Информационное обеспечение ( IA ) — это практика обеспечения информации и управления рисками, связанными с использованием, обработкой, хранением и передачей информации. Информационная гарантия включает защиту целостности , доступности, аутентичности, неотказуемости и конфиденциальности пользовательских данных. [1] IA охватывает как цифровую защиту, так и физические методы. Эти методы применяются к данным в пути , как в физической, так и в электронной форме, а также к данным в состоянии покоя . IA лучше всего рассматривать как надмножество информационной безопасности (т.е. общий термин) и как бизнес-результат управления информационными рисками .
Информационная гарантия (IA) — это процесс обработки, хранения и передачи нужной информации нужным людям в нужное время. [1] IA относится к бизнес-уровне и стратегическому управлению рисками информации и связанных с ней систем, а не к созданию и применению мер безопасности. IA используется для получения выгоды для бизнеса за счет использования управления информационными рисками , управления доверием , устойчивости, соответствующей архитектуры, безопасности системы и защищенности, что повышает полезность информации только для ее авторизованных пользователей.
Помимо защиты от злонамеренных хакеров и кода (например, вирусов ), специалисты по IA рассматривают такие вопросы корпоративного управления , как конфиденциальность , соблюдение нормативных требований и стандартов , аудит , непрерывность бизнеса и аварийное восстановление, поскольку они связаны с информационными системами. Кроме того, IA — это междисциплинарная область, требующая знаний в области бизнеса , бухгалтерского учета , пользовательского опыта, расследования случаев мошенничества , криминалистики , науки управления , системной инженерии , техники безопасности и криминологии , в дополнение к информатике.
С ростом телекоммуникационных сетей также растет зависимость от сетей, что делает сообщества все более уязвимыми для кибератак, которые могут прервать, ухудшить или уничтожить жизненно важные услуги. [2] Начиная с 1950-х годов роль и использование обеспечения информации росли и развивались. Эти методы обратной связи использовались при разработке систем поддержки военных решений WWMCCS .
Вначале обеспечение информации включало только резервное копирование данных. [3] Однако как только объем информации увеличился, процесс обеспечения информации стал автоматизироваться, что уменьшило использование вмешательства оператора и позволило создавать мгновенные резервные копии. [3] Последним основным достижением в области обеспечения безопасности информации является внедрение распределенных систем для обработки и хранения данных с помощью таких технологий, как SAN и NAS , а также использование облачных вычислений . [4] [5] [3]
Эти три основных достижения в области обеспечения безопасности информации параллельны трем поколениям информационных технологий: первое используется для предотвращения вторжений, второе — для обнаружения вторжений и третье — для обеспечения живучести. [6] [7] Обеспечение информации — это совместная работа всех секторов жизни, направленная на обеспечение свободного и равноправного обмена идеями. [ нужна цитата ]
Гарантия информации построена на пяти столпах: доступность , целостность , аутентификация , конфиденциальность и неотказуемость . [8] Эти основные принципы принимаются во внимание для защиты систем, позволяя им при этом эффективно предоставлять услуги; Однако эти столпы не действуют независимо друг от друга, а скорее мешают достижению целей других столпов. [8] Эти основы обеспечения информационной безопасности постепенно изменились и стали называться столпами кибербезопасности. Как администратору важно подчеркнуть основные принципы, которые вы хотите достичь, чтобы достичь желаемого результата для своей информационной системы, сбалансировав аспекты обслуживания и конфиденциальности .
Аутентификация относится к проверке достоверности передачи, отправителя или процесса в информационной системе. [9] Аутентификация обеспечивает получателю уверенность в действительности отправителей данных, а также в действительности их сообщения. [8] Существует множество способов усилить аутентификацию, в основном их можно разделить на три основных способа: личную информацию , такую как имя человека, адресный номер телефона, доступ к токену ключа или известную информацию, например пароли. [10]
Целостность означает защиту информации от несанкционированного изменения. [3] Целью обеспечения целостности информации является обеспечение точности данных на протяжении всего срока их службы. [11] [12] Аутентификация пользователя является важнейшим фактором обеспечения целостности информации. [8] Целостность информации является функцией количества степеней доверия, существующих между концами информационного обмена. [12] Одним из способов снижения риска целостности информации является использование резервных микросхем и программного обеспечения. [13] Сбой аутентификации может представлять угрозу целостности информации, поскольку это позволит неавторизованной стороне изменить контент. Например, если в больнице неадекватная политика паролей, неавторизованный пользователь может получить доступ к информационным системам, регулирующим доставку лекарств пациентам, и рискнуть изменить курс лечения в ущерб конкретному пациенту. [12]
Основа доступности относится к сохранению данных, которые могут быть получены или изменены уполномоченными лицами. Более высокая доступность сохраняется за счет увеличения надежности системы хранения или канала. [8] Нарушения доступности информации могут возникнуть в результате перебоев в подаче электроэнергии, сбоев оборудования, DDOS и т. д. Целью высокой доступности является сохранение доступа к информации. Доступность информации может быть повышена за счет использования резервного питания , резервных каналов передачи данных , возможностей удаленного доступа и непрерывного сигнала . [12]
Конфиденциальность по сути является противоположностью честности. Конфиденциальность — это мера безопасности, которая защищает от тех, кто имеет доступ к данным, что достигается путем защиты тех, кто имеет доступ к информации. [8] Это отличается от честности, поскольку честность защищает тех, кто может изменить информацию. Конфиденциальность часто обеспечивается с помощью криптографии и стеганографии данных. [3] Конфиденциальность можно увидеть в классификации и информационном превосходстве по сравнению с международными операциями, такими как НАТО. [14] Обеспечение конфиденциальности информации в Соединенных Штатах должно соответствовать политике безопасности HIPAA и поставщиков медицинских услуг, маркировке информации и правилам , которые необходимо знать, чтобы гарантировать неразглашение. информации. [12]
Неотказуемость — это целостность данных, соответствующая их происхождению, что предотвращает возможное отрицание того, что действие произошло. [3] [1] Увеличение степени неотказуемости затрудняет отрицание того, что информация исходит из определенного источника. Другими словами, делается так, чтобы вы не могли оспорить источник/подлинность данных. Неотказуемость предполагает снижение целостности данных во время их передачи, обычно за счет использования атаки «человек посередине» или фишинга . [15]
Как указывалось ранее, столпы не взаимодействуют независимо друг от друга: некоторые столпы препятствуют функционированию других столпов или, наоборот, стимулируют другие столпы. [8] Например, повышение доступности информации напрямую противоречит целям трех других столпов: целостности, аутентификации и конфиденциальности. [8]
Процесс обеспечения информации обычно начинается с перечисления и классификации информационных активов , подлежащих защите. Затем специалист по ВА проведет оценку рисков для этих активов. [16] Уязвимости информационных активов определяются для того, чтобы перечислить угрозы, способные использовать эти активы. Затем в ходе оценки учитываются как вероятность, так и влияние угрозы, использующей уязвимость актива, причем воздействие обычно измеряется с точки зрения затрат для заинтересованных сторон актива. [17] Сумма произведений воздействия угроз и вероятности их возникновения представляет собой общий риск для информационного актива.
После завершения оценки рисков специалист по ВА разрабатывает план управления рисками . В этом плане предлагаются контрмеры, которые включают смягчение, устранение, принятие или передачу рисков, а также рассматриваются предотвращение, обнаружение и реагирование на угрозы.
В качестве руководства для разработки может использоваться структура, опубликованная организацией по стандартизации, такой как NIST RMF, Risk IT , CobiT , PCI DSS или ISO/IEC 27002 . Контрмеры могут включать технические инструменты, такие как брандмауэры и антивирусное программное обеспечение , политики и процедуры, требующие таких мер контроля, как регулярное резервное копирование и усиление конфигурации, обучение сотрудников вопросам безопасности или организация персонала в специальную группу реагирования на компьютерные чрезвычайные ситуации (CERT) или реагирование на инциденты компьютерной безопасности. команда ( CSIRT ). Затраты и выгоды каждой контрмеры тщательно рассматриваются. Таким образом, специалист по ВА не стремится устранить все риски; но управлять ими наиболее экономически эффективным способом. [18]
После реализации плана управления рисками он тестируется и оценивается, часто посредством формальных аудитов. [16] Процесс ОВ является итеративным, поскольку оценка рисков и план управления рисками должны периодически пересматриваться и улучшаться на основе собранных данных об их полноте и эффективности. [2]
Существует два метаметода обеспечения информации: аудит и оценка рисков. [16]
Управление бизнес-рисками подразделяется на три основных процесса: «Оценка рисков», «Снижение рисков» и «Оценка и анализ». [ нужна цитация ] Информационное обеспечение является одной из методологий, которые организации используют для реализации управления бизнес-рисками. За счет использования политик обеспечения информации, таких как структура «КИРПИЧ». [1] Кроме того, управление бизнес-рисками также соответствует федеральным и международным законам, касающимся выпуска и безопасности информации, таких как HIPAA . [19]
Обеспечение информации может быть согласовано с корпоративными стратегиями посредством обучения и повышения осведомленности, участия и поддержки высшего руководства, а также внутриорганизационной коммуникации, позволяющей усилить внутренний контроль и управление бизнес-рисками. [20]
Многие руководители служб безопасности в наших фирмах переходят к доверию к обеспечению информации для защиты интеллектуальной собственности, защиты от потенциальной утечки данных и защиты пользователей от самих себя. [17] Несмотря на то, что использование гарантий информации является хорошим средством обеспечения определенных принципов, таких как конфиденциальность, неотказуемость и т. д., из-за их противоречивого характера повышение безопасности часто происходит за счет скорости. [8] [17] Использование гарантии информации в бизнес-модели повышает надежность принятия управленческих решений, доверие клиентов, непрерывность бизнеса и хорошее управление как в государственном, так и в частном секторах. [21]
Существует ряд международных и национальных органов, которые разрабатывают стандарты в области практики, политики и процедур обеспечения информации. В Великобритании к ним относятся Консультативный совет по обеспечению информации и Группа по сотрудничеству в области обеспечения информации . [4]
Гарантия информации также изменилась благодаря социальным сетям.