Информационное обеспечение - Information assurance

Информационное обеспечение (Я) - это практика обеспечения информации и управления рисками, связанными с использованием, обработкой, хранением и коробка передач информации. Информационное обеспечение включает защиту честность, доступность, подлинность, неотречение и конфиденциальность пользовательских данных.[1] IA включает в себя не только цифровую защиту, но и физические методы. Эти меры защиты применяются к данные в пути, как в физической, так и в электронной форме, а также данные в состоянии покоя . IA лучше всего рассматривать как надмножество информационная безопасность (т. е. зонтичный термин), и как бизнес-результат управление информационными рисками.

Обзор

Информационное обеспечение (IA) - это процесс предоставления нужной информации нужным людям в нужное время. IA приносит пользу бизнесу за счет использования информации управление рисками, доверительное управление устойчивость, соответствующая архитектура, безопасность системы и безопасность, что увеличивает полезность информации для авторизованных пользователей и снижает полезность информации для неавторизованных пользователей.[2] Это сильно связано с областью информационная безопасность, а также с Непрерывность бизнеса. IA больше относится к бизнес-уровню и стратегический управление рисками информации и связанных систем, а не создание и применение мер безопасности. Следовательно, помимо защиты от злонамеренных хакеры и код (например, вирусы ), Практикующие ВА считают корпоративное управление такие вопросы, как Конфиденциальность, нормативы и стандарты согласие, аудиторская проверка, Непрерывность бизнеса, и аварийное восстановление поскольку они относятся к информационным системам. Кроме того, в то время как информационная безопасность опирается прежде всего на Информатика, IA - это междисциплинарная область, требующая опыта в бизнес, бухгалтерский учет, Пользовательский опыт, мошенничество экспертиза Криминалистика, Наука управления, системная инженерия, техника безопасности, и криминология, в дополнение к информатике.

Процесс

Процесс обеспечения информации обычно начинается с перечисления и классификации информации. ресурсы быть защищенным. Затем практикующий ИА выполнит оценка рисков для этих активов. Уязвимости в информационных активах определяются для того, чтобы перечислить угрозы, способные использовать эти активы. Затем оценка рассматривает как вероятность, так и влияние угрозы, использующей уязвимость в активе, причем влияние обычно измеряется в терминах затрат для заинтересованных сторон актива. Сумма произведений воздействия угроз и вероятности их возникновения составляет общий риск информационного актива.

После завершения оценки рисков практикующий ВА разрабатывает план управления рисками. В этом плане предлагаются контрмеры, которые включают уменьшение, устранение, принятие или передачу рисков, а также рассматриваются вопросы предотвращения, обнаружения и реагирования на угрозы. Структура, опубликованная организацией по стандартизации, такой как NIST RMF,[3] Рисковать IT, CobiT, PCI DSS или же ISO / IEC 27002, может направлять развитие. Контрмеры может включать технические инструменты, такие как брандмауэры и антивирусное программное обеспечение, политики и процедуры, требующие таких средств контроля, как регулярное резервное копирование и усиление защиты конфигурации, обучение сотрудников по вопросам безопасности или организация персонала в выделенные группа реагирования на компьютерные чрезвычайные ситуации (CERT) или группа реагирования на инциденты компьютерной безопасности (CSIRT ). Стоимость и выгода каждой меры противодействия тщательно продумываются. Таким образом, практикующий ВА стремится не устранять все риски, если это возможно, а управлять ими в максимальной степени. экономически эффективным путь.

После внедрения плана управления рисками он тестируется и оценивается, часто с помощью формальных аудитов. Процесс ВА является итеративным, поскольку предполагается, что оценка риска и план управления рисками периодически пересматриваются и улучшаются на основе собранных данных об их полноте и эффективности.

Организации по стандартизации и стандарты

Существует ряд международных и национальных органов, которые издают стандарты практики, политики и процедур обеспечения информации. В Великобритании к ним относятся Консультативный совет по обеспечению информации и Группа сотрудничества по обеспечению информационного обеспечения.

Смотрите также

Рекомендации

Примечания
  1. ^ Сосин, Артур (2018). «КАК ПОВЫШИТЬ ИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ В ИНФОРМАЦИОННЫЙ ВЕК» (PDF). Журнал управления оборонными ресурсами. 9: 45–57.
  2. ^ Ричардсон, Кристофер. «Преодоление воздушного разрыва: перспектива обеспечения информации» (PDF). ePrints Soton. Саутгемптонский университет. Получено 3 ноября 2015.
  3. ^ NIST RMF https://csrc.nist.gov/projects/risk-management/risk-management-framework-(rmf)-overview. Получено 2019-02-18. Отсутствует или пусто | название = (помощь)
Библиография

внешняя ссылка

Документация

Информационная безопасность также развивалась благодаря социальным сетям.