Hem Personliga finanser Datasäkerhetskontroller - dummies

Datasäkerhetskontroller - dummies

Innehållsförteckning:

Anonim

Känsliga tillgångar, inklusive data, måste skyddas på lämpligt sätt under hela livscykeln. Som säkerhetspersonal är det ditt jobb. Information Lifecycle Management (ILM) omfattar data genom följande fem steg:

  • Skapande. Data skapas av en slutanvändare eller en applikation. Data måste klassificeras just nu, baserat på dataens kritik och känslighet, och en dataägare (vanligtvis men inte alltid skaparen) behöver tilldelas. Data kan förekomma i många former, t.ex. i dokument, kalkylblad, e-post och textmeddelanden, databasposter, formulär, bilder, presentationer (inklusive videokonferenser) och utskrivna dokument.
  • Distribution ("data i rörelse"). Data kan distribueras (eller hämtas) internt inom en organisation eller skickas till externa mottagare. Distributionen kan vara manuellt (t.ex. via kurir) eller elektronisk (vanligtvis via ett nätverk). Data i transit är sårbar för kompromisser, så lämpliga skyddsåtgärder måste genomföras baserat på klassificeringen av uppgifterna. Kryptering kan till exempel krävas för att skicka viss känslig data över ett offentligt nätverk. I sådana fall måste lämpliga krypteringsstandarder fastställas. Dataöverföring (DLP) -teknologi kan också användas för att förhindra oavsiktlig eller avsiktlig otillåten distribution av känsliga data.
  • Använd ("data i bruk"). Detta steg avser data som har nåts av en slutanvändare eller en applikation och används aktivt (till exempel läs, analyseras, modifieras, uppdateras eller dupliceras) av den användaren eller applikationen. Data som används måste endast nås på system som är godkända för dataens klassificeringsnivå och endast av användare och applikationer som har lämpliga behörigheter (clearing) och syfte (behov av att veta).
  • Underhåll ("data i vila"). Varje tid mellan skapandet och dispositionen av data som den inte är "i rörelse" eller "i bruk", upprätthålls data "i vila". Underhåll omfattar lagring (på media som en hårddisk, flyttbar USB-tummin enhet, backup magnetband eller papper) och arkivering (till exempel i en katalog och filstruktur) av data. Data kan också säkerhetskopieras och backupmediet transporteras till en säker plats utanför platsen (kallad "data i transit"). Klassificeringsnivåerna av data bör också rutinmässigt granskas (typiskt av dataägaren) för att avgöra om en klassificeringsnivå behöver uppgraderas (inte vanlig) eller kan nedgraderas. Lämpliga skyddsåtgärder måste genomföras och regelbundet granskas för att säkerställa
    • Sekretess (och integritet). Till exempel, med hjälp av system, katalog och filbehörigheter och kryptering.
    • Integritet. Till exempel, med hjälp av baslinjer, kryptografiska hash, cykliska redundanskontroller (CRC) och fillåsning (för att förhindra eller styra modifiering av data av flera samtidiga användare).
    • Tillgänglighet. Till exempel, genom att använda databas och filkluster (för att eliminera enskilda punkter av fel), säkerhetskopiering och realtidsreplikation (för att förhindra förlust av data).
  • Disposition. Slutligen, när data inte längre har något värde eller inte längre är användbart för organisationen, måste den destrueras på ett korrekt sätt i enlighet med bolagets behållnings- och destruktionspolitik samt alla tillämpliga lagar och förordningar. Vissa känsliga data kan kräva en slutgiltig bestämning av datainnehavaren, och kan kräva särskilda destruktionsprocedurer (såsom vittnen, loggningen och en magnetisk torkning följt av fysisk förstöring).

Data som bara har raderats har INTE blivit ordentligt förstört. Det är bara "data i vila" som väntar på att vara överskrivna - eller obekvämt upptäcks av en obehörig och potentiellt skadlig tredje part!

Dataåterhämtning avser data som fortfarande finns på lagringsmedia eller i minnet efter att data har "raderats".

Baselines

Att upprätta en baslinje är en standard affärsmetod som används för att jämföra en organisation till en startpunkt eller miniminivå eller för att jämföra framsteg inom en organisation över tiden. Med säkerhetskontroller ger dessa metoder värdefull insikt:

  • Jämförande med andra organisationer . Organisationer kan jämföra sina kontrollsatser med andra organisationer för att se vilka skillnader som finns i kontrollerna.
  • Jämförande interna kontroller över tiden . En organisation kan basera sin uppsättning kontroller, för att se vilka förändringar som uppstår i dess kontrollsats över en period av år.
  • Jämförelse av kontrollens effektivitet över tiden . En organisation kan jämföra sin rekord av kontroll effektivitet, för att se var framsteg görs och där mer ansträngning behövs för att göra framsteg.

Omfattning och anpassning

Eftersom olika delar av en organisation och dess underliggande IT-system lagrar och behandlar olika datasatser, är det inte meningsfullt för en organisation att upprätta en enda uppsättning kontroller och införa dem på alla system. Som ett förenklat dataklassificeringsprogram och dess resulterande överskydd och underprotektion av data delar organisationer ofta sig i logiska zoner och anger sedan vilka kontroller och uppsättningar kontroller som tillämpas i dessa zoner.

Ett annat tillvägagångssätt är att skräddarsy kontroller och uppsättningar av kontroller till olika IT-system och delar av organisationen. Kontroller med lösenordsstyrka kan till exempel ha kategorier som tillämpas på system med olika säkerhetsnivåer.

Båda metoderna för att tillämpa en komplex kontrollmiljö i en komplex IT-miljö är giltiga - de är egentligen bara olika sätt att uppnå samma mål: tillämpa rätt nivå av kontroll till olika system och miljöer, baserat på den information de lagrar och bearbeta eller på andra kriterier.

Standardval

Flera utmärkta kontrollramar finns tillgängliga för säkerhetspersonalernas användning. Det är under inga omständigheter nödvändigt att börja från början. I stället är det bästa sättet att börja med en av flera branschledande kontrollramar, och sedan lägga till eller ta bort enskilda kontroller som passar organisationens behov.

Kontrollramverkets standarder inkluderar

  • ISO27002 , Code of Practice för informationssäkerhetshantering.
  • COBIT , Kontrollmål för information och relaterad teknik.
  • NIST 800-53 , rekommenderade säkerhetsbestämmelser för federala informationssystem och organisationer.

Kryptografi

Crypto spelar en viktig roll i dataskydd, oavsett om vi pratar om data i rörelse via ett nätverk eller i vila på en server eller arbetsstation. Kryptografi handlar om att gömma data i vanlig syn, eftersom det finns situationer där personer kan få tillgång till känslig data. krypto förnekar personer som åtkomst om de inte har en krypteringsnyckel och metoden för att dekryptera den.

Datasäkerhetskontroller - dummies

Redaktörens val

Redaktörens val

Nätverksenheter och tjänster Översikt för certifikatprov på CCENT-dummies

Nätverksenheter och tjänster Översikt för certifikatprov på CCENT-dummies

Personliga finanser

Du kan vara säker på att få några frågor om certifieringsexamen som testar din kunskap om typer av enheter och olika nätverkstjänster. Nedan följer några viktiga punkter att komma ihåg om enheter och tjänster: Nätverksenheter Hubb: Ett nav är en lag 1-enhet som används för att ansluta system tillsammans. När ...

OSI-modell för CCENT-certifieringsexamen - dummies

OSI-modell för CCENT-certifieringsexamen - dummies

Personliga finanser

Certifieringen certifierar dig kraftigt på OSI-modellen och olika protokoll och enheter som körs på varje lager av OSI-modellen. I följande tabell granskas OSI-modellen genom att ge dig en beskrivning av varje lager och exempel på protokoll och enheter som körs i varje lager. Layer Beskrivning Exempel 7. Applikation ...

OSI-modell för Cisco ICND1-certifieringsexamen - dummies

OSI-modell för Cisco ICND1-certifieringsexamen - dummies

Personliga finanser

Cisco ICND1-certifieringsexamen testa dig kraftigt på OSI modell och de olika protokoll och enheter som körs i varje lager av OSI-modellen. Följande granskar OSI-modellen genom att ge dig en beskrivning av varje lager och exempel på protokoll och enheter som körs i varje lager. Layer Beskrivning Exempel 7. Applikation ...

Redaktörens val

Hur man skalar på skifferelement i kantfilm - dummies

Hur man skalar på skifferelement i kantfilm - dummies

Sociala medier

Skalar ett element i Adobe Edge Animate betyder i huvudsak att du kan ändra storleken på ett element samtidigt som dess proportioner hålls konsekventa om du vill. Du kan: Skalelement med verktyget Transform Skalaelement från Egenskaper-panelen Skalning med verktyget Transform Om du föredrar att använda en klicka-och-dra-metod för skalering ...

Hur man arbetar med mallar i Adobe Edge Animate - dummies

Hur man arbetar med mallar i Adobe Edge Animate - dummies

Sociala medier

Mallar introducerades i Edge Animate 2. 0. Denna funktion tar bort nödvändigheten att återuppfinna hjulet varje gång du vill starta en ny komposition. Visst kan du alltid starta en ny komposition från en sparad fil, men Mallar gör att du kan starta ett nytt projekt som redan innehåller attribut och element som du vill ha.

Keyframes Modes in Edge Animation - dummies

Keyframes Modes in Edge Animation - dummies

Sociala medier

Keyframe-verktyg i Edge Animate finns till höger om Play-kontrollerna. För att skapa nyckelfiler automatiskt måste du först aktivera nyckelbilder genom att klicka på den röda stoppklockans ikon. Som standard, när du startar en ny animering, är Stopwatch rött men har gråa linjer som löper genom det (som visat). Här är standardstatus för ...

Redaktörens val

Hur man tolkar figurativt språk för GED RLA-dummiesna

Hur man tolkar figurativt språk för GED RLA-dummiesna

Sociala medier

Författare använder språk antingen bokstavligt eller figurativt . GED Reasoning Through Language Arts testet kommer att ha några frågor för att testa din förmåga att identifiera skillnaden. En NASA-vetenskapsman kan beskriva en asteroid väldigt bokstavligt: ​​består huvudsakligen av vatten, blandat med vissa stenar och mindre fasta fragment. Eller kan han eller hon skriva figurativt och beskriva ...

Hur (och var) ska schemalägga för att ta GED-dummiesna

Hur (och var) ska schemalägga för att ta GED-dummiesna

Sociala medier

För att ta GED test, schemalägger du det baserat på tillgängliga testdatum. Varje stat eller lokalt testcenter ställer in sitt eget schema för GED-testet, vilket innebär att ditt tillstånd bestämmer hur och när du kan ta varje avsnitt av testet. Det bestämmer också hur ofta du kan återta en misslyckad ...

Hur man förbereder sig på GED RLA Extended Response - dummies

Hur man förbereder sig på GED RLA Extended Response - dummies

Sociala medier

Uppsats för utvidgad respons på GED Reasoning Through Language Arts-testet kräver några mycket specifika färdigheter, allt från grammatik och korrekt språkanvändning till förståelse och analysförmåga. Om du någonsin har haft ett argument om vem som har det bästa laget eller vilken arbetsgivare är bättre, vet du redan hur man bedömer argument och svarar. ...

Redaktörens val

Redaktörens val

Populära kategorier

© Copyright sve.blender3dtutorials.com, 2024 Oktober | Om webbplatsen | Kontakter | Integritetspolicy.