863 resultados para Information security policy
Resumo:
Finnish Defence Studies is published under the auspices of the National Defence College, and the contributions reflect the fields of research and teaching of the College. Finnish Defence Studies will occasionally feature documentation on Finnish Security Policy. Views expressed are those of the authors and do not necessarily imply endorsement by the National Defence College.
Resumo:
Finnish Defence Studies is published under the auspices of the National Defence College, and the contributions reflect the fields of research and teaching of the College. Finnish Defence Studies will occasionally feature documentation on Finnish Security Policy. Views expressed are those of the authors and do not necessarily imply endorsement by the National Defence College.
Resumo:
Finnish Defence Studies is published under the auspices of the National Defence College, and the contributions reflect the fields of research and teaching of the College. Finnish Defence Studies will occasionally feature documentation on Finnish Security Policy. Views expressed are those of the authors and do not necessarily imply endorsement by the National Defence College.
Resumo:
Finnish Defence Studies is published under the auspices of the National Defence University, and the contributions reflect the fields of research and teaching of the University. Finnish Defence Studies will occasionally feature documentation on Finnish Security Policy. Views expressed are those of the authors and do not necessarily imply endorsement by the National Defence University.
Resumo:
Tietoturvallisuuden hallintajärjestelmä on organisaation laatujärjestelmän osa, joka keskittyy tietoturvallisuuteen liittyvien riskien hallintaan. Tässä työssä esitellään erityisesti terveydenhuoltoalaan liittyviä tietoturvavaatimuksia ja vertaillaan kuutta tietoturvallisuuden hallintajärjestelmämallia. Työssä tutkitaan millaisia eroja tietoturvallisuuden hallintajärjestelmien rakenteessa ja kattavuudessa on ja miten ne kykenevät vastaamaan terveydenhuoltoalan tietoturvaan liittyviin erityistarpeisiin. Lopputuloksena valitaan parhaiten soveltuva tietoturvallisuuden hallintajärjestelmä esimerkkiorganisaatiolle, joka on julkisomisteinen kuntoutusyhtiö. Arvioitavia hallintajärjestelmämalleja ovat TCSEC, ITSEC, Common Criteria, SOGP, VAHTI-ohjeet sekä ISO/IEC 27001 -standardiperhe. Tietoturvallisuuden hallintajärjestelmämalleja verrataan kahdesta aiemmasta tutkimuksesta sovellettujen vertailumallien pohjalta. Vertailun perusteella todetaan TCSEC, ITSEC ja Common Criteria –standardien olevan muita arvioituja hallintajärjestelmämalleja suppeampia ja soveltuvan parhaiten tekniseen tuotekehitystoimintaan. Laajempia SOGP-, VAHTI- ja ISO/IEC 27001 –malleja verrataan vielä erikseen terveydenhuollon sekä esimerkkiyrityksen erityistarpeisiin nähden ja lopputuloksena päädytään valitsemaan esimerkkiyritykselle parhaiten soveltuvaksi hallintajärjestelmämalliksi ISO/IEC 27001.
Resumo:
L'obligation de sécurité informationnelle - c'est-à-dire la tâche qui incombe aux entreprises d'assurer l'intégrité, la confidentialité et la disponibilité de l'information découle, tant en droit québécois que dans une majorité de juridictions occidentales, d'une série de dispositions législatives imposant non pas l'adoption de comportements ou l'utilisation de technologies ou de procédés identifiables, mais bien l'implantation de mesures de sécurité «raisonnables », «adéquates », ou « suffisantes ». Or, dans un domaine aussi embryonnaire et complexe que celui de la sécurité informationnelle, domaine dans lequel les solutions disponibles sont multiples et où la jurisprudence est éparse, comment une entreprise peut-elle jauger avec justesse l'étendue de son obligation? Bref, comment établir ce que ferait une entreprise raisonnablement prudente et diligente dans un domaine où il n'existe actuellement aucune balise législative, jurisprudentielle ou même coutumière permettant de fixer avec justesse le niveau de diligence imposé par le législateur? L'absence de sécurité juridique offerte par une telle situation est patente et nécessite une reconfiguration du cadre opératoire de l'obligation de sécurité informationnelle afin d'en identifier les composantes et les objectifs. Cet exercice passera par la redéfinition de l'obligation de sécurité informationnelle comme obligation de réduire les risques qui guettent l'information à un niveau socialement acceptable. En effet, la sécurité pouvant être définie comme étant la gestion du risque, c'est donc le risque qui réside au cœur de cette obligation. Or, en analysant les risques qui guettent un système, soit en analysant les menaces qui visent à exploiter ses vulnérabilités, il est possible d'établir quelles contre-mesures s'avèrent utiles et les coûts associés à leur mise en œuvre. Par la suite, il devient envisageable, en recourant à la définition économique de la négligence et en prenant compte des probabilités de brèches de sécurité et des dommages escomptés, d'établir les sommes optimales à investir dans l'achat, l'entretien et la mise à jour de ces contre-mesures. Une telle analyse permet ainsi de quantifier avec un certain degré de précision l'étendue de l'obligation de sécurité informationnelle en offrant aux entreprises un outil s'inspirant de données matérielles auxquelles elles ont librement accès et s'intégrant aisément dans le contexte juridique contemporain.
Resumo:
Ce mémoire a pour objectif d’analyser la nature et l’ampleur des enjeux de sécurité dans l’Arctique contemporain en utilisant les outils offerts par la théorie de la sécurisation de l’École de Copenhague. Cinq secteurs de sécurité – militaire, politique, identitaire, environnemental et économique – et quatre variables – la géographie, l’identité, l’histoire et la politique – sont utilisées pour examiner les perceptions de sécurité, les sécurisations et les comportements stratégiques du Canada et de la Norvège. La 1re hypothèse avancée dans ce mémoire est la suivante : depuis 2005, au Canada et en Norvège, nous sommes en train d’assister à une sécurisation progressive des enjeux non militaires dans l’Arctique - politiques, identitaires, environnementaux et économiques - et les effets entre ces secteurs de sécurité ont d’importantes conséquences sur le secteur militaire, notamment au niveau de la multiplication de projets étatiques pour la plupart essentiellement militaires, ainsi qu’au niveau d’un déclenchement d’une sécurisation de leur intégrité territoriale ou du moins un accroissement de l’insécurité à son égard. La 2e hypothèse avancée est la suivante : les nouvelles perceptions de sécurité et les comportements stratégiques des États de la région engendrent de l’insécurité à l’intérieur des sociétés ainsi qu’une dégradation de la confiance entre les acteurs étatiques. Cela a pour effet d’augmenter la division politique dans l’Arctique et de ralentir toute construction régionale. Nous concluons, sur la base de nos études de cas, qu’au Canada, la souveraineté, la nordicité et l’intégrité territoriale sont perçues comme étant menacées. De plus, les sécurisations dans l’Arctique semblent faire partie d’un renouvellement stratégique global en matière de politique étrangère et de défense. En Norvège, la Russie est considérée comme l’acteur principal du High North et à partir de 2008, la relation russo-norvégienne a subi une sécurisation. Contrairement au Canada, la Norvège préfère le statu quo stratégique dans l’Arctique en privilégiant les trois éléments traditionnels de sa politique de défense et de sécurité - la dissuasion par l’OTAN, la gestion de la Russie par l’assurance, et l’amélioration des relations est-ouest.
Resumo:
Ce mémoire vise à élucider les implications de l’intégration européenne pour les diplomaties nationales. À partir d’une approche sociologique axée sur les pratiques des individus, une étude de cas est menée sur la diplomatie autrichienne, pour la période allant de 1987 à 2009. S’appuyant sur une vingtaine d’entretiens conduits en 2009 à Vienne, cette étude rend compte, d’une part, des changements engendrés par l’intégration européenne de l’Autriche au regard des pratiques et des représentations de ses diplomates concernant la politique de neutralité. D’autre part, nous relatons le processus d’adaptation des diplomates et du ministère des Affaires étrangères autrichiens aux exigences pratiques et aux dynamiques sociales de l’interaction diplomatique au sein de l’Union européenne (UE). En somme, notre étude montre que les diplomates impliqués dans la gestion des affaires (tant internes qu’externes) de l’UE convergent autour d’un certain nombre de règles et de représentations sociales; cette dynamique a des implications substantielles pour les diplomaties nationales intégrées relativement tardivement dans l’UE, comme ce fut le cas pour l’Autriche.
Resumo:
Article publié dans le journal « Journal of Information Security Research ». March 2012.
Resumo:
Dans un contexte où les renseignements personnels sont aujourd’hui une « devise » commerciale importante, il importe de s’attarder à la responsabilité de leur protection. Les lois encadrant la protection des renseignements personnels imposent notamment aux entreprises du secteur privé une obligation de sécurité. Par contre, elles ne prévoient pas de sanction monétaire en cas de violation. Il faut donc se tourner vers le droit de la responsabilité civile afin de contraindre les entreprises à adopter des mesures de sécurité. Or, le régime de responsabilité civile actuel est mal adapté aux obligations associées à la sécurité des renseignements personnels. Le flou normatif entourant le contenu de l’obligation de sécurité et les difficultés d’exercice du recours rendent peu efficace le régime de responsabilité civile compensatoire. Dans un souci d’améliorer son efficacité, deux propositions méritent d’être considérées, soit : la revalorisation des dommages-intérêts punitifs et l’encadrement statutaire d’une obligation de notification des atteintes à la sécurité des renseignements personnels. Ces deux propositions sanctionnent les violations à l’obligation de sécurité là où le régime de responsabilité civile compensatoire semble échouer. Par contre, elles ne sont elles-mêmes efficaces que si leur exercice respecte les fonctions qui leur sont sous-jacentes. Au final, la responsabilité de la sécurité des renseignements personnels ne repose pas seulement sur un régime responsabilité, mais sur une culture de responsabilité.
Resumo:
La biométrie, appliquée dans un contexte de traitement automatisé des données et de reconnaissance des identités, fait partie de ces technologies nouvelles dont la complexité d’utilisation fait émerger de nouveaux enjeux et où ses effets à long terme sont incalculables. L’envergure des risques suscite des questionnements dont il est essentiel de trouver les réponses. On justifie le recours à cette technologie dans le but d’apporter plus de sécurité, mais, vient-elle vraiment apporter plus de protection dans le contexte actuel? En outre, le régime législatif québécois est-il suffisant pour encadrer tous les risques qu’elle génère? Les technologies biométriques sont flexibles en ce sens qu’elles permettent de saisir une multitude de caractéristiques biométriques et offrent aux utilisateurs plusieurs modalités de fonctionnement. Par exemple, on peut l’utiliser pour l’identification tout comme pour l’authentification. Bien que la différence entre les deux concepts puisse être difficile à saisir, nous verrons qu’ils auront des répercussions différentes sur nos droits et ne comporteront pas les mêmes risques. Par ailleurs, le droit fondamental qui sera le plus touché par l’utilisation de la biométrie sera évidemment le droit à la vie privée. Encore non bien compris, le droit à la vie privée est complexe et son application est difficile dans le contexte des nouvelles technologies. La circulation des données biométriques, la surveillance accrue, le détournement d’usage et l’usurpation d’identité figurent au tableau des risques connus de la biométrie. De plus, nous verrons que son utilisation pourra avoir des conséquences sur d’autres droits fondamentaux, selon la manière dont le système est employé. Les tests de nécessité du projet et de proportionnalité de l’atteinte à nos droits seront les éléments clés pour évaluer la conformité d’un système biométrique. Ensuite, le succès de la technologie dépendra des mesures de sécurité mises en place pour assurer la protection des données biométriques, leur intégrité et leur accès, une fois la légitimité du système établie.
Resumo:
Extensive use of the Internet coupled with the marvelous growth in e-commerce and m-commerce has created a huge demand for information security. The Secure Socket Layer (SSL) protocol is the most widely used security protocol in the Internet which meets this demand. It provides protection against eaves droppings, tampering and forgery. The cryptographic algorithms RC4 and HMAC have been in use for achieving security services like confidentiality and authentication in the SSL. But recent attacks against RC4 and HMAC have raised questions in the confidence on these algorithms. Hence two novel cryptographic algorithms MAJE4 and MACJER-320 have been proposed as substitutes for them. The focus of this work is to demonstrate the performance of these new algorithms and suggest them as dependable alternatives to satisfy the need of security services in SSL. The performance evaluation has been done by using practical implementation method.
Resumo:
n the recent years protection of information in digital form is becoming more important. Image and video encryption has applications in various fields including Internet communications, multimedia systems, medical imaging, Tele-medicine and military communications. During storage as well as in transmission, the multimedia information is being exposed to unauthorized entities unless otherwise adequate security measures are built around the information system. There are many kinds of security threats during the transmission of vital classified information through insecure communication channels. Various encryption schemes are available today to deal with information security issues. Data encryption is widely used to protect sensitive data against the security threat in the form of “attack on confidentiality”. Secure transmission of information through insecure communication channels also requires encryption at the sending side and decryption at the receiving side. Encryption of large text message and image takes time before they can be transmitted, causing considerable delay in successive transmission of information in real-time. In order to minimize the latency, efficient encryption algorithms are needed. An encryption procedure with adequate security and high throughput is sought in multimedia encryption applications. Traditional symmetric key block ciphers like Data Encryption Standard (DES), Advanced Encryption Standard (AES) and Escrowed Encryption Standard (EES) are not efficient when the data size is large. With the availability of fast computing tools and communication networks at relatively lower costs today, these encryption standards appear to be not as fast as one would like. High throughput encryption and decryption are becoming increasingly important in the area of high-speed networking. Fast encryption algorithms are needed in these days for high-speed secure communication of multimedia data. It has been shown that public key algorithms are not a substitute for symmetric-key algorithms. Public key algorithms are slow, whereas symmetric key algorithms generally run much faster. Also, public key systems are vulnerable to chosen plaintext attack. In this research work, a fast symmetric key encryption scheme, entitled “Matrix Array Symmetric Key (MASK) encryption” based on matrix and array manipulations has been conceived and developed. Fast conversion has been achieved with the use of matrix table look-up substitution, array based transposition and circular shift operations that are performed in the algorithm. MASK encryption is a new concept in symmetric key cryptography. It employs matrix and array manipulation technique using secret information and data values. It is a block cipher operated on plain text message (or image) blocks of 128 bits using a secret key of size 128 bits producing cipher text message (or cipher image) blocks of the same size. This cipher has two advantages over traditional ciphers. First, the encryption and decryption procedures are much simpler, and consequently, much faster. Second, the key avalanche effect produced in the ciphertext output is better than that of AES.
Resumo:
Extensive use of the Internet coupled with the marvelous growth in e-commerce and m-commerce has created a huge demand for information security. The Secure Socket Layer (SSL) protocol is the most widely used security protocol in the Internet which meets this demand. It provides protection against eaves droppings, tampering and forgery. The cryptographic algorithms RC4 and HMAC have been in use for achieving security services like confidentiality and authentication in the SSL. But recent attacks against RC4 and HMAC have raised questions in the confidence on these algorithms. Hence two novel cryptographic algorithms MAJE4 and MACJER-320 have been proposed as substitutes for them. The focus of this work is to demonstrate the performance of these new algorithms and suggest them as dependable alternatives to satisfy the need of security services in SSL. The performance evaluation has been done by using practical implementation method.
Resumo:
In today's complicated computing environment, managing data has become the primary concern of all industries. Information security is the greatest challenge and it has become essential to secure the enterprise system resources like the databases and the operating systems from the attacks of the unknown outsiders. Our approach plays a major role in detecting and managing vulnerabilities in complex computing systems. It allows enterprises to assess two primary tiers through a single interface as a vulnerability scanner tool which provides a secure system which is also compatible with the security compliance of the industry. It provides an overall view of the vulnerabilities in the database, by automatically scanning them with minimum overhead. It gives a detailed view of the risks involved and their corresponding ratings. Based on these priorities, an appropriate mitigation process can be implemented to ensure a secured system. The results show that our approach could effectively optimize the time and cost involved when compared to the existing systems
