Информационное обеспечение ( IA ) - это практика обеспечения информации и управления рисками, связанными с использованием, обработкой, хранением и передачей информации. Информационное обеспечение включает в себя защиту целостности , доступности, подлинности, невозможности отказа от авторства и конфиденциальности пользовательских данных. [1] IA охватывает не только цифровую защиту, но и физические методы. Эти меры защиты применяются к передаваемым данным , как в физических, так и в электронных формах, а также к хранящимся данным . IA лучше всего рассматривать как надмножество информационной безопасности (то есть общий термин) и как бизнес-результатуправление информационными рисками .
Обзор
Информационное обеспечение (IA) - это процесс обработки, хранения и передачи нужной информации нужным людям в нужное время. [1] ВА относится к бизнес-уровню и стратегическому управлению рисками информации и связанных систем, а не к созданию и применению мер безопасности. IA используется в интересах бизнеса за счет использования управления информационными рисками , доверительного управления , устойчивости, соответствующей архитектуры, безопасности системы и защиты, что увеличивает полезность информации только для их авторизованных пользователей и снижает. Таким образом, в дополнение к защите от вредоносных атак хакеров и кода (например, вирусов ), практикующие IA считают корпоративного управления такие вопросы, как неприкосновенность частной жизни , норм и стандартов соответствия , аудита , обеспечения непрерывности бизнеса и аварийного восстановления , поскольку они связаны с информационными системами. Кроме того, IA - это междисциплинарная область , в которой, помимо информатики, требуются знания в области бизнеса , бухгалтерского учета , взаимодействия с пользователем, проверки мошенничества , судебной медицины , управления , системной инженерии , инженерии безопасности и криминологии .
Эволюция
С ростом телекоммуникационных сетей также возникает зависимость от сетей, что делает сообщества уязвимыми для кибератак, которые могут прервать ухудшение или уничтожить жизненно важные услуги. [2] Начиная с 1950-х годов, роль и использование информационного обеспечения росли и развивались. Вначале обеспечение информации включало только резервное копирование данных. [3] Однако, как только объем информации увеличился, процесс обеспечения информации начал автоматизировать, уменьшая необходимость вмешательства оператора, что позволяло создавать мгновенные резервные копии. [3] Последним основным достижением в области информационного обеспечения является внедрение распределенных систем для обработки и хранения данных с использованием таких методов, как SAN и NAS, а также использование облачных вычислений . [4] [5] [3] Эти три основных развития информации соответствуют трем поколениям информационных технологий: первое используется для предотвращения вторжений, второе - для обнаружения вторжений и третье - для обеспечения живучести. [6] [7] Гарантия информации - это совместные усилия всех сфер жизни, направленные на свободный и равноправный обмен идеями. [8]
Столбы
Гарантия информации строится на пяти столпах: доступность , целостность , аутентификация , конфиденциальность и неотвратимость . [9] Эти компоненты принимаются во внимание для защиты систем, в то же время позволяя им эффективно предоставлять услуги; Однако эти столпы не действуют независимо друг от друга, а скорее мешают достижению целей других столпов. [9] Эти столпы информационного обеспечения постепенно изменились и стали называться столпами кибербезопасности. Как администратору, важно выделить те столпы, которые вам нужны, чтобы достичь желаемого результата для их информационной системы, уравновешивая аспекты обслуживания и конфиденциальности .
Аутентификация
Аутентификация относится к проверке действительности передачи, отправителя или процесса в информационной системе. [10] Аутентификация обеспечивает получателю уверенность в достоверности отправителей данных, а также в достоверности их сообщения. [9] Существует множество способов поддержки аутентификации, которые в основном разбиваются на три основных способа: личная информация, такая как имя человека, адресный номер телефона, доступ к токену ключа или известная информация, например пароли. [11]
Честность
Столп целостности относится к защите информации от несанкционированного изменения, поиска или удаления. [3] Целью обеспечения целостности информации является обеспечение точности данных, а также точности и полноты целостности на протяжении всего срока службы. [12] [13] Целостность информации обеспечивается увеличением авторизации пользователя. [9] Целостность информации зависит от количества степеней доверия между сторонами. [13] Одним из способов обеспечения целостности данных является использование резервных микросхем и программного обеспечения. [14] Примером нарушения целостности является то, что три четверти больниц в США не имеют адекватных схем паролей, что приводит к появлению множества гангстеров, например, позволяющих человеку прописывать ненужные лекарства или процедуры. [13]
Доступность
Основа доступности относится к сохранению данных, которые могут быть извлечены или изменены уполномоченными лицами. Более высокая доступность сохраняется за счет увеличения надежности системы хранения или канала. [9] Нарушения доступности информации могут возникать в результате перебоев в подаче электроэнергии, отказов оборудования, DDOS и т. Д. Целью обеспечения высокой доступности является сохранение доступа к информации. Доступность информации может быть увеличена за счет использования резервного питания , резервных каналов данных , внешних возможностей и непрерывного сигнала . [13]
Конфиденциальность
Конфиденциальность - это, по сути, противоположность честности. Конфиденциальность - это мера безопасности, которая защищает от того, кто может получить доступ к данным, что достигается путем экранирования тех, кто имеет доступ к информации. [9] Это отличается от целостности, поскольку целостность защищает тех, кто может изменять информацию. Конфиденциальность часто обеспечивается с помощью криптографии и стеганографии данных. [3] Конфиденциальность можно увидеть в классификации и информационном превосходстве с международными операциями, такими как НАТО [15] Обеспечение конфиденциальности информации в США необходимо в соответствии с HIPAA и политикой безопасности поставщика медицинских услуг, маркировкой информации и обязательными правилами для обеспечения неразглашения информации. [13]
Безотказность
Невозможность отказа - это целостность данных, чтобы они соответствовали их происхождению, что предотвращает возможное отрицание того, что действие имело место. [3] [1] Увеличение числа случаев отказа от авторства затрудняет отрицание того, что информация поступает из определенного источника. Другими словами, это делается так, чтобы вы не могли оспаривать источник / подлинность данных. Фиксация авторства подразумевает снижение целостности данных во время их передачи, как правило, с помощью атаки типа « злоумышленник в середине» или фишинга . [16]
Взаимодействие столбов
Как указывалось ранее, столбы не взаимодействуют независимо друг от друга, при этом одни столбы препятствуют функционированию других столпов или, в противоположном случае, они усиливают другие столбы. [9] Например, увеличение доступности информации напрямую противоречит целям трех других столпов: целостности, аутентификации и конфиденциальности. [9]
Процесс
Процесс обеспечения информации обычно начинается с перечисления и классификации защищаемых информационных активов . Затем практикующий специалист по внутреннему аудиту проведет оценку рисков для этих активов. [17] Уязвимости в информационных активах определяются для того, чтобы перечислить угрозы, способные использовать эти активы. Затем оценка рассматривает как вероятность, так и влияние угрозы, использующей уязвимость в активе, с воздействием, обычно измеряемым в терминах затрат для заинтересованных сторон актива. [18] Сумма произведений воздействия угроз и вероятности их возникновения составляет общий риск информационного актива.
После завершения оценки рисков практикующий специалист по внутреннему аудиту разрабатывает план управления рисками . В этом плане предлагаются контрмеры, которые включают снижение, устранение, принятие или передачу рисков, а также рассматриваются вопросы предотвращения, обнаружения и реагирования на угрозы. Структура, опубликованная организацией по стандартизации, такой как NIST RMF, Risk IT , CobiT , PCI DSS или ISO / IEC 27002 , может направлять разработку. Контрмеры могут включать технические инструменты, такие как брандмауэры и антивирусное программное обеспечение , политики и процедуры, требующие таких средств контроля, как регулярное резервное копирование и усиление защиты конфигурации, обучение сотрудников осведомленности о безопасности или объединение персонала в специальную группу реагирования на компьютерные чрезвычайные ситуации (CERT) или реагирование на инциденты компьютерной безопасности. команда ( CSIRT ). Стоимость и выгода каждой меры противодействия тщательно продумываются. Таким образом, практикующий ВА стремится не устранять все риски, если это возможно, а управлять ими наиболее экономичным способом. [19]
После того, как план управления рисками внедрен, он тестируется и оценивается, часто с помощью формальных аудитов. [17] Процесс ВА является итеративным, поскольку предполагается, что оценка рисков и план управления рисками периодически пересматриваются и улучшаются на основе собранных данных об их полноте и эффективности. [2]
Существуют два мета-метода с обеспечением информации: аудит и оценка рисков. [17]
Управление бизнес-рисками
Управление бизнес-рисками подразделяется на три основных процесса: оценка рисков, снижение рисков и оценка и оценка. [20] Обеспечение информации - это одна из методологий, которые организации используют для реализации управления бизнес-рисками. За счет использования политик обеспечения информации, таких как «КИРПИЧ». [1] Кроме того, управление бизнес-рисками также осуществляется в соответствии с федеральными и международными законами, касающимися выпуска и безопасности информации, такими как HIPAA. [21] Обеспечение информации может быть согласовано со стратегиями корпорации посредством обучения и повышения осведомленности, участия и поддержки высшего руководства, а также внутриорганизационная коммуникация, позволяющая усилить внутренний контроль и управление бизнес-рисками. [22] Многие руководители служб безопасности в этих компаниях переходят к использованию гарантии информации для защиты интеллектуальной собственности, защиты от потенциальной утечки данных и защиты пользователей от самих себя. [18] Несмотря на то, что использование гарантии информации является хорошим средством обеспечения определенных столпов, таких как конфиденциальность, неотрекаемость и т. Д., Из-за их конфликтного характера повышение безопасности часто происходит за счет скорости. [9] [18] При этом использование гарантии информации в бизнес-модели улучшает надежное принятие управленческих решений, доверие клиентов, непрерывность бизнеса и хорошее управление как в государственном, так и в частном секторе. [23]
Организации по стандартизации и стандарты
Существует ряд международных и национальных органов, которые издают стандарты практики, политики и процедур обеспечения информации. В Великобритании к ним относятся Консультативный совет по обеспечению информации и Группа сотрудничества по обеспечению достоверности информации . [4]
Смотрите также
- Актив (вычисления)
- Противодействие (компьютер)
- Факторный анализ информационного риска
- Справедливая информационная практика
- Предупреждение об уязвимости в области обеспечения безопасности информации
- Информационная безопасность
- ISO / IEC 27001
- ISO 9001
- ISO 17799
- IT риск
- Куб Маккамера
- Обеспечение миссии
- Риск
- Рисковать IT
- Структура управления рисками
- Контроль безопасности
- Угроза
- Уязвимость
Рекомендации
- Заметки
- ^ a b c d Сосин, Артур (2018-04-01). «КАК ПОВЫШАТЬ ИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ В ИНФОРМАЦИОННЫЙ ВЕК» . Журнал управления оборонными ресурсами . 9 (1): 45–57. ISSN 2068-9403 .
- ^ а б МакКоннелл, М. (апрель 2002 г.). «Обеспечение информации в ХХI веке» . Компьютер . 35 (4): supl16 – supl19. DOI : 10,1109 / MC.2002.1012425 . ISSN 0018-9162 .
- ^ а б в г д е Каммингс, Р. (декабрь 2002 г.). «Эволюция информационного обеспечения» . Компьютер . 35 (12): 65–72. DOI : 10,1109 / MC.2002.1106181 . ISSN 0018-9162 .
- ^ а б Прингл, Ник; Берджесс, Михаила (май 2014 г.). «Обеспечение информации в распределенном криминалистическом кластере» . Цифровое расследование . 11 : S36 – S44. DOI : 10.1016 / j.diin.2014.03.005 .
- ^ Чакраборти, Раджарши; Рамиредди, Шрилакшми; Рагху, Т.С.; Рао, Х. Рагхав (июль 2010 г.). "Практики обеспечения информации поставщиками облачных вычислений" . ИТ-специалист . 12 (4): 29–37. DOI : 10.1109 / mitp.2010.44 . ISSN 1520-9202 .
- ^ Luenam, P .; Пэн Лю (2003). «Дизайн адаптивной системы базы данных, устойчивой к вторжениям» . Основы систем, устойчивых к вторжению, 2003 [Органически гарантированные и устойчивые информационные системы] . IEEE: 14–21. DOI : 10.1109 / fits.2003.1264925 . ISBN 0-7695-2057-X.
- ^ Лю, Пэн; Занг, Ванью (2003). «Моделирование на основе стимулов и вывод о намерениях, целях и стратегиях злоумышленника» . Труды 10-й конференции ACM по компьютерной и коммуникационной безопасности - CCS '03 . Нью - Йорк, Нью - Йорк, США: ACM Press: 179. DOI : 10,1145 / 948109,948135 . ISBN 1-58113-738-9.
- ^ Шталь, Бернд Карстен (июль 2004 г.). «Ответственность за обеспечение информации и конфиденциальность: проблема личной этики?» . Журнал вычислительной техники для организаций и конечных пользователей . 16 (3): 59–77. DOI : 10,4018 / joeuc.2004070104 . ISSN 1546-2234 .
- ^ Б с д е е г ч I Уилсон, Келче С. (июль 2013 г.). «Конфликты между столпами информационного обеспечения» . ИТ-специалист . 15 (4): 44–49. DOI : 10.1109 / mitp.2012.24 . ISSN 1520-9202 .
- ^ Садику, Мэтью; Алам, Шумон; Муса, Сархан (2017). «Преимущества и проблемы обеспечения информации: введение» . procon.bg . Проверено 28 ноября 2020 .
- ^ Сан-Николас-Рокка, Тония; Буркхард, Ричард Дж (17.06.2019). «Информационная безопасность в библиотеках» . Информационные технологии и библиотеки . 38 (2): 58–71. DOI : 10.6017 / ital.v38i2.10973 . ISSN 2163-5226 .
- ^ Бориц, Дж. Эфрим (декабрь 2005 г.). «Взгляды практиков ИБ на основные концепции целостности информации» . Международный журнал бухгалтерских информационных систем . 6 (4): 260–279. DOI : 10.1016 / j.accinf.2005.07.001 .
- ^ а б в г д Schou, CD; Frost, J .; Маконахи, Западная Вирджиния (январь 2004 г.). «Информационное обеспечение в системах биомедицинской информатики» . Журнал IEEE Engineering in Medicine and Biology . 23 (1): 110–118. DOI : 10.1109 / MEMB.2004.1297181 . ISSN 0739-5175 . PMID 15154266 .
- ^ Ян, Айбин; Ху, Юаньцзе; Цуй, Цзе; Чен, Чжили; Хуанг, Чжэнфэн; Ни, Тяньминь; Жирар, Патрик; Вэнь Сяоцин (01.06.2020). «Обеспечение информации посредством избыточной конструкции: новый устойчивый к ошибкам фиксатор TNU для агрессивной радиационной среды» . Транзакции IEEE на компьютерах . 69 (6): 789–799. DOI : 10.1109 / tc.2020.2966200 . ISSN 0018-9340 .
- ^ Ханна, Майкл; Гранцов, Дэвид; Болте, Бьорн; Альварадо, Эндрю (2017). «Разведка и обмен информацией НАТО: совершенствование стратегии НАТО по операциям по стабилизации и реконструкции» . Связи: Ежеквартальный журнал . 16 (4): 5–34. doi : 10.11610 / соединения.16.4.01 . ISSN 1812-1098 .
- ^ Чен, Чин-Линг; Чан, Мао-Лунь; Се, Хуэй-Цзин; Лю, Чинг-Ченг; Дэн Юн-Юань (2020-05-08). «Облегченная взаимная аутентификация с помощью носимых устройств в мобильных пограничных вычислениях на основе местоположения» . Беспроводная персональная связь . 113 (1): 575–598. DOI : 10.1007 / s11277-020-07240-2 . ISSN 0929-6212 .
- ^ а б в Такие, Jose M .; Гуглидис, Антониос; Ноулз, Уильям; Мисра, Гаурав; Рашид, Авайс (июль 2016 г.). «Методы обеспечения достоверности информации: оценка экономической эффективности» . Компьютеры и безопасность . 60 : 117–133. DOI : 10.1016 / j.cose.2016.03.009 .
- ^ а б в Джонсон, Мэн; Goetz, E .; Pfleeger, SL (май 2009 г.). «Безопасность через управление информационными рисками» . IEEE Security Privacy . 7 (3): 45–52. DOI : 10.1109 / MSP.2009.77 . ISSN 1558-4046 .
- ^ Singh, R .; Салам, AF (май 2006 г.). «Обеспечение семантической информации для безопасного управления распределенными знаниями: взгляд на бизнес-процессы» . Транзакции IEEE по системам, человеку и кибернетике - Часть A: Системы и люди . 36 (3): 472–486. DOI : 10.1109 / TSMCA.2006.871792 . ISSN 1083-4427 .
- ^ Кнапп, Кеннет Дж., Изд. (2009). Кибербезопасность и глобальное информационное обеспечение . IGI Global. DOI : 10.4018 / 978-1-60566-326-5 . ISBN 978-1-60566-326-5.
- ^ Парк, Инсу; Шарман, Радж; Рао, Х. Рагхав (02.02.2015). «Опыт стихийных бедствий и информационные системы в больницах: исследование предполагаемой информации, риска, устойчивости и полезности ИСЗ» . MIS Quarterly . 39 (2): 317–344. DOI : 10.25300 / misq / 2015 / 39.2.03 . ISSN 0276-7783 .
- ^ Макфадзин, Элспет; Эзингард, Жан-Ноэль; Бирчалл, Дэвид (2011-04-08). «Обеспечение информации и корпоративная стратегия: исследование Delphi, посвященное выбору, вызовам и развитию будущего» . Управление информационными системами . 28 (2): 102–129. DOI : 10.1080 / 10580530.2011.562127 . ISSN 1058-0530 .
- ^ Эзингард, Жан-Ноэль; Макфадзин, Элспет; Бирчалл, Дэвид (март 2005 г.). «Модель преимуществ гарантии информации» . Управление информационными системами . 22 (2): 20–29. DOI : 10.1201 / 1078 / 45099.22.2.20050301 / 87274.3 . ISSN 1058-0530 .
- Библиография
- Шифрование данных; Ученые из Университета Чанг Гунг нацелены на шифрование данных. (2011, май). Информационные технологии Newsweekly, 149. Получено 30 октября 2011 г. с сайта ProQuest Computing. (Идентификатор документа: 2350804731).
- Стивенсон (2010). «Аутентификация: основа информационного обеспечения». Журнал SC . 21 (1): 55.
- Каммингс, Роджер (2002). «Эволюция информационного обеспечения» (PDF) . Компьютер . 35 (12): 65–72. DOI : 10,1109 / MC.2002.1106181 .[ постоянная мертвая ссылка ]
Внешние ссылки
Документация
- Правительство Великобритании
- HMG INFOSEC СТАНДАРТ № 2 Управление рисками и аккредитация информационных систем (2005 г.)
- Ссылки на ИА
- Язык разметки схемы XML для обеспечения информации
- Директива DoD 8500.01 Обеспечение информации
- Диаграмма политики DoD IA Диаграмма политики DoD IA
- Архив информационного обеспечения Архив информационного обеспечения
Информационное обеспечение также эволюционировало благодаря социальным сетям.