Термины, часто неправильно используемые в кибербезопасности

Слова трудны. Английский - это сложно. То, как нам удается что-либо сообщать, почти чудо.

Иногда мне хочется быть Оскаром Уайльдом, Марком Твеном или любым из других великих авторов, которые, кажется, могут легко описать персонажа или сценарий, чтобы читатель мог полностью представить, что они означают.

Вместо этого я боюсь, что я больше похож на Шекспира, который изобретал слова и исказил других, чтобы соответствовать своему безумному метру, так что обычные люди, такие как я, изо всех сил пытаются понять предполагаемый смысл (кстати, я люблю Шекспира).

К сожалению, выбранная мной область, кажется, заполнена другими шекспировцами - людьми, которые используют слова, бросая суп с алфавитом в стену и читая результаты, как будто читают чайные листья, только с меньшей точностью.

Что это на самом деле означает?

Когда я создал базу данных терминов кибербезопасности, которая составляет основу Глоссария кибербезопасности NIST, я был поражен тем, сколько путаницы возникло даже в отношении таких широко распространенных терминов, как «риск» и «безопасность». До сих пор нет единого мнения о том, что означает слово «кибербезопасность»!

Итак, я составил список некоторых часто неправильно используемых терминов в области кибербезопасности (это неофициальные описания, которые должны быть информативными):

Данные против информации против знаний

Данные обычно считается битами и байтами, из которых состоит информация. Информация превращает несколько битов и байтов во что-то полезное. Например, датчик температуры может показывать «102», но информация говорит нам, что это 102 градуса по Фаренгейту на датчике температуры, который был во рту человека. Знание позволяет информацию превратиться в действие. В нем говорится, что 102 градуса по Фаренгейту для человека - это слишком жарко. Строки между данными , информация и знания расплывчаты, но некоторые яростно спорят с этими линиями.

Угроза против риска

угроза либо используется для обозначения чего-то плохого, что может случиться, либо объекта, который может вызвать что-то плохое (также называемый «субъект угрозы»). Риск включает вероятность того, что может случиться что-то плохое, и потенциальные результаты. Люди часто (неправильно) используют эти слова как синонимы.

Управление рисками

Процесс реагирования на возможность того, что может случиться что-то плохое. Обычно существует четыре варианта:принять риск, передать его, избежать или уменьшить его. В зависимости от того, с кем вы разговариваете, есть как минимум восемь вариантов, но это традиционные четыре. Когда специалист по кибербезопасности говорит об управлении рисками, он может иметь в виду процесс, изложенный в Концепции управления рисками.

Кибербезопасность

В основном защита компьютерных систем (включая сети, Интернет и все «умное»). Однако он использовался как общий термин, который также включает в себя обеспечение информации, защиту данных и конфиденциальность. Этот термин, скорее всего, будет постоянно меняться, пока кто-нибудь не сможет адекватно объяснить, что такое «кибер».

Гарантия информации (или безопасность)

Защита любых фактов, новостей, знаний или иногда данных в любой форме - бумажной, электронной, каменной таблички, сигналов, запоминания и т. Д. Часто путают и помещают под зонтик кибербезопасности.

Стандартный

Многие люди ошибочно называют специальные публикации NIST стандартами, но это немного сложнее. NIST действительно разрабатывает формальные стандарты - например, Федеральные стандарты обработки информации (FIPS), такие как FIPS 200 и FIPS 140-3. NIST также участвует в разработке отраслевых и международных стандартов. Слово стандарт также может использоваться для обозначения уровня качества или принятой нормы. В этом последнем случае публикации NIST часто используются как стандарт . Это небольшая разница, но важная. Тем не менее, в целом, лучше воздержаться от называния специальных публикаций (SP) NIST, внутренних / межведомственных отчетов (IR), официальных документов или чего-либо другого, кроме FIPS, как стандарт и вместо этого используйте термины «публикация», «документ» или «руководство».

Требования и средства управления

Оба эти термина могут использоваться для обозначения конкретных действий, процессов, практик или возможностей, которые организация может иметь или делать для управления риском кибербезопасности. Элементы управления может быть или не быть обязательным, тогда как требования в общем есть. Всегда лучше проверить, какой термин используется в документе. Например, многие люди ссылаются на требования NIST SP 800-171. как элементы управления , что неверно.

Аудит или оценка

В кибербезопасности термин аудит часто имеет более формальный и негативный оттенок, чем в некоторых других дисциплинах. Аудит выполняются после инцидента, такого как утечка данных (обычно внутренний аудит), по запросу клиента (обычно это внешний аудит, проводимый заказчиком) или для получения сертификата (сторонний аудит). Оценки обычно, но не всегда, больше похожи на дружеский осмотр здоровья. Охватывая любое количество видов деятельности, оценки могут быть узкими или широкими, с такой строгостью, какой желает оцениваемая компания или которая соответствует ситуации. Единственным исключением из этого общего правила является программа сертификации модели зрелости кибербезопасности (CMMC), в которой используется слово оценка как формальный метод оценки компании.

Соответствие

Соответствие обычно относится к выполнению требований (внутренних или внешних, иногда нормативных) и часто отображается с какой-либо сертификацией или аттестацией. Люди часто используют такие фразы, как «соответствует требованиям NIST». Это может вводить в заблуждение, поскольку многие интерпретируют это как означающее, что NIST обеспечивает соблюдение требований или сертификацию или подтверждение безопасности продуктов или процессов компании. Под «совместимостью с NIST» обычно подразумевается то, что компания использовала методы и процедуры, описанные в публикациях NIST, часто для удовлетворения некоторых требований. Хотя это можно рассматривать как соответствие действия, как правило, лучше избежать путаницы, указав вместо этого, какое правило или требование является предметом соблюдения. Например, можно следовать NIST SP 800-171, чтобы соответствовать DFARS. Исключением являются криптографические алгоритмы и модули, и в этом случае правильная терминология проверяется и соответствует требованиям, что означает, что весь продукт не прошли формальную оценку.

Слова на английском языке развиваются почти так же быстро, как и мемы в Интернете - миллионы шекспировцев забирают английский язык, чтобы их вырезать, манипулировать и сворачивать в едва узнаваемый шрифт. В области кибербезопасности кажется, что это делается безрассудно. Но понимание некоторых из этих ключевых терминов и того, как они используются, поможет понять и сообщить о ваших потребностях в области кибербезопасности.