Információbiztosítás - Information assurance
Az információbiztosítás ( IA ) az információ biztosításának gyakorlata, valamint az információk felhasználásával, feldolgozásával, tárolásával és továbbításával kapcsolatos kockázatok kezelése . Az információbiztosítás magában foglalja a felhasználói adatok integritásának , elérhetőségének, hitelességének, visszautasításának és bizalmasságának védelmét . Az IA nemcsak a digitális védelmet, hanem a fizikai technikákat is magában foglalja. Ezek a védelem vonatkoznak adat átvitelét , mind a fizikai és elektronikus formában, valamint az adatok nyugalomban . Az IA -t leginkább az információbiztonság szuperkészletének (azaz ernyőfogalomnak), és az információkockázat -kezelés üzleti eredményének tekinthetjük .
Áttekintés
Az információbiztosítás (IA) a megfelelő információk feldolgozásának, tárolásának és továbbításának folyamata a megfelelő embereknek a megfelelő időben. Az IA az információs és kapcsolódó rendszerek üzleti szintjére és stratégiai kockázatkezelésére vonatkozik, nem pedig a biztonsági ellenőrzések létrehozására és alkalmazására. Az IA -t az üzleti kockázatok javára használják az információkockázat -kezelés , a bizalomkezelés , a rugalmasság, a megfelelő architektúra, a rendszerbiztonság és a biztonság révén, ami csak az arra jogosult felhasználók számára növeli az információk hasznosságát, és csökkenti. Ezért a rosszindulatú hackerek és kódok (pl. Vírusok ) elleni védekezés mellett az IA gyakorlói az információs rendszerekhez kapcsolódóan olyan vállalatirányítási kérdéseket is figyelembe vesznek , mint a magánélet , a szabályozásoknak és a szabványoknak való megfelelés , az auditálás , az üzletmenet folytonossága és a katasztrófa utáni helyreállítás . Ezenkívül az IA interdiszciplináris terület, amely a számítástechnika mellett üzleti , számviteli , felhasználói tapasztalatok, csalásvizsgálat , törvényszéki tudomány , menedzsment tudomány , rendszermérnökség , biztonságtechnika és kriminológia területén is szakértelmet igényel .
Evolúció
A távközlési hálózatok növekedésével a hálózatoktól való függőség is együtt jár, ami a közösségeket egyre sebezhetőbbé teszi az olyan kibertámadásokkal szemben, amelyek megszakíthatják, leronthatják vagy megsemmisíthetik a létfontosságú szolgáltatásokat. Az 1950 -es évektől kezdve az információbiztosítás szerepe és felhasználása nőtt és fejlődött. Kezdetben az információbiztosítás csak az adatok biztonsági mentését foglalta magában. Amint azonban az információ mennyisége megnőtt, az információbiztosítás automatizálódni kezdett, csökkentve az üzemeltető beavatkozásának használatát, lehetővé téve azonnali biztonsági mentések létrehozását. Az információbiztosítás utolsó fő fejlesztése az elosztott rendszerek megvalósítása az adatok feldolgozására és tárolására olyan módszerekkel, mint a SAN és a NAS , valamint a felhőalapú számítástechnika alkalmazása . Az információ e három fő fejleménye összhangban van az információs technológiák három generációjával, az első a behatolások megelőzésére, a második a behatolás észlelésére és a harmadik a túlélésre. Az információbiztosítás az élet minden ágazatának együttműködése, amely lehetővé teszi a szabad és egyenlő eszmecserét.
Oszlopok
Az információbiztosítás öt pillér közé épül: rendelkezésre állás , integritás , hitelesítés , bizalmasság és megtagadás . Ezeket az oszlopokat figyelembe veszik a rendszerek védelme érdekében, miközben lehetővé teszik számukra a hatékony szolgáltatást; Ezek az oszlopok azonban nem egymástól függetlenül cselekszenek, inkább zavarják a többi pillér célját. Az információbiztosítás ezen pillérei lassan megváltoztak, és a kiberbiztonság pilléreivé váltak . Rendszergazdaként fontos hangsúlyozni a kívánt pilléreket annak érdekében, hogy elérje a kívánt eredményt az információs rendszerében, kiegyensúlyozva a szolgáltatás és a magánélet szempontjait .
Hitelesítés
A hitelesítés az átvitel, kezdeményező vagy folyamat érvényességének ellenőrzésére vonatkozik egy információs rendszeren belül. A hitelesítés biztosítja a címzett bizalmát az adatküldők érvényességében, valamint üzenetük érvényességében. A hitelesítés megerősítésének számos módja létezik, főleg három fő módszerre bontva: személyazonosításra alkalmas adatok , például személy neve, címe, telefonszáma, hozzáférése egy kulcs tokenhez vagy ismert információ, például jelszavak.
Sértetlenség
Az integritás az információ védelmét jelenti az illetéktelen megváltoztatástól. Az információ integritásának célja, hogy biztosítsa az adatok pontosságát a teljes élettartamuk során. A felhasználói hitelesítés az információ integritásának kritikus elősegítője. Az információ integritása az információcsere végei között meglévő bizalmi fokok számának függvénye . Az információ integritásának kockázatának csökkentésének egyik módja a redundáns chipek és szoftverek használata. A hitelesítés meghiúsulása veszélyeztetheti az információ integritását, mivel lehetővé teszi egy jogosulatlan fél számára a tartalom megváltoztatását. Például, ha egy kórház nem megfelelő jelszó -szabályzattal rendelkezik, egy jogosulatlan felhasználó hozzáférhet egy olyan információs rendszerhez, amely szabályozza a betegeknek történő gyógyszerbeadást, és kockáztathatja, hogy megváltoztatja a kezelési folyamatot egy adott beteg kárára.
Elérhetőség
Az elérhetőség pillére a jogosult személyektől visszakeresendő vagy módosítandó adatok megőrzésére vonatkozik. A nagyobb rendelkezésre állást a tárolórendszer vagy a csatorna megbízhatóságának növelése biztosítja. Az információ elérhetőségének megsértése áramkimaradás, hardverhiba, DDOS stb. Következménye lehet. A magas rendelkezésre állás célja az információhoz való hozzáférés megőrzése. Az információk elérhetőségét elősegítheti a tartalék áramellátás , a tartalék adatcsatornák , a helyszínen kívüli képességek és a folyamatos jel használata .
Titoktartás
A titoktartás lényegében az integritás ellentéte. A titoktartás olyan biztonsági intézkedés, amely védelmet nyújt azokkal szemben, akik hozzáférhetnek az adatokhoz, és ezáltal védik az információkat. Ez eltér az integritástól, mivel az integritás árnyékolja, hogy ki tudja megváltoztatni az információkat. A titoktartást gyakran a titkosítás és az adatok szteganográfiája biztosítja. A bizalmasság a besoroláson és az információfölényen belül látható a nemzetközi műveletekhez hasonlóan, mint például a NATO Az Egyesült Államokban az információbiztosítás titkosságának követnie kell a HIPAA-t és az egészségügyi szolgáltatók biztonságpolitikai információinak címkézését és a szükséges ismereteket, hogy biztosítsák az információk nem nyilvánosságra hozatalát .
Nem tagadás
A visszautasítás az adatok integritása, hogy azok eredetükhöz igazak legyenek, ami megakadályozza a cselekmény esetleges tagadását. A visszautasítás fokozódása megnehezíti annak tagadását, hogy az információ egy bizonyos forrásból származik. Más szavakkal, olyan módon teszi lehetővé, hogy ne vitathassa az adatok forrását/ hitelességét. A megtagadás elmaradása magában foglalja az adatok integritásának csökkenését az adatok szállítása során, általában egy emberközeli támadás vagy adathalászat segítségével .
A pillérek kölcsönhatásai
Amint azt korábban említettük, a pillérek nem kölcsönhatásba lépnek egymással, egyes pillérek akadályozzák más pillérek működését, vagy ellenkező esetben, ha más pilléreket erősítenek. Például az információk elérhetőségének növelése közvetlenül ellentétes három másik pillér céljaival: az integritás, a hitelesítés és a titoktartás.
Folyamat
Az információbiztosítási folyamat jellemzően a védendő információs eszközök felsorolásával és osztályozásával kezdődik . Ezt követően az IA gyakorlója kockázatértékelést végez ezekre az eszközökre. Az információs eszközök sebezhetőségét az eszközök kiaknázására alkalmas fenyegetések felsorolása érdekében határozzák meg. Az értékelés ezután figyelembe veszi az eszköz sebezhetőségét kihasználó fenyegetés valószínűségét és hatását is, a hatást általában az eszköz érdekelt feleinek költségeiben mérik. A fenyegetések hatásának termékei és azok bekövetkezésének valószínűsége az információs eszközt érintő teljes kockázat.
A kockázatértékelés befejezése után az IA gyakorló kidolgoz egy kockázatkezelési tervet . Ez a terv olyan ellenintézkedéseket javasol, amelyek magukban foglalják a kockázatok mérséklését, kiküszöbölését, elfogadását vagy átadását, és figyelembe veszi a fenyegetések megelőzését, felderítését és reagálását. Egy szabványszervezet által közzétett keretrendszer, mint például a NIST RMF, a Risk IT , a CobiT , a PCI DSS vagy az ISO/IEC 27002 , iránymutatást adhat a fejlesztéshez. Az ellenintézkedések magukban foglalhatnak technikai eszközöket, például tűzfalakat és víruskereső szoftvereket , olyan szabályzatokat és eljárásokat, amelyek előírják az ilyen ellenőrzéseket, mint például a rendszeres biztonsági mentés és a konfiguráció megkeményítése, a munkavállalók biztonsági tudatossággal kapcsolatos képzése, vagy a személyzet szervezése a számítógépes vészhelyzeti reagáló csoportba (CERT) vagy a számítógépes biztonsági incidensek kezelésére csapat ( CSIRT ). Minden ellenintézkedés költségét és hasznát alaposan megfontolják. Így az IA gyakorló nem törekszik minden kockázat kiküszöbölésére, ha lehetséges, hanem a lehető legköltséghatékonyabb kezelésre .
A kockázatkezelési terv végrehajtása után azt tesztelik és értékelik, gyakran hivatalos auditok segítségével. Az IA eljárás iteratív, mivel a kockázatértékelési és kockázatkezelési tervet rendszeresen felül kell vizsgálni és javítani kell a teljességükről és hatékonyságukról gyűjtött adatok alapján.
Két meta-technika létezik információbiztosítással: audit és kockázatértékelés.
Üzleti kockázatkezelés
Az üzleti kockázatkezelés három fő folyamatra oszlik: kockázatértékelés, kockázatcsökkentés, értékelés és értékelés. Az információbiztosítás az egyik olyan módszer, amelyet a szervezetek az üzleti kockázatkezelés megvalósítására használnak. Az olyan információbiztosítási irányelvek használatával, mint a "BRICK" keretrendszer. Ezenkívül az üzleti kockázatkezelés is megfelel az információ kiadására és biztonságára vonatkozó szövetségi és nemzetközi törvényeknek, mint például a HIPAA. Az információbiztosítás összehangolható a vállalati stratégiákkal a képzés és a tudatosság, a felső vezetés bevonása és támogatása, valamint a szervezeten belüli kommunikáció révén. nagyobb belső ellenőrzés és üzleti kockázatkezelés. Sok biztonsági vezető a cégeknél az információbiztosításra támaszkodik, hogy megvédje a szellemi tulajdont, megvédje az esetleges adatszivárgástól és megvédje a felhasználókat önmaguktól. Míg az információbiztosítás használata jó, biztosítva bizonyos pilléreket, például a titoktartást, a megtagadást stb., Ellentmondásos jellegük miatt, a biztonság növelése gyakran a sebesség rovására megy. Ennek ellenére az információbiztosítás alkalmazása az üzleti modellben javítja a megbízható vezetési döntéshozatalt, az ügyfelek bizalmát, az üzletmenet folytonosságát és a jó kormányzást mind az állami, mind a magánszektorban.
Szabványügyi szervezetek és szabványok
Számos nemzetközi és nemzeti testület ad ki szabványokat az információbiztosítási gyakorlatokról, politikákról és eljárásokról. Az Egyesült Királyságban ezek közé tartozik az információbiztosítási tanácsadó testület és az információbiztosítási együttműködési csoport .
Lásd még
- Eszköz (számítástechnika)
- Ellenintézkedés (számítógép)
- Az információkockázat faktorelemzése
- Korrekt tájékoztatási gyakorlat
- Információbiztosítási biztonsági rés
- Információ biztonság
- ISO/IEC 27001
- ISO 9001
- ISO 17799
- IT kockázat
- McCumber kocka
- Küldetésbiztosítás
- Kockázat
- Kockáztassa az IT -t
- Kockázatkezelési keretrendszer
- Biztonsági ellenőrzések
- Fenyegetés
- Sebezhetőség
Hivatkozások
- Megjegyzések
- Bibliográfia
- Adat titkosítás; A Chang Gung Egyetem tudósai céladat -titkosítást végeznek. (2011, május). Információs technológia Hírek, 149. Letöltve: 2011. október 30, a ProQuest Computing webhelyről. (A dokumentum azonosítója: 2350804731).
- Stephenson (2010). "Hitelesítés: az információbiztosítás pillére". SC Magazin . 21. (1): 55.
- Cummings, Roger (2002). "Az információbiztosítás fejlődése" (PDF) . Számítógép . 35 (12): 65–72. doi : 10.1109/MC.2002.1106181 .
Külső linkek
Dokumentáció
-
Brit kormány
- HMG INFOSEC STANDARD NO. 2 Az információs rendszerek kockázatkezelése és akkreditálása (2005)
- IA hivatkozások
- Információbiztosítási XML sémajelölő nyelv
- DoD irányelv 8500.01 Információbiztosítás
- DoD IA Policy Chart DoD IA Policy Chart
- Az információbiztosítás archívuma Az információbiztosítás archívuma
Az információbiztosítás is fejlődött a közösségi média miatt