Informationssicherheit bedeutet, Informations- und Informationssysteme vor unerlaubtem Zugang, Gebrauch, Enthüllung, Störung, Modifizierung, sorgfältigem Studium, Inspektion, Aufnahme oder Zerstörung zu schützen.

Die Begriffe Informationssicherheit, Computersicherheit und Informationsversicherung werden oft austauschbar gebraucht. Diese Felder werden häufig zueinander in Beziehung gebracht und teilen die gemeinsamen Ziele, die Vertraulichkeit, Integrität und Verfügbarkeit der Information zu schützen; jedoch gibt es einige feine Unterschiede zwischen ihnen.

Diese Unterschiede liegen in erster Linie in der Annäherung an das Thema, die Methodiken verwendet, und die Gebiete der Konzentration.

Informationssicherheit ist mit der Vertraulichkeit, Integrität und Verfügbarkeit von Daten unabhängig von der Form beschäftigt, die die Daten annehmen können: elektronisch, Druck oder andere Formen. Computersicherheit kann sich darauf konzentrieren, die Verfügbarkeit zu sichern, und Operation eines Computersystems ohne Sorge für die Information korrigieren, die versorgt oder durch den Computer bearbeitet ist. Informationsversicherung konzentriert sich auf die Gründe für die Versicherung, dass Information geschützt wird, und so über die Informationssicherheit vernünftig urteilt.

Regierungen, Militär, Vereinigungen, Finanzeinrichtungen, Krankenhäuser und private Geschäfte häufen sehr viel vertrauliche Information über ihre Angestellten, Kunden, Produkte, Forschung und finanzielle Lage an. Der grösste Teil dieser Information wird jetzt gesammelt, bearbeitet und auf elektronischen Computern versorgt und über Netze anderen Computern übersandt.

Wenn vertrauliche Information über Kunden oder Finanzen eines Geschäfts oder neuen Erzeugnis-Fall in die Hände eines Mitbewerbers, solch ein Bruch der Sicherheit zu negativen Folgen führen konnte. Schutz vertraulicher Information ist eine Geschäftsvoraussetzung, und in vielen Fällen auch eine ethische und gesetzliche Voraussetzung.

Für die Person hat Informationssicherheit eine bedeutende Wirkung auf die Gemütlichkeit, die sehr verschieden in verschiedenen Kulturen angesehen wird.

Das Feld der Informationssicherheit ist gewachsen und hat sich bedeutsam in den letzten Jahren entwickelt. Es gibt viele Weisen, Zugang ins Feld als eine Karriere zu gewinnen. Es bietet viele Gebiete für die Spezialisierung an einschließlich: Netz (E) und verbundene Infrastruktur sichernd, Anwendungen und Datenbanken, Sicherheitsprüfung, Informationssystemrechnungsprüfung, Geschäftskontinuitätsplanung und forensics Digitalwissenschaft usw. sichernd.

Dieser Artikel präsentiert eine allgemeine Übersicht der Informationssicherheit und seiner Kernkonzepte.

Geschichte

Seit den frühen Tagen des Schreibens haben Staatsoberhäupter und militärische Kommandanten verstanden, dass es notwendig war, einen Mechanismus zur Verfügung zu stellen, die Vertraulichkeit der schriftlichen Ähnlichkeit zu schützen und einige Mittel zu haben, das Herumbasteln zu entdecken.

Julius Caesar wird die Erfindung der Ziffer von Caesar ca zugeschrieben. 50 B.C., der geschaffen wurde, um seine heimlichen Nachrichten davon abzuhalten, gelesen zu werden, sollte eine Nachricht, in die falschen Hände zu fallen.

Zweiter Weltkrieg hat viele Förderungen in der Informationssicherheit verursacht und hat den Anfang des Berufsfeldes der Informationssicherheit gekennzeichnet.

Das Ende des 20. Jahrhunderts und der frühen Jahre des 21. Jahrhunderts hat schnelle Förderungen in Fernmeldewesen, Rechenhardware und Software und Datenverschlüsselung gesehen. Die Verfügbarkeit der kleineren, stärkeren und weniger teuren Rechenausrüstung hat elektronische Daten gemacht, die innerhalb der Reichweite des Kleinunternehmens und des Hausbenutzers in einer Prozession gehen. Diese Computer sind schnell miteinander verbunden durch ein Netz geworden allgemein hat das Internet genannt.

Das schnelle Wachstum und der weit verbreitete Gebrauch der elektronischen Datenverarbeitung und des elektronischen Geschäfts, das durch das Internet zusammen mit zahlreichen Ereignissen des internationalen Terrorismus geführt ist, haben dem Bedürfnis nach besseren Methoden Brennstoff geliefert, die Computer und die Information zu schützen, die sie versorgen, bearbeiten und übersenden. Die akademischen Disziplinen der Computersicherheit, Informationssicherheit und Informationsversicherung sind zusammen mit zahlreichen Berufsorganisationen - alles erschienen, die gemeinsamen Ziele teilend, die Sicherheit und Zuverlässigkeit von Informationssystemen zu sichern.

Kernprinzipien

Schlüsselkonzepte

Seit mehr als zwanzig Jahren hat Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit (bekannt als die CIA Triade) gehalten, um die Kerngrundsätze der Informationssicherheit zu sein.

Es gibt dauernde Debatte über das Verlängern dieses klassischen Trios. Andere Grundsätze wie Verantwortlichkeit sind manchmal für die Hinzufügung vorgeschlagen worden - es ist darauf hingewiesen worden, dass Probleme wie Nichtnichtanerkennung gut innerhalb der drei Kernkonzepte nicht passen, und weil die Regulierung von Computersystemen zugenommen hat (besonders unter den Westnationen), wird Rechtmäßigkeit eine Schlüsselrücksicht für praktische Sicherheitsinstallationen.

1992 und revidiert 2002 haben die Richtlinien des OECD für die Sicherheit von Informationssystemen und Netzen die neun allgemein akzeptierten Grundsätze vorgeschlagen: Bewusstsein, Verantwortung, Antwort, Ethik, Demokratie, Risikobewertung, Sicherheit Design und Durchführung, Sicherheitsmanagement und Umwertung. Auf diejenigen 2004 bauend, haben die Technikgrundsätze des NIST für die Informationstechnologiesicherheit 33 Grundsätze vorgeschlagen. Aus jeder dieser abgeleiteten Richtlinien und Methoden.

2002 hat Donn Parker ein alternatives Modell für die klassische CIA Triade vorgeschlagen, dass er die sechs Atomelemente der Information genannt hat. Die Elemente sind Vertraulichkeit, Besitz, Integrität, Echtheit, Verfügbarkeit und Dienstprogramm. Die Verdienste von Parkerian hexad sind ein Thema der Debatte unter Sicherheitsfachleuten.

Vertraulichkeit

Vertraulichkeit ist der Begriff, der gebraucht ist, um die Enthüllung der Information nicht bevollmächtigten Personen oder Systemen zu verhindern. Zum Beispiel verlangt eine Kreditkartentransaktion im Internet, dass die Kreditkartennummer vom Käufer dem Großhändler und vom Großhändler zu einem Transaktionsverarbeitungsnetz übersandt wird. Das System versucht, Vertraulichkeit durch encrypting die Kartennummer während der Übertragung, durch das Begrenzen der Plätze geltend zu machen, wo es erscheinen könnte (in Datenbanken, haben Protokolldateien, Unterstützungen, Quittungen, und so weiter gedruckt), und durch das Beschränken des Zugangs zu den Plätzen, wo es versorgt wird. Wenn eine nicht bevollmächtigte Partei die Kartennummer in jedem Fall erhält, ist ein Bruch der Vertraulichkeit vorgekommen.

Brüche der Vertraulichkeit nehmen viele Formen an. Das Erlauben von jemandem, Ihre Schulter an Ihrem Computerschirm durchzusehen, während Sie vertrauliche Daten darauf zeigen ließen, konnte ein Bruch der Vertraulichkeit sein. Wenn ein Laptop, der empfindliche Information über Angestellte einer Gesellschaft enthält, gestohlen oder verkauft wird, konnte es auf einen Bruch der Vertraulichkeit hinauslaufen. Vertrauliche Information über das Telefon zu Ende zu gehen, ist ein Bruch der Vertraulichkeit, wenn der Anrufer nicht bevollmächtigt wird, die Information zu haben.

Vertraulichkeit ist notwendig (aber nicht genügend), für die Gemütlichkeit der Leute aufrechtzuerhalten, deren persönliche Information ein System hält.

Integrität

In der Informationssicherheit bedeutet Integrität, dass Daten undetectably nicht modifiziert werden können. Das ist nicht dasselbe Ding wie Verweisungsintegrität in Datenbanken, obwohl es als ein spezieller Fall der Konsistenz, wie verstanden, im klassischen SAUREN Modell der Transaktionsverarbeitung angesehen werden kann. Integrität wird verletzt, wenn eine Nachricht unterwegs aktiv modifiziert wird. Informationssicherheitssysteme stellen normalerweise Nachrichtenintegrität zusätzlich zum Datengeheimnis zur Verfügung.

Verfügbarkeit

Für jedes Informationssystem, um seinem Zweck zu dienen, muss die Information verfügbar sein, wenn es erforderlich ist. Das bedeutet, dass die Rechensysteme gepflegt haben, die Information zu versorgen und zu bearbeiten, haben die Sicherheitssteuerungen gepflegt, sie zu schützen, und die Nachrichtenkanäle haben gepflegt, darauf zuzugreifen, muss richtig fungieren. Hohe Verfügbarkeitssysteme haben zum Ziel, verfügbar zu jeder Zeit zu bleiben, Dienststörungen wegen Macht-Ausfälle, Hardware-Misserfolge und Systemsteigungen verhindernd. Das Sicherstellen der Verfügbarkeit ist auch mit dem Verhindern von Angriffen der Leugnung des Dienstes verbunden.

Echtheit

In der Computerwissenschaft, dem E-Geschäft und der Informationssicherheit, ist es notwendig sicherzustellen, dass die Daten, Transaktionen, Kommunikationen oder Dokumente (elektronisch oder physisch) echt sind. Es ist auch für die Echtheit wichtig, das gültig zu machen, beide beteiligten Parteien sind, wer sie behaupten, dass sie sind.

Nichtnichtanerkennung

Im Gesetz bezieht Nichtnichtanerkennung jemandes Absicht ein, ihre Verpflichtungen gegen einen Vertrag zu erfüllen. Es deutet auch an, dass eine Partei einer Transaktion nicht bestreiten kann, eine Transaktion erhalten, noch die andere Partei bestreiten kann, eine Transaktion gesandt.

Elektronischer Handel verwendet Technologie wie Digitalunterschriften und öffentliche Schlüsselverschlüsselung, um Echtheit und Nichtnichtanerkennung zu gründen.

Risikomanagement

Eine umfassende Behandlung des Themas des Risikomanagements ist außer dem Spielraum dieses Artikels. Jedoch wird eine nützliche Definition des Risikomanagements sowie eine grundlegende Fachsprache und ein allgemein verwendeter Prozess für das Risikomanagement zur Verfügung gestellt.

Das CISA-Rezensionshandbuch 2006 stellt die folgende Definition des Risikomanagements zur Verfügung: "Risikomanagement ist der Prozess der sich identifizierenden Verwundbarkeit und Drohungen gegen die Informationsmittel, die von einer Organisation im Erzielen von Unternehmenszielen und Entscheiden was Gegenmaßnahmen verwendet sind, um falls etwa, in der abnehmenden Gefahr zu einem annehmbaren Niveau zu nehmen, das auf dem Wert der Informationsquelle zur Organisation gestützt ist."

Es gibt zwei Dinge in dieser Definition, die etwas Erläuterung brauchen kann. Erstens ist der Prozess des Risikomanagements ein andauernder wiederholender Prozess. Es muss unbestimmt wiederholt werden. Die Geschäftsumgebung ändert sich ständig, und neue Drohungen und Verwundbarkeit erscheinen jeden Tag. Zweitens hat die Wahl von Gegenmaßnahmen (Steuerungen) gepflegt sich zu behelfen Gefahren müssen ein Gleichgewicht zwischen der Produktivität schlagen, Wirksamkeit der Gegenmaßnahme und der Wert des Informationsaktivpostens kosten, der wird schützt.

Risikoanalyse und Risikoeinschätzungsprozesse haben ihre Beschränkungen seitdem, wenn Sicherheitsereignisse vorkommen, erscheinen sie in einem Zusammenhang und ihrer Seltenheit, und sogar ihre Einzigartigkeit verursacht unvorhersehbare Drohungen. Die Analyse dieser Phänomene, die durch Depressionen, Überraschungen und Nebenwirkungen charakterisiert werden, verlangt eine theoretische Annäherung, die im Stande ist, subjektiv das Detail jedes Ereignisses zu untersuchen und zu interpretieren.

Gefahr ist die Wahrscheinlichkeit, dass etwas Schlechtes geschehen wird, der einem Informationsaktivposten (oder der Verlust des Aktivpostens) Schaden zufügt. Eine Verwundbarkeit ist eine Schwäche, die verwendet werden konnte, um zu gefährden oder einem Informationsaktivposten Schaden zuzufügen. Eine Drohung ist irgendetwas (künstlich oder Naturgewalt), der das Potenzial hat, um Schaden zuzufügen.

Die Wahrscheinlichkeit, dass eine Drohung eine Verwundbarkeit verwenden wird, um Schaden zuzufügen, schafft eine Gefahr. Wenn eine Drohung wirklich eine Verwundbarkeit verwendet, um Schaden zuzufügen, hat sie einen Einfluss. Im Zusammenhang der Informationssicherheit ist der Einfluss ein Verlust von Verfügbarkeit, Integrität, und Vertraulichkeit, und vielleicht anderen Verlusten (verlorenes Einkommen, Verlust des Lebens, Verlust von Immobilien). Es sollte darauf hingewiesen werden, dass es nicht möglich ist, alle Gefahren zu identifizieren, noch es möglich ist, die ganze Gefahr zu beseitigen. Die restliche Gefahr wird restliche Gefahr genannt.

Eine Risikobewertung wird von einer Mannschaft von Leuten ausgeführt, die Kenntnisse von spezifischen Gebieten des Geschäfts haben. Die Mitgliedschaft der Mannschaft kann sich mit der Zeit ändern, weil verschiedene Teile des Geschäfts bewertet werden. Die Bewertung kann eine subjektive qualitative Analyse verwenden, die auf der informierten Meinung gestützt ist, oder wo zuverlässige Dollarzahlen und historische Information verfügbar sind, kann die Analyse quantitative Analyse verwenden.

Die Forschung hat gezeigt, dass der verwundbarste Punkt in den meisten Informationssystemen der menschliche Benutzer, Maschinenbediener, Entwerfer oder andere menschliche ist

Der ISO/IEC 27002:2005 empfiehlt der Code der Praxis für das Informationssicherheitsmanagement, dass der folgende während einer Risikobewertung untersucht wird:

• Sicherheitspolitik,
• Organisation der Informationssicherheit,
• Anlagenmanagement,
• Personalsicherheit,
• physische und Umweltsicherheit,
• Kommunikationen und Operationsmanagement,
• Zugriffskontrolle,
• Informationssystemerwerb, Entwicklung und Wartung,
• Informationssicherheitsereignis-Management,
• Geschäftskontinuitätsmanagement und
• Durchführungsgehorsam.

In breiten Begriffen besteht der Risikoverwaltungsprozess aus:

1. Identifizierung des Vermögens und das Schätzen ihres Werts. Schließen Sie ein: Leute, Gebäude, Hardware, Software, Daten (elektronisch, Druck, anderer), Bedarf.
2. Führen Sie eine Drohungsbewertung. Schließen Sie ein: Naturgewalten, Kriegshandlungen, Unfälle, böswillige Taten, die von innen oder außerhalb der Organisation entstehen.
3. Führen Sie eine Verwundbarkeitsbewertung, und für jede Verwundbarkeit, berechnen Sie die Wahrscheinlichkeit, dass sie ausgenutzt wird. Bewerten Sie Policen, Verfahren, Standards, Ausbildung, physische Sicherheit, Qualitätskontrolle, technische Sicherheit.
4. Berechnen Sie den Einfluss, den jede Drohung auf jedem Aktivposten haben würde. Verwenden Sie qualitative Analyse oder quantitative Analyse.
5. Identifizieren Sie, wählen Sie aus und führen Sie passende Steuerungen durch. Stellen Sie eine proportionale Antwort zur Verfügung. Denken Sie Produktivität, kosten Sie Wirksamkeit und Wert des Aktivpostens.
6. Bewerten Sie die Wirksamkeit der Kontrollmaßnahmen. Stellen Sie sicher, dass die Steuerungen den erforderlichen Kosten wirksamen Schutz ohne wahrnehmbaren Verlust der Produktivität zur Verfügung stellen.

Für jede gegebene Gefahr kann Exekutivmanagement beschließen, die Gefahr zu akzeptieren, die auf dem niedrigen Verhältniswert des Aktivpostens, der niedrigen Verhältnisfrequenz des Ereignisses gestützt ist, und der Verwandte wirkt niedrig auf das Geschäft ein. Oder Führung kann beschließen, die Gefahr durch das Auswählen und das Einführen passender Kontrollmaßnahmen zu lindern, um die Gefahr zu reduzieren. In einigen Fällen kann die Gefahr einem anderen Geschäft übertragen werden, indem sie Versicherung versichert wird oder zu einem anderen Geschäft ausgegliedert wird. Die Wirklichkeit von einigen Gefahren kann diskutiert werden. In solchen Fällen kann Führung beschließen, die Gefahr zu bestreiten.

Steuerungen

Wenn Management beschließt, eine Gefahr zu lindern, werden sie so tun, indem sie ein oder mehr von drei verschiedenen Typen von Steuerungen durchführen werden.

Administrativ

Verwaltungssteuerungen (hat auch Verfahrenssteuerungen genannt), bestehen aus genehmigten schriftlichen Policen, Verfahren, Standards und Richtlinien. Verwaltungssteuerungen bilden das Fachwerk, für das Geschäft zu führen und Leute zu führen. Sie informieren Leute darauf, wie das Geschäft geführt werden soll, und wie täglich Operationen geführt werden sollen. Gesetze und von Regierungsbehörden geschaffene Regulierungen sind auch ein Typ der Verwaltungskontrolle, weil sie das Geschäft informieren. Einige Industriezweige haben Policen, Verfahren, Standards und Richtlinien, denen gefolgt werden muss - die Datensicherheit von Payment Card Industry (PCI) Standard, der durch das Visum und MasterCard erforderlich ist, ist solch ein Beispiel. Andere Beispiele von Verwaltungssteuerungen schließen die korporative Sicherheitspolitik, Kennwort-Politik ein, Policen und disziplinarische Policen mietend.

Verwaltungssteuerungen bilden die Basis für die Auswahl und Durchführung von logischen und physischen Steuerungen. Logische und physische Steuerungen sind Manifestationen von Verwaltungssteuerungen. Verwaltungssteuerungen sind der höchsten Bedeutung.

Logisch

Logische Steuerungen (hat auch technische Steuerungen genannt), Gebrauch-Software und Daten, um Zugang zur Information und den Rechensystemen zu kontrollieren und zu kontrollieren. Zum Beispiel: Kennwörter, Netz und Gastgeber haben Brandmauern, Netzeindringen-Entdeckungssysteme, Zugriffsberechtigungslisten gestützt, und Datenverschlüsselung ist

logische Steuerungen.

Eine wichtige logische Kontrolle, die oft überblickt wird, ist der Grundsatz von kleinstem Vorzug. Der Grundsatz von kleinstem Vorzug verlangt, dass einer Person, Programm oder Systemprozess nicht mehr Zugriffsvorzüge gewährt werden, als notwendig ist, um die Aufgabe durchzuführen. Ein offensichtliches Beispiel des Misserfolgs, am Grundsatz von kleinstem Vorzug zu kleben, loggt in Windows als Benutzerverwalter, um E-Mail zu lesen und das Web zu surfen. Übertretungen dieses Grundsatzes können auch wenn ein individueller vorkommen

sammelt zusätzliche Zugriffsvorzüge mit der Zeit. Das geschieht, wenn sich die Job-Aufgaben von Angestellten ändern, oder sie einer neuen Position gefördert werden, oder sie zu einer anderen Abteilung überwechseln. Die durch ihre neuen Aufgaben erforderlichen Zugriffsvorzüge werden oft auf ihre bereits vorhandenen Zugriffsvorzüge hinzugefügt, die nicht mehr notwendig oder passend sein können.

Physisch

Physische Steuerungen kontrollieren und kontrollieren die Umgebung des Arbeitsplatzes und der Rechenmöglichkeiten. Sie kontrollieren auch und kontrollieren Zugang zu und von solchen Möglichkeiten. Zum Beispiel: Türen, Schlösser, Heizung und Klimatisierung, Rauch und Feuerwarnungen, zünden Unterdrückungssysteme, Kameras, Barrikaden, Fechten, Wächter, Kabelschlösser, usw. das Trennen des Netzes und der Arbeit an

der Platz in funktionelle Gebiete ist auch physische Steuerungen.

Eine wichtige physische Kontrolle, die oft überblickt wird, ist die Trennung von Aufgaben. Die Trennung von Aufgaben stellt sicher, dass eine Person keine kritische Aufgabe allein vollenden kann. Zum Beispiel: Ein Angestellter, der eine Bitte um die Erstattung vorlegt, sollte nicht auch im Stande sein, Zahlung zu autorisieren oder die Kontrolle zu drucken. Ein Anwendungsprogrammierer sollte nicht der Server-Verwalter oder der Datenbankverwalter auch sein - diese Rollen und Verantwortungen müssen von einander getrennt werden.

Verteidigung eingehend

Informationssicherheit muss Information überall in der Lebensdauer der Information, von der anfänglichen Entwicklung der Information über durch zur Endverfügung der Information schützen. Die Information muss während in der Bewegung und während ruhig geschützt werden. Während seiner Lebenszeit kann Information viele verschiedene Informationsverarbeitungssysteme und durch viele verschiedene Teile von Informationsverarbeitungssystemen durchführen. Es gibt viele verschiedene Weisen, wie die Informations- und Informationssysteme bedroht werden können. Um die Information während seiner Lebenszeit völlig zu schützen, muss jeder Bestandteil des Informationsverarbeitungssystems seine eigenen Schutzmechanismen haben. Das Aufbauen, layering auf und die Überschneidung von Sicherheitsmaßnahmen werden Verteidigung eingehend genannt. Die Kraft jedes Systems ist nicht größer als seine schwächste Verbindung. Mit einer Verteidigung eingehend Strategie, sollte ein Verteidigungsmaß scheitern es gibt andere Verteidigungsmaßnahmen im Platz, die fortsetzen, Schutz zur Verfügung zu stellen.

Rufen Sie die frühere Diskussion über Verwaltungssteuerungen, logische Steuerungen und physische Steuerungen zurück. Die drei Typen von Steuerungen können verwendet werden, um die Basis zu bilden, auf die man eine mit der Verteidigung eingehende Strategie baut. Mit dieser Annäherung, mit der Verteidigung eingehend kann als drei verschiedene Schichten begrifflich gefasst werden, oder Flugzeuge haben ein oben auf dem anderen gelegen. Die zusätzliche Scharfsinnigkeit in die Verteidigung eingehend - kann durch das Denken daran als das Formen der Schichten einer Zwiebel, mit Daten am Kern der Zwiebel, Leute die folgende Außenschicht der Zwiebel, und Netzsicherheit, Gastgeber-basierte Sicherheit und Anwendungssicherheit gewonnen werden, die die äußersten Schichten der Zwiebel bildet. Beide Perspektiven sind ebenso gültig, und jeder gewährt wertvollen Einblick in die Durchführung einer guten mit der Verteidigung eingehenden Strategie.

Sicherheitsklassifikation für die Information

Ein wichtiger Aspekt der Informationssicherheit und des Risikomanagements erkennt den Wert der Information an und definiert passende Verfahren und Schutzvoraussetzungen für die Information. Nicht die ganze Information ist gleich und so nicht die ganze Information verlangt denselben Grad des Schutzes. Das verlangt, dass Information eine Sicherheitsklassifikation zugeteilt wird.

Der erste Schritt in der Informationsklassifikation ist, ein Mitglied des älteren Managements als der Eigentümer der besonderen zu klassifizierenden Information zu erkennen. Dann entwickeln Sie eine Klassifikationspolitik. Die Politik sollte die verschiedenen Klassifikationsetiketten beschreiben, die Kriterien für die Information definieren, die ein besonderes Etikett zuzuteilen ist, und die erforderlichen Sicherheitssteuerungen für jede Klassifikation verzeichnen.

Einige Faktoren, die beeinflussen, welche Klassifikationsinformation zugeteilt werden sollte, schließen ein, wie viel Wert, den Information zur Organisation hat, wie alt die Information ist, und ob die Information veraltet geworden ist. Gesetze und andere Durchführungsvoraussetzungen sind auch wichtige Rücksichten, wenn sie Information klassifizieren.

Der Typ von Informationssicherheitsklassifikationsetiketten ausgewählt und verwendet wird von der Natur der Organisation mit Beispielen abhängen zu sein:

• Im Geschäftssektor, Etiketten wie: Öffentlich, Empfindlich, Privat, Vertraulich.
• Im Regierungssektor, Etiketten wie: Nicht klassifiziertes, Empfindliches, Aber Nicht klassifiziertes, Eingeschränktes, Vertrauliches, Heimliches, Oberstes Geheimnis und ihre nichtenglischen Entsprechungen.
• In quer-branchenspezifischen Bildungen, dem Stopplicht-Protokoll, das besteht aus: Weiß, Grün, Bernstein- und Rot.

Alle Angestellten in der Organisation, sowie Teilhaber, müssen auf dem Klassifikationsdiagramm erzogen werden und die erforderlichen Sicherheitssteuerungen verstehen und Verfahren für jede Klassifikation behandeln. Die Klassifikation eines besonderen Informationsaktivpostens ist zugeteilt worden sollte regelmäßig nachgeprüft werden, um sicherzustellen, dass die Klassifikation noch für die Information passend ist und sicherzustellen, dass die durch die Klassifikation erforderlichen Sicherheitssteuerungen im Platz sind.

Zugriffskontrolle

Der Zugang zur geschützten Information muss zu Leuten beschränkt werden, die bevollmächtigt werden, auf die Information zuzugreifen. Die Computerprogramme, und in vielen Fällen die Computer, die die Information bearbeiten, müssen auch autorisiert werden. Das verlangt, dass Mechanismen im Platz sind, den Zugang zur geschützten Information zu kontrollieren. Die Kultiviertheit der Zugriffskontrollmechanismen sollte in der Gleichheit mit dem Wert der Information sein, die - das empfindlichere oder wertvolle die Information das stärkere wird schützt, das die Kontrollmechanismen sein müssen. Das Fundament, auf dem Zugriffskontrollmechanismen Anfang mit der Identifizierung und Beglaubigung gebaut werden.

Identifizierung ist eine Behauptung dessen, wer jemand ist, oder wie etwas ist. Wenn eine Person die Erklärung "Hallo abgibt, ist mein Name Unbekannter" sie erheben einen Anspruch dessen, wer sie sind. Jedoch kann ihr Anspruch oder kann nicht wahr sein. Bevor Unbekanntem Zugang zur geschützten Information gewährt werden kann, wird es notwendig sein nachzuprüfen, dass die Person, die behauptet, Unbekannter wirklich zu sein, Unbekannter ist.

Beglaubigung ist die Tat, einen Anspruch der Identität nachzuprüfen. Wenn Unbekannter in eine Bank eintritt, um einen Abzug zu machen, sagt er dem Bankerzähler, dass er Unbekannter (ein Anspruch der Identität) ist. Der Bankerzähler bittet, einen Foto-Personalausweis zu sehen, so reicht er dem Erzähler seinen Führerschein. Der Bankerzähler überprüft die Lizenz, um sicherzustellen, dass sie Unbekannten darauf drucken ließ und die Fotographie auf der Lizenz gegen die Person vergleicht, die behauptet, Unbekannter zu sein. Wenn das Foto und der Name die Person vergleichen, dann hat der Erzähler diesen Unbekannten beglaubigt ist, wer er behauptet hat zu sein.

Es gibt drei verschiedene Typen der Information, die für die Beglaubigung verwendet werden kann: Etwas, was Sie, etwas wissen, das Sie, oder etwas haben, das Sie sind. Beispiele von etwas, was Sie wissen, schließen solche Dinge als eine persönliche Geheimzahl, ein Kennwort oder der Mädchenname Ihrer Mutter ein. Beispiele von etwas, was Sie haben, schließen einen Führerschein ein, oder ein magnetischer schlagen Karte. Etwas, was Sie sind, bezieht sich auf die Biometrie. Beispiele der Biometrie schließen Palme-Drucke, Fingerabdrücke, Stimmendrucke und Netzhaut (Auge) Ansehen ein. Starke Beglaubigung verlangt gebende Auskunft von zwei der drei verschiedenen Typen der Beglaubigungsinformation. Zum Beispiel, etwas Sie wissen plus etwas, dass Sie haben. Das wird zwei Faktor-Beglaubigung genannt.

Auf Computersystemen im Gebrauch heute ist der Benutzername der grösste Teil der Standardform der Identifizierung, und das Kennwort ist der grösste Teil der Standardform der Beglaubigung. Benutzernamen und Kennwörter haben ihrem Zweck gedient, aber in unserer modernen Welt sind sie nicht mehr entsprechend. Benutzernamen und Kennwörter werden durch hoch entwickeltere Beglaubigungsmechanismen langsam ersetzt.

Nach einer Person, Programm oder Computer ist erfolgreich identifiziert und dann beglaubigt worden es muss bestimmt werden, welchen Informationsmitteln ihnen zum Zugang erlaubt wird, und welche Handlungen ihnen erlaubt wird (geführt durchzuführen, anzusehen, zu schaffen, oder Änderung zu löschen). Das wird Genehmigung genannt.

Genehmigung, auf Information und andere Rechendienstleistungen zuzugreifen, beginnt mit Verwaltungspolicen und Verfahren. Die Policen schreiben vor, auf welche Information und Rechendienstleistungen, von wen, und unter welchen Bedingungen zugegriffen werden kann. Die Zugriffskontrollmechanismen werden dann konfiguriert, um diese Policen geltend zu machen.

Verschiedene Rechensysteme werden mit verschiedenen Arten von Zugriffskontrollmechanismen ausgestattet - einige können sogar eine Wahl von verschiedenen Zugriffskontrollmechanismen anbieten. Der Zugriffskontrollmechanismus ein System Angebote werden nach einer von drei Annäherungen an die Zugriffskontrolle basieren oder kann es aus einer Kombination der drei Annäherungen abgeleitet werden.

Die Nichtermessensannäherung konsolidiert die ganze Zugriffskontrolle unter einer zentralisierten Regierung. Der Zugang zur Information und den anderen Mitteln basiert gewöhnlich auf der Person-Funktions(Rolle) in der Organisation oder den Aufgaben, die die Person durchführen muss. Die Ermessensannäherung gibt dem Schöpfer oder Eigentümer der Informationsquelle die Fähigkeit, Zugang zu jenen Mitteln zu kontrollieren. In der Obligatorischen Zugriffskontrollannäherung wird Zugang gewährt oder bestritten, auf der der Informationsquelle zugeteilten Sicherheitsklassifikation stützend.

Beispiele von allgemeinen Zugriffskontrollmechanismen im Gebrauch schließen heute Rolle-basierte Zugriffskontrolle ein

verfügbar in vielen fortgeschrittenen Datenbankverwaltungssystemen hat einfache Dateierlaubnis im UNIX und Windows Betriebssysteme, Gruppenpolitikgegenstände zur Verfügung gestellt, die in Windows-Netzsystemen, Kerberos, RADIUS, TACACS und den einfachen Zugriffslisten zur Verfügung gestellt sind, die in vielen Brandmauern und Routern verwendet sind.

Um wirksam zu sein, müssen Policen und andere Sicherheitssteuerungen durchsetzbar und hochgehalten sein. Wirksame Policen stellen sicher, dass Leute verantwortlich für ihre Handlungen gehalten werden. Alle erfolglosen und erfolgreichen Beglaubigungsversuche müssen geloggt werden, und der ganze Zugang zur Information muss einen Typ der Bilanzspur verlassen.

Außerdem muss Need-Know-Grundsatz darin sein betreffen, wenn man über die Zugriffskontrolle spricht. Need-know Grundsatz gibt Zugriffsrechte einer Person, ihre Job-Funktionen durchzuführen. Dieser Grundsatz wird in der Regierung, wenn verwendet, sich mit Unterschied-Abfertigungen befassend. Wenn auch zwei Angestellte in verschiedenen Abteilungen eine streng geheime Abfertigung haben, haben sie am meisten einen need-know in der Größenordnung von der auszutauschenden Information. Innerhalb des need-know Grundsatzes gewähren Netzverwalter dem Angestellten kleinste Betrag-Vorzüge, Mitarbeiterzugang und das Tun mehr zu verhindern, als, was sie auch annehmen. Need-know hilft, die vertrauliche Integritätsverfügbarkeit (C-I-A) Triade geltend zu machen. Need-know presst direkt das vertrauliche Gebiet der Triade zusammen.

Geheimschrift

Informationssicherheit verwendet Geheimschrift, um verwendbare Information in eine Form umzugestalten, die es unbrauchbar durch jeden anders macht als ein autorisierter Benutzer; dieser Prozess wird Verschlüsselung genannt. Information, die encrypted gewesen ist (hat unbrauchbar gemacht), kann zurück in seine ursprüngliche verwendbare Form von einem autorisierten Benutzer umgestaltet werden, der den kryptografischen Schlüssel durch den Prozess der Dekodierung besitzt. Geheimschrift wird in der Informationssicherheit verwendet, um Information vor der unerlaubten oder zufälligen Enthüllung zu schützen, während die Information unterwegs (entweder elektronisch oder physisch) ist, und während Information in der Lagerung ist.

Geheimschrift versorgt Informationssicherheit mit anderen nützlichen Anwendungen ebenso einschließlich verbesserter Beglaubigungsmethoden, Nachrichtenauswahlen, Digitalunterschriften, Nichtnichtanerkennung und encrypted Netzkommunikationen. Ältere weniger sichere Anwendung wie telnet und ftp wird durch sicherere Anwendungen wie ssh langsam ersetzt, die encrypted Netzkommunikationen verwenden. Radiokommunikationen können encrypted das Verwenden von Protokollen wie WPA/WPA2 oder das ältere (und weniger sicher) WEP sein. Verdrahtete Kommunikationen (wie ITU-T G.hn) werden mit AES für die Verschlüsselung und X.1035 für die Beglaubigung und den Schlüsselaustausch gesichert. Softwareanwendungen wie GnuPG oder PGP können an encrypt Datendateien und E-Mail gewöhnt sein.

Geheimschrift kann Sicherheitsprobleme einführen, wenn sie richtig nicht durchgeführt wird. Kryptografische Lösungen müssen mit akzeptierten Lösungen der Industrie durchgeführt werden, die strenge gleichrangige Rezension von unabhängigen Experten in der Geheimschrift erlebt haben. Die Länge und Kraft des Verschlüsselungsschlüssels sind auch eine wichtige Rücksicht. Ein Schlüssel, der schwach ist oder zu kurzer, wird schwache Verschlüsselung erzeugen. Die Schlüssel, die für die Verschlüsselung und Dekodierung verwendet sind, müssen mit demselben Grad der Strenge wie jede andere vertrauliche Information geschützt werden. Sie müssen vor der unerlaubten Enthüllung und Zerstörung geschützt werden, und sie, müssen wenn erforderlich, verfügbar sein. PKI Lösungen richten viele der Probleme, die Schlüsselmanagement umgeben.

Prozess

Die Begriffe vernünftige und vernünftige Person, erwartete Sorge und erwarteter Fleiß sind in den Feldern der Finanz, der Wertpapiere und des Gesetzes viele Jahre lang gebraucht worden. In den letzten Jahren haben diese Begriffe ihren Weg in die Felder der Computerwissenschaft und Informationssicherheit gefunden. Die Vereinigten Staaten Bundesverurteilen-Richtlinien machen es jetzt möglich, korporative Offiziere verantwortlich dafür zu halten, zu scheitern, erwartete Sorge und erwarteten Fleiß im Management ihrer Informationssysteme auszuüben.

In der Geschäftswelt haben Aktionäre, Kunden, Teilhaber und Regierungen die Erwartung, dass korporative Offiziere das Geschäft in Übereinstimmung mit akzeptierten Geschäftsmethoden und in Übereinstimmung mit Gesetzen und anderen Durchführungsvoraussetzungen führen werden. Das wird häufig als die "vernünftige und vernünftige Person" Regel beschrieben. Eine vernünftige Person nimmt erwartete Sorge, um sicherzustellen, dass alles Notwendiges getan wird, um das Geschäft durch gesunde Geschäftsgrundsätze und auf eine gesetzliche Moralweise zu bedienen. Eine vernünftige Person ist auch (aufmerksam, aufmerksam, und andauernd) in ihrer erwarteten Sorge über das Geschäft fleißig.

Im Feld der Informationssicherheit, Harris

bietet die folgenden Definitionen der erwarteten Sorge und des erwarteten Fleißes an:

Aufmerksamkeit sollte zu zwei wichtigen Punkten in diesen Definitionen gemacht werden. Erstens, in der erwarteten Sorge, werden Schritte in die Show gebracht - das bedeutet, dass die Schritte nachgeprüft, gemessen werden, oder sogar greifbare Kunsterzeugnisse erzeugen können. Zweitens, im erwarteten Fleiß, gibt es dauernde Tätigkeiten - das bedeutet, dass Leute wirklich Sachen machen, um die Schutzmechanismen zu kontrollieren und aufrechtzuerhalten, und diese Tätigkeiten andauernd sind.

Sicherheitsregierungsgewalt

Das Softwaretechnikinstitut an der Universität von Carnegie Mellon, in einer betitelten Veröffentlichung, "Für die Unternehmenssicherheit (GES) regierend" definiert Eigenschaften der wirksamen Sicherheitsregierungsgewalt. Diese schließen ein:

• Ein Weitunternehmensproblem
• Führer sind verantwortlicher
• Angesehen als eine Geschäftsvoraussetzung
• Risikobasierter
• Rollen, Verantwortungen und Abtrennung von Aufgaben haben definiert
• Gerichtet und beachtet in der Politik
• Entsprechende Mittel haben begangen
• Personal bewusster und erzogener
• Eine Entwicklungslebenszyklus-Voraussetzung
• Geplanter, geführter, messbarer und gemessener
• Nachgeprüfter und revidierter

Ereignis-Ansprechpläne

1 bis 3 Paragrafen (nicht technisch), die besprechen:

• Das Auswählen von Gruppenmitgliedern
• Definieren Sie Rollen, Verantwortungen und Linien der Autorität
• Definieren Sie ein Sicherheitsereignis
• Definieren Sie ein wiedertragbares Ereignis
• Ausbildung
• Entdeckung
• Klassifikation
• Eskalation
• Eindämmung
• Ausrottung
• Dokumentation

Änderungsverwaltung

Änderungsverwaltung ist ein formeller Prozess, um Modifizierungen zur Informationsverarbeitungsumgebung zu leiten und zu kontrollieren. Das schließt Modifizierungen zu Tischcomputern, dem Netz, den Servern und der Software ein. Die Ziele der Änderungsverwaltung sind, die Gefahren zu reduzieren, die durch Änderungen zur Informationsverarbeitungsumgebung aufgestellt sind und die Stabilität und Zuverlässigkeit des zu verbessern

Umgebung weil bearbeitet, werden Änderungen vorgenommen. Es ist nicht das Ziel der Änderungsverwaltung, notwendige Änderungen daran zu verhindern oder zu hindern, durchgeführt zu werden.

Jede Änderung zur Informationsverarbeitungsumgebung führt ein Element der Gefahr ein. Sogar anscheinend einfache Änderungen können unerwartete Effekten haben. Eines des Managements viele Verantwortungen ist das Management der Gefahr. Änderungsverwaltung ist ein Werkzeug, für die Gefahren zu führen, die durch Änderungen zur Informationsverarbeitungsumgebung eingeführt sind. Ein Teil des Änderungsverwaltungsprozesses stellt sicher, dass Änderungen in unangebrachten Zeiten nicht durchgeführt werden, wenn sie kritische Geschäftsprozesse stören oder andere Änderungen stören können, die durchführen werden.

Nicht jede Änderung muss geführt werden. Einige Arten von Änderungen sind ein Teil der täglichen Routine der Informationsverarbeitung und kleben an einem vorherbestimmten Verfahren, das das gesamte Niveau der Gefahr zur in einer Prozession gehenden Umgebung reduziert. Das Schaffen einer neuen Benutzerrechnung oder das Entfalten eines neuen Tischcomputers sind Beispiele von Änderungen, die Änderungsverwaltung nicht allgemein verlangen. Jedoch stellt das Verschieben von Benutzerdateianteilen oder Aufrüstung des E-Mail-Servers ein viel höheres Niveau der Gefahr zur in einer Prozession gehenden Umgebung auf und ist nicht eine normale tägliche Tätigkeit. Die kritischen ersten Schritte in der Änderungsverwaltung sind (a) Definieren-Änderung (und das Kommunizieren dieser Definition) und (b), der das Spielraum des Änderungssystems definiert.

Änderungsverwaltung wird gewöhnlich von einem Änderungsrezensionsausschuss beaufsichtigt, der aus Vertretern von Schlüsselgeschäftsgebieten, Sicherheit, Netzwerkanschluss, Systemverwaltern, Datenbankregierung, Anwendungsentwicklung, Tischunterstützung und dem Hilfsschreibtisch zusammengesetzt ist. Die Aufgaben des Änderungsrezensionsausschusses können mit dem Gebrauch der automatisierten Arbeitsfluss-Anwendung erleichtert werden. Die Verantwortung des Änderungsrezensionsausschusses ist sicherzustellen, dass dokumentierten Änderungsverwaltungsverfahren der Organisationen gefolgt wird. Der Änderungsverwaltungsprozess ist wie folgt:

• Gebeten: Jeder kann um eine Änderung bitten. Die Person, die die Änderungsanforderung macht, kann oder kann nicht dieselbe Person sein, die die Analyse durchführt oder die Änderung durchführt. Wenn eine Bitte um die Änderung erhalten wird, kann es eine einleitende Rezension erleben, um zu bestimmen, ob die gebetene Änderung mit dem Organisationsgeschäftsmodell und den Methoden vereinbar ist, und zu beschließen, dass der Betrag von Mitteln die Änderung durchführen musste.
• Genehmigt: Management führt das Geschäft und kontrolliert die Zuteilung von Mitteln deshalb, Management muss Bitten um Änderungen genehmigen und einen Vorrang für jede Änderung zuteilen. Management könnte beschließen, eine Änderungsanforderung zurückzuweisen, wenn die Änderung mit dem Geschäftsmodell, den Industriestandards oder den besten Methoden nicht vereinbar ist. Management könnte auch beschließen, eine Änderungsanforderung zurückzuweisen, wenn die Änderung mehr Mittel verlangt, als es für die Änderung zugeteilt werden kann.
• Geplant: Planung einer Änderung ist mit dem Entdecken des Spielraums und Einflusses der vorgeschlagenen Änderung verbunden; das Analysieren der Kompliziertheit der Änderung; Zuteilung von Mitteln und, das Entwickeln, die Prüfung und das Dokumentieren sowohl Durchführung als auch Backout-Pläne. Bedürfnis, die Kriterien zu definieren, über die eine Entscheidung zurückzutreten getroffen wird.
• Geprüft: Jede Änderung muss in einem sicheren Testumfeld geprüft werden, das nah die wirkliche Produktionsumgebung widerspiegelt, bevor die Änderung auf die Produktionsumgebung angewandt wird. Der Backout-Plan muss auch geprüft werden.
• Vorgesehen: Ein Teil der Verantwortung des Ausschusses der Rezension der Änderung ist, bei der Terminplanung von Änderungen durch die Prüfung des vorgeschlagenen Durchführungsdatums für potenzielle Konflikte mit anderen vorgesehenen Änderungen oder kritischen Geschäftsvolumen zu helfen.
• Mitgeteilt: Sobald eine Änderung auf dem Plan gestanden hat, muss sie mitgeteilt werden. Die Kommunikation soll anderen die Gelegenheit geben, den Änderungsrezensionsausschuss über andere Änderungen oder kritische Geschäftsvolumen zu erinnern, die überblickt worden sein könnten, als man die Änderung geplant hat. Die Kommunikation dient auch, um den Hilfsschreibtisch und die Benutzer bewusst zu machen, dass eine Änderung im Begriff ist vorzukommen. Eine andere Verantwortung des Änderungsrezensionsausschusses soll sicherstellen, dass vorgesehene Änderungen denjenigen richtig mitgeteilt worden sind, die durch die Änderung betroffen oder sonst ein Interesse an der Änderung haben werden.
• Durchgeführt: Zum ernannten Datum und Zeit müssen die Änderungen durchgeführt werden. Ein Teil des Planungsprozesses sollte einen Durchführungsplan entwickeln, Plan prüfend, und ein Rücken plant. Wenn die Durchführung der Änderung scheitern sollte, oder die Postdurchführungsprüfung scheitert oder, anderer "fallen Sie tot um" Kriterien ist entsprochen worden, der Rücken planen sollte durchgeführt werden.
• Dokumentiert: Alle Änderungen müssen dokumentiert werden. Die Dokumentation schließt die anfängliche Bitte um die Änderung, seine Billigung, der Vorrang ein, der ihm, die Durchführung zugeteilt ist, prüfend, und treten Sie Pläne, die Ergebnisse der Änderungsrezensionsvorstandskritik zurück, das Datum/Zeit die Änderung wurde durchgeführt, wer es durchgeführt hat, und ob die Änderung erfolgreich durchgeführt wurde, hat gefehlt oder hat verschoben.
• Poständerungsrezension: Der Änderungsrezensionsausschuss sollte eine Postdurchführungsrezension von Änderungen halten. Es ist besonders wichtig, gefehlt nachzuprüfen, und ist Änderungen zurückgetreten. Der Rezensionsausschuss sollte versuchen, die Probleme zu verstehen, auf die gestoßen wurde, und nach Gebieten für die Verbesserung suchen.

Änderungsverwaltungsverfahren, die einfach sind zu folgen und leicht zu verwenden, können die gesamten geschaffenen Gefahren außerordentlich reduzieren, wenn Änderungen mit der Informationsverarbeitungsumgebung vorgenommen werden. Gute Änderungsverwaltungsverfahren verbessern sich über die ganze Qualität und Erfolg von Änderungen, weil sie durchgeführt werden. Das wird durch Planung, gleichrangige Rezension, Dokumentation und Kommunikation vollbracht.

ISO/IEC 20000, Das Sichtbare OPS Handbuch: Das Einführen ITIL in 4 Praktischen und Auditable-Schritten (Volle Buchzusammenfassung), und Informationstechnologieinfrastruktur-Bibliothek stellen alle wertvolle Leitung beim Einführen einer effizienten und wirksamen Änderungsverwaltungsprogramm-Informationssicherheit zur Verfügung.

Geschäftskontinuität

Geschäftskontinuität ist der Mechanismus, durch den eine Organisation fortsetzt, seine kritischen Geschäftseinheiten während geplanter oder ungeplanter Störungen zu operieren, die normale Geschäftsoperationen, durch das Hervorrufen von geplanten und geführten Verfahren betreffen.

Verschieden wovon die meisten Menschen denken, dass Geschäftskontinuität nicht notwendigerweise ES System oder Prozess einfach ist, weil es über das Geschäft ist. Heute sind Katastrophen oder Störungen zum Geschäft eine Wirklichkeit. Ob die Katastrophe natürlich oder künstlich ist, betrifft sie normales Leben und so Geschäft. Also warum so wichtig plant? Lassen Sie uns Wirklichkeit gegenüberstehen, dass "alle Geschäfte genesen", ob sie für die Wiederherstellung oder nicht einfach geplant haben, weil Geschäft über das Verdienen des Geldes für das Überleben ist.

Die Planung wird bereit bloß besser, ihm gegenüberzustehen, völlig gut wissend, dass die besten Pläne scheitern können. Planung hilft, Kosten der Wiederherstellung, betrieblichen allgemeinen Kosten zu reduzieren und am wichtigsten durch einige kleinere mühelos zu segeln.

Für Geschäfte, um wirksame Pläne zu schaffen, müssen sie sich auf die folgenden Schlüsselfragen konzentrieren. Die meisten von diesen sind allgemein bekannt, und jeder kann einen BCP tun.

1. Sollte eine Katastrophe schlagen, wie sind die ersten paar Sachen, die ich machen sollte? Sollte ich Leute nennen, um zu finden, ob sie in Ordnung sind oder die Bank aufrufen, um sich zu belaufen, ist mein Geld sicher? Das ist Notantwort. Notansprechdienstleistungen helfen, den ersten Erfolg zu nehmen, wenn die Katastrophe schlägt, und wenn die Katastrophe ernst genug ist, müssen die Notansprechmannschaften eine Krisenmanagement-Mannschaft im Platz schnell bekommen.
2. Welche Teile meines Geschäfts sollte ich zuerst wieder erlangen? Derjenige der bringt mir den grössten Teil des Geldes oder dasjenige, wo ich die meisten oder denjenigen ausgebe, der wird sicherstellen, dass ich im Stande sein werde, gestütztes zukünftiges Wachstum zu bekommen? Die identifizierten Abteilungen sind die kritischen Geschäftseinheiten. Es gibt keine magische Kugel hier, keine Antwort befriedigt alle. Geschäfte müssen Antworten finden, die Geschäftsanforderungen entsprechen.
3. Wie bald sollte ich ins Visier nehmen, um meine kritischen Geschäftseinheiten wieder zu erlangen? Im BCP technischen Jargon wird das Wiederherstellungszeitziel oder RTO genannt. Dieses Ziel wird definieren, was das Geschäft kostet, wird ausgeben müssen, um sich von einer Störung zu erholen. Zum Beispiel ist es preiswerter, ein Geschäft am 1 Tag wieder zu erlangen, als in 1 Stunde.
4. Was alle muss ich das Geschäft wieder erlangen? ES, Maschinerie, registriert... Essen, Wasser, Leute... So viele Aspekte, um darauf zu wohnen. Der Kostenfaktor wird klarer jetzt... Geschäftsführer müssen Geschäftskontinuität steuern. Festhalten. Mein ES gab Betriebsleiter 200000 $ im letzten Monat aus und schuf einen DRP (Katastrophe-Wiederherstellungsplan), was auch immer zufällig, dazu? ein DRP ist über das Fortsetzen von IHM System, und ist eine der Abteilungen eines umfassenden Geschäftskontinuitätsplans. Schauen Sie unten für mehr darauf.
5. Und wo tun, erlange ich mein Geschäft davon wieder... Wird das Geschäftszentrum mir Raum geben, um zu arbeiten, oder würde es, von vielen Menschen überschwemmt werden, die aus denselben Gründen Schlange stehen, dass ich bin.
6. Aber sobald ich mich wirklich von der Katastrophe und Arbeit in der reduzierten Produktionskapazität erhole, da meine betrieblichen Hauptseiten nicht verfügbar sind, wie lange das kann weitergehen. Wie lange kann ich ohne meine ursprünglichen Seiten, Systeme, Leute auskommen? das definiert den Betrag der Geschäftselastizität, die ein Geschäft haben kann.
7. Jetzt wo ich weiß, wie man mein Geschäft wieder erlangt. Wie überzeuge ich mich meine Plan-Arbeiten? Die meisten BCP Pandite würden empfehlen, den Plan mindestens einmal jährlich zu prüfen, es für die Angemessenheit nachprüfend und umschreibend oder die Pläne entweder jährlich aktualisierend, oder wenn sich Geschäfte ändern.

Katastrophe-Wiederherstellungsplanung

Während ein Geschäftskontinuitätsplan (BCP) eine breite Annäherung daran bringt, sich mit organisatorisch-weiten Effekten einer Katastrophe zu befassen, wird ein Katastrophe-Wiederherstellungsplan (DRP), der eine Teilmenge des Geschäftskontinuitätsplans ist, stattdessen auf das Machen der notwendigen Schritte eingestellt, um normale Geschäftsoperationen so schnell fortzusetzen, wie möglich. Ein Katastrophe-Wiederherstellungsplan wird sofort durchgeführt, nachdem die Katastrophe vorkommt und Details, welche Schritte gemacht werden sollen, um kritische Informationstechnologieinfrastruktur wieder zu erlangen. Katastrophe-Wiederherstellungsplanung schließt das Herstellen einer Planungsgruppe, das Durchführen der Risikobewertung, das Herstellen von Prioritäten, das Entwickeln von Wiederherstellungsstrategien, die Vorbereitung von Warenbeständen und Dokumentation des Plans, das Entwickeln von Überprüfungskriterien und Verfahren und letzt dem Einführen des Plans ein.

Gesetze und Regulierungen

Unten ist eine 'teilweise Auflistung des Europäers, das Vereinigte Königreich, des Kanadiers und der USA Regierungsgesetze und Regulierungen, die haben, oder, wird eine bedeutende Wirkung auf die Datenverarbeitung und Informationssicherheit haben. Wichtige Industriezweig-Regulierungen sind auch eingeschlossen worden, wenn sie einen bedeutenden Einfluss auf Informationssicherheit haben.

• Datenschutzgesetz 1998 des Vereinigten Königreichs macht neue Bestimmungen für die Regulierung der Verarbeitung der Information in Zusammenhang mit Personen, einschließlich des Erreichens, der Holding, des Gebrauches oder der Enthüllung solcher Information. European Union Data Protection Directive (EUDPD) verlangt, dass das ganze EU-Mitglied nationale Regulierungen annehmen muss, um den Schutz der Datengemütlichkeit für Bürger überall in der EU zu standardisieren.
• Das Computermissbrauch-Gesetz 1990 ist ein Gesetz des Parlaments des Vereinigten Königreichs, das Computerverbrechen (z.B macht - manchmal falsch gekennzeichnet als hackend krachend), eine strafbare Handlung. Das Gesetz ist ein Modell geworden, auf das mehrere andere Länder einschließlich Kanadas und die Republik Irland Inspiration gezogen haben, wenn sie nachher ihre eigenen Informationssicherheitsgesetze entwerfen.
• EU-Datenretentionsgesetze verlangen, dass Internetdienstleister und Telefongesellschaften Daten auf jeder elektronischen Nachricht gesandt und Anruf gemacht für zwischen sechs Monaten und zwei Jahren halten.
• Die Familie Bildungsrechte und Datenschutzgesetz (FERPA) (g; 34 CFR Teil 99) ist ein Bundesgesetz von USA, das die Gemütlichkeit von Studentenausbildungsaufzeichnungen schützt. Das Gesetz gilt für alle Schulen, die Kapital laut eines anwendbaren Programms der amerikanischen Abteilung der Ausbildung erhalten. Allgemein müssen Schulen Erlaubnis vom berechtigten oder Elternteilstudenten geschrieben haben, um jede Information von einer Ausbildungsaufzeichnung eines Studenten zu veröffentlichen.
• Krankenversicherungsbeweglichkeit und Verantwortlichkeitsgesetz (HIPAA) von 1996 verlangen die Adoption von nationalen Standards für elektronische Gesundheitsfürsorge-Transaktionen und nationalen Bezeichnern für Versorger, Krankenversicherungspläne und Arbeitgeber. Und es verlangt, dass Gesundheitsfürsorge-Versorger, Versicherungsversorger und Arbeitgeber die Sicherheit und Gemütlichkeit von Gesundheitsdaten schützen.
• Gramm-Leach-Bliley Gesetz 1999 (GLBA), auch bekannt als das Modernisierungsgesetz von Financial Services von 1999, schützen die Gemütlichkeit und Sicherheit der privaten Finanzinformation, die Finanzeinrichtungen sammeln, und Prozess halten.
• Sarbanes-Oxley Gesetz 2002 (SOCKEN). Der Abschnitt 404 der Tat verlangt, dass öffentlich getauschte Gesellschaften die Wirksamkeit ihrer inneren Steuerungen für die Finanzberichterstattung in Jahresberichten bewerten, die sie am Ende jedes Geschäftsjahrs vorlegen. Hauptinformationsoffiziere sind für die Sicherheit, Genauigkeit und die Zuverlässigkeit der Systeme verantwortlich, die führen und die Finanzdaten melden. Die Tat verlangt auch, dass öffentlich getauschte Gesellschaften unabhängige Rechnungsprüfer verpflichten, die dafür zeugen, und über, die Gültigkeit ihrer Bewertungen berichten müssen.
• Zahlungskarte-Industriedatensicherheitsstandard (PCI DSS) gründet umfassende Voraussetzungen, um Zahlungskontodatensicherheit zu erhöhen. Es wurde von den Gründungszahlungsmarken des PCI Sicherheitsstandardrats, einschließlich amerikanischen Schnellzugs, Discover Financial Services, JCB, MasterCard Weltweit und Visa International entwickelt, um zu helfen, die breite Adoption von konsequenten Datensicherheitsmaßnahmen auf einer globalen Basis zu erleichtern. Der PCI DSS ist ein vielseitiger Sicherheitsstandard, der Voraussetzungen für Sicherheitsmanagement, Policen, Verfahren, Netzarchitektur, Softwaredesign und andere kritische Schutzmaßnahmen einschließt.
• Staatssicherheitsbruch-Ankündigungsgesetze (Kalifornien und viele andere) verlangen Geschäfte, Nichtgewinne, und setzen Einrichtungen fest, um Verbraucher zu benachrichtigen, als unencrypted "persönliche Information" in Verlegenheit gebracht, verloren oder gestohlen worden sein kann.
• Persönliches Informationsschutz- und Elektronik-Dokumentengesetz (PIPEDA) - Ein Gesetz, um elektronischen Handel durch den Schutz persönlicher Information zu unterstützen und zu fördern, die gesammelt wird, hat verwendet oder hat in bestimmten Fällen bekannt gegeben, durch das Sorgen für den Gebrauch von elektronischen bedeutet, Information oder Transaktionen und durch die Berichtigung des Beweis-Gesetzes von Kanada, des Gesetzlichen Instrument-Gesetzes und des Statut-Revisionsgesetzes mitzuteilen oder zu registrieren.

Quellen von Standards

Die internationale Organisation für die Standardisierung (ISO) ist ein Konsortium von nationalen Standards

Institute aus 157 Ländern, die durch ein Sekretariat in Genf, die Schweiz koordiniert sind. ISO ist

der größte Entwickler in der Welt von Standards. ISO 15443: "Informationstechnologie - Sicherheitstechniken - Ein Fachwerk

DAFÜR Sicherheitsversicherung", ISO/IEC 27002: "Informationstechnologie - Sicherheitstechniken - Code der Praxis für das Informationssicherheitsmanagement", ISO-20000: "Informationstechnologie - Dienstverwaltung" und ISO/IEC27001: "Informationstechnologie - Sicherheitstechniken - Informationssicherheitsverwaltungssysteme - Voraussetzungen" sind von besonderem Interesse Informationssicherheitsfachleuten.

Die USA Nationales Institut für Standards und Technologie (NIST) sind eine Nichtdurchführungsbundesanstalt

innerhalb des amerikanischen Handelsministeriums. Die NIST Computersicherheit Abteilung

entwickelt Standards, Metrik, Tests und Gültigkeitserklärungsprogramme sowie veröffentlicht Standards und Richtlinien zu

nehmen Sie zu sichern ES Planung, Durchführung, Management und Operation. NIST ist auch der Aufseher der USA Bundesinformation, die Standardveröffentlichungen (FIPS) Bearbeitet.

Die Internetgesellschaft ist eine Berufsmitgliedschaft-Gesellschaft mit mehr als 100 Organisation

und mehr als 20,000 individuelle Mitglieder in mehr als 180 Ländern. Es stellt Führung im Wenden von Problemen zur Verfügung, die dem gegenüberstehen

die Zukunft des Internets, und ist die Organisation nach Hause für die Gruppen, die für Internetinfrastruktur-Standards, verantwortlich

einschließlich Internet Engineering Task Force (IETF) und Internet Architecture Board (IAB). Die Internet-Gesellschaft veranstaltet die Bitten um Anmerkungen (RFCs), der die Offiziellen Internetprotokoll-Standards einschließt

und die RFC-2196 Seite-Sicherheit Handbuch.

Das Informationssicherheitsforum ist eine globale gemeinnützige Organisation von mehreren hundert Hauptorganisationen in Finanzdienstleistungen, Herstellung, Fernmeldewesen, Konsumgütern, Regierung und anderen Gebieten. Es übernimmt Forschung in den Informationssicherheitsmethoden- und Angebot-Rat in seinem halbjährlichen Standard der Guten Praxis und ausführlicheren advisories für Mitglieder.

ES Grundlinie-Schutzkataloge, oder Katalogisiert ES-GRUNDSCHUTZ, ("ES Grundlinie-Schutzhandbuch" vor 2005) sind eine Sammlung von Dokumenten vom deutschen Bundesamt für die Sicherheit in der Informationstechnologie (FSI), der nützlich ist, um sicherheitsrelevante schwache Punkte in IHM Umgebung (ES Traube) zu entdecken und zu bekämpfen. Die Sammlung umfasst mehr als 3000 Seiten mit der Einführung und den Katalogen.

Professionalismus

Beschluss

Informationssicherheit ist der andauernde Prozess, erwartete Sorge und erwarteten Fleiß auszuüben, Information und zu schützen

Informationssysteme, von unerlaubtem Zugang, Gebrauch, Enthüllung, Zerstörung, Modifizierung, oder Störung oder Vertrieb.

Der nie endende Prozess der Informationssicherheit ist mit andauernder Ausbildung, Bewertung, Schutz, Überwachung & Entdeckung, verbunden

Ereignis-Antwort & Reparatur, Dokumentation und Rezension. Das macht Informationssicherheit einen unentbehrlichen Teil aller Geschäftsoperationen über verschiedene Gebiete.

Siehe auch

• Datensicherheit
• Unternehmensinformationssicherheitsarchitektur
• Informationssicherheitsrechnungskontrolle
• Informationssicherheitsverwaltungssystem
• Informationssicherheitspolicen
• Informationssicherheitsstandards
• Informationstechnologiesicherheit revidiert
• Intypedia
• ISO/IEC 27001
• ES riskiert
• ITIL Sicherheitsmanagement
• Böswilligkeitstechnik
• Bewegliche Sicherheit
• Netzsicherheit Dienstleistungen
• Physische Informationssicherheit
• Gemütlichkeitssoftware
• Gemütlichkeit erhöhende Technologien
• Sicherheitsprogrammfehler
• Sicherheitsinformationsmanagement
• Sicherheit des Informationsgesetzes
• Sicherheitsniveau-Management
• Sicherheitsdienst (Fernmeldewesen)
• Einzelnes Zeichen - auf
• Überprüfung und Gültigkeitserklärung

Gelehrte, die im Feld arbeiten

• Ross J. Anderson
• Adam Hinterer
• Stefan brandmarkt
• Lance Cottrell
• Ian Goldberg
• Peter Gutmann
• Bruce Schneier
• Gene Spafford

Weiterführende Literatur

• Anderson, K., "Muss ES Sich Sicherheitsfachleuten Entwickeln, um Markt", SC Zeitschrift am 12. Oktober 2006 Zu ändern.
• Aceituno, V., "Auf Informationssicherheitsparadigmen", ISSA Zeitschrift, September 2005.
• Dhillon, G., "Grundsätze der Informationssystemsicherheit: Text und Fälle", John Wiley & Sons, 2007.
• Easttom, C., "Computersicherheit Grundlagen (2. Ausgabe)" Presse von Pearson, 2011.
• Lambo, T. "ISO/IEC 27001: Die Zukunft des infosec Zertifikats", ISSA Zeitschrift, November 2006.

Zeichen und Verweisungen

Links

• DoD IA Politikkarte auf der Informationsversicherungstechnologieanalyse-Zentrum-Website von DoD.
• Muster & Methoden-Sicherheitstechnik Erklärter
• Offene Sicherheit Architektur - Steuerungen und Muster, um ES Systeme zu sichern
• Eine Einführung in die Informationssicherheit
• IWS - Informationssicherheitskapitel

Bibliografie