ISO/IEC 27038 hahmottelee digitaalisten editointimenetelmien ominaisuudet. Vuonna 27038 julkaistu ISO 2014 määrittelee myös kriteerit ohjelmistojen muokkaustyökaluille ja täydennykselle. testausmenettelyt turvallisesti.
Joskus saatat joutua paljastamaan tietoja kolmansille osapuolille tai jopa yleisölle sellaisiin tarkoituksiin, kuten vapaa pääsyn lain mukaisten virallisten asiakirjojen paljastaminen tai todisteena oikeudellisissa asioissa tai oikeudenkäynneissä. ISO 27038 ei kuitenkaan tarjoa tietokannan versiota. Tietokannat lasketaan "tallennettujen tietojen yksiköiksi", mutta ne on nimenomaisesti vapautettu standardin soveltamisalasta.
Editointi on tapa poistaa materiaalia asiakirjasta ennen julkaisua. Oikeudellisessa kontekstissa editoinnin käyttö tarkoittaa arkaluonteisten, omistusoikeudellisten tai suojattujen tietojen poistamista arkistoista ennen hakemuksen jättämistä tuomioistuimelle tai muutoin niiden saattamista nähtäville toimiston ulkopuolella. Organisaatio voi myös poistaa dokumenttiin tuodut metatiedot tai materiaalit (esim. kuvat) muokkauksen avulla.
ISO 27038 kuvaa editoimista asiakirjan sisältämän tiedon pysyvänä poistamisena, jossa asiakirja on virallisesti määritelty tallennetuksi tiedoksi ja sitä pidetään yhtenä kokonaisuutena. Määritelmät ovat välttämättömiä, koska nämä sanat tarkoittavat myös muita asioita muissa yhteyksissä ja yleisessä käytössä. Myöhemmin standardissa editointia laajennetaan sisältämään arkaluonteisten tietojen poistamisen lisäksi tarvittaessa myös poistetun materiaalin sijainnin näyttäminen.
Jos arkaluonteisten yksityiskohtien paljastaminen asiakirjan sisällä ei ole hyväksyttävää, organisaation on poistettava tiedot turvallisesti ennen julkaisemista. Esimerkkejä tästä ovat henkilöiden nimet tai sijainnit, joiden on pysyttävä anonyymeinä, ja monet muut henkilökohtaiset tai omistusoikeudelliset tiedot, joiden on pysyttävä ehdottoman luottamuksellisina.
Editoinnin harkitseminen on tyypillisesti elintärkeää erittäin arkaluonteisten tietojen suojaamisessa. Virheet prosessi, joka johtaa tietojen luvattomaan luovuttamiseen ovat vakavia. Editointipuutteet johtivat tapahtumiin, kuten identiteettivarkauksiin, arkaluonteisten turvallisuusongelmien paljastamiseen, yksityisyyden loukkauksiin ja joissakin ääritapauksissa salaisten agenttien ja informanttien henkilöllisyyden paljastamiseen. Liikesalaisuuksien paljastaminen voi sitä vastoin olla kaupallisessa yhteydessä erittäin kallista. Ainakin vastuullisiksi katsotuille editointivirheet voivat olla nöyryyttäviä.
Se auttaa ohjaamaan käyttäytymistämme positiivisella tavalla, joka toimii meille
& kulttuuriamme.
Aloimme käyttää laskentataulukoita ja se oli painajainen. ISMS.online-ratkaisulla kaikki kova työ tehtiin helpoksi.
Dataa on useita turvallisuusriskit liittyy digitaaliseen editointiin. Yksi näistä uhkista on se, että poistettuja tietoja ei tehdä peruuttamattomiksi. Tämä voi johtua useista tekijöistä, kuten arkaluonteisten tietojen kirjoittamisen laiminlyönnistä tai arkaluonteisten tietojen poistamisesta vain osittain. Jättämällä datajäännökset, se voi mahdollistaa muokatun tiedon hakemisen. Myös väärien tai riittämättömien teknisten editointimenetelmien käyttö, kuten tietueiden hienovarainen muuttaminen, aiheuttaa tietoriskejä. Sen sijaan, että arkaluontoiset tiedot poistetaan pysyvästi, käytettäessä tekniikoita, jotka voidaan kääntää tai muutoin kumota, arkaluontoisten tietojen poistamisen tarkoitus epäonnistuu, koska ne voidaan edelleen löytää.
Toinen muokkaamiseen liittyvä haavoittuvuus on liiallinen retusointi, pikseloiminen tai muiden vastaavien hämärtämistekniikoiden käyttäminen kuvien osien peittämiseen. Näitä tekniikoita käytetään usein yksityisyyden suojaamiseen. Käyttämällä dekonvoluutiota ja erilaisia, vähemmän kehittyneitä muunnosmenetelmiä voidaan palauttaa riittävästi alkuperäistä tietoa tunnistamisen mahdollistamiseksi. Mutta toisessa ääripäässä liiallinen tai virheellinen muokkaus voi myös lisätä organisaation turvallisuusriski. Enemmän kuin vain tiettyjen arkaluonteisten asioiden poistaminen, joiden oletettiin olevan kirjoitettu tai tehty niin kömpelösti, voi tahattomasti muuttaa jäännöstietojen merkitystä kontekstuaalisten ongelmien seurauksena.
Tietojen väärin kirjoittaminen voi johtaa vuotoon tai tahattomaan tietojen rikkominen. Esimerkkejä tästä käyttäytymisestä ovat:
Liiallinen luottaminen editointiin voi myös aiheuttaa tietoturvariski. Uskotaan, että arkaluonteisten tietojen pitäminen täysin luottamuksellisina kaikissa tapauksissa riittää, kun taas teknologiset ja prosessivirheet ovat väistämättömiä ja onnettomuuksia sattuu usein. Päinvastoin, nollariippuvuus kirjoittamisesta, kun ajatellaan, että se ei pysty puolustamaan arkaluonteisia tietoja, voi myös lisätä riskiäsi.
Muokkaus voi myös myötävaikuttaa tietoturvaongelmiin, jotka ovat tahattomia tai itse prosessiin liittyviä. Esimerkkejä tästä ovat:
Nämä tapaukset voivat vahingoittaa organisaation tai alkuperäisten kirjoittamattomien tiedostojen uskottavuutta.
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
Vaikka ISO 27038 -standardin soveltamisala on rajallinen, se käsittelee riskejä ovat merkittäviä, ja monet kontrollit ovat teknisesti ja menettelyllisesti kehittyneitä. Kuten muutkin ISO27k ISO 27038 ei pyri kattamaan perusteellisesti kaikkia toimituksellisen prosessin otuksia, vaan se tarjoaa vankat yleiset ja korkeatasoiset ohjeet.
Digitaalinen muokkaustekniikka on ollut käytössä jo useita vuosia luottamuksellisen tekstin tarkistamiseksi mistä tahansa PDF-muodossa olevasta asiakirjasta sähköisesti. Erilaisia ohjelmistoilla on tämä ominaisuus. Tästä huolimatta ja kun organisaatiot luovat ja välittävät yhä enemmän digitaalisesti tuotettuja asiakirjoja, jotkut käyttävät edelleen manuaalisia paperinkäsittelymenetelmiä.
Monissa tapauksissa tämä tarkoittaa asiakirjan tulostamista, luottamuksellisten tietojen manuaalista poistamista musteella tai teipillä, tietueen valokopiointia ja asiakirjan lataamista takaisin järjestelmään. Kun nämä työkalut ovat käytettävissä, miksi jotkut yritykset käyttävät edelleen manuaalista editointia?
jotkut yritykset eivät ole tietoisia että editointiteknologiat ovat olemassa, koska ne ovat olleet liian kiireisiä pysyäkseen ajan tasalla teknisestä kehityksestä. Jotkut yritykset uskovat, että heillä ei ole aikaa tutkia sovellusvaihtoehtojaan, joten he jatkavat sitä, mihin ovat tottuneet. Muut yritykset olettavat, että ohjelmisto on epätarkka ja että kirjallinen tieto ja metatiedot olisivat jotenkin paljastamattomia ja lisäävät heidän riskinottohaluaan. Toiset ovat tietoisia tästä ohjelmistosta, mutta he eivät usko, että heillä on siihen varaa.
Tuloksena olevat muokkaukset ovat tarkempia, koska ne eivät luota siihen, että ihmiset löytävät arkaluontoisia ja etuoikeutettuja tietoja. Digitaaliset muokkaukset ovat yleensä nopeampia kuin tekstin manuaalinen muokkaaminen.
Tekstin merkitseminen ja poistaminen on helpompaa yksinkertaisilla hiiren vedoilla kuin peittää turvaluokiteltuja tietoja teippiä tai mustaa mustetta. He voivat muuttaa satoja kirjoitussivuja murto-osassa ajasta, joka tarvitaan saman määrän kirjoittamiseen manuaalisesti.
Tämän lisäksi digitaalinen editointi on huomattava kustannussäästömenetelmä. Se säästää yrityksen resursseja ja henkilöstön aikaa. Sen sijaan, että tuhlattaisiin tunteja erittäin hallinnolliseen työhön, digitaalinen editointi voi vapauttaa työntekijät tekemään merkittävämpää työtä.
Tämä digitaalinen prosessi on monella tapaa parempi kuin mikä tahansa paperiprosessi. Digitaalinen editointi on paljon tehokkaampaa. Koska kaikissa PDF-sovelluksissa, joissa on redaction-ominaisuus, on hakuominaisuudet, käyttäjät voivat etsiä arkaluonteisia tietoja, kuten tilinumeroita ja tiettyjä lauseita.
ISMS.online tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
ISO 27038 koskee kaikkia organisaatioita, jotka vaihtavat arkaluonteisia tietoja ulkoisesti. Esimerkiksi kun jaat tietoturvapolitiikka Yhtiön ulkopuolella kaikki sen sisältämät luottamukselliset tiedot tulee poistaa ennen julkistamista. Standardi sisältää kaksi toimituksellista tasoa:
Tämä ero tekee ISO 27038:sta ratkaisevan tärkeän monille organisaatioille kaikilla aloilla.
Kun ISO-spesifikaatioohjeissa käytetään yleensä sanaa "shall" tarkoittaa vain pakollisia ehtoja, ISO 27038:ssa käytetään usein paikoissa sanaa "pitäisi" ja se tarjoaa selvennyksiä muodollisten eritelmien yläpuolelle. Käytännössä tämä helpottaa standardin ymmärtämistä ja käyttöönottoa, mutta vaatimustenmukaisuuden varmistaminen ja valvominen on haastavampaa, jos sitä koskaan odotetaan.
Standardi ei kuitenkaan kerro mitään editointiprosessin yleisestä hallinnasta. Sen sijaan ISO 27038 määrittelee, mitä pitää kirjoittaa, miksi, miten ja kenen toimesta tai arvioida riskejä ja miten käsitellä riskejä tietyssä editointitilanteessa. Standardi puhuu myös turvatoimenpiteitä, joita on sovellettava prosessiin tai siihen liittyvään, esimerkiksi estämään kirjoittamattoman sisällön epäasianmukainen luovutus tai selkeyttäminen.
ISO 27038 koostuu 9 lausekkeesta ja yhdestä liitteestä.
Lauseke 1: Soveltamisala
Lauseke 2: Termit ja määritelmät
Kohta 3: Symbolit ja lyhennetyt termit
Lauseke 4: Digitaalisen editoinnin yleiset periaatteet
Kohta 5: Vaatimukset
Lauseke 6: Muokkausprosessit
Kohta 7: Kirjanpito editointityöstä
Lauseke 8: Ohjelmiston muokkaustyökalujen ominaisuudet
Lauseke 9: Redaktsioonitestauksen vaatimukset
Liite A: PDF-dokumenttien muokkaaminen
Varaa räätälöity käytännönläheinen istunto tarpeidesi ja tavoitteidesi mukaan.
100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa