Accueil Finances personnelles Données Les contrôles de sécurité - les nuls

Données Les contrôles de sécurité - les nuls

Table des matières:

Vidéo: SQL/ LCD : Contrôle et Sécurité des données 2025

Vidéo: SQL/ LCD : Contrôle et Sécurité des données 2025
Anonim

Les actifs sensibles, y compris les données, doivent être protégés de manière appropriée tout au long de leur cycle de vie. En tant que professionnel de la sécurité, c'est votre travail. La gestion du cycle de vie de l'information (ILM) couvre les données à travers les cinq étapes suivantes:

  • Création. Les données sont créées par un utilisateur final ou une application. Les données doivent être classées en fonction de la criticité et de la sensibilité des données, et un propriétaire de données (généralement, mais pas toujours, le créateur) doit être affecté. Les données peuvent exister sous de nombreuses formes telles que des documents, des feuilles de calcul, des messages électroniques et textuels, des enregistrements de bases de données, des formulaires, des images, des présentations (y compris des vidéoconférences) et des documents imprimés.
  • Distribution ("données en mouvement"). Les données peuvent être distribuées (ou récupérées) en interne dans une organisation ou transmises à des destinataires externes. La distribution peut être manuelle (par courrier) ou électronique (généralement sur un réseau). Les données en transit sont susceptibles d'être compromises, de sorte que des sauvegardes appropriées doivent être mises en œuvre en fonction de la classification des données. Par exemple, le cryptage peut être nécessaire pour envoyer certaines données sensibles sur un réseau public. Dans ce cas, des normes de chiffrement appropriées doivent être établies. Les technologies de prévention des pertes de données (DLP) peuvent également être utilisées pour empêcher la distribution non autorisée accidentelle ou intentionnelle de données sensibles.
  • Utiliser ("données utilisées"). Cette étape fait référence aux données auxquelles a accédé un utilisateur final ou une application et qui sont activement utilisées (par exemple, lues, analysées, modifiées, mises à jour ou dupliquées) par cet utilisateur ou cette application. Les données en cours d'utilisation doivent être accessibles uniquement sur les systèmes autorisés pour le niveau de classification des données et uniquement par les utilisateurs et les applications disposant des autorisations (autorisation) et de l'objectif appropriés (besoin de savoir).
  • Maintenance ("données au repos"). À tout moment entre la création et la disposition des données, celles-ci ne sont pas "en mouvement" ou "en cours d'utilisation", les données sont conservées "au repos". La maintenance inclut le stockage (sur un support tel qu'un disque dur, une clé USB amovible, une bande magnétique de sauvegarde ou un papier) et le classement (par exemple, dans un répertoire et une structure de fichiers) des données. Les données peuvent également être sauvegardées et les supports de sauvegarde transportés vers un emplacement sécurisé hors site (appelé «données en transit»). Les niveaux de classification des données doivent également être régulièrement examinés (généralement par le propriétaire des données) afin de déterminer si un niveau de classification doit être amélioré (pas commun) ou peut être déclassé. Des mesures de protection appropriées doivent être mises en œuvre et régulièrement vérifiées afin d'assurer
    • la confidentialité (et la confidentialité). Par exemple, utiliser les autorisations système, de répertoire et de fichier et le cryptage.
    • Intégrité. Par exemple, utiliser des lignes de base, des hachages cryptographiques, des contrôles de redondance cyclique (CRC) et des verrouillages de fichiers (pour empêcher ou contrôler la modification de données par plusieurs utilisateurs simultanés).
    • Disponibilité. Par exemple, utiliser la base de données et la mise en grappe de fichiers (pour éliminer les points de défaillance uniques), les sauvegardes et la réplication en temps réel (pour éviter la perte de données).
  • Disposition. Enfin, lorsque les données n'ont plus de valeur ou ne sont plus utiles à l'organisation, elles doivent être correctement détruites conformément aux politiques de conservation et de destruction de l'entreprise, ainsi qu'aux lois et règlements applicables. Certaines données sensibles peuvent nécessiter une détermination de disposition finale par le propriétaire des données, et peuvent nécessiter des procédures de destruction spécifiques (telles que des témoins, l'enregistrement, et un balayage magnétique suivi d'une destruction physique).

Les données qui ont simplement été effacées N'ont PAS été correctement détruites. Il s'agit simplement de «données en attente» en attente d'être écrasées - ou découvertes de façon incommode par un tiers non autorisé et potentiellement malveillant!

La rémanence des données fait référence aux données qui existent encore sur le support de stockage ou dans la mémoire après la "suppression" des données.

Bases

L'établissement d'une référence est une méthode commerciale standard utilisée pour comparer une organisation à un point de départ ou à une norme minimale, ou pour comparer les progrès au sein d'une organisation au fil du temps. Avec les contrôles de sécurité, ces méthodes fournissent des informations précieuses:

  • Comparaison avec d'autres organisations . Les organisations peuvent comparer leurs ensembles de contrôle avec d'autres organisations, pour voir quelles différences existent dans les contrôles.
  • Comparaison des contrôles internes dans le temps . Une organisation peut baser son ensemble de contrôles, pour voir quels changements se produisent dans son ensemble de contrôle sur une période de plusieurs années.
  • Comparaison de l'efficacité du contrôle dans le temps . Une organisation peut comparer son efficacité en matière de contrôle, voir où des progrès sont réalisés et où des efforts supplémentaires sont nécessaires pour progresser.

Étendue et adaptation

Étant donné que différentes parties d'une organisation et ses systèmes informatiques sous-jacents stockent et traitent différents ensembles de données, il est illogique qu'une organisation établisse un ensemble unique de contrôles et les impose à tous les systèmes. À l'instar d'un programme de classification des données trop simplifié et de la surprotection et de la sous-protection des données qui en résultent, les organisations se divisent souvent en zones logiques, puis spécifient les contrôles et les ensembles de contrôles appliqués dans ces zones.

Une autre approche consiste à adapter les contrôles et les ensembles de contrôles aux différents systèmes informatiques et parties de l'organisation. Par exemple, les contrôles sur la force du mot de passe peuvent avoir des catégories qui sont appliquées aux systèmes avec différents niveaux de sécurité.

Les deux approches d'application d'un environnement de contrôle complexe dans un environnement informatique complexe sont valables - elles ne sont en réalité que différentes manières d'atteindre le même objectif: appliquer le bon niveau de contrôle aux divers systèmes et environnements, en fonction des informations stockées et processus ou sur d'autres critères.

Sélection de normes

Plusieurs excellents cadres de contrôle sont à la disposition des professionnels de la sécurité. En aucun cas il n'est nécessaire de repartir de zéro. Au lieu de cela, la meilleure approche consiste à commencer par l'un des principaux cadres de contrôle de l'industrie, puis d'ajouter ou de supprimer des contrôles individuels pour répondre aux besoins de l'organisation.

Les normes du cadre de contrôle comprennent

  • ISO27002 , Code de pratique pour la gestion de la sécurité de l'information.
  • COBIT , Objectifs de contrôle pour l'information et la technologie connexe.
  • NIST 800-53 , Commandes de sécurité recommandées pour les systèmes d'information fédéraux et les organisations.

Cryptographie

Crypto joue un rôle crucial dans la protection des données, qu'il s'agisse de données en mouvement via un réseau ou de repos sur un serveur ou un poste de travail. La cryptographie consiste à dissimuler des données à la vue, car il existe des situations où des personnes peuvent avoir accès à des données sensibles; crypto refuse l'accès aux personnes à moins qu'elles ne soient en possession d'une clé de chiffrement et de la méthode de décryptage.

Données Les contrôles de sécurité - les nuls

Le choix des éditeurs

Le choix des éditeurs

Passez les examens en améliorant votre mentalité de performance - les nuls

Passez les examens en améliorant votre mentalité de performance - les nuls

Médias sociaux

Quels que soient les sujets que vous étudiez, êtes à l'école secondaire, au collège, à l'université, ou face à des examens professionnels ou d'entrée, pour passer vos examens, vous devez développer votre esprit de performance d'examen. Faire cela vous aidera à: Développer une attitude d'excellence - toujours viser à atteindre votre meilleur rendement personnel. Décidez exactement de ce que ...

Réussir les examens commence le premier jour de classe - les tirs

Réussir les examens commence le premier jour de classe - les tirs

Médias sociaux

Sont faciles à supposer aller à des cours, des conférences, des tutoriels ou autres, votre préparation aux examens sera dans quelques mois. Cette hypothèse, cependant, n'est pas utile. Si vous pensez que la préparation aux examens fait partie de chaque cours tous les jours - pas seulement les dernières semaines avant les examens - vous ...

Pour mémoriser l'ordre des opérations du PSAT / NMSQT - mannequins

Pour mémoriser l'ordre des opérations du PSAT / NMSQT - mannequins

Médias sociaux

L'ordre mathématique des opérations est très important sur les sections mathématiques du PSAT / NMSQT. S'il vous plaît excusez ma chère tante Sally (PEMDAS) est un moyen mnémotechnique (aide-mémoire) qui vous aide à vous rappeler quelle opération vient en premier, qui vient en second lieu, et ainsi de suite. L'ordre compte parce que si vous ignorez tante Sally, vous vous retrouvez avec la mauvaise réponse. ...

Le choix des éditeurs

10 Bonnes façons d'utiliser Bitcoin - les nuls

10 Bonnes façons d'utiliser Bitcoin - les nuls

Médias sociaux

Si vous voulez utiliser le bitcoin comme une forme d'éducation monétaire virtuelle, Utilisez-le comme un revenu supplémentaire, ou regardez-le dans une perspective d'investissement, bitcoin vous permet de faire à peu près tout ce que vous pouvez imaginer. Voici dix des meilleures façons d'utiliser Bitcoin, même s'il y en a beaucoup, beaucoup ...

Bitcoin Clés publiques et privées - nuls

Bitcoin Clés publiques et privées - nuls

Médias sociaux

Il y a plus qu'un portefeuille bitcoin que juste l'adresse elle-même. Il contient également la clé publique et privée pour chacune de vos adresses bitcoin. Votre clé privée bitcoin est une chaîne générée aléatoirement (chiffres et lettres), permettant de dépenser des bitcoins. Une clé privée est toujours liée mathématiquement à l'adresse du porte-monnaie bitcoin, ...

Bitcoin Paper Wallets - mannequins

Bitcoin Paper Wallets - mannequins

Médias sociaux

Possédant un portefeuille papier bitcoin, l'adresse contenant les bitcoins n'a pas encore été connectée au live blockchain, et n'est donc pas "active". "Jusqu'à ce que le portefeuille soit connecté à la blockchain, il est considéré comme étant en stockage à froid (jargon bitcoin pour un compte hors ligne). Vous pouvez toujours vérifier le solde ...

Le choix des éditeurs

Comment lire les données d'Excel en R - dummies

Comment lire les données d'Excel en R - dummies

Finances personnelles

Si vous demandez aux utilisateurs de R quelle est la meilleure façon est d'importer des données directement à partir de Microsoft Excel, la plupart d'entre eux répondront probablement que votre meilleure option est d'exporter d'abord Excel vers un fichier CSV, puis utiliser lire. csv () pour importer vos données à R. En fait, c'est toujours le conseil ...

Comment lire les erreurs et les avertissements dans R - dummies

Comment lire les erreurs et les avertissements dans R - dummies

Finances personnelles

Si quelque chose ne va pas avec votre code, toi. Nous devons l'admettre: Ces messages d'erreur peuvent aller de légèrement confus à complètement incompréhensible si vous n'y êtes pas habitué. Mais ça ne doit pas rester comme ça. Lorsque vous vous serez familiarisé avec les messages d'erreur et d'avertissement de R, vous pourrez rapidement ...

Comment lire la sortie de str () pour les listes dans R - dummies

Comment lire la sortie de str () pour les listes dans R - dummies

Finances personnelles

Beaucoup de gens qui commencent par R sont déroutés par les listes au début. Il n'y a vraiment pas besoin de cela - une liste n'a que deux parties importantes: les composants et les noms. Et dans le cas des listes sans nom, vous n'avez même pas à vous soucier de ce dernier. Mais si vous regardez la structure ...

Le choix des éditeurs

Le choix des éditeurs

Catégories populaires

© Copyright fr.blender3dtutorials.com, 2025 Mars | À propos du site | Contacts | Politique de confidentialité.