Термины по КИИ в РФ и их аналоги в США — глоссарий для технических переводчиков по кибербезопасности

Чтобы вывести американские аналоги российских ИБэшных понятий по КИИ, мы скрупулезно ковыряли два корпуса документов — российских и американских, увы, не везде удавалось находить прямые аналоги (впрочем, это нормально — между ФЗ-152 и GDPR тоже много терминологических и понятийных нестыковок). Как бы то ни было, каждый термин взят не с потолка, а из конкретного источника, ссылка указана под каждым термином. Среди ссылок мы упоминаем также презентацию от Positive Technologies, где на наш взгляд о КИИ рассказано так, что понятно даже нам, не побоюсь этого слова, «гуманитариям».

Мы надеемся, что этот краткий глоссарий будет полезен специалистам по информационной безопасности и тем, кто работает по ФЗ-187, если вдруг они захотят изучить зарубежную практику или будут готовить материалы на эту тему для зарубежных СМИ.

Если вы заметите какие-то неточности в описании или трактовке понятий, пожалуйста, направляйте свои замечания на bartov-e@yandex.ru, Евгению Бартову (обязательно предложите свою версию термина, если не согласны с нашей — «выгуливать белые польты» мы тоже умеем ;-).

Глоссарий составляла Марина Мельникова, технический и юридический переводчик (специализация ИТ, ИБ), бюро переводов «Альянс ПРО».

Сделайте репост, если считаете, что данная публикация будет полезна вашим коллегам. Спасибо.

 

Critical Infrastructure

Systems and assets, whether physical or virtual, so vital to the United States that the incapacity or destruction of such systems and assets would have a debilitating impact on cybersecurity, national economic security, national public health or safety, or any combination of those matters.

Источник: 

NIST

CII (critical infrastructure information)


information not customarily in the public domain and related to the security of critical infrastructure or protected systems

Источник: 

dhs.gov

КИИ

критическая информационная инфраструктура

Источник:

consultant.ru

 

критическая информационная инфраструктура

объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов

Источник:

consultant.ru

 

information technology and communications sectors of critical infrastructure  

Прямого аналога в нормативных документах США нет. Есть Critical Infrastructure, куда входят 16 отраслей, включая information technology and communications sectors, которые соответствуют нашей “критической информационной структуре”

Источники:

  1. dhs.gov
  2. dhs.gov 

автоматизированная система управления

комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами

Источник:

consultant.ru

Industrial Control
System (ICS)

General term that encompasses several types of control systems, including supervisory control and data acquisition (SCADA) systems, distributed control systems (DCS), and other control system configurations such as Programmable Logic Controllers (PLC) often found in the industrial sectors and critical infrastructures. An ICS consists of combinations of control components (e.g., electrical, mechanical, hydraulic, pneumatic) that act together to achieve an
industrial objective (e.g., manufacturing, transportation of matter or energy).

Источник: 

nist.gov

анализ уязвимостей информационных систем

Источник:

ptsecurity.com

vulnerability assessment

(or analysis)

Systematic examination of an information system or product to determine the adequacy of security measures, identify security deficiencies, provide data from which to predict the effectiveness of proposed security measures, and confirm the adequacy of such measures after implementation.

Источник: 

cert.org

архитектура объекта КИИ

серверы, софт, версии софта, уязвимости

Источник:

ptsecurity.com

fstec.ru

Постановление Правительства РФ № 127 от 8.02.2018

architecture of CI asset

Источник: 

nist.gov

безопасность критической информационной инфраструктуры

состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак

Источник:

consultant.ru

critical infrastructure cybersecurity

The process of protecting information by preventing, detecting, and responding to attacks

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

or

cybersecurity mission

activities that encompass the full range of threat
reduction, vulnerability reduction, deterrence, international  and activities, including computer network operations, information
assurance, law enforcement, diplomacy, military, and intelligence
missions as such activities relate to the security and
stability of cyberspace. engagement, incident response, resiliency, and recovery policies

Источник: 

law.cornell.edu

ГосСОПКА

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации

(создаётся для обмена информацией о кибератаках на информационные системы, нарушение или прекращение работы которых крайне негативно скажется на экономике страны или безопасности граждан).

Источник:

consultant.ru

NCCIC

National Cybersecurity and Communications Integration Center

Источник: 

dhs.gov

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак

единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

ФСБ — главный центр ГосСОПКА

Источник:

consultant.ru

National Cybersecurity and Communications Integration Center

The NCCIC mission is to reduce the likelihood and severity of incidents that may significantly compromise the security and resilience of the nation’s critical information technology and communications networks.

The NCCIC is comprised of four branches:

NCCIC Operations and Integration (NO&I);

United States Computer Emergency Readiness Team (US-CERT);

Industrial Control Systems Cyber Emergency Response Team (ICS-CERT); and

National Coordinating Center for Communications (NCC).

Источник: 

dhs.gov

значимый объект критической информационной инфраструктуры

объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры

Источник:

consultant.ru

the nation’s most critical assets and systems

Синоним the nation’s highest priority

critical infrastructure

Источник: 

dhs.gov

gao.gov

информационная система

совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств

Источник:

consultant.ru

information system

discrete set of information resources organized for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information.

Information systems also include specialized systems such as industrial/process controls systems, telephone switching and private branch exchange (PBX) systems, and environmental control systems.

Источник: 

nist.gov 1

nist.gov 2

информационно-телекоммуникационная сеть

технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники

Источник:

consultant.ru

telecommunications network

Источник: 

nist.gov

информационные ресурсы

информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации.

information resources

Information resources include information and related resources, such as personnel, equipment, funds, and information technology.

Источник: 

nist.gov

категорирование объекта КИИ

установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения

ФСТЭК -контролирует выполнение требований по категорированию

Источник:

consultant.ru

CI assets prioritization

(синонимичная фраза: distinguish assets by criticality)

Determine activities that are important to critical service delivery;

prioritizes nationally significant critical infrastructure.

Источник: 

nist.gov

dhs.gov

категория значимости

категория, которая присваивается объекту КИИ в процессе категорирования

Источник:

consultant.ru

priority category

priority category по аналогии с security category, прямого аналога нет

Источник: 

fas.org

комиссия по категорированию

создается для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры

Источник:

fstec.ru

 

NCIPP working group

(National Critical Infrastructure Prioritization Program)

Источник: 

gao.gov

компьютерная атака

целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации

Источник:

consultant.ru

 

cyber attack

An attack, via cyberspace, targeting an enterprise’s use of cyberspace for the purpose of disrupting, disabling, destroying, or maliciously controlling a computing environment/infrastructure; or destroying the integrity of the data or stealing controlled information

Источник: 

nist.gov

компьютерный инцидент

факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки

Источник:

consultant.ru

 

cybersecurity incident

Actions taken through the use of computer networks that result in an

actual or potentially adverse effect on an information system and/or

the information residing therein.

Источник: 

nist.gov

критерий значимости

Источник:

consultant.ru

NCIPP criteria

criteria for including assets on the National Critical Infrastructure Prioritization Program (NCIPP) list

Источник: 

gao.gov

критический процесс

определение объектов критической информационной инфраструктуры,
которые обрабатывают информацию, необходимую для обеспечения
критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов

Источник:

fstec.ru

Постановление Правительства РФ № 127 от 8.02.2018

critical process

Источник: 

nist.gov

мероприятия по обеспечению безопасности значимых объектов критической информационной инфраструктуры

Источник:

consultant.ru

cybersecurity activities

Источник: 

nist.gov

незначимый объект критической информационной инфраструктуры

Источник:

ptsecurity.com

fstec.ru

non-critical assets

Источник: 

fas.org

неправомерный доступ к информации, обрабатываемой значимым объектом критической информационной инфраструктуры

Источники:

consultant.ru

unauthorized access to information processed by CI assets

Any access that violates the stated security policy.

Источник: 

nist.gov

объекты критической информационной инфраструктуры

информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры

Источник:

consultant.ru

physical and virtual assets of CI

IT hardware, software, systems, and services

Источник: 

nist.gov

оценка безопасности КИИ

осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ

Источник:

consultant.ru

 

cybersecurity assessment of CI

high-level preliminary evaluation of the

organization’s security posture is conducted utilizing the

Cyber Security Evaluation Tool (CSET®)

Источник: 

ics-cert.us-cert.gov

параметры и характеристики программных и программно-аппаратных средств

устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ РФ для обеспечения безопасности значимых объектов критической информационной инфраструктуры

Источник:

consultant.ru

software and hardware configuration

Источник: 

nist.gov

прогнозирование возникновения возможных угроз безопасности критической информационной системы

Источник:

ptsecurity.com

predict risk environment

understand the likelihood that an event will occur and the potential resulting impacts

Источник: 

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

реестр значимых объектов критической информационной инфраструктуры

В целях учета значимых объектов критической информационной инфраструктуры федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, ведет реестр значимых объектов критической информационной инфраструктуры

Ведет реестр ФСТЭК

Источник:

consultant.ru

National Critical Infrastructure Prioritization Program (NCIPP) list

the list captures the highest-priority infrastructure that, if destroyed or disrupted,

could cause national or regional catastrophic effects

Источник: 

gao.gov

 

сеть электросвязи

Единая сеть электросвязи Российской Федерации состоит из расположенных на территории Российской Федерации сетей электросвязи следующих категорий:

  • сеть связи общего пользования;
  • выделенные сети связи;
  • технологические сети связи, присоединенные к сети связи общего пользования;
  • сети связи специального назначения и другие сети связи для передачи информации при помощи электромагнитных систем

Источник:

consultant.ru

telecommunications network

Источник: 

nist.gov

система безопасности значимого объекта

В целях обеспечения безопасности значимого объекта критической информационной инфраструктуры субъект критической информационной инфраструктуры создает систему безопасности такого объекта и обеспечивает ее функционирование.

Источник:

consultant.ru

 

cybersecurity program

Источник: 

nist.gov

состав программных и программно-аппаратных средств

Источник:

ptsecurity.com

hardware and software components

Источник: 

ics-cert.us-cert.gov

средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты

технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации.

Источник:

consultant.ru

security controls

Actions, devices, procedures, techniques, or other measures that reduce the vulnerability of an information system.

Synonymous with countermeasures and safeguards.

Источник: 

nist.gov

средство, предназначенное для поиска признаков компьютерных атак в сетях электросвязи

Источник:

consultant.ru

 

IDPS

(intrusion detection and prevention system)

Software that automates the process of monitoring the events occurring in a computer system or network and analyzing them for signs of possible incidents and attempting to stop detected possible incidents.

Источники: 

nist.gov 1

nist.gov 2

субъекты критической информационной инфраструктуры

государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Источник:

consultant.ru

 

public and private owners and operators of critical infrastructure

(and other entities)

critical infrastructure community

(собирательный синоним)

organizations responsible for critical infrastructure

Источник: 

nist.gov

The critical infrastructure community includes public and private owners and operators, and other entities with a role in securing the Nation’s infrastructure

Источник: 

dhs.gov

 

технические средства обработки информации

обрабатывают информацию и обеспечивают функционирование значимого объекта КИИ

Источник:

consultant.ru

 

information system component

A discrete, identifiable information technology asset (e.g., hardware, software, firmware) that represents a building block of an information system. Information system components include commercial information technology products.

Источник: 

nist.gov

угроза безопасности информации

Источник:

fstec.ru 

information security risk

The risk to organizational operations (including mission, functions, image, reputation), organizational assets, individuals, other organizations, and the Nation due to the potential for unauthorized access, use, disclosure, disruption, modification, or destruction of information and/or information systems.

Источник: 

nist.gov

устойчивость КИИ

Источник:

consultant.ru 

CI resilience

The ability of critical infrastructure to continue to: (i) operate under adverse conditions or stress, even if in a degraded or debilitated state, while maintaining essential operational capabilities; and (ii) recover to an effective operational posture in a time frame consistent with mission needs.

Источник: 

nist.gov

фактическая защищенность КИИ

Источник:

ptsecurity.com 

actual cybersecurity posture

Источник: 

nist.gov

характеристики доступа к сетям связи

Источник: 

fstec.ru 

network access control configuration

Источник: 

nist.gov