stringtranslate.com

Гарантия информации

Информационное обеспечение ( IA ) — это практика обеспечения информации и управления рисками, связанными с использованием, обработкой, хранением и передачей информации. Информационная гарантия включает защиту целостности , доступности, аутентичности, неотказуемости и конфиденциальности пользовательских данных. [1] IA охватывает как цифровую защиту, так и физические методы. Эти методы применяются к данным в пути , как в физической, так и в электронной форме, а также к данным в состоянии покоя . IA лучше всего рассматривать как надмножество информационной безопасности (т.е. общий термин) и как бизнес-результат управления информационными рисками .

Обзор

Куб Маккамбера : одна из распространенных схем обеспечения информации.

Информационная гарантия (IA) — это процесс обработки, хранения и передачи нужной информации нужным людям в нужное время. [1] IA относится к бизнес-уровне и стратегическому управлению рисками информации и связанных с ней систем, а не к созданию и применению мер безопасности. IA используется для получения выгоды для бизнеса за счет использования управления информационными рисками , управления доверием , устойчивости, соответствующей архитектуры, безопасности системы и защищенности, что повышает полезность информации только для ее авторизованных пользователей.

Помимо защиты от злонамеренных хакеров и кода (например, вирусов ), специалисты по IA рассматривают такие вопросы корпоративного управления , как конфиденциальность , соблюдение нормативных требований и стандартов , аудит , непрерывность бизнеса и аварийное восстановление, поскольку они связаны с информационными системами. Кроме того, IA — это междисциплинарная область, требующая знаний в области бизнеса , бухгалтерского учета , пользовательского опыта, расследования случаев мошенничества , криминалистики , науки управления , системной инженерии , техники безопасности и криминологии , в дополнение к информатике.

Эволюция

С ростом телекоммуникационных сетей также растет зависимость от сетей, что делает сообщества все более уязвимыми для кибератак, которые могут прервать, ухудшить или уничтожить жизненно важные услуги. [2] Начиная с 1950-х годов роль и использование обеспечения информации росли и развивались. Эти методы обратной связи использовались при разработке систем поддержки военных решений WWMCCS .

Схема обратной связи OODA

Вначале обеспечение информации включало только резервное копирование данных. [3] Однако как только объем информации увеличился, процесс обеспечения информации стал автоматизироваться, что уменьшило использование вмешательства оператора и позволило создавать мгновенные резервные копии. [3] Последним основным достижением в области обеспечения безопасности информации является внедрение распределенных систем для обработки и хранения данных с помощью таких технологий, как SAN и NAS , а также использование облачных вычислений . [4] [5] [3]

Эти три основных достижения в области обеспечения безопасности информации параллельны трем поколениям информационных технологий: первое используется для предотвращения вторжений, второе — для обнаружения вторжений и третье — для обеспечения живучести. [6] [7] Обеспечение информации — это совместная работа всех секторов жизни, направленная на обеспечение свободного и равноправного обмена идеями. [ нужна цитата ]

Столбы

Гарантия информации построена на пяти столпах: доступность , целостность , аутентификация , конфиденциальность и неотказуемость . [8] Эти основные принципы принимаются во внимание для защиты систем, позволяя им при этом эффективно предоставлять услуги; Однако эти столпы не действуют независимо друг от друга, а скорее мешают достижению целей других столпов. [8] Эти основы обеспечения информационной безопасности постепенно изменились и стали называться столпами кибербезопасности. Как администратору важно подчеркнуть основные принципы, которые вы хотите достичь, чтобы достичь желаемого результата для своей информационной системы, сбалансировав аспекты обслуживания и конфиденциальности .

Аутентификация

Аутентификация относится к проверке достоверности передачи, отправителя или процесса в информационной системе. [9] Аутентификация обеспечивает получателю уверенность в действительности отправителей данных, а также в действительности их сообщения. [8] Существует множество способов усилить аутентификацию, в основном их можно разделить на три основных способа: личную информацию , такую ​​как имя человека, адресный номер телефона, доступ к токену ключа или известную информацию, например пароли. [10]

Честность

Целостность означает защиту информации от несанкционированного изменения. [3] Целью обеспечения целостности информации является обеспечение точности данных на протяжении всего срока их службы. [11] [12] Аутентификация пользователя является важнейшим фактором обеспечения целостности информации. [8] Целостность информации является функцией количества степеней доверия, существующих между концами информационного обмена. [12] Одним из способов снижения риска целостности информации является использование резервных микросхем и программного обеспечения. [13] Сбой аутентификации может представлять угрозу целостности информации, поскольку это позволит неавторизованной стороне изменить контент. Например, если в больнице неадекватная политика паролей, неавторизованный пользователь может получить доступ к информационным системам, регулирующим доставку лекарств пациентам, и рискнуть изменить курс лечения в ущерб конкретному пациенту. [12]

Доступность

Основа доступности относится к сохранению данных, которые могут быть получены или изменены уполномоченными лицами. Более высокая доступность сохраняется за счет увеличения надежности системы хранения или канала. [8] Нарушения доступности информации могут возникнуть в результате перебоев в подаче электроэнергии, сбоев оборудования, DDOS и т. д. Целью высокой доступности является сохранение доступа к информации. Доступность информации может быть повышена за счет использования резервного питания , резервных каналов передачи данных , возможностей удаленного доступа и непрерывного сигнала . [12]

Конфиденциальность

Конфиденциальность по сути является противоположностью честности. Конфиденциальность — это мера безопасности, которая защищает от тех, кто имеет доступ к данным, что достигается путем защиты тех, кто имеет доступ к информации. [8] Это отличается от честности, поскольку честность защищает тех, кто может изменить информацию. Конфиденциальность часто обеспечивается с помощью криптографии и стеганографии данных. [3] Конфиденциальность можно увидеть в классификации и информационном превосходстве по сравнению с международными операциями, такими как НАТО. [14] Обеспечение конфиденциальности информации в Соединенных Штатах должно соответствовать политике безопасности HIPAA и поставщиков медицинских услуг, маркировке информации и правилам , которые необходимо знать, чтобы гарантировать неразглашение. информации. [12]

Неотказ от ответственности

Неотказуемость — это целостность данных, соответствующая их происхождению, что предотвращает возможное отрицание того, что действие произошло. [3] [1] Увеличение степени неотказуемости затрудняет отрицание того, что информация исходит из определенного источника. Другими словами, делается так, чтобы вы не могли оспорить источник/подлинность данных. Неотказуемость предполагает снижение целостности данных во время их передачи, обычно за счет использования атаки «человек посередине» или фишинга . [15]

Взаимодействие столпов

Как указывалось ранее, столпы не взаимодействуют независимо друг от друга: некоторые столпы препятствуют функционированию других столпов или, наоборот, стимулируют другие столпы. [8] Например, повышение доступности информации напрямую противоречит целям трех других столпов: целостности, аутентификации и конфиденциальности. [8]

Процесс

Процесс обеспечения информации обычно начинается с перечисления и классификации информационных активов , подлежащих защите. Затем специалист по ВА проведет оценку рисков для этих активов. [16] Уязвимости информационных активов определяются для того, чтобы перечислить угрозы, способные использовать эти активы. Затем в ходе оценки учитываются как вероятность, так и влияние угрозы, использующей уязвимость актива, причем воздействие обычно измеряется с точки зрения затрат для заинтересованных сторон актива. [17] Сумма произведений воздействия угроз и вероятности их возникновения представляет собой общий риск для информационного актива.

После завершения оценки рисков специалист по ВА разрабатывает план управления рисками . В этом плане предлагаются контрмеры, которые включают смягчение, устранение, принятие или передачу рисков, а также рассматриваются предотвращение, обнаружение и реагирование на угрозы.

В качестве руководства для разработки может использоваться структура, опубликованная организацией по стандартизации, такой как NIST RMF, Risk IT , CobiT , PCI DSS или ISO/IEC 27002 . Контрмеры могут включать технические инструменты, такие как брандмауэры и антивирусное программное обеспечение , политики и процедуры, требующие таких мер контроля, как регулярное резервное копирование и усиление конфигурации, обучение сотрудников вопросам безопасности или организация персонала в специальную группу реагирования на компьютерные чрезвычайные ситуации (CERT) или реагирование на инциденты компьютерной безопасности. команда ( CSIRT ). Затраты и выгоды каждой контрмеры тщательно рассматриваются. Таким образом, специалист по ВА не стремится устранить все риски; но управлять ими наиболее экономически эффективным способом. [18]

После реализации плана управления рисками он тестируется и оценивается, часто посредством формальных аудитов. [16] Процесс ОВ является итеративным, поскольку оценка рисков и план управления рисками должны периодически пересматриваться и улучшаться на основе собранных данных об их полноте и эффективности. [2]

Существует два метаметода обеспечения информации: аудит и оценка рисков. [16]

Управление бизнес-рисками

Управление бизнес-рисками подразделяется на три основных процесса: «Оценка рисков», «Снижение рисков» и «Оценка и анализ». [ нужна цитация ] Информационное обеспечение является одной из методологий, которые организации используют для реализации управления бизнес-рисками. За счет использования политик обеспечения информации, таких как структура «КИРПИЧ». [1] Кроме того, управление бизнес-рисками также соответствует федеральным и международным законам, касающимся выпуска и безопасности информации, таких как HIPAA . [19]

Обеспечение информации может быть согласовано с корпоративными стратегиями посредством обучения и повышения осведомленности, участия и поддержки высшего руководства, а также внутриорганизационной коммуникации, позволяющей усилить внутренний контроль и управление бизнес-рисками. [20]

Многие руководители служб безопасности в наших фирмах переходят к доверию к обеспечению информации для защиты интеллектуальной собственности, защиты от потенциальной утечки данных и защиты пользователей от самих себя. [17] Несмотря на то, что использование гарантий информации является хорошим средством обеспечения определенных принципов, таких как конфиденциальность, неотказуемость и т. д., из-за их противоречивого характера повышение безопасности часто происходит за счет скорости. [8] [17] Использование гарантии информации в бизнес-модели повышает надежность принятия управленческих решений, доверие клиентов, непрерывность бизнеса и хорошее управление как в государственном, так и в частном секторах. [21]

Организации по стандартизации и стандарты

Существует ряд международных и национальных органов, которые разрабатывают стандарты в области практики, политики и процедур обеспечения информации. В Великобритании к ним относятся Консультативный совет по обеспечению информации и Группа по сотрудничеству в области обеспечения информации . [4]

Смотрите также

Рекомендации

Примечания
  1. ^ abcd Сосин, Артур (01 апреля 2018 г.). «КАК ПОВЫШИТЬ ОБЕСПЕЧЕННОСТЬ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫЙ ВЕК». Журнал управления оборонными ресурсами . 9 (1): 45–57. ISSN  2068-9403.
  2. ^ Аб МакКоннелл, М. (апрель 2002 г.). «Информационное обеспечение в XXI веке». Компьютер . 35 (4): супл16–супл19. дои : 10.1109/MC.2002.1012425. ISSN  0018-9162.
  3. ^ abcdef Каммингс, Р. (декабрь 2002 г.). «Эволюция информационной безопасности». Компьютер . 35 (12): 65–72. дои : 10.1109/MC.2002.1106181. ISSN  0018-9162.
  4. ^ аб Прингл, Ник; Берджесс, Михаила (май 2014 г.). «Гарантия информации в распределенном криминалистическом кластере». Цифровое расследование . 11 : С36–С44. дои : 10.1016/j.diin.2014.03.005 .
  5. ^ Чакраборти, Раджарши; Рамиредди, Шрилакшми; Рагху, Т.С.; Рао, Х.Рагав (июль 2010 г.). «Практика обеспечения информации поставщиков облачных вычислений». ИТ-специалист . 12 (4): 29–37. дои : 10.1109/mitp.2010.44. ISSN  1520-9202. S2CID  8059538.
  6. ^ Луэнам, П.; Пэн Лю (2003). «Разработка адаптивной системы баз данных, устойчивой к вторжениям». Основы систем, устойчивых к вторжению, 2003 [Органически гарантированные и живучие информационные системы]. IEEE. стр. 14–21. дои : 10.1109/fits.2003.1264925. ISBN 0-7695-2057-Х. S2CID  14058057.
  7. ^ Лю, Пэн; Занг, Ванью (2003). «Моделирование на основе стимулов и выводы о намерениях, целях и стратегиях злоумышленника». Материалы 10-й конференции ACM «Компьютерная и коммуникационная безопасность» . Нью-Йорк, Нью-Йорк, США: ACM Press. п. 179. дои : 10.1145/948109.948135. ISBN 1-58113-738-9. S2CID  3897784.
  8. ^ abcdefghi Wilson, Келси С. (июль 2013 г.). «Конфликты между столпами обеспечения информационной безопасности». ИТ-специалист . 15 (4): 44–49. дои : 10.1109/mitp.2012.24. ISSN  1520-9202. S2CID  27170966.
  9. ^ Садику, Мэтью; Алам, Шумон; Муса, Сархан (2017). «Преимущества и проблемы обеспечения информации: введение». procon.bg . Проверено 28 ноября 2020 г.
  10. ^ Сан-Николас-Рокка, Тоня; Буркхард, Ричард Дж (17 июня 2019 г.). «Информационная безопасность в библиотеках». Информационные технологии и библиотеки . 38 (2): 58–71. дои : 10.6017/ital.v38i2.10973 . ISSN  2163-5226.
  11. ^ Бориц, Дж. Ефрим (декабрь 2005 г.). «Взгляды практиков ИБ на основные концепции целостности информации». Международный журнал информационных систем бухгалтерского учета . 6 (4): 260–279. doi :10.1016/j.accinf.2005.07.001.
  12. ^ abcde Schou, CD; Фрост, Дж.; Маконачи, Западная Вирджиния (январь 2004 г.). «Информационное обеспечение в системах биомедицинской информатики». Журнал IEEE Engineering in Medicine and Biology . 23 (1): 110–118. дои : 10.1109/MEMB.2004.1297181. ISSN  0739-5175. PMID  15154266. S2CID  7746947.
  13. ^ Ян, Айбин; Ху, Юаньцзе; Цуй, Цзе; Чен, Чжили; Хуан, Чжэнфэн; Ни, Тяньмин; Жирар, Патрик; Вэнь, Сяоцин (01.06.2020). «Гарантия информации посредством резервированной конструкции: новая устойчивая к ошибкам защелка TNU для суровых радиационных условий». Транзакции IEEE на компьютерах . 69 (6): 789–799. дои : 10.1109/tc.2020.2966200. ISSN  0018-9340. S2CID  214408357.
  14. ^ Ханна, Майкл; Гранцов, Дэвид; Болте, Бьёрн; Альварадо, Эндрю (2017). «Разведка НАТО и обмен информацией: совершенствование стратегии НАТО по операциям по стабилизации и реконструкции». Связи: Ежеквартальный журнал . 16 (4): 5–34. дои : 10.11610/connections.16.4.01 . ISSN  1812-1098.
  15. ^ Чен, Чин-Линг; Чан, Мао-Лунь; Се, Хуэй-Цзин; Лю, Чинг-Чэн; Дэн, Юн-Юань (08 мая 2020 г.). «Облегченная взаимная аутентификация с носимым устройством в мобильных периферийных вычислениях на основе местоположения». Беспроводная персональная связь . 113 (1): 575–598. дои : 10.1007/s11277-020-07240-2. ISSN  0929-6212. S2CID  218934756.
  16. ^ abc Так, Хосе М.; Гуглидис, Антониос; Ноулз, Уильям; Мисра, Гаурав; Рашид, Авайс (июль 2016 г.). «Методы обеспечения информации: предполагаемая экономическая эффективность». Компьютеры и безопасность . 60 : 117–133. дои : 10.1016/j.cose.2016.03.009.
  17. ^ abc Джонсон, Мэн; Гетц, Э.; Пфлегер, С.Л. (май 2009 г.). «Безопасность посредством управления информационными рисками». Безопасность IEEE Конфиденциальность . 7 (3): 45–52. дои :10.1109/MSP.2009.77. ISSN  1558-4046. S2CID  30062820.
  18. ^ Сингх, Р.; Салам, AF (май 2006 г.). «Семантическая гарантия информации для безопасного управления распределенными знаниями: взгляд на бизнес-процесс». Транзакции IEEE о системах, человеке и кибернетике. Часть A: Системы и люди . 36 (3): 472–486. дои : 10.1109/TSMCA.2006.871792. ISSN  1083-4427. S2CID  10191333.
  19. ^ Парк, Инсу; Шарман, Радж; Рао, Х. Рагхав (2 февраля 2015 г.). «Опыт стихийных бедствий и больничные информационные системы: исследование воспринимаемой достоверности информации, риска, устойчивости и полезности ЕГО». МИС Ежеквартально . 39 (2): 317–344. дои : 10.25300/misq/2015/39.2.03. ISSN  0276-7783.
  20. ^ Макфадзин, Элспет; Эзингер, Жан-Ноэль; Бирчалл, Дэвид (8 апреля 2011 г.). «Гарантия информации и корпоративная стратегия: исследование Delphi выбора, проблем и развития на будущее». Управление информационными системами . 28 (2): 102–129. дои : 10.1080/10580530.2011.562127. ISSN  1058-0530. S2CID  11624922.
  21. ^ Эзингер, Жан-Ноэль; Макфадзин, Элспет; Бирчалл, Дэвид (март 2005 г.). «Модель преимуществ обеспечения информации». Управление информационными системами . 22 (2): 20–29. дои : 10.1201/1078/45099.22.2.20050301/87274.3. ISSN  1058-0530. S2CID  31840083.
Библиография

Внешние ссылки

Документация

Гарантия информации также изменилась благодаря социальным сетям.