Zajištění informací - Information assurance

Zajištění informací (IA) je praxe zajišťování informací a řízení rizik souvisejících s používáním, zpracováním, ukládáním a přenos informací. Zajištění informací zahrnuje ochranu integrita, dostupnost, autenticita, neodmítnutí a důvěrnost uživatelských údajů.^[1] IA zahrnuje nejen digitální ochranu, ale také fyzikální techniky. Tyto ochrany se vztahují na přenášená data, fyzické i elektronické formy, jakož i data v klidu . IA se nejlépe považuje za nadmnožinu informační bezpečnost (tj. zastřešující termín) a jako obchodní výsledek řízení informačních rizik.

Přehled

Informační zajištění (IA) je proces získávání správných informací správným lidem ve správný čas. IA prospívá podnikání prostřednictvím využívání informací řízení rizik, správa důvěry, odolnost, vhodná architektura, bezpečnost systému a zabezpečení, což zvyšuje užitečnost informací pro oprávněné uživatele a snižuje užitečnost informací pro ty neoprávněné.^[2] Je to silně spojené s oblastí informační bezpečnost, a také s kontinuita podnikání. IA souvisí spíše s obchodní úrovní a strategický řízení rizik u informačních a souvisejících systémů, spíše než vytváření a používání bezpečnostních kontrol. Proto kromě obrany proti škodlivému hackeři a kód (např. viry ), Odborníci IA zvažují správa a řízení společností problémy jako Soukromí, předpisy a normy dodržování, auditování, kontinuita podnikání, a zotavení po havárii protože se týkají informačních systémů. Dále, zatímco informační bezpečnost čerpá především z počítačová věda „IA je interdisciplinární obor vyžadující odborné znalosti v oboru podnikání, účetnictví, uživatelská zkušenost, podvod zkouška, forenzní věda, věda o řízení, systémové inženýrství, bezpečnostní inženýrství, a kriminologie, kromě počítačové vědy.

Proces

Proces zajištění informací obvykle začíná výčtem a klasifikací informací aktiva být chráněn. Dále praktikující IA provede a posouzení rizik pro tato aktiva. Zranitelnosti informačních aktiv jsou určeny za účelem výčtu hrozeb schopných tyto aktiva využívat. Posouzení poté bere v úvahu jak pravděpodobnost, tak dopad hrozby využívající zranitelnost aktiva, přičemž dopad se obvykle měří z hlediska nákladů pro zúčastněné strany aktiva. Součet produktů dopadu hrozeb a pravděpodobnosti jejich výskytu je celkové riziko pro informační aktivum.

Po dokončení posouzení rizik odborník na IA poté vyvine a plán řízení rizik. Tento plán navrhuje protiopatření, která zahrnují zmírnění, eliminaci, přijetí nebo převod rizik a zohledňují prevenci, detekci a reakci na hrozby. Rámec publikovaný normalizační organizací, jako je NIST RMF,^[3] Riskujte to, CobiT, PCI DSS nebo ISO / IEC 27002, může vést vývoj. Protiopatření může obsahovat technické nástroje jako firewally a antivirový software, zásady a postupy vyžadující takové kontroly, jako je pravidelné zálohování a zpevňování konfigurace, školení zaměstnanců v oblasti povědomí o bezpečnosti nebo organizování personálu do vyhrazených tým pro nouzovou reakci na počítač (CERT) nebo tým reakce na počítačovou bezpečnost (CSIRT ). Náklady a přínosy každého protiopatření jsou pečlivě zváženy. Praktik IA se tedy nesnaží eliminovat všechna rizika, pokud je to možné, ale maximálně je řídit nákladově efektivní způsob.

Poté, co je plán řízení rizik implementován, je testován a vyhodnocován, často prostřednictvím formálních auditů. Proces posouzení dopadů je iterační, protože plán hodnocení rizik a řízení rizik je určen k pravidelné revizi a zlepšování na základě shromážděných údajů o jejich úplnosti a účinnosti.

Standardizační organizace a standardy

Existuje řada mezinárodních a vnitrostátních orgánů, které vydávají standardy týkající se postupů, zásad a postupů v oblasti zajišťování informací. Ve Velké Británii to zahrnuje Poradní sbor pro informační zabezpečení a Information Assurance Collaboration Group.

Viz také

Reference

Poznámky

^ Sosin, Artur (2018). „JAK ZVÝŠIT ZABEZPEČENÍ INFORMACÍ V INFORMAČNÍM VĚKU“ (PDF). Journal of Defense Resources Management. 9: 45–57.
^ Richardson, Christopher. „Překlenutí vzduchové mezery: perspektiva zajištění informací“ (PDF). ePrints Soton. University of Southampton. Citováno 3. listopadu 2015.
^ NIST RMF https://csrc.nist.gov/projects/risk-management/risk-management-framework-(rmf)-overview. Citováno 2019-02-18. Chybějící nebo prázdný | název = (Pomoc)

Bibliografie

Šifrování dat; Vědci z univerzity Chang Gung cílí na šifrování dat. (2011, květen). Informační technologie Newsweekly, 149. Citováno 30. října 2011 z ProQuest Computing. (ID dokumentu: 2350804731).
Stephenson (2010). "Ověřování: pilíř zajištění informací". SC Magazine. 21 (1): 55.
Cummings, Roger (2002). „Vývoj informačního zabezpečení“ (PDF). Počítač. 35 (12): 65–72. doi:10.1109 / MC.2002.1106181.^{[trvalý mrtvý odkaz ]}

externí odkazy

Dokumentace

Vláda Spojeného království
- HMG INFOSEC STANDARD Č. 2 Řízení rizik a akreditace informačních systémů (2005)
IA reference
Information Assurance XML Schema Markup Language
Směrnice DoD 8500.01 Zajištění informací
Graf zásad DoD IA Graf zásad DoD IA
Archiv informačního zabezpečení Archiv informačního zabezpečení

Zajištění informací se vyvinulo také díky sociálním médiím

[1] Sosin, Artur (2018). „JAK ZVÝŠIT ZABEZPEČENÍ INFORMACÍ V INFORMAČNÍM VĚKU“ (PDF). Journal of Defense Resources Management. 9: 45–57.

[Bridging_the_air_gap-2] Richardson, Christopher. „Překlenutí vzduchové mezery: perspektiva zajištění informací“ (PDF). ePrints Soton. University of Southampton. Citováno 3. listopadu 2015.

[3] NIST RMF https://csrc.nist.gov/projects/risk-management/risk-management-framework-(rmf)-overview. Citováno 2019-02-18. Chybějící nebo prázdný | název = (Pomoc)

[1]

[2]

[3]