ISO/IEC 27038 מתאר את המאפיינים של גישות עריכה דיגיטלית. ISO 27038, שפורסם ב-2014, מגדיר גם קריטריונים לכלי עריכת תוכנה ולהשלמה נהלי בדיקה בצורה מאובטחת.
לפעמים, ייתכן שיהיה עליך לחשוף מידע לצדדים שלישיים, או אפילו לציבור, למטרות כגון חשיפת רשומות רשמיות על פי חוק הגישה החופשית או כראיה בעניינים משפטיים או בהליכים משפטיים. עם זאת, ISO 27038 אינו מספק גרסת מסד נתונים. מאגרי מידע נחשבים כ'יחידות של מידע מוקלט', אך הם פטורים במפורש מתחום התקן.
עריכה היא השיטה להסרת חומר ממסמך לפני השחרור. בהקשר המשפטי, השימוש בעריכה הוא למחוק מידע רגיש, קנייני או מוגן מהרשומות לפני הגשתו לבית המשפט, או בדרך אחרת, להנגיש אותו לצפייה מחוץ למשרד. ארגון יכול גם להשתמש בעריכה כדי למחוק מטא נתונים או חומר (למשל תמונות) שיובאו למסמך.
ISO 27038 מתאר עריכה כהסרה לצמיתות של מידע בתוך מסמך שבו המסמך מוגדר רשמית כמידע מוקלט ונחשב כיחידה. הגדרות חיוניות מכיוון שלמילים אלו משמעותם גם דברים אחרים בהקשרים אחרים ובשימוש כללי. בהמשך התקן, העריכה מורחבת כך שתכלול לא רק הסרת מידע רגיש אלא גם מראה היכן נמצא החומר שהוסר במידת הצורך.
כאשר לא מקובל לחשוף פרטים רגישים בתוך מסמך, הארגון חייב למחוק את המידע בבטחה לפני הפרסום. דוגמאות לכך כוללות שמות או מיקומים של אנשים שחייבים להישאר אנונימיים ורשומות אישיות או קנייניות שונות שחייבות להישאר חסויות לחלוטין.
בחינת עריכה חיונית בדרך כלל בהגנה על מידע רגיש במיוחד. שגיאות ב תהליך המוביל לחשיפה לא מורשית של נתונים רציניים. ליקויים בעיבוד הובילו לאירועים כמו גניבת זהות, חשיפת חששות אבטחה רגישים, הפרות של פרטיות ובמקרים קיצוניים מסוימים, חשיפת זהותם של סוכנים ומודיעים סמויים. לעומת זאת, חשיפת סודות מסחריים עשויה לעלות ביוקר בהקשר מסחרי. לפחות עבור אלה שנחשבים אחראים, טעויות עיבוד יכולות להיות משפילות.
זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.
התחלנו להשתמש בגיליונות אלקטרוניים וזה היה סיוט. עם פתרון ISMS.online, כל העבודה הקשה הייתה קלה.
ישנם מספר נתונים סיכוני אבטחה הקשורים לעיבוד דיגיטלי. אחד האיומים הללו הוא הכישלון להפוך את המידע שנכתב לבלתי הפיך. ייתכן שהדבר נובע ממגוון גורמים, כגון הזנחה בשכתוב נתונים רגישים או הסרת מידע רגיש באופן חלקי בלבד. על ידי השארת שאריות הנתונים, זה יכול לאפשר אחזור מידע שנכתב. השימוש בשיטות עריכה טכנולוגיות שגויות או לא נאותות, כגון שינוי לא עדין של רשומות, מהווה גם הוא סיכוני נתונים. במקום להסיר לצמיתות נתונים רגישים, תוך שימוש בטכניקות שניתן לבטל או להפוך בדרך אחרת, מביס את מטרת הסריקה של המידע הרגיש שכן עדיין ניתן לגלות אותו.
פגיעות נוספת הכרוכה בעריכה היא הסתמכות יתר על ריטוש, פיקסלים או שימוש בטכניקות דומות אחרות של ערפול כדי להסוות קטעים של תמונות. טכניקות אלו משמשות לעתים קרובות כדי להגן על הפרטיות האישית. באמצעות דה-קונבולוציה וגישות טרנספורמציה שונות, פחות מתוחכמות, ניתן לשחזר מספיק מהמידע המקורי כדי לאפשר זיהוי. אבל בקיצוניות השנייה, עריכה מוגזמת או לא נכונה עלולה גם להגדיל את סיכון אבטחה לארגון. הסרה של יותר מסתם דברים רגישים מסוימים שהיו אמורים להיכתב או שנעשו בצורה מסורבלת כל כך עלולה לשנות ללא כוונה את המשמעות של הנתונים השיוריים כתוצאה מבעיות הקשריות.
שכתוב מידע שגוי עלול להוביל לדליפה או לא מכוון הפרת נתונים. דוגמאות להתנהגות זו כוללות:
הסתמכות יתר על עריכה עלולה גם להוות א סיכון לאבטחת מידע. מתוך אמונה שמספיק לשמור על סודיות מלאה של נתונים רגישים בכל המקרים, בעוד שטעויות טכנולוגיות ותהליכיות הן בלתי נמנעות ולעתים קרובות מתרחשות תאונות. לעומת זאת, הנחת אפס תלות בכתיבה, במחשבה שהיא לא מסוגלת להגן על מידע רגיש, יכולה גם להגביר את הסיכון שלך.
עריכה עשויה גם לתרום לבעיות אבטחת מידע שאינן מכוונות או היקפיות לתהליך עצמו. מקרים של זה הם:
מקרים אלו עלולים לגרום לפגיעה באמינות הארגון או בקבצים הבלתי כתובים הראשוניים.
למרות שלתקן ISO 27038 יש היקף מוגבל, ה סיכונים שהוא מטפל בהם הם משמעותיים, ורבים מהבקרות מתוחכמים מבחינה טכנית כמו גם פרוצדורלית. כמו אחרים ISO27k תקני, ISO 27038 אינו מבקש לכסות לעומק את כל הגחמות של תהליך העריכה, אלא מציע הדרכה כללית וברמה גבוהה.
טכנולוגיית עריכה דיגיטלית קיימת כבר שנים רבות כדי לשנות טקסט סודי מכל מסמך בפורמט PDF באופן אלקטרוני. מגוון רחב של לתוכנות יש תכונה זו. למרות זאת וכאשר ארגונים יוצרים ומשדרים כמות הולכת וגדלה של מסמכים המופקים דיגיטלית, חלקם עדיין משתמשים בשיטות עיבוד נייר ידניות.
במקרים רבים מדובר בהדפסת מסמך, הסרה ידנית של מידע סודי באמצעות דיו או סרט, צילום הרשומה ולאחר מכן הורדת המסמך חזרה למערכת. עם הכלים האלה זמינים, מדוע חברות מסוימות עדיין משתמשות בעריכה ידנית?
כמה חברות לא מודעות שטכנולוגיות עיבוד קיימות כי הן היו עסוקים מכדי להתעדכן בהתפתחויות טכניות. חברות מסוימות מאמינות שאין להן זמן לחקור את אפשרויות היישום שלהן, אז הן ממשיכות לעשות את מה שהן רגילות לעשות. חברות אחרות מניחות שהתוכנה אינה מדויקת וכי ידע ומטא נתונים כתובים יהיו איכשהו ניתנים לחשיפה ויגבירו את תיאבון הסיכון שלהם. בעוד שאחרים מודעים לתוכנה הזו, אבל הם לא חושבים שהם יכולים להרשות זאת לעצמם.
העריכות המתקבלות מדויקות יותר מכיוון שאינן מסתמכות על בני אדם כדי לאתר מידע רגיש ומיוחס. עריכות דיגיטליות הן בדרך כלל מהירות יותר מאשר עריכה ידנית של טקסט.
קל יותר לתייג ולמחוק טקסט במשיכות עכבר פשוטות מאשר לשים סרט או דיו שחור המכסים נתונים מסווגים. הם יכולים לשנות מאות דפי כתיבה בשבריר מהזמן הנדרש כדי לשכתב את אותה כמות באופן ידני.
בנוסף לכך, עריכה דיגיטלית היא שיטה משמעותית לחיסכון בעלויות. זה חוסך כסף מחברה במשאבים ובזמן הצוות. במקום לבזבז שעות בביצוע עבודה מאוד אדמיניסטרטיבית, עיבוד דיגיטלי יכול לשחרר עובדים לבצע עבודה מהותית יותר.
בכמה מובנים, תהליך דיגיטלי זה עדיף על כל הליך נייר. עריכה דיגיטלית יעילה הרבה יותר. מכיוון שלכל יישומי ה-PDF עם תכונת Redaction יש יכולות חיפוש, משתמשים יכולים לחפש פרטים רגישים, כגון מספרי חשבונות וביטויים מסוימים.
תקן ISO 27038 חל על כל ארגון המחליף מידע רגיש באופן חיצוני. לדוגמה, בעת שיתוף של מדיניות אבטחת מידע מחוץ לחברה, יש לתקן כל מידע סודי שהוא מכיל לפני הפרסום. התקן משלב שתי רמות עריכה:
הבחנה זו הופכת את תקן ISO 27038 לחיוני עבור ארגונים רבים בכל המגזרים.
בעוד שבהנחיות מפרט ISO משתמשים בדרך כלל ב-"יהיה" רק לציון תנאים מחייבים, ISO 27038 משתמש לעתים קרובות ב"צריך" במקומות ומציע הבהרה מעל ומעבר למפרטים הפורמליים. בפועל, זה מקל על המשתמשים לתפוס וליישם את התקן, אך מאתגר יותר לאמת ולאכוף תאימות, אם אי פעם צפוי.
התקן, לעומת זאת, אינו אומר דבר על הניהול הכולל של תהליך העריכה. במקום זאת, ISO 27038 מגדיר מה צריך להיכתב, למה, איך ועל ידי מי, או הערכה וכיצד לטפל בסיכונים במצב עריכה נתון. התקן דן גם אמצעי אבטחה שצריך ליישם לתהליך או קשור אליו, למשל מניעת שחרור לא תקין או בירור של תכנים לא כתובים.
תקן ISO 27038 מורכב מ-9 סעיפים ונספח אחד.
סעיף 1: היקף
סעיף 2: מונחים והגדרות
סעיף 3: סמלים ומונחים מקוצרים
סעיף 4: עקרונות כלליים של עריכה דיגיטלית
סעיף 5: דרישות
סעיף 6: תהליכי עיבוד
סעיף 7: ניהול רישומים של עבודות עריכה
סעיף 8: מאפיינים של כלי עריכת תוכנה
סעיף 9: דרישות לבדיקת עריכה
נספח א': עריכת מסמכי PDF
הזמינו פגישה מעשית מותאמת בהתאם לצרכים ולמטרות שלכם.
100% מהמשתמשים שלנו משיגים אישור ISO 27001 בפעם הראשונה