Οι στόχοι προστασίας της ασφάλειας των πληροφοριών είναι τα στοιχειώδη σημεία-κλειδιά για την προστασία των πληροφοριών. Οι πληροφορίες αντιπροσωπεύουν μια σημαντική οικονομική αξία για κάθε εταιρεία, και όχι μόνο από σήμερα. Αποτελούν το θεμέλιο της ύπαρξής τους και, ως εκ τούτου, βασική προϋπόθεση για την επιτυχή επιχειρηματική δραστηριότητα. Είναι επομένως προφανές -ή τουλάχιστον επιθυμητό- ότι οι πληροφορίες πρέπει να προστατεύονται. Ωστόσο, εξακολουθεί να υπάρχει μεγάλο χάσμα μεταξύ επιθυμίας και πραγματικότητας.

Loading...

Ποιοι είναι οι στόχοι προστασίας της ασφάλειας πληροφοριών;

Λόγω της ανεπαρκούς ασφάλειας στην επεξεργασία πληροφοριών, προκαλούνται ετησίως ζημιές δισεκατομμυρίων δολαρίων. Πώς όμως μπορεί να επιτευχθεί επαρκής προστασία των οργανωτικών περιουσιακών στοιχείων; Και ποιος είναι ο καλύτερος τρόπος για να ξεκινήσει μια εταιρεία το θέμα της ασφάλειας των πληροφοριών;

Ένα καλά δομημένο σύστημα διαχείρισης της ασφάλειας πληροφοριών (ISMS) σύμφωνα με το πρότυπο ISO/IEC 27001 παρέχει τη βέλτιστη βάση για την αποτελεσματική εφαρμογή μιας ολιστικής στρατηγικής ασφάλειας. Το πρότυπο παρέχει ένα μοντέλο για την εισαγωγή, την εφαρμογή, την παρακολούθηση και τη βελτίωση του επιπέδου προστασίας. Για να επιτευχθεί αυτό, οι εταιρείες και οι οργανισμοί θα πρέπει πρώτα να αντιμετωπίσουν τους τρεις θεμελιώδεις στόχους προστασίας της ασφάλειας των πληροφοριών:

  • Εμπιστευτικότητα
  • Ακεραιότητα
  • Διαθεσιμότητα

Στόχοι προστασίας της ασφάλειας των πληροφοριών: Εχεμύθεια των πληροφοριών

Ο στόχος είναι η προστασία των εμπιστευτικών δεδομένων από μη εξουσιοδοτημένη πρόσβαση, είτε για λόγους που απορρέουν από τη νομοθεσία περί προστασίας δεδομένων είτε βάσει εμπορικών μυστικών που καλύπτονται π.χ. από τον νόμο περί εμπορικών μυστικών . Η εμπιστευτικότητα των πληροφοριών και των ευαίσθητων δεδομένων διασφαλίζεται επομένως εάν έχουν πρόσβαση σε αυτά μόνο τα πρόσωπα που έχουν την εξουσία (εξουσιοδότηση) να το πράξουν. Πρόσβαση σημαίνει, για παράδειγμα, ανάγνωση, επεξεργασία (αλλαγή) ή ακόμη και διαγραφή.

Τα μέτρα που λαμβάνονται πρέπει επομένως να διασφαλίζουν ότι μόνο εξουσιοδοτημένα πρόσωπα έχουν πρόσβαση στις εμπιστευτικές πληροφορίες - μη εξουσιοδοτημένα πρόσωπα σε καμία περίπτωση. Αυτό ισχύει επίσης για τις πληροφορίες σε χαρτί, οι οποίες μπορεί να βρίσκονται απροστάτευτες σε ένα γραφείο και να προσκαλούν σε ανάγνωση, ή για τη διαβίβαση δεδομένων στα οποία δεν μπορεί να υπάρξει πρόσβαση κατά τη διάρκεια της επεξεργασίας τους.

Η εφαρμογή και η αποτελεσματικότητα των μέτρων που θέτει σε εφαρμογή μια εταιρεία για την επίτευξη αυτών των στόχων προστασίας αποτελούν βασικό χαρακτηριστικό του επιπέδου ασφάλειας των πληροφοριών της.

Πολύ χρήσιμο για τους χρήστες του διεθνώς αναγνωρισμένου προτύπου ασφάλειας πληροφοριών ISO 27001 (ή για όσους ενδιαφέρονται γι' αυτό) είναι το παράρτημα Α. Το παράρτημα αυτό παρέχει στόχους και μέτρα αναφοράς για τις σημαντικότερες καταστάσεις που σχετίζονται με την ασφάλεια πληροφοριών.

Για τα εξουσιοδοτημένα πρόσωπα, είναι επίσης απαραίτητο να καθοριστεί ο τύπος πρόσβασης που πρέπει να έχουν, τι επιτρέπεται ή απαιτείται να κάνουν και τι δεν επιτρέπεται να κάνουν. Πρέπει να διασφαλίζεται ότι δεν μπορούν να κάνουν ό,τι δεν τους επιτρέπεται να κάνουν. Οι μέθοδοι και οι τεχνικές που χρησιμοποιούνται σε αυτή τη διαδικασία είναι ποικίλες και σε ορισμένες περιπτώσεις ειδικές για κάθε εταιρεία.

Εάν πρόκειται "μόνο" για μη εξουσιοδοτημένη προβολή ή αποκάλυψη πληροφοριών (και κατά τη διάρκεια της μετάδοσης, κλασικό παράδειγμα: κίνηση ηλεκτρονικού ταχυδρομείου!), μπορούν να χρησιμοποιηθούν κρυπτογραφικά μέτρα για την προστασία της εμπιστευτικότητας, για παράδειγμα. Εάν ο στόχος είναι να αποτραπεί η μη εξουσιοδοτημένη τροποποίηση των πληροφοριών, μπαίνει στο παιχνίδι ο στόχος προστασίας "ακεραιότητα".

ISO/IEC 27001:2013- Τεχνολογία πληροφοριών - Τεχνικές ασφάλειας - Συστήματα διαχείρισης της ασφάλειας πληροφοριών - Απαιτήσεις
Το πρότυπο είναι διαθέσιμο από την ιστοσελίδα του ISO.

Στόχοι προστασίας της ασφάλειας πληροφοριών: Ακεραιότητα των πληροφοριών

Ο τεχνικός όρος ακεραιότητα συνδέεται με πολλές απαιτήσεις ταυτόχρονα:

  • Οι ακούσιες αλλαγές στις πληροφορίες πρέπει να είναι αδύνατες ή τουλάχιστον ανιχνεύσιμες και ανιχνεύσιμες. Στην πράξη ισχύει η ακόλουθη διαβάθμιση:
    - Η υψηλή (ισχυρή) ακεραιότητα αποτρέπει τις ανεπιθύμητες αλλαγές.
    - Χαμηλή (ασθενής) ακεραιότητα μπορεί να μην αποτρέπει τις αλλαγές, αλλά εξασφαλίζει ότι οι (ακούσιες) αλλαγές μπορούν να ανιχνευθούν και, εάν είναι απαραίτητο, να εντοπιστούν (ιχνηλασιμότητα).
  • Η αξιοπιστία των δεδομένων και των συστημάτων πρέπει να είναι εγγυημένη.
  • Η πληρότητα των πληροφοριών πρέπει να είναι εγγυημένη.

Τα μέτρα που αποσκοπούν στην αύξηση της ακεραιότητας των πληροφοριών στοχεύουν επομένως και στο ζήτημα της εξουσιοδότησης πρόσβασης σε συνδυασμό με την προστασία από εξωτερικές και εσωτερικές επιθέσεις.

"Ενώ οι λέξεις " εμπιστευτικότητα" και "διαθεσιμότητα " είναι εύκολα κατανοητές, σχεδόν αυτονόητες, όσον αφορά τους κλασικούς στόχους προστασίας της ασφάλειας των πληροφοριών, ο τεχνικός όρος"ακεραιότητα" απαιτεί κάποιες εξηγήσεις. Αυτό που εννοείται είναι η ορθότητα (των δεδομένων και των συστημάτων), η πληρότητα ή η ιχνηλασιμότητα (των αλλαγών)."

Στόχοι προστασίας της ασφάλειας των πληροφοριών: Διαθεσιμότητα των πληροφοριών

Διαθεσιμότητα των πληροφοριών σημαίνει ότι οι πληροφορίες αυτές, συμπεριλαμβανομένων των απαιτούμενων συστημάτων ΤΠ, πρέπει να είναι προσβάσιμες σε κάθε εξουσιοδοτημένο πρόσωπο ανά πάσα στιγμή και να είναι χρησιμοποιήσιμες (λειτουργικές) στον απαιτούμενο βαθμό. Εάν ένα σύστημα αποτύχει ή ένα κτίριο δεν είναι προσβάσιμο, οι απαιτούμενες πληροφορίες δεν είναι διαθέσιμες. Σε ορισμένες περιπτώσεις, αυτό μπορεί να οδηγήσει σε διαταραχές με εκτεταμένες συνέπειες, για παράδειγμα στη διατήρηση των διαδικασιών.

Επομένως, είναι λογικό να διεξάγεται ανάλυση κινδύνου με σκοπό την πιθανότητα αποτυχίας ενός συστήματος, την πιθανή διάρκειά της και τις τυχόν ζημίες που προκαλούνται από την έλλειψη ασφάλειας ΤΠ. Από τα αποτελέσματα μπορούν να εξαχθούν αποτελεσματικά αντίμετρα και να εκτελεστούν σε περίπτωση που συμβεί το χειρότερο.

Ποιοι είναι οι "εκτεταμένοι" στόχοι προστασίας;

Εκτός από τους στόχους ασφαλείας της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας, υπάρχουν τρεις πρόσθετοι στόχοι ασφαλείας. Αυτοί περιλαμβάνουν τις δύο πτυχές της "δέσμευσης" και της "λογοδοσίας", οι οποίες αλληλοσυμπληρώνονται. Η πρώτη σημαίνει ότι πρέπει να διασφαλιστεί ότι ένας φορέας δεν μπορεί να αρνηθεί την ενέργειά του, ενώ η δεύτερη ότι η ενέργεια αυτή μπορεί να του αποδοθεί αξιόπιστα. Και οι δύο καταλήγουν στη μοναδική αναγνωρισιμότητα των φορέων, και η έκδοση μοναδικών κωδικών πρόσβασης αποτελεί ελάχιστη απαίτηση για αυτό.

Ο τρίτος διευρυμένος στόχος προστασίας είναι η "αυθεντικότητα", δηλαδή η γνησιότητα. Μια απλή ερώτηση σε αυτό το πλαίσιο είναι: Προέρχονται πράγματι από την καθορισμένη πηγή; Αυτός ο στόχος προστασίας είναι σημαντικός για την αξιολόγηση της αξιοπιστίας της πηγής.

Man and a woman with a laptop in a server room
Loading...

Οι πολύτιμες πληροφορίες είναι ο χρυσός του σήμερα - και επίσης ένα περιουσιακό στοιχείο που πρέπει να προστατευθεί για την εταιρεία σας. Διαβάστε απαντήσεις στις πιο σημαντικές ερωτήσεις σχετικά με το ISO 27001 εδώ.

Στόχοι προστασίας της ασφάλειας των πληροφοριών: Συμπεράσματα

Οι τρεις σημαντικότεροι στόχοι προστασίας της ασφάλειας πληροφοριών είναι η "εμπιστευτικότητα", η "ακεραιότητα" και η "διαθεσιμότητα".

Εμπιστευτικότητα: Για να μπορέσετε να την εγγυηθείτε, πρέπει να ορίσετε με σαφήνεια ποιος είναι εξουσιοδοτημένος να έχει πρόσβαση σε αυτά τα ευαίσθητα δεδομένα και με ποιον τρόπο. Αυτό συνδέεται με τις κατάλληλες εξουσιοδοτήσεις πρόσβασης και τη χρήση κρυπτογραφικών τεχνικών, για παράδειγμα.

Ακεραιότητα: σημαίνει προστασία από μη εξουσιοδοτημένες αλλαγές και διαγραφές πληροφοριών, καθώς και την αξιοπιστία και την πληρότητα των πληροφοριών. Επομένως, είναι σημαντικό για την εταιρεία σας να λαμβάνει προφυλάξεις για τον γρήγορο εντοπισμό αλλαγών στα δεδομένα ή για την αποτροπή μη εξουσιοδοτημένης χειραγώγησης από την αρχή.

Διαθεσιμότητα σημαίνει ότι οι πληροφορίες, τα συστήματα και τα κτίρια πρέπει να είναι ανά πάσα στιγμή διαθέσιμα στα εξουσιοδοτημένα άτομα. Δεδομένου ότι οι αστοχίες των συστημάτων, για παράδειγμα, συνδέονται με σημαντικούς κινδύνους, θα πρέπει να διενεργείται ανάλυση κινδύνου για αυτό το σύμπλεγμα θεμάτων. Καταγράψτε εδώ την πιθανότητα αποτυχίας, τον χρόνο διακοπής λειτουργίας και το δυναμικό ζημιών των πιο απαραίτητων συστημάτων.

Η δέσμευση, η υπευθυνότητα και η αυθεντικότητα αποτελούν "διευρυμένους" στόχους προστασίας.

Ωςδέσμευση νοείται η εξασφάλιση ότι ένας φορέας δεν μπορεί να αρνηθεί τις ενέργειές του. Η υπευθυνότητα συμπληρώνει αυτόν τον εκτεταμένο στόχο προστασίας με τον σαφή προσδιορισμό ενός τέτοιου δράστη. Η αυθεντικότητα θέτει το ερώτημα: Είναι μια πληροφορία γνήσια ή αξιόπιστη;

DQS - Τι μπορείτε να περιμένετε από εμάς

Η ασφάλεια των πληροφοριών είναι ένα σύνθετο θέμα που υπερβαίνει κατά πολύ την ασφάλεια της πληροφορικής. Περιλαμβάνει τεχνικές, οργανωτικές και υποδομικές πτυχές. Το διεθνές πρότυπο ISO/IEC 27001 είναι κατάλληλο για αποτελεσματικά μέτρα προστασίας με τη μορφή ενός συστήματος διαχείρισης της ασφάλειας των πληροφοριών (ISMS).

Η DQS είναι ο ειδικός σας για ελέγχους και πιστοποιήσεις συστημάτων διαχείρισης και διαδικασιών. Με 35 χρόνια εμπειρίας και την τεχνογνωσία 2.500 ελεγκτών παγκοσμίως, είμαστε ο αρμόδιος συνεργάτης σας για την πιστοποίηση και παρέχουμε απαντήσεις σε όλες τις ερωτήσεις σχετικά με το ISO 27001 και τα συστήματα διαχείρισης της ασφάλειας πληροφοριών.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Θα χαρούμε να απαντήσουμε στις ερωτήσεις σας

Με πόση προσπάθεια πρέπει να υπολογίζετε για να πιστοποιηθεί το σύστημα διαχείρισης της ασφάλειας των πληροφοριών σας σύμφωνα με το ISO 27001; Μάθετε περισσότερα. Χωρίς καμία υποχρέωση και δωρεάν.

Εμπιστοσύνη και τεχνογνωσία

Τα κείμενα και τα φυλλάδιά μας γράφονται αποκλειστικά από τους ειδικούς μας στα πρότυπα ή από ελεγκτές με πολυετή εμπειρία. Εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με το περιεχόμενο του κειμένου ή τις υπηρεσίες μας προς τον συγγραφέα μας, μη διστάσετε να μας στείλετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου.

Συγγραφέας
André Saeckel

Υπεύθυνος προϊόντων στην DQS για τη διαχείριση της ασφάλειας πληροφοριών. Ως εμπειρογνώμονας προτύπων για τον τομέα της ασφάλειας των πληροφοριών και του καταλόγου ασφάλειας ΤΠ (κρίσιμες υποδομές), ο André Säckel είναι υπεύθυνος για τα ακόλουθα πρότυπα και τα ειδικά για τον κλάδο πρότυπα, μεταξύ άλλων: ISO 27001, ISIS12, ISO 20000-1, KRITIS και TISAX (ασφάλεια πληροφοριών στην αυτοκινητοβιομηχανία). Είναι επίσης μέλος της ομάδας εργασίας ISO/IEC JTC 1/SC 27/WG 1 ως εθνικός αντιπρόσωπος του Γερμανικού Ινστιτούτου Τυποποίησης DIN.

Loading...