Przejdź do treści
nis2.org.plby AYO Solutions

Baza wiedzy

Słownik NIS2 i cyberbezpieczeństwa

Proste wyjaśnienia pojęć używanych przy wdrożeniach NIS2/KSC — językiem zrozumiałym dla zarządu i właścicieli procesów, nie tylko dla IT.

39 pojęć

A
Akceptacja ryzyka
świadoma decyzja uprawnionego właściciela, że pozostałe ryzyko jest tolerowane przez określony czas i na określonych warunkach
Aktywo
wszystko, co ma wartość dla organizacji lub wspiera usługę: dane, system, urządzenie, człowiek, lokalizacja, dostawca, reputacja
Analiza GAP
porównanie stanu obecnego z wymaganym, wraz z dowodami, lukami, ryzykiem i planem działań
B
BCP
Business Continuity Plan — plan utrzymania lub wznowienia działalności biznesowej podczas zakłócenia
BIA
Business Impact Analysis — analiza skutków przerwy i zależności procesów
C
CSIRT
zespół reagowania na incydenty bezpieczeństwa komputerowego, z którym podmiot komunikuje się zgodnie z właściwością
Cyberhigiena
podstawowe, regularne praktyki zmniejszające ryzyko, np. aktualizacje, MFA, bezpieczne hasła, czujność i kopie
D
DLP
technologia i proces ograniczające niekontrolowany przepływ określonych informacji
DR
Disaster Recovery — zdolność odtworzenia usług technologicznych po poważnym zakłóceniu
DRP
Disaster Recovery Plan — plan odtworzenia systemów, danych i infrastruktury
E
EDR
ochrona, monitoring i reakcja na stacjach roboczych oraz serwerach
G
GRC
narzędzia i procesy wspierające governance, ryzyko i zgodność
I
IAM
zarządzanie cyklem życia tożsamości i uprawnień
Incydent
zdarzenie naruszające lub mogące naruszać bezpieczeństwo, dostępność, integralność, poufność lub autentyczność
K
KPI
Key Performance Indicator — miernik wykonania lub skuteczności procesu
KRI
Key Risk Indicator — wskaźnik ostrzegający o zmianie poziomu ryzyka
M
MBCO
minimalny akceptowalny poziom działania procesu podczas zakłócenia
MDR
usługa zarządzanej detekcji i reakcji, zwykle obejmująca monitoring oraz wsparcie reakcji
MFA
uwierzytelnianie wieloskładnikowe wymagające więcej niż jednego niezależnego czynnika
MTPD
maksymalny tolerowany okres zakłócenia, po którym skutki są nieakceptowalne
N
NDR
wykrywanie i analiza zagrożeń na podstawie ruchu sieciowego
NIS2
dyrektywa UE dotycząca wspólnego wysokiego poziomu cyberbezpieczeństwa
P
PAM
zarządzanie i ochrona kont oraz sesji uprzywilejowanych
Podatność
słabość, która może zostać wykorzystana przez zagrożenie
Podmiot kluczowy
kategoria podmiotu objętego KSC, podlegająca właściwemu modelowi obowiązków, nadzoru i audytu
Podmiot ważny
druga główna kategoria podmiotu objętego KSC, z odmiennym modelem nadzoru i sankcji
R
RPO
maksymalna akceptowalna utrata danych wyrażona jako czas od ostatniego możliwego punktu odtworzenia
RTO
docelowy czas przywrócenia procesu, usługi lub systemu
Ryzyko rezydualne
ryzyko pozostające po uwzględnieniu istniejących lub planowanych zabezpieczeń
S
S46
system wykorzystywany przez podmioty KSC między innymi do zgłaszania incydentów, komunikacji i wymiany informacji zgodnie z aktualnymi funkcjami
SIEM
platforma centralizująca logi i wspierająca korelację zdarzeń oraz analizę
SOAR
automatyzacja i orkiestracja powtarzalnych działań bezpieczeństwa
SOC
zdolność ludzi, procesów i technologii do monitorowania i reagowania na zagrożenia
SZBI
system zarządzania bezpieczeństwem informacji: governance, ryzyko, procesy, kontrole, dowody i doskonalenie
W
Właściciel procesu
osoba biznesowo odpowiedzialna za wynik procesu, jego krytyczność, wymagania i decyzje
Właściciel ryzyka
osoba uprawniona do decydowania o sposobie postępowania z ryzykiem i jego akceptacji
X
XDR
rozszerzona detekcja i reakcja łącząca sygnały z kilku warstw środowiska
Z
Zagrożenie
potencjalna przyczyna niepożądanego zdarzenia, np. atakujący, awaria, błąd lub katastrofa
Zero Trust
podejście zakładające ciągłą weryfikację tożsamości, urządzenia, kontekstu i minimalnych uprawnień, a nie zaufanie wynikające wyłącznie z lokalizacji w sieci

Materiały mają charakter edukacyjny i nie stanowią opinii prawnej ani gwarancji zgodności. Zakres obowiązków zależy od indywidualnej sytuacji organizacji, aktualnych przepisów, aktów wykonawczych i stanowisk właściwych organów. Przed podjęciem decyzji wymagającej interpretacji prawa należy przeprowadzić analizę odpowiednią dla danego podmiotu.