Informationsabsicherung - Information assurance
Information Assurance ( IA ) ist die Praxis der Sicherstellung von Informationen und des Managements von Risiken im Zusammenhang mit der Nutzung, Verarbeitung, Speicherung und Übertragung von Informationen. Die Informationssicherung umfasst den Schutz der Integrität , Verfügbarkeit, Authentizität, Nichtabstreitbarkeit und Vertraulichkeit von Benutzerdaten. IA umfasst nicht nur digitale Schutzmaßnahmen, sondern auch physische Techniken. Diese Schutzmaßnahmen gelten für übertragene Daten , sowohl in physischer als auch in elektronischer Form, sowie für ruhende Daten . IA kann man sich am besten als Obermenge der Informationssicherheit (dh Überbegriff) und als Geschäftsergebnis des Informationsrisikomanagements vorstellen .
Überblick
Information Assurance (IA) ist der Prozess der Verarbeitung, Speicherung und Übermittlung der richtigen Informationen an die richtigen Personen zur richtigen Zeit. IA bezieht sich eher auf die Geschäftsebene und das strategische Risikomanagement von Informationen und verwandten Systemen als auf die Erstellung und Anwendung von Sicherheitskontrollen. IA ist zu profitieren Unternehmen durch die Nutzung von Informationen verwendet , Risikomanagement , Treuhandverwaltung , Belastbarkeit, geeigneter Architektur, Systemsicherheit und die Sicherheit, die die Nützlichkeit der Informationen erhöht nur ihren autorisierten Benutzer und reduziert. Daher berücksichtigen IA-Praktiker zusätzlich zum Schutz vor böswilligen Hackern und Code (z. B. Viren ) auch Corporate-Governance- Themen wie Datenschutz , Einhaltung von Vorschriften und Standards , Auditing , Geschäftskontinuität und Notfallwiederherstellung in Bezug auf Informationssysteme. Darüber hinaus ist IA ein interdisziplinäres Gebiet, das neben der Informatik auch Fachwissen in den Bereichen Wirtschaft , Rechnungswesen , Benutzererfahrung, Betrugsprüfung , Forensik , Managementwissenschaft , Systemtechnik , Sicherheitstechnik und Kriminologie erfordert .
Evolution
Mit dem Wachstum von Telekommunikationsnetzen geht auch die Abhängigkeit von Netzen einher, die Gemeinden zunehmend anfälliger für Cyberangriffe macht, die lebenswichtige Dienste unterbrechen, beeinträchtigen oder zerstören könnten. Seit den 1950er Jahren ist die Rolle und der Einsatz der Informationssicherung gewachsen und hat sich weiterentwickelt. Am Anfang umfasste die Informationssicherung nur die Sicherung von Daten. Sobald jedoch das Informationsvolumen zunahm, begann die Informationssicherung zu automatisieren, was den Einsatz von Bedienereingriffen reduzierte und die Erstellung von sofortigen Backups ermöglichte. Die letzte wesentliche Entwicklung der Informationssicherung ist die Implementierung verteilter Systeme zur Verarbeitung und Speicherung von Daten durch Techniken wie SANs und NAS sowie die Nutzung von Cloud Computing . Diese drei Hauptentwicklungen von Informationen stehen im Einklang mit den drei Generationen von Informationstechnologien, die erste zur Verhinderung von Eindringlingen, die zweite zur Erkennung von Einbrüchen und die dritte zur Überlebensfähigkeit. Informationssicherung ist eine gemeinsame Anstrengung aller Lebensbereiche, um einen freien und gleichberechtigten Gedankenaustausch zu ermöglichen.
Säulen
Die Informationssicherung basiert auf fünf Säulen: Verfügbarkeit , Integrität , Authentifizierung , Vertraulichkeit und Nichtabstreitbarkeit . Diese Säulen werden berücksichtigt, um Systeme zu schützen und ihnen gleichzeitig die effiziente Bereitstellung von Diensten zu ermöglichen; Diese Säulen agieren jedoch nicht unabhängig voneinander, sondern stören das Ziel der anderen Säulen. Diese Säulen der Informationssicherung haben sich langsam zu den Säulen der Cyber-Sicherheit gewandelt . Als Administrator ist es wichtig, die Säulen hervorzuheben, die Sie möchten, um das gewünschte Ergebnis für ihr Informationssystem zu erzielen, indem Sie die Aspekte Service und Datenschutz abwägen .
Authentifizierung
Authentifizierung bezieht sich auf die Überprüfung der Gültigkeit einer Übertragung, eines Absenders oder eines Prozesses innerhalb eines Informationssystems. Die Authentifizierung gibt dem Empfänger Vertrauen in die Gültigkeit der Datenabsender sowie in die Gültigkeit ihrer Nachricht. Es gibt viele Möglichkeiten, die Authentifizierung zu unterstützen, die hauptsächlich in drei Hauptmethoden unterteilt sind: persönlich identifizierbare Informationen wie der Name einer Person, die Adresse einer Telefonnummer, der Zugriff auf einen Schlüsseltoken oder bekannte Informationen wie Passwörter.
Integrität
Integrität bezieht sich auf den Schutz von Informationen vor unbefugter Veränderung. Das Ziel der Informationsintegrität besteht darin, sicherzustellen, dass die Daten während ihrer gesamten Lebensdauer korrekt sind. Die Benutzerauthentifizierung ist ein entscheidender Faktor für die Informationsintegrität. Die Informationsintegrität ist eine Funktion der Anzahl der Vertrauensgrade, die zwischen den Enden eines Informationsaustauschs bestehen. Eine Möglichkeit, das Informationsintegritätsrisiko zu mindern, besteht in der Verwendung redundanter Chip- und Softwaredesigns. Ein Fehler bei der Authentifizierung könnte ein Risiko für die Informationsintegrität darstellen, da sie es einer nicht autorisierten Partei ermöglichen würde, Inhalte zu ändern. Wenn beispielsweise ein Krankenhaus über unzureichende Passwortrichtlinien verfügt, könnte ein nicht autorisierter Benutzer Zugang zu einem Informationssystem erhalten, das die Verabreichung von Medikamenten an Patienten regelt, und riskieren, den Behandlungsverlauf zum Nachteil eines bestimmten Patienten zu ändern.
Verfügbarkeit
Die Säule der Verfügbarkeit bezieht sich auf die Bewahrung von Daten, die von autorisierten Personen abgerufen oder geändert werden können. Eine höhere Verfügbarkeit wird durch eine Erhöhung der Speichersystem- oder Kanalzuverlässigkeit aufrechterhalten. Störungen der Informationsverfügbarkeit können durch Stromausfälle, Hardwarefehler, DDOS usw. entstehen. Das Ziel einer hohen Verfügbarkeit besteht darin, den Zugriff auf Informationen zu erhalten. Die Verfügbarkeit von Informationen kann durch die Verwendung von gestärkt wird Backup - Stromversorgung , Ersatzdatenkanäle , Off - Site - Funktionen und kontinuierliches Signal .
Vertraulichkeit
Vertraulichkeit ist im Wesentlichen das Gegenteil von Integrität. Vertraulichkeit ist eine Sicherheitsmaßnahme, die davor schützt, wer auf die Daten zugreifen kann, indem abgeschirmt wird, wer Zugriff auf die Informationen hat. Dies unterscheidet sich von Integrität, da Integrität schützt, wer die Informationen ändern kann. Die Vertraulichkeit wird oft durch den Einsatz von Kryptographie und Steganographie von Daten gewährleistet. Vertraulichkeit kann mit internationalen Operationen wie NATO - Informationssicherung Vertraulichkeit in den Vereinigten Staaten müssen folgen HIPAA und Gesundheitsdienstleister Sicherheitspolitik innerhalb der Klassifizierung und Informationen Überlegenheit zu erkennen Kennzeichnung und need-to-know Vorschriften zu gewährleisten Verschweigen von Informationen.
Nichtabstreitbarkeit
Nichtabstreitbarkeit ist die Integrität der Daten, die ihrem Ursprung entsprechen, was eine mögliche Ablehnung einer erfolgten Aktion verhindert. Die zunehmende Unbestreitbarkeit macht es schwieriger zu leugnen, dass die Informationen aus einer bestimmten Quelle stammen. Mit anderen Worten, es macht es so, dass Sie die Quelle / Authentizität der Daten nicht bestreiten können. Die Nichtabstreitbarkeit beinhaltet die Reduzierung der Datenintegrität während der Übertragung dieser Daten, normalerweise durch einen Man-in-the-Middle-Angriff oder Phishing .
Wechselwirkungen der Säulen
Wie bereits erwähnt, interagieren die Säulen nicht unabhängig voneinander, wobei einige Säulen das Funktionieren anderer Säulen behindern oder im umgekehrten Fall andere Säulen stärken. So wirkt beispielsweise die Erhöhung der Verfügbarkeit von Informationen direkt den Zielen dreier anderer Säulen entgegen: Integrität, Authentifizierung und Vertraulichkeit.
Verfahren
Der Informationssicherungsprozess beginnt in der Regel mit der Aufzählung und Klassifizierung der Informationen Vermögenswerte geschützt werden. Als nächstes führt der IA-Praktiker eine Risikobewertung für diese Vermögenswerte durch. Schwachstellen in den Informationsressourcen werden ermittelt, um die Bedrohungen aufzuzählen, die die Ressourcen ausnutzen können. Die Bewertung berücksichtigt dann sowohl die Wahrscheinlichkeit als auch die Auswirkungen einer Bedrohung, die eine Schwachstelle in einem Asset ausnutzt, wobei die Auswirkungen normalerweise in Form der Kosten für die Stakeholder des Assets gemessen werden. Die Summe der Produkte aus den Auswirkungen der Bedrohungen und der Eintrittswahrscheinlichkeit ergibt das Gesamtrisiko für den Informationswert.
Nach Abschluss der Risikobewertung entwickelt der IA-Praktiker einen Risikomanagementplan . Dieser Plan schlägt Gegenmaßnahmen vor, die die Minderung, Eliminierung, Akzeptanz oder Übertragung der Risiken beinhalten und berücksichtigt die Prävention, Erkennung und Reaktion auf Bedrohungen. Ein Rahmenwerk, das von einer Standardisierungsorganisation wie NIST RMF, Risk IT , CobiT , PCI DSS oder ISO/IEC 27002 veröffentlicht wurde , kann die Entwicklung leiten. Gegenmaßnahmen können technische Tools wie Firewalls und Antivirensoftware , Richtlinien und Verfahren umfassen, die Kontrollen wie regelmäßige Backups und Konfigurationshärtung, Mitarbeiterschulungen im Sicherheitsbewusstsein oder die Organisation von Personal in einem dedizierten Computer Emergency Response Team (CERT) oder Computer Security Incident Response erfordern Mannschaft ( CSIRT ). Die Kosten und der Nutzen jeder Gegenmaßnahme werden sorgfältig abgewogen. Der IA-Praktiker versucht also nicht, alle Risiken, sofern dies möglich ist, zu eliminieren, sondern sie so kostengünstig wie möglich zu managen .
Nachdem der Risikomanagementplan implementiert wurde, wird er getestet und bewertet, oft durch formelle Audits. Der FA-Prozess ist insofern ein iterativer Prozess, als die Risikobewertung und der Risikomanagementplan auf der Grundlage der gesammelten Daten über ihre Vollständigkeit und Wirksamkeit regelmäßig überarbeitet und verbessert werden sollen.
Es gibt zwei Metatechniken mit Informationssicherung: Audit und Risikobewertung.
Geschäftsrisikomanagement
Das Business Risk Management gliedert sich in drei Hauptprozesse: Risikobewertung, Risikominderung und Bewertung und Bewertung. Information Assurance ist eine der Methoden, die Unternehmen zur Implementierung von Business Risk Management verwenden. Durch den Einsatz von Informationssicherungsrichtlinien wie dem „BRICK“-Rahmenwerk. Zusätzlich Business Risk Management tritt auch bei Bundes- und internationalen Gesetzen in Bezug auf die Freigabe und Sicherheit von Informationen wie nachzukommen HIPAA Informationssicherung kann mit Corporates Strategien durch Schulung und Sensibilisierung, Geschäftsleitung Beteiligung und Unterstützung, und organisationsinterne Kommunikation ausgerichtet werden , so dass für eine stärkere interne Kontrolle und ein besseres Management von Geschäftsrisiken. Viele Sicherheitsverantwortliche in Unternehmen verlassen sich auf die Informationssicherung, um geistiges Eigentum zu schützen, vor potenziellem Datenverlust zu schützen und Benutzer vor sich selbst zu schützen. Während die Verwendung von Informationssicherung gut ist, um bestimmte Säulen wie Vertraulichkeit, Nichtabstreitbarkeit usw. zu gewährleisten, geht eine Erhöhung der Sicherheit aufgrund ihrer widersprüchlichen Natur oft zu Lasten der Geschwindigkeit. Allerdings verbessert der Einsatz von Information Assurance im Geschäftsmodell die zuverlässige Entscheidungsfindung des Managements, das Kundenvertrauen, die Geschäftskontinuität und die gute Regierungsführung sowohl im öffentlichen als auch im privaten Sektor.
Normungsorganisationen und Normen
Es gibt eine Reihe internationaler und nationaler Gremien, die Standards zu Praktiken, Richtlinien und Verfahren zur Informationssicherung herausgeben. In Großbritannien sind dies der Information Assurance Advisory Council und die Information Assurance Collaboration Group .
Siehe auch
- Anlage (Computer)
- Gegenmaßnahme (Computer)
- Faktorenanalyse des Informationsrisikos
- Faire Informationspraxis
- Information Assurance Vulnerability Alert
- Informationssicherheit
- ISO/IEC 27001
- ISO 9001
- ISO 17799
- IT-Risiko
- McCumber-Würfel
- Missionssicherung
- Risiko
- Riskiere es
- Rahmenwerk für das Risikomanagement
- Sicherheitskontrollen
- Drohung
- Verletzlichkeit
Verweise
- Anmerkungen
- Literaturverzeichnis
- Datenverschlüsselung; Wissenschaftler der Chang Gung University zielen auf Datenverschlüsselung ab. (2011, Mai). Informationstechnologie-Newsweekly,149. Abgerufen am 30. Oktober 2011 von ProQuest Computing. (Dokument-ID: 2350804731).
- Stephenson (2010). "Authentifizierung: Eine Säule der Informationssicherheit". SC-Magazin . 21 (1): 55.
- Cummings, Roger (2002). "Die Evolution der Informationssicherheit" (PDF) . Computer . 35 (12): 65–72. doi : 10.1109/MC.2002.1106181 .
Externe Links
Dokumentation
-
Britische Regierung
- HMG INFOSEC-STANDARD-NR. 2 Risikomanagement und Akkreditierung von Informationssystemen (2005)
- IA-Referenzen
- Information Assurance XML Schema Markup Language
- DoD-Richtlinie 8500.01 Informationssicherung
- DoD IA-Richtliniendiagramm DoD IA-Richtliniendiagramm
- Archiv der Informationssicherung Archiv der Informationssicherung
Die Informationssicherheit hat sich auch durch Social Media weiterentwickelt