Информационная безопасность

Из Википедии, бесплатной энциклопедии

Информационная безопасность , иногда сокращаемая до информационной безопасности , [1] это практика защиты информации путем снижения информационных рисков. Это часть управления информационными рисками . [2] [3] Обычно это предполагает предотвращение или снижение вероятности несанкционированного или ненадлежащего доступа к данным или незаконного использования, раскрытия , нарушения, удаления, повреждения , изменения, проверки, записи или обесценивания информации. [4] Это также включает в себя действия, направленные на уменьшение негативных последствий таких инцидентов. Защищенная информация может принимать любую форму, например, электронную или физическую, материальную (например, документы ) или нематериальную (например, знания ). [5] [6] Основной задачей информационной безопасности является сбалансированная защита данных конфиденциальности , целостности и доступности (также известная как триада «ЦРУ») при сохранении фокуса на эффективной политики реализации , и все это без ущерба для производительности организации . [7] Во многом это достигается за счет структурированного процесса управления рисками , который включает в себя:

  • Выявление информации и связанных с ней активов , а также потенциальных угроз , уязвимостей и воздействий;
  • Оценка рисков
  • Принятие решения о том, как устранить или обрабатывать риски, т. е. избегать, смягчать, разделять или принимать их.
  • Если требуется снижение рисков, выбор или разработка соответствующих мер безопасности и их внедрение.
  • Мониторинг деятельности и внесение корректировок по мере необходимости для решения любых проблем, изменений или возможностей улучшения. [8]

Чтобы стандартизировать эту дисциплину, ученые и специалисты сотрудничают, чтобы предложить рекомендации, политики и отраслевые стандарты в отношении паролей , антивирусного программного обеспечения , межсетевых экранов , программного обеспечения для шифрования , юридической ответственности , осведомленности о безопасности , обучения и т. д. [9] Эта стандартизация может быть дополнительно обусловлена ​​множеством законов и правил, которые влияют на то, как осуществляется доступ к данным, их обработка, хранение, передача и уничтожение. [10] Однако внедрение любых стандартов и указаний внутри организации может иметь ограниченный эффект, если культура постоянного совершенствования . не принята [11]

Определение [ править ]

векторная версия
Атрибуты информационной безопасности : или качества, например, конфиденциальность , целостность и доступность (CIA). Информационные системы состоят из трех основных частей: аппаратного обеспечения, программного обеспечения и коммуникаций, с целью помочь идентифицировать и применять отраслевые стандарты информационной безопасности в качестве механизмов защиты и предотвращения на трех уровнях или уровнях: физическом , личном и организационном. По сути, процедуры или политики внедряются, чтобы сообщить администраторам, пользователям и операторам, как использовать продукты для обеспечения информационной безопасности в организациях. [12]

Ниже предлагаются различные определения информационной безопасности, обобщенные из разных источников:

  1. «Сохранение конфиденциальности, целостности и доступности информации. Примечание. Кроме того, могут быть задействованы и другие свойства, такие как подлинность, подотчетность, неотказуемость и надежность». (ИСО/МЭК 27000:2018) [13]
  2. «Защита информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения с целью обеспечения конфиденциальности, целостности и доступности». (ЦНСС, 2010 г.) [14]
  3. «Гарантирует, что только авторизованные пользователи (конфиденциальность) имеют доступ к точной и полной информации (целостность), когда это необходимо (доступность)». ( ИСАКА , 2008 г.) [15]
  4. «Информационная безопасность — это процесс защиты интеллектуальной собственности организации». (Пипкин, 2000) [16]
  5. «...информационная безопасность — это дисциплина управления рисками, задача которой заключается в управлении стоимостью информационного риска для бизнеса». (Макдермотт и Гир, 2001 г.) [17]
  6. «Хорошо информированное чувство уверенности в том, что информационные риски и меры контроля находятся в равновесии». (Андерсон, Дж., 2003 г.) [18]
  7. «Информационная безопасность – это защита информации и минимизация риска раскрытия информации неавторизованным лицам». (Вентер и Элофф, 2003 г.) [19]
  8. «Информационная безопасность – это многопрофильная область изучения и профессиональной деятельности, которая занимается разработкой и внедрением механизмов безопасности всех доступных типов (технических, организационных, человекоориентированных и юридических) с целью сохранения информации во всех ее местах (внутри и за пределами периметра организации) и, следовательно, информационные системы, в которых информация создается, обрабатывается, хранится, передается и уничтожается, свободная от угроз. [20] Угрозы информации и информационным системам могут быть классифицированы, и для каждой категории угроз может быть определена соответствующая цель безопасности. [21] Набор целей безопасности, определенных в результате анализа угроз, должен периодически пересматриваться, чтобы гарантировать его адекватность и соответствие развивающейся среде. [22] Актуальный в настоящее время набор целей безопасности может включать в себя: конфиденциальность, целостность, доступность, конфиденциальность, подлинность и надежность, невозможность отказа от ответственности, подотчетность и возможность проверки. (Черданцева и Хилтон, 2013) [12]
  9. Безопасность информации и информационных ресурсов с использованием телекоммуникационной системы или устройств означает защиту информации, информационных систем или книг от несанкционированного доступа, повреждения, кражи или уничтожения (Куросе и Росс, 2010). [23]

Обзор [ править ]

В основе информационной безопасности лежит обеспечение конфиденциальности, целостности и доступности (CIA) информации, гарантирующее, что информация не будет скомпрометирована каким-либо образом при возникновении критических проблем. [24] Эти проблемы включают, помимо прочего, стихийные бедствия, сбои в работе компьютера/сервера и физическую кражу. Несмотря на то, что бумажные бизнес-операции по-прежнему преобладают и требуют собственного набора методов информационной безопасности, все большее внимание уделяется цифровым инициативам предприятий. [25] [26] обеспечением информации сейчас обычно занимаются специалисты по безопасности информационных технологий (ИТ). Эти специалисты применяют информационную безопасность к технологиям (чаще всего к той или иной форме компьютерной системы). Стоит отметить, что компьютер не обязательно означает домашний рабочий стол. [27] Компьютер — это любое устройство с процессором и некоторой памятью. Такие устройства могут варьироваться от автономных устройств, не подключенных к сети, таких как простые калькуляторы, до сетевых мобильных вычислительных устройств, таких как смартфоны и планшетные компьютеры. [28] Специалисты по ИТ-безопасности почти всегда есть на любом крупном предприятии/учреждении из-за характера и ценности данных в более крупных компаниях. [29] Они несут ответственность за обеспечение безопасности всех технологий внутри компании от злонамеренных кибератак, которые часто пытаются получить важную частную информацию или получить контроль над внутренними системами. [30] [31]

За последние годы сфера информационной безопасности значительно выросла и развилась. [32] Он предлагает множество областей специализации, в том числе обеспечение безопасности сетей и сопутствующей инфраструктуры , защиту приложений и баз данных , тестирование безопасности информационных систем , аудит , планирование непрерывности бизнеса , обнаружение электронных записей и цифровую судебную экспертизу . [33] Специалисты по информационной безопасности очень стабильны в своей работе. [34] По состоянию на 2013 год более 80 процентов специалистов не меняли ни работодателя, ни места работы в течение года, и, по прогнозам, число специалистов будет постоянно расти более чем на 11 процентов ежегодно с 2014 по 2019 год. [35]

Угрозы [ править ]

информационной безопасности Угрозы проявляются в самых разных формах. [36] [37] Некоторые из наиболее распространенных угроз сегодня — это атаки на программное обеспечение, кража интеллектуальной собственности, кража личных данных, кража оборудования или информации, саботаж и вымогательство информации. [38] [39] Вирусы , [40] черви , фишинговые атаки и троянские программы — вот несколько распространенных примеров программных атак. Кража интеллектуальной собственности также является серьезной проблемой для многих предприятий в сфере информационных технологий ( ИТ ). [41] Кража личных данных — это попытка действовать от имени другого человека, как правило, с целью получить личную информацию этого человека или воспользоваться его доступом к важной информации посредством социальной инженерии . [42] [43] Кража оборудования или информации сегодня становится все более распространенной в связи с тем, что большинство устройств сегодня являются мобильными. [44] склонны к краже, а также становятся гораздо более желательными по мере увеличения объема данных. Саботаж организации обычно заключается в разрушении веб-сайта в попытке вызвать потерю доверия со стороны ее клиентов. [45] Вымогательство информации представляет собой кражу имущества или информации компании как попытку получить платеж в обмен на возврат информации или собственности обратно ее владельцу, как и в случае с программами-вымогателями . [46] Существует множество способов защитить себя от некоторых из этих атак, но одной из наиболее функциональных мер предосторожности является периодическое информирование пользователей. [47] Угроза номер один для любой организации — это пользователи или внутренние сотрудники, их еще называют инсайдерскими угрозами. [48]

Правительства , вооруженные силы , корпорации , финансовые учреждения , больницы , некоммерческие организации и частные предприятия накапливают большое количество конфиденциальной информации о своих сотрудниках, клиентах, продуктах, исследованиях и финансовом состоянии. [49] Если конфиденциальная информация о клиентах, финансах или новой линейке продуктов компании попадет в руки конкурента или хакера , компания и ее клиенты могут понести масштабные, невосполнимые финансовые потери, а также нанести ущерб репутации компании. [50] С точки зрения бизнеса информационная безопасность должна быть сбалансирована с затратами; Модель Гордона-Леба предлагает математический экономический подход для решения этой проблемы. [51]

Для человека информационная безопасность оказывает существенное влияние на конфиденциальность рассматривается по-разному , которая в разных культурах . [52]

Ответы на угрозы [ править ]

Возможные ответы на угрозу безопасности или риск : [53]

  • уменьшить/смягчить – внедрить меры защиты и контрмеры для устранения уязвимостей или блокировки угроз.
  • назначить/передать – переложить стоимость угрозы на другое предприятие или организацию, например, на приобретение страховки или аутсорсинг.
  • принять – оценить, перевешивает ли стоимость контрмер возможную стоимость потерь из-за угрозы. [54]

История [ править ]

С самого начала общения дипломаты и военные командиры понимали, что необходимо обеспечить некий механизм защиты конфиденциальности переписки и иметь некоторые средства обнаружения фальсификации . [55] Юлию Цезарю приписывают изобретение шифра Цезаря c. 50 г. до н.э., который был создан для того, чтобы предотвратить прочтение его секретных посланий в случае, если сообщение попадет в чужие руки. [56] Однако по большей части защита была достигнута за счет применения процедурных мер контроля. [57] [58] Конфиденциальная информация была помечена, чтобы указать, что она должна быть защищена и транспортирована доверенными лицами, охраняться и храниться в безопасном месте или сейфе. [59] По мере расширения почтовых услуг правительства создавали официальные организации для перехвата, расшифровки, чтения и повторного запечатывания писем (например, Секретное бюро Великобритании, основанное в 1653 г.). [60] ).

В середине девятнадцатого века были разработаны более сложные системы классификации , позволяющие правительствам управлять своей информацией в соответствии со степенью конфиденциальности. [61] Например, британское правительство в некоторой степени кодифицировало это, опубликовав Закон о государственной тайне в 1889 году. [62] Статья 1 закона касалась шпионажа и незаконного раскрытия информации, а статья 2 касалась злоупотребления официальным доверием. [63] Вскоре была добавлена ​​защита общественных интересов для защиты раскрытия информации в интересах государства. [64] Похожий закон был принят в Индии в 1889 году - Закон об официальной тайне Индии, который был связан с британской колониальной эпохой и использовался для подавления газет, выступавших против политики Раджа. [65] В 1923 году была принята более новая версия, которая распространялась на все вопросы конфиденциальной или секретной информации для управления. [66] Ко времени Первой мировой войны многоуровневые системы классификации использовались для передачи информации на различные фронты и обратно, что способствовало более широкому использованию секций создания и взлома кодов в дипломатических и военных штабах. [67] В период между войнами кодирование стало более сложным, поскольку для шифрования и расшифровки информации использовались машины. [68]

Создание компьютерной безопасности положило начало истории информационной безопасности. Необходимость в этом возникла во время Второй мировой войны . [69] Объем информации, которой обменивались страны-союзники во время Второй мировой войны, потребовал формального согласования систем классификации и процедурного контроля. [70] По мере развития более сложных сейфов и хранилищ развивался загадочный набор маркировок, обозначающих, кто может обращаться с документами (обычно офицеры, а не военнослужащие) и где их следует хранить. [71] Машину «Энигма» , которая использовалась немцами для шифрования данных войны и была успешно расшифрована Аланом Тьюрингом , можно рассматривать как яркий пример создания и использования защищенной информации. [72] Процедуры были разработаны для обеспечения надлежащего уничтожения документов, и именно несоблюдение этих процедур привело к некоторым из величайших разведывательных переворотов войны (например, захват U-570). [72] ).

различные мейнфреймы были подключены к сети Во время холодной войны для выполнения более сложных задач, причем процесс связи был проще, чем пересылка магнитных лент туда и обратно через компьютерные центры. Таким образом, Агентство перспективных исследовательских проектов (ARPA) Министерства обороны США начало исследование возможности создания сетевой системы связи для обмена информацией в вооруженных силах США . В 1968 году ARPANET сформулировал проект Ларри Робертс , который позже превратился в то, что известно как Интернет . [73]

обнаружил, что важные элементы безопасности ARPANET В 1973 году пионер Интернета Роберт Меткалф имеют множество недостатков, таких как: «уязвимость структуры и форматов паролей; отсутствие процедур безопасности для коммутируемых подключений ; а также отсутствие идентификации и авторизации пользователя». из-за отсутствия средств контроля и защиты для защиты данных от несанкционированного доступа. Хакеры имели легкий доступ к ARPANET, поскольку номера телефонов были известны общественности. [74] Из-за этих проблем, в сочетании с постоянным нарушением компьютерной безопасности, а также экспоненциальным ростом количества хостов и пользователей системы, «сетевую безопасность» часто называли «небезопасностью сети». [74]

Конец двадцатого века и первые годы двадцать первого века ознаменовались быстрым развитием телекоммуникаций , компьютерного оборудования и программного обеспечения данных , а также шифрования . [75] Доступность меньшего, более мощного и менее дорогого вычислительного оборудования сделала электронную обработку данных доступной для малого бизнеса и домашних пользователей. [76] Создание протокола управления передачей/сетевого протокола (TCP/IP) в начале 1980-х годов позволило различным типам компьютеров взаимодействовать. [77] Эти компьютеры быстро стали связаны между собой через Интернет . [78]

Быстрый рост и широкое использование электронной обработки данных и электронного бизнеса , ведущегося через Интернет, а также многочисленные случаи международного терроризма вызвали необходимость в более эффективных методах защиты компьютеров и информации, которую они хранят, обрабатывают и передают. [79] Академические дисциплины компьютерной безопасности и обеспечения безопасности информации возникли вместе с многочисленными профессиональными организациями, разделяющими общие цели обеспечения безопасности и надежности информационных систем . [80]

Основные принципы [ править ]

Ключевые понятия [ править ]

Плакат, пропагандирующий информационную безопасность Минобороны России

Триада «ЦРУ» — конфиденциальность , целостность и доступность лежит в основе информационной безопасности. [81] (Члены классической триады InfoSec — конфиденциальность, целостность и доступность — в литературе взаимозаменяемо называются атрибутами безопасности, свойствами, целями безопасности, фундаментальными аспектами, информационными критериями, критическими информационными характеристиками и базовыми строительными блоками.) [82] Тем не менее, продолжаются споры о том, достаточна ли эта триада для удовлетворения быстро меняющихся технологических и бизнес-требований, и рекомендуют рассмотреть возможность расширения вопросов пересечения доступности и конфиденциальности, а также взаимосвязи между безопасностью и конфиденциальностью. [24] Иногда предлагались и другие принципы, такие как «подотчетность»; было отмечено, что такие вопросы, как неотказ от прав, не вписываются в рамки трех основных концепций. [83]

Триада, кажется, впервые была упомянута в публикации NIST в 1977 году. [84]

В 1992 г. и пересмотренные в 2002 г. по Рекомендации ОЭСР безопасности информационных систем и сетей [85] предложил девять общепринятых принципов: осведомленность , ответственность, реагирование, этика, демократия, оценка рисков, проектирование и реализация безопасности, управление безопасностью и переоценка. [86] Основываясь на них, в 2004 году NIST разработал « Технические принципы безопасности информационных технологий». [83] предложил 33 принципа. Из каждого из этих выводов вытекают руководящие принципы и практики.

В 1998 году Донн Паркер предложил альтернативную модель классической триады ЦРУ, которую он назвал шестью атомарными элементами информации . Этими элементами являются конфиденциальность , владение , целостность , подлинность , доступность и полезность . Достоинства Parkerian Hexad являются предметом споров среди специалистов по безопасности. [87]

В 2011 году The Open Group опубликовала стандарт управления информационной безопасностью O-ISM3 . [88] В этом стандарте предложено рабочее определение ключевых концепций безопасности с элементами, называемыми «целями безопасности», связанными с контролем доступа (9), доступностью (3), качеством данных (1), соответствием требованиям и техническими аспектами (4). В 2009 году Министерства обороны США, Инициатива по защите программного обеспечения архивированная 25 сентября 2016 г. на Wayback Machine, опубликовала Три принципа кибербезопасности, заархивированные 10 мая 2020 г. на Wayback Machine , а именно: восприимчивость системы, доступ к недостатку и возможность использовать недостаток. [89] [90] [91] Ни одна из этих моделей не получила широкого распространения.

Конфиденциальность [ править ]

В информационной безопасности конфиденциальность «является собственностью, при которой информация не предоставляется и не раскрывается неавторизованным лицам, организациям или процессам». [92] Хотя эти два слова похожи на «конфиденциальность», они не являются взаимозаменяемыми. Скорее, конфиденциальность — это компонент конфиденциальности, который обеспечивает защиту наших данных от несанкционированного просмотра. [93] Примеры компрометации конфиденциальности электронных данных включают кражу ноутбука, кражу паролей или отправку конфиденциальных электронных писем ненадлежащим лицам. [94]

Честность [ править ]

В сфере ИТ-безопасности целостность данных означает поддержание и обеспечение точности и полноты данных на протяжении всего их жизненного цикла. [95] Это означает, что данные не могут быть изменены несанкционированным или незамеченным образом. [96] Это не то же самое, что ссылочная целостность в базах данных , хотя ее можно рассматривать как особый случай согласованности, понимаемой в классической ACID модели обработки транзакций . [97] Системы информационной безопасности обычно включают средства контроля для обеспечения их собственной целостности, в частности, защиты ядра или основных функций как от преднамеренных, так и от случайных угроз. [98] Многоцелевые и многопользовательские компьютерные системы направлены на разделение данных и обработки таким образом, чтобы ни один пользователь или процесс не мог негативно повлиять на другого: однако средства контроля могут не сработать, как мы видим в таких инцидентах, как заражение вредоносным ПО, взломы, кража данных, мошенничество. и нарушения конфиденциальности. [99]

В более широком смысле целостность — это принцип информационной безопасности, который включает в себя человеческую/социальную, производственную и коммерческую целостность, а также целостность данных. По существу, он затрагивает такие аспекты, как достоверность, последовательность, правдивость, полнота, точность, своевременность и уверенность. [100]

Наличие [ править ]

Чтобы любая информационная система могла служить своей цели, информация должна быть доступна , когда она необходима. [101] Это означает, что вычислительные системы, используемые для хранения и обработки информации, меры безопасности , используемые для ее защиты, и каналы связи, используемые для доступа к ней, должны функционировать правильно. [102] Системы высокой доступности стремятся оставаться доступными в любое время, предотвращая сбои в обслуживании из-за перебоев в подаче электроэнергии, сбоев оборудования и обновлений системы. [103] Обеспечение доступности также включает в себя предотвращение атак типа «отказ в обслуживании» , таких как поток входящих сообщений в целевую систему, по сути вынуждающий ее выключиться. [104]

В сфере информационной безопасности доступность часто можно рассматривать как одну из наиболее важных частей успешной программы информационной безопасности. [ нужна цитата ] В конечном итоге конечные пользователи должны иметь возможность выполнять рабочие функции; обеспечивая доступность, организация может работать в соответствии со стандартами, которых ожидают заинтересованные стороны организации. [105] Это может включать в себя такие темы, как настройки прокси-сервера, внешний доступ в Интернет, возможность доступа к общим дискам и возможность отправлять электронные письма. [106] Руководители часто не понимают техническую сторону информационной безопасности и рассматривают доступность как легкое решение, но это часто требует сотрудничества многих различных организационных групп, таких как сетевые операции, операции по разработке, реагирование на инциденты и управление политикой/изменениями. [107] Успешная команда информационной безопасности включает в себя множество различных ключевых ролей, которые необходимо объединить и согласовать, чтобы триада «ЦРУ» работала эффективно. [108]

Неотказ от ответственности [ править ]

По закону неотказ подразумевает намерение выполнить свои обязательства по договору. Это также подразумевает, что одна сторона транзакции не может отрицать получение транзакции, а другая сторона не может отрицать отправку транзакции. [109]

Важно отметить, что, хотя такие технологии, как криптографические системы, могут помочь в усилиях по обеспечению неотказуемости, эта концепция по своей сути является юридической концепцией, выходящей за рамки сферы технологий. [110] Например, недостаточно показать, что сообщение соответствует цифровой подписи, подписанной закрытым ключом отправителя, и, следовательно, только отправитель мог отправить сообщение, и никто другой не мог изменить его при передаче ( целостность данных ). [111] Предполагаемый отправитель может в свою очередь продемонстрировать, что алгоритм цифровой подписи уязвим или несовершенен, или заявить или доказать, что его ключ подписи был скомпрометирован. [112] Вина за эти нарушения может лежать, а может и не лежать на отправителе, и такие утверждения могут освобождать или не освобождать отправителя от ответственности, но такое утверждение делает недействительным утверждение о том, что подпись обязательно доказывает подлинность и целостность. Таким образом, отправитель может отказаться от сообщения (поскольку подлинность и целостность являются предпосылками неотказуемости). [113]

Управление рисками [ править ]

Основная статья: Управление рисками

В широком смысле, риск — это вероятность того, что произойдет что-то плохое, что причинит вред информационному активу (или потерю актива). [114] Уязвимость — это слабость, которая может быть использована для того, чтобы поставить под угрозу или нанести вред информационному активу. Угроза – это все (созданное человеком или стихийное бедствие ), что потенциально может причинить вред. [115] Вероятность того, что угроза будет использовать уязвимость для причинения вреда, создает риск. Когда угроза использует уязвимость для причинения вреда, она оказывает воздействие. [116] В контексте информационной безопасности последствиями являются потеря доступности, целостности и конфиденциальности, а также, возможно, другие потери (потеря дохода, гибель людей, потеря недвижимости). [117]

Руководство по проверке сертифицированных информационных систем (CISA) 2006 года определяет управление рисками как «процесс выявления уязвимостей и угроз информационным ресурсам, используемым организацией для достижения бизнес-целей, и принятия решения о том, какие контрмеры следует предпринять ». [118] если таковой имеется, принять меры по снижению риска до приемлемого уровня, исходя из ценности информационного ресурса для организации». [119]

В этом определении есть две вещи, которые, возможно, нуждаются в некоторых разъяснениях. Во-первых, процесс управления рисками представляет собой непрерывный итеративный процесс . Это нужно повторять бесконечно. Бизнес-среда постоянно меняется, и новые угрозы и уязвимости . каждый день появляются [120] Во-вторых, выбор контрмер ( контролей ), используемых для управления рисками, должен обеспечивать баланс между производительностью, стоимостью, эффективностью контрмер и ценностью защищаемого информационного актива. [121] Более того, эти процессы имеют ограничения, поскольку нарушения безопасности, как правило, редки и возникают в определенном контексте, который нелегко повторить. [122] Таким образом, любой процесс и контрмера сами по себе должны оцениваться на предмет уязвимостей. [123] Невозможно выявить все риски и невозможно устранить все риски. Оставшийся риск называется «остаточным риском». [124]

Оценка рисков проводится командой людей, обладающих знаниями в конкретных областях бизнеса. [125] Состав команды может меняться с течением времени по мере оценки различных частей бизнеса. [126] При оценке может использоваться субъективный качественный анализ, основанный на информированном мнении, или, если доступны надежные цифры в долларах и историческая информация, анализ может использовать количественный анализ.

Исследования показали, что наиболее уязвимым местом в большинстве информационных систем является человек-пользователь, оператор, проектировщик или другой человек. [127] Кодекс ISO/IEC 27002:2005 практики управления информационной безопасностью рекомендует в ходе оценки рисков проверять следующее:

В широком смысле процесс управления рисками состоит из: [128] [129]

  1. Идентификация активов и оценка их стоимости. Включите: людей, здания, оборудование, программное обеспечение, данные (электронные, печатные и другие), расходные материалы. [130]
  2. Проведите оценку угроз . Включите: стихийные бедствия, военные действия, несчастные случаи, злонамеренные действия, происходящие внутри или за пределами организации. [131]
  3. Проведите оценку уязвимостей и для каждой уязвимости рассчитайте вероятность того, что она будет использована. Оценивать политики, процедуры, стандарты, обучение, физическую безопасность , контроль качества , техническую безопасность. [132]
  4. Рассчитайте влияние, которое каждая угроза окажет на каждый актив. Используйте качественный анализ или количественный анализ. [133]
  5. Определить, выбрать и внедрить соответствующие меры контроля. Дайте пропорциональный ответ. Учитывайте производительность, экономическую эффективность и стоимость актива. [134]
  6. Оценить эффективность мер контроля. Убедитесь, что средства управления обеспечивают необходимую экономичную защиту без заметной потери производительности. [135]

Для любого конкретного риска руководство может принять решение о принятии риска, основываясь на относительно низкой стоимости актива, относительно низкой частоте возникновения и относительно низком влиянии на бизнес. [136] Или руководство может принять решение смягчить риск, выбрав и внедрив соответствующие меры контроля для снижения риска. В некоторых случаях риск можно передать другому бизнесу путем покупки страховки или аутсорсинга другому бизнесу. [137] Реальность некоторых рисков может быть оспорена. В таких случаях руководство может принять решение отрицать риск. [138]

Контроль безопасности [ править ]

Основная статья: меры безопасности

Выбор и внедрение надлежащих мер безопасности на начальном этапе поможет организации снизить риск до приемлемого уровня. [139] Выбор средств контроля должен следовать и основываться на оценке риска. [140] Средства контроля могут различаться по своей природе, но, по сути, это способы защиты конфиденциальности, целостности или доступности информации. ISO/IEC 27001 определил средства контроля в различных областях. [141] Организации могут внедрять дополнительные средства контроля в соответствии с требованиями организации. [142] ISO/IEC 27002 предлагает руководство по стандартам информационной безопасности организаций. [143]

Административный [ править ]

Административный контроль (также называемый процедурным контролем) состоит из утвержденных письменных политик, процедур, стандартов и руководств. Административный контроль формирует основу для ведения бизнеса и управления людьми. [144] Они информируют людей о том, как следует вести бизнес и как следует проводить повседневные операции. Законы и постановления, созданные государственными органами, также являются разновидностью административного контроля, поскольку они информируют бизнес. [145] В некоторых отраслях промышленности существуют политики, процедуры, стандарты и рекомендации, которые необходимо соблюдать – Стандарт безопасности данных индустрии платежных карт. [146] (PCI DSS), требуемый Visa и MasterCard, является таким примером. Другие примеры административного контроля включают политику корпоративной безопасности, политику паролей , политику найма и дисциплинарную политику. [147]

Административный контроль формирует основу для выбора и реализации логического и физического контроля. Логический и физический контроль являются проявлениями административного контроля, имеющими первостепенное значение. [144]

Логично [ править ]

Логический контроль (также называемый техническим контролем) использует программное обеспечение и данные для мониторинга и контроля доступа к информации и вычислительным системам. [ нужна цитата ] Пароли, сетевые и локальные межсетевые экраны, системы обнаружения сетевых вторжений , списки контроля доступа и шифрование данных являются примерами логического контроля. [148]

Важным логическим элементом управления, который часто упускают из виду, является принцип наименьших привилегий , который требует, чтобы отдельному пользователю, программе или системному процессу не предоставлялось больше привилегий доступа, чем необходимо для выполнения задачи. [149] Ярким примером несоблюдения принципа минимальных привилегий является вход в Windows от имени администратора для чтения электронной почты и работы в Интернете. Нарушения этого принципа также могут возникать, когда человек с течением времени получает дополнительные права доступа. [150] Это происходит, когда у сотрудников меняются должностные обязанности, сотрудники переводятся на новую должность или сотрудники переводятся в другой отдел. [151] Привилегии доступа, требуемые их новыми обязанностями, часто добавляются к уже существующим привилегиям доступа, которые могут больше не быть необходимыми или уместными. [152]

Физический [ править ]

Физические средства контроля контролируют и контролируют среду рабочего места и вычислительных мощностей. [153] Они также контролируют и контролируют доступ к таким объектам и обратно и включают двери, замки, отопление и кондиционирование воздуха, дымовую и пожарную сигнализацию, системы пожаротушения, камеры, баррикады, ограждения, охрану, кабельные замки и т. д. Разделение сети и рабочего места в функциональные области также входят физические элементы управления. [154]

Важным физическим контролем, который часто упускают из виду, является разделение обязанностей, которое гарантирует, что человек не сможет выполнить важную задачу самостоятельно. [155] Например, сотрудник, подающий запрос на возмещение, также не должен иметь возможности авторизовать оплату или распечатать чек. [156] Программист приложений не должен быть одновременно администратором сервера или администратором базы данных ; эти роли и обязанности должны быть отделены друг от друга. [157]

Глубокоэшелонированная защита [ править ]

Луковая модель глубокоэшелонированной защиты
Основная статья: Глубокоэшелонированная защита (вычисления)

Информационная безопасность должна защищать информацию на протяжении всего ее жизненного цикла, от первоначального создания информации до ее окончательного уничтожения. [158] Информация должна быть защищена как в движении, так и в состоянии покоя. В течение своего существования информация может проходить через множество различных систем обработки информации и через множество различных частей систем обработки информации. [159] Существует множество различных способов поставить под угрозу информацию и информационные системы. Для полной защиты информации в течение ее жизни каждый компонент системы обработки информации должен иметь собственные механизмы защиты. [160] Наращивание, наложение и дублирование мер безопасности называется «глубокоэшелонированной защитой». [161] В отличие от металлической цепи, которая, как известно, сильна ровно настолько, насколько прочно ее самое слабое звено, стратегия глубокоэшелонированной защиты нацелена на структуру, в которой, если одна защитная мера потерпит неудачу, другие меры продолжат обеспечивать защиту. [162]

Вспомните предыдущее обсуждение административного контроля, логического контроля и физического контроля. Три типа контроля могут использоваться в качестве основы для построения стратегии глубокоэшелонированной защиты. [144] При таком подходе глубокоэшелонированную защиту можно представить как три отдельных слоя или плоскости, наложенных друг на друга. [163] Дополнительную информацию о глубокоэшелонированной защите можно получить, рассматривая ее как формирование слоев луковицы, где данные находятся в ядре луковицы, люди - следующий внешний слой луковицы, а сетевая безопасность , безопасность на основе хоста и приложения. безопасность , образующая самые внешние слои луковицы. [164] Обе точки зрения одинаково верны, и каждая дает ценную информацию о реализации хорошей стратегии глубокоэшелонированной защиты. [165]

Классификация [ править ]

Важным аспектом информационной безопасности и управления рисками является признание ценности информации и определение соответствующих процедур и требований к защите информации. [166] Не вся информация одинакова, и поэтому не вся информация требует одинаковой степени защиты. [167] Для этого необходимо, чтобы информации была присвоена классификация безопасности . [168] Первым шагом в классификации информации является идентификация члена высшего руководства как владельца конкретной информации, подлежащей классификации. Далее разработайте политику классификации. [169] Политика должна описывать различные классификационные метки, определять критерии присвоения информации конкретной метки и перечислять необходимые меры безопасности для каждой классификации. [170]

Некоторые факторы, влияющие на то, какую классификационную информацию следует присвоить, включают в себя ценность этой информации для организации, ее возраст и устарела ли информация. [171] Законы и другие нормативные требования также являются важными факторами при классификации информации. [172] Ассоциация аудита и контроля информационных систем (ISACA) и ее бизнес-модель информационной безопасности также служат для специалистов по безопасности инструментом для изучения безопасности с точки зрения системы, создавая среду, в которой безопасностью можно управлять комплексно, позволяя устранять реальные риски. [173]

Тип выбранных и используемых меток классификации информационной безопасности будет зависеть от характера организации, например: [170]

  • В бизнес-секторе используются такие ярлыки, как «Публичный», «Конфиденциальный», «Частный», «Конфиденциальный».
  • В государственном секторе такие ярлыки, как «Несекретно», «Неофициально», «Защищено», «Конфиденциально», «Секретно», «Совершенно секретно» и их неанглийские эквиваленты. [174]
  • В межотраслевых формированиях используется Протокол светофора , который состоит из: Белого, Зелёного, Янтарного и Красного.
  • В личном секторе один ярлык типа Финансовый. Сюда входит деятельность, связанная с управлением деньгами, например онлайн-банкинг. [175]

Все сотрудники организации, а также деловые партнеры должны быть обучены работе со схемой классификации и понимать необходимые меры безопасности и процедуры обработки для каждой классификации. [176] Классификация конкретного присвоенного информационного актива должна периодически пересматриваться, чтобы гарантировать, что классификация по-прежнему подходит для информации, а также обеспечить наличие мер безопасности, требуемых классификацией, и их правильное соблюдение. [177]

Контроль доступа [ править ]

Доступ к защищенной информации должен быть ограничен людьми, имеющими право доступа к этой информации. [178] Компьютерные программы и во многих случаях компьютеры, обрабатывающие информацию, также должны быть авторизованы. [179] Для этого необходимо наличие механизмов контроля доступа к защищенной информации. [179] Сложность механизмов контроля доступа должна соответствовать ценности защищаемой информации; чем более чувствительна или ценна информация, тем сильнее должны быть механизмы контроля. [180] Фундамент, на котором строятся механизмы контроля доступа, начинается с идентификации и аутентификации . [181]

Контроль доступа обычно рассматривается в три этапа: идентификация, аутентификация и авторизация . [182] [94]

Идентификация [ править ]

Идентификация — это утверждение того, кто кто-то есть или что такое что-то. Если человек заявляет: «Здравствуйте, меня зовут Джон Доу », он заявляет о том, кто он есть. [183] Однако их утверждение может быть правдой, а может и не быть. Прежде чем Джону Доу будет предоставлен доступ к защищенной информации, необходимо будет убедиться, что человек, называющий себя Джоном Доу, действительно является Джоном Доу. [184] Обычно утверждение оформляется в форме имени пользователя. Вводя это имя пользователя, вы заявляете: «Я тот человек, которому принадлежит это имя пользователя». [185]

Аутентификация [ править ]

Аутентификация — это акт проверки утверждения личности. Когда Джон Доу приходит в банк, чтобы снять деньги, он сообщает кассиру банка, что он — Джон Доу, что подтверждает его личность. [186] Кассир банка просит показать удостоверение личности с фотографией и передает кассиру свои водительские права . [187] Кассир банка проверяет лицензию, чтобы убедиться, что на ней напечатан Джон Доу, и сравнивает фотографию на лицензии с фотографией человека, утверждающего, что он Джон Доу. [188] Если фотография и имя совпадают с именем человека, кассир подтвердил, что Джон Доу является тем, кем он себя выдавал. Аналогично, вводя правильный пароль, пользователь подтверждает, что он/она является тем человеком, которому принадлежит имя пользователя. [189]

Для аутентификации можно использовать три различных типа информации: [190] [191]

Строгая аутентификация требует предоставления более одного типа аутентификационной информации (двухфакторная аутентификация). [197] Имя пользователя сегодня является наиболее распространенной формой идентификации в компьютерных системах, а пароль — наиболее распространенной формой аутентификации. [198] Имена пользователей и пароли выполнили свою задачу, но они становятся все более неадекватными. [199] Имена пользователей и пароли постепенно заменяются или дополняются более сложными механизмами аутентификации, такими как алгоритмы одноразового пароля на основе времени . [200]

Авторизация [ править ]

После успешной идентификации и аутентификации человека, программы или компьютера необходимо определить, к каким информационным ресурсам им разрешен доступ и какие действия им будет разрешено выполнять (запускать, просматривать, создавать, удалять или изменять). [201] Это называется авторизацией . Разрешение на доступ к информации и другим компьютерным услугам начинается с административных политик и процедур. [202] Политика предписывает, какие информационные и вычислительные услуги могут быть доступны, кому и на каких условиях. Затем механизмы контроля доступа настраиваются для обеспечения соблюдения этих политик. [203] Различные вычислительные системы оснащены различными механизмами контроля доступа. Некоторые могут даже предлагать на выбор различные механизмы контроля доступа. [204] Механизм контроля доступа, предлагаемый системой, будет основан на одном из трех подходов к контролю доступа или может быть получен из комбинации этих трех подходов. [94]

Недискреционный подход объединяет весь контроль доступа под централизованным управлением. [205] Доступ к информации и другим ресурсам обычно зависит от функции (роли) человека в организации или задач, которые человек должен выполнять. [206] [207] Дискреционный подход дает создателю или владельцу информационного ресурса возможность контролировать доступ к этим ресурсам. [205] В подходе обязательного управления доступом доступ предоставляется или запрещается на основе классификации безопасности, присвоенной информационному ресурсу. [178]

Примеры общих механизмов контроля доступа, используемых сегодня, включают управление доступом на основе ролей , доступное во многих передовых системах управления базами данных; простые права доступа к файлам , предоставляемые в операционных системах UNIX и Windows; [208] Объекты групповой политики , предоставляемые в сетевых системах Windows; и Kerberos , RADIUS , TACACS и простые списки доступа, используемые во многих межсетевых экранах и маршрутизаторах . [209]

Чтобы быть эффективными, политики и другие меры безопасности должны быть осуществимыми и поддерживаться. Эффективная политика гарантирует, что люди будут нести ответственность за свои действия. [210] контрольный определенный Например, в руководящих принципах Казначейства США для систем, обрабатывающих конфиденциальную или конфиденциальную информацию, говорится, что все неудачные и успешные попытки аутентификации и доступа должны регистрироваться, а любой доступ к информации должен оставлять журнал . [211]

Кроме того, когда речь идет о контроле доступа, должен действовать принцип «необходимости знать». Этот принцип дает права доступа человеку для выполнения своих трудовых функций. [212] Этот принцип используется в правительстве при работе с разницей зазоров. [213] Несмотря на то, что два сотрудника в разных отделах имеют допуск к сверхсекретной информации , у них должна быть потребность знать, чтобы можно было обмениваться информацией. В рамках принципа «необходимости знать» сетевые администраторы предоставляют сотрудникам наименьший объем привилегий, чтобы предотвратить доступ сотрудников к большему, чем им положено. [214] Необходимость знать помогает обеспечить соблюдение триады конфиденциальность-целостность-доступность. Необходимость знать напрямую влияет на конфиденциальную область триады. [215]

Криптография [ править ]

Основная статья: Криптография

Информационная безопасность использует криптографию для преобразования полезной информации в форму, которая делает ее непригодной для использования кем-либо, кроме авторизованного пользователя; этот процесс называется шифрованием . [216] Информация, которая была зашифрована (приведена в негодность для использования), может быть преобразована обратно в исходную пригодную для использования форму авторизованным пользователем, обладающим криптографическим ключом , посредством процесса расшифровки. [217] Криптография используется в информационной безопасности для защиты информации от несанкционированного или случайного раскрытия во время ее . передачи (в электронном или физическом виде) и во время хранения информации [94]

Криптография также обеспечивает информационную безопасность вместе с другими полезными приложениями, включая улучшенные методы аутентификации, дайджесты сообщений, цифровые подписи, неотказуемость и зашифрованную сетевую связь. [218] Старые, менее безопасные приложения, такие как Telnet и протокол передачи файлов (FTP), постепенно заменяются более безопасными приложениями, такими как Secure Shell (SSH), которые используют зашифрованные сетевые соединения. [219] Беспроводная связь может быть зашифрована с использованием таких протоколов, как WPA/WPA2 или более старого (и менее безопасного) WEP . Проводная связь (например, ITU‑T G.hn ) защищена с помощью AES для шифрования и X.1035 для аутентификации и обмена ключами. [220] Программные приложения, такие как GnuPG или PGP, можно использовать для шифрования файлов данных и электронной почты. [221]

Криптография может создать проблемы с безопасностью, если она реализована неправильно. [222] Криптографические решения должны быть реализованы с использованием принятых в отрасли решений, прошедших строгую экспертную оценку независимых экспертов в области криптографии. [223] Длина и надежность ключа шифрования также являются важным фактором. [224] или слишком короткий ключ Слабый приведет к слабому шифрованию . [224] Ключи, используемые для шифрования и дешифрования, должны быть защищены с той же степенью строгости, что и любая другая конфиденциальная информация. [225] Они должны быть защищены от несанкционированного раскрытия и уничтожения и должны быть доступны при необходимости. [ нужна цитата ] Решения инфраструктуры открытых ключей (PKI) решают многие проблемы, связанные с управлением ключами . [94]

Процесс [ править ]

Термины «разумный и осмотрительный человек», « должная осмотрительность » и «должная осмотрительность» уже много лет используются в сферах финансов, ценных бумаг и права. В последние годы эти термины нашли свое применение в области вычислений и информационной безопасности. [129] США Федеральные руководящие принципы вынесения приговоров теперь позволяют привлекать должностных лиц корпораций к ответственности за несоблюдение должной осторожности и должной осмотрительности при управлении своими информационными системами. [226]

В деловом мире акционеры, клиенты, деловые партнеры и правительства ожидают, что корпоративные должностные лица будут вести бизнес в соответствии с общепринятой деловой практикой, а также в соответствии с законами и другими нормативными требованиями. Это часто называют правилом «разумного и благоразумного человека». Благоразумный человек уделяет должное внимание тому, чтобы было сделано все необходимое для ведения бизнеса в соответствии с разумными принципами ведения бизнеса, а также с соблюдением законных и этических норм. Благоразумный человек также усерден (внимателен, внимателен, постоянен) в должной заботе о своем бизнесе.

В области информационной безопасности Харрис [227] предлагает следующие определения должной осмотрительности и должной осмотрительности:

«Должная осторожность — это шаги, которые предпринимаются, чтобы показать, что компания взяла на себя ответственность за деятельность, происходящую внутри корпорации, и предприняла необходимые шаги, чтобы помочь защитить компанию, ее ресурсы и сотрудников. [228] И [должная осмотрительность — это] «постоянная деятельность, обеспечивающая постоянное обслуживание и функционирование механизмов защиты». [229]

В этих определениях следует обратить внимание на два важных момента. [230] [231] Во-первых, при должной осторожности предпринимаются шаги для показа; это означает, что шаги можно проверить, измерить или даже создать ощутимые артефакты. [232] [233] Во-вторых, при комплексной проверке осуществляется постоянная деятельность; это означает, что люди на самом деле делают что-то для мониторинга и поддержания механизмов защиты, и эта деятельность продолжается. [234]

Организации несут ответственность за соблюдение обязанностей по обеспечению информационной безопасности. Стандарт анализа рисков «Обязанность ухода» (DoCRA) [235] обеспечивает принципы и методы оценки риска. [236] Он учитывает все стороны, которые могут быть затронуты этими рисками. [237] DoCRA помогает оценить меры защиты, подходят ли они для защиты других от вреда, одновременно создавая разумное бремя. [238] В связи с увеличением количества судебных разбирательств по утечке данных компании должны сбалансировать меры безопасности, соответствие требованиям и свою миссию. [239]

Управление безопасностью [ править ]

См. также: Управление информационной безопасностью.

Институт программной инженерии Университета Карнеги-Меллона в публикации под названием « Руководство по внедрению управления безопасностью предприятия (GES)» определяет характеристики эффективного управления безопасностью. К ним относятся: [240]

  • Проблема всего предприятия
  • Лидеры несут ответственность
  • Рассматривается как бизнес-требование.
  • Риск-ориентированный
  • Определены роли, обязанности и разделение обязанностей
  • Учтено и реализовано в политике
  • Выделено достаточные ресурсы
  • Персонал осведомлен и обучен
  • Требование жизненного цикла разработки
  • Планируемый, управляемый, измеримый и измеряемый
  • Рассмотрено и проверено

Планы реагирования на инциденты [ править ]

План реагирования на инциденты (IRP) — это группа политик, определяющих реакцию организации на кибератаку. Как только нарушение безопасности обнаружено, например, с помощью системы обнаружения вторжений в сеть (NIDS) или системы обнаружения вторжений на базе хоста (HIDS) (если она настроена для этого), план инициируется. [241] Важно отметить, что утечка данных может иметь юридические последствия. Знание местных и федеральных законов имеет решающее значение. [242] Каждый план уникален и соответствует потребностям организации, и он может включать в себя наборы навыков, не входящих в состав ИТ-команды. [243] Например, в план реагирования можно включить юриста, который поможет разобраться в юридических последствиях утечки данных. [ нужна цитата ]

Как упоминалось выше, каждый план уникален, но большинство планов включают в себя следующее: [244]

Подготовка [ править ]

Хорошая подготовка включает в себя создание группы реагирования на инциденты (IRT). [245] Эта команда должна использовать такие навыки, как тестирование на проникновение, компьютерная криминалистика, сетевая безопасность и т. д. [246] Эта команда также должна отслеживать тенденции в области кибербезопасности и современные стратегии атак. [247] Программа обучения для конечных пользователей важна, так как большинство современных стратегий атак нацелены на пользователей в сети. [244]

Идентификация [ править ]

Эта часть плана реагирования на инциденты определяет, произошло ли событие безопасности. [248] Когда конечный пользователь сообщает информацию или администратор замечает нарушения, начинается расследование. Журнал инцидентов является важной частью этого шага. [ нужна цитата ] Все члены команды должны обновлять этот журнал, чтобы обеспечить максимально быструю передачу информации. [249] Если было обнаружено, что произошло нарушение безопасности, следует активировать следующий шаг. [250]

Сдерживание [ править ]

На этом этапе IRT работает над изоляцией областей, в которых произошло нарушение, чтобы ограничить масштаб события безопасности. [251] На этом этапе важно сохранить информацию для криминалистической экспертизы, чтобы ее можно было проанализировать позже в процессе. [252] Сдерживание может быть таким простым, как физическое содержание серверной комнаты, или таким сложным, как сегментирование сети, чтобы не допустить распространения вируса. [253]

Искоренение [ править ]

Именно здесь обнаруженная угроза удаляется из затронутых систем. [254] Это может включать в себя удаление вредоносных файлов, закрытие скомпрометированных учетных записей или удаление других компонентов. [255] [256] Некоторые события не требуют этого шага, однако важно полностью понять событие, прежде чем переходить к этому шагу. [257] Это поможет гарантировать полное устранение угрозы. [253]

Восстановление [ править ]

На этом этапе системы восстанавливаются до исходного состояния. [258] Этот этап может включать восстановление данных, изменение информации о доступе пользователей или обновление правил или политик брандмауэра для предотвращения взлома в будущем. [259] [260] Без выполнения этого шага система все равно может быть уязвима для будущих угроз безопасности. [253]

Извлеченные уроки [ править ]

На этом этапе информация, собранная в ходе этого процесса, используется для принятия будущих решений по безопасности. [261] Этот шаг имеет решающее значение для предотвращения будущих событий. Использование этой информации для дальнейшего обучения администраторов имеет решающее значение для этого процесса. [262] Этот шаг также можно использовать для обработки информации, распространяемой от других объектов, столкнувшихся с событием безопасности. [263]

Управление изменениями [ править ]

Основная статья: Управление изменениями (ITSM)

Управление изменениями — это формальный процесс направления и контроля изменений в среде обработки информации. [264] [265] Сюда входят изменения в настольных компьютерах, сети, серверах и программном обеспечении. [266] Целями управления изменениями являются снижение рисков, связанных с изменениями в среде обработки информации, и повышение стабильности и надежности среды обработки по мере внесения изменений. [267] Целью управления изменениями не является предотвращение или препятствование осуществлению необходимых изменений. [268] [269]

Любое изменение среды обработки информации привносит элемент риска. [270] Даже, казалось бы, простые изменения могут иметь неожиданные последствия. [271] Одной из многих обязанностей руководства является управление рисками. [272] [273] Управление изменениями — это инструмент управления рисками, вызванными изменениями в среде обработки информации. [274] Часть процесса управления изменениями гарантирует, что изменения не будут реализованы в неподходящее время, когда они могут нарушить критические бизнес-процессы или помешать реализации других изменений. [275]

Не каждым изменением нужно управлять. [276] [277] Некоторые виды изменений являются частью повседневной рутины обработки информации и подчиняются заранее определенной процедуре, что снижает общий уровень риска для среды обработки. [278] Создание новой учетной записи пользователя или развертывание нового настольного компьютера — это примеры изменений, которые обычно не требуют управления изменениями. [279] Однако перемещение общих файловых ресурсов пользователей или обновление сервера электронной почты представляют собой гораздо более высокий уровень риска для среды обработки и не являются обычным повседневным действием. [280] Важнейшими первыми шагами в управлении изменениями являются (а) определение изменения (и распространение этого определения) и (б) определение объема системы изменений. [281]

Управление изменениями обычно контролируется советом по анализу изменений, состоящим из представителей ключевых сфер бизнеса. [282] безопасность, сеть, системные администраторы, администрирование баз данных, разработчики приложений, поддержка настольных компьютеров и служба поддержки. [283] Задачи комиссии по обзору изменений можно облегчить с помощью приложения для автоматизированного рабочего процесса. [284] Ответственность совета по анализу изменений заключается в обеспечении соблюдения документированных процедур управления изменениями в организации. [285] Процесс управления изменениями выглядит следующим образом. [286]

  • Запрос : любой может запросить изменение. [287] [288] Лицо, делающее запрос на изменение, может быть, а может и не быть тем же лицом, которое выполняет анализ или реализует изменение. [289] [290] Когда запрос на изменение получен, он может пройти предварительную проверку, чтобы определить, совместимо ли запрошенное изменение с бизнес-моделью и практикой организации, а также определить объем ресурсов, необходимых для реализации изменения. [291]
  • Утверждение : руководство управляет бизнесом и контролирует распределение ресурсов, поэтому руководство должно утверждать запросы на изменения и назначать приоритет для каждого изменения. [292] Руководство может отклонить запрос на изменение, если изменение несовместимо с бизнес-моделью, отраслевыми стандартами или передовым опытом. [293] [294] Руководство также может отклонить запрос на изменение, если изменение требует больше ресурсов, чем можно выделить для него. [295]
  • План : планирование изменения включает в себя определение масштаба и воздействия предлагаемого изменения; анализ сложности изменения; распределение ресурсов, а также разработка, тестирование и документирование планов реализации и отступления. [296] Необходимо определить критерии, на основании которых будет приниматься решение об отказе. [297]
  • Тестирование : каждое изменение должно быть протестировано в безопасной тестовой среде, которая точно отражает реальную производственную среду, прежде чем изменение будет применено к производственной среде. [298] План отступления также необходимо протестировать. [299]
  • График . Частью ответственности совета по обзору изменений является помощь в планировании изменений путем проверки предлагаемой даты внедрения на предмет потенциальных конфликтов с другими запланированными изменениями или критически важными бизнес-операциями. [300]
  • Общайтесь : как только изменение запланировано, о нем необходимо сообщить. [301] Коммуникация призвана дать другим возможность напомнить совету по анализу изменений о других изменениях или критических бизнес-операциях, которые могли быть упущены из виду при планировании изменений. [302] Сообщение также служит для информирования службы поддержки и пользователей о том, что скоро произойдут изменения. [303] Еще одна обязанность комиссии по рассмотрению изменений заключается в обеспечении того, чтобы запланированные изменения были должным образом доведены до сведения тех, кто будет затронут этими изменениями или иным образом заинтересован в них. [304] [305]
  • Внедрить : в назначенную дату и время изменения должны быть реализованы. [306] [307] Часть процесса планирования заключалась в разработке плана внедрения, плана тестирования и плана отказа. [308] [309] Если реализация изменения не удалась, или тестирование после внедрения не удалось, или были выполнены другие «замершие» критерии, следует реализовать план отката. [310]
  • Документ : Все изменения должны быть задокументированы. [311] [312] Документация включает в себя первоначальный запрос на изменение, его утверждение, присвоенный ему приоритет, реализацию, [313] планы тестирования и отказа, результаты критики совета по обзору изменений, дату/время, когда изменение было реализовано, [314] кто его внедрил, и было ли это изменение реализовано успешно, неудачно или отложено. [315] [316]
  • Обзор после внесения изменений . Совет по обзору изменений должен проводить анализ изменений после внедрения. [317] Особенно важно просматривать неудачные и отмененные изменения. Наблюдательный совет должен попытаться понять возникшие проблемы и найти области для улучшения. [317]

Процедуры управления изменениями, которым легко следовать и которые легко использовать, могут значительно снизить общие риски, возникающие при внесении изменений в среду обработки информации. [318] Хорошие процедуры управления изменениями улучшают общее качество и успех изменений по мере их реализации. [319] Это достигается посредством планирования, экспертной оценки, документации и коммуникации. [320]

ISO/IEC 20000 , Руководство по видимой OPS: внедрение ITIL за 4 практических и проверяемых шага [321] (Полное содержание книги), [322] и ITIL предоставляют ценные рекомендации по внедрению эффективной и результативной программы управления изменениями в области информационной безопасности. [323]

бизнеса Непрерывность

Управление непрерывностью бизнеса ( BCM ) касается механизмов, направленных на защиту критически важных бизнес-функций организации от прерываний из-за инцидентов или, по крайней мере, минимизацию их последствий. [324] [325] BCM необходим любой организации для поддержания технологий и бизнеса в соответствии с текущими угрозами для продолжения бизнеса в обычном режиме. [326] BCM следует включить в план анализа рисков организации , чтобы гарантировать, что все необходимые бизнес-функции имеют все необходимое для продолжения работы в случае любого типа угрозы любой бизнес-функции. [327]

Он включает в себя:

  • Анализ требований, например, выявление критических бизнес-функций, зависимостей и потенциальных точек сбоя, потенциальных угроз и, следовательно, инцидентов или рисков, вызывающих беспокойство у организации; [328] [329]
  • Спецификация, например, максимально допустимые периоды простоев; целевые точки восстановления (максимально допустимые периоды потери данных); [330]
  • Архитектура и проектирование, например, подходящее сочетание подходов, включая устойчивость (например, проектирование ИТ-систем и процессов для обеспечения высокой доступности, [331] избегание или предотвращение ситуаций, которые могут прервать бизнес), управление инцидентами и чрезвычайными ситуациями (например, эвакуация помещений, вызов служб экстренной помощи, сортировка/ситуация). [332] оценка и применение планов восстановления), восстановление (например, восстановление) и управление на случай непредвиденных обстоятельств (общие возможности позитивно справляться со всем, что происходит, используя любые доступные ресурсы); [333]
  • Реализация, например, настройка и планирование резервного копирования, передачи данных и т. д., дублирование и усиление критических элементов; заключение договоров с поставщиками услуг и оборудования;
  • Тестирование, например, мероприятия по обеспечению непрерывности бизнеса различных типов, затрат и уровней обеспечения; [334]
  • Управление, например, определение стратегии, постановка целей и задач; планирование и руководство работой; распределение средств, людей и других ресурсов; расстановка приоритетов относительно других видов деятельности; построение команды, лидерство, контроль, мотивация и координация с другими бизнес-функциями и видами деятельности [335] (например, ИТ, оборудование, человеческие ресурсы, управление рисками, информационные риски и безопасность, операции); мониторинг ситуации, проверка и обновление договоренностей в случае изменений; совершенствование подхода посредством постоянного совершенствования, обучения и соответствующих инвестиций; [ нужна цитата ]
  • Гарантии, например, тестирование на соответствие установленным требованиям; измерение, анализ и отчетность по ключевым параметрам; проведение дополнительных тестов, проверок и аудитов для большей уверенности в том, что меры будут соответствовать плану, если они будут задействованы. [336]

В то время как BCM использует широкий подход к минимизации рисков, связанных со стихийными бедствиями, путем снижения как вероятности, так и серьезности инцидентов, план аварийного восстановления (DRP) направлен конкретно на максимально быстрое возобновление бизнес-операций после стихийного бедствия. [337] План аварийного восстановления, применяемый вскоре после возникновения катастрофы, описывает шаги, необходимые для восстановления критически важной инфраструктуры информационных и коммуникационных технологий (ИКТ). [338] Планирование аварийного восстановления включает в себя создание группы планирования, проведение оценки рисков, определение приоритетов, разработку стратегий восстановления, подготовку инвентаризаций и документации плана, разработку критериев и процедур проверки и, наконец, реализацию плана. [339]

Законы и постановления [ править ]

Privacy International 2007 Рейтинг конфиденциальности
зеленый: защита и гарантии
красный: общества эндемического надзора

Ниже приведен неполный список правительственных законов и постановлений в различных частях мира, которые оказали, оказали или будут оказывать существенное влияние на обработку данных и информационную безопасность. [340] [341] Важные отраслевые правила также были включены, если они оказывают существенное влияние на информационную безопасность. [340]

  • Закон Великобритании о защите данных 1998 года содержит новые положения, регулирующие обработку информации, касающейся физических лиц, включая получение, хранение, использование или раскрытие такой информации. [342] [343] Директива Европейского Союза о защите данных (EUDPD) требует, чтобы все члены ЕС приняли национальные правила по стандартизации защиты конфиденциальности данных для граждан на всей территории ЕС. [344] [345]
  • Закон о неправомерном использовании компьютеров 1990 года – это закон Парламента Великобритании, согласно которому компьютерные преступления (например, взлом) являются уголовным преступлением. [346] Закон стал образцом, на основе которого некоторые другие страны, [347] включая Канаду и Ирландию , черпали вдохновение при последующей разработке своих собственных законов по информационной безопасности. [348] [349]
  • Директива ЕС о хранении данных (аннулированная) требовала от интернет-провайдеров и телефонных компаний хранить данные о каждом отправленном электронном сообщении и телефонном звонке в течение периода от шести месяцев до двух лет. [350]
  • Закон о правах семьи на образование и конфиденциальности (FERPA) ( 20 USC   § 1232 g; 34 CFR, часть 99) — это федеральный закон США, который защищает конфиденциальность записей об образовании учащихся. [351] Закон распространяется на все школы, получающие средства в рамках применимой программы Министерства образования США . [352] Как правило, школы должны иметь письменное разрешение от родителя или подходящего учащегося. [352] [353] с целью раскрытия любой информации из записей об образовании учащегося. [354]
  • Рекомендации по безопасности для аудиторов Федерального экзаменационного совета финансовых учреждений (FFIEC) определяют требования к безопасности онлайн-банкинга. [355]
  • Закон о переносимости и подотчетности медицинского страхования (HIPAA) 1996 года требует принятия национальных стандартов для электронных транзакций в сфере здравоохранения и национальных идентификаторов для поставщиков, планов медицинского страхования и работодателей. [356] Кроме того, он требует от поставщиков медицинских услуг, страховых компаний и работодателей обеспечивать безопасность и конфиденциальность медицинских данных. [357]
  • Закон Грэмма-Лича-Блайли 1999 года (GLBA), также известный как Закон о модернизации финансовых услуг 1999 года, защищает конфиденциальность и безопасность частной финансовой информации, которую финансовые учреждения собирают, хранят и обрабатывают. [358]
  • Раздел 404 Закона Сарбейнса-Оксли 2002 года (SOX) требует, чтобы публичные компании оценивали эффективность своего внутреннего контроля за финансовой отчетностью в годовых отчетах, которые они представляют в конце каждого финансового года. [359] Директора по информационным технологиям несут ответственность за безопасность, точность и надежность систем, которые управляют финансовыми данными и сообщают о них. [360] Закон также требует, чтобы публичные компании привлекали независимых аудиторов, которые должны подтверждать и сообщать о достоверности своих оценок. [361]
  • Стандарт безопасности данных индустрии платежных карт (PCI DSS) устанавливает комплексные требования для повышения безопасности данных платежных счетов. [362] Он был разработан ведущими платежными брендами Совета по стандартам безопасности PCI, включая American Express , Discover Financial Services , JCB, MasterCard Worldwide, [363] и Visa International — чтобы способствовать широкому принятию последовательных мер безопасности данных на глобальной основе. [364] PCI DSS — это многогранный стандарт безопасности, который включает требования к управлению безопасностью, политикам, процедурам, сетевой архитектуре , проектированию программного обеспечения и другим критически важным мерам защиты. [365]
  • штата Законы об уведомлении о нарушениях безопасности (Калифорния и многие другие) требуют от предприятий, некоммерческих организаций и государственных учреждений уведомлять потребителей, когда незашифрованная «личная информация» может быть скомпрометирована, утеряна или украдена. [366]
  • Закон Канады о защите личной информации и электронных документах ( PIPEDA ) поддерживает и продвигает электронную торговлю, защищая личную информацию, которая собирается, используется или раскрывается при определенных обстоятельствах. [367] [368] предусмотрев использование электронных средств для передачи или записи информации или транзакций, а также внеся поправки в Закон Канады о доказательствах , Закон о нормативных актах и ​​Закон о пересмотре статута. [369] [370] [371]
  • Греческое управление по безопасности и конфиденциальности связи (ADAE) (Закон 165/2011) устанавливает и описывает минимальные меры контроля информационной безопасности, которые должны быть развернуты каждой компанией, предоставляющей сети и/или услуги электронной связи в Греции, чтобы защитить конфиденциальность клиентов. . [372] Они включают как управленческий, так и технический контроль (например, записи журнала должны храниться в течение двух лет). [373]
  • Греческое управление по безопасности и конфиденциальности связи (ADAE) (Закон 205/2013) занимается защитой целостности и доступности услуг и данных, предлагаемых греческими телекоммуникационными компаниями. [374] Закон обязывает эти и другие связанные компании создавать, развертывать и тестировать соответствующие планы обеспечения непрерывности бизнеса и резервную инфраструктуру. [375]

Министерство обороны США (DoD) издало Директиву Министерства обороны 8570 в 2004 году, дополненную Директивой Министерства обороны 8140, требующую от всех сотрудников Министерства обороны и всего контрактного персонала Министерства обороны, участвующего в функциях и деятельности по обеспечению информации, получать и поддерживать различные отраслевые сертификаты в области информационных технологий (ИТ). усилия по обеспечению того, чтобы весь персонал Министерства обороны, участвующий в защите сетевой инфраструктуры, имел минимальный уровень признанных в ИТ-индустрии знаний, навыков и способностей (KSA). Андерссон и Реймерс (2019) сообщают, что эти сертификаты варьируются от A+ и Security+ CompTIA до CISSP ICS2.org и т. д. [376]

Культура [ править ]

Культура информационной безопасности — это нечто большее, чем просто то, насколько сотрудники осведомлены о безопасности. Это идеи, обычаи и социальное поведение организации, которые влияют на информационную безопасность как положительным, так и отрицательным образом. [377] Культурные концепции могут помочь различным сегментам организации работать эффективно или противодействовать эффективности в обеспечении информационной безопасности внутри организации. То, как сотрудники думают и относятся к безопасности, а также действия, которые они предпринимают, могут оказать большое влияние на информационную безопасность в организациях. Роер и Петрик (2017) выделяют семь основных аспектов культуры информационной безопасности в организациях: [378]

  • Отношение: чувства и эмоции сотрудников по поводу различных видов деятельности, связанных с организационной безопасностью информации. [379]
  • Поведение: фактическая или предполагаемая деятельность и рискованные действия сотрудников, которые прямо или косвенно влияют на информационную безопасность.
  • Познание: осведомленность сотрудников, поддающиеся проверке знания и убеждения относительно практик, действий и отношения к самоэффективности , которые связаны с информационной безопасностью.
  • Коммуникация: способы общения сотрудников друг с другом, чувство принадлежности, поддержка по вопросам безопасности и отчеты об инцидентах.
  • Соответствие: соблюдение политик безопасности организации, осведомленность о существовании таких политик и способность вспомнить суть таких политик.
  • Нормы: восприятие организационного поведения и практики, связанных с безопасностью, которые неформально считаются либо нормальными, либо отклоняющимися от нормы со стороны сотрудников и их коллег, например, скрытые ожидания в отношении поведения в области безопасности и неписаные правила использования информационно-коммуникационных технологий.
  • Обязанности: понимание сотрудниками своих ролей и обязанностей как решающего фактора в поддержании или угрозе безопасности информации и, следовательно, организации.

Андерссон и Реймерс (2014) обнаружили, что сотрудники часто не считают себя частью «усилий» организации по информационной безопасности и часто предпринимают действия, которые игнорируют интересы информационной безопасности организации. [380] Исследования показывают, что культуру информационной безопасности необходимо постоянно совершенствовать. В книге «Культура информационной безопасности от анализа к изменениям » авторы отмечают: «Это бесконечный процесс, цикл оценки и изменений или обслуживания». Для управления культурой информационной безопасности необходимо предпринять пять шагов: предварительная оценка, стратегическое планирование, оперативное планирование, реализация и последующая оценка. [381]

  • Предварительная оценка: определить осведомленность сотрудников об информационной безопасности и проанализировать текущую политику безопасности.
  • Стратегическое планирование: чтобы разработать лучшую программу повышения осведомленности, нам необходимо установить четкие цели. Кластеризация людей помогает достичь этого
  • Оперативное планирование: создать хорошую культуру безопасности, основанную на внутренней коммуникации, поддержке руководства, осведомленности о безопасности и программах обучения.
  • Реализация: должна включать приверженность руководства, общение с членами организации, курсы для всех членов организации и приверженность сотрудников. [381]
  • Последующая оценка: чтобы лучше оценить эффективность предыдущих шагов и опираться на постоянное улучшение.

Источники стандартов [ править ]

Основная статья: Стандарты кибербезопасности

Международная организация по стандартизации (ISO) — это международная организация по стандартизации, организованная как консорциум национальных учреждений по стандартизации из 167 стран, деятельность которых координируется через секретариат в Женеве, Швейцария. ISO является крупнейшим в мире разработчиком международных стандартов. Международная электротехническая комиссия (МЭК) — это международная организация по стандартизации, которая занимается электротехнологиями и тесно сотрудничает с ISO. ISO/IEC 15443: «Информационные технологии. Методы обеспечения безопасности. Структура обеспечения безопасности ИТ», ISO/IEC 27002 : «Информационные технологии. Методы обеспечения безопасности. Кодекс практики управления информационной безопасностью», ISO/IEC 20000 : «Информационные технологии – Управление услугами» и ISO/IEC 27001 : «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования» представляют особый интерес для специалистов по информационной безопасности.

США Национальный институт стандартов и технологий (NIST) является нерегулирующим федеральным агентством Министерства торговли США . Отдел компьютерной безопасности NIST разрабатывает стандарты, метрики, тесты и программы проверки, а также публикует стандарты и рекомендации для повышения безопасности планирования, внедрения, управления и эксплуатации ИТ. NIST также является хранителем публикаций Федерального стандарта обработки информации США (FIPS).

Интернет-сообщество — это профессиональное членское общество, объединяющее более 100 организаций и более 20 000 индивидуальных членов из более чем 180 стран. Он обеспечивает лидерство в решении проблем, стоящих перед будущим Интернета, и является организационным центром для групп, ответственных за стандарты интернет-инфраструктуры, включая Инженерную рабочую группу Интернета (IETF) и Совет по архитектуре Интернета (IAB). ISOC размещает запросы на комментарии (RFC), которые включают официальные стандарты интернет-протоколов и руководство по безопасности сайтов RFC-2196 .

Форум информационной безопасности (ISF) — это глобальная некоммерческая организация, объединяющая несколько сотен ведущих организаций в сфере финансовых услуг, производства, телекоммуникаций, потребительских товаров, государственного управления и других областях. Он проводит исследования в области практики информационной безопасности и предлагает рекомендации в своем Стандарте передовой практики информационной безопасности, издаваемом два раза в год , а также более подробные рекомендации для членов.

Институт специалистов по информационной безопасности (IISP) — это независимая некоммерческая организация, управляемая его членами, основной целью которой является повышение профессионализма специалистов по информационной безопасности и, следовательно, профессионализма отрасли в целом. Институт разработал структуру навыков НИСП. Эта структура описывает диапазон компетенций, ожидаемых от специалистов по информационной безопасности и обеспечению информации при эффективном выполнении своих функций. Он был разработан в результате сотрудничества организаций частного и государственного сектора, всемирно известных ученых и руководителей служб безопасности. [382]

Германии Федеральное ведомство по информационной безопасности (на немецком языке Bundesamt für Sicherheit in der Informationstechnik (BSI) ) BSI-Стандарты от 100–1 до 100-4 представляют собой набор рекомендаций, включающих «методы, процессы, процедуры, подходы и меры, относящиеся к информационной безопасности». ". [383] Методология BSI-Standard 100-2 IT-Grundschutz описывает, как можно реализовать и использовать управление информационной безопасностью. Стандарт включает в себя очень конкретное руководство — Каталоги базовой защиты ИТ (также известные как Каталоги IT-Grundschutz). До 2005 года каталоги назывались « Руководство по базовой защите ИТ ». Каталоги представляют собой набор документов, полезных для обнаружения и устранения слабых мест, связанных с безопасностью, в ИТ-среде (ИТ-кластере). По состоянию на сентябрь 2013 года коллекция насчитывает более 4400 страниц с введением и каталогами. Подход IT-Grundschutz соответствует семейству стандартов ISO/IEC 2700x.

Европейский институт телекоммуникационных стандартов стандартизировал каталог показателей информационной безопасности , возглавляемый Группой промышленных спецификаций (ISG) ISI.

См. также [ править ]

Ссылки [ править ]

  1. ^ Карри, Майкл; Маршалл, Байрон; Кросслер, Роберт Э.; Коррейя, Джон (25 апреля 2018 г.). «Модель действий процесса InfoSec (IPAM): систематическое рассмотрение индивидуального поведения в области безопасности» . База данных ACM SIGMIS: БАЗА ДАННЫХ по достижениям в области информационных систем . 49 (СИ): 49–66. дои : 10.1145/3210530.3210535 . ISSN   0095-0033 . S2CID   14003960 .
  2. ^ Джоши, Чанчала; Сингх, Умеш Кумар (август 2017 г.). «Система управления рисками информационной безопасности – шаг к снижению рисков безопасности в университетской сети» . Журнал информационной безопасности и приложений . 35 : 128–137. дои : 10.1016/j.jisa.2017.06.006 . ISSN   2214-2126 .
  3. ^ Флетчер, Мартин (14 декабря 2016 г.). «Введение в информационный риск» . Национальный архив . Проверено 23 февраля 2022 г.
  4. ^ Джоши, Чанчала; Сингх, Умеш Кумар (август 2017 г.). «Система управления рисками информационной безопасности – шаг к снижению рисков безопасности в университетской сети» . Журнал информационной безопасности и приложений . 35 : 128–137. дои : 10.1016/j.jisa.2017.06.006 .
  5. ^ Дэниел, Кент; Титман, Шеридан (август 2006 г.). «Реакция рынка на материальную и нематериальную информацию» . Журнал финансов . 61 (4): 1605–1643. дои : 10.1111/j.1540-6261.2006.00884.x . ССНР   414701 .
  6. ^ Финк, Керстин (2004). Измерение потенциала знаний и неопределенность . Немецкая университетская пресса. ISBN  978-3-322-81240-7 . OCLC   851734708 .
  7. ^ Кейзер, Тобиас (19 апреля 2018 г.), «Политика безопасности» , The Information Governance Toolkit , CRC Press, стр. 57–62, doi : 10.1201/9781315385488-13 , ISBN  978-1-315-38548-8 , получено 28 мая 2021 г.
  8. ^ Данциг, Ричард; Университет национальной обороны, Вашингтон, округ Колумбия, Институт национальных стратегических исследований (1995). «Большая тройка: наши самые большие угрозы безопасности и способы их устранения» . ДТИК ADA421883 .
  9. ^ Лю, MR; Лау, ЛКИ (2000). «Безопасность межсетевого экрана: политики, тестирование и оценка производительности» . Материалы 24-й ежегодной международной конференции по компьютерному программному обеспечению и приложениям. КОМПСАК2000 . IEEE-компьютер. Соц. стр. 116–121. дои : 10.1109/cmpsac.2000.884700 . ISBN  0-7695-0792-1 . S2CID   11202223 .
  10. ^ «Как отсутствие стандартизации данных препятствует здравоохранению, основанному на данных» , «Здравоохранение, управляемое данными », Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 29, 17 октября 2015 г., doi : 10.1002/9781119205012.ch3 , ISBN  978-1-119-20501-2 , получено 28 мая 2021 г.
  11. ^ Лент, Том; Уолш, Билл (2009), «Переосмысление стандартов зеленого строительства для всестороннего непрерывного улучшения» , «Общая основа, достижение консенсуса и постоянное улучшение: международные стандарты и устойчивое строительство» , Вест-Коншохокен, Пенсильвания: ASTM International, стр. 1–1–10, doi : 10.1520/stp47516s , ISBN  978-0-8031-4507-8 , получено 28 мая 2021 г.
  12. ^ Перейти обратно: а б Черданцева Ю. и Хилтон Дж.: «Информационная безопасность и обеспечение информации. Дискуссия о значении, сфере применения и целях». В кн.: Организационные, правовые и технологические аспекты администратора информационной системы . Алмейда Ф., Портела И. (ред.). Глобальное издательство IGI. (2013)
  13. ^ ИСО/МЭК 27000:2018 (Е). (2018). Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Обзор и словарь. ИСО/МЭК.
  14. ^ Комитет по системам национальной безопасности : Глоссарий национального обеспечения информации (IA), Инструкция CNSS № 4009, 26 апреля 2010 г.
  15. ^ ИСАКА. (2008). Глоссарий терминов, 2008 г. Получено с http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf.
  16. ^ Пипкин, Д. (2000). Информационная безопасность: защита глобального предприятия . Нью-Йорк: Компания Hewlett-Packard.
  17. ^ Б., Макдермотт Э. и Гир Д. (2001). Информационная безопасность – это управление информационными рисками. В материалах семинара 2001 г. по новым парадигмам безопасности NSPW '01 (стр. 97–104). АКМ. дои : 10.1145/508171.508187
  18. ^ Андерсон, Дж. М. (2003). «Почему нам нужно новое определение информационной безопасности». Компьютеры и безопасность . 22 (4): 308–313. дои : 10.1016/S0167-4048(03)00407-3 .
  19. ^ Вентер, ХС; Элофф, JHP (2003). «Таксономия технологий информационной безопасности». Компьютеры и безопасность . 22 (4): 299–307. дои : 10.1016/S0167-4048(03)00406-1 .
  20. ^ Золото, S (декабрь 2004 г.). «Угрозы, вырисовывающиеся за периметром» . Технический отчет по информационной безопасности . 9 (4): 12–14. doi : 10.1016/s1363-4127(04)00047-0 (неактивен 16 мая 2024 г.). ISSN   1363-4127 . {{cite journal}}: CS1 maint: DOI неактивен по состоянию на май 2024 г. ( ссылка )
  21. ^ Паркер, Донн Б. (январь 1993 г.). «Полный список угроз информации» . Безопасность информационных систем . 2 (2): 10–14. дои : 10.1080/19393559308551348 . ISSN   1065-898X . S2CID   30661431 .
  22. ^ Салливант, Джон (2016), «Развивающаяся среда угроз» , «Построение корпоративной культуры безопасности» , Elsevier, стр. 33–50, doi : 10.1016/b978-0-12-802019-7.00004-3 , ISBN  978-0-12-802019-7 , получено 28 мая 2021 г.
  23. ^ Бучик, С. С.; Юдин, О. К.; Нетребко, Р. В. (21 декабря 2016 г.). «Анализ методов определения функциональных видов защищенности информационно-телекоммуникационной системы от несанкционированного доступа» . Проблемы информатизации и управления . 4 (56). дои : 10.18372/2073-4751.4.13135 . ISSN   2073-4751 .
  24. ^ Перейти обратно: а б Самонас, С.; Косс, Д. (2014). «ЦРУ наносит ответный удар: новое определение конфиденциальности, целостности и доступности в сфере безопасности» . Журнал безопасности информационных систем . 10 (3): 21–45. Архивировано из оригинала 22 сентября 2018 года . Проверено 25 января 2018 г.
  25. ^ «Gartner заявляет, что цифровые революционеры влияют на все отрасли; цифровые ключевые показатели эффективности имеют решающее значение для измерения успеха» . Гартнер. 2 октября 2017 г. Проверено 25 января 2018 г.
  26. ^ «Опрос Gartner показывает, что 42 процента руководителей начали цифровую трансформацию бизнеса» . Гартнер. 24 апреля 2017 года . Проверено 25 января 2018 г.
  27. ^ Форте, Дарио; Пауэр, Ричард (декабрь 2007 г.). «Базовые меры контроля в некоторых жизненно важных, но часто упускаемых из виду областях вашей программы защиты информации» . Компьютерное мошенничество и безопасность . 2007 (12): 17–20. дои : 10.1016/s1361-3723(07)70170-7 . ISSN   1361-3723 .
  28. ^ Низковольтные распределительные и управляющие устройства. Профили устройств для сетевых промышленных устройств , Британские стандарты BSI, номер doi : 10.3403/bsen61915 , получено 28 мая 2021 г.
  29. ^ Фетцер, Джеймс; Хайфилл, Тина; Хоссисо, Кассу; Хауэллс, Томас; Штрасснер, Эрих; Янг, Джеффри (ноябрь 2018 г.). «Учет неоднородности фирм в отраслях промышленности США: расширенные таблицы ресурсов и использования и торговля добавленной стоимостью с использованием данных на уровне предприятий и учреждений» . Серия рабочих документов. Национальное бюро экономических исследований . дои : 10.3386/w25249 . S2CID   169324096 .
  30. ^ «Безопасная оценка, подверженная киберстохастическим атакам» , «Облачные системы управления» , «Новые методологии и приложения в моделировании», Elsevier: 373–404, 2020, doi : 10.1016/b978-0-12-818701-2.00021-4 , ISBN  978-0-12-818701-2 , S2CID   240746156 , получено 28 мая 2021 г.
  31. ^ Неймейер, Х. (2003). Синхронизация механических систем . Всемирная научная. ISBN  978-981-279-497-0 . OCLC   262846185 .
  32. ^ «Как в последние годы изменилось использование компьютеров студентами» . ОЭСР . 8 сентября 2015 г. стр. 31–48. doi : 10.1787/9789264239555-4-en . Проверено 30 ноября 2023 г.
  33. ^ «9 типов специализаций в области кибербезопасности» .
  34. ^ Информационные технологии. Техники безопасности. Требования к компетентности специалистов по системам управления информационной безопасностью , Британские стандарты BSI, номер номера : 10.3403/30342674 , получено 29 мая 2021 г.
  35. ^ «Информационный бюллетень о квалификациях в области информационной безопасности» (PDF) . Управление IT . Архивировано из оригинала (PDF) 16 марта 2018 года . Проверено 16 марта 2018 г.
  36. ^ Ма, Жуйцин Рэй (март 2016 г.). «Гибкие дисплеи бывают разных форм» . Информационный дисплей . 32 (2): 4–49. дои : 10.1002/j.2637-496x.2016.tb00883.x . ISSN   0362-0972 .
  37. ^ Рахим, Нур Х. (март 2006 г.). Права человека и внутренняя безопасность в Малайзии: риторика и реальность . Центр оборонной технической информации. OCLC   74288358 .
  38. ^ Крамер, Дэвид (14 сентября 2018 г.). «Угрозы ядерного хищения и саботажа остаются высокими, - предупреждается в докладе» . Физика сегодня . дои : 10.1063/pt.6.2.20180914a . ISSN   1945-0699 . S2CID   240223415 .
  39. ^ Уайлдинг, Эдвард (2 марта 2017 г.). Информационный риск и безопасность: предотвращение и расследование компьютерных преступлений на рабочем месте . Рутледж. ISBN  978-1-351-92755-0 . OCLC   1052118207 .
  40. ^ Стюарт, Джеймс (2012). Учебное пособие CISSP . Канада: Джон Уайли и сыновья. стр. 255–257. ISBN  978-1-118-31417-3 .
  41. ^ «Почему снизился рост производительности?» . Экономические обзоры ОЭСР: Дания , 2009 г. ОЭСР . 2009. стр. 65–96. doi : 10.1787/eco_surveys-dnk-2009-4-en . ISBN  9789264076556 . Проверено 30 ноября 2023 г.
  42. ^ «Кража личных данных: к новейшим цифровым атакам следует отнестись серьезно» . Проблемы информационных систем . 2007. doi : 10.48009/2_iis_2007_297-302 . ISSN   1529-7314 .
  43. ^ Вендель-Перссон, Анна; Роннхед, Фредрик (2017). ИТ-безопасность и люди: у них самая крепкая стена в мире, но ворота всегда приоткрыты . Университет Умео, факультет информатики. OCLC   1233659973 .
  44. ^ Энге, Эрик (5 апреля 2017 г.). «Каменный храм» . Архивировано из оригинала 27 апреля 2018 года . Проверено 17 ноября 2017 г. Сотовые телефоны
  45. ^ Шао, Руодан; Скарлицки, Дэниел П. (2014). «Масштаб саботажа по отношению к клиентам, которые плохо обращались с сотрудниками» . Набор данных PsycTESTS . дои : 10.1037/t31653-000 . Проверено 28 мая 2021 г.
  46. ^ Кухня, Джули (июнь 2008 г.). «7side – Информация о компании, создание компаний и поиск недвижимости» . Управление юридической информацией . 8 (2): 146. дои : 10.1017/s1472669608000364 . ISSN   1472-6696 . S2CID   144325193 .
  47. ^ Янг, Кортни (8 мая 2018 г.), «Работа с паническими атаками» , « Помоги себе к психическому здоровью» , Routledge, стр. 209–214, doi : 10.4324/9780429475474-32 , ISBN  978-0-429-47547-4 , получено 28 мая 2021 г.
  48. ^ «Введение: внутренняя угроза» , Insider Threats , Cornell University Press, стр. 1–9, 31 декабря 2017 г., doi : 10.7591/9781501705946-003 , ISBN  978-1-5017-0594-6 , получено 28 мая 2021 г.
  49. ^ Лекиллер, Ф.; Блейдс, Д. (2014). Таблица 7.7 ​​Франция: Сравнение долей прибыли нефинансовых корпораций и нефинансовых корпораций плюс некорпоративные предприятия (PDF) . ОЭСР . п. 217. дои : 10.1787/9789264214637-en . ISBN  978-92-64-21462-0 . Проверено 1 декабря 2023 г.
  50. ^ «Как все это произошло?», Комплаенс-бизнес и его клиенты , Бейзингсток: Palgrave Macmillan, 2012, doi : 10.1057/9781137271150.0007 , ISBN  978-1-137-27115-0
  51. ^ Гордон, Лоуренс А .; Леб, Мартин П. (ноябрь 2002 г.). «Экономика инвестиций в информационную безопасность» . Транзакции ACM по информационной и системной безопасности . 5 (4): 438–457. дои : 10.1145/581271.581274 . S2CID   1500788 .
  52. ^ Чо Ким, Бён; Ханса, Лара; Джеймс, Табита (июль 2011 г.). «Индивидуальное доверие и восприятие риска потребителями» . Журнал конфиденциальности и безопасности информации . 7 (3): 3–22. дои : 10.1080/15536548.2011.10855915 . ISSN   1553-6548 . S2CID   144643691 .
  53. ^ Стюарт, Джеймс (2012). Учебное пособие для специалистов по безопасности информационных систем, сертифицированных CISSP, шестое издание . Канада: John Wiley & Sons, Inc., стр. 255–257. ISBN  978-1-118-31417-3 .
  54. ^ Джиллетт, Джон (март 1994 г.). «Затраты и выгоды от аутсорсинга: оценка истинной стоимости вашей стратегии аутсорсинга» . Европейский журнал управления закупками и поставками . 1 (1): 45–47. дои : 10.1016/0969-7012(94)90042-6 . ISSN   0969-7012 .
  55. ^ Ларсен, Дэниел (31 октября 2019 г.). «Создание американской культуры секретности: криптография в дипломатии эпохи Вильсона» . Дипломатическая история . дои : 10.1093/dh/dhz046 . ISSN   0145-2096 .
  56. ^ «Введение: Цезарь мертв. Да здравствует Цезарь!» , Самостоятельно созданный образ Юлия Цезаря и его драматическая загробная жизнь , Bloomsbury Academic, 2018, doi : 10.5040/9781474245784.0005 , ISBN  978-1-4742-4578-4 , получено 29 мая 2021 г.
  57. ^ Светоний Транквиллус, Гай (2008). Жизни Цезарей (Классика Оксфордского мира) . Нью-Йорк: Издательство Оксфордского университета. п. 28. ISBN  978-0-19-953756-3 .
  58. ^ Сингх, Саймон (2000). Кодовая книга . Якорь. стр. 289–290 . ISBN  978-0-385-49532-5 .
  59. ^ Тан, Хэн Чуан (2017). На пути к надежной и безопасной связи в автомобильной среде (Диссертация). Наньянский технологический университет. дои : 10.32657/10356/72758 .
  60. ^ Джонсон, Джон (1997). Эволюция британских сигинтов: 1653–1939 гг . Канцелярия Ее Величества. АСИН   B00GYX1GX2 .
  61. ^ Уиллисон, М. (21 сентября 2018 г.). «Были ли банки особенными? Противоположные точки зрения в Британии середины девятнадцатого века» . Денежно-кредитная экономика: международные финансовые потоки . дои : 10.2139/ssrn.3249510 . Проверено 1 декабря 2023 г.
  62. ^ Руперт, К. (2011). «Закон о государственной тайне (1889 г.; новый 1911 г.; поправки 1920, 1939, 1989 гг.)» . В Хастедте, врач общей практики (ред.). Шпионы, прослушивание телефонных разговоров и секретные операции: Энциклопедия американского шпионажа . Том. 2. АВС-КЛИО. стр. 589–590. ISBN  9781851098088 .
  63. ^ «2. Закон Клейтона: рассмотрение раздела 2, определяющего незаконную ценовую дискриминацию» . Федеральный антимонопольный закон . Издательство Колумбийского университета. 31 декабря 1930 г. стр. 18–28. дои : 10.7312/dunn93452-003 . ISBN  978-0-231-89377-0 . Проверено 29 мая 2021 г.
  64. ^ Маер, Люсинда; Гей (30 декабря 2008 г.). «Официальная тайна» (PDF) . Федерация американских ученых .
  65. ^ «Закон о государственной тайне 1989 г., заменивший раздел 2 Закона 1911 г.», Шпионаж и секретность (Routledge Revivals) , Routledge, стр. 267–282, 10 июня 2016 г., doi : 10.4324/9781315542515-21 (неактивен 31 января 2024 г.) ), ISBN  978-1-315-54251-5 {{citation}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
  66. ^ «Закон о государственной тайне: что он охватывает; когда он используется, подвергается сомнению» . Индийский экспресс . 8 марта 2019 г. Проверено 7 августа 2020 г.
  67. ^ Сингх, Гаджендра (ноябрь 2015 г.). « Разрыв цепей, которыми мы были связаны»: Камера для допросов, Индийская национальная армия и отрицание военной идентичности, 1941–1947» . Цифровая библиотека Брилла времен Первой мировой войны . дои : 10.1163/2352-3786_dlws1_b9789004211452_019 . Проверено 28 мая 2021 г.
  68. ^ Дункансон, Деннис (июнь 1982 г.). «Борьба за распутывание Французского Индокитая» . Азиатские дела . 13 (2): 161–170. дои : 10.1080/03068378208730070 . ISSN   0306-8374 .
  69. ^ Уитмен и др. 2017 , стр. 3.
  70. ^ «Allied Power. Мобилизация гидроэлектроэнергии во время Второй мировой войны в Канаде» , Allied Power , University of Toronto Press, стр. 1–2, 31 декабря 2015 г., doi : 10.3138/9781442617117-003 , ISBN  978-1-4426-1711-7 , получено 29 мая 2021 г.
  71. ^ Глаттаар, Джозеф Т. (15 июня 2011 г.), «Офицеры и рядовые» , « Солдатство в армии Северной Вирджинии» , University of North Carolina Press, стр. 83–96, doi : 10.5149/9780807877869_glatthaar.11 , ISBN  978-0-8078-3492-3 , получено 28 мая 2021 г.
  72. ^ Перейти обратно: а б Себаг-Монтефиоре, Х. (2011). Энигма: Битва за код . Орион. п. 576. ИСБН  9781780221236 .
  73. ^ Уитмен и др. 2017 , стр. 4–5.
  74. ^ Перейти обратно: а б Уитмен и др. 2017 , с. 5.
  75. ^ Декар, Пол Р. (26 апреля 2012 г.). Томас Мертон: Мудрость двадцатого века для жизни двадцать первого века . Латтерворт Пресс. стр. 160–184. дои : 10.2307/j.ctt1cg4k28.13 . ISBN  978-0-7188-4069-3 . Проверено 29 мая 2021 г.
  76. ^ Мерфи, Ричард К. (1 сентября 2009 г.). Создание более мощных и менее дорогих суперкомпьютеров с использованием обработки в памяти (PIM) Итоговый отчет LDRD (Отчет). дои : 10.2172/993898 .
  77. ^ «Краткая история Интернета» . www.usg.edu . Проверено 7 августа 2020 г.
  78. ^ "Прогулка по Делфту - в Интернете" . Компьютеры и графика . 25 (5): 927. Октябрь 2001 г. doi : 10.1016/s0097-8493(01)00149-2 . ISSN   0097-8493 .
  79. ^ ДеНардис, Л. (2007). «Глава 24: История интернет-безопасности». Ин де Леу, КММ; Бергстра, Дж. (ред.). История информационной безопасности: Комплексный справочник . Эльзевир. стр. 681–704 . ISBN  9780080550589 .
  80. ^ Пэрриш, Аллен; Импальяццо, Джон; Радж, Раджендра К.; Сантос, Энрике; Асгар, Мухаммад Ризван; Йосанг, Аудун; Перейра, Тереза; Ставру, Элиана (2 июля 2018 г.). «Глобальные перспективы образования в области кибербезопасности на 2030 год: аргументы в пользу метадисциплины» . Доклады 23-й ежегодной конференции ACM по инновациям и технологиям в области компьютерных наук . АКМ. стр. 36–54. дои : 10.1145/3293881.3295778 . hdl : 1822/71620 . ISBN  978-1-4503-6223-8 . S2CID   58004425 .
  81. ^ Перрин, Чад (30 июня 2008 г.). «Триада ЦРУ» . Проверено 31 мая 2012 г.
  82. ^ Сандху, Рави; Яджодиа, Сушил (20 октября 2000 г.), «Безопасность реляционных баз данных», Справочник по управлению информационной безопасностью, набор из четырех томов , публикации Auerbach, doi : 10.1201/9780203325438.ch120 , ISBN  978-0-8493-1068-3
  83. ^ Перейти обратно: а б Стоунбернер, Г.; Хайден, К.; Феринга, А. (2004). «Инженерные принципы безопасности информационных технологий» (PDF) . csrc.nist.gov. doi : 10.6028/NIST.SP.800-27rA . Архивировано из оригинала (PDF) 15 августа 2011 года . Проверено 28 августа 2011 г.
  84. ^ А. Дж. Нейман, Н. Стэтланд и Р. Д. Уэбб (1977). «Инструменты и методы постобработки аудита» (PDF) . Министерство торговли США, Национальное бюро стандартов. стр. 11-3--11-4.
  85. ^ «oecd.org» (PDF) . Архивировано из оригинала (PDF) 16 мая 2011 года . Проверено 17 января 2014 г.
  86. ^ «GSSP (Общепринятые принципы безопасности системы): путешествие в Абилен» . Компьютеры и безопасность . 15 (5): 417. Январь 1996 г. doi : 10.1016/0167-4048(96)82630-7 . ISSN   0167-4048 .
  87. ^ Слэйд, Роб. «(ICS)2 Блог» . Архивировано из оригинала 17 ноября 2017 года . Проверено 17 ноября 2017 г.
  88. ^ Асейтуно, Висенте. «Модель зрелости открытой информационной безопасности» . Проверено 12 февраля 2017 г.
  89. ^ «Георгий Цыбенко - Персональная домашняя страница Георгия Цыбенко» (PDF) . Архивировано из оригинала (PDF) 29 марта 2018 года . Проверено 5 января 2018 г.
  90. ^ Хьюз, Джефф; Цыбенко Георгий (21 июня 2018 г.). «Количественные показатели и оценка рисков: модель трех принципов кибербезопасности» . Обзор управления технологическими инновациями . 3 (8).
  91. ^ Теплов, Лили (июль 2020 г.). «Ваши клиенты верят в эти мифы об ИТ-безопасности? [ДИАГРАММА]» . Continuum.net .
  92. ^ Беккерс, К. (2015). Требования к шаблону и безопасности: установление стандартов безопасности на инженерной основе . Спрингер. п. 100. ИСБН  9783319166643 .
  93. ^ Финберг, Стивен Э.; Славкович, Александра Б. (2011), «Конфиденциальность и конфиденциальность данных», Международная энциклопедия статистических наук , стр. 342–345, doi : 10.1007/978-3-642-04898-2_202 , ISBN  978-3-642-04897-5
  94. ^ Перейти обратно: а б с д Это Андресс, Дж. (2014). Основы информационной безопасности: понимание основ информационной безопасности в теории и практике . Сингресс. п. 240. ИСБН  9780128008126 .
  95. ^ Бориц, Дж. Ефрим (2005). «Взгляды практиков ИБ на основные концепции целостности информации». Международный журнал информационных систем бухгалтерского учета . 6 (4). Эльзевир: 260–279. doi : 10.1016/j.accinf.2005.07.001 .
  96. ^ Гришко И. (2020). «Самовольное занятие земель и самовольное строительство: понятия и виды тактических средств расследования» . Вестник Международного гуманитарного университета. Юриспруденция (43): 180–184. дои : 10.32841/2307-1745.2020.43.40 . ISSN   2307-1745 .
  97. ^ Ким, Бонн-О (21 сентября 2000 г.), «Ссылочная целостность для проектирования баз данных» , Высокопроизводительные веб-базы данных , Публикации Ауэрбаха, стр. 427–434, doi : 10.1201/9781420031560-34 , ISBN  978-0-429-11600-1 , получено 29 мая 2021 г.
  98. ^ Певнев, В. (2018). «Моделирование угроз и обеспечение целостности информации» . Системы и технологии . 2 (56): 80–95. дои : 10.32836/2521-6643-2018.2-56.6 . ISSN   2521-6643 .
  99. ^ Фань, Юаньчжуо; Ли, Цзиньмин; Цзинь, Шуюань (26 февраля 2013 г.). «Анализ многопроцессного взаимодействия с вредоносными программами» 8 . . ( 1): 51–67 .дои 10.1002 : / . ISSN   1939-0114 сек.705
  100. ^ «Полнота, согласованность и целостность модели данных» . Измерение качества данных для постоянного улучшения . Серия МК по бизнес-аналитике. Эльзевир. 2013. стр. e11–e19. дои : 10.1016/b978-0-12-397033-6.00030-4 . ISBN  978-0-12-397033-6 . Проверено 29 мая 2021 г.
  101. ^ Видео от SPIE — Международного общества оптики и фотоники . дои : 10.1117/12.2266326.5459349132001 . Проверено 29 мая 2021 г.
  102. ^ «Коммуникативные навыки, используемые выпускниками информационных систем» . Проблемы информационных систем . 2005. doi : 10.48009/1_iis_2005_311-317 . ISSN   1529-7314 .
  103. ^ Отключения электроснабжения из-за неисправности кабеля в системе компании Boston Edison (Отчет). 1 июля 1980 г. doi : 10.2172/5083196 . ОСТИ   5083196 . Проверено 18 января 2022 г.
  104. ^ Лукас, Г.; Оке, Г. (сентябрь 2010 г.) [август 2009 г.]. «Защита от атак типа «отказ в обслуживании»: опрос» (PDF) . Вычислить. Дж. 53 (7): 1020–1037. дои : 10.1093/comjnl/bxp078 . Архивировано из оригинала (PDF) 24 марта 2012 года . Проверено 28 августа 2015 г.
  105. ^ «Уметь выполнять клиническую деятельность» , Определения , Qeios, 2 февраля 2020 г., doi : 10.32388/dine5x , S2CID   241238722 , получено 29 мая 2021 г.
  106. ^ Охта, Май; Фуджи, Такео (май 2011 г.). «Итеративное совместное зондирование общего первичного спектра для улучшения сенсорных способностей» . Международный симпозиум IEEE 2011 по сетям динамического доступа к спектру (DySPAN) . IEEE. стр. 623–627. дои : 10.1109/dyspan.2011.5936257 . ISBN  978-1-4577-0177-1 . S2CID   15119653 .
  107. ^ Информационные технологии. Управление инцидентами информационной безопасности , BSI British Standards, doi : 10.3403/30387743 , получено 29 мая 2021 г.
  108. ^ Блюм, Дэн (2020), «Определение и согласование ролей, связанных с безопасностью» , Rational Cybersecurity for Business , Беркли, Калифорния: Apress, стр. 31–60, doi : 10.1007/978-1-4842-5952-8_2 , ISBN  978-1-4842-5951-1 , S2CID   226626983 , получено 29 мая 2021 г.
  109. ^ Маккарти, К. (2006). «Цифровые библиотеки: вопросы безопасности и сохранности» . В Бидголи, Х. (ред.). Справочник по информационной безопасности, угрозам, уязвимостям, предотвращению, обнаружению и управлению . Том. 3. Джон Уайли и сыновья. стр. 49–76. ISBN  9780470051214 .
  110. ^ Информационные технологии. Взаимосвязь открытых систем. Фреймворки безопасности для открытых систем , Британские стандарты BSI, номер doi : 10.3403/01110206u , получено 29 мая 2021 г.
  111. ^ Христофори, Ральф (1 января 2014 г.), «Так могло быть», Хулио Рондо - Хорошо, Meta Memory , Вильгельм Финк Верлаг, doi : 10.30965/9783846757673_003 (неактивен 31 января 2024 г.), ISBN  978-3-7705-5767-7 {{citation}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
  112. ^ Аткинс, Д. (май 2021 г.). «Использование алгоритма цифровой подписи Walnut с подписью и шифрованием объектов CBOR (COSE)» . Редактор RFC . дои : 10.17487/rfc9021 . S2CID   182252627 . Проверено 18 января 2022 г.
  113. ^ Ле Мэй, И. (2003), «Структурная целостность в нефтехимической промышленности» , «Комплексная структурная целостность» , Elsevier, стр. 125–149, doi : 10.1016/b0-08-043749-4/01001-6 , ISBN  978-0-08-043749-1 , получено 29 мая 2021 г.
  114. ^ Соджахин, Амос; Шампанское, Клаудия; Коггинс, Фрэнк; Жилле, Роланд (11 января 2017 г.). «Опередающие или запаздывающие индикаторы риска? Информативность показателей внефинансовой деятельности» . Журнал управления активами . 18 (5): 347–370. дои : 10.1057/s41260-016-0039-y . ISSN   1470-8272 . S2CID   157485290 .
  115. ^ Рейнольдс, Э.Г. (22 июля 1995 г.). «Фолат потенциально может нанести вред» . БМЖ . 311 (6999): 257. doi : 10.1136/bmj.311.6999.257 . ISSN   0959-8138 . ПМК   2550299 . ПМИД   7503870 .
  116. ^ Рэндалл, Алан (2011), «Вред, риск и угроза» , Риск и меры предосторожности , Кембридж: Cambridge University Press, стр. 31–42, doi : 10.1017/cbo9780511974557.003 , ISBN  978-0-511-97455-7 , получено 29 мая 2021 г.
  117. ^ Грама, Дж.Л. (2014). Правовые вопросы информационной безопасности . Джонс и Бартлетт Обучение. п. 550. ИСБН  9781284151046 .
  118. ^ Кэннон, Дэвид Л. (4 марта 2016 г.). «Процесс аудита» . CISA: Учебное пособие для сертифицированных аудиторов информационных систем (Четвертое изд.). стр. 139–214. дои : 10.1002/9781119419211.ch3 . ISBN  9781119056249 .
  119. ^ Руководство по обзору CISA , 2006 г. Ассоциация аудита и контроля информационных систем. 2006. с. 85. ИСБН  978-1-933284-15-6 .
  120. ^ Кадлец, Ярослав (2 ноября 2012 г.). «Двумерное моделирование процессов (2DPM)» . Журнал «Управление бизнес-процессами» . 18 (6): 849–875. дои : 10.1108/14637151211283320 . ISSN   1463-7154 .
  121. ^ «Все контрмеры имеют определенную ценность, но ни одна контрмера не идеальна» , Beyond Fear , Нью-Йорк: Springer-Verlag, стр. 207–232, 2003, doi : 10.1007/0-387-21712-6_14 , ISBN  0-387-02620-7 , получено 29 мая 2021 г.
  122. ^ «Утечка данных: компания Deloitte серьезно пострадала, в то время как появляются новые подробности об Equifax и Yahoo» . Компьютерное мошенничество и безопасность . 2017 (10): 1–3. Октябрь 2017 г. doi : 10.1016/s1361-3723(17)30086-6 . ISSN   1361-3723 .
  123. ^ Спаньолетти, Паоло; Реска А. (2008). «Двойственность управления информационной безопасностью: борьба с предсказуемыми и непредсказуемыми угрозами» . Журнал безопасности информационных систем . 4 (3): 46–62.
  124. ^ Юсофф, Нор Хашим; Юсоф, Мохд Радзуан (4 августа 2009 г.). «Управление рисками HSE в суровых условиях» . Все дни . ОПЭ. дои : 10.2118/122545-мс .
  125. ^ Бакстер, Уэсли (2010). Распродано: как деловые районы в центре Оттавы защитили и повысили ценность городского пространства (Диссертация). Карлтонский университет. дои : 10.22215/etd/2010-09016 .
  126. ^ де Соуза, Андре; Линч, Энтони (июнь 2012 г.). «Изменяется ли эффективность взаимных фондов в зависимости от бизнес-цикла?» . Кембридж, Массачусетс. дои : 10.3386/w18137 . S2CID   262620435 .
  127. ^ Киунтузис, Э.А.; Коколакис, С.А. (31 мая 1996 г.). Безопасность информационных систем: лицом к информационному обществу 21 века . Лондон: Chapman & Hall, Ltd. ISBN  978-0-412-78120-9 .
  128. ^ Ньюсом, Б. (2013). Практическое введение в безопасность и управление рисками . Публикации SAGE. п. 208. ИСБН  9781483324852 .
  129. ^ Перейти обратно: а б Уитмен, Мэн; Матторд, HJ (2016). Управление информационной безопасностью (5-е изд.). Cengage Обучение. п. 592. ИСБН  9781305501256 .
  130. ^ «Оборудование, ткани, клеи и другие театральные материалы» , «Иллюстрированное руководство по театральному производству » , Routledge, стр. 203–232, 20 марта 2013 г., doi : 10.4324/9780080958392-20 , ISBN  978-0-08-095839-2 , получено 29 мая 2021 г.
  131. ^ Причина, Джеймс (2 марта 2017 г.), «Восприятие опасных действий» , The Human Contribution , CRC Press, стр. 69–103, doi : 10.1201/9781315239125-7 , ISBN  978-1-315-23912-5 , получено 29 мая 2021 г.
  132. ^ «Процедуры и стандарты информационной безопасности» , Политики, процедуры и стандарты информационной безопасности , Бока-Ратон, Флорида: Публикации Ауэрбаха, стр. 81–92, 27 марта 2017 г., doi : 10.1201/9781315372785-5 , ISBN  978-1-315-37278-5 , получено 29 мая 2021 г.
  133. ^ ; Чжуан, Сяофэнь (25 июня 2020 г.). : Анализ прогностического воздействия каждого отдельного сигнатурного гена» . Чжуан, Хайфэн, Юй; Хун, Лили S1 « Рисунок e9437.doi 10.7717/peerj.9437/ upp : -1 .
  134. ^ Штандарт, Б.; Этген, О.; Эмерсон, РА (июнь 2012 г.). «Анализ экономической эффективности выбросов CO4 – подходит для всех ситуаций?» . Ценность в здоровье . 15 (4): А2. дои : 10.1016/j.jval.2012.03.015 . ISSN   1098-3015 .
  135. ^ «Навесы из стеклопластика обеспечивают экономичную защиту дверей» . Армированные пластмассы . 40 (11): 8 ноября 1996 г. doi : 10.1016/s0034-3617(96)91328-4 . ISSN   0034-3617 .
  136. ^ «Рисунок 2.3. Относительный риск низкой эффективности в зависимости от личных обстоятельств (2012 г.)» . дои : 10.1787/888933171410 . Проверено 29 мая 2021 г.
  137. ^ Стоунбернер, Гэри; Гоген, Алиса; Феринга, Алексис (2002). «Руководство по управлению рисками NIST SP 800-30 для систем информационных технологий» . doi : 10.6028/NIST.SP.800-30 . Проверено 18 января 2022 г.
  138. ^ «Могу ли я выбирать? Могу ли я выбирать? Угнетение и выбор», Теория свободы , Пэлгрейв Макмиллан, 2012, doi : 10.1057/9781137295026.0007 , ISBN  978-1-137-29502-6
  139. ^ Паркер, Донн Б. (январь 1994 г.). «Руководство по выбору и реализации мер безопасности» . Безопасность информационных систем . 3 (2): 75–86. дои : 10.1080/10658989409342459 . ISSN   1065-898X .
  140. ^ Зоккали, Кармин; Малламачи, Франческа; Трипепи, Джованни (25 сентября 2007 г.). «Приглашенный редактор: Раджив Агарвал: Оценка профиля сердечно-сосудистого риска и контроль приема лекарств должны быть на первом месте» . Семинары по диализу . 20 (5): 405–408. дои : 10.1111/j.1525-139x.2007.00317.x . ISSN   0894-0959 . ПМИД   17897245 . S2CID   33256127 .
  141. ^ Руководство по внедрению и аудиту средств управления СМИБ на основе ISO/IEC 27001 . Лондон: Британские стандарты BSI. 1 ноября 2013 г. doi : 10.3403/9780580829109 . ISBN  978-0-580-82910-9 .
  142. ^ Джонсон, Л. (2015). Справочник по оценке, тестированию и оценке мер безопасности . Сингресс. п. 678. ИСБН  9780128025642 .
  143. ^ Информационные технологии. Техники безопасности. Сопоставление пересмотренных редакций ISO/IEC 27001 и ISO/IEC 27002 , Британские стандарты BSI, doi : 10.3403/30310928 , получено 29 мая 2021 г.
  144. ^ Перейти обратно: а б с «Административный контроль» , Профессиональная эргономика , CRC Press, стр. 443–666, 26 марта 2003 г., doi : 10.1201/9780203507933-6 , ISBN  978-0-429-21155-3 , получено 29 мая 2021 г.
  145. ^ Чен, Дж.; Демерс, Э.А.; Лев Б. (июнь 2013 г.). «Как время суток влияет на деловые разговоры» . дои : 10.13007/141 . Проверено 18 января 2022 г.
  146. ^ 44 USC   § 3542 (b) (1)
  147. ^ «Приложение D», Разработка политики информационной безопасности для обеспечения соответствия , Auerbach Publications, стр. 117–136, 22 марта 2013 г., doi : 10.1201/b13922-12 , ISBN  978-1-4665-8058-9
  148. ^ «Брандмауэры, системы обнаружения вторжений и оценка уязвимостей: превосходное сочетание?» . Сетевая безопасность . 2002 (9): 8–11. Сентябрь 2002 г. doi : 10.1016/s1353-4858(02)09009-8 . ISSN   1353-4858 .
  149. ^ Рэнсом, Дж.; Мисра, А. (2013). Основная безопасность программного обеспечения: безопасность у источника . ЦРК Пресс. стр. 40–41. ISBN  9781466560956 .
  150. ^ Вейк, Мартин Х. (2000), «Принцип наименьших привилегий», Словарь компьютерных наук и коммуникаций , стр. 883, номер домена : 10.1007/1-4020-0613-6_10052 , ISBN  978-0-7923-8425-0
  151. ^ Эмир, Астра (сентябрь 2018 г.). «19. Обязанности бывших сотрудников». Законная сокровищница . дои : 10.1093/he/9780198814849.003.0019 . ISBN  978-0-19-185251-0 .
  152. ^ Руководство по правам доступа к медицинской информации , ASTM International, doi : 10.1520/e1986-09 , получено 29 мая 2021 г.
  153. ^ Друри, Билл (1 января 2009 г.), «Физическая среда» , Справочник по методам управления, приводам и средствам управления , Институт инженерии и технологий, стр. 355–381, doi : 10.1049/pbpo057e_chb3 , ISBN  978-1-84919-013-8 , получено 29 мая 2021 г.
  154. ^ Системы обнаружения пожара и пожарной сигнализации , Британские стандарты BSI, номер номера : 10.3403/30266863 , получено 29 мая 2021 г.
  155. ^ Сильверман, Арнольд Б. (ноябрь 2001 г.). «Собеседования при увольнении сотрудников — важная, но часто упускаемая из виду процедура» . ДЖОМ . 53 (11): 48. Бибкод : 2001JOM....53k..48S . дои : 10.1007/s11837-001-0195-4 . ISSN   1047-4838 . S2CID   137528079 .
  156. ^ «Многие сотрудники фармацевтов должны иметь возможность получить выгоду» . Фармацевтический журнал . 2013. дои : 10.1211/pj.2013.11124182 . ISSN   2053-6186 .
  157. ^ «Матрица контроля разделения обязанностей» . ИСАКА. 2008. Архивировано из оригинала 3 июля 2011 года . Проверено 30 сентября 2008 г.
  158. ^ «Жители должны защищать свою личную информацию» . ДЖАМА . 279 (17): 1410Б. 6 мая 1998 г. doi : 10.1001/jama.279.17.1410 . ISSN   0098-7484 .
  159. ^ «Системы поддержки групповой мудрости: объединение идей многих с помощью информационных технологий» . Проблемы информационных систем . 2008. doi : 10.48009/2_iis_2008_343-350 . ISSN   1529-7314 .
  160. ^ «ВЗАИМОЗАВИСИМОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ» , Извлеченные уроки: Защита критической информационной инфраструктуры , Издательство IT Governance Publishing, стр. 34–37, 2018 г., doi : 10.2307/j.ctt1xhr7hq.13 , ISBN  978-1-84928-958-0 , получено 29 мая 2021 г.
  161. ^ «Управление сетевой безопасностью» , Безопасность периметра сети , Публикации Ауэрбаха, стр. 17–66, 27 октября 2003 г., doi : 10.1201/9780203508046-3 , ISBN  978-0-429-21157-7 , получено 29 мая 2021 г.
  162. ^ Какарека, А. (2013). «Глава 31: Что такое оценка уязвимостей?» . В Вакке-младшем (ред.). Справочник по компьютерной и информационной безопасности (2-е изд.). Эльзевир. стр. 541–552. ISBN  9780123946126 .
  163. ^ Дьюк, Пенсильвания; Ховард, IP (17 августа 2012 г.). «Обработка различий в вертикальных размерах в различных плоскостях глубины» . Журнал видения . 12 (8): 10. дои : 10.1167/12.8.10 . ISSN   1534-7362 . ПМИД   22904355 .
  164. ^ «Скрипты управления безопасностью Onion» . Прикладной мониторинг сетевой безопасности . Эльзевир. 2014. стр. 451–456. дои : 10.1016/b978-0-12-417208-1.09986-4 . ISBN  978-0-12-417208-1 . Проверено 29 мая 2021 г.
  165. ^ Сайя, Серджио; Фрагассо, Мариаджованна; Вита, Паскуале Де; Беледжия, Ромина. «Метаболомика дает ценную информацию для изучения твердой пшеницы: обзор» . Журнал сельскохозяйственной и пищевой химии . doi : 10.1021/acs.jafc.8b07097.s001 . Проверено 29 мая 2021 г.
  166. ^ "Overview", Information Security Policies, Procedures, and Standards, Auerbach Publications, December 20, 2001, doi:10.1201/9780849390326.ch1, ISBN 978-0-8493-1137-6
  167. ^ Electrical protection relays. Information and requirements for all protection relays, BSI British Standards, doi:10.3403/bs142-1, retrieved May 29, 2021
  168. ^ Dibattista, Joseph D.; Reimer, James D.; Stat, Michael; Masucci, Giovanni D.; Biondi, Piera; Brauwer, Maarten De; Bunce, Michael (February 6, 2019). "Supplemental Information 4: List of all combined families in alphabetical order assigned in MEGAN vers. 5.11.3". PeerJ. 7: e6379. doi:10.7717/peerj.6379/supp-4.
  169. ^ Kim, Sung-Won (March 31, 2006). "A Quantitative Analysis of Classification Classes and Classified Information Resources of Directory". Journal of Information Management. 37 (1): 83–103. doi:10.1633/jim.2006.37.1.083. ISSN 0254-3621.
  170. ^ Jump up to: a b Bayuk, J. (2009). "Chapter 4: Information Classification". In Axelrod, C.W.; Bayuk, J.L.; Schutzer, D. (eds.). Enterprise Information Security and Privacy. Artech House. pp. 59–70. ISBN 9781596931916.
  171. ^ "Welcome to the Information Age", Overload!, Hoboken, NJ, US: John Wiley & Sons, Inc., pp. 43–65, September 11, 2015, doi:10.1002/9781119200642.ch5, ISBN 978-1-119-20064-2, retrieved May 29, 2021
  172. ^ Crooks, S. (2006). "102. Case Study: When Exposure Control Efforts Override Other Important Design Considerations". AIHce 2006. AIHA. doi:10.3320/1.2759009 (inactive February 4, 2024).{{cite book}}: CS1 maint: DOI inactive as of February 2024 (link)
  173. ^ "Business Model for Information Security (BMIS)". ISACA. Archived from the original on January 26, 2018. Retrieved January 25, 2018.
  174. ^ McAuliffe, Leo (January 1987). "Top secret/trade secret: Accessing and safeguarding restricted information". Government Information Quarterly. 4 (1): 123–124. doi:10.1016/0740-624x(87)90068-2. ISSN 0740-624X.
  175. ^ Iqbal, Javaid; Soroya, Saira Hanif; Mahmood, Khalid (January 5, 2023). "Financial information security behavior in online banking". Information Development: 026666692211493. doi:10.1177/02666669221149346. ISSN 0266-6669. S2CID 255742685.
  176. ^ Khairuddin, Ismail Mohd; Sidek, Shahrul Naim; Abdul Majeed, Anwar P.P.; Razman, Mohd Azraai Mohd; Puzi, Asmarani Ahmad; Yusof, Hazlina Md (February 25, 2021). "Figure 7: Classification accuracy for each model for all features". PeerJ Computer Science. 7: e379. doi:10.7717/peerj-cs.379/fig-7.
  177. ^ "Asset Classification", Information Security Fundamentals, Auerbach Publications, pp. 327–356, October 16, 2013, doi:10.1201/b15573-18, ISBN 978-0-429-13028-1, retrieved June 1, 2021
  178. ^ Jump up to: a b Almehmadi, Abdulaziz; El-Khatib, Khalil (2013). "Authorized! Access denied, unauthorized! Access granted". Proceedings of the 6th International Conference on Security of Information and Networks. Sin '13. New York, New York, US: ACM Press. pp. 363–367. doi:10.1145/2523514.2523612. ISBN 978-1-4503-2498-4. S2CID 17260474.
  179. ^ Jump up to: a b Peiss, Kathy (2020), "The Country of the Mind Must Also Attack", Information Hunters, Oxford University Press, pp. 16–39, doi:10.1093/oso/9780190944612.003.0003, ISBN 978-0-19-094461-2, retrieved June 1, 2021
  180. ^ Fugini, M.G.; Martella, G. (January 1988). "A petri-net model of access control mechanisms". Information Systems. 13 (1): 53–63. doi:10.1016/0306-4379(88)90026-9. ISSN 0306-4379.
  181. ^ Information technology. Personal identification. ISO-compliant driving licence, BSI British Standards, doi:10.3403/30170670u, retrieved June 1, 2021
  182. ^ Santos, Omar (2015). Ccna security 210-260 official cert guide. Cisco press. ISBN 978-1-58720-566-8. OCLC 951897116.
  183. ^ "What is Assertion?", ASSERTION TRAINING, Abingdon, UK: Taylor & Francis, pp. 1–7, 1991, doi:10.4324/9780203169186_chapter_one, ISBN 978-0-203-28556-5, retrieved June 1, 2021
  184. ^ Doe, John (1960). "Field Season In Illinois Begins May 2". Soil Horizons. 1 (2): 10. doi:10.2136/sh1960.2.0010. ISSN 2163-2812.
  185. ^ Leech, M. (March 1996). "Username/Password Authentication for SOCKS V5". doi:10.17487/rfc1929. Retrieved January 18, 2022.
  186. ^ Kirk, John; Wall, Christine (2011), "Teller, Seller, Union Activist: Class Formation and Changing Bank Worker Identities", Work and Identity, London: Palgrave Macmillan UK, pp. 124–148, doi:10.1057/9780230305625_6, ISBN 978-1-349-36871-6, retrieved June 1, 2021
  187. ^ Dewi, Mila Nurmala (December 23, 2020). "Perbandingan Kinerja Teller Kriya Dan Teller Organik Pt. Bank Syariah Mandiri". Nisbah: Jurnal Perbankan Syariah. 6 (2): 75. doi:10.30997/jn.v6i2.1932. ISSN 2528-6633. S2CID 234420571.
  188. ^ Vile, John (2013), "License Checks", Encyclopedia of the Fourth Amendment, Washington DC: CQ Press, doi:10.4135/9781452234243.n462, ISBN 978-1-60426-589-7, retrieved June 1, 2021
  189. ^ "He Said/She Said", My Ghost Has a Name, University of South Carolina Press, pp. 17–32, doi:10.2307/j.ctv6wgjjv.6, ISBN 978-1-61117-827-2, retrieved May 29, 2021
  190. ^ Bacigalupo, Sonny A.; Dixon, Linda K.; Gubbins, Simon; Kucharski, Adam J.; Drewe, Julian A. (October 26, 2020). "Supplemental Information 8: Methods used to monitor different types of contact". PeerJ. 8: e10221. doi:10.7717/peerj.10221/supp-8.
  191. ^ Igelnik, Boris M.; Zurada, Jacek (2013). Efficiency and scalability methods for computational intellect. Information Science Reference. ISBN 978-1-4666-3942-3. OCLC 833130899.
  192. ^ "The Insurance Superbill Must Have Your Name as the Provider", Before You See Your First Client, Routledge, pp. 37–38, January 1, 2005, doi:10.4324/9780203020289-11, ISBN 978-0-203-02028-9, retrieved June 1, 2021
  193. ^ Kissell, Joe. Take Control of Your Passwords. ISBN 978-1-4920-6638-5. OCLC 1029606129.
  194. ^ "New smart Queensland driver license announced". Card Technology Today. 21 (7): 5. July 2009. doi:10.1016/s0965-2590(09)70126-4. ISSN 0965-2590.
  195. ^ Lawrence Livermore National Laboratory. United States. Department of Energy. Office of Scientific and Technical Information (1995). A human engineering and ergonomic evaluation of the security access panel interface. United States. Dept. of Energy. OCLC 727181384.
  196. ^ Lee, Paul (April 2017). "Prints charming: how fingerprints are trailblazing mainstream biometrics". Biometric Technology Today. 2017 (4): 8–11. doi:10.1016/s0969-4765(17)30074-7. ISSN 0969-4765.
  197. ^ Landrock, Peter (2005). "Two-Factor Authentication". Encyclopedia of Cryptography and Security. p. 638. doi:10.1007/0-387-23483-7_443. ISBN 978-0-387-23473-1.
  198. ^ "Figure 1.5. Marriage remains the most common form of partnership among couples, 2000-07". doi:10.1787/888932392533. Retrieved June 1, 2021.
  199. ^ Akpeninor, James Ohwofasa (2013). Modern Concepts of Security. Bloomington, IN: AuthorHouse. p. 135. ISBN 978-1-4817-8232-6. Retrieved January 18, 2018.
  200. ^ Ричардс, Г. (апрель 2012 г.). «Предварительная аутентификация по одноразовому паролю (OTP)» . дои : 10.17487/rfc6560 .
  201. ^ Шумахер, Дитмар (3 апреля 2016 г.). «Поверхностная геохимическая разведка через 85 лет: что сделано и что еще предстоит сделать» . Международная конференция и выставка, Барселона, Испания, 3-6 апреля 2016 г. Тезисы глобального собрания SEG. Общество геофизиков-разведчиков и Американская ассоциация геологов-нефтяников. п. 100. дои : 10.1190/ice2016-6522983.1 .
  202. ^ «Программа авторизации и одобрения» , Политика и процедуры внутреннего контроля , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 69–72, 23 октября 2015 г., doi : 10.1002/9781119203964.ch10 , ISBN  978-1-119-20396-4 , получено 1 июня 2021 г.
  203. ^ «Какие реакции при каких условиях?» , Местная политика и Европейский социальный фонд , Policy Press, стр. 81–102, 2 октября 2019 г., doi : 10.2307/j.ctvqc6hn1.12 , ISBN  978-1-4473-4652-4 , S2CID   241438707 , получено 1 июня 2021 г.
  204. ^ Ченг, Лян; Чжан, Ян; Хан, Чжихуэй (июнь 2013 г.). «Количественное измерение механизмов контроля доступа в различных операционных системах» . 2013 7-я Международная конференция IEEE по безопасности и надежности программного обеспечения . IEEE. стр. 50–59. дои : 10.1109/sere.2013.12 . ISBN  978-1-4799-0406-8 . S2CID   13261344 .
  205. ^ Перейти обратно: а б Вейк, Мартин Х. (2000), «Дискретный контроль доступа», Словарь компьютерных наук и коммуникаций , стр. 426, номер домена : 10.1007/1-4020-0613-6_5225 , ISBN  978-0-7923-8425-0
  206. ^ Гревер, К.; Балани, П.; Вайденфеллер, К.; Бартузель, Т.; Чжэнь Тао; Рауэн, Т. (10 августа 2005 г.). «Отдельные субъединицы гомотримера транспортера глутамата EAAC1 функционируют независимо друг от друга» . Биохимия . 44 (35): 11913–11923. дои : 10.1021/bi050987n . ПМЦ   2459315 . ПМИД   16128593 .
  207. ^ Эллис Ормрод, Жанна (2012). Основы педагогической психологии: большие идеи для эффективного преподавания . Пирсон. ISBN  978-0-13-136727-2 . OCLC   663953375 .
  208. ^ Белим, С.В.; Богаченко Н.Ф.; Кабанов А.Н. (ноябрь 2018 г.). «Уровень серьезности разрешений при ролевом управлении доступом» . 2018 Динамика систем, механизмов и машин (Динамика) . IEEE. стр. 1–5. arXiv : 1812.11404 . дои : 10.1109/dynamics.2018.8601460 . ISBN  978-1-5386-5941-0 . S2CID   57189531 .
  209. ^ «Настройка TACACS и расширенного TACACS», Защита и контроль маршрутизаторов Cisco , публикации Auerbach, 15 мая 2002 г., doi : 10.1201/9781420031454.ch11 , ISBN  978-0-8493-1290-8
  210. ^ «Разработка эффективной политики безопасности» , Анализ рисков и выбор мер противодействия безопасности , CRC Press, стр. 261–274, 18 декабря 2009 г., doi : 10.1201/9781420078718-18 , ISBN  978-0-429-24979-2 , получено 1 июня 2021 г.
  211. ^ «Использование журналов аудита для мониторинга ключевых сетей и систем должно оставаться частью существенной уязвимости компьютерной безопасности» . www.treasury.gov . Проверено 6 октября 2017 г.
  212. ^ «Исправление-режим-доступа-к-лекарствам-в-Канаде-что-вам-нужно-знать-о-билле-c398» . Документы по правам человека онлайн . дои : 10.1163/2210-7975_hrd-9902-0152 . Проверено 1 июня 2021 г.
  213. ^ Салазар, Мэри К. (январь 2006 г.). «Работа с неопределенными рисками — когда применять принцип предосторожности» . Журнал ААОН . 54 (1): 11–13. дои : 10.1177/216507990605400102 . ISSN   0891-0162 . S2CID   87769508 .
  214. ^ «Нам нужно знать больше о том, как правительство подвергает цензуре своих сотрудников» . Документы по правам человека в Интернете . дои : 10.1163/2210-7975_hrd-9970-2016117 . Проверено 1 июня 2021 г.
  215. ^ Пурнель, Джерри (22 апреля 2004 г.), «1001 компьютерное слово, которое вам нужно знать» , 1001 компьютерное слово, которое вам нужно знать: полное руководство по языку компьютеров , Oxford Scholarship Online, Oxford University Press, doi : 10.1093/oso /9780195167757.003.0007 , ISBN  978-0-19-516775-7 , получено 30 июля 2021 г.
  216. ^ Исттом, Уильям (2021), «Криптография с эллиптической кривой» , Современная криптография , Cham: Springer International Publishing, стр. 245–256, doi : 10.1007/978-3-030-63115-4_11 , ISBN  978-3-030-63114-7 , S2CID   234106555 , получено 1 июня 2021 г.
  217. ^ Фоллман, Ребекка (1 марта 2014 г.). От человека, который там был: поиск информации при наставничестве . Материалы конференции 2014 (Диссертация). iSchools. дои : 10.9776/14322 . hdl : 1903/14292 . ISBN  978-0-9884900-1-7 .
  218. ^ Вайс, Джейсон (2004), «Дайджесты сообщений, коды аутентификации сообщений и цифровые подписи» , Расширения криптографии Java , Elsevier, стр. 101–118, doi : 10.1016/b978-012742751-5/50012-8 , ISBN  978-0-12-742751-5 , получено 5 июня 2021 г.
  219. ^ Бидер, Д. (март 2018 г.). «Использование ключей RSA с SHA-256 и SHA-512 в протоколе Secure Shell (SSH)» (PDF) . Серия RFC. дои : 10.17487/RFC8332 . Проверено 30 ноября 2023 г.
  220. ^ Нет, Джэвон; Ким, Джихён; Квон, Гивон; Чо, Сонхён (октябрь 2016 г.). «Схема безопасного обмена ключами для WPA/WPA2-PSK с использованием криптографии с открытым ключом» . Международная конференция IEEE по бытовой электронике в Азии (ICCE-Asia) , 2016 г. IEEE. стр. 1–4. дои : 10.1109/icce-asia.2016.7804782 . ISBN  978-1-5090-2743-9 . S2CID   10595698 .
  221. ^ Ван Бюрен, Рой Ф. (май 1990 г.). «Как вы можете использовать стандарт шифрования данных для шифрования ваших файлов и баз данных» . Обзор ACM SIGSAC . 8 (2): 33–39. дои : 10.1145/101126.101130 . ISSN   0277-920X .
  222. ^ Бонно, Джозеф (2016), «Зачем покупать, если можно арендовать?» , Финансовая криптография и безопасность данных , Конспекты лекций по информатике, вып. 9604, Берлин, Гейдельберг: Springer Berlin Heidelberg, стр. 19–26, doi : 10.1007/978-3-662-53357-4_2 , ISBN  978-3-662-53356-7 , S2CID   18122687 , получено 5 июня 2021 г.
  223. ^ Коулман, Хизер; Андрон, Джефф (1 августа 2015 г.), «Что нужно знать экспертам по ГИС и специалистам по политике об использовании Marxan в процессах многокритериального планирования» , Ocean Solutions, Earth Solutions , Esri Press, doi : 10.17128/9781589483651_2 , ISBN  978-1-58948-365-1 , получено 5 июня 2021 г.
  224. ^ Перейти обратно: а б Лэндрок, Питер (2005), «Ключ шифрования ключа», Энциклопедия криптографии и безопасности , стр. 326–327, doi : 10.1007/0-387-23483-7_220 , ISBN  978-0-387-23473-1
  225. ^ Гири, Дебасис; Баруа, Притаян; Шривастава, ПД; Яна, Бисвапати (2010), «Криптосистема для шифрования и дешифрования длинных конфиденциальных сообщений», Информационная безопасность и гарантия , Коммуникации в компьютерной и информационной науке, том. 76, Берлин, Гейдельберг: Springer Berlin Heidelberg, стр. 86–96, Bibcode : 2010isa..conf...86G , doi : 10.1007/978-3-642-13365-7_9 , ISBN  978-3-642-13364-0 , получено 5 июня 2021 г.
  226. ^ Валлабханени, СР (2008). Лучшие практики корпоративного управления, управления и этики . Джон Уайли и сыновья. п. 288. ИСБН  9780470255803 .
  227. ^ Шон Харрис (2003). Универсальное руководство по сертификационному экзамену CISSP (2-е изд.). Эмеривилл, Калифорния : МакГроу-Хилл / Осборн. ISBN  978-0-07-222966-0 .
  228. ^ Бонкардо, Роберт (20 сентября 2018 г.). «Малларме Жан-Клода Мильнера: ничего не произошло» . Издательство Эдинбургского университета . 1 . doi : 10.3366/edinburgh/9781474429528.003.0005 . S2CID   172045429 .
  229. ^ «Важность оперативной комплексной проверки» , Операционная комплексная проверка хедж-фонда , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 49–67, 16 октября 2015 г., doi : 10.1002/9781119197485.ch2 , ISBN  978-1-119-19748-5 , получено 5 июня 2021 г.
  230. ^ Холл, Гейлорд К. (март 1917 г.). «Некоторые важные диагностические моменты, которые врач общей практики [ sic ] должен знать о носе» . Южный медицинский журнал . 10 (3): 211. дои : 10.1097/00007611-191703000-00007 . ISSN   0038-4348 .
  231. ^ Ренес, Дж. (1999). Пейзажи Мааса и Пиля: прикладное историко-географическое исследование на территории регионального плана Северного и Центрального Лимбурга . Эйсма. ISBN  90-74252-84-2 . OCLC   782897414 .
  232. ^ Томас, Брук (22 июня 2017 г.). «Учитывая предыдущие шаги» . Оксфордская стипендия онлайн . doi : 10.1093/acprof:oso/9780190456368.003.0002 . ISBN  978-0-19-045639-9 .
  233. ^ Лундгрен, Регина Э. (2018). Коммуникация о рисках: руководство по информированию о рисках для окружающей среды, безопасности и здоровья . Уайли. ISBN  978-1-119-45613-1 . OCLC   1043389392 .
  234. ^ Дженсен, Эрик Талбот (3 декабря 2020 г.), «Комплексная проверка в кибердеятельности» , Комплексная проверка в международном правовом порядке , Oxford University Press, стр. 252–270, doi : 10.1093/oso/9780198869900.003.0015 , ISBN  978-0-19-886990-0 , получено 5 июня 2021 г.
  235. ^ «Стандарт анализа рисков по обязанности проявлять осторожность» . ДоКРА . Архивировано из оригинала 14 августа 2018 года . Проверено 15 августа 2018 г.
  236. ^ Саттон, Адам; Черный, Адриан; Уайт, Роб (2008), «Оценка предотвращения преступности» , Предупреждение преступности , Кембридж: Издательство Кембриджского университета, стр. 70–90, doi : 10.1017/cbo9780511804601.006 , ISBN  978-0-511-80460-1 , получено 5 июня 2021 г.
  237. ^ Чек, Эрика (15 сентября 2004 г.). «FDA считает антидепрессанты опасными для детей» . Природа . дои : 10.1038/news040913-15 . ISSN   0028-0836 .
  238. ^ Окленд, Крессида (16 августа 2017 г.). «Защита меня от моего распоряжения: обеспечение соответствующих гарантий для предварительных распоряжений при деменции» . Обзор медицинского права . 26 (1): 73–97. doi : 10.1093/medlaw/fwx037 . ISSN   0967-0742 . ПМИД   28981694 .
  239. ^ Такач, Джордж С. (2016), «Подготовка к судебному разбирательству по поводу нарушений» Elsevier , , стр. 217–230, doi : 10.1016/b978-0-12-803451-4.00009-5 , ISBN  978-0-12-803451-4 , получено 5 июня 2021 г.
  240. ^ Вестби, младший; Аллен, Дж. Х. (август 2007 г.). «Руководство по внедрению управления безопасностью предприятия (GES)» (PDF) . Институт программной инженерии . Проверено 25 января 2018 г.
  241. ^ Фаулер, Кевви (2016), «Разработка плана реагирования на инциденты компьютерной безопасности» , «Подготовка и реагирование на утечку данных» , Elsevier, стр. 49–77, doi : 10.1016/b978-0-12-803451-4.00003-4 , ISBN  978-0-12-803451-4 , получено 5 июня 2021 г.
  242. ^ Бизоньи, Фабио (2016). «Доказательство ограничений законов об уведомлении о утечке государственных данных: является ли федеральный закон наиболее адекватным решением?». Журнал информационной политики . 6 : 154–205. дои : 10.5325/jinfopoli.6.2016.0154 . JSTOR   10.5325/jinfopoli.6.2016.0154 .
  243. ^ «Понимание плана для каждой части» , Turbo Flow , Productivity Press, стр. 21–30, 27 июля 2017 г., doi : 10.1201/b10336-5 , ISBN  978-0-429-24603-6 , получено 5 июня 2021 г.
  244. ^ Перейти обратно: а б Уиллс, Леонард (27 февраля 2019 г.). «Краткое руководство по устранению киберинцидентов» . Американская ассоциация адвокатов .
  245. ^ Джонсон, Лейтон Р. (2014), «Часть 1. Группа реагирования на инциденты» , Управление группой реагирования на компьютерные инциденты и криминалистической экспертизы , Elsevier, стр. 17–19, doi : 10.1016/b978-1-59749-996-5.00038-8 , ISBN  978-1-59749-996-5 , получено 5 июня 2021 г.
  246. ^ «Управление командой реагирования на компьютерные инциденты и криминалистики» . Сетевая безопасность . 2014 (2): 4 февраля 2014 г. doi : 10.1016/s1353-4858(14)70018-2 . ISSN   1353-4858 .
  247. ^ «Планшет угроз кибербезопасности и будущие тенденции» , Cybersecurity , Routledge, стр. 304–343, 16 апреля 2015 г., doi : 10.1201/b18335-12 , ISBN  978-0-429-25639-4 , получено 5 июня 2021 г.
  248. ^ Информационные технологии. Техники безопасности. Управление инцидентами информационной безопасности , BSI British Standards, doi : 10.3403/30268878u , получено 5 июня 2021 г.
  249. ^ Тернер, Тим (7 сентября 2011 г.), «Наше начало: члены команды, начавшие историю успеха» , Одна команда на всех уровнях , Productivity Press, стр. 9–36, doi : 10.4324/9781466500020-2 , ISBN  978-0-429-25314-0 , получено 5 июня 2021 г.
  250. ^ Эрлангер, Леон (2002). Оборонительные стратегии . Журнал ПК. п. 70.
  251. ^ «Главной улицы Белграда. Событие произошло в абсолютном смысле» , Radical Street Performance , Routledge, стр. 81–83, 5 ноября 2013 г., doi : 10.4324/9781315005140-28 , ISBN  978-1-315-00514-0 , получено 5 июня 2021 г.
  252. ^ «Почему выбор так важен и что можно сделать, чтобы его сохранить». Манипулирование выбором . Пэлгрейв Макмиллан. 2013. дои : 10.1057/9781137313577.0010 . ISBN  978-1-137-31357-7 .
  253. ^ Перейти обратно: а б с «Руководство по устранению инцидентов компьютерной безопасности» (PDF) . Nist.gov . 2012.
  254. ^ Боргстрем, Пернилла; Стренгбом, Иоахим; Викетофт, Мария; Боммарко, Риккардо (4 апреля 2016 г.). «Таблица S3: Результаты линейно-смешанных моделей, в которых несущественные [ sic ] параметры не были удалены» . ПерДж . 4 : е1867. дои : 10.7717/peerj.1867/supp-3 .
  255. ^ Пенфолд, Дэвид (2000), «Выбор, копирование, перемещение и удаление файлов и каталогов», Модуль ECDL 2: Использование компьютера и управление файлами , Лондон: Springer London, стр. 86–94, doi : 10.1007/978-1- 4471-0491-9_6 , ISBN  978-1-85233-443-7
  256. ^ Гумус, Онур (2018). АСП. NET Core 2 Fundamentals: создание кроссплатформенных приложений и динамических веб-служб с помощью этой серверной платформы веб-приложений . Packt Publishing Ltd. ISBN  978-1-78953-355-2 . OCLC   1051139482 .
  257. ^ «Понимают ли учащиеся то, что изучают?» , Устранение проблем с преподаванием , Routledge, стр. 36–40, 25 февраля 2005 г., doi : 10.4324/9780203416907-8 , ISBN  978-0-203-41690-7 , получено 5 июня 2021 г.
  258. ^ «Где восстанавливаются фильмы, откуда они берутся и кто их восстанавливает?», Film Restoration , Palgrave Macmillan, 2013, doi : 10.1057/9781137328724.0006 , ISBN  978-1-137-32872-4
  259. ^ Ляо, Ци; Ли, Чжэнь; Стригель, Аарон (24 января 2011 г.). «Могут ли правила брандмауэра быть общедоступными — взгляд на теорию игр» . Сети безопасности и связи . 5 (2): 197–210. дои : 10.1002/сек.307 . ISSN   1939-0114 .
  260. ^ Бекман, Филип; Гринвальд, Дэвид Дж.; Фон Бисмарк, Нилуфер (2013). Двенадцатый ежегодный институт регулирования ценных бумаг в Европе: преодоление проблем при заключении сделок на текущих рынках . Практикующий юридический институт. ISBN  978-1-4024-1932-4 . OCLC   825824220 .
  261. ^ «Рисунок 1.8. Расходы на социальное обеспечение растут, а самофинансирование падает» . дои : 10.1787/888932459242 . Проверено 5 июня 2021 г.
  262. ^ «Управление информацией: решающий первый шаг» , Защита критически важных электронных документов , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 13–24, 19 сентября 2015 г., doi : 10.1002/9781119204909.ch2 , ISBN  978-1-119-20490-9 , получено 5 июня 2021 г.
  263. ^ Хэ, Ин (1 декабря 2017 г.). «Проблемы обучения инцидентам информационной безопасности: промышленное исследование в китайской организации здравоохранения» (PDF) . Информатика для здравоохранения и социальной защиты . 42 (4): 394–395. дои : 10.1080/17538157.2016.1255629 . ПМИД   28068150 . S2CID   20139345 .
  264. ^ Кампфнер, Роберто Р. (1985). «Формальная спецификация требований к информационным системам» . Обработка информации и управление . 21 (5): 401–414. дои : 10.1016/0306-4573(85)90086-x . ISSN   0306-4573 .
  265. ^ Дженнер, ХА (1995). Оценка экотоксикологического риска выщелачивания элементов из пылеугольной золы . sn] OCLC   905474381 .
  266. ^ «Настольные компьютеры: Программное обеспечение» . Практическая информатика патологии . Нью-Йорк: Springer-Verlag. 2006. стр. 51–82. дои : 10.1007/0-387-28058-8_3 . ISBN  0-387-28057-Х . Проверено 5 июня 2021 г.
  267. ^ Уилби, РЛ; Орр, Х.Г.; Хеджер, М.; Форроу, Д.; Блэкмор, М. (декабрь 2006 г.). «Риски, связанные с изменением климата для достижения целей Рамочной директивы по водным ресурсам в Великобритании» . Интернационал окружающей среды . 32 (8): 1043–1055. Бибкод : 2006EnInt..32.1043W . дои : 10.1016/j.envint.2006.06.017 . ISSN   0160-4120 . ПМИД   16857260 .
  268. ^ Кэмпбелл, Т. (2016). «Глава 14: Разработка безопасных систем» . Практическое управление информационной безопасностью: Полное руководство по планированию и реализации . Апресс. п. 218. ИСБН  9781484216859 .
  269. ^ Коппельман, Кент Л. (2011). Понимание человеческих различий: мультикультурное образование для разнообразной Америки . Пирсон/Аллин и Бэкон. OCLC   1245910610 .
  270. ^ "Постобработка" . Простая сцена, сенсационный кадр . Рутледж. 12 апреля 2013 г. стр. 128–147. дои : 10.4324/9780240821351-9 . ISBN  978-0-240-82135-1 . Проверено 5 июня 2021 г.
  271. ^ Кумар, Бинай; Махто, Тулси; Кумари, Винита; Рави, Бинод Кумар; Дипмала (2016). «Шлатанство: как оно может оказаться фатальным даже в, казалось бы, простых случаях — отчет о случае» . Медико-правовое обновление . 16 (2): 75. дои : 10.5958/0974-1283.2016.00063.3 . ISSN   0971-720X .
  272. ^ Священник Салли (22 февраля 2019 г.). «Общие роли и обязанности в управлении рисками наводнений» . Журнал управления рисками наводнений . 12 (1): e12528. Бибкод : 2019JFRM...12E2528P . дои : 10.1111/jfr3.12528 . ISSN   1753-318X . S2CID   133789858 .
  273. ^ Соединенные Штаты. Министерство энергетики. Канцелярия генерального инспектора. Управление научно-технической информации (2009). Отчет об аудите «Недостатки противопожарной защиты в Национальной лаборатории Лос-Аламоса». . Соединенные Штаты. Департамент энергетики. OCLC   727225166 .
  274. ^ Томс, Элейн Г. (январь 1992 г.). «Управление изменениями в библиотеках и информационных службах; системный подход» . Обработка информации и управление . 28 (2): 281–282. дои : 10.1016/0306-4573(92)90052-2 . ISSN   0306-4573 .
  275. ^ Абольхассан, Ферри (2003). «Процесс управления изменениями, реализованный в IDS Scheer» . Управление изменениями бизнес-процессов . Берлин, Гейдельберг: Springer Berlin Heidelberg. стр. 15–22. дои : 10.1007/978-3-540-24703-6_2 . ISBN  978-3-642-05532-4 . Проверено 5 июня 2021 г.
  276. ^ Доусон, Крис (1 июля 2020 г.). Ведущие изменения в культуре . дои : 10.1515/9780804774673 . ISBN  9780804774673 . S2CID   242348822 .
  277. ^ Маккормик, Дуглас П. (22 марта 2016 г.). Family Inc.: использование принципов бизнеса для максимизации благосостояния вашей семьи . Джон Уайли и сыновья. ISBN  978-1-119-21976-7 . OCLC   945632737 .
  278. ^ Шулер, Райнер (август 1995 г.). «Некоторые свойства множеств, поддающихся любому вычислимому за полиномиальное время распределению» . Письма об обработке информации . 55 (4): 179–184. дои : 10.1016/0020-0190(95)00108-о . ISSN   0020-0190 .
  279. ^ «Рисунок 12.2. Доля самозанятых, у которых обычно не более одного клиента» (Excel) . дои : 10.1787/888933881610 . Проверено 5 июня 2021 г.
  280. ^ «Многопользовательский файловый сервер для локальных сетей DOS» . Компьютерные коммуникации . 10 (3): 153. Июнь 1987 г. doi : 10.1016/0140-3664(87)90353-7 . ISSN   0140-3664 .
  281. ^ «Определение организационных изменений» , «Организационные изменения» , Оксфорд, Великобритания: Wiley-Blackwell, стр. 21–51, 19 апреля 2011 г., doi : 10.1002/9781444340372.ch1 , ISBN  978-1-4443-4037-2 , получено 5 июня 2021 г.
  282. ^ Кирхмер, Матиас; Шеер, Август-Вильгельм (2003), «Управление изменениями — ключ к совершенству бизнес-процессов» , Управление изменениями бизнес-процессов , Берлин, Гейдельберг: Springer Berlin Heidelberg, стр. 1–14, номер документа : 10.1007/978-3-540-24703 -6_1 , ISBN  978-3-642-05532-4 , получено 5 июня 2021 г.
  283. ^ Больше, Джош; Штибер, Энтони Дж.; Лю, Крис (2016), «Уровень 2 — расширенная служба поддержки — руководитель службы поддержки» , Breaking Into Information Security , Elsevier, стр. 111–113, doi : 10.1016/b978-0-12-800783-9.00029-x , ISBN  978-0-12-800783-9 , получено 5 июня 2021 г.
  284. ^ «Применение байесовских сетей в автоматизированной оценке задач компьютерного моделирования» , Автоматическая оценка сложных задач в компьютерном тестировании , Routledge, стр. 212–264, 4 апреля 2006 г., doi : 10.4324/9780415963572-10 , ISBN  978-0-415-96357-2 , получено 5 июня 2021 г.
  285. ^ Кавана, Майкл Дж. (июнь 1994 г.). «Изменить, изменить, изменить» . Управление группами и организациями . 19 (2): 139–140. дои : 10.1177/1059601194192001 . ISSN   1059-6011 . S2CID   144169263 .
  286. ^ Тейлор, Дж. (2008). «Глава 10: Понимание процесса изменения проекта». Планирование проекта и контроль затрат: планирование, мониторинг и контроль базового плана . Издательство Дж. Росс. стр. 187–214. ISBN  9781932159110 .
  287. ^ «17. Инновации и перемены: может ли кто-нибудь это сделать?» , За кулисами бюрократии , University of Hawaii Press, стр. 87–96, 31 декабря 2017 г., doi : 10.1515/9780824860936-019 , ISBN  978-0-8248-6093-6 , получено 5 июня 2021 г.
  288. ^ Браун, Адам (3 февраля 2015 г.). Обещание карандаша: как обычный человек может добиться невероятных перемен . Саймон и Шустер. ISBN  978-1-4767-3063-9 . OCLC   902912775 .
  289. ^ «Описание изменений внутри человека с течением времени» , Longitudinal Analysis , Routledge, стр. 235–306, 30 января 2015 г., doi : 10.4324/9781315744094-14 , ISBN  978-1-315-74409-4 , получено 5 июня 2021 г.
  290. ^ Ингрэм, Кэролайн; Бан, Патрисия В. (1984). Законодательное обеспечение бюрократических изменений: Закон о реформе государственной службы 1978 года . Издательство Государственного университета Нью-Йорка. ISBN  0-87395-886-1 . ОСЛК   10300171 .
  291. ^ Вэй, Дж. (4 мая 2000 г.). «Предварительный запрос на изменение кольца SNS, совместимого с энергией 1,3 ГэВ» . ОСТИ.ГОВ . дои : 10.2172/1157253 . ОСТИ   1157253 . Проверено 18 января 2022 г.
  292. ^ Чэнь Лян (май 2011 г.). «Выделение приоритетного управления водными ресурсами сельского хозяйства на основе теории виртуальной воды» . 2011 Международная конференция по управлению бизнесом и электронной информации . Том. 1. ИИЭР. стр. 644–647. дои : 10.1109/icbmei.2011.5917018 . ISBN  978-1-61284-108-3 . S2CID   29137725 .
  293. ^ «Риски изменений и лучшие практики в управлении бизнес-изменениями. Неуправляемый риск изменений приводит к проблемам в управлении изменениями», Leading and Implementing Business Change Management , Routledge, стр. 32–74, 18 июля 2013 г., doi : 10.4324/9780203073957-9 (неактивный). 31 января 2024 г.), ISBN  978-0-203-07395-7 {{citation}}: CS1 maint: DOI неактивен по состоянию на январь 2024 г. ( ссылка )
  294. ^ Брэгг, Стивен М. (2016). Лучшие практики бухгалтерского учета . Уайли. ISBN  978-1-118-41780-5 . OCLC   946625204 .
  295. ^ «Успешные изменения требуют большего, чем просто управление изменениями» . Международный дайджест управления человеческими ресурсами . 16 (7). 17 октября 2008 г. doi : 10.1108/hrmid.2008.04416gad.005 . ISSN   0967-0734 .
  296. ^ «Планирование водных ресурсов в условиях изменения климата» , «Пространственное планирование и изменение климата », Routledge, стр. 287–313, 13 сентября 2010 г., doi : 10.4324/9780203846537-20 , ISBN  978-0-203-84653-7 , получено 5 июня 2021 г.
  297. ^ Роуэн, Джон (январь 1967 г.). «Ответ компьютера» . Решение руководства . 1 (1): 51–54. дои : 10.1108/eb000776 . ISSN   0025-1747 .
  298. ^ Бисвас, Маргарет Р.; Бисвас, Асит К. (февраль 1981 г.). «Изменение климата и производство продуктов питания» . Сельское хозяйство и окружающая среда . 5 (4): 332. дои : 10.1016/0304-1131(81)90050-3 . ISSN   0304-1131 .
  299. ^ Вейк, Мартин Х. (2000), «отказ», Словарь по информатике и коммуникациям , стр. 96, номер домена : 10.1007/1-4020-0613-6_1259 , ISBN  978-0-7923-8425-0
  300. ^ «Редакционно-консультативный и обзорный совет» , Бизнес и устойчивое развитие: концепции, стратегии и изменения , Критические исследования корпоративной ответственности, управления и устойчивого развития, том. 3, Emerald Group Publishing Limited, стр. xv – xvii, 6 декабря 2011 г., doi : 10.1108/s2043-9059(2011)0000003005 , ISBN  978-1-78052-438-2 , получено 5 июня 2021 г.
  301. ^ «Там, где когда-то был мираж, должна быть жизнь» , Новые и избранные стихи , University of South Carolina Press, стр. 103, 2014 г., номер документа : 10.2307/j.ctv6sj8d1.65 , ISBN  978-1-61117-323-9 , получено 5 июня 2021 г.
  302. ^ Белл, Марвин (1983). «Двое, когда могло быть трое». Антиохийский обзор . 41 (2): 209. дои : 10.2307/4611230 . JSTOR   4611230 .
  303. ^ «Мы также можем внести изменения» . Документы по правам человека в Интернете . дои : 10.1163/2210-7975_hrd-0148-2015175 . Проверено 5 июня 2021 г.
  304. ^ Мазикана, Энтони Тапива (5 ноября 2020 г.). « Изменения – это закон жизни. И те, кто смотрит только в прошлое или настоящее, наверняка упустят будущее – Джон Ф. Кеннеди». Оценка этого утверждения со ссылками на организации в Зимбабве, которые были затронуты переменами». ССНН   3725707 .
  305. ^ Раманадхам, В.В. (ред.). Приватизация в Великобритании . ISBN  978-0-429-19973-8 . OCLC   1085890184 .
  306. ^ «Необходимо реализовать более сложную/реалистичную реологию; необходимо провести численные тесты на сходимость» . Обсуждения разработки геонаучной модели . 22 сентября 2020 г. doi : 10.5194/gmd-2020-107-rc2 . S2CID   241597573 .
  307. ^ Стоун, Эдвард. Коллекция Эдварда К. Стоуна . ОСЛК   733102101 .
  308. ^ Лиенц, Б. (2002). «Разработайте план реализации улучшений» . Достичь устойчивого улучшения процесса . Эльзевир. стр. 151–171. дои : 10.1016/b978-0-12-449984-3.50011-8 . ISBN  978-0-12-449984-3 . Проверено 5 июня 2021 г.
  309. ^ Смитс, Питер (2009). Агропарковая экспедиция: проектные исследования столичного сельского хозяйства и устойчивого развития . sn] ISBN  978-90-8585-515-6 . OCLC   441821141 .
  310. ^ «Рисунок 1.3. Около 50 процентов рекомендаций «Стремления к росту» реализованы или находятся в процессе реализации» . дои : 10.1787/888933323735 . Проверено 5 июня 2021 г.
  311. ^ Кекес, Джон (21 февраля 2019 г.), «Должна ли справедливость восторжествовать любой ценой?» , Трудные вопросы , Oxford University Press, стр. 98–126, doi : 10.1093/oso/9780190919986.003.0005 , ISBN  978-0-19-091998-6 , получено 5 июня 2021 г.
  312. ^ Форрестер, Келли (2014). Макроэкономические последствия изменений в составе рабочей силы . Калифорнийский университет, Санта-Барбара. ISBN  978-1-321-34938-2 . OCLC   974418780 .
  313. ^ Чоудри, Гаган Л.; Раппапорт, Стивен С. (октябрь 1981 г.). «Системы множественного доступа, назначаемые по требованию, использующие каналы запроса типа коллизии» . Обзор компьютерных коммуникаций ACM SIGCOMM . 11 (4): 136–148. дои : 10.1145/1013879.802667 . ISSN   0146-4833 .
  314. ^ Кринсон, Марк (2013). « Некоторые старые и прекрасные вещи, значение которых абстрактно, устарели»: Джеймс Стирлинг и ностальгия» . Изменение с течением времени . 3 (1): 116–135. дои : 10.1353/кот.2013.0000 . ISSN   2153-0548 . S2CID   144451363 .
  315. ^ Ахвиди, Мансур; Пембертон, Лин (2016). «Какие изменения необходимо внести в LNHS для успешного внедрения систем электронного здравоохранения?» . Материалы Международной конференции по информационным и коммуникационным технологиям для старения и электронного здравоохранения . Сайтпресс. стр. 71–79. дои : 10.5220/0005620400710079 . ISBN  978-989-758-180-9 .
  316. ^ Мортимер, Джон (апрель 2010 г.). Рай отложен . Взрослый пингвин. ISBN  978-0-14-104952-6 . OCLC   495596392 .
  317. ^ Перейти обратно: а б Коби, Сара; Ларремор, Дэниел Б.; Град, Йонатан Х.; Липсич, Марк (2021). «Обеспокоенность по поводу эволюции SARS-CoV-2 не должна сдерживать усилия по расширению вакцинации» . Обзоры природы Иммунология . 21 (5): 330–335. дои : 10.1038/s41577-021-00544-9 . ПМК   8014893 . ПМИД   33795856 .
  318. ^ Фрэмптон, Майкл (26 декабря 2014 г.), «Обработка данных с помощью сокращения карты» , Big Data Made Easy , Беркли, Калифорния: Apress, стр. 85–120, doi : 10.1007/978-1-4842-0094-0_4 , ISBN  978-1-4842-0095-7 , получено 5 июня 2021 г.
  319. ^ «В целом хорошее исследование, но некоторые процедуры требуют исправления» (PDF) . Дискуссии по гидрологии и наукам о системе Земли . 23 февраля 2016 г. doi : 10.5194/hess-2015-520-rc2 . Проверено 18 января 2022 г.
  320. ^ Харрисон, Кент; Крафт, Уолтер М.; Хиллер, Джек; Маккласки, Майкл Р.; BDM Federal Inc., Сисайд, Калифорния (июль 1996 г.). «Координационный проект экспертной оценки. Анализ задач для планирования разведывательной деятельности (критическая боевая функция 1): выполнение оперативной группы батальона» . ДТИК ADA313949 .
  321. ^ itpi.org. Архивировано 10 декабря 2013 г., в Wayback Machine.
  322. ^ «Резюме книги The Visible Ops Handbook: Внедрение ITIL за 4 практических и проверяемых шага» . wikisummaries.org . Проверено 22 июня 2016 г.
  323. ^ Бигелоу, Мишель (23 сентября 2020 г.), «Контроль изменений и управление изменениями» , Внедрение информационной безопасности в здравоохранении , HIMSS Publishing, стр. 203–214, doi : 10.4324/9781003126294-17 , ISBN  978-1-003-12629-4 , S2CID   224866307 , получено 5 июня 2021 г.
  324. ^ Управление непрерывностью бизнеса. Руководство по восстановлению организации после разрушительных инцидентов , Британские стандарты BSI, номер номера : 10.3403/30194308 , получено 5 июня 2021 г.
  325. ^ Хоан, Чу Тай (1996). Разработка компьютеризированной системы комплексного планирования землепользования (cailup) на региональном уровне в орошаемых районах: тематическое исследование для региона Куан Ло Фунг Хиеп в дельте Меконга, Вьетнам . ИТЦ. ISBN  90-6164-120-9 . OCLC   906763535 .
  326. ^ 1 Хибберд, Гэри (11 сентября 2015 г.), «Разработка стратегии BCM в соответствии с бизнес-стратегией» , The Definitive Handbook of Business Continuity Management , Хобокен, Нью-Джерси, США: John Wiley & Sons, Inc., стр. 23–30, дои : 10.1002/9781119205883.ch2 , ISBN  978-1-119-20588-3 , получено 5 июня 2021 г.
  327. ^ Хочкисс, Стюарт (2010). Управление непрерывностью бизнеса: на практике . BCS Learning & Development Limited. ISBN  978-1-906124-72-4 . [ нужна страница ]
  328. ^ «Идентификация потенциальных причин сбоев» , «Анализ системных сбоев» , ASM International, стр. 25–33, 2009 г., doi : 10.31399/asm.tb.sfa.t52780025 , ISBN  978-1-62708-268-6 , получено 5 июня 2021 г.
  329. ^ Клеменс, Джеффри. Риски для отдачи от медицинских инноваций: случай бесчисленного множества генетик . OCLC   919958196 .
  330. ^ Коатчер, Женевьева (2013), «Максимально допустимое отключение» , Энциклопедия антикризисного управления , Таузенд-Оукс, Калифорния: SAGE Publications, Inc., doi : 10.4135/9781452275956.n204 , ISBN  978-1-4522-2612-5 , получено 5 июня 2021 г.
  331. ^ «Компромиссы при проектировании сегментов» , Архитектура программного обеспечения радио , Нью-Йорк, США: John Wiley & Sons, Inc., стр. 236–243, 17 января 2002 г., doi : 10.1002/047121664x.ch6 , ISBN  978-0-471-21664-3 , получено 5 июня 2021 г.
  332. ^ Бланделл, С. (1998). «IN-EMERGENCY – комплексное управление инцидентами, неотложная медицинская помощь и экологический мониторинг в дорожных сетях» . Семинар IEE по использованию ИТС в общественном транспорте и службах экстренной помощи . Том. 1998. ИЭЭ. п. 9. дои : 10.1049/ic:19981090 .
  333. ^ Кинг, Джонатан Р. (январь 1993 г.). «Планы действий в чрезвычайных ситуациях и восстановление бизнеса» . Управление информационными системами . 10 (4): 56–59. дои : 10.1080/10580539308906959 . ISSN   1058-0530 .
  334. ^ Филлипс, Бренда Д.; Ландал, Марк (2021 г.), «Укрепление и тестирование вашего плана обеспечения непрерывности бизнеса» , Business Continuity Planning , Elsevier, стр. 131–153, doi : 10.1016/b978-0-12-813844-1.00001-4 , ISBN  978-0-12-813844-1 , S2CID   230582246 , получено 5 июня 2021 г.
  335. ^ Шнурр, Стефани (2009), «Другая сторона лидерского дискурса: юмор и эффективность деятельности лидерства в отношениях» , « Дискурс лидерства на работе» , Лондон: Palgrave Macmillan UK, стр. 42–60, doi : 10.1057/9780230594692_3 , ISBN  978-1-349-30001-3 , получено 5 июня 2021 г.
  336. ^ Технические характеристики реле времени для промышленного использования , Британские стандарты BSI, номер номера : 10.3403/02011580u , данные получены 5 июня 2021 г.
  337. ^ «Пример общего плана и процедуры: План аварийного восстановления (DRP) для операционного центра/центра обработки данных» . Насилие на рабочем месте . Эльзевир. 2010. стр. 253–270. дои : 10.1016/b978-1-85617-698-9.00025-4 . ISBN  978-1-85617-698-9 . Проверено 5 июня 2021 г.
  338. ^ «План аварийного восстановления информационных технологий» . Планирование стихийных бедствий для библиотек . Информационная профессиональная серия Chandos. Эльзевир. 2015. стр. 187–197. дои : 10.1016/b978-1-84334-730-9.00019-3 . ISBN  978-1-84334-730-9 . Проверено 5 июня 2021 г.
  339. ^ «План аварийного восстановления» . Институт Санса . Проверено 7 февраля 2012 г.
  340. ^ Перейти обратно: а б ОЭСР (2016). «Рисунок 1.10. Регулирование в непроизводственном секторе оказывает существенное влияние на производственный сектор» . Реформы экономической политики 2016: Промежуточный отчет на пути к росту . Реформы экономической политики. Париж: Издательство ОЭСР. doi : 10.1787/growth-2016-en . ISBN  9789264250079 . Проверено 5 июня 2021 г.
  341. ^ Ахупуаа [электронный ресурс]: Всемирный конгресс по окружающей среде и водным ресурсам 2008 г., 12–16 мая 2008 г., Гонолулу, Гавайи . Американское общество инженеров-строителей. 2008. ISBN  978-0-7844-0976-3 . OCLC   233033926 .
  342. ^ Великобритания. Парламент. Палата общин (2007 г.). Защита данных [HL] Законопроект [с поправками, внесенными в постоянный комитет d] включил в себя закон, содержащий новые положения, регулирующие обработку информации, касающейся физических лиц, включая получение, хранение, использование или раскрытие такой информации . ООО Проквест. OCLC   877574826 .
  343. ^ «Защита данных, доступ к личной информации и защита конфиденциальности» , Правительство и права на информацию: Закон о доступе, раскрытии информации и их регулировании , Bloomsbury Professional, 2019, doi : 10.5040/9781784518998.chapter-002 , ISBN  978-1-78451-896-7 , S2CID   239376648 , получено 5 июня 2021 г.
  344. ^ Лехтонен, Лассе А. (5 июля 2017 г.). «Генетическая информация и Директива Европейского Союза о защите данных» . Директива о защите данных и медицинские исследования по всей Европе . Рутледж. стр. 103–112. дои : 10.4324/9781315240350-8 . ISBN  978-1-315-24035-0 . Проверено 5 июня 2021 г.
  345. ^ «Закон о защите данных 1998 года» . законодательство.gov.uk . Национальный архив . Проверено 25 января 2018 г.
  346. ^ «Закон о неправомерном использовании компьютеров 1990 года» . Уголовно-правовые акты 2011-2012 гг . Рутледж. 17 июня 2013. С. 114–118. дои : 10.4324/9780203722763-42 . ISBN  978-0-203-72276-3 . Проверено 5 июня 2021 г.
  347. ^ Дхармапала, Дхаммика; Хайнс, Джеймс (декабрь 2006 г.). «Какие страны становятся налоговыми гаванями?» . Серия рабочих документов. Кембридж, Массачусетс. дои : 10.3386/w12802 .
  348. ^ "Figure 1.14. Participation rates have risen but labour force growth has slowed in several countries". doi:10.1787/888933367391. Retrieved June 5, 2021.
  349. ^ "Computer Misuse Act 1990". legislation.gov.uk. The National Archives. Retrieved January 25, 2018.
  350. ^ "Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006". EUR-Lex. European Union. March 15, 2006. Retrieved January 25, 2018.
  351. ^ "Defamation, Student Records, and the Federal Family Education Rights and Privacy Act". Higher Education Law. Routledge. December 14, 2010. pp. 361–394. doi:10.4324/9780203846940-22. ISBN 978-0-203-84694-0. Retrieved June 5, 2021.
  352. ^ Jump up to: a b "Alabama Schools Receive NCLB Grant To Improve Student Achievement". PsycEXTRA Dataset. 2004. doi:10.1037/e486682006-001. Retrieved June 5, 2021.
  353. ^ Turner-Gottschang, Karen (1987). China bound : a guide to academic life and work in the PRC : for the Committee on Scholarly Communication with the People's Republic of China, National Academy of Sciences, American Council of Learned Societies, Social Science Research Council. National Academy Press. ISBN 0-309-56739-4. OCLC 326709779.
  354. ^ Codified at 20 U.S.C. § 1232g, with implementing regulations in title 34, part 99 of the Code of Federal Regulations
  355. ^ "Audit Booklet". Information Technology Examination Handbook. FFIEC. Retrieved January 25, 2018.
  356. ^ Ray, Amy W. (2004). "Health Insurance Portability and Accountability Act (HIPAA)". Encyclopedia of Health Care Management. Thousand Oaks, CA: SAGE Publications, Inc. doi:10.4135/9781412950602.n369. ISBN 978-0-7619-2674-0. Retrieved June 5, 2021.
  357. ^ "Public Law 104 - 191 - Health Insurance Portability and Accountability Act of 1996". U.S. Government Publishing Office. Retrieved January 25, 2018.
  358. ^ "Public Law 106 - 102 - Gramm–Leach–Bliley Act of 1999" (PDF). U.S. Government Publishing Office. Retrieved January 25, 2018.
  359. ^ Alase, Abayomi Oluwatosin (2016). The impact of the Sarbanes-Oxley Act (SOX) on small-sized publicly traded companies and their communities (Thesis). Northeastern University Library. doi:10.17760/d20204801.
  360. ^ Solis, Lupita (2019). Educational and Professional Trends of Chief Financial Officers (Thesis). Portland State University Library. doi:10.15760/honors.763.
  361. ^ "Public Law 107 - 204 - Sarbanes-Oxley Act of 2002". U.S. Government Publishing Office. Retrieved January 25, 2018.
  362. ^ "Pci Dss Glossary, Abbreviations, and Acronyms", Payment Card Industry Data Security Standard Handbook, Hoboken, NJ, US: John Wiley & Sons, Inc., pp. 185–199, September 18, 2015, doi:10.1002/9781119197218.gloss, ISBN 978-1-119-19721-8, retrieved June 5, 2021
  363. ^ "PCI Breakdown (Control Objectives and Associated Standards)", Payment Card Industry Data Security Standard Handbook, Hoboken, NJ, US: John Wiley & Sons, Inc., p. 61, September 18, 2015, doi:10.1002/9781119197218.part2, ISBN 978-1-119-19721-8, retrieved June 5, 2021
  364. ^ Ravallion, Martin; Chen, Shaohua (August 2017). "Welfare-Consistent Global Poverty Measures". Working Paper Series. doi:10.3386/w23739. Retrieved January 18, 2022.
  365. ^ "Payment Card Industry (PCI) Data Security Standard: Requirements and Security Assessment Procedures - Version 3.2" (PDF). Security Standards Council. April 2016. Retrieved January 25, 2018.
  366. ^ "Security Breach Notification Laws". National Conference of State Legislatures. April 12, 2017. Retrieved January 25, 2018.
  367. ^ Stein, Stuart G.; Schaberg, Richard A.; Biddle, Laura R., eds. (June 23, 2015). Financial institutions answer book, 2015 : law, governance, compliance. Practising Law Institute. ISBN 978-1-4024-2405-2. OCLC 911952833.
  368. ^ "Personal Information and Data Protection", Protecting Personal Information, Hart Publishing, 2019, doi:10.5040/9781509924882.ch-002, ISBN 978-1-5099-2485-1, S2CID 239275871, retrieved June 5, 2021
  369. ^ Chapter 5. An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in certain circumstances, by providing for the use of electronic means to communicate or record information or transactions and by amending the Canada Evidence Act, the Statutory Instruments Act and the Statute Revision Act. Queen's Printer for Canada. 2000. OCLC 61417862.
  370. ^ "Comments". Statute Law Review. 5 (1): 184–188. 1984. doi:10.1093/slr/5.1.184. ISSN 0144-3593.
  371. ^ "Personal Information Protection and Electronic Documents Act" (PDF). Canadian Minister of Justice. Retrieved January 25, 2018.
  372. ^ Werner, Martin (May 11, 2011). "Privacy-protected communication for location-based services". Security and Communication Networks. 9 (2): 130–138. doi:10.1002/sec.330. ISSN 1939-0114.
  373. ^ "Regulation for the Assurance of Confidentiality in Electronic Communications" (PDF). Government Gazette of the Hellenic Republic. Hellenic Authority for Communication Security and Privacy. November 17, 2011. Retrieved January 25, 2018.
  374. ^ de Guise, Preston (April 29, 2020), "Security, Privacy, Ethical, and Legal Considerations", Data Protection, Auerbach Publications, pp. 91–108, doi:10.1201/9780367463496-9, ISBN 978-0-367-46349-6, S2CID 219013948, retrieved June 5, 2021
  375. ^ "Αριθμ. απόφ. 205/2013" (PDF). Government Gazette of the Hellenic Republic. Hellenic Authority for Communication Security and Privacy. July 15, 2013. Retrieved January 25, 2018.
  376. ^ Andersson and Reimers, 2019, CYBER SECURITY EMPLOYMENT POLICY AND WORKPLACE DEMAND IN THE U.S. GOVERNMENT, EDULEARN19 Proceedings, Publication year: 2019 Pages: 7858-7866 https://library.iated.org/view/ANDERSON2019CYB
  377. ^ "Definition of Security Culture". The Security Culture Framework. April 9, 2014.
  378. ^ Roer, Kai; Petric, Gregor (2017). The 2017 Security Culture Report - In depth insights into the human factor. CLTRe North America, Inc. pp. 42–43. ISBN 978-1544933948.
  379. ^ Akhtar, Salman, ed. (March 21, 2018). Good Feelings. Routledge. doi:10.4324/9780429475313. ISBN 9780429475313.
  380. ^ Anderson, D., Reimers, K. and Barretto, C. (March 2014). Post-Secondary Education Network Security: Results of Addressing the End-User Challenge.publication date Mar 11, 2014 publication description INTED2014 (International Technology, Education, and Development Conference)
  381. ^ Jump up to: a b Schlienger, Thomas; Teufel, Stephanie (December 2003). "Information security culture - from analysis to change". South African Computer Society (SAICSIT). 2003 (31): 46–52. hdl:10520/EJC27949.
  382. ^ "IISP Skills Framework". Archived from the original on March 15, 2014. Retrieved April 27, 2014.
  383. ^ "BSI-Standards". BSI. Archived from the original on December 3, 2013. Retrieved November 29, 2013.

Further reading[edit]

Bibliography[edit]

External links[edit]

Wikimedia Commons has media related to Information security.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Information_security&oldid=1226134850"