datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

IT sigurnost vs. sigurnost informacija - koja je razlika?

André Saeckel

DQS expert za standard za sigurnost informacija
nov 12 , 2022
# Sigurnost informacija naspram IT sigurnosti

Dvije stvari koje se često brkaju jedna s drugom: sigurnost informacionih tehnologija (IT) i sigurnost informacija. U vrijeme digitalizacije, informacije se uglavnom obrađuju, pohranjuju ili transportuju uz pomoć IT-a - ali često je sigurnost informacija još uvijek analognija nego što to mislimo! U osnovi, IT sigurnost i sigurnost informacija su usko povezane. Stoga je potreban sistematski pristup za efikasnu zaštitu povjerljivih informacija, kao i samog IT-a.

SADRŽAJ

IT sigurnost vs. sigurnost informacija

Sigurnost informacija je više od samo IT sigurnosti. Fokusira se na cijelu kompaniju. Na kraju krajeva, sigurnost povjerljivih informacija nije usmjerena samo na podatke koje obrađuju elektronski sistemi. Sigurnost informacija obuhvata svu korporativnu imovinu koju treba zaštititi, uključujući i onu na analognim nosačima podataka kao što je papir.

"IT sigurnost i sigurnost informacija su dva pojma koja (još) nisu zamjenjiva."

Ciljevi zaštite sigurnosti informacija

Tri bitna cilja zaštite sigurnosti informacija - povjerljivost, dostupnost i integritet - stoga se odnose i na pismo koje sadrži važne ugovorne dokumente, koje mora stići na vrata primaoca na vrijeme, pouzdano i netaknuto, prenijeto kurirskom službom, ali potpuno analogno. I ovi ciljevi zaštite se jednako primjenjuju na list papira koji sadrži povjerljive informacije, ali koji leži na stolu bez nadzora da bi ga bilo ko mogao vidjeti ili čeka u aparatu za kopiranje, slobodno dostupan, radi neovlaštenog pristupa.

Dakle, sigurnost informacija ima širi opseg od IT sigurnosti. IT sigurnost se, s druge strane, odnosi "samo" na zaštitu informacija na IT sistemima.

IT sigurnost u skladu sa definicijom

Šta kažu zvanični organi? IT sigurnost je „stanje u kojem su rizici prisutni u korištenju informacionih tehnologija usljed prijetnji i ranjivosti odgovarajućim mjerama svedeni na prihvatljiv nivo. IT sigurnost je dakle stanje u kojem se čuvaju povjerljivost, integritet i dostupnost informacija i podataka. Tehnologija je zaštićena odgovarajućim mjerama." Prema njemačkom saveznom uredu za sigurnost informacija (BSI).

Sigurnost informacija = IT sigurnost plus X

U praksi se ponekad koristi drugačiji pristup, koristeći pravilo  sigurnost informacija = IT sigurnost + zaštita podataka". Međutim, ova izjava, zapisana kao jednačina, prilično je upečatljiva. Doduše, pitanje zaštite podataka prema Evropskom GDPR-u odnosi se na zaštitu privatnosti, koja zahtijeva od obrađivača ličnih podataka da imaju i siguran IT i, na primjer, sigurno okruženje objekta - čime se isključuje fizički pristup evidenciji podataka o korisnicima. Međutim, ovo izostavlja važne analogne podatke koji ne zahtijevaju ličnu privatnost. Na primjer, planovi izgradnje preduzeća i još mnogo toga.

Termin sigurnost informacija sadrži osnovne kriterije koji prevazilaze čiste IT aspekte, ali ih uvijek uključuju. Dakle, komparativno, čak i jednostavne tehničke ili organizacione mjere u okviru IT sigurnosti uvijek se poduzimaju u pozadini odgovarajuće sigurnosti informacija. Primjeri za to mogu biti:

  • Osiguravanje napajanja za hardver
  • Mjere protiv pregrijavanja hardvera
  • Skeniranje virusa i sigurni programi
  • Organizacija struktura foldera
  • Postavljanje i ažuriranje firewall-a
  • Obuka zaposlenih, itd.

Očigledno je da računari i kompletni IT sistemi sami po sebi ne bi morali biti zaštićeni. Na kraju krajeva, bez informacija koje se digitalno obrađuju ili transportuju, hardver i softver postaju beskorisni.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

Pogledajte sada: Šta se mijenja s novim ISO/IEC 27001:2022

Nova verzija ISO/IEC 27001, prilagođena savremenim informacionim rizicima, objavljena je 25. oktobra 2022. Šta to znači za korisnike standarda? U našem besplatnom snimku webinara saznat ćete o tome

- Nove karakteristike ISO/IEC 27001:2022 - Okvir i Aneks A

- ISO/IEC 27002:2022-02 - struktura, sadržaj, atributi i hashtagovi

- Vremenski okvir za tranziciju i vaše sljedeće korake

Pogledajte snimak sada

IT sigurnost po zakonu, primjer iz Njemačke

Tema CRITIS-a: Zakon o IT sigurnosti fokusira se na kritične infrastrukture iz različitih sektora, kao što su snabdijevanje električnom energijom, plinom i vodom, transport, finansije, hrana i zdravstvo. Ovdje je glavni fokus na zaštiti IT infrastrukture od sajber kriminala kako bi se održala dostupnost i sigurnost IT sistema. Posebno se moraju zaštititi današnji digitalno kontrolisani sistemi daljinskog upravljanja.

Ovi ciljevi zaštite su u prvom planu (izvod):

  • Razmatranje IT sigurnosnih rizika
  • Kreiranje koncepta IT sigurnosti
  • Izrada planova za vanredne situacije
  • Poduzimanje općih mjera opreza
  • Kontrola internet sigurnosti
  • Korištenje kriptografske metode, itd.

ISO 27001 - Standard za sigurnost informacija

Šta kaže ISO 27001? Globalno priznati standard za sistem upravljanja sigurnošću informacija (ISMS), sa svojim derivatima ISO 27019, ISO 27017 i ISO 27701, naziva se:

ISO/IEC 27001:2022 – Sigurnost informacija, kibernetička sigurnost i zaštita privatnosti – Sistemi upravljanja sigurnošću informacija – Zahtjevi

Revidirana verzija objavljena je 25. oktobra 2022. Trenutna verzija (ISO/IEC 27001:2013) će ostati važeća do oktobra 2025. godine.

Naziv ovog važnog standarda jasno pokazuje da IT sigurnost danas igra glavnu ulogu u sigurnosti informacija i da će nastaviti da raste na važnosti u budućnosti. Međutim, zahtjevi postavljeni u ISO 27001 nisu direktno usmjereni samo na digitalne IT sisteme. Naprotiv:

"U cijelom ISO/IEC 27001, "informacije" se pominju u cijelosti, bez izuzetka."

U principu, ne pravi se razlika u pogledu analognog ili digitalnog načina na koji se ove informacije obrađuju ili trebaju biti zaštićene.

Za vrijednija znanja o sigurnosti informacija i mogućnosti procjene, posjetite ISO 27001 certifikacija.

Uspješno implementiran ISMS podržava holističku sigurnosnu strategiju: uključuje organizacijske mjere, sigurnosno svjesno upravljanje osobljem, sigurnost raspoređenih IT struktura i usklađenost sa zakonskim zahtjevima.

Vrijedno znanje: DQS Vodič za audit

Naš vodič za audit ISO 27001 - Aneks A kreirali su vodeći stručnjaci kao praktičnu pomoć u implementaciji i idealan je za bolje razumijevanje odabranih zahtjeva standarda. Smjernice su zasnovane na ISO/IEC 27001:2017. Budući da je revidirana verzija objavljena 25. oktobra 2022. godine, informacije o promjenama ćemo dodati čim budu dostupne.

Preuzmite Audit vodič besplatno

Sigurnost informacija je često više analogna nego što mislimo

Svako ko je želio mogao je primijeniti zahtjeve standarda ISO 27001 na potpuno analogni sistem i na kraju dobiti isto koliko i neko ko je primijenio zahtjeve na potpuno digitalni sistem. Tek u Anex-u A poznatog ISMS standarda, koji sadrži ciljeve i mjere za korisnike, pojavljuju se pojmovi kao što su rad na daljinu ili mobilni uređaji. Ali čak i mjere u Anex-u A standarda nas podsjećaju da još uvijek postoje analogni procesi i situacije u svakoj kompaniji koje se moraju uzeti u obzir u pogledu sigurnosti informacija.

Svako ko javno govori o osjetljivim temama putem pametnog telefona, na primjer u vozu, možda koristi digitalne komunikacijske kanale, ali njihovo nedolično ponašanje je zapravo analogno. A svako ko ne počisti svoj radni stol, bolje je da zaključa svoju kancelariju kako bi sačuvao povjerljivost. Barem se ovo prvo, kao jedna od najefikasnijih pojedinačnih mjera za sigurnu zaštitu informacija, do sada obično i dalje radi ručno...

IT sigurnost vs. sigurnost informacija - Zaključak

IT sigurnost i sigurnost informacija su dva pojma koji (još) nisu zamjenjivi. Umjesto toga, IT sigurnost je komponenta informacione sigurnosti, koja zauzvrat uključuje i analogne činjenice, procese i komunikaciju – što je, uzgred, i danas u mnogim slučajevima uobičajeno. Međutim, sve veća digitalizacija sve više približava ove pojmove, tako da će razlika u značenju vjerovatno postati marginalnija na duži rok.

Šta možete očekivati od nas

DQS je vaš stručnjak za audite i certifikacije - za sisteme upravljanja i procese. Sa 35 godina iskustva i znanjem 2.500 auditora širom svijeta, mi smo vaš kompetentan partner za certifikaciju za sve aspekte sigurnosti informacija i zaštite podataka.

audit-gerber-hermsdorf-werner-korall-dqs.jpg

Imate bilo kakvih pitanja?

Kontaktirajte nas!
Bez obaveza i besplatno.

Kontaktirajte DQS

Ne govorimo samo o profesionalnoj kompetenciji, mi je imamo: od svih naših DQS auditora možete očekivati mnogo godina praktičnog profesionalnog iskustva. Prikuplja se u organizacijama svih veličina i svake industrije. Uz ovu raznolikost, zajamčeno je da će vaš DQS vodeći auditor saosjećati sa situacijom u vašoj pojedinačnoj kompaniji i kulturom upravljanja. Naši auditori poznaju sisteme upravljanja iz vlastitog iskustva, tj. sami su postavili, upravljali i dalje razvijali ISMS - i znaju svakodnevne izazove iz vlastitog iskustva. Radujemo se razgovoru s vama.

Autor
André Saeckel

Proizvodni menadžer u DQS-u za upravljanje sigurnošću informacija. Kao expert za standarde za područje informatičke sigurnosti i kataloga IT sigurnosti (kritične infrastrukture), André Säckel odgovoran je za sljedeće standarde i standarde specifične za industriju, između ostalog: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (informatička sigurnost u automobilskoj industriji). Takođe je član radne grupe ISO/IEC JTC 1/SC 27/WG 1 kao nacionalni delegat Njemačkog instituta za standardizaciju DIN.

Pitanja?

Mi smo tu za vas.
Kontaktirajte nas