Определите, какой из следующих критериев классификации соответствует следующим компьютерам
Обновлено: 24.11.2024
Загружаемая PDF-версия этого руководящего документа доступна здесь.
Этот документ содержит рекомендации для департаментов и агентств федерального правительства (D/As); государственные, местные, племенные и территориальные органы управления; Организации по обмену и анализу информации; а также иностранным, коммерческим и частным организациям для подачи уведомлений об инцидентах в Агентство кибербезопасности и безопасности инфраструктуры (CISA)/Группу готовности к компьютерным чрезвычайным ситуациям США (US-CERT).
Федеральный закон о модернизации информационной безопасности от 2014 г. (FISMA) определяет «инцидент» как «происшествие, которое (А) фактически или неизбежно ставит под угрозу, без законных полномочий, целостность, конфиденциальность или доступность информации или информационной системы; или (B) представляет собой нарушение или неминуемую угрозу нарушения закона, политик безопасности, процедур безопасности или политик допустимого использования». [1] FISMA требует, чтобы гражданские агентства федеральной исполнительной власти уведомляли и консультировались с US-CERT в отношении инцидентов информационной безопасности, связанных с их информацией и информационными системами, независимо от того, управляются ли они федеральным агентством, подрядчиком или другим источником. [2] Сюда входят инциденты, связанные с системами управления, которые включают в себя системы диспетчерского управления и сбора данных (SCADA), распределенные системы управления (DCS), программируемые логические контроллеры (PLC) и другие типы промышленных систем измерения и управления. Отчетность организаций, не являющихся гражданскими агентствами федеральной исполнительной власти, является добровольной.
Эти рекомендации помогают US-CERT в выполнении поставленных задач и обеспечивают следующие преимущества:
- Более высокое качество информации. Приведение в соответствие с отчетами об инцидентах и руководством по их устранению из NIST 800-61, редакция 2, для введения классификаций воздействия на функциональность, информацию и возможность восстановления, что позволяет US-CERT лучше распознавать серьезные инциденты.
- Улучшенный обмен информацией и ситуационная осведомленность. Установлен часовой период уведомления для всех инцидентов, чтобы улучшить способность US-CERT понимать события кибербезопасности, затрагивающие правительство.
- Более быстрое реагирование на инциденты – перенос анализа причин на заключительный этап процесса обработки инцидентов, чтобы ускорить первоначальное уведомление.
Содержание
Требование к уведомлению
Агентства должны сообщать об инцидентах информационной безопасности, когда конфиденциальность, целостность или доступность федеральной информационной системы гражданского агентства исполнительной власти потенциально скомпрометированы, в CISA/US-CERT с необходимыми элементами данных, а также любыми другую доступную информацию в течение одного часа после того, как ее идентифицирует группа реагирования на инциденты компьютерной безопасности высшего уровня (CSIRT), Центр операций по обеспечению безопасности (SOC) или отдел информационных технологий агентства. В некоторых случаях может оказаться невозможным получить полную и проверенную информацию для раздела ниже (Отправка уведомлений об инцидентах) перед отчетом. Агентства должны предоставить свои наилучшие оценки во время уведомления и сообщать обновленную информацию по мере ее поступления. О событиях, которые, по мнению отчетного агентства, не влияют на конфиденциальность, целостность или доступность, можно добровольно сообщать в US-CERT; однако они не могут быть включены в ежегодный отчет FISMA Конгрессу.
Отправка уведомлений об инцидентах
Информационные элементы, описанные в шагах 1–7 ниже, требуются при уведомлении US-CERT об инциденте:
<р>1. Определите текущий уровень воздействия на функции или услуги агентства (Функциональное воздействие).2. Определите тип потерянной, скомпрометированной или поврежденной информации (информационное воздействие).
3. Оцените объем времени и ресурсов, необходимых для восстановления после инцидента (Восстанавливаемость).
4. Определите, когда активность была впервые обнаружена.
5. Определите количество затронутых систем, записей и пользователей.
6. Определите сетевое расположение наблюдаемой активности.
7. Укажите контактную информацию для получения дополнительной информации.
Важно! Не добавляйте конфиденциальную личную информацию (PII) в сообщения об инцидентах. Любая собранная контактная информация будет обрабатываться в соответствии с политикой конфиденциальности веб-сайта DHS. [3]
<р>8. Отправьте уведомление в US-CERT.Следующая информация также должна быть включена, если она известна на момент подачи:
<р>9. Определите вектор(ы) атаки, который привел к инциденту.10. Предоставьте любые индикаторы компрометации, включая сигнатуры или меры обнаружения, разработанные в связи с инцидентом.
11. Укажите любые меры по смягчению последствий, предпринятые в ответ на инцидент.
В течение часа после получения отчета CISA/US-CERT предоставит агентству:
- Номер для отслеживания инцидента.
- Рейтинг риска на основе системы оценки кибер-инцидентов (NCISS).
Отчеты можно отправлять с использованием формы отчета об инцидентах CISA/US-CERT; отправляйте электронные письма по адресу soc@us-cert.gov или отправляйте отчеты через Structured Threat Information eXpression (STIX) на адрес autosubmit@us-cert.gov (схема доступна по запросу).
Оценка воздействия и серьезности
Для поддержки оценки серьезности и приоритетности киберинцидентов на национальном уровне, в том числе тех, которые затрагивают организации частного сектора, CISA проанализирует следующие атрибуты инцидента с использованием NCISS:
- Функциональное влияние,
- Информационное воздействие,
- Возвратность,
- Место наблюдаемой активности
- Наблюдаемая активность
- Характеристика актера,
- Межотраслевая зависимость и
- Потенциальное влияние.
Примечание. От агентств не требуется и не ожидается предоставления информации о характеристиках действующих лиц, межотраслевой зависимости или потенциальном воздействии. Они оцениваются независимо обработчиками инцидентов и аналитиками CISA/US-CERT. Кроме того, наблюдаемая активность в настоящее время не требуется и основана на векторе атаки, если он известен, и сопоставляется с системой киберугроз Управления директора национальной разведки (ODNI). [4]
Эта информация будет использоваться для расчета степени серьезности в соответствии с NCISS. NCISS соответствует уровням приоритета схемы серьезности кибер-инцидентов (CISS): [5]
- Чрезвычайная ситуация (черный): представляет непосредственную угрозу предоставлению широкомасштабных услуг критической инфраструктуры, стабильности национального правительства или жизни жителей США.
- Тяжелый (красный): может привести к значительным последствиям для здоровья или безопасности населения, национальной безопасности, экономической безопасности, международных отношений или гражданских свобод.
- Высокий (оранжевый): вероятно, приведет к заметному воздействию на здоровье или безопасность населения, национальную безопасность, экономическую безопасность, международные отношения, гражданские свободы или общественное доверие.
- Средний (желтый): может повлиять на здоровье или безопасность населения, национальную безопасность, экономическую безопасность, международные отношения, гражданские свободы или общественное доверие.
- Низкий (зеленый): вряд ли повлияет на здоровье или безопасность населения, национальную безопасность, экономическую безопасность, международные отношения, гражданские свободы или общественное доверие.
- Исходный уровень – незначительный (синий): крайне маловероятно, что это повлияет на здоровье или безопасность населения, национальную безопасность, экономическую безопасность, международные отношения, гражданские свободы или общественное доверие.
- Базовый уровень – незначительный (белый): необоснованное или несущественное событие.
Крупные инциденты
FISMA требует от Административно-бюджетного управления (OMB) определения крупного инцидента и предписывает агентствам сообщать о крупных инцидентах в Конгресс в течение 7 дней после их выявления. Агентства должны соблюдать критерии, изложенные в последнем руководстве OMB, при определении того, следует ли классифицировать инцидент как крупный.
Пострадавшее агентство несет полную ответственность за определение того, следует ли считать инцидент серьезным, и может проконсультироваться с US-CERT, чтобы принять такое решение. Кроме того, если CISA/US-CERT определит, что инцидент соответствует критериям высокого (оранжевого) уровня критичности киберинцидентов, агентство предложит классифицировать этот инцидент как серьезный.
Согласно президентской директиве № 41 (PPD-41) – Координация киберинцидентов в США, все крупные инциденты также считаются значительными киберинцидентами, то есть они могут нанести очевидный ущерб национальной безопасности. интересам, международным отношениям или экономике Соединенных Штатов или общественному доверию, гражданским свободам или общественному здоровью и безопасности американского народа. Эти серьезные киберинциденты требуют единства усилий федерального правительства и особенно тесной координации между государственным и частным секторами, если это необходимо.
Описания категорий воздействия
В таблице ниже приведены описания каждой категории воздействия и связанные с ней уровни серьезности. Используйте приведенные ниже таблицы, чтобы определить уровни воздействия и подробности инцидента.
Примечание. Инциденты могут повлиять на несколько типов данных; следовательно, D/A могут выбрать несколько вариантов при определении информационного воздействия. Классификация безопасности федеральной информации и информационных систем должна быть определена в соответствии с публикацией 199 федеральных стандартов обработки информации (FIPS). Конкретные пороговые значения для доступности при потере обслуживания (например, все, подмножество, потеря эффективности) должны быть определены отчетная организация. Обратитесь в службу безопасности за инструкциями по реагированию на утечку секретных данных.
Вектора атаки
Чтобы четко сообщать об инцидентах федеральному правительству и поддерживаемым организациям, правительственным группам реагирования на инциденты необходимо принять общий набор терминов и взаимосвязей между этими терминами.Все элементы федерального правительства должны использовать эту общую таксономию. Ниже приведен общий набор векторов атак и их описания, разработанные на основе NIST SP 800-61, редакция 2. Федеральные гражданские агентства должны использовать следующую таксономию векторов атак при отправке уведомлений об инцидентах кибербезопасности в US-CERT.
Таксономия векторов атак
Вектор атаки | Описание | Пример |
---|---|---|
Неизвестно | Причина атаки не идентифицирован. | Этот вариант допустим, если причина (вектор) неизвестна при первоначальном сообщении. Вектор атаки может быть обновлен в последующем отчете. |
Истощение | Атака, использующая методы грубой силы для компрометации, деградации или уничтожения систем. , сети или службы. | Отказ в обслуживании, направленный на ухудшение или отказ в доступе к приложению; атака грубой силы против механизма аутентификации, такого как пароли или цифровые подписи. |
Интернет | Атака, выполняемая с веб-сайта или веб-приложения. | Атака с использованием межсайтовых сценариев, используемая для кражи учетных данных или перенаправления на сайт, который использует уязвимость браузера и устанавливает вредоносное ПО. |
Электронная почта/Фишинг< /td> | Атака, выполняемая через сообщение электронной почты или вложение. | Код эксплойта, замаскированный под вложенный документ, или ссылку на вредоносный веб-сайт в теле сообщения электронной почты. |
Внешний/съемный носитель | Атака, выполняемая со съемного носителя или периферийного устройства. | Вредоносный код, распространяющийся на систему с зараженного флэш-накопителя . |
Олицетворение/спуфинг | Атака, связанная с заменой законного контента/услуг вредоносным заменителем | Спуфинг, человек в промежуточные атаки, мошеннические точки беспроводного доступа и язык структурированных запросов i Все атаки с внедрением связаны с выдачей себя за другое лицо. |
Неправильное использование | Любой инцидент, возникший в результате нарушения допустимых политик использования организации авторизованным пользователем, за исключением вышеуказанных категорий. | Пользователь устанавливает программное обеспечение для обмена файлами, что приводит к потере конфиденциальных данных; или пользователь выполняет незаконные действия в системе. |
Потеря или кража оборудования | Потеря или кража вычислительного устройства или носителя, используемого организацией . | Потерянный ноутбук или мобильное устройство. |
Другое | Метод атаки не вписывается ни в какой другой вектор |
Атрибуты инцидента
Следующие определения атрибутов инцидента взяты из NCISS.
Категория атрибутов | Определения атрибутов |
---|---|
Место наблюдаемой активности: Где в сети была обнаружена наблюдаемая активность. | УРОВЕНЬ 1 – ДЕЛОВАЯ ДЕМИЛИТЕРИЗОВАННАЯ ЗОНА – Активность наблюдалась в демилитаризованной зоне деловой сети (ДМЗ) |
УРОВЕНЬ 2 – ДЕЛОВАЯ СЕТЬ – Активность наблюдалась в деловой или корпоративной сети жертва. Этими системами будут рабочие станции корпоративных пользователей, серверы приложений и другие неосновные системы управления. | |
УРОВЕНЬ 3 — УПРАВЛЕНИЕ БИЗНЕС-СЕТЬЮ — Активность наблюдалась в системах управления бизнес-сетями, таких как рабочие станции административных пользователей, серверы Active Directory или другие доверенные хранилища. | |
УРОВЕНЬ 4 — КРИТИЧЕСКАЯ СИСТЕМА DMZ — активность наблюдалась в DMZ, которая существует между бизнес-сетью и критической системой. сеть. Эти системы могут быть внутренними службами, такими как сайты SharePoint, финансовые системы, или ретранслировать «переходные» блоки в более важные системы. в управлении критически важными системами высокого уровня, такими как человеко-машинные интерфейсы (ЧМИ) в промышленных системах управления. | |
УРОВЕНЬ 6 — КРИТИЧЕСКИЕ СИСТЕМЫ — Активность наблюдалась в критических системах, которые работают критические процессы, такие как программируемые логические контроллеры в средах промышленных систем управления. | |
УРОВЕНЬ 7 – СИСТЕМЫ БЕЗОПАСНОСТИ – Активность наблюдалась в критических системах безопасности, которые обеспечивают безопасную работу среды. Одним из примеров критически важной системы безопасности является система пожаротушения. | |
НЕИЗВЕСТНО — Активность наблюдалась, но сегмент сети не мог быть идентифицирован. | |
Характеристика актера | Тип актера(ов), вовлеченных в инцидент (если известен). Этот элемент не выбран отчитывающейся организацией. |
Зависимость от разных секторов | Весовой коэффициент, который определяется на основе межотраслевого анализа, проведенного Управлением DHS по анализу критически важной инфраструктуры (OCIA). Этот элемент не выбран отчитывающейся организацией. |
Потенциальное воздействие | Оценка общенационального воздействия в результате полной потери обслуживания затронутым организация. Этот элемент не выбран отчитывающейся организацией. |
Примечание. От агентств не требуется и не ожидается предоставления информации о характеристиках действующих лиц, межотраслевой зависимости или потенциальном воздействии. Они оцениваются независимо обработчиками инцидентов и аналитиками CISA/US-CERT. Кроме того, наблюдаемая активность в настоящее время не требуется и основывается на векторе атаки, если он известен, и сопоставляется с платформой киберугроз ODNI.
Доступны предыдущие версии приведенных выше рекомендаций:
Сообщение о контактной информации:
CISA Central — Операции NCR
- Секретный телефон: NSTS: 717-7156, TS-VOIP: 766-9743
- Электронная почта HSDN (секретная): Central@dhs.sgov.gov
- Электронная почта JWICS (совершенно секретно): Central@dhs.ic.gov
- Служба поддержки CISA: (888)-282-0870
Ссылки
[1] См. 44 U.S.C. § 3552(б)(2). FISMA также использует термины «инцидент безопасности» и «инцидент информационной безопасности» вместо инцидента.
[6] Как определено в Меморандуме OMB M-07-16, «информация, позволяющая установить личность», означает «информацию, которая может быть использована для идентификации или отслеживания личности человека».
[7] Согласно определению NIST, «служебная информация» — это «информация, которая не является общедоступной и рассматривается как собственность владельца, при этом владелец этой информации несет ответственность за ее объявление и обращение с ней как с частной собственностью».
В соответствии с политикой IT-19, Доступ к институциональным данным, владельцы бизнеса (как определено в IT-16, Роли и обязанности по политике информационной безопасности) будут оценивать институциональную риски и угрозы для данных, за которые они несут ответственность. Этот анализ рисков затем используется владельцами бизнеса для классификации систем (конечных точек, серверов, приложений) по одной из трех категорий риска:
- Низкий риск
- Система обрабатывает и/или хранит общедоступные данные
- Система легко восстанавливается и воспроизводима
- Система предоставляет информационный/некритичный сервис
- Система обрабатывает и/или хранит закрытые данные или данные для внутреннего использования.
- Системе доверяют другие сетевые системы.
- Система предоставляет обычные или важные услуги
- Система обрабатывает и/или хранит конфиденциальные или ограниченные данные.
- Системе доверяют сетевые системы пользовательского интерфейса.
- Система предоставляет важные или общедоступные услуги
Анализ рисков должен учитывать конфиденциальность данных, обрабатываемых и хранимых системой, а также вероятность и последствия потенциальных угроз. Мы используем простую методологию для преобразования этих вероятностей в уровни риска и общий уровень риска системы.
Оценка угроз
Оценка рисков – это совокупность рисков, связанных с различными потенциальными угрозами. «Угроза» — это любое событие, которое может привести к потере конфиденциальности, целостности или доступности системы и данных, которые она хранит и/или обрабатывает.
Несмотря на то, что с системой могут быть связаны сотни потенциальных угроз, их можно разделить на три основные категории:
- Потеря конфиденциальности:
- Система и ее данные взломаны внешними хакерами.
- Система и ее данные публикуются без согласования.
- Система и ее данные ошибочно публикуют данные в общедоступных частях системы (например, на веб-странице) без авторизации
- Системе и ее данным больше нельзя доверять
- Система и ее данные неполны или неверны
- Система и ее данные больше не существуют (например, отказ жесткого диска, разрушение системы)
- Система и ее данные больше не отвечают на действительные запросы пользователя или пользователей (системный сбой)
- Система и ее данные не могут быть получены авторизованным пользователем (например, атака типа «отказ в обслуживании»)
Эти категории угроз можно затем использовать для расчета связанного с ними уровня риска, а также общего риска системы:
Расчет уровней риска
Уровни риска рассчитываются как произведение ВЕРОЯТНОСТИ и ВЛИЯНИЯ (на университет) события потенциальной угрозы/категории события угрозы:
Например, угроза, вероятность которой "маловероятна", а воздействие "умеренное", оценивается как "умеренный" риск:
Как правило, сетевые системы, обрабатывающие данные, защищенные федеральным законодательством или законодательством штата (HIPAA, FERPA, FISMA, ITAR и т. д.) или отраслевыми стандартами (PCI-DSS), считаются системами с высоким риском. Это связано с тем, что вероятность компрометации (как минимум) возможна, а последствия (из-за нарушения нормативных или отраслевых стандартов) считаются серьезной потерей конфиденциальности.
Затем рассчитывается уровень риска для каждой категории угроз. Общий уровень риска для системы равен НАИБОЛЬШЕМУ уровню риска для любого события риска. Например:
Поскольку одно из событий риска было оценено как "высокий риск", общий уровень риска для системы высокий.
Узнайте о различных типах классификации и о том, как эффективно классифицировать ваши данные, из нашей серии статей по защите данных 101, посвященной основам безопасности данных.
Определение классификации данных
Классификация данных в широком смысле определяется как процесс организации данных по соответствующим категориям, чтобы их можно было использовать и защищать более эффективно. На базовом уровне процесс классификации упрощает поиск и извлечение данных. Классификация данных имеет особое значение, когда речь идет об управлении рисками, соблюдении нормативных требований и безопасности данных.
Классификация данных включает в себя пометку данных, чтобы упростить поиск и отслеживание. Это также устраняет многократное дублирование данных, что может снизить затраты на хранение и резервное копирование, а также ускорить процесс поиска. Хотя процесс классификации может показаться слишком техническим, это тема, которую должно понимать руководство вашей организации.
Причины классификации данных
Со временем классификация данных значительно улучшилась. Сегодня эта технология используется для самых разных целей, часто в поддержку инициатив по обеспечению безопасности данных. Но данные могут быть засекречены по ряду причин, включая простоту доступа, соблюдение нормативных требований и различные другие деловые или личные цели. В некоторых случаях классификация данных является нормативным требованием, поскольку данные должны быть доступны для поиска и извлечения в указанные сроки. В целях безопасности данных классификация данных является полезной тактикой, которая облегчает принятие надлежащих мер безопасности в зависимости от типа извлекаемых, передаваемых или копируемых данных.
Типы классификации данных
Классификация данных часто включает множество тегов и меток, которые определяют тип данных, их конфиденциальность и целостность. Доступность также может учитываться в процессах классификации данных. Уровень конфиденциальности данных часто классифицируется на основе различных уровней важности или конфиденциальности, которые затем соотносятся с мерами безопасности, применяемыми для защиты каждого уровня классификации.
Существует три основных типа классификации данных, которые считаются отраслевыми стандартами:
- Классификация на основе содержания проверяет и интерпретирует файлы в поисках конфиденциальной информации.
- Контекстная классификация рассматривает приложение, местоположение или создателя среди других переменных как косвенные индикаторы конфиденциальной информации.
- Классификация на основе пользователей зависит от ручного выбора каждого документа конечным пользователем. Классификация на основе пользователей основывается на знаниях пользователей и их усмотрении при создании, редактировании, просмотре или распространении для пометки конфиденциальных документов.
Подходы, основанные на содержании, контексте и пользователях, могут быть как правильными, так и неправильными в зависимости от потребностей бизнеса и типа данных.
Определение риска данных
В дополнение к типам классификации организации целесообразно определить относительный риск, связанный с типами данных, способами обработки этих данных и местами их хранения/отправки (конечными точками). Общепринятой практикой является разделение данных и систем на три уровня риска
- Низкий риск. Если данные общедоступны и их нелегко потерять (например, легко восстановить), этот сбор данных и окружающие его системы, вероятно, представляют меньший риск, чем другие.
- Умеренный риск. По сути, это данные, которые не являются общедоступными или используются внутри (вашей организацией и/или партнерами). Тем не менее, это также вряд ли слишком критично для операций или деликатно, чтобы быть «высоким риском». Собственные операционные процедуры, стоимость товаров и некоторая документация компании могут относиться к категории умеренных.
- Высокий риск. К категории высокого риска относится все, что имеет удаленную конфиденциальность или имеет решающее значение для операционной безопасности. Кроме того, фрагменты данных, которые чрезвычайно трудно восстановить (в случае потери). Все конфиденциальные, конфиденциальные и необходимые данные относятся к категории высокого риска.
Примечание. Некоторые также используют более детализированную шкалу, добавляя «серьезный» риск или другие категории, чтобы лучше различать данные.
Использование матрицы классификации данных
Некоторым организациям может быть несложно создавать и маркировать данные. Если типов данных не так много или, возможно, в вашем бизнесе меньше транзакций, определить риск данных и ваших систем, скорее всего, будет несложно. Тем не менее, многим организациям, работающим с большими объемами или несколькими типами данных, вероятно, потребуется комплексный способ определения их риска. Для этого многие используют «матрицу классификации данных».
Создание матрицы оценки данных и/или систем по степени вероятности их взлома и степени конфиденциальности этих данных поможет вам быстро определить, как лучше классифицировать и защитить все конфиденциальные данные.
Пример классификации данных
Организация может классифицировать данные как ограниченные, частные или общедоступные. В этом случае общедоступные данные представляют собой наименее конфиденциальные данные с самыми низкими требованиями к безопасности, в то время как данные с ограниченным доступом имеют наивысшую классификацию безопасности и представляют наиболее конфиденциальные данные. Этот тип классификации данных часто является отправной точкой для многих предприятий, после чего следуют дополнительные процедуры идентификации и маркировки, которые маркируют данные на основе их отношения к предприятию, качества и других классификаций. В наиболее успешных процессах классификации данных используются дополнительные процессы и структуры для хранения конфиденциальных данных там, где они должны быть.
Процесс классификации данных
Классификация данных может быть сложным и громоздким процессом. Автоматизированные системы могут помочь упростить процесс, но предприятие должно определить категории и критерии, которые будут использоваться для классификации данных, понять и определить свои цели, определить роли и обязанности сотрудников в поддержании надлежащих протоколов классификации данных и внедрить стандарты безопасности, которые соответствуют категориям данных и тегам. При правильном выполнении этот процесс предоставит сотрудникам и третьим лицам, участвующим в хранении, передаче или поиске данных, операционную структуру. В приведенном ниже видеоролике представлены методы классификации конфиденциальных данных, взятые из нашего вебинара «Как классификация определяет вашу стратегию безопасности данных», который представляет Гаррет Беккер, старший аналитик по информационной безопасности в 451 Research. Полный вебинар можно посмотреть здесь.
Политики и процедуры должны быть четко определены, учитывать требования безопасности и конфиденциальность типов данных, а также быть достаточно простыми, чтобы сотрудники, содействующие соблюдению требований, могли их легко интерпретировать. Например, каждая категория должна включать информацию о типах данных, включенных в классификацию, соображениях безопасности с правилами извлечения, передачи и хранения данных, а также о потенциальных рисках, связанных с нарушением политик безопасности.
Классификация данных GDPR
С учетом действующего Общего регламента по защите данных (GDPR) классификация данных как никогда важна для компаний, которые хранят, передают или обрабатывают данные, относящиеся к гражданам ЕС. Этим компаниям крайне важно классифицировать данные, чтобы можно было легко идентифицировать все, на что распространяется GDPR, и можно было принять соответствующие меры безопасности.
Кроме того, GDPR обеспечивает повышенную защиту для определенных категорий персональных данных. Например, GDPR прямо запрещает обработку данных, касающихся расового или этнического происхождения, политических взглядов, религиозных или философских убеждений. Соответствующая классификация таких данных может значительно снизить риск проблем с соблюдением требований.
Этапы эффективной классификации данных
- Понимание текущей настройки. Подробное изучение местоположения текущих данных и всех правил, относящихся к вашей организации, возможно, является лучшей отправной точкой для эффективной классификации данных. Вы должны знать, какие данные у вас есть, прежде чем вы сможете их классифицировать.
- Создание политики классификации данных. Соблюдение принципов защиты данных в организации практически невозможно без надлежащей политики. Создание политики должно быть вашим главным приоритетом.
- Расставьте приоритеты и систематизируйте данные. Теперь, когда у вас есть политика и представление ваших текущих данных, пришло время правильно классифицировать данные. Выберите лучший способ пометить данные с учетом их конфиденциальности и конфиденциальности.
Классификация данных дает больше преимуществ, чем простой поиск данных.Классификация данных необходима для того, чтобы современные предприятия могли разобраться в огромном количестве данных, доступных в любой момент.
Классификация данных дает четкое представление обо всех данных, находящихся под контролем организации, и понимание того, где хранятся данные, как легко получить к ним доступ и как лучше всего защитить их от потенциальных угроз безопасности. После внедрения классификация данных обеспечивает организованную структуру, которая обеспечивает более адекватные меры защиты данных и способствует соблюдению сотрудниками политик безопасности.
Информационные ресурсы являются одними из самых ценных активов, принадлежащих Университету Джорджии (UGA). UGA производит, собирает и использует множество различных типов данных для выполнения своей миссии. Законы и институциональная политика предписывают конфиденциальность и защиту определенных типов данных, а потребность Университета в управлении рисками для своей репутации и для своих участников требует защиты другой информации. Классификация данных — это первый шаг к определению необходимости защиты данных.
2.0 Цель / Цель
Этот стандарт призван помочь сотрудникам UGA классифицировать данные в целях определения необходимости их защиты и определения применимых политик и законов.
Область 3.0
Этот стандарт можно использовать для классификации любых данных, которые хранятся, обрабатываются или передаются UGA. Стандарт применяется ко всем типам данных:
- Электронные данные,
- Данные записываются на бумагу и
- Информация, передаваемая устно, визуально или другими способами.
Стандарт 4.0
4.1 Классификация
Данные можно классифицировать либо с точки зрения необходимости их защиты (например, конфиденциальные данные), либо с точки зрения их доступности (например, критические данные). Чтобы классифицировать данные с точки зрения необходимости их защиты, используйте раздел 4.1.1 настоящего стандарта. Чтобы классифицировать данные по срокам или потребностям в их доступности, используйте раздел 4.1.2 этого стандарта.
4.1.1 Классификация данных в соответствии с потребностями в защите
Сопоставьте любые данные, которые необходимо классифицировать, с одной из четырех категорий, которые лучше всего описывают потребность в конфиденциальности и профиль риска. Четыре категории: общедоступные, внутренние, конфиденциальные и ограниченные.
4.1.1.1 Общедоступные данные. Данные могут быть раскрыты без ограничений. Примеры – каталоги, карты, программы и учебные материалы, обезличенные наборы данных и т. д.
4.1.1.2 Внутренние данные. Предпочтительна конфиденциальность данных, но информация, содержащаяся в данных, может подлежать открытому раскрытию. Примеры – переписка по электронной почте, бюджетные планы, EmplID сотрудника и т. д.
4.1.1.3 Конфиденциальные данные. Конфиденциальность данных требуется по закону, политике или договорным обязательствам.
Характеристики конфиденциальных данных
- Риск несоблюдения требований: защита данных предусмотрена законом (например, FERPA) или требуется в соответствии с частным договором (например, соглашения о неразглашении).
- Репутационный риск: потеря конфиденциальности или целостности нанесет значительный ущерб репутации UGA. Например, потеря номеров социального страхования или порча веб-сайта UGA, скорее всего, станут новостью, которая появится в средствах массовой информации.
- Другие риски: потеря конфиденциальности, которая может причинить вред отдельным лицам, например учащимся UGA, персоналу, спонсорам и партнерам. Потеря конфиденциальности или целостности, из-за которой UGA понесет значительные расходы в ответ.
- Обработка запросов на раскрытие информации. Конфиденциальная информация, как правило, удаляется из открытых сведений.
Примеры конфиденциальных данных
- Документы учащихся и документы потенциальных учащихся (без номеров социального страхования)
- Доклады спонсоров и выпускников
- Важно важная информация об инфраструктуре (данные о физическом объекте, информация об ИТ-системах, системные пароли, планы информационной безопасности и т. д.)
- Информация об исследованиях, связанных со спонсорством, финансированием, человеческим объектом и т. д.
- Информация защищена соглашениями о неразглашении (NDA) или аналогичными частными договорами.
- Записи правоохранительных органов и следственных органов
- Идентификационный номер UGA (также известный как номер 81X)
4.1.1.4 Данные с ограниченным доступом. Данные с ограниченным доступом требуют защиты конфиденциальности и безопасности. Для использования и сбора может потребоваться специальное разрешение. Примеры — наборы данных с индивидуальными номерами социального страхования (или последними четырьмя номерами SSN), данными о транзакциях по кредитным картам или держателях карт, данными о здоровье пациентов, финансовыми данными и т. д.
Характеристики данных с ограниченным доступом
- Утверждение старшего вице-президента (SVP). Старшие вице-президенты UGA или назначенные ими лица должны разрешать хранение, обработку и передачу информации с ограниченным доступом.
- Риск несоблюдения требований. Защита информации предусмотрена законом (HIPAA, GLBA) или требуется в соответствии с частным договором (PCI DSS).
- Репутационный риск: потеря конфиденциальности или целостности нанесет значительный ущерб репутации UGA.
- Другие риски: потеря конфиденциальности или целостности информации, которая может причинить вред отдельным лицам и привести к значительным расходам Университета в ответ.
- Обработка запросов на открытие записей. Записи с ограниченной информацией обычно не открываются для публичного ознакомления.
Примеры данных с ограниченным доступом
- Номера социального страхования (SSN) или последние четыре цифры SSN физического лица.
- Финансовая информация и номера счетов, включая полный 16-значный номер карты UGACard.
- Данные владельца платежной карты
- Защищенная медицинская информация
4.1.2 Классификация данных в соответствии с потребностями в доступности
Сопоставьте любые данные, которые необходимо классифицировать в соответствии с потребностями в доступности, с одной из трех категорий, которые лучше всего описывают потребность в доступности. Эти три категории: «Поддерживающая», «Высокоприоритетная» и «Критическая».
4.1.2.1 Вспомогательные данные. Вспомогательные данные необходимы для повседневных операций, но не являются критически важными для миссии или основных функций университета или отдела/подразделения/колледжа. Примеры — материалы курса, протоколы собраний, изображения рабочих станций и т. д.
4.1.2.2 Высокоприоритетные данные. Доступность данных необходима для работы отдела. Уничтожение или временная потеря данных может отрицательно сказаться на задачах колледжа или отдела, но не повлияет на работу университета в целом.
4.1.2.3 Критические данные. Важнейшие данные нуждаются в максимальной доступности. Если информация будет недоступна из-за простоя системы, модификации, разрушения и т. д., это повлияет на функции и миссию Университета. Доступность этой информации должна быть строго защищена.
Характеристики важных данных
- Риск, связанный с выполнением задачи. Кратковременная или длительная потеря доступности может помешать UGA выполнять свои основные функции или миссию.
- Риск для здоровья и безопасности. Потеря доступности может создать угрозу для здоровья или безопасности отдельных лиц. (например, данные уведомлений о чрезвычайных ситуациях, данные о состоянии здоровья и т. д.).
- Риск несоблюдения: доступность информации предусмотрена законом (HIPAA, GLBA) или требуется в соответствии с частным договором.
- Репутационный риск: потеря данных нанесет значительный ущерб репутации UGA.
Примеры важных данных
- Экстренное уведомление/контактные данные
- Данные о здравоохранении.
- История учащихся
4.2 Защита
В таблице ниже приведены минимальные стандартные требования к защите для каждой категории данных при использовании или обработке в определенном контексте (например, конфиденциальные данные, отправляемые в сообщении электронной почты). Обратите внимание, что приведенные ниже стандарты защиты не предназначены для замены каких-либо нормативных или договорных требований по обработке данных. Некоторые определенные наборы данных, такие как данные успеваемости учащихся, данные кредитных/дебетовых карт, медицинские данные и данные финансового счета, могут иметь более строгие требования в дополнение к минимальным стандартным требованиям, перечисленным ниже.
Отделы/колледжи, которые собирают и/или используют данные с ограниченным доступом, должны участвовать в Программе информационной безопасности клиентов, сообщая о конфиденциальных серверах в Управление информационной безопасности EITS.
Отделы/колледжи, которые собирают и/или используют данные с ограниченным доступом, должны участвовать в Программе информационной безопасности клиентов, сообщая о серверах с ограниченным доступом в Управление информационной безопасности EITS.
Веб-страницы университета, которые используются для сбора ограниченных данных, должны содержать ссылку на Политику конфиденциальности UGA.
Нельзя использовать SSN для идентификации членов сообщества UGA, если есть разумная альтернатива.
SSN не должны использоваться в качестве имени пользователя или пароля.
Номера SSN не должны собираться для лиц, не прошедших проверку подлинности.
Согласно требованиям Политики доступа к данным UGA, любой доступ должен быть одобрен соответствующим владельцем данных и отслеживаться таким образом, чтобы его можно было проверить.
Согласно требованиям Политики доступа к данным UGA, любой доступ должен быть одобрен соответствующим владельцем данных и отслеживаться таким образом, чтобы его можно было проверить.
Конфиденциальные данные не могут публиковаться публично.
Хранение данных PAN кредитной/дебетовой карты не разрешено.
Доступ к любой области, где хранятся печатные записи с ограниченными данными, должен быть ограничен с помощью средств контроля (например, замков, дверей, мониторинга и т. д.), достаточных для предотвращения несанкционированного проникновения.
Номера социального страхования не должны быть напечатаны ни на одной карте, необходимой для доступа к услугам.
5.0 Правоприменение и реализация
5.1 Роли и обязанности
Каждый отдел/подразделение университета несет ответственность за реализацию, проверку и мониторинг внутренних политик, практики и т. д., чтобы обеспечить соблюдение этого стандарта.
За обеспечение соблюдения этого стандарта отвечает офис директора по информационным технологиям.
5.2 Последствия и санкции
Несоблюдение этих стандартов может повлечь за собой те же виды дисциплинарных мер и последствий, что и нарушения других политик Университета, включая прогрессивные дисциплинарные взыскания вплоть до увольнения или, в случаях, когда речь идет о студентах, сообщение о нарушениях. Нарушение Кодекса поведения учащихся.
Любое устройство, которое не соответствует минимальным требованиям безопасности, изложенным в этом стандарте, может быть удалено из сети UGA, отключено и т. д. до тех пор, пока устройство не будет соответствовать этому стандарту.
Исключения 6.0
Исключения могут быть предоставлены в случаях, когда риски безопасности снижаются альтернативными методами, или в случаях, когда риски безопасности находятся на низком приемлемом уровне, а соблюдение минимальных требований безопасности может помешать законным академическим или деловым потребностям. Чтобы запросить исключение безопасности, обратитесь в Управление информационной безопасности по адресу infosec@uga.edu.
Различные типы компьютеров можно разделить на шесть основных категорий в зависимости от размера. Каждая категория отличается особыми функциями.
- Суперкомпьютеры
- Мейнфреймы
- Мини-компьютеры
- Серверы
- Персональные компьютеры
- Встроенные системы
Как правило, размер компьютера определяет возможности обработки. Компьютеры большего размера имеют более высокую скорость обработки, а компьютеры меньшего размера лучше подходят для персональных компьютеров.
Суперкомпьютеры
Возможно, они являются самыми мощными с точки зрения скорости и точности. Это типы компьютеров, используемые для решения сложных математических вычислений. Они способны выполнять триллионы инструкций в секунду, что рассчитывается в операциях с плавающей запятой в секунду (FLOPS).
Обычный персональный компьютер, используемый дома и в офисе, способен выполнять только миллионы операций в секунду (MIPS). Суперкомпьютеры могут работать еще быстрее со скоростью петафлопс (или пфлопс). Это может довести количество их обработки до квадриллиона.
Суперкомпьютеры стали популярными в 1960 году благодаря Сеймору Крэю. Вскоре они стали выбором для сложных проектов. Они превратились из сетки в кластерные системы массовых параллельных вычислений.
Вычисления в кластерной системе означают, что машины используют несколько процессоров в одной системе, а не массивы отдельных компьютеров в сетке.
Операционные системы, работающие на суперкомпьютерах, различаются в зависимости от производителя, но обычно основаны на ядре Linux. Некоторые популярные из них включают,
- ОС CNK, используемая в Blue Gene от IBM
- Среда Cray Linux, используемая в Titan
- Sunway Raise OS в Sunway TaihuLight
Эти компьютеры являются самыми большими по размеру. Они могут занимать от нескольких футов до сотен футов. Они также недешевы, поскольку могут стоить от 200 000 долларов США до более чем 100 млн долларов США.
Tianhe-2 был самым быстрым суперкомпьютером в 2013–2015 годах
Лучшие суперкомпьютеры с 2008 года
Использование суперкомпьютеров
Из-за своего превосходства суперкомпьютеры не предназначены для решения ваших повседневных задач. Они справляются со сложными научными приложениями, требующими сложной обработки в режиме реального времени.
- В области науки исследователи используют эти машины для вычисления и моделирования свойств биологических соединений, таких как белок и кровь человека. Они также используются для интерпретации новых заболеваний и штаммов, а также для прогнозирования поведения и лечения заболеваний.
- Военные используют суперкомпьютеры для тестирования новых самолетов, танков, множества видов оружия и камуфляжа. Они также используют их, чтобы понять, какое влияние они окажут на солдат и войну. Эти машины также используются для шифрования и расшифровки конфиденциальных данных.
- В индустрии развлечений суперкомпьютеры используются для обеспечения безупречного игрового процесса в Интернете. Такие игры, как World ofWarcraft, требуют интенсивной обработки. Когда играют тысячи игроков по всему миру, суперкомпьютеры помогают стабилизировать производительность игры.
- Метеорологи используют их для имитации поведения погоды. Их также можно использовать для прогнозирования землетрясений.
- Ученые используют их для моделирования и проверки последствий взрыва ядерного оружия.
- Ученые также используют их для моделирования событий Большого взрыва и других космических проектов.
- Голливуд использует суперкомпьютеры для создания реалистичной анимации.
- Знаменитые суперкомпьютеры Deep Blue и Watson победили гроссмейстера по шахматам Гэри Каспарова и эксперта по викторинам Кена Дженнингса соответственно.
250+ цитат о собаках и идей подписей для Instagram
Обзор устройства языкового переводчика Timekettle M2
8 лучших альтернатив Adobe Reader, которые должен использовать каждый
Мейнфреймы
Мейнфреймы – это компьютеры большого размера. Они одинаково мощны, но не соответствуют вычислительным возможностям суперкомпьютеров. Они похожи на большие файловые серверы, позволяя нескольким пользователям из близлежащих и удаленных мест одновременно получать доступ к ресурсам. Эти системы, также известные как большое железо, могут одновременно обрабатывать огромные объемы данных. Это делает их популярными среди компаний.
- Они также устойчивы, поскольку способны работать более 10 лет без сбоев.
- Пользователи получают доступ к мейнфрейму с помощью терминалов или персональных компьютеров. Это может происходить в пределах одного здания или через глобальную сеть (WAN).
- Большинство этих систем работают под управлением z/OS (операционной системы) с 64-разрядной архитектурой.
Мейнфрейм IBM System z9 — это компьютер большого размера
Использование мейнфреймов
Они используются в крупных организациях, где тысячи клиентов должны одновременно получать доступ к данным.
- Снятие и внесение наличных в банкоматах. Во время этого процесса связь между мейнфреймом и удаленным компьютером поможет выполнить текущие финансовые операции.
- Коммерческие операции с использованием кредитных карт или карт предоплаты.
- Электронные онлайн-транзакции.
- Облачное хранилище.
- Обработка карт пациентов в крупных больницах.
- Бронирование и расписание поездок для авиакомпаний.
- Манипулирование и подсчет данных для целей переписи населения и выборов.
Цена мэйнфреймов, особенно от IBM, начинается с 75 000 долларов США и может доходить до 1 млн долларов.
System z9, Fujitsu-ICL VME и Hitachi Z800 являются примерами мейнфреймов.
Мини-компьютеры
Мини-компьютеры — это устройства общего назначения, не требующие монументальных затрат, связанных с более крупной системой. Их вычислительная мощность ниже, чем у мэйнфреймов, но выше возможностей персональных компьютеров.
Prototyp 1990, MicroVAX II Clone Minicomputer — компьютер среднего размера
Также известные как компьютеры среднего класса, они стали популярными в конце 1960-х годов, но практически исчезли из-за популярности персональных компьютеров. Последние теперь могут выполнять большинство задач, предназначенных для мини.
Первый миникомпьютер был представлен в 1967 году компанией Digital Equipment Corporation, а позже за ним последовали разработки IBM и других компаний.
Они стали популярны благодаря функциям, связанным с управлением, а не вычислительной мощности. В течение многих лет их использование ограничивалось специальными контрольными заданиями в организациях среднего размера.
Мини-компьютеры предназначались для ряда действий, перечисленных ниже:
- Управление коммутатором.
- Специальные приложения для графики и компьютерного дизайна.
- Совместное использование времени, позволяющее нескольким пользователям одновременно взаимодействовать в одной системе.
- Контроль и мониторинг производственной деятельности.
- Мониторинг и контроль лабораторного оборудования.
Texas Instrument TI-990, K-202 и MicroVAX II являются примерами миникомпьютеров.
Серверы
Эти типы компьютеров используются для предоставления ресурсов, услуг и функций клиентским компьютерам в сетевой модели сервер-клиент. Предоставляемые ресурсы основаны на функциях конкретного сервера, которые могут подпадать под следующие категории:
- Файловый сервер
- Сервер базы данных
- Сервер печати
- FTP-серверы
- Сервер приложений
- Веб-сервер
Их размеры будут зависеть от назначения и задач в сети. Конечно, более крупные и многозадачные установки потребуют установки нескольких систем и хранилищ.
Распространенное заблуждение заключается в том, что настольные системы можно использовать в качестве серверов.На самом деле настоящие серверные системы — это специализированные компьютеры, возможности которых намного превосходят возможности персональных компьютеров.
Серверы оптимизированы для работы в течение 24 часов и могут выполнять горячую замену хранилища и другого оборудования без отключения системы.
Отсек для дисков с возможностью горячей замены в серверной системе
Микрокомпьютеры/персональные компьютеры
Микрокомпьютеры — это самые маленькие, наименее дорогие и наиболее часто используемые типы компьютеров. Они имеют небольшой объем памяти, меньшую вычислительную мощность, физически меньше и допускают меньшее количество периферийных устройств по сравнению с суперкомпьютерами и мейнфреймами. Они более известны как персональные компьютеры или просто ПК. Первоначально этот термин использовался для обозначения компьютеров, совместимых с IBM.
Они стали популярны в 70-х и 80-х годах, на заре появления микропроцессорных чипов. Эти чипы означали, что машина, используемая одним человеком, теперь стала возможной.
Появление ПК означало более дешевые альтернативы более дорогим и централизованным системам. Они были более доступны для офисного использования и создавали более дешевую сетевую среду. К середине 1990-х они стали де-факто предпочтительным компьютером для офисов и дома. За последние 20 лет появилось множество еще более мелких систем.
Это ознаменовало начало эпохи мобильных устройств, которая продолжала развиваться вместе с тенденцией к использованию устройств меньшего размера в новом столетии. В конечном итоге это привело к появлению носимых компьютеров и гаджетов.
Операционные системы, используемые на персональных компьютерах, различаются, но наиболее распространены следующие:
Читайте также: