Информационное обеспечение - Information assurance

Информационное обеспечение ( IA ) - это практика обеспечения информации и управления рисками, связанными с использованием, обработкой, хранением и передачей информации. Информационное обеспечение включает в себя защиту целостности , доступности, подлинности, невозможности отказа от авторства и конфиденциальности пользовательских данных. IA включает в себя не только цифровую защиту, но и физические методы. Эти меры защиты применяются к передаваемым данным , как в физических, так и в электронных формах, а также к хранящимся данным . IA лучше всего рассматривать как надмножество информационной безопасности (то есть общий термин) и как бизнес-результат управления информационными рисками .

Обзор

Куб Мак-Камбера : одна из распространенных схем обеспечения безопасности информации

Информационное обеспечение (IA) - это процесс обработки, хранения и передачи нужной информации нужным людям в нужное время. IA относится к бизнес-уровню и стратегическому управлению рисками информации и связанных систем, а не к созданию и применению мер безопасности. IA используется в интересах бизнеса за счет использования управления информационными рисками , доверительного управления , устойчивости, соответствующей архитектуры, безопасности системы и защиты, что увеличивает полезность информации только для их авторизованных пользователей и снижает. Таким образом, в дополнение к защите от вредоносных атак хакеров и кода (например, вирусов ), практикующие IA считают корпоративного управления такие вопросы, как неприкосновенность частной жизни , норм и стандартов соответствия , аудита , обеспечения непрерывности бизнеса и аварийного восстановления , поскольку они связаны с информационными системами. Кроме того, IA - это междисциплинарная область , в которой, помимо информатики, требуются знания в области бизнеса , бухгалтерского учета , взаимодействия с пользователем, проверки на мошенничество , судебной медицины , управления , системной инженерии , инженерии безопасности и криминологии .

Эволюция

С ростом телекоммуникационных сетей также возникает зависимость от сетей, что делает сообщества все более уязвимыми для кибератак, которые могут прервать, ухудшить или уничтожить жизненно важные услуги. Начиная с 1950-х годов, роль и использование информационного обеспечения росли и развивались. Вначале обеспечение информации включало только резервное копирование данных. Однако, как только объем информации увеличился, процесс обеспечения достоверности информации стал автоматическим, что уменьшило необходимость вмешательства оператора и позволило мгновенно создавать резервные копии. Последним основным достижением в области обеспечения информации является внедрение распределенных систем для обработки и хранения данных с использованием таких методов, как SAN и NAS, а также использование облачных вычислений . Эти три основных развития информации соответствуют трем поколениям информационных технологий: первое используется для предотвращения вторжений, второе - для обнаружения вторжений, а третье - для обеспечения живучести. Гарантия информации - это совместные усилия всех сфер жизни, направленные на свободный и равноправный обмен идеями.

Столбы

Гарантия информации строится на пяти столпах: доступность , целостность , аутентификация , конфиденциальность и неотвратимость . Эти компоненты принимаются во внимание для защиты систем, в то же время позволяя им эффективно предоставлять услуги; Однако эти столпы не действуют независимо друг от друга, а скорее мешают достижению целей других столпов. Эти столпы информационного обеспечения постепенно изменились, и их стали называть столпами кибербезопасности. Как администратору, важно выделить те столпы, которые вам нужны, чтобы достичь желаемого результата для их информационной системы, уравновешивая аспекты обслуживания и конфиденциальности .

Аутентификация

Аутентификация относится к проверке действительности передачи, отправителя или процесса в информационной системе. Аутентификация обеспечивает получателю уверенность в достоверности отправителей данных, а также в достоверности их сообщения. Существует множество способов поддержки аутентификации, которые в основном разбиваются на три основных способа: личная информация, такая как имя человека, адресный номер телефона, доступ к токену ключа или известная информация, например пароли.

Честность

Целостность означает защиту информации от несанкционированного изменения. Целью целостности информации является обеспечение точности данных на протяжении всего срока службы. Аутентификация пользователя является важным фактором целостности информации. Информационная целостность - это функция количества степеней доверия, существующих между сторонами информационного обмена. Одним из способов снижения риска целостности информации является использование избыточных микросхем и программного обеспечения. Отказ аутентификации может создать риск для целостности информации, поскольку он позволит неавторизованной стороне изменять контент. Например, если в больнице используются неадекватные политики паролей, неавторизованный пользователь может получить доступ к информационным системам, регулирующим доставку лекарств пациентам, и рискует изменить курс лечения в ущерб конкретному пациенту.

Доступность

Основа доступности относится к сохранению данных, которые могут быть извлечены или изменены уполномоченными лицами. Более высокая доступность сохраняется за счет увеличения надежности системы хранения или канала. Нарушения доступности информации могут возникать в результате перебоев в подаче электроэнергии, отказов оборудования, DDOS и т. Д. Целью обеспечения высокой доступности является сохранение доступа к информации. Доступность информации может быть увеличена за счет использования резервного питания , резервных каналов данных , внешних возможностей и непрерывного сигнала .

Конфиденциальность

Конфиденциальность - это, по сути, противоположность честности. Конфиденциальность - это мера безопасности, которая защищает от того, кто может получить доступ к данным, что достигается путем экранирования тех, кто имеет доступ к информации. Это отличается от целостности, поскольку целостность защищает тех, кто может изменять информацию. Конфиденциальность часто обеспечивается с помощью криптографии и стеганографии данных. Конфиденциальность можно увидеть в классификации и информационном превосходстве с международными операциями, такими как обеспечение конфиденциальности информации НАТО в Соединенных Штатах, необходимо соблюдать HIPAA и политику безопасности поставщика медицинских услуг, маркировку информации и правила необходимости знать, чтобы гарантировать неразглашение информации.

Безотказность

Невозможность отказа - это целостность данных, чтобы они соответствовали их происхождению, что предотвращает возможное отрицание того, что действие имело место. Увеличение числа случаев отказа от авторства затрудняет отрицание того, что информация поступает из определенного источника. Другими словами, это сделано так, чтобы вы не могли оспаривать источник / подлинность данных. Фиксация авторства подразумевает снижение целостности данных во время их передачи, как правило, с помощью атаки типа « злоумышленник в середине» или фишинга .

Взаимодействие столбов

Как указывалось ранее, столбы не взаимодействуют независимо друг от друга, при этом одни столбы препятствуют функционированию других столпов или, в противоположном случае, они усиливают другие столбы. Например, увеличение доступности информации напрямую противоречит целям трех других столпов: целостности, аутентификации и конфиденциальности.

Процесс

Процесс обеспечения информации обычно начинается с перечисления и классификации информационных активов, которые необходимо защитить. Затем практикующий специалист по внутреннему аудиту проведет оценку рисков для этих активов. Уязвимости в информационных активах определяются для того, чтобы перечислить угрозы, способные использовать эти активы. Затем оценка рассматривает как вероятность, так и влияние угрозы, использующей уязвимость в активе, с воздействием, обычно измеряемым в терминах затрат для заинтересованных сторон актива. Сумма произведений воздействия угроз и вероятности их возникновения составляет общий риск информационного актива.

После завершения оценки рисков практикующий специалист по внутреннему аудиту разрабатывает план управления рисками . В этом плане предлагаются контрмеры, которые включают снижение, устранение, принятие или передачу рисков, а также рассматриваются вопросы предотвращения, обнаружения и реагирования на угрозы. Структура, опубликованная организацией по стандартизации, такой как NIST RMF, Risk IT , CobiT , PCI DSS или ISO / IEC 27002 , может направлять разработку. Контрмеры могут включать технические инструменты, такие как брандмауэры и антивирусное программное обеспечение , политики и процедуры, требующие таких средств контроля, как регулярное резервное копирование и усиление защиты конфигурации, обучение сотрудников осведомленности о безопасности или объединение персонала в специальную группу реагирования на компьютерные чрезвычайные ситуации (CERT) или реагирование на инциденты компьютерной безопасности. команда ( CSIRT ). Стоимость и выгода каждой меры противодействия тщательно продумываются. Таким образом, практикующий ВА стремится не устранять все риски, если это возможно, а управлять ими наиболее экономичным способом.

После того, как план управления рисками внедрен, он тестируется и оценивается, часто с помощью формальных аудитов. Процесс ВА является итеративным, поскольку предполагается, что оценка рисков и план управления рисками периодически пересматриваются и улучшаются на основе собранных данных об их полноте и эффективности.

Существуют два мета-метода с обеспечением информации: аудит и оценка рисков.

Управление бизнес-рисками

Управление бизнес-рисками подразделяется на три основных процесса: оценка рисков, снижение рисков и оценка и оценка. Информационное обеспечение - это одна из методологий, которые организации используют для реализации управления бизнес-рисками. За счет использования политик обеспечения информации, таких как «КИРПИЧ». Кроме того, управление бизнес-рисками также осуществляется в соответствии с федеральными и международными законами, касающимися выпуска и безопасности информации, например, HIPAA. Обеспечение информации может быть согласовано со стратегиями корпорации посредством обучения и повышения осведомленности, участия и поддержки высшего руководства, а также внутриорганизационной коммуникации, позволяющей усиление внутреннего контроля и управления бизнес-рисками. Многие руководители служб безопасности в этих компаниях полагаются на информационное обеспечение для защиты интеллектуальной собственности, защиты от потенциальной утечки данных и защиты пользователей от самих себя. Хотя использование гарантии информации является хорошим средством обеспечения определенных столпов, таких как конфиденциальность, неотказуемость и т. Д., Из-за их конфликтного характера повышение безопасности часто происходит за счет скорости. При этом использование гарантии информации в бизнес-модели улучшает надежное принятие управленческих решений, доверие клиентов, непрерывность бизнеса и хорошее управление как в государственном, так и в частном секторе.

Организации по стандартизации и стандарты

Существует ряд международных и национальных органов, которые издают стандарты практики, политики и процедур обеспечения информации. В Великобритании к ним относятся Консультативный совет по обеспечению информации и Группа сотрудничества по обеспечению достоверности информации .

Смотрите также

использованная литература

Примечания
Список используемой литературы
  • Шифрование данных; Ученые из Университета Чанг Гунг нацелены на шифрование данных. (2011, май). Информационные технологии Newsweekly, 149. Получено 30 октября 2011 г. с сайта ProQuest Computing. (Идентификатор документа: 2350804731).
  • Стивенсон (2010). «Аутентификация: основа обеспечения информации». Журнал SC . 21 (1): 55.
  • Каммингс, Роджер (2002). «Эволюция информационного обеспечения» (PDF) . Компьютер . 35 (12): 65–72. DOI : 10,1109 / MC.2002.1106181 .

внешние ссылки

Документация

Информационное обеспечение также эволюционировало благодаря социальным сетям.