datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

ИТ сигурност срещу информационна сигурност - каква е разликата?

Gert Krüger

Експерт на DQS по информационна сигурност и защита на данните
ное 12 , 2022
# Информационна сигурност срещу сигурност на ИТ

Две неща, които често се бъркат едно с друго: сигурност на информационните технологии (ИТ) и информационна сигурност. В ерата на дигитализацията информацията обикновено се обработва, съхранява или транспортира с помощта на ИТ - но често информационната сигурност е все още повече аналогова отколкото си мислим! По принцип ИТ сигурността и информационната сигурност са доста тясно свързани. Ето защо е необходим систематичен подход за ефективна защита на поверителната информация, както и на самите ИТ.

СЪДЪРЖАНИЕ

ИТ сигурност срещу информационна сигурност

Информационната сигурност е нещо повече от просто ИТ сигурност. Тя се фокусира върху цялата компания. В края на краищата сигурността на поверителната информация не е насочена само към данните, обработвани от електронните системи. Информационната сигурност обхваща всички корпоративни активи, които трябва да бъдат защитени, включително и тези на аналогови носители на данни, като например хартия.

"ИТ сигурност и информационна сигурност са два термина, които (все още) не са взаимозаменяеми."

Цели на защитата на информационната сигурност

Следователно трите основни цели на защита на информационната сигурност - поверителност, наличност и цялост - се отнасят и за писмо, съдържащо важни договорни документи, което трябва да пристигне навреме, надеждно и непокътнато до вратата на получателя, транспортирано от куриер, но изцяло аналогов. И тези цели на защита се отнасят в еднаква степен и за лист хартия, който съдържа поверителна информация, но който лежи на необслужвано бюро, за да го види всеки, или чака в копирната машина, свободно достъпен, за неоторизиран достъп.

Следователно информационната сигурност има по-широк обхват от ИТ сигурността. От друга страна, ИТ сигурността се отнася "само" до защитата на информацията в ИТ системите.

ИТ сигурност според определението

Какво казват официалните органи? ИТ сигурността е "състояние, при което рисковете, съществуващи при използването на информационните технологии поради заплахи и уязвимости, са сведени до приемливо ниво чрез подходящи мерки. Следователно ИТ сигурността е състояние, при което конфиденциалността, целостта и наличността на информацията и информационните технологии са защитени чрез подходящи мерки." Според Германската федерална служба за информационна сигурност (BSI).

Информационна сигурност = ИТ сигурност плюс X

В практиката понякога се прилага различен подход, като се използва правилото "информационна сигурност = ИТ сигурност + защита на данните". Това твърдение обаче, записано като уравнение, е доста фрапиращо. Вярно е, че въпросът за защитата на данните съгласно европейския регламент за защита на личните данни (GDPR) е свързан със защитата на личния живот, което изисква от обработващите лични данни да разполагат както със сигурни ИТ, така и например със сигурна сградна среда - по този начин се изключва физическият достъп до записите с данни на клиентите. Това обаче изключва важни аналогови данни, които не изискват лична неприкосновеност. Например строителните планове на компанията и много други.

Терминът "информационна сигурност" съдържа основни критерии, които надхвърлят чисто ИТ аспектите, но винаги ги включват. По този начин, в сравнителен план, дори прости технически или организационни мерки в рамките на ИТ сигурността винаги се предприемат на фона на подходяща информационна сигурност. Примери за това могат да бъдат:

  • Осигуряване на електрозахранването на хардуера
  • Мерки срещу прегряване на хардуера
  • сканиране за вируси и защитени програми
  • Организиране на структурата на папките
  • Създаване и актуализиране на защитни стени
  • Обучение на служителите и др.

Очевидно е, че компютрите и цялостните ИТ системи сами по себе си няма да имат нужда от защита. В края на краищата, без информацията, която трябва да бъде цифрово обработена или пренесена, хардуерът и софтуерът стават безполезни.

ИТ сигурност по закон, пример от Германия

Темата на КРИТИКАТА: Законът за ИТ сигурността се фокусира върху критични инфраструктури от различни сектори, като електроснабдяване, газоснабдяване и водоснабдяване, транспорт, финанси, храни и здравеопазване. Тук основният акцент е върху защитата на ИТ инфраструктурата от киберпрестъпления, за да се поддържат наличността и сигурността на ИТ системите. По-специално трябва да бъдат защитени съвременните системи за телеуправление с цифрово управление.

Тези цели на защитата са на преден план (откъс):

  • Разглеждане на рисковете за ИТ сигурността
  • Създаване на концепции за ИТ сигурност
  • Създаване на планове за действие при извънредни ситуации
  • Предприемане на общи предпазни мерки за сигурност
  • Контрол на интернет сигурността
  • Използване на криптографски методи и др.

ISO 27001 - Стандартът за информационна сигурност

Какво гласи ISO 27001? Световно признатият стандарт за система за управление на информационната сигурност (СУИС), с неговите производни ISO 27019, ISO 27017 и ISO 27701, се нарича:

ISO/IEC 27001:2017 - Информационни технологии - Техники за сигурност - Системи за управление на информационната сигурност - Изисквания (ISO/IEC 27001:2013, включително Cor 1:2014 и Cor 2:2015).

От заглавието на този важен стандарт става ясно, че сигурността на ИТ играе основна роля в информационната сигурност днес и ще продължи да придобива все по-голямо значение в бъдеще. Въпреки това изискванията, заложени в ISO 27001, не са пряко насочени само към цифровите ИТ системи. Напротив:

"В целия стандарт ISO/IEC 27001 "информация" се споменава навсякъде, без изключение."

По принцип не се прави разлика по отношение на аналоговия или цифровия начин, по който тази информация се обработва или трябва да бъде защитена.

Успешно внедрената СУСИ подкрепя цялостна стратегия за сигурност: тя включва организационни мерки, управление на персонала, съобразено със сигурността, сигурност на внедрените ИТ структури и съответствие със законовите изисквания.

Информационната сигурност често е по-аналогична, отколкото си мислим

Всеки, който иска, би могъл да приложи стандартните изисквания на ISO 27001 върху напълно аналогова система и в крайна сметка да получи точно толкова, колкото и някой, който прилага изискванията към напълно цифрова система. Едва в приложение А на добре познатия стандарт за ISMS, което съдържа цели за измерване и мерки за потребителите, се появяват термини като дистанционна работа или мобилни устройства. Но дори и мерките в приложение А на стандарта ни напомнят, че във всяка компания все още има аналогови процеси и ситуации, които трябва да се вземат предвид по отношение на информационната сигурност.

Всеки, който говори на висок глас по чувствителни теми чрез смартфон на публично място, например във влака, може да използва цифрови канали за комуникация, но неговото неправомерно поведение всъщност е аналогово. А всеки, който не почиства бюрото си, е по-добре да заключи офиса си, за да запази конфиденциалността. Поне първото, като една от най-ефективните единични мерки за сигурна защита на информацията, обикновено все още се прави на ръка, досега...

ИТ сигурност срещу информационна сигурност - заключение

ИТ сигурността и информационната сигурност са два термина, които (все още) не са взаимозаменяеми. По-скоро ИТ сигурността е компонент на информационната сигурност, която на свой ред включва и аналогови факти, процеси и комуникация - което, между другото, в много случаи и днес е обичайно. Нарастващата цифровизация обаче все повече сближава тези термини, така че разликата в значението вероятно ще стане по-незначителна в дългосрочен план.

Какво можете да очаквате от нас

DQS е вашият специалист в областта на одитите и сертификацията - за системи за управление и процеси. С 35-годишен опит и ноу-хау от 2500 одитори в цял свят ние сме вашият компетентен партньор за сертифициране на всички аспекти на информационната сигурност и защитата на данните.

Имате въпроси?

Свържете се с нас!
Без задължения и безплатно.

Ние не просто говорим за професионална компетентност, ние я притежаваме: Можете да очаквате дългогодишен практически професионален опит от всички наши одитори на DQS. Събран в организации от всякакъв размер и всякакъв отрасъл. При това разнообразие е гарантирано, че вашият водещ одитор на DQS ще се вживее в индивидуалната ситуация във вашата компания и култура на управление. Нашите одитори познават системите за управление от собствения си опит, т.е. те самите са създавали, управлявали и доразвивали СУСИ - и познават ежедневните предизвикателства от собствения си опит. Очакваме с нетърпение да разговаряме с вас.

Автор
Gert Krüger

Експерт и ръководител на проекти за информационна сигурност, BSI-KritisV и защита на данните в DQS. Освен това е дългогодишен одитор за управление на качеството и околната среда.

Имате ли въпроси?

Ние сме на Ваше разположение.
Контакт с нас