megjelent November 18, 2019 • 2 min read

az információbiztonsági ellenőrzések olyan intézkedések, amelyek csökkentik az információbiztonsági kockázatokat, például az információs rendszerek megsértését, az adatlopást, valamint a digitális információk vagy rendszerek jogosulatlan megváltoztatását. Ezek a biztonsági ellenőrzések célja az adatok és hálózatok elérhetőségének, bizalmas jellegének és integritásának védelme, és jellemzően az információbiztonsági kockázatértékelés után kerülnek végrehajtásra.

az információbiztonsági ellenőrzések típusai közé tartoznak a kiberbiztonság erősítését célzó biztonsági irányelvek, eljárások, tervek, eszközök és szoftverek. Az információbiztonsági ellenőrzések három kategóriája létezik:

• Megelőző biztonsági ellenőrzések célja, hogy megakadályozzák az informatikai biztonsági incidensek
• Nyomozó biztonsági ellenőrzés, amelynek célja, hogy érzékeli a cyber biztonsági rés kísérlet (“esemény”), vagy a sikeres behatolás (“eset”), míg a haladás, majd figyelmezteti a cyber biztonsági személyzet
• Korrekciós biztonsági ellenőrzések, használt, miután egy cyber security eset, hogy segítsen minimalizálják az meg kár, hogy a rendszer vagy a hálózat, illetve helyreállítani a kritikus üzleti rendszerek, folyamatok, amilyen gyorsan csak lehetséges (“rugalmasság”)

a biztonsági ellenőrzések a következő formában jönnek létre:

• Hozzáférési kontrollok beleértve korlátozás, hogy a fizikai hozzáférés, például a biztonsági őrök az épület bejárata, zárak, valamint a területet kerítés
• Eljárási ellenőrzések például a biztonsági tudatosság, az oktatás, a biztonsági keret betartása képzés, valamint a baleset-elhárítási tervek, eljárások
• Műszaki ellenőrzés, például a multi-faktor a felhasználói hitelesítést a login (bejelentkezés), valamint a logikai hozzáférés kontrollok, vírusirtó, tűzfal
• Megfelelőségi ellenőrzések például az adatvédelmi törvény valamint a cyber biztonsági keretek és szabványok.

a legszélesebb körben használt információbiztonsági keretek és szabványok a következők:

• The National Institute of Standards and Technology (NIST) Special Publication 800-53, Security and Privacy Controls for Federal Information Systems and Organizations. Ez a dokumentum felsorolja a biztonsági követelmények hasznos nem csak a szövetségi ügynökségek, hanem minden szervezet információbiztonsági kockázatkezelési programok.
• A Nemzetközi Szabványügyi Szervezet (ISO) ISO 27001 szabvány, információbiztonsági menedzsment, amely útmutatást nyújt az információs technológia biztonságáról és a számítógépes biztonságról.
• A Payment Card Industry Data Security Standard (PCI DSS), amely megállapítja, biztonsági követelményeknek, valamint biztonsági ellenőrzések a védelem az érzékeny adatok kapcsolódó személyes hitelkártya, bankkártya információk
• Az egészségbiztosítási Hordozhatóság, valamint az Elszámoltathatóság Törvény (HIPAA), egy szövetségi törvény szabályozza információ biztonság, adatvédelem a személyes egészségügyi adatok

Keretrendszerek, szabványok olyan rendszerek, amelyek, ha követni, segíteni, hogy a gazdálkodó egység következetesen kezelése információ biztonsági ellenőrzések minden rendszerük, hálózatuk és eszközük esetében, beleértve a konfigurációkezelést, a fizikai biztonságot, a személyi biztonságot, a hálózati biztonságot és az információbiztonsági rendszereket. Meghatározzák, hogy mi minősül jó kiberbiztonsági gyakorlatnak, és olyan struktúrát biztosítanak, amelyet az entitások felhasználhatnak információbiztonsági ellenőrzésük kezelésére.