Informační zajištění - Information assurance

Information Assurance ( IA ) je postup zajišťování informací a řízení rizik spojených s používáním, zpracováním, uchováváním a přenosem informací. Zabezpečení informací zahrnuje ochranu integrity , dostupnosti, autenticity, neodmítnutí a důvěrnosti uživatelských dat. IA zahrnuje nejen digitální ochranu, ale také fyzické techniky. Tyto ochrany se vztahují na data v tranzitu , fyzické i elektronické formy, i na data v klidu . IA lze nejlépe považovat za nadmnožinu zabezpečení informací (tj. Zastřešující termín) a za obchodní výsledek řízení informačních rizik .

Přehled

McCumber Cube : jedno ze společných schémat zabezpečení informací

Zabezpečení informací (IA) je proces zpracování, ukládání a přenosu správných informací správným lidem ve správný čas. IA se týká spíše obchodní úrovně a strategického řízení rizik informačních a souvisejících systémů než vytváření a používání bezpečnostních kontrol. IA slouží k prospěchu podnikání s využitím informací řízení rizik , řízení důvěry , odolnost, vhodnou architekturu, bezpečnost systému a zabezpečení, což zvyšuje užitečnost informací, které mají pouze jejich oprávněných uživatelů a snižuje. Kromě obrany proti škodlivým hackerům a kódu (např. Viry ) proto praktici IA zvažují také otázky správy a řízení společnosti, jako jsou soukromí , dodržování předpisů a standardů , auditování , kontinuita provozu a obnova po havárii , které se týkají informačních systémů. Kromě toho je IA interdisciplinární obor, který kromě informatiky vyžaduje odborné znalosti v oblasti obchodu , účetnictví , uživatelských zkušeností, zkoumání podvodů , forenzní vědy , vědy o managementu , systémového inženýrství , bezpečnostního inženýrství a kriminalistiky .

Vývoj

S růstem telekomunikačních sítí přichází také závislost na sítích, což činí komunity stále zranitelnější vůči kybernetickým útokům, které by mohly přerušit, degradovat nebo zničit životně důležité služby. Počínaje padesátými léty se role a využívání zajišťování informací rozrůstá a vyvíjí. Na začátku zajišťování informací zahrnovalo pouze zálohování dat. Jakmile se však objem informací zvýšil, akt zajišťování informací se začal zautomatizovat, což omezilo používání zásahů operátora a umožnilo vytváření okamžitých záloh. Posledním hlavním vývojem zajištění informací je implementace distribuovaných systémů pro zpracování a ukládání dat pomocí technik, jako jsou SAN a NAS, a také využití cloud computingu . Tyto tři hlavní vývojové informace spadají do souladu se třemi generacemi informačních technologií, z nichž první sloužila k prevenci vniknutí, druhá k detekci vniknutí a třetí k přežití. Informační zajištění je společná snaha všech oblastí života umožnit bezplatnou a stejnou výměnu myšlenek.

Pilíře

Zabezpečení informací je postaveno na pěti pilířích: dostupnost , integrita , autentizace , důvěrnost a neodmítnutí . Tyto pilíře jsou brány v úvahu při ochraně systémů a zároveň jim umožňují efektivně poskytovat služby; Tyto pilíře však nepůsobí nezávisle na sobě, spíše zasahují do cíle ostatních pilířů. Tyto pilíře zajištění informací se pomalu měnily a začaly být označovány jako pilíře kybernetické bezpečnosti. Jako správce je důležité zdůraznit pilíře, které chcete, abyste dosáhli požadovaného výsledku pro svůj informační systém, vyvážení aspektů služby a soukromí .

Ověření

Autentizace se týká ověření platnosti přenosu, původce nebo procesu v rámci informačního systému. Ověřování poskytuje příjemci důvěru v platnost odesilatelů dat i platnost jejich zprávy. Existuje mnoho způsobů, jak posílit autentizaci, a to hlavně rozdělením na tři hlavní způsoby, osobně identifikovatelné informace , jako je jméno osoby, telefonní číslo adresy, přístup ke klíčovému tokenu nebo známé informace, například hesla.

Integrita

Integrita označuje ochranu informací před neoprávněnými změnami. Cílem integrity informací je zajistit, aby data byla přesná po celou dobu jejich životnosti. Ověřování uživatelů je rozhodujícím faktorem pro integritu informací. Integrita informací je funkcí počtu stupňů důvěryhodnosti existujících mezi konci výměny informací. Jedním ze způsobů, jak snížit riziko integrity informací, je použití nadbytečných návrhů čipů a softwaru. Selhání autentizace by mohlo představovat riziko pro integritu informací, protože by umožnilo neoprávněné straně měnit obsah. Pokud má například nemocnice nedostatečné zásady týkající se hesel, neoprávněný uživatel by mohl získat přístup k informačním systémům, které řídí podávání léků pacientům, a riskovat změnu léčebného postupu na úkor konkrétního pacienta.

Dostupnost

Pilíř dostupnosti se týká uchování údajů, které mají být získány nebo upraveny od oprávněných osob. Vyšší dostupnost je zachována díky zvýšení spolehlivosti úložného systému nebo kanálu. Porušení dostupnosti informací může být důsledkem výpadků napájení, selhání hardwaru, DDOS atd. Cílem vysoké dostupnosti je zachování přístupu k informacím. Dostupnost informací lze posílit využitím záložního napájení , náhradních datových kanálů , možností mimo pracoviště a nepřetržitého signálu .

Důvěrnost

Důvěrnost je v podstatě opakem Integrity. Důvěrnost je bezpečnostní opatření, které chrání před tím, kdo má přístup k datům, což se provádí štítem, kdo má přístup k informacím. To se liší od integrity, protože integrita chrání toho, kdo může měnit informace. Důvěrnost je často zajištěna pomocí kryptografie a steganografie dat. Důvěrnost lze vidět v rámci klasifikace a nadřazenosti informací nad mezinárodními operacemi, jako je NATO. Důvěrnost zajištění informací ve Spojených státech se musí řídit označováním informací o bezpečnostní politice HIPAA a poskytovatele zdravotní péče a předpisy, které je třeba znát, aby bylo zajištěno nezveřejňování informací.

Neodmítnutí

Nonrepudiation je integrita dat, která mají být věrná svému původu, což brání možnému odmítnutí, že došlo k akci. Rostoucí neodmítnutí ztěžuje popření, že informace pocházejí z určitého zdroje. Jinými slovy, dělá to tak, že nemůžete zpochybňovat zdroj/ pravost dat. Neodmítnutí zahrnuje snížení integrity dat během přenosu dat, obvykle pomocí útoku typu man-in-the-middle nebo phishingu .

Interakce pilířů

Jak již bylo uvedeno dříve, pilíře na sebe vzájemně nepůsobí, přičemž některé pilíře brání fungování jiných pilířů nebo v opačném případě, kdy posilují jiné pilíře. Například zvyšování dostupnosti informací působí přímo proti cílům dalších tří pilířů: integrity, autentizace a důvěrnosti.

Proces

Proces zajišťování informací obvykle začíná výčtem a klasifikací informačních aktiv, která mají být chráněna. Dále bude IA praktik provádět posouzení rizik pro tato aktiva. Zranitelnosti v informačních aktivech se stanoví za účelem vyjmenování hrozeb, které je možné zneužít. Hodnocení pak zohledňuje jak pravděpodobnost, tak dopad hrozby využívající zranitelnost aktiva, přičemž dopad se obvykle měří z hlediska nákladů pro zúčastněné strany aktiva. Součet produktů dopadu hrozeb a pravděpodobnosti jejich výskytu je celkovým rizikem pro informační aktivum.

Po dokončení posouzení rizik odborník IA poté vypracuje plán řízení rizik . Tento plán navrhuje protiopatření, která zahrnují zmírňování, odstraňování, přijímání nebo přenášení rizik, a zvažuje prevenci, detekci a reakci na hrozby. Vývoj může vést rámec publikovaný normalizační organizací, jako je NIST RMF, Risk IT , CobiT , PCI DSS nebo ISO/IEC 27002 . Protiopatření mohou zahrnovat technické nástroje, jako jsou brány firewall a antivirový software , zásady a postupy vyžadující takové ovládací prvky, jako jsou pravidelné zálohování a zpevňování konfigurace, školení zaměstnanců v oblasti povědomí o bezpečnosti nebo organizování personálu do specializovaného týmu pro reakci na počítačovou nouzovou reakci (CERT) nebo reakce na počítačovou bezpečnost tým ( CSIRT ). Náklady a přínosy každého protiopatření jsou pečlivě zváženy. Praktik IA se tedy nesnaží eliminovat všechna rizika, pokud to bylo možné, ale řídit je nákladově nejefektivnějším způsobem.

Poté, co je plán řízení rizik implementován, je testován a vyhodnocen, často prostřednictvím formálních auditů. Proces posouzení dopadů je iterativní, protože hodnocení rizik a plán řízení rizik mají být pravidelně revidovány a zlepšovány na základě údajů shromážděných o jejich úplnosti a účinnosti.

Existují dvě meta-techniky se zajištěním informací: audit a hodnocení rizik.

Řízení obchodních rizik

Řízení obchodních rizik se člení na tři hlavní procesy Hodnocení rizik, zmírňování rizik a hodnocení a hodnocení. Information Assurance je jednou z metodik, které organizace používají k implementaci řízení podnikových rizik. Prostřednictvím používání zásad zabezpečení informací, jako je rámcová práce „BRICK“. Kromě toho se také zdá, že řízení podnikových rizik je v souladu s federálními a mezinárodními zákony týkajícími se uvolňování a zabezpečení informací, jako je HIPAA Informační zabezpečení lze sladit s podnikovými strategiemi prostřednictvím školení a informovanosti, zapojení a podpory vrcholového managementu a vnitroorganizační komunikace umožňující lepší vnitřní kontrola a řízení obchodních rizik. Mnoho vedoucích pracovníků v oblasti zabezpečení jsou firmy, které přecházejí na spoléhání se na zajištění informací k ochraně duševního vlastnictví, ochraně před potenciálním únikem dat a ochraně uživatelů před sebou samými. I když je použití zajištění informací dobré, zajišťují určité pilíře, jako je důvěrnost, neodmítnutí atd., Kvůli jejich protichůdné povaze je zvýšení bezpečnosti často na úkor rychlosti. Jak již bylo řečeno, použití zajištění informací v obchodním modelu zlepšuje spolehlivé rozhodování managementu, důvěru zákazníků, kontinuitu podnikání a dobrou správu ve veřejném i soukromém sektoru.

Standardizační organizace a standardy

Existuje řada mezinárodních a národních orgánů, které vydávají standardy pro postupy, politiky a postupy zajišťování informací. Ve Velké Británii mezi ně patří Poradní rada pro zajišťování informací a Spolupráce skupiny pro zajišťování informací .

Viz také

Reference

Poznámky

Bibliografie