Accueil Finances personnelles Données Les contrôles de sécurité - les nuls

Données Les contrôles de sécurité - les nuls

Table des matières:

Vidéo: SQL/ LCD : Contrôle et Sécurité des données 2024

Vidéo: SQL/ LCD : Contrôle et Sécurité des données 2024
Anonim

Les actifs sensibles, y compris les données, doivent être protégés de manière appropriée tout au long de leur cycle de vie. En tant que professionnel de la sécurité, c'est votre travail. La gestion du cycle de vie de l'information (ILM) couvre les données à travers les cinq étapes suivantes:

  • Création. Les données sont créées par un utilisateur final ou une application. Les données doivent être classées en fonction de la criticité et de la sensibilité des données, et un propriétaire de données (généralement, mais pas toujours, le créateur) doit être affecté. Les données peuvent exister sous de nombreuses formes telles que des documents, des feuilles de calcul, des messages électroniques et textuels, des enregistrements de bases de données, des formulaires, des images, des présentations (y compris des vidéoconférences) et des documents imprimés.
  • Distribution ("données en mouvement"). Les données peuvent être distribuées (ou récupérées) en interne dans une organisation ou transmises à des destinataires externes. La distribution peut être manuelle (par courrier) ou électronique (généralement sur un réseau). Les données en transit sont susceptibles d'être compromises, de sorte que des sauvegardes appropriées doivent être mises en œuvre en fonction de la classification des données. Par exemple, le cryptage peut être nécessaire pour envoyer certaines données sensibles sur un réseau public. Dans ce cas, des normes de chiffrement appropriées doivent être établies. Les technologies de prévention des pertes de données (DLP) peuvent également être utilisées pour empêcher la distribution non autorisée accidentelle ou intentionnelle de données sensibles.
  • Utiliser ("données utilisées"). Cette étape fait référence aux données auxquelles a accédé un utilisateur final ou une application et qui sont activement utilisées (par exemple, lues, analysées, modifiées, mises à jour ou dupliquées) par cet utilisateur ou cette application. Les données en cours d'utilisation doivent être accessibles uniquement sur les systèmes autorisés pour le niveau de classification des données et uniquement par les utilisateurs et les applications disposant des autorisations (autorisation) et de l'objectif appropriés (besoin de savoir).
  • Maintenance ("données au repos"). À tout moment entre la création et la disposition des données, celles-ci ne sont pas "en mouvement" ou "en cours d'utilisation", les données sont conservées "au repos". La maintenance inclut le stockage (sur un support tel qu'un disque dur, une clé USB amovible, une bande magnétique de sauvegarde ou un papier) et le classement (par exemple, dans un répertoire et une structure de fichiers) des données. Les données peuvent également être sauvegardées et les supports de sauvegarde transportés vers un emplacement sécurisé hors site (appelé «données en transit»). Les niveaux de classification des données doivent également être régulièrement examinés (généralement par le propriétaire des données) afin de déterminer si un niveau de classification doit être amélioré (pas commun) ou peut être déclassé. Des mesures de protection appropriées doivent être mises en œuvre et régulièrement vérifiées afin d'assurer
    • la confidentialité (et la confidentialité). Par exemple, utiliser les autorisations système, de répertoire et de fichier et le cryptage.
    • Intégrité. Par exemple, utiliser des lignes de base, des hachages cryptographiques, des contrôles de redondance cyclique (CRC) et des verrouillages de fichiers (pour empêcher ou contrôler la modification de données par plusieurs utilisateurs simultanés).
    • Disponibilité. Par exemple, utiliser la base de données et la mise en grappe de fichiers (pour éliminer les points de défaillance uniques), les sauvegardes et la réplication en temps réel (pour éviter la perte de données).
  • Disposition. Enfin, lorsque les données n'ont plus de valeur ou ne sont plus utiles à l'organisation, elles doivent être correctement détruites conformément aux politiques de conservation et de destruction de l'entreprise, ainsi qu'aux lois et règlements applicables. Certaines données sensibles peuvent nécessiter une détermination de disposition finale par le propriétaire des données, et peuvent nécessiter des procédures de destruction spécifiques (telles que des témoins, l'enregistrement, et un balayage magnétique suivi d'une destruction physique).

Les données qui ont simplement été effacées N'ont PAS été correctement détruites. Il s'agit simplement de «données en attente» en attente d'être écrasées - ou découvertes de façon incommode par un tiers non autorisé et potentiellement malveillant!

La rémanence des données fait référence aux données qui existent encore sur le support de stockage ou dans la mémoire après la "suppression" des données.

Bases

L'établissement d'une référence est une méthode commerciale standard utilisée pour comparer une organisation à un point de départ ou à une norme minimale, ou pour comparer les progrès au sein d'une organisation au fil du temps. Avec les contrôles de sécurité, ces méthodes fournissent des informations précieuses:

  • Comparaison avec d'autres organisations . Les organisations peuvent comparer leurs ensembles de contrôle avec d'autres organisations, pour voir quelles différences existent dans les contrôles.
  • Comparaison des contrôles internes dans le temps . Une organisation peut baser son ensemble de contrôles, pour voir quels changements se produisent dans son ensemble de contrôle sur une période de plusieurs années.
  • Comparaison de l'efficacité du contrôle dans le temps . Une organisation peut comparer son efficacité en matière de contrôle, voir où des progrès sont réalisés et où des efforts supplémentaires sont nécessaires pour progresser.

Étendue et adaptation

Étant donné que différentes parties d'une organisation et ses systèmes informatiques sous-jacents stockent et traitent différents ensembles de données, il est illogique qu'une organisation établisse un ensemble unique de contrôles et les impose à tous les systèmes. À l'instar d'un programme de classification des données trop simplifié et de la surprotection et de la sous-protection des données qui en résultent, les organisations se divisent souvent en zones logiques, puis spécifient les contrôles et les ensembles de contrôles appliqués dans ces zones.

Une autre approche consiste à adapter les contrôles et les ensembles de contrôles aux différents systèmes informatiques et parties de l'organisation. Par exemple, les contrôles sur la force du mot de passe peuvent avoir des catégories qui sont appliquées aux systèmes avec différents niveaux de sécurité.

Les deux approches d'application d'un environnement de contrôle complexe dans un environnement informatique complexe sont valables - elles ne sont en réalité que différentes manières d'atteindre le même objectif: appliquer le bon niveau de contrôle aux divers systèmes et environnements, en fonction des informations stockées et processus ou sur d'autres critères.

Sélection de normes

Plusieurs excellents cadres de contrôle sont à la disposition des professionnels de la sécurité. En aucun cas il n'est nécessaire de repartir de zéro. Au lieu de cela, la meilleure approche consiste à commencer par l'un des principaux cadres de contrôle de l'industrie, puis d'ajouter ou de supprimer des contrôles individuels pour répondre aux besoins de l'organisation.

Les normes du cadre de contrôle comprennent

  • ISO27002 , Code de pratique pour la gestion de la sécurité de l'information.
  • COBIT , Objectifs de contrôle pour l'information et la technologie connexe.
  • NIST 800-53 , Commandes de sécurité recommandées pour les systèmes d'information fédéraux et les organisations.

Cryptographie

Crypto joue un rôle crucial dans la protection des données, qu'il s'agisse de données en mouvement via un réseau ou de repos sur un serveur ou un poste de travail. La cryptographie consiste à dissimuler des données à la vue, car il existe des situations où des personnes peuvent avoir accès à des données sensibles; crypto refuse l'accès aux personnes à moins qu'elles ne soient en possession d'une clé de chiffrement et de la méthode de décryptage.

Données Les contrôles de sécurité - les nuls

Le choix des éditeurs

Le choix des éditeurs

Comment creuser dans les messages Syslog Junos - les mannequins

Comment creuser dans les messages Syslog Junos - les mannequins

Finances personnelles

Installation des périphériques réseau Juniper dans un rack - mannequins

Installation des périphériques réseau Juniper dans un rack - mannequins

Finances personnelles

Première étape de l'utilisation de tout périphérique réseau implique l'installation du matériel et des logiciels nécessaires à son fonctionnement. Les périphériques qui exécutent le système d'exploitation Junos varient en taille et en forme: très petits (commutateurs avec seulement quelques ports fonctionnant sur un courant de bureau normal) ou massifs (routeurs centraux multi-rack nécessitant plusieurs installateurs expérimentés ...

Comment gérer les fichiers journaux des périphériques Junos - dummies

Comment gérer les fichiers journaux des périphériques Junos - dummies

Finances personnelles

Si vous avez créé des fichiers journaux volumineux types d'événements à différents types de fichiers pour la facilité d'utilisation, vous devez gérer ces fichiers. Par défaut, le logiciel Junos OS limite la taille des fichiers journaux à 128 Ko. Lorsque les événements sont consignés, lorsque la taille totale des messages dépasse 128 Ko, quelque chose ...

Le choix des éditeurs

Adolescents gais: sortir avec la famille et les amis - les mannequins

Adolescents gais: sortir avec la famille et les amis - les mannequins

Finances personnelles

Qui révèlent l'homosexualité n'est jamais facile - pour jeunes ou vieux - mais le processus peut être particulièrement difficile pour les adolescents, qui sont dépendants de leur famille et n'ont pas encore établi leur propre vie privée avec leur propre lieu de vie et un emploi pour fournir un soutien financier. En fait, les taux de suicide ...

Comment Implanon fonctionne comme contrôle des naissances - les nuls

Comment Implanon fonctionne comme contrôle des naissances - les nuls

Finances personnelles

Certaines femmes choisissent Implanon comme contraceptif parce qu'elles veulent un contraceptif Cela ne nécessite pas de maintenance quotidienne, ni même saisonnière, ni de stérilisation. Implanon est une bonne option pour ces femmes parce que le dispositif est implanté sous la peau du bras d'une femme et est efficace pendant jusqu'à trois ans. Avec ...

Comment la grossesse change votre corps et votre vie sexuelle - les nuls

Comment la grossesse change votre corps et votre vie sexuelle - les nuls

Finances personnelles

Peuvent certainement faire partie d'une vie sexuelle saine les neuf mois de grossesse. Cela dit, ce ne sera probablement plus pareil qu'auparavant. Le corps d'une femme change au cours de cette période, tout comme ses besoins. La meilleure façon d'avoir des rapports sexuels durant la grossesse est de comprendre comment le corps d'une femme change pendant ...

Le choix des éditeurs

Utiliser une structure de répertoires peu profonds pour de meilleurs résultats de moteur de recherche - mannequins

Utiliser une structure de répertoires peu profonds pour de meilleurs résultats de moteur de recherche - mannequins

Médias sociaux

Structure de répertoire pour votre site Web, il est important de ne pas aller trop loin - cela garantit que les moteurs de recherche peuvent plus facilement votre site et que les utilisateurs trouveront votre site plus accessible. La structure du répertoire fait référence à l'emplacement physique de vos fichiers dans les dossiers du site. Par exemple, ...

Comprendre les avantages des requêtes à longue queue pour le SEO - Les nuls

Comprendre les avantages des requêtes à longue queue pour le SEO - Les nuls

Médias sociaux

Stratégie de référencement pour attirer beaucoup de monde sur votre site. Mais vous ne voulez pas seulement de la quantité - vous voulez du trafic de qualité. Vous voulez attirer des visiteurs qui viennent et restent un moment et trouvent ce qu'ils recherchent sur votre site. Ce dont vous avez vraiment besoin, ce sont les clients. Dans le monde de ...

Services de syndication traditionnels et flux RSS pour le contenu SEO - dummies

Services de syndication traditionnels et flux RSS pour le contenu SEO - dummies

Médias sociaux

Certains services de syndication vendent du contenu pour votre site web. Ce contenu est souvent envoyé à des sites Web utilisant des flux RSS. La syndication de contenu n'a rien de nouveau. Une grande partie de ce que vous lisez dans votre journal local n'est pas écrite par le personnel du journal; Cela vient d'un service de syndication. En général, ce matériel devrait être meilleur que le contenu syndiqué gratuit. Cependant, ...

Le choix des éditeurs

Le choix des éditeurs

Catégories populaires

© Copyright fr.blender3dtutorials.com, 2024 Novembre | À propos du site | Contacts | Politique de confidentialité.