Skip to content
Incydent bezpieczeństwa? Zadzwoń: +48 732 059 711
Cydefen
pl en
Zasoby

Słownik pojęć cyberbezpieczeństwa

Bez żargonu. Definicje, których naprawdę używają praktycy — nie marketerzy.

NIS2
Dyrektywa UE 2022/2555 o cyberbezpieczeństwie. Obejmuje podmioty kluczowe i ważne w 18 sektorach. Wymaga 10 środków zarządzania ryzykiem (Art. 21), raportowania incydentów w 24h i osobistej odpowiedzialności zarządu.
DORA
Rozporządzenie UE 2022/2554 (Digital Operational Resilience Act). Obowiązuje podmioty finansowe od 17 stycznia 2025. Pięć filarów: zarządzanie ryzykiem ICT, raportowanie incydentów, testy odporności (w tym TLPT), zarządzanie dostawcami, wymiana informacji.
ISO 27001:2022
Międzynarodowa norma zarządzania bezpieczeństwem informacji. Wersja 2022 ma 93 kontrole w Annex A (zredukowane ze 114 w wersji 2013) i 11 nowych kontroli: threat intelligence, bezpieczeństwo chmury, secure development, DLP i inne.
Pentest
Ręczny test penetracyjny prowadzony przez człowieka. Łączy luki w realne ścieżki ataku, testuje logikę biznesową i dostarcza dowód wpływu biznesowego. Różni się od automatycznego skanu podatności.
TLPT
Threat-Led Penetration Testing. Test red team zgodny z metodyką TIBER-EU, wymagany co 3 lata dla znaczących podmiotów finansowych w ramach DORA.
OWASP Top 10
Lista 10 najczęstszych kategorii podatności aplikacji webowych, aktualizowana przez fundację OWASP. Podstawowa referencja w testach web.
OWASP MASVS
Mobile Application Security Verification Standard. Standard weryfikacji bezpieczeństwa aplikacji mobilnych, z poziomami L1 (bazowy) i L2 (defense-in-depth).
OWASP API Top 10
Lista 10 najczęstszych kategorii podatności API. BOLA (Broken Object Level Authorization) jest numerem 1 od lat.
IDOR
Insecure Direct Object Reference. Klasa luki, w której aplikacja ujawnia obiekty (np. ID użytkowników) bez weryfikacji uprawnień. Klasyczny przykład: /api/invoice/123 zwraca fakturę innego klienta po zmianie ID.
BOLA
Broken Object Level Authorization. API-owy odpowiednik IDOR — API nie weryfikuje, czy użytkownik ma prawo do żądanego zasobu.
ISMS
Information Security Management System (System Zarządzania Bezpieczeństwem Informacji). Zestaw polityk, procedur i kontroli zarządzający bezpieczeństwem informacji zgodnie z ISO 27001.
Statement of Applicability (SoA)
Dokument wymagany przez ISO 27001, który wymienia wszystkie 93 kontrole Annex A, wskazuje, które są zastosowane (i dlaczego) oraz które wyłączone (z uzasadnieniem).
CSIRT
Computer Security Incident Response Team. W Polsce: CSIRT NASK, CSIRT GOV (ABW), CSIRT MON. NIS2 wymaga zgłaszania incydentów właściwemu CSIRT w 24h.
Social engineering
Inżynieria społeczna — ataki wykorzystujące człowieka jako wektor (phishing, vishing, smishing, pretexting, tailgating). 74% naruszeń zaczyna się od człowieka.
Phishing simulation
Kontrolowana symulacja ataku phishingowego na pracowników, używana do pomiaru poziomu świadomości i jako narzędzie szkoleniowe.

Masz termin, którego tu brakuje?

Napisz do nas — dopiszemy go i odpowiemy osobiście.

Umów konsultację Zobacz blog