stringtranslate.com

Информационное обеспечение

Обеспечение информации ( IA ) — это практика обеспечения информации и управления рисками, связанными с использованием, обработкой, хранением и передачей информации. Обеспечение информации включает защиту целостности , доступности, подлинности, неотказуемости и конфиденциальности пользовательских данных. [1] IA охватывает как цифровую защиту, так и физические методы. Эти методы применяются к данным в пути , как в физической, так и в электронной форме, а также к данным в состоянии покоя . IA лучше всего рассматривать как надмножество информационной безопасности (т. е. общий термин) и как бизнес-результат управления информационными рисками .

Обзор

Куб Маккамбера : одна из распространенных схем обеспечения информации.

Обеспечение безопасности информации (IA) — это процесс обработки, хранения и передачи нужной информации нужным людям в нужное время. [1] IA относится к уровню бизнеса и стратегическому управлению рисками информации и связанных с ней систем, а не к созданию и применению средств контроля безопасности. IA используется для получения выгоды бизнесом за счет использования управления информационными рисками , управления доверием , устойчивости, соответствующей архитектуры, безопасности системы и защиты, что повышает полезность информации только для ее авторизованных пользователей.

Помимо защиты от вредоносных хакеров и кода (например, вирусов ), специалисты по IA рассматривают такие вопросы корпоративного управления , как конфиденциальность , соответствие нормативным требованиям и стандартам , аудит , непрерывность бизнеса и аварийное восстановление , поскольку они связаны с информационными системами. Кроме того, IA является междисциплинарной областью, требующей знаний в области бизнеса , бухгалтерского учета , пользовательского опыта, проверки мошенничества , судебной экспертизы , науки управления , системной инженерии , инженерии безопасности и криминологии , в дополнение к компьютерным наукам.

Эволюция

С ростом телекоммуникационных сетей также возникает зависимость от сетей, что делает сообщества все более уязвимыми для кибератак, которые могут прерывать, ухудшать или уничтожать жизненно важные услуги. [2] Начиная с 1950-х годов роль и использование обеспечения информации росли и развивались. Эти практики обратной связи использовались при разработке военных систем поддержки принятия решений WWMCCS .

Диаграмма обратной связи OODA

В начале обеспечение информации включало только резервное копирование данных. [3] Однако, как только объем информации увеличился, процесс обеспечения информации стал автоматизироваться, что сократило вмешательство оператора и позволило создавать мгновенные резервные копии. [3] Последним основным достижением обеспечения информации является внедрение распределенных систем для обработки и хранения данных с помощью таких технологий, как SAN и NAS , а также использование облачных вычислений . [4] [5] [3]

Эти три основных направления развития информационной безопасности соответствуют трем поколениям информационных технологий: первое используется для предотвращения вторжений, второе — для обнаружения вторжений, а третье — для обеспечения выживаемости. [6] [7] Информационная безопасность — это совместные усилия всех секторов жизни, направленные на обеспечение свободного и равноправного обмена идеями. [ требуется ссылка ]

Столбы

Обеспечение информации строится на пяти столпах: доступность , целостность , аутентификация , конфиденциальность и неотказуемость . [8] Эти столпы принимаются во внимание для защиты систем, при этом позволяя им эффективно предоставлять услуги; Однако эти столпы не действуют независимо друг от друга, а скорее мешают достижению цели других столпов. [8] Эти столпы обеспечения информации постепенно изменились и стали называться столпами кибербезопасности. Как администратору важно подчеркнуть столпы, которые вы хотите получить, чтобы достичь желаемого результата для своей информационной системы, уравновешивая аспекты обслуживания и конфиденциальности .

Аутентификация

Аутентификация относится к проверке действительности передачи, отправителя или процесса в информационной системе. [9] Аутентификация обеспечивает получателю уверенность в действительности отправителя данных, а также в действительности его сообщения. [8] Существует много способов усиления аутентификации, в основном разделяемых на три основных способа: личная идентифицируемая информация , такая как имя человека, адрес, номер телефона, доступ к ключевому токену или известная информация, такая как пароли. [10]

Честность

Целостность относится к защите информации от несанкционированного изменения. [3] Целью целостности информации является обеспечение точности данных на протяжении всего срока их службы. [11] [12] Аутентификация пользователя является критически важным фактором целостности информации. [8] Целостность информации является функцией количества степеней доверия, существующих между сторонами информационного обмена. [12] Одним из способов снижения риска целостности информации является использование избыточных чипов и программных конструкций. [13] Сбой аутентификации может представлять риск для целостности информации, поскольку это позволит неавторизованной стороне изменить содержимое. Например, если в больнице неадекватная политика паролей, неавторизованный пользователь может получить доступ к информационным системам, управляющим доставкой лекарств пациентам, и рисковать изменением курса лечения в ущерб конкретному пациенту. [12]

Доступность

Столп доступности относится к сохранению данных, которые могут быть извлечены или изменены от уполномоченных лиц. Более высокая доступность сохраняется за счет повышения надежности системы хранения или канала. [8] Нарушения доступности информации могут возникнуть из-за перебоев в подаче электроэнергии, сбоев оборудования, DDOS и т. д. Целью высокой доступности является сохранение доступа к информации. Доступность информации может быть усилена за счет использования резервного питания , запасных каналов передачи данных , возможностей удаленного доступа и непрерывного сигнала . [12]

Конфиденциальность

Конфиденциальность по сути является противоположностью целостности. Конфиденциальность является мерой безопасности, которая защищает от того, кто может получить доступ к данным, что достигается путем сокрытия того, кто имеет доступ к информации. [8] Это отличается от целостности, поскольку целостность является сокрытием того, кто может изменить информацию. Конфиденциальность часто обеспечивается с помощью использования криптографии и стеганографии данных. [3] Конфиденциальность можно увидеть в классификации и превосходстве информации в международных операциях, таких как НАТО . [14] Обеспечение конфиденциальности информации в Соединенных Штатах должно следовать HIPAA и политике безопасности поставщиков медицинских услуг, маркировке информации и правилам «необходимо знать», чтобы гарантировать неразглашение информации. [12]

Неотказуемость

Неотказуемость — это целостность данных, которая соответствует их происхождению, что предотвращает возможное отрицание того, что действие произошло. [3] [1] Увеличение неотказуемости затрудняет отрицание того, что информация исходит из определенного источника. Другими словами, это делает так, что вы не можете оспаривать источник/подлинность данных. Неотказуемость подразумевает снижение целостности данных, пока эти данные находятся в пути, обычно с помощью использования атаки «человек посередине» или фишинга . [15]

Взаимодействие столпов

Как было сказано ранее, столпы не взаимодействуют независимо друг от друга, при этом некоторые столпы мешают функционированию других столпов или, в противоположном случае, усиливают другие столпы. [8] Например, увеличение доступности информации напрямую противоречит целям трех других столпов: целостности, аутентификации и конфиденциальности. [8]

Процесс

Процесс обеспечения информационной безопасности обычно начинается с перечисления и классификации информационных активов , которые необходимо защитить. Затем специалист по IA проведет оценку риска для этих активов. [16] Уязвимости в информационных активах определяются для того, чтобы перечислить угрозы, способные использовать активы. Затем оценка учитывает как вероятность, так и воздействие угрозы, использующей уязвимость в активе, при этом воздействие обычно измеряется с точки зрения затрат для заинтересованных сторон актива. [17] Сумма произведений воздействия угроз и вероятности их возникновения представляет собой общий риск для информационного актива.

После завершения оценки риска специалист по внутреннему аудиту разрабатывает план управления рисками . Этот план предлагает контрмеры, которые включают смягчение, устранение, принятие или передачу рисков, а также рассматривает предотвращение, обнаружение и реагирование на угрозы.

Рамка, опубликованная организацией по стандартизации, такой как NIST RMF, Risk IT , CobiT , PCI DSS или ISO/IEC 27002 , может направлять разработку. Контрмеры могут включать технические инструменты, такие как брандмауэры и антивирусное программное обеспечение , политики и процедуры, требующие таких элементов управления, как регулярное резервное копирование и укрепление конфигурации, обучение сотрудников по вопросам безопасности или организация персонала в специальную группу реагирования на компьютерные чрезвычайные ситуации (CERT) или группу реагирования на инциденты компьютерной безопасности ( CSIRT ). Стоимость и выгода каждой контрмеры тщательно рассматриваются. Таким образом, специалист по IA не стремится устранить все риски, а стремится управлять ими наиболее экономически эффективным способом. [18]

После внедрения плана управления рисками он тестируется и оценивается, часто посредством формальных аудитов. [16] Процесс IA является итеративным, поскольку оценка рисков и план управления рисками должны периодически пересматриваться и совершенствоваться на основе собранных данных об их полноте и эффективности. [2]

Существует два мета-метода обеспечения безопасности информации: аудит и оценка рисков. [16]

Управление бизнес-рисками

Управление бизнес-рисками делится на три основных процесса: оценка рисков, смягчение рисков и оценка и анализ. [ требуется ссылка ] Обеспечение информации является одной из методологий, которые организации используют для внедрения управления бизнес-рисками. С помощью политик обеспечения информации, таких как фреймворк «BRICK». [1] Кроме того, управление бизнес-рисками также происходит в соответствии с федеральными и международными законами, касающимися раскрытия и безопасности информации, такими как HIPAA . [19]

Обеспечение информации может быть согласовано со стратегиями корпораций посредством обучения и повышения осведомленности, привлечения и поддержки высшего руководства, а также внутриорганизационной коммуникации, что позволяет усилить внутренний контроль и управление бизнес-рисками. [20]

Многие руководители служб безопасности в наших фирмах переходят на использование информационной безопасности для защиты интеллектуальной собственности, защиты от потенциальной утечки данных и защиты пользователей от самих себя. [17] Хотя использование информационной безопасности хорошо, обеспечивая определенные столпы, такие как конфиденциальность, неотказуемость и т. д., из-за их противоречивой природы повышение безопасности часто происходит за счет скорости. [8] [17] Использование информационной безопасности в бизнес-модели улучшает надежное принятие управленческих решений, доверие клиентов, непрерывность бизнеса и хорошее управление как в государственном, так и в частном секторе. [21]

Стандартизирующие организации и стандарты

Существует ряд международных и национальных органов, которые выпускают стандарты по практикам, политикам и процедурам обеспечения информации. В Великобритании к ним относятся Консультативный совет по обеспечению информации и Группа сотрудничества по обеспечению информации . [4]

Смотрите также

Ссылки

Примечания
  1. ^ abcd Сосин, Артур (2018-04-01). «КАК ПОВЫСИТЬ ИНФОРМАЦИОННУЮ ГАРАНТНОСТЬ В ИНФОРМАЦИОННУЮ ЭПОХУ». Журнал управления оборонными ресурсами . 9 (1): 45–57. ISSN  2068-9403.
  2. ^ ab McConnell, M. (апрель 2002 г.). «Информационное обеспечение в двадцать первом веке». Computer . 35 (4): supl16–supl19. doi :10.1109/MC.2002.1012425. ISSN  0018-9162.
  3. ^ abcdef Каммингс, Р. (декабрь 2002 г.). «Эволюция обеспечения информации». Компьютер . 35 (12): 65–72. doi :10.1109/MC.2002.1106181. ISSN  0018-9162.
  4. ^ ab Pringle, Nick; Burgess, Michaela (май 2014 г.). «Информационное обеспечение в распределенном судебно-медицинском кластере». Digital Investigation . 11 : S36–S44. doi : 10.1016/j.diin.2014.03.005 .
  5. ^ Чакраборти, Раджарши; Рамиредди, Шрилакшми; Рагху, Т.С.; Рао, Х.Рагав (июль 2010 г.). «Практика обеспечения информации поставщиков облачных вычислений». ИТ-специалист . 12 (4): 29–37. дои : 10.1109/mitp.2010.44. ISSN  1520-9202. S2CID  8059538.
  6. ^ Luenam, P.; Peng Liu (2003). «Проект адаптивной системы баз данных, устойчивой к вторжениям». Основы систем, устойчивых к вторжениям, 2003 [Органически гарантированные и живучие информационные системы]. IEEE. стр. 14–21. doi :10.1109/fits.2003.1264925. ISBN 0-7695-2057-X. S2CID  14058057.
  7. ^ Лю, Пэн; Занг, Ванью (2003). "Моделирование на основе стимулов и вывод намерений, целей и стратегий злоумышленника". Труды 10-й конференции ACM по компьютерной и коммуникационной безопасности . Нью-Йорк, Нью-Йорк, США: ACM Press. стр. 179. doi :10.1145/948109.948135. ISBN 1-58113-738-9. S2CID  3897784.
  8. ^ abcdefghi Wilson, Kelce S. (июль 2013 г.). «Конфликты между столпами обеспечения информации». IT Professional . 15 (4): 44–49. doi :10.1109/mitp.2012.24. ISSN  1520-9202. S2CID  27170966.
  9. ^ Садику, Мэтью; Алам, Шумон; Муса, Сархан (2017). «Преимущества и проблемы обеспечения безопасности информации: Введение». procon.bg . Получено 28.11.2020 .
  10. ^ Сан Николас-Рокка, Тоня; Буркхард, Ричард Дж. (17.06.2019). «Информационная безопасность в библиотеках». Информационные технологии и библиотеки . 38 (2): 58–71. doi : 10.6017/ital.v38i2.10973 . ISSN  2163-5226.
  11. ^ Бориц, Дж. Эфрим (декабрь 2005 г.). «Взгляды специалистов по ИС на основные концепции целостности информации». Международный журнал по системам бухгалтерской информации . 6 (4): 260–279. doi :10.1016/j.accinf.2005.07.001.
  12. ^ abcde Schou, CD; Frost, J.; Maconachy, WV (январь 2004 г.). «Информационное обеспечение в системах биомедицинской информатики». Журнал IEEE Engineering in Medicine and Biology . 23 (1): 110–118. doi :10.1109/MEMB.2004.1297181. ISSN  0739-5175. PMID  15154266. S2CID  7746947.
  13. ^ Янь, Айбин; Ху, Юаньцзе; Цуй, Цзе; Чэнь, Чжили; Хуан, Чжэнфэн; Ни, Тяньмин; Жирар, Патрик; Вэнь, Сяоцин (2020-06-01). «Обеспечение безопасности информации с помощью избыточной конструкции: новая устойчивая к ошибкам защелка TNU для суровой радиационной среды». IEEE Transactions on Computers . 69 (6): 789–799. doi :10.1109/tc.2020.2966200. ISSN  0018-9340. S2CID  214408357.
  14. ^ Ханна, Майкл; Гранцов, Дэвид; Болте, Бьорн; Альварадо, Эндрю (2017). «Разведка и обмен информацией НАТО: совершенствование стратегии НАТО по стабилизации и операциям по восстановлению». Connections: The Quarterly Journal . 16 (4): 5–34. doi : 10.11610/connections.16.4.01 . ISSN  1812-1098.
  15. ^ Чэнь, Чин-Лин; Чианг, Мао-Лунь; Сье, Хуэй-Чин; Лю, Чин-Чэн; Дэн, Юн-Юань (2020-05-08). «Легкая взаимная аутентификация с носимым устройством в мобильных периферийных вычислениях на основе определения местоположения». Беспроводные персональные коммуникации . 113 (1): 575–598. doi :10.1007/s11277-020-07240-2. ISSN  0929-6212. S2CID  218934756.
  16. ^ abc Such, Jose M.; Gouglidis, Antonios; Knowles, William; Misra, Gaurav; Rashid, Awais (июль 2016 г.). «Методы обеспечения информации: воспринимаемая эффективность затрат». Computers & Security . 60 : 117–133. doi :10.1016/j.cose.2016.03.009.
  17. ^ abc Джонсон, ME; Гетц, E.; Пфлигер, SL (май 2009). «Безопасность через управление информационными рисками». IEEE Security Privacy . 7 (3): 45–52. doi :10.1109/MSP.2009.77. ISSN  1558-4046. S2CID  30062820.
  18. ^ Сингх, Р.; Салам, А.Ф. (май 2006 г.). «Семантическое обеспечение информации для безопасного распределенного управления знаниями: перспектива бизнес-процесса». Труды IEEE по системам, человеку и кибернетике — часть A: системы и люди . 36 (3): 472–486. doi :10.1109/TSMCA.2006.871792. ISSN  1083-4427. S2CID  10191333.
  19. ^ Парк, Инсу; Шарман, Радж; Рао, Х. Рагхав (2015-02-02). «Опыт катастроф и информационные системы больниц: исследование воспринимаемой информационной безопасности, риска, устойчивости и полезности HIS». MIS Quarterly . 39 (2): 317–344. doi :10.25300/misq/2015/39.2.03. ISSN  0276-7783.
  20. ^ Макфадзин, Элспет; Эзингерд, Жан-Ноэль; Бирчалл, Дэвид (2011-04-08). «Информационное обеспечение и корпоративная стратегия: Дельфийское исследование выборов, проблем и разработок для будущего». Information Systems Management . 28 (2): 102–129. doi :10.1080/10580530.2011.562127. ISSN  1058-0530. S2CID  11624922.
  21. ^ Эзингард, Жан-Ноэль; Макфадзин, Элспет; Бирчалл, Дэвид (март 2005 г.). «Модель преимуществ обеспечения информации». Information Systems Management . 22 (2): 20–29. doi :10.1201/1078/45099.22.2.20050301/87274.3. ISSN  1058-0530. S2CID  31840083.
Библиография

Внешние ссылки

Документация

Обеспечение информационной безопасности также претерпело изменения благодаря социальным сетям.