Medios de la seguridad de información del que protegen la información y sistemas de información contra el acceso desautorizado, el uso, el acceso, la interrupción, la modificación, o la destrucción. La seguridad de información del de los términos, la seguridad de computadora y el aseguramiento de la información son utilizado con frecuencia alternativamente. Estos campos se correlacionan y comparten los objetivos comunes de protección del secreto, de la integridad y de la disponibilidad de la información; sin embargo, hay algunas diferencias sutiles entre ellas. Estas diferencias mienten sobre todo en el acercamiento al tema, a las metodologías usadas, y a las áreas de la concentración. La seguridad de información se refiere al secreto, integridad y disponibilidad de datos sin importar la forma que los datos pueden tomar: electrónico, impresión, u otras formas.
Los gobiernos, los militares, las instituciones financieras, los hospitales, y los asuntos privados amontonan mucha de información confidencial sobre sus empleados, clientes, productos, investigación, y estado financiero. La mayor parte de esta información ahora se recoge, se procesa y se almacena en las computadoras electrónicas y se transmite a través de redes a otras computadoras. Si la información confidencial sobre los clientes de negocios o las finanzas o nueva línea de productos baja en las manos de un competidor, tal abertura de la seguridad podría llevar al negocio perdido, a los juegos de la ley o aún a la bancarrota del negocio. La información confidencial de protección es un requisito del negocio, y en muchos casos también un requisito ético y legal. Para el individuo, la seguridad de información tiene un efecto significativo en la aislamiento, que se ve muy diferentemente en diversas culturas.
El campo de la seguridad de información ha crecido y se ha desarrollado perceptiblemente estos últimos años. Pues una opción de la carrera allí es muchas maneras de ganar la entrada en el campo. Ofrece muchas áreas para la especialización incluyendo los sistemas de información que revisan, el planeamiento de la continuidad del negocio y la ciencia de la medecina legal de Digitaces, para nombrar algunos.
Recientemente, en la última información del año las compañías de seguridad ahora se están centrando en las soluciones de la seguridad de la clase de la empresa que se convierten para el usuario casero y el negocio pequeño-medio del tamaño. Un ejemplo, Protecing su red del wifi. WEP se puede agrietar en una cuestión de segundos y es de uso general en la mayoría del hogar o los ranuradores de SMB. Las redes herméticas han creado una unidad del centinela que es un sensor sin hilos del recubrimiento de la seguridad para proteger a su negocio y a su familia. Las compañías como Haizlett y Asscoiates http://www.com están dando el usuario casero y la pequeña empresa una ocasión de tener seguridad de la empresa a través del celebritysafe http://www.com
Este artículo presenta una descripción general de la seguridad de información y de sus conceptos de la base.
Historia
Este artículo no intentará proporcionar una historia comprensiva del campo de la seguridad de información, será suficiente algo describir los progresos más tempranos del raíz y dominantes de qué ahora se conoce como seguridad de información.
Desde los comienzos de la escritura, los jefes de estado y los comandantes militares entendían que era necesario proporcionar un cierto mecanismo para proteger el secreto de la correspondencia escrita y para tener algunos medios de la detección que trataban de forzar. Las personas que deseaban comunicaciones seguras han utilizado los sellos de la cera y otros dispositivos del lacre desde los comienzos de la escritura para significar la autenticidad de documentos, a evitar el tratar de forzar, y para asegurar el secreto de la correspondencia.
El Julio César se acredita con la invención de la cifra c50 de Caesar A. para evitar que sus mensajes secretos sean leídos si una caída del mensaje en las manos incorrectas.
La Segunda Guerra Mundial causada muchos adelantos en seguridad de información y puede marcar el principio de la seguridad de información como campo profesional. WWII vio adelantos en la protección física de la información con las barricadas y los guardias armados que controlaban el acceso en centros de información. También vio la introducción de clasificación formalizada de los datos basados sobre la sensibilidad de la información y quién podría tener acceso a la información. Durante WWII las comprobaciones de antecedentes también fueron conducidas antes de conceder la separación a la información clasificada.
El final del vigésimo siglo y los años del siglo XXI consideró adelantos rápidos en las telecomunicaciones, soporte físico y software computacional, y la encripción de los datos. La disponibilidad de más pequeño, un equipo de proceso de datos más de gran alcance y menos más costoso hizo la informática electrónica dentro del alcance de la pequeña empresa y del usuario casero. Estas computadoras rápidamente se interconectaron a través de una red genéricamente llamada el Internet o el World Wide Web .
El crecimiento rápido y de par en par el uso de la extensión de la informática electrónica y del negocio electrónico dirigidos a través del Internet, junto con ocurrencias numerosas del terrorismo internacional, aprovisionaron de combustible la necesidad de mejores métodos de proteger estas computadoras y la información que almacenan, que procesan y que transmiten. Las disciplinas académicas de la seguridad de computadora, de la seguridad de información y del aseguramiento de la información emergieron junto con las organizaciones profesionales numerosas - todo distribución de los objetivos comunes de aseguramiento de la seguridad y de la confiabilidad de los sistemas de información.
Principios de base
Conceptos dominantes
Por más de veinte años la seguridad de información ha llevado a cabo esa forma de tres conceptos dominantes los principios de la base de seguridad de información: secreto, integridad y disponibilidad. Éstos se conocen como la tríada de la Cia.
Secreto
Es virtualmente imposible conseguir una licencia de conductores, alquilar un apartamento, obtener asistencia médica, o sacar un préstamo sin la revelación de mucha de información muy personal sobre nosotros mismos, tales como nuestro nombre, dirección, número de teléfono, fecha de nacimiento, número de la Seguridad Social, estado civil, número de niños, nombre virginal de la madre, renta, lugar del empleo, historial médico, etc. Ésta es toda la información muy personal y privada, con todo nos requieren a menudo proporcionar tal información para tramitar negocio. Lo tomamos generalmente en la fe que ha tomado la persona, negocio, o la institución a que nosotros divulga tal información personal a medidas para asegurarse de que nuestra información será protegida contra el acceso desautorizado, accidental o intencional, y de que nuestra información será compartida solamente con otra gente, negocios o instituciones que se autoricen a tener acceso a la información y que tiene una necesidad genuina de saber la información.
La información que se considera ser confidencial en naturaleza se debe alcanzar, utilizar, copiar, o divulgar solamente por las personas que se han autorizado a tener acceso, utilizar, copiar, o divulgar la información, y entonces solamente cuando hay una necesidad genuina de tener acceso, utilizar, copiar o divulgar la información. Una abertura del secreto ocurre cuando ha sido la información que se considera ser confidencial en naturaleza, o pudo haber estado, haber tenido acceso, haber utilizado, haber copiado, o haber divulgado a, o cerca, alguien que no fue autorizada a tener acceso a la información.
Por ejemplo: el permiso que alguien mire sobre su hombro su pantalla de ordenador mientras que usted tiene datos confidenciales exhibidos en ella sería una abertura del secreto si no fueron autorizados para tener la información. Si un ordenador portátil, que contiene la información del empleo y de la ventaja cerca de 100.000 empleados, se roba de un coche (o se vende en eBay) podría dar lugar a una abertura del secreto porque la información ahora está en las manos alguien que no se autoriza a tenerla. El donante hacia fuera de la información confidencial sobre el teléfono es una abertura del secreto si no autorizan al llamador a tener la información.
El secreto es un requisito para mantener la aislamiento de la gente cuya información personal la organización lleva a cabo.
Integridad
En seguridad de información, la integridad significa que los datos se pueden el no crear, cambiar, o suprimir sin la autorización. También significa que los datos almacenados en una porción de un sistema de la base de datos están de común acuerdo con otros datos relacionados almacenados en otra parte del sistema de base de datos (o de otro sistema). Por ejemplo: una pérdida de integridad puede ocurrir cuando un sistema de base de datos no se cierra correctamente antes de que se realice el mantenimiento o el servidor de base de datos pierde repentinamente corriente eléctrica (véase la seguridad de la base de datos). Una pérdida de integridad ocurre cuando un empleado accidentalmente, o con intento malévolo, los ficheros de datos importantes de las cancelaciones. Una pérdida de integridad puede ocurrir si un virus de computadora se lanza sobre la computadora. Una pérdida de integridad puede ocurrir cuando un comprador en línea puede cambiar el precio del producto que están comprando.
Disponibilidad
El concepto de disponibilidad significa que la información, los sistemas de cálculo usados para procesar la información, y los controles de seguridad usados para proteger la información son toda disponibles y de funcionamientos correctamente cuando la información es necesaria. El contrario de la disponibilidad es negación del servicio (DOS). Donn Parker propuso un modelo alternativo para la tríada clásica de la Cia que él llamara el seis elementos atómicos de la información . Su modelo alternativo incluye secreto, posesión o control, integridad, autenticidad, disponibilidad, y utilidad del . los méritos del hexad de Parkerian son un tema del discusión entre profesionales de la seguridad.
Autenticidad
En la computación, seguridad del comercio electrónico y de información es necesario asegurarse de que los datos, las transacciones, las comunicaciones o los documentos (electrónicos o físicos) son genuinos (es decir no se han forjado ni se han fabricado.)
No repudiación
En ley, la no repudiación implica unos intención de satisfacer sus obligaciones a un contrato. También implica que un partido de una transacción no puede negar el recibir de una transacción ni puede el otro partido negar el enviar de una transacción.
El comercio electrónico utiliza tecnología tal como firmas de Digitaces y encripción para establecer la autenticidad y la no repudiación.
Gestión de riesgos
Un tratamiento comprensivo del asunto de la gestión de riesgos está más allá del alcance de este artículo. Sin embargo, proporcionar una definición útil de la gestión de riesgos, contornear un proceso de uso general para la gestión de riesgos, y definir una cierta terminología básica.El manual 2006 de la revisión de CISA proporciona la definición siguiente de la gestión de riesgos: " del ; La gestión de riesgos es el proceso de identificar vulnerabilidades y amenazas a los recursos de información usados por una organización en la realización de objetivos de negocio, y decidir a qué contramedidas, eventualmente, admitir la reducción de riesgo a un nivel aceptable, basado en el valor del recurso de información al organization."
Hay dos cosas en esta definición que pueda necesitar una cierta clarificación. Primero, el proceso del de la gestión de riesgos es un proceso iterativo en curso. Debe ser repetido indefinidamente. El entorno empresarial está cambiando constantemente y las nuevas amenazas y vulnerabilidades emergen diario. En segundo lugar, la opción de las contramedidas (controles) usadas para manejar riesgos debe lograr una equilibrio razonable entre la productividad, el coste, la eficacia de las contramedidas, y el valor del activo informativo que es protegido.
El riesgo es la probabilidad que algo malo sucederá que daño de las causas a un activo informativo (o la pérdida del activo). Una vulnerabilidad es una debilidad que se podría utilizar para poner en peligro o para causar daño a un activo informativo. Una amenaza es cualquier cosa (el hombre hizo o acto de la naturaleza) que tiene el potencial para causar daño.
La probabilidad que una amenaza utilice una vulnerabilidad para causar daño crea un riesgo. Cuando una amenaza utiliza una vulnerabilidad para infligir daño, tiene un impacto. En el contexto de la seguridad de información, el impacto es una pérdida de disponibilidad, integridad, y secreto, y posiblemente otras pérdidas (renta, víctimas mortales, pérdida perdidas de característica verdadera). Debe ser precisado que no es posible identificar todos los riesgos, ni es posible eliminar todo el riesgo. El riesgo restante se llama el riesgo residual del .
Un gravamen de riesgo es realizado por un equipo de gente que tenga conocimiento de las áreas específicas del negocio. La calidad de miembro del equipo puede variar en un cierto plazo mientras que diversas partes del negocio se determinan. El gravamen puede utilizar un análisis cualitativo del subjetivo basado en la opinión informada, o donde el dólar confiable calcula y la información histórica está disponible, el análisis puede utilizar análisis cuantitativo del .
El folleto del 27002:2005 ISO/IEC de instrucciones para la gerencia de la seguridad de información recomienda el siguiente se examine durante un assesment del riesgo:
política de seguridad,
organización de seguridad de información,
gestión de activos, seguridad de los recursos humanos,
seguridad física y ambiental,
gerencia de las comunicaciones y de operaciones,
control de acceso,
adquisición de sistemas de información,
desarrollo y mantenimiento,
gerencia del incidente de la seguridad de información,
gerencia de la continuidad del negocio, y
conformidad reguladora.
De modo general el proceso de la gestión de riesgos consiste en: Identificación de activos y de estimar su valor. Incluir: gente, edificios, hardware, software, datos (electrónicos, impresión, otra), fuentes.
Para cualquier riesgo dado, la gerencia ejecutiva puede elegir al acepta el riesgo basado sobre el valor bajo relativo del activo, del pariente de baja frecuencia de ocurrencia, y del impacto bajo relativo en el negocio. O, la dirección puede elegir al atenúa el riesgo seleccionando y ejecutando medidas de control apropiadas de reducir el riesgo. En algunos casos, el riesgo puede ser transferido a otro negocio por seguro de compra o a la externalización a otro negocio. La realidad de algunos riesgos puede ser disputada. En tales casos la dirección puede elegir al niega el riesgo . Esto es sí mismo un riesgo potencial. ofrece las definiciones siguientes del cuidado debido y de la diligencia debida :
" del del
; El cuidado debido es las medidas que se toman para demostrar que una compañía ha tomado la responsabilidad de las actividades que ocurren dentro de la corporación y ha tomado las medidas necesarias para ayudar a proteger la compañía, sus recursos, y employees." y, diligencia delson " del de the ; las actividades continuas que se cercioran de los mecanismos de la protección se mantienen continuamente y operational."
La atención se debe hacer a dos aspectos importantes en estas definiciones. Primero, en cuidado debido, las medidas se llevan la demostración - ésta significa que los pasos se pueden verificar, medido, o aún produce los artefactos tangibles. En segundo lugar, en diligencia debida, hay las actividades continuas - éste significa que la gente está haciendo realmente cosas para supervisar y para mantener los mecanismos de la protección, y estas actividades están en curso.
Gobierno de la seguridad
El instituto de la ingeniería de programas informáticos (SEI) en la universidad del Carnegie Mellon, en una publicación titulada " Gobierno para el " de la seguridad de la empresa (GES);, define características del gobierno eficaz de la seguridad. Éstos incluyen:Una edición a nivel empresarial.
Los líderes son responsables.
Visto como requisito del negocio.
Papeles, responsabilidades, y segregación de los deberes definidos.
Tratado y hecho cumplir en la política.
Recursos adecuados destinados.
Personal enterado y entrenado.
Un requisito del ciclo vital del desarrollo.
Planeado, manejado, mensurable, y medido.
Repasado y revisado.
Planes de la respuesta del incidente
párrafos del 1 a 3 (no técnicos) que discuten:
que selecciona a miembros de equipo
Definir los papeles, las responsabilidades y las líneas de autoridad
Definir un incidente de la seguridad
Definir un incidente denunciable
Entrenamiento
Detección
Clasificación
Escalada
Contención
Extirpación
Documentación
Cambiar a gerencia
La gerencia del cambio es un proceso formal para dirigir y controlar alteraciones al ambiente de la tratamiento de la información. Esto incluye alteraciones a las computadoras de escritorio, a la red, a los servidores y al software. Los objetivos de la gerencia del cambio son reducir los riesgos planteados por los cambios al ambiente de la tratamiento de la información y mejorar la estabilidad y la confiabilidad del procesando el ambiente como cambios se hacen. No es el objetivo de la gerencia del cambio a prevenir o de cambios necesarios más traseros de la ejecución.Cualquier cambio al ambiente de la tratamiento de la información introduce un elemento del riesgo. Incluso los cambios al parecer simples pueden tener efectos inesperados. Una de gerencias muchas responsabilidades es la gerencia del riesgo. La gerencia del cambio es una herramienta para manejar los riesgos introducidos por los cambios al ambiente de la tratamiento de la información. La parte del proceso de la gerencia del cambio se asegura de que los cambios no estén ejecutados en los momentos inoportunos en que pueden interrumpir procesos de negocio críticos o interferir con otros cambios que son ejecutados.
No cada cambio necesita ser manejado. Algunas clases de cambios son una parte de la rutina diaria de la tratamiento de la información y se adhieren a un procedimiento predefinido, que reduce el nivel total de riesgo al ambiente de proceso. Crear una nueva cuenta de usuario o desplegar una nueva computadora de escritorio es ejemplos de los cambios que no requieren generalmente la gerencia del cambio. Sin embargo, volver a poner las partes del archivo de usuario, o el aumento del servidor del email presenta un mucho de alto nivel del riesgo al ambiente de proceso y no es una actividad diaria normal. Los primeros pasos críticos en la gerencia del cambio son (i) definiendo el cambio (y comunicando esa definición) y (b) definiendo el alcance del sistema del cambio.
La gerencia del cambio es supervisada generalmente por un comité examinador del cambio abarcado de representantes de las áreas comerciales dominantes, de la seguridad, del establecimiento de una red, de administradores de sistemas, de la administración de la base de datos, del desarrollo de usos, de la ayuda de escritorio y del puesto de informaciones. Las tareas del comité examinador del cambio se pueden facilitar con el uso del uso automatizado del flujo de trabajo. La responsabilidad del comité examinador del cambio es asegurarse que los procedimientos de gestión documentados las organizaciones del cambio están seguidos. El proceso de la gerencia del cambio es como sigue:
del
pedido: cualquier persona puede pedir un cambio. La persona que realiza el cambio solicitar los mayo o mayo para no ser la misma persona que realiza el análisis o ejecuta el cambio. Cuando un pedido el cambio se recibe, puede experimentar una revisión preliminar para determinar si el cambio pedido es compatible con el modelo comercial y las prácticas de las organizaciones, y para determinar la cantidad de recursos necesarios para ejecutar el cambio.
del
aprobado: La gerencia de funciona el negocio y controla la asignación de recursos por lo tanto, la gerencia debe aprobar los pedidos cambios y asignar una prioridad para cada cambio. La gerencia pudo elegir rechazar una petición del cambio si el cambio no es compatible con el modelo comercial, los estándares industriales o las mejores prácticas. La gerencia pudo también elegir rechazar una petición del cambio si el cambio requiere más recursos que puede ser asignada para el cambio.
el
previsto que planea un cambio implica el descubrir del alcance y del impacto del cambio propuesto; analizar la complejidad del cambio; asignación de recursos y, de desarrollar, de probar y de documentar planes de la puesta en práctica y del backout. Necesitar definir los criterios en los cuales una decisión al backout será tomada.
del
probado: cada cambio se debe probar en un ambiente de prueba seguro, que refleja de cerca el ambiente de producción real, antes de que el cambio se aplique al ambiente de producción. El plan del backout debe también ser probado.
del
programado: La pieza de de la responsabilidad del comité examinador del cambio es asistir a la previsión de cambios repasando la fecha de puesta en práctica propuesta para los conflictos potenciales con otros cambios programados o actividades económicas críticas.
del
comunicado: una vez que un cambio se ha programado le debe ser comunicado. La comunicación es dar a otros la oportunidad de recordar al comité examinador del cambio sobre otros cambios o actividades económicas críticas que pudieron haber sido pasados por alto al programar el cambio. La comunicación también sirve hacer al puesto y a los usuarios de informaciones enterados que un cambio es alrededor ocurrir. Otra responsabilidad del comité examinador del cambio es asegurarse de que los cambios programados se han comunicado correctamente a los que serán afectadas por el cambio o de otra manera tener un interés en el cambio.
del
ejecutado: en la fecha y la hora designadas, los cambios debe ser ejecutado. La parte del proceso de planeamiento era desarrollar un plan de puesta en práctica, plan de prueba y, un plan del retirar. Si la puesta en práctica del cambio falla o, la prueba de la puesta en práctica del poste falla o, el otro " dead" de la gota; se han cumplido los criterios, el plan del retirar deben ser ejecutados.
del
documentado: todos los cambios debe ser documentado. La documentación incluye el pedido inicial el cambio, su aprobación, la prioridad asignada a ella, la puesta en práctica, prueba y se retira los planes, los resultados de la crítica del comité examinador del cambio, la fecha/la hora el cambio fueron ejecutados, que la ejecutó, y si el cambio fue ejecutado con éxito, fallado o pospuesto.
revisión del cambio del poste del del
: el comité examinador del cambio debe llevar a cabo una revisión de puesta en práctica de poste de cambios. Es particularmente importante repasar cambios falls y retirados. El comité examinador debe intentar entender los problemas que fueron encontrados, y buscar las áreas para la mejora.
Cambiar los procedimientos de gestión que son simples seguir y fácil de utilizar puede reducir grandemente los riesgos totales creados cuando los cambios se realizan al ambiente de la tratamiento de la información. Los buenos procedimientos de gestión del cambio mejoran el excesivo toda la calidad y éxito de cambios mientras que se ejecutan. Esto es realizado con el planeamiento, la revisión paritaria, la documentación y la comunicación.
ISO/IEC 20000, Ops visible y la biblioteca todo de la infraestructura de la tecnología de la información proporciona la dirección valiosa en la ejecución de un eficiente y eficaz cambiar el programa de la gerencia.
Planeamiento de la recuperación de catástrofes
párrafos del 2 o 3 (no técnicos) que discuten:
tiene una compañía tal como ayuda de http://www.com de Haizlett y de los asociados que usted desarrolla un plan.
Cuál es planeamiento de la recuperación de catástrofes
Cómo están DRP y BCP diferentes
Cómo están DRP y BCP relacionados
Líder de proyecto
Identificar los sostenedores dominantes de la estaca
Identificar los activos dominantes
Dar prioridad a las funciones de negocio dominantes y al activo dominante
Estado actual de la revisión para la suficiencia
Hacer un plan
Leyes y regulaciones
el Below es un listado parcial del del europeo, de Reino Unido, del canadiense y de las leyes gubernamentales y de las regulaciones de los E. que tienen, o tendrá, un efecto significativo sobre la informática y seguridad de información. Las regulaciones importantes del sector industrial también se han incluido cuando tienen un impacto significativo en la información security.El acto BRITÁNICO 1998 de la protección de datos del
adopta las nuevas provisiones para la regulación del proceso de la información referente a individuos, incluyendo la obtención, sostenerse, el uso o la divulgación de tal información. El directorio de la protección de datos de la unión europea (EUDPD) requiere que todo el miembro de la UE deba adoptar regulaciones nacionales para estandardizar la protección de la aislamiento de datos para los ciudadanos a través de la UE.
el acto 1990 del uso erróneo de la computadora es un acto del parlamento BRITÁNICO que hace delito informático (e. el cortar) un delito. El acto se ha convertido en un modelo sobre el cual varios otros países incluyendo el Canadá y el Republic Of Ireland, han dibujado la inspiración al posteriormente elaborar sus propias leyes de seguridad de información.
Las leyes de la retención de los datos de la UE del
requieren a proveedores de servicios y a compañías telefónicas del Internet guardar datos sobre cada mensaje electrónico enviado y llamada de teléfono hecha por entre seis meses y dos años.
las derechas de la familia y el acto de aislamiento educativos (FERPA) (§ de 20 U. g 1232; La parte 99 de 34 CFR) es una ley federal de los E. que protege la aislamiento de los expedientes de la educación del estudiante. La ley se aplica a todas las escuelas que reciban fondos bajo programa aplicable del Departamento de Educación de los E. Generalmente, las escuelas deben tener permiso de escritura del padre o del estudiante elegible para lanzar cualquier información del expediente de la educación de un estudiante.
la portabilidad del seguro médico y el acto (HIPAA) de la responsabilidad requiere la adopción de los estándares nacionales para las transacciones electrónicas del cuidado médico y los identificadores nacionales para los abastecedores, de los planes del seguro médico, y de los patrones. Y, requiere a proveedores de asistencia sanitaria, a abastecedores del seguro y a patrones salvaguardar la seguridad y la aislamiento de los datos de la salud.
Gramm-Lixivia-Bliley el acto de 1999 (GLBA), también sabe mientras que el acto de la modernización de los servicios financieros de 1999, protege la aislamiento y la seguridad de la información financiera privada que las instituciones financieras recogen, sostienen, y procesan.
acto de Sarbanes-Oxley 2002 (SOX) . La sección 404 del acto requiere a compañías público negociadas determinar la eficacia de sus controles internos para la información financiera en informes anuales que someten en el final de cada ejercicio económico. Los principales documentalistas son responsables de la seguridad, de la exactitud y de la confiabilidad de los sistemas que manejan y divulgan los datos financieros. El acto también requiere a compañías público negociadas contratar a los interventores independientes a quienes debe atestiguar, y divulga encendido, la validez de sus gravámenes.
El estándar de la seguridad de datos de la industria de la tarjeta del pago del
(PCI DSS) establece los requisitos comprensivos para realzar seguridad de datos de cuenta del pago. Fue desarrollado por las marcas de fábrica de fundación del pago del consejo de los estándares de la seguridad del PCI, incluyendo American Express, descubre los servicios financieros, JCB, Mastercard por todo el mundo e International de la visa, para ayudar a facilitar la adopción amplia de las medidas de seguridad constantes de datos sobre una base global. El PCI DSS es un estándar polifacético de la seguridad que incluye los requisitos para la gerencia de la seguridad, las políticas, los procedimientos, la arquitectura de red, el diseño de software y otras medidas protectoras críticas.
Las leyes (California y muchos otras) de la notificación de la violación de la seguridad del estado del
requieren a negocios, a nonprofits, y a instituciones del estado notificar a consumidores cuando " unencrypted; information" personal; puede haber sido comprometido, haber sido perdido, o haber sido robado.
La protección de información personal del
y el documento de la electrónica actúan (PIPEDA) - un acto a apoyar y promover comercio electrónico protegiendo la información personal que es recogida, utilizada o divulgada en ciertas circunstancias, previendo el uso de medios electrónicos de comunicar o información de registro o las transacciones y enmendando el acto de la evidencia de Canadá, los instrumentos estatutarios actúan y el acto de la revisión del estatuto.
Fuentes de estándares
considera también:
los estándares de la seguridad del Cyber El International Organization for Standardization (ISO) es un consorcio de estándares nacionales institutos a partir de 157 países con una secretaría central en Ginebra Suiza que coordina el sistema. La ISO es el revelador más grande del mundo de estándares. El ISO-15443: " Tecnología de la información - técnicas de la seguridad - un marco para ÉL assurance" de la seguridad;, ISO-17799 : " Tecnología de la información - técnicas de la seguridad - folleto de instrucciones para la información management" de la seguridad;, ISO-20000 : " Tecnología de la información - mantener el management", y ISO-27001 : " Tecnología de la información - Técnicas de la seguridad - quot de los sistemas de gestión de la seguridad de información; estar de interés particular a la seguridad de información profesionales.
El National Institute of Standards and Technology de los E. ([[NIST])] es una agencia federal no-reguladora dentro administración de la tecnología de s del departamento de comercio los E. La división de la seguridad de computadora del NIST desarrolla los estándares, métrica, las pruebas y los programas de la validación así como publican estándares y pautas a aumentarla seguro planeamiento, puesta en práctica, gerencia y operación. El NIST es también el guardián de la tratamiento de la información federal de los E. Standardpublications (PAA)].
El Internet Society (ISOC) es una sociedad profesional de la calidad de miembro con más la organización de 100 y sobre 20.000 miembros individuales adentro sobre 180 países. Proporciona la dirección en abordar las ediciones que enfrentan el futuro del Internet, y es el hogar de la organización para los grupos responsables de estándares de la infraestructura del Internet, incluyendo el Internet Engineering Task Force (IETF) y el Internet Architecture Board (IAB). El ISOC recibe Peticiones de comentario (RFCs) que incluye Estándares oficiales del Internet Protocol y el manual de la seguridad del sitio RFC-2196.
El foro de la seguridad de información es una organización sin ánimo de lucro global de varios cientos de organizaciones principales en servicios financieros, la fabricación, telecomunicaciones, bienes de consumo, el gobierno, y otras áreas. Proporciona la investigación en el consejo de la mejor práctica y de la práctica resumido en su estándar semestral de la buena práctica, incorporando especificaciones de detalle a través de muchas áreas.
Conclusión
La seguridad de información es el proceso en curso de ejercitar cuidado debido y diligencia debida para proteger la información, y sistemas de información, del acceso desautorizado, del uso, del acceso, de la destrucción, de la modificación, o de la interrupción. Nunca el proceso de la conclusión de la seguridad de información implica el entrenamiento, el gravamen, la protección, la supervisión y la detección en curso, respuesta y reparación del incidente, documentación, y revisión.En 1989, la universidad del Carnegie Mellon estableció el instituto del establecimiento de una red de la información, investigación del estado unido la primera y el centro de educación dedicados al establecimiento de una red de la información. Las disciplinas académicas de la seguridad de computadora, de la seguridad de información y del aseguramiento de la información emergieron junto con organizaciones profesionales numerosas durante los años posteriores del vigésimo siglo y los años del siglo XXI. La entrada en el campo puede ser realizada a través del self-study, de la universidad o de la universidad enseñando en el campo, o a través campos de entrenamiento de largo enfocados de la semana. Muchas universidades, universidades y compañías del entrenamiento ofrecen muchos de sus programas on- línea. Certificaciones de GIAC-GSEC y de Security+ son ambas certificaciones de seguridad respetadas del nivel de entrada. La calidad de miembro del instituto de los profesionales de la seguridad de información (IISP) está ganando la tracción en el Reino Unido como el estándar del profesional para los profesionales de la seguridad de información.
El profesional certificado de la seguridad de sistemas de información ( CISSP ) es un pozo - certificación de seguridad mid- respetada de información del mayor-nivel. El profesional ( ISSAP ) de la arquitectura de seguridad de sistemas de información, el profesional ( ISSEP ) de la ingeniería de la seguridad de sistemas de información, y las certificaciones del profesional ( ISSMP ) de la gerencia de la seguridad de sistemas de información son certificaciones avanzadas well-respected en arquitectura, la ingeniería, y la gerencia de la información-seguridad respectivamente.
La profesión de la seguridad de información ha considerado una demanda creciente para los profesionales de la seguridad que se experimentan adentro revisión de la seguridad de la red, prueba de penetración, e investigación digital de la medecina legal.
Notas y referencias
.| Random links: | El municipio de Åsele | Cáncer laríngeo | Pelageya Polubarinova-Kochina | Reino (compartimiento) | Juan Beaufort, reina de Escocia |