаний и типаИБшных подразделений софверных компаний:
То,
что хочетсделать с информацией атакующий, называется
угрозойТо,
благодаря чемуон может это сделать, называется
уязвимостьюТо,
как он можетэто сделать, называется
атакойТо,
с какой вероятностьюу него это удастся и
какие последствияможет повлечь, называется
рискомТо,
что мешаетатакующему сделать то, что он хочет, называется
защищенностьюТо,
что снижает вероятностьуспеха атакующего и
минимизирует последствия, называется
безопасностьюГоспода докладывающие, ну неужели это так трудно запомнить?( Вас же слушать невозможно, когда SQL-injection за 7 минут оказывается и уязвимостью, и атакой, и угрозой, и (внезапно) риском. Это атака и ничего больше. Также, как неправильная обработка данных является уязвимостью, а не угрозой. Также, как нарушение конфиденциальности информационного потока является угрозой, а не уязвимостью или риском. Я уже молчу о том, что безопасность у вас означает все, что угодно (причем в рамках одного и того же вебинара/доклада): от защищенности до риск-менеджмента, патч-менеджмента и прочих SDL (что, конечно же, имеет отношение к безопасности, но никак не является ей самой).
Потратьте PLS 20 минут своего времени и освойте эту терминологию. Если не по этому посту, то по "общим критериям", хотя бы. А то, помимо затруднения в восприятии ваших слов, еще и складывается ощущение, что вы совершенно не понимаете, о чем вообще докладываете =/