publicat 18 noiembrie 2019 • 2 min citire

controalele de securitate a informațiilor sunt măsuri luate pentru a reduce riscurile de securitate a informațiilor, cum ar fi încălcarea sistemelor informatice, furtul de date și modificările neautorizate ale informațiilor sau sistemelor digitale. Aceste controale de securitate sunt menite să contribuie la protejarea disponibilității, confidențialității și integrității datelor și rețelelor și sunt de obicei implementate după o evaluare a riscurilor de securitate a informațiilor.

tipurile de controale de securitate a informațiilor includ Politici de securitate, proceduri, planuri, dispozitive și software destinate consolidării securității cibernetice. Există trei categorii de controale de securitate a informațiilor:

• controale de securitate Preventive, concepute pentru a preveni incidentele de securitate cibernetică
• controale de securitate Detective, care vizează detectarea unei încercări de încălcare a securității cibernetice („eveniment”) sau a unei încălcări reușite („incident”) în timp ce este în desfășurare și alertarea personalului de securitate cibernetică
• controale de securitate corective, utilizate după un incident de securitate cibernetică pentru a ajuta la minimizarea pierderilor de date și deteriorarea sistemului sau a rețelei și pentru a restabili sistemele și procesele critice de afaceri cât mai repede posibil („reziliență”)

controalele de securitate vin sub forma:

• controale de acces, inclusiv restricții privind accesul fizic, cum ar fi agenții de pază la intrările clădirilor, încuietori și garduri perimetrale
• controale procedurale, cum ar fi educația de conștientizare a securității, instruirea privind conformitatea cadrului de securitate și planurile și procedurile de răspuns la incidente
• ca autentificare multi-factor de utilizator la conectare (Conectare) și controale de acces logice, software antivirus, firewall-uri
• controale de conformitate, cum ar fi legile de confidențialitate și Cyber cadre și standarde de securitate.

cele mai utilizate cadre și standarde de securitate a informațiilor includ:

• Institutul Național de standarde și Tehnologie (NIST) publicație specială 800-53, controale de securitate și confidențialitate pentru sistemele și organizațiile informaționale Federale. Acest document enumeră cerințele de securitate utile nu numai pentru agențiile federale, ci pentru toate programele de gestionare a riscurilor de securitate a informațiilor ale organizațiilor.
• Organizația Internațională pentru Standardizare (ISO) standard ISO 27001, Managementul securității informațiilor, care oferă îndrumări privind securitatea tehnologiei informației și securitatea calculatoarelor.
• standardul de securitate a datelor din industria cardurilor de plată (PCI DSS), care stabilește cerințele de securitate și controalele de securitate pentru protecția datelor sensibile asociate cu informațiile despre cardul de credit personal și cardul de plată
• Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA), o lege federală care reglementează securitatea informațiilor și protecția vieții private pentru informațiile cadrele și standardele sunt sisteme care, atunci când sunt urmate, ajută o entitate să gestioneze în mod consecvent controalele de securitate a informațiilor pentru toate sistemele, rețelele și dispozitivele lor, inclusiv gestionarea configurației, securitatea fizică, securitatea personalului, securitatea rețelei și sistemele de securitate a informațiilor. Acestea definesc ceea ce constituie bune practici de securitate cibernetică și oferă o structură pe care entitățile o pot utiliza pentru gestionarea controalelor de securitate a informațiilor.