Глоссарий серии «Управление уязвимостями для самых маленьких»
Термины расположены по алфавиту (сначала русские, затем латинские сокращения). Список будет пополняться по мере выхода новых глав.
117-й приказ ФСТЭК - приказ ФСТЭК России от 11 апреля 2025 г. № 117, устанавливающий требования о защите информации в государственных информационных системах и иных системах госорганов. С 1 марта 2026 года заменил действовавший с 2013 года 17-й приказ и впервые установил обязательные сроки устранения уязвимостей.
21-й приказ ФСТЭК - приказ ФСТЭК России от 18 февраля 2013 г. № 21, устанавливающий состав мер по обеспечению безопасности персональных данных.
239-й приказ ФСТЭК - приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Asset management (инвентаризация) - процесс управления активами компании: учёт, контроль жизненного цикла, доступа и безопасности как физических активов (оборудование), так и нематериальных (интеллектуальная собственность).
Багбаунти - программа вознаграждения за обнаружение уязвимостей в ПО. Компании платят исследователям за найденные ошибки, улучшая безопасность своих продуктов.
Белый IP - публичный (внешний) IP-адрес.
БДУ ФСТЭК - банк данных угроз безопасности информации, общедоступная база угроз и уязвимостей, которую ведёт ФСТЭК России (доступна с марта 2015 года). Российский аналог NVD.
Бэкдор - намеренно встроенный в алгоритм дефект, позволяющий получить несанкционированный доступ к данным или удалённому управлению системой.
Вектор атаки - путь, по которому атакующий получает доступ к системе: через уязвимости в ПО, слабые пароли, социальную инженерию.
Вендор - компания, которая производит и продаёт товары или услуги.
Внешний нарушитель - лицо вне компании, как правило мотивированное коммерческим интересом, обладающее высокой квалификацией в сетевых атаках, но не имеющее изначальных знаний об атакуемой системе.
Внутренний нарушитель - сотрудник компании, способный нарушить информационную безопасность: использовать доступ к конфиденциальной информации в личных целях или передать её третьим лицам.
Дифференциальный отчёт - отчёт, показывающий изменения в данных с момента предыдущего отчёта.
Инцидент - событие, представляющее угрозу конфиденциальности, целостности или доступности информационных ресурсов.
Ключевая система - объект инфраструктуры, доступ к которому необходим нарушителю для развития атаки на целевую систему, либо система, взлом которой существенно упрощает атаку.
Компенсирующие меры - меры снижения риска без устранения самой уязвимости: ограничение сетевого доступа, отключение уязвимой функции, усиленный мониторинг.
Мисконфиг - неправильно настроенное ПО: программа работает, но её конфигурация делает систему небезопасной.
Недопустимое событие - событие, которое делает невозможным достижение целей организации или приводит к значительному нарушению её деятельности в результате кибератаки.
НКЦКИ - Национальный координационный центр по компьютерным инцидентам. Занимается мониторингом и анализом компьютерных атак, координирует обмен информацией об инцидентах (ГосСОПКА).
Патч - обновление, исправляющее ошибки или закрывающее уязвимости в программе.
Пентест - тестирование на проникновение; проверка защищённости методом «чёрного ящика», имитирующая действия реального атакующего.
Периметр - граница между внутренней инфраструктурой и внешней средой (интернетом).
Регулятор - государственный или отраслевой орган, контролирующий соблюдение законов и правил: в российской ИБ это прежде всего ФСТЭК, ФСБ и Банк России.
Сегментация сети - разделение сети на изолированные сегменты, чтобы ограничить распространение атак и упростить контроль трафика.
Сервис - программа, выполняющая определённую функцию и доступная по сети. Сервисы работают на портах: веб-серверы - на 80 и 443, SSH - на 22.
Трендовая уязвимость - опасная уязвимость, которая активно используется в атаках прямо сейчас или с высокой вероятностью будет использоваться в ближайшее время.
Уязвимость - слабое место в системе, которое может быть использовано для взлома: ошибка в коде, недостаток настройки, изъян архитектуры.
Файрвол - программа или устройство, контролирующее входящий и исходящий сетевой трафик и блокирующее нежелательные соединения.
ФСТЭК - Федеральная служба по техническому и экспортному контролю. Разрабатывает требования и методики по защите информации, ведёт БДУ, сертифицирует средства защиты.
Целевая система - объект, воздействие на который приводит к недопустимому событию; конечная цель злоумышленника.
Эксплойт - программа или код, использующий уязвимость для атаки на систему.
CMDB (configuration management database) - база данных конфигураций систем и компонентов организации; помогает управлять изменениями и отслеживать состояние инфраструктуры.
CVE (Common Vulnerabilities and Exposures) - международная система идентификации уязвимостей, поддерживаемая MITRE. Каждая уязвимость получает уникальный номер вида CVE-2025-12345.
CVSS (Common Vulnerability Scoring System) - открытый стандарт оценки опасности уязвимостей по шкале от 0 до 10. Актуальная версия 4.0 опубликована в ноябре 2023 года, но на практике параллельно используется и CVSS 3.1.
DMZ (демилитаризованная зона) - часть сети между внутренней сетью и интернетом. Здесь размещают серверы, которые должны быть доступны извне (например, веб-серверы), не открывая доступ во внутреннюю сеть.
IDS (intrusion detection system) - система обнаружения вторжений: анализирует трафик и события, выявляя несанкционированный доступ.
NVD (National Vulnerability Database) - база данных известных уязвимостей с привязкой к CVE, которую ведёт Национальный институт стандартов и технологий США (NIST).
Open source - модель разработки ПО с открытым исходным кодом, доступным для просмотра, изменения и использования всем желающим.
Patch management - процесс управления обновлениями и исправлениями ПО и операционных систем.
Patch Tuesday - второй вторник месяца, когда Microsoft выпускает плановые обновления безопасности.
SIEM (security information and event management) - система сбора, анализа и корреляции событий безопасности из различных источников. Позволяет выявлять угрозы на ранних стадиях.
Vulnerability management (VM) - процесс обнаружения, анализа, приоритизации и устранения уязвимостей, а также контроля их устранения.
Чего-то не хватает в глоссарии? Напишите в комментариях - допишу.
