Dvije stvari koje se često brkaju jedna s drugom: sigurnost informacionih tehnologija (IT) i sigurnost informacija. U vrijeme digitalizacije, informacije se uglavnom obrađuju, pohranjuju ili transportuju uz pomoć IT-a - ali često je sigurnost informacija još uvijek analognija nego što to mislimo! U osnovi, IT sigurnost i sigurnost informacija su usko povezane. Stoga je potreban sistematski pristup za efikasnu zaštitu povjerljivih informacija, kao i samog IT-a.
SADRŽAJ
Sigurnost informacija je više od samo IT sigurnosti. Fokusira se na cijelu kompaniju. Na kraju krajeva, sigurnost povjerljivih informacija nije usmjerena samo na podatke koje obrađuju elektronski sistemi. Sigurnost informacija obuhvata svu korporativnu imovinu koju treba zaštititi, uključujući i onu na analognim nosačima podataka kao što je papir.
Tri bitna cilja zaštite sigurnosti informacija - povjerljivost, dostupnost i integritet - stoga se odnose i na pismo koje sadrži važne ugovorne dokumente, koje mora stići na vrata primaoca na vrijeme, pouzdano i netaknuto, prenijeto kurirskom službom, ali potpuno analogno. I ovi ciljevi zaštite se jednako primjenjuju na list papira koji sadrži povjerljive informacije, ali koji leži na stolu bez nadzora da bi ga bilo ko mogao vidjeti ili čeka u aparatu za kopiranje, slobodno dostupan, radi neovlaštenog pristupa.
Dakle, sigurnost informacija ima širi opseg od IT sigurnosti. IT sigurnost se, s druge strane, odnosi "samo" na zaštitu informacija na IT sistemima.
Šta kažu zvanični organi? IT sigurnost je „stanje u kojem su rizici prisutni u korištenju informacionih tehnologija usljed prijetnji i ranjivosti odgovarajućim mjerama svedeni na prihvatljiv nivo. IT sigurnost je dakle stanje u kojem se čuvaju povjerljivost, integritet i dostupnost informacija i podataka. Tehnologija je zaštićena odgovarajućim mjerama." Prema njemačkom saveznom uredu za sigurnost informacija (BSI).
U praksi se ponekad koristi drugačiji pristup, koristeći pravilo sigurnost informacija = IT sigurnost + zaštita podataka". Međutim, ova izjava, zapisana kao jednačina, prilično je upečatljiva. Doduše, pitanje zaštite podataka prema Evropskom GDPR-u odnosi se na zaštitu privatnosti, koja zahtijeva od obrađivača ličnih podataka da imaju i siguran IT i, na primjer, sigurno okruženje objekta - čime se isključuje fizički pristup evidenciji podataka o korisnicima. Međutim, ovo izostavlja važne analogne podatke koji ne zahtijevaju ličnu privatnost. Na primjer, planovi izgradnje preduzeća i još mnogo toga.
Termin sigurnost informacija sadrži osnovne kriterije koji prevazilaze čiste IT aspekte, ali ih uvijek uključuju. Dakle, komparativno, čak i jednostavne tehničke ili organizacione mjere u okviru IT sigurnosti uvijek se poduzimaju u pozadini odgovarajuće sigurnosti informacija. Primjeri za to mogu biti:
Očigledno je da računari i kompletni IT sistemi sami po sebi ne bi morali biti zaštićeni. Na kraju krajeva, bez informacija koje se digitalno obrađuju ili transportuju, hardver i softver postaju beskorisni.
Nova verzija ISO/IEC 27001, prilagođena savremenim informacionim rizicima, objavljena je 25. oktobra 2022. Šta to znači za korisnike standarda? U našem besplatnom snimku webinara saznat ćete o tome
- Nove karakteristike ISO/IEC 27001:2022 - Okvir i Aneks A
- ISO/IEC 27002:2022-02 - struktura, sadržaj, atributi i hashtagovi
- Vremenski okvir za tranziciju i vaše sljedeće korake
Tema CRITIS-a: Zakon o IT sigurnosti fokusira se na kritične infrastrukture iz različitih sektora, kao što su snabdijevanje električnom energijom, plinom i vodom, transport, finansije, hrana i zdravstvo. Ovdje je glavni fokus na zaštiti IT infrastrukture od sajber kriminala kako bi se održala dostupnost i sigurnost IT sistema. Posebno se moraju zaštititi današnji digitalno kontrolisani sistemi daljinskog upravljanja.
Ovi ciljevi zaštite su u prvom planu (izvod):
ISO/IEC 27001:2022 – Sigurnost informacija, kibernetička sigurnost i zaštita privatnosti – Sistemi upravljanja sigurnošću informacija – Zahtjevi
Revidirana verzija objavljena je 25. oktobra 2022. Trenutna verzija (ISO/IEC 27001:2013) će ostati važeća do oktobra 2025. godine.
Naziv ovog važnog standarda jasno pokazuje da IT sigurnost danas igra glavnu ulogu u sigurnosti informacija i da će nastaviti da raste na važnosti u budućnosti. Međutim, zahtjevi postavljeni u ISO 27001 nisu direktno usmjereni samo na digitalne IT sisteme. Naprotiv:
U principu, ne pravi se razlika u pogledu analognog ili digitalnog načina na koji se ove informacije obrađuju ili trebaju biti zaštićene.
Za vrijednija znanja o sigurnosti informacija i mogućnosti procjene, posjetite ISO 27001 certifikacija.
Uspješno implementiran ISMS podržava holističku sigurnosnu strategiju: uključuje organizacijske mjere, sigurnosno svjesno upravljanje osobljem, sigurnost raspoređenih IT struktura i usklađenost sa zakonskim zahtjevima.
Naš vodič za audit ISO 27001 - Aneks A kreirali su vodeći stručnjaci kao praktičnu pomoć u implementaciji i idealan je za bolje razumijevanje odabranih zahtjeva standarda. Smjernice su zasnovane na ISO/IEC 27001:2017. Budući da je revidirana verzija objavljena 25. oktobra 2022. godine, informacije o promjenama ćemo dodati čim budu dostupne.
Svako ko je želio mogao je primijeniti zahtjeve standarda ISO 27001 na potpuno analogni sistem i na kraju dobiti isto koliko i neko ko je primijenio zahtjeve na potpuno digitalni sistem. Tek u Anex-u A poznatog ISMS standarda, koji sadrži ciljeve i mjere za korisnike, pojavljuju se pojmovi kao što su rad na daljinu ili mobilni uređaji. Ali čak i mjere u Anex-u A standarda nas podsjećaju da još uvijek postoje analogni procesi i situacije u svakoj kompaniji koje se moraju uzeti u obzir u pogledu sigurnosti informacija.
Svako ko javno govori o osjetljivim temama putem pametnog telefona, na primjer u vozu, možda koristi digitalne komunikacijske kanale, ali njihovo nedolično ponašanje je zapravo analogno. A svako ko ne počisti svoj radni stol, bolje je da zaključa svoju kancelariju kako bi sačuvao povjerljivost. Barem se ovo prvo, kao jedna od najefikasnijih pojedinačnih mjera za sigurnu zaštitu informacija, do sada obično i dalje radi ručno...
IT sigurnost i sigurnost informacija su dva pojma koji (još) nisu zamjenjivi. Umjesto toga, IT sigurnost je komponenta informacione sigurnosti, koja zauzvrat uključuje i analogne činjenice, procese i komunikaciju – što je, uzgred, i danas u mnogim slučajevima uobičajeno. Međutim, sve veća digitalizacija sve više približava ove pojmove, tako da će razlika u značenju vjerovatno postati marginalnija na duži rok.
DQS je vaš stručnjak za audite i certifikacije - za sisteme upravljanja i procese. Sa 35 godina iskustva i znanjem 2.500 auditora širom svijeta, mi smo vaš kompetentan partner za certifikaciju za sve aspekte sigurnosti informacija i zaštite podataka.
Kontaktirajte nas!
Bez obaveza i besplatno.
Ne govorimo samo o profesionalnoj kompetenciji, mi je imamo: od svih naših DQS auditora možete očekivati mnogo godina praktičnog profesionalnog iskustva. Prikuplja se u organizacijama svih veličina i svake industrije. Uz ovu raznolikost, zajamčeno je da će vaš DQS vodeći auditor saosjećati sa situacijom u vašoj pojedinačnoj kompaniji i kulturom upravljanja. Naši auditori poznaju sisteme upravljanja iz vlastitog iskustva, tj. sami su postavili, upravljali i dalje razvijali ISMS - i znaju svakodnevne izazove iz vlastitog iskustva. Radujemo se razgovoru s vama.
Proizvodni menadžer u DQS-u za upravljanje sigurnošću informacija. Kao expert za standarde za područje informatičke sigurnosti i kataloga IT sigurnosti (kritične infrastrukture), André Säckel odgovoran je za sljedeće standarde i standarde specifične za industriju, između ostalog: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (informatička sigurnost u automobilskoj industriji). Takođe je član radne grupe ISO/IEC JTC 1/SC 27/WG 1 kao nacionalni delegat Njemačkog instituta za standardizaciju DIN.
