Inhoudsopgave:
Video: Velden in Word 2016 (2) 2024
gevoelige activa, inclusief gegevens, moeten tijdens hun levenscyclus op de juiste wijze worden beschermd. Als een beveiligingsprofessional is dat jouw taak. Informatie lifecycle management (ILM) omvat gegevens in de volgende vijf fasen:
- Creatie. Gegevens worden gemaakt door een eindgebruiker of applicatie. Gegevens moeten op dit moment worden geclassificeerd, op basis van de kriticiteit en gevoeligheid van de gegevens, en een eigenaar van gegevens (meestal, maar niet altijd, de maker) moet worden toegewezen. Gegevens kunnen in vele vormen voorkomen, zoals in documenten, spreadsheets, e-mail- en tekstberichten, databaserecords, formulieren, afbeeldingen, presentaties (inclusief videoconferenties) en afgedrukte documenten.
- Distributie ("gegevens in beweging"). Gegevens kunnen intern worden gedistribueerd (of opgehaald) binnen een organisatie of worden verzonden naar externe ontvangers. Distributie kan handmatig zijn (zoals via koerier) of elektronisch (meestal via een netwerk). Gegevens onderweg zijn kwetsbaar voor een compromis, dus er moeten passende voorzorgsmaatregelen worden geïmplementeerd op basis van de classificatie van de gegevens. Codering kan bijvoorbeeld vereist zijn om bepaalde gevoelige gegevens via een openbaar netwerk te verzenden. In dergelijke gevallen moeten geschikte versleutelingsstandaarden worden vastgesteld. Data loss prevention (DLP) -technologieën kunnen ook worden gebruikt om onbedoelde of opzettelijke ongeoorloofde verspreiding van gevoelige gegevens te voorkomen.
- Gebruik ("gegevens in gebruik"). Deze fase verwijst naar gegevens waartoe een eindgebruiker of toepassing toegang heeft gekregen en die actief wordt gebruikt (bijvoorbeeld gelezen, geanalyseerd, gewijzigd, bijgewerkt of gedupliceerd) door die gebruiker of toepassing. In gebruik zijnde gegevens moeten alleen toegankelijk zijn op systemen die zijn geautoriseerd voor het classificatieniveau van de gegevens en alleen voor gebruikers en toepassingen die de juiste machtigingen (toestemming) en doel (need-to-know) hebben.
- Onderhoud ("gegevens in rust"). Op elk moment tussen het maken en verwijderen van gegevens dat deze niet "in beweging" of "in gebruik" is, worden gegevens "in rust" gehouden. Onderhoud omvat de opslag (op media zoals een harde schijf, verwijderbare USB-stick, back-up magnetische tape of papier) en archivering (bijvoorbeeld in een map en bestandsstructuur) van gegevens. Er kan ook een back-up worden gemaakt van gegevens en de back-upmedia worden naar een veilige locatie buiten de locatie (hierna "gegevens onderweg" genoemd) getransporteerd. Classificatieniveaus van gegevens moeten ook routinematig worden beoordeeld (meestal door de eigenaar van de gegevens) om te bepalen of een classificatieniveau moet worden bijgewerkt (niet gebruikelijk) of kan worden gedowngraded. Passende veiligheidscontroles moeten worden geïmplementeerd en regelmatig worden gecontroleerd om te zorgen voor
- Vertrouwelijkheid (en privacy). Gebruik van systeem-, map- en bestandsmachtigingen en codering.
- Integrity. Bijvoorbeeld het gebruik van basislijnen, cryptografische hashes, cyclische redundantiecontroles (CRC's) en bestandsvergrendeling (om wijziging van gegevens door meerdere gelijktijdige gebruikers te voorkomen of te beheersen).
- Beschikbaarheid. Bijvoorbeeld door database- en bestandsclustering te gebruiken (om single points of failure te elimineren), back-ups en real-time replicatie (om gegevensverlies te voorkomen).
- Disposition. Als ten slotte gegevens geen waarde meer hebben of niet langer nuttig zijn voor de organisatie, moet deze naar behoren worden vernietigd in overeenstemming met het beleid voor bedrijfsbeleid inzake retentie en vernietiging, evenals alle toepasselijke wet- en regelgeving. Bepaalde gevoelige gegevens kunnen een bepaling van de definitieve dispositie door de eigenaar van de gegevens vereisen en kunnen specifieke vernietigingsprocedures vereisen (zoals getuigen, loggen en magnetisch wissen gevolgd door fysieke vernietiging).
Gegevens die alleen zijn verwijderd, zijn NIET goed vernietigd. Het zijn slechts "gegevens in rust" die wachten om te worden overschreven - of onhandig ontdekt door een niet-geautoriseerde en mogelijk kwaadwillende derde partij!
Gegevensremming verwijst naar gegevens die nog steeds op opslagmedia of in het geheugen aanwezig zijn nadat de gegevens zijn "verwijderd".
Baselines
Het opstellen van een baseline is een standaard bedrijfsmethode die wordt gebruikt om een organisatie te vergelijken met een startpunt of een minimumnorm, of om de voortgang binnen een organisatie in de loop van de tijd te vergelijken. Met beveiligingsmaatregelen bieden deze methoden waardevol inzicht:
- In vergelijking met andere organisaties . Organisaties kunnen hun controlesets vergelijken met andere organisaties om te zien welke verschillen er bestaan in besturingselementen.
- Interne besturingselementen vergelijken in de tijd . Een organisatie kan de reeks besturingselementen baseline geven om te zien welke wijzigingen zich in een aantal jaren in de besturingsset voordoen.
- De effectiviteit van de controle na verloop van tijd vergelijken. Een organisatie kan haar record van controle-effectiviteit vergelijken om te zien waar vooruitgang wordt geboekt en waar meer inspanningen nodig zijn om vooruitgang te boeken.
Scoping en afstemming
Omdat verschillende delen van een organisatie en de onderliggende IT-systemen verschillende gegevenssets opslaan en verwerken, is het niet logisch dat een organisatie één enkele set controles vaststelt en deze oplegt aan alle systemen. Net als een te eenvoudig ingericht gegevensclassificatieprogramma en de resulterende overbescherming en onderbescherming van gegevens, verdelen organisaties zichzelf vaak in logische zones en geven vervolgens aan welke bedieningselementen en sets besturingselementen in deze zones worden toegepast.
Een andere benadering is het aanpassen van besturingselementen en sets van besturingselementen aan verschillende IT-systemen en delen van de organisatie. Controles op wachtwoordsterkte kunnen bijvoorbeeld categorieën hebben die worden toegepast op systemen met verschillende beveiligingsniveaus.
Beide benaderingen voor het toepassen van een complexe besturingsomgeving in een complexe IT-omgeving zijn geldig - het zijn eigenlijk verschillende manieren om hetzelfde doel te bereiken: het juiste niveau van controle toepassen op verschillende systemen en omgevingen, gebaseerd op de informatie die ze opslaan en proces of op andere criteria.
Selectie van standaarden
Er zijn verschillende uitstekende besturingskaders beschikbaar voor gebruik door beveiligingsprofessionals. In geen geval is het nodig om helemaal opnieuw te beginnen. In plaats daarvan is de beste aanpak om te beginnen met een van de verschillende toonaangevende besturingskaders en vervolgens individuele besturingselementen toe te voegen of te verwijderen om aan de behoeften van de organisatie te voldoen.
Control Framework-standaarden omvatten
- ISO27002 , praktijkcode voor informatiebeveiligingsbeheer.
- COBIT , Beheersdoelstellingen voor informatie en gerelateerde technologie.
- NIST 800-53 , Aanbevolen beveiligingscontroles voor federale informatiesystemen en organisaties.
Cryptografie
Crypto speelt een cruciale rol bij gegevensbescherming, of we het nu hebben over gegevens die in beweging zijn via een netwerk of in rust op een server of werkstation. Cryptografie heeft alles te maken met het verbergen van gegevens in het volle zicht, omdat er situaties zijn waarin personen mogelijk toegang hebben tot gevoelige gegevens; crypto ontzegt mensen die toegang hebben, tenzij ze in het bezit zijn van een coderingssleutel en de methode om deze te decoderen.