Cuprins:
Video: Protecția datelor pe înțelesul copiilor 2024
Activele sensibile, inclusiv datele, trebuie să fie protejate în mod corespunzător pe toată durata ciclului lor de viață. Ca profesionist în securitate, asta e treaba ta. Gestionarea ciclului de viață al informațiilor (ILM) acoperă date prin următoarele cinci etape:
- Creare. Datele sunt create de un utilizator final sau de o aplicație. Datele trebuie clasificate în acest moment, pe baza criticității și sensibilității datelor, iar proprietarul datelor (de obicei, dar nu întotdeauna, creatorul) trebuie să fie atribuit. Datele pot exista în mai multe forme, cum ar fi documente, foi de calcul, e-mail și mesaje text, înregistrări de baze de date, formulare, imagini, prezentări (inclusiv videoconferințe) și documente tipărite.
- Distribuție ("date în mișcare"). Datele pot fi distribuite (sau recuperate) intern în cadrul unei organizații sau transmise destinatarilor externi. Distribuția poate fi manuală (cum ar fi prin curier) sau electronică (de regulă printr-o rețea). Datele în tranzit sunt vulnerabile la compromis, astfel încât trebuie să fie puse în aplicare măsuri de protecție adecvate pe baza clasificării datelor. De exemplu, poate fi necesară criptarea pentru a trimite anumite date sensibile printr-o rețea publică. În astfel de cazuri, trebuie stabilite standarde corespunzătoare de criptare. Tehnologiile de prevenire a pierderii de date (DLP) pot fi, de asemenea, utilizate pentru a preveni distribuirea neautorizată accidentală sau intenționată a datelor sensibile.
- Utilizați ("date în uz"). Această etapă se referă la datele care au fost accesate de un utilizator final sau de o aplicație și care sunt utilizate în mod activ (de exemplu, citite, analizate, modificate, actualizate sau duplicate) de acel utilizator sau de aplicație. Datele în uz trebuie să fie accesate numai pe sistemele care sunt autorizate pentru nivelul de clasificare a datelor și numai de către utilizatori și aplicații care au permisiunile corespunzătoare (clearance-ul) și scopul (nevoia de a ști).
- Întreținere ("date în repaus"). Orice moment între crearea și dispunerea datelor care nu sunt "în mișcare" sau "în uz", datele sunt menținute "în repaus". Întreținerea include stocarea (pe suporturi de stocare, cum ar fi un hard disk, o unitate deget USB detașabilă, o bandă magnetică de rezervă sau o hârtie) și depunerea de date (de exemplu, într-o structură de directoare și fișiere). Datele pot fi, de asemenea, copiate în siguranță, iar suportul de rezervă este transportat într-o locație secundară secundară (denumită în continuare "date în tranzit"). Nivelurile de clasificare a datelor trebuie, de asemenea, revizuite în mod curent (de obicei de către proprietarul datelor) pentru a determina dacă un nivel de clasificare trebuie să fie actualizat (nu este obișnuit) sau poate fi declasat. Trebuie să fie implementate măsuri de protecție adecvate și să fie auditate în mod regulat pentru a se asigura
- Confidențialitatea (și viața privată). De exemplu, folosind permisiuni de sistem, director și fișiere și criptare.
- Integritate. De exemplu, folosind linii de bază, hashuri criptografice, verificări de redundanță ciclică (CRC) și blocare de fișiere (pentru a preveni sau controla modificarea datelor de către mai mulți utilizatori simultani).
- Disponibilitate. De exemplu, folosind clusterizarea bazelor de date și a fișierelor (pentru a elimina singurele puncte de eșec), copii de siguranță și replicarea în timp real (pentru a preveni pierderea datelor).
- Disposition. În cele din urmă, atunci când datele nu mai au valoare sau nu mai sunt utile pentru organizație, acestea trebuie distruse în mod corespunzător, în conformitate cu politicile de retenție corporală și distrugere, precum și cu toate legile și reglementările aplicabile. Anumite date sensibile pot necesita o determinare finală a dispunerii de către proprietarul datelor și pot necesita proceduri specifice de distrugere (cum ar fi martori, logare și o ștergere magnetică urmată de distrugerea fizică).
Datele care au fost doar șterse NU au fost distruse corespunzător. Este vorba doar de "date în repaus" care așteaptă să fie depășite - sau inconveniently descoperite de o terță parte neautorizată și potențial rău intenționată!
Relansarea datelor se referă la datele care există încă pe suportul de stocare sau în memorie după ce datele au fost "șterse".
Nivelurile de bază
Stabilirea unei linii de bază este o metodă standard de afaceri utilizată pentru a compara o organizație cu un punct de pornire sau un standard minim sau pentru a compara progresul în cadrul unei organizații în timp. Cu ajutorul controalelor de securitate, aceste metode oferă informații valoroase:
- Comparând cu alte organizații . Organizațiile pot compara seturile lor de control cu alte organizații, pentru a vedea ce diferențe există în controale.
- Compararea controalelor interne în timp . O organizație își poate stabili setul de controale inițiale, pentru a vedea ce schimbări apar în setul său de control pe o perioadă de ani.
- Compararea eficienței controlului în timp . O organizație își poate compara înregistrările cu privire la eficacitatea controlului, pentru a vedea unde se înregistrează progrese și unde este nevoie de mai mult efort pentru a face progrese.
Concepția și adaptarea
Deoarece diferite părți ale unei organizații și ale sistemelor informatice subiacente stochează și procesează diferite seturi de date, nu are sens ca o organizație să stabilească un singur set de controale și să le impună tuturor sistemelor. Ca un program de clasificare a datelor excedentar și supraprotecția și subprotecția rezultatelor, organizațiile se despart adesea în zone logice și apoi specifică ce controale și seturi de controale se aplică în aceste zone.
O altă abordare este de a adapta controalele și seturile de controale la diferite sisteme informatice și părți ale organizației. De exemplu, controalele privind puterea parolei pot avea categorii care se aplică sistemelor cu diferite nivele de securitate.
Ambele metode de aplicare a unui mediu complex de control într-un mediu IT complex sunt valabile - sunt într-adevăr modalități diferite de a atinge același obiectiv: aplicarea unui nivel adecvat de control pentru diferite sisteme și medii, pe baza informațiilor pe care le stochează și proces sau pe alte criterii.
Selectarea standardelor
Există mai multe cadre de control excelente pentru utilizarea profesioniștilor în domeniul securității. În nici un caz nu este necesar să începeți de la zero. În schimb, cea mai bună abordare este să începeți cu unul dintre cele mai importante cadre de conducere din industrie, apoi să adăugați sau să eliminați controale individuale pentru a se potrivi nevoilor organizației.
Standardele-cadru de control includ
- ISO27002 , Codul de practică pentru managementul securității informațiilor.
- COBIT , Obiective de control pentru informații și tehnologie conexă.
- NIST 800-53 , Comenzile de securitate recomandate pentru sistemele și organizațiile informatice federale.
Cryptography
Crypto joacă un rol esențial în protecția datelor, indiferent dacă vorbim de date în mișcare printr-o rețea sau în repaus pe un server sau o stație de lucru. Criptografia se referă doar la ascunderea datelor la vedere, deoarece există situații în care persoanele pot accesa date sensibile; cripto-ul leagă persoanele care accesează dacă nu dețin o cheie de criptare și metoda de decriptare a acesteia.