datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Ciljevi zaštite informacijske sigurnosti i njihovo značenje

André Saeckel

DQS stručnjak za standarde za informacijsku sigurnost
stu 11 , 2022
# Informacijska sigurnost vs. IT sigurnost

Zaštitni ciljevi informacijske sigurnosti su osnovne ključne točke za zaštitu informacija. Informacije predstavljaju značajnu ekonomsku vrijednost za svaku tvrtku, i to ne samo od danas. To je temelj njihove egzistencije, a time i bitan preduvjet za uspješno poslovanje. Stoga je očito - ili barem poželjno - da informacije moraju biti zaštićene. Međutim, još uvijek postoji veliki jaz između želje i stvarnosti.

SADRŽAJ

Koji su ciljevi zaštite informacijske sigurnosti?

Zbog neadekvatne sigurnosti u obradi informacija godišnje nastaju milijarde dolara štete. Ali kako se može postići odgovarajuća zaštita organizacijske imovine? I koji je najbolji način da tvrtka započne s temom informacijske sigurnosti?

Dobro strukturiran sustav upravljanja sigurnošću informacija (ISMS) prema ISO/IEC 27001 pruža optimalnu osnovu za učinkovitu implementaciju holističke sigurnosne strategije. Norma daje model za uvođenje, implementaciju, praćenje i poboljšanje razine zaštite. Kako bi to postigle, tvrtke i organizacije prvo bi se trebale pozabaviti trima temeljnim ciljevima zaštite informacijske sigurnosti:

  • Povjerljivost
  • Integritet
  • Dostupnost

 Povjerljivost podataka

Cilj je zaštititi povjerljive podatke od neovlaštenog pristupa, bilo iz razloga zakona o zaštiti podataka ili na temelju poslovnih tajni pokrivenih npr. Zakonom o poslovnoj tajni. Tajnost informacija i osjetljivih podataka stoga je osigurana ako im pristup imaju samo one osobe koje za to imaju ovlasti (ovlasti). Pristup znači, na primjer, čitanje, uređivanje (mijenjanje) ili čak brisanje.

Poduzete mjere stoga moraju osigurati da samo ovlaštene osobe imaju pristup povjerljivim informacijama - neovlaštene osobe ni pod kojim uvjetima. To se također odnosi na informacije na papiru, koje mogu nezaštićeno stajati na stolu i pozivati na čitanje, ili na prijenos podataka kojima se ne može pristupiti tijekom njihove obrade.

Naš vodič za audit ISO 27001 - Dodatak A osmislili su vodeći stručnjaci kao praktičnu pomoć pri implementaciji. Idealan je za bolje razumijevanje odabranih zahtjeva norme. Temelji se na normi ISO/IEC 27001:2017, čija se revizija očekuje do kraja 2022. godine.

Preuzmite Vodič za audit besplatno

Za ovlaštene osobe također je potrebno navesti vrstu pristupa koju trebaju imati, što smiju, odnosno dužni su činiti, a što ne smiju. Mora se osigurati da ne mogu činiti ono što ne smiju. Metode i tehnike koje se koriste u ovom procesu su različite iu nekim slučajevima specifične za tvrtku.

Ako se radi "samo" o neovlaštenom pregledavanju ili otkrivanju informacija (također i tijekom prijenosa, klasično: e-mail promet!), kriptografske mjere se mogu koristiti za zaštitu povjerljivosti, na primjer. Ako je cilj spriječiti neovlašteno mijenjanje informacija, cilj zaštite "integritet" dolazi u obzir.

ISO/IEC 27001:2022 -- Informacijska sigurnost, kibernetička sigurnost i zaštita privatnosti - Sustavi upravljanja sigurnošću informacija - Zahtjevi

Revidirana ISONorma objavljena je 25.10.2022. ISO/IEC 27001:2013 je još valjan kroz prijelazno razdoblje od tri godine do listopada 2025. godine.

Standard je dostupan na ISO web stranici.

Cjelovitost informacija

Tehnički izraz integritet povezan je s nekoliko zahtjeva odjednom:

  • Nenamjerne promjene informacija moraju biti nemoguće ili barem detektirane i sljedive. U praksi se primjenjuje sljedeća gradacija:
    - Visok (jak) integritet sprječava neželjene promjene.
    - Nizak (slab) integritet možda neće spriječiti promjene, ali osigurava da se (nenamjerne) promjene mogu otkriti i, ako je potrebno, pratiti (sljedivost).
  • Pouzdanost podataka i sustava mora biti zajamčena.
  • Cjelovitost informacija mora biti zajamčena.

Mjere usmjerene na povećanje integriteta informacija stoga također ciljaju na pitanje autorizacije pristupa u vezi sa zaštitom od vanjskih i unutarnjih napada.

"Dok su riječi "povjerljivost" i "dostupnost" lako razumljive, gotovo same po sebi razumljive, u smislu klasičnih ciljeva zaštite informacijske sigurnosti, tehnički izraz "integritet" zahtijeva neko objašnjenje. Ono što se misli je ispravnost (podataka i sustava), potpunost ili sljedivost (promjena)."

Dostupnost informacija

Dostupnost informacija znači da ti podaci, uključujući potrebne informatičke sustave, moraju biti dostupni svakoj ovlaštenoj osobi u bilo koje vrijeme i upotrebljivi (funkcionalni) u potrebnoj mjeri. Ako sustav zakaže ili zgrada nije dostupna, potrebne informacije nisu dostupne. U određenim slučajevima to može dovesti do poremećaja s dalekosežnim posljedicama, primjerice u održavanju procesa.

Stoga ima smisla provesti analizu rizika s obzirom na vjerojatnost kvara sustava, njegovo moguće trajanje i štetu uzrokovanu nedostatkom IT sigurnosti. Učinkovite protumjere mogu se izvesti iz rezultata i izvršiti ako dođe do najgoreg.

Što su "prošireni" ciljevi zaštite?

Uz sigurnosne ciljeve povjerljivosti, cjelovitosti i dostupnosti, postoje tri dodatna sigurnosna cilja. To uključuje dva aspekta "posvećenosti" i "odgovornosti", koji se međusobno nadopunjuju. Prvo znači osigurati da akter ne može zanijekati svoju radnju, a drugo da mu se ta radnja može pouzdano pripisati. Oba se svode na jedinstvenu identifikaciju aktera, a izdavanje jedinstvenih lozinki je minimalni zahtjev za to.

Treći prošireni cilj zaštite je "autentičnost", tj. izvornost. Jednostavno pitanje u ovom kontekstu glasi: Jesu li informacije autentične – dolaze li doista iz navedenog izvora? Ovaj cilj zaštite važan je za procjenu pouzdanosti izvora.

Man and a woman with a laptop in a server room

Informacije od vrijednosti su današnje zlato - a također i imovina koju treba zaštititi za vašu tvrtku. Ovdje pročitajte odgovore na najvažnija pitanja o ISO 27001.

Zaštitni ciljevi informacijske sigurnosti: Zaključak

Tri najvažnija zaštitna cilja informacijske sigurnosti su "povjerljivost", "integritet" i "dostupnost".

Povjerljivost: Da biste je mogli jamčiti, morate jasno definirati tko je ovlašten pristupiti ovim osjetljivim podacima i na koji način. To je povezano s odgovarajućim autorizacijama pristupa i korištenjem kriptografskih tehnika, na primjer.

Integritet podrazumijeva zaštitu od neovlaštenih promjena i brisanja informacija, te pouzdanost i potpunost informacija. Stoga je važno da vaša tvrtka poduzme mjere opreza kako bi brzo otkrila promjene podataka ili spriječila neovlaštenu manipulaciju iz temelja.

Dostupnost znači da informacije, sustavi i zgrade moraju biti dostupni ovlaštenim osobama u svakom trenutku. Budući da su kvarovi sustava, na primjer, povezani s velikim rizicima, potrebno je provesti analizu rizika za ovaj kompleks tema. Ovdje zabilježite vjerojatnost kvara, vrijeme zastoja i potencijal oštećenja najnužnijih sustava.

Predanost, odgovornost i autentičnost su "prošireni" ciljevi zaštite.

Predanost podrazumijeva da se osigura da akter ne može poreći svoje radnje. Odgovornost nadopunjuje ovaj prošireni cilj zaštite jasnim identificiranjem takvog aktera. Autentičnost postavlja pitanje: Je li neka informacija istinita ili pouzdana?

DQS - Što možete očekivati od nas

Informacijska sigurnost složena je tema koja daleko nadilazi IT sigurnost. Uključuje tehničke, organizacijske i infrastrukturne aspekte. Međunarodni standard ISO/IEC 27001 prikladan je za učinkovite zaštitne mjere u obliku sustava upravljanja sigurnošću informacija (ISMS).

DQS je vaš stručnjak za audite i certificiranje sustava upravljanja i procesa. S 35 godina iskustva i know-how 2500 auditora diljem svijeta, vaš smo kompetentan certifikacijski partner i pružamo odgovore na sva pitanja u vezi s ISO 27001 i sustavima upravljanja sigurnošću informacija.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Rado ćemo odgovoriti na vaša pitanja

Koliko truda morate očekivati da biste svoj sustav upravljanja informacijskom sigurnošću certificirali prema ISO 27001? Saznajte. Bez obveze i besplatno.

Kontaktirajte nas

Povjerenje i stručnost

Naše tekstove i brošure pišu isključivo naši stručnjaci za norme ili auditori s dugogodišnjim iskustvom. Ako imate pitanja o sadržaju teksta ili našim uslugama našem autoru, slobodno nam pošaljite e-mail.

Autor
André Saeckel

Voditelj proizvoda u DQS-u za upravljanje informacijskom sigurnošću. Kao stručnjak za standarde za područje informacijske sigurnosti i kataloga IT sigurnosti (kritične infrastrukture), André Säckel je odgovoran za sljedeće opće standarde i standarde specifične za industriju, između ostalog: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (informacijska sigurnost u automobilskoj industriji). Također je član radne skupine ISO/IEC JTC 1/SC 27/WG 1 kao nacionalni delegat Njemačkog instituta za normiranje (DIN).

Imate li pitanja?

Tu smo za vas.
Obratite nam se