Hjem Personlig finansiering Datasikkerhetskontroller - dummies

Datasikkerhetskontroller - dummies

Innholdsfortegnelse:

Anonim

Følsomme eiendeler, inkludert data, må beskyttes forsvarlig gjennom hele livscyklusen. Som sikkerhetsprofessor er det din jobb. Informasjonslivscyklusstyring (ILM) dekker data gjennom følgende fem faser:

  • Skapelse. Data er opprettet av en sluttbruker eller et program. Data må klassifiseres for øyeblikket, basert på dataens kritikk og følsomhet, og en dataeier (vanligvis, men ikke alltid, skaperen) må tildeles. Data kan eksistere i mange former, for eksempel i dokumenter, regneark, e-post og tekstmeldinger, databaseposter, skjemaer, bilder, presentasjoner (inkludert videokonferanser) og trykte dokumenter.
  • Distribusjon ("data i bevegelse"). Data kan distribueres (eller hentes) internt i en organisasjon eller overføres til eksterne mottakere. Distribusjon kan være manuelt (for eksempel via bud) eller elektronisk (vanligvis over et nettverk). Data i transitt er sårbart for å kompromittere, slik at hensiktsmessige garantier må gjennomføres basert på klassifiseringen av dataene. For eksempel kan det hende at kryptering sender bestemte sensitive data over et offentlig nettverk. I slike tilfeller må det opprettes passende krypteringsstandarder. DLP-teknologier kan også brukes til å forhindre utilsiktet eller forsettlig uautorisert distribusjon av sensitive data.
  • Bruk ("data i bruk"). Denne fasen refererer til data som er blitt tilgang til av en sluttbruker eller applikasjon, og blir aktivt brukt (for eksempel, les, analysert, modifisert, oppdatert eller duplisert) av den brukeren eller applikasjonen. Data i bruk må bare nås på systemer som er autorisert for klassifikasjonsnivået til dataene, og kun av brukere og applikasjoner som har passende tillatelser (godkjenning) og formål (behov for å vite).
  • Vedlikehold ("data i hvilen"). Ethvert tidspunkt mellom opprettelsen og disposisjonen av data som den ikke er "i bevegelse" eller "i bruk", opprettholdes data "i hvilemodus". Vedlikehold omfatter lagring (på media som en harddisk, flyttbar USB-minnepinne, magnetisk magnetbånd eller papir) og arkivering (for eksempel i en katalog og filstruktur) av data. Data kan også sikkerhetskopieres, og backupmediet transporteres til et sikkert sted utenfor stedet (referert til som "data i transitt"). Klassifikasjonsnivåer av data bør også rutinemessig vurderes (typisk av dataeier) for å avgjøre om et klassifikasjonsnivå må oppgraderes (ikke vanlig) eller kan nedgraderes. Passende sikkerhetstiltak må gjennomføres og regelmessig revideres for å sikre
    • konfidensialitet (og personvern). For eksempel, ved hjelp av system, katalog og filtillatelser og kryptering.
    • Integritet. For eksempel, ved hjelp av baselinjer, kryptografiske hash, sykliske redundansekontroller (CRCs) og fillåsing (for å hindre eller kontrollere endring av data av flere samtidige brukere).
    • tilgjengelighet. For eksempel, ved hjelp av database- og filklynging (for å eliminere enkelte punkter i feil), sikkerhetskopiering og sanntidsreplikasjon (for å forhindre tap av data).
  • Disposition. Endelig, når data ikke lenger har noen verdi eller ikke lenger er nyttig for organisasjonen, må den ødelegges i samsvar med retningslinjene for oppbevaring og destruksjon av bedrifter, samt alle gjeldende lover og forskrifter. Visse sensitive data kan kreve endelige bestemmelsesbestemmelse av dataeier, og kan kreve spesifikke ødeleggelsesprosedyrer (som vitner, logging og en magnetisk tørke etterfulgt av fysisk ødeleggelse).

Data som bare er slettet, er IKKE blitt ødelagt. Det er bare "data i ro" som venter på å være over-skrevet - eller ubeleilig oppdaget av en uautorisert og potensielt skadelig tredjepart!

Dataoverføring refererer til data som fremdeles eksisterer på lagringsmedia eller i minnet etter at dataene er "slettet".

Baselines

Etablering av en basislinje er en standard forretningsmetode som brukes til å sammenligne en organisasjon til et utgangspunkt eller en minimumsstandard, eller for å sammenligne fremgang i en organisasjon over tid. Med sikkerhetskontroller gir disse metodene verdifull innsikt:

  • Sammenligning med andre organisasjoner . Organisasjoner kan sammenligne sine kontrollsett med andre organisasjoner for å se hvilke forskjeller som finnes i kontroller.
  • Sammenligning av interne kontroller over tid . En organisasjon kan baseline sitt sett med kontroller, for å se hvilke endringer som skjer i kontrollsettet over en årrekke.
  • Sammenligning av kontroll effektivitet over tid . En organisasjon kan sammenligne sin rekord av kontroll effektivitet, for å se hvor fremgang er gjort, og hvor mer innsats er nødvendig for å gjøre fremgang.

Scoping og skreddersy

Fordi ulike deler av en organisasjon og dens underliggende IT-systemer lagrer og behandler forskjellige datasett, er det ikke fornuftig for en organisasjon å etablere et enkelt sett kontroller og pålegge dem alle systemer. Som et forenklet dataklassifiseringsprogram og dets overbeskyttelse og underbeskyttelse av data, deler organisasjoner seg ofte inn i logiske soner, og angir deretter hvilke kontroller og sett av kontroller som brukes i disse sonene.

En annen tilnærming er å skreddersy kontroller og sett med kontroller til ulike IT-systemer og deler av organisasjonen. For eksempel kan kontroller på passordstyrke ha kategorier som brukes på systemer med varierende sikkerhetsnivåer.

Begge tilnærmingene for å bruke et komplekst kontrollmiljø i et komplekst IT-miljø er gyldige - de er egentlig bare forskjellige måter å oppnå det samme målet på: Bruke riktig nivå av kontroll til ulike systemer og miljøer, basert på informasjonen de lagrer og prosess eller på andre kriterier.

Standardvalg

Flere gode kontrollrammer er tilgjengelige for sikkerhetsprofessors bruk. Under ingen omstendigheter er det nødvendig å starte fra bunnen av. I stedet er den beste tilnærmingen å starte med en av flere bransjeledende kontrollrammer, og deretter legge til eller fjern individuelle kontroller som passer til organisasjonens behov.

Kontrollrammestandarder inkluderer

  • ISO27002 , Code of Practice for informasjonssikkerhetsadministrasjon.
  • COBIT , Kontrollmål for informasjon og tilhørende teknologi.
  • NIST 800-53 , anbefalte sikkerhetskontroller for føderale informasjonssystemer og organisasjoner.

Kryptografi

Crypto spiller en kritisk rolle i databeskyttelse, enten vi snakker om data i bevegelse via et nettverk eller i hvile på en server eller arbeidsstasjon. Kryptografi handler om å skjule data i vanlig syn, fordi det er situasjoner der personer kan ha tilgang til sensitive data; krypto nekter personer som har tilgang hvis de ikke har en krypteringsnøkkel og metoden for dekryptering av den.

Datasikkerhetskontroller - dummies

Redaktørens valg

Redaktørens valg

Hvordan beskrives et datasett statistisk for GEDs vitenskapstest - dummies

Hvordan beskrives et datasett statistisk for GEDs vitenskapstest - dummies

Sosiale medier

GED Science test vil stille spørsmål relatert til beskrivende statistikk. Du kan ofte oppsummere en samling av data (fra et eksperiment, observasjoner eller undersøkelser, for eksempel) ved å bruke beskrivende statistikk, tall som brukes til å oppsummere og analysere dataene og trekke konklusjoner fra det. Beskrivende statistikk for en samling av data inkluderer følgende: Frekvens: ...

Hvordan forutsi en utgang basert på data eller bevis på GED-vitenskapstesten

Hvordan forutsi en utgang basert på data eller bevis på GED-vitenskapstesten

Sosiale medier

Bruk av bevis for å forutsi utfall er en nødvendig ferdighet for GED Science-testen. De største fordelene med vitenskapelige studier kan ofte tilskrives det faktum at deres konklusjoner gjør det mulig for folk å forutsi utfall. (Du vil sikkert ønske vitenskap kan hjelpe deg med å forutsi utfallet ditt på prøve!) Du er vitne til vitenskap i handling hver dag ...

Hvordan man måler en forfatters troverdighet for GEDs samfunnsstudietest - dummies

Hvordan man måler en forfatters troverdighet for GEDs samfunnsstudietest - dummies

Sosiale medier

GED Social Studies test vil stille spørsmål som krever at du bestemmer troverdigheten til en forfatter. Det er ikke alltid lett å vurdere om en forfatter er troverdig basert på informasjonen som er gitt i en skriftlig oversikt og referansen, men du kan hente spor ved å nøye undersøke følgende områder: Forfatterens ...

Redaktørens valg

Hva skjer i QuickBooks 2013 Setup? - dummies

Hva skjer i QuickBooks 2013 Setup? - dummies

Sosiale medier

Etter at du har installert QuickBooks 2013, kjører du en skjermveiviser for å sette opp QuickBooks for firmaets regnskap. Klart, denne skjermveiviseren kalles QuickBooks Setup. Når du kjører QuickBooks Setup, gir du ganske mye informasjon til QuickBooks. Som en praktisk sak krever oppsettet og oppsettet etter oppsettet at du har ...

Leverandørmenykommandoer i QuickBooks 2013 - dummies

Leverandørmenykommandoer i QuickBooks 2013 - dummies

Sosiale medier

Når du jobber med betalbar betaling i QuickBooks 2013, har du ofte vil bruke flere av kommandoene på leverandørmenyen. Noen av kommandoene er imidlertid ikke så populære, men du må fortsatt være klar over deres formål. Leverandørssenter i QuickBooks 2013 Vendor Center-vinduet viser en liste over leverandører og detaljerte ...

Kommandoer for leverandørmeny i QuickBooks 2014 - dummies

Kommandoer for leverandørmeny i QuickBooks 2014 - dummies

Sosiale medier

Når du jobber med betalbar betaling i QuickBooks 2014, har du ofte vil bruke flere av kommandoene på leverandørmenyen. Noen av kommandoene er imidlertid ikke så populære, men du må fortsatt være klar over deres formål. Leverandørssenter Vendor Center-vinduet viser en liste over leverandører og detaljert leverandørinformasjon for ...

Redaktørens valg

Redaktørens valg

Redaktørens valg

Populære kategorier

© Copyright no.blender3dtutorials.com, 2025 Februar | Om nettstedet | Kontakter | Personvernregler.