Cíle ochrany bezpečnosti informací jsou základními klíčovými body pro ochranu informací. Informace představují pro každou společnost významnou ekonomickou hodnotu, a to nejen od dnešního dne. Jsou základem jejich existence, a tedy nezbytným předpokladem úspěšného podnikání. Je tedy zřejmé - nebo přinejmenším žádoucí - že informace musí být chráněny. Mezi přáním a skutečností však stále existuje velká propast.
Kvůli nedostatečnému zabezpečení při zpracování informací vznikají ročně škody za miliardy dolarů. Jak však lze dosáhnout odpovídající ochrany aktiv organizace? A jak nejlépe může firma začít s tématem informační bezpečnosti?
Optimální základ pro efektivní implementaci komplexní bezpečnostní strategie představuje dobře strukturovaný systém řízení bezpečnosti informací (ISMS) podle normy ISO/IEC 27001. Norma poskytuje model pro zavedení, implementaci, monitorování a zlepšování úrovně ochrany. Za tímto účelem by se společnosti a organizace měly nejprve zabývat třemi základními cíli ochrany bezpečnosti informací:
Cílem je chránit důvěrné údaje před neoprávněným přístupem, ať už z důvodů zákonů na ochranu údajů, nebo na základě obchodního tajemství, na které se vztahuje např. zákon o obchodním tajemství . Důvěrnost informací a citlivých údajů je tedy zajištěna, pokud k nim mají přístup pouze osoby, které jsou k tomu oprávněny (autorizovány). Přístupem se rozumí např. čtení, editace (změna) nebo i mazání.
Přijatá opatření proto musí zajistit, aby k důvěrným informacím měly přístup pouze oprávněné osoby - neoprávněné osoby v žádném případě. To platí i pro informace na papíře, které mohou ležet nechráněné na stole a vybízet k přečtení, nebo pro přenos údajů, k nimž nelze přistupovat v průběhu jejich zpracování.
Naše příručka pro audit ISO 27001 - příloha A byla vytvořena předními odborníky jako praktická pomůcka pro implementaci a je ideální pro lepší pochopení vybraných požadavků normy. Příručka vychází z normy ISO/IEC 27001:2017, přičemž revize normy ISO se očekává do konce roku 2022.
U oprávněných osob je také nutné specifikovat, jaký typ přístupu by měly mít, co smějí nebo musí dělat a co dělat nesmějí. Je třeba zajistit, aby nemohly dělat to, co jim není dovoleno. Metody a techniky používané v tomto procesu jsou různé a v některých případech specifické pro danou společnost.
Pokud se jedná "pouze" o neoprávněné prohlížení nebo vyzrazení informací (i při přenosu, klasika: e-mailový provoz!), lze použít například kryptografická opatření na ochranu důvěrnosti. Pokud je cílem zabránit neoprávněné modifikaci informací, přichází na řadu cíl ochrany "integrita".
ISO/IEC 27001:2022 - Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí - Systémy řízení bezpečnosti informací - Požadavky
Revidovaná norma ISO byla zveřejněna 25.10.2022. Norma ISO/IEC 27001:2013 je stále platná po přechodné období tří let do října 2025.
Norma je dostupná na webových stránkách ISO.
Technický termín integrita je spojen hned s několika požadavky:
Opatření zaměřená na zvýšení integrity informací se proto zaměřují také na problematiku autorizace přístupu ve spojení s ochranou proti vnějším a vnitřním útokům.
"Zatímco slova " důvěrnost" a "dostupnost " jsou z hlediska klasických cílů ochrany bezpečnosti informací snadno pochopitelná, téměř samovysvětlující, technický termín"integrita" vyžaduje určité vysvětlení. Je tím míněna správnost (dat a systémů), úplnost nebo sledovatelnost (změn)."
Dostupnost informací znamená, že tyto informace, včetně požadovaných informačních systémů, musí být kdykoli přístupné každé oprávněné osobě a použitelné (funkční) v požadovaném rozsahu. Pokud systém selže nebo budova není přístupná, požadované informace nejsou dostupné. V určitých případech to může vést k narušení s dalekosáhlými důsledky, například při údržbě procesů.
Proto má smysl provést analýzu rizik s ohledem na pravděpodobnost selhání systému, jeho možnou dobu trvání a případné škody způsobené nedostatečným zabezpečením IT. Z výsledků lze odvodit účinná protiopatření a provést je v případě, že dojde k nejhoršímu.
Kromě bezpečnostních cílů důvěrnosti, integrity a dostupnosti existují tři další bezpečnostní cíle. Patří mezi ně dva aspekty "závaznosti" a "odpovědnosti", které se vzájemně doplňují. První z nich znamená zajištění toho, aby aktér nemohl popřít svou činnost, druhý, aby mu tato činnost mohla být spolehlivě připsána. Obojí se omezuje na jedinečnou identifikovatelnost aktérů a vydávání jedinečných hesel je pro to minimálním požadavkem.
Třetím rozšířeným cílem ochrany je "autenticita", tj. pravost. Jednoduchá otázka v této souvislosti zní: Je informace pravá - pochází skutečně z uvedeného zdroje? Tento cíl ochrany je důležitý pro posouzení důvěryhodnosti zdroje.
Hodnotné informace jsou dnes zlatem - a také aktivem, které je třeba pro vaši společnost chránit. Přečtěte si odpovědi na nejdůležitější otázky týkající se normy ISO 27001 zde.
Tři nejdůležitější cíle ochrany bezpečnosti informací jsou "důvěrnost", "integrita" a "dostupnost".
Důvěrnost: Abyste ji mohli zaručit, musíte jasně definovat, kdo a jakým způsobem je oprávněn k těmto citlivým údajům přistupovat. To souvisí s vhodnými přístupovými oprávněními a používáním například kryptografických technik.
Integrita znamená ochranu před neoprávněnými změnami a vymazáním informací a dále spolehlivost a úplnost informací. Proto je důležité, aby vaše společnost přijala opatření k rychlému odhalení změn v datech nebo k zabránění neoprávněné manipulaci s nimi od samého počátku.
Dostupnost znamená, že informace, systémy a budovy musí být vždy k dispozici oprávněným osobám. Vzhledem k tomu, že například selhání systému je spojeno s velkými riziky, měla by být pro tento komplex témat provedena analýza rizik. Zaznamenejte zde pravděpodobnost selhání, dobu výpadku a potenciál poškození nejpotřebnějších systémů.
Závazky, odpovědnost a autenticita jsou "rozšířenými" cíli ochrany.
Závazkem se rozumí zajištění toho, aby aktér nemohl popřít své jednání. Odpovědnost doplňuje tento rozšířený cíl ochrany tím, že takového aktéra jasně identifikuje. Autenticita si klade otázku: Je informace pravá nebo důvěryhodná?
Bezpečnost informací je komplexní téma, které zdaleka přesahuje rámec IT bezpečnosti. Zahrnuje technické, organizační a infrastrukturní aspekty. Pro účinná ochranná opatření v podobě systému řízení bezpečnosti informací (ISMS) je vhodná mezinárodní norma ISO/IEC 27001.
Společnost DQS je vaším specialistou na audity a certifikace systémů řízení a procesů. Díky 35 letům zkušeností a know-how 2 500 auditorů po celém světě jsme vaším kompetentním certifikačním partnerem a poskytujeme odpovědi na všechny otázky týkající se normy ISO 27001 a systémů řízení bezpečnosti informací.
S jakým úsilím musíte počítat, aby byl váš systém řízení bezpečnosti informací certifikován podle normy ISO 27001? Zjistěte to. Nezávazně a zdarma.
Naše texty a brožury píší výhradně naši odborníci na normy nebo auditoři s dlouholetými zkušenostmi. Máte-li jakékoli dotazy k obsahu textů nebo k našim službám pro autora, neváhejte nám poslat e-mail.
Produktový manažer společnosti DQS pro řízení bezpečnosti informací. Jako odborník na normy pro oblast informační bezpečnosti a bezpečnostního katalogu IT (kritické infrastruktury) je André Säckel zodpovědný mimo jiné za následující normy a oborové normy: ISO 27001, ISIS12, ISO 20000-1, KRITIS a TISAX (bezpečnost informací v automobilovém průmyslu). Je také členem pracovní skupiny ISO/IEC JTC 1/SC 27/WG 1 jako národní delegát Německého institutu pro normalizaci DIN.
