- Văn bản
- Lịch sử
2.2. The major target areas in info
2.2. The major target areas in information insecurity
A report published by the NATO Cooperative Cyber Defence Centre of Excellence1 (CCD-COE) defines five domains where information insecurity is an issue and discusses them separately given that the requirements and actions are different, but with areas of overlap. These domains are:
Cybercrime
Critical Infrastructure Protection
Cyber Military Defence
Intelligence and Counter-Intelligence
Internet Governance.
This book will only explore the first three given the limited availability of public information on Intelligence and Counter-Intelligence and the complex nature of Internet Governance as it includes technical, legal, socio-economic and global political elements.
2.2.1. Cybercrime
Bank robber Willie Sutton (1901–1980) is reported to have said that he robbed banks “because that’s where the money is.” As money dematerialised into the ones and zeros of the digital world, it should not be surprising that crime has followed it into the digital world.
The only international instrument to address this topic is the Council of Europe
Convention on Cybercrime (2001). It is open to accession to all countries, and in early
2013, only 39 countries have ratified or accessed the Convention and 10 more have signed the convention but not ratified it. (the United Nations has 193 Member States.)
The estimated but unconfirmed amount of cybercrime amounts to hundreds of billions of dollars a year. It is likely that some cybercrimes are not reported by the victims to avoid undermining public and shareholder confidence. Such crimes take place across borders and the perpetrators can, and do, place technical and legal barriers to their detection, arrest, extradition and trial.
Cybercrime takes many forms. From a corporate perspective, the main concerns are the theft of Intellectual Property and fraud. The same is true for other forms of data leakage where sensitive information ends up with parties not supposed to have it. Other forms of corporate cybercrime include sabotage and/or extortion.
Individuals are also targets of cybercrime such as identity theft, where a third party can collect sufficient information about a person to be able to impersonate them (and often bankrupt them) by obtaining documents, loans and credit cards details.
“Phishing”, targets individuals (privately and at work) by using electronic communications pretending to be from a trusted entity, such as a bank, to either personal information such as passwords or credit card details and/or get them to click on a link in the message. This action takes them to a believable copy of the trusted entity’s website that also asks to “confirm” personal details and also infect their computer with malware.
There are others preying on the gullible who are adept at extracting money from their victims through deception. These range from pretending to be a relative of a bank or government official in a distant country asking for assistance to transfer a huge sum of money, provided the victim makes a payment in advance to facilitate the process…
Then there is the lonely soldier (or potential distant bride) who needs money for a ticket, surgery, or other plausible reason – just a small advance that will be repaid in no time at all. Despite the publicity these receive, there is no shortage of victims. Cybercrime is not likely to stop in the near future.
2.2.2. Critical Infrastructure Protection
There are many definitions for a Critical Infrastructure. For example the European Network and Information Security Agency (ENISA), part of the European Union, describes them as:
“Those interconnected systems and networks, the disruption or destruction of which would have a serious impact on the health, safety, security, or economic well- being of citizens, or on the effective functioning of government or the economy”.
The specific and essential characteristics of a Critical infrastructure are: It operates 7 days a week, 24 hours a day AND:
Their operations require information systems and networks, sensors and other mechanisms for data acquisition.
Critical infrastructures are frequently required to operate physical devices such as cash dispensers (ATM), motors (to switch a railroad track) and robotic systems (in manufacturing).
It is part of a supply chain – failure to operate propagates to/from other entities that may also be critical infrastructures, creating a domino effect.
This definition applies to utilities (electricity, gas, water), transportation (air traffic control, airport operations, railways), all continuous manufacturing (oil refineries, glass and paper processing), banking (ATM networks and online), telecommunications (fixed line and mobile telephony, internet service providers) and many more. All of these are “invisible” when operational. When they fail, this almost invariably makes the news headlines.
Attacks on critical infrastructures are becoming more sophisticated: a significant event was the use of the Stuxnet software to disrupt Iran’s uranium enrichment processing facilities, first made public in June 2010.
Experts have described Stuxnet as a “military-grade cyber-missile” and software experts that analysed Stuxnet2 reported that: “We’ve definitely never seen anything like this before”. The journal Computer World called it “one of the most sophisticated and unusual pieces of software ever created”.
Since then there have been other successful attacks on critical infrastructures in many countries. One attack in August 2012 had as its target Saudi Aramco where the Shamoon virus infected 30,000 personal computers, deleted their data and replaced it with images of a burning U.S. flag. The source of the attack remains unidentified.
Cyber-attacks and the prospect of a cyber-war (an event for which there is no agreed definition so far) expose the operators of critical infrastructures to disruptions and the corruption or destruction of data.
2.2.3. National security and defence
As in the two previous sections, the targets may be very specific and the attackers may be different. There is unconfirmed talk of “cyber armies” active in several countries. When such activities are discussed in public, they are referred to as being limited to “defensive capabilities”. In October 2011 however, General R. Kehler, of the U.S. Military Strategic Command stated that: “…need to define Rules of Engagement for Offensive Computer Warfare”.
There is media speculation that offensive capabilities are already in place or being developed in several countries.
While from an information security perspective, the three domains discussed here have many elements in common, one of several challenges is whether or not to extend, amongst other, the Laws of Armed Combat (the Geneva and The Hague conventions) to include cyber weapons and define what may constitute protected targets in the event of cyber-conflict.
However, the problem will not go away even if such laws are updated and new
Treaties are signed, because non-State actors wilfully ignore conventions or treaties.
2.3. What needs to be done to strengthen security is well known but not done well enough
This subtitle is a modification of the title of a report published by the U.S. General
Accountability Office (GAO) in December 2011. Managing information security requires a focus on many disparate activities, in particular:
Selecting and adopting standards, good practices and guidelines and ensuring these are complied with (Chapter 4)
Building awareness of information security issues among the workforce and service providers (Chapter 4)
Identifying the most critical information systems and data, their vulnerabilities and the extent to which their risk exposures require mitigation actions (Chapters 5 and 8)
Defining the impact of security events on business processes and the
organisation as a whole (Chapter 8)
Defining what the organization considers to be an acceptable risk (Chapter 8) Reviewing all of the above for their appropriateness.
2.4. Certifications
Information Security is not a regulated profession and therefore there is no requirement for any form of certification. Where information security is critical, it may be justified to require such certifications. These fall in three categories: organisational, professional and personal.
Organizational certifications include, for example, compliance with ISO 27001 “Information Security Management System” and the U.S. Federal Information Security Management Act (FISMA). Some may be optional (ISO 27001) while others may be mandatory in specific fields of activity such as the Payment Card Industry Data Security Standard (PCI-DSS).
Professional certifications are optional for individuals but employers may choose to make them a requirement. There are several certifications, such as those from the Information Systems Audit and ControlAssociation(ISACA):CISA:CertifiedInformationSecurityAuditor,CISM:Certifi edInformation Security Manager and CRISC: Certified in Risk and Information System Control.
There are also those of the International Information Systems Security Certification Consortium (ISC2), including CISSP: Certified Information Systems Security Professional and CSSLP: Certified Secure Software Lifecycle Professional and other. In addition, vendors and training companies also offer various certifications.
Figure 1: example of a personal certification
The third category is equivalent to a driving license and requires individuals to complete a training or awareness programme and pass a test.
Such certifications have been developed and tested over many years by several organisations. One example is the Security in the Field certificate that the United Nations requires those who travel to a field location to have. This particular
A report published by the NATO Cooperative Cyber Defence Centre of Excellence1 (CCD-COE) defines five domains where information insecurity is an issue and discusses them separately given that the requirements and actions are different, but with areas of overlap. These domains are:
Cybercrime
Critical Infrastructure Protection
Cyber Military Defence
Intelligence and Counter-Intelligence
Internet Governance.
This book will only explore the first three given the limited availability of public information on Intelligence and Counter-Intelligence and the complex nature of Internet Governance as it includes technical, legal, socio-economic and global political elements.
2.2.1. Cybercrime
Bank robber Willie Sutton (1901–1980) is reported to have said that he robbed banks “because that’s where the money is.” As money dematerialised into the ones and zeros of the digital world, it should not be surprising that crime has followed it into the digital world.
The only international instrument to address this topic is the Council of Europe
Convention on Cybercrime (2001). It is open to accession to all countries, and in early
2013, only 39 countries have ratified or accessed the Convention and 10 more have signed the convention but not ratified it. (the United Nations has 193 Member States.)
The estimated but unconfirmed amount of cybercrime amounts to hundreds of billions of dollars a year. It is likely that some cybercrimes are not reported by the victims to avoid undermining public and shareholder confidence. Such crimes take place across borders and the perpetrators can, and do, place technical and legal barriers to their detection, arrest, extradition and trial.
Cybercrime takes many forms. From a corporate perspective, the main concerns are the theft of Intellectual Property and fraud. The same is true for other forms of data leakage where sensitive information ends up with parties not supposed to have it. Other forms of corporate cybercrime include sabotage and/or extortion.
Individuals are also targets of cybercrime such as identity theft, where a third party can collect sufficient information about a person to be able to impersonate them (and often bankrupt them) by obtaining documents, loans and credit cards details.
“Phishing”, targets individuals (privately and at work) by using electronic communications pretending to be from a trusted entity, such as a bank, to either personal information such as passwords or credit card details and/or get them to click on a link in the message. This action takes them to a believable copy of the trusted entity’s website that also asks to “confirm” personal details and also infect their computer with malware.
There are others preying on the gullible who are adept at extracting money from their victims through deception. These range from pretending to be a relative of a bank or government official in a distant country asking for assistance to transfer a huge sum of money, provided the victim makes a payment in advance to facilitate the process…
Then there is the lonely soldier (or potential distant bride) who needs money for a ticket, surgery, or other plausible reason – just a small advance that will be repaid in no time at all. Despite the publicity these receive, there is no shortage of victims. Cybercrime is not likely to stop in the near future.
2.2.2. Critical Infrastructure Protection
There are many definitions for a Critical Infrastructure. For example the European Network and Information Security Agency (ENISA), part of the European Union, describes them as:
“Those interconnected systems and networks, the disruption or destruction of which would have a serious impact on the health, safety, security, or economic well- being of citizens, or on the effective functioning of government or the economy”.
The specific and essential characteristics of a Critical infrastructure are: It operates 7 days a week, 24 hours a day AND:
Their operations require information systems and networks, sensors and other mechanisms for data acquisition.
Critical infrastructures are frequently required to operate physical devices such as cash dispensers (ATM), motors (to switch a railroad track) and robotic systems (in manufacturing).
It is part of a supply chain – failure to operate propagates to/from other entities that may also be critical infrastructures, creating a domino effect.
This definition applies to utilities (electricity, gas, water), transportation (air traffic control, airport operations, railways), all continuous manufacturing (oil refineries, glass and paper processing), banking (ATM networks and online), telecommunications (fixed line and mobile telephony, internet service providers) and many more. All of these are “invisible” when operational. When they fail, this almost invariably makes the news headlines.
Attacks on critical infrastructures are becoming more sophisticated: a significant event was the use of the Stuxnet software to disrupt Iran’s uranium enrichment processing facilities, first made public in June 2010.
Experts have described Stuxnet as a “military-grade cyber-missile” and software experts that analysed Stuxnet2 reported that: “We’ve definitely never seen anything like this before”. The journal Computer World called it “one of the most sophisticated and unusual pieces of software ever created”.
Since then there have been other successful attacks on critical infrastructures in many countries. One attack in August 2012 had as its target Saudi Aramco where the Shamoon virus infected 30,000 personal computers, deleted their data and replaced it with images of a burning U.S. flag. The source of the attack remains unidentified.
Cyber-attacks and the prospect of a cyber-war (an event for which there is no agreed definition so far) expose the operators of critical infrastructures to disruptions and the corruption or destruction of data.
2.2.3. National security and defence
As in the two previous sections, the targets may be very specific and the attackers may be different. There is unconfirmed talk of “cyber armies” active in several countries. When such activities are discussed in public, they are referred to as being limited to “defensive capabilities”. In October 2011 however, General R. Kehler, of the U.S. Military Strategic Command stated that: “…need to define Rules of Engagement for Offensive Computer Warfare”.
There is media speculation that offensive capabilities are already in place or being developed in several countries.
While from an information security perspective, the three domains discussed here have many elements in common, one of several challenges is whether or not to extend, amongst other, the Laws of Armed Combat (the Geneva and The Hague conventions) to include cyber weapons and define what may constitute protected targets in the event of cyber-conflict.
However, the problem will not go away even if such laws are updated and new
Treaties are signed, because non-State actors wilfully ignore conventions or treaties.
2.3. What needs to be done to strengthen security is well known but not done well enough
This subtitle is a modification of the title of a report published by the U.S. General
Accountability Office (GAO) in December 2011. Managing information security requires a focus on many disparate activities, in particular:
Selecting and adopting standards, good practices and guidelines and ensuring these are complied with (Chapter 4)
Building awareness of information security issues among the workforce and service providers (Chapter 4)
Identifying the most critical information systems and data, their vulnerabilities and the extent to which their risk exposures require mitigation actions (Chapters 5 and 8)
Defining the impact of security events on business processes and the
organisation as a whole (Chapter 8)
Defining what the organization considers to be an acceptable risk (Chapter 8) Reviewing all of the above for their appropriateness.
2.4. Certifications
Information Security is not a regulated profession and therefore there is no requirement for any form of certification. Where information security is critical, it may be justified to require such certifications. These fall in three categories: organisational, professional and personal.
Organizational certifications include, for example, compliance with ISO 27001 “Information Security Management System” and the U.S. Federal Information Security Management Act (FISMA). Some may be optional (ISO 27001) while others may be mandatory in specific fields of activity such as the Payment Card Industry Data Security Standard (PCI-DSS).
Professional certifications are optional for individuals but employers may choose to make them a requirement. There are several certifications, such as those from the Information Systems Audit and ControlAssociation(ISACA):CISA:CertifiedInformationSecurityAuditor,CISM:Certifi edInformation Security Manager and CRISC: Certified in Risk and Information System Control.
There are also those of the International Information Systems Security Certification Consortium (ISC2), including CISSP: Certified Information Systems Security Professional and CSSLP: Certified Secure Software Lifecycle Professional and other. In addition, vendors and training companies also offer various certifications.
Figure 1: example of a personal certification
The third category is equivalent to a driving license and requires individuals to complete a training or awareness programme and pass a test.
Such certifications have been developed and tested over many years by several organisations. One example is the Security in the Field certificate that the United Nations requires those who travel to a field location to have. This particular
0/5000
2.2. các khu vực mục tiêu chính trong mất an ninh thông tin
một báo cáo được xuất bản bởi các NATO hợp tác Cyber quốc phòng Trung tâm của Excellence1 (CCD-COE) xác định tên miền năm nơi mất an ninh thông tin là một vấn đề và thảo luận về họ một cách riêng biệt cho rằng yêu cầu và hành động là khác nhau, nhưng với các khu vực chồng chéo lên nhau. Các lĩnh vực là:
Cybercrime
quan trọng cơ sở hạ tầng bảo vệ
Cyber quốc phòng quân sự
tình báo và tình báo truy cập
Internet quản trị.
cuốn sách này sẽ chỉ khám phá ba chiếc đầu tiên được đưa ra sự sẵn có giới hạn của các thông tin công cộng về tình báo và phản đối tình báo và bản chất phức tạp của quản trị mạng Internet vì nó bao gồm kỹ thuật, quy phạm pháp luật, kinh tế xã hội và toàn cầu chính trị yếu tố.
2.2.1. Tội phạm mạng
Ngân hàng cướp Willie Sutton (1901-1980) được báo cáo đã nói rằng ông cướp ngân hàng "vì đó là nơi mà tiền." Như tiền dematerialised vào những người và zeros của thế giới kỹ thuật số, nó không phải là đáng ngạc nhiên rằng tội phạm đã theo đuổi nó vào thế giới kỹ thuật số.
cụ quốc tế duy nhất để giải quyết chủ đề này là hội đồng châu Âu
ước về tội phạm mạng (2001). Nó được mở cho gia nhập với tất cả các nước, và trong đầu
2013, chỉ 39 quốc gia đã phê chuẩn hoặc truy cập công ước và 10 nhiều hơn đã ký công ước nhưng không phê chuẩn nó. (Liên Hiệp Quốc có 193 thành viên.)
Số tiền ước tính nhưng không được xác nhận của tội phạm mạng con số hàng trăm tỷ đô la một năm. Nó có khả năng rằng một số cybercrimes không được báo cáo bởi các nạn nhân để tránh phá hoại sự tự tin khu vực và cổ đông. Tội phạm như vậy diễn ra qua biên giới và các thủ phạm có thể, và làm, đặt rào cản kỹ thuật và pháp lý của phát hiện, bắt giữ, dẫn độ và thử nghiệm.
Cybercrime mất nhiều hình thức. Từ một quan điểm doanh nghiệp, các mối quan tâm chính là hành vi trộm cắp tài sản trí tuệ và gian lận. Như vậy là đúng đối với các hình thức rò rỉ dữ liệu nơi thông tin nhạy cảm đã kết thúc với các bên không phải có nó. Các hình thức khác của tội phạm mạng công ty bao gồm phá hoại và/hoặc tống tiền.
cá nhân cũng là mục tiêu của tội phạm mạng chẳng hạn như đánh cắp nhận dạng, mà một bên thứ ba có thể thu thập các thông tin đầy đủ về một người để có thể mạo danh họ (và thường phá sản họ) bằng cách lấy tài liệu, cho vay và thẻ tín dụng chi tiết.
"Lừa đảo", mục tiêu cá nhân (tư nhân và tại nơi làm việc) bằng cách sử dụng liên lạc điện tử giả mạo từ một tổ chức đáng tin cậy, chẳng hạn như ngân hàng, đến hoặc các thông tin cá nhân chẳng hạn như mật khẩu hoặc thẻ tín dụng chi tiết và/hoặc nhận được chúng để nhấp vào một liên kết trong thư. Hành động này sẽ đưa họ đến một bản sao đáng tin cậy của các tổ chức tin cậy trang web cũng sẽ yêu cầu "xác nhận" chi tiết cá nhân và cũng có thể lây nhiễm máy tính của họ với phần mềm độc hại.
Có những người khác preying trên gullible người được lão luyện lúc giải nén tiền từ nạn nhân của họ thông qua các lường gạt. Những phạm vi từ giả vờ để là một thân nhân của một ngân hàng hoặc chính phủ chính thức trong một đất nước xa xôi yêu cầu để được giúp đỡ để chuyển một khoản tiền rất lớn của tiền, cung cấp các nạn nhân làm cho một khoản thanh toán trước để tạo thuận lợi cho quá trình...
Sau đó có những người lính cô đơn (hoặc cô dâu tiềm năng xa xôi) những người cần tiền cho một vé, phẫu thuật, hoặc lý do chính đáng khác-chỉ một tạm ứng nhỏ sẽ được hoàn trả trong thời gian không ở tất cả. Mặc dù công khai những nhận được, có là không thiếu của nạn nhân. Tội phạm mạng không phải là có khả năng để ngăn chặn trong tương lai gần.
2.2.2. Bảo vệ cơ sở hạ tầng quan trọng
Có rất nhiều định nghĩa cho một cơ sở hạ tầng quan trọng. Ví dụ: mạng châu Âu và thông tin an ninh cơ quan (Truong), một phần của liên minh châu Âu, mô tả họ như:
"các hệ thống liên kết với nhau và mạng, gián đoạn hoặc phá hủy trong đó sẽ có một tác động nghiêm trọng về sức khỏe, an toàn, an ninh, hoặc kinh tế cũng - được của công dân, hoặc vào các hoạt động hiệu quả của chính phủ hoặc nền kinh tế".
đặc tính cụ thể và cần thiết của một cơ sở hạ tầng quan trọng: nó hoạt động 7 ngày một tuần, 24 giờ một ngày và:
hoạt động của họ yêu cầu thông tin hệ thống và mạng, cảm biến và các cơ chế khác để thu thập dữ liệu.
Cơ sở hạ tầng quan trọng thường xuyên được yêu cầu để vận hành các thiết bị vật lý như máy rút tiền (ATM), động cơ (để chuyển đổi một đường ray) và các hệ thống robot (trong sản xuất).
nó là một phần của một chuỗi cung ứng-không hoạt động lan truyền đến/từ các thực thể khác cũng có thể là cơ sở hạ tầng quan trọng, tạo ra một hiệu ứng domino.
định nghĩa này áp dụng cho các tiện ích (điện, khí đốt, nước), giao thông vận tải (kiểm soát không lưu, Sân bay hoạt động, tuyến đường sắt), tất cả liên tục sản xuất (nhà máy lọc dầu, thủy tinh và xử lý giấy), ngân hàng (mạng lưới ATM và trực tuyến), viễn thông (cố định đường dây và điện thoại di động điện thoại, nhà cung cấp dịch vụ internet) và nhiều hơn nữa. Tất cả trong số này là "vô hình" khi hoạt động. Khi họ thất bại, điều này hầu như luôn làm cho các tiêu đề tin tức.
Cuộc tấn công vào cơ sở hạ tầng quan trọng đang trở nên thêm phức tạp: một sự kiện quan trọng là sử dụng phần mềm Stuxnet để phá vỡ của Iran urani làm giàu xử lý Tiện nghi, lần đầu tiên được công bố trong tháng sáu 2010.
các chuyên gia đã mô tả Stuxnet như là một "quân sự cấp cyber-tên lửa" và các chuyên gia phần mềm phân tích Stuxnet2 thông báo rằng: "Chúng tôi đã chắc chắn không bao giờ nhìn thấy bất cứ điều gì như thế này trước khi". Tạp chí thế giới máy tính gọi nó là "một trong những phức tạp và khác thường phần của phần mềm từng được tạo ra".
kể từ đó đã có các cuộc tấn công thành công vào cơ sở hạ tầng quan trọng tại nhiều quốc gia. Một cuộc tấn công vào tháng 8 năm 2012 đã là mục tiêu Saudi Aramco nơi Shamoon virus nhiễm 30.000 máy tính cá nhân, xóa dữ liệu của họ và thay thế chúng với hình ảnh của một lá cờ Hoa Kỳ đốt. Nguồn gốc của các cuộc tấn công vẫn còn rõ.
Cyber-cuộc tấn công và khách hàng tiềm năng của một máy ảnh cyber-chiến tranh (một sự kiện mà có là không có định nghĩa đồng ý cho đến nay) tiếp xúc với các nhà điều hành của cơ sở hạ tầng quan trọng đến sự gián đoạn và tham nhũng hoặc phá hủy dữ liệu.
2.2.3. An ninh quốc gia và quốc phòng
Như trong các phần trước hai, các mục tiêu có thể rất cụ thể và những kẻ tấn công có thể khác nhau. Đó là chưa được xác nhận nói chuyện của "cyber quân" hoạt động ở một số nước. Khi hoạt động như vậy sẽ được thảo luận ở nơi công cộng, họ được gọi là bị giới hạn để "khả năng phòng thủ". Trong tháng 10 năm 2011 Tuy nhiên, tổng R. Kehler, của Hoa Kỳ chỉ huy chiến lược quân sự nói rằng: ".. .need để xác định sự tham gia của quy tắc cho tấn công máy tính chiến tranh".
có là phương tiện truyền thông suy đoán rằng khả năng tấn công đã có tại chỗ hoặc đang được phát triển ở một số nước.
trong khi từ một góc độ an ninh thông tin, ba tên miền thảo luận ở đây có nhiều yếu tố chung, một trong nhiều thách thức là có hay không để mở rộng, trong số khác, Các pháp luật của vũ trang chống lại (các công ước Geneva và The Hague) bao gồm cyber vũ khí và xác định những gì có thể tạo thành bảo vệ các mục tiêu trong trường hợp của cyber-xung đột.
Tuy nhiên, vấn đề sẽ không biến mất ngay cả khi luật đó được Cập Nhật và mới
Hiệp ước được ký kết, bởi vì ngoài nhà nước diễn viên là bỏ qua công ước hoặc điều ước.
3.7. Những gì cần phải được thực hiện để tăng cường an ninh là nổi tiếng nhưng không thực hiện cũng đủ
phụ đề này là một sửa đổi của tiêu đề một báo cáo được công bố của Hoa Kỳ tổng
Accountability Office (GAO) vào tháng 12 năm 2011. Quản lý thông tin bảo mật yêu cầu một tập trung vào nhiều hoạt động khác nhau, đặc biệt:
chọn và việc áp dụng tiêu chuẩn, thực hành tốt và hướng dẫn và đảm bảo chúng được tuân thủ với (chương 4)
xây dựng nhận thức về thông tin bảo mật vấn đề giữa các nhà cung cấp lực lượng lao động và dịch vụ (chương 4)
xác định hệ thống thông tin quan trọng nhất và dữ liệu, các lỗ hổng và mức độ mà nguy cơ tiếp xúc của họ yêu cầu hành động giảm nhẹ (chương 5 và 8)
Xác định tác động của sự kiện an ninh trên quy trình kinh doanh và các
tổ chức như một toàn thể (chương 8)
xác định những gì tổ chức xem xét để là một nguy cơ thể chấp nhận được (chương 8) xem xét tất cả các bên trên cho thích hợp của họ.
3.9. Chứng nhận
bảo mật thông tin không phải là một nghề quy định và do đó không có yêu cầu cho bất kỳ hình thức chứng nhận. Nơi bảo mật thông tin là rất quan trọng, nó có thể được chứng minh để yêu cầu chứng nhận như vậy. Những rơi vào ba loại: tổ chức, chuyên nghiệp và cá nhân.
tổ chức chứng nhận bao gồm, ví dụ, phù hợp với tiêu chuẩn ISO 27001 "Hệ thống quản lý an ninh thông tin" và các Hoa Kỳ Liên bang thông tin bảo mật quản lý hành động (FISMA). Một số có thể tùy chọn (ISO 27001) trong khi những người khác có thể được bắt buộc trong các lĩnh vực cụ thể của các hoạt động như các thanh toán thẻ công nghiệp dữ liệu bảo mật tiêu chuẩn (PCI DSS).
chứng nhận chuyên nghiệp là tùy chọn cho các cá nhân nhưng nhà tuyển dụng có thể chọn để làm cho họ một yêu cầu. Có rất nhiều chứng chỉ, chẳng hạn như thông tin hệ thống kiểm toán và ControlAssociation (ISACA): CISA:CertifiedInformationSecurityAuditor, CISM:Certifi edInformation quản lý an ninh và CRISC: chứng nhận rủi ro và hệ thống thông tin điều khiển.
cũng là những người của quốc tế thông tin hệ thống bảo mật chứng nhận Consortium (ISC2), trong đó CISSP: chứng nhận chuyên gia an ninh hệ thống thông tin và CSSLP: chứng nhận an toàn phần mềm vòng đời Professional và khác. Ngoài ra nhà cung cấp và đào tạo công ty cũng cung cấp nhiều bằng khen.
hình 1: ví dụ về một chứng nhận cá nhân
các thể loại thứ ba là tương đương với một giấy phép lái xe và yêu cầu các cá nhân để hoàn thành một chương trình đào tạo hoặc nâng cao nhận thức và vượt qua một test.
chứng nhận như vậy đã được phát triển và thử nghiệm trong nhiều năm qua bởi một số tổ chức. Một ví dụ là sự an toàn trong lĩnh vực chứng chỉ liên hiệp quốc đòi hỏi những người đi du lịch đến một vị trí lĩnh vực để có. Điều này đặc biệt
một báo cáo được xuất bản bởi các NATO hợp tác Cyber quốc phòng Trung tâm của Excellence1 (CCD-COE) xác định tên miền năm nơi mất an ninh thông tin là một vấn đề và thảo luận về họ một cách riêng biệt cho rằng yêu cầu và hành động là khác nhau, nhưng với các khu vực chồng chéo lên nhau. Các lĩnh vực là:
Cybercrime
quan trọng cơ sở hạ tầng bảo vệ
Cyber quốc phòng quân sự
tình báo và tình báo truy cập
Internet quản trị.
cuốn sách này sẽ chỉ khám phá ba chiếc đầu tiên được đưa ra sự sẵn có giới hạn của các thông tin công cộng về tình báo và phản đối tình báo và bản chất phức tạp của quản trị mạng Internet vì nó bao gồm kỹ thuật, quy phạm pháp luật, kinh tế xã hội và toàn cầu chính trị yếu tố.
2.2.1. Tội phạm mạng
Ngân hàng cướp Willie Sutton (1901-1980) được báo cáo đã nói rằng ông cướp ngân hàng "vì đó là nơi mà tiền." Như tiền dematerialised vào những người và zeros của thế giới kỹ thuật số, nó không phải là đáng ngạc nhiên rằng tội phạm đã theo đuổi nó vào thế giới kỹ thuật số.
cụ quốc tế duy nhất để giải quyết chủ đề này là hội đồng châu Âu
ước về tội phạm mạng (2001). Nó được mở cho gia nhập với tất cả các nước, và trong đầu
2013, chỉ 39 quốc gia đã phê chuẩn hoặc truy cập công ước và 10 nhiều hơn đã ký công ước nhưng không phê chuẩn nó. (Liên Hiệp Quốc có 193 thành viên.)
Số tiền ước tính nhưng không được xác nhận của tội phạm mạng con số hàng trăm tỷ đô la một năm. Nó có khả năng rằng một số cybercrimes không được báo cáo bởi các nạn nhân để tránh phá hoại sự tự tin khu vực và cổ đông. Tội phạm như vậy diễn ra qua biên giới và các thủ phạm có thể, và làm, đặt rào cản kỹ thuật và pháp lý của phát hiện, bắt giữ, dẫn độ và thử nghiệm.
Cybercrime mất nhiều hình thức. Từ một quan điểm doanh nghiệp, các mối quan tâm chính là hành vi trộm cắp tài sản trí tuệ và gian lận. Như vậy là đúng đối với các hình thức rò rỉ dữ liệu nơi thông tin nhạy cảm đã kết thúc với các bên không phải có nó. Các hình thức khác của tội phạm mạng công ty bao gồm phá hoại và/hoặc tống tiền.
cá nhân cũng là mục tiêu của tội phạm mạng chẳng hạn như đánh cắp nhận dạng, mà một bên thứ ba có thể thu thập các thông tin đầy đủ về một người để có thể mạo danh họ (và thường phá sản họ) bằng cách lấy tài liệu, cho vay và thẻ tín dụng chi tiết.
"Lừa đảo", mục tiêu cá nhân (tư nhân và tại nơi làm việc) bằng cách sử dụng liên lạc điện tử giả mạo từ một tổ chức đáng tin cậy, chẳng hạn như ngân hàng, đến hoặc các thông tin cá nhân chẳng hạn như mật khẩu hoặc thẻ tín dụng chi tiết và/hoặc nhận được chúng để nhấp vào một liên kết trong thư. Hành động này sẽ đưa họ đến một bản sao đáng tin cậy của các tổ chức tin cậy trang web cũng sẽ yêu cầu "xác nhận" chi tiết cá nhân và cũng có thể lây nhiễm máy tính của họ với phần mềm độc hại.
Có những người khác preying trên gullible người được lão luyện lúc giải nén tiền từ nạn nhân của họ thông qua các lường gạt. Những phạm vi từ giả vờ để là một thân nhân của một ngân hàng hoặc chính phủ chính thức trong một đất nước xa xôi yêu cầu để được giúp đỡ để chuyển một khoản tiền rất lớn của tiền, cung cấp các nạn nhân làm cho một khoản thanh toán trước để tạo thuận lợi cho quá trình...
Sau đó có những người lính cô đơn (hoặc cô dâu tiềm năng xa xôi) những người cần tiền cho một vé, phẫu thuật, hoặc lý do chính đáng khác-chỉ một tạm ứng nhỏ sẽ được hoàn trả trong thời gian không ở tất cả. Mặc dù công khai những nhận được, có là không thiếu của nạn nhân. Tội phạm mạng không phải là có khả năng để ngăn chặn trong tương lai gần.
2.2.2. Bảo vệ cơ sở hạ tầng quan trọng
Có rất nhiều định nghĩa cho một cơ sở hạ tầng quan trọng. Ví dụ: mạng châu Âu và thông tin an ninh cơ quan (Truong), một phần của liên minh châu Âu, mô tả họ như:
"các hệ thống liên kết với nhau và mạng, gián đoạn hoặc phá hủy trong đó sẽ có một tác động nghiêm trọng về sức khỏe, an toàn, an ninh, hoặc kinh tế cũng - được của công dân, hoặc vào các hoạt động hiệu quả của chính phủ hoặc nền kinh tế".
đặc tính cụ thể và cần thiết của một cơ sở hạ tầng quan trọng: nó hoạt động 7 ngày một tuần, 24 giờ một ngày và:
hoạt động của họ yêu cầu thông tin hệ thống và mạng, cảm biến và các cơ chế khác để thu thập dữ liệu.
Cơ sở hạ tầng quan trọng thường xuyên được yêu cầu để vận hành các thiết bị vật lý như máy rút tiền (ATM), động cơ (để chuyển đổi một đường ray) và các hệ thống robot (trong sản xuất).
nó là một phần của một chuỗi cung ứng-không hoạt động lan truyền đến/từ các thực thể khác cũng có thể là cơ sở hạ tầng quan trọng, tạo ra một hiệu ứng domino.
định nghĩa này áp dụng cho các tiện ích (điện, khí đốt, nước), giao thông vận tải (kiểm soát không lưu, Sân bay hoạt động, tuyến đường sắt), tất cả liên tục sản xuất (nhà máy lọc dầu, thủy tinh và xử lý giấy), ngân hàng (mạng lưới ATM và trực tuyến), viễn thông (cố định đường dây và điện thoại di động điện thoại, nhà cung cấp dịch vụ internet) và nhiều hơn nữa. Tất cả trong số này là "vô hình" khi hoạt động. Khi họ thất bại, điều này hầu như luôn làm cho các tiêu đề tin tức.
Cuộc tấn công vào cơ sở hạ tầng quan trọng đang trở nên thêm phức tạp: một sự kiện quan trọng là sử dụng phần mềm Stuxnet để phá vỡ của Iran urani làm giàu xử lý Tiện nghi, lần đầu tiên được công bố trong tháng sáu 2010.
các chuyên gia đã mô tả Stuxnet như là một "quân sự cấp cyber-tên lửa" và các chuyên gia phần mềm phân tích Stuxnet2 thông báo rằng: "Chúng tôi đã chắc chắn không bao giờ nhìn thấy bất cứ điều gì như thế này trước khi". Tạp chí thế giới máy tính gọi nó là "một trong những phức tạp và khác thường phần của phần mềm từng được tạo ra".
kể từ đó đã có các cuộc tấn công thành công vào cơ sở hạ tầng quan trọng tại nhiều quốc gia. Một cuộc tấn công vào tháng 8 năm 2012 đã là mục tiêu Saudi Aramco nơi Shamoon virus nhiễm 30.000 máy tính cá nhân, xóa dữ liệu của họ và thay thế chúng với hình ảnh của một lá cờ Hoa Kỳ đốt. Nguồn gốc của các cuộc tấn công vẫn còn rõ.
Cyber-cuộc tấn công và khách hàng tiềm năng của một máy ảnh cyber-chiến tranh (một sự kiện mà có là không có định nghĩa đồng ý cho đến nay) tiếp xúc với các nhà điều hành của cơ sở hạ tầng quan trọng đến sự gián đoạn và tham nhũng hoặc phá hủy dữ liệu.
2.2.3. An ninh quốc gia và quốc phòng
Như trong các phần trước hai, các mục tiêu có thể rất cụ thể và những kẻ tấn công có thể khác nhau. Đó là chưa được xác nhận nói chuyện của "cyber quân" hoạt động ở một số nước. Khi hoạt động như vậy sẽ được thảo luận ở nơi công cộng, họ được gọi là bị giới hạn để "khả năng phòng thủ". Trong tháng 10 năm 2011 Tuy nhiên, tổng R. Kehler, của Hoa Kỳ chỉ huy chiến lược quân sự nói rằng: ".. .need để xác định sự tham gia của quy tắc cho tấn công máy tính chiến tranh".
có là phương tiện truyền thông suy đoán rằng khả năng tấn công đã có tại chỗ hoặc đang được phát triển ở một số nước.
trong khi từ một góc độ an ninh thông tin, ba tên miền thảo luận ở đây có nhiều yếu tố chung, một trong nhiều thách thức là có hay không để mở rộng, trong số khác, Các pháp luật của vũ trang chống lại (các công ước Geneva và The Hague) bao gồm cyber vũ khí và xác định những gì có thể tạo thành bảo vệ các mục tiêu trong trường hợp của cyber-xung đột.
Tuy nhiên, vấn đề sẽ không biến mất ngay cả khi luật đó được Cập Nhật và mới
Hiệp ước được ký kết, bởi vì ngoài nhà nước diễn viên là bỏ qua công ước hoặc điều ước.
3.7. Những gì cần phải được thực hiện để tăng cường an ninh là nổi tiếng nhưng không thực hiện cũng đủ
phụ đề này là một sửa đổi của tiêu đề một báo cáo được công bố của Hoa Kỳ tổng
Accountability Office (GAO) vào tháng 12 năm 2011. Quản lý thông tin bảo mật yêu cầu một tập trung vào nhiều hoạt động khác nhau, đặc biệt:
chọn và việc áp dụng tiêu chuẩn, thực hành tốt và hướng dẫn và đảm bảo chúng được tuân thủ với (chương 4)
xây dựng nhận thức về thông tin bảo mật vấn đề giữa các nhà cung cấp lực lượng lao động và dịch vụ (chương 4)
xác định hệ thống thông tin quan trọng nhất và dữ liệu, các lỗ hổng và mức độ mà nguy cơ tiếp xúc của họ yêu cầu hành động giảm nhẹ (chương 5 và 8)
Xác định tác động của sự kiện an ninh trên quy trình kinh doanh và các
tổ chức như một toàn thể (chương 8)
xác định những gì tổ chức xem xét để là một nguy cơ thể chấp nhận được (chương 8) xem xét tất cả các bên trên cho thích hợp của họ.
3.9. Chứng nhận
bảo mật thông tin không phải là một nghề quy định và do đó không có yêu cầu cho bất kỳ hình thức chứng nhận. Nơi bảo mật thông tin là rất quan trọng, nó có thể được chứng minh để yêu cầu chứng nhận như vậy. Những rơi vào ba loại: tổ chức, chuyên nghiệp và cá nhân.
tổ chức chứng nhận bao gồm, ví dụ, phù hợp với tiêu chuẩn ISO 27001 "Hệ thống quản lý an ninh thông tin" và các Hoa Kỳ Liên bang thông tin bảo mật quản lý hành động (FISMA). Một số có thể tùy chọn (ISO 27001) trong khi những người khác có thể được bắt buộc trong các lĩnh vực cụ thể của các hoạt động như các thanh toán thẻ công nghiệp dữ liệu bảo mật tiêu chuẩn (PCI DSS).
chứng nhận chuyên nghiệp là tùy chọn cho các cá nhân nhưng nhà tuyển dụng có thể chọn để làm cho họ một yêu cầu. Có rất nhiều chứng chỉ, chẳng hạn như thông tin hệ thống kiểm toán và ControlAssociation (ISACA): CISA:CertifiedInformationSecurityAuditor, CISM:Certifi edInformation quản lý an ninh và CRISC: chứng nhận rủi ro và hệ thống thông tin điều khiển.
cũng là những người của quốc tế thông tin hệ thống bảo mật chứng nhận Consortium (ISC2), trong đó CISSP: chứng nhận chuyên gia an ninh hệ thống thông tin và CSSLP: chứng nhận an toàn phần mềm vòng đời Professional và khác. Ngoài ra nhà cung cấp và đào tạo công ty cũng cung cấp nhiều bằng khen.
hình 1: ví dụ về một chứng nhận cá nhân
các thể loại thứ ba là tương đương với một giấy phép lái xe và yêu cầu các cá nhân để hoàn thành một chương trình đào tạo hoặc nâng cao nhận thức và vượt qua một test.
chứng nhận như vậy đã được phát triển và thử nghiệm trong nhiều năm qua bởi một số tổ chức. Một ví dụ là sự an toàn trong lĩnh vực chứng chỉ liên hiệp quốc đòi hỏi những người đi du lịch đến một vị trí lĩnh vực để có. Điều này đặc biệt
đang được dịch, vui lòng đợi..
2.2. Các khu vực mục tiêu quan trọng trong thông tin an ninh Một báo cáo được công bố bởi Trung tâm hợp tác quốc phòng Cyber NATO của Excellence1 (CCD-COE) xác định năm lĩnh vực mà thông tin không an toàn là một vấn đề và thảo luận một cách riêng biệt cho rằng các yêu cầu và các hành động khác nhau, nhưng với lĩnh vực chồng chéo lên nhau. Các lĩnh vực này là: tội phạm mạng cơ sở hạ tầng quan trọng bảo vệ Cyber Quân sự Quốc phòng tình báo và phản tình báo . Quản Internet Cuốn sách này sẽ chỉ khám phá đầu tiên ba đưa ra các hạn chế về thông tin công cộng trên tình báo và phản tình báo và bản chất phức tạp của quản lý Internet vì nó bao gồm , pháp lý, các yếu tố chính trị kinh tế kỹ thuật, xã hội và toàn cầu. 2.2.1. Tội phạm mạng Ngân hàng cướp Willie Sutton (1901-1980) được cho là đã nói rằng ông bị cướp ngân hàng "bởi vì đó là nơi mà tiền được." Khi tiền dematerialized vào những người thân và số không của thế giới kỹ thuật số, nó không phải là đáng ngạc nhiên rằng tội phạm đã theo nó vào thế giới kỹ thuật số. Các văn kiện quốc tế duy nhất để giải quyết chủ đề này là Hội đồng châu Âu ước về tội phạm mạng (2001). Đó là mở rộng cho tất cả các nước, và vào đầu năm 2013, chỉ có 39 quốc gia đã phê chuẩn Công ước hoặc truy cập và 10 khác đã ký vào công ước nhưng không phê chuẩn. (Liên Hiệp Quốc có 193 nước thành viên.) Số lượng ước tính nhưng chưa được xác nhận của tội phạm mạng lên tới hàng trăm tỷ đô la một năm. Có khả năng là một số tội phạm tin học không được báo cáo của các nạn nhân để tránh phá hoại niềm tin và cổ đông. Tội ác như thế diễn ra qua biên giới và các thủ phạm có thể, và, đặt rào cản kỹ thuật và pháp lý để phát hiện, bắt giữ, dẫn độ và xét xử của họ. tội phạm mạng có nhiều hình thức. Từ góc độ doanh nghiệp, mối quan tâm chính là hành vi trộm cắp tài sản trí tuệ và gian lận. Điều này cũng đúng cho các hình thức rò rỉ dữ liệu, nơi thông tin nhạy cảm kết thúc với các bên không được phép có nó. Các hình thức khác của tội phạm mạng của công ty bao gồm phá hoại và / hoặc tống tiền. Các cá nhân cũng là mục tiêu của tội phạm mạng như đánh cắp nhận dạng, trong đó một bên thứ ba có thể thu thập đầy đủ thông tin về một người để có thể mạo danh họ (và thường quệ) bằng cách lấy tài liệu, các khoản vay và thẻ tín dụng chi tiết. "Phishing", mục tiêu cá nhân (tư nhân và tại nơi làm việc) bằng cách sử dụng thông tin điện tử giả vờ là từ một thực thể đáng tin cậy, chẳng hạn như ngân hàng, hoặc là thông tin cá nhân như mật khẩu hoặc các chi tiết thẻ tín dụng và / hoặc nhận được họ click vào một liên kết trong tin nhắn. Hành động này diễn ra một bản sao đáng tin cậy của trang web thực thể đáng tin cậy rằng cũng yêu cầu "xác nhận" thông tin cá nhân và cũng lây nhiễm máy tính của họ với phần mềm độc hại. Có những người khác săn trên cả tin những người lão luyện chiết xuất tiền từ nạn nhân của mình thông qua sự lừa dối. Những từ giả vờ là một người họ hàng của một ngân hàng hoặc chính phủ chính thức ở một đất nước xa xôi yêu cầu trợ giúp để chuyển một khoản tiền rất lớn, cung cấp các nạn nhân làm cho một khoản thanh toán trước để tạo thuận lợi cho quá trình ... Sau đó, có người lính cô đơn (hoặc tiềm năng cô dâu xa) những người cần tiền cho một vé, phẫu thuật, hoặc lý do chính đáng khác - chỉ cần một bước tiến nhỏ sẽ được hoàn trả trong thời gian không ở tất cả. Mặc dù công khai những nhận, không có tình trạng thiếu của các nạn nhân. Tội phạm mạng là không có khả năng ngăn chặn trong tương lai gần. 2.2.2. Bảo vệ cơ sở hạ tầng quan trọng Có rất nhiều định nghĩa cho một cơ sở hạ tầng quan trọng. Ví dụ như Cơ quan mạng châu Âu và bảo mật thông tin (ENISA), một phần của Liên minh châu Âu, mô tả họ như: "Những hệ thống kết nối và các mạng lưới, sự gián đoạn hoặc hủy diệt trong đó sẽ có tác động nghiêm trọng đến sức khỏe, an toàn, an ninh, hoặc . kinh tế phúc lợi của công dân, hoặc trên hoạt động hiệu quả của chính phủ hoặc các nền kinh tế " Các đặc tính cụ thể và thiết yếu của một cơ sở hạ tầng quan trọng là: Nó hoạt động 7 ngày một tuần, 24 giờ một ngày và: hoạt động của họ đòi hỏi hệ thống thông tin và mạng lưới ., cảm biến và các cơ chế khác để thu thập dữ liệu cơ sở hạ tầng quan trọng thường xuyên phải hoạt động thiết bị vật lý như máy rút tiền (ATM), động cơ (để chuyển sang một đường rầy xe lửa) và các hệ thống robot (trong sản xuất). Nó là một phần của một chuỗi cung ứng - thất bại để hoạt động tuyên truyền đến / từ các đơn vị khác mà cũng có thể là cơ sở hạ tầng quan trọng, tạo ra một hiệu ứng domino. Định nghĩa này áp dụng đối với tiện ích (điện, ga, nước), giao thông (kiểm soát không lưu, các hoạt động sân bay, đường sắt), tất cả sản xuất liên tục ( nhà máy lọc dầu, thủy tinh và giấy chế biến), (mạng ATM ngân hàng trực tuyến), viễn thông (điện thoại cố định và điện thoại di động, cung cấp dịch vụ Internet) và nhiều hơn nữa. Tất cả trong số này là "vô hình" khi hoạt động. Khi họ thất bại, điều này hầu như luôn làm cho các tiêu đề tin tức. tấn công vào cơ sở hạ tầng quan trọng đang trở nên phức tạp hơn. một sự kiện quan trọng là việc sử dụng các phần mềm Stuxnet để phá vỡ cơ sở chế biến làm giàu uranium của Iran, lần đầu tiên được công bố vào tháng Sáu 2010 Các chuyên gia đã mô tả Stuxnet như một "cấp độ quân sự trên mạng tên lửa" và phần mềm chuyên gia đã phân tích Stuxnet2 cho biết: "Chúng tôi đã chắc chắn không bao giờ nhìn thấy bất cứ điều gì như thế này trước đây". Tạp chí Computer World gọi nó là "một trong những phần phức tạp nhất và khác thường của phần mềm từng được tạo ra". Kể từ đó đã có các cuộc tấn công thành công khác trên cơ sở hạ tầng quan trọng ở nhiều nước. Một cuộc tấn công trong tháng 8 năm 2012 đã là mục tiêu của nó Saudi Aramco nơi virus Shamoon nhiễm 30.000 máy tính cá nhân, xóa dữ liệu của họ và thay thế nó bằng hình ảnh của một lá cờ Mỹ cháy. Nguồn gốc của các cuộc tấn công vẫn chưa được xác định. Cyber-tấn công và triển vọng của một mạng chiến tranh (một sự kiện mà không có định nghĩa thống nhất cho đến nay) tiếp xúc với các nhà khai thác cơ sở hạ tầng quan trọng đối với sự gián đoạn và tham nhũng, phá hoại dữ liệu. 2.2. 3. An ninh quốc phòng Như trong hai phần trước, các mục tiêu có thể rất cụ thể và những kẻ tấn công có thể khác nhau. Có nói chuyện chưa được xác nhận của "đội quân mạng" hoạt động ở một số nước. Khi hoạt động đó được thảo luận trong công chúng, họ được gọi là bị giới hạn "khả năng phòng thủ". Trong tháng 10 năm 2011 tuy nhiên, Tổng R. Kehler, của Mỹ chỉ huy quân sự chiến lược nói rằng:. "... Cần phải xác định Rules of Engagement cho tấn công máy tính Warfare" Có phương tiện truyền thông suy đoán rằng khả năng tấn công đã hình thành hoặc đang được phát triển ở một số nước . Trong khi từ góc độ an ninh thông tin, ba lĩnh vực thảo luận ở đây có nhiều yếu tố chung, một trong những thách thức là có hay không gia hạn, trong số khác, pháp luật của chiến đấu vũ trang (Geneva và The Hague ước) để bao gồm vũ khí mạng và xác định những gì có thể tạo thành các mục tiêu được bảo vệ trong trường hợp mạng xung đột. Tuy nhiên, vấn đề sẽ không biến mất ngay cả khi luật này được cập nhật và mới điều ước quốc tế được ký kết, vì các tổ chức phi nhà nước cố tình bỏ qua ước, điều ước quốc tế. 2.3. Những gì cần phải được thực hiện để tăng cường an ninh là nổi tiếng nhưng không được thực hiện tốt, đủ phụ đề Đây là một sửa đổi tiêu đề của một báo cáo được công bố bởi Tổng Mỹ Văn phòng Trách nhiệm giải trình (GAO) trong tháng 12 năm 2011. Quản lý an ninh thông tin đòi hỏi phải tập trung vào nhiều khác nhau hoạt động, cụ thể: Lựa chọn và áp dụng các tiêu chuẩn, thực hành tốt và các hướng dẫn và đảm bảo chúng được tuân thủ (Chương 4) Xây dựng nhận thức về các vấn đề an ninh thông tin trong lực lượng lao động và các nhà cung cấp dịch vụ (Chương 4) Xác định các hệ thống thông tin quan trọng nhất và dữ liệu, họ lỗ hổng và mức độ rủi ro mà họ đòi hỏi hành động giảm thiểu (Chương 5 và 8) Xác định tác động của sự kiện bảo mật trên các quy trình kinh doanh và các tổ chức như một toàn thể (Chương 8) Xác định những gì tổ chức xem xét sẽ là một rủi ro chấp nhận được (Chương 8 ) Rà soát tất cả các bên trên cho phù hợp của họ. 2.4. Chứng chỉ bảo mật thông tin không phải là một nghề nghiệp quy định và do đó không có yêu cầu đối với bất kỳ hình thức cấp giấy chứng nhận. Nơi an ninh thông tin là rất quan trọng, nó có thể được biện minh để yêu cầu xác nhận như vậy. Những mùa thu trong ba loại:. Tổ chức, chuyên nghiệp và cá nhân xác nhận tổ chức bao gồm, ví dụ, phù hợp với tiêu chuẩn ISO 27001 "Hệ thống quản lý an ninh thông tin" và Luật Quản lý an ninh thông tin liên bang Mỹ (FISMA). Một số có thể được tùy chọn (ISO 27001) trong khi những người khác có thể là bắt buộc trong các lĩnh vực cụ thể của hoạt động chẳng hạn như thanh toán thẻ Dữ liệu công nghiệp tiêu chuẩn bảo mật (PCI-DSS). xác nhận chuyên nghiệp là tùy chọn cho các cá nhân sử dụng lao động nhưng có thể chọn để làm cho họ yêu cầu. Có một số xác nhận, chẳng hạn như những người từ các hệ thống kiểm toán Thông tin và ControlAssociation (ISACA): CISA: CertifiedInformationSecurityAuditor, CISM: Certifi edInformation Security Manager và CRISC:. Chứng nhận về rủi ro và hệ thống thông tin điều khiển có cũng là của các hệ thống thông tin an ninh quốc tế cấp giấy chứng nhận Consortium (ISC2), bao gồm CISSP: Hệ thống thông tin chứng nhận an ninh chuyên nghiệp và CSSLP: Chứng nhận an toàn phần mềm Vòng đời chuyên nghiệp và khác. Ngoài ra, các nhà cung cấp và các công ty đào tạo cũng cung cấp xác nhận khác nhau. Hình 1: Ví dụ về một chứng nhận cá nhân . Loại thứ ba là tương đương với một giấy phép lái xe và yêu cầu các cá nhân để hoàn thành một chương trình đào tạo hoặc nhận thức và vượt qua một bài kiểm tra chứng nhận như vậy đã được phát triển và thử nghiệm trong nhiều năm qua bởi một số tổ chức. Một ví dụ là an ninh trong Giấy chứng nhận Dòng rằng Liên Hợp Quốc yêu cầu những người đi du lịch đến một vị trí lĩnh vực để có. Đặc biệt này
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- curricula
- cram with something
- lưỡi câu
- deal with something
- móc câu
- ingratiate oneself with someone
- sdf là nhà máy chuyển hóa năng lượ
- tôi muốn học hỏi từ con người nhật,đất n
- five
- Traffic situation In my burgh settle dow
- lessons
- sdf là nhà máy chuyển hóa năng lượ
- Anh có thích xem world cup không
- phần mềm học tiếng anh
- syllabus
- confront someone with something
- mái tóc ngắn ôm lấy khuôn mặt mẹ làm tôn
- Южный Вьетнам — распространённое в литер
- nervousriskycrossword puzzlehealcurereme
- sợi dây
- confuse someone with something
- courses
- carm with something
- sợi dây thừng
