datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Цели за защита на информационната сигурност и тяхното значение

Андре Saeckel

Експерт на DQS по стандартите за информационна сигурност
ное 11 , 2022
# Информационна сигурност срещу сигурност на ИТ

Целите за защита на информационната сигурност са елементарните ключови точки за защита на информацията. Информацията представлява значителна икономическа стойност за всяка компания, и то не само от днес. Тя е в основата на тяхното съществуване и следователно е съществена предпоставка за успешен бизнес. Следователно е очевидно - или поне желателно - информацията да бъде защитена. Въпреки това все още съществува голямо разминаване между желанието и реалността.

СЪДЪРЖАНИЕ

Какви са целите за защита на информационната сигурност?

Поради неадекватна сигурност при обработката на информация годишно се причиняват щети за милиарди долари. Но как може да се постигне адекватна защита на организационните активи? И какъв е най-добрият начин една компания да започне работа по темата за информационната сигурност?

Добре структурираната система за управление на информационната сигурност (СУИС) в съответствие с ISO/IEC 27001 осигурява оптимална основа за ефективно прилагане на цялостна стратегия за сигурност. Стандартът предоставя модел за въвеждане, прилагане, наблюдение и подобряване на нивото на защита. За да се постигне това, компаниите и организациите трябва първо да обърнат внимание на трите основни цели на защитата на информационната сигурност:

  • Конфиденциалност
  • Интегритет
  • Достъпност

Цели на защитата на информационната сигурност: Конфиденциалност на информацията

Целта е да се защитят поверителните данни от неоторизиран достъп, независимо дали по причини, свързани със законите за защита на данните, или въз основа на търговски тайни, обхванати например от Закона за търговските тайни. Следователно поверителността на информацията и чувствителните данни е гарантирана, ако достъп до тях имат само онези лица, които са упълномощени (оторизирани) за това. Достъпът означава например четене, редактиране (промяна) или дори изтриване.

Следователно предприетите мерки трябва да гарантират, че само упълномощени лица имат достъп до поверителната информация - неоторизирани лица в никакъв случай. Това се отнася и за информацията на хартия, която може да стои незащитена на бюрото и да приканва към четене, или за предаването на данни, до които не може да се получи достъп в хода на обработката им.

Нашето ръководство за одит на ISO 27001 - Приложение А е създадено от водещи експерти като практическо помагало за прилагане и е идеално за по-добро разбиране на избраните изисквания на стандарта. Ръководството се основава на ISO/IEC 27001:2017, като до края на 2022 г. се очаква преразглеждане на стандарта ISO. 

Свалете ръководството безплатно от тук

За оторизираните лица е необходимо също така да се посочи видът на достъпа, който те трябва да имат, какво им е позволено или се изисква да правят и какво не им е позволено да правят. Трябва да се гарантира, че те не могат да правят това, което не им е разрешено. Методите и техниките, използвани в този процес, са разнообразни и в някои случаи специфични за компанията.

Ако става въпрос "само" за неоторизирано преглеждане или разкриване на информация (също и по време на предаване, класика: трафик на електронна поща!), могат да се използват криптографски мерки за защита на поверителността, например. Ако целта е да се предотврати неразрешено модифициране на информацията, влиза в действие целта за защита "цялостност".

ISO/IEC 27001:2013- Информационни технологии - Техники за сигурност - Системи за управление на информационната сигурност - Изисквания
Стандартът е достъпен от уебсайта на ISO.

Цели за защита на информационната сигурност: Интегритет на информацията

Техническият термин "цялостност" е свързан с няколко изисквания едновременно:

  • Непреднамерените промени в информацията трябва да са невъзможни или поне да могат да бъдат открити и проследени. На практика се прилага следната градация:
    - Високата (силна) цялостност предотвратява нежелани промени.
    - Ниска (слаба) цялостност може да не предотвратява промени, но гарантира, че (непреднамерените) промени могат да бъдат открити и, ако е необходимо, проследени (проследимост).
  • Надеждността на данните и системите трябва да бъде гарантирана.
  • Пълнотата на информацията трябва да бъде гарантирана.

Следователно мерките, насочени към повишаване на целостта на информацията, са насочени и към въпроса за разрешаването на достъпа във връзка със защитата срещу външни и вътрешни атаки.

"Докато думите " поверителност" и "наличност" са лесно разбираеми, почти саморазбиращи се, по отношение на класическите цели за защита на информационната сигурност, техническият термин"цялостност" изисква известно обяснение. Това, което се има предвид, е коректност (на данните и системите), пълнота или проследимост (на промените)."

Цели на защитата на информационната сигурност: Наличност на информацията

Наличието на информация означава, че тази информация, включително необходимите ИТ системи, трябва да бъде достъпна за всяко упълномощено лице по всяко време и да може да се използва (да функционира) в необходимата степен. Ако дадена система се повреди или дадена сграда не е достъпна, необходимата информация не е налична. В определени случаи това може да доведе до смущения с далечни последици, например при поддържането на процесите.

Ето защо е разумно да се извърши анализ на риска с оглед на вероятността от срив на системата, възможната му продължителност и евентуалните щети, причинени от липсата на ИТ сигурност. От резултатите могат да се изведат ефективни контрамерки, които да се изпълнят, ако се стигне до най-лошото.

Какво представляват "разширените" цели за защита?

В допълнение към целите за сигурност - поверителност, цялостност и наличност, има три допълнителни цели за сигурност. Те включват двата аспекта "ангажираност" и "отчетност", които се допълват взаимно. Първият означава да се гарантира, че даден участник не може да отрече своето действие, а вторият - че това действие може да му бъде надеждно приписано. И двете се свеждат до уникална възможност за идентифициране на участниците, а издаването на уникални пароли е минимално изискване за това.

Третата разширена цел на защитата е "автентичност", т.е. истинност. Един прост въпрос в този контекст е: Дали информацията е истинска - дали действително идва от посочения източник? Тази цел на защитата е важна за оценката на надеждността на източника.

Man and a woman with a laptop in a server room

Стойностната информация е днешното злато - и също така актив, който трябва да бъде защитен за вашата компания. Прочетете отговорите на Най-важните въпроси за ISO 27001 тук.

Цели за защита на информационната сигурност: Заключение

Трите най-важни цели за защита на информационната сигурност са "поверителност", "цялостност" и "наличност".

Конфиденциалност: За да можете да я гарантирате, трябва ясно да определите кой има право на достъп до тези чувствителни данни и по какъв начин. Това е свързано с подходящи разрешения за достъп и използване на криптографски техники, например.

Цялостност: означава защита срещу неоторизирани промени и изтриване на информация, плюс надеждност и пълнота на информацията. Ето защо е важно вашата компания да предприеме предпазни мерки за бързо откриване на промени в данните или за предотвратяване на неразрешени манипулации от самото начало.

Наличност означава, че информацията, системите и сградите трябва да са достъпни за оторизираните лица по всяко време. Тъй като сривовете в системите например са свързани с големи рискове, за този комплекс от теми следва да се извърши анализ на риска. Тук запишете вероятността от повреда, времето за престой и потенциала за увреждане на най-необходимите системи.

Ангажираността, отчетността и автентичността са "разширени" цели на защитата.

Под ангажираност се разбира да се гарантира, че даден участник не може да отрече своите действия. Отчетността допълва тази разширена цел за защита, като ясно идентифицира такъв участник. Автентичността задава въпроса: Дали дадена информация е истинска или заслужава доверие?

DQS - Какво можете да очаквате от нас

Информационната сигурност е сложна тема, която далеч надхвърля границите на ИТ сигурността. Тя включва технически, организационни и инфраструктурни аспекти. Международният стандарт ISO/IEC 27001 е подходящ за ефективни защитни мерки под формата на система за управление на информационната сигурност (СУИС).

DQS е вашият специалист за одити и сертифициране на системи за управление и процеси. С 35-годишен опит и ноу-хау от 2500 одитори в цял свят ние сме вашият компетентен партньор за сертифициране и даваме отговори на всички въпроси, свързани с ISO 27001 и системите за управление на информационната сигурност.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Ще се радваме да отговорим на вашите въпроси

Колко усилия трябва да очаквате, за да сертифицирате вашата система за управление на информационната сигурност съгласно ISO 27001? Разберете. Без задължение и безплатно.

Контакт с нас

Доверие и опит

Нашите текстове и брошури са написани изключително от нашите експерти по стандартите или одитори с дългогодишен опит. Ако имате въпроси относно съдържанието на текстовете или услугите на нашия автор, моля, не се колебайте да ни изпратите имейл.

Автор
Андре Saeckel

Продуктов мениджър в DQS за управление на информационната сигурност. Като експерт по стандартите в областта на информационната сигурност и каталога на ИТ сигурността (критични инфраструктури) Андре Сакел отговаря за следните стандарти и специфични индустриални норми, като: ISO 27001, ISIS12, ISO 20000-1, KRITIS и TISAX (информационна сигурност в автомобилната индустрия). Той е и член на работната група ISO/IEC JTC 1/SC 27/WG 1 като национален делегат на Германския институт за стандартизация DIN.

Имате ли въпроси?

Ние сме на Ваше разположение.
Контакт с нас