Ochrona danych

W bezpieczeństwa komputerowego The bezpieczeństwo danych jest dziedziną, która koncentruje się przede wszystkim na danych , oprócz aspektów przetwarzania informacji .

Przypomnienie o danych komputerowych

Od początku historii (początek pisania ), mężczyzna manipuluje informacyjne , które wynikają z danych , mniej lub bardziej zorganizowany .

Wraz z pojawieniem się komputerów od końca lat czterdziestych XX wieku w Stanach Zjednoczonych wprowadzono cyfrową formę danych, zapisywanych na nośnikach elektronicznych . Rozwój ten jest porównywalny z pojawieniem się prasy drukarskiej do XV -go  wieku w 1450s.

Zasadniczo, dane średniej jest pamięć z komputera , na którym podstawowe instrukcje programów komputerowych działać .

Nie można zająć się bezpieczeństwem danych bez przypomnienia tego podstawowego aspektu:

Dane są przetwarzane ze sprzętem komputerowym i działających systemów .

Na różnych typach sprzętu komputerowego (wraz z ich urządzeniami peryferyjnymi ), od superkomputerów po mikrokomputery , w tym komputery typu mainframe i systemy otwarte , zawsze znajdujemy następujące różne typy nośników fizycznych:

• Pamięci z komputera ,
• Te dyski , szafy ( urządzenia ) do tworzenia kopii zapasowych i przechowywania ,
• Systemy archiwizacji …

Dane mogą przepływać pomiędzy tymi systemami fizycznymi sieci komunikacyjnych, sieci telekomunikacyjnych , sieci lokalne , sieci telekomunikacyjne satelity ...

Na nośnikach fizycznych muszą być zainstalowane systemy, które zarządzają dostępem do danych i ich przetwarzaniem: logiczny dostęp do tych systemów może być sekwencyjny lub indeksowany, przy czym pliki są najczęściej zastępowane bazami danych umożliwiającymi dostęp i bardziej zaawansowane aktualizacje.

Te systemy zarządzania bazami danych (DBMS) są na poziomie oprogramowania bazy danych i umożliwiają komputerowy do zarządzania różnymi rodzajami przetwarzania na dane.

Rozróżniamy poziomy:

• Konceptualistyczny,
• Logika,
• Fizyczny.

Krótka historia bezpieczeństwa danych

W ostatnich latach globalizacja , zwłaszcza w aspekcie ekonomicznym i finansowym , dała początek projektom informatycznym na skalę światową .

Na szczególną uwagę zasługuje przejście IT do roku 2000 ( rok 2000 ), które wymagało weryfikacji i konwersji od 300 do 600 miliardów linii programów, na które potencjalnie może mieć wpływ na całym świecie (szacunki grupy Gartner ).

W Europie koszt przejścia na euro był w przybliżeniu równy kosztowi przejścia na rok 2000 dla zakresu europejskiego . Projekt był realizowany w dwóch fazach: pierwsza faza na początku 1999 r. Wraz z przejściem na euro dla rynków finansowych i korporacyjnych aplikacji finansowych , druga faza, zdecydowanie najważniejsza, konwersja większości pozostałych aplikacji informatycznych , nie można było przeprowadzić generalnie do 2000 i 2001 r. ze względu na ograniczenia związane z przejściem informatycznym na rok 2000 (Y2K) oraz w odniesieniu do lat obrachunkowych .

W obu projektach wymagania dotyczące interoperacyjności i danych komputerowych odgrywały kluczową rolę, ponieważ był to rozmiar pól Data ( metadane ) oraz aktualność w systemach i zapisach komputerowych .

Z punktu widzenia sprzętu , w Europie , przejście do roku 2000 stanowiły większy niż wpływ przejścia na euro . Innymi słowy, można powiedzieć, że przejście na IT do 2000 r. Obejmowało bardziej techniczne aspekty, podczas gdy przejście na euro wiązało się raczej z kwestiami funkcjonalnymi.

W 1991 roku Departament Obrony Stanów Zjednoczonych opracował Wspólne Kryteria Bezpieczeństwa (patrz TCSEC ), a jednocześnie organizacje europejskie zdefiniowały Politykę Bezpieczeństwa Systemów Informacyjnych ( ITSEC ).

Kradzież danych osobowych

Dane osobowe mogą zostać skradzione. Zawodność systemów informatycznych umożliwia hakerom dostęp do dużej ilości danych. Istnieje wiele technik hakerskich, których celem jest zbieranie poufnych informacji. Możemy na przykład przytoczyć phishing (phishing w języku francuskim) . Technika ta polega na wysyłaniu e-maili, które mają pochodzić od zaufanej strony trzeciej (banki, operatorzy …) z odsyłaczem do fałszywej strony, tak aby wyglądała identycznie jak strona oryginalna. Ofiara wprowadzi w ten sposób swoje identyfikatory, aby wykonać operację wskazaną w e-mailu, co spowoduje kradzież tych identyfikatorów, a następnie zaszkodzi ofierze (na przykład wykonując przelew z konta bankowego ofiary).

Głównym celem kradzieży danych jest odsprzedaż skradzionych danych, biorąc pod uwagę ich wartość ekonomiczną, ponieważ dane są w centrum przyszłej gospodarki opartej na wiedzy i społeczeństwa opartego na wiedzy. [1]

Różne metody kradzieży danych

Wcześniej wspominaliśmy o metodzie phishingu , ale nie jest to jedyna technika hakowania i na ogół jest uzupełniana innymi metodami, takimi jak oszustwa za pośrednictwem poczty elektronicznej, telefonów.

Oszustwa

Oszustwa są generalnie konsekwencjami phishingu , oszustwa mogą być skierowane przeciwko pojedynczej osobie, ponieważ mogą atakować firmę, w przypadku firm haker może użyć tak zwanego ransomware. Ransom) , czyli oprogramowania należącego do rodziny złośliwego oprogramowania , haker może dokonać jego żądanie okupu z minimalnym ryzykiem śledzony. Oszustwa telefoniczne działają w taki sam sposób, jak phishing w Internecie, oszust podszywa się pod zaufaną osobę (bankier, operator, członek różnych stowarzyszeń ...) w celu odzyskania pożądanych danych.

Istnieją jednak dobre praktyki zmniejszania potencjalnego ryzyka kradzieży danych, takie jak używanie innego hasła do każdej usługi i nigdy nie ufanie żadnemu odsyłaczowi otrzymanemu w wiadomości e-mail.

Wykorzystanie skradzionych danych osobowych

Skradzione dane osobowe są następnie wykorzystywane na różne sposoby. Wyróżniały się trzy główne kategorie wykorzystania jego danych: otwieranie nowych rachunków, zwłaszcza rachunków bankowych, na których można znaleźć wnioski o karty kredytowe, kredyty bankowe itp. ; korzystanie z rachunków bankowych (bez kart kredytowych) i wreszcie nielegalne korzystanie z rachunków bankowych za pomocą karty kredytowej. Kradzież istniejących kont bankowych i kart zostanie następnie wykorzystana do otwarcia rachunków czekowych lub oszczędnościowych, internetowych rachunków płatniczych, a nawet kont ubezpieczenia medycznego itp.

Można również wskazać inne oszustwa, w rzeczywistości ofiary kradzieży tożsamości twierdzą, że złodziej wykorzystał ich informacje do otwarcia co najmniej jednego nowego konta. Najczęściej otwierane nowe rachunki z wykorzystaniem danych osobowych to: obsługa telefoniczna, rachunek karty kredytowej, pożyczki, rachunki czekowe / oszczędnościowe, konto do płatności internetowych, ubezpieczenie.

Wyzwania związane z bezpieczeństwem danych

Na poziomie ludzi i organizacji

Do zabezpieczenia danych zagadnienia są następujące (lista ta nie jest wyczerpująca):

• Wolności indywidualne  : ochrona prywatności (patrz prywatność i IT ),
• Siedziba  : bezpieczeństwo danych zapisanych na dysku twardym z mikrokomputera ( e-maile , katalogów , dokumentów plików , dane z arkuszy kalkulacyjnych i prezentacji, etc.),
• Komunikacja  : dotarcie do interesariuszy wewnętrznych i zewnętrznych zgodnie z ich zainteresowaniami, bez niepotrzebnego ujawniania zbyt wielu nieustrukturyzowanych informacji w Internecie ,
• Zdrowie i bezpieczeństwo  : Identyfikacja danych niezbędnych do procedur w celu ochrony zdrowia z pracownikami ,
• Tajemnica handlowa  : ochrona kapitału intelektualnego firmy
• Marketing  : identyfikacja wrażliwych rynków , wywiad konkurencyjny ,
• Badania i rozwój  : proces dostosowania B + R do potrzeb rynku zidentyfikowanych i zweryfikowanych przez marketing  : Zabezpieczenie danych z poprzedniego dnia biznesowego , z obserwacji technologii i rozwoju kapitału intelektualnego firmy.
  • Przykładem takich z chemii: arkusza danych bezpieczeństwa dla substancji chemicznych do opony i przemysłu samochodowego itp
• Identyfikowalność dokumentów i odpowiedzialność za wadliwe produkty  : możliwość udowodnienia jakości produktu.
• Zakupy  : zapytania o zakup (w lotnictwie , motoryzacji itp.), Kryteria stosowane przy wyborze dostawców.

Bezpieczeństwo danych obejmuje określone sposoby ich strukturyzacji .

Na poziomie makroekonomicznym

W inżynierii systemów , bezpieczeństwo danych kwestie są bardzo ważne dziś, ze względu na wiele połączeń między heterogenicznych i rozproszonych systemów, zarówno w przemyśle kontroli systemów , w systemach transportowych , w zarządzaniu aplikacjami. Korporacyjnych i zintegrowanego zarządzania , w inżynierii wiedzy zastosowań , w decyzji - systemy wytwarzania , w systemach rynków finansowych itp.

Systemy te znajdują się obecnie w bardzo różnych organizacjach: przedsiębiorstwach , usługach publicznych , instytucjach międzynarodowych , administracji centralnej i terytorialnej (regionach i miastach ), ośrodkach naukowo-badawczych , uniwersytetach , grandes écoles , izbach handlowych i przemysłowych . Czasami mówimy o interesariuszach (tłumaczenie z języka angielskiego interesariusz dosłownie ma udziały).

Ilustrację różnorodności danych systemów fizycznych można znaleźć w artykule o spójności danych w rozproszonym wszechświecie .

Aby wejść głębiej:

• Informacje na temat różnych aspektów bezpieczeństwa można znaleźć w artykule dotyczącym bezpieczeństwa .
• W kwestiach związanych z komunikacją patrz komunikacja ,
• Jeśli chodzi o kwestie związane konkretnie z wzajemnymi połączeniami systemów fizycznych, zobacz artykuł dotyczący interoperacyjności .
• O ryzyku zobacz ryzyko .

Wraz z pojawieniem się technologii kolektywnej inteligencji i wiedzy (TICC, wyrażone przez Bernarda Bessona), istnieje ryzyko utraty umiejętności w firmach, jeśli wykorzystanie informacji nie jest dobrze zdefiniowane w kontekście , a komunikacja jest słabo kontrolowana. .

Widzieć :

• Posługiwać się
• Komunikacja
• ludzki kontekst komunikacji i modele używane w komunikacji,

Najważniejsza stawka jest przede wszystkim ludzka: jest to kwestia zachowania kapitału intelektualnego .

Z technicznego punktu widzenia mówimy o klasyfikacji „ aktywów ”, niezbędnej przede wszystkim dla inżynierii wiedzy .

Te kwestie są takie, że podnoszą one kwestie suwerenności .

Przypomnienie o koncepcjach bezpieczeństwa systemu informatycznego

Aspekty bezpieczeństwa systemów informatycznych

W bezpieczeństwie informacji można wyróżnić kilka aspektów, które są również powiązane z danymi:

• Poufność ,
• Integralność ,
• Dostępność .

Norma ISO 13335 (dostępna tylko w języku angielskim) wspomina również o niezaprzeczalności i uwierzytelnianiu  :

• Uwierzytelniania odpowiada jednej z trzech faz kontroli dostępu , która jest domeną prywatności  ; istnieje również pojęcie autentyczności, które nie jest bezpośrednio związane z kontrolą dostępu: osoby, które przeglądają dane, muszą być przekonane o tożsamości nadawcy lub twórcy danych.
• Niezaprzeczalność jest zapobieganie autor danego może dochodzić wtedy nie jest autor; zakłada uczciwość, ale wykracza poza nią.

Zgodnie z ogólnym rozporządzeniem o ochronie danych (rozporządzenie (UE) 2016/679, 27 kwietnia 2016 r) stanowi, że przekazanie takich danych do państwa trzeciego może nastąpić tylko wtedy, gdy dane państwo zapewni odpowiedni stopień ochrony tych danych.

Idee fundamentalne

The Common Criteria (angielski kryteria wspólne ), zdefiniowane w skali międzynarodowej, muszą być udokumentowane w formie profili ochronnych , te informacje istota niezbędna do zapewnienia bezpieczeństwa informacji na najwyższym poziomie.

W urbanizacji systemów informatycznych , przed utworzeniem jakiegokolwiek mapowania danych, konieczne jest przeprowadzenie „dostosowania strategicznego” , w którym zdefiniowanie profilu ochrony jest jednym z głównych warunków wstępnych.

Podmioty związane z bezpieczeństwem systemów informacyjnych

Specjaliści ds. Bezpieczeństwa systemów informatycznych wyróżniają trzy typy podmiotów bezpieczeństwa:

• urząd certyfikacji,
• punkt rejestracji,
• operator certyfikacji.

W 1991 roku Europa zdefiniowała standard organizacji polityki bezpieczeństwa ITSEC , który nie uzyskał statusu normy międzynarodowej (ISO).

W każdej dużej firmie jest kierownik ds. Bezpieczeństwa systemów informatycznych ( CISO ), który podlega hierarchicznie dyrektorowi IT lub dyrektorowi ds. Bezpieczeństwa, w zależności od przypadku. Chociaż CISO podlega hierarchicznie dyrektorowi ds. Bezpieczeństwa , ma on relacje funkcjonalne z dyrektorem (-ami) IT (i odwrotnie).

Organizacja

Organizacja bezpieczeństwa danych jest istotną częścią bezpieczeństwa systemów informatycznych. Musi być zdefiniowany w polityce bezpieczeństwa systemów informatycznych .

Polityka ta musi wskazywać role interesariuszy firmy i zaufanych stron trzecich w procesie certyfikacji .

Globalna analiza danych pozwoli podzielić PSSI na wyspecjalizowane polityki (system komputerowy, sieci itp.).

Projekt bezpieczeństwa danych

Identyfikacja i ocena wrażliwych danych

Aby zabezpieczyć wrażliwe dane , musi najpierw zdawać sobie sprawę z aktywów firmy, które należy chronić i cenić.

Istnieją różne klasyfikacje aktywów, bez jakiejkolwiek standaryzacji wszystkich rodzajów aktywów.

Podajemy tutaj krótką listę proponowaną przez normę ISO 13335-1 (koncepcje i modele bezpieczeństwa komputerowego), o której przypominamy, że nie została przetłumaczona na język francuski:

• Ludzie,
• Umiejętność dostarczenia produktu , usługi ,
• Zdolności motoryczne,
• Informacje / dane (uporządkowane lub nie),
• Wartości niematerialne i prawne .

Jeśli chodzi o ludzi, należy zauważyć, że poza stanem zdrowia, największe zainteresowanie firmy ma know-how . Jego ocena jest niezbędna w inżynierii wiedzy .

Tradycyjne metody rachunkowości nie uwzględniają tego rodzaju kapitału (patrz kapitał ).

Model wywiadu gospodarczego zakłada, że wzbogacenie i ochrona zasobów informacyjnych obejmuje następujące kluczowe punkty:

• W etyka  :
  • Ochrona prywatności i danych osobowych,
  • Stosowanie kodeksu etycznego przy zbieraniu informacji i wywieraniu wpływu na praktyki,
  • Stosowanie rygoru ontologicznego w outsourcingu informacji i wywierania wpływu.
• Wiedzy i umiejętności  :
  • Identyfikacja i ocena wiedzy i umiejętności,
  • Ochrona (prawa, własność intelektualna itp.),
  • Znajomość technologii informacyjno-komunikacyjnych.
• Tworzenie wartości , z kilku rodzajów wartości:
  • Akcjonariusz,
  • Klient,
  • Personel,
  • Społeczność,
  • Partnerzy (rozwój innowacji).
• Obraz  :
  • Postrzeganie,
  • Ocena,
  • Awans.

Metody badania z inteligencji biznesowej i inżynierii wiedzy oferują standardowe kwestionariusze zidentyfikować elementy pamięci gospodarczej, oceny i uporządkowania procesów biznesowych, równolegle z procesem administracyjnym.

To wszystkie te aktywa, które musimy zabezpieczyć. Najnowsze badania dotyczące kapitału niematerialnego , w szczególności badanie CIGREF przeprowadzone w 2006 r. , Wskazują, że wiarygodność i audytowalność danych są niezbędnym warunkiem wyceny kapitału niematerialnego przedsiębiorstw, a tym samym oceny zwrotu z inwestycji. projektów inżynierii wiedzy i tworzenia wartości .

Wybór zaufanej strony trzeciej

W ramach strategii organizacji i jej polityki bezpieczeństwa systemów informatycznych , menedżerowie IS muszą bardzo ostrożnie wybierać zaufaną stronę trzecią na podstawie proponowanego profilu ochrony .

Projekt bezpiecznej architektury danych

W opinii ekspertów istnieje związek między bezpieczeństwem a architekturą systemów informatycznych.

Ocena i wdrożenie profilu ochrony wymaga zbadania wspólnych kryteriów , pozycjonowania ich na odpowiednim poziomie systemu informatycznego. Korzystanie z metamodelu planowania urbanistycznego może pomóc w znalezieniu wspólnych punktów odniesienia do oceny i wdrożenia profilu ochrony, ponieważ skutki zabezpieczenia można znaleźć na wszystkich poziomach, od sprzętu po wszystkie poziomy, warstwy oprogramowania i sieci.

Projekty systemów informacyjnych , ewentualnie urbanizacja systemu informacyjnego, jeśli taki istnieje, będą musiały uwzględniać dane odpowiadające bezpieczeństwu informacji .

Aby sprostać wyzwaniom na poziomie mikroekonomicznym , konieczne jest wdrożenie standardów zarządzania dokumentacją (zarządzanie rekordami, patrz lista norm ISO według obszarów ). Konieczne jest ustrukturyzowanie danych, które indeksują dokumenty , głównie klientów , produkty i usługi ( metadane ) oraz zapewnienie, że dane te mają porównywalne struktury w celu umożliwienia dialogu między aplikacjami do zarządzania administracyjnego a aplikacjami inżynierskimi . Wiedza. ( dokumentacja , witryny, strony internetowe , fora , zwane nieustrukturyzowanymi informacjami).

Przykład: proces zakupu musi być w stanie bardzo precyzyjnie zidentyfikować, na poziomie zapotrzebowania na zakup, dokumenty określające komponenty silnika lotniczego, które chce się kupić od dostawcy. Są to identyfikowalność, analiza cyklu życia, ceny ( TCO ), odpowiedzialność za wadliwe produkty, a także wizerunek.

Wykorzystanie infrastruktury klucza publicznego (PKI) zapewni rzeczywiste bezpieczeństwo w złożonych aplikacjach sieciowych tylko wtedy, gdy będzie połączone z wykorzystaniem rejestru metadanych . Identyfikacji elementu może być związany z elektronicznego certyfikatu .

Organizacja programu

Dobre bezpieczeństwo danych zapewni ustalenie polityki bezpieczeństwa systemów informatycznych (zobacz szczegółowy artykuł).

ISO 13335 standardowy , opracowany w 1996 roku , już nakreślił bezpieczeństwo zarządzania programem , co wydarzyło się być istotnym problemem w tym czasie.

Taki program znajduje się na kilku poziomach organizacji:

• Poziom grupy , z:
  • urzędnik odpowiedzialny za ogólne bezpieczeństwo ,
  • urzędnik odpowiedzialny w szczególności za bezpieczeństwo IT ; ten ostatni nazywany jest menedżerem bezpieczeństwa systemów informatycznych lub w skrócie RSSI  ; ta ostatnia opracowuje procedury bezpieczeństwa IT , które są tłumaczeniem procedur bezpieczeństwa w innych obszarach ( np. BHP ).
• Poziom działu (lub jednostki biznesowej),
• poziom domeny lub projektu, na którym znajdujemy administratora.

Ogólnie rzecz biorąc, na niższych poziomach hierarchii osoba odpowiedzialna za bezpieczeństwo nie ma tego jedynego zadania. Najczęściej jest to korespondent, który ma równolegle inne obowiązki .

Program może być tylko skuteczne , jeśli komitet sterujący jest skonfigurowany . Współczesnymi metodami dyskusji są fora . Bezpieczeństwo IT powinno zatem być przedmiotem specjalnego forum, którego rolami są:

• zidentyfikować wymagania ,
• doradzać menedżerom w zakresie decyzji, które należy podjąć, formułować zalecenia,
• opisać procedury,
• zaprojektować program bezpieczeństwa informacji ,
• przejrzyj działania.

Takie forum mogłoby obejmować przedstawicieli lub korespondentów ds. Bezpieczeństwa, których rolą jest badanie powiązań z innymi programami. Możemy przytoczyć:

• Bezpieczeństwa ogólnego i zagrożenia  : funkcjonalne aspekty bezpieczeństwa oraz biorąc pod uwagę kontekst ,
• Komunikacja  : biorąc pod uwagę ryzyko związane z danym komunikacji ,
• Jakości  : aspekty normalizacji ,
• Odpowiedzialność społeczna  : aspekty czysto funkcjonalne.

Niektóre aspekty bezpieczeństwa danych

Wymagania bezpieczeństwa

Ogólnie rzecz biorąc, wymagania bezpieczeństwa systemów informatycznych są analizowane przy użyciu skali Evaluation Assurance Level .

W przypadku zastosowań cywilnych wymagania bezpieczeństwa generalnie nie przekraczają poziomu EAL 4+.

W przypadku zastosowań wojskowych wymagania bezpieczeństwa wahają się od EAL 5 do 7.

Ogólne bezpieczeństwo systemu informatycznego, który będzie w najsłabsze ogniwo, a będzie dobrze reprezentowana przez zabezpieczenia baz danych lub że interfejsów pomiędzy aplikacjami. Dlatego ważne jest, aby zainteresować się EAL systemów DBMS i systemów interfejsów ( magistrale komputerowe , EAI ).

W przypadku wolnego oprogramowania , poziomy bezpieczeństwa używanych baz danych ( MySQL …) są generalnie dość niskie w skali EAL ze względu na mniejsze możliwości finansowe społeczności wolnego oprogramowania.

Ochrona zasobów informacyjnych

Skuteczna ochrona zasobów informacyjnych wymaga przede wszystkim dogłębnej analizy ram prawnych . Bardzo ważne jest, aby zdać sobie sprawę, że istnieje hierarchia w przepisach. Na przykład, w Unii Europejskiej , że dyrektywy europejskie mają pierwszeństwo nad prawem państw członkowskich ( hierarchia norm ).

Musimy skrzyżować to studium prawne z:

• zdefiniowanie profili osób obsługujących dokumenty elektroniczne na tym samym zbiorze danych o wspólnym poziomie bezpieczeństwa informatycznego (w szczególności poufności ),
• identyfikacja danych wrażliwych („aktywa”).

Konieczne jest odpowiednie ustrukturyzowanie zarówno danych, jak i środowisk praktyków , które mają wspólny obszar działalności i poziom bezpieczeństwa. To ważny aspekt zarządzania treścią .

Metadane należy używać w ustandaryzowany sposób w rejestrze metadanych . Musimy zbadać, w jaki sposób każdy element wpływa na bezpieczeństwo, a także związane z tym udoskonalenia, takie jak: identyfikator i powiązany certyfikat elektroniczny , charakter dokumentu, zakres dokumentu, prawa, odbiorcy itp.

Zarządzanie dowodami

W praktyce bezpieczeństwo danych musi być realizowane poprzez działania dotyczące rejestracji danych elektronicznych.

Rekordowe bezpieczeństwo

Te dane , które umożliwiają zarządzanie bezpieczeństwa , związane z profilem ochrony należy wybrać (lub wybrane), muszą być umieszczone w systemie informacji w taki sposób, że nagranie wykonane mogą dostarczyć dowód działań danej osoby lub osoby. „ firma i firma pokrewna.

Dowody zarządzanie jest przedmiotem normy , ISO 15489 (w języku angielskim i francuskim ).

Rejestracja danych i zarządzanie dowodami

Bezpieczeństwo i rejestracja danych oraz zarządzanie dowodami są zatem bardzo ściśle powiązane.

Dobre zarządzanie dowodami nie jest możliwe bez właściwego rejestrowania danych w całym cyklu życia i związanych z nimi procesach (kanałach). W związku z tym należy bardzo dokładnie opisać wpływ na następujące operacje:

• Kopie zapasowe , przechowywanie ,
• Archiwizacja .

Procesy te mają ogromne znaczenie w informatyce , ponieważ zawierają w sobie kapitał tzw. Wiedzy jawnej w języku inżynierii wiedzy .

Ostatecznie nie możemy oczywiście całkowicie oddzielić aspektów przetwarzania danych i informacji , tak więc wybór architektury danych silnie wpływa na fizyczną architekturę komputera , aw szczególności na jego zdolność do wykonywania procesów wielozadaniowych (patrz także wieloprocesorowe ). To jest powód, dla którego lepiej jest badać bezpieczeństwo danych w ramach podejścia do urbanizacji systemów informatycznych . Praktykowane przez 35% francuskich organizacji przebadanych w 2010 roku archiwizacja treści o wartości dowodowej powinna dotyczyć 71% z nich do 2012 roku.

Ochrona danych osobowych

W Unii Europejskiej istnieją regulacje dotyczące ochrony prywatności, w szczególności Dyrektywa 95/46 z24 października 1995o ochronie danych. G29 to europejska grupa odpowiedzialna za koordynację organów ochrony danych w Unii Europejskiej .

W prawie francuskim ustawa o przetwarzaniu danych, plikach i wolności z dnia 6 stycznia 1978 r. Wskazuje w artykule 34 , że „administrator jest zobowiązany do podjęcia wszelkich niezbędnych środków ostrożności w odniesieniu do charakteru danych i przedstawionego ryzyka przez przetwarzanie, w celu zachowania bezpieczeństwa danych, aw szczególności w celu zapobieżenia ich zniekształceniu, uszkodzeniu lub dostępowi do nich nieuprawnionym osobom trzecim ”.

To zobowiązanie środków, a nie wyników.

Plik 14 kwietnia 2016 rParlament Europejski przyjął ustawę , która polega na ochronie i zabezpieczaniu danych osobowych na terenie Unii Europejskiej .

Ustawa ta nosi nazwę RGPD ( Ogólne rozporządzenie o ochronie danych ), ma na celu lepsze zagwarantowanie prawa do prywatności w erze cyfrowej, wprowadziłaby na administratora danych obowiązek powiadamiania CNIL o „naruszeniach przetwarzania danych osobowych”: „ W przypadku naruszenia zasad przetwarzania danych osobowych, administrator danych niezwłocznie informuje o tym inspektora ochrony danych lub w przypadku jego nieobecności Krajową Komisję ds. Informatyki i Wolności . Administrator danych, korzystając z komputerowego kojarzenia i wolności , podejmuje niezwłocznie niezbędne środki umożliwiające przywrócenie ochrony integralności i poufności danych. Inspektor ochrony danych informuje Krajowa Komisja ds przetwarzania danych i wolności . Jeżeli naruszenie miało wpływ na dane osobowe jednej lub więcej osób fizycznych, administrator informuje również te osoby ”.

Tego rodzaju zobowiązanie istnieje już za granicą, w szczególności w USA pod nazwą przepisów dotyczących powiadamiania o naruszeniach bezpieczeństwa , ale także w Niemczech od1 st wrzesień 2009.

Gdyby to prawo zostało uchwalone, byłoby to zobowiązaniem do rezultatu.

AFCDP ( francuskie stowarzyszenie korespondentów ds. Ochrony danych osobowych ) prowadzi prace w ramach swojego think tanku „ Zgłaszanie naruszeń przetwarzania danych osobowych ” w ramach ewentualnego dekretu wykonawczego.

Więzy integralności

Standaryzacja i certyfikacja

Normalizacja

Te obowiązujące normy są:

• ISO 13335 w sprawie definicji, pojęć i modeli,
• ISO 15408 dotyczące wymagań i wspólnych kryteriów .

Na metadanych w szczególności zobaczyć standaryzacji metadanych .

Na temat zarządzania dowodami lub odpowiedzialnością ( zarządzanie dokumentacją ), patrz ISO 15489 oraz Metadane i identyfikowalność .

ISO 27000 norma jest ogólnym standardem w zakresie bezpieczeństwa systemów informatycznych.

Orzecznictwo

W przypadku stosowania normy ISO 15408 we Francji za ocenę odpowiada pięć CESTI ( centra oceny bezpieczeństwa technologii informatycznych ):

• AQL (SILICOMP)
• CEA LETI
• THALE (T3S-CNES)
• OPPIDA
• Technologie SERMA

Ostatecznie to ANSSI potwierdza zatwierdzenie i wydaje certyfikat .

Bibliografia

• Obrona narodowa i bezpieczeństwo zbiorowe , luty 2006 ,
• Analiza ryzyka, bezpieczeństwo , ochrona, środowisko , zarządzanie IFIE 2006 . Bernard Besson i Jean-Claude Possin
• Zapobiegaj ryzyku. Działaj jako odpowiedzialna organizacja . Andrée Charles, Farid Baddache. Wydania AFNOR. 2006 . ( ISBN  2-1247-5519-6 ) .
• Funkcja zarządzania ryzykiem , Catherine Véret, Richard Mekouar, Dunod, ( ISBN  2-10-048697-7 ) , 2005
• 100 pytań do zrozumienia i działania. Zarządzanie ryzykiem . Jean-Paul Louisot, z udziałem Jacquesa Lautoura. AFNOR i CARM Institute. 2005 - ( ISBN  2-12-475087-9 )
• Model inteligencji ekonomicznej , AFDIE, Economica, Bernard Besson, Dominique Fonvielle, 2004 .
• Audyt wywiadu gospodarczego, tworzenie i optymalizacja skoordynowanego systemu wywiadu zbiorowego , Bernard Besson i Jean-Claude Possin, ( ISBN  2-10-006699-4 ) , Dunod, 2002 ,
• Przekonaj do urbanizacji IS , Jean-Christophe Bonne i Aldo Maddaloni, Lavoisier, 2004 .
• Zarządzanie ryzykiem. Globalne podejście . AFNOR. 2002 . ( ISBN  2-12-169211-8 )
• Traktat o nowych zagrożeniach - Środki ostrożności, kryzys, ubezpieczenia , Olivier Godard , Claude Henry, Patrick Lagadec , Erwann Michel Kerjen, Niepublikowane aktualne folio 2002.
• Revue française du marketing, n ° 200 , grudzień 2004 .

Zobacz też

W kwestiach związanych z kontekstem komunikacyjnym

• Społeczna odpowiedzialność biznesu
• Bezpieczeństwo i interoperacyjność , patrz także ADELE
• Ryzyka
• Komunikacja
• Spójność danych w rozproszonym wszechświecie
• Posługiwać się
• Kapitał intelektualny

O bezpieczeństwie systemów informatycznych

• Certyfikat elektroniczny
• Dane osobiste
• Prywatność i IT
• Tożsamość cyfrowa (Internet)
• Bezpieczeństwo systemu informatycznego
• Ochrona danych
• Ślady cyfrowe , pliki cookie
• Targetowanie behawioralne
• Geolokalizacja
• Profil użytkownika
• Offuscation (fałszywy profil, fałszywy nos )
• Biometria
• Tożsamość , tożsamość (psychologia)
• W Internecie nikt nie wie, że jesteś psem ( w Internecie nikt nie wie, że jesteś psem ), mówiąc, że narodził się z kreskówki z 1993 roku
• Nominacyjna komisja kontroli informacji
• Europejski Inspektor Ochrony Danych
• Gwałt w korespondencji prywatnej
• Wyciek informacji
• Dane dotyczące przelotu pasażera (PNR)
• Lista organów odpowiedzialnych za ochronę danych ( organy ochrony danych )
• Plik
• Inteligencja pochodzenia elektromagnetycznego
• Frenchelon • Echelon
• CNIL (we Francji)
• Ustawa o ochronie danych 1978
• Francuskie Stowarzyszenie Korespondentów ds. Ochrony Danych Osobowych (AFCDP)
• Komisja za dostęp do dokumentów administracyjnych
• Złożenie we Francji
• Dane dotyczące zdrowia
• Rezolucja madrycka
• Sieć społecznościowa
• Silne uwierzytelnianie
• Certyfikat cyfrowy
• OpenID
• RFID (tagi radiowe, chip elektroniczny )
• Kategoria: System zarządzania tożsamością
• Kradzież tożsamości
• Dyrektywa Prezydencki Bezpieczeństwa Wewnętrznego - HSPD-12 przez George'a W. Busha
• FIPS 201 lub Personal Identity Verification (PIV) Standard George W. Bush Identification Project
• Podpis elektroniczny
• Orzecznictwo
• Zaufana strona trzecia
• Wspólne kryteria
• Profil ochronny

O zarządzaniu projektami

• Strategiczne dostosowanie
• Urbanizacja (IT)
• Meta-model planowania urbanistycznego

O normalizacji

• Standard
• Lista norm ISO według dziedzin
• ISO 13335
• ISO / IEC 17799
• ISO / IEC 27001

Przypadki kradzieży danych

• Przypadek wycieku danych zdrowotnych z laboratoriów francuskich (2021)

W anglojęzycznej Wikipedii:

• Kategoria Kategoria: Zarządzanie danymi ,
• Artykuł dotyczący jakości danych ,
• Artykuł o architekturze danych

Uwagi i odniesienia

1. Konferencja z 30 kwietnia 1998 r. W Internecie
2. „  Theft of personal data in six questions  ” , na SudOuest.fr (dostęp 30 maja 2017 )
3. Philippe Leroy , "  Gérard Beraud-Sudreau, Proofpoint:" Ludzie muszą być centralnym punktem każdej polityki bezpieczeństwa "  " , na Krzemie ,11 stycznia 2019 r(dostęp 17 grudnia 2019 )
4. „  Nowy F-Secure studiów: zdecydowana większość internautów boją się ofiarą kradzieży tożsamości lub informacji o koncie włamania. I większość z nich ma rację.  » , On Global Security Mag Online (dostęp 17 grudnia 2019 r. )
5. „  Connection - Le Mans University - Authentication  ” , na cas.univ-lemans.fr (dostęp 13 października 2020 )
6. Markess International, Repository of Practices for Archiving & Preservation of Electronic Content - 2010

Linki zewnętrzne

• (fr) DCSSI - http://www.ssi.gouv.fr/fr/dcssi/
• (fr) Bernard Carayon - strona wywiadu gospodarczego
• (fr) CLUSIF - https://www.clusif.asso.fr
• (fr) CLUSIS ( Szwajcaria ), zgodnie z normą ISO / IEC 17799 - http://www.ysosecure.com/doc-pdf/presentation-clusis-ISO-17799.pdf
• (en) Wiki dotyczące bezpieczeństwa komputerów
• (w) MITRE , dostawca Departament Obrony w Stanach Zjednoczonych

http://www.mitre.org/news/the_edge/feb February_01/highlights.html http://www.mitre.org/work/tech_papers/tech_papers_98/nims_information/nims_info.pdf ( 1998 )

• (en) Anglosaski portal bezpieczeństwa http://www.infosyssec.org/infosyssec/security/secpol1.htm