Accueil Finances personnelles Données Les contrôles de sécurité - les nuls

Données Les contrôles de sécurité - les nuls

Table des matières:

Vidéo: SQL/ LCD : Contrôle et Sécurité des données 2025

Vidéo: SQL/ LCD : Contrôle et Sécurité des données 2025
Anonim

Les actifs sensibles, y compris les données, doivent être protégés de manière appropriée tout au long de leur cycle de vie. En tant que professionnel de la sécurité, c'est votre travail. La gestion du cycle de vie de l'information (ILM) couvre les données à travers les cinq étapes suivantes:

  • Création. Les données sont créées par un utilisateur final ou une application. Les données doivent être classées en fonction de la criticité et de la sensibilité des données, et un propriétaire de données (généralement, mais pas toujours, le créateur) doit être affecté. Les données peuvent exister sous de nombreuses formes telles que des documents, des feuilles de calcul, des messages électroniques et textuels, des enregistrements de bases de données, des formulaires, des images, des présentations (y compris des vidéoconférences) et des documents imprimés.
  • Distribution ("données en mouvement"). Les données peuvent être distribuées (ou récupérées) en interne dans une organisation ou transmises à des destinataires externes. La distribution peut être manuelle (par courrier) ou électronique (généralement sur un réseau). Les données en transit sont susceptibles d'être compromises, de sorte que des sauvegardes appropriées doivent être mises en œuvre en fonction de la classification des données. Par exemple, le cryptage peut être nécessaire pour envoyer certaines données sensibles sur un réseau public. Dans ce cas, des normes de chiffrement appropriées doivent être établies. Les technologies de prévention des pertes de données (DLP) peuvent également être utilisées pour empêcher la distribution non autorisée accidentelle ou intentionnelle de données sensibles.
  • Utiliser ("données utilisées"). Cette étape fait référence aux données auxquelles a accédé un utilisateur final ou une application et qui sont activement utilisées (par exemple, lues, analysées, modifiées, mises à jour ou dupliquées) par cet utilisateur ou cette application. Les données en cours d'utilisation doivent être accessibles uniquement sur les systèmes autorisés pour le niveau de classification des données et uniquement par les utilisateurs et les applications disposant des autorisations (autorisation) et de l'objectif appropriés (besoin de savoir).
  • Maintenance ("données au repos"). À tout moment entre la création et la disposition des données, celles-ci ne sont pas "en mouvement" ou "en cours d'utilisation", les données sont conservées "au repos". La maintenance inclut le stockage (sur un support tel qu'un disque dur, une clé USB amovible, une bande magnétique de sauvegarde ou un papier) et le classement (par exemple, dans un répertoire et une structure de fichiers) des données. Les données peuvent également être sauvegardées et les supports de sauvegarde transportés vers un emplacement sécurisé hors site (appelé «données en transit»). Les niveaux de classification des données doivent également être régulièrement examinés (généralement par le propriétaire des données) afin de déterminer si un niveau de classification doit être amélioré (pas commun) ou peut être déclassé. Des mesures de protection appropriées doivent être mises en œuvre et régulièrement vérifiées afin d'assurer
    • la confidentialité (et la confidentialité). Par exemple, utiliser les autorisations système, de répertoire et de fichier et le cryptage.
    • Intégrité. Par exemple, utiliser des lignes de base, des hachages cryptographiques, des contrôles de redondance cyclique (CRC) et des verrouillages de fichiers (pour empêcher ou contrôler la modification de données par plusieurs utilisateurs simultanés).
    • Disponibilité. Par exemple, utiliser la base de données et la mise en grappe de fichiers (pour éliminer les points de défaillance uniques), les sauvegardes et la réplication en temps réel (pour éviter la perte de données).
  • Disposition. Enfin, lorsque les données n'ont plus de valeur ou ne sont plus utiles à l'organisation, elles doivent être correctement détruites conformément aux politiques de conservation et de destruction de l'entreprise, ainsi qu'aux lois et règlements applicables. Certaines données sensibles peuvent nécessiter une détermination de disposition finale par le propriétaire des données, et peuvent nécessiter des procédures de destruction spécifiques (telles que des témoins, l'enregistrement, et un balayage magnétique suivi d'une destruction physique).

Les données qui ont simplement été effacées N'ont PAS été correctement détruites. Il s'agit simplement de «données en attente» en attente d'être écrasées - ou découvertes de façon incommode par un tiers non autorisé et potentiellement malveillant!

La rémanence des données fait référence aux données qui existent encore sur le support de stockage ou dans la mémoire après la "suppression" des données.

Bases

L'établissement d'une référence est une méthode commerciale standard utilisée pour comparer une organisation à un point de départ ou à une norme minimale, ou pour comparer les progrès au sein d'une organisation au fil du temps. Avec les contrôles de sécurité, ces méthodes fournissent des informations précieuses:

  • Comparaison avec d'autres organisations . Les organisations peuvent comparer leurs ensembles de contrôle avec d'autres organisations, pour voir quelles différences existent dans les contrôles.
  • Comparaison des contrôles internes dans le temps . Une organisation peut baser son ensemble de contrôles, pour voir quels changements se produisent dans son ensemble de contrôle sur une période de plusieurs années.
  • Comparaison de l'efficacité du contrôle dans le temps . Une organisation peut comparer son efficacité en matière de contrôle, voir où des progrès sont réalisés et où des efforts supplémentaires sont nécessaires pour progresser.

Étendue et adaptation

Étant donné que différentes parties d'une organisation et ses systèmes informatiques sous-jacents stockent et traitent différents ensembles de données, il est illogique qu'une organisation établisse un ensemble unique de contrôles et les impose à tous les systèmes. À l'instar d'un programme de classification des données trop simplifié et de la surprotection et de la sous-protection des données qui en résultent, les organisations se divisent souvent en zones logiques, puis spécifient les contrôles et les ensembles de contrôles appliqués dans ces zones.

Une autre approche consiste à adapter les contrôles et les ensembles de contrôles aux différents systèmes informatiques et parties de l'organisation. Par exemple, les contrôles sur la force du mot de passe peuvent avoir des catégories qui sont appliquées aux systèmes avec différents niveaux de sécurité.

Les deux approches d'application d'un environnement de contrôle complexe dans un environnement informatique complexe sont valables - elles ne sont en réalité que différentes manières d'atteindre le même objectif: appliquer le bon niveau de contrôle aux divers systèmes et environnements, en fonction des informations stockées et processus ou sur d'autres critères.

Sélection de normes

Plusieurs excellents cadres de contrôle sont à la disposition des professionnels de la sécurité. En aucun cas il n'est nécessaire de repartir de zéro. Au lieu de cela, la meilleure approche consiste à commencer par l'un des principaux cadres de contrôle de l'industrie, puis d'ajouter ou de supprimer des contrôles individuels pour répondre aux besoins de l'organisation.

Les normes du cadre de contrôle comprennent

  • ISO27002 , Code de pratique pour la gestion de la sécurité de l'information.
  • COBIT , Objectifs de contrôle pour l'information et la technologie connexe.
  • NIST 800-53 , Commandes de sécurité recommandées pour les systèmes d'information fédéraux et les organisations.

Cryptographie

Crypto joue un rôle crucial dans la protection des données, qu'il s'agisse de données en mouvement via un réseau ou de repos sur un serveur ou un poste de travail. La cryptographie consiste à dissimuler des données à la vue, car il existe des situations où des personnes peuvent avoir accès à des données sensibles; crypto refuse l'accès aux personnes à moins qu'elles ne soient en possession d'une clé de chiffrement et de la méthode de décryptage.

Données Les contrôles de sécurité - les nuls

Le choix des éditeurs

Purifier l'eau pendant le camping - les mannequins

Purifier l'eau pendant le camping - les mannequins

Ne présument pas que l'eau d'un terrain de camping est potable, même si ça vient d'un robinet. L'eau dans les lacs, les rivières et les sources peut sembler cristalline, mais contient souvent diverses bactéries qui peuvent causer des maladies. À moins qu'il ne soit affiché ou qu'un représentant du camping vous ait dit que l'eau est ...

Coaching Kids For Dummies Cheat Sheet - les nuls

Coaching Kids For Dummies Cheat Sheet - les nuls

En tant qu'entraîneur pour les sports d'enfants, vous voulez sortir de la saison Pour commencer, organisez une première réunion d'équipe avec les parents et les enfants pour couvrir les informations importantes. Pour se connecter avec les enfants et entraîner avec succès, comprendre les raisons pour lesquelles les enfants décident de jouer, et parfois quitter, les équipes sportives.

En choisissant la meilleure chaussure de marche pour vous - les mannequins

En choisissant la meilleure chaussure de marche pour vous - les mannequins

Vous offre une bonne paire de chaussures de marche 100 $ Ils devraient avoir une bonne absorption des chocs et devraient être plus rigides et plus favorables que les chaussures de course, malgré un avant-pied flexible. Les semelles intermédiaires sont plus minces que celles des chaussures de course pour accommoder le roulis plus lent lorsque vous marchez. Ils sont ...

Le choix des éditeurs

Ajouter des fichiers vidéo QuickTime à une page Web - des mannequins

Ajouter des fichiers vidéo QuickTime à une page Web - des mannequins

Existent avec ses propres forces et faiblesses. Mais aucun autre format multimédia n'est aussi largement accepté, capable ou pris en charge par autant d'outils multimédia et de création de pages Web différents que QuickTime. L'ajout de contenu multimédia à votre page Web est facile avec QuickTime, et l'utilisation de multimédia basé sur QuickTime est susceptible d'être facile ...

10 Façons d'augmenter vos abonnés Micro-entrepreneurs Ezine - mannequins

10 Façons d'augmenter vos abonnés Micro-entrepreneurs Ezine - mannequins

Créer une liste des personnes intéressées par ce que votre entreprise micro-entrepreneur a à offrir, puis la croissance de la liste des abonnés est essentielle pour un ezine réussie. Construire votre liste d'abonnés ezine signifie plus d'argent (potentiellement) pour votre entreprise. Offrir quelque chose de gratuit avec votre newsletter email Jetez un oeil à la façon dont d'autres éditeurs ezine commercialisent leur ...

Le choix des éditeurs

Vacances wiccan: Célébrer la Lune sur les Esbats - mannequins

Vacances wiccan: Célébrer la Lune sur les Esbats - mannequins

Les Esbats, ou jours saints wiccans lunaires Célébrez le passage de la lune autour de la Terre. Les Esbats offrent aux Wiccans une chance de mettre régulièrement de côté le temps de s'éloigner du monde ordinaire et de consacrer du temps à la réflexion spirituelle ou au travail magique. L'approche des jours saints n'est pas exhaustive.

Qu'est-ce que Pourim? - des mannequins

Qu'est-ce que Pourim? - des mannequins

Purim célèbre l'histoire racontée dans le livre biblique d'Esther, dans lequel le méchant Haman complote pour exterminer le peuple juif de l'ancienne Perse, mais est déjoué par la reine Esther et son cousin Mordecai, qui sont juifs. Prenez le cortège chrétien de Noël, ajoutez un Halloween à la maison et quelques bouteilles de vin, et vous ...

Personnes de grande importance religieuse - mannequins

Personnes de grande importance religieuse - mannequins

Toutes les religions ont des personnes importantes dont les enseignements et la vie incarnent l'esprit de foi et modèles actuels de la promesse de la foi. Ce tableau montre les fondateurs, les enseignants et les principaux dirigeants des principales religions: Personne Rôle Religion Bouddha Fondateur du bouddhisme Bouddhisme Confucius Philosophe et enseignant; fondateur du confucianisme Guru Nanak Premier gourou (chef divin) ...