Информационная безопасность , иногда сокращаемая до информационной безопасности , [1] — это практика защиты информации путем снижения информационных рисков. Это часть управления информационными рисками . [2] [3] Обычно это предполагает предотвращение или снижение вероятности несанкционированного или ненадлежащего доступа к данным или незаконного использования, раскрытия , нарушения, удаления, повреждения , изменения, проверки, записи или обесценивания информации. [4] Это также включает в себя действия, направленные на снижение негативных последствий таких инцидентов. Защищенная информация может принимать любую форму, например, электронную или физическую, материальную (например, документы ) или нематериальную (например, знания ). [5] [6] Основной задачей информационной безопасности является сбалансированная защита конфиденциальности , целостности и доступности данных (также известная как «триада ЦРУ») при сохранении фокуса на эффективной реализации политики , и все это без ущерба для производительности организации . [7] Это во многом достигается за счет структурированного процесса управления рисками , который включает в себя:
Выявление информации и связанных с ней активов , а также потенциальных угроз , уязвимостей и воздействий;
Оценка рисков
Принятие решения о том, как устранить или обрабатывать риски, т. е. избегать, смягчать, разделять или принимать их.
Если требуется снижение рисков, выбор или разработка соответствующих мер безопасности и их внедрение.
Мониторинг деятельности и внесение корректировок по мере необходимости для решения любых проблем, изменений или возможностей улучшения [8]
Ниже предлагаются различные определения информационной безопасности, обобщенные из разных источников:
«Сохранение конфиденциальности, целостности и доступности информации. Примечание. Кроме того, могут быть задействованы и другие свойства, такие как подлинность, подотчетность, неотказуемость и надежность». (ИСО/МЭК 27000:2018) [13]
«Защита информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения с целью обеспечения конфиденциальности, целостности и доступности». (ЦНСС, 2010) [14]
«Гарантирует, что только авторизованные пользователи (конфиденциальность) имеют доступ к точной и полной информации (целостность), когда это необходимо (доступность)». ( ИСАКА , 2008) [15]
«Информационная безопасность — это процесс защиты интеллектуальной собственности организации». (Пипкин, 2000) [16]
«...информационная безопасность — это дисциплина управления рисками, задача которой заключается в управлении стоимостью информационного риска для бизнеса». (Макдермотт и Гир, 2001) [17]
«Хорошо информированное чувство уверенности в том, что информационные риски и меры контроля находятся в равновесии». (Андерсон, Дж., 2003) [18]
«Информационная безопасность – это защита информации и минимизация риска раскрытия информации неавторизованным лицам». (Вентер и Элофф, 2003) [19]
«Информационная безопасность – это многопрофильная область изучения и профессиональной деятельности, которая занимается разработкой и внедрением механизмов безопасности всех доступных типов (технических, организационных, человекоориентированных и юридических) с целью сохранения информации во всех ее местах (внутри и за пределами периметра организации) и, следовательно, информационные системы, в которых информация создается, обрабатывается, хранится, передается и уничтожается, свободные от угроз. [20] Угрозы информации и информационным системам могут быть классифицированы и для них может быть определена соответствующая цель безопасности. каждой категории угроз. [21] Набор целей безопасности, определенных в результате анализа угроз, должен периодически пересматриваться для обеспечения его адекватности и соответствия меняющейся среде. [22] Соответствующий в настоящее время набор целей безопасности может включать в себя : конфиденциальность, целостность, доступность, конфиденциальность, подлинность и надежность, неотказуемость, подотчетность и возможность проверки. (Черданцева и Хилтон, 2013) [12]
Безопасность информации и информационных ресурсов с использованием телекоммуникационной системы или устройств означает защиту информации, информационных систем или книг от несанкционированного доступа, повреждения, кражи или уничтожения (Куросе и Росс, 2010). [23]
Обзор
В основе информационной безопасности лежит обеспечение информации, поддержание конфиденциальности, целостности и доступности (CIA) информации, гарантирующее, что информация не будет скомпрометирована каким-либо образом при возникновении критических проблем. [24] Эти проблемы включают, помимо прочего, стихийные бедствия, сбои в работе компьютеров/серверов и физические кражи. Несмотря на то, что бумажные бизнес-операции по-прежнему преобладают и требуют собственного набора методов информационной безопасности, все большее внимание уделяется инициативам в области цифровых технологий предприятия, [25] [26] при этом обеспечением информации теперь обычно занимаются специалисты по безопасности информационных технологий (ИТ). Эти специалисты применяют информационную безопасность к технологиям (чаще всего к той или иной форме компьютерной системы). Стоит отметить, что компьютер не обязательно означает домашний рабочий стол. [27] Компьютер — это любое устройство с процессором и некоторой памятью. Такие устройства могут варьироваться от автономных устройств, не подключенных к сети, таких как простые калькуляторы, до сетевых мобильных вычислительных устройств, таких как смартфоны и планшетные компьютеры. [28] Специалисты по ИТ-безопасности почти всегда есть на любом крупном предприятии/заведении из-за характера и ценности данных в более крупных компаниях. [29] Они несут ответственность за обеспечение безопасности всех технологий внутри компании от злонамеренных кибератак, которые часто пытаются получить важную частную информацию или получить контроль над внутренними системами. [30] [31]
За последние годы сфера информационной безопасности значительно выросла и развилась. [32] Он предлагает множество областей специализации, включая защиту сетей и сопутствующей инфраструктуры , защиту приложений и баз данных , тестирование безопасности , аудит информационных систем , планирование непрерывности бизнеса , обнаружение электронных записей и цифровую криминалификацию . [33] Специалисты по информационной безопасности очень стабильны в своей работе. [34] По состоянию на 2013 год [обновлять]более 80 процентов специалистов не меняли ни работодателя, ни места работы в течение года, и, по прогнозам, число специалистов будет постоянно расти более чем на 11 процентов ежегодно с 2014 по 2019 год. [35]
Угрозы
Угрозы информационной безопасности проявляются в самых разных формах. [36] [37] Сегодня наиболее распространенными угрозами являются программные атаки, кража интеллектуальной собственности, кража личных данных, кража оборудования или информации, саботаж и вымогательство информации. [38] [39] Вирусы , [40] черви , фишинговые атаки и троянские программы — вот несколько распространенных примеров программных атак. Кража интеллектуальной собственности также является серьезной проблемой для многих предприятий в сфере информационных технологий ( ИТ ). [41] Кража личных данных – это попытка действовать от имени другого лица, обычно для получения личной информации этого человека или получения преимуществ от его доступа к важной информации посредством социальной инженерии . [42] [43] Кража оборудования или информации сегодня становится все более распространенной из-за того, что большинство устройств сегодня являются мобильными, [44] склонны к краже, а также становятся гораздо более желательными по мере увеличения объема данных. Саботаж обычно заключается в разрушении веб-сайта организации в попытке вызвать потерю доверия со стороны ее клиентов. [45] Вымогательство информации представляет собой кражу имущества или информации компании как попытку получить оплату в обмен на возврат информации или собственности обратно ее владельцу, как и в случае с программами-вымогателями . [46] Существует много способов защитить себя от некоторых из этих атак, но одной из наиболее эффективных мер предосторожности является периодическое информирование пользователей. [47] Угрозой номер один для любой организации являются пользователи или внутренние сотрудники, их еще называют инсайдерскими угрозами. [48]
Правительства , вооруженные силы , корпорации , финансовые учреждения , больницы , некоммерческие организации и частные предприятия накапливают большое количество конфиденциальной информации о своих сотрудниках, клиентах, продуктах, исследованиях и финансовом состоянии. [49] Если конфиденциальная информация о клиентах, финансах или новой линейке продуктов компании попадет в руки конкурента или хакера в черной шляпе , компания и ее клиенты могут понести масштабные, непоправимые финансовые потери, а также нанести ущерб репутации компании. . [50] С точки зрения бизнеса информационная безопасность должна быть сбалансирована с затратами; Модель Гордона-Леба предлагает математический экономический подход для решения этой проблемы. [51]
Возможные ответы на угрозу или риск безопасности : [53]
уменьшить/смягчить – внедрить меры защиты и контрмеры для устранения уязвимостей или блокировки угроз.
назначить/передать – переложить стоимость угрозы на другое предприятие или организацию, например, на приобретение страховки или аутсорсинг.
принять – оценить, перевешивает ли стоимость контрмер возможную стоимость потерь из-за угрозы [54]
История
С самого начала общения дипломаты и военные командиры понимали, что необходимо обеспечить некий механизм защиты конфиденциальности переписки и иметь некоторые средства обнаружения фальсификации . [55] Юлию Цезарю приписывают изобретение шифра Цезаря c. 50 г. до н.э., который был создан для того, чтобы предотвратить прочтение его секретных посланий в случае, если сообщение попадет в чужие руки. [56] Однако по большей части защита была достигнута за счет применения процедурных мер контроля. [57] [58] Конфиденциальная информация была помечена, чтобы указать, что она должна быть защищена и транспортирована доверенными лицами, охраняться и храниться в безопасном месте или сейфе. [59] По мере расширения почтовых услуг правительства создавали официальные организации для перехвата, расшифровки, чтения и повторного запечатывания писем (например, Секретное бюро Великобритании, основанное в 1653 году [60] ).
В середине девятнадцатого века были разработаны более сложные системы классификации , позволяющие правительствам управлять своей информацией в соответствии со степенью конфиденциальности. [61] Например, британское правительство в некоторой степени закрепило это положение, опубликовав в 1889 году Закон о государственной тайне . [62] Статья 1 закона касалась шпионажа и незаконного раскрытия информации, а статья 2 касалась нарушений официальное доверие. [63] Вскоре была добавлена защита общественных интересов для защиты раскрытия информации в интересах государства. [64] Подобный закон был принят в Индии в 1889 году, Закон об официальной тайне Индии, который был связан с британской колониальной эпохой и использовался для подавления газет, выступавших против политики Раджа. [65] В 1923 году была принята более новая версия, которая распространялась на все вопросы конфиденциальной или секретной информации для управления. [66] Ко времени Первой мировой войны многоуровневые системы классификации использовались для передачи информации на различные фронты и обратно, что способствовало более широкому использованию секций создания и взлома кодов в дипломатических и военных штабах. [67] В период между войнами кодирование стало более сложным, поскольку для шифрования и расшифровки информации использовались машины. [68]
Создание компьютерной безопасности положило начало истории информационной безопасности. Необходимость в этом возникла во время Второй мировой войны . [69] Объем информации, которой обменивались страны-союзники во время Второй мировой войны, потребовал формального согласования систем классификации и процедурного контроля. [70] По мере развития более сложных сейфов и хранилищ развивался загадочный набор маркировок, указывающих на то, кто может обращаться с документами (обычно офицеры, а не военнослужащие) и где их следует хранить. [71] Машину «Энигма» , которая использовалась немцами для шифрования данных военных действий и была успешно расшифрована Аланом Тьюрингом , можно рассматривать как яркий пример создания и использования защищенной информации. [72] Процедуры были разработаны для обеспечения надлежащего уничтожения документов, и именно несоблюдение этих процедур привело к некоторым из величайших разведывательных переворотов войны (например, захват U-570 [72] ).
В 1973 году пионер Интернета Роберт Меткалф обнаружил, что важные элементы безопасности ARPANET имеют множество недостатков, таких как: «уязвимость структуры и форматов паролей; отсутствие процедур безопасности для коммутируемых соединений ; а также отсутствие идентификации и авторизации пользователя». из-за отсутствия средств контроля и защиты для защиты данных от несанкционированного доступа. Хакеры имели легкий доступ к ARPANET, поскольку номера телефонов были известны общественности. [74] Из-за этих проблем, в сочетании с постоянным нарушением компьютерной безопасности, а также экспоненциальным ростом числа хостов и пользователей системы, «сетевую безопасность» часто называли «небезопасностью сети». [74]
Конец двадцатого века и первые годы двадцать первого века ознаменовались быстрым развитием телекоммуникаций , компьютерного оборудования и программного обеспечения , а также шифрования данных . [75] Наличие меньшего, более мощного и менее дорогого компьютерного оборудования сделало электронную обработку данных доступной для малого бизнеса и домашних пользователей. [76] Создание протокола управления передачей/межсетевого протокола (TCP/IP) в начале 1980-х годов позволило различным типам компьютеров взаимодействовать. [77] Эти компьютеры быстро стали связаны между собой через Интернет . [78]
Быстрый рост и широкое использование электронной обработки данных и электронного бизнеса , ведущегося через Интернет, а также многочисленные случаи международного терроризма вызвали необходимость в более эффективных методах защиты компьютеров и информации, которую они хранят, обрабатывают и передают. [79] Академические дисциплины компьютерной безопасности и обеспечения безопасности информации возникли вместе с многочисленными профессиональными организациями, разделяющими общие цели обеспечения безопасности и надежности информационных систем . [80]
Основные принципы
Ключевые идеи
Триада «ЦРУ» — конфиденциальность , целостность и доступность — лежит в основе информационной безопасности. [81] (Члены классической триады InfoSec — конфиденциальность, целостность и доступность — в литературе взаимозаменяемо называются атрибутами безопасности, свойствами, целями безопасности, фундаментальными аспектами, информационными критериями, критическими информационными характеристиками и базовыми строительными блоками.) [82] Тем не менее, продолжаются споры о том, достаточна ли эта триада для удовлетворения быстро меняющихся технологических и бизнес-требований, и рекомендуются рассмотреть возможность расширения вопросов пересечения доступности и конфиденциальности, а также взаимосвязи между безопасностью и конфиденциальностью. [24] Иногда предлагались и другие принципы, такие как «подотчетность»; было отмечено, что такие вопросы, как невозможность отказа от прав, не вписываются в рамки трех основных концепций. [83]
Триада, кажется, впервые была упомянута в публикации NIST в 1977 году. [84]
В 1992 г. и пересмотренном в 2002 г. Руководстве ОЭСР по безопасности информационных систем и сетей [85] были предложены девять общепринятых принципов: осведомленность , ответственность, реагирование, этика, демократия, оценка рисков, проектирование и реализация безопасности, управление безопасностью. и переоценка. [86] Основываясь на этом, в 2004 году NIST разработал 33 принципа безопасности информационных технологий [83] . Из каждого из этих выводов вытекают руководящие принципы и практики.
В 2011 году The Open Group опубликовала стандарт управления информационной безопасностью O-ISM3 . [88] В этом стандарте предложено оперативное определение ключевых концепций безопасности с элементами, называемыми «целями безопасности», связанными с контролем доступа (9), доступностью (3), качеством данных (1), соответствием требованиям и техническими требованиями (4). . В 2009 году Инициатива по защите программного обеспечения Министерства обороны США , архивированная 25 сентября 2016 г. на Wayback Machine, опубликовала Три принципа кибербезопасности, заархивированные 10 мая 2020 г. на Wayback Machine , а именно: восприимчивость системы, доступ к недостатку и возможность использовать недостаток. [89] [90] [91] Ни одна из этих моделей не получила широкого распространения.
Конфиденциальность
В информационной безопасности конфиденциальность «является собственностью, при которой информация не предоставляется и не раскрывается неавторизованным лицам, организациям или процессам». [92] Хотя эти два слова похожи на слово «конфиденциальность», они не являются взаимозаменяемыми. Скорее, конфиденциальность — это компонент конфиденциальности, который обеспечивает защиту наших данных от несанкционированного просмотра. [93] Примеры компрометации конфиденциальности электронных данных включают кражу ноутбука, кражу паролей или отправку конфиденциальных электронных писем ненадлежащим лицам. [94]
Честность
В сфере ИТ-безопасности целостность данных означает поддержание и обеспечение точности и полноты данных на протяжении всего их жизненного цикла. [95] Это означает, что данные не могут быть изменены несанкционированным или незамеченным образом. [96] Это не то же самое, что ссылочная целостность в базах данных , хотя ее можно рассматривать как особый случай согласованности, как она понимается в классической модели ACID обработки транзакций . [97] Системы информационной безопасности обычно включают средства контроля для обеспечения их собственной целостности, в частности, защиты ядра или основных функций как от преднамеренных, так и от случайных угроз. [98] Многоцелевые и многопользовательские компьютерные системы стремятся разделить данные и обработку таким образом, чтобы ни один пользователь или процесс не мог отрицательно повлиять на другого: однако средства контроля могут не сработать, как мы видим в таких инцидентах, как заражение вредоносным ПО, взломы, данные кражи, мошенничество и нарушение конфиденциальности. [99]
В более широком смысле целостность — это принцип информационной безопасности, который включает в себя человеческую/социальную, производственную и коммерческую целостность, а также целостность данных. По существу, он затрагивает такие аспекты, как достоверность, последовательность, правдивость, полнота, точность, своевременность и уверенность. [100]
Доступность
Чтобы любая информационная система могла служить своей цели, информация должна быть доступна , когда она необходима. [101] Это означает, что вычислительные системы, используемые для хранения и обработки информации, меры безопасности, используемые для ее защиты, и каналы связи, используемые для доступа к ней, должны функционировать правильно. [102] Системы высокой доступности стремятся оставаться доступными в любое время, предотвращая сбои в обслуживании из-за перебоев в подаче электроэнергии, сбоев оборудования и обновлений системы. [103] Обеспечение доступности также включает в себя предотвращение атак типа «отказ в обслуживании» , таких как поток входящих сообщений в целевую систему, по сути вынуждающий ее выключиться. [104]
В сфере информационной безопасности доступность часто можно рассматривать как одну из наиболее важных частей успешной программы информационной безопасности. [ нужна цитата ] В конечном итоге конечные пользователи должны иметь возможность выполнять рабочие функции; обеспечивая доступность, организация может работать в соответствии со стандартами, которых ожидают заинтересованные стороны организации. [105] Речь может идти о таких темах, как настройки прокси-сервера, внешний доступ в Интернет, возможность доступа к общим дискам и возможность отправки электронной почты. [106] Руководители часто не понимают техническую сторону информационной безопасности и рассматривают доступность как легкое решение, но это часто требует сотрудничества многих различных организационных групп, таких как сетевые операции, операции по разработке, реагирование на инциденты и управление политикой/изменениями. . [107] Успешная команда информационной безопасности включает в себя множество различных ключевых ролей для объединения и согласования триады «ЦРУ» для эффективного функционирования. [108]
Неотказ от ответственности
По закону неотказ подразумевает намерение выполнить свои обязательства по договору. Это также подразумевает, что одна сторона транзакции не может отрицать получение транзакции, а другая сторона не может отрицать отправку транзакции. [109]
Важно отметить, что, хотя такие технологии, как криптографические системы, могут помочь в усилиях по обеспечению неотказуемости, эта концепция по своей сути является юридической концепцией, выходящей за рамки сферы технологий. [110] Например, недостаточно показать, что сообщение соответствует цифровой подписи, подписанной закрытым ключом отправителя, и, следовательно, только отправитель мог отправить сообщение, и никто другой не мог изменить его при передаче ( целостность данных ). [111] Предполагаемый отправитель может в свою очередь продемонстрировать, что алгоритм цифровой подписи уязвим или несовершенен, или заявить или доказать, что его ключ подписи был скомпрометирован. [112] Вина за эти нарушения может лежать, а может и не лежать на отправителе, и такие утверждения могут или не могут освободить отправителя от ответственности, но такое утверждение сделает недействительным утверждение о том, что подпись обязательно доказывает подлинность и целостность. Таким образом, отправитель может отказаться от сообщения (поскольку подлинность и целостность являются предпосылками неотказуемости). [113]
Управление рисками
В широком смысле, риск — это вероятность того, что произойдет что-то плохое, что причинит вред информационному активу (или потерю актива). [114] Уязвимость – это слабость, которая может быть использована для того, чтобы поставить под угрозу или нанести вред информационному активу. Угроза – это все (созданное человеком или стихийное бедствие ), что потенциально может причинить вред. [115] Вероятность того, что угроза будет использовать уязвимость для причинения вреда, создает риск. Когда угроза использует уязвимость для причинения вреда, она оказывает воздействие. [116] В контексте информационной безопасности последствиями являются потеря доступности, целостности и конфиденциальности, а также, возможно, другие потери (потеря дохода, гибель людей, потеря недвижимости). [117]
Руководство по проверке сертифицированных информационных систем (CISA) 2006 года определяет управление рисками как «процесс выявления уязвимостей и угроз информационным ресурсам, используемым организацией для достижения бизнес-целей, и принятия решения о том, какие контрмеры , [118] если таковые имеются, принять снижение риска до приемлемого уровня, исходя из ценности информационного ресурса для организации». [119]
В этом определении есть две вещи, которые, возможно, нуждаются в некоторых разъяснениях. Во-первых, процесс управления рисками представляет собой непрерывный итеративный процесс . Это нужно повторять бесконечно. Бизнес-среда постоянно меняется, и каждый день появляются новые угрозы и уязвимости . [120] Во-вторых, выбор контрмер ( средств контроля ), используемых для управления рисками, должен обеспечивать баланс между производительностью, стоимостью, эффективностью контрмер и ценностью защищаемого информационного актива. [121] Кроме того, эти процессы имеют ограничения, поскольку нарушения безопасности, как правило, редки и возникают в определенном контексте, который нелегко повторить. [122] Таким образом, любой процесс и контрмера сами по себе должны оцениваться на наличие уязвимостей. [123] Невозможно выявить все риски и невозможно устранить все риски. Оставшийся риск называется «остаточным риском». [124]
Оценка рисков проводится командой людей, обладающих знаниями в конкретных областях бизнеса. [125] Состав команды может меняться с течением времени по мере оценки различных частей бизнеса. [126] При оценке может использоваться субъективный качественный анализ, основанный на информированном мнении, или, если доступны надежные цифры в долларах и историческая информация, анализ может использовать количественный анализ.
Исследования показали, что наиболее уязвимым местом в большинстве информационных систем является человек-пользователь, оператор, проектировщик или другой человек. [127] Кодекс практики управления информационной безопасностью ISO/IEC 27002:2005 рекомендует в ходе оценки рисков проверять следующее:
В широком смысле процесс управления рисками состоит из: [128] [129]
Идентификация активов и оценка их стоимости. Включите: людей, здания, оборудование, программное обеспечение, данные (электронные, печатные и другие), расходные материалы. [130]
Проведите оценку угроз . Включите: стихийные бедствия, военные действия, несчастные случаи, злонамеренные действия, происходящие внутри или за пределами организации. [131]
Проведите оценку уязвимостей и для каждой уязвимости рассчитайте вероятность того, что она будет использована. Оценивать политики, процедуры, стандарты, обучение, физическую безопасность , контроль качества , техническую безопасность. [132]
Рассчитайте влияние, которое каждая угроза окажет на каждый актив. Используйте качественный анализ или количественный анализ. [133]
Определить, выбрать и внедрить соответствующие меры контроля. Дайте пропорциональный ответ. Учитывайте производительность, экономическую эффективность и стоимость актива. [134]
Оценить эффективность мер контроля. Убедитесь, что средства управления обеспечивают необходимую экономичную защиту без заметной потери производительности. [135]
Для любого конкретного риска руководство может принять решение о принятии риска, основываясь на относительно низкой стоимости актива, относительно низкой частоте возникновения и относительно низком влиянии на бизнес. [136] Или руководство может решить смягчить риск, выбрав и внедрив соответствующие меры контроля для снижения риска. В некоторых случаях риск можно передать другому бизнесу путем покупки страховки или аутсорсинга другому бизнесу. [137] Реальность некоторых рисков может быть оспорена. В таких случаях руководство может принять решение отрицать риск. [138]
Контроль безопасности
Выбор и внедрение надлежащих мер безопасности на начальном этапе поможет организации снизить риск до приемлемого уровня. [139] Выбор средств контроля должен быть основан на оценке риска. [140] Средства контроля могут различаться по своему характеру, но по сути они представляют собой способы защиты конфиденциальности, целостности или доступности информации. ISO/IEC 27001 определил средства контроля в различных областях. [141] Организации могут внедрять дополнительные меры контроля в соответствии с требованиями организации. [142] ISO/IEC 27002 предлагает руководство по стандартам информационной безопасности организаций. [143]
Административный
Административный контроль (также называемый процедурным контролем) состоит из утвержденных письменных политик, процедур, стандартов и руководств. Административный контроль формирует основу для ведения бизнеса и управления людьми. [144] Они информируют людей о том, как следует вести бизнес и как проводить повседневные операции. Законы и постановления, созданные государственными органами, также являются разновидностью административного контроля, поскольку они информируют бизнес. [145] В некоторых отраслях промышленности существуют политики, процедуры, стандарты и рекомендации, которые необходимо соблюдать – таким примером является Стандарт безопасности данных индустрии платежных карт [146] (PCI DSS), требуемый Visa и MasterCard . Другие примеры административного контроля включают политику корпоративной безопасности, политику паролей , политику найма и дисциплинарную политику. [147]
Административный контроль формирует основу для выбора и реализации логического и физического контроля. Логический и физический контроль являются проявлениями административного контроля, имеющими первостепенное значение. [144]
Логический
Логический контроль (также называемый техническим контролем) использует программное обеспечение и данные для мониторинга и контроля доступа к информации и вычислительным системам. [ нужна цитация ] Пароли, сетевые и локальные брандмауэры, системы обнаружения сетевых вторжений , списки управления доступом и шифрование данных являются примерами логического контроля. [148]
Важным логическим элементом управления, который часто упускают из виду, является принцип наименьших привилегий , который требует, чтобы отдельному пользователю, программе или системному процессу не предоставлялось больше привилегий доступа, чем необходимо для выполнения задачи. [149] Ярким примером несоблюдения принципа минимальных привилегий является вход в Windows в качестве администратора для чтения электронной почты и просмотра веб-страниц. Нарушения этого принципа также могут возникать, когда человек с течением времени получает дополнительные права доступа. [150] Это происходит при изменении должностных обязанностей сотрудников, переводе сотрудников на новую должность или в другой отдел. [151] Привилегии доступа, требуемые их новыми обязанностями, часто добавляются к уже существующим привилегиям доступа, которые могут больше не быть необходимыми или уместными. [152]
Физический
Физические средства контроля контролируют и контролируют среду рабочего места и вычислительных мощностей. [153] Они также контролируют и контролируют доступ к таким объектам и из них и включают в себя двери, замки, отопление и кондиционирование воздуха, дымовую и пожарную сигнализацию, системы пожаротушения, камеры, баррикады, ограждения, охрану, тросовые замки и т. д. Сеть и рабочее место в функциональных областях также являются физическими элементами управления. [154]
Важным физическим контролем, который часто упускают из виду, является разделение обязанностей, которое гарантирует, что человек не сможет выполнить важную задачу самостоятельно. [155] Например, сотрудник, подающий запрос на возмещение, не должен иметь возможности авторизовать оплату или распечатать чек. [156] Программист приложений не должен также быть администратором сервера или администратором базы данных ; эти роли и обязанности должны быть отделены друг от друга. [157]
Глубокоэшелонированная защита
Информационная безопасность должна защищать информацию на протяжении всего ее жизненного цикла, от первоначального создания информации до ее окончательного уничтожения. [158] Информация должна быть защищена как в движении, так и в состоянии покоя. В течение своего существования информация может проходить через множество различных систем обработки информации и через множество различных частей систем обработки информации. [159] Существует много разных способов поставить под угрозу информацию и информационные системы. Для полной защиты информации в течение ее жизни каждый компонент системы обработки информации должен иметь собственные механизмы защиты. [160] Наращивание, наложение и дублирование мер безопасности называется «глубокоэшелонированной защитой». [161] В отличие от металлической цепи, которая, как известно, сильна настолько, насколько прочно ее самое слабое звено, стратегия глубокоэшелонированной защиты нацелена на структуру, в которой, если одна защитная мера потерпит неудачу, другие меры будут продолжать обеспечивать защиту. [162]
Вспомните предыдущее обсуждение административного контроля, логического контроля и физического контроля. Три типа контроля могут использоваться в качестве основы для построения стратегии глубокоэшелонированной защиты. [144] При таком подходе глубокоэшелонированную защиту можно представить как три отдельных слоя или плоскости, наложенных друг на друга. [163] Дополнительное понимание глубокоэшелонированной защиты можно получить, представляя ее как формирование слоев луковицы, где данные находятся в ядре луковицы, люди — следующий внешний слой луковицы, а сетевая безопасность — безопасность на основе хоста. и безопасность приложений , образующие самые внешние слои луковицы. [164] Обе точки зрения одинаково обоснованы, и каждая дает ценную информацию о реализации хорошей стратегии глубокоэшелонированной защиты. [165]
Классификация
Важным аспектом информационной безопасности и управления рисками является признание ценности информации и определение соответствующих процедур и требований к защите информации. [166] Не вся информация одинакова, и поэтому не вся информация требует одинаковой степени защиты. [167] Для этого необходимо, чтобы информации была присвоена классификация безопасности . [168] Первым шагом в классификации информации является идентификация члена высшего руководства как владельца конкретной информации, подлежащей засекречиванию. Далее разработайте политику классификации. [169] Политика должна описывать различные классификационные метки, определять критерии присвоения информации конкретной метки и перечислять необходимые меры безопасности для каждой классификации. [170]
Некоторые факторы, влияющие на то, какую классификационную информацию следует присвоить, включают в себя ценность этой информации для организации, ее возраст и устарела ли информация. [171] Законы и другие нормативные требования также являются важными факторами при классификации информации. [172] Ассоциация аудита и контроля информационных систем (ISACA) и ее бизнес-модель информационной безопасности также служат для специалистов по безопасности инструментом для изучения безопасности с точки зрения системы, создавая среду, в которой безопасностью можно управлять целостно, позволяя фактическим рискам быть обращено. [173]
Тип выбранных и используемых меток классификации информационной безопасности будет зависеть от характера организации, например: [170]
В бизнес-секторе используются такие ярлыки, как «Публичный», «Конфиденциальный», «Частный», «Конфиденциальный».
В государственном секторе такие ярлыки, как «Несекретно», «Неофициально», «Защищено», «Конфиденциально», «Секретно», «Совершенно секретно» и их неанглийские эквиваленты. [174]
В личном секторе один ярлык типа Финансовый. Сюда входит деятельность, связанная с управлением деньгами, например онлайн-банкинг. [175]
Все сотрудники организации, а также деловые партнеры должны быть обучены работе со схемой классификации и понимать необходимые меры безопасности и процедуры обработки для каждой классификации. [176] Классификация конкретного присвоенного информационного актива должна периодически пересматриваться, чтобы гарантировать, что классификация по-прежнему подходит для информации, а также обеспечить наличие мер безопасности, требуемых классификацией, и их правильное соблюдение. [177]
Контроль доступа
Доступ к защищенной информации должен быть ограничен людьми, имеющими право доступа к этой информации. [178] Компьютерные программы, а во многих случаях и компьютеры, обрабатывающие информацию, также должны быть авторизованы. [179] Для этого необходимо наличие механизмов контроля доступа к защищенной информации. [179] Сложность механизмов контроля доступа должна соответствовать ценности защищаемой информации; чем более чувствительна или ценна информация, тем сильнее должны быть механизмы контроля. [180] Фундамент, на котором строятся механизмы контроля доступа, начинается с идентификации и аутентификации . [181]
Контроль доступа обычно рассматривается в три этапа: идентификация, аутентификация и авторизация . [182] [94]
Идентификация
Идентификация — это утверждение того, кто кто-то есть или что такое что-то. Если человек заявляет: «Здравствуйте, меня зовут Джон Доу », он заявляет о том, кто он есть. [183] Однако их утверждение может быть правдой, а может и не быть. Прежде чем Джону Доу будет предоставлен доступ к защищенной информации, необходимо будет убедиться, что человек, называющий себя Джоном Доу, действительно является Джоном Доу. [184] Обычно заявление оформляется в форме имени пользователя. Вводя это имя пользователя, вы заявляете: «Я тот человек, которому принадлежит это имя пользователя». [185]
Аутентификация
Аутентификация — это акт проверки утверждения личности. Когда Джон Доу приходит в банк, чтобы снять деньги, он говорит кассиру банка , что он — Джон Доу, что подтверждает его личность. [186] Кассир банка просит предъявить удостоверение личности с фотографией и передает кассиру свои водительские права . [187] Кассир банка проверяет лицензию, чтобы убедиться, что на ней напечатан Джон Доу, и сравнивает фотографию на лицензии с фотографией человека, утверждающего, что он Джон Доу. [188] Если фотография и имя совпадают с человеком, кассир подтвердил, что Джон Доу является тем, кем он себя выдает. Аналогично, вводя правильный пароль, пользователь подтверждает, что он/она является тем человеком, которому принадлежит имя пользователя. [189]
Для аутентификации можно использовать три различных типа информации: [190] [191]
Строгая аутентификация требует предоставления более одного типа аутентификационной информации (двухфакторная аутентификация). [197] Сегодня имя пользователя является наиболее распространенной формой идентификации в компьютерных системах, а пароль является наиболее распространенной формой аутентификации. [198] Имена пользователей и пароли выполнили свою задачу, но они становятся все более неадекватными. [199] Имена пользователей и пароли постепенно заменяются или дополняются более сложными механизмами аутентификации, такими как алгоритмы одноразового пароля на основе времени . [200]
Авторизация
После успешной идентификации и аутентификации человека, программы или компьютера необходимо определить, к каким информационным ресурсам им разрешен доступ и какие действия им будет разрешено выполнять (запускать, просматривать, создавать, удалять или изменять). [201] Это называется авторизацией . Разрешение на доступ к информации и другим компьютерным услугам начинается с административных политик и процедур. [202] Политика предписывает, к каким информационным и вычислительным услугам можно получить доступ, кем и на каких условиях. Затем механизмы контроля доступа настраиваются для обеспечения соблюдения этих политик. [203] Различные вычислительные системы оснащены различными механизмами контроля доступа. Некоторые могут даже предлагать на выбор различные механизмы контроля доступа. [204] Механизм управления доступом, предлагаемый системой, будет основан на одном из трех подходов к управлению доступом или может быть получен из комбинации этих трех подходов. [94]
Недискреционный подход объединяет весь контроль доступа под централизованным управлением. [205] Доступ к информации и другим ресурсам обычно зависит от функции (роли) человека в организации или задач, которые человек должен выполнять. [206] [207] Дискреционный подход дает создателю или владельцу информационного ресурса возможность контролировать доступ к этим ресурсам. [205] В подходе обязательного управления доступом доступ предоставляется или запрещается на основе классификации безопасности, присвоенной информационному ресурсу. [178]
Чтобы быть эффективными, политики и другие меры безопасности должны быть осуществимыми и поддерживаться. Эффективная политика гарантирует, что люди будут нести ответственность за свои действия. [210] Например, в руководящих принципах Казначейства США по системам обработки конфиденциальной или частной информации говорится, что все неудачные и успешные попытки аутентификации и доступа должны регистрироваться, а любой доступ к информации должен оставлять определенный контрольный журнал . [211]
Кроме того, когда речь идет о контроле доступа, должен действовать принцип «необходимости знать». Этот принцип дает права доступа человеку для выполнения своих трудовых функций. [212] Этот принцип используется в правительстве при рассмотрении разницы в зазорах. [213] Несмотря на то, что два сотрудника в разных отделах имеют допуск к сверхсекретной информации , у них должна быть необходимость знать, чтобы можно было обмениваться информацией. В рамках принципа «необходимости знать» сетевые администраторы предоставляют сотрудникам наименьший объем привилегий, чтобы предотвратить доступ сотрудников к большему, чем им положено. [214] Необходимость знать помогает обеспечить соблюдение триады конфиденциальность-целостность-доступность. Необходимость знать напрямую влияет на конфиденциальную область триады. [215]
Криптография
Информационная безопасность использует криптографию для преобразования полезной информации в форму, которая делает ее непригодной для использования кем-либо, кроме авторизованного пользователя; этот процесс называется шифрованием . [216] Информация, которая была зашифрована (приведена в негодность для использования), может быть преобразована обратно в исходную пригодную для использования форму авторизованным пользователем, обладающим криптографическим ключом , посредством процесса дешифрования. [217] Криптография используется в информационной безопасности для защиты информации от несанкционированного или случайного раскрытия во время ее передачи (в электронном или физическом виде) и во время хранения информации. [94]
Криптография также обеспечивает информационную безопасность вместе с другими полезными приложениями, включая улучшенные методы аутентификации, дайджесты сообщений, цифровые подписи, неотказуемость и зашифрованную сетевую связь. [218] Старые, менее безопасные приложения, такие как Telnet и протокол передачи файлов (FTP), постепенно заменяются более безопасными приложениями, такими как Secure Shell (SSH), которые используют зашифрованную сетевую связь. [219] Беспроводная связь может быть зашифрована с использованием таких протоколов, как WPA/WPA2 или более старого (и менее безопасного) WEP . Проводная связь (например, ITU‑T G.hn ) защищена с помощью AES для шифрования и X.1035 для аутентификации и обмена ключами. [220] Программные приложения, такие как GnuPG или PGP , могут использоваться для шифрования файлов данных и электронной почты. [221]
Криптография может создать проблемы с безопасностью, если она реализована неправильно. [222] Криптографические решения должны быть реализованы с использованием принятых в отрасли решений, прошедших строгую экспертную оценку независимых экспертов в области криптографии. [223] Длина и надежность ключа шифрования также являются важным фактором. [224] Слабый или слишком короткий ключ приведет к слабому шифрованию . [224] Ключи, используемые для шифрования и дешифрования, должны быть защищены с той же степенью строгости, что и любая другая конфиденциальная информация. [225] Они должны быть защищены от несанкционированного раскрытия и уничтожения, а также должны быть доступны при необходимости. [ нужна ссылка ] Решения инфраструктуры открытых ключей (PKI) решают многие проблемы, связанные с управлением ключами . [94]
Процесс
Термины «разумный и осмотрительный человек», « должная осмотрительность » и «должная осмотрительность» уже много лет используются в сферах финансов, ценных бумаг и права. В последние годы эти термины нашли свое применение в области вычислений и информационной безопасности. [129] Федеральные руководящие принципы вынесения приговоров США теперь позволяют привлекать должностных лиц корпораций к ответственности за несоблюдение должной осторожности и должной осмотрительности при управлении своими информационными системами. [226]
В деловом мире акционеры, клиенты, деловые партнеры и правительства ожидают, что корпоративные должностные лица будут вести бизнес в соответствии с общепринятой деловой практикой, а также в соответствии с законами и другими нормативными требованиями. Это часто называют правилом «разумного и благоразумного человека». Благоразумный человек уделяет должное внимание тому, чтобы было сделано все необходимое для ведения бизнеса в соответствии с разумными принципами ведения бизнеса, а также с соблюдением законных и этических норм. Благоразумный человек также усерден (внимателен, внимателен, постоянен) в должной заботе о своем бизнесе.
В области информационной безопасности Харрис [227]
предлагает следующие определения должной осторожности и должной осмотрительности:
«Должная осторожность — это шаги, которые предпринимаются, чтобы показать, что компания взяла на себя ответственность за деятельность, происходящую внутри корпорации, и предприняла необходимые шаги, чтобы помочь защитить компанию, ее ресурсы и сотрудников [228] ». А [должная осмотрительность — это] «постоянная деятельность, обеспечивающая постоянное обслуживание и функционирование механизмов защиты». [229]
В этих определениях следует обратить внимание на два важных момента. [230] [231] Во-первых, с должной осторожностью принимаются меры для демонстрации; это означает, что шаги можно проверить, измерить или даже создать ощутимые артефакты. [232] [233] Во-вторых, в рамках комплексной проверки проводятся постоянные мероприятия; это означает, что люди на самом деле делают что-то для мониторинга и поддержания механизмов защиты, и эта деятельность продолжается. [234]
Организации несут ответственность за соблюдение обязанностей по обеспечению информационной безопасности. Стандарт анализа рисков «Обязанность ухода» (DoCRA) [235] содержит принципы и методы оценки риска. [236] В нем учитываются все стороны, которые могут быть затронуты этими рисками. [237] DoCRA помогает оценить меры защиты, подходят ли они для защиты других от вреда, одновременно создавая разумное бремя. [238] В связи с увеличением количества судебных разбирательств по утечке данных, компании должны сбалансировать меры безопасности, соответствие требованиям и свою миссию. [239]
Управление безопасностью
Институт программной инженерии Университета Карнеги-Меллона в публикации под названием « Руководство по внедрению управления безопасностью предприятия (GES)» определяет характеристики эффективного управления безопасностью. К ним относятся: [240]
Проблема всего предприятия
Лидеры несут ответственность
Рассматривается как бизнес-требование.
Риск-ориентированный
Определены роли, обязанности и разделение обязанностей
Учтено и реализовано в политике
Выделено достаточные ресурсы
Персонал осведомлен и обучен
Требование жизненного цикла разработки
Планируемый, управляемый, измеримый и измеряемый
Рассмотрено и проверено
Планы реагирования на инциденты
План реагирования на инциденты (IRP) — это группа политик, определяющих реакцию организации на кибератаку. Как только нарушение безопасности обнаружено, например, с помощью системы обнаружения вторжений в сеть (NIDS) или системы обнаружения вторжений на базе хоста (HIDS) (если она настроена для этого), план инициируется. [241] Важно отметить, что утечка данных может иметь правовые последствия. Знание местных и федеральных законов имеет решающее значение. [242] Каждый план уникален и соответствует потребностям организации, и он может включать в себя наборы навыков, не входящих в состав ИТ-команды. [243] Например, в план реагирования может быть включен адвокат, который поможет разобраться в юридических последствиях утечки данных. [ нужна цитата ]
Как упоминалось выше, каждый план уникален, но большинство планов включают в себя следующее: [244]
Подготовка
Хорошая подготовка включает в себя создание группы реагирования на инциденты (IRT). [245] Эта группа должна использовать следующие навыки: тестирование на проникновение, компьютерная криминалистика, сетевая безопасность и т. д. [246] Эта группа также должна отслеживать тенденции в области кибербезопасности и современные стратегии атак. [247] Программа обучения конечных пользователей важна, так как большинство современных стратегий атак нацелены на пользователей в сети. [244]
Идентификация
Эта часть плана реагирования на инциденты определяет, произошло ли событие безопасности. [248] Когда конечный пользователь сообщает информацию или администратор замечает нарушения, начинается расследование. Журнал инцидентов является важной частью этого шага. [ необходима ссылка ] Все члены команды должны обновлять этот журнал, чтобы гарантировать, что информация передается как можно быстрее. [249] Если обнаружено, что произошло нарушение безопасности, следует активировать следующий шаг. [250]
Сдерживание
На этом этапе IRT работает над изоляцией областей, в которых произошло нарушение, чтобы ограничить масштаб события безопасности. [251] На этом этапе важно сохранить информацию в судебно-медицинской экспертизе, чтобы ее можно было проанализировать позже в процессе. [252] Сдерживание может быть как простым, например, физическим размещением серверной комнаты, так и сложным, например, сегментированием сети, чтобы не допустить распространения вируса. [253]
Искоренение
Именно здесь обнаруженная угроза удаляется из затронутых систем. [254] Это может включать в себя удаление вредоносных файлов, закрытие скомпрометированных учетных записей или удаление других компонентов. [255] [256] Некоторые события не требуют этого шага, однако важно полностью понять событие, прежде чем переходить к этому шагу. [257] Это поможет гарантировать полное устранение угрозы. [253]
Восстановление
На этом этапе системы восстанавливаются до исходного состояния. [258] Этот этап может включать восстановление данных, изменение информации о доступе пользователей или обновление правил или политик межсетевого экрана для предотвращения взлома в будущем. [259] [260] Без выполнения этого шага система все равно может оставаться уязвимой для будущих угроз безопасности. [253]
Уроки выучены
На этом этапе информация, собранная в ходе этого процесса, используется для принятия будущих решений по безопасности. [261] Этот шаг имеет решающее значение для предотвращения будущих событий. Использование этой информации для дальнейшего обучения администраторов имеет решающее значение для этого процесса. [262] Этот этап также может использоваться для обработки информации, которая распространяется от других объектов, которые столкнулись с событием безопасности. [263]
Управление изменениями
Управление изменениями — это формальный процесс направления и контроля изменений в среде обработки информации. [264] [265] Сюда входят изменения в настольных компьютерах, сети, серверах и программном обеспечении. [266] Целями управления изменениями являются снижение рисков, связанных с изменениями в среде обработки информации, и повышение стабильности и надежности среды обработки по мере внесения изменений. [267] Целью управления изменениями не является предотвращение или препятствование осуществлению необходимых изменений. [268] [269]
Любое изменение среды обработки информации привносит элемент риска. [270] Даже, казалось бы, простые изменения могут иметь неожиданные последствия. [271] Одной из многих обязанностей руководства является управление рисками. [272] [273] Управление изменениями — это инструмент управления рисками, вызванными изменениями в среде обработки информации. [274] Часть процесса управления изменениями гарантирует, что изменения не будут реализованы в неподходящее время, когда они могут нарушить критически важные бизнес-процессы или помешать реализации других изменений. [275]
Не каждым изменением нужно управлять. [276] [277] Некоторые виды изменений являются частью повседневной рутины обработки информации и соответствуют заранее определенной процедуре, что снижает общий уровень риска для среды обработки. [278] Создание новой учетной записи пользователя или развертывание нового настольного компьютера — это примеры изменений, которые обычно не требуют управления изменениями. [279] Однако перемещение общих файловых ресурсов пользователей или обновление сервера электронной почты представляют собой гораздо более высокий уровень риска для среды обработки и не являются обычным повседневным действием. [280] Важнейшими первыми шагами в управлении изменениями являются (а) определение изменения (и распространение этого определения) и (б) определение объема системы изменений. [281]
Управление изменениями обычно контролируется комиссией по анализу изменений, состоящей из представителей ключевых сфер бизнеса, [282] безопасности, сетей, системных администраторов, администраторов баз данных, разработчиков приложений, службы поддержки настольных компьютеров и службы поддержки. [283] Задачи комиссии по анализу изменений можно облегчить с помощью приложения для автоматизированного рабочего процесса. [284] В обязанности совета по анализу изменений входит обеспечение соблюдения документированных процедур управления изменениями в организации. [285] Процесс управления изменениями выглядит следующим образом [286]
Запрос : любой может запросить изменение. [287] [288] Лицо, делающее запрос на изменение, может быть, а может и не быть тем же лицом, которое выполняет анализ или реализует изменение. [289] [290] Когда запрос на изменение получен, он может пройти предварительную проверку, чтобы определить, совместимо ли запрошенное изменение с бизнес-моделью и практикой организации, а также определить объем ресурсов, необходимых для реализации изменения. [291]
Утверждение : руководство управляет бизнесом и контролирует распределение ресурсов, поэтому руководство должно утверждать запросы на изменения и назначать приоритет для каждого изменения. [292] Руководство может принять решение отклонить запрос на изменение, если изменение несовместимо с бизнес-моделью, отраслевыми стандартами или передовой практикой. [293] [294] Руководство также может принять решение отклонить запрос на изменение, если изменение требует больше ресурсов, чем может быть выделено для изменения. [295]
План : планирование изменения включает в себя определение масштаба и воздействия предлагаемого изменения; анализ сложности изменения; распределение ресурсов, а также разработка, тестирование и документирование планов реализации и отступления. [296] Необходимо определить критерии, по которым будет приниматься решение об отказе. [297]
Тестирование : каждое изменение должно быть протестировано в безопасной тестовой среде, которая точно отражает реальную производственную среду, прежде чем изменение будет применено к производственной среде. [298] План отступления также необходимо протестировать. [299]
График . Частью ответственности совета по обзору изменений является помощь в планировании изменений путем проверки предлагаемой даты внедрения на предмет потенциальных конфликтов с другими запланированными изменениями или критически важными бизнес-операциями. [300]
Общайтесь : как только изменение запланировано, о нем необходимо сообщить. [301] Целью информирования является предоставление другим возможности напомнить совету по анализу изменений о других изменениях или критически важных бизнес-операциях, которые могли быть упущены из виду при планировании изменений. [302] Сообщение также служит для информирования службы поддержки и пользователей о том, что скоро произойдет изменение. [303] Еще одной обязанностью совета по рассмотрению изменений является обеспечение того, чтобы запланированные изменения были должным образом доведены до сведения тех, кто будет затронут этими изменениями или иным образом заинтересован в них. [304] [305]
Внедрить : в назначенную дату и время изменения должны быть реализованы. [306] [307] Часть процесса планирования заключалась в разработке плана внедрения, плана тестирования и плана отказа. [308] [309] Если реализация изменения не удалась, или тестирование после реализации не удалось, или были соблюдены другие «замершие» критерии, следует реализовать план отката. [310]
Документ : Все изменения должны быть задокументированы. [311] [312] Документация включает в себя первоначальный запрос на изменение, его одобрение, присвоенный ему приоритет, реализацию, [313] планы тестирования и отказа, результаты критики совета по рассмотрению изменений, дату/время внесения изменения. изменение было реализовано, [314] кто его реализовал, а также было ли изменение реализовано успешно, неудачно или отложено. [315] [316]
Обзор после внесения изменений . Совет по обзору изменений должен проводить анализ изменений после внедрения. [317] Особенно важно проверять неудачные и отмененные изменения. Наблюдательный совет должен попытаться понять возникшие проблемы и найти области для улучшения. [317]
Процедуры управления изменениями, которым легко следовать и которые легко использовать, могут значительно снизить общие риски, возникающие при внесении изменений в среду обработки информации. [318] Хорошие процедуры управления изменениями повышают общее качество и успех изменений по мере их реализации. [319] Это достигается посредством планирования, экспертной оценки, документации и коммуникации. [320]
ISO/IEC 20000 , Руководство по Visible OPS: Внедрение ITIL за 4 практических и проверяемых шага [321] (полное содержание книги), [322] и ITIL предоставляют ценные рекомендации по внедрению эффективной и результативной программы управления изменениями в области информационной безопасности. [323]
Непрерывность бизнеса
Управление непрерывностью бизнеса ( BCM ) касается механизмов, направленных на защиту критически важных бизнес-функций организации от прерываний из-за инцидентов или, по крайней мере, минимизацию их последствий. [324] [325] BCM необходим любой организации для поддержания технологий и бизнеса в соответствии с текущими угрозами для продолжения бизнеса в обычном режиме. [326] BCM следует включить в план анализа рисков организации , чтобы гарантировать, что все необходимые бизнес-функции имеют все необходимое для продолжения работы в случае любого типа угрозы любой бизнес-функции. [327]
Он включает в себя:
Анализ требований, например, выявление критических бизнес-функций, зависимостей и потенциальных точек сбоя, потенциальных угроз и, следовательно, инцидентов или рисков, вызывающих беспокойство у организации; [328] [329]
Спецификация, например, максимально допустимые периоды простоев; целевые точки восстановления (максимально допустимые периоды потери данных); [330]
Архитектура и проектирование, например, подходящее сочетание подходов, включая устойчивость (например, проектирование ИТ-систем и процессов для обеспечения высокой доступности, [331] избегание или предотвращение ситуаций, которые могут нарушить работу бизнеса), управление инцидентами и чрезвычайными ситуациями (например, эвакуация помещений, вызов службы экстренной помощи, сортировка/ оценка [332] ситуации и применение планов восстановления), восстановление (например, восстановление) и управление на случай непредвиденных обстоятельств (общие возможности позитивно реагировать на все, что происходит, используя любые доступные ресурсы); [333]
Реализация, например, настройка и планирование резервного копирования, передачи данных и т. д., дублирование и усиление критически важных элементов; заключение договоров с поставщиками услуг и оборудования;
Тестирование, например, мероприятия по обеспечению непрерывности бизнеса различных типов, затрат и уровней обеспечения; [334]
Управление, например, определение стратегии, постановка целей и задач; планирование и руководство работой; распределение средств, людей и других ресурсов; расстановка приоритетов относительно других видов деятельности; построение команды, лидерство, контроль, мотивация и координация с другими бизнес-функциями и видами деятельности [335] (например, ИТ, оборудование, человеческие ресурсы, управление рисками, информационные риски и безопасность, операции); мониторинг ситуации, проверка и обновление договоренностей в случае изменений; совершенствование подхода посредством постоянного совершенствования, обучения и соответствующих инвестиций; [ нужна цитата ]
Гарантии, например, тестирование на соответствие установленным требованиям; измерение, анализ и отчетность по ключевым параметрам; проведение дополнительных тестов, проверок и аудитов для большей уверенности в том, что меры будут соответствовать плану, если они будут задействованы. [336]
В то время как BCM использует широкий подход к минимизации рисков, связанных со стихийными бедствиями, путем снижения как вероятности, так и серьезности инцидентов, план аварийного восстановления (DRP) фокусируется конкретно на как можно более быстром возобновлении бизнес-операций после стихийного бедствия. [337] План аварийного восстановления, применяемый вскоре после возникновения катастрофы, определяет шаги, необходимые для восстановления критической инфраструктуры информационных и коммуникационных технологий (ИКТ). [338] Планирование восстановления после стихийных бедствий включает в себя создание группы планирования, проведение оценки рисков, установление приоритетов, разработку стратегий восстановления, подготовку инвентаризаций и документации плана, разработку критериев и процедур проверки и, наконец, реализацию плана. [339]
Законы и правила
Ниже приведен неполный список правительственных законов и постановлений в различных частях мира, которые оказали, оказали или будут оказывать существенное влияние на обработку данных и информационную безопасность. [340] [341] Важные отраслевые правила также были включены, если они оказывают существенное влияние на информационную безопасность. [340]
Закон Великобритании о защите данных 1998 года содержит новые положения, регулирующие обработку информации, касающейся физических лиц, включая получение, хранение, использование или раскрытие такой информации. [342] [343] Директива Европейского Союза о защите данных (EUDPD) требует, чтобы все члены ЕС приняли национальные правила по стандартизации защиты конфиденциальности данных для граждан на всей территории ЕС [344] [345]
Закон о неправомерном использовании компьютеров 1990 года – это закон Парламента Великобритании, согласно которому компьютерные преступления (например, взлом) являются уголовным преступлением. [346] Закон стал образцом, на который несколько других стран, [347] включая Канаду и Ирландскую Республику , черпали вдохновение при последующей разработке своих собственных законов по информационной безопасности. [348] [349]
Директива ЕС о хранении данных (аннулированная) требовала от интернет-провайдеров и телефонных компаний хранить данные о каждом отправленном электронном сообщении и телефонном звонке в течение периода от шести месяцев до двух лет. [350]
Закон о правах семьи на образование и конфиденциальности (FERPA) ( 20 USC § 1232 g; 34 CFR, часть 99) — это федеральный закон США, который защищает конфиденциальность записей об образовании учащихся. [351] Закон распространяется на все школы, получающие средства в рамках действующей программы Министерства образования США . [352] Как правило, школы должны иметь письменное разрешение от родителя или учащегося, имеющего на это право, [352] [353] для раскрытия любой информации из записей об образовании учащегося. [354]
Рекомендации по безопасности для аудиторов Федерального экзаменационного совета финансовых учреждений (FFIEC) определяют требования к безопасности онлайн- банкинга . [355]
Закон о переносимости и подотчетности медицинского страхования (HIPAA) 1996 года требует принятия национальных стандартов для электронных транзакций в сфере здравоохранения и национальных идентификаторов для поставщиков, планов медицинского страхования и работодателей. [356] Кроме того, он требует от поставщиков медицинских услуг, страховых компаний и работодателей обеспечивать безопасность и конфиденциальность медицинских данных. [357]
Закон Грэмма -Лича-Блайли 1999 года (GLBA), также известный как Закон о модернизации финансовых услуг 1999 года, защищает конфиденциальность и безопасность частной финансовой информации, которую финансовые учреждения собирают, хранят и обрабатывают. [358]
Раздел 404 Закона Сарбейнса-Оксли 2002 года (SOX) требует, чтобы публичные компании оценивали эффективность своего внутреннего контроля за финансовой отчетностью в годовых отчетах, которые они представляют в конце каждого финансового года. [359] Директора по информационным технологиям несут ответственность за безопасность, точность и надежность систем, которые управляют финансовыми данными и сообщают о них. [360] Закон также требует, чтобы публичные компании привлекали независимых аудиторов, которые должны подтверждать и сообщать о достоверности своих оценок. [361]
Стандарт безопасности данных индустрии платежных карт (PCI DSS) устанавливает комплексные требования для повышения безопасности данных платежных счетов. [362] Он был разработан ведущими платежными брендами Совета по стандартам безопасности PCI, в том числе American Express , Discover Financial Services , JCB, MasterCard Worldwide, [363] и Visa International , чтобы способствовать широкому принятию последовательных мер безопасности данных в глобальная основа. [364] PCI DSS — это многогранный стандарт безопасности, который включает требования к управлению безопасностью, политикам, процедурам, сетевой архитектуре , проектированию программного обеспечения и другим критически важным мерам защиты. [365]
Законы штата об уведомлении о нарушениях безопасности (Калифорния и многие другие) требуют от предприятий, некоммерческих организаций и государственных учреждений уведомлять потребителей, когда незашифрованная «личная информация» может быть скомпрометирована, утеряна или украдена. [366]
Закон Канады о защите личной информации и электронных документах ( PIPEDA ) поддерживает и продвигает электронную торговлю, защищая личную информацию, которая собирается, используется или раскрывается при определенных обстоятельствах, [367] [368] путем обеспечения использования электронных средств для связи или записывать информацию или транзакции, а также путем внесения поправок в Закон Канады о доказательствах , Закон о нормативных актах и Закон о пересмотре статута. [369] [370] [371]
Греческое управление по безопасности и конфиденциальности связи (ADAE) (Закон 165/2011) устанавливает и описывает минимальные меры контроля информационной безопасности, которые должны быть развернуты каждой компанией, предоставляющей сети и/или услуги электронной связи в Греции, чтобы защитить конфиденциальность клиентов. . [372] Сюда входит как управленческий, так и технический контроль (например, записи журнала должны храниться в течение двух лет). [373]
Греческое управление по безопасности и конфиденциальности связи (ADAE) (Закон 205/2013) занимается защитой целостности и доступности услуг и данных, предлагаемых греческими телекоммуникационными компаниями. [374] Закон обязывает эти и другие связанные компании создавать, развертывать и тестировать соответствующие планы обеспечения непрерывности бизнеса и дублирующую инфраструктуру. [375]
Министерство обороны США (DoD) издало Директиву Министерства обороны 8570 в 2004 году, дополненную Директивой Министерства обороны 8140, требующую от всех сотрудников Министерства обороны и всего контрактного персонала Министерства обороны, участвующего в функциях и деятельности по обеспечению информации, получать и поддерживать различные отраслевые сертификаты в области информационных технологий (ИТ). усилия по обеспечению того, чтобы весь персонал Министерства обороны, участвующий в защите сетевой инфраструктуры, имел минимальный уровень признанных в ИТ-индустрии знаний, навыков и способностей (KSA). Андерссон и Реймерс (2019) сообщают, что эти сертификаты варьируются от A+ и Security+ от CompTIA до CISSP от ICS2.org и т. д. [376]
Культура
Культура информационной безопасности — это нечто большее, чем просто то, насколько сотрудники осведомлены о безопасности. Это идеи, обычаи и социальное поведение организации, которые влияют на информационную безопасность как положительным, так и отрицательным образом. [377] Культурные концепции могут помочь различным сегментам организации работать эффективно или противодействовать эффективности в обеспечении информационной безопасности внутри организации. То, как сотрудники думают и относятся к безопасности, а также действия, которые они предпринимают, могут оказать большое влияние на информационную безопасность в организациях. Роер и Петрик (2017) выделяют семь основных аспектов культуры информационной безопасности в организациях: [378]
Отношение: чувства и эмоции сотрудников по поводу различных видов деятельности, связанных с организационной безопасностью информации. [379]
Поведение: фактическая или предполагаемая деятельность и рискованные действия сотрудников, которые прямо или косвенно влияют на информационную безопасность.
Познание: осведомленность сотрудников, поддающиеся проверке знания и убеждения относительно практик, действий и отношения к самоэффективности , которые связаны с информационной безопасностью.
Коммуникация: способы общения сотрудников друг с другом, чувство принадлежности, поддержка по вопросам безопасности и отчеты об инцидентах.
Соответствие: соблюдение политик безопасности организации, осведомленность о существовании таких политик и способность вспомнить суть таких политик.
Нормы: восприятие организационного поведения и практики, связанных с безопасностью, которые неофициально считаются либо нормальными, либо отклоняющимися от нормы сотрудниками и их коллегами, например, скрытые ожидания в отношении поведения в области безопасности и неписаные правила использования информационно-коммуникационных технологий.
Обязанности: понимание сотрудниками своих ролей и обязанностей как решающего фактора в поддержании или угрозе безопасности информации и, следовательно, организации.
Андерссон и Реймерс (2014) обнаружили, что сотрудники часто не считают себя частью «усилий» организации по информационной безопасности и часто предпринимают действия, которые игнорируют интересы информационной безопасности организации. [380] Исследования показывают, что культуру информационной безопасности необходимо постоянно совершенствовать. В книге «Культура информационной безопасности от анализа к изменениям » авторы прокомментировали: «Это бесконечный процесс, цикл оценки и изменений или обслуживания». Для управления культурой информационной безопасности необходимо предпринять пять шагов: предварительная оценка, стратегическое планирование, оперативное планирование, реализация и последующая оценка. [381]
Предварительная оценка: определить осведомленность сотрудников об информационной безопасности и проанализировать текущую политику безопасности.
Стратегическое планирование: чтобы разработать лучшую программу повышения осведомленности, нам необходимо установить четкие цели. Кластеризация людей помогает достичь этого
Оперативное планирование: создать хорошую культуру безопасности, основанную на внутренней коммуникации, поддержке руководства, осведомленности о безопасности и программах обучения.
Реализация: должна включать приверженность руководства, общение с членами организации, курсы для всех членов организации и приверженность сотрудников [381]
Последующая оценка: чтобы лучше оценить эффективность предыдущих шагов и опираться на постоянное улучшение.
Источники стандартов
Международная организация по стандартизации (ISO) — это международная организация по стандартизации, организованная как консорциум национальных учреждений по стандартизации из 167 стран, деятельность которых координируется через секретариат в Женеве, Швейцария. ISO является крупнейшим в мире разработчиком международных стандартов. Международная электротехническая комиссия (МЭК) — это международная организация по стандартизации, которая занимается электротехнологиями и тесно сотрудничает с ISO. ISO/IEC 15443: «Информационные технологии. Методы обеспечения безопасности. Структура обеспечения безопасности ИТ», ISO/IEC 27002 : «Информационные технологии. Методы обеспечения безопасности. Кодекс практики управления информационной безопасностью», ISO/IEC 20000 : «Информационные технологии – Управление услугами» и ISO/IEC 27001 : «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования» представляют особый интерес для специалистов по информационной безопасности.
Национальный институт стандартов и технологий США (NIST) является нерегулирующим федеральным агентством Министерства торговли США . Подразделение компьютерной безопасности NIST разрабатывает стандарты, метрики, тесты и программы проверки, а также публикует стандарты и рекомендации для повышения безопасности планирования, внедрения, управления и эксплуатации ИТ. NIST также является хранителем публикаций Федерального стандарта обработки информации США (FIPS).
Интернет-сообщество — это профессиональное членское общество, объединяющее более 100 организаций и более 20 000 индивидуальных членов из более чем 180 стран. Он обеспечивает лидерство в решении проблем, стоящих перед будущим Интернета, и является организационным центром для групп, ответственных за стандарты интернет-инфраструктуры, включая Инженерную рабочую группу Интернета (IETF) и Совет по архитектуре Интернета (IAB). ISOC размещает запросы на комментарии (RFC), которые включают официальные стандарты интернет-протоколов и руководство по безопасности сайтов RFC-2196 .
Форум информационной безопасности (ISF) — это глобальная некоммерческая организация, объединяющая несколько сотен ведущих организаций в сфере финансовых услуг, производства, телекоммуникаций, потребительских товаров, государственного управления и других областях. Он проводит исследования в области практики информационной безопасности и предлагает рекомендации в своем Стандарте передовой практики информационной безопасности, издаваемом два раза в год , а также более подробные рекомендации для членов.
Институт специалистов по информационной безопасности (IISP) — это независимая некоммерческая организация, управляемая его членами, основной целью которой является повышение профессионализма специалистов по информационной безопасности и, следовательно, профессионализма отрасли в целом. Институт разработал структуру навыков НИСП. Эта структура описывает диапазон компетенций, ожидаемых от специалистов по информационной безопасности и обеспечению информации при эффективном выполнении своих функций. Он был разработан в результате сотрудничества организаций частного и государственного сектора, всемирно известных ученых и руководителей служб безопасности. [382]
Федеральное ведомство по информационной безопасности Германии ( Bundesamt für Sicherheit in der Informationstechnik (BSI) ) BSI-Стандарты от 100–1 до 100-4 представляют собой набор рекомендаций, включающих «методы, процессы, процедуры, подходы и меры, относящиеся к информационной безопасности». ". [383] Методология BSI-Standard 100-2 IT-Grundschutz описывает, как может быть реализовано и реализовано управление информационной безопасностью. Стандарт включает в себя очень конкретное руководство — Каталоги базовой защиты ИТ (также известные как Каталоги IT-Grundschutz). До 2005 года каталоги назывались « Руководство по базовой защите ИТ ». Каталоги представляют собой набор документов, полезных для обнаружения и устранения слабых мест, связанных с безопасностью, в ИТ-среде (ИТ-кластере). По состоянию на сентябрь 2013 года коллекция насчитывает более 4400 страниц с введением и каталогами. Подход IT-Grundschutz соответствует семейству стандартов ISO/IEC 2700x.
^ Карри, Майкл; Маршалл, Байрон; Кросслер, Роберт Э.; Коррейя, Джон (25 апреля 2018 г.). «Модель действий процесса InfoSec (IPAM): систематическое рассмотрение индивидуального поведения в области безопасности». База данных ACM SIGMIS: БАЗА ДАННЫХ по достижениям в области информационных систем . 49 (СИ): 49–66. дои : 10.1145/3210530.3210535. ISSN 0095-0033. S2CID 14003960.
^ Джоши, Чанчала; Сингх, Умеш Кумар (август 2017 г.). «Система управления рисками информационной безопасности – шаг к снижению рисков безопасности в университетской сети». Журнал информационной безопасности и приложений . 35 : 128–137. дои : 10.1016/j.jisa.2017.06.006. ISSN 2214-2126.
↑ Флетчер, Мартин (14 декабря 2016 г.). «Введение в информационный риск». Национальный архив . Проверено 23 февраля 2022 г.
^ Джоши, Чанчала; Сингх, Умеш Кумар (август 2017 г.). «Система управления рисками информационной безопасности – шаг к снижению рисков безопасности в университетской сети». Журнал информационной безопасности и приложений . 35 : 128–137. дои : 10.1016/j.jisa.2017.06.006.
^ Дэниел, Кент; Титман, Шеридан (август 2006 г.). «Реакция рынка на материальную и нематериальную информацию». Журнал финансов . 61 (4): 1605–1643. дои : 10.1111/j.1540-6261.2006.00884.x. ССНР 414701.
^ Финк, Керстин (2004). Измерение потенциала знаний и неопределенность . Немецкий университет. ISBN978-3-322-81240-7. ОСЛК 851734708.
^ Кейзер, Тобиас (19 апреля 2018 г.), «Политика безопасности», The Information Governance Toolkit , CRC Press, стр. 57–62, doi : 10.1201/9781315385488-13, ISBN978-1-315-38548-8, получено 28 мая 2021 г.
^ Данциг, Ричард; Университет национальной обороны, Вашингтон, округ Колумбия, Институт национальных стратегических исследований (1995). «Большая тройка: наши самые большие угрозы безопасности и способы их устранения». ДТИК ADA421883.
^ Лю, MR; Лау, ЛКИ (2000). «Безопасность межсетевого экрана: политики, тестирование и оценка производительности». Материалы 24-й ежегодной международной конференции по компьютерному программному обеспечению и приложениям. КОМПСАК2000 . IEEE-компьютер. Соц. стр. 116–121. doi : 10.1109/cmpsac.2000.884700. ISBN0-7695-0792-1. S2CID 11202223.
^ «Как отсутствие стандартизации данных препятствует здравоохранению, основанному на данных», Здравоохранение, управляемое данными , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 29, 17 октября 2015 г., doi : 10.1002/9781119205012.ch3, ISBN978-1-119-20501-2, получено 28 мая 2021 г.
^ Великий пост, Том; Уолш, Билл (2009 г.), «Переосмысление стандартов зеленого строительства для всестороннего непрерывного улучшения», Точки соприкосновения, достижение консенсуса и постоянное улучшение: международные стандарты и устойчивое строительство , Вест-Коншохокен, Пенсильвания: ASTM International, стр. 1–1–10, doi :10.1520/stp47516s, ISBN978-0-8031-4507-8, получено 28 мая 2021 г.
^ аб Черданцева Ю. и Хилтон Дж.: «Информационная безопасность и обеспечение информации. Дискуссия о значении, сфере применения и целях». В кн.: Организационные, правовые и технологические аспекты администратора информационной системы . Алмейда Ф., Портела И. (ред.). Глобальное издательство IGI. (2013)
^ ИСО/МЭК 27000:2018 (Е). (2018). Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Обзор и словарь. ИСО/МЭК.
^ ИСАКА. (2008). Глоссарий терминов, 2008 г. Получено с http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf.
^ Пипкин, Д. (2000). Информационная безопасность: защита глобального предприятия . Нью-Йорк: Компания Hewlett-Packard.
^ Б., Макдермотт Э. и Гир Д. (2001). Информационная безопасность – это управление информационными рисками. В материалах семинара 2001 г. по новым парадигмам безопасности NSPW '01 (стр. 97–104). АКМ. дои : 10.1145/508171.508187
^ Андерсон, Дж. М. (2003). «Почему нам нужно новое определение информационной безопасности». Компьютеры и безопасность . 22 (4): 308–313. дои : 10.1016/S0167-4048(03)00407-3.
^ Вентер, HS; Элофф, JHP (2003). «Таксономия технологий информационной безопасности». Компьютеры и безопасность . 22 (4): 299–307. дои : 10.1016/S0167-4048(03)00406-1.
^ Золото, S (декабрь 2004 г.). «Угрозы, выходящие за пределы периметра». Технический отчет по информационной безопасности . 9 (4): 12–14. дои : 10.1016/s1363-4127(04)00047-0. ISSN 1363-4127.
^ Паркер, Донн Б. (январь 1993 г.). «Полный список угроз информации». Безопасность информационных систем . 2 (2): 10–14. дои : 10.1080/19393559308551348. ISSN 1065-898X.
^ Салливант, Джон (2016), «Развивающаяся среда угроз», Создание корпоративной культуры безопасности , Elsevier, стр. 33–50, doi : 10.1016/b978-0-12-802019-7.00004-3, ISBN978-0-12-802019-7, получено 28 мая 2021 г.
^ Бучик, С. С.; Юдин, О. К.; Нетребко, Р. В. (21 декабря 2016 г.). «Анализ методов определения функциональных видов защищенности информационно-телекоммуникационной системы от несанкционированного доступа». Проблемы информатизации и управления . 4 (56). дои : 10.18372/2073-4751.4.13135 . ISSN 2073-4751.
^ аб Самонас, С.; Косс, Д. (2014). «ЦРУ наносит ответный удар: новое определение конфиденциальности, целостности и доступности в сфере безопасности». Журнал безопасности информационных систем . 10 (3): 21–45. Архивировано из оригинала 22 сентября 2018 года . Проверено 25 января 2018 г.
^ «Gartner заявляет, что цифровые разрушители влияют на все отрасли; цифровые ключевые показатели эффективности имеют решающее значение для измерения успеха» . Гартнер. 2 октября 2017 г. Проверено 25 января 2018 г.
^ «Опрос Gartner показывает, что 42 процента руководителей начали цифровую трансформацию бизнеса» . Гартнер. 24 апреля 2017 года . Проверено 25 января 2018 г.
^ Форте, Дарио; Пауэр, Ричард (декабрь 2007 г.). «Базовый контроль в некоторых жизненно важных, но часто упускаемых из виду областях вашей программы защиты информации». Компьютерное мошенничество и безопасность . 2007 (12): 17–20. дои : 10.1016/s1361-3723(07)70170-7. ISSN 1361-3723.
^ Низковольтные распределительные устройства и устройства управления. Профили устройств для сетевых промышленных устройств, Британские стандарты BSI, номер номера : 10.3403/bsen61915 , получено 28 мая 2021 г.
^ Фетцер, Джеймс; Хайфилл, Тина; Хоссисо, Кассу; Хауэллс, Томас; Штрасснер, Эрих; Янг, Джеффри (ноябрь 2018 г.). «Учет неоднородности фирм в отраслях промышленности США: расширенные таблицы ресурсов и использования и торговля добавленной стоимостью с использованием данных на уровне предприятий и учреждений». Национальное бюро экономических исследований . дои : 10.3386/w25249. S2CID 169324096.
^ «Безопасная оценка, подверженная киберстохастическим атакам», Системы облачного управления , Новые методологии и приложения в моделировании, Elsevier: 373–404, 2020, doi : 10.1016/b978-0-12-818701-2.00021-4, ISBN978-0-12-818701-2, S2CID 240746156 , получено 28 мая 2021 г.
^ Неймейер, Х. (2003). Синхронизация механических систем . Всемирная научная. ISBN978-981-279-497-0. ОСЛК 262846185.
^ «Как изменилось использование компьютеров студентами в последние годы» . ОЭСР . 8 сентября 2015 г. стр. 31–48. дои : 10.1787/9789264239555-4-en . Проверено 30 ноября 2023 г.
^ «9 типов специализаций в области кибербезопасности» .
^ Информационные технологии. Техники безопасности. Требования к компетентности специалистов по системам управления информационной безопасностью, Британские стандарты BSI, номер номера : 10.3403/30342674 , получено 29 мая 2021 г.
^ «Информационный бюллетень о квалификациях информационной безопасности» (PDF) . Управление IT . Архивировано из оригинала (PDF) 16 марта 2018 года . Проверено 16 марта 2018 г.
^ Рахим, Нур Х. (март 2006 г.). Права человека и внутренняя безопасность в Малайзии: риторика и реальность . Центр оборонной технической информации. OCLC 74288358.
↑ Крамер, Дэвид (14 сентября 2018 г.). «Угрозы ядерных хищений и саботажа остаются высокими, - предупреждается в докладе». Физика сегодня . дои : 10.1063/pt.6.2.20180914a. ISSN 1945-0699. S2CID 240223415.
↑ Уайлдинг, Эдвард (2 марта 2017 г.). Информационный риск и безопасность: предотвращение и расследование компьютерных преступлений на рабочем месте . Рутледж. ISBN978-1-351-92755-0. ОСЛК 1052118207.
^ Стюарт, Джеймс (2012). Учебное пособие CISSP . Канада: Джон Уайли и сыновья. стр. 255–257. ISBN978-1-118-31417-3.
^ «Почему снизился рост производительности?» Экономические обзоры ОЭСР: Дания, 2009 г. ОЭСР . 2009. стр. 65–96. doi :10.1787/eco_surveys-dnk-2009-4-en. ISBN9789264076556. Проверено 30 ноября 2023 г.
^ «Кража личных данных: к новейшей индустрии цифровых атак следует отнестись серьезно» . Проблемы информационных систем . 2007. doi : 10.48009/2_iis_2007_297-302 . ISSN 1529-7314.
^ Вендель-Перссон, Анна; Роннхед, Фредрик (2017). IT-säkerhet и manniskan: De har världens starkaste mur men porten står alltid på glänt . Университет Умео, Институт информатики. OCLC 1233659973.
↑ Энге, Эрик (5 апреля 2017 г.). «Каменный храм». Архивировано из оригинала 27 апреля 2018 года . Проверено 17 ноября 2017 г.Сотовые телефоны
^ Шао, Руодан; Скарлицки, Дэниел П. (2014). «Масштаб саботажа по отношению к клиентам, которые плохо обращались с сотрудниками». Набор данных PsycTESTS . дои : 10.1037/t31653-000 . Проверено 28 мая 2021 г.
^ Кухня, Джули (июнь 2008 г.). «7side – Информация о компании, создание компаний и поиск недвижимости». Управление юридической информацией . 8 (2): 146. дои : 10.1017/s1472669608000364. ISSN 1472-6696. S2CID 144325193.
^ Янг, Кортни (8 мая 2018 г.), «Работа с паническими атаками», Help Yourself Towards Mental Health , Routledge, стр. 209–214, doi : 10.4324/9780429475474-32, ISBN978-0-429-47547-4, получено 28 мая 2021 г.
^ «Введение: внутренняя угроза изнутри», Insider Threats , Cornell University Press, стр. 1–9, 31 декабря 2017 г., doi : 10.7591/9781501705946-003, ISBN978-1-5017-0594-6, получено 28 мая 2021 г.
^ Лекиллер, Ф.; Блейдс, Д. (2014). Таблица 7.7 Франция: Сравнение долей прибыли нефинансовых корпораций и нефинансовых корпораций плюс некорпоративные предприятия (PDF) . ОЭСР . п. 217. дои : 10.1787/9789264214637-ан. ISBN978-92-64-21462-0. Проверено 1 декабря 2023 г.
^ «Как все это произошло?», Комплаенс-бизнес и его клиенты , Бейзингсток: Palgrave Macmillan, 2012, doi : 10.1057/9781137271150.0007 (неактивно 31 января 2024 г.), ISBN978-1-137-27115-0{{citation}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
^ Гордон, Лоуренс А .; Леб, Мартин П. (ноябрь 2002 г.). «Экономика инвестиций в информационную безопасность». Транзакции ACM по информационной и системной безопасности . 5 (4): 438–457. дои : 10.1145/581271.581274. S2CID 1500788.
^ Чо Ким, Бён; Ханса, Лара; Джеймс, Табита (июль 2011 г.). «Индивидуальное доверие и восприятие риска потребителями». Журнал конфиденциальности и безопасности информации . 7 (3): 3–22. дои : 10.1080/15536548.2011.10855915. ISSN 1553-6548. S2CID 144643691.
^ Стюарт, Джеймс (2012). Учебное пособие для специалистов по безопасности информационных систем, сертифицированных CISSP, шестое издание . Канада: John Wiley & Sons, Inc., стр. 255–257. ISBN978-1-118-31417-3.
^ Джиллетт, Джон (март 1994 г.). «Затраты и выгоды от аутсорсинга: оценка истинной стоимости вашей стратегии аутсорсинга». Европейский журнал управления закупками и поставками . 1 (1): 45–47. дои : 10.1016/0969-7012(94)90042-6. ISSN 0969-7012.
↑ Ларсен, Дэниел (31 октября 2019 г.). «Создание американской культуры секретности: криптография в дипломатии эпохи Вильсона». Дипломатическая история . дои : 10.1093/dh/dhz046. ISSN 0145-2096.
^ «Введение: Цезарь мертв. Да здравствует Цезарь!», Самостоятельно созданный образ Юлия Цезаря и его драматическая загробная жизнь , Bloomsbury Academic, 2018, doi : 10.5040/9781474245784.0005, ISBN978-1-4742-4578-4, получено 29 мая 2021 г.
^ Тан, Хэн Чуан (2017). На пути к надежной и безопасной связи в автомобильной среде (Диссертация). Наньянский технологический университет. дои : 10.32657/10356/72758.
^ Джонсон, Джон (1997). Эволюция британских сигинтов: 1653–1939 гг . Канцелярия Ее Величества. АСИН B00GYX1GX2.
↑ Уиллисон, М. (21 сентября 2018 г.). «Были ли банки особенными? Противоположные точки зрения в Британии середины девятнадцатого века». Денежно-кредитная экономика: международные финансовые потоки . дои : 10.2139/ssrn.3249510 . Проверено 1 декабря 2023 г.
^ Руперт, К. (2011). «Закон о государственной тайне (1889 г.; новый 1911 г.; поправки 1920, 1939, 1989 гг.)». В Хастедте, врач общей практики (ред.). Шпионы, прослушивание телефонных разговоров и секретные операции: Энциклопедия американского шпионажа . Том. 2. АВС-КЛИО. стр. 589–590. ISBN9781851098088.
^ «2. Закон Клейтона: рассмотрение раздела 2, определяющего незаконную ценовую дискриминацию». Федеральный антимонопольный закон . Издательство Колумбийского университета. 31 декабря 1930 г. стр. 18–28. дои : 10.7312/dunn93452-003. ISBN978-0-231-89377-0. Проверено 29 мая 2021 г.
^ Маер, Люсинда; Гей (30 декабря 2008 г.). «Официальная тайна» (PDF) . Федерация американских ученых .
^ «Закон о государственной тайне 1989 года, который заменил раздел 2 Закона 1911 года», Шпионаж и секретность (Routledge Revivals) , Routledge, стр. 267–282, 10 июня 2016 г., doi : 10.4324/9781315542515-21 (неактивно 31 января, 2024), ISBN978-1-315-54251-5{{citation}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
^ «Закон о государственной тайне: что он охватывает; когда он использовался, подвергался сомнению» . Индийский экспресс . 8 марта 2019 г. Проверено 7 августа 2020 г.
^ Сингх, Гаджендра (ноябрь 2015 г.). «Разрыв цепей, которыми мы были связаны»: Камера для допросов, Индийская национальная армия и отрицание военной идентичности, 1941–1947». Цифровая библиотека Брилла времен Первой мировой войны . дои : 10.1163/2352-3786_dlws1_b9789004211452_019 . Проверено 28 мая 2021 г.
^ Дункансон, Деннис (июнь 1982 г.). «Борьба за расшифровку Французского Индокитая». Азиатские дела . 13 (2): 161–170. дои : 10.1080/03068378208730070. ISSN 0306-8374.
^ Уитмен и др. 2017, стр. 3.
^ «Союзная держава. Мобилизация гидроэлектроэнергии во время Второй мировой войны в Канаде», Allied Power , University of Toronto Press, стр. 1–2, 31 декабря 2015 г., doi : 10.3138/9781442617117-003, ISBN978-1-4426-1711-7, получено 29 мая 2021 г.
^ Глаттаар, Джозеф Т. (15 июня 2011 г.), «Офицеры и рядовые», Солдатская служба в армии Северной Вирджинии , University of North Carolina Press, стр. 83–96, doi : 10.5149/9780807877869_glatthaar.11, ISBN978-0-8078-3492-3, получено 28 мая 2021 г.
^ аб Себаг-Монтефиоре, Х. (2011). Энигма: Битва за код . Орион. п. 576. ИСБН9781780221236.
^ Уитмен и др. 2017, стр. 4–5.
^ аб Уитмен и др. 2017, с. 5.
↑ Декар, Пол Р. (26 апреля 2012 г.). Томас Мертон: Мудрость двадцатого века для жизни двадцать первого века. Латтерворт Пресс. стр. 160–184. дои : 10.2307/j.ctt1cg4k28.13. ISBN978-0-7188-4069-3. Проверено 29 мая 2021 г.
↑ Мерфи, Ричард К. (1 сентября 2009 г.). Создание более мощных и менее дорогих суперкомпьютеров с использованием обработки в памяти (PIM) Итоговый отчет LDRD (Отчет). дои : 10.2172/993898.
^ «Краткая история Интернета». www.usg.edu . Проверено 7 августа 2020 г.
^ «Прогулка по Делфту - в Интернете» . Компьютеры и графика . 25 (5): 927. Октябрь 2001 г. doi :10.1016/s0097-8493(01)00149-2. ISSN 0097-8493.
^ ДеНардис, Л. (2007). «Глава 24: История интернет-безопасности». Ин де Леу, КММ; Бергстра, Дж. (ред.). История информационной безопасности: Комплексный справочник . Эльзевир. стр. 681–704. ISBN9780080550589.
^ Пэрриш, Аллен; Импальяццо, Джон; Радж, Раджендра К.; Сантос, Энрике; Асгар, Мухаммад Ризван; Йосанг, Аудун; Перейра, Тереза; Ставру, Элиана (2 июля 2018 г.). «Глобальные перспективы образования в области кибербезопасности на 2030 год: аргументы в пользу метадисциплины». Доклады 23-й ежегодной конференции ACM по инновациям и технологиям в области компьютерных наук . АКМ. стр. 36–54. дои : 10.1145/3293881.3295778. ISBN978-1-4503-6223-8.
↑ Перрин, Чад (30 июня 2008 г.). «Триада ЦРУ» . Проверено 31 мая 2012 г.
^ Сандху, Рави; Яджодиа, Сушил (20 октября 2000 г.), «Безопасность реляционных баз данных», Справочник по управлению информационной безопасностью, набор из четырех томов , публикации Auerbach, doi : 10.1201/9780203325438.ch120 (неактивен 31 января 2024 г.), ISBN978-0-8493-1068-3{{citation}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
^ аб Стоунбернер, Г.; Хайден, К.; Феринга, А. (2004). «Инженерные принципы безопасности информационных технологий» (PDF) . csrc.nist.gov. doi :10.6028/NIST.SP.800-27rA. Архивировано из оригинала (PDF) 15 августа 2011 года . Проверено 28 августа 2011 г.
^ А. Дж. Нойманн, Н. Стэтленд и Р. Д. Уэбб (1977). «Инструменты и методы постобработки аудита» (PDF) . Министерство торговли США, Национальное бюро стандартов. стр. 11-3--11-4.
^ "oecd.org" (PDF) . Архивировано из оригинала (PDF) 16 мая 2011 года . Проверено 17 января 2014 г.
^ «GSSP (Общепринятые принципы безопасности системы): поездка в Абилен» . Компьютеры и безопасность . 15 (5): 417. Январь 1996 г. doi :10.1016/0167-4048(96)82630-7. ISSN 0167-4048.
^ Слэйд, Роб. «(ICS)2 Блог».
^ Асейтуно, Висенте. «Модель зрелости открытой информационной безопасности» . Проверено 12 февраля 2017 г.
^ «Георгий Цыбенко - Персональная домашняя страница Георгия Цыбенко» (PDF) . Архивировано из оригинала (PDF) 29 марта 2018 года . Проверено 5 января 2018 г.
^ Хьюз, Джефф; Цыбенко Георгий (21 июня 2018 г.). «Количественные показатели и оценка рисков: модель трех принципов кибербезопасности». Обзор управления технологическими инновациями . 3 (8).
^ Теплов, Лили (июль 2020 г.). «Ваши клиенты верят в эти мифы об ИТ-безопасности? [ДИАГРАММА]». Continuum.net .
^ Беккерс, К. (2015). Требования к шаблону и безопасности: установление стандартов безопасности на инженерной основе. Спрингер. п. 100. ИСБН9783319166643.
^ Финберг, Стивен Э.; Славкович, Александра Б. (2011), «Конфиденциальность и конфиденциальность данных», Международная энциклопедия статистических наук , стр. 342–345, doi : 10.1007/978-3-642-04898-2_202, ISBN978-3-642-04897-5
^ abcde Андресс, Дж. (2014). Основы информационной безопасности: понимание основ информационной безопасности в теории и практике. Сингресс. п. 240. ИСБН9780128008126.
^ Бориц, Дж. Ефрим (2005). «Взгляды практиков ИБ на основные концепции целостности информации». Международный журнал информационных систем бухгалтерского учета . Эльзевир. 6 (4): 260–279. doi :10.1016/j.accinf.2005.07.001.
^ Гришко, И. (2020). «Самовольное занятие земли и самовольное строительство: понятия и виды тактических средств расследования». Вестник Международного гуманитарного университета. Юриспруденция (43): 180–184. дои : 10.32841/2307-1745.2020.43.40 . ISSN 2307-1745.
^ Ким, Бонн-О (21 сентября 2000 г.), «Ссылочная целостность для проектирования баз данных», Высокопроизводительные веб-базы данных , Публикации Ауэрбаха, стр. 427–434, doi : 10.1201/9781420031560-34, ISBN978-0-429-11600-1, получено 29 мая 2021 г.
^ Певнев, В. (2018). «Моделирование угроз и обеспечение целостности информации». Системы и технологии . 2 (56): 80–95. дои : 10.32836/2521-6643-2018.2-56.6 . ISSN 2521-6643.
^ Фан, Леджун; Ван, Юаньчжуо; Ченг, Сюэци; Ли, Цзиньмин; Цзинь, Шуюань (26 февраля 2013 г.). «Анализ многопроцессного сотрудничества вредоносных программ для кражи конфиденциальной информации». Сети безопасности и связи . 8 (1): 51–67. дои : 10.1002/сек.705 . ISSN 1939-0114.
^ «Полнота, согласованность и целостность модели данных». Измерение качества данных для постоянного улучшения . Серия МК по бизнес-аналитике. Эльзевир. 2013. стр. e11–e19. дои : 10.1016/b978-0-12-397033-6.00030-4. ISBN978-0-12-397033-6. Проверено 29 мая 2021 г.
^ Видео от SPIE — Международного общества оптики и фотоники. дои : 10.1117/12.2266326.5459349132001 . Проверено 29 мая 2021 г.
^ «Навыки общения, используемые выпускниками информационных систем». Проблемы информационных систем . 2005. doi : 10.48009/1_iis_2005_311-317 . ISSN 1529-7314.
^ Отключения электроснабжения из-за неисправности кабеля в системе Boston Edison Company (Отчет). 1 июля 1980 г. doi : 10.2172/5083196. ОСТИ 5083196 . Проверено 18 января 2022 г.
^ Лукас, Г.; Оке, Г. (сентябрь 2010 г.) [август 2009 г.]. «Защита от атак типа «отказ в обслуживании»: опрос» (PDF) . Вычислить. Дж. 53 (7): 1020–1037. doi : 10.1093/comjnl/bxp078. Архивировано из оригинала (PDF) 24 марта 2012 года . Проверено 28 августа 2015 г.
^ «Уметь выполнять клиническую деятельность», Определения , Qeios, 2 февраля 2020 г., doi : 10.32388/dine5x, S2CID 241238722 , получено 29 мая 2021 г.
^ Охта, Май; Фуджи, Такео (май 2011 г.). «Итеративное совместное зондирование общего первичного спектра для улучшения сенсорных способностей». Международный симпозиум IEEE 2011 по сетям динамического доступа к спектру (DySPAN) . IEEE. стр. 623–627. дои : 10.1109/dyspan.2011.5936257. ISBN978-1-4577-0177-1. S2CID 15119653.
^ Информационные технологии. Управление инцидентами информационной безопасности, Британские стандарты BSI, номер номера : 10.3403/30387743 , получено 29 мая 2021 г.
^ Блюм, Дэн (2020), «Определение и согласование ролей, связанных с безопасностью», Rational Cybersecurity for Business , Беркли, Калифорния: Apress, стр. 31–60, doi : 10.1007/978-1-4842-5952-8_2, ISBN978-1-4842-5951-1, S2CID 226626983 , получено 29 мая 2021 г.
^ Маккарти, К. (2006). «Цифровые библиотеки: вопросы безопасности и сохранности». В Бидголи, Х. (ред.). Справочник по информационной безопасности, угрозам, уязвимостям, предотвращению, обнаружению и управлению . Том. 3. Джон Уайли и сыновья. стр. 49–76. ISBN9780470051214.
^ Информационные технологии. Взаимосвязь открытых систем. Структуры безопасности для открытых систем, Британские стандарты BSI, номер номера : 10.3403/01110206u , получено 29 мая 2021 г.
^ Христофори, Ральф (1 января 2014 г.), «Так могло быть», Хулио Рондо - Хорошо, Meta Memory , Вильгельм Финк Верлаг, doi : 10.30965/9783846757673_003 (неактивен 31 января 2024 г.), ISBN978-3-7705-5767-7{{citation}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
^ Аткинс, Д. (май 2021 г.). «Использование алгоритма цифровой подписи Walnut с подписью и шифрованием объектов CBOR (COSE)». Редактор RFC . дои : 10.17487/rfc9021 . S2CID 182252627 . Проверено 18 января 2022 г.
^ Ле Мэй, И. (2003), «Структурная целостность в нефтехимической промышленности», Комплексная структурная целостность , Elsevier, стр. 125–149, doi : 10.1016/b0-08-043749-4/01001-6, ISBN978-0-08-043749-1, получено 29 мая 2021 г.
^ Соджахин, Амос; Шампанское, Клаудия; Коггинс, Фрэнк; Жилле, Роланд (11 января 2017 г.). «Опередающие или запаздывающие индикаторы риска? Информативность показателей внефинансовой деятельности». Журнал управления активами . 18 (5): 347–370. дои : 10.1057/s41260-016-0039-y. ISSN 1470-8272. S2CID 157485290.
^ Рейнольдс, Э.Х. (22 июля 1995 г.). «Фолат потенциально может нанести вред». БМЖ . 311 (6999): 257. doi :10.1136/bmj.311.6999.257. ISSN 0959-8138. ПМК 2550299 . ПМИД 7503870.
^ Рэндалл, Алан (2011), «Вред, риск и угроза», Риск и меры предосторожности , Кембридж: Cambridge University Press, стр. 31–42, doi : 10.1017/cbo9780511974557.003, ISBN978-0-511-97455-7, получено 29 мая 2021 г.
^ Грама, JL (2014). Правовые вопросы информационной безопасности. Джонс и Бартлетт Обучение. п. 550. ИСБН9781284151046.
↑ Кэннон, Дэвид Л. (4 марта 2016 г.). «Процесс аудита». CISA: Учебное пособие для сертифицированных аудиторов информационных систем (Четвертое изд.). стр. 139–214. дои : 10.1002/9781119419211.ch3. ISBN9781119056249.
^ Руководство по обзору CISA, 2006 г. . Ассоциация аудита и контроля информационных систем. 2006. с. 85. ИСБН978-1-933284-15-6.
↑ Кадлец, Ярослав (2 ноября 2012 г.). «Двумерное моделирование процессов (2DPM)». Журнал «Управление бизнес-процессами» . 18 (6): 849–875. дои : 10.1108/14637151211283320. ISSN 1463-7154.
^ «Все контрмеры имеют определенную ценность, но ни одна контрмера не идеальна», Beyond Fear , Нью-Йорк: Springer-Verlag, стр. 207–232, 2003, doi : 10.1007/0-387-21712-6_14, ISBN0-387-02620-7, получено 29 мая 2021 г.
^ «Утечка данных: Deloitte серьезно пострадала, в то время как появляются новые подробности об Equifax и Yahoo». Компьютерное мошенничество и безопасность . 2017 (10): 1–3. Октябрь 2017 г. doi : 10.1016/s1361-3723(17)30086-6. ISSN 1361-3723.
^ Спаньолетти, Паоло; Реска А. (2008). «Двойственность управления информационной безопасностью: борьба с предсказуемыми и непредсказуемыми угрозами». Журнал безопасности информационных систем . 4 (3): 46–62.
^ Юсофф, Нор Хашим; Юсоф, Мохд Радзуан (4 августа 2009 г.). «Управление рисками HSE в суровых условиях». Все дни . ОПЭ. дои : 10.2118/122545-мс.
^ Бакстер, Уэсли (2010). Распродано: как деловые районы в центре Оттавы защитили и повысили ценность городского пространства (Диссертация). Карлтонский университет. дои : 10.22215/etd/2010-09016.
^ де Соуза, Андре; Линч, Энтони (июнь 2012 г.). «Изменяется ли эффективность взаимных фондов в зависимости от бизнес-цикла?». Кембридж, Массачусетс. дои : 10.3386/w18137. S2CID 262620435.
^ Киунтузис, Э.А.; Коколакис, С.А. (31 мая 1996 г.). Безопасность информационных систем: лицом к информационному обществу 21 века . Лондон: Chapman & Hall, Ltd. ISBN978-0-412-78120-9.
^ Ньюсом, Б. (2013). Практическое введение в безопасность и управление рисками . Публикации SAGE. п. 208. ИСБН9781483324852.
^ аб Уитмен, Мэн; Матторд, HJ (2016). Управление информационной безопасностью (5-е изд.). Cengage Обучение. п. 592. ИСБН9781305501256.
^ «Оборудование, ткани, клеи и другие театральные принадлежности», Иллюстрированное руководство по театральному производству , Routledge, стр. 203–232, 20 марта 2013 г., doi : 10.4324/9780080958392-20, ISBN978-0-08-095839-2, получено 29 мая 2021 г.
^ Ризон, Джеймс (2 марта 2017 г.), «Восприятие небезопасных действий», The Human Contribution , CRC Press, стр. 69–103, doi : 10.1201/9781315239125-7, ISBN978-1-315-23912-5, получено 29 мая 2021 г.
^ «Процедуры и стандарты информационной безопасности», Политики, процедуры и стандарты информационной безопасности , Бока-Ратон, Флорида: Публикации Ауэрбаха, стр. 81–92, 27 марта 2017 г., doi : 10.1201/9781315372785-5, ISBN978-1-315-37278-5, получено 29 мая 2021 г.
^ Чжуан, Хайфэн; Чен, Ю; Шэн, Сяньфу; Хонг, Лили; Гао, Жуйлан; Чжуан, Сяофэнь (25 июня 2020 г.). «Рисунок S1: Анализ прогностического влияния каждого отдельного сигнатурного гена». ПерДж . 8 : е9437. дои : 10.7717/peerj.9437/supp-1 .
^ Стандартерт, Б.; Этген, О.; Эмерсон, РА (июнь 2012 г.). «Анализ экономической эффективности CO4 - подходит для всех ситуаций?». Ценность в здоровье . 15 (4): А2. дои : 10.1016/j.jval.2012.03.015 . ISSN 1098-3015.
^ «Навесы из стеклопластика обеспечивают экономичную защиту дверей» . Армированные пластмассы . 40 (11): 8 ноября 1996 г. doi :10.1016/s0034-3617(96)91328-4. ISSN 0034-3617.
^ «Рисунок 2.3. Относительный риск низкой эффективности в зависимости от личных обстоятельств (2012)» . дои : 10.1787/888933171410 . Проверено 29 мая 2021 г.
^ Стоунбернер, Гэри; Гоген, Алиса; Феринга, Алексис (2002). «Руководство по управлению рисками NIST SP 800-30 для систем информационных технологий». doi :10.6028/NIST.SP.800-30 . Проверено 18 января 2022 г.
^ «Могу ли я выбирать? Могу ли я выбирать? Угнетение и выбор», Теория свободы , Пэлгрейв Макмиллан, 2012, doi : 10.1057/9781137295026.0007 (неактивен 31 января 2024 г.), ISBN978-1-137-29502-6{{citation}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
^ Паркер, Донн Б. (январь 1994 г.). «Руководство по выбору и реализации мер безопасности». Безопасность информационных систем . 3 (2): 75–86. дои : 10.1080/10658989409342459. ISSN 1065-898X.
^ Зоккали, Кармин; Малламачи, Франческа; Трипепи, Джованни (25 сентября 2007 г.). «Приглашенный редактор: Раджив Агарвал: Оценка профиля сердечно-сосудистого риска и контроль приема лекарств должны быть на первом месте». Семинары по диализу . 20 (5): 405–408. дои : 10.1111/j.1525-139x.2007.00317.x. ISSN 0894-0959. PMID 17897245. S2CID 33256127.
^ Руководство по внедрению и аудиту средств управления СМИБ на основе ISO / IEC 27001. Лондон: Британские стандарты BSI. 1 ноября 2013 г. doi : 10.3403/9780580829109. ISBN978-0-580-82910-9.
^ Джонсон, Л. (2015). Справочник по оценке, тестированию и оценке средств контроля безопасности. Сингресс. п. 678. ИСБН9780128025642.
^ Информационные технологии. Техники безопасности. Сопоставление пересмотренных редакций ISO/IEC 27001 и ISO/IEC 27002, Британские стандарты BSI, doi : 10.3403/30310928 , получено 29 мая 2021 г.
^ abc «Административный контроль», Профессиональная эргономика , CRC Press, стр. 443–666, 26 марта 2003 г., doi : 10.1201/9780203507933-6, ISBN978-0-429-21155-3, получено 29 мая 2021 г.
^ Чен, Дж.; Демерс, Э.А.; Лев Б. (июнь 2013 г.). «Как время суток влияет на деловые разговоры». дои : 10.13007/141 . Проверено 18 января 2022 г.
^ «Приложение D», Разработка политики информационной безопасности для обеспечения соответствия , Auerbach Publications, стр. 117–136, 22 марта 2013 г., doi : 10.1201/b13922-12 (неактивно 31 января 2024 г.), ISBN978-1-4665-8058-9{{citation}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
^ «Брандмауэры, системы обнаружения вторжений и оценка уязвимостей: превосходное сочетание?». Сетевая безопасность . 2002 (9): 8–11. Сентябрь 2002 г. doi : 10.1016/s1353-4858(02)09009-8. ISSN 1353-4858.
^ Рэнсом, Дж.; Мисра, А. (2013). Основная безопасность программного обеспечения: безопасность в источнике. ЦРК Пресс. стр. 40–41. ISBN9781466560956.
^ Вейк, Мартин Х. (2000), «Принцип наименьших привилегий», Словарь компьютерных наук и коммуникаций , стр. 883, номер домена : 10.1007/1-4020-0613-6_10052, ISBN978-0-7923-8425-0
↑ Эмир, Астра (сентябрь 2018 г.). «19. Обязанности бывших сотрудников». Законная сокровищница . doi :10.1093/he/9780198814849.003.0019 (неактивен 31 января 2024 г.). ISBN978-0-19-185251-0.{{cite journal}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
↑ Руководство по правам доступа к медицинской информации, ASTM International, doi :10.1520/e1986-09 , получено 29 мая 2021 г.
^ Друри, Билл (1 января 2009 г.), «Физическая среда», Справочник по методам управления, приводам и средствам управления , Институт инженерии и технологий, стр. 355–381, doi : 10.1049/pbpo057e_chb3, ISBN978-1-84919-013-8, получено 29 мая 2021 г.
^ Системы обнаружения пожара и пожарной сигнализации, BSI British Standards, doi : 10.3403/30266863 , получено 29 мая 2021 г.
^ Сильверман, Арнольд Б. (ноябрь 2001 г.). «Собеседования при увольнении сотрудников — важная, но часто упускаемая из виду процедура». ДЖОМ . 53 (11): 48. Бибкод :2001JOM....53к..48С. дои : 10.1007/s11837-001-0195-4. ISSN 1047-4838. S2CID 137528079.
^ «Многие сотрудники-фармацевты должны иметь возможность получить выгоду» . Фармацевтический журнал . 2013. дои : 10.1211/pj.2013.11124182. ISSN 2053-6186.
^ «Матрица контроля разделения обязанностей» . ИСАКА. 2008. Архивировано из оригинала 3 июля 2011 года . Проверено 30 сентября 2008 г.
^ «Жители должны защищать свою личную информацию» . ДЖАМА . 279 (17): 1410Б. 6 мая 1998 г. doi : 10.1001/jama.279.17.1410 . ISSN 0098-7484.
^ «Системы поддержки групповой мудрости: объединение идей многих с помощью информационных технологий». Проблемы информационных систем . 2008. дои : 10.48009/2_iis_2008_343-350 . ISSN 1529-7314.
^ «ВЗАИМОЗАВИСИМОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ», Извлеченные уроки: защита критической информационной инфраструктуры , IT Governance Publishing, стр. 34–37, 2018 г., doi : 10.2307/j.ctt1xhr7hq.13, ISBN978-1-84928-958-0, получено 29 мая 2021 г.
^ «Управление сетевой безопасностью», Безопасность периметра сети , Публикации Ауэрбаха, стр. 17–66, 27 октября 2003 г., doi : 10.1201/9780203508046-3, ISBN978-0-429-21157-7, получено 29 мая 2021 г.
^ Какарека, А. (2013). «Глава 31: Что такое оценка уязвимостей?». В Вакке-младшем (ред.). Справочник по компьютерной и информационной безопасности (2-е изд.). Эльзевир. стр. 541–552. ISBN9780123946126.
^ Дьюк, Пенсильвания; Ховард, IP (17 августа 2012 г.). «Обработка различий в вертикальных размерах в различных плоскостях глубины». Журнал видения . 12 (8): 10. дои : 10.1167/12.8.10. ISSN 1534-7362. ПМИД 22904355.
^ «Сценарии управления луком безопасности» . Прикладной мониторинг сетевой безопасности . Эльзевир. 2014. стр. 451–456. дои : 10.1016/b978-0-12-417208-1.09986-4. ISBN978-0-12-417208-1. Проверено 29 мая 2021 г.
^ Сайя, Серджио; Фрагассо, Мариаджованна; Вита, Паскуале Де; Беледжия, Ромина. «Метаболомика дает ценную информацию для изучения твердой пшеницы: обзор». Журнал сельскохозяйственной и пищевой химии . doi :10.1021/acs.jafc.8b07097.s001 . Проверено 29 мая 2021 г.
^ «Обзор», Политика, процедуры и стандарты информационной безопасности , Публикации Ауэрбаха, 20 декабря 2001 г., doi : 10.1201/9780849390326.ch1 (неактивно 31 января 2024 г.), ISBN978-0-8493-1137-6{{citation}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
^ Реле электрической защиты. Информация и требования ко всем реле защиты, Британские стандарты BSI, номер документа : 10.3403/bs142-1 , получено 29 мая 2021 г.
^ Дибаттиста, Джозеф Д.; Реймер, Джеймс Д.; Стат, Майкл; Масуччи, Джованни Д.; Бионди, Пьера; Брауэр, Мартен Де; Банс, Майкл (6 февраля 2019 г.). «Дополнительная информация 4: Список всех объединенных семейств в алфавитном порядке, присвоенных в MEGAN версии 5.11.3». ПерДж . 7 : е6379. дои : 10.7717/peerj.6379/supp-4 .
↑ Ким, Сон Вон (31 марта 2006 г.). «Количественный анализ классификационных классов и ресурсов классифицированной информации каталога». Журнал информационного менеджмента . 37 (1): 83–103. дои : 10.1633/jim.2006.37.1.083 . ISSN 0254-3621.
^ Аб Баюк, Дж. (2009). «Глава 4: Классификация информации». В Аксельроде, CW; Баюк, Дж.Л.; Шутцер, Д. (ред.). Информационная безопасность и конфиденциальность предприятия . Артех Хаус. стр. 59–70. ISBN9781596931916.
^ «Добро пожаловать в век информации», Перегрузка! , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 43–65, 11 сентября 2015 г., doi : 10.1002/9781119200642.ch5, ISBN978-1-119-20064-2, получено 29 мая 2021 г.
^ Крукс, С. (2006). «102. Практический пример: когда усилия по контролю воздействия перевешивают другие важные соображения проектирования». АИХЦе 2006 . АМСЗ. doi : 10.3320/1.2759009 (неактивен 4 февраля 2024 г.).{{cite book}}: CS1 maint: DOI неактивен по состоянию на февраль 2024 г. ( ссылка )
^ «Бизнес-модель информационной безопасности (BMIS)» . ИСАКА. Архивировано из оригинала 26 января 2018 года . Проверено 25 января 2018 г.
^ Маколифф, Лео (январь 1987 г.). «Совершенно секретно/коммерческая тайна: доступ к информации ограниченного доступа и ее защита». Правительственная информация Ежеквартально . 4 (1): 123–124. дои : 10.1016/0740-624x(87)90068-2. ISSN 0740-624X.
^ Икбал, Джаваид; Соройя, Сайра Ханиф; Махмуд, Халид (5 января 2023 г.). «Поведение в области безопасности финансовой информации в онлайн-банкинге». Информационная разработка : 026666692211493. doi : 10.1177/02666669221149346. ISSN 0266-6669. S2CID 255742685.
^ Хайруддин, Исмаил Мохд; Сидек, Шахрул Наим; Абдул Маджид, Анвар П.П.; Разман, Мохд Азраи Мохд; Пузи, Асмарани Ахмад; Юсоф, Хазлина мкр (25 февраля 2021 г.). «Рисунок 7: Точность классификации для каждой модели по всем признакам». PeerJ Информатика . 7 : е379. doi : 10.7717/peerj-cs.379/fig-7 .
^ «Классификация активов», Основы информационной безопасности , Публикации Ауэрбаха, стр. 327–356, 16 октября 2013 г., doi : 10.1201/b15573-18, ISBN978-0-429-13028-1, получено 1 июня 2021 г.
^ Аб Альмехмади, Абдулазиз; Эль-Хатиб, Халил (2013). «Разрешено! Доступ запрещен, несанкционирован! Доступ разрешен». Материалы 6-й Международной конференции по безопасности информации и сетей . Грех '13. Нью-Йорк, Нью-Йорк, США: ACM Press. стр. 363–367. дои : 10.1145/2523514.2523612. ISBN978-1-4503-2498-4. S2CID 17260474.
^ Аб Пейсс, Кэти (2020), «Страна разума также должна атаковать», Information Hunters , Oxford University Press, стр. 16–39, doi : 10.1093/oso/9780190944612.003.0003, ISBN978-0-19-094461-2, получено 1 июня 2021 г.
^ Фуджини, МГ; Мартелла, Г. (январь 1988 г.). «Модель Петри-сетей механизмов контроля доступа». Информационные системы . 13 (1): 53–63. дои : 10.1016/0306-4379(88)90026-9. ISSN 0306-4379.
^ Информационные технологии. Идентификация личности. Водительские права, соответствующие требованиям ISO, британские стандарты BSI, номер doi : 10.3403/30170670u , получено 1 июня 2021 г.
^ Сантос, Омар (2015). Официальное руководство по сертификатам Ccna Security 210-260 . Пресса Сиско. ISBN978-1-58720-566-8. ОКЛК 951897116.
^ «Что такое утверждение?», ASSERTION TRAINING , Абингдон, Великобритания: Тейлор и Фрэнсис, стр. 1–7, 1991, doi : 10.4324/9780203169186_chapter_one, ISBN978-0-203-28556-5, получено 1 июня 2021 г.
^ Доу, Джон (1960). «Полевой сезон в Иллинойсе начинается 2 мая». Почвенные горизонты . 1 (2): 10. дои :10.2136/sh1960.2.0010. ISSN 2163-2812.
^ Пиявка, М. (март 1996 г.). «Аутентификация по имени пользователя и паролю для SOCKS V5». дои : 10.17487/rfc1929 . Проверено 18 января 2022 г.
^ Кирк, Джон; Уолл, Кристина (2011), «Теллер, продавец, профсоюзный активист: формирование класса и изменение идентичности банковских работников», Работа и идентичность , Лондон: Palgrave Macmillan UK, стр. 124–148, doi : 10.1057/9780230305625_6, ISBN978-1-349-36871-6, получено 1 июня 2021 г.
^ Вайл, Джон (2013), «Проверка лицензий», Энциклопедия Четвертой поправки , Вашингтон, округ Колумбия: CQ Press, doi : 10.4135/9781452234243.n462, ISBN978-1-60426-589-7, получено 1 июня 2021 г.
^ «Он сказал / она сказала», у моего призрака есть имя , University of South Carolina Press, стр. 17–32, doi : 10.2307/j.ctv6wgjjv.6, ISBN978-1-61117-827-2, получено 29 мая 2021 г.
^ Басигалупо, Сонни А.; Диксон, Линда К.; Габбинс, Саймон; Кучарски, Адам Дж.; Древе, Джулиан А. (26 октября 2020 г.). «Дополнительная информация 8: Методы, используемые для мониторинга различных типов контактов». ПерДж . 8 : е10221. дои : 10.7717/peerj.10221/supp-8 .
^ Игельник, Борис М.; Зурада, Яцек (2013). Методы эффективности и масштабируемости вычислительного интеллекта . Справочник по информатике. ISBN978-1-4666-3942-3. ОСЛК 833130899.
^ «В страховом супербилле должно быть указано ваше имя как поставщика», Прежде чем вы увидите своего первого клиента , Routledge, стр. 37–38, 1 января 2005 г., doi : 10.4324/9780203020289-11, ISBN978-0-203-02028-9, получено 1 июня 2021 г.
^ Кисселл, Джо. Возьмите под контроль свои пароли . ISBN978-1-4920-6638-5. ОСЛК 1029606129.
^ «Объявлено о новых умных водительских правах в Квинсленде» . Карточные технологии сегодня . 21 (7): 5 июля 2009 г. doi :10.1016/s0965-2590(09)70126-4. ISSN 0965-2590.
^ Ливерморская национальная лаборатория Лоуренса. Соединенные Штаты. Министерство энергетики. Управление научно-технической информации (1995). Человеческая инженерия и эргономическая оценка интерфейса панели доступа . Соединенные Штаты. Департамент энергетики. ОСЛК 727181384.
^ Ли, Пол (апрель 2017 г.). «Очаровательные отпечатки: как отпечатки пальцев становятся новаторами в области биометрии». Биометрические технологии сегодня . 2017 (4): 8–11. дои : 10.1016/s0969-4765(17)30074-7. ISSN 0969-4765.
^ Лэндрок, Питер (2005). «Двухфакторная аутентификация». Энциклопедия криптографии и безопасности . п. 638. дои : 10.1007/0-387-23483-7_443. ISBN978-0-387-23473-1.
^ «Рисунок 1.5. Брак остается наиболее распространенной формой партнерства среди пар, 2000–07» . дои : 10.1787/888932392533 . Проверено 1 июня 2021 г.
^ Акпенинор, Джеймс Охвофаса (2013). Современные концепции безопасности. Блумингтон, Индиана: AuthorHouse. п. 135. ИСБН978-1-4817-8232-6. Проверено 18 января 2018 г.
^ Ричардс, Г. (апрель 2012 г.). «Предварительная аутентификация по одноразовому паролю (OTP)». doi : 10.17487/rfc6560.
↑ Шумахер, Дитмар (3 апреля 2016 г.). «Поверхностные геохимические исследования через 85 лет: что сделано и что еще предстоит сделать». Международная конференция и выставка, Барселона, Испания, 3-6 апреля 2016 г. Тезисы глобального собрания SEG. Общество геофизиков-разведчиков и Американская ассоциация геологов-нефтяников. п. 100. дои : 10.1190/ice2016-6522983.1.
^ «Программа авторизации и одобрения», Политика и процедуры внутреннего контроля , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 69–72, 23 октября 2015 г., doi : 10.1002/9781119203964.ch10, ISBN978-1-119-20396-4, получено 1 июня 2021 г.
^ «Какие реакции и при каких условиях?», Местная политика и Европейский социальный фонд , Policy Press, стр. 81–102, 2 октября 2019 г., doi : 10.2307/j.ctvqc6hn1.12, ISBN978-1-4473-4652-4, S2CID 241438707 , получено 1 июня 2021 г.
^ Ченг, Лян; Чжан, Ян; Хан, Чжихуэй (июнь 2013 г.). «Количественное измерение механизмов контроля доступа в различных операционных системах». 2013 7-я Международная конференция IEEE по безопасности и надежности программного обеспечения . IEEE. стр. 50–59. дои : 10.1109/sere.2013.12. ISBN978-1-4799-0406-8. S2CID 13261344.
^ Аб Вейк, Мартин Х. (2000), «дискреционный контроль доступа», Словарь компьютерных наук и коммуникаций , стр. 426, номер домена : 10.1007/1-4020-0613-6_5225, ISBN978-0-7923-8425-0
^ Гревер, К.; Балани, П.; Вайденфеллер, К.; Бартузель, Т.; Чжэнь Тао; Рауэн, Т. (10 августа 2005 г.). «Отдельные субъединицы гомотримера транспортера глутамата EAAC1 функционируют независимо друг от друга». Биохимия . 44 (35): 11913–11923. дои : 10.1021/bi050987n.
^ Эллис Ормрод, Жанна (2012). Основы педагогической психологии: большие идеи для эффективного преподавания . Пирсон. ISBN978-0-13-136727-2. ОСЛК 663953375.
^ Белим, СВ; Богаченко Н.Ф.; Кабанов А.Н. (ноябрь 2018 г.). «Уровень серьезности разрешений в ролевом управлении доступом». 2018 Динамика систем, механизмов и машин (Динамика) . IEEE. стр. 1–5. arXiv : 1812.11404 . дои : 10.1109/dynamics.2018.8601460. ISBN978-1-5386-5941-0. S2CID 57189531.
^ «Настройка TACACS и расширенный TACACS», Защита и контроль маршрутизаторов Cisco , Публикации Ауэрбаха, 15 мая 2002 г., doi : 10.1201/9781420031454.ch11 (неактивен 31 января 2024 г.), ISBN978-0-8493-1290-8{{citation}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
^ «Разработка эффективной политики безопасности», Анализ рисков и выбор мер противодействия безопасности , CRC Press, стр. 261–274, 18 декабря 2009 г., doi : 10.1201/9781420078718-18, ISBN978-0-429-24979-2, получено 1 июня 2021 г.
^ «Использование журналов аудита для мониторинга ключевых сетей и систем должно оставаться частью существенной слабости компьютерной безопасности» . www.treasury.gov . Проверено 6 октября 2017 г.
^ "исправление режима-доступа к лекарствам в Канаде-что-вам-нужно-знать-о-билле-c398" . Документы по правам человека онлайн . дои : 10.1163/2210-7975_hrd-9902-0152 . Проверено 1 июня 2021 г.
^ Салазар, Мэри К. (январь 2006 г.). «Работа с неопределенными рисками — когда применять принцип предосторожности». Журнал ААОН . 54 (1): 11–13. дои : 10.1177/216507990605400102. ISSN 0891-0162. S2CID 87769508.
^ «Нам нужно знать больше о том, как правительство подвергает цензуре своих сотрудников» . Документы по правам человека в Интернете . дои : 10.1163/2210-7975_hrd-9970-2016117 . Проверено 1 июня 2021 г.
^ Пурнель, Джерри (22 апреля 2004 г.), «1001 компьютерное слово, которое вам нужно знать», 1001 компьютерное слово, которое вам нужно знать: полное руководство по языку компьютеров , Oxford Scholarship Online, Oxford University Press, doi : 10.1093/ осо/9780195167757.003.0007, ISBN978-0-19-516775-7, получено 30 июля 2021 г.
^ Исттом, Уильям (2021), «Криптография с эллиптической кривой», Современная криптография , Cham: Springer International Publishing, стр. 245–256, doi : 10.1007/978-3-030-63115-4_11, ISBN978-3-030-63114-7, S2CID 234106555 , получено 1 июня 2021 г.
↑ Фоллман, Ребекка (1 марта 2014 г.). От человека, который там был: поиск информации при наставничестве. Материалы конференции 2014 (Диссертация). iSchools. дои : 10.9776/14322. hdl : 1903/14292. ISBN978-0-9884900-1-7.
^ Вайс, Джейсон (2004), «Дайджесты сообщений, коды аутентификации сообщений и цифровые подписи», Расширения криптографии Java , Elsevier, стр. 101–118, doi : 10.1016/b978-012742751-5/50012-8, ISBN978-0-12-742751-5, получено 5 июня 2021 г.
^ Бидер, Д. (март 2018 г.). «Использование ключей RSA с SHA-256 и SHA-512 в протоколе Secure Shell (SSH)» (PDF) . Серия RFC. дои : 10.17487/RFC8332 . Проверено 30 ноября 2023 г.
^ Но, Джэвон; Ким, Джихён; Квон, Гивон; Чо, Сонхён (октябрь 2016 г.). «Схема безопасного обмена ключами для WPA/WPA2-PSK с использованием криптографии с открытым ключом». Международная конференция IEEE по бытовой электронике в Азии (ICCE-Asia) , 2016 г. IEEE. стр. 1–4. doi : 10.1109/icce-asia.2016.7804782. ISBN978-1-5090-2743-9. S2CID 10595698.
^ Ван Бюрен, Рой Ф. (май 1990 г.). «Как использовать стандарт шифрования данных для шифрования файлов и баз данных». Обзор ACM SIGSAC . 8 (2): 33–39. дои : 10.1145/101126.101130. ISSN 0277-920X.
^ Бонно, Джозеф (2016), «Зачем покупать, если можно арендовать?», Финансовая криптография и безопасность данных , Конспекты лекций по информатике, Берлин, Гейдельберг: Springer Berlin Heidelberg, vol. 9604, стр. 19–26, номер домена : 10.1007/978-3-662-53357-4_2, ISBN.978-3-662-53356-7, получено 5 июня 2021 г.
^ Коулман, Хизер; Андрон, Джефф (1 августа 2015 г.), «Что нужно знать экспертам по ГИС и специалистам по политике об использовании Marxan в процессах многокритериального планирования», Ocean Solutions, Earth Solutions , Esri Press, doi : 10.17128/9781589483651_2, ISBN978-1-58948-365-1, получено 5 июня 2021 г.
^ ab Landrock, Питер (2005), «Ключ шифрования ключа», Энциклопедия криптографии и безопасности , стр. 326–327, doi : 10.1007/0-387-23483-7_220, ISBN978-0-387-23473-1
^ Гири, Дебасис; Баруа, Притаян; Шривастава, ПД; Яна, Бисвапати (2010), «Криптосистема для шифрования и дешифрования длинных конфиденциальных сообщений», Информационная безопасность и гарантия, Коммуникации в компьютерной и информационной науке, том. 76, Берлин, Гейдельберг: Springer Berlin Heidelberg, стр. 86–96, Bibcode : 2010isa..conf...86G, doi : 10.1007/978-3-642-13365-7_9, ISBN978-3-642-13364-0, получено 5 июня 2021 г.
^ Валлабханени, СР (2008). Лучшие практики корпоративного управления, управления и этики. Джон Уайли и сыновья. п. 288. ИСБН9780470255803.
↑ Бонкардо, Роберт (20 сентября 2018 г.). «Малларме Жан-Клода Мильнера: ничего не произошло». Издательство Эдинбургского университета . 1 . doi : 10.3366/edinburgh/9781474429528.003.0005. S2CID 172045429.
^ «Важность оперативной комплексной проверки», Операционная комплексная проверка хедж-фонда , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 49–67, 16 октября 2015 г., doi : 10.1002/9781119197485.ch2, ISBN978-1-119-19748-5, получено 5 июня 2021 г.
^ Холл, Гейлорд К. (март 1917 г.). «Некоторые важные диагностические моменты, которые врач общей практики [sic] должен знать о носе». Южный медицинский журнал . 10 (3): 211. дои : 10.1097/00007611-191703000-00007. ISSN 0038-4348.
^ Ренес, Дж. (1999). Landschappen van Maas en Peel: een toegepast историко-географические исследования в het streekplangebied Noord-en Midden-Limburg . Эйсма. ISBN90-74252-84-2. OCLC 782897414.
↑ Томас, Брук (22 июня 2017 г.). «Учитывая предыдущие шаги». Оксфордская стипендия онлайн . doi :10.1093/acprof:oso/9780190456368.003.0002. ISBN978-0-19-045639-9.
^ Лундгрен, Регина Э. (2018). Коммуникация о рисках: руководство по информированию о рисках для окружающей среды, безопасности и здоровья . Уайли. ISBN978-1-119-45613-1. ОСЛК 1043389392.
^ Дженсен, Эрик Талбот (3 декабря 2020 г.), «Комплексная проверка в кибердеятельности», Комплексная проверка в международном правовом порядке , Oxford University Press, стр. 252–270, doi : 10.1093/oso/9780198869900.003.0015, ISBN978-0-19-886990-0, получено 5 июня 2021 г.
^ «Стандарт анализа рисков по оказанию медицинской помощи» . ДоКРА . Архивировано из оригинала 14 августа 2018 года . Проверено 15 августа 2018 г.
^ Саттон, Адам; Черный, Адриан; Уайт, Роб (2008), «Оценка предотвращения преступности», Предупреждение преступности , Кембридж: Издательство Кембриджского университета, стр. 70–90, doi : 10.1017/cbo9780511804601.006, ISBN978-0-511-80460-1, получено 5 июня 2021 г.
^ Проверьте, Эрика (15 сентября 2004 г.). «FDA считает антидепрессанты опасными для детей». Природа . дои : 10.1038/news040913-15. ISSN 0028-0836.
↑ Окленд, Крессида (16 августа 2017 г.). «Защита меня от моего распоряжения: обеспечение соответствующих гарантий для предварительных распоряжений при деменции». Обзор медицинского права . 26 (1): 73–97. doi : 10.1093/medlaw/fwx037. ISSN 0967-0742. ПМИД 28981694.
^ Такач, Джордж С. (2016), «Подготовка к судебному разбирательству по поводу нарушений», Подготовка и реагирование на утечку данных , Elsevier, стр. 217–230, doi : 10.1016/b978-0-12-803451-4.00009-5, ISBN978-0-12-803451-4, получено 5 июня 2021 г.
^ Вестби, младший; Аллен, Дж. Х. (август 2007 г.). «Руководство по внедрению управления безопасностью предприятия (GES)» (PDF) . Институт программной инженерии . Проверено 25 января 2018 г.
^ Фаулер, Кевви (2016), «Разработка плана реагирования на инциденты компьютерной безопасности», Подготовка и реагирование на утечку данных , Elsevier, стр. 49–77, doi : 10.1016/b978-0-12-803451-4.00003-4, ISBN978-0-12-803451-4, получено 5 июня 2021 г.
^ Бизоньи, Фабио (2016). «Доказательство ограничений законов об уведомлении о утечке государственных данных: является ли федеральный закон наиболее адекватным решением?». Журнал информационной политики . 6 : 154–205. дои : 10.5325/jinfopoli.6.2016.0154. JSTOR 10.5325/jinfopoli.6.2016.0154.
^ «Понимание плана для каждой части», Turbo Flow , Productivity Press, стр. 21–30, 27 июля 2017 г., doi : 10.1201/b10336-5, ISBN978-0-429-24603-6, получено 5 июня 2021 г.
↑ Аб Уиллс, Леонард (27 февраля 2019 г.). «Краткое руководство по устранению киберинцидентов». Американская ассоциация адвокатов .
^ Джонсон, Лейтон Р. (2014), «Часть 1. Группа реагирования на инциденты», Управление группой реагирования на компьютерные инциденты и криминалистической экспертизы , Elsevier, стр. 17–19, doi : 10.1016/b978-1-59749-996-5.00038-8 , ISBN978-1-59749-996-5, получено 5 июня 2021 г.
^ «Реагирование на компьютерные инциденты и управление группой криминалистики» . Сетевая безопасность . 2014 (2): 4 февраля 2014 г. doi :10.1016/s1353-4858(14)70018-2. ISSN 1353-4858.
^ «Планшет угроз кибербезопасности и будущие тенденции», Cybersecurity , Routledge, стр. 304–343, 16 апреля 2015 г., doi : 10.1201/b18335-12, ISBN978-0-429-25639-4, получено 5 июня 2021 г.
^ Информационные технологии. Техники безопасности. Управление инцидентами информационной безопасности, BSI British Standards, doi :10.3403/30268878u , получено 5 июня 2021 г.
^ Тернер, Тим (7 сентября 2011 г.), «Наше начало: члены команды, начавшие историю успеха», Одна команда на всех уровнях , Productivity Press, стр. 9–36, doi : 10.4324/9781466500020-2, ISBN978-0-429-25314-0, получено 5 июня 2021 г.
^ Эрлангер, Леон (2002). Оборонительные стратегии . Журнал ПК. п. 70.
^ «Главной улицы Белграда. Событие произошло в абсолютном смысле», Radical Street Performance , Routledge, стр. 81–83, 5 ноября 2013 г., doi : 10.4324/9781315005140-28, ISBN978-1-315-00514-0, получено 5 июня 2021 г.
^ «Почему выбор так важен и что можно сделать, чтобы его сохранить» . Манипулирование выбором . Пэлгрейв Макмиллан. 2013. doi : 10.1057/9781137313577.0010 (неактивен 31 января 2024 г.). ISBN978-1-137-31357-7.{{cite book}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
^ Боргстрем, Пернилла; Стренгбом, Иоахим; Викетофт, Мария; Боммарко, Риккардо (4 апреля 2016 г.). «Таблица S3: Результаты линейно-смешанных моделей, в которых несущественные [sic] параметры не были удалены». ПерДж . 4 : е1867. дои : 10.7717/peerj.1867/supp-3 .
^ Пенфолд, Дэвид (2000), «Выбор, копирование, перемещение и удаление файлов и каталогов», Модуль ECDL 2: Использование компьютера и управление файлами , Лондон: Springer London, стр. 86–94, doi : 10.1007/978-1 -4471-0491-9_6 (неактивен 31 января 2024 г.), ISBN978-1-85233-443-7{{citation}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
^ Гумус, Онур (2018). АСП. NET Core 2 Fundamentals: создание кроссплатформенных приложений и динамических веб-служб с помощью этой серверной платформы веб-приложений . ISBN Packt Publishing Ltd.978-1-78953-355-2. ОСЛК 1051139482.
^ «Понимают ли студенты, что они изучают?», Устранение неполадок в преподавании , Routledge, стр. 36–40, 25 февраля 2005 г., doi : 10.4324/9780203416907-8, ISBN978-0-203-41690-7, получено 5 июня 2021 г.
^ «Где восстанавливаются фильмы, откуда они берутся и кто их восстанавливает?», Film Restoration , Palgrave Macmillan, 2013, doi : 10.1057/9781137328724.0006 (неактивно 31 января 2024 г.), ISBN978-1-137-32872-4{{citation}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
^ Ляо, Ци; Ли, Чжэнь; Стригель, Аарон (24 января 2011 г.). «Могут ли правила брандмауэра быть общедоступными — взгляд на теорию игр». Сети безопасности и связи . 5 (2): 197–210. дои : 10.1002/сек.307. ISSN 1939-0114.
^ Бокман, Филип; Гринвальд, Дэвид Дж.; Фон Бисмарк, Нилуфер (2013). Двенадцатый ежегодный институт регулирования ценных бумаг в Европе: преодоление проблем при заключении сделок на текущих рынках . Практикующий юридический институт. ISBN978-1-4024-1932-4. ОКЛК 825824220.
^ «Рисунок 1.8. Расходы на социальное обеспечение растут, а самофинансирование падает». дои : 10.1787/888932459242 . Проверено 5 июня 2021 г.
^ «Управление информацией: решающий первый шаг», Защита критически важных электронных документов , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 13–24, 19 сентября 2015 г., doi : 10.1002/9781119204909.ch2, ISBN978-1-119-20490-9, получено 5 июня 2021 г.
↑ Хэ, Ин (1 декабря 2017 г.). «Проблемы обучения инцидентам информационной безопасности: промышленное исследование в китайской организации здравоохранения» (PDF) . Информатика для здравоохранения и социальной защиты . 42 (4): 394–395. дои : 10.1080/17538157.2016.1255629. PMID 28068150. S2CID 20139345.
^ Кампфнер, Роберто Р. (1985). «Формальная спецификация требований к информационным системам». Обработка информации и управление . 21 (5): 401–414. дои : 10.1016/0306-4573(85)90086-x. ISSN 0306-4573.
^ Дженнер, HA (1995). Оценка экотоксикологического риска выщелачивания элементов из пылеугольной золы . sn] OCLC 905474381.
^ Уилби, РЛ; Орр, Х.Г.; Хеджер, М.; Форроу, Д.; Блэкмор, М. (декабрь 2006 г.). «Риски, связанные с изменением климата для достижения целей Рамочной директивы по водным ресурсам в Великобритании». Интернационал окружающей среды . 32 (8): 1043–1055. дои : 10.1016/j.envint.2006.06.017. ISSN 0160-4120. ПМИД 16857260.
^ Кэмпбелл, Т. (2016). «Глава 14: Разработка безопасных систем». Практическое управление информационной безопасностью: Полное руководство по планированию и реализации . Апресс. п. 218. ИСБН9781484216859.
^ Коппельман, Кент Л. (2011). Понимание человеческих различий: мультикультурное образование для разнообразной Америки . Пирсон/Аллин и Бэкон. ОСЛК 1245910610.
^ «Постобработка». Простая сцена, сенсационный кадр . Рутледж. 12 апреля 2013 г. стр. 128–147. дои : 10.4324/9780240821351-9. ISBN978-0-240-82135-1. Проверено 5 июня 2021 г.
^ Кумар, Бинай; Махто, Тулси; Кумари, Винита; Рави, Бинод Кумар; Дипмала (2016). «Шлатанство: как оно может оказаться фатальным даже в, казалось бы, простых случаях - отчет о случае». Медико-правовое обновление . 16 (2): 75. дои : 10.5958/0974-1283.2016.00063.3. ISSN 0971-720X.
↑ Священник Салли (22 февраля 2019 г.). «Общие роли и обязанности в управлении рисками наводнений». Журнал управления рисками наводнений . 12 (1): e12528. Бибкод : 2019JFRM...12E2528P. дои : 10.1111/jfr3.12528. ISSN 1753-318Х. S2CID 133789858.
^ США. Министерство энергетики. Канцелярия генерального инспектора. Управление научно-технической информации (2009). Отчет об аудите «Недостатки противопожарной защиты в Национальной лаборатории Лос-Аламоса». . Соединенные Штаты. Департамент энергетики. OCLC 727225166.
^ Томс, Элейн Г. (январь 1992 г.). «Управление изменениями в библиотеках и информационных службах; системный подход». Обработка информации и управление . 28 (2): 281–282. дои : 10.1016/0306-4573(92)90052-2. ISSN 0306-4573.
^ Абольхассан, Ферри (2003). «Процесс управления изменениями, реализованный в IDS Scheer». Управление изменениями бизнес-процессов . Берлин, Гейдельберг: Springer Berlin Heidelberg. стр. 15–22. дои : 10.1007/978-3-540-24703-6_2. ISBN978-3-642-05532-4. Проверено 5 июня 2021 г.
↑ Доусон, Крис (1 июля 2020 г.). Ведущие изменения в культуре. дои : 10.1515/9780804774673. ISBN9780804774673. S2CID 242348822.
↑ Маккормик, Дуглас П. (22 марта 2016 г.). Family Inc.: использование принципов бизнеса для максимизации благосостояния вашей семьи . Джон Уайли и сыновья. ISBN978-1-119-21976-7. ОКЛК 945632737.
^ Шулер, Райнер (август 1995 г.). «Некоторые свойства множеств, поддающихся любому вычислимому за полиномиальное время распределению». Письма об обработке информации . 55 (4): 179–184. дои : 10.1016/0020-0190(95)00108-о. ISSN 0020-0190.
^ "Рисунок 12.2. Доля самозанятых, у которых обычно не более одного клиента" (Excel) . дои : 10.1787/888933881610 . Проверено 5 июня 2021 г.
^ «Многопользовательский файловый сервер для локальных сетей DOS» . Компьютерные коммуникации . 10 (3): 153. Июнь 1987 г. doi : 10.1016/0140-3664(87)90353-7. ISSN 0140-3664.
^ «Определение организационных изменений», Организационные изменения , Оксфорд, Великобритания: Wiley-Blackwell, стр. 21–51, 19 апреля 2011 г., doi : 10.1002/9781444340372.ch1, ISBN978-1-4443-4037-2, получено 5 июня 2021 г.
^ Кирхмер, Матиас; Шеер, Август-Вильгельм (2003), «Управление изменениями — ключ к совершенству бизнес-процессов», Управление изменениями бизнес-процессов , Берлин, Гейдельберг: Springer Berlin Heidelberg, стр. 1–14, номер документа : 10.1007/978-3-540-24703 -6_1, ISBN978-3-642-05532-4, получено 5 июня 2021 г.
^ Еще, Джош; Штибер, Энтони Дж.; Лю, Крис (2016 г.), «Уровень 2 — расширенная служба поддержки — руководитель службы поддержки», Breaking Into Information Security , Elsevier, стр. 111–113, doi : 10.1016/b978-0-12-800783-9.00029-x, ISBN978-0-12-800783-9, получено 5 июня 2021 г.
^ «Применение байесовских сетей в автоматизированной оценке задач компьютерного моделирования», Автоматическая оценка сложных задач в компьютерном тестировании , Routledge, стр. 212–264, 4 апреля 2006 г., doi : 10.4324/9780415963572-10, ISBN978-0-415-96357-2, получено 5 июня 2021 г.
^ Кавана, Майкл Дж. (июнь 1994 г.). «Изменить, изменить, изменить». Управление группами и организациями . 19 (2): 139–140. дои : 10.1177/1059601194192001. ISSN 1059-6011. S2CID 144169263.
^ Тейлор, Дж. (2008). «Глава 10: Понимание процесса изменения проекта». Планирование проекта и контроль затрат: планирование, мониторинг и контроль базового плана . Издательство Дж. Росс. стр. 187–214. ISBN9781932159110.
^ «17. Инновации и перемены: может ли кто-нибудь это сделать?», За кулисами бюрократии , University of Hawaii Press, стр. 87–96, 31 декабря 2017 г., doi : 10.1515/9780824860936-019, ISBN978-0-8248-6093-6, получено 5 июня 2021 г.
↑ Браун, Адам (3 февраля 2015 г.). Обещание карандаша: как обычный человек может добиться невероятных перемен . Саймон и Шустер. ISBN978-1-4767-3063-9. ОСЛК 902912775.
^ «Описание изменений внутри человека с течением времени», Longitudinal Analysis , Routledge, стр. 235–306, 30 января 2015 г., doi : 10.4324/9781315744094-14, ISBN978-1-315-74409-4, получено 5 июня 2021 г.
^ Ингрэм, Кэролайн; Бан, Патрисия В. (1984). Законодательное обеспечение бюрократических изменений: Закон о реформе государственной службы 1978 года . Издательство Государственного университета Нью-Йорка. ISBN0-87395-886-1. ОСЛК 10300171.
↑ Вэй, Дж. (4 мая 2000 г.). «Предварительный запрос на изменение кольца SNS, совместимого с энергией 1,3 ГэВ». ОСТИ.ГОВ . дои : 10.2172/1157253. ОСТИ 1157253 . Проверено 18 января 2022 г.
^ Чэнь Лян (май 2011 г.). «Выделение приоритетного управления водными ресурсами сельского хозяйства на основе теории виртуальной воды». 2011 Международная конференция по управлению бизнесом и электронной информации . Том. 1. ИИЭР. стр. 644–647. дои : 10.1109/icbmei.2011.5917018. ISBN978-1-61284-108-3. S2CID 29137725.
^ «Риски изменений и лучшие практики в управлении бизнес-изменениями. Неуправляемый риск изменений приводит к проблемам в управлении изменениями», Leading and Implementing Business Change Management , Routledge, стр. 32–74, 18 июля 2013 г., doi : 10.4324/9780203073957-9 ( неактивен 31 января 2024 г.), ISBN978-0-203-07395-7{{citation}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
^ Брэгг, Стивен М. (2016). Лучшие практики бухгалтерского учета . Уайли. ISBN978-1-118-41780-5. ОКЛК 946625204.
^ «Успешные изменения требуют большего, чем просто управление изменениями» . Международный дайджест управления человеческими ресурсами . 16 (7). 17 октября 2008 г. doi :10.1108/hrmid.2008.04416gad.005. ISSN 0967-0734.
^ «Планирование водных ресурсов в условиях изменения климата», Пространственное планирование и изменение климата , Routledge, стр. 287–313, 13 сентября 2010 г., doi : 10.4324/9780203846537-20, ISBN978-0-203-84653-7, получено 5 июня 2021 г.
^ Роуэн, Джон (январь 1967 г.). «Ответ компьютера». Решение руководства . 1 (1): 51–54. дои : 10.1108/eb000776. ISSN 0025-1747.
^ Бисвас, Маргарет Р.; Бисвас, Асит К. (февраль 1981 г.). «Изменение климата и производство продуктов питания». Сельское хозяйство и окружающая среда . 5 (4): 332. дои : 10.1016/0304-1131(81)90050-3. ISSN 0304-1131.
^ Вейк, Мартин Х. (2000), «отказ», Словарь по информатике и коммуникациям , стр. 96, номер домена : 10.1007/1-4020-0613-6_1259, ISBN978-0-7923-8425-0
^ «Редакционно-консультативный и обзорный совет», Бизнес и устойчивое развитие: концепции, стратегии и изменения , Критические исследования корпоративной ответственности, управления и устойчивого развития, Emerald Group Publishing Limited, vol. 3, стр. xv–xvii, 6 декабря 2011 г., doi :10.1108/s2043-9059(2011)0000003005, ISBN978-1-78052-438-2, получено 5 июня 2021 г.
^ «Там, где когда-то был мираж, должна быть жизнь», Новые и избранные стихи , University of South Carolina Press, стр. 103, 2014, doi : 10.2307/j.ctv6sj8d1.65, ISBN978-1-61117-323-9, получено 5 июня 2021 г.
^ Белл, Марвин (1983). «Двое, когда могло быть трое». Антиохийский обзор . 41 (2): 209. дои : 10.2307/4611230. JSTOR 4611230.
^ «Мы также можем внести изменения» . Документы по правам человека в Интернете . дои : 10.1163/2210-7975_hrd-0148-2015175 . Проверено 5 июня 2021 г.
↑ Мазикана, Энтони Тапива (5 ноября 2020 г.). "«Перемены – это закон жизни». и те, кто смотрит только в прошлое или настоящее, наверняка упустят будущее - Джон Ф. Кеннеди, оценивая это заявление со ссылками на организации в Зимбабве, которые были затронуты переменами». SSRN 3725707.
^ Раманадхам, В.В. (ред.). Приватизация в Великобритании . ISBN978-0-429-19973-8. ОСЛК 1085890184.
^ «Необходимо реализовать более сложную/реалистичную реологию; необходимо провести численные тесты на сходимость» . Обсуждения разработки геонаучной модели . 22 сентября 2020 г. doi : 10.5194/gmd-2020-107-rc2 . S2CID 241597573.
^ Стоун, Эдвард. Коллекция Эдварда К. Стоуна . ОСЛК 733102101.
^ Лиенц, Б. (2002). «Разработайте план реализации улучшений». Достичь устойчивого улучшения процесса . Эльзевир. стр. 151–171. дои : 10.1016/b978-0-12-449984-3.50011-8. ISBN978-0-12-449984-3. Проверено 5 июня 2021 г.
^ Смитс, Питер (2009). Экспедиция в агропарках: пройдитесь по городским земельным участкам и прогуляйтесь по ним . sn] ISBN978-90-8585-515-6. ОСЛК 441821141.
^ «Рисунок 1.3. Около 50 процентов рекомендаций Стремления к росту были реализованы или находятся в процессе реализации» . дои : 10.1787/888933323735 . Проверено 5 июня 2021 г.
↑ Кекес, Джон (21 февраля 2019 г.), «Должно ли свершиться правосудие любой ценой?», Трудные вопросы , Oxford University Press, стр. 98–126, doi : 10.1093/oso/9780190919986.003.0005, ISBN978-0-19-091998-6, получено 5 июня 2021 г.
^ Форрестер, Келли (2014). Макроэкономические последствия изменений в составе рабочей силы . Калифорнийский университет, Санта-Барбара. ISBN978-1-321-34938-2. ОКЛК 974418780.
^ Чоудхури, Гаган Л.; Раппапорт, Стивен С. (октябрь 1981 г.). «Системы множественного доступа, назначаемые по требованию, использующие каналы запроса типа коллизии». Обзор компьютерных коммуникаций ACM SIGCOMM . 11 (4): 136–148. дои : 10.1145/1013879.802667. ISSN 0146-4833.
^ Кринсон, Марк (2013). «Некоторые старые и прекрасные вещи, значение которых абстрактно, устарели»: Джеймс Стирлинг и ностальгия». Изменение с течением времени . 3 (1): 116–135. дои : 10.1353/кот.2013.0000. ISSN 2153-0548. S2CID 144451363.
^ Ахвиди, Мансур; Пембертон, Лин (2016). «Какие изменения необходимо внести в LNHS для успешного внедрения систем электронного здравоохранения?». Материалы Международной конференции по информационным и коммуникационным технологиям для старения и электронного здравоохранения . Сайтпресс. стр. 71–79. дои : 10.5220/0005620400710079. ISBN978-989-758-180-9.
^ Мортимер, Джон (апрель 2010 г.). Рай отложен . Взрослый пингвин. ISBN978-0-14-104952-6. ОСЛК 495596392.
^ Аб Коби, Сара; Ларремор, Дэниел Б.; Град, Йонатан Х.; Липсич, Марк (2021). «Обеспокоенность по поводу эволюции SARS-CoV-2 не должна сдерживать усилия по расширению вакцинации». Обзоры природы Иммунология . 21 (5): 330–335. дои : 10.1038/s41577-021-00544-9. ПМК 8014893 . ПМИД 33795856.
^ Фрэмптон, Майкл (26 декабря 2014 г.), «Обработка данных с сокращением карты», Big Data Made Easy , Беркли, Калифорния: Apress, стр. 85–120, doi : 10.1007/978-1-4842-0094-0_4, ISBN978-1-4842-0095-7, получено 5 июня 2021 г.
^ «В целом хорошее исследование, но некоторые процедуры требуют исправления» (PDF) . Дискуссии по гидрологии и наукам о системе Земли . 23 февраля 2016 г. doi : 10.5194/hess-2015-520-rc2 . Проверено 18 января 2022 г.
^ Харрисон, Кент; Крафт, Уолтер М.; Хиллер, Джек; Маккласки, Майкл Р.; BDM Federal Inc., Сисайд, Калифорния (июль 1996 г.). «Проект координации коллегиальной проверки. Анализ задач для планирования разведывательной деятельности (критическая боевая функция 1): выполнение оперативной группы батальона». ДТИК ADA313949.
^ «Резюме книги The Visible Ops Handbook: Внедрение ITIL за 4 практических и проверяемых шага» . wikisummaries.org . Проверено 22 июня 2016 г.
^ Бигелоу, Мишель (23 сентября 2020 г.), «Контроль изменений и управление изменениями», Внедрение информационной безопасности в здравоохранении , HIMSS Publishing, стр. 203–214, doi : 10.4324/9781003126294-17, ISBN978-1-003-12629-4, S2CID 224866307 , получено 5 июня 2021 г.
^ Управление непрерывностью бизнеса. Руководство по восстановлению организации после разрушительных инцидентов, Британские стандарты BSI, номер номера : 10.3403/30194308 , получено 5 июня 2021 г.
^ Хоан, Чу Тай (1996). Разработка компьютеризированной системы комплексного планирования землепользования (cailup) на региональном уровне на орошаемых территориях: тематическое исследование для региона Куан Ло Фунг Хиеп в дельте Меконга, Вьетнам . ИТЦ. ISBN90-6164-120-9. ОКЛК 906763535.
^ 1 Хибберд, Гэри (11 сентября 2015 г.), «Разработка стратегии BCM в соответствии с бизнес-стратегией», Полное руководство по управлению непрерывностью бизнеса , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 23– 30, дои : 10.1002/9781119205883.ch2, ISBN 978-1-119-20588-3, получено 5 июня 2021 г.
^ Хочкисс, Стюарт (2010). Управление непрерывностью бизнеса: на практике . BCS Learning & Development Limited. ISBN978-1-906124-72-4.[ нужна страница ]
^ «Идентификация потенциальных причин сбоев», Анализ системных сбоев , ASM International, стр. 25–33, 2009 г., doi : 10.31399/asm.tb.sfa.t52780025, ISBN978-1-62708-268-6, получено 5 июня 2021 г.
^ Клеменс, Джеффри. Риски для отдачи от медицинских инноваций: случай бесчисленного множества генетик . ОКЛК 919958196.
^ Гоатчер, Женевьева (2013), «Максимально допустимое отключение», Энциклопедия антикризисного управления , Таузенд-Оукс, Калифорния: SAGE Publications, Inc., doi : 10.4135/9781452275956.n204, ISBN978-1-4522-2612-5, получено 5 июня 2021 г.
^ «Компромиссы при проектировании сегментов», Архитектура программного радио , Нью-Йорк, США: John Wiley & Sons, Inc., стр. 236–243, 17 января 2002 г., doi : 10.1002/047121664x.ch6, ISBN978-0-471-21664-3, получено 5 июня 2021 г.
^ Бланделл, С. (1998). «IN-EMERGENCY - комплексное управление инцидентами, неотложная медицинская помощь и экологический мониторинг в дорожных сетях». Семинар IEE по использованию ИТС в общественном транспорте и службах экстренной помощи . Том. 1998. ИЭЭ. п. 9. дои : 10.1049/ic: 19981090.
^ Кинг, Джонатан Р. (январь 1993 г.). «Планы действий в чрезвычайных ситуациях и восстановление бизнеса». Управление информационными системами . 10 (4): 56–59. дои : 10.1080/10580539308906959. ISSN 1058-0530.
^ Филлипс, Бренда Д.; Ландал, Марк (2021 г.), «Укрепление и тестирование вашего плана обеспечения непрерывности бизнеса», Business Continuity Planning , Elsevier, стр. 131–153, doi : 10.1016/b978-0-12-813844-1.00001-4, ISBN978-0-12-813844-1, S2CID 230582246 , получено 5 июня 2021 г.
^ Шнурр, Стефани (2009), «Другая» сторона дискурса лидерства: юмор и эффективность деятельности лидерства в отношениях», Дискурс лидерства на работе , Лондон: Palgrave Macmillan UK, стр. 42–60, doi : 10.1057/9780230594692_3 , ISBN978-1-349-30001-3, получено 5 июня 2021 г.
^ Указанные реле времени для промышленного использования, Британские стандарты BSI, doi : 10.3403/02011580u , получено 5 июня 2021 г.
^ «Образец общего плана и процедуры: План аварийного восстановления (DRP) для операций/центра обработки данных» . Насилие на рабочем месте . Эльзевир. 2010. стр. 253–270. дои : 10.1016/b978-1-85617-698-9.00025-4. ISBN978-1-85617-698-9. Проверено 5 июня 2021 г.
^ «План аварийного восстановления информационных технологий» . Планирование стихийных бедствий для библиотек . Информационная профессиональная серия Chandos. Эльзевир. 2015. стр. 187–197. дои : 10.1016/b978-1-84334-730-9.00019-3. ISBN978-1-84334-730-9. Проверено 5 июня 2021 г.
^ «План аварийного восстановления». Институт Санса . Проверено 7 февраля 2012 г.
^ ab ОЭСР (2016). «Рисунок 1.10. Регулирование в непроизводственном секторе оказывает существенное влияние на производственный сектор». Реформы экономической политики 2016: Промежуточный отчет на пути к росту . Реформы экономической политики. Париж: Издательство ОЭСР. doi :10.1787/growth-2016-en. ISBN9789264250079. Проверено 5 июня 2021 г.
^ Ахупуаа [электронный ресурс]: Всемирный конгресс по окружающей среде и водным ресурсам 2008 г., 12–16 мая 2008 г., Гонолулу, Гавайи . Американское общество инженеров-строителей. 2008. ISBN978-0-7844-0976-3. ОСЛК 233033926.
^ Великобритания. Парламент. Палата общин (2007 г.). Защита данных [HL] Законопроект [с поправками, внесенными постоянным комитетом d] включил в себя закон, содержащий новые положения о регулировании обработки информации, касающейся физических лиц, включая получение, хранение, использование или раскрытие такой информации . ООО Проквест. ОКЛК 877574826.
^ «Защита данных, доступ к личной информации и защита конфиденциальности», Правительство и права на информацию: Закон о доступе, раскрытии информации и их регулировании , Bloomsbury Professional, 2019, doi : 10.5040/9781784518998.chapter-002, ISBN978-1-78451-896-7, S2CID 239376648 , получено 5 июня 2021 г.
↑ Лехтонен, Лассе А. (5 июля 2017 г.). «Генетическая информация и Директива Европейского Союза о защите данных». Директива о защите данных и медицинские исследования по всей Европе . Рутледж. стр. 103–112. дои : 10.4324/9781315240350-8. ISBN978-1-315-24035-0. Проверено 5 июня 2021 г.
^ «Закон о защите данных 1998 г.» . законодательство.gov.uk . Национальный архив . Проверено 25 января 2018 г.
^ «Закон о неправомерном использовании компьютеров 1990 года». Уголовно-правовые акты 2011-2012 гг . Рутледж. 17 июня 2013. С. 114–118. дои : 10.4324/9780203722763-42. ISBN978-0-203-72276-3. Проверено 5 июня 2021 г.
^ Дхармапала, Дхаммика; Хайнс, Джеймс (декабрь 2006 г.). «Какие страны становятся налоговыми гаванями?». Серия рабочих документов. Кембридж, Массачусетс. дои : 10.3386/w12802.
^ «Рисунок 1.14. Уровень участия вырос, но рост рабочей силы замедлился в нескольких странах» . дои : 10.1787/888933367391 . Проверено 5 июня 2021 г.
^ «Закон о неправомерном использовании компьютеров 1990 года». законодательство.gov.uk . Национальный архив . Проверено 25 января 2018 г.
^ «Директива 2006/24/EC Европейского парламента и Совета от 15 марта 2006 г.». ЭУР-Лекс . Евросоюз. 15 марта 2006 года . Проверено 25 января 2018 г.
^ «Клевета, студенческие записи и Федеральный закон о правах семьи на образование и конфиденциальности» . Закон о высшем образовании . Рутледж. 14 декабря 2010 г. стр. 361–394. дои : 10.4324/9780203846940-22. ISBN978-0-203-84694-0. Проверено 5 июня 2021 г.
^ ab «Школы Алабамы получают грант NCLB для улучшения успеваемости учащихся» . Набор данных PsycEXTRA . 2004. doi : 10.1037/e486682006-001 . Проверено 5 июня 2021 г.
^ Тернер-Готчанг, Карен (1987). В Китай: путеводитель по академической жизни и работе в КНР: для Комитета по научным связям с Китайской Народной Республикой, Национальной академии наук, Американского совета научных обществ, Совета социальных наук . Национальная Академия Пресс. ISBN0-309-56739-4. ОСЛК 326709779.
^ Кодифицировано в 20 USC § 1232g, с правилами реализации в разделе 34 части 99 Кодекса федеральных правил.
^ «Аудиторский буклет». Справочник по экзамену по информационным технологиям . ФФИЭК . Проверено 25 января 2018 г.
^ Рэй, Эми В. (2004). «Закон о переносимости и подотчетности медицинского страхования (HIPAA)». Энциклопедия управления здравоохранением . Таузенд-Оукс, Калифорния: SAGE Publications, Inc. doi : 10.4135/9781412950602.n369. ISBN978-0-7619-2674-0. Проверено 5 июня 2021 г.
^ «Государственный закон 104–191 - Закон о переносимости и подотчетности медицинского страхования 1996 года» . Издательство правительства США . Проверено 25 января 2018 г.
^ «Публичный закон 106–102 - Закон Грэма-Лича-Блайли 1999 года» (PDF) . Издательство правительства США . Проверено 25 января 2018 г.
^ Аласе, Абайоми Олуватосин (2016). Влияние Закона Сарбейнса-Оксли (SOX) на малые публичные компании и их сообщества (Диссертация). Библиотека Северо-Восточного университета. дои : 10.17760/d20204801.
^ Солис, Лупита (2019). Образовательные и профессиональные тенденции финансовых директоров (Диссертация). Библиотека Портлендского государственного университета. дои : 10.15760/honors.763.
^ «Публичный закон 107–204 - Закон Сарбейнса-Оксли 2002 года» . Издательство правительства США . Проверено 25 января 2018 г.
^ «Глоссарий, сокращения и акронимы PCI Dss», Справочник по стандартам безопасности данных индустрии платежных карт , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 185–199, 18 сентября 2015 г., doi : 10.1002/9781119197218 .глянец, ISBN978-1-119-19721-8, получено 5 июня 2021 г.
^ «Разбивка PCI (цели контроля и связанные стандарты)», Справочник по стандартам безопасности данных индустрии платежных карт , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 61, 18 сентября 2015 г., номер документа : 10.1002/9781119197218.part2, ISBN978-1-119-19721-8, получено 5 июня 2021 г.
^ Раваллион, Мартин; Чен, Шаохуа (август 2017 г.). «Глобальные показатели бедности, соответствующие уровню благосостояния». Серия рабочих документов. дои : 10.3386/w23739 . Проверено 18 января 2022 г.
^ «Стандарт безопасности данных индустрии платежных карт (PCI): требования и процедуры оценки безопасности - версия 3.2» (PDF) . Совет по стандартам безопасности. Апрель 2016 года . Проверено 25 января 2018 г.
^ «Законы об уведомлениях о нарушениях безопасности» . Национальная конференция законодательных собраний штатов. 12 апреля 2017 года . Проверено 25 января 2018 г.
^ Штейн, Стюарт Г.; Шаберг, Ричард А.; Биддл, Лаура Р., ред. (23 июня 2015 г.). Сборник ответов финансовых учреждений, 2015: право, управление, соблюдение требований . Практикующий юридический институт. ISBN978-1-4024-2405-2. ОКЛК 911952833.
^ «Личная информация и защита данных», Защита личной информации , Hart Publishing, 2019, doi : 10.5040/9781509924882.ch-002, ISBN978-1-5099-2485-1, S2CID 239275871 , получено 5 июня 2021 г.
^ Глава 5. Закон о поддержке и продвижении электронной коммерции путем защиты личной информации, которая собирается, используется или раскрывается при определенных обстоятельствах, путем обеспечения использования электронных средств для передачи или записи информации или транзакций, а также путем внесения поправок в Закон Канады о доказательствах, Закон о нормативных актах и Закон о пересмотре статута . Королевский принтер для Канады. 2000. OCLC 61417862.
^ «Закон о защите личной информации и электронных документах» (PDF) . Министр юстиции Канады . Проверено 25 января 2018 г.
↑ Вернер, Мартин (11 мая 2011 г.). «Связь с защитой конфиденциальности для услуг, основанных на определении местоположения». Сети безопасности и связи . 9 (2): 130–138. дои : 10.1002/сек.330. ISSN 1939-0114.
^ «Положение об обеспечении конфиденциальности в электронных коммуникациях» (PDF) . Правительственный вестник Греческой Республики . Греческое управление по безопасности и конфиденциальности связи. 17 ноября 2011 года . Проверено 25 января 2018 г.
^ де Гиз, Престон (29 апреля 2020 г.), «Безопасность, конфиденциальность, этические и юридические соображения», Data Protection , Auerbach Publications, стр. 91–108, doi : 10.1201/9780367463496-9, ISBN978-0-367-46349-6, S2CID 219013948 , получено 5 июня 2021 г.
^ "Αριθμ. απόφ. 205/2013" (PDF) . Правительственный вестник Греческой Республики . Греческое управление по безопасности и конфиденциальности связи. 15 июля 2013 года . Проверено 25 января 2018 г.
^ Андерссон и Реймерс, 2019, ПОЛИТИКА КИБЕРБЕЗОПАСНОСТИ ЗАНЯТОСТИ И СПРОС НА РАБОЧИЕ МЕСТА В ПРАВИТЕЛЬСТВЕ США, Материалы EDULEARN19, год публикации: 2019 Страницы: 7858-7866 https://library.iated.org/view/ANDERSON2019CYB
^ «Определение культуры безопасности». Структура культуры безопасности . 9 апреля 2014 г.
^ Роер, Кай; Петрич, Грегор (2017). Отчет о культуре безопасности за 2017 год. Подробный анализ человеческого фактора . CLTRe North America, Inc., стр. 42–43. ISBN978-1544933948.
^ Ахтар, Салман, изд. (21 марта 2018 г.). Приятные ощущения. Рутледж. дои : 10.4324/9780429475313. ISBN9780429475313.
^ Андерсон Д., Реймерс К. и Барретто К. (март 2014 г.). Безопасность сети послесреднего образования: результаты решения проблем конечных пользователей. дата публикации 11 марта 2014 г., описание публикации INTED2014 (Международная конференция по технологиям, образованию и развитию)
^ аб Шлиенгер, Томас; Тойфель, Стефани (декабрь 2003 г.). «Культура информационной безопасности – от анализа к изменению». Южноафриканское компьютерное общество (SAICSIT) . 2003 (31): 46–52. hdl : 10520/EJC27949.
^ «Система навыков IISP» . Архивировано из оригинала 15 марта 2014 года . Проверено 27 апреля 2014 г.
^ «Стандарты BSI». БСИ. Архивировано из оригинала 3 декабря 2013 года . Проверено 29 ноября 2013 г.
дальнейшее чтение
Андерсон, К., «Профессионалы в области ИТ-безопасности должны развиваться в соответствии с меняющимся рынком», журнал SC Magazine , 12 октября 2006 г.
Асейтуно, В., «О парадигмах информационной безопасности», журнал ISSA , сентябрь 2005 г.
Ламбо Т., «ISO/IEC 27001: Будущее сертификации информационной безопасности», журнал ISSA , ноябрь 2006 г.
Дастин Д., «Осведомленность о том, как используются ваши данные и что с этим делать», «Блог CDR», май 2017 г.
Диллон, Г., «Интеллектуальное ядро безопасности информационных систем», Journal of Information Systems Security , Vol. 19, № 2.
Библиография
Аллен, Джулия Х. (2001). Руководство CERT по практикам системной и сетевой безопасности. Бостон, Массачусетс: Аддисон-Уэсли. ISBN 978-0-201-73723-3.
Круц, Рональд Л.; Рассел Дин Вайнс (2003). Руководство по подготовке к CISSP (золотое издание). Индианаполис, Индиана: Уайли. ISBN 978-0-471-26802-4.
Лейтон, Тимоти П. (2007). Информационная безопасность: проектирование, внедрение, измерение и соответствие требованиям . Бока-Ратон, Флорида: публикации Ауэрбаха. ISBN 978-0-8493-7087-8.
Макнаб, Крис (2004). Оценка сетевой безопасности . Севастополь, Калифорния: О'Рейли. ISBN 978-0-596-00611-2.
Пельтье, Томас Р. (2001). Анализ рисков информационной безопасности . Бока-Ратон, Флорида: публикации Ауэрбаха. ISBN 978-0-8493-0880-2.
Пельтье, Томас Р. (2002). Политики, процедуры и стандарты информационной безопасности: рекомендации по эффективному управлению информационной безопасностью . Бока-Ратон, Флорида: публикации Ауэрбаха. ISBN 978-0-8493-1137-6.
Уайт, Грегори (2003). Универсальное руководство по сдаче сертификационного экзамена Security+ . Эмеривилл, Калифорния: МакГроу-Хилл/Осборн. ISBN 978-0-07-222633-1.
Диллон, Гурприт (2007). Принципы безопасности информационных систем: текст и кейсы . Нью-Йорк: Джон Уайли и сыновья. ISBN 978-0-471-45056-6.
Уитмен, Майкл; Матторд, Герберт (2017). Принципы информационной безопасности . Сенгаге . ISBN 978-1337102063.
Внешние ссылки
Викискладе есть медиафайлы, связанные с информационной безопасностью .
Схема политики DoD IA. Архивировано 6 сентября 2011 г. в Wayback Machine на веб-сайте Аналитического центра технологий обеспечения информации Министерства обороны США.
Объяснение шаблонов и практик техники безопасности
Открытая архитектура безопасности. Средства управления и шаблоны для защиты ИТ-систем.
IWS - Глава информационной безопасности, заархивировано 8 ноября 2019 г. на Wayback Machine.