Тъмната мрежа е част от интернет, която не може да се търси чрез традиционните търсачки, където царуват поверителност и анонимност. Тя е известна с незаконни транзакции и дейности като трафик на наркотици, търговия с оръжие и измами с самоличност. Но не всичко е престъпление и секретност. Тя също така предоставя безопасно убежище за лица, подаващи сигнали за нередности, журналисти и тези, които търсят свободно изразяване при потиснически режими.

И все пак, с анонимността идва и риск. От заплахи за информационната сигурност като кражба на самоличност и зловреден софтуер до измами и наблюдение, навигирането в тъмната мрежа без предпазливост може да доведе до реални опасности. И така, тъмната мрежа беззаконен подземен свят ли е или неразбрана граница за поверителност и свободно изразяване? Ето какво трябва да знаете.

Какво е тъмната мрежа?

Скрита, криптирана и недостъпна за традиционните търсачки, тъмната мрежа е място, където царува анонимността. Потребителите се промъкват в това сенчесто царство, използвайки анонимизиращ браузър, като браузъра Tor (The Onion Ring), и виртуална частна мрежа (VPN), за да защитят самоличността си и да осигурят връзката си.

Но какво се случва отвъд завесата? Тъмната мрежа пулсира с активност – както законна, така и незаконна. Въпреки че осигурява анонимност на защитниците на поверителността и лицата, подаващи сигнали за нередности, тя е и развъдник на киберзаплахи. Над половината от обявите ѝ представляват потенциални рискове за отделни лица и организации. За да се противодейства на това, мониторингът на тъмната мрежа се е превърнал в от съществено значение за откриване на тези заплахи и защита на цифровата поверителност.

Как работи тъмната мрежа?

Тъмната мрежа функционира като анонимен пазар, където незаконни стоки и услуги са само на няколко кликвания разстояние. Често търгуваните артикули включват:

• откраднати финансови данни: номера на кредитни карти, данни за вход в банкови сметки и предплатени дебитни карти;
• компрометирани акаунти: стрийминг услуги като Netflix, профили в социалните медии и данни за абонамент;
• фалшиви артикули: фалшива валута, фалшифицирани документи и фалшиви документи за самоличност;
• наркотици и оръжия: всички видове незаконни наркотици и огнестрелни оръжия;
• незаконни финансови услуги: операции за пране на пари, фалшиви пари и откраднати банкови сметки/данни за кредитни карти;
• екстремизъм и тероризъм: радикални идеологии, пропагандни материали и ръководства „как да“ за насилие;
• хакерски инструменти и услуги: зловреден софтуер, експлойт комплекти и „хакери под наем“;
• измами с лични данни и самоличност: откраднати медицински досиета, лични снимки и чувствителна лична информация.

Но тъмната мрежа не е само сенки и престъпления. Тя е спасителен пояс за активисти, лица, подаващи сигнали за нередности, и журналисти, търсещи безопасни пространства, за да се свързват и да говорят свободно. Социалните платформи са изпълнени с анонимни разговори, докато правоохранителните органи преследват дигитални сенки, за да разбият престъпни групи.

Междувременно експертите по киберсигурност наблюдават тъмната мрежа, сканирайки за откраднати данни и нововъзникващи заплахи. Ако вашата информация се появи в тези мрачни дълбини, можете да направите много малко – но познаването на свързаните с това рискове е първата стъпка към защитата.

Кой създаде тъмната мрежа?

Тъмната мрежа не е започнала като убежище за киберпрестъпници – всъщност е била разработена с много различна цел. Първоначално създадена от американските военни, за да осигури сигурна и анонимна комуникация, тази скрита структура на интернет оттогава се е превърнала в сложен дигитален ъндърграунд.

В края на 90-те години на миналия век е създаден мощен инструмент – Onion Router (или Tor, накратко) – за защита на военните операции, особено във враждебни зони, където секретността може да означава разликата между живота и смъртта. Tor обаче не остава дълго в сянка. Той бързо надрасна военните си корени, очертавайки се като браузъра Tor, свободен вход към дигиталните задкулисни улички на тъмната мрежа. Сега е един от най-широко използваните браузъри за достъп до нея.

Тъмна мрежа срещу дълбока мрежа

Представете си интернет като айсберг – това, което виждате, е само малка част от това, което съществува под повърхността. Три са слоевете, които изграждат онлайн света:

• Отворена мрежа (4%–5%): Наричан още „чист уеб“, това е всичко, индексирано от търсачките: новинарски сайтове, блогове, социални платформи и онлайн магазини. Това е видимата, публично достъпна част от интернет.
• Дълбока мрежа (90%–95%): Масивният, скрит слой под повърхността включва лично съдържание като имейл акаунти, онлайн банкиране, абонаментни услуги и облачно съхранение – всичко, което изисква вход или не е индексирано от търсачките. Достъпвате до дълбоката мрежа всеки ден, без да го осъзнавате – влизате в акаунт или стриймвате платено съдържание. Въпреки, че по-голямата част от него е легитимна, някои области съдържат пиратски сайтове и незаконни форуми.
• Тъмна мрежа (<1%): Малка, но скандална част от дълбокия уеб, тъмната мрежа е достъпна само чрез специализирани инструменти като браузъра Tor. Какво е Tor? Казано по-просто, това е инструмент, който използва onion routing, за да маскира самоличността и да криптира трафика. Потребителите разчитат на инструменти, фокусирани върху поверителността, като DuckDuckGo и други браузъри на darknet, за да навигират в скрити уебсайтове на darknet с .onion домейни.

Уебсайтове в тъмната мрежа

За да осигурят това ниво на анонимност, уебсайтовете в тъмната мрежа крият присъствието си в нея, достъпно само чрез определени търсачки. Въпреки че изглеждат като обикновени уебсайтове, има важни разлики. Една от тях е в структурата на имената. Вместо познати окончания като .com или .net, тези сайтове се крият зад домейни .onion: уникални адреси, достъпни само за мрежата Tor.

Забравете закачливите URL адреси – уебсайтовете в тъмната мрежа предпочитат хаоса. Адресите им често са смесица от букви и цифри, почти невъзможни за запомняне, като например прословутия „eajwlvm3z2lcca76.onion“, който някога е служил като вход към скандалния Dream Market.

Но опасността винаги е на един клик разстояние. Измамници бродят из тъмната мрежа, стартирайки фалшиви витрини, които изчезват за една нощ, често с парите на жертвите им. Дори установените пазари не са безопасни. През 2017 г. глобална полицейска операция сваля AlphaBay, най-големия нелегален пазар в тъмната мрежа, разтърсвайки подземната икономика.

Как се получава достъп до тъмната мрежа?

Достъпът до тъмната мрежа не е толкова мистериозен, колкото изглежда. Всичко започва с Tor, който пази вашата самоличност под слоеве криптиране. Браузърът Tor скрива IP адресите и активността при сърфиране, като пренасочва мрежовия трафик през серия прокси сървъри, управлявани от хиляди доброволци по целия свят. Този процес, наречен „onion routing“, защитава потребителите от наблюдение и проследяване.

След като бъде инсталиран, браузърът функционира като обикновен уеб браузър. Намирането на информация обаче може да бъде предизвикателство, тъй като тъмната мрежа не използва централизиран индекс за локализиране на съдържание. Вместо това потребителите разчитат на търсачки в тъмната мрежа като DuckDuckGo или директории, като Hidden Wiki и нейните разклонения, за да намерят уебсайтове с .onion. Но поверителността е крехка – използването на VPN заедно с Tor и поддържането на строги навици за сигурност е от решаващо значение.

Незаконна ли е тъмната мрежа?

Тъмната мрежа често получава лоша репутация, но достъпът до нея не е незаконен – важно е какво се прави там. Простото разглеждане на уебсайтове в тъмната мрежа чрез браузъра Tor или използването на частни търсачки за проучване е напълно законно. Всъщност, тъмната мрежа играе жизненоважна роля в осигуряването на пространство за анонимна комуникация и сигурно споделяне на данни.

Не всичко в тъмната мрежа е незаконно или престъпно. Тази скрита част от интернет има много полезни цели:

• Сигурна комуникация: Инструменти като браузъра Tor позволяват на хората да общуват свободно в страни, където речта е ограничена.
• Ресурси за поверителност: Тъмната мрежа предоставя достъп до ръководства за криптирани имейл услуги и анонимни операционни системи, помагайки на потребителите да запазят поверителността си онлайн.
• Необичайни находки: Потребителите могат да открият пълни издания на труднодостъпни книги и подбрани колекции от политически статии от водещи новинарски източници.
• Анонимни дискусии: Форуми като IntelExchange предлагат пространства за анонимно обсъждане на текущи събития, без страх от наблюдение.
• Платформи за подаване на сигнали за нередности: Сайтове като версията на WikiLeaks за тъмната мрежа предоставят безопасни канали за подаване на сигнали за нередности, за да споделят чувствителна информация.
• Достъп до социални медии: Скритите социални мрежи функционират като Facebook за тези, които държат на поверителността си, позволявайки на потребителите да се свързват, споделят и взаимодействат, без да жертват анонимността си. За разлика от масовите платформи, тези мрежи прилагат строги политики за поверителност, гарантиращи, че потребителите остават непроследими.

Видове заплахи в тъмната мрежа

Въпреки че тъмната мрежа предлага поверителност и анонимност, тя крие и значителни опасности и рискове. Ако обмисляте да я проучите, ето някои често срещани заплахи, за които да внимавате:

• Злонамерен софтуер (malware): Тъмната мрежа е пълна с вируси, шпионски софтуер и ransomware, често скрити в файлове за изтегляне или връзки. Щракването върху грешна реклама или посещението на компрометиран уебсайт в тъмната мрежа може да зарази устройството ви и да разкрие данните ви.
• Измами и мошеници: Измамниците процъфтяват в тъмната мрежа, създавайки фалшиви витрини и фишинг схеми. Често срещано е потребителите да плащат за стоки или услуги, само за да изчезне доставчикът, без да ги достави.
• Кражба на данни: Крадци на самоличност дебнат във форуми, търгувайки с откраднати идентификационни данни. Самото взаимодействие със съмнителни доставчици може да изложи личната ви информация на риск.
• Капани с мед (honey pot): Някои незаконни пазари всъщност се управляват от правоохранителните органи, за да хванат престъпници в действие. Купуването или продажбата на незаконни стоки на тези сайтове може да доведе до арест.

Тъмната мрежа: рискове и ролята на стандартите

Тъй като киберзаплахите стават все по-сложни, организациите следят отблизо тъмната мрежа. Компаниите използват мониторинг на тъмната мрежа, за да сканират за изтекли данни, откраднати идентификационни данни и индикатори за нарушения, което им помага да проследяват и идентифицират извършителите.

Тук се намесват стандартите и най-добрите практики за информационна сигурност. Разпознаването на рисковете и прилагането на мерки за киберсигурност за идентифициране, защита, реагиране и възстановяване от атаки е първата ви задача. Силната рамка за киберсигурност започва с управление на риска и структурирана защита:

• Създаване на рамка за сигурност: ISO/IEC 27001 помага на организациите да създадат цялостен подход към управлението на рисковете, докато ISO/IEC 27005 помага за идентифицирането на рискове.
• Внедряване на контроли за сигурност: ISO/IEC 27002 предоставя набор от контроли с най-добри практики за смекчаване на рисковете и защита на критични данни.
• Разгръщане на стратегия за киберсигурност: ISO/IEC TR 27103 очертава как да се използват съществуващите стандарти в цялостна рамка за киберсигурност, за да се идентифицират, защитават, откриват, реагират и възстановяват от кибератаки.

Чрез вграждането на тези стандарти в своята рамка за сигурност, организациите могат да сведат до минимум излагането си на риск, да укрепят защитата си и да останат с една крачка пред киберпрестъпниците.

ISO/IEC 27001:2022 Системи за управление на информационната сигурност
ISO/IEC 27002:2022 Информационна сигурност, киберсигурност и защита на личните данни — Контрол на информационната сигурност
ISO/IEC 27005:2022 Ръководство за управление на рисковете за информационната сигурност
ISO/IEC TR 27103:2018 Киберсигурност и стандарти ISO и IEC

Безкомпромисна киберсигурност

В ерата, определена от дигиталната свързаност, защитата на чувствителна, критична и лична информация от киберзаплахи – включително тези, произхождащи от тъмната мрежа – е стратегически императив. Международните стандарти предлагат на организациите стабилна, световно призната рамка за укрепване на устойчивостта на киберсигурността, смекчаване на рисковете и защита на чувствителни и критични данни от неоторизиран достъп и злоупотреба.

Да бъдеш крачка пред киберпрестъпниците изисква повече от реактивни мерки, то изисква проактивен, систематичен подход, изграден върху непрекъснато усъвършенстване, осъзнаване на риска и спазване на доказани протоколи за сигурност. Чрез интегрирането на първокласна сигурност в своите операции, организациите могат не само да намалят излагането си на киберзаплахи, но и да засилят доверието в един все по-ориентиран към данни свят.

Източник на информацията: iso.org

Въглеродният отпечатък на една компания е общото количество парникови газове (предимно въглероден диоксид), които нейните дейности генерират. За повечето фирми значителна част от този отпечатък произтича от потреблението на енергия – захранване на офиси, на производствени процеси и зареждане на транспортни паркове. Примерите за въглероден отпечатък варират значително в различните индустрии. Например:

• Отпечатъкът на една технологична компания може да бъде доминиран от използването на енергия в центъра за данни и пътуването на служителите;
• Производствена фирма може да има значителни емисии от производствени процеси и транспортиране на суровини;
• Веригата за търговия на дребно може да установи, че нейното най-голямо въглеродно въздействие идва от нейната верига за доставки и транспорт.

В обобщение, въглеродният отпечатък на компанията идва от комбинация от преки (Обхват 1), непреки (Обхват 2) и емисии по веригата на стойност (Обхват 3). Докато първите две обхващат използването на гориво на място и закупената енергия, обхват 3 – обхваща доставчици, продукти и клиенти – често съдържа най-голямата възможност за намаляване на цялостното въглеродно въздействие.

Начини за измерване на въглероден отпечатък

Като бизнес лидер може да се озадачите от перспективата да изчислявате въглеродния отпечатък на вашата компания. В крайна сметка това не е умение, на което някой ни е учил. Но въпреки че може да изглежда като трудна задача, има утвърдени методи и инструменти, които да ви насочат през процеса. Нека ги разделим на по-смилаеми хапки:

• Оценка на жизнения цикъл: Това е екологичният еквивалент на написването на подробна биография на вашия продукт или услуга. Той проследява емисиите от „люлката до гроба“ – от извличането на суровини до изхвърлянето. Това е задълбочен процес, който може да отнеме много време и ресурси.
• Протокол за парникови газове: Това е изпитаният метод, използван от много фирми. Той разделя емисиите на три категории или „обхвати“: Обхват 1: Това са емисиите, които контролирате пряко – отработените газове от служебни превозни средства или за газа, който се изгаря от котли(ако използвате такива); Обхват 2: Той обхваща емисиите от енергията, която купувате – предимно електричество; Обхват 3: Това е сложният момент – той включва всички други непреки емисии във вашата верига на стойността, от пътуванията на служители до работното място до изхвърлянето на продуктите, които продавате.
• Анализ на входно-изходните данни: Ако се чувствате по-комфортно с финансовите отчети, отколкото с науката за околната среда, този метод може да е за вас. Той оценява емисиите въз основа на вашите финансови транзакции и средни стойности за индустрията.
• Калкулатори за емисии: Въпреки че те често са насочени към физически лица, някои са предназначени за малки и средни предприятия. Те са лесни за използване и могат да ви дадат бърза информация, с която да работите.

Как да намалите въглеродния си отпечатък?

И така, изчислихте числата и се изправихте пред информацията за въглеродния отпечатък на вашата компания. Сега какво? Има набор от практически съвети, които да помогнат на вашия бизнес да минимизира въглеродното си въздействие.

• Прегърнете слънцето и вятъра: Възобновяемата енергия стана масова и е по-достъпна от всякога. Независимо дали става дума за слънчеви панели на покрива, инвестиция във вятърен парк или просто преминаване към доставчик на зелена енергия.
• Стратегии за пестене на енергия: Заменете старите, енергоемки уреди с ефективни модели. LED осветлението не е само за модерни кафенета, то може да намали и сметката за ток. Няколко градуса по-хладно през зимата и по-топло през лятото могат да направят голяма разлика.
• Озеленете автопарка: Ако вашата компания разчита на превозни средства, помислете за електрическо преобразяване. Електрическите превозни средства навлизат във всичко – от микробуси за доставка до камиони за дълги разстояния. Не можете да станете напълно електрически? Дори преминаването към хибриди или по-икономични модели може да повлияе на вашите емисии.
• Революция в офиса: Възприемането на дистанционна работа, дори на непълен работен ден, може да намали емисиите при пътуване до работното място и използването на енергия в офиса. Освен това вашите служители може да ви благодарят за допълнителния сън.
• Разтърсване на веригата за доставки: Погледнете добре и внимателно вашите доставчици. Има ли местни възможности, които биха могли да намалят емисиите от транспорта? Или доставчици със силни акредитиви за устойчивост? Вашата покупателна способност може да се разпространи по цялата верига на доставки.
• Намалете, използвайте повторно, преосмислете: Разчистете вашите процеси. Можете ли да дигитализирате повече документи? Ремонтирайте оборудването, вместо да го замените? Може би е време да преосмислите опаковката на продукта си.

И накрая, компенсирайте това, което не можете да премахнете. Нека си признаем, някои емисии са трудни за избягване. За тях помислете за програми за компенсиране на въглерода. Независимо дали става въпрос за засаждане на дървета или инвестиране в проекти за чиста енергия, компенсациите могат да помогнат за балансиране на вашите неизбежни емисии.

Когато въглеродните изчисления се усложнят

Потопихте пръста си в света на изчисляването на въглеродния отпечатък. Но докато се гмурнете по-дълбоко в царството на емисиите и въздействието, може да започнете да забелязвате, че нещата не винаги са толкова ясни, колкото изглеждат. Нека дръпнем завесата върху някои от странностите на математиката за въглероден отпечатък.

• Измерване и отчитане: Представете си, че се опитвате да начертаете линия около всичките си въглеродни емисии. Звучи просто, нали? Е, бързо става трудно. Отчитате ли емисиите от пътуването на вашите служители? Какво ще кажете за електричеството, използвано за производството на частите във вашите продукти? Изведнъж вашият спретнат малък въглероден отпечатък изглежда по-скоро като заплетена мрежа от взаимосвързани въздействия.
• Въглеродна главоблъсканица: Преминаването към възобновяема енергия е чудесно за намаляване на вашия въглероден отпечатък. Но как отчитате въглеродните емисии от производството на тези слънчеви панели или вятърни турбини?
• Променливи емисионни фактори: Примерите за въглероден отпечатък често използват стандартизирани емисионни фактори, като например колко CO2 се произвежда на киловатчас електроенергия. Но тези фактори се променят, когато мрежите стават по-екологични или технологиите се подобряват.
• Оценяване на доставчици: За бизнеса емисиите от обхват 3 (тези непреки емисии във вашата верига за стойност) често са най-голямата част от техния въглероден отпечатък. Те също са най-трудни за точно измерване.
• Предизвикателство за компенсиране: Въглеродните компенсации могат да бъдат чудесен инструмент за намаляване на емисиите, но не са без противоречия. Как гарантирате, че проектът за засаждане на дървета действително улавя въглерода, който смятате, че прави?
• Поведенчески бариери: Въпреки че можете да измерите много аспекти на вашия въглероден отпечатък, количественото определяне на въздействието на промените в поведението е трудно. Как измервате спестените емисии, като вдъхновявате служителите си да бъдат по-екологични?
• Хаос в сравнението: Различните методи за изчисление и граници на въглероден отпечатък могат да доведат до изключително различни резултати. Това прави трудно да разберете дали наистина постигате напредък в намаляването на въглеродното въздействие.

Технология, поддържана от стандарти

Не позволявайте на тези ограничения да ви обезсърчават. Докато компаниите навлизат по-дълбоко в процеса за намаляване на въглеродните емисии, те осъзнават важността на привеждането на усилията си в съответствие с международните стандарти. Серията ISO 14064 е основното ръководство за отчитане на парниковите газове, което обхваща всичко от количествено определяне на емисиите до проверка на резултатите. За тези, които се гмуркат в жизнените цикли на продуктите, ISO 14040 и ISO 14044 ще ви насочат през изчерпателни оценки. И не забравяйте ISO 14083, GPS за навигиране на емисиите в транспортната верига.

Тези стандарти не са просто за упражнение – те са мощни инструменти за разбиране и намаляване на въглеродното въздействие. Независимо дали ще се включи възобновяема енергия или ще се прецезират стратегии за намаляване на емисиите, тези насоки предоставят обща рамка за справяне с нашите споделени климатични предизвикателства.

• БДС EN ISO 14040:2006/А1:2020 Управление по отношение на околната среда. Оценяване на жизнения цикъл. Принципи и общи изисквания. Изменение 1;
• БДС EN ISO 14044:2006/A2:2020 Управление по отношение на околната среда. Оценяване на жизнения цикъл. Изисквания и насоки. Изменение 2;
• БДС EN ISO 14064-1:2018 Парникови газове.Част 1: Технически изисквания и ръководство на ниво организация за количествено определяне и докладване на емисиите от парникови газове и отстранените парникови газове;
• БДС EN ISO 14083:2023 Парникови газове. Количествено определяне и отчитане на емисиите от парникови газове, произтичащи от операции по транспортната верига.

Нови тенденции в управлението на въглерода

С поглед към бъдещето е ясно, че управлението на въглеродния отпечатък ще стане също толкова рутинно, колкото и проверката на имейла ни. И така, какво следва за управлението на въглерода?

• По-интелигентни инструменти за отчитане на въглероден диоксид: Представете си асистенти, работещи с изкуствен интелект, които не само проследяват вашия въглероден отпечатък, но също така предлагат персонализирани начини за неговото намаляване. Намаляването на вашето въглеродно въздействие скоро може да бъде толкова забавно, колкото и отключването на постижения в любимото ви приложение.
• Съсредоточете се върху бизнес операциите: От пътувания на служители до съхранение в облак, компаниите ще започнат да измерват въглеродния отпечатък на всичко, което правят. Скоро, „Какво е въглероден отпечатък?“ ще стане част от разговора във всеки отдел – HR, IT и дори маркетинг – всеки търси начини да намали своя дял от емисиите.
• Екологични решения: Бизнесът ще инвестира в базирани на природата решения като гори и влажни зони, като ги използва за поглъщане на парникови газове. Мислете за това като за привличане на самата майка природа в борбата ви срещу въглеродните емисии.
• Премахване на въглерод от следващо поколение: Очаквайте пробиви в технологии като директно улавяне на въздух, които извличат CO2 от въздуха. Тези иновации ще засилят стратегиите на компаниите за управление на въглеродните емисии, помагайки за справяне с емисиите по начини, за които можем само да мечтаем.
• Фокус върху Обхват 3: Светлината на прожекторите ще се насочи към емисиите от Обхват 3 – тези скрити емисии от веригите за доставки и бизнес пътуванията. Компаниите ще се справят директно с тях, правейки всяка част от дейността си по-устойчива.
• Причината за кръговрата: Продуктите, предназначени за повторна употреба, ремонт и рециклиране, ще бъдат ключови, помагайки на компаниите драстично да намалят отпадъците и въглеродните емисии, като същевременно преосмислят как правят и използват стоки.

И нека не забравяме ценообразуването на въглеродните емисии – тенденция, която ще остане тук. Правителствата и пазарите все повече ще приписват цена на въглеродните емисии, създавайки финансови стимули за бизнеса да намалят своето въглеродно въздействие. С развитието на тези тенденции международните стандарти ще играят още по-голяма роля в осигуряването на последователност и надеждност в глобалното управление на въглеродните емисии.

Намаляване на нашето въглеродно въздействие

Нека си признаем, изчисляването на въглеродния отпечатък може да изглежда като опит да се преброят снежинките във снежна виелица. Сложно е, объркано е и постоянно се променя. Но като всяко пътуване, което си струва, пътят към света с ниски въглеродни емисии не винаги е лесен. Разбирането на сложността на изчисляването на въглеродния отпечатък не прави концепцията по-малко ценна. Това просто означава, че трябва да подходим към нашите изчисления със здравословна доза смирение и критично мислене.

Не забравяйте, че целта не е перфектна точност, а смислено действие. Дори ако вашият въглероден отпечатък не е точен до десетичната запетая, процесът на изчисляването му може да разкрие мощни идеи за това как да намалите въглеродния си отпечатък. Така че продължавайте да измервате, продължавайте да се подобрявате и продължавайте да се стремите да намалите този отпечатък. Кой знае, може би вашият новаторски подход за справяне с тези предизвикателства ще бъде следващият голям пробив в отчитането на въглерода. Това няма ли да е отпечатък, който си струва да оставите?

Източник на информацията: iso.org

Източник на изображението

Но какво ще стане, ако лицето, което иска достъп до лични данни, не е това, за което се представя? Като цяло има две неща, които трябва да се вземат предвид, когато бъдете помолени да предоставите нечия лична информация: самоличността на лицето, което иска данните, и дали има право на достъп до тези данни. Техническият термин за това е „контрол на достъпа“. Различни примери за контрол на достъпа могат да бъдат намерени в системите за сигурност при кодирани с парола врати, биометрични системи, детектори за движение и т.н.

Ключов компонент на информационната сигурност, контролът на достъпа позволява рационализиран контрол на движението около съоръжения или мрежи. С други думи, той ограничава зоните, в които хората могат и не могат да влизат – било то стая или компютър. Навремето най-простата форма на система за контрол на достъпа би била стандартна брава и ключ. Днес е по-вероятно да бъде „карта за достъп“, която ви дава достъп до защитена зона.

Дълбоко гмуркане в сигурността

Когато се контролира достъпа до личната информация на организацията, трябва да се oбърне внимание както на физическия, така и на логическия достъп. Физическият достъп се отнася до сгради, устройства и документи, докато логическият достъп се отнася до достъп до компютър или система. Технологиите за справяне с всеки от тях са доста различни. Физическият контрол на достъпа използва ключове и карти, за да позволи достъп до защитено пространство, докато логическият контрол на достъпа използва усъвършенствани програми за пароли и биометрични функции за сигурност.

Вместо да обработват потребителски права и права за достъп в рамките на всяко приложение, решенията за управление на самоличността и достъпа въведоха централизиран и по-стабилен начин за управление на самоличности и регулиране на нивото на достъп на всеки потребител до дадена система. Тъй като крайните точки се размножават в една организация, водени от политиките за носене на собствено устройство и разширяването на използването на устройства за Интернет на нещата (IoT), е необходим повече контрол. Решението е контрол на достъпа до мрежата (NAC), който осигурява начин за вграждане на контрол на достъпа и политики за сигурност на крайната точка в мрежовата инфраструктура на организацията. Това означава, че когато потребител се опита да се свърже с мрежа, системата NAC задържа връзката, докато извършва оценка на риска.

Защо се използва контрол на достъпа?

С големи количества чувствителни данни, съхранявани електронно, необходимостта от защита на нашите информационни активи никога не е била по-голяма. Кибер заплахите се развиват ежедневно, изисквайки все по-строги мерки за безопасност, а ключовете и простите пароли вече не вършат работа. Това, от което се нуждае бизнеса сега, е стабилна система за контрол на достъпа, която да защити физически и поверителни данни, да намали административните разходи и да защити клиентите и персонала.

Контролът на достъпа също така помага на организациите да отговарят на изискванията за съответствие с нормативните изисквания, като PCI DSS (Стандарт за сигурност на данните в сектора на разплащателните карти) и HIPAA (Закон за преносимост и отчетност на здравното осигуряване). На друго ниво, стандартът ISO/IEC27001 за информационна сигурност също изисква ръководството да проверява и след това да смекчава всички уязвимости и кибер рискове на своята организация.

Как работи контролът на достъпа?

Защитата на самоличността е основната функция на управлението на идентичността, която предоставя няколко области за контрол на достъпа, за да стане ясно какъв вид достъп се предоставя и на кого се предоставя. Това е само повърхностна дефиниция на контрола на достъпа, така че нека разгледаме по-задълбочено как работи всичко. Управлението на идентичността(IdM) разграничава контрола на достъпа до ресурсите в домейна и контрола на достъпа до самата IdM конфигурация. За да направи правилата за контрол на достъпа лесни за изпълнение, управлението на идентичността разделя дефинициите за контрол на достъпа в три основни категории:

• Правила за самообслужване (Self-service rules), които определят какви операции може да извършва потребителят при собствения си личен запис;
• Правила за делегиране (Delegation rules), които позволяват на конкретна потребителска група да извършва операции за запис/редактиране на специфични атрибути за потребители в друга потребителска група;
• Правила, базирани на роли (Role-based rules), които създават специални групи за контрол на достъпа, които имат много по-широки правомощия върху всички видове обекти.

Различни видове контрол на достъпа

Всички тези правила са интегрирани в различни системи за контрол на достъпа, които определят как разрешенията за достъп се присвояват и контролират в организацията. Те включват:

• Discretionary access control (DAC) – Дискреционен контрол на достъпа. При моделите DAC собственикът на данните решава да предостави права за достъп въз основа на правила, които посочва. DAC е най-малко ограничителният и следователно най-малко препоръчителният тип контрол на достъпа за търговска и бизнес сигурност.
• Mandatory access control (MAC) – Задължителен контрол на достъпа. MAC е разработен с помощта на недискреционен модел, при който едно лице (напр. Главният служител по сигурността) има еднолично право на преценка относно разрешенията за достъп и проверката за сигурност. Субектите и обектите на MAC получават съответно разрешения и етикети, като „поверително“, „секретно“ и „строго секретно“. Този тип контрол на достъпа е най-подходящ за организации, които изискват висока сигурност и поверителност.
• Role-based access control (RBAC) – Контрол на достъпа, базиран на роли. При този модел достъпът се предоставя въз основа на длъжността на лицето и ресурсите, необходими за извършване на работата му. Ключови принципи за сигурност, като „най-малко привилегии“ и „разделяне на привилегии“, се използват, за да се даде на потребителите минималното ниво на достъп, необходимо за изпълнение на тяхната роля. RBAC е удобна за потребителя система за контрол на достъпа, която позволява на администраторите да групират потребители и да коригират разрешения от централна база данни.
• Attribute-based access control (ABAC) – Контрол на достъпа, базиран на атрибути. За разлика от метода за контрол на достъпа, базиран на роли на RBAC, ABAC е сложна стратегия, която присвоява или отказва достъп на потребителите въз основа на набор от атрибути, зададени от собственика или администратора. Въпреки че е по-сложен от RBAC, той дава на администраторите гъвкавостта да вземат решения според контекста и променящите се нива на риск.
• Rule-based access control (RuBAC) – Базиран на правила контрол на достъпа. RuBAC включва дефиниране на правилата, които управляват достъпа до ресурс; те често се основават на условия като „само потребители във финансовия отдел имат достъп до финансови данни“.

Избор на правилния софтуер

И така, как да разберете коя система за контрол на достъп е най-подходяща за вашето пространство? Контролът на достъпа до мрежата е бързо развиващ се пазарен сегмент, който предлага множество видове софтуерни решения за контрол на достъпа. Някои ви свързват директно с контролен панел, а други не; някои използват сървър, а други не. Този, който изберете, ще зависи от размера на вашата организация, броя на устройствата, които управлявате, и необходимите нива на защита.

Най-обшо казано има три различни вида софтуер за контрол на достъпа на пазара днес: базиран на сървър, вграден и хостван – всеки със свои собствени функции и приложения.

• Server-based access control/Сървър-базиран контрол на достъпа: Обикновено се среща в големи организации, това са локални системи за контрол на достъпа, които разчитат на локални сървъри за хостване и изпълнение на софтуер. Системите за контрол на достъпа в локална мрежа са налични само на място и не предлагат гъвкавостта на отдалечения достъп. Тук сървърът е в затворена мрежа, която може да бъде достъпна само от други устройства в тази мрежа. Въпреки че това е много сигурно, може да бъде неудобно, тъй като изисква пълен IT екип за закупуване и подновяване на софтуерни лицензи и поддръжка на сървърите.
• Web-based access control/Уеб базиран контрол на достъпа: Известен също като вграден контрол на достъпа, базираните на браузър решения включват уеб приложение. За да работи приложението, не е необходим достъп до интернет; той се свързва към LAN (локална мрежа) и може да бъде достъпен от всяко устройство в LAN. Все пак е най-добре да има надеждна интернет връзка, тъй като този тип система за контрол на достъпа позволява програмиране и поддръжка от всеки интернет браузър, като се избягват скъпи софтуерни инсталации на място.
• Cloud-based access control/Облачно базиран контрол на достъпа: За разлика от другите два типа контрол на достъпа, облачно базираният софтуер се хоства от отдалечени центрове за данни (обикновено управлявани от трета страна) и се осъществява достъп чрез софтуер и мобилни приложения. При този подход може да се контролира целия район, включително множество сгради, от един административен панел. Тъй като системата се синхронизира в облака, е необходима интернет връзка за преглед на административния панел и извършване на актуализации или промени. Базираните в облак системи за контрол на достъпа повишават сигурността и мащабируемостта на вашата работа, като същевременно намаляват режийните разходи и оперативните такси.

Контрол на достъпа: бъдещи перспективи

Начинът, по който живеем и работим, се променя бързо, принуждавайки организациите да направят драстични промени, за да отговорят на своите изисквания за информационна сигурност и съответствие. Доскоро дейностите са се съсредоточавали предимно върху сливането на виртуални и физически системи за контрол на достъпа; днес обаче дистанционните и хибридни работни модели водят до нови предизвикателства и изисквания за сигурност. С по-малко хора физически в офис сградите и по-голяма гъвкавост в начина, по който хората имат достъп до активите на работното място, бъдещето на контрола на достъпа вероятно ще бъде оформено от непрекъснатото развитие на новите технологии.

С течение на времето може да видим използването на по-сложни биометрични идентификатори или технологии като IoT и базирани на AI системи. Най-важното обаче ще бъде да се позволи на системите за контрол на достъпа да бъдат свързани към цяла мрежа от устройства, давайки на ИТ екипите по-цялостен и координиран подход към сигурността. Що се отнася до контрола на достъпа, очаква ни вълнуващо бъдеще – едно едновременно интелигентно, адаптивно и надеждно.

Източник на информацията: iso.org

Източник на изображението

CTI е за събиране на информация, която помага на екипите за информационна сигурност да създадат силна отбранителна стратегия. Съвременните организации все повече признават стойността на разузнаването на кибер заплахи, като много планират да инвестират повече в своето разузнаване на заплахи през следващите години. Има обаче разлика между разпознаването на стойността и извличането на ползите.

Повечето организации днес се придържат към най-основната форма на разузнаване за заплахи (напр. емисии на данни за заплахи, IPS, защитни стени), без да се възползват от пълното предимство на това, което разузнаването може да предложи. Когато се адресира правилно, действащият CTI отваря свят от възможности. Ето как.

Какво е разузнаване за заплахи?

Разузнаването за киберзаплахите е това, в което се превръща информацията за кибер заплахи, след като бъде събрана и анализирана с помощта на усъвършенствани алгоритми. Чрез събиране на големи количества данни за настоящите заплахи и тенденции за киберсигурността и извършване на анализ на тези данни, анализаторите на киберзаплахи могат да извлекат използваема информация, която помага на клиентите им да откриват по-добре киберзаплахите и да се подготвят за тях.

След това екипите по сигурността консолидират тези данни в разузнавателен доклад, който се разпространява и споделя с други отдели. Крайната цел е да се смекчат атаките, като се разбере как действат участниците в заплахата.

Защо разузнаването за заплахи е важно? Както всички форми на разузнаване, CTI осигурява добавена стойност към киберсигурността. Той укрепва способността на организацията да минимизира киберриска, да управлява заплахите и да връща разузнавателна информация обратно във всички продукти, които защитават от атаки.

Как работи разузнаването за заплахи?

Освен идентифициране на уязвимости в софтуера и хардуера, докладът включва индикатори за тактики, техники и процедури (TTP – tactics, techniques and procedures). Традиционно част от военния жаргон, TTP са ключова концепция в киберсигурността и описват как атакуващите организират, изпълняват и управляват оперативни атаки.

„Тактиките“ определят каква е целта на кибератака и общите стратегии, използвани за получаване на достъп до системите и информацията на организацията (напр. социално инженерство или физическо проникване); „техники“ обяснява как се провежда кибератаката (напр. фишинг потребители чрез прикачени файлове към имейл); и „процедурите“ са стъпка по стъпка описание на атаката и често най-добрият начин за изграждане на профил на нападател. Това може да включва сканиране на уебсайт за уязвимости, писане на SQL заявка, която включва злонамерен код, след което изпращането й в незащитен уеб формуляр, за да се получи контрол над сървъра.

Разузнаване за кибер заплахи – кому е необходимо?

Краткият отговор е за всички. Разузнаването за киберзаплахите е за всеки, който се интересува от инфраструктурата за киберсигурност на дадена организация. Въпреки че CTI може да бъде пригоден да отговаря на всяка аудитория, в повечето случаи екипите за разузнаване за заплахи работят в тясно сътрудничество с Оперативния център за сигурност (SOC), който наблюдава и защитава бизнеса ежедневно. Изследванията показват, че CTI се оказа полезен за хора на всички нива на управление (национално, регионално или местно), от служители по сигурността, полицейски началници и политици, до специалисти по информационни технологии и служители на правоприлагащите органи. Освен това предоставя стойност на много други професионалисти, като ИТ мениджъри, счетоводители и криминални анализатори.

Жизнен цикъл на разузнаването за заплахи

Създаването на информация за кибер заплахи е кръгов процес, известен като „цикъл на разузнаване“. Този цикъл се състои от пет етапа: планиране, изпълнение, оценяване на събираните данни, анализиране, за да се получи разузнавателна информация, която по-късно се разпространява и преоценява спрямо нова информация и обратна връзка от потребителите. Цикличността на процеса означава, че се идентифицират пропуски в предоставената разузнавателна информация, инициирайки нови изисквания за събиране и стартирайки цикъла на разузнаване отначало.

Три вида разузнаване за заплахи

Най-общо казано, разузнаването е разделено на три области, за да отговаря на широкия диапазон от разузнавателни нужди на организациите. Те могат да варират от информация на ниско ниво за варианти на злонамерен софтуер, използвани в кампании за атака, до информация на високо ниво, предназначена да информира стратегически инвестиции и създаване на политика. Чрез изучаване на тези нужди често е възможно да се направят информирани стратегически, оперативни и тактически оценки.

• Стратегическо разузнаване: Този тип разузнаване за заплахите има за цел да предостави широка картина за това как заплахите и тактиките (включително участници, инструменти и TTP) се променят с течение на времето. Генериран при поискване като отчет, този изглед от птичи поглед на пейзажа на заплахите помага на вземащите решения да вземат решения на високо ниво в реално време.
• Оперативно разузнаване: Този тип разузнаване за заплахите е фокусирано върху разбирането на противопоставящите се способности, инфраструктура и TTP и след това използването на това разбиране за провеждане на по-насочени и приоритетни операции за киберсигурност. Това не може да се направи само от машини и е необходим човешки анализ, за ​​да се преобразуват данните в смилаем формат.
• Тактическо разузнаване: Този тип разузнаване на заплахите е свързано с разбирането на тенденциите на високо ниво и съперническите мотиви и след това използването на тази информация за ангажиране в стратегическа сигурност и вземане на бизнес решения. Той предлага поддръжка на операции на тактическо ниво и събирането му почти винаги може да бъде автоматизирано.

Тези три типа разузнавания за заплахите (стратегическо, оперативно и тактическо) са в челните редици на ревизирания ISO/IEC27002 с оглед да помогнат на организациите да събират и анализират „информация, свързана със заплахи за информационната сигурност“. Добавянето на този механизъм за контрол е изключително важно. Той не само стандартизира необходимостта от разузнаване за заплахи, но и помага на организациите да планират своите стратегии за сигурност. Резултатът е разузнаване, което е „уместно“, „проницателно“, „контекстуално“ и „възможно за действие“ в целия периметър на сигурността на организацията.

Интегрирана интелигентност за организациите

Доброто решение за разузнаване помага на организациите лесно да използват информацията, да предприемат действия и да увеличат максимално въздействието на своите инвестиции в разузнаване. Задачата на усъвършенстваната платформа за разузнаване за заплахи – или накратко TIP – е да автоматизира процеса на разследване за заплахи, да предостави приложима информация и да осигури по-задълбочена видимост в глобалния пейзаж на заплахите. Въоръжен с това ниво на автоматизация, вашият екип по киберсигурност може да започне да анализира заплахите, които са най-подходящи за вашата организация.

За оптимални резултати изберете платформа за разузнаване на заплахи със следните характеристики:

• Корелация на данни от множество източници, т.е. способността да се агрегират вътрешни и външни източници на данни, за да се осигури на организацията цялостна видимост за киберзаплахите.
• Автоматизиран анализ и сортиране, което избягва риска да се наложи да се борите с поток от излишни и нискокачествени данни.
• Функция за споделяне на данни, която автоматично разпространява данни в системата за сигурност на организацията.
• Автоматизация, използвана за ускоряване на анализа и използването на информация за заплахи.
• Действителни прозрения, за да дадат практически съвети за това как организациите могат да се защитят срещу заплахите.

Разузнаване за заплахи – какво следва?

Всеки ден екипите за киберсигурност се сблъскват с огромни количества информация относно потенциални заплахи. С непрекъснато предаване на данни от уебсайтове, приложения, бек-офис системи, потребителски акаунти и много повече входни точки или точки за достъп, боравенето с информация за заплахи се превръща в огромно предизвикателство. За ефективното ориентиране в този поток от информация, е необходимо сложно и интегрирано решение за пресяване на шума, разпознаване на модели и предвиждане на нововъзникващите тенденции.

Стабилната платформа за разузнаване на заплахи не само рационализира процеса, но също така позволява на екипите непрекъснато да преоценяват своите приоритети в рамките на своя специфичен контекст, така че да могат бързо да адаптират своите стратегии за защита. Инвестирането в цялостни мерки за сигурност на цифровите активи има многобройни предимства, от спестяване на разходи, свързани с аутсорсинг на ИТ персонал до подобрени възможности за реакция при инциденти – и спокойствието, което носи, е безценно!

Източник на информацията: iso.org

Изменението на климата се отнася до дългосрочната трансформация на климатичните условия на Земята. Феноменът се дължи на редица природни и човешки фактори. Представете си Земята като гигантска оранжерия. Обикновено слънчевата топлина идва и поддържа нещата достатъчно топли, за да живеем удобно. Но когато изгаряме изкопаеми горива като въглища, нефт и газ за енергия, освобождаваме допълнителни газове във въздуха. Тези газове улавят повече топлина, правейки нашата „оранжерия“ по-топла, отколкото би трябвало да бъде. Това води до топене на ледниците, покачване на морското равнище и метеорологични явления като урагани и суши, които стават все по-екстремни и чести.

Растежът и просперитетът на бизнеса и организациите по света не трябва да стават за сметка на околната среда. Въпреки че предизвикателството може да изглежда непосилно, има път към устойчиво бъдеще. Тук обясняваме някои ключови термини, свързани с изменението на климата, като парникови газове и „net zero“, и също така разкриваме някои от инструментите, които организациите могат да приемат за справяне с изменението на климата и насърчаване на развитието по интегриран и балансиран начин.

Какво представлява парниковият ефект?

Изменението на климата до голяма степен се причинява от процес, наречен парников ефект. Когато слънчевата енергия достигне Земята, част от нея се отразява обратно в космоса, докато останалата част се абсорбира и преизлъчва от парникови газове. Тези газове включват водна пара, въглероден диоксид, метан, азотен оксид и други газове, естествено присъстващи в атмосферата. Мислете за това като за одеяло. Точно както одеялото ви топли, като улавя телесната топлина, парниковите газове поддържат Земята топла, като улавят топлината от слънцето. Тази топлина помага да се поддържа средната температура на Земята, което я прави гостоприемна за живота, какъвто го познаваме.

През последните години обаче човешките дейности, особено изгарянето на изкопаеми горива и обезлесяването, увеличиха концентрациите на тези парникови газове. Резултатът? Увеличаване на глобалните температури, което фундаментално променя климатичната система на планетата.

Какво е „net zero“?

Тъй като глобалните температури продължават да се повишават, естественото равновесие на Земята се нарушава. Освен ако не управляваме огромното количество емисии на парникови газове, няма да можем да предотвратим предстоящата климатична криза. Постигането на „net zero“ се отнася до поддържане на цялостен баланс между емитираните парникови газове и тези, отстранени от атмосферата. Това означава, че всички емисии трябва да бъдат напълно компенсирани или компенсирани чрез отстраняване на еквивалентно количество CO2 за даден период от време.

„Net zero“ е нашето най-мощно оръжие за борба с климатичната криза. Възприемането на преминаването към нулеви нетни емисии осигурява ползи за околната среда, както и икономически, социални и здравни предимства. Ето защо много държави, компании и организации понастоящем работят за постигане на амбициозни цели за нулева мрежа като част от съгласуваните международни усилия за борба с катастрофалните последици от изменението на климата.

Решения за здравословно бъдеще

Изменението на климата вече причинява смущения във всички аспекти на живота, включително критична инфраструктура като транспорт, комуникационни мрежи, енергийни и водни ресурси. Учените очакват, че тези промени ще доведат до по-чести огнища на болести, повишена смъртност и разселване на населението, което ще засегне особено най-уязвимите общности в света.

Спешно се нуждаем от новаторски стратегии за противодействие на най-лошите последици от изменението на климата. Възприемането на базирани на природата решения предлага холистичен подход за борба с изменението на климата, като същевременно поддържа природните ресурси на планетата за бъдещите поколения. Пренасянето на природата в градовете чрез засаждане на дървета, повторно въвеждане на видове в околната среда и възстановяване на крайбрежните екосистеми за смекчаване на ерозията са само няколко примера. Използването естествени екосистеми като гори, влажни зони и пасища, води до подобряване биоразнообразието, защитата на местообитанията и укрепването на устойчивостта срещу екстремни метеорологични явления.

Какво е финансиране на климата?

Човечеството предприема спешни действия за борба с изменението на климата и последиците от него. Но нашият ангажимент да действаме не е достатъчен – той трябва да бъде подкрепен с финансиране. Обратното изменение на климата изисква значителни икономически ресурси. Те са особено важни, за да се помогне на страните с по-слабо финансово оборудване да постигнат своите климатични цели, да плащат за смекчаване и адаптиране и да мобилизират повече финансиране за климата. Много развиващи се страни, които често са изправени пред тежестта на изменението на климата, нямат достатъчно финансова подкрепа, за да работят по устойчиви стратегии.

През 2015 г., на 21-вата конференция на ООН за изменението на климата (COP21), почти всички страни по света се ангажираха с Национално определени приноси (NDC) – план за действие в областта на климата за намаляване на емисиите и адаптиране към въздействията на климата. Беше решено развитите страни да осигурят финансови ресурси, за да помогнат на развиващите се страни да се адаптират към изменението на климата и постепенно да намалят емисиите си. Тази финансова подкрепа е от решаващо значение за извършване на необходимите промени в енергийните системи, инфраструктурата и индустриите, от които тези страни спешно се нуждаят, за да декарбонизират своите икономики и да се защитят от климатичните опасности.

И така, какво е финансиране на климата? Финансирането на климата е финансиране на местно, национално и транснационално ниво, което подкрепя дейности, необходими за борба с изменението на климата. Тези средства спонсорират широк набор от инициативи, включително както усилия за смекчаване (действия за намаляване на емисиите на парникови газове), така и стратегии за адаптиране (мерки за справяне с въздействието на изменението на климата). Целта е да се осигурят средства от различни източници, включително публични средства, частни инвестиции, международна помощ и иновативни финансови инструменти, за да се даде възможност на страните да преминат към нисковъглеродно и устойчиво бъдеще.

Какви са целите за устойчиво развитие?

Устойчивото развитие е акт на балансиране – става дума за намиране на начини хората да живеят щастлив, здравословен и проспериращ живот, без да вредят на планетата. Мислете за това като за пътуване, на което сме всички заедно, където всеки от нас има роля, за да се увери, че поддържаме света си здрав и процъфтяващ за години напред. По същество той подчертава, че растежът и развитието не трябва да компрометират здравето на нашата околна среда и че това трябва да бъде непрекъснат и приобщаващ процес.

За да помогне за постигането на това, Организацията на обединените нации очерта 17 цели за устойчиво развитие (ЦУР) като част от глобална програма за прекратяване на бедността, защита на планетата и осигуряване на просперитет за всички до 2030 г. Действията в областта на климата са признати за най-важната възможност за напредък целите на ООН и насочва усилията за глобално, регионално и национално развитие на страните по света. Въпреки предизвикателствата, много местни правителства са си поставили по-амбициозни цели от техните национални колеги и все по-голям брой градове повишават ангажимента си за постигане на ЦУР, като правят положителни, устойчиви промени за борба с климатичната криза на местно ниво.

Какво е ESG отчитане и защо има значение?

Конкретният начин за постигане на напредък към устойчивост и отговорни бизнес практики е чрез ESG докладване. Това е процесът, чрез който компаниите разкриват информация за своите операции във връзка с екологични, социални и управленски съображения (ESG). Тези отчети обикновено описват подробно инициативите на компанията, свързани с намаляване на въглеродните емисии, насърчаване на многообразието и приобщаване, осигуряване на етични бизнес практики и справяне с други проблеми, свързани с устойчивостта.

Отчитането на ESG е начин за фирмите да измерват и съобщават как техните ESG инициативи се подреждат спрямо показателите и целите на индустрията. Този тип отчитане предоставя на заинтересованите страни, като инвеститори и клиенти, ценна информация, която може да повлияе на вземането на решения и да подчертае потенциални възможности и рискове, които могат да повлияят на стойността на компанията.

Основи на системата за управление на околната среда

В днешната бързо развиваща се бизнес среда устойчивостта е стратегически императив. Влезте в системата за управление на околната среда (EMS), мощен инструмент, който революционизира начина, по който организациите се справят с екологичните предизвикателства. EMS е по същество набор от правила и инструменти, които помагат на компанията да следи и намалява отрицателните ефекти, които нейните дейности могат да имат върху околната среда – като емисии, отпадъци, потребление на ресурси и въздействия върху биоразнообразието.

Но EMS е нещо повече от документация. Става въпрос за насърчаване на култура на управление на околната среда в организацията. Чрез установяване на ясни роли и отговорности, насърчаване на ангажираността на служителите и предоставяне на обучение за най-добри екологични практики, EMS дава възможност на служителите на всички нива да допринесат за усилията за устойчивост. Той също така помага на компаниите да останат в съответствие с екологичните разпоредби и стандарти, като намалява риска от глоби или правни проблеми, като същевременно подобрява репутацията им на отговорни корпоративни граждани.

ISO 14001 е златният стандарт за управление на околната среда, който помага на организациите да бъдат по-отговорни към околната среда и да изпълняват законовите си задължения. С предимства, вариращи от спестяване на разходи до подобрено обществено възприятие и намалени задължения, този международен стандарт може да помогне за прекрояване на наръчника за устойчиво развитие за предприятията по целия свят.

ISO стандарти и изменението на климата

Справянето с изменението на климата е многостранно предизвикателство и стандартите на ISO могат да играят ключова роля при оформянето на глобалния отговор. Предлагайки цялостна рамка, те дават възможност на организациите ефективно да измерват, управляват и докладват въздействието си върху околната среда, улеснявайки прехода към по-устойчиво бъдеще.

• IWA 42:2022 Насоки за Net Zero
• ISO 14064-1:2018 Парникови газове
• ISO 14090:2019 Адаптиране към изменението на климата

От ISO 14001 за управление на околната среда до ISO 50001 за управление на енергията, международните стандарти предлагат практически насоки и най-добри практики за справяне с рисковете, свързани с климата, и насърчаване на устойчивото развитие. Като се придържат към стандартите на ISO, организациите могат да подобрят своята екологична ефективност, да намалят въглеродните емисии и да допринесат за глобалните усилия за борба с изменението на климата.

Приемането на стандартите ISO е значителна стъпка към устойчиви бизнес практики – особено след като всички стандарти за системи за управление вече включват съображения за изменение на климата. Това отразява колективен ангажимент за по-устойчив и издръжлив свят, където икономическият растеж е балансиран с грижата за околната среда. Изменението на климата е безпрецедентно предизвикателство в човешката история и само като работим заедно можем колективно да гарантираме, че са предприети необходимите действия за устойчиво бъдеще.

Източник на информацията: iso.org

Източник на изображението

Организациите зависят от различни системи, приложения и устройства, за да изпълняват своите операции, а потребителите се нуждаят от достъп до тези ресурси, за да вършат работата си ефективно. Управлението на това може да бъде предизвикателство, особено в големи корпорации със стотици или хиляди потребители, изискващи персонализиран достъп. Управлението на идентичността и достъпа добавя ниво на сигурност чрез проследяване, управление и защита на самоличността на лицата и свързаните с тях данни. Той помага да се следи кой кой е, така че хората да имат достъп до информацията, която имат право да виждат, и да извършват транзакциите, които им е разрешено да правят.

Какво е управление на идентичността?

Управлението на идентичността е процес на централизирано управление на идентичността на потребителите и техните права за достъп. Просто казано, вашата онлайн идентичност е профилът, който идентифицира кой сте, когато използвате мрежа, докато вашият достъп се отнася до това какви разрешения имате, след като сте влезли. Заедно те формират важна част от начина, по който взаимодействате с технологиите – това е как системите разбират, че наистина вие се опитвате да влезете вместо някой друг.

Общи характеристики на управлението на идентичността

На пазара съществуват много различни форми на софтуер за управление на идентичността и няма официална дефиниция какво трябва и какво не трябва да включват. Въпреки това се открояват няколко основни характеристики:

• Single sign-on (SSO) – Единично влизане: Това е, когато потребителите имат достъп до множество приложения и услуги от едно място, като избягват необходимостта от различни потребителски имена и пароли
• Two-factor authentication – Двуфакторно удостоверяване: Това включва проверка на идентичността на някого не само с неговото потребителско име и парола, но и с друга част от информацията като ПИН, токен или др.

Други характеристики на управлението на идентичността може да включват автоматично предоставяне на потребителски акаунти, управление на пароли, работен процес и услуги за съответствие и одит. През последните години се появи ново поколение технологии за управление на идентичността, които се фокусират върху лекотата на използване в допълнение към сигурността. Някои примери са биометрично удостоверяване (като пръстови отпечатъци или лицево разпознаване), многофакторно удостоверяване (изискващо няколко фактора за проверка) и обединяване на идентичността, при което отговорността за удостоверяването на физическо лице или юридическо лице се делегира на доверена външна страна. SSO е важен аспект от управлението на обединени идентификатори.

Тези ключови характеристики на управлението на самоличността се споделят от почти всички днешни системи за управление на идентичността (IMS). IMS е онлайн платформа, която помага на организациите да управляват набор от идентичности по сигурен и ефективен начин. Той се интегрира с различни други системи в организацията, като системи за човешки ресурси, платформи за електронна търговия и счетоводен софтуер.

Как работи управлението на идентичността?

Най-общо казано, системите за управление на идентичността изпълняват три основни задачи: идентификация, удостоверяване и оторизация. Това дава възможност на правилните хора, в зависимост от техните работни функции, да имат достъп до инструментите, от които се нуждаят, за да изпълняват възложените им задължения – без да им се предоставя достъп до тези, от които не се нуждаят.

Идентичност и достъп – каква е разликата? Термините „управление на идентичността“ и „управление на достъпа“ често се използват взаимозаменяемо, но те са две различни понятия. Основната разлика е, че управлението на идентичността се занимава с потребителски акаунти (удостоверяване), докато управлението на достъпа се занимава с разрешения и привилегии (упълномощаване). Например, когато потребител въведе своите идентификационни данни за вход, неговата самоличност се проверява в база данни, за да се провери дали въведените идентификационни данни съвпадат с тези, съхранени в базата данни – това е удостоверяване. След като самоличността на потребителя бъде установена, той получава достъп до ресурсите, за които акаунтът му е изчистен – това е оторизация.

Управление на идентичността: какво печелите от това?

Системата за управление на идентичността е ценен инструмент за защита на информацията и ресурсите на организации от всякакъв размер. Системата позволява сигурно съхранение на потребителски данни и управление на привилегиите за потребителски достъп, осигурявайки сигурен и надежден начин за поддържане работните процеси.

Ползите от управлението на самоличността включват следното:

• Повишена сигурност: IMS помага да защитите вашата организация от неоторизиран достъп и кражба на потребителски данни
• Подобрена ефективност: С IMS можете ефективно да управлявате процедурите за влизане на потребителите и да проследявате активността на потребителите в множество платформи, като използвате един набор от идентификационни данни;
• Намалено време/цена за обработка: Автоматизираните работни процеси на IMS ви позволяват лесно да управлявате и администрирате потребителски акаунти, спестявайки време и пари за административни задачи;
• Подобрено съответствие: С IMS можете лесно да осигурите съответствие с разпоредбите и стандартите, като GDPR и HIPAA (вижте по-долу).

Внедряване на система за управление на идентичността

Внедряването на добро решение за управление на идентичността не гарантира пълна сигурност, но приемането на следните принципи може да направи системите по-малко уязвими за пробиви и атаки от злонамерени участници. Ето няколко съвета, които да вземете предвид:

1. Приложете строги методи за удостоверяване (като многофакторно удостоверяване), за да намалите риска от неоторизиран достъп.
2. Редовно преглеждайте правата за контрол на достъпа, за да сте сигурни, че само оторизирани потребители имат достъп до чувствителна информация и ресурси.
3. Наблюдавайте и проверявайте достъпа до чувствителна информация и ресурси, за да откриете и предотвратите неоторизиран достъп.
4. Често актуализирайте потребителските акаунти, за да сте сигурни, че остават подходящи и точни.
5. Внедрете решение за управление на пароли, за да намалите риска от инциденти със сигурността, свързани с паролата, като повторно използване на парола или кражба на парола.

Съответствие с приложими изисквания

Ако процесите за управление на идентичността и достъпа не се контролират ефективно, може да се стигне до нарушение на индустриалните стандарти или правителствени разпоредби. Светът се движи към по-строги разпоредби и прилагане на стандарти за управление на идентичността – като европейския GDPR (който изисква изрично съгласие от потребителите за събиране на данни) и NIST 800-63 Насоки за цифрова идентичност в САЩ (пътна карта за най-добрите практики на IAM – Identity and Access Management). Съществуват няколко протокола за поддържане на силни IAM политики чрез защита на данните и гарантиране на тяхната цялост по време на трансфер. Обикновено известни като „“Authentication, Authorization, Accounting”/“Удостоверяване, оторизация, отчитане“/ или AAA, тези протоколи за управление на идентичността и достъпа осигуряват стандарти за сигурност за опростяване на управлението на достъпа, подпомагане на съответствието и създаване на единна система за управление на взаимодействията между потребители и системи.

Въпреки че съответствието с ISO не е законово изискване, стандартите на ISO естествено се привеждат в съответствие с разпоредбите на различни сектори. Така че спазването на ISO/IEC 27001 за информационна сигурност може да попречи на вашата организация да изпадне в правни проблеми по отношение на ключови аспекти на управлението на идентичността.

Разширено управление на идентичността

Комплексните изисквания за съответствие и сигурност поставят под натиск организациите повече от всякога да защитят информацията си и предизвикват появата на  конвенционални начини за управление на идентичността на потребителите. Преди половин десетилетие паролите бяха толкова близо до дигиталната идентичност. Но съвременните подходи за удостоверяване изискват нещо повече от парола. Широкото възприемане на облачните изчисления, чиято мащабируемост и гъвкавост го правят привлекателно предложение за повечето организации, постави ново ниво на информационната сигурност.

Днес влизанията без парола, използващи биометрични данни или многофакторно удостоверяване, предоставят алтернатива на традиционното удостоверяване – но това не е достатъчно. Когато става въпрос за защита на данни в мулти-облачни среди, ИТ специалистите разглеждат криптирането като критичен контрол на сигурността. Съхраняването на идентичности в блокчейн (blockchain) се появи като решение, което може да осигури неизменни записи на дадена система без централизиран орган за управлението им. Докато обмисляме нашето бъдеще за IAM, може да не мине много преди базираните на блокчейн системи за идентичност да се превърнат в норма за запазване на данните на потребителя в безопасност и сигурност.

Източник на информацията: iso.org

Източник на изображението

Доверието обаче никога не е даденост. Подобно на уважението, то трябва да бъде спечелено и в непрекъснато развиваващата се бизнес среда то се печели чрез ангажимент за последователност, надеждност и управление на качеството. През всяка стъпка от процеса – независимо дали като част от производството, доставката или потреблението на стоки и услуги – просто няма доверие без гаранция за качество.

Глобалните пазари и очакванията на потребителите се развиват бързо. В този бързо променящ се свят не винаги е лесно да остане над повърхността. Как организациите могат да оптимизират осигуряването на качество в нашия несигурен и все по-взаимосвързан свят?

Какво е осигуряване на качеството?

Има ли определение за осигуряване на качество? По същество това е ясна и кратка рамка, която обхваща всеки елемент от операциите на една организация, не на последно място управлението на качеството, което играе важна роля в насърчаването на култура на постоянно, непрекъснато подобрение. Екипът по осигуряване на качество участва във всички етапи на разработката: производство, тестване, опаковане и доставка.

Основната цел на екипа по качество е да се намали рискът от дефекти – и което е важно, да се поправят грешките възможно най-рано във веригата на стойността. Това намалява броя на дефектите, които се разкриват на етапа на окончателната проверка, когато коригирането става трудно и скъпо. Колкото по-нагоре се идентифицира и коригира дефектен елемент, благодарение на стриктно управлявана система за осигуряване на качеството, толкова по-малко време и енергия се губят, намалявайки разходите и запазвайки репутацията на марката.

На практика това означава въвеждане както на технически, така и на управленски процеси, за да се наблюдава ефективно и подобрява качеството на продукта или услугата. Системата за осигуряване на качеството гарантира, че тези процеси се изпълняват, включително тестване на продукти, анкети на служители или оценки на безопасността на оборудването. Веднъж приложени, всички тези елементи ще бъдат насочени към поддържане и подобряване на стандартите за качество на организацията. Осигуряването на качество също така гарантира съответствие с индустриалните стандарти и разпоредби, дава на организациите конкурентно предимство и пряко допринася за по-висока рентабилност.

Малко история

Концепцията за качество е била неразделна част от човешката цивилизация от хилядолетия, но за да разберем как са възникнали тези съвременни концепции за качество, е полезно да проучим тяхната еволюция във времето:

• Древни цивилизации и средновековни гилдии. В Древна Гърция и Египет са определени подробни стандарти за строителството и майсторството. Този акцент върху качеството продължава през Средновековието със създаването на гилдии, които регулират стандартите в занаятите. Майсторите на гилдията са инспектирали стоките и са изисквали от занаятчиите да произвеждат висококачествени „шедьоври“, гарантирайки последователно майсторство.
• Индустриална революция. Възходът на фабричното производство бележи преминаването от квалифицирано, проверено майсторство към стандартизирани методи. Принципите на Фредерик Уинслоу Тейлър за научно управление въвеждат практики, фокусирани върху ефективността, включително формално обучение и строга документация, които полагат основите за модерно осигуряване на качеството.
• 1930-те и 1940-те години. В Bell Labs американският физик, инженер и статистик Уолтър Шухарт усъвършенства практиките за качество, като предлага цикъла Планиране-Изпълнение-Проверка-Действие (PDCA). Неговата работа въвежда итеративни цикли за подобряване на качеството и решаване на проблеми, които са станали основни за съвременния контрол на качеството. Надграждайки това, Уилям Едуардс Деминг, известен статистик и експерт по управление на качеството, прилага модела PDCA в Япония след Втората световна война, повишавайки значително ефективността на производството и качеството на продукта. Приносът на Деминг за осигуряване на качеството е основополагащ при оформянето на съвременни практики за управление на качеството, подчертавайки необходимостта от непрекъснато подобрение, систематични подходи и дълбоко разбиране както на процесите, така и на хората.

Най-добри практики за осигуряване на качество

Осигуряването на качеството запазва своята магия, когато се прилага в съответствие с поредица от най-добри практики, включително:

• Силен лидерски ангажимент и подкрепа
• Подробно планиране на качеството в дизайна на продукта и разработването на процеси
• Цялостно обучение по принципите и процедурите за качество
• Строга документация и контрол на процеса
• Разширено сътрудничество и комуникация между екипите
• Текущи одити и оценка на риска
• Използване на инструменти за статистически контрол на качеството
• Валидиране на коригиращи действия
• Непрекъснато измерване и анализ на данните за качеството
• Признаване и възпроизвеждане на най-добрите практики

Строгото придържане към най-добрите практики гарантира интегрирането на качеството във всяка стъпка от веригата на стойността, от научноизследователска и развойна дейност до доставки, производство до дистрибуция – и чак до следпродажбените услуги.

Осигуряване на качеството в действие: пример

Осигуряване на качество(QA) може да се отнася до широк набор от действия, от одит на доставчици до тестване и усъвършенстване на производствените процеси. Нека да разгледаме хипотетичен сценарий, при който стабилните процеси за осигуряване на качеството могат да помогнат на бизнеса да идентифицира и разреши проблемите бързо, запазвайки както качеството на продукта, така и доверието на клиентите.

Проблем: XYZ Electronics, компания, която произвежда и продава безжични слушалки, забелязва значителен скок във връщанията на продукти през първите три месеца от продажбата. В повечето случаи това се дължи на проблеми с батерията: или слушалките не се зареждат правилно, или не успяват да задържат заряда след кратък период от време.

Действие: QA екипът провежда разследване, за да идентифицира основната причина за проблема. Те извършват серия от тестове на върнатите продукти и откриват, че батериите в тези устройства се разреждат по-бързо от очакваното. Допълнителен анализ разкрива, че проблемът е започнал, след като компанията е преминала към нов доставчик на батерии, за да намали разходите.

Решение: QA екипът незабавно информира висшето ръководство за проблема и препоръчва спиране на покупките от новия доставчик. За да предотвратят бъдещи проблеми, те въвеждат нова политика за осигуряване на качеството, която изисква цялостен тест на жизнения цикъл за всички критични компоненти преди одобрение. Компанията се връща към първоначалния доставчик на батерии и подобрява своите входящи проверки на качеството. Освен това се създава многофункционален екип, който да наблюдава ефективността на новите компоненти през първите шест месеца след всяка промяна.

Методи за осигуряване на качеството

QA обикновено използва един или повече от следните методи за управление и подобряване на качеството:

• Тестването на материала включва подлагане на продукт на различни условия, за да се идентифицират неговите точки на счупване или потенциални области на повреда. За физически продукти това може да включва тестове при екстремни условия като топлина, налягане или многократна употреба за измерване на издръжливостта. При разработката на софтуер това може да включва тестване на стрес или натоварване, при което софтуерът трябва да обработва максимални потребители или обеми от данни.
• Тестването на производителността се използва за симулиране на сценарии от реалния свят, за да се оцени ефективността и надеждността на продукт, компонент или система при определени условия. Това гарантира, че отговаря на предварително зададени критерии за ефективност като скорост, стабилност, издръжливост или капацитет.
• Статистическият контрол на процеса (SPC) е метод, управляван от данни, който използва статистически техники като контролни диаграми за наблюдение и контрол на производствените процеси. SPC помага на компаниите да открият вариации, които биха могли да доведат до дефекти, като анализира данните, събрани по време на производството. Това позволява ранно идентифициране на тенденции и потенциални проблеми, позволявайки коригиращи действия, преди да възникнат дефекти.
• Цялостното управление на качеството (TQM) е подход за цялата организация, фокусиран върху непрекъснатото подобряване и удовлетвореността на клиентите. TQM интегрира осигуряването на качеството във всеки аспект от дейността на компанията, като насърчава всички служители да поемат отговорност за качеството и постоянно да търсят начини за подобряване на процесите, намаляване на отпадъците и подобряване на качеството на продуктите.
  Тези методи за осигуряване на качеството гарантират, че продуктите отговарят на високи стандарти за производителност, издръжливост и надеждност във всички индустрии. Чрез прилагането на тези техники компаниите могат проактивно да отстранят потенциални проблеми, да стимулират непрекъснато подобрение и да повишат удовлетвореността на клиентите.

Създаване на план за осигуряване на качество в шест ключови стъпки

Стабилният план изисква внимателно планиране, проектиране и добре изпълнено внедряване. Въпреки че следващите стъпки може да изглеждат плашещи на пръв поглед, организациите обикновено откриват, че те бързо стават част от тяхната оперативна структура:

1. Изострете фокуса си: Извършете оценки на риска, за да идентифицирате области, които биха се възползвали от фокуса върху QA и разработете процедури, които са в съответствие с бизнес процесите.
2. Определете цели за качество: Ясните и измерими цели, показатели и цели за ефективност ще направят плана много по-лесен за изпълнение.
3. Роли и отговорности: Обучението на персонала за откриване и отстраняване на проблеми в ранните етапи на разработване на продукта е от решаващо значение. Това зависи от наличието на лесно смилаеми процеси и правила, които ясно описват възраженията и очакванията на ежедневния език на организацията.
4. Анализирайте резултатите: След внедряването е време да съберете качествени данни. Това ще подпомогне стратегическия анализ, действията и прегледа на ключови показатели за ефективност.
5. Направете корекции: След преглед и отразяване на обратната връзка, следващата стъпка е да преразгледате първоначалните цели, като направите съгласувани корекции. Това трябва да бъде последвано от редовен одит на всеки два до три месеца – или на по-кратки интервали, ако е необходимо.
6. Празнувайте успехите на QA: Ако планът за QA е повишил крайните цели, нивата на продажби или удовлетвореността на клиентите, уведомете екипите. Положителната обратна връзка повишава мотивацията на служителите. Това ще насърчи персонала да разшири знанията си за процеса и ще допринесе за култура на оперативно съвършенство.

Каква е разликата между осигуряване на качеството и контрол на качеството?

Разгледахме какво включва осигуряването на качество, но какво е контролът на качеството? Термините осигуряване на качеството и контрол на качеството понякога се използват взаимозаменяемо, но представляват различни концепции. Ето основните разлики между осигуряването на качеството и контрола на качеството:

• Осигуряването на качеството задава въпросът: „Правилно ли извършваме процеса и предотвратяваме ли дефекти?“ Отнася се за превантивни дейности за проектиране, документиране и изграждане на качество в процесите.
• Контролът на качеството задава въпросът: „Произвеждаме ли правилния продукт и отговаряме ли на спецификациите?“ Това включва повече „детективска“ работа, като провеждане на тестване и проверка за идентифициране на дефекти и коригирането им.

По същество осигуряването на качеството предоставя системата за осъществяване на дейностите по контрол на качеството. Една ефективна система за качество интегрира както гаранция, така и контрол, за да доставя продукти и услуги, които последователно отговарят на изискванията.

По подобен начин има важни разлики между осигуряването на качеството и управлението на качеството. При осигуряването на качеството се анализират само потенциално отрицателни влияния върху качеството на крайния продукт и след това в най-добрия случай те се елиминират. За разлика от това, управлението на качеството се фокусира положително върху качеството на продукта. Това е непрекъснатото търсене на все по-добро и по-добро. С други думи, управлението на качеството установява политики и цели, които подобряват ефективността на организацията.

И така, докато управлението на качеството осигурява всеобхватната стратегия, осигуряването на качеството внедрява практики и процеси за прилагане на тази стратегия. Заедно тези координирани дейности се фокусират върху насочването и контролирането на търсеното качество.

Стандарти за качество

Системата за осигуряване на качеството подчертава доверието в организацията, като същевременно подобрява работните процеси и ефективността. ISO е движеща сила зад практиките за осигуряване на качество и картографирането на процесите, използвани за прилагане на QA.

Осигуряването на качество често се свързва с фамилията стандарти ISO 9000. Много компании използват ISO 9001, за да гарантират, че тяхната система за осигуряване на качеството е въведена и ефективна. Насоките на ISO 9001 включват силен фокус върху клиента, практики на най-високо управление и как да бъдете в крак с непрекъснатото подобрение. Той също така съдържа практическа информация за вземане на решения, базирани на риска.

Осигуряване на качество: захранване на успеха

В днешните силно конкурентни световни пазари организациите, които правят разумни инвестиции в QA, жънат ползите. Те смекчават рисковете, проактивно намаляват шансовете за дефекти, изпълняват постоянен стандарт за качество, изграждат доверие сред клиентите, укрепват позицията си в индустрията и се отличават с ключови бизнес показатели. Накратко, те въплъщават отличителните белези на надеждна организация, в която клиентите и заинтересованите страни могат да повярват.

Източник на информацията: iso.org

Как криптографията пази комуникацията в тайна и в безопасност?

Криптографският процес на кодиране на текст от четлива форма до неразбираема форма – известен като шифрован текст – се нарича криптиране. Изпращането на тайни или лични съобщения като шифрован текст е типично използване на криптографията. След като шифрованият текст бъде получен, той се дешифрира от упълномощения получател обратно в неговата четима форма. Дешифрирането (или декриптирането) се извършва с помощта на ключ за криптиране, който служи за предотвратяване на четенето на тези съобщения от трети страни.

Методите за криптиране са били използвани от много цивилизации през цялата история, за да попречат на неоторизирани лица да разберат съобщенията. На Юлий Цезар се приписва една от най-ранните форми на шифър – „Шифърът на Цезар“ – за предаване на съобщения на неговите генерали. С нарастваща сложност, криптографията сега играе жизненоважна роля за гарантиране на поверителността и целостта на данните, и удостоверяването в компютърните системи и мрежи. В днешния свят, където по-голямата част от нашите лични и професионални комуникации и транзакции се извършват онлайн, криптографията е по-важна от всякога.

Видове криптографски системи

Криптографията се отнася до техниките и алгоритмите, които се използват днес за сигурна комуникация и съхранение на данни. Те включват математика, компютърни науки, електроника и цифрова обработка на сигнали. Най-общо казано, съществуват четири типа криптографски системи:

• Криптография със симетричен ключ (или „таен ключ“): В този тип система и изпращачът, и получателят споделят един и същ ключ, който се използва за криптиране и дешифриране на съобщението.
• Криптография с асиметричен ключ (или „публичен ключ“): В този тип криптографска система има два ключа – един публичен и един частен; те образуват двойка и са свързани математически. За да приложи асиметрична криптография, изпращачът използва публичния ключ на предвидения получател, за да кодира съобщението и след това го изпраща. Когато съобщението пристигне, само частният ключ на получателя може да се използва за декодирането му, което означава, че откраднато съобщението не е от полза за крадеца без съответния частен ключ. Механизмите за криптиране са във фокуса на ISO/IEC18033, който определя редица асиметрични шифри.
• Управление на криптографски ключове: Този тип система е от решаващо значение за защитата на ключовете, използвани както в симетричната, така и в асиметричната криптография. Той включва набор от процеси, обхващащи целия „жизнен цикъл“ на ключ, включително неговото генериране, обмен и разпространение, съхранение, използване, безопасно унищожаване и подмяна. Ако управлението на ключовете е слабо, тогава защитата на криптираните данни е слаба. Съществуват редица международни стандарти, свързани с управлението на ключове (напр. ISO/IEC 11770) и генерирането на ключове (напр. ISO/IEC18031 и ISO/IEC18032).
• Криптографска хеш функция: Това е техника, която преобразува низ от данни с произволна дължина в хеширан изход (обобщение на входа) с фиксирана дължина. Хеш функциите имат много приложения, като например в цифрови подписи, MAC (кодове за удостоверяване на съобщения) и контролни суми (за проверка на повредени данни). Международните стандарти, които определят хеш функции, включват ISO/IEC 9797-2, ISO/IEC 9797-3 и ISO/IEC10118.

Принципи на информационна сигурност и използване на криптографията

Основните принципи на информационната сигурност са поверителността, целостта и достъпността. Криптографията е важен инструмент, който помага да се запазят два от тези принципи:

• Поверителността на данните гарантира, че данните не се разкриват на неоторизирани лица. Криптографски техники като криптиране могат да се използват за защита на поверителността на данните, като ги направят нечетими за тези, които нямат правилния ключ за дешифриране.
• Целостта на данните гарантира, че данните не са били модифицирани или повредени. Един пример за международни стандарти за интегритет на данните е ISO/IEC 9797, който определя алгоритми за изчисляване на кодове за удостоверяване на съобщения.

В допълнение към тези ключови цели за информационна сигурност, криптографията се използва за постигане на:

Удостоверяване на обекта
Чрез проверка на знанието за тайна, удостоверяването на обекта потвърждава самоличността на подателя. За постигането на това могат да се използват различни крипто-базирани механизми и протоколи, като симетрични системи, цифрови подписи, техники с нулево знание и контролни суми. ISO/IEC 9798 е серия от стандарти, които определят протоколи и техники за удостоверяване на обекти.

Цифрови подписи
Използвани за проверка на автентичността на данните, цифровите подписи потвърждават, че данните произхождат от подписващия и не са били променени. Те се използват например в имейл съобщения, електронни документи и онлайн плащания. Международните стандарти, които определят схеми за цифров подпис, включват ISO/IEC 9796, ISO/IEC 14888, ISO/IEC18370 и ISO/IEC 20008.

Без отказ
Криптографски техники като цифрови подписи могат да се използват за осигуряване на невъзможност за отказ, като се гарантира, че подателят и получателят на съобщението не могат да отрекат, че съответно са изпратили или получили съобщението. Стандартът ISO/IEC 13888 описва техники (симетрични и асиметрични) за предоставяне на услуги без отказ.

Лека криптография
Леката криптография се използва в приложения и технологии, които са ограничени в изчислителната сложност: ограничаващи фактори могат да бъдат памет, мощност и изчислителни ресурси. Нуждата от лека криптография се разширява в нашия модерен дигитален свят. Ограничените устройства – например IoT (Интернет на нещата) сензори или задвижващи механизми като тези, които включват уредите в така наречения интелигентен дом – използват лека симетрична криптография. ISO/IEC 29192 е стандарт от осем части, който определя различни криптографски техники за леки приложения.

Управление на цифрови права
Управлението на цифровите права (DRM) защитава авторските права на вашето цифрово съдържание. DRM използва криптографски софтуер, за да гарантира, че само оторизирани потребители могат да имат достъп до материала, да го променят или разпространяват.

Електронна търговия и онлайн пазаруване
Сигурната електронна търговия е възможна чрез използването на криптиране с асиметричен ключ. Криптографията играе важна роля в онлайн пазаруването, тъй като защитава информацията за кредитната карта и свързаните с нея лични данни, както и историята на покупките и транзакциите на клиентите.

Криптовалути и блокчейн
Криптовалутата е цифрова валута, която използва криптографски техники за осигуряване на транзакции. Всяка монета за криптовалута се валидира чрез технологии за разпределена книга (напр. блокчейн). Книгата в този случай е непрекъснато нарастващ списък от записи – известни като блокове – които са свързани заедно с помощта на криптография.

Какво представляват криптографските алгоритми?

Криптографският алгоритъм е базиран на математика процес за кодиране на текст и превръщането му в нечетим. Криптографските алгоритми се използват за осигуряване на поверителността на данните, целостта на данните и удостоверяване, както и за цифрови подписи и други цели на сигурността.
Както DES (Стандарт за криптиране на данни), така и AES (Стандарт за усъвършенствано криптиране) са популярни примери за алгоритми със симетричен ключ, докато видните алгоритми с асиметричен ключ включват RSA (Rivest-Shamir-Adleman) и ECC (криптография с елиптична крива). ECC е техника с асиметричен ключ, базирана на използването на елиптични криви, която има приложения например в криптиране и цифрови подписи. ECC технологията може да се използва за създаване на по-бързи, по-малки и по-ефективни криптографски ключове. Техниките на елиптичните криви са обхванати в стандарт ISO/IEC 15946.

Стандарти за криптография

Криптографията е била обект на интензивни усилия за стандартизация, довели до набор от международни стандарти, които капсулират знанията и най-добрите практики на водещи експерти в областта. Международно договорените начини на работа правят технологията по-сигурна и оперативно съвместима. Използвайки криптографски стандарти, разработчиците могат да разчитат на общи дефиниции, както и на доказани методи и техники.

Бъдещето на криптографията

Днес сме на ръба на квантова революция. Навлизането на квантовите компютри през следващите години ще предостави на човечеството мощности за обработка в мащаб, който традиционните компютри никога не могат да се надяват да достигнат. Въпреки, че това предлага безброй възможности за комплексно разрешаване на проблеми, то идва и със съответните заплахи за сигурността. Същата тази сила може да подкопае голяма част от днешната киберсигурност – включително установените криптографски практики.

Квантовата криптография е метод за криптиране, който прилага принципите на квантовата механика, за да осигури сигурна комуникация. Той използва квантово заплитане, за да генерира таен ключ за криптиране на съобщение на две отделни места, което прави (почти) невъзможно за подслушвател да го прихване, без да промени съдържанието му. Приветствана като следващата голяма революция в сигурните комуникационни системи, квантовата криптография има потенциала да бъде истински пробив за данни, които трябва да останат поверителни далеч в бъдещето.

Източник на информацията: iso.org

Описание

Разделянето на задълженията и областите на отговорност има за цел да раздели противоречивите задължения между различни лица, за да попречи на едно лице да изпълнява потенциално противоречиви задължения самостоятелно. Дейностите включват разбиване на ключови задачи на подзадачи и възлагането им на различни хора. Така се предотвратява възможността едно лице да извърши, прикрие и оправдае неправомерни действия, с което се намалява риска от измами, грешки и заобикаляне на механизмите за контрол. Освен това не позволява на едно лице да отмени приети механизми за контрол.

Ако един служител има всички права, необходими за конкретна задача, тогава съществува висок риск от измама или грешки, тъй като един човек може да направи всичко без никакви проверки и одобрения. Когато нито един служител няма всички права, тогава се намалява риска служителят да причини значителна вреда или загуби за организацията.

Атрибути

Този механизъм за контрол е превантивен, което означава, че той е предназначен да предотврати появата на инцидент, свързан с информационната сигурност. Освен това е насочен към запазването на трите характеристики на информацията – поверителност, цялостност, наличност.

Допълнителна информация

Организацията трябва да определи кои задължения и области на отговорност е необходимо да бъдат разделени. Примери за дейности, които подлежат на разделяне са:

• иницииране, одобряване и изпълнение на промяна;
• искане, одобряване и прилагане на права за достъп;
• проектиране, внедряване и преглед на код;
• разработване на софтуер и администриране на производствени системи;
• използване и администриране на приложения;
• използване на приложения и администриране на бази данни;
• проектиране, одитиране и осигуряване на контрол за сигурност на информацията.

При разделяне на отговорностите се препоръчва да се вземе предвид възможността за тайно споразумение.

Разделянето на отговорностите представлява сериозно предизвикателство за по-малките организации. Когато е трудно разделянето на определени отговорности, стандарт ISO/IEC 27002 препоръчва да се помисли за прилагането на алтернативни механизми за контрол като наблюдение на дейностите, провеждането на одити, надзор на управлението чрез които да се управлява риска.

Стандартът обръща внимание на проблемите при използване на системи за контрол на достъпа базирани на роли. В този случай е важно да се гарантира, че на лицата не се предоставят конфликтни роли. Когато има голям брой роли, организацията трябва да обмисли използването на автоматизирани инструменти за идентифициране на конфликти и улесняване на тяхното отстраняване. Ролите трябва да бъдат внимателно дефинирани и предоставени, за да се сведат до минимум проблемите с достъпа, ако дадена роля бъде премахната или променена.

Какво е интегрирана система за управление?

Все още не намирам точно определение на понятието „интегрирана система за управление“(ИСУ), но може да се каже, че ИСУ съчетава различни системи за управление (напр. качество, околна среда, здравословни и безопасни условия на труд, информационна сигурност, управление на енергия и др.) в единна цялостна и хармонизирана система за управление.

Как се интегрират системи за управление?

Няма документ(стандарт), който да определя как да се извърши интегрирането на системите. Това от една страна дава свобода на организациите да съчетаят системите според тяхното виждане, но от друга ги затруднява, защото им липсва рамката, по която да се водят.

Преди време интеграцията на системите за управление беше истинско предизвикателство. С появата на Annex SL(структура от високо ниво) възможността за интеграция на системите значително се улесни предвид единната структура, която имат всички стандарти за системи за управление след 2012г.

За да бъда по-конкретна, нека да вземем като пример интеграция на три системи – по качество(ISO 9001), по околна среда(ISO 14001) и здраве и безопасност при работа(ISO 45001).

Първа стъпка

Първата задача е да се направи анализ на възможностите за интегриране. За целта се сравняват изискванията на стандартите(ISO 9001, ISO 14001, ISO 45001) и се отбелязват общите им части. Повече информация за тази стъпка можете да разберете тук…

Втора стъпка

На базата на анализа от първата стъпка се преценява кои са областите, които могат да се интегрират като се вземат предвид процесите в организацията. Възможно е в организации с еднакъв предмет на дейност да има различни варианти на интегриране предвид конкретната ситуация. Случвало се е да виждам система по качеството отделно, а по околна среда и здраве и безопасност при работа интегрирани. Въпрос на решение на ръководството. Примерен вариант на интегрирана система за управление по качество, околна среда и здраве и безопасност при работа:

Цялият вариант можете да изтеглите от тук….

На базата на решението за интеграция се определя и как ще изглежда документацията на интегрираната система за управление. След 2015г., стандартите дават по-голяма свобода на организациите при създаване на техните системи. Въпреки това, трябва да се вземат предвид изискванията на всеки стандарт за налична документирана информация:

• каква документирана информация се изисква от ISO 9001:2015;
• каква документирана информация се изисква от ISO 14001:2015;
• каква документирана информация се изисква от ISO 45001:2018.

В зависимост от зрялостта на организацията, документацията може да лека и включваща само задължителната информация, но е възможно да се залитне в посока създаване на тромава, тежка и трудна за използване и поддържане документация. Другото предизвикателство пред организациите е на какъв носител ще са документите – електронен или на хартия. Първоначално решението за електронен вариант на документите изглежда примамливо, но впоследствие се оказва, че това не е толкова лесен за изпълнение вариант предвид утвърждаване, съхранение, достъп и т.н.

Трета стъпка

След като е ясно как ще се интегрира системата е необходимо да се разработят и внедрят съответните правила. Често срещана грешка на този етап е правилата да не се адаптират така, че да са валидни за трите системи. Например, правила за действия при несъответствия(т.10.2 от стандартите) – когато става въпрос за здраве и безопасност при работа трябва да се включи информация за инцидентите и специфичните действия, които следва да се предприемат при възникване на инцидент, т.е. не е възможно правилата по качество и околна среда автоматично да са приложими и за здраве и безопасност при работа. Всеки стандарт си има своите специфики и при създаване на интегрирана система за управление те трябва да се вземат предвид.

Заключение

Няма единен вариант за интегриране на системи за управление. За всяка организация се подхожда индивидуално от гледна точка на зрялост, ангажираност на ръководството, големина и предмет на дейност. Стремежът е интегриране на процесите в максимална степен, за да се избегне дублиране на дейностите, което от своя страна да доведе и до намаляване на разходите. Освен това, новите издания на стандартите изместват фокуса върху резултатността на системата, а не както преди към документацията на системата. Така, че нека стремежът да бъде в посока постигане на по-висока резултатност и ефективност по отношение на качество, околна среда, здраве и безопасност или който и да е друг стандарт.