Оглавление:
Видео: Распознавание лиц в РК – тотальный контроль или меры безопасности? «Своими словами» 2024
Чувствительные активы, включая данные, должны быть надлежащим образом защищены на протяжении всего их жизненного цикла. Как профессионал безопасности, это ваша работа. Управление жизненным циклом информации (ILM) охватывает данные через следующие пять этапов:
- Создание. Данные создаются конечным пользователем или приложением. В настоящее время данные должны быть классифицированы на основе критичности и чувствительности данных, и должен быть назначен владелец данных (обычно, но не всегда, создатель). Данные могут существовать во многих формах, таких как документы, электронные таблицы, электронные письма и текстовые сообщения, записи базы данных, формы, изображения, презентации (включая видеоконференции) и печатные документы.
- Распространение («данные в движении»). Данные могут быть распределены (или восстановлены) внутри организации или переданы внешним получателям. Распространение может быть ручным (например, через курьер) или электронным (обычно через сеть). Данные, находящиеся в пути, уязвимы для компрометации, поэтому соответствующие гарантии должны быть реализованы на основе классификации данных. Например, может потребоваться шифрование для передачи определенных конфиденциальных данных по общедоступной сети. В таких случаях должны быть установлены соответствующие стандарты шифрования. Технологии предотвращения потери данных (DLP) также могут использоваться для предотвращения случайного или преднамеренного несанкционированного распространения конфиденциальных данных.
- Использовать («данные в использовании»). Этот этап относится к данным, к которым обратился конечный пользователь или приложение, и активно используется (например, читает, анализирует, модифицирует, обновляет или дублирует) этим пользователем или приложением. Доступ к данным должен быть доступен только в тех системах, которые разрешены для уровня классификации данных, и только для пользователей и приложений, которые имеют соответствующие разрешения (разрешение) и цель (необходимость знать).
- Обслуживание («данные в состоянии покоя»). В любое время между созданием и распоряжением данными, что он не находится в движении или «используется», данные сохраняются «в состоянии покоя». Обслуживание включает в себя хранение (на носителе, таком как жесткий диск, съемный флэш-накопитель USB, резервная магнитная лента или бумага) и подача (например, в каталог и файловую структуру) данных. Данные также могут быть скопированы, а резервный носитель переносится в безопасное место за пределами местоположения (называемое «данные в пути»). Уровни классификации данных также должны регулярно анализироваться (как правило, владельцем данных), чтобы определить, нужно ли повышать уровень классификации (не распространен) или может быть понижен. Соответствующие гарантии должны быть реализованы и регулярно проверяться, чтобы обеспечить
- Конфиденциальность (и конфиденциальность). Например, использование системных, каталогов и разрешений файлов и шифрование.
- Integrity. Например, используя базовые линии, криптографические хеши, циклические проверки избыточности (CRC) и блокировку файлов (для предотвращения или управления модификацией данных несколькими одновременными пользователями).
- Доступность. Например, использование кластеризации баз данных и файлов (для устранения одиночных точек отказа), резервное копирование и репликация в реальном времени (для предотвращения потери данных).
- Планировка. Наконец, когда данные больше не имеют какой-либо ценности или больше не полезны для организации, ее необходимо надлежащим образом уничтожить в соответствии с корпоративной политикой хранения и уничтожения, а также любыми применимыми законами и правилами. Некоторые конфиденциальные данные могут потребовать окончательного определения местонахождения владельца данных и могут потребовать конкретных процедур уничтожения (таких как свидетели, каротаж и магнитная стирка после физического уничтожения).
Данные, которые были просто удалены, НЕ были надлежащим образом уничтожены. Это просто «данные в состоянии покоя», ожидающие перезаписи, или неудобно обнаруженные несанкционированной и потенциально злонамеренной третьей стороной!
Остатки данных относятся к данным, которые все еще существуют на носителе или в памяти после того, как данные были «удалены».
Базовые линии
Установление базовой линии - это стандартный бизнес-метод, используемый для сравнения организации с исходной точкой или минимальным стандартом или для сравнения прогресса в организации с течением времени. С помощью средств контроля безопасности эти методы обеспечивают ценную информацию:
- Сравнение с другими организациями . Организации могут сравнивать свои наборы управления с другими организациями, чтобы увидеть, какие различия существуют в элементах управления.
- Сравнение внутренних элементов управления со временем . Организация может использовать свой набор средств контроля, чтобы увидеть, какие изменения происходят в его контроле, установленном в течение нескольких лет.
- Сравнение эффективности управления с течением времени . Организация может сравнить свои показатели эффективности управления, увидеть, где идет прогресс, и где требуется больше усилий для достижения прогресса.
Сфера охвата и адаптация
Поскольку разные части организации и ее основные ИТ-системы хранят и обрабатывают разные наборы данных, организация не имеет смысла устанавливать единый набор элементов управления и навязывать их всем системам, Подобно упрощенной программе классификации данных и ее чрезмерной защите и недопониманию данных, организации часто делятся на логические зоны, а затем определяют, какие элементы управления и наборы элементов управления применяются в этих зонах.
Другой подход заключается в настройке элементов управления и наборов элементов управления для разных ИТ-систем и частей организации. Например, элементы управления силой пароля могут иметь категории, которые применяются к системам с различными уровнями безопасности.
Оба подхода для применения сложной среды управления в сложной ИТ-среде действительны - они действительно просто разные способы достижения одной и той же цели: применение правильного уровня управления для различных систем и сред на основе информации, которую они хранят и процесс или по другим критериям.
Выбор стандартов
Для профессионалов безопасности доступны несколько превосходных систем управления. Ни при каких обстоятельствах не нужно начинать с нуля. Вместо этого лучший подход заключается в том, чтобы начать с одной из нескольких ведущих отраслевых систем управления, а затем добавить или удалить отдельные элементы управления в соответствии с потребностями организации.
Стандарты рамок управления включают
- ISO27002 , Кодекс практики для управления информационной безопасностью.
- COBIT , Цели управления информацией и смежными технологиями.
- NIST 800-53 , Рекомендуемые средства контроля безопасности для федеральных информационных систем и организаций.
Криптография
Crypto играет критическую роль в защите данных, независимо от того, говорим ли мы о данных в движении по сети или отдыхаем на сервере или на рабочей станции. Криптография - все о скрытии данных на виду, поскольку существуют ситуации, когда люди могут иметь доступ к конфиденциальным данным; crypto отказывает людям, которые получают доступ, если у них нет ключа шифрования и метода его дешифрования.