Zuhause Persönliche Finanzen Datensicherheitskontrollen - Dummies

Datensicherheitskontrollen - Dummies

Inhaltsverzeichnis:

Anonim

Sensible Vermögenswerte, einschließlich Daten, müssen während ihres gesamten Lebenszyklus angemessen geschützt werden. Als Sicherheitsexperte ist das Ihre Aufgabe. Information Lifecycle Management (ILM) umfasst Daten in den folgenden fünf Phasen:

  • Erstellung. Daten werden von einem Endbenutzer oder einer Anwendung erstellt. Daten müssen zu diesem Zeitpunkt klassifiziert werden, basierend auf der Kritikalität und Empfindlichkeit der Daten, und ein Dateneigentümer (normalerweise, aber nicht immer der Ersteller) muss zugewiesen werden. Daten können in vielen Formen vorliegen, z. B. in Dokumenten, Tabellenkalkulationen, E-Mail- und Textnachrichten, Datenbankdatensätzen, Formularen, Bildern, Präsentationen (einschließlich Videokonferenzen) und gedruckten Dokumenten.
  • Verteilung ("Daten in Bewegung"). Daten können innerhalb einer Organisation intern verteilt (oder abgerufen) oder an externe Empfänger übertragen werden. Die Verbreitung kann manuell (z. B. per Kurier) oder elektronisch (normalerweise über ein Netzwerk) erfolgen. Daten im Transit sind anfällig für Kompromittierungen, daher müssen geeignete Sicherheitsmaßnahmen auf der Grundlage der Klassifizierung der Daten implementiert werden. Zum Beispiel kann eine Verschlüsselung erforderlich sein, um bestimmte sensible Daten über ein öffentliches Netzwerk zu senden. In solchen Fällen müssen geeignete Verschlüsselungsstandards eingerichtet werden. Technologien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) können auch verwendet werden, um eine versehentliche oder absichtliche unbefugte Verbreitung von sensiblen Daten zu verhindern.
  • Verwenden Sie ("Verwendete Daten"). Diese Phase bezieht sich auf Daten, auf die ein Endbenutzer oder eine Anwendung zugegriffen hat und die von diesem Benutzer oder dieser Anwendung aktiv verwendet (z. B. gelesen, analysiert, geändert, aktualisiert oder dupliziert werden). Auf die verwendeten Daten muss nur auf Systemen zugegriffen werden, die für die Klassifizierungsebene der Daten autorisiert sind, und nur von Benutzern und Anwendungen, die über die entsprechenden Berechtigungen (Clearance) und Zweck (Need-to-Know) verfügen.
  • Wartung ("Daten in Ruhe"). Zu ​​jeder Zeit zwischen der Erzeugung und der Verteilung von Daten, die nicht "in Bewegung" oder "in Gebrauch" sind, werden Daten "in Ruhe" gehalten. Die Wartung umfasst den Speicher (auf Medien wie eine Festplatte, einen austauschbaren USB-Stick, ein Magnetband oder Papier) und die Archivierung (z. B. in einer Verzeichnis- und Dateistruktur) von Daten. Daten können auch gesichert werden und die Sicherungsmedien zu einem sicheren externen Standort transportiert werden (als "Daten in Transit" bezeichnet). Klassifizierungsstufen von Daten sollten ebenfalls routinemäßig überprüft werden (in der Regel vom Dateneigentümer), um festzustellen, ob eine Klassifizierungsebene aktualisiert (nicht üblich) oder herabgestuft werden muss. Angemessene Sicherheitsvorkehrungen müssen implementiert und regelmäßig überprüft werden, um die Vertraulichkeit (und Vertraulichkeit) von
    • sicherzustellen. Zum Beispiel mit System-, Verzeichnis- und Dateiberechtigungen und Verschlüsselung.
    • Integrität. Zum Beispiel unter Verwendung von Baselines, kryptographischen Hashes, zyklischen Redundanzprüfungen (CRCs) und Dateisperren (um die Änderung von Daten durch mehrere gleichzeitige Benutzer zu verhindern oder zu kontrollieren).
    • Verfügbarkeit. Beispielsweise mithilfe von Datenbank- und Datei-Clustering (um einzelne Fehlerquellen zu beseitigen), Backups und Echtzeit-Replikation (um Datenverlust zu vermeiden).
  • Disposition. Wenn Daten schließlich keinen Wert mehr haben oder für die Organisation nicht mehr nützlich sind, müssen sie entsprechend den Richtlinien zur Unternehmensaufbewahrung und -vernichtung sowie den anwendbaren Gesetzen und Vorschriften ordnungsgemäß vernichtet werden. Bestimmte sensible Daten können vom Dateneigentümer endgültig bestimmt werden und erfordern möglicherweise bestimmte Vernichtungsverfahren (z. B. Zeugen, Protokollierung und ein magnetisches Löschen mit anschließender physischer Zerstörung).

Daten, die lediglich gelöscht wurden, wurden NICHT ordnungsgemäß zerstört. Es ist lediglich "ruhende Daten", die darauf warten, überschrieben zu werden - oder von einem nicht autorisierten und potenziell böswilligen Dritten ungeschickt entdeckt werden!

Datenremanenz bezieht sich auf Daten, die noch auf den Speichermedien oder im Speicher vorhanden sind, nachdem die Daten gelöscht wurden.

Baselines

Das Erstellen einer Baseline ist eine Standard-Geschäftsmethode, die verwendet wird, um eine Organisation mit einem Startpunkt oder einem Mindeststandard zu vergleichen oder um den Fortschritt innerhalb einer Organisation im Zeitverlauf zu vergleichen. Mit Sicherheitskontrollen bieten diese Methoden wertvolle Einblicke:

  • Im Vergleich zu anderen Organisationen . Unternehmen können ihre Kontrollgruppen mit anderen Organisationen vergleichen, um zu sehen, welche Unterschiede bei Kontrollen bestehen.
  • Interne Kontrollen über die Zeit vergleichen . Eine Organisation kann ihre Kontrollgruppe als Basis festlegen, um zu sehen, welche Änderungen in ihrer Kontrollgruppe über einen Zeitraum von Jahren auftreten.
  • Vergleich der Kontrolleffektivität über die Zeit . Eine Organisation kann ihre Ergebnisse der Kontrolleffektivität vergleichen, um zu sehen, wo Fortschritte gemacht werden und wo mehr Anstrengungen erforderlich sind, um Fortschritte zu erzielen.

Scoping und Tailoring

Da unterschiedliche Teile einer Organisation und der zugrunde liegenden IT-Systeme unterschiedliche Datensätze speichern und verarbeiten, ist es für eine Organisation nicht sinnvoll, eine einzige Gruppe von Kontrollen einzurichten und sie allen Systemen aufzuerlegen… Wie ein zu stark vereinfachtes Datenklassifizierungsprogramm und der daraus resultierende Über- und Unterschutz von Daten teilen sich Organisationen häufig in logische Zonen und legen dann fest, welche Steuerelemente und Kontrollgruppen in diesen Zonen angewendet werden.

Ein weiterer Ansatz besteht darin, Steuerelemente und Steuerelemente auf verschiedene IT-Systeme und Teile der Organisation zuzuschneiden. Zum Beispiel können Steuerelemente für die Kennwortstärke Kategorien haben, die auf Systeme mit unterschiedlichen Sicherheitsstufen angewendet werden.

Beide Ansätze zum Anwenden einer komplexen Steuerungsumgebung in einer komplexen IT-Umgebung sind gültig - sie sind wirklich nur unterschiedliche Wege, um das gleiche Ziel zu erreichen: die richtige Kontrollebene auf verschiedene Systeme und Umgebungen basierend auf den gespeicherten Informationen anzuwenden und verarbeiten oder nach anderen Kriterien.

Auswahl der Standards

Für die Verwendung durch Sicherheitsexperten stehen mehrere ausgezeichnete Kontrollrahmen zur Verfügung. Unter keinen Umständen ist es notwendig, von vorne anzufangen. Stattdessen ist es am besten, mit einem von mehreren branchenführenden Steuerungssystemen zu beginnen und dann einzelne Steuerelemente hinzuzufügen oder zu entfernen, um die Anforderungen der Organisation zu erfüllen.

Kontrollrahmenstandards enthalten

  • ISO27002 , Code of Practice für Informationssicherheitsmanagement.
  • COBIT , Kontrollziele für Information und verwandte Technologie.
  • NIST 800-53 , Empfohlene Sicherheitskontrollen für föderale Informationssysteme und Organisationen.

Cryptography

Crypto spielt eine entscheidende Rolle beim Datenschutz, egal ob es sich um Daten handelt, die über ein Netzwerk übertragen werden oder sich auf einem Server oder einer Workstation befinden. Bei der Kryptographie geht es darum, Daten klar zu verbergen, denn es gibt Situationen, in denen Personen auf sensible Daten zugreifen können. Crypto verweigert Personen, auf die zugegriffen wird, sofern sie nicht im Besitz eines Chiffrierschlüssels sind, und die Methode, um ihn zu entschlüsseln.

Datensicherheitskontrollen - Dummies

Die Wahl des Herausgebers

Die Wahl des Herausgebers

Optimierung sozialer Medien: Anpassung von Inhalten an Specialty Channels - Dummies

Optimierung sozialer Medien: Anpassung von Inhalten an Specialty Channels - Dummies

Social Media

Eine der besten Möglichkeiten, um Zusätzliche Meilenzahl von Ihren Sozialmedieninhalt ist, sie umzupacken und sie auf verschiedenen Kanälen freizugeben. Wenn Sie einen Blogbeitrag haben und den Beitrag direkt über Social Sharing bewerben, können Sie diesen Blogpost in eine herunterladbare PDF-Datei umwandeln. Wenn die ...

Social-Media-Optimierung: SMART Marketing - Dummies

Social-Media-Optimierung: SMART Marketing - Dummies

Social Media

Wenn Sie Ihre Social Media-Ziele definiert haben, haben Sie Ihr Ziel identifiziert Zielgruppe und fand heraus, wo sie auf Social-Media-Kanälen zu finden sind, nutzte die Daten aus Analyse-Programmen, um die optimale Zeit zu bestimmen, um in sozialen Medien aktiv zu sein, und eine umfassende Social-Media-Verhaltenspolitik setzen Sie sind bereit, zu bewegen ...

Social Media Optimierung: Was Sie über Semantic Markup wissen sollten - Dummies

Social Media Optimierung: Was Sie über Semantic Markup wissen sollten - Dummies

Social Media

Wenn Sie möchten Um mit Ihrer Social-Media-Optimierungsstrategie wirklich erfolgreich zu sein, müssen Sie etwas über semantisches Markup wissen. Einfach gesagt ist semantisches Markup ein standardisierter Weg, um Code zu schreiben, der eine Webseite für dumme Maschinen wie Suchmaschinen leicht verständlich macht. Es ist eine Möglichkeit, den Inhalt einer Webseite mit Anmerkungen zu versehen ...

Die Wahl des Herausgebers

Online-Community-Manager sollten ihre Ausbildung ausweiten - Dummies

Online-Community-Manager sollten ihre Ausbildung ausweiten - Dummies

Social Media

Haben Sie keine Angst, etwas Neues zu lernen. Dies kann bedeuten, dass Sie Artikel über Ihre Branche, die Marke und das Online-Community-Management lesen. Dies kann bedeuten, dass Sie nach Bildung suchen, die es Ihnen ermöglicht, Ihre Community besser zu betreiben. Es schadet nie, grundlegendes Web- oder Blog-Design zu kennen und auf dem neuesten Stand der Technik zu bleiben. Außerdem ...

Online-Community-Manager sollten mit Beispiel führen - Dummies

Online-Community-Manager sollten mit Beispiel führen - Dummies

Social Media

Ihre Community orientiert sich an Ihnen. Wenn du schwörst und nistest, werden die Mitglieder wissen, dass dieses Verhalten in Ordnung ist. Wenn Sie aber jeden Morgen fröhlich grüßen, folgen sie Ihrem Beispiel. Sogar Leute, die von Drama und Negativität angezogen werden, werden sich entweder an der guten Miene beteiligen, oder sie werden so müde ...

Online Community-Manager Bleiben Sie auf dem neuesten Stand der Trends - dummies

Online Community-Manager Bleiben Sie auf dem neuesten Stand der Trends - dummies

Social Media

Ob es sich um Ihre Online-Community handelt oder nicht müssen Sie sich der Marktentwicklung bewusst sein. Was kaufen Leute? Wie kommunizieren sie online? Geben sie mehr oder weniger Geld aus? Welche Lebensmittel, Gadgets oder Moden sind rein oder raus? Um auf dem neuesten Stand der Trends zu bleiben, sollten Sie wissen, was und was so ist.

Die Wahl des Herausgebers

Kennenlernen der Aufgabenleiste in Outlook 2007 - dummies

Kennenlernen der Aufgabenleiste in Outlook 2007 - dummies

Social Media

Ausblick 2007 eine neue Funktion namens To-Do-Leiste, die alle Dinge, die Sie tun müssen, zusammenfasst und sie in einem Bereich auf der rechten Seite des Outlook-Bildschirms anzeigt. Das Ziel der To-Do-Leiste ist es, Ihnen mitzuteilen, was Sie auf einen Blick tun müssen, anstatt ...

ÄNdern der Größe einer Notiz in Outlook 2013 - Hinweise für Dummies

ÄNdern der Größe einer Notiz in Outlook 2013 - Hinweise für Dummies

Social Media

In Outlook 2013 befolgen alle Regeln dass andere Windows-Boxen folgen, also wenn Sie ein alter Hase beim Verschieben und Ändern der Größe von Boxen in Windows sind, werden Sie in Ordnung sein. Wenn Sie mit Windows und Dialogfeldern noch nicht vertraut sind, machen Sie sich keine Sorgen - Notizen lassen sich genauso einfach in der Größe ändern wie zum Schreiben und Lesen. Ändern ...

Kennenlernen von Ansichten in Outlook 2007 - Dummys

Kennenlernen von Ansichten in Outlook 2007 - Dummys

Social Media

In Outlook 2007 verfügt jedes Outlook-Modul über eine eigene Auswahl von Ansichten. Jede Art von Ansicht ist so organisiert, dass ein bestimmtes Merkmal Ihrer Informationen auf den ersten Blick sichtbar wird. Sie können die Art ändern, wie Sie eine Ansicht anzeigen, indem Sie sie sortieren, filtern oder gruppieren. Sie können mit Ansichten nicht falsch gehen, weil Sie ...

Die Wahl des Herausgebers

Die Wahl des Herausgebers

Beliebte Kategorien

© Copyright blender3dtutorials.com, 2024 November | Über Site | Kontakte | Datenschutz-Bestimmungen.