opublikowano listopad 18, 2019 * 2 min Czytaj

środki kontroli bezpieczeństwa informacji to środki podejmowane w celu zmniejszenia zagrożeń bezpieczeństwa informacji, takich jak naruszenia systemów informatycznych, kradzież danych i nieautoryzowane zmiany w cyfrowych informacjach lub systemach. Środki te mają na celu ochronę dostępności, poufności i integralności danych i sieci i są zazwyczaj wdrażane po dokonaniu oceny ryzyka związanego z bezpieczeństwem informacji.

rodzaje kontroli bezpieczeństwa informacji obejmują polityki bezpieczeństwa, procedury, plany, urządzenia i oprogramowanie mające na celu wzmocnienie bezpieczeństwa cybernetycznego. Istnieją trzy kategorie kontroli bezpieczeństwa informacji:

• prewencyjne kontrole bezpieczeństwa, mające na celu zapobieganie incydentom cyberbezpieczeństwa
• Detektywistyczne kontrole bezpieczeństwa, mające na celu wykrycie próby naruszenia bezpieczeństwa cybernetycznego („zdarzenie”) lub udanego naruszenia („incydent”) w trakcie jego trwania oraz ostrzeganie pracowników bezpieczeństwa cybernetycznego
• korekcyjne kontrole bezpieczeństwa, stosowane po incydencie cyberbezpieczeństwa, aby zminimalizować utratę danych i uszkodzenia systemu lub sieci oraz jak najszybciej przywrócić krytyczne systemy i procesy biznesowe („odporność”)

kontrole bezpieczeństwa mają formę:

• kontrole dostępu, w tym ograniczenia dostępu fizycznego, takie jak strażnicy przy wejściach do budynków, zamki i ogrodzenia obwodowe
• kontrole proceduralne, takie jak edukacja w zakresie świadomości bezpieczeństwa, szkolenie w zakresie zgodności z ramami bezpieczeństwa oraz plany i procedury reagowania na incydenty
• kontrole techniczne, takie jak jako wieloczynnikowe uwierzytelnianie użytkownika przy logowaniu (login) i logiczne kontrole dostępu, oprogramowanie antywirusowe, zapory sieciowe
• kontrole zgodności, takie jak przepisy dotyczące prywatności i cyberbezpieczeństwa ramy i standardy bezpieczeństwa.

do najczęściej stosowanych RAM i standardów bezpieczeństwa informacji należą:

• The National Institute of Standards and Technology (NIST) Special Publication 800-53, security and Privacy Controls for Federal Information Systems and Organizations. Ten dokument zawiera listę wymagań bezpieczeństwa przydatnych nie tylko dla agencji federalnych, ale dla programów zarządzania ryzykiem Bezpieczeństwa Informacji wszystkich organizacji.
• Międzynarodowa Organizacja Normalizacyjna (ISO) norma ISO 27001, Zarządzanie bezpieczeństwem informacji, która zapewnia wytyczne w zakresie bezpieczeństwa technologii informatycznych i bezpieczeństwa komputerowego.
• Payment Card Industry Data Security Standard (PCI DSS), który ustanawia wymagania bezpieczeństwa i kontrole bezpieczeństwa w celu ochrony wrażliwych danych związanych z osobistymi kartami kredytowymi i informacjami o kartach płatniczych
• Health Insurance Portability and Accountability Act (HIPAA), ustawa federalna regulująca bezpieczeństwo informacji i ochronę prywatności informacji o zdrowiu osobistym

frameworki i standardy to systemy, które, gdy są przestrzegane, pomagają jednostce konsekwentnie zarządzać kontrolą bezpieczeństwa informacji dla wszystkich swoich systemów, sieci i urządzeń, w tym zarządzania konfiguracją, bezpieczeństwa fizycznego, bezpieczeństwa personelu, bezpieczeństwa sieci i systemów bezpieczeństwa informacji. Określają one, co stanowi dobre praktyki w zakresie bezpieczeństwa cybernetycznego i zapewniają strukturę, z której podmioty mogą korzystać do zarządzania kontrolą bezpieczeństwa informacji.