Глосарій дисципліни
Терміни, стандарти, регуляторні документи й технології, що використовуються на сайті. Усього 35 термінів.
A
Air-gapped
Фізично ізольована від зовнішніх мереж інформаційна система. Використовується для систем найвищого рівня захисту. Платформа має повну архітектурну підтримку роботи в таких середовищах.
C
CISA ZTMM
Zero Trust Maturity Model від Cybersecurity and Infrastructure Security Agency (США). П'ять стовпів: Identity, Devices, Networks, Applications, Data. Чотири рівні зрілості: Traditional → Initial → Advanced → Optimal.
Common Criteria
Загальна назва стандарту ISO/IEC 15408 для оцінки безпеки IT-продуктів. Базовий стандарт для державних закупівель у багатьох країнах.
D
Data diode
Апаратний пристрій або програмний механізм для односторонньої передачі даних між контурами безпеки різного грифу. Не дозволяє інформації перетікати у зворотному напрямку.
E
EAL 4
Evaluation Assurance Level 4 за стандартом ISO/IEC 15408 (Common Criteria). Стандарт серйозних комерційних продуктів безпеки. Г-3 можна використовувати як орієнтир для порівняння рівня вимог, але не як формальний еквівалент.
EU Cyber Resilience Act
Регламент 2024/2847 — обов'язкові вимоги до кібербезпеки продуктів з цифровими елементами. Чинний з 10.12.2024, повна дія з 11.12.2027. CE-маркування за результатами compliance assessment.
G
GDPR
Загальний регламент захисту даних ЄС (Regulation 2016/679). Штрафи до €20 млн або 4% річного світового обороту за порушення режиму персональних даних.
I
ISO/IEC 15408
Міжнародний стандарт оцінки безпеки IT-продуктів (Common Criteria). Сім рівнів EAL — Evaluation Assurance Level. Український рівень Г-3 можна орієнтовно зіставляти з EAL 4, але це не формальне взаємне визнання.
L
Log4Shell
Вразливість CVE-2021-44228 у Apache Log4j (грудень 2021). CVSS 9.8/10. Виконання довільного коду через звичайний log-запис. Урок: open-source залежності — поверхня атаки самого застосунку.
M
MITRE ATT&CK
Глобальна база знань про тактики і техніки атакувальних акторів, побудована на реальних спостереженнях. Дванадцять enterprise-тактик. Використовується для оцінки покриття загроз.
MOVEit
Атака 2023 року: SQL-injection у MOVEit Transfer. Група Clop проексплуатувала проти 2 600+ організацій. 90+ млн осіб постраждали. «Secure file transfer» сам став вектором атаки.
N
NIS2
Європейська директива 2022/2555 з кібербезпеки. Чинна з 18.10.2024. Покриває 18 критичних секторів. Article 21 — 10 обов'язкових заходів управління кіберризиками. Штрафи до €10 млн або 2% обороту.
NIST SP 800-207
Стандарт Zero Trust Architecture від Національного інституту стандартів США (2020). Сім тенетів Zero Trust: per-session доступ, динамічна політика, безперервна верифікація.
NotPetya
Атака 2017 року через скомпрометоване оновлення українського M.E.Doc. Maersk, Merck, FedEx. Сумарні збитки понад $10 млрд. Перший глобальний приклад supply chain атаки.
P
PKI
Public Key Infrastructure — інфраструктура відкритих ключів. Базовий механізм автентифікації через сертифікати. Стандарт x.509.
S
SolarWinds SUNBURST
Атака 2020 року: зловмисний код у цифрово підписаних оновленнях SolarWinds Orion. 18 000+ постраждалих організацій. Урок: довірений канал постачання — нова поверхня атаки.
SSPI
Security Support Provider Interface — стандартний інтерфейс безпеки Microsoft. Включає підтримку PKI. Часто потрібен паралельно з ДСТУ для систем з інтеграцією Active Directory.
Stateless-архітектура
Архітектурний патерн, у якому сервер не зберігає стану клієнта між запитами. Кожен запит автентифікується наново. Безпековий ефект: унеможливлює викрадення сесій через клієнтське кешування.
Supply chain attack
Атака через довірений канал постачання — оновлення програмного забезпечення, open-source залежності, послуги підрядника. Уроки: NotPetya (2017), SUNBURST (2020), MOVEit (2023).
U
UnityBaseDefense
Платформа розробки ТОВ «Софтлайн ІТ» для побудови захищених інформаційних систем. Експертний висновок Держспецзв'язку Г-3 з орієнтовним mapping на EAL 4. Реалізує Zero Trust на рівні застосунку.
Z
Zero Trust
Модель безпеки, що не довіряє жодному з'єднанню за замовчуванням — навіть всередині периметру. Кожен запит автентифікується і авторизується на основі поточного контексту.
Г
Г-3
Третій з семи українських рівнів гарантій коректності реалізації функціональних послуг безпеки (НД ТЗІ 2.5-004-99). У міжнародному вимірі його орієнтовно зіставляють з EAL 4 за ISO/IEC 15408.
Гранулярна авторизація
Авторизація на рівні окремого поля запису, а не модуля чи екрану. Дозволяє реалізувати реальний least privilege замість «доступу до модуля».
Д
ДСТУ 4145
Український національний стандарт електронного цифрового підпису на еліптичних кривих (2002). Базовий алгоритм для всіх кваліфікованих електронних підписів в українській юрисдикції.
ДСТУ 7564 Купина
Український стандарт криптографічної геш-функції «Купина» (2014). Використовується разом з ДСТУ 4145 для формування ЕЦП та контролю цілісності.
Е
Експертний висновок Держспецзв'язку
Документ, який засвідчує відповідність засобу захисту інформації вимогам НД ТЗІ. Видається Адміністрацією Держспецзв'язку за результатами державної експертизи.
ЕЦП
Електронний цифровий підпис. В Україні підтримується паралельно за стандартом ДСТУ 4145 та через інтерфейси SSPI/PKI. Платформа UnityBaseDefense має обидва механізми.
З
Закон №1882-IX
Закон України «Про критичну інфраструктуру» від 16.11.2021. Визначає поняття «критична технологічна інформація» та обов'язкові вимоги до її захисту.
Закон №2163-VIII
Закон України «Про основні засади забезпечення кібербезпеки України» від 05.10.2017. Запровадив термін «критична інформаційна інфраструктура» та підвищені вимоги до її кіберзахисту.
К
КЗЗ
Комплекс засобів захисту — програмно-апаратна частина КСЗІ. Платформа UnityBaseDefense сертифікована як КЗЗ із рівнем гарантій Г-3.
КМУ №712
Постанова Кабінету Міністрів №712 від 18.06.2025 про авторизацію систем безпеки. Запровадила ризик-орієнтований підхід: цільовий профіль → оцінка ризиків → реалізація.
КСЗІ
Комплексна система захисту інформації. Сукупність організаційних та інженерно-технічних заходів, програмно-апаратних засобів захисту інформації у конкретній ІКС. Створюється під замовлення.
Н
НД ТЗІ 2.5-004-99
Основний нормативний документ системи ТЗІ України. Сім рівнів гарантій Г-1…Г-7. Функціональні послуги безпеки: К (конфіденційність), Ц (цілісність), Д (доступність), Н (спостереженість).
НД ТЗІ 3.6-006-24
Базовий профіль безпеки інформації (2024). Запроваджений Наказом Адміністрації Держспецзв'язку №317 від 24.06.2024. Нова ризик-орієнтована методологія.
С
Софтлайн ІТ
ТОВ «Софтлайн ІТ», ЄДРПОУ 37962095 — українська команда інженерів, що розробляє платформу UnityBaseDefense.