Confidentialité, l'intégrité, la disponibilité et ce que cela signifie pour vous

Confidentialité

La confidentialité est de s'assurer que l'information est accessible seulement aux personnes autorisées à avoir accès, quel que soit l'endroit où l'information est stockée ou comment on y accède. Chaque employé au sein d'une organisation a la responsabilité de maintenir la confidentialité des informations qui leur sont confiés pour le rendement au travail et cette responsabilité doit être renforcée grâce à la sensibilisation. Un programme de sensibilisation devrait porter au minimum, les sujets suivants confidentialité pour assurer un niveau acceptable de connaissances est communiquée sur les employés de l'organisation.

a. Contrôle d'accès

Le contrôle d'accès est un mécanisme utilisé pour contrôler les ressources auxquelles un utilisateur peut accéder et les tâches qui peuvent être réalisées avec les ressources accessibles. Les mots de passe et les données biométriques sont deux méthodes de contrôle d'accès qui peuvent être utilisées individuellement ou en combinaison de l'accès limité aux ressources.

b. Les mots de passe

Les mots de passe et leur conservation sont un élément fondamental du système et la sécurité du réseau et sont d'un intérêt primordial pour les pirates. Un intrus dans la zone physique de l'organisation peut vérifier sous les claviers et dans les tiroirs pour trouver les mots de passe qui ont été écrites vers le bas et ensuite l'utiliser pour accéder à des informations privées. La protection par mot peuvent être complétées par des mesures de sécurité supplémentaires tels que les cartes à puce et des systèmes d'identification biométriques. Les employés doivent être informés sur la création et la manipulation de passe meilleures pratiques.

c. Biométrie

La technologie biométrique permet d'identifier les individus sur la base des caractéristiques physiques des parties du corps humain. Les principales technologies biométriques utilisées sont le balayage rétine, reconnaissance faciale, la reconnaissance vocale et la numérisation des empreintes digitales. Un échantillon est mis à jour par un utilisateur demandant l'accès et par rapport à une base de données pour une correspondance avec les autorisations d'accès. Les renseignements biométriques est difficile de reproduire et lorsqu'il est utilisé en conjonction méthodes d'accès tels que les mots de passe et les insignes crée une très bonne défense contre les accès non autorisés aux ressources de l'organisation.

d. Chiffrement

Le cryptage est un procédé qui convertit lisibles (texte en clair) de données en code secret (texte chiffré) pour éviter la divulgation de l'information. Il peut être utilisé dans les transactions sur Internet, le courrier électronique et les réseaux sans fil. Un algorithme de chiffrement est une procédure mathématique qui brouille l'information pour les rendre illisibles à des tiers non autorisés. Le chiffrement est devenu le fondement de la sécurisation des réseaux, des systèmes de communication et les transactions en ligne. Les employés doivent utiliser le chiffrement chaque fois que possible pour assurer la sécurité.

e. Intimité

La confidentialité est la prévention des renseignements confidentiels ou personnels d'être vu par des personnes non autorisées et le contrôle sur la collecte, l'utilisation et la distribution. La vie privée et la confidentialité termes peuvent être utilisés indifféremment. Entretien de la vie privée est essentiel pour éviter la divulgation qui peut conduire au vol d'identité ou d'autres questions.

f. Éthique

Les employés doivent recevoir des instructions claires à travers la politique, sur ce que l'organisation considère comme un comportement acceptable et devrait également être informé des procédures mises en place pour la clarification des questions d'éthique et de divulgation des activités contraires à l'éthique.

Intégrité des données

L'intégrité des données est défini comme la sauvegarde de l'exactitude et de l'exhaustivité de l'information et des méthodes de traitement de intentionnels, des modifications non autorisées ou accidentelles. Le maintien de l'intégrité des données est essentielle à la vie privée, la sécurité et la fiabilité des données de l'entreprise. L'intégrité des données peut être compromise par des utilisateurs malveillants, les pirates, les erreurs logicielles, les infections de virus informatiques, de défaillances des composants matériels, et par l'erreur humaine dans l'entrée ou le transfert de données. Atténuer les risques d'intégrité des données peut permettre une récupération rapide des données. Les employés peuvent atténuer les risques par des sauvegardes régulières de données et un stockage hors site sécurisé de supports de sauvegarde, les outils de surveillance de l'intégrité et de chiffrement.

a. Gestion de la configuration

Configuration ou la gestion du changement est un processus visant à introduire des changements dans un environnement de technologie de l'information. Changement dans un environnement peut introduire de nouvelles vulnérabilités et par le processus de gestion des changements de configuration peuvent être mis en œuvre de manière documentée, systématique, surveillés et réversible. La formalisation des processus de gestion de configuration doivent être mis en œuvre par des organisations et suivies par les salariés.

b. Audit de configuration

Configuration d'audit consiste à vérifier que les modifications approuvées uniquement ont été apportées aux systèmes. Audit vérifie également que les procédures de gestion de configuration sont respectées par les employés et que tous les paramètres sont documentés. Audit de surveiller activement les systèmes et les changements journaux de réconciliation avec les documents de gestion de configuration peut être réalisée de façon manuelle ou automatisée avec l'utilisation de systèmes spécialisés.

Disponibilité

Disponibilité consiste à s'assurer que les utilisateurs autorisés ont accès à des informations et des actifs connexes, au besoin. Ceci peut être accompli en utilisant des plans de sauvegarde de données, les plans de reprise après sinistre et de continuité des activités / plans de relance. Les employés devraient être formés à leurs responsabilités en ce qui concerne les sauvegardes de données, la reprise après sinistre et de continuité des affaires.

a. Plan de sauvegarde de données

Sauvegardes de données sont un élément essentiel de la sécurité de l'information et une organisation doit être en mesure de restaurer les données en cas de corruption de données ou de défaillance matérielle. Les sauvegardes doivent être effectuées sur une base régulière et la fréquence dépend de la quantité de données qu'une organisation est prête à perdre en cas de perte (Recovery Point Objective). Les supports de sauvegarde doivent être stockés dans un endroit sûr, peut-être hors-site, qui n'est pas exposé aux mêmes dangers que les données primaires. Les sauvegardes doivent également être périodiquement restauré pour tester les systèmes afin de s'assurer que le processus fonctionne correctement et dans le délai spécifié (Recovery Time Objective) avant la nécessité de la sauvegarde se pose effectivement.

b. Disaster Recovery Plan (DRP)

Un DRP est un plan qui est utilisé pour récupérer rapidement après une catastrophe avec un minimum d'impact pour l'organisation. DR planification devrait faire partie de la phase initiale de mise en œuvre de systèmes d'information. Plans de reprise sont développées en réponse à des évaluations des risques et conçu pour atténuer ces risques. Les évaluations des risques de déterminer la fréquence et l'ampleur des catastrophes potentielles, ce qui permettra une organisation de décider quelles technologies mettre en œuvre pour atteindre un niveau approprié de récupération. Les audits externes peut être utile pour découvrir des lacunes, bien DRP une organisation ne peut jamais être entièrement testé jusqu'à ce qu'une catastrophe se produise effectivement.

c. Business Continuity Plan ou Plan de reprise des activités

Le plan de continuité des activités (PCA), parfois appelé un plan de reprise des activités (PRA), est un élément essentiel d'un plan de reprise après sinistre. Il s'agit d'un plan qui détaille, étape par étape, comment continuer ou de reprendre rapidement activité normale après une catastrophe se produit d'une manière méthodique. Le PCA doit également identifier les employés chargés de la mise en œuvre des différentes composantes du plan et ces employés devraient recevoir des instructions claires sur leurs responsabilités en cas de catastrophe. Le plan doit être révisé régulièrement afin de s'assurer que tous les changements aux processus opérationnels sont reflétés dans le PCA....