Информационная безопасность — это практика защиты информации путем снижения информационных рисков. Это часть управления информационными рисками . [1] Обычно она включает в себя предотвращение или снижение вероятности несанкционированного или ненадлежащего доступа к данным или незаконного использования, раскрытия , нарушения, удаления, порчи, изменения, проверки, записи или обесценивания информации. Она также включает в себя действия, направленные на снижение неблагоприятных последствий таких инцидентов. Защищенная информация может иметь любую форму, например, электронную или физическую, осязаемую (например, документы ) или нематериальную (например, знания ). [2] [3] Основное внимание информационной безопасности уделяется сбалансированной защите конфиденциальности данных , целостности и доступности (также известной как триада «ЦРУ»), при сохранении фокуса на эффективной реализации политики , и все это без ущерба для производительности организации . [4] Это в значительной степени достигается за счет структурированного процесса управления рисками . [5]
Ниже предлагаются различные определения информационной безопасности, обобщенные из разных источников:
«Сохранение конфиденциальности, целостности и доступности информации. Примечание: кроме того, могут быть задействованы и другие свойства, такие как подлинность, подотчетность, невозможность отказа и надежность» (ISO/IEC 27000:2018) [9]
«Защита информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения в целях обеспечения конфиденциальности, целостности и доступности» (CNSS, 2010) [10]
«Гарантирует, что только авторизованные пользователи (конфиденциальность) имеют доступ к точной и полной информации (целостность), когда это необходимо (доступность)». ( ISACA , 2008) [11] [ нерабочая ссылка ]
«Информационная безопасность — это процесс защиты интеллектуальной собственности организации» (Пипкин, 2000) [12]
«...информационная безопасность — это дисциплина управления рисками, задача которой — управлять стоимостью информационных рисков для бизнеса» (Макдермотт и Гир, 2001) [13]
«Хорошо информированное чувство уверенности в том, что информационные риски и средства контроля находятся в равновесии». (Андерсон, Дж., 2003) [14]
«Информационная безопасность — это защита информации и минимизация риска раскрытия информации неавторизованным лицам» (Вентер и Элофф, 2003) [15]
«Информационная безопасность — это многопрофильная область изучения и профессиональной деятельности, которая занимается разработкой и внедрением механизмов безопасности всех имеющихся типов (технических, организационных, ориентированных на человека и правовых) с целью сохранения информации во всех ее местах (внутри и вне периметра организации) и, следовательно, информационных систем, в которых информация создается, обрабатывается, хранится, передается и уничтожается, свободными от угроз. [16]
Безопасность информации и информационных ресурсов с использованием телекоммуникационных систем или устройств означает защиту информации, информационных систем или книг от несанкционированного доступа, повреждения, кражи или уничтожения (Kurose and Ross, 2010). [17]
Обзор
В основе информационной безопасности лежит обеспечение информации, акт поддержания конфиденциальности, целостности и доступности (CIA) информации, гарантирующий, что информация не будет скомпрометирована каким-либо образом при возникновении критических проблем. [18] Эти проблемы включают, помимо прочего, стихийные бедствия, сбои в работе компьютеров/серверов и физическую кражу. В то время как бумажные деловые операции по-прежнему распространены, требуя собственного набора методов информационной безопасности, все больше внимания уделяется корпоративным цифровым инициативам, [19] [20] причем обеспечением информации теперь обычно занимаются специалисты по безопасности информационных технологий (ИТ). Эти специалисты применяют информационную безопасность к технологиям (чаще всего к какой-либо форме компьютерной системы). Стоит отметить, что компьютер не обязательно означает домашний настольный компьютер. [21] Компьютер — это любое устройство с процессором и некоторой памятью. Такие устройства могут варьироваться от несетевых автономных устройств, таких как калькуляторы, до сетевых мобильных вычислительных устройств, таких как смартфоны и планшетные компьютеры. [22] Специалисты по ИТ-безопасности почти всегда есть на любом крупном предприятии/в учреждении из-за характера и ценности данных в крупных компаниях. [23] Они отвечают за обеспечение безопасности всех технологий внутри компании от вредоносных кибератак, которые часто пытаются получить доступ к важной частной информации или получить контроль над внутренними системами. [24] [25]
Угрозы информационной безопасности существуют во многих различных формах. [28] Некоторые из наиболее распространенных угроз сегодня — это программные атаки, кража интеллектуальной собственности, кража личности, кража оборудования или информации, саботаж и вымогательство информации. [29] [30] Вирусы , [31] черви , фишинговые атаки и троянские кони — вот несколько распространенных примеров программных атак. Кража интеллектуальной собственности также является обширной проблемой для многих предприятий. [32] Кража личности — это попытка действовать от имени другого человека, как правило, для получения личной информации этого человека или использования его доступа к важной информации с помощью социальной инженерии . [33] [34] Кража оборудования или информации становится все более распространенной сегодня из-за того, что большинство устройств сегодня являются мобильными, [35] подвержены краже и также стали гораздо более желанными по мере увеличения объема данных. Саботаж обычно заключается в уничтожении веб-сайта организации в попытке вызвать потерю доверия со стороны ее клиентов. [36] Информационное вымогательство заключается в краже собственности или информации компании в попытке получить платеж в обмен на возврат информации или собственности ее владельцу, как в случае с программами-вымогателями . [37] Одной из наиболее эффективных мер предосторожности против таких атак является проведение периодической информаций пользователей. [38]
Правительства , военные , корпорации , финансовые учреждения , больницы , некоммерческие организации и частные предприятия накапливают большой объем конфиденциальной информации о своих сотрудниках, клиентах, продуктах, исследованиях и финансовом положении. [39] Если конфиденциальная информация о клиентах или финансах компании или новой линейке продуктов попадет в руки конкурента или черного хакера , компания и ее клиенты могут понести масштабные, непоправимые финансовые потери, а также ущерб репутации компании. [40] С точки зрения бизнеса, информационная безопасность должна быть сбалансирована с затратами; модель Гордона-Лёба обеспечивает математический экономический подход для решения этой проблемы. [41]
Для отдельного человека информационная безопасность имеет существенное влияние на конфиденциальность , которая рассматривается по-разному в разных культурах . [42]
История
С первых дней общения дипломаты и военачальники понимали, что необходимо предусмотреть какой-то механизм для защиты конфиденциальности переписки и иметь какие-то средства обнаружения подделки . [43] Юлию Цезарю приписывают изобретение шифра Цезаря около 50 г. до н. э., который был создан для того, чтобы предотвратить прочтение его секретных сообщений, если сообщение попадет в чужие руки. [44] Однако по большей части защита достигалась за счет применения процедурного контроля обработки. [45] [46] Конфиденциальная информация была помечена, чтобы указать, что ее следует защищать и перевозить доверенными лицами, охранять и хранить в безопасной среде или сейфе. [47] По мере расширения почтовых служб правительства создавали официальные организации для перехвата, расшифровки, чтения и повторного запечатывания писем (например, Секретное бюро Великобритании, основанное в 1653 г. [48] ).
В середине девятнадцатого века были разработаны более сложные системы классификации , позволяющие правительствам управлять своей информацией в соответствии со степенью чувствительности. [49] Например, британское правительство в некоторой степени кодифицировало это с публикацией Закона о государственной тайне в 1889 году . [50] Раздел 1 закона касался шпионажа и незаконного раскрытия информации, в то время как Раздел 2 касался нарушений официального доверия. [51] Вскоре была добавлена защита общественных интересов для защиты раскрытия информации в интересах государства. [52] Похожий закон был принят в Индии в 1889 году, Закон об индийской государственной тайне, который был связан с британской колониальной эпохой и использовался для подавления газет, выступавших против политики Раджа. [53] Новая версия была принята в 1923 году и распространялась на все вопросы конфиденциальной или секретной информации для управления. [54] К началу Первой мировой войны для передачи информации на различные фронты и с них использовались многоуровневые системы классификации, что способствовало более активному использованию отделов по созданию и взлому кодов в дипломатических и военных штабах. [55] Кодирование стало более сложным между войнами, поскольку машины стали использоваться для шифрования и расшифровки информации. [56]
Создание компьютерной безопасности положило начало истории информационной безопасности. Потребность в ней возникла во время Второй мировой войны . [57] Объем информации, которой обменивались страны-союзники во время Второй мировой войны, потребовал формального согласования систем классификации и процедурного контроля. [58] Развился целый ряд таинственных обозначений, указывающих, кто может работать с документами (обычно офицеры, а не рядовые войска) и где они должны храниться, поскольку разрабатывались все более сложные сейфы и хранилища. [59] Машина «Энигма» , которая использовалась немцами для шифрования данных о войне и была успешно расшифрована Аланом Тьюрингом , может рассматриваться как яркий пример создания и использования защищенной информации. [60] Развивались процедуры, обеспечивающие надлежащее уничтожение документов, и именно несоблюдение этих процедур привело к некоторым из величайших разведывательных переворотов войны (например, захват U-570 [60] ).
В 1973 году пионер Интернета Роберт Меткалф обнаружил, что важные элементы безопасности ARPANET имеют множество недостатков, таких как: «уязвимость структуры и форматов паролей; отсутствие процедур безопасности для коммутируемых соединений ; и несуществующая идентификация и авторизация пользователей», помимо отсутствия контроля и мер безопасности для защиты данных от несанкционированного доступа. Хакеры имели легкий доступ к ARPANET, поскольку телефонные номера были известны общественности. [62] Из-за этих проблем, в сочетании с постоянным нарушением компьютерной безопасности, а также экспоненциальным ростом числа хостов и пользователей системы, «сетевая безопасность» часто упоминалась как «сетевая небезопасность». [62]
Конец двадцатого века и первые годы двадцать первого века стали свидетелями быстрого прогресса в области телекоммуникаций , вычислительного оборудования и программного обеспечения , а также шифрования данных . [63] Доступность меньшего, более мощного и менее дорогого вычислительного оборудования сделала электронную обработку данных доступной для малого бизнеса и домашних пользователей. [64] Создание протокола управления передачей/межсетевого протокола (TCP/IP) в начале 1980-х годов позволило различным типам компьютеров общаться. [65] Эти компьютеры быстро стали связаны между собой через Интернет . [66]
Быстрый рост и широкое распространение электронной обработки данных и электронного бизнеса , осуществляемого через Интернет, наряду с многочисленными случаями международного терроризма , подпитывали потребность в более совершенных методах защиты компьютеров и информации, которую они хранят, обрабатывают и передают. [67] Академические дисциплины компьютерной безопасности и обеспечения безопасности информации возникли вместе с многочисленными профессиональными организациями, все из которых разделяют общие цели обеспечения безопасности и надежности информационных систем . [68]
Основные принципы
Триада ЦРУ
«Триада ЦРУ» — конфиденциальность , целостность и доступность — лежит в основе информационной безопасности [69] и впервые была упомянута в публикации NIST в 1977 году. (В литературе члены классической «триады ЦРУ» попеременно называются атрибутами безопасности, свойствами, целями безопасности, фундаментальными аспектами, информационными критериями или критическими характеристиками информации.) [70]
Продолжаются дебаты о том, достаточна ли эта триада для решения быстро меняющихся технологических и бизнес-требований, с рекомендациями рассмотреть возможность расширения пересечений между доступностью и конфиденциальностью, а также взаимосвязей между безопасностью и приватностью. [18] Иногда предлагались и другие принципы, такие как «подотчетность»; было отмечено, что такие вопросы, как неотказуемость, не вписываются в три основные концепции. [71]
Конфиденциальность
В информационной безопасности конфиденциальность «является свойством, что информация не предоставляется или не раскрывается неавторизованным лицам, организациям или процессам». [72] Хотя это похоже на «конфиденциальность», эти два слова не являются взаимозаменяемыми. Скорее, конфиденциальность является компонентом конфиденциальности, который реализуется для защиты наших данных от неавторизованных просмотров. [73] Примерами компрометации конфиденциальности электронных данных являются кража ноутбука, кража пароля или отправка конфиденциальных электронных писем не тем лицам. [74]
Честность
В ИТ-безопасности целостность данных означает поддержание и обеспечение точности и полноты данных на протяжении всего их жизненного цикла. [75] Это означает, что данные не могут быть изменены несанкционированным или незамеченным образом. [76] Это не то же самое, что ссылочная целостность в базах данных , хотя ее можно рассматривать как особый случай согласованности, как она понимается в классической модели ACID обработки транзакций . [77] Системы информационной безопасности обычно включают элементы управления для обеспечения собственной целостности, в частности, защиты ядра или основных функций от преднамеренных и случайных угроз. [78] Многоцелевые и многопользовательские компьютерные системы стремятся разделить данные и обработку таким образом, чтобы ни один пользователь или процесс не мог оказать неблагоприятное воздействие на другой: однако элементы управления могут не сработать, как мы видим в таких инцидентах, как заражение вредоносным ПО, взломы, кража данных, мошенничество и нарушения конфиденциальности. [79]
В более широком смысле, целостность — это принцип информационной безопасности, который включает в себя человеческую/социальную, процессную и коммерческую целостность, а также целостность данных. Как таковая, она затрагивает такие аспекты, как достоверность, последовательность, правдивость, полнота, точность, своевременность и уверенность. [80]
Доступность
Чтобы любая информационная система служила своему назначению, информация должна быть доступна , когда она нужна. [81] Это означает, что вычислительные системы, используемые для хранения и обработки информации, средства управления безопасностью, используемые для ее защиты, и каналы связи, используемые для доступа к ней, должны функционировать правильно. [82] Системы высокой доступности стремятся оставаться доступными в любое время, предотвращая сбои в обслуживании из-за отключений электроэнергии, сбоев оборудования и обновлений системы. [83] Обеспечение доступности также включает в себя предотвращение атак типа «отказ в обслуживании» , таких как поток входящих сообщений в целевую систему, по сути вынуждающий ее отключиться. [84]
В сфере информационной безопасности доступность часто можно рассматривать как одну из важнейших частей успешной программы информационной безопасности. [ необходима цитата ] В конечном итоге конечные пользователи должны иметь возможность выполнять рабочие функции; обеспечивая доступность, организация может выполнять стандарты, которых ожидают заинтересованные стороны организации. [85] Это может включать такие темы, как конфигурации прокси-серверов, внешний веб-доступ, возможность доступа к общим дискам и возможность отправлять электронные письма. [86] Руководители часто не понимают техническую сторону информационной безопасности и смотрят на доступность как на легкое решение, но это часто требует сотрудничества многих различных организационных групп, таких как сетевые операции, операции по разработке, реагирование на инциденты и управление политикой/изменениями. [87] Успешная команда по информационной безопасности включает в себя множество различных ключевых ролей, которые необходимо связать и согласовать для эффективного предоставления триады «ЦРУ». [88]
Дополнительные цели безопасности
В дополнение к классической триаде целей безопасности ЦРУ некоторые организации могут захотеть включить такие цели безопасности, как подлинность, подотчетность, невозможность отказа от авторства и надежность.
Неотказуемость
В законе неотказ от договора подразумевает намерение исполнить свои обязательства по договору. Это также подразумевает, что одна сторона сделки не может отрицать получение сделки, а другая сторона не может отрицать отправку сделки. [89]
Важно отметить, что хотя такие технологии, как криптографические системы, могут помочь в усилиях по неотказуемости, эта концепция по своей сути является юридической концепцией, выходящей за рамки технологий. [90] Например, недостаточно показать, что сообщение соответствует цифровой подписи, подписанной закрытым ключом отправителя, и, таким образом, только отправитель мог отправить сообщение, и никто другой не мог изменить его при передаче ( целостность данных ). [91] Предполагаемый отправитель может в ответ продемонстрировать, что алгоритм цифровой подписи уязвим или имеет недостатки, или утверждать или доказать, что его ключ подписи был скомпрометирован. [92] Вина за эти нарушения может лежать или не лежать на отправителе, и такие утверждения могут или не могут освободить отправителя от ответственности, но утверждение сделает недействительным утверждение о том, что подпись обязательно доказывает подлинность и целостность. Таким образом, отправитель может отказаться от сообщения (потому что подлинность и целостность являются предпосылками для неотказуемости). [93]
Другие модели
В 1992 году и пересмотренных в 2002 году Руководящих принципах ОЭСР по безопасности информационных систем и сетей [94] были предложены девять общепринятых принципов: осведомленность , ответственность, реагирование, этика, демократия, оценка риска, проектирование и реализация безопасности, управление безопасностью и переоценка. [95] Основываясь на них, в 2004 году в Инженерных принципах безопасности информационных технологий NIST [71] было предложено 33 принципа.
В 2011 году The Open Group опубликовала стандарт управления информационной безопасностью O-ISM3 . [97] В этом стандарте предлагалось рабочее определение ключевых концепций безопасности с элементами, называемыми «целями безопасности», связанными с контролем доступа (9), доступностью (3), качеством данных (1), соответствием и техническими требованиями (4).
Управление рисками
Риск — это вероятность того, что произойдет что-то плохое, что нанесет вред информационному активу (или потерю актива). [98] Уязвимость — это слабость, которая может быть использована для создания опасности или причинения вреда информационному активу. Угроза — это что-либо (рукотворное или стихийное ), что может потенциально причинить вред. [99] Вероятность того, что угроза будет использовать уязвимость для причинения вреда, создает риск. Когда угроза действительно использует уязвимость для причинения вреда, она оказывает влияние. [100] В контексте информационной безопасности влияние представляет собой потерю доступности, целостности и конфиденциальности, а также, возможно, другие потери (потерянный доход, потеря жизни, потеря недвижимости). [101]
В руководстве по обзору сертифицированного аудитора информационных систем (CISA) 2006 года управление рисками определяется как «процесс выявления уязвимостей и угроз информационным ресурсам, используемым организацией для достижения бизнес-целей, и принятия решения о том, какие контрмеры , [102] если таковые имеются, следует предпринять для снижения риска до приемлемого уровня, исходя из ценности информационного ресурса для организации». [103]
В этом определении есть два момента, которые, возможно, требуют некоторого разъяснения. Во-первых, процесс управления рисками является непрерывным, итеративным процессом . Он должен повторяться бесконечно. Бизнес-среда постоянно меняется, и новые угрозы и уязвимости возникают каждый день. [104] Во-вторых, выбор контрмер ( контролей ), используемых для управления рисками, должен обеспечивать баланс между производительностью, стоимостью, эффективностью контрмеры и ценностью защищаемого информационного актива. [105] Кроме того, эти процессы имеют ограничения, поскольку нарушения безопасности, как правило, редки и возникают в определенном контексте, который не может быть легко воспроизведен. [106] Таким образом, любой процесс и контрмера должны сами по себе оцениваться на предмет уязвимостей. [107] Невозможно выявить все риски, и невозможно устранить все риски. Оставшийся риск называется «остаточным риском». [108]
Оценка риска проводится группой людей, обладающих знаниями в конкретных областях бизнеса. [109] Состав группы может меняться с течением времени, поскольку оцениваются различные части бизнеса. [110] Оценка может использовать субъективный качественный анализ, основанный на информированном мнении, или, если доступны надежные цифры в долларах и историческая информация, анализ может использовать количественный анализ.
Исследования показали, что наиболее уязвимым местом в большинстве информационных систем является человек-пользователь, оператор, проектировщик или другой человек. [111] Кодекс практики управления информационной безопасностью ISO /IEC 27002:2005 рекомендует во время оценки риска проверять следующее:
В широком смысле процесс управления рисками состоит из: [112] [113]
Идентификация активов и оценка их стоимости. Включает: людей, здания, оборудование, программное обеспечение, данные (электронные, печатные, другие), расходные материалы. [114]
Проведите оценку угроз . Включая: стихийные бедствия, военные действия, несчастные случаи, злонамеренные действия, исходящие изнутри или извне организации. [115]
Проведите оценку уязвимости и для каждой уязвимости рассчитайте вероятность того, что она будет использована. Оцените политики, процедуры, стандарты, обучение, физическую безопасность , контроль качества , техническую безопасность. [116]
Рассчитайте влияние каждой угрозы на каждый актив. Используйте качественный или количественный анализ. [117]
Определите, выберите и внедрите соответствующие элементы управления. Обеспечьте пропорциональный ответ. Рассмотрите производительность, экономическую эффективность и ценность актива. [118]
Оценить эффективность мер контроля. Убедиться, что средства контроля обеспечивают необходимую экономически эффективную защиту без заметной потери производительности. [119]
Для любого данного риска руководство может принять решение о принятии риска на основе относительно низкой стоимости актива, относительно низкой частоты возникновения и относительно низкого влияния на бизнес. [120] Или руководство может выбрать смягчение риска путем выбора и внедрения соответствующих мер контроля для снижения риска. В некоторых случаях риск может быть передан другому бизнесу путем покупки страховки или аутсорсинга другому бизнесу. [121] Реальность некоторых рисков может быть оспорена. В таких случаях руководство может решить отрицать риск. [122]
Контроль безопасности
Выбор и внедрение надлежащих средств контроля безопасности изначально поможет организации снизить риск до приемлемого уровня. [123] Выбор средств контроля должен следовать и основываться на оценке риска. [124] Средства контроля могут различаться по своей природе, но по сути они являются способами защиты конфиденциальности, целостности или доступности информации. ISO/IEC 27001 определил средства контроля в различных областях. [125] Организации могут внедрять дополнительные средства контроля в соответствии с требованиями организации. [126] ISO/IEC 27002 предлагает руководство по стандартам информационной безопасности организаций. [127]
Глубокая оборона
Информационная безопасность должна защищать информацию на протяжении всего ее жизненного цикла, от первоначального создания информации до окончательного уничтожения информации. [128] Информация должна быть защищена как в движении, так и в состоянии покоя. В течение своего жизненного цикла информация может проходить через множество различных систем обработки информации и через множество различных частей систем обработки информации. [129] Существует множество различных способов, которыми информация и информационные системы могут подвергаться угрозам. Чтобы полностью защитить информацию в течение ее жизненного цикла, каждый компонент системы обработки информации должен иметь свои собственные механизмы защиты. [130] Наращивание, наложение и перекрытие мер безопасности называется «глубокой обороной». [131] В отличие от металлической цепи, которая, как известно, прочна настолько, насколько прочно ее самое слабое звено, стратегия глубокой обороны направлена на структуру, в которой, если одна защитная мера не сработает, другие меры продолжат обеспечивать защиту. [132]
Вспомним более раннее обсуждение административного контроля, логического контроля и физического контроля. Три типа контроля могут быть использованы для формирования основы, на которой строится стратегия глубокой обороны. [133] При таком подходе глубокоэшелонированная защита может быть концептуализирована как три отдельных слоя или плоскости, наложенных друг на друга. [134] Дополнительное понимание глубокой обороны можно получить, представляя ее как формирование слоев луковицы, с данными в центре луковицы, людьми в следующем внешнем слое луковицы и сетевой безопасностью , безопасностью на основе хоста и безопасностью приложений, образующими самые внешние слои луковицы. [135] Обе точки зрения одинаково обоснованы, и каждая из них дает ценную информацию о реализации хорошей стратегии глубокой обороны. [136]
Классификация
Важным аспектом информационной безопасности и управления рисками является признание ценности информации и определение соответствующих процедур и требований к защите информации. [137] Не вся информация одинакова, и поэтому не вся информация требует одинаковой степени защиты. [138] Для этого информации необходимо присвоить классификацию безопасности . [139] Первым шагом в классификации информации является определение члена высшего руководства как владельца конкретной информации, подлежащей классификации. Затем следует разработать политику классификации. [140] Политика должна описывать различные метки классификации, определять критерии для присвоения информации определенной метки и перечислять требуемые элементы управления безопасностью для каждой классификации. [141]
Некоторые факторы, которые влияют на то, какую классификационную информацию следует назначать, включают в себя то, насколько ценна эта информация для организации, насколько она старая и устарела ли она. [142] Законы и другие нормативные требования также являются важными факторами при классификации информации. [143] Ассоциация аудита и контроля информационных систем (ISACA) и ее бизнес-модель информационной безопасности также служат инструментом для специалистов по безопасности для изучения безопасности с точки зрения систем, создавая среду, в которой безопасностью можно управлять целостно, что позволяет устранять фактические риски. [144]
Тип выбранных и используемых меток классификации информационной безопасности будет зависеть от характера организации, например: [141]
В деловом секторе используются такие метки, как: Публично, Конфиденциально, Частно, Конфиденциально.
В государственном секторе используются такие метки, как: неклассифицированный, неофициальный, защищенный, конфиденциальный, секретный, совершенно секретный и их неанглийские эквиваленты. [145]
В кросс-секторных формированиях применяется протокол светофора , который состоит из: белого, зеленого, желтого и красного цветов.
В личном секторе один ярлык, например, Финансовый. Сюда входит деятельность, связанная с управлением деньгами, например, онлайн-банкинг. [146]
Все сотрудники организации, а также деловые партнеры должны быть обучены схеме классификации и понимать требуемые меры безопасности и процедуры обработки для каждой классификации. [147] Классификация конкретного информационного актива, которая была назначена, должна периодически пересматриваться, чтобы гарантировать, что классификация по-прежнему соответствует информации, и чтобы гарантировать, что меры безопасности, требуемые классификацией, присутствуют и соблюдаются в своих правильных процедурах. [148]
Контроль доступа
Доступ к защищенной информации должен быть ограничен лицами, имеющими право доступа к информации. [149] Компьютерные программы, а во многих случаях и компьютеры, обрабатывающие информацию, также должны быть авторизованы. [150] Для этого необходимо наличие механизмов контроля доступа к защищенной информации. [150] Сложность механизмов контроля доступа должна соответствовать ценности защищаемой информации; чем более конфиденциальной или ценной является информация, тем сильнее должны быть механизмы контроля. [151] Основа, на которой строятся механизмы контроля доступа, начинается с идентификации и аутентификации . [152]
Контроль доступа обычно рассматривается в три этапа: идентификация, аутентификация и авторизация . [153] [74]
Идентификация
Идентификация — это утверждение того, кем является кто-то или что есть что-то. Если человек делает заявление «Привет, меня зовут Джон Доу », он делает заявление о том, кем он является. [154] Однако его заявление может быть правдой, а может и нет. Прежде чем Джону Доу будет предоставлен доступ к защищенной информации, необходимо будет проверить, что человек, утверждающий, что он Джон Доу, действительно является Джоном Доу. [155] Обычно заявление имеет форму имени пользователя. Вводя это имя пользователя, вы заявляете: «Я тот человек, которому принадлежит это имя пользователя». [156]
Аутентификация
Аутентификация — это акт проверки заявления о личности. Когда Джон Доу идет в банк, чтобы снять деньги, он говорит кассиру банка, что он Джон Доу, заявление о личности. [157] Кассир банка просит показать удостоверение личности с фотографией, поэтому он передает кассиру свои водительские права . [158] Кассир банка проверяет права, чтобы убедиться, что на них напечатано имя Джона Доу, и сравнивает фотографию на правах с фотографией человека, утверждающего, что он Джон Доу. [159] Если фотография и имя совпадают с именем человека, то кассир подтвердил, что Джон Доу — тот, за кого себя выдает. Аналогично, вводя правильный пароль, пользователь предоставляет доказательства того, что он/она является тем человеком, которому принадлежит имя пользователя. [160]
Для аутентификации можно использовать три различных типа информации: [161] [162]
Для строгой аутентификации требуется предоставление более одного типа информации аутентификации (двухфакторная аутентификация). [168] Имя пользователя является наиболее распространенной формой идентификации в компьютерных системах сегодня, а пароль является наиболее распространенной формой аутентификации. [169] Имена пользователей и пароли выполнили свою задачу, но они становятся все более неадекватными. [170] Имена пользователей и пароли постепенно заменяются или дополняются более сложными механизмами аутентификации, такими как алгоритмы одноразовых паролей с ограничением по времени . [171]
Авторизация
После того, как человек, программа или компьютер успешно идентифицированы и аутентифицированы, необходимо определить, к каким информационным ресурсам им разрешен доступ и какие действия им будет разрешено выполнять (запускать, просматривать, создавать, удалять или изменять). [172] Это называется авторизацией . Авторизация для доступа к информации и другим вычислительным службам начинается с административных политик и процедур. [173] Политики предписывают, к какой информации и вычислительным службам может быть получен доступ, кто и при каких условиях. Затем механизмы контроля доступа настраиваются для обеспечения соблюдения этих политик. [174] Различные вычислительные системы оснащены различными видами механизмов контроля доступа. Некоторые могут даже предлагать выбор различных механизмов контроля доступа. [175] Механизм контроля доступа, предлагаемый системой, будет основан на одном из трех подходов к контролю доступа или может быть получен из комбинации трех подходов. [74]
Недискреционный подход объединяет весь контроль доступа под централизованным управлением. [176] Доступ к информации и другим ресурсам обычно основан на функции (роли) отдельного лица в организации или задачах, которые должно выполнять отдельное лицо. [177] [178] Дискреционный подход дает создателю или владельцу информационного ресурса возможность контролировать доступ к этим ресурсам. [176] В подходе обязательного контроля доступа доступ предоставляется или отклоняется на основе классификации безопасности, присвоенной информационному ресурсу. [149]
Чтобы быть эффективными, политики и другие элементы управления безопасностью должны быть реализуемыми и поддерживаться. Эффективные политики гарантируют, что люди несут ответственность за свои действия. [181] Например, в рекомендациях Министерства финансов США по системам, обрабатывающим конфиденциальную или конфиденциальную информацию, говорится, что все неудачные и успешные попытки аутентификации и доступа должны регистрироваться, а любой доступ к информации должен оставлять некоторый тип аудиторского следа . [182]
Кроме того, принцип «необходимости знать» должен действовать, когда речь идет о контроле доступа. Этот принцип дает человеку право доступа для выполнения своих должностных функций. [183] Этот принцип используется в правительстве при работе с разницей в допусках. [184] Даже если два сотрудника в разных отделах имеют допуск к совершенно секретной информации , они должны иметь «необходимость знать», чтобы обмениваться информацией. В рамках принципа «необходимости знать» администраторы сетей предоставляют сотруднику наименьшее количество привилегий, чтобы предотвратить доступ сотрудников к большему, чем им положено. [185] «Необходимость знать» помогает обеспечить соблюдение триады «конфиденциальность-целостность-доступность». «Необходимость знать» напрямую влияет на конфиденциальную область триады. [186]
Криптография
Информационная безопасность использует криптографию для преобразования полезной информации в форму, которая делает ее непригодной для использования кем-либо, кроме авторизованного пользователя; этот процесс называется шифрованием . [187] Информация, которая была зашифрована (стала непригодной для использования), может быть преобразована обратно в ее первоначальную пригодную для использования форму авторизованным пользователем, который обладает криптографическим ключом , посредством процесса расшифровки. [188] Криптография используется в информационной безопасности для защиты информации от несанкционированного или случайного раскрытия во время передачи информации (электронного или физического) и во время хранения информации. [74]
Криптография обеспечивает информационную безопасность с помощью других полезных приложений, включая улучшенные методы аутентификации, дайджесты сообщений, цифровые подписи, неотказуемость и зашифрованные сетевые коммуникации. [189] Старые, менее безопасные приложения, такие как Telnet и протокол передачи файлов (FTP), постепенно заменяются более безопасными приложениями, такими как Secure Shell (SSH), которые используют зашифрованные сетевые коммуникации. [190] Беспроводные коммуникации могут быть зашифрованы с использованием таких протоколов, как WPA/WPA2 или более старого (и менее безопасного) WEP . Проводные коммуникации (такие как ITU-T G.hn ) защищены с использованием AES для шифрования и X.1035 для аутентификации и обмена ключами. [191] Программные приложения, такие как GnuPG или PGP, могут использоваться для шифрования файлов данных и электронной почты. [192]
Криптография может создавать проблемы безопасности, если она реализована неправильно. [193] Криптографические решения должны быть реализованы с использованием принятых в отрасли решений, которые прошли строгую экспертную оценку независимыми экспертами в области криптографии. [194] Длина и надежность ключа шифрования также являются важным фактором. [195] Слабый или слишком короткий ключ приведет к слабому шифрованию . [195] Ключи, используемые для шифрования и дешифрования, должны быть защищены с той же степенью строгости, что и любая другая конфиденциальная информация. [196] Они должны быть защищены от несанкционированного раскрытия и уничтожения, и они должны быть доступны при необходимости. [ требуется цитата ] Решения инфраструктуры открытых ключей (PKI) решают многие проблемы, связанные с управлением ключами . [74]
Процесс
Термины «разумный и осмотрительный человек», « должная осмотрительность » и «должная осмотрительность» использовались в сфере финансов, ценных бумаг и права в течение многих лет. В последние годы эти термины нашли свое применение в области вычислительной техники и информационной безопасности. [113] Федеральные руководящие принципы вынесения приговоров США теперь позволяют привлекать должностных лиц корпораций к ответственности за неспособность проявить должную осмотрительность и должную осмотрительность при управлении их информационными системами. [197]
В деловом мире акционеры, клиенты, деловые партнеры и правительства ожидают, что должностные лица корпорации будут вести бизнес в соответствии с общепринятыми деловыми практиками и в соответствии с законами и другими нормативными требованиями. Это часто описывается как правило «разумного и благоразумного человека». Благоразумный человек проявляет должную заботу, чтобы гарантировать, что все необходимое делается для ведения бизнеса на основе разумных деловых принципов и законным, этичным образом. Благоразумный человек также усерден (внимателен, внимателен, постоянен) в своей должной заботе о бизнесе.
В области информационной безопасности Харрис [198]
предлагает следующие определения должной осмотрительности и должной осмотрительности:
«Должная осмотрительность — это шаги, которые предпринимаются для того, чтобы показать, что компания взяла на себя ответственность за деятельность, которая происходит внутри корпорации, и предприняла необходимые шаги для защиты компании, ее ресурсов и сотрудников [199] ». И [Должная осмотрительность — это] «постоянные действия, которые гарантируют, что механизмы защиты постоянно поддерживаются и работают». [200]
Следует обратить внимание на два важных момента в этих определениях. [201] [202] Во-первых, при должной осмотрительности предпринимаются шаги для демонстрации; это означает, что шаги могут быть проверены, измерены или даже созданы осязаемые артефакты. [203] [204] Во-вторых, при должной осмотрительности имеют место постоянные действия; это означает, что люди фактически делают что-то для мониторинга и поддержания механизмов защиты, и эти действия продолжаются. [205]
Организации обязаны соблюдать осторожность при применении информационной безопасности. Стандарт анализа рисков, связанных с осторожностью (DoCRA) [206] содержит принципы и методы оценки риска. [207] Он учитывает все стороны, которые могут быть затронуты этими рисками. [208] DoCRA помогает оценить меры безопасности, если они подходят для защиты других от вреда, представляя при этом разумное бремя. [209] С ростом числа судебных разбирательств по поводу утечки данных компании должны сбалансировать контроль безопасности, соответствие требованиям и свою миссию. [210]
Управление безопасностью
Институт программной инженерии Университета Карнеги-Меллона в публикации под названием Руководство по внедрению управления безопасностью предприятия (GES) определяет характеристики эффективного управления безопасностью. К ним относятся: [211]
Проблема всего предприятия
Лидеры несут ответственность
Рассматривается как бизнес-требование
Основанный на риске
Определены роли, обязанности и разделение обязанностей
Рассмотрено и реализовано в политике
Выделены достаточные ресурсы
Персонал осведомлен и обучен
Требование жизненного цикла разработки
Планируемый, управляемый, измеримый и измеряемый
Проверено и проверено
Планы реагирования на инциденты
План реагирования на инциденты (IRP) представляет собой группу политик, которые определяют реакцию организации на кибератаку. После того, как нарушение безопасности было выявлено, например, с помощью сетевой системы обнаружения вторжений (NIDS) или хостовой системы обнаружения вторжений (HIDS) (если настроено на это), план инициируется. [212] Важно отметить, что могут быть правовые последствия для нарушения данных. Знание местных и федеральных законов имеет решающее значение. [213] Каждый план уникален для потребностей организации и может включать наборы навыков, которые не являются частью ИТ-команды. [214] Например, юрист может быть включен в план реагирования, чтобы помочь сориентироваться в правовых последствиях нарушения данных. [ необходима цитата ]
Как упоминалось выше, каждый план уникален, но большинство планов будут включать следующее: [215]
Подготовка
Хорошая подготовка включает в себя создание группы реагирования на инциденты (IRT). [216] Навыки, которые должна использовать эта группа, включают тестирование на проникновение, компьютерную криминалистику, сетевую безопасность и т. д. [217] Эта группа также должна отслеживать тенденции в области кибербезопасности и современных стратегий атак. [218] Программа обучения для конечных пользователей важна, так как большинство современных стратегий атак нацелены на пользователей в сети. [215]
Идентификация
Эта часть плана реагирования на инциденты определяет, произошло ли событие безопасности. [219] Когда конечный пользователь сообщает информацию или администратор замечает нарушения, начинается расследование. Журнал инцидентов является важной частью этого шага. [ необходима цитата ] Все члены команды должны обновлять этот журнал, чтобы гарантировать, что информация поступает как можно быстрее. [220] Если было обнаружено, что произошло нарушение безопасности, необходимо активировать следующий шаг. [221]
Сдерживание
На этом этапе IRT работает над изоляцией областей, в которых произошло нарушение, чтобы ограничить масштаб события безопасности. [222] На этом этапе важно сохранить информацию в криминалистическом виде, чтобы ее можно было проанализировать позже в процессе. [223] Сдерживание может быть таким же простым, как физическое сдерживание серверной комнаты, или таким сложным, как сегментация сети, чтобы не допустить распространения вируса. [224]
Искоренение
На этом этапе выявленная угроза удаляется из затронутых систем. [225] Это может включать удаление вредоносных файлов, прекращение действия скомпрометированных учетных записей или удаление других компонентов. [226] [227] Некоторые события не требуют этого шага, однако важно полностью понять событие, прежде чем переходить к этому шагу. [228] Это поможет гарантировать полное удаление угрозы. [224]
Восстановление
На этом этапе системы восстанавливаются до исходного состояния. [229] Этот этап может включать восстановление данных, изменение информации о доступе пользователей или обновление правил или политик брандмауэра для предотвращения нарушений в будущем. [230] [231] Без выполнения этого этапа система все еще может быть уязвима для будущих угроз безопасности. [224]
Извлеченные уроки
На этом этапе информация, собранная в ходе этого процесса, используется для принятия будущих решений по безопасности. [232] Этот этап имеет решающее значение для обеспечения предотвращения будущих событий. Использование этой информации для дальнейшего обучения администраторов имеет решающее значение для процесса. [233] Этот этап также может использоваться для обработки информации, которая распространяется от других субъектов, которые столкнулись с событием безопасности. [234]
Управление изменениями
Управление изменениями — это формальный процесс управления и контроля изменений в среде обработки информации. [235] [236] Это включает изменения в настольных компьютерах, сети, серверах и программном обеспечении. [237] Цели управления изменениями — снизить риски, связанные с изменениями в среде обработки информации, и повысить стабильность и надежность среды обработки по мере внесения изменений. [238] Целью управления изменениями не является предотвращение или препятствие внедрению необходимых изменений. [239] [240]
Любое изменение в среде обработки информации вносит элемент риска. [241] Даже кажущиеся простыми изменения могут иметь неожиданные последствия. [242] Одной из многочисленных обязанностей руководства является управление рисками. [243] [244] Управление изменениями — это инструмент управления рисками, возникающими в результате изменений в среде обработки информации. [245] Часть процесса управления изменениями гарантирует, что изменения не будут реализованы в неподходящее время, когда они могут нарушить критические бизнес-процессы или помешать реализации других изменений. [246]
Не каждое изменение требует управления. [247] [248] Некоторые виды изменений являются частью повседневной рутины обработки информации и следуют предопределенной процедуре, что снижает общий уровень риска для среды обработки. [249] Создание новой учетной записи пользователя или развертывание нового настольного компьютера являются примерами изменений, которые обычно не требуют управления изменениями. [250] Однако перемещение общих файловых ресурсов пользователя или обновление сервера электронной почты представляют собой гораздо более высокий уровень риска для среды обработки и не являются обычной повседневной деятельностью. [251] Важнейшими первыми шагами в управлении изменениями являются (a) определение изменения (и сообщение этого определения) и (b) определение области действия системы изменений. [252]
Управление изменениями обычно контролируется советом по рассмотрению изменений, состоящим из представителей ключевых бизнес-областей, [253] безопасности, сетей, системных администраторов, администрирования баз данных, разработчиков приложений, поддержки настольных компьютеров и службы поддержки. [254] Задачи совета по рассмотрению изменений могут быть облегчены с помощью автоматизированного приложения рабочего процесса. [255] Ответственность совета по рассмотрению изменений заключается в обеспечении соблюдения документированных процедур управления изменениями организации. [256] Процесс управления изменениями выглядит следующим образом [257]
Запрос : Любой может запросить изменение. [258] [259] Лицо, делающее запрос на изменение, может быть или не быть тем же лицом, которое выполняет анализ или реализует изменение. [260] [261] После получения запроса на изменение он может пройти предварительную проверку, чтобы определить, совместимо ли запрашиваемое изменение с бизнес-моделью и практикой организации, а также определить объем ресурсов, необходимых для реализации изменения. [262]
Одобрение : Руководство управляет бизнесом и контролирует распределение ресурсов, поэтому руководство должно одобрять запросы на изменения и назначать приоритет для каждого изменения. [263] Руководство может отклонить запрос на изменение, если изменение несовместимо с бизнес-моделью, отраслевыми стандартами или передовой практикой. [264] [265] Руководство также может отклонить запрос на изменение, если изменение требует больше ресурсов, чем может быть выделено для изменения. [266]
План : Планирование изменения включает в себя определение масштаба и влияния предлагаемого изменения; анализ сложности изменения; распределение ресурсов и разработку, тестирование и документирование как плана внедрения, так и плана отмены. [267] Необходимо определить критерии, на основании которых будет приниматься решение об отмене. [268]
Тест : Каждое изменение должно быть протестировано в безопасной тестовой среде, которая максимально точно отражает фактическую производственную среду, прежде чем изменение будет применено к производственной среде. [269] План отката также должен быть протестирован. [270]
Расписание : Частью обязанностей совета по рассмотрению изменений является помощь в планировании изменений путем проверки предлагаемой даты внедрения на предмет возможных конфликтов с другими запланированными изменениями или критически важными бизнес-мероприятиями. [271]
Сообщать : После того, как изменение запланировано, о нем необходимо сообщить. [272] Сообщение должно дать другим возможность напомнить совету по рассмотрению изменений о других изменениях или критических деловых мероприятиях, которые могли быть упущены при планировании изменения. [273] Сообщение также служит для того, чтобы информировать службу поддержки и пользователей о том, что изменение должно произойти. [274] Еще одна обязанность совета по рассмотрению изменений заключается в том, чтобы обеспечить надлежащее информирование о запланированных изменениях тех, кого коснется изменение или кто иным образом заинтересован в изменении. [275] [276]
Реализация : В назначенную дату и время изменения должны быть реализованы. [277] [278] Частью процесса планирования была разработка плана внедрения, плана тестирования и плана отката. [279] [280] Если внедрение изменения не удалось или тестирование после внедрения не удалось или были соблюдены другие «окончательные» критерии, необходимо реализовать план отката. [281]
Документ : Все изменения должны быть задокументированы. [282] [283] Документация включает в себя первоначальный запрос на изменение, его одобрение, приоритет, назначенный ему, реализацию, [284] тестирование и планы отката, результаты критики комиссии по рассмотрению изменений, дату/время реализации изменения, [285] кто его реализовал, и было ли изменение реализовано успешно, не удалось или отложено. [286] [287]
Обзор после изменения : Совет по обзору изменений должен провести обзор изменений после внедрения. [288] Особенно важно рассмотреть неудачные и отмененные изменения. Совет по обзору должен попытаться понять проблемы, с которыми пришлось столкнуться, и найти области для улучшения. [288]
Процедуры управления изменениями, которые просты в использовании и применении, могут значительно снизить общие риски, возникающие при внесении изменений в среду обработки информации. [289] Хорошие процедуры управления изменениями повышают общее качество и успешность изменений по мере их внедрения. [290] Это достигается посредством планирования, экспертной оценки, документирования и коммуникации. [291]
ISO/IEC 20000 , The Visible OPS Handbook: Implementing ITIL in 4 Practical and Auditable Steps [292] (Полное резюме книги), [293] и ITIL предоставляют ценные рекомендации по внедрению эффективной и действенной программы управления изменениями информационной безопасности. [294]
Непрерывность бизнеса
Управление непрерывностью бизнеса ( BCM ) касается мер, направленных на защиту критически важных бизнес-функций организации от прерывания из-за инцидентов или, по крайней мере, на минимизацию последствий. [295] [296] BCM имеет важное значение для любой организации, чтобы поддерживать технологии и бизнес в соответствии с текущими угрозами для продолжения бизнеса в обычном режиме. [297] BCM следует включить в план анализа рисков организации , чтобы гарантировать, что все необходимые бизнес-функции имеют то, что им нужно для продолжения работы в случае любого типа угрозы любой бизнес-функции. [298]
Он включает в себя:
Анализ требований, например, выявление критических бизнес-функций, зависимостей и потенциальных точек отказа, потенциальных угроз и, следовательно, инцидентов или рисков, представляющих интерес для организации; [299] [300]
Спецификация, например, максимально допустимые периоды простоя; целевые точки восстановления (максимально допустимые периоды потери данных); [301]
Архитектура и проектирование, например, соответствующее сочетание подходов, включая устойчивость (например, проектирование ИТ-систем и процессов для обеспечения высокой доступности, [302] избежание или предотвращение ситуаций, которые могут прервать бизнес), управление инцидентами и чрезвычайными ситуациями (например, эвакуация помещений, вызов экстренных служб, сортировка/оценка ситуации [303] и вызов планов восстановления), восстановление (например, перестройка) и управление непредвиденными обстоятельствами (общие возможности для позитивного реагирования на все происходящее с использованием любых доступных ресурсов); [304]
Реализация, например, настройка и планирование резервного копирования, передачи данных и т. д., дублирование и усиление критических элементов; заключение контрактов с поставщиками услуг и оборудования;
Тестирование, например, упражнения по обеспечению непрерывности бизнеса различных типов, затрат и уровней гарантии; [305]
Управление, например, определение стратегий, постановка целей и задач; планирование и руководство работой; распределение фондов, людей и других ресурсов; расстановка приоритетов относительно других видов деятельности; формирование команды, лидерство, контроль, мотивация и координация с другими бизнес-функциями и видами деятельности [306] (например, ИТ, объекты, человеческие ресурсы, управление рисками, информационный риск и безопасность, операции); мониторинг ситуации, проверка и обновление договоренностей при изменении ситуации; совершенствование подхода посредством постоянного совершенствования, обучения и соответствующих инвестиций; [ необходима ссылка ]
Обеспечение, например, тестирование на соответствие указанным требованиям; измерение, анализ и предоставление отчетов по ключевым параметрам; проведение дополнительных тестов, обзоров и аудитов для большей уверенности в том, что договоренности будут реализованы по плану, если они будут задействованы. [307]
В то время как BCM использует широкий подход к минимизации рисков, связанных со стихийными бедствиями, путем снижения как вероятности, так и серьезности инцидентов, план восстановления после стихийных бедствий (DRP) специально фокусируется на возобновлении бизнес-операций как можно быстрее после стихийного бедствия. [308] План восстановления после стихийных бедствий, применяемый вскоре после стихийного бедствия, излагает шаги, необходимые для восстановления критически важной инфраструктуры информационно-коммуникационных технологий (ИКТ). [309] Планирование восстановления после стихийных бедствий включает в себя создание группы планирования, проведение оценки рисков, установление приоритетов, разработку стратегий восстановления, подготовку инвентаризаций и документации плана, разработку критериев и процедур проверки и, наконец, реализацию плана. [310]
Законы и правила
Ниже приведен частичный список государственных законов и нормативных актов в различных частях мира, которые оказали, оказали или будут оказывать значительное влияние на обработку данных и информационную безопасность. [311] [312] Также включены важные отраслевые нормативные акты, которые оказывают значительное влияние на информационную безопасность. [311]
Закон Великобритании о защите данных 1998 года вводит новые положения для регулирования обработки информации, касающейся физических лиц, включая получение, хранение, использование или раскрытие такой информации. [313] [314] Директива Европейского союза о защите данных (EUDPD) требует, чтобы все члены ЕС приняли национальные правила для стандартизации защиты конфиденциальности данных граждан на всей территории ЕС [315] [316]
Закон о неправомерном использовании компьютеров 1990 года — это закон парламента Великобритании, объявляющий компьютерные преступления (например, хакерство) уголовным преступлением. [317] Закон стал моделью, на которой несколько других стран, [318] включая Канаду и Ирландию , черпали вдохновение при последующей разработке собственных законов об информационной безопасности. [319] [320]
Директива ЕС о хранении данных (аннулирована) требовала от интернет-провайдеров и телефонных компаний хранить данные о каждом отправленном электронном сообщении и совершенном телефонном звонке в течение периода от шести месяцев до двух лет. [321]
Закон о правах и неприкосновенности частной жизни семьи в сфере образования (FERPA) ( 20 USC § 1232 g; 34 CFR Часть 99) — это федеральный закон США, который защищает конфиденциальность записей об образовании учащихся. [322] Закон распространяется на все школы, которые получают финансирование в рамках соответствующей программы Министерства образования США . [323] Как правило, школы должны иметь письменное разрешение от родителя или соответствующего учащегося [323] [324] для раскрытия любой информации из записи об образовании учащегося. [325]
В рекомендациях по безопасности для аудиторов Федерального совета по проверке финансовых учреждений (FFIEC) указаны требования к безопасности онлайн-банкинга. [326]
Закон о переносимости и подотчетности медицинского страхования (HIPAA) 1996 года требует принятия национальных стандартов для электронных транзакций в сфере здравоохранения и национальных идентификаторов для поставщиков, планов медицинского страхования и работодателей. [327] Кроме того, он требует от поставщиков медицинских услуг, страховщиков и работодателей обеспечивать безопасность и конфиденциальность данных о состоянии здоровья. [328]
Закон Грэмма -Лича-Блайли 1999 года (GLBA), также известный как Закон о модернизации финансовых услуг 1999 года, защищает конфиденциальность и безопасность частной финансовой информации, которую финансовые учреждения собирают, хранят и обрабатывают. [329]
Раздел 404 Закона Сарбейнса-Оксли 2002 года (SOX) требует от публичных компаний оценивать эффективность своих внутренних контролей финансовой отчетности в годовых отчетах, которые они представляют в конце каждого финансового года. [330] Директора по информационным технологиям несут ответственность за безопасность, точность и надежность систем, которые управляют и представляют финансовые данные. [331] Закон также требует от публичных компаний привлекать независимых аудиторов, которые должны подтверждать и сообщать о достоверности их оценок. [332]
Стандарт безопасности данных индустрии платежных карт (PCI DSS) устанавливает всеобъемлющие требования для повышения безопасности данных платежных счетов. [333] Он был разработан основателями платежных брендов Совета по стандартам безопасности PCI, включая American Express , Discover Financial Services , JCB, MasterCard Worldwide, [334] и Visa International , чтобы способствовать широкому принятию последовательных мер безопасности данных на глобальной основе. [335] PCI DSS — это многогранный стандарт безопасности, который включает требования к управлению безопасностью, политикам, процедурам, сетевой архитектуре , проектированию программного обеспечения и другим критически важным мерам защиты. [336]
Законы штата об уведомлении о нарушении безопасности (Калифорния и многие другие) требуют, чтобы предприятия, некоммерческие организации и государственные учреждения уведомляли потребителей в случаях, когда незашифрованная «личная информация» могла быть скомпрометирована, утеряна или украдена. [337]
Закон Канады о защите личной информации и электронных документах ( PIPEDA ) поддерживает и продвигает электронную коммерцию, защищая личную информацию, которая собирается, используется или раскрывается при определенных обстоятельствах, [338] [339] путем предоставления возможности использования электронных средств для передачи или записи информации или транзакций, а также путем внесения поправок в Закон Канады о доказательствах , Закон о нормативных актах и Закон о пересмотре статутов. [340] [341] [342]
Греческий орган по безопасности и конфиденциальности связи (ADAE) (Закон 165/2011) устанавливает и описывает минимальные меры по обеспечению информационной безопасности, которые должны быть реализованы каждой компанией, предоставляющей электронные коммуникационные сети и/или услуги в Греции, чтобы защитить конфиденциальность клиентов. [343] Они включают как управленческий, так и технический контроль (например, записи журнала должны храниться в течение двух лет). [344]
Греческое управление по безопасности и конфиденциальности связи (ADAE) (Закон 205/2013) концентрируется на защите целостности и доступности услуг и данных, предлагаемых греческими телекоммуникационными компаниями. [345] Закон обязывает эти и другие связанные компании разрабатывать, развертывать и тестировать соответствующие планы обеспечения непрерывности бизнеса и избыточные инфраструктуры. [346]
Министерство обороны США (DoD) выпустило Директиву DoD 8570 в 2004 году, дополненную Директивой DoD 8140, требующую от всех сотрудников DoD и всех контрактных сотрудников DoD, участвующих в ролях и мероприятиях по обеспечению информации, получать и поддерживать различные отраслевые сертификаты по информационным технологиям (ИТ), чтобы гарантировать, что весь персонал DoD, участвующий в защите сетевой инфраструктуры, имеет минимальный уровень признанных в ИТ-индустрии знаний, навыков и способностей (KSA). Андерссон и Реймерс (2019) сообщают, что эти сертификаты варьируются от A+ и Security+ CompTIA до CISSP ICS2.org и т. д. [347]
Культура
Описывая больше, чем просто то, насколько осведомлены сотрудники о безопасности, культура информационной безопасности представляет собой идеи, обычаи и социальное поведение организации, которые влияют на информационную безопасность как положительным, так и отрицательным образом. [348] Культурные концепции могут помочь различным сегментам организации работать эффективно или работать против эффективности в отношении информационной безопасности внутри организации. То, как сотрудники думают и чувствуют о безопасности, а также действия, которые они предпринимают, могут иметь большое влияние на информационную безопасность в организациях. Roer & Petric (2017) выделяют семь основных измерений культуры информационной безопасности в организациях: [349]
Отношение: чувства и эмоции сотрудников относительно различных видов деятельности, которые относятся к организационной безопасности информации. [350]
Поведение: фактические или предполагаемые действия и рискованные действия сотрудников, которые оказывают прямое или косвенное влияние на информационную безопасность.
Познание: осведомленность сотрудников, проверяемые знания и убеждения относительно практик, действий и самоэффективности , которые связаны с информационной безопасностью.
Коммуникация: способы общения сотрудников друг с другом, чувство принадлежности, поддержка в вопросах безопасности и сообщение об инцидентах.
Соблюдение: соблюдение политик безопасности организации, знание о существовании таких политик и способность вспомнить их суть.
Нормы: восприятие организационного поведения и практики, связанных с безопасностью, которые неофициально считаются сотрудниками и их коллегами либо нормальными, либо отклоняющимися от нормы, например, скрытые ожидания относительно поведения в области безопасности и неписаные правила использования информационно-коммуникационных технологий.
Обязанности: понимание сотрудниками своих ролей и обязанностей как решающего фактора в поддержании или устранении угрозы безопасности информации и, следовательно, организации.
Андерссон и Реймерс (2014) обнаружили, что сотрудники часто не считают себя частью «усилий» информационной безопасности организации и часто совершают действия, которые игнорируют наилучшие интересы информационной безопасности организации. [351] Исследования показывают, что культуру информационной безопасности необходимо постоянно совершенствовать. В работе « Культура информационной безопасности от анализа к изменению » авторы прокомментировали: «Это бесконечный процесс, цикл оценки и изменения или обслуживания». Чтобы управлять культурой информационной безопасности, необходимо предпринять пять шагов: предварительная оценка, стратегическое планирование, оперативное планирование, реализация и последующая оценка. [352]
Предварительная оценка: определение уровня осведомленности сотрудников об информационной безопасности и анализ текущей политики безопасности.
Стратегическое планирование: чтобы придумать лучшую программу информирования, нам нужно поставить четкие цели. Группировка людей полезна для достижения этого
Оперативное планирование: создание хорошей культуры безопасности на основе внутренней коммуникации, поддержки руководства, осведомленности о безопасности и программ обучения.
Реализация: должна включать приверженность руководства, общение с членами организации, курсы для всех членов организации и приверженность сотрудников [352]
Постоценка: для более точной оценки эффективности предыдущих шагов и дальнейшего совершенствования
Стандарты информационной безопасности
Стандарты информационной безопасности (также стандарты кибербезопасности [353] ) — это методы, обычно изложенные в опубликованных материалах, которые пытаются защитить киберсреду пользователя или организации. [354] Эта среда включает в себя самих пользователей, сети, устройства, все программное обеспечение, процессы, информацию в хранилище или транзите, приложения, службы и системы, которые могут быть напрямую или косвенно подключены к сетям.
Основная цель — снизить риски, включая предотвращение или смягчение кибератак . Эти опубликованные материалы включают инструменты, политики, концепции безопасности, меры безопасности, руководства, подходы к управлению рисками, действия, обучение, передовой опыт, гарантии и технологии.
^ Джоши, Чанчала; Сингх, Умеш Кумар (август 2017 г.). «Структура управления рисками информационной безопасности — шаг к снижению рисков безопасности в университетской сети». Журнал информационной безопасности и приложений . 35 : 128–137. doi :10.1016/j.jisa.2017.06.006. ISSN 2214-2126.
^ Дэниел, Кент; Титман, Шеридан (август 2006 г.). «Реакции рынка на материальную и нематериальную информацию». Журнал финансов . 61 (4): 1605–1643. doi :10.1111/j.1540-6261.2006.00884.x. SSRN 414701.
^ Финк, Керстин (2004). Измерение потенциала знаний и неопределенность . Немецкий университет. ISBN978-3-322-81240-7. OCLC 851734708.
^ Кейзер, Тобиас (19 апреля 2018 г.), «Политика безопасности», The Information Governance Toolkit , CRC Press, стр. 57–62, doi :10.1201/9781315385488-13, ISBN978-1-315-38548-8, получено 28 мая 2021 г.
^ Данциг, Ричард; Институт национальных стратегических исследований Национального университета обороны, Вашингтон, округ Колумбия (1995). «Большая тройка: наши самые большие риски безопасности и как с ними бороться». DTIC ADA421883.
^ Lyu, MR; Lau, LKY (2000). «Безопасность межсетевого экрана: политики, тестирование и оценка производительности». Труды 24-й ежегодной международной конференции по компьютерному программному обеспечению и приложениям. COMPSAC2000 . IEEE Comput. Soc. стр. 116–121. doi :10.1109/cmpsac.2000.884700. ISBN0-7695-0792-1. S2CID 11202223.
^ «Как отсутствие стандартизации данных препятствует развитию здравоохранения, основанного на данных», Data-Driven Healthcare , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 29, 17 октября 2015 г., doi : 10.1002/9781119205012.ch3, ISBN978-1-119-20501-2, получено 28 мая 2021 г.
^ Черданцева Ю. и Хилтон Дж.: «Информационная безопасность и обеспечение информации. Обсуждение значения, сферы действия и целей». В: Организационные, правовые и технологические аспекты администратора информационной системы . Альмейда Ф., Портела И. (ред.). IGI Global Publishing. (2013)
^ ISO/IEC 27000:2018 (E). (2018). Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Обзор и словарь. ISO/IEC.
^ ISACA. (2008). Глоссарий терминов, 2008. Получено с http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf
^ Пипкин, Д. (2000). Информационная безопасность: Защита глобального предприятия . Нью-Йорк: Hewlett-Packard Company.
^ B., McDermott, E., & Geer, D. (2001). Информационная безопасность — это управление информационными рисками. В трудах семинара 2001 года по новым парадигмам безопасности NSPW '01, (стр. 97–104). ACM. doi :10.1145/508171.508187
^ Андерсон, Дж. М. (2003). «Почему нам нужно новое определение информационной безопасности». Компьютеры и безопасность . 22 (4): 308–313. doi :10.1016/S0167-4048(03)00407-3.
^ Вентер, HS; Элофф, JHP (2003). «Таксономия технологий информационной безопасности». Компьютеры и безопасность . 22 (4): 299–307. doi :10.1016/S0167-4048(03)00406-1.
^ Gold, S (декабрь 2004 г.). «Угрозы, надвигающиеся за периметром». Технический отчет по информационной безопасности . 9 (4): 12–14. doi :10.1016/s1363-4127(04)00047-0 (неактивен 12 августа 2024 г.). ISSN 1363-4127.{{cite journal}}: CS1 maint: DOI неактивен по состоянию на август 2024 г. ( ссылка )
^ Бучик, С. С.; Юдин, О. К.; Нетребко, Р. В. (21 декабря 2016 г.). «Анализ методов определения функциональных типов защищенности информационно-телекоммуникационной системы от несанкционированного доступа». Проблемы информатизации и управления . 4 (56). doi : 10.18372/2073-4751.4.13135 . ISSN 2073-4751.
^ ab Samonas, S.; Coss, D. (2014). «ЦРУ наносит ответный удар: переосмысление конфиденциальности, целостности и доступности в безопасности». Journal of Information System Security . 10 (3): 21–45. Архивировано из оригинала 22 сентября 2018 г. Получено 25 января 2018 г.
^ «Gartner заявляет, что цифровые революционеры оказывают влияние на все отрасли; цифровые ключевые показатели эффективности имеют решающее значение для измерения успеха». Gartner. 2 октября 2017 г. Получено 25 января 2018 г.
^ «Опрос Gartner показывает, что 42 процента генеральных директоров начали цифровую трансформацию бизнеса». Gartner. 24 апреля 2017 г. Получено 25 января 2018 г.
^ Форте, Дарио; Пауэр, Ричард (декабрь 2007 г.). «Базовые элементы управления в некоторых жизненно важных, но часто упускаемых из виду областях вашей программы защиты информации». Computer Fraud & Security . 2007 (12): 17–20. doi :10.1016/s1361-3723(07)70170-7. ISSN 1361-3723.
^ Низковольтные распределительные устройства и устройства управления. Профили устройств для сетевых промышленных устройств, BSI British Standards, doi :10.3403/bsen61915 , получено 28 мая 2021 г.
^ Фетцер, Джеймс; Хайфилл, Тина; Хоссисо, Кассу; Хауэллс, Томас; Штрасснер, Эрих; Янг, Джеффри (ноябрь 2018 г.). «Учет неоднородности фирм в отраслях промышленности США: расширенные таблицы поставок и использования и торговля добавленной стоимостью с использованием данных на уровне предприятий и учреждений». Серия рабочих документов. Национальное бюро экономических исследований . doi : 10.3386/w25249. S2CID 169324096.
^ «Безопасная оценка, подверженная киберстохастическим атакам», Системы управления облаком , Новые методологии и приложения в моделировании, Elsevier: 373–404, 2020, doi : 10.1016/b978-0-12-818701-2.00021-4, ISBN978-0-12-818701-2, S2CID 240746156 , получено 28 мая 2021 г.
^ Неймейер, Х. (2003). Синхронизация механических систем . World Scientific. ISBN978-981-279-497-0. OCLC 262846185.
^ «9 типов специализаций в области кибербезопасности».
^ Информационные технологии. Методы обеспечения безопасности. Требования к компетентности специалистов по системам управления информационной безопасностью, BSI British Standards, doi :10.3403/30342674 , дата обращения 29 мая 2021 г.
^ Рахим, Нур Х. (март 2006 г.). Права человека и внутренняя безопасность в Малайзии: риторика и реальность . Центр технической информации Министерства обороны. OCLC 74288358.
^ Крамер, Дэвид (14 сентября 2018 г.). «Угрозы хищения и саботажа ядерных материалов остаются высокими, предупреждает отчет». Physics Today (9): 30951. Bibcode : 2018PhT..2018i0951K. doi : 10.1063/pt.6.2.20180914a. ISSN 1945-0699. S2CID 240223415.
^ Уайлдинг, Эдвард (2 марта 2017 г.). Информационный риск и безопасность: предотвращение и расследование компьютерных преступлений на рабочем месте . Routledge. ISBN978-1-351-92755-0. OCLC 1052118207.
^ Стюарт, Джеймс (2012). Учебное пособие CISSP . Канада: John Wiley & Sons. стр. 255–257. ISBN978-1-118-31417-3.
^ "Почему снизился рост производительности?". Экономические обзоры ОЭСР: Дания 2009. ОЭСР . 2009. стр. 65–96. doi :10.1787/eco_surveys-dnk-2009-4-en. ISBN9789264076556. Получено 30 ноября 2023 г. .
^ «Кража личных данных: новейшая цифровая атака, которую индустрия должна воспринимать серьезно». Issues in Information Systems . 2007. doi : 10.48009/2_iis_2007_297-302 . ISSN 1529-7314.
^ Вендель-Перссон, Анна; Роннхед, Фредрик (2017). IT-säkerhet и manniskan: De har världens starkaste mur men porten står alltid på glänt . Университет Умео, Институт информатики. OCLC 1233659973.
↑ Энге, Эрик (5 апреля 2017 г.). «Каменный храм». Архивировано из оригинала 27 апреля 2018 г. Получено 17 ноября 2017 г.Сотовые телефоны
^ Шао, Руодан; Скарлицки, Дэниел П. (2014). «Саботаж по отношению к клиентам, которые плохо обращались с сотрудниками». Набор данных PsycTESTS . doi :10.1037/t31653-000 . Получено 28 мая 2021 г.
^ Kitchen, Джули (июнь 2008 г.). "7side – Company Information, Company Formations and Property Searches". Legal Information Management . 8 (2): 146. doi :10.1017/s1472669608000364. ISSN 1472-6696. S2CID 144325193.
↑ Янг, Кортни (8 мая 2018 г.), «Работа с паническими атаками», Help Yourself Towards Mental Health , Routledge, стр. 209–214, doi : 10.4324/9780429475474-32, ISBN978-0-429-47547-4, получено 28 мая 2021 г.
^ Лекиллер, Ф.; Блейдс, Д. (2014). Таблица 7.7 Франция: Сравнение долей прибыли нефинансовых корпораций и нефинансовых корпораций плюс некорпоративных предприятий (PDF) . ОЭСР . стр. 217. doi :10.1787/9789264214637-en. ISBN978-92-64-21462-0. Получено 1 декабря 2023 г. .
^ «Как все это возникло?», Бизнес по обеспечению соответствия и его клиенты , Бейзингсток: Palgrave Macmillan, 2012, doi : 10.1057/9781137271150.0007, ISBN978-1-137-27115-0
^ Гордон, Лоуренс А.; Лёб , Мартин П. (ноябрь 2002 г.). «Экономика инвестиций в информационную безопасность». ACM Transactions on Information and System Security . 5 (4): 438–457. doi :10.1145/581271.581274. S2CID 1500788.
^ Чо Ким, Бёнг; Ханса, Лара; Джеймс, Табита (июль 2011 г.). «Индивидуальное доверие и восприятие риска потребителями». Журнал информационной конфиденциальности и безопасности . 7 (3): 3–22. doi :10.1080/15536548.2011.10855915. ISSN 1553-6548. S2CID 144643691.
^ Ларсен, Дэниел (31 октября 2019 г.). «Создание американской культуры секретности: криптография в дипломатии эпохи Вильсона». Дипломатическая история . doi : 10.1093/dh/dhz046. ISSN 0145-2096.
^ «Введение: Цезарь мертв. Да здравствует Цезарь!», Самосозданное изображение Юлия Цезаря и его драматическая загробная жизнь , Bloomsbury Academic, 2018, doi : 10.5040/9781474245784.0005, ISBN978-1-4742-4578-4, получено 29 мая 2021 г.
^ Тан, Хэн Чуань (2017). На пути к надежной и безопасной связи в транспортной среде (диссертация). Наньянский технологический университет. doi :10.32657/10356/72758.
^ Джонсон, Джон (1997). Эволюция британской цифровой почтовой связи: 1653–1939 . Канцелярия Ее Величества. ASIN B00GYX1GX2.
^ Уиллисон, М. (21 сентября 2018 г.). «Были ли банки особенными? Контрастные точки зрения в Великобритании середины девятнадцатого века». Монетарная экономика: международные финансовые потоки . doi :10.2139/ssrn.3249510 . Получено 1 декабря 2023 г. .
^ Ruppert, K. (2011). «Закон об официальных секретах (1889; Новый 1911; Изменен 1920, 1939, 1989)». В Hastedt, GP (ред.). Шпионы, прослушивание телефонных разговоров и секретные операции: энциклопедия американского шпионажа . Том 2. ABC-CLIO. С. 589–590. ISBN9781851098088.
^ "2. Закон Клейтона: рассмотрение раздела 2, определяющего незаконную ценовую дискриминацию". Федеральный антимонопольный закон . Columbia University Press. 31 декабря 1930 г. стр. 18–28. doi :10.7312/dunn93452-003. ISBN978-0-231-89377-0. Получено 29 мая 2021 г. .
^ Maer, Lucinda; Gay (30 декабря 2008 г.). "Официальная тайна" (PDF) . Федерация американских ученых .
^ «Закон о государственной тайне 1989 года, заменивший раздел 2 Закона 1911 года», Шпионаж и секретность (Возрождение Routledge) , Routledge, стр. 267–282, 10 июня 2016 г., doi : 10.4324/9781315542515-21 (неактивен 11 сентября 2024 г.), ISBN978-1-315-54251-5{{citation}}: CS1 maint: DOI неактивен по состоянию на сентябрь 2024 г. ( ссылка )
^ «Закон о государственной тайне: что он охватывает; когда он использовался, подвергался сомнению». The Indian Express . 8 марта 2019 г. Получено 7 августа 2020 г.
^ Сингх, Гаджендра (ноябрь 2015 г.). ««Разрывая цепи, с которыми мы были связаны»: камера допроса, индийская национальная армия и отрицание военной идентичности, 1941–1947». Цифровая библиотека Первой мировой войны Брилла . doi :10.1163/2352-3786_dlws1_b9789004211452_019 . Получено 28 мая 2021 г.
^ Данкансон, Деннис (июнь 1982 г.). «Борьба за расшифровку Французского Индокитая». Asian Affairs . 13 (2): 161–170. doi :10.1080/03068378208730070. ISSN 0306-8374.
^ Уитмен и др. 2017, стр. 3.
^ «Союзная сила. Мобилизация гидроэлектроэнергии во время Второй мировой войны в Канаде», Allied Power , University of Toronto Press, стр. 1–2, 31 декабря 2015 г., doi : 10.3138/9781442617117-003, ISBN978-1-4426-1711-7, получено 29 мая 2021 г.
^ Глаттхаар, Джозеф Т. (15 июня 2011 г.), «Офицеры и рядовые», Солдатская служба в армии Северной Вирджинии , Издательство Университета Северной Каролины, стр. 83–96, doi :10.5149/9780807877869_glatthaar.11, ISBN978-0-8078-3492-3, получено 28 мая 2021 г.
^ ab Sebag–Montefiore, H. (2011). Enigma: The Battle for the Code . Orion. стр. 576. ISBN9781780221236.
^ Уитмен и др. 2017, стр. 4–5.
^ ab Whitman et al. 2017, стр. 5.
^ Декар, Пол Р. (26 апреля 2012 г.). Томас Мертон: Мудрость двадцатого века для жизни в двадцать первом веке. The Lutterworth Press. стр. 160–184. doi :10.2307/j.ctt1cg4k28.13. ISBN978-0-7188-4069-3. Получено 29 мая 2021 г. .
^ Мерфи, Ричард С. (1 сентября 2009 г.). Создание более мощных и менее дорогих суперкомпьютеров с использованием обработки в памяти (PIM) LDRD, окончательный отчет (Отчет). doi : 10.2172/993898.
^ "Краткая история Интернета". www.usg.edu . Получено 7 августа 2020 г. .
^ "Прогулка по Делфту - в Интернете". Компьютеры и графика . 25 (5): 927. Октябрь 2001. doi :10.1016/s0097-8493(01)00149-2. ISSN 0097-8493.
^ DeNardis, L. (2007). "Глава 24: История безопасности Интернета". В de Leeuw, KMM; Bergstra, J. (ред.). История информационной безопасности: всеобъемлющее руководство . Elsevier. стр. 681–704. ISBN9780080550589.
^ Пэрриш, Аллен; Импальяццо, Джон; Радж, Раджендра К.; Сантос, Энрике; Асгар, Мухаммад Ризван; Йосанг, Аудун; Перейра, Тереза; Ставру, Элиана (2 июля 2018 г.). «Глобальные перспективы образования в области кибербезопасности к 2030 году: аргументы в пользу метадисциплины». Труды 23-й ежегодной конференции ACM по инновациям и технологиям в образовании в области компьютерных наук . ACM. стр. 36–54. doi : 10.1145/3293881.3295778. hdl : 1822/71620. ISBN978-1-4503-6223-8. S2CID 58004425.
^ Перрин, Чад (30 июня 2008 г.). "Триада ЦРУ" . Получено 31 мая 2012 г.
^ Sandhu, Ravi; Jajodia, Sushil (20 октября 2000 г.), «Безопасность реляционных баз данных», Справочник по управлению информационной безопасностью, набор из четырех томов , Auerbach Publications, doi :10.1201/9780203325438.ch120, ISBN978-0-8493-1068-3
^ ab Stoneburner, G.; Hayden, C.; Feringa, A. (2004). "Engineering Principles for Information Technology Security" (PDF) . csrc.nist.gov. doi :10.6028/NIST.SP.800-27rA. Архивировано из оригинала (PDF) 15 августа 2011 г. . Получено 28 августа 2011 г. .
^ Бекерс, К. (2015). Требования к шаблону и безопасности: инженерное установление стандартов безопасности. Springer. стр. 100. ISBN9783319166643.
^ Финберг, Стивен Э.; Славкович, Александра Б. (2011), «Конфиденциальность и конфиденциальность данных», Международная энциклопедия статистической науки , стр. 342–345, doi :10.1007/978-3-642-04898-2_202, ISBN978-3-642-04897-5
^ abcde Андресс, Дж. (2014). Основы информационной безопасности: понимание основ информационной безопасности в теории и практике. Syngress. стр. 240. ISBN9780128008126.
^ Бориц, Дж. Эфрим (2005). «Взгляды специалистов по информационным системам на основные концепции целостности информации». Международный журнал по системам бухгалтерской информации . 6 (4). Elsevier: 260–279. doi :10.1016/j.accinf.2005.07.001.
^ Гришко, И. (2020). «Самовольное занятие земель и самовольное строительство: понятия и виды тактических средств расследования». Вестник Международного гуманитарного университета. Юриспруденция (43): 180–184. doi : 10.32841/2307-1745.2020.43.40 . ISSN 2307-1745.
^ Ким, Бонн-О (21 сентября 2000 г.), «Ссылочная целостность для проектирования баз данных», Высокопроизводительные веб-базы данных , Auerbach Publications, стр. 427–434, doi :10.1201/9781420031560-34, ISBN978-0-429-11600-1, получено 29 мая 2021 г.
^ Певнев, В. (2018). «Моделирование угроз и обеспечение целостности информации». Системы и технологии . 2 (56): 80–95. doi : 10.32836/2521-6643-2018.2-56.6 . ISSN 2521-6643.
^ Фань, Лецзюнь; Ван, Юаньчжуо; Чэн, Сюэци; Ли, Цзиньмин; Цзинь, Шуюань (26 февраля 2013 г.). «Анализ многопроцессного взаимодействия вредоносного ПО для кражи конфиденциальной информации». Сети безопасности и связи . 8 (1): 51–67. doi : 10.1002/sec.705 . ISSN 1939-0114.
^ «Полнота, согласованность и целостность модели данных». Измерение качества данных для постоянного улучшения . Серия MK по бизнес-аналитике. Elsevier. 2013. стр. e11–e19. doi :10.1016/b978-0-12-397033-6.00030-4. ISBN978-0-12-397033-6. Получено 29 мая 2021 г. .
^ Видео от SPIE - Международного общества оптики и фотоники. doi :10.1117/12.2266326.5459349132001 . Получено 29 мая 2021 г.
^ "Навыки общения, используемые выпускниками факультета информационных систем". Issues in Information Systems . 2005. doi : 10.48009/1_iis_2005_311-317 . ISSN 1529-7314.
^ Перебои в подаче электроэнергии из-за сбоев в работе кабеля в системе Boston Edison Company (Отчет). 1 июля 1980 г. doi :10.2172/5083196. OSTI 5083196. Получено 18 января 2022 г.
^ Loukas, G.; Oke, G. (сентябрь 2010 г.) [август 2009 г.]. "Защита от атак типа "отказ в обслуживании": обзор" (PDF) . Comput. J. 53 (7): 1020–1037. doi :10.1093/comjnl/bxp078. Архивировано из оригинала (PDF) 24 марта 2012 г. Получено 28 августа 2015 г.
^ «Быть способным выполнять клиническую деятельность», Определения , Qeios, 2 февраля 2020 г., doi : 10.32388/dine5x, S2CID 241238722 , получено 29 мая 2021 г.
^ Охта, Май; Фудзии, Такео (май 2011 г.). «Итеративное кооперативное зондирование на общем первичном спектре для улучшения способности зондирования». 2011 IEEE Международный симпозиум по сетям динамического доступа к спектру (DySPAN) . IEEE. стр. 623–627. doi :10.1109/dyspan.2011.5936257. ISBN978-1-4577-0177-1. S2CID 15119653.
^ Информационные технологии. Управление инцидентами информационной безопасности, BSI British Standards, doi :10.3403/30387743 , получено 29 мая 2021 г.
^ Блум, Дэн (2020), «Определение и согласование ролей, связанных с безопасностью», Rational Cybersecurity for Business , Беркли, Калифорния: Apress, стр. 31–60, doi : 10.1007/978-1-4842-5952-8_2, ISBN978-1-4842-5951-1, S2CID 226626983 , получено 29 мая 2021 г.
^ Маккарти, К. (2006). «Цифровые библиотеки: соображения безопасности и сохранности». В Бидголи, Х. (ред.). Справочник по информационной безопасности, угрозам, уязвимостям, предотвращению, обнаружению и управлению . Том 3. John Wiley & Sons. стр. 49–76. ISBN9780470051214.
^ Информационные технологии. Взаимосвязь открытых систем. Фреймворки безопасности для открытых систем, BSI British Standards, doi :10.3403/01110206u , получено 29 мая 2021 г.
↑ Кристофори, Ральф (1 января 2014 г.), «Так могло бы быть», Хулио Рондо — Ok, Meta Memory , Wilhelm Fink Verlag, doi :10.30965/9783846757673_003 (неактивен 12 августа 2024 г.), ISBN978-3-7705-5767-7{{citation}}: CS1 maint: DOI неактивен по состоянию на август 2024 г. ( ссылка )
^ Аткинс, Д. (май 2021 г.). «Использование алгоритма цифровой подписи Walnut с подписанием и шифрованием объектов CBOR (COSE)». Редактор RFC . doi : 10.17487/rfc9021 . S2CID 182252627 . Получено 18 января 2022 г. .
^ Ле Мэй, И. (2003), «Структурная целостность в нефтехимической промышленности», Comprehensive Structural Integrity , Elsevier, стр. 125–149, doi :10.1016/b0-08-043749-4/01001-6, ISBN978-0-08-043749-1, получено 29 мая 2021 г.
^ "oecd.org" (PDF) . Архивировано из оригинала (PDF) 16 мая 2011 г. . Получено 17 января 2014 г. .
^ "GSSP (общепринятые принципы безопасности систем): поездка в Абилин". Компьютеры и безопасность . 15 (5): 417. Январь 1996. doi :10.1016/0167-4048(96)82630-7. ISSN 0167-4048.
^ Слэйд, Роб. "(ICS)2 Blog". Архивировано из оригинала 17 ноября 2017 г. Получено 17 ноября 2017 г.
^ Асейтуно, Висенте. «Модель зрелости открытой информационной безопасности» . Получено 12 февраля 2017 г.
^ Соджахин, Амос; Шампань, Клаудия; Коггинс, Фрэнк; Жилле, Роланд (11 января 2017 г.). «Опережающие или запаздывающие индикаторы риска? Информационное содержание внефинансовых показателей эффективности». Журнал управления активами . 18 (5): 347–370. doi :10.1057/s41260-016-0039-y. ISSN 1470-8272. S2CID 157485290.
^ Reynolds, EH (22 июля 1995 г.). «Фолат может причинить вред». BMJ . 311 (6999): 257. doi :10.1136/bmj.311.6999.257. ISSN 0959-8138. PMC 2550299 . PMID 7503870.
^ Рэндалл, Алан (2011), «Вред, риск и угроза», Риск и предосторожность , Кембридж: Издательство Кембриджского университета, стр. 31–42, doi : 10.1017/cbo9780511974557.003, ISBN978-0-511-97455-7, получено 29 мая 2021 г.
^ Grama, JL (2014). Правовые вопросы информационной безопасности. Jones & Bartlett Learning. стр. 550. ISBN9781284151046.
^ Кэннон, Дэвид Л. (4 марта 2016 г.). «Процесс аудита». CISA: Руководство по обучению сертифицированного аудитора информационных систем (четвертое издание). стр. 139–214. doi :10.1002/9781119419211.ch3. ISBN9781119056249.
^ Руководство по обзору CISA 2006. Ассоциация аудита и контроля информационных систем. 2006. стр. 85. ISBN978-1-933284-15-6.
^ Кадлец, Ярослав (2 ноября 2012 г.). «Двумерное моделирование процессов (2DPM)». Business Process Management Journal . 18 (6): 849–875. doi :10.1108/14637151211283320. ISSN 1463-7154.
^ «Все контрмеры имеют некоторую ценность, но ни одна контрмера не идеальна», Beyond Fear , Нью-Йорк: Springer-Verlag, стр. 207–232, 2003, doi :10.1007/0-387-21712-6_14, ISBN0-387-02620-7, получено 29 мая 2021 г.
^ «Утечки данных: Deloitte терпит серьезный удар, в то время как появляются новые подробности о Equifax и Yahoo». Computer Fraud & Security . 2017 (10): 1–3. Октябрь 2017. doi : 10.1016/s1361-3723(17)30086-6. ISSN 1361-3723.
^ Спаньолетти, Паоло; Реска А. (2008). «Двойственность управления информационной безопасностью: борьба с предсказуемыми и непредсказуемыми угрозами». Журнал информационной безопасности систем . 4 (3): 46–62.
^ Юсофф, Нор Хашим; Юсоф, Мохд Радзуан (4 августа 2009 г.). «Управление рисками в области охраны труда, техники безопасности и охраны окружающей среды в суровых условиях». Все дни . SPE. doi :10.2118/122545-ms.
^ Бакстер, Уэсли (2010). Распродано: как районы улучшения деловой активности в центре Оттавы обеспечили и повысили ценность городского пространства (диссертация). Карлтонский университет. doi :10.22215/etd/2010-09016.
^ Де Соуза, Андре; Линч, Энтони (июнь 2012 г.). «Изменяется ли эффективность паевых инвестиционных фондов в течение делового цикла?». Кембридж, Массачусетс. doi : 10.3386/w18137. S2CID 262620435.
^ Киоунтоузис, EA; Коколакис, SA (31 мая 1996 г.). Безопасность информационных систем: на пути к информационному обществу 21-го века . Лондон: Chapman & Hall, Ltd. ISBN978-0-412-78120-9.
^ Ньюсом, Б. (2013). Практическое введение в безопасность и управление рисками . SAGE Publications. стр. 208. ISBN9781483324852.
^ ab Whitman, ME; Mattord, HJ (2016). Управление информационной безопасностью (5-е изд.). Cengage Learning. стр. 592. ISBN9781305501256.
^ «Оборудование, ткани, клеи и другие театральные принадлежности», Иллюстрированное руководство по театральному производству , Routledge, стр. 203–232, 20 марта 2013 г., doi : 10.4324/9780080958392-20, ISBN978-0-08-095839-2, получено 29 мая 2021 г.
↑ Reason, James (2 марта 2017 г.), «Восприятие небезопасных действий», The Human Contribution , CRC Press, стр. 69–103, doi :10.1201/9781315239125-7, ISBN978-1-315-23912-5, получено 29 мая 2021 г.
^ «Процедуры и стандарты информационной безопасности», Политики, процедуры и стандарты информационной безопасности , Бока-Ратон, Флорида: Auerbach Publications, стр. 81–92, 27 марта 2017 г., doi : 10.1201/9781315372785-5, ISBN978-1-315-37278-5, получено 29 мая 2021 г.
^ Чжуан, Хайфэн; Чен, Ю; Шэн, Сяньфу; Хонг, Лили; Гао, Жуйлан; Чжуан, Сяофэнь (25 июня 2020 г.). «Рисунок S1: Анализ прогностического воздействия каждого отдельного сигнатурного гена». ПерДж . 8 : е9437. дои : 10.7717/peerj.9437/supp-1 .
^ Standaert, B.; Ethgen, O.; Emerson, RA (июнь 2012 г.). «Анализ эффективности затрат на CO4 — подходит для всех ситуаций?». Value in Health . 15 (4): A2. doi : 10.1016/j.jval.2012.03.015 . ISSN 1098-3015.
^ "GRP-навесы обеспечивают экономически эффективную защиту над дверью". Армированные пластмассы . 40 (11): 8. Ноябрь 1996. doi :10.1016/s0034-3617(96)91328-4. ISSN 0034-3617.
^ "Рисунок 2.3. Относительный риск оказаться неэффективным в зависимости от личных обстоятельств (2012)". doi :10.1787/888933171410 . Получено 29 мая 2021 г. .
^ Стоунбёрнер, Гэри; Гоген, Элис; Феринга, Алексис (2002). "NIST SP 800-30 Руководство по управлению рисками для систем информационных технологий". doi :10.6028/NIST.SP.800-30 . Получено 18 января 2022 г. .
^ «Могу ли я выбирать? Могу ли я выбирать? Угнетение и выбор», Теория свободы , Palgrave Macmillan, 2012, doi : 10.1057/9781137295026.0007, ISBN978-1-137-29502-6
^ Паркер, Донн Б. (январь 1994 г.). «Руководство по выбору и внедрению средств контроля безопасности». Безопасность информационных систем . 3 (2): 75–86. doi :10.1080/10658989409342459. ISSN 1065-898X.
^ Zoccali, Carmine; Mallamaci, Francesca; Tripepi, Giovanni (25 сентября 2007 г.). «Приглашенный редактор: Раджив Агарвал: Оценка профиля сердечно-сосудистого риска и контроль приема лекарств должны быть на первом месте». Семинары по диализу . 20 (5): 405–408. doi :10.1111/j.1525-139x.2007.00317.x. ISSN 0894-0959. PMID 17897245. S2CID 33256127.
^ Руководство по внедрению и аудиту средств управления СУИБ на основе ISO/IEC 27001. Лондон: BSI British Standards. 1 ноября 2013 г. doi : 10.3403/9780580829109. ISBN978-0-580-82910-9.
^ Джонсон, Л. (2015). Руководство по оценке, тестированию и оценке средств контроля безопасности. Syngress. стр. 678. ISBN9780128025642.
^ Информационные технологии. Методы обеспечения безопасности. Сопоставление пересмотренных изданий ISO/IEC 27001 и ISO/IEC 27002, BSI British Standards, doi :10.3403/30310928 , получено 29 мая 2021 г.
^ «Жители должны защищать свою личную информацию». JAMA . 279 (17): 1410B. 6 мая 1998 г. doi : 10.1001/jama.279.17.1410 . ISSN 0098-7484.
^ «Групповые системы поддержки мудрости: объединение идей многих людей с помощью информационных технологий». Issues in Information Systems . 2008. doi : 10.48009/2_iis_2008_343-350 . ISSN 1529-7314.
^ «ВЗАИМОЗАВИСИМОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ», Извлеченные уроки: Защита критической информационной инфраструктуры , IT Governance Publishing, стр. 34–37, 2018, doi : 10.2307/j.ctt1xhr7hq.13, ISBN978-1-84928-958-0, получено 29 мая 2021 г.
^ «Управление сетевой безопасностью», Безопасность периметра сети , Auerbach Publications, стр. 17–66, 27 октября 2003 г., doi :10.1201/9780203508046-3, ISBN978-0-429-21157-7, получено 29 мая 2021 г.
^ Какарека, А. (2013). «Глава 31: Что такое оценка уязвимости?». В Vacca, JR (ред.). Справочник по компьютерной и информационной безопасности (2-е изд.). Elsevier. стр. 541–552. ISBN9780123946126.
^ «Административный контроль», профессиональная эргономика , CRC Press, стр. 443–666, 26 марта 2003 г., doi : 10.1201/9780203507933-6, ISBN978-0-429-21155-3, получено 29 мая 2021 г.
^ Дьюк, Пенсильвания; Говард, IP (17 августа 2012 г.). «Обработка вертикальных различий в размерах в отдельных плоскостях глубины». Journal of Vision . 12 (8): 10. doi :10.1167/12.8.10. ISSN 1534-7362. PMID 22904355.
^ "Security Onion Control Scripts". Прикладной сетевой мониторинг безопасности . Elsevier. 2014. стр. 451–456. doi :10.1016/b978-0-12-417208-1.09986-4. ISBN978-0-12-417208-1. Получено 29 мая 2021 г. .
^ Saia, Sergio; Fragasso, Mariagiovanna; Vita, Pasquale De; Beleggia, Romina. «Метаболомика предоставляет ценную информацию для изучения твердой пшеницы: обзор». Журнал сельскохозяйственной и пищевой химии . doi :10.1021/acs.jafc.8b07097.s001 . Получено 29 мая 2021 г. .
^ "Обзор", Политики, процедуры и стандарты информационной безопасности , Auerbach Publications, 20 декабря 2001 г., doi :10.1201/9780849390326.ch1, ISBN978-0-8493-1137-6
^ Электрические реле защиты. Информация и требования ко всем реле защиты, BSI British Standards, doi :10.3403/bs142-1 , получено 29 мая 2021 г.
^ Дибаттиста, Джозеф Д.; Реймер, Джеймс Д.; Стат, Майкл; Масуччи, Джованни Д.; Бионди, Пьера; Брауэр, Мартен Де; Банс, Майкл (6 февраля 2019 г.). «Дополнительная информация 4: Список всех объединенных семейств в алфавитном порядке, присвоенных в MEGAN версии 5.11.3». ПерДж . 7 : е6379. дои : 10.7717/peerj.6379/supp-4 .
^ Ким, Сунг-Вон (31 марта 2006 г.). «Количественный анализ классов классификации и ресурсов секретной информации каталога». Журнал управления информацией . 37 (1): 83–103. doi : 10.1633/jim.2006.37.1.083 . ISSN 0254-3621.
^ ab Bayuk, J. (2009). "Глава 4: Классификация информации". В Axelrod, CW; Bayuk, JL; Schutzer, D. (ред.). Enterprise Information Security and Privacy . Artech House. стр. 59–70. ISBN9781596931916.
^ «Добро пожаловать в информационный век», Overload!, Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 43–65, 11 сентября 2015 г., doi : 10.1002/9781119200642.ch5, ISBN978-1-119-20064-2, получено 29 мая 2021 г.
^ Крукс, С. (2006). «102. Пример: когда усилия по контролю воздействия перевешивают другие важные соображения по проектированию». AIHce 2006 . AIHA. doi : 10.3320/1.2759009 (неактивно 11 сентября 2024 г.).{{cite book}}: CS1 maint: DOI неактивен по состоянию на сентябрь 2024 г. ( ссылка )
^ "Бизнес-модель информационной безопасности (BMIS)". ISACA. Архивировано из оригинала 26 января 2018 г. Получено 25 января 2018 г.
↑ МакОлифф, Лео (январь 1987 г.). «Совершенно секретно/коммерческая тайна: доступ к информации ограниченного доступа и ее защита». Government Information Quarterly . 4 (1): 123–124. doi :10.1016/0740-624x(87)90068-2. ISSN 0740-624X.
^ Икбал, Джаваид; Соройя, Сайра Ханиф; Махмуд, Халид (5 января 2023 г.). «Поведение в сфере безопасности финансовой информации в онлайн-банкинге». Information Development . 40 (4): 550–565. doi :10.1177/02666669221149346. ISSN 0266-6669. S2CID 255742685.
^ Хайруддин, Исмаил Мохд; Сидек, Шахрул Наим; Абдул Маджид, Анвар П.П.; Разман, Мохд Азраи Мохд; Пузи, Асмарани Ахмад; Юсоф, Хазлина мкр (25 февраля 2021 г.). «Рисунок 7: Точность классификации для каждой модели по всем признакам». PeerJ Информатика . 7 : е379. doi : 10.7717/peerj-cs.379/fig-7 .
^ «Классификация активов», Основы информационной безопасности , Auerbach Publications, стр. 327–356, 16 октября 2013 г., doi :10.1201/b15573-18, ISBN978-0-429-13028-1, получено 1 июня 2021 г.
^ ab Almehmadi, Abdulaziz; El-Khatib, Khalil (2013). «Авторизованный! Доступ запрещен, неавторизованный! Доступ предоставлен». Труды 6-й Международной конференции по безопасности информации и сетей . Sin '13. Нью-Йорк, Нью-Йорк, США: ACM Press. стр. 363–367. doi :10.1145/2523514.2523612. ISBN978-1-4503-2498-4. S2CID 17260474.
^ ab Peiss, Kathy (2020), «Страна разума также должна атаковать», Information Hunters , Oxford University Press, стр. 16–39, doi : 10.1093/oso/9780190944612.003.0003, ISBN978-0-19-094461-2, получено 1 июня 2021 г.
^ Фуджини, МГ; Мартелла, Г. (январь 1988 г.). «Модель Петри-сети механизмов контроля доступа». Информационные системы . 13 (1): 53–63. doi :10.1016/0306-4379(88)90026-9. ISSN 0306-4379.
^ Информационные технологии. Персональная идентификация. Водительские права, соответствующие стандарту ISO, Британские стандарты BSI, doi :10.3403/30170670u , получено 1 июня 2021 г.
^ Сантос, Омар (2015). Ccna security 210-260 официальный сертификат руководства . Cisco press. ISBN978-1-58720-566-8. OCLC 951897116.
^ "Что такое утверждение?", ОБУЧЕНИЕ УТВЕРЖДЕНИЮ , Абингдон, Великобритания: Тейлор и Фрэнсис, стр. 1–7, 1991, doi :10.4324/9780203169186_chapter_one, ISBN978-0-203-28556-5, получено 1 июня 2021 г.
^ Доу, Джон (1960). «Полевой сезон в Иллинойсе начинается 2 мая». Soil Horizons . 1 (2): 10. doi :10.2136/sh1960.2.0010 (неактивен 14 октября 2024 г.). ISSN 2163-2812.{{cite journal}}: CS1 maint: DOI неактивен по состоянию на октябрь 2024 г. ( ссылка )
^ Лич, М. (март 1996 г.). «Аутентификация имени пользователя/пароля для SOCKS V5». doi :10.17487/rfc1929 . Получено 18 января 2022 г. .
^ Кирк, Джон; Уолл, Кристин (2011), «Кассир, продавец, профсоюзный активист: формирование класса и изменение идентичности банковских работников», Работа и идентичность , Лондон: Palgrave Macmillan UK, стр. 124–148, doi :10.1057/9780230305625_6, ISBN978-1-349-36871-6, получено 1 июня 2021 г.
^ Вайл, Джон (2013), «Проверка лицензий», Энциклопедия Четвертой поправки , Вашингтон, округ Колумбия: CQ Press, doi :10.4135/9781452234243.n462, ISBN978-1-60426-589-7, получено 1 июня 2021 г.
^ «Он сказал/Она сказала», My Ghost Has a Name , University of South Carolina Press, стр. 17–32, doi :10.2307/j.ctv6wgjjv.6, ISBN978-1-61117-827-2, получено 29 мая 2021 г.
^ Бачигалупо, Сонни А.; Диксон, Линда К.; Габбинс, Саймон; Кучарски, Адам Дж.; Дрю, Джулиан А. (26 октября 2020 г.). «Дополнительная информация 8: Методы, используемые для мониторинга различных типов контактов». PeerJ . 8 : e10221. doi : 10.7717/peerj.10221/supp-8 .
^ Игелник, Борис М.; Зурада, Яцек (2013). Методы эффективности и масштабируемости для вычислительного интеллекта . Справочник по информационным наукам. ISBN978-1-4666-3942-3. OCLC 833130899.
^ «В страховом супербилле должно быть указано ваше имя как поставщика», Before You See Your First Client , Routledge, стр. 37–38, 1 января 2005 г., doi : 10.4324/9780203020289-11, ISBN978-0-203-02028-9, получено 1 июня 2021 г.
^ Кисселл, Джо. Возьмите под контроль свои пароли . ISBN978-1-4920-6638-5. OCLC 1029606129.
^ "Анонсированы новые водительские права с интеллектуальным управлением в Квинсленде". Card Technology Today . 21 (7): 5. Июль 2009. doi :10.1016/s0965-2590(09)70126-4. ISSN 0965-2590.
^ Национальная лаборатория им. Лоуренса в Ливерморе. США. Министерство энергетики. Управление научной и технической информации (1995). Оценка человеческого фактора и эргономики интерфейса панели доступа безопасности . США. Министерство энергетики. OCLC 727181384.
^ Ли, Пол (апрель 2017 г.). «Отпечатки очаровательны: как отпечатки пальцев являются новаторами в области биометрии». Biometric Technology Today . 2017 (4): 8–11. doi :10.1016/s0969-4765(17)30074-7. ISSN 0969-4765.
^ Лэндрок, Питер (2005). «Двухфакторная аутентификация». Энциклопедия криптографии и безопасности . стр. 638. doi :10.1007/0-387-23483-7_443. ISBN978-0-387-23473-1.
^ "Рисунок 1.5. Брак остается наиболее распространенной формой партнерства среди пар, 2000-07". doi :10.1787/888932392533 . Получено 1 июня 2021 г. .
^ Акпенинор, Джеймс Охвофаса (2013). Современные концепции безопасности. Блумингтон, Индиана: AuthorHouse. стр. 135. ISBN978-1-4817-8232-6. Получено 18 января 2018 г. .
^ Ричардс, Г. (апрель 2012 г.). «Предварительная аутентификация с помощью одноразового пароля (OTP)». doi :10.17487/rfc6560.
^ Шумахер, Дитмар (3 апреля 2016 г.). «Поверхностная геохимическая разведка после 85 лет: что было достигнуто и что еще предстоит сделать». Международная конференция и выставка, Барселона, Испания, 3–6 апреля 2016 г. Тезисы всемирной встречи SEG. Общество геофизиков-разведчиков и Американская ассоциация геологов-нефтяников. стр. 100. doi :10.1190/ice2016-6522983.1.
^ «Программа авторизации и одобрения», Политики и процедуры внутреннего контроля , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 69–72, 23 октября 2015 г., doi : 10.1002/9781119203964.ch10, ISBN978-1-119-20396-4, получено 1 июня 2021 г.
^ «Какие ответы при каких условиях?», Местная политика и Европейский социальный фонд , Policy Press, стр. 81–102, 2 октября 2019 г., doi : 10.2307/j.ctvqc6hn1.12, ISBN978-1-4473-4652-4, S2CID 241438707 , получено 1 июня 2021 г.
^ Чэн, Лян; Чжан, Ян; Хан, Чжихуэй (июнь 2013 г.). «Количественное измерение механизмов контроля доступа в различных операционных системах». 2013 IEEE 7-я международная конференция по безопасности и надежности программного обеспечения . IEEE. стр. 50–59. doi :10.1109/sere.2013.12. ISBN978-1-4799-0406-8. S2CID 13261344.
^ ab Weik, Martin H. (2000), "дискреционный контроль доступа", Computer Science and Communications Dictionary , стр. 426, doi :10.1007/1-4020-0613-6_5225, ISBN978-0-7923-8425-0
^ Grewer, C.; Balani, P.; Weidenfeller, C.; Bartusel, T.; Zhen Tao; Rauen, T. (10 августа 2005 г.). «Отдельные субъединицы гомотримера транспортера глутамата EAAC1 функционируют независимо друг от друга». Biochemistry . 44 (35): 11913–11923. doi :10.1021/bi050987n. PMC 2459315 . PMID 16128593.
^ Эллис Ормрод, Джин (2012). Основы педагогической психологии: большие идеи для эффективного обучения . Пирсон. ISBN978-0-13-136727-2. OCLC 663953375.
^ Белим, С. В.; Богаченко, Н. Ф.; Кабанов, АН (ноябрь 2018 г.). «Уровень строгости разрешений в ролевом контроле доступа». 2018 Динамика систем, механизмов и машин (динамика) . IEEE. С. 1–5. arXiv : 1812.11404 . doi : 10.1109/dynamics.2018.8601460. ISBN978-1-5386-5941-0. S2CID 57189531.
^ "Настройка TACACS и расширенного TACACS", Защита и управление маршрутизаторами Cisco , Auerbach Publications, 15 мая 2002 г., doi :10.1201/9781420031454.ch11, ISBN978-0-8493-1290-8
^ «Разработка эффективных политик безопасности», Анализ рисков и выбор контрмер безопасности , CRC Press, стр. 261–274, 18 декабря 2009 г., doi : 10.1201/9781420078718-18, ISBN978-0-429-24979-2, получено 1 июня 2021 г.
^ «Использование контрольных журналов для мониторинга ключевых сетей и систем должно оставаться частью материальной уязвимости компьютерной безопасности». www.treasury.gov . Получено 6 октября 2017 г.
^ "fixing-canadas-access-to-medicines-regime-what-you-need-to-know-about-bill-c398". Документы по правам человека онлайн . doi :10.1163/2210-7975_hrd-9902-0152 . Получено 1 июня 2021 г. .
^ Салазар, Мэри К. (январь 2006 г.). «Работа с неопределенными рисками — когда применять принцип предосторожности». Журнал AAOHN . 54 (1): 11–13. doi :10.1177/216507990605400102. ISSN 0891-0162. S2CID 87769508.
^ «Нам нужно больше знать о том, как правительство цензурирует своих сотрудников». Документы по правам человека в Интернете . doi :10.1163/2210-7975_hrd-9970-2016117 . Получено 1 июня 2021 г. .
^ Пурнель, Джерри (22 апреля 2004 г.), «1001 компьютерное слово, которое вам нужно знать», 1001 компьютерное слово, которое вам нужно знать: полное руководство по языку компьютеров , Oxford Scholarship Online, Oxford University Press, doi : 10.1093/oso/9780195167757.003.0007, ISBN978-0-19-516775-7, получено 30 июля 2021 г.
^ Исттом, Уильям (2021), «Криптография на эллиптических кривых», Современная криптография , Cham: Springer International Publishing, стр. 245–256, doi : 10.1007/978-3-030-63115-4_11, ISBN978-3-030-63114-7, S2CID 234106555 , получено 1 июня 2021 г.
^ Фоллман, Ребекка (1 марта 2014 г.). От того, кто там побывал: поиск информации в наставничестве. Труды конференции IConference 2014 (диссертация). iSchools. doi : 10.9776/14322. hdl : 1903/14292. ISBN978-0-9884900-1-7.
^ Вайс, Джейсон (2004), «Дайджесты сообщений, коды аутентификации сообщений и цифровые подписи», Java Cryptography Extensions , Elsevier, стр. 101–118, doi :10.1016/b978-012742751-5/50012-8, ISBN978-0-12-742751-5, получено 5 июня 2021 г.
^ Bider, D. (март 2018 г.). «Использование ключей RSA с SHA-256 и SHA-512 в протоколе Secure Shell (SSH)» (PDF) . Серия RFC. doi :10.17487/RFC8332 . Получено 30 ноября 2023 г.
^ Noh, Jaewon; Kim, Jeehyeong; Kwon, Giwon; Cho, Sunghyun (октябрь 2016 г.). «Схема безопасного обмена ключами для WPA/WPA2-PSK с использованием криптографии с открытым ключом». Международная конференция IEEE по потребительской электронике в Азии (ICCE-Asia) 2016 г. IEEE. стр. 1–4. doi :10.1109/icce-asia.2016.7804782. ISBN978-1-5090-2743-9. S2CID 10595698.
^ Ван Бюрен, Рой Ф. (май 1990 г.). «Как можно использовать стандарт шифрования данных для шифрования файлов и баз данных». Обзор ACM SIGSAC . 8 (2): 33–39. doi :10.1145/101126.101130. ISSN 0277-920X.
^ Бонно, Джозеф (2016), «Зачем покупать, если можно арендовать?», Финансовая криптография и безопасность данных , Конспект лекций по информатике, т. 9604, Берлин, Гейдельберг: Springer Berlin Heidelberg, стр. 19–26, doi :10.1007/978-3-662-53357-4_2, ISBN978-3-662-53356-7, S2CID 18122687 , получено 5 июня 2021 г.
^ Коулман, Хизер; Андрон, Джефф (1 августа 2015 г.), «Что ГИС-экспертам и специалистам по политике нужно знать об использовании Marxan в многоцелевых процессах планирования», Ocean Solutions, Earth Solutions , Esri Press, doi :10.17128/9781589483651_2, ISBN978-1-58948-365-1, получено 5 июня 2021 г.
^ ab Лэндрок, Питер (2005), «Ключ шифрования ключа», Энциклопедия криптографии и безопасности , стр. 326–327, doi :10.1007/0-387-23483-7_220, ISBN978-0-387-23473-1
^ Гири, Дебасис; Баруа, Притхаян; Шривастава, ПД; Яна, Бисвапати (2010), «Криптосистема для шифрования и дешифрования длинных конфиденциальных сообщений», Информационная безопасность и обеспечение безопасности, Коммуникации в области компьютерных и информационных наук, т. 76, Берлин, Гейдельберг: Springer Berlin Heidelberg, стр. 86–96, Bibcode : 2010isa..conf...86G, doi : 10.1007/978-3-642-13365-7_9, ISBN978-3-642-13364-0, получено 5 июня 2021 г.
^ Валлабханени, SR (2008). Корпоративное управление, управление и этика. Лучшие практики. John Wiley & Sons. стр. 288. ISBN9780470255803.
^ Бонкардо, Роберт (20 сентября 2018 г.). «Малларме Жан-Клода Мильнера : ничего не произошло». Издательство Эдинбургского университета . 1. doi :10.3366/edinburgh/9781474429528.003.0005. S2CID 172045429.
^ «Важность комплексной проверки операций», комплексная проверка операций хедж-фондов , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 49–67, 16 октября 2015 г., doi : 10.1002/9781119197485.ch2, ISBN978-1-119-19748-5, получено 5 июня 2021 г.
^ Холл, Гейлорд К. (март 1917 г.). «Некоторые важные диагностические моменты, которые должен знать врач общей практики о носе». Southern Medical Journal . 10 (3): 211. doi :10.1097/00007611-191703000-00007. ISSN 0038-4348.
^ Ренес, Дж. (1999). Landschappen van Maas en Peel: een toegepast историко-географический обзор в het streekplangebied Noord-en Midden-Limburg . Эйсма. ISBN90-74252-84-2. OCLC 782897414.
^ Томас, Брук (22 июня 2017 г.). «Minding Previous Steps Taken». Oxford Scholarship Online . doi :10.1093/acprof:oso/9780190456368.003.0002. ISBN978-0-19-045639-9.
^ Лундгрен, Регина Э. (2018). Информирование о рисках: руководство по информированию об экологических, производственных и санитарных рисках . Wiley. ISBN978-1-119-45613-1. OCLC 1043389392.
^ Дженсен, Эрик Талбот (3 декабря 2020 г.), «Должная осмотрительность в кибер-деятельности», Due Diligence in the International Legal Order , Oxford University Press, стр. 252–270, doi : 10.1093/oso/9780198869900.003.0015, ISBN978-0-19-886990-0, получено 5 июня 2021 г.
^ "The Duty of Care Risk Analysis Standard". DoCRA . Архивировано из оригинала 14 августа 2018 г. Получено 15 августа 2018 г.
^ Саттон, Адам; Черни, Адриан; Уайт, Роб (2008), «Оценка профилактики преступности», Предотвращение преступности , Кембридж: Издательство Кембриджского университета, стр. 70–90, doi : 10.1017/cbo9780511804601.006, ISBN978-0-511-80460-1, получено 5 июня 2021 г.
↑ Проверьте, Эрика (15 сентября 2004 г.). «FDA рассматривает риски антидепрессантов для детей». Nature . doi :10.1038/news040913-15. ISSN 0028-0836.
↑ Окленд, Крессида (16 августа 2017 г.). «Защита меня от моего распоряжения: обеспечение соответствующих гарантий для предварительных распоряжений при деменции». Обзор медицинского права . 26 (1): 73–97. doi :10.1093/medlaw/fwx037. ISSN 0967-0742. PMID 28981694.
^ Такач, Джордж С. (2016), «Подготовка к судебному разбирательству по факту нарушения», Подготовка к нарушению данных и реагирование на него , Elsevier, стр. 217–230, doi : 10.1016/b978-0-12-803451-4.00009-5, ISBN978-0-12-803451-4, получено 5 июня 2021 г.
^ Westby, JR; Allen, JH (август 2007 г.). "Руководство по внедрению системы управления безопасностью предприятия (GES)" (PDF) . Институт программной инженерии . Получено 25 января 2018 г. .
^ Фаулер, Кеви (2016), «Разработка плана реагирования на инциденты компьютерной безопасности», Подготовка к утечке данных и реагирование на нее , Elsevier, стр. 49–77, doi :10.1016/b978-0-12-803451-4.00003-4, ISBN978-0-12-803451-4, получено 5 июня 2021 г.
^ Бизоньи, Фабио (2016). «Доказательство пределов законов об уведомлении о нарушении конфиденциальности данных на уровне штата: является ли федеральный закон наиболее адекватным решением?». Журнал информационной политики . 6 : 154–205. doi : 10.5325/jinfopoli.6.2016.0154. JSTOR 10.5325/jinfopoli.6.2016.0154.
^ «Понимание плана для каждой части», Turbo Flow , Productivity Press, стр. 21–30, 27 июля 2017 г., doi : 10.1201/b10336-5, ISBN978-0-429-24603-6, получено 5 июня 2021 г.
^ ab Wills, Leonard (27 февраля 2019 г.). «Краткое руководство по обработке киберинцидента». Американская ассоциация юристов .
^ Джонсон, Лейтон Р. (2014), «Часть 1. Группа реагирования на инциденты», Реагирование на компьютерные инциденты и управление криминалистической группой , Elsevier, стр. 17–19, doi :10.1016/b978-1-59749-996-5.00038-8, ISBN978-1-59749-996-5, получено 5 июня 2021 г.
^ «Реагирование на компьютерные инциденты и управление группой криминалистов». Сетевая безопасность . 2014 (2): 4. Февраль 2014. doi :10.1016/s1353-4858(14)70018-2. ISSN 1353-4858.
^ «Ландшафт угроз кибербезопасности и будущие тенденции», Кибербезопасность , Routledge, стр. 304–343, 16 апреля 2015 г., doi : 10.1201/b18335-12, ISBN978-0-429-25639-4, получено 5 июня 2021 г.
^ Информационные технологии. Методы обеспечения безопасности. Управление инцидентами информационной безопасности, BSI British Standards, doi :10.3403/30268878u , получено 5 июня 2021 г.
↑ Тернер, Тим (7 сентября 2011 г.), «Наше начало: члены команды, которые начали историю успеха», Одна команда на всех уровнях , Productivity Press, стр. 9–36, doi :10.4324/9781466500020-2, ISBN978-0-429-25314-0, получено 5 июня 2021 г.
^ "главной улицы Белграда. Событие имело место в абсолютном", Radical Street Performance , Routledge, стр. 81–83, 5 ноября 2013 г., doi :10.4324/9781315005140-28, ISBN978-1-315-00514-0, получено 5 июня 2021 г.
^ «Почему выбор так важен и что можно сделать, чтобы его сохранить». Манипуляция выбором . Palgrave Macmillan. 2013. doi : 10.1057/9781137313577.0010. ISBN978-1-137-31357-7.
^ Боргстрём, Пернилла; Стренгбом, Иоахим; Викетофт, Мария; Боммарко, Риккардо (4 апреля 2016 г.). "Таблица S3: Результаты линейно-смешанных моделей, в которых не были удалены незначимые [sic] параметры". PeerJ . 4 : e1867. doi : 10.7717/peerj.1867/supp-3 .
^ Пенфолд, Дэвид (2000), «Выбор, копирование, перемещение и удаление файлов и каталогов», ECDL Модуль 2: Использование компьютера и управление файлами , Лондон: Springer London, стр. 86–94, doi :10.1007/978-1-4471-0491-9_6, ISBN978-1-85233-443-7
^ Гумус, Онур (2018). Основы ASP. NET Core 2: создание кроссплатформенных приложений и динамических веб-сервисов с помощью этой серверной платформы веб-приложений . Packt Publishing Ltd. ISBN978-1-78953-355-2. OCLC 1051139482.
^ «Понимают ли студенты то, что они изучают?», Trouble-shooting Your Teaching , Routledge, стр. 36–40, 25 февраля 2005 г., doi :10.4324/9780203416907-8, ISBN978-0-203-41690-7, получено 5 июня 2021 г.
^ «Где реставрируются фильмы, откуда они берутся и кто их реставрирует?», Реставрация фильмов , Palgrave Macmillan, 2013, doi : 10.1057/9781137328724.0006, ISBN978-1-137-32872-4
^ Ляо, Ци; Ли, Чжэнь; Штригель, Аарон (24 января 2011 г.). «Могут ли правила брандмауэра быть публичными — игровая теоретическая перспектива». Security and Communication Networks . 5 (2): 197–210. doi :10.1002/sec.307. ISSN 1939-0114.
^ Бекман, Филипп; Гринвальд, Дэвид Дж.; Фон Бисмарк, Нилуфер (2013). Двенадцатый ежегодный институт по регулированию ценных бумаг в Европе: преодоление проблем заключения сделок на текущих рынках . Институт юридической практики. ISBN978-1-4024-1932-4. OCLC 825824220.
^ "Рисунок 1.8. Расходы на социальное обеспечение растут, а самофинансирование падает". doi :10.1787/888932459242 . Получено 5 июня 2021 г. .
^ «Управление информацией: решающий первый шаг», Защита критически важных электронных документов , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 13–24, 19 сентября 2015 г., doi : 10.1002/9781119204909.ch2, ISBN978-1-119-20490-9, получено 5 июня 2021 г.
^ Хе, Ин (1 декабря 2017 г.). «Проблемы изучения инцидентов информационной безопасности: отраслевое исследование в китайской организации здравоохранения» (PDF) . Информатика для здравоохранения и социальной помощи . 42 (4): 394–395. doi :10.1080/17538157.2016.1255629. PMID 28068150. S2CID 20139345.
^ Кампфнер, Роберто Р. (1985). «Формальная спецификация требований к информационным системам». Обработка информации и управление . 21 (5): 401–414. doi :10.1016/0306-4573(85)90086-x. ISSN 0306-4573.
^ Дженнер, HA (1995). Оценка экотоксикологических рисков выщелачивания элементов из пылевидной угольной золы . sn] OCLC 905474381.
^ "Настольные компьютеры: программное обеспечение". Practical Pathology Informatics . Нью-Йорк: Springer-Verlag. 2006. стр. 51–82. doi :10.1007/0-387-28058-8_3. ISBN0-387-28057-X. Получено 5 июня 2021 г. .
^ Wilby, RL; Orr, HG; Hedger, M.; Forrow, D.; Blackmore, M. (декабрь 2006 г.). «Риски, создаваемые изменением климата для достижения целей Рамочной директивы по водным ресурсам в Великобритании». Environment International . 32 (8): 1043–1055. Bibcode :2006EnInt..32.1043W. doi :10.1016/j.envint.2006.06.017. ISSN 0160-4120. PMID 16857260.
^ Кэмпбелл, Т. (2016). "Глава 14: Разработка безопасных систем". Практическое управление информационной безопасностью: Полное руководство по планированию и внедрению . Apress. стр. 218. ISBN9781484216859.
^ Коппельман, Кент Л. (2011). Понимание человеческих различий: мультикультурное образование для разнообразной Америки . Pearson/Allyn & Bacon. OCLC 1245910610.
^ "Постобработка". Простая сцена, сенсационный снимок . Routledge. 12 апреля 2013 г. стр. 128–147. doi :10.4324/9780240821351-9. ISBN978-0-240-82135-1. Получено 5 июня 2021 г. .
^ Кумар, Бинай; Махто, Тулси; Кумари, Винита; Рави, Бинод Кумар; Дипмала (2016). «Шарабанство: как оно может оказаться фатальным даже в, казалось бы, простых случаях — отчет о случае». Medico-Legal Update . 16 (2): 75. doi :10.5958/0974-1283.2016.00063.3. ISSN 0971-720X.
^ Прист, Салли (22 февраля 2019 г.). «Совместные роли и обязанности в управлении рисками наводнений». Журнал управления рисками наводнений . 12 (1): e12528. Bibcode : 2019JFRM...12E2528P. doi : 10.1111/jfr3.12528. ISSN 1753-318X. S2CID 133789858.
^ США. Министерство энергетики. Офис генерального инспектора. Управление научной и технической информации (2009). Аудиторский отчет, «Недостатки противопожарной защиты в Лос-Аламосской национальной лаборатории» . США. Министерство энергетики. OCLC 727225166.
^ Томс, Элейн Г. (январь 1992 г.). «Управление изменениями в библиотеках и информационных службах; системный подход». Обработка и управление информацией . 28 (2): 281–282. doi :10.1016/0306-4573(92)90052-2. ISSN 0306-4573.
^ Аболхассан, Ферри (2003). «Процесс управления изменениями, внедренный в IDS Scheer». Управление изменениями бизнес-процессов . Берлин, Гейдельберг: Springer Berlin Heidelberg. стр. 15–22. doi :10.1007/978-3-540-24703-6_2. ISBN978-3-642-05532-4. Получено 5 июня 2021 г. .
^ Доусон, Крис (1 июля 2020 г.). Лидерство в изменении культуры. doi : 10.1515/9780804774673. ISBN9780804774673. S2CID 242348822.
^ Маккормик, Дуглас П. (22 марта 2016 г.). Family Inc.: использование принципов бизнеса для максимизации благосостояния вашей семьи . John Wiley & Sons. ISBN978-1-119-21976-7. OCLC 945632737.
^ Шулер, Райнер (август 1995 г.). «Некоторые свойства множеств, поддающихся обработке при любом распределении, вычислимом за полиномиальное время». Information Processing Letters . 55 (4): 179–184. doi :10.1016/0020-0190(95)00108-o. ISSN 0020-0190.
^ "Рисунок 12.2. Доля самозанятых работников, которые обычно не имеют более одного клиента" (Excel) . doi :10.1787/888933881610 . Получено 5 июня 2021 г. .
^ "Многопользовательский файловый сервер для локальных сетей DOS". Computer Communications . 10 (3): 153. Июнь 1987. doi :10.1016/0140-3664(87)90353-7. ISSN 0140-3664.
^ «Определение организационных изменений», Организационные изменения , Оксфорд, Великобритания: Wiley-Blackwell, стр. 21–51, 19 апреля 2011 г., doi :10.1002/9781444340372.ch1, ISBN978-1-4443-4037-2, получено 5 июня 2021 г.
^ Кирхмер, Матиас; Шеер, Август-Вильгельм (2003), «Управление изменениями — ключ к совершенству бизнес-процессов», Управление изменениями в бизнес-процессах , Берлин, Гейдельберг: Springer Berlin Heidelberg, стр. 1–14, doi :10.1007/978-3-540-24703-6_1, ISBN978-3-642-05532-4, получено 5 июня 2021 г.
^ More, Josh; Stieber, Anthony J.; Liu, Chris (2016), «Tier 2 — Advanced Help Desk — Help Desk Supervisor», Breaking Into Information Security , Elsevier, стр. 111–113, doi :10.1016/b978-0-12-800783-9.00029-x, ISBN978-0-12-800783-9, получено 5 июня 2021 г.
^ «Применение байесовских сетей в автоматизированной оценке задач компьютерного моделирования», Автоматизированная оценка сложных задач в компьютерном тестировании , Routledge, стр. 212–264, 4 апреля 2006 г., doi : 10.4324/9780415963572-10, ISBN978-0-415-96357-2, получено 5 июня 2021 г.
^ Каванаг, Майкл Дж. (июнь 1994 г.). «Изменение, изменение, изменение». Управление группами и организациями . 19 (2): 139–140. doi :10.1177/1059601194192001. ISSN 1059-6011. S2CID 144169263.
^ Тейлор, Дж. (2008). "Глава 10: Понимание процесса изменения проекта". Планирование проекта и контроль затрат: планирование, мониторинг и контроль базовой линии . J. Ross Publishing. стр. 187–214. ISBN9781932159110.
^ "17. Инновации и изменения: может ли кто-нибудь сделать это?", Backstage in a Bureaucracy , University of Hawaii Press, стр. 87–96, 31 декабря 2017 г., doi : 10.1515/9780824860936-019, ISBN978-0-8248-6093-6, получено 5 июня 2021 г.
^ Браун, Адам (3 февраля 2015 г.). Обещание карандаша: как обычный человек может создать необычайные изменения . Саймон и Шустер. ISBN978-1-4767-3063-9. OCLC 902912775.
^ «Описание изменений внутри человека с течением времени», Лонгитюдный анализ , Routledge, стр. 235–306, 30 января 2015 г., doi : 10.4324/9781315744094-14, ISBN978-1-315-74409-4, получено 5 июня 2021 г.
^ Ингрэм, Кэролин; Бан, Патрисия В. (1984). Законодательное бюрократическое изменение: Закон о реформе государственной службы 1978 года . Издательство Государственного университета Нью-Йорка. ISBN0-87395-886-1. OCLC 10300171.
^ Wei, J. (4 мая 2000 г.). «Предварительный запрос на изменение кольца SNS 1,3 ГэВ-совместимого». OSTI.GOV . doi :10.2172/1157253. OSTI 1157253 . Получено 18 января 2022 г. .
^ Чэнь Лян (май 2011 г.). «Управление приоритетами распределения сельскохозяйственных водных ресурсов на основе теории виртуальной воды». Международная конференция по управлению бизнесом и электронной информации 2011 г. Том 1. IEEE. стр. 644–647. doi :10.1109/icbmei.2011.5917018. ISBN978-1-61284-108-3. S2CID 29137725.
^ «Риски изменений и передовой опыт в управлении изменениями в бизнесе Неуправляемый риск изменений приводит к проблемам в управлении изменениями», Руководство и реализация управления изменениями в бизнесе , Routledge, стр. 32–74, 18 июля 2013 г., doi : 10.4324/9780203073957-9 (неактивен 11 сентября 2024 г.), ISBN978-0-203-07395-7{{citation}}: CS1 maint: DOI неактивен по состоянию на сентябрь 2024 г. ( ссылка )
^ Брэгг, Стивен М. (2016). Лучшие практики бухгалтерского учета . Wiley. ISBN978-1-118-41780-5. OCLC 946625204.
^ «Успешные изменения требуют большего, чем управление изменениями». Human Resource Management International Digest . 16 (7). 17 октября 2008 г. doi :10.1108/hrmid.2008.04416gad.005. ISSN 0967-0734.
^ «Планирование водных ресурсов в условиях изменения климата», Пространственное планирование и изменение климата , Routledge, стр. 287–313, 13 сентября 2010 г., doi : 10.4324/9780203846537-20, ISBN978-0-203-84653-7, получено 5 июня 2021 г.
↑ Роуэн, Джон (январь 1967). «Отвечая компьютеру». Управленческое решение . 1 (1): 51–54. doi :10.1108/eb000776. ISSN 0025-1747.
^ Бисвас, Маргарет Р.; Бисвас, Асит К. (февраль 1981 г.). «Изменение климата и производство продовольствия». Сельское хозяйство и окружающая среда . 5 (4): 332. doi :10.1016/0304-1131(81)90050-3. ISSN 0304-1131.
^ Weik, Martin H. (2000), "backout", Computer Science and Communications Dictionary , стр. 96, doi :10.1007/1-4020-0613-6_1259, ISBN978-0-7923-8425-0
^ "Редакционно-консультативный и рецензируемый совет", Бизнес и устойчивое развитие: концепции, стратегии и изменения , Критические исследования корпоративной ответственности, управления и устойчивого развития, т. 3, Emerald Group Publishing Limited, стр. xv–xvii, 6 декабря 2011 г., doi : 10.1108/s2043-9059(2011)0000003005, ISBN978-1-78052-438-2, получено 5 июня 2021 г.
^ «Там, где однажды был мираж, должна быть жизнь», Новые и избранные стихотворения , Издательство Университета Южной Каролины, стр. 103, 2014, doi :10.2307/j.ctv6sj8d1.65, ISBN978-1-61117-323-9, получено 5 июня 2021 г.
^ Белл, Марвин (1983). «Двое, когда могло быть трое». The Antioch Review . 41 (2): 209. doi :10.2307/4611230. JSTOR 4611230.
^ "Мы также можем что-то изменить". Human Rights Documents Online . doi :10.1163/2210-7975_hrd-0148-2015175 . Получено 5 июня 2021 г. .
↑ Мазикана, Энтони Тапива (5 ноября 2020 г.). "«Изменения — закон жизни. И те, кто смотрит только в прошлое или настоящее, наверняка упустят будущее». Джон Ф. Кеннеди оценивает это утверждение со ссылками на организации в Зимбабве, на которых повлияли изменения». SSRN 3725707.
^ Раманадхам, В.В. (ред.). Приватизация в Великобритании . ISBN978-0-429-19973-8. OCLC 1085890184.
^ «Необходимо реализовать более сложную/реалистичную реологию; необходимо провести численные тесты сходимости». Geoloscientific Model Development Discussions . 22 сентября 2020 г. doi : 10.5194/gmd-2020-107-rc2 . S2CID 241597573.
^ Стоун, Эдвард. Коллекция Эдварда С. Стоуна . OCLC 733102101.
^ Lientz, B (2002). «Разработайте свой план внедрения улучшений». Достигните устойчивого улучшения процесса . Elsevier. стр. 151–171. doi :10.1016/b978-0-12-449984-3.50011-8. ISBN978-0-12-449984-3. Получено 5 июня 2021 г. .
^ Смитс, Питер (2009). Экспедиция в агропарках: пройдитесь по городским земельным участкам и прогуляйтесь по ним . sn] ISBN978-90-8585-515-6. OCLC 441821141.
^ "Рисунок 1.3. Около 50 процентов рекомендаций Going for Growth были реализованы или находятся в процессе реализации". doi :10.1787/888933323735 . Получено 5 июня 2021 г. .
^ Кекес, Джон (21 февраля 2019 г.), «Должно ли правосудие быть совершено любой ценой?», Трудные вопросы , Oxford University Press, стр. 98–126, doi :10.1093/oso/9780190919986.003.0005, ISBN978-0-19-091998-6, получено 5 июня 2021 г.
^ Форрестер, Келли (2014). Макроэкономические последствия изменений в составе рабочей силы . Калифорнийский университет, Санта-Барбара. ISBN978-1-321-34938-2. OCLC 974418780.
^ Чоудхури, Гаган Л.; Раппапорт, Стивен С. (октябрь 1981 г.). «Системы множественного доступа с назначением по требованию, использующие каналы запроса коллизионного типа». ACM SIGCOMM Computer Communication Review . 11 (4): 136–148. doi :10.1145/1013879.802667. ISSN 0146-4833.
^ Кринсон, Марк (2013). ««Некоторые старые и прекрасные вещи, чье обозначение абстрактно, устарело»: Джеймс Стерлинг и ностальгия». Изменение со временем . 3 (1): 116–135. doi :10.1353/cot.2013.0000. ISSN 2153-0548. S2CID 144451363.
^ Ахвиди, Мансур; Пембертон, Лин (2016). «Какие изменения необходимо внести в LNHS для успешного внедрения систем электронного здравоохранения?». Труды Международной конференции по информационным и коммуникационным технологиям для здорового старения и электронного здравоохранения . Scitepress. стр. 71–79. doi :10.5220/0005620400710079. ISBN978-989-758-180-9.
^ ab Cobey, Sarah; Larremore, Daniel B.; Grad, Yonatan H.; Lipsitch, Marc (2021). «Опасения по поводу эволюции SARS-CoV-2 не должны сдерживать усилия по расширению вакцинации». Nature Reviews Immunology . 21 (5): 330–335. doi :10.1038/s41577-021-00544-9. PMC 8014893. PMID 33795856 .
^ Фрэмптон, Майкл (26 декабря 2014 г.), «Обработка данных с помощью Map Reduce», Big Data Made Easy , Беркли, Калифорния: Apress, стр. 85–120, doi :10.1007/978-1-4842-0094-0_4, ISBN978-1-4842-0095-7, получено 5 июня 2021 г.
^ "В целом хорошее исследование, но несколько процедур требуют исправления" (PDF) . Обсуждения гидрологии и наук о системе Земли . 23 февраля 2016 г. doi : 10.5194/hess-2015-520-rc2 . Получено 18 января 2022 г. .
^ Харрисон, Кент; Крафт, Уолтер М.; Хиллер, Джек; МакКласки, Майкл Р.; BDM Federal Inc Seaside CA (июль 1996 г.). «Проект координации экспертной оценки. Анализ задач для планирования разведывательной деятельности (критическая боевая функция 1): как это сделано оперативной группой батальона». DTIC ADA313949.
^ itpi.org Архивировано 10 декабря 2013 г. на Wayback Machine
^ "краткое содержание книги The Visible Ops Handbook: Implementing ITIL in 4 Practical and Auditable Steps" (Руководство по видимым операциям: внедрение ITIL за 4 практических и проверяемых шага). wikisummaries.org . Получено 22 июня 2016 г. .
^ Бигелоу, Мишель (23 сентября 2020 г.), «Управление изменениями и контроль изменений», Внедрение информационной безопасности в здравоохранении , HIMSS Publishing, стр. 203–214, doi :10.4324/9781003126294-17, ISBN978-1-003-12629-4, S2CID 224866307 , получено 5 июня 2021 г.
^ Управление непрерывностью бизнеса. Руководство по восстановлению организации после разрушительных инцидентов, BSI British Standards, doi :10.3403/30194308 , получено 5 июня 2021 г.
^ Хоан, Чу Тай (1996). Разработка компьютеризированной помощи для комплексного планирования землепользования (cailup) на региональном уровне в орошаемых районах: исследование для региона Куан Ло Фунг Хьеп в дельте Меконга, Вьетнам . ITC. ISBN90-6164-120-9. OCLC 906763535.
↑ 1 Хибберд, Гэри (11 сентября 2015 г.), «Разработка стратегии BCM в соответствии со стратегией бизнеса», The Definitive Handbook of Business Continuity Management , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 23–30, doi : 10.1002/9781119205883.ch2, ISBN 978-1-119-20588-3, получено 5 июня 2021 г.
^ Хотчкисс, Стюарт (2010). Управление непрерывностью бизнеса: на практике . BCS Learning & Development Limited. ISBN978-1-906124-72-4.[ нужна страница ]
^ «Определение потенциальных причин отказов», Анализ отказов систем , ASM International, стр. 25–33, 2009, doi :10.31399/asm.tb.sfa.t52780025, ISBN978-1-62708-268-6, получено 5 июня 2021 г.
^ Клеменс, Джеффри. Риски для доходов от медицинских инноваций: случай мириада генетики . OCLC 919958196.
^ Гоатчер, Женевьева (2013), «Максимально допустимый сбой», Энциклопедия управления кризисами , Таузенд-Оукс, Калифорния: SAGE Publications, Inc., doi : 10.4135/9781452275956.n204, ISBN978-1-4522-2612-5, получено 5 июня 2021 г.
^ «Торговли при проектировании сегментов», Архитектура программного обеспечения радио , Нью-Йорк, США: John Wiley & Sons, Inc., стр. 236–243, 17 января 2002 г., doi : 10.1002/047121664x.ch6, ISBN978-0-471-21664-3, получено 5 июня 2021 г.
^ Бланделл, С. (1998). "IN-EMERGENCY - интегрированное управление инцидентами, экстренная медицинская помощь и мониторинг окружающей среды в дорожных сетях". Семинар IEE по использованию ИТС в общественном транспорте и в службах экстренной помощи . Том 1998. IEE. стр. 9. doi :10.1049/ic:19981090.
^ Кинг, Джонатан Р. (январь 1993 г.). «Планы действий в чрезвычайных ситуациях и восстановление бизнеса». Information Systems Management . 10 (4): 56–59. doi :10.1080/10580539308906959. ISSN 1058-0530.
^ Филлипс, Бренда Д.; Ландаль, Марк (2021), «Укрепление и тестирование плана обеспечения непрерывности бизнеса», Business Continuity Planning , Elsevier, стр. 131–153, doi : 10.1016/b978-0-12-813844-1.00001-4, ISBN978-0-12-813844-1, S2CID 230582246 , получено 5 июня 2021 г.
^ Шнурр, Стефани (2009), «Другая сторона дискурса лидерства: юмор и эффективность деятельности лидера в отношениях», Лидерский дискурс на работе , Лондон: Palgrave Macmillan UK, стр. 42–60, doi : 10.1057/9780230594692_3, ISBN978-1-349-30001-3, получено 5 июня 2021 г.
^ Указанные реле времени для промышленного использования, BSI British Standards, doi :10.3403/02011580u , получено 5 июня 2021 г.
^ "Образец общего плана и процедуры: план восстановления после сбоев (DRP) для операций/центра обработки данных". Насилие на рабочем месте . Elsevier. 2010. стр. 253–270. doi :10.1016/b978-1-85617-698-9.00025-4. ISBN978-1-85617-698-9. Получено 5 июня 2021 г. .
^ "План восстановления информационных технологий в случае стихийных бедствий". Планирование стихийных бедствий для библиотек . Серия Chandos Information Professional. Elsevier. 2015. стр. 187–197. doi :10.1016/b978-1-84334-730-9.00019-3. ISBN978-1-84334-730-9. Получено 5 июня 2021 г. .
^ "План восстановления после катастрофы". Sans Institute . Получено 7 февраля 2012 г.
^ ab OECD (2016). "Рисунок 1.10. Регулирование в непроизводственном секторе оказывает существенное влияние на производственный сектор". Реформы экономической политики 2016: Going for Growth Interim Report . Реформы экономической политики. Париж: OECD Publishing. doi :10.1787/growth-2016-en. ISBN9789264250079. Получено 5 июня 2021 г. .
^ Ahupuaʻa [электронный ресурс] : Всемирный конгресс по окружающей среде и водным ресурсам 2008, 12-16 мая 2008 г., Гонолулу, Гавайи . Американское общество инженеров-строителей. 2008. ISBN978-0-7844-0976-3. OCLC 233033926.
^ Великобритания. Парламент. Палата общин (2007). Защита данных [HL] Законопроект [с поправками, внесенными постоянным комитетом d] озаглавил акт, предусматривающий новое положение о регулировании обработки информации, касающейся физических лиц, включая получение, хранение, использование или раскрытие такой информации . Proquest LLC. OCLC 877574826.
^ «Защита данных, доступ к личной информации и защита конфиденциальности», Правительство и информационные права: Законодательство, касающееся доступа, раскрытия и их регулирования , Bloomsbury Professional, 2019, doi : 10.5040/9781784518998.chapter-002, ISBN978-1-78451-896-7, S2CID 239376648 , получено 5 июня 2021 г.
^ Лехтонен, Лассе А. (5 июля 2017 г.). «Генетическая информация и Директива Европейского Союза о защите данных». Директива о защите данных и медицинские исследования в Европе . Routledge. стр. 103–112. doi :10.4324/9781315240350-8. ISBN978-1-315-24035-0. Получено 5 июня 2021 г. .
^ "Закон о защите данных 1998 года". laws.gov.uk . Национальный архив . Получено 25 января 2018 г. .
^ "Computer Misuse Act 1990". Уголовно-правовые статуты 2011-2012 . Routledge. 17 июня 2013 г. стр. 114–118. doi :10.4324/9780203722763-42. ISBN978-0-203-72276-3. Получено 5 июня 2021 г. .
^ Дхармапала, Дхаммика; Хайнс, Джеймс (декабрь 2006 г.). «Какие страны становятся налоговыми убежищами?». Серия рабочих документов. Кембридж, Массачусетс. doi :10.3386/w12802.
^ "Рисунок 1.14. Уровень участия вырос, но рост рабочей силы замедлился в нескольких странах". doi :10.1787/888933367391 . Получено 5 июня 2021 г. .
^ "Закон о неправомерном использовании компьютеров 1990 года". laws.gov.uk . Национальный архив . Получено 25 января 2018 г. .
^ «Директива 2006/24/EC Европейского парламента и Совета от 15 марта 2006 г.». EUR-Lex . Европейский союз. 15 марта 2006 г. Получено 25 января 2018 г.
^ «Клевета, студенческие записи и Федеральный закон о правах и неприкосновенности частной жизни семьи в сфере образования». Закон о высшем образовании . Routledge. 14 декабря 2010 г. стр. 361–394. doi :10.4324/9780203846940-22. ISBN978-0-203-84694-0. Получено 5 июня 2021 г. .
^ ab "Школы Алабамы получают грант NCLB для улучшения успеваемости учащихся". Набор данных PsycEXTRA . 2004. doi :10.1037/e486682006-001 . Получено 5 июня 2021 г.
^ Тернер-Готчанг, Карен (1987). Связанные с Китаем: руководство по академической жизни и работе в КНР: для Комитета по научным связям с Китайской Народной Республикой, Национальной академии наук, Американского совета научных обществ, Совета по исследованиям в области социальных наук . National Academy Press. ISBN0-309-56739-4. OCLC 326709779.
^ Кодифицировано в 20 USC § 1232g, с правилами применения в заголовке 34, части 99 Свода федеральных правил.
^ "Audit Booklet". Справочник по экзамену по информационным технологиям . FFIEC . Получено 25 января 2018 г.
^ Рэй, Эми В. (2004). «Закон о переносимости и подотчетности медицинского страхования (HIPAA)». Энциклопедия управления здравоохранением . Thousand Oaks, CA: SAGE Publications, Inc. doi :10.4135/9781412950602.n369. ISBN978-0-7619-2674-0. Получено 5 июня 2021 г. .
^ "Public Law 104 - 191 - Health Insurance Portability and Accountability Act of 1996". Издательство правительства США . Получено 25 января 2018 г.
^ "Public Law 106 - 102 - Gramm–Leach–Bliley Act of 1999" (PDF) . Издательство правительства США . Получено 25 января 2018 г. .
^ Аласе, Абайоми Олуватосин (2016). Влияние закона Сарбейнса-Оксли (SOX) на малые публичные компании и их сообщества (диссертация). Библиотека Северо-Восточного университета. doi :10.17760/d20204801.
^ Солис, Лупита (2019). Образовательные и профессиональные тенденции финансовых директоров (диссертация). Библиотека Портлендского государственного университета. doi : 10.15760/honors.763.
^ "Public Law 107 - 204 - Sarbanes-Oxley Act of 2002". Издательство правительства США . Получено 25 января 2018 г.
^ «Pci Dss Glossary, Abbreviations, and Acronyms», Payment Card Industry Data Security Standard Handbook , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 185–199, 18 сентября 2015 г., doi : 10.1002/9781119197218.gloss, ISBN978-1-119-19721-8, получено 5 июня 2021 г.
^ «PCI Breakdown (цели управления и связанные стандарты)», Payment Card Industry Data Security Standard Handbook , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 61, 18 сентября 2015 г., doi : 10.1002/9781119197218.part2, ISBN978-1-119-19721-8, получено 5 июня 2021 г.
^ Ravallion, Martin; Chen, Shaohua (август 2017 г.). «Согласованные с благосостоянием показатели глобальной бедности». Серия рабочих документов. doi :10.3386/w23739 . Получено 18 января 2022 г. .
^ "Стандарт безопасности данных индустрии платежных карт (PCI): требования и процедуры оценки безопасности - версия 3.2" (PDF) . Совет по стандартам безопасности. Апрель 2016 г. Получено 25 января 2018 г.
^ "Security Breach Notification Laws". Национальная конференция законодательных органов штатов. 12 апреля 2017 г. Получено 25 января 2018 г.
^ Stein, Stuart G.; Schaberg, Richard A.; Biddle, Laura R., ред. (23 июня 2015 г.). Финансовые институты, ответная книга, 2015: закон, управление, соответствие . Институт юридической практики. ISBN978-1-4024-2405-2. OCLC 911952833.
^ «Персональная информация и защита данных», Защита личной информации , Hart Publishing, 2019, doi :10.5040/9781509924882.ch-002, ISBN978-1-5099-2485-1, S2CID 239275871 , получено 5 июня 2021 г.
^ Глава 5. Закон о поддержке и продвижении электронной коммерции путем защиты личной информации, которая собирается, используется или раскрывается при определенных обстоятельствах, путем предоставления возможности использования электронных средств для передачи или записи информации или транзакций, а также путем внесения поправок в Закон Канады о доказательствах, Закон о нормативных актах и Закон о пересмотре статутов . Королевская типография Канады. 2000. OCLC 61417862.
^ «Комментарии». Statute Law Review . 5 (1): 184–188. 1984. doi :10.1093/slr/5.1.184. ISSN 0144-3593.
^ "Закон о защите личной информации и электронных документах" (PDF) . Министр юстиции Канады . Получено 25 января 2018 г.
^ Вернер, Мартин (11 мая 2011 г.). «Конфиденциально защищенная связь для служб, основанных на местоположении». Security and Communication Networks . 9 (2): 130–138. doi :10.1002/sec.330. ISSN 1939-0114.
^ "Положение об обеспечении конфиденциальности в электронных коммуникациях" (PDF) . Правительственный вестник Греческой Республики . Греческий орган по безопасности и конфиденциальности коммуникаций. 17 ноября 2011 г. Архивировано из оригинала (PDF) 25 июня 2013 г. . Получено 25 января 2018 г. .
^ де Гиз, Престон (29 апреля 2020 г.), «Безопасность, конфиденциальность, этические и правовые аспекты», Защита данных , Auerbach Publications, стр. 91–108, doi :10.1201/9780367463496-9, ISBN978-0-367-46349-6, S2CID 219013948 , получено 5 июня 2021 г.
^ "Αριθμ. απόφ. 205/2013" (PDF) . Правительственный вестник Греческой Республики . Греческий орган по безопасности и конфиденциальности коммуникаций. 15 июля 2013 г. Архивировано из оригинала (PDF) 4 февраля 2019 г. . Получено 25 января 2018 г. .
^ Андерссон и Реймерс, 2019, ПОЛИТИКА ЗАНЯТОСТИ В ОБЛАСТИ КИБЕРБЕЗОПАСНОСТИ И СПРОС НА РАБОЧИХ МЕСТАХ В ПРАВИТЕЛЬСТВЕ США, Труды EDULEARN19, Год публикации: 2019 Страницы: 7858-7866 https://library.iated.org/view/ANDERSON2019CYB
^ "Определение культуры безопасности". Структура культуры безопасности . 9 апреля 2014 г. Архивировано из оригинала 27 января 2019 г. Получено 27 января 2019 г.
^ Roer, Kai; Petric, Gregor (2017). Отчет о культуре безопасности 2017 года — Глубокое понимание человеческого фактора . CLTRe North America, Inc. стр. 42–43. ISBN978-1544933948.
^ Ахтар, Салман, ред. (21 марта 2018 г.). Good Feelings. Routledge. doi :10.4324/9780429475313. ISBN9780429475313.
^ Андерсон, Д., Реймерс, К. и Барретто, К. (март 2014 г.). Безопасность сетей послесреднего образования: результаты решения проблемы конечного пользователя. дата публикации 11 марта 2014 г. описание публикации INTED2014 (Международная конференция по технологиям, образованию и развитию)
^ ab Schlienger, Thomas; Teufel, Stephanie (декабрь 2003 г.). «Культура информационной безопасности — от анализа к изменению». Южноафриканское компьютерное общество (SAICSIT) . 2003 (31): 46–52. hdl :10520/EJC27949.
Аллен, Джулия Х. (2001). Руководство CERT по системам и методам сетевой безопасности. Бостон, Массачусетс: Addison-Wesley. ISBN 978-0-201-73723-3.
Круц, Рональд Л.; Рассел Дин Вайнс (2003). Руководство по подготовке к CISSP (золотое издание). Индианаполис, Индиана: Уайли. ISBN 978-0-471-26802-4.
Лейтон, Тимоти П. (2007). Информационная безопасность: проектирование, реализация, измерение и соответствие . Бока-Ратон, Флорида: публикации Ауэрбаха. ISBN 978-0-8493-7087-8.
Макнаб, Крис (2004). Оценка сетевой безопасности . Севастополь, Калифорния: O'Reilly. ISBN 978-0-596-00611-2.
Пелтье, Томас Р. (2001). Анализ рисков информационной безопасности . Бока-Ратон, Флорида: публикации Ауэрбаха. ISBN 978-0-8493-0880-2.
Пелтье, Томас Р. (2002). Политики, процедуры и стандарты информационной безопасности: рекомендации по эффективному управлению информационной безопасностью . Бока-Ратон, Флорида: публикации Ауэрбаха. ISBN 978-0-8493-1137-6.
Уайт, Грегори (2003). Руководство по сертификационному экзамену Security+ «All-in-one» . Эмеривилл, Калифорния: McGraw-Hill/Osborne. ISBN 978-0-07-222633-1.
Dhillon, Gurpreet (2007). Принципы безопасности информационных систем: текст и примеры . NY: John Wiley & Sons. ISBN 978-0-471-45056-6.
Уитмен, Майкл; Мэтторд, Герберт (2017). Принципы информационной безопасности . Cengage . ISBN 978-1337102063.
Дальнейшее чтение
Андерсон, К., «Профессионалы в области ИТ-безопасности должны развиваться в соответствии с меняющимся рынком», журнал SC , 12 октября 2006 г.
Асейтуно, В., «О парадигмах информационной безопасности», журнал ISSA , сентябрь 2005 г.
Ламбо, Т., «ISO/IEC 27001: будущее сертификации информационной безопасности», журнал ISSA , ноябрь 2006 г.
Дастин, Д., «Осознание того, как используются ваши данные, и что с этим делать», «Блог CDR», май 2017 г.
Диллон, Г., «Интеллектуальное ядро безопасности информационных систем», Журнал безопасности информационных систем , т. 19, № 2.
Внешние ссылки
На Викискладе есть медиафайлы по теме «Информационная безопасность» .
Таблица политики Министерства обороны США по внутренним делам. Архивировано 06.09.2011 г. на Wayback Machine на веб-сайте Центра анализа технологий обеспечения информационной безопасности Министерства обороны США.
Модели и практики. Объяснение техники безопасности
Открытая архитектура безопасности — средства управления и шаблоны для защиты ИТ-систем
IWS – Глава по информационной безопасности Архивировано 08.11.2019 на Wayback Machine
Книга Росса Андерсона «Инженерия безопасности»
teciza.in
Бесплатное руководство по ISO 27001 Приложение A 5.1