Accueil Finances personnelles Données Les contrôles de sécurité - les nuls

Données Les contrôles de sécurité - les nuls

Table des matières:

Vidéo: SQL/ LCD : Contrôle et Sécurité des données 2025

Vidéo: SQL/ LCD : Contrôle et Sécurité des données 2025
Anonim

Les actifs sensibles, y compris les données, doivent être protégés de manière appropriée tout au long de leur cycle de vie. En tant que professionnel de la sécurité, c'est votre travail. La gestion du cycle de vie de l'information (ILM) couvre les données à travers les cinq étapes suivantes:

  • Création. Les données sont créées par un utilisateur final ou une application. Les données doivent être classées en fonction de la criticité et de la sensibilité des données, et un propriétaire de données (généralement, mais pas toujours, le créateur) doit être affecté. Les données peuvent exister sous de nombreuses formes telles que des documents, des feuilles de calcul, des messages électroniques et textuels, des enregistrements de bases de données, des formulaires, des images, des présentations (y compris des vidéoconférences) et des documents imprimés.
  • Distribution ("données en mouvement"). Les données peuvent être distribuées (ou récupérées) en interne dans une organisation ou transmises à des destinataires externes. La distribution peut être manuelle (par courrier) ou électronique (généralement sur un réseau). Les données en transit sont susceptibles d'être compromises, de sorte que des sauvegardes appropriées doivent être mises en œuvre en fonction de la classification des données. Par exemple, le cryptage peut être nécessaire pour envoyer certaines données sensibles sur un réseau public. Dans ce cas, des normes de chiffrement appropriées doivent être établies. Les technologies de prévention des pertes de données (DLP) peuvent également être utilisées pour empêcher la distribution non autorisée accidentelle ou intentionnelle de données sensibles.
  • Utiliser ("données utilisées"). Cette étape fait référence aux données auxquelles a accédé un utilisateur final ou une application et qui sont activement utilisées (par exemple, lues, analysées, modifiées, mises à jour ou dupliquées) par cet utilisateur ou cette application. Les données en cours d'utilisation doivent être accessibles uniquement sur les systèmes autorisés pour le niveau de classification des données et uniquement par les utilisateurs et les applications disposant des autorisations (autorisation) et de l'objectif appropriés (besoin de savoir).
  • Maintenance ("données au repos"). À tout moment entre la création et la disposition des données, celles-ci ne sont pas "en mouvement" ou "en cours d'utilisation", les données sont conservées "au repos". La maintenance inclut le stockage (sur un support tel qu'un disque dur, une clé USB amovible, une bande magnétique de sauvegarde ou un papier) et le classement (par exemple, dans un répertoire et une structure de fichiers) des données. Les données peuvent également être sauvegardées et les supports de sauvegarde transportés vers un emplacement sécurisé hors site (appelé «données en transit»). Les niveaux de classification des données doivent également être régulièrement examinés (généralement par le propriétaire des données) afin de déterminer si un niveau de classification doit être amélioré (pas commun) ou peut être déclassé. Des mesures de protection appropriées doivent être mises en œuvre et régulièrement vérifiées afin d'assurer
    • la confidentialité (et la confidentialité). Par exemple, utiliser les autorisations système, de répertoire et de fichier et le cryptage.
    • Intégrité. Par exemple, utiliser des lignes de base, des hachages cryptographiques, des contrôles de redondance cyclique (CRC) et des verrouillages de fichiers (pour empêcher ou contrôler la modification de données par plusieurs utilisateurs simultanés).
    • Disponibilité. Par exemple, utiliser la base de données et la mise en grappe de fichiers (pour éliminer les points de défaillance uniques), les sauvegardes et la réplication en temps réel (pour éviter la perte de données).
  • Disposition. Enfin, lorsque les données n'ont plus de valeur ou ne sont plus utiles à l'organisation, elles doivent être correctement détruites conformément aux politiques de conservation et de destruction de l'entreprise, ainsi qu'aux lois et règlements applicables. Certaines données sensibles peuvent nécessiter une détermination de disposition finale par le propriétaire des données, et peuvent nécessiter des procédures de destruction spécifiques (telles que des témoins, l'enregistrement, et un balayage magnétique suivi d'une destruction physique).

Les données qui ont simplement été effacées N'ont PAS été correctement détruites. Il s'agit simplement de «données en attente» en attente d'être écrasées - ou découvertes de façon incommode par un tiers non autorisé et potentiellement malveillant!

La rémanence des données fait référence aux données qui existent encore sur le support de stockage ou dans la mémoire après la "suppression" des données.

Bases

L'établissement d'une référence est une méthode commerciale standard utilisée pour comparer une organisation à un point de départ ou à une norme minimale, ou pour comparer les progrès au sein d'une organisation au fil du temps. Avec les contrôles de sécurité, ces méthodes fournissent des informations précieuses:

  • Comparaison avec d'autres organisations . Les organisations peuvent comparer leurs ensembles de contrôle avec d'autres organisations, pour voir quelles différences existent dans les contrôles.
  • Comparaison des contrôles internes dans le temps . Une organisation peut baser son ensemble de contrôles, pour voir quels changements se produisent dans son ensemble de contrôle sur une période de plusieurs années.
  • Comparaison de l'efficacité du contrôle dans le temps . Une organisation peut comparer son efficacité en matière de contrôle, voir où des progrès sont réalisés et où des efforts supplémentaires sont nécessaires pour progresser.

Étendue et adaptation

Étant donné que différentes parties d'une organisation et ses systèmes informatiques sous-jacents stockent et traitent différents ensembles de données, il est illogique qu'une organisation établisse un ensemble unique de contrôles et les impose à tous les systèmes. À l'instar d'un programme de classification des données trop simplifié et de la surprotection et de la sous-protection des données qui en résultent, les organisations se divisent souvent en zones logiques, puis spécifient les contrôles et les ensembles de contrôles appliqués dans ces zones.

Une autre approche consiste à adapter les contrôles et les ensembles de contrôles aux différents systèmes informatiques et parties de l'organisation. Par exemple, les contrôles sur la force du mot de passe peuvent avoir des catégories qui sont appliquées aux systèmes avec différents niveaux de sécurité.

Les deux approches d'application d'un environnement de contrôle complexe dans un environnement informatique complexe sont valables - elles ne sont en réalité que différentes manières d'atteindre le même objectif: appliquer le bon niveau de contrôle aux divers systèmes et environnements, en fonction des informations stockées et processus ou sur d'autres critères.

Sélection de normes

Plusieurs excellents cadres de contrôle sont à la disposition des professionnels de la sécurité. En aucun cas il n'est nécessaire de repartir de zéro. Au lieu de cela, la meilleure approche consiste à commencer par l'un des principaux cadres de contrôle de l'industrie, puis d'ajouter ou de supprimer des contrôles individuels pour répondre aux besoins de l'organisation.

Les normes du cadre de contrôle comprennent

  • ISO27002 , Code de pratique pour la gestion de la sécurité de l'information.
  • COBIT , Objectifs de contrôle pour l'information et la technologie connexe.
  • NIST 800-53 , Commandes de sécurité recommandées pour les systèmes d'information fédéraux et les organisations.

Cryptographie

Crypto joue un rôle crucial dans la protection des données, qu'il s'agisse de données en mouvement via un réseau ou de repos sur un serveur ou un poste de travail. La cryptographie consiste à dissimuler des données à la vue, car il existe des situations où des personnes peuvent avoir accès à des données sensibles; crypto refuse l'accès aux personnes à moins qu'elles ne soient en possession d'une clé de chiffrement et de la méthode de décryptage.

Données Les contrôles de sécurité - les nuls

Le choix des éditeurs

Découvrir les Méditations de Pleine Conscience Formelle - les nuls

Découvrir les Méditations de Pleine Conscience Formelle - les nuls

Pour approfondir votre conscience consciente, vous devez pratiquer une méditation de pleine conscience sur une base quotidienne. Familiarisez-vous avec certaines des médiations suivantes. Avec le temps, vous deviendrez plus conscient de votre vie quotidienne. Body Meditation Meditation - Cette méditation implique de passer environ une demi-heure, en prenant conscience de ...

Démystifier Dan Brown: Les Templiers Royaux - les nuls

Démystifier Dan Brown: Les Templiers Royaux - les nuls

Les Templiers sont presque aussi fictifs dans Dan Brown Le code Da Vinci comme les chevaliers Jedi sont dans Star Wars. Bien que le héros Robert Langdon hésite d'abord à élever les Templiers dans ses cours, parce que la mention même d'eux fait ressortir les amants du complot, Brown n'a aucun problème à les faire participer ...

Démystification des mythes communs sur la franc-maçonnerie - mannequins

Démystification des mythes communs sur la franc-maçonnerie - mannequins

La franc-maçonnerie moderne existe depuis 1717. Les premières contre-vérités concoctées sur l'Ordre sont apparues en impression à peu près en même temps. Les États-Unis étaient consumés par l'hystérie anti-maçonnique à la fin des années 1820, et l'Europe a fait de Mason-bashing un sport populaire pendant deux siècles, le liant souvent à la propagande antisémite. Internet n'a que ...

Le choix des éditeurs

À L'aide de la boîte de dialogue Configurer l'affichage dans PowerPoint 2011 pour Mac - témoins

À L'aide de la boîte de dialogue Configurer l'affichage dans PowerPoint 2011 pour Mac - témoins

Dans la boîte de dialogue Configurer l'affichage dans PowerPoint, cliquez sur le bouton Configurer l'affichage dans l'onglet Diaporama du ruban Office 2011 pour Mac, ou choisissez Diaporama → Configurer l'affichage dans la barre de menus. Dans les deux cas, la boîte de dialogue Configurer l'affichage polyvalent apparaît. Choisir un type de spectacle dans PowerPoint 2011 pour Mac ...

Enregistrement des fichiers dans Office 2011 pour Mac - témoins

Enregistrement des fichiers dans Office 2011 pour Mac - témoins

Enregistrement d'un fichier sur lequel vous travaillez dans Office 2011 pour Mac est aussi simple que de cliquer sur le bouton Enregistrer dans la barre d'outils Standard, en appuyant sur Commande-S ou en choisissant Fichier → Enregistrer. Si votre fichier a été enregistré précédemment, l'enregistrement du fichier remplace la copie existante du fichier par votre version mise à jour. Si votre fichier n'a pas ...

Fonctionnant avec les modèles de diapositives maîtres dans PowerPoint 2011 pour Mac - les nuls

Fonctionnant avec les modèles de diapositives maîtres dans PowerPoint 2011 pour Mac - les nuls

Dans Office 2011 pour Mac, l'ajout d'une nouvelle présentation de diapositive à une diapositive dans la vue Diapositive maître de PowerPoint 2011 est une tâche assez simple à effectuer. Suivez ces étapes pour commencer: Assurez-vous que vous êtes en mode Masque des diapositives. Choisissez Affichage → Maître → Masque de diapositives dans la barre de menus. Cliquez sur l'onglet Masque des diapositives du ruban, ...

Le choix des éditeurs

Sélectionnez PowerPoint 2007 Objects - dummies

Sélectionnez PowerPoint 2007 Objects - dummies

Avant de pouvoir modifier un objet PowerPoint 2007 sur une diapositive, vous devez le sélectionner. Dans les présentations PowerPoint, les objets peuvent être du texte, des graphiques, des images clipart, des formes, etc. Voici quelques instructions pour sélectionner les objets PowerPoint 2007: Objets texte: Pour sélectionner un objet texte PowerPoint 2007, déplacez le point d'insertion sur le texte qui ...

Définir le contour de la forme sur une diapositive PowerPoint 2007 - dummies

Définir le contour de la forme sur une diapositive PowerPoint 2007 - dummies

Le contrôle shapePoint de powerPoint vous permet style des objets de ligne ou la bordure pour les objets de forme solide sur vos diapositives PowerPoint. Le contrôle Shape Outline se trouve dans le groupe Styles de formes de l'onglet Outils de dessin. Vous pouvez modifier les paramètres suivants pour le contour: Couleur: Définit la couleur utilisée pour ...

PowerPoint 2016 pour les nuls Cheat Sheet - les nuls

PowerPoint 2016 pour les nuls Cheat Sheet - les nuls

PowerPoint 2016 est le logiciel de présentation le plus puissant disponible pour créer et éditer la diapositive montrer des présentations pour le travail, la maison ou l'école. PowerPoint 2016 offre un certain nombre de raccourcis clavier utiles pour effectuer des tâches rapidement. Voici quelques raccourcis pour le formatage PowerPoint commun, l'édition et les tâches de fichiers et de documents. De plus, après avoir créé votre chef-d'œuvre, vous ...