사이버 보안에서 흔히 오용되는 용어

단어가 어렵습니다. 영어는 어렵습니다. 우리가 무엇이든 소통하는 방법은 거의 기적에 가깝습니다.

때로는 내가 오스카 와일드나 마크 트웨인 또는 독자가 의미를 완벽하게 상상할 수 있도록 캐릭터나 시나리오를 쉽게 설명할 수 있는 것처럼 보이는 다른 위대한 작가였으면 합니다.

그 대신 내가 단어를 발명한 셰익스피어와 다른 사람들을 그의 미친 미터법에 맞게 비틀어서 나와 같은 평범한 사람들이 의도한 의미를 이해하는 데 어려움을 겪을까봐 두렵습니다(참고로 저는 셰익스피어를 좋아합니다).

불행히도, 내가 선택한 분야는 동료 셰익스피어 사람들로 가득 차 있는 것 같습니다. 알파벳 수프를 벽에 던져 단어를 사용하고 마치 찻잎을 읽는 것처럼 단어를 사용하는 사람들은 정확도가 떨어질 뿐입니다.

정말 의미하는 바는 무엇입니까?

NIST 사이버보안 용어집의 근간이 되는 사이버보안 용어 데이터베이스를 만들 때 '위험', '보안'과 같은 유비쿼터스 용어에도 혼란이 가중되는 것을 보고 놀랐다. "사이버 보안"이라는 단어의 의미에 대한 실질적인 합의는 아직 없습니다!

그래서 사이버 보안 분야에서 일반적으로 오용되는 용어 목록을 작성했습니다(이것은 정보를 제공하기 위한 비공식 설명입니다).

데이터 vs. 정보 vs. 지식

데이터 일반적으로 정보가 구성되는 비트와 바이트로 간주됩니다. 정보 여러 비트와 바이트를 유용한 것으로 바꿉니다. 예를 들어 온도 센서는 '102'를 읽을 수 있지만 정보 사람의 입에 있는 온도 센서의 온도가 화씨 102도라고 알려줍니다. 지식 정보를 허용하는 것입니다. 행동으로 옮기기 위해. 사람에게 화씨 102도는 너무 덥다고 합니다. 데이터 사이의 행 , 정보 및 지식 모호하지만 그 선을 맹렬히 주장하는 사람들이 있습니다.

위협 대 위험

위협 일어날 수 있는 나쁜 일 또는 나쁜 일을 일으킬 수 있는 개체("위협 행위자"라고도 함)를 의미하는 데 사용됩니다. 위험 나쁜 일이 일어날 가능성과 잠재적인 결과를 포함합니다. 사람들은 종종(잘못된) 이 단어를 같은 의미로 사용합니다.

위험 관리

나쁜 일이 일어날 수 있다는 가능성에 대응하는 과정. 일반적으로 네 가지 옵션이 있습니다:위험을 수용, 이전, 회피 또는 완화. 누구와 이야기를 하느냐에 따라 적어도 8가지 옵션이 있지만 이것이 전통적인 4가지 옵션입니다. 사이버 보안 담당자가 위험 관리에 대해 이야기할 때 위험 관리 프레임워크에 설명된 프로세스를 참조할 수 있습니다.

사이버 보안

기본적으로 컴퓨터 시스템(네트워크, 인터넷 및 "스마트"한 모든 것 포함) 보호. 그러나 정보 보증, 데이터 보호 및 개인 정보 보호를 포함하는 포괄적인 용어로 사용되었습니다. 누군가가 "사이버"가 무엇인지 적절하게 설명할 수 있을 때까지 이 용어는 계속 변경될 것입니다.

정보 보증(또는 보안)

종이, 전자, 석판, 신호, 암기 등 모든 형태의 사실, 뉴스, 지식 또는 데이터 보호. 종종 사이버 보안 우산과 혼동되어 그 아래에 놓입니다.

표준

많은 사람들이 NIST 특별 출판물을 표준으로 잘못 명명하지만 그보다 조금 더 복잡합니다. NIST는 FIPS 200 및 FIPS 140-3과 같은 FIPS(연방 정보 처리 표준)와 같은 공식 표준을 개발합니다. NIST는 또한 산업 및 국제 표준 개발에 참여합니다. 표준이라는 단어 품질 수준이나 허용되는 규범을 의미하는 데 사용할 수도 있습니다. 이 마지막 경우에는 NIST 출판물이 표준으로 자주 사용됩니다. . 미묘한 차이지만 중요한 차이입니다. 그러나 일반적으로 NIST 특별 간행물(SP), 내부/기관 간 보고서(IR), 백서 또는 FIPS 이외의 것을 표준이라고 부르는 것을 삼가하는 것이 가장 좋습니다. 대신 "출판물", "문서" 또는 "지침"이라는 용어를 사용하십시오.

요구사항 대 통제

이 두 용어는 조직이 사이버 보안 위험을 관리하기 위해 보유하거나 수행할 수 있는 특정 활동, 프로세스, 관행 또는 기능을 식별하는 데 사용할 수 있습니다. 컨트롤 필수 사항일 수도 있고 아닐 수도 있지만 요구 사항 일반적으로 있습니다. 문서에서 사용하는 용어를 항상 확인하는 것이 가장 좋습니다. 예를 들어 많은 사람들이 NIST SP 800-171 요구사항을 참조합니다. 컨트롤 , 잘못된 것입니다.

감사 대 평가

사이버 보안에서 감사라는 용어는 종종 다른 학문보다 더 형식적이고 부정적인 어조를 가집니다. 감사 데이터 침해(일반적으로 내부 감사)와 같은 사고 후, 고객의 요청에 따라(일반적으로 고객이 수행하는 외부 감사) 또는 인증 획득(제3자 감사)을 위해 수행됩니다. 평가 항상 그런 것은 아니지만 일반적으로 친근한 건강 검진에 가깝습니다. 여러 활동을 포괄하는 평가는 좁거나 광범위할 수 있으며 평가 대상 회사가 원하는 만큼 엄격하거나 상황에 적합합니다. 이 일반 규칙에 대한 한 가지 예외는 평가라는 단어를 사용하는 CMMC(Cybersecurity Maturity Model Certification) 프로그램입니다. 회사를 평가하는 공식적인 방법입니다.

규정 준수

규정 준수 일반적으로 요구 사항(내부 또는 외부, 때로는 규제)을 충족하는 것을 의미하며 일종의 인증 또는 증명과 함께 표시되는 경우가 많습니다. 사람들은 종종 "NIST 준수"와 같은 문구를 사용합니다. 이것은 많은 사람들이 NIST가 요구 사항을 시행하거나 회사 제품 또는 프로세스의 보안을 인증 또는 증명한다는 의미로 해석하기 때문에 오해의 소지가 있습니다. 일반적으로 "NIST 준수"란 회사가 NIST 간행물의 관행과 절차를 사용하여 일부 요구 사항을 충족한다는 의미입니다. 이는 규정 준수로 간주될 수 있지만 일반적으로 어떤 규칙이나 요구 사항이 준수의 대상인지 명시하여 혼동을 피하는 것이 가장 좋습니다. 예를 들어 NIST SP 800-171을 따라 DFARS를 준수할 수 있습니다. 이에 대한 예외는 암호화 알고리즘 및 모듈의 경우입니다. 이 경우 올바른 용어가 검증되고 규정을 준수하면 전체 제품이 그렇지 않습니다 공식적으로 평가되었습니다.

영어 단어는 인터넷의 밈만큼 빠르게 진화합니다. 백만 명의 셰익스피어가 영어를 다시 꺼내 도살, 조작 및 거의 알아볼 수 없는 스크립트로 접혀 있습니다. 사이버 보안 분야에서는 무모한 포기로 이뤄지는 것 같다. 그러나 이러한 주요 용어 중 일부와 사용 방법을 이해하면 사이버 보안 요구 사항을 이해하고 전달하는 데 도움이 됩니다.