Архитектура электронного правительства: Единая архитектура – это методологический подход при создании системы управления государства, который строится...
Автоматическое растормаживание колес: Тормозные устройства колес предназначены для уменьшения длины пробега и улучшения маневрирования ВС при...
Топ:
Устройство и оснащение процедурного кабинета: Решающая роль в обеспечении правильного лечения пациентов отводится процедурной медсестре...
Эволюция кровеносной системы позвоночных животных: Биологическая эволюция – необратимый процесс исторического развития живой природы...
Интересное:
Подходы к решению темы фильма: Существует три основных типа исторического фильма, имеющих между собой много общего...
Принципы управления денежными потоками: одним из методов контроля за состоянием денежной наличности является...
Распространение рака на другие отдаленные от желудка органы: Характерных симптомов рака желудка не существует. Выраженные симптомы появляются, когда опухоль...
Дисциплины:
2023-01-02 | 40 |
5.00
из
|
Заказать работу |
|
|
Область знаний «Безопасность данных» охватывает планирование, разработку и осуществление политик и процедур, обеспечивающих надлежащую аутентификацию, авторизацию и доступ пользователей, а также аудит данных и информационных активов[492].
В различного рода регламентирующих документах, связанных с безопасностью, вместо термина «безопасность данных» гораздо чаще используется термин «информационная безопасность». Для более полного описания рассматриваемой области приведем некоторые определения из ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».
Под информационной безопасностью (ИБ) (information security) понимается сохранение конфиденциальности, целостности и доступности информации (этот термин может включать в себя и другие дополнительные свойства, такие как подлинность, подотчетность, неотказуемость и достоверность).
Отмеченные выше виды деятельности и свойства, характеризующие ИБ, определяются следующим образом:
● аутентификация (authentication) – обеспечение гарантии того, что заявленные характеристики субъекта и объекта являются подлинными;
● аудит (audit) – систематический, независимый и задокументированный процесс, предназначенный для получения свидетельств аудита и объективной оценки аудиторами степени соблюдения критериев аудита;
● конфиденциальность (confidentiality) – недоступность для неавторизованных лиц объектов или процессов;
● целостность (integrity) – свойство сохранения правильности и полноты активов;
● доступность (availability) – свойство, определяющее возможность использования объекта авторизованным субъектом по запросу;
|
● подлинность (authenticity) – свойство, определяющее, что фактический субъект или объект совпадает с заявленным;
● неотказуемость (non-repudiation) – способность удостоверять имевшее место событие или действие, которые в дальнейшем не могут быть поставлены под сомнение;
● достоверность (reliability) – свойство соответствия предусмотренному поведению и результатам.
В ГОСТ Р ИСО/МЭК 27000-2021 отмечается, что организации всех типов и размеров:
● собирают, обрабатывают, хранят и передают информацию;
● осознают, что информация и связанные с ней процессы, системы, сети и персонал являются важными активами для достижения целей, стоящих перед организацией;
● сталкиваются с рядом рисков, которые могут оказывать воздействие на функционирование активов организации;
● принимают меры в отношении предполагаемого воздействия рисков, осуществляя внедрение мер обеспечения ИБ.
Вся информация, хранящаяся и обрабатывающаяся организацией, подвержена угрозам компьютерных атак, ошибкам, стихийным бедствиям (например, наводнению или пожару), а также это объект влияния уязвимостей, присущих ее использованию. Термин «информационная безопасность» связан с информацией, которую рассматривают как актив, представляющий собой ценность и требующий соответствующей защиты, например, от потери доступности, конфиденциальности и целостности. Обеспечение возможности санкционированного своевременного получения точной и полной информации способствует повышению эффективности бизнеса.
Защита информационных активов посредством определения, достижения, поддержания и улучшения ИБ необходима, чтобы обеспечить достижение намеченных организацией целей, а также поддерживать и повышать уровень соответствия законодательным нормам и репутацию организации. Эти скоординированные действия, направленные на внедрение соответствующих мер обеспечения информационной безопасности и обработку недопустимых рисков в области ИБ, широко известны как элементы менеджмента ИБ.
|
Так как риски ИБ и эффективность мер обеспечения ИБ меняются в зависимости от обстоятельств, организациям необходимо:
● контролировать и оценивать эффективность внедренных мер обеспечения ИБ и процедур;
● идентифицировать появляющиеся риски для их обработки;
● выбирать, внедрять и совершенствовать должным образом соответствующие меры обеспечения ИБ.
Чтобы установить взаимосвязи и скоординировать действия в рамках системы менеджмента информационной безопасности, каждая организация должна установить свою политику и цели для этой системы и эффективно достигать поставленных целей при ее функционировании.
Цели и бизнес-драйверы
Деятельность по управлению информационной безопасностью направлена на достижение следующих целей:
● обеспечение санкционированного доступа и исключение возможности несанкционированного доступа к информационным активам организации;
● обеспечение соблюдения нормативно-правовых требований и политик в отношении защиты информации о частной жизни, персональных и конфиденциальных данных;
● обеспечение соблюдения требований всех заинтересованных сторон в отношении защиты информации о частной жизни, персональных и конфиденциальных данных[493].
Требования по обеспечению ИБ обусловлены следующими факторами (рис. 15.1).
1. Заинтересованные стороны. Организации должны выявлять и учитывать потребности в защите информации о частной жизни, персональных данных и конфиденциальных данных всех заинтересованных сторон, к которым могут относиться (в зависимости от типа и характера организации) клиенты, пациенты, студенты, граждане, поставщики, деловые партнеры и др. Все сотрудники организации несут ответственность за соблюдение требований, касающихся безопасности данных2.
2. Нормативно-правовое регулирование. Речь идет о нормативно-правовом регулировании различных аспектов безопасности данных и интересов определенных заинтересованных сторон. Законы и правительственные постановления могут преследовать различные цели: одни ограничивают доступ к определенным данным, другие, напротив, призваны обеспечить открытость, прозрачность и подотчетность3.
3. Охрана интеллектуальной собственности и коммерческой тайны. В каждой организации имеются данные, которые можно расценивать в качестве предмета ее интеллектуальной собственности или коммерческой тайны. Такие данные нуждаются в защите. К примеру, клиентские базы данных помогают организации эффективно вести бизнес и получать преимущество перед конкурентами. В случае кражи, взлома системы хранения или уничтожения данных это преимущество будет сразу же утерян4..
|
4. Потребности в санкционированном доступе к данным. Защита данных не должна ограничивать законный доступ к данным тех лиц, которые имеют на него право согласно действующему законодательству, равно как и санкционированный доступ к ним с целью использования, обслуживания, сопровождения, упорядочения и обработки в рамках бизнес-процессов5.
5. Договорные обязательства. Договорные обязательства и условия соглашений о неразглашении данных также сказываются на требованиях по обеспечению ИБ. Например, стандарт безопасности индустрии платежных карт требует от платежных систем, банков-эмитентов и коммерческих предприятий строго определенных мер по защите данных (например, обязательного шифрования паролей)[494].
* DAMA. DAMA-DMBOK: Data Management Body of Knowledge: 2nd Edition. Technics Publications, 2017. (Русский перевод: DAMA-DMBOK: Свод знаний по управлению данными. Второе издание / Dama International. – М.: Олимп-Бизнес, 2020.)
Эффективные политики и процедуры в области безопасности данных гарантируют доступ к данным. При этом доступ предоставляется только тем, кому это положено в соответствии с их правами и обязанностями, а вот возможность несанкционированного доступа или изменения данных исключена.
Особую роль здесь играет тот факт, что обеспечение понимания и соблюдения потребностей и интересов всех сторон в отношении безопасности информации о частной жизни, персональных и конфиденциальных данных – важнейший аспект деятельности любой организации, поскольку ее отношения с клиентами, поставщиками и прочими заинтересованными сторонами строятся на доверии, ключевая составляющая которого – ответственное обращение с данными.
Основным драйвером работ по обеспечению ИБ выступает стремление минимизировать риски и обеспечить устойчивый рост бизнеса. Эффективное обеспечение безопасности данных снижает риски и дает дополнительные конкурентные преимущества. Безопасность данных можно рассматривать в качестве ценного актива организации.
|
Риски в области безопасности данных связаны с нормативно-правовыми требованиями, ответственностью руководства и/или владельцев перед компаниями, репутацией, исполнением юридических и моральных обязательств перед сотрудниками, партнерами и клиентами в части неразглашения их личных сведений, конфиденциальных данных и прочей нежелательной для раскрытия (чувствительной – sensitive) информации. С организаций могут взыскиваться крупные штрафы за несоблюдение установленных законом норм или неустойки за нарушение договорных обязательств. Утечки данных могут повлечь непоправимый репутационный ущерб и утрату доверия клиентов.
Рост бизнеса включает формулировку и достижение целей. Проблемные вопросы безопасности, утечки данных, равно как и необоснованные ограничения доступа к ним сотрудников, могут напрямую помешать успешному решению текущих задач.
Цели минимизации рисков и роста бизнеса могут быть согласованы и взаимно дополнять друг друга, если они объединены в комплексную стратегию управления информацией и обеспечения информационной безопасности[495].
|
|
Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ - конструкции, предназначенные для поддерживания проводов на необходимой высоте над землей, водой...
Состав сооружений: решетки и песколовки: Решетки – это первое устройство в схеме очистных сооружений. Они представляют...
Археология об основании Рима: Новые раскопки проясняют и такой острый дискуссионный вопрос, как дата самого возникновения Рима...
Своеобразие русской архитектуры: Основной материал – дерево – быстрота постройки, но недолговечность и необходимость деления...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!