Δύο πράγματα που συχνά συγχέονται μεταξύ τους: η ασφάλεια της τεχνολογίας πληροφοριών (ΤΠ) και η ασφάλεια των πληροφοριών. Στην εποχή της ψηφιοποίησης, οι πληροφορίες συνήθως επεξεργάζονται, αποθηκεύονται ή μεταφέρονται με τη βοήθεια της πληροφορικής - Στην εποχή της ψηφιοποίησης, οι πληροφορίες συνήθως επεξεργάζονται, αποθηκεύονται ή μεταφέρονται με τη βοήθεια της πληροφορικής - αλλά συχνά η ασφάλεια των πληροφοριών εξακολουθεί να είναι πιο αναλογική από ό,τι νομίζουμε! Βασικά, η ασφάλεια ΤΠ και η ασφάλεια πληροφοριών είναι αρκετά στενά συνδεδεμένες. Επομένως, απαιτείται μια συστηματική προσέγγιση για την αποτελεσματική προστασία των εμπιστευτικών πληροφοριών, καθώς και της ίδιας της ΤΠ.

Loading...

Ασφάλεια πληροφορικής έναντι ασφάλειας πληροφοριών

Η ασφάλεια πληροφοριών είναι κάτι περισσότερο από την ασφάλεια της πληροφορικής. Επικεντρώνεται σε ολόκληρη την εταιρεία. Εξάλλου, η ασφάλεια των εμπιστευτικών πληροφοριών δεν στοχεύει μόνο στα δεδομένα που επεξεργάζονται τα ηλεκτρονικά συστήματα. Η ασφάλεια πληροφοριών περιλαμβάνει όλα τα εταιρικά περιουσιακά στοιχεία που πρέπει να προστατευθούν, συμπεριλαμβανομένων εκείνων που βρίσκονται σε αναλογικούς φορείς δεδομένων, όπως το χαρτί.

"Η ασφάλεια πληροφορικής και η ασφάλεια πληροφοριών είναι δύο όροι που δεν είναι (ακόμη) εναλλάξιμοι".

Στόχοι προστασίας της ασφάλειας πληροφοριών

Οι τρεις βασικοί στόχοι προστασίας της ασφάλειας των πληροφοριών - εμπιστευτικότητα, διαθεσιμότητα και ακεραιότητα - ισχύουν επομένως και για μια επιστολή που περιέχει σημαντικά συμβατικά έγγραφα, η οποία πρέπει να φτάσει στην πόρτα του παραλήπτη εγκαίρως, αξιόπιστα και άθικτα, μεταφερόμενη από ταχυμεταφορέα, αλλά εντελώς αναλογικά. Και αυτοί οι στόχοι προστασίας ισχύουν εξίσου και για ένα φύλλο χαρτιού που περιέχει εμπιστευτικές πληροφορίες, το οποίο όμως βρίσκεται σε ένα αφύλακτο γραφείο για να το δει ο καθένας ή περιμένει στο φωτοτυπικό μηχάνημα, ελεύθερα προσβάσιμο, για μη εξουσιοδοτημένη πρόσβαση.

Συνεπώς, η ασφάλεια πληροφοριών έχει ευρύτερο πεδίο εφαρμογής από την ασφάλεια ΤΠ. Η ασφάλεια ΤΠ, από την άλλη πλευρά, αναφέρεται "μόνο" στην προστασία των πληροφοριών στα συστήματα ΤΠ.

Ασφάλεια ΤΠ σύμφωνα με τον ορισμό

Τι λένε οι επίσημοι φορείς; Η ασφάλεια ΤΠ είναι "μια κατάσταση στην οποία οι κίνδυνοι που υπάρχουν κατά τη χρήση της τεχνολογίας πληροφοριών λόγω απειλών και ευπαθειών μειώνονται σε αποδεκτό επίπεδο με κατάλληλα μέτρα. Επομένως, η ασφάλεια ΤΠ είναι η κατάσταση στην οποία η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των πληροφοριών και της τεχνολογίας πληροφοριών προστατεύονται με κατάλληλα μέτρα". Σύμφωνα με τη γερμανική ομοσπονδιακή υπηρεσία για την ασφάλεια των πληροφοριών (BSI).

Ασφάλεια πληροφοριών = ασφάλεια ΤΠ συν X

Στην πράξη, μερικές φορές ακολουθείται μια διαφορετική προσέγγιση, χρησιμοποιώντας τον κανόνα "ασφάλεια πληροφοριών = ασφάλεια ΤΠ + προστασία δεδομένων". Ωστόσο, αυτή η δήλωση, γραμμένη ως εξίσωση, είναι αρκετά εντυπωσιακή. Ομολογουμένως, το ζήτημα της προστασίας των δεδομένων στο πλαίσιο του ευρωπαϊκού ΓΚΠΔ αφορά την προστασία της ιδιωτικής ζωής, η οποία απαιτεί από τους εκτελούντες την επεξεργασία των προσωπικών δεδομένων να διαθέτουν τόσο ασφαλή ΤΠ όσο και, για παράδειγμα, ασφαλές κτιριακό περιβάλλον - αποκλείοντας έτσι τη φυσική πρόσβαση στα αρχεία δεδομένων των πελατών. Ωστόσο, αυτό αφήνει έξω σημαντικά αναλογικά δεδομένα που δεν απαιτούν προσωπική προστασία της ιδιωτικής ζωής. Για παράδειγμα, τα κατασκευαστικά σχέδια της εταιρείας και πολλά άλλα.

Ο όρος ασφάλεια πληροφοριών περιέχει θεμελιώδη κριτήρια που υπερβαίνουν τις καθαρές πτυχές της πληροφορικής, αλλά πάντα τις περιλαμβάνουν. Έτσι, συγκριτικά, ακόμη και απλά τεχνικά ή οργανωτικά μέτρα στο πλαίσιο της ασφάλειας ΤΠ λαμβάνονται πάντα στο πλαίσιο της κατάλληλης ασφάλειας πληροφοριών. Παραδείγματα αυτού μπορούν να είναι:

  • Η διασφάλιση της παροχής ρεύματος στο υλικό
  • Μέτρα κατά της υπερθέρμανσης του υλικού
  • Σαρώσεις ιών και ασφαλή προγράμματα
  • Οργάνωση δομών φακέλων
  • Ρύθμιση και ενημέρωση τειχών προστασίας
  • Εκπαίδευση των εργαζομένων κ.λπ.

Είναι προφανές ότι οι υπολογιστές και τα πλήρη συστήματα ΤΠ από μόνα τους δεν θα έπρεπε να προστατεύονται. Εξάλλου, χωρίς πληροφορίες που πρέπει να επεξεργαστούν ή να μεταφερθούν ψηφιακά, το υλικό και το λογισμικό καθίστανται άχρηστα.

Ασφάλεια ΤΠ βάσει νόμου, ένα παράδειγμα από τη Γερμανία

Το θέμα του CRITIS: Ο νόμος για την ασφάλεια των ΤΠ επικεντρώνεται σε κρίσιμες υποδομές από διάφορους τομείς, όπως η ηλεκτρική ενέργεια, η παροχή φυσικού αερίου και νερού, οι μεταφορές, η χρηματοδότηση, τα τρόφιμα και η υγεία. Εδώ, η κύρια εστίαση είναι η προστασία των υποδομών ΤΠ από το έγκλημα στον κυβερνοχώρο, προκειμένου να διατηρηθεί η διαθεσιμότητα και η ασφάλεια των συστημάτων ΤΠ. Ειδικότερα, τα σημερινά ψηφιακά ελεγχόμενα συστήματα τηλεελέγχου πρέπει να προστατεύονται.

Αυτοί οι στόχοι προστασίας βρίσκονται στο προσκήνιο (απόσπασμα):

  • Εξέταση των κινδύνων για την ασφάλεια των ΤΠ
  • Δημιουργία εννοιών ασφάλειας ΤΠ
  • Δημιουργία σχεδίων έκτακτης ανάγκης
  • Λήψη γενικών προληπτικών μέτρων ασφαλείας
  • Έλεγχος της ασφάλειας του Διαδικτύου
  • Χρήση κρυπτογραφικών μεθόδων κ.λπ.

ISO 27001 - Το πρότυπο για την ασφάλεια των πληροφοριών

Τι λέει το ISO 27001; Το παγκοσμίως αναγνωρισμένο πρότυπο για ένα σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISMS), με τα παράγωγά του ISO 27019, ISO 27017 και ISO 27701, ονομάζεται:

ISO/IEC 27001:2017 - Τεχνολογία πληροφοριών - Τεχνικές ασφάλειας - Συστήματα διαχείρισης ασφάλειας πληροφοριών - Απαιτήσεις (ISO/IEC 27001:2013 συμπεριλαμβανομένων των Cor 1:2014 και Cor 2:2015).

Ο τίτλος αυτού του σημαντικού προτύπου καθιστά σαφές ότι η ασφάλεια της πληροφορικής διαδραματίζει σημαντικό ρόλο στην ασφάλεια των πληροφοριών σήμερα και θα συνεχίσει να αυξάνει τη σημασία της στο μέλλον. Ωστόσο, οι απαιτήσεις που ορίζονται στο ISO 27001 δεν απευθύνονται άμεσα μόνο στα ψηφιακά συστήματα ΤΠ. Αντιθέτως:

"Σε όλο το ISO/IEC 27001, η "πληροφορία" αναφέρεται παντού, χωρίς εξαίρεση".

Κατ' αρχήν, δεν γίνεται καμία διάκριση ως προς τον αναλογικό ή ψηφιακό τρόπο με τον οποίο οι πληροφορίες αυτές υποβάλλονται σε επεξεργασία ή πρέπει να προστατεύονται.

Ένα επιτυχώς εφαρμοζόμενο ΣΔΑΤ υποστηρίζει μια ολιστική στρατηγική ασφάλειας: περιλαμβάνει οργανωτικά μέτρα, διαχείριση προσωπικού με συνείδηση της ασφάλειας, ασφάλεια των αναπτυγμένων δομών ΤΠ και συμμόρφωση με τις νομικές απαιτήσεις.

Η ασφάλεια των πληροφοριών είναι συχνά πιο αναλογική από ό,τι νομίζουμε

Όποιος ήθελε θα μπορούσε να εφαρμόσει τις τυπικές απαιτήσεις του ISO 27001 πάνω σε ένα εντελώς αναλογικό σύστημα και να καταλήξει εξίσου με κάποιον που εφάρμοσε τις απαιτήσεις σε ένα εξ ολοκλήρου ψηφιακό σύστημα. Μόνο στο παράρτημα Α του γνωστού προτύπου ISMS, το οποίο περιέχει στόχους μέτρων και μέτρα για τους χρήστες, εμφανίζονται όροι όπως η τηλεργασία ή οι κινητές συσκευές. Αλλά ακόμη και τα μέτρα στο παράρτημα Α του προτύπου μας υπενθυμίζουν ότι υπάρχουν ακόμη αναλογικές διαδικασίες και καταστάσεις σε κάθε εταιρεία που πρέπει να λαμβάνονται υπόψη όσον αφορά την ασφάλεια των πληροφοριών.

Όποιος μιλάει δυνατά για ευαίσθητα θέματα μέσω smartphone σε δημόσιο χώρο, για παράδειγμα στο τρένο, μπορεί να χρησιμοποιεί ψηφιακά κανάλια επικοινωνίας, αλλά το παράπτωμά του είναι στην πραγματικότητα αναλογικό. Και όποιος δεν καθαρίζει το γραφείο του, καλύτερα να κλειδώνει το γραφείο του για να διατηρηθεί η εμπιστευτικότητα. Τουλάχιστον το πρώτο, ως ένα από τα πιο αποτελεσματικά μεμονωμένα μέτρα για την ασφαλή προστασία των πληροφοριών, γίνεται συνήθως ακόμα με το χέρι, μέχρι στιγμής...

Ασφάλεια ΤΠ έναντι ασφάλειας πληροφοριών - Συμπέρασμα

Η ασφάλεια ΤΠ και η ασφάλεια πληροφοριών είναι δύο όροι που δεν είναι (ακόμη) εναλλάξιμοι. Αντίθετα, η ασφάλεια ΤΠ αποτελεί συστατικό στοιχείο της ασφάλειας των πληροφοριών, η οποία με τη σειρά της περιλαμβάνει επίσης αναλογικά γεγονότα, διαδικασίες και επικοινωνία - κάτι που, παρεμπιπτόντως, εξακολουθεί να αποτελεί κοινό τόπο σε πολλές περιπτώσεις σήμερα. Ωστόσο, η αυξανόμενη ψηφιοποίηση φέρνει τους όρους αυτούς όλο και πιο κοντά, έτσι ώστε η διαφορά στη σημασία τους να γίνει μάλλον πιο οριακή μακροπρόθεσμα.

Τι μπορείτε να περιμένετε από εμάς

Η DQS είναι ο ειδικός σας για ελέγχους και πιστοποιήσεις - για συστήματα διαχείρισης και διαδικασίες. Με 35 χρόνια εμπειρίας και την τεχνογνωσία 2.500 ελεγκτών παγκοσμίως, είμαστε ο αρμόδιος συνεργάτης σας για την πιστοποίηση όλων των πτυχών της ασφάλειας πληροφοριών και της προστασίας δεδομένων.

Έχετε ερωτήσεις;

Επικοινωνήστε μαζί μας!
Χωρίς υποχρέωση και δωρεάν.

Δεν μιλάμε απλώς για επαγγελματική επάρκεια, την έχουμε: Μπορείτε να περιμένετε πολλά χρόνια πρακτικής επαγγελματικής εμπειρίας από όλους τους ελεγκτές μας DQS. Συλλεγμένη σε οργανισμούς κάθε μεγέθους και κάθε κλάδου. Με αυτή την ποικιλομορφία είναι εγγυημένο ότι ο επικεφαλής ελεγκτής της DQS θα κατανοήσει την ατομική κατάσταση της εταιρείας σας και τη διοικητική κουλτούρα. Οι ελεγκτές μας γνωρίζουν τα συστήματα διαχείρισης από τη δική τους εμπειρία, δηλ. έχουν δημιουργήσει, διαχειριστεί και αναπτύξει περαιτέρω το ίδιο το ISMS - και γνωρίζουν τις καθημερινές προκλήσεις από τη δική τους εμπειρία. Ανυπομονούμε να συζητήσουμε μαζί σας.

Συγγραφέας
Gert Krueger

Εμπειρογνώμονας και υπεύθυνος έργων για την ασφάλεια πληροφοριών, το BSI-KritisV και την προστασία δεδομένων στην DQS. Επιπλέον, μακροχρόνιος ελεγκτής ποιότητας και περιβαλλοντικής διαχείρισης.

Loading...