Publikováno 18. listopadu 2019 * 2 min čtení

kontroly bezpečnosti informací jsou opatření přijatá ke snížení rizik bezpečnosti informací, jako jsou narušení informačních systémů, krádež dat a neoprávněné změny digitálních informací nebo systémů. Tyto bezpečnostní prvky jsou určeny k ochraně dostupnost, důvěrnost a integritu dat a sítí, a jsou obvykle realizovány po bezpečnosti informací posouzení rizik.

typy kontrol bezpečnosti informací zahrnují bezpečnostní zásady, postupy, plány, zařízení a software určené k posílení kybernetické bezpečnosti. Existují tři kategorie kontrol bezpečnosti informací:

• Preventivní bezpečnostní kontroly, které mají zabránit kybernetické bezpečnostní incidenty
• Detektiv bezpečnostních kontrol, zaměřených na odhalování kybernetické bezpečnosti pokus o narušení („událost“) nebo úspěšný porušení („události“), zatímco to je v pokroku, a upozorní kybernetické bezpečnosti personálu
• Nápravných bezpečnostních kontrol, používá se po kybernetický bezpečnostní incident pomoci minimalizovat ztráty dat a poškození systému nebo sítě, a obnovit kritické podnikové systémy a procesy tak rychle, jak je to možné („odolnost“)

bezpečnostní kontroly přicházejí ve formě:

• kontroly Přístupu včetně omezení fyzického přístupu, jako jsou bezpečnostní stráže v budově, vstupy, zámky a obvodové ploty
• Procesní prvky, jako bezpečnostní povědomí, vzdělávání, bezpečnost rámci školení shody, a reakce na incidenty, plány a postupy
• Technické prvky, jako jsou multi-faktor ověřování uživatelů při přihlášení (login) a logické kontroly přístupu, antivirový software, firewally
• kontrol Shody, jako jsou zákony na ochranu osobních údajů a kybernetické bezpečnostní rámce a standardy.

nejrozšířenější informační bezpečnosti rámců a norem patří:

• Národní Institut pro Standardy a Technologie (NIST) Special Publication 800-53, Bezpečnost a Soukromí Kontroly Federal Information Systémů a Organizací. Tento dokument uvádí bezpečnostní požadavky užitečné nejen pro federální agentury, ale pro programy řízení rizik bezpečnosti informací všech organizací.
• Mezinárodní Organizace pro Normalizaci (ISO) standard ISO 27001, Řízení Informační Bezpečnosti, který poskytuje pokyny pro bezpečnost informačních technologií a počítačové bezpečnosti.
• Payment Card Industry Data Security Standard (PCI DSS), která stanoví bezpečnostní požadavky a bezpečnostní prvky pro ochranu citlivých dat spojených s osobní kreditní karty a platební karty informace
• Přenositelnost Zdravotní Pojištění a Accountability Act (HIPAA), federální zákon upravující informační bezpečnosti a ochrany soukromí pro osobní zdravotní informace

Rámce a standardy jsou systémy, které, když sledoval, pomoc, účetní jednotka důsledně spravovat informace bezpečnostní kontroly pro všechny jejich systémy, sítě a zařízení, včetně správy konfigurace, fyzické bezpečnosti, personální bezpečnosti, zabezpečení sítě a systémů informační bezpečnosti. Definují, co představuje správné postupy kybernetické bezpečnosti, a poskytují strukturu, kterou mohou subjekty použít pro správu svých kontrol informační bezpečnosti.