Wikipedija

Informacijska varnost: Razlika med redakcijama

Pregledujte zgodovino interaktivno
← Starejše urejanjeNovejše urejanje →
Izbrisana vsebina Dodana vsebina
VizualnoVikibesedilo
m Odstranitev kategorije "Informacijska znanost"; Hitro dodajanje kategorije "Informatika" (z uporabo orodja HotCat)
Plesek (pogovor | prispevki)
16 urejanj
Brez povzetka urejanja
Vrstica 250:
 
Postopki upravljanja sprememb, ki so preprosti, lahko v veliki meri zmanjšajo celotno tveganje, ki se pojavi pri izvrševanju sprememb v okolju obdelave podatkov. Dobri postopki izboljšajo kvaliteto in uspeh sprememb ko se uveljavljajo. To je doseženo skozi načrtovanje, kritiko, dokumentacijo in komunikacijo.
 
====Načrt reševanja nesreče====
Dva ali trije odstavki (ne- tehnični), ki razpravljajo:
 
* '''Kaj je Načrt reševanja nesreče'''
* '''V čem je razlika med NRN in BCP'''
* '''Kako sta NRN in BCP povezana'''
* '''Projektni vodje'''
* '''Identifikacija glavnih vlagateljev'''
* '''Identifikacija glavnih pridobitev'''
* '''Prednostne poslovne funkcije in glavne pridobitve'''
* '''Pregled trenutnega ujemanja statusa'''
* '''Izdelava plana'''
 
====Zakoni in pravila====
 
V spodnjem odstavku so navedeni delni zakoni in pravila vlad Evrope, Velike Britanije, Kanade in ZDA, ki imajo ali bodo imeli v prihodnosti pomemben vpliv na obdelavo podatkov in informacijsko varnost. Pomembni regulatorji industrijskih sektorjev so bi ravno tako vključeni, saj imajo pomemben vpliv na informacijsko varnost.
 
* Akt Velike Britanije za zaščito podatkov – [[UK Data Protection Act 1998]] ustvarja nove uredbe glede obdelave podatkov, ki zadevajo posameznike, vključno z pridobivanjem, zadrževanjem, uporabo ali razkritjem tovrstnih informacij. Direktiva Evropske Unijeza zaščito – [[European Union Data Protection Directive (EUDPD)]] zahteva, da vse članice EU sprejmejo direktive oz. pravila glede zaščite zasebnih podatkov za državljane po vsej Evropi.
 
* Zakon parlamenta VB iz leta 1990 o zlorabi računalnika – [[Computer Misuse Act]] opredeljuje računalniški kriminal (hekanje) za kriminalno dejanje. Zakon je postal model za mnoge druge države, vključno z Kanado in Republiko Irsko, ki so snovale svoje zakone, ki zadevajo informacijsko varnost.
* Zakoni EU o pridržanju podatkov – [[EU Data Retention laws]], zahtevajo od internetnih in telefonskih servisov, da vsako elektronsko sporočilo ali telefonski klic hranijo med 6 meseci in dvema letoma.
* Družinske pravice do izobraževanja in zasebnosti – [[The family educational and privacy act (FERPA)]] (20 U.S.C. § 1232 g; 34 CFR Part 99) je v ZDA zakon, ki ščiti pravico do zasebnosti študentov o zapisih med izobraževanjem. Zakon se nanaša na vse šole, ki prejemajo sredstva ministrstva za izobraževanje. Na splošno morajo imeti šole pisno privolitev staršev v primeru vsakega vpogleda v izobraževalne zapise učenca.
 
* Zakon zdravstvenega zavarovanja, prenosljivosti in odgovornosti – [[Helth insurance portability and accountability act (HIPAA)]] zahteva sprejetje nacionalnih standardov za elektronsko vodeno zdravstveno oskrbo in nacionalne pokazatelje za oskrbovalce, načrte zdravstvene oskrbe in zaposlovalce. In od zagotavljavcev zdravstvene oskrbe, zavarovalnic in zaposlenih zahteva varovanje in zasebnost zdravstvenih podatkov.
* [[Gamm-Leach-Bileley Act of 1999 (GLBA)]], ki je poznan tudi kot Zakon o modernizaciji finančnih servisov iz leta 1999, varuje zasebnost in varnost zasebnih finančnih informacij, ki jih zbirajo, zadržujejo in obdelujejo finančne institucije.
 
* Sa[[rbans-Oxley Act of 2002 (SOX)]] Odstavek 404 od podjetij, ki poslujejo javno zahteva, da oceni učinkovitost svojih internih kontrol za finančni nadzor, ki zagotavljanje letna poročila za vsako fiskalno leto. Glavni informacijski nadzorniki so zadolženi za varnost, natančnost in zanesljivost sistemov, ki obvladujejo in poročajo finančne podatke. Zakon od podjetij, ki poslujejo javno zahteva tudi, da zagotovi neodvisne nadzornike, ki morajo potrditi veljavnost ocen poročila.
* [[Payment Card Data Security Standards (PCI DSS)]] zagotavlja obširne zahteve za povečanje varnosti podatkov transakcijskih računov. Razvit je bil s strani temeljnih plačilnih znamk PCI varnostnega sveta, ki vključuje American Express, Discover Financial Services, JBC, MasterCard WorlWide in Visa International, da bi zagotovili čim širše varnostne standarde v svetovnem merilu. PCI DSS je večplasten standard varnosti, ki vključuje zahteve za zagotavljanje varnosti, procedure, mreže, mrežno arhitekturo, programsko opremo in druga kritična varnostna merila.
* Državni [[State Security Notification Laws]] (Kalifornija in mnoge druge države) zahtevajo da poslovne, neprofitne in državne institucije obvestijo potrošnike v primeru, da bi nezavarovani »osebni podatki« lahko bili ogroženi, izgubljeni ali ukradeni.
* Varovanje osebnih podatkov in elektronskih dokumentov – [[Personal Information Protection and Electronic Dosument Act (PIPEDA)]] – je bil ustanovljen za podporo in promocijo elektronskega poslovanja z zagotavljanjem varovanja osebnih podatkov, ki se zbirajo med poslovanjem, so uporabljeni ali razkriti v določenih okoliščinah, za zagotavljanje in promocijo elektronskih sredstev za komunikacijo ali beleženje informacij ali transakcije in z izboljšanjem Canada Evidence Act, Statutory Instruments Act in Statute Revision Act.
 
====Izvori standardov====
 
Glavni članek: Cyber Security Standards
 
Mednarodna organizacija za standardizacijo – [[International Organization for Standardization (ISO)]] je usmerjevalec nacionalnih standardov 157 držav z centralnim sekretariatom v Ženevi, Švica, ki koordinira sistem. ISO je največji svetovni razvijalec standardov. ISO 15443: »Informacijska tehnologija – varnostne tehnike – Okvir za zagotavljane IT varnosti«, [[ISO-1779]]: »Informacijska tehnologija-Varnostne tehnike – Kode za izvajanje informacijskih varnostnih ukrepov.«, [[ISO-20000]]: »Informacijska tehnologija – Upravljanje služb« in [[ISO-27001]]: »Informacijska tehnologija-Varnostne tehnike – Sistemi za zagotavljanje informacijske varnosti« so še posebej zanimivi specialistom za informacijsko varnost.
 
Ameriški nacionalni inštitut za standarde in tehnologijo – [[The USA National Institute of Standards and Tehnology (NIST)]] je ne-regulatorska vladna agencija znotraj [[U.S. Commerce Department's Tehnology Administration]]. NIST oddelek za računalniško varnosti – [[Computer Security Division]] razvija standarde, metrike, teste in veljavnostne programe, objavlja standarde in usmeritve za povečanje varnosti. NIST je tudi skrbnik ameriškega [[ Federal Information Processing Standardpublications (FIPS)]].
 
Informacijska družba – [[The Internet Society (ISOC)]] je profesionalna organizacija z več kot 100 organizacijami in več kot 20,000 individualnimi člani znotraj več kot 180 držav. Zagotavlja usmeritve pri obravnavanju problemov z katerimi se bo soočil internet v prihodnosti, je krovna organizacija za skupine, ki so odgovorne za standarde internetne infrastrukture, vključno z [[Internet Engineering Task Force (IETF)]] in [[Internet Architecture Board (IAB)]]. ISOC je gostitelj [[Requests for Commerce (RFC's)]] ki vključuje [[Official Internet Protocl Standards]] in [[RFC-2196 Site Securiy Handbook]].
Informacijski varnostni forum – [[Information Security Forum]] je globalna neprofitna organizacija več stotih vodilnih organizacij in finančnih servisov, izdelovalcev, telekomunikacij, potrošniških dobrin, vlad in drugih področij. Zagotavlja najboljše načine raziskovanja in nasvete, ki jih zbere v dvoletnih standardih dobrega delovanja – [[Standard of Good Practice]], ki vključujejo podrobne specifikacije mnogih področij.
 
====Profesionalizem====
 
Leta 1989 je Univerza Carneige Mellon ustanovila [[Information Networkih Institute]], prvi raziskovalni in izobraževalni center v ZDA posvečen informacijskemu mreženju. Akademske discipline o računalniški varnosti, informacijski varnosti in informacijskih zagotovilih so se pojavili skupaj z mnogimi profesionalnimi organizacijami v poznem 20. stoletju in zgodnjem 21. stoletju.
Vstop na področje je lahko dosežen skozi samo-učenje, gimnazijo, višjo polo ali univerzo na področju, ali s pomočjo tedenskih usmerjenih tečajev. Mnogo gimnazij, visokih šol in univerz ter učnih kampov ponujajo svoje programe na spletu. [[GIAC-GSEC]] in [[Security+]] certifikata sta oba ovrednotena kot osnovna varnostna certifikata. Članstvo v Inštitutu za profesionalce na področju informacijske varnosti - [[Institute of Information Security Professionals (IISP)]] je v VB vedno bolj uveljavljen kot profesionalni standard za profesionalce na področju informacijske varnosti.
 
The Certified Information Systems Security Professional ([[CISSP]]) je prav tako uveljavljen kot srednje in višje-stopenjski certifikat informacijske varnosti. [[Information Systems Security Architecture Professional (ISSAP)]], [[Information Systems Security Engineering Professional (ISSEP)]], and Information Systems [[Security Management Professional (ISSMP)]] certifikati so prav tako visoko uveljavljeni certifikati na področju informacijske varnosti, arhitekture, inženiringa in upravljanja.
 
Obstajajo vedno večje zahteve po poklicih na področju informacijske varnosti. Povečane so potrebe po profesionalnih varnostnih profesionalcih, ki so izkušeni na področju pregledovanja informacijske varnosti, testiranju penetracije in digitalnih forenzičnih preiskavah.
 
====Zaključek====
 
Informacijska varnost je proces, ki se izvaja varno in vztrajno zaradi varstva informacij in informacijskih sistemov pred neodobrenimi vdori, uporabo, razkritjem, razdorom, modifikacijo ali distribucijo. Nikoli končan proces informacijske varnosti vključuje nenehno šolanje, ocenjevanje, varovanje, nadzor in odkrivanje, reakcijo na slučaje in popravila, dokumentacijo in pregled.
 
Zapiski in reference
 
1. ^ 44 U.S.C § 3542 (b)(1) (2006) /br
2. ^ Quist, Arvin S. (2002). "Security Classification of Information" (HTML). Volume 1. Introduction, History, and Adverse Impacts. Oak Ridge Classification Associates, LLC. Retrieved on 2007-01-11. /br
3. ^ ISACA (2006). CISA Review Manual 2006. Information Systems Audit and Control Association, p. 85. ISBN 1-933284-15-3. /br
4. ^ Harris, Shon (2003). All-in-one CISSP Certification Exam Guide, 2nd Ed., Emeryville, CA: McGraw-Hill/Osborne. 0-07-222966-7. /br
 
====Poglejte si tudi====
 
• Računalniška nesigurnost - Computer insecurity
• Računalniška varnost - Computer security
• Informacijska zagotovila - Information Assurance
• Tehnologije za povečanje zasebnosti - Privacy enhancing technologies
• Varnostne naprave - Security bug
 
====Čalnki====
 
• Anderson, K., "IT Security Professionals Must Evolve for Changing Market", SC Magazine, October 12, 2006.
 
====Zunanje povezave====
 
• patterns & practices Security Engineering Explained
• Open Security Architecture- Controls and patterns to secure IT systems
• Introduction to Security Governance
• An Introduction to Information Security
• Operations Security Professionals Association Website
• Institute of Information Security Professionals
• Information Systems Security Association
• Example Security Policy
• Secure Computing Magazine
• IWS - Information Security Chapter
• Information Security – From Chaos to Structure
 
====Literatura====
 
Allen, Julia H. (2001). The CERT Guide to System and Network Security Practices. Boston, MA: Addison-Wesley. 0-201-73723-X.
Krutz, Ronald L.; Russell Dean Vines (2003). The CISSP Prep Guide, Gold Edition, Indianapolis, IN: Wiley. 0-471-26802-X.
Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL: Auerbach publications. 978-0-8493-7087-8.
McNab, Chris (2004). Network Security Assessment. Sebastopol, CA: O'Reilly. 0-596-00611-X.
Peltier, Thomas R. (2001). Information Security Risk Analysis. Boca Raton, FL: Auerbach publications. 0-8493-0880-1.
Peltier, Thomas R. (2002). Information Security Policies, Procedures, and Standards: guidelines for effective information security management. Boca Raton, FL: Auerbach publications. 0-8493-1137-3.
White, Gregory (2003). All-in-one Security+ Certification Exam Guide. Emeryville, CA: McGraw-Hill/Osborne. 0-07-222633-1.
 
 
 
 
 
Pridobljeno iz »https://sl.wikipedia.org/wiki/Informacijska_varnost«