2.2. Các khu vực mục tiêu quan trọng trong thông tin an ninh Một báo cáo được công bố bởi Trung tâm hợp tác quốc phòng Cyber NATO của Excellence1 (CCD-COE) xác định năm lĩnh vực mà thông tin không an toàn là một vấn đề và thảo luận một cách riêng biệt cho rằng các yêu cầu và các hành động khác nhau, nhưng với lĩnh vực chồng chéo lên nhau. Các lĩnh vực này là: tội phạm mạng cơ sở hạ tầng quan trọng bảo vệ Cyber Quân sự Quốc phòng tình báo và phản tình báo . Quản Internet Cuốn sách này sẽ chỉ khám phá đầu tiên ba đưa ra các hạn chế về thông tin công cộng trên tình báo và phản tình báo và bản chất phức tạp của quản lý Internet vì nó bao gồm , pháp lý, các yếu tố chính trị kinh tế kỹ thuật, xã hội và toàn cầu. 2.2.1. Tội phạm mạng Ngân hàng cướp Willie Sutton (1901-1980) được cho là đã nói rằng ông bị cướp ngân hàng "bởi vì đó là nơi mà tiền được." Khi tiền dematerialized vào những người thân và số không của thế giới kỹ thuật số, nó không phải là đáng ngạc nhiên rằng tội phạm đã theo nó vào thế giới kỹ thuật số. Các văn kiện quốc tế duy nhất để giải quyết chủ đề này là Hội đồng châu Âu ước về tội phạm mạng (2001). Đó là mở rộng cho tất cả các nước, và vào đầu năm 2013, chỉ có 39 quốc gia đã phê chuẩn Công ước hoặc truy cập và 10 khác đã ký vào công ước nhưng không phê chuẩn. (Liên Hiệp Quốc có 193 nước thành viên.) Số lượng ước tính nhưng chưa được xác nhận của tội phạm mạng lên tới hàng trăm tỷ đô la một năm. Có khả năng là một số tội phạm tin học không được báo cáo của các nạn nhân để tránh phá hoại niềm tin và cổ đông. Tội ác như thế diễn ra qua biên giới và các thủ phạm có thể, và, đặt rào cản kỹ thuật và pháp lý để phát hiện, bắt giữ, dẫn độ và xét xử của họ. tội phạm mạng có nhiều hình thức. Từ góc độ doanh nghiệp, mối quan tâm chính là hành vi trộm cắp tài sản trí tuệ và gian lận. Điều này cũng đúng cho các hình thức rò rỉ dữ liệu, nơi thông tin nhạy cảm kết thúc với các bên không được phép có nó. Các hình thức khác của tội phạm mạng của công ty bao gồm phá hoại và / hoặc tống tiền. Các cá nhân cũng là mục tiêu của tội phạm mạng như đánh cắp nhận dạng, trong đó một bên thứ ba có thể thu thập đầy đủ thông tin về một người để có thể mạo danh họ (và thường quệ) bằng cách lấy tài liệu, các khoản vay và thẻ tín dụng chi tiết. "Phishing", mục tiêu cá nhân (tư nhân và tại nơi làm việc) bằng cách sử dụng thông tin điện tử giả vờ là từ một thực thể đáng tin cậy, chẳng hạn như ngân hàng, hoặc là thông tin cá nhân như mật khẩu hoặc các chi tiết thẻ tín dụng và / hoặc nhận được họ click vào một liên kết trong tin nhắn. Hành động này diễn ra một bản sao đáng tin cậy của trang web thực thể đáng tin cậy rằng cũng yêu cầu "xác nhận" thông tin cá nhân và cũng lây nhiễm máy tính của họ với phần mềm độc hại. Có những người khác săn trên cả tin những người lão luyện chiết xuất tiền từ nạn nhân của mình thông qua sự lừa dối. Những từ giả vờ là một người họ hàng của một ngân hàng hoặc chính phủ chính thức ở một đất nước xa xôi yêu cầu trợ giúp để chuyển một khoản tiền rất lớn, cung cấp các nạn nhân làm cho một khoản thanh toán trước để tạo thuận lợi cho quá trình ... Sau đó, có người lính cô đơn (hoặc tiềm năng cô dâu xa) những người cần tiền cho một vé, phẫu thuật, hoặc lý do chính đáng khác - chỉ cần một bước tiến nhỏ sẽ được hoàn trả trong thời gian không ở tất cả. Mặc dù công khai những nhận, không có tình trạng thiếu của các nạn nhân. Tội phạm mạng là không có khả năng ngăn chặn trong tương lai gần. 2.2.2. Bảo vệ cơ sở hạ tầng quan trọng Có rất nhiều định nghĩa cho một cơ sở hạ tầng quan trọng. Ví dụ như Cơ quan mạng châu Âu và bảo mật thông tin (ENISA), một phần của Liên minh châu Âu, mô tả họ như: "Những hệ thống kết nối và các mạng lưới, sự gián đoạn hoặc hủy diệt trong đó sẽ có tác động nghiêm trọng đến sức khỏe, an toàn, an ninh, hoặc . kinh tế phúc lợi của công dân, hoặc trên hoạt động hiệu quả của chính phủ hoặc các nền kinh tế " Các đặc tính cụ thể và thiết yếu của một cơ sở hạ tầng quan trọng là: Nó hoạt động 7 ngày một tuần, 24 giờ một ngày và: hoạt động của họ đòi hỏi hệ thống thông tin và mạng lưới ., cảm biến và các cơ chế khác để thu thập dữ liệu cơ sở hạ tầng quan trọng thường xuyên phải hoạt động thiết bị vật lý như máy rút tiền (ATM), động cơ (để chuyển sang một đường rầy xe lửa) và các hệ thống robot (trong sản xuất). Nó là một phần của một chuỗi cung ứng - thất bại để hoạt động tuyên truyền đến / từ các đơn vị khác mà cũng có thể là cơ sở hạ tầng quan trọng, tạo ra một hiệu ứng domino. Định nghĩa này áp dụng đối với tiện ích (điện, ga, nước), giao thông (kiểm soát không lưu, các hoạt động sân bay, đường sắt), tất cả sản xuất liên tục ( nhà máy lọc dầu, thủy tinh và giấy chế biến), (mạng ATM ngân hàng trực tuyến), viễn thông (điện thoại cố định và điện thoại di động, cung cấp dịch vụ Internet) và nhiều hơn nữa. Tất cả trong số này là "vô hình" khi hoạt động. Khi họ thất bại, điều này hầu như luôn làm cho các tiêu đề tin tức. tấn công vào cơ sở hạ tầng quan trọng đang trở nên phức tạp hơn. một sự kiện quan trọng là việc sử dụng các phần mềm Stuxnet để phá vỡ cơ sở chế biến làm giàu uranium của Iran, lần đầu tiên được công bố vào tháng Sáu 2010 Các chuyên gia đã mô tả Stuxnet như một "cấp độ quân sự trên mạng tên lửa" và phần mềm chuyên gia đã phân tích Stuxnet2 cho biết: "Chúng tôi đã chắc chắn không bao giờ nhìn thấy bất cứ điều gì như thế này trước đây". Tạp chí Computer World gọi nó là "một trong những phần phức tạp nhất và khác thường của phần mềm từng được tạo ra". Kể từ đó đã có các cuộc tấn công thành công khác trên cơ sở hạ tầng quan trọng ở nhiều nước. Một cuộc tấn công trong tháng 8 năm 2012 đã là mục tiêu của nó Saudi Aramco nơi virus Shamoon nhiễm 30.000 máy tính cá nhân, xóa dữ liệu của họ và thay thế nó bằng hình ảnh của một lá cờ Mỹ cháy. Nguồn gốc của các cuộc tấn công vẫn chưa được xác định. Cyber-tấn công và triển vọng của một mạng chiến tranh (một sự kiện mà không có định nghĩa thống nhất cho đến nay) tiếp xúc với các nhà khai thác cơ sở hạ tầng quan trọng đối với sự gián đoạn và tham nhũng, phá hoại dữ liệu. 2.2. 3. An ninh quốc phòng Như trong hai phần trước, các mục tiêu có thể rất cụ thể và những kẻ tấn công có thể khác nhau. Có nói chuyện chưa được xác nhận của "đội quân mạng" hoạt động ở một số nước. Khi hoạt động đó được thảo luận trong công chúng, họ được gọi là bị giới hạn "khả năng phòng thủ". Trong tháng 10 năm 2011 tuy nhiên, Tổng R. Kehler, của Mỹ chỉ huy quân sự chiến lược nói rằng:. "... Cần phải xác định Rules of Engagement cho tấn công máy tính Warfare" Có phương tiện truyền thông suy đoán rằng khả năng tấn công đã hình thành hoặc đang được phát triển ở một số nước . Trong khi từ góc độ an ninh thông tin, ba lĩnh vực thảo luận ở đây có nhiều yếu tố chung, một trong những thách thức là có hay không gia hạn, trong số khác, pháp luật của chiến đấu vũ trang (Geneva và The Hague ước) để bao gồm vũ khí mạng và xác định những gì có thể tạo thành các mục tiêu được bảo vệ trong trường hợp mạng xung đột. Tuy nhiên, vấn đề sẽ không biến mất ngay cả khi luật này được cập nhật và mới điều ước quốc tế được ký kết, vì các tổ chức phi nhà nước cố tình bỏ qua ước, điều ước quốc tế. 2.3. Những gì cần phải được thực hiện để tăng cường an ninh là nổi tiếng nhưng không được thực hiện tốt, đủ phụ đề Đây là một sửa đổi tiêu đề của một báo cáo được công bố bởi Tổng Mỹ Văn phòng Trách nhiệm giải trình (GAO) trong tháng 12 năm 2011. Quản lý an ninh thông tin đòi hỏi phải tập trung vào nhiều khác nhau hoạt động, cụ thể: Lựa chọn và áp dụng các tiêu chuẩn, thực hành tốt và các hướng dẫn và đảm bảo chúng được tuân thủ (Chương 4) Xây dựng nhận thức về các vấn đề an ninh thông tin trong lực lượng lao động và các nhà cung cấp dịch vụ (Chương 4) Xác định các hệ thống thông tin quan trọng nhất và dữ liệu, họ lỗ hổng và mức độ rủi ro mà họ đòi hỏi hành động giảm thiểu (Chương 5 và 8) Xác định tác động của sự kiện bảo mật trên các quy trình kinh doanh và các tổ chức như một toàn thể (Chương 8) Xác định những gì tổ chức xem xét sẽ là một rủi ro chấp nhận được (Chương 8 ) Rà soát tất cả các bên trên cho phù hợp của họ. 2.4. Chứng chỉ bảo mật thông tin không phải là một nghề nghiệp quy định và do đó không có yêu cầu đối với bất kỳ hình thức cấp giấy chứng nhận. Nơi an ninh thông tin là rất quan trọng, nó có thể được biện minh để yêu cầu xác nhận như vậy. Những mùa thu trong ba loại:. Tổ chức, chuyên nghiệp và cá nhân xác nhận tổ chức bao gồm, ví dụ, phù hợp với tiêu chuẩn ISO 27001 "Hệ thống quản lý an ninh thông tin" và Luật Quản lý an ninh thông tin liên bang Mỹ (FISMA). Một số có thể được tùy chọn (ISO 27001) trong khi những người khác có thể là bắt buộc trong các lĩnh vực cụ thể của hoạt động chẳng hạn như thanh toán thẻ Dữ liệu công nghiệp tiêu chuẩn bảo mật (PCI-DSS). xác nhận chuyên nghiệp là tùy chọn cho các cá nhân sử dụng lao động nhưng có thể chọn để làm cho họ yêu cầu. Có một số xác nhận, chẳng hạn như những người từ các hệ thống kiểm toán Thông tin và ControlAssociation (ISACA): CISA: CertifiedInformationSecurityAuditor, CISM: Certifi edInformation Security Manager và CRISC:. Chứng nhận về rủi ro và hệ thống thông tin điều khiển có cũng là của các hệ thống thông tin an ninh quốc tế cấp giấy chứng nhận Consortium (ISC2), bao gồm CISSP: Hệ thống thông tin chứng nhận an ninh chuyên nghiệp và CSSLP: Chứng nhận an toàn phần mềm Vòng đời chuyên nghiệp và khác. Ngoài ra, các nhà cung cấp và các công ty đào tạo cũng cung cấp xác nhận khác nhau. Hình 1: Ví dụ về một chứng nhận cá nhân . Loại thứ ba là tương đương với một giấy phép lái xe và yêu cầu các cá nhân để hoàn thành một chương trình đào tạo hoặc nhận thức và vượt qua một bài kiểm tra chứng nhận như vậy đã được phát triển và thử nghiệm trong nhiều năm qua bởi một số tổ chức. Một ví dụ là an ninh trong Giấy chứng nhận Dòng rằng Liên Hợp Quốc yêu cầu những người đi du lịch đến một vị trí lĩnh vực để có. Đặc biệt này
đang được dịch, vui lòng đợi..
