Dvije stvari koje se često brkaju jedna s drugom: sigurnost informacijske tehnologije (IT) i informacijska sigurnost. U doba digitalizacije informacije se obično obrađuju, pohranjuju ili prenose uz pomoć informacijskih tehnologija (IT), ali često je informacijska sigurnost još uvijek više analogna nego mislimo. Zapravo su sigurnost informacijske tehnologije (IT) i informacijska sigurnost prilično usko povezane. Stoga je za učinkovitu zaštitu povjerljivih informacija, kao i samog IT-a, potreban sustavni pristup.
Loading...
CONTENT
- Sigurnost informacijske tehnologije (IT) vs. Informacijska sigurnost
- Ciljevi zaštite informacijske sigurnosti
- Sigurnost informacijske tehnologije (IT) prema definiciji
- Informacijska sigurnost = Sigurnost informacijske tehnologije (IT) plus X
- Sigurnost informacijske tehnologije prema zakonu, primjer iz Njemačke
- ISO 27001 - norma za informacijsku sigurnost
- Informacijska sigurnost je često više analogna nego mislimo
- Sigurnost informacijske tehnologije vs. Informacijska sigurnost - Zaključak
- Što možete očekivati od nas
Sigurnost informacijske tehnologije vs. informacijska sigurnost
Informacijska sigurnost je više od same sigurnosti informacijske tehnologije (IT). Usredotočena je na cijelu organizaciju.
Uostalom, sigurnost povjerljivih informacija nije usmjerena samo na podatke koje obrađuju elektronički sustavi. Informacijska sigurnost obuhvaća svu korporativnu imovinu koju treba zaštititi, uključujući i onu na analognim nosačima podataka kao što je papir.
"Sigurnost informacijskih tehnologija (IT) i informacijska sigurnost su dva pojma koja (još uvijek) nisu zamjenjiva."
Ciljevi zaštite kod informacijske sigurnosti
Tri ključna cilja zaštite kod informacijske sigurnosti - povjerljivost, dostupnost i integritet - stoga se npr. odnose i na pismo koje sadrži važnu ugovornu dokumentaciju, koje mora stići do primatelja na vrijeme, pouzdano i netaknuto, prevezeno kurirskom službom, ali potpuno analogno. A ovi se ciljevi zaštite jednako primjenjuju i na list papira koji sadrži povjerljive informacije, ali koji leži na stolu bez nadzora gdje ga bilo tko može vidjeti ili čeka u fotokopiraonici potpuno otvoreno neovlaštenom pristupu.
Dakle, informacijska sigurnost ima širi opseg od sigurnosti informacijske tehnologije (IT). Sigurnost IT-a se, s druge strane, odnosi "samo" na zaštitu informacija na sustavima informacijskih tehnologija (IT).
Sigurnost informacijske tehnologije (IT) prema definiciji
Što kažu službena tijela? Sigurnost informacijske tehnologije (IT) je "stanje u kojem su rizici prisutni u korištenju informacijske tehnologije zbog prijetnji i ranjivosti odgovarajućim mjerama svedeni na prihvatljivu razinu. Sigurnost informacijske tehnologije (IT) je dakle stanje u kojem su povjerljivost, integritet i dostupnost informacija i informacijske tehnologije zaštićeni odgovarajućim mjerama." Prema njemačkom Saveznom uredu za informacijsku sigurnost (BSI).
Informacijska sigurnost = Sigurnost informacijske tehnologije plus X
U praksi se ponekad koristi drugačiji pristup, koristeći pravilo "informacijska sigurnost = sigurnost informacijske tehnologije + zaštita podataka". Ova izjava, zapisana kao jednadžba, prilično je upečatljiva. Doduše, pitanje zaštite podataka prema europskoj OUZP (GDPR) odnosi se na zaštitu privatnosti, koja od obrađivača osobnih podataka zahtijeva da imaju i siguran informacijsku tehnologiju i, na primjer, osiguranu fizičku lokaciju – čime se isključuje fizički pristup evidenciji podataka o korisnicima. Međutim, to izostavlja važne analogne podatke koji ne zahtijevaju zaštitu privatnosti. Na primjer, građevinski planovi tvrtke i sl.
Pojam informacijske sigurnosti sadrži temeljne kriterije koji nadilaze aspekte same informacijske tehnologije, ali ih uvijek uključuju. Dakle, čak i jednostavne tehničke ili organizacijske mjere u okviru sigurnosti informacijske tehnologije uvijek se poduzimaju uzimajući u obzir odgovarajuću informacijsku sigurnost. Primjeri za to mogu biti:
- Osiguravanje napajanja hardvera
- Mjere protiv pregrijavanja hardvera
- Antivirusno skeniranje i sigurni programi
- Organizacija struktura mapa
- Instalacija i ažuriranje vatrozida
- Edukacija zaposlenih itd.
Očito je da računala i kompletni sustavi informacijske tehnologije sami po sebi ne bi trebali biti zaštićeni. Uostalom, bez informacija koje treba digitalno obraditi ili prenositi, hardver i softver postaju beskorisni.
Loading...
Pogledajte sada: Što se mijenja s novom normom ISO/IEC 27001:2022
Novo izdanje ISO/IEC 27001, prilagođeno suvremenim informacijskim rizicima, objavljeno je 25. listopada 2022. Što to znači za korisnike norme? U našoj besplatnoj snimci webinara saznat ćete više o:
- Novim značajkama ISO/IEC 27001:2022 - Okvir i Dodatak A
- ISO/IEC 27002:2022-02 - struktura, sadržaj, atributi i hashtagovi
- Vremenski okvir za prijelaz i novi koraci
Sigurnost informacijske tehnologije prema zakonu, primjer iz Njemačke
Tema CRITIS-a: Zakon o sigurnosti informacijske tehnologije usmjeren je na kritične infrastrukture iz različitih sektora, kao što su opskrba električnom energijom, plinom i vodom, transport, financije, hrana i zdravstvo. Ovdje je glavni fokus na zaštiti IT infrastrukture od kibernetičkog kriminala kako bi se održala dostupnost i sigurnost IT sustava. Posebno se moraju zaštititi današnji digitalno kontrolirani sustavi daljinskog upravljanja.
Ovi ciljevi zaštite su u prvom planu (izvadak):
- Razmatranje rizika sigurnosti informacijske tehnologije
- Izrada koncepta sigurnosti informacijske tehnologije
- Izrada planova za izvanredne situacije
- Poduzimanje općih mjera sigurnosti
- Nadzor internetske sigurnosti
- Korištenje kriptografskih metoda, itd.
ISO/IEC 27001:2022 - Informacijska sigurnost, kibernetička sigurnost i zaštita privatnosti - Sustavi upravljanja informacijskom sigurnošću -- Zahtjevi
Revidirano izdanje je objavljeno 25. listopada 2022. godine. Trenutno izdanje (ISO/IEC 27001:2013) prestat će vrijediti u listopadu 2025. godine.
Naziv ove važne norme jasno pokazuje da sigurnost informacijske tehnologije (IT) danas igra važnu ulogu u informacijskoj sigurnosti te da će joj značaj nastaviti rasti u budućnosti. Međutim, zahtjevi norme ISO 27001 nisu izravno usmjereni samo na digitalne IT sustave. Naprotiv:
"Kroz cijelu normu ISO/IEC 27001 "informacija" se spominje u širokom smislu riječi, bez iznimke."
U načelu se ne radi razlika između analognog i digitalnog načina obrade ili zaštite te informacije.
Za više informacija o informacijskoj sigurnosti i mogućnostima procjena posjetite stranicu o certifikaciji prema ISO 27001.
Uspješno implementiran sustav upravljanja informacijskom sigurnošću podržava holističku sigurnosnu strategiju koja uključuje organizacijske mjere, sigurno upravljanje osobljem, sigurnost korištenih IT struktura i usklađenost sa zakonskim zahtjevima.
Loading...
Vrijedno znanje: DQS vodič za audit
Naš vodič za audite ISO 27001 - Dodatak A napisali su vodeći stručnjaci kao praktičan alat za pomoć pri implementaciji te je idealan za bolje razumijevanje odabranih zahtjeva norme. Smjernice se temelje na normi ISO/IEC 27001:2017. Budući da je 25. listopada 2022. godine objavljeno revidirano izdanje, dodavat ćemo informacije o promjenama čim budu dostupne.
Informacijska sigurnost je često više analogna nego mislimo
Svatko tko to želi mogao bi primijeniti zahtjeve norme ISO 27001 na kompletno analogni sustav i na kraju imati jednake prednosti kao i netko tko je zahtjeve primijenio na potpuno digitalni sustav. Samo se u Dodatku A te poznate norme za sustave upravljanja informacijskom sigurnošću, koji sadrži mjerljive ciljeve i mjere za korisnike, pojavljuju pojmovi poput rada na daljinu ili mobilnih uređaja. Ali čak nas i mjere iz Dodatka A norme podsjećaju da u svakoj organizaciji postoje analogni procesi i situacije koji se moraju uzeti u obzir u kontekstu informacijske sigurnosti.
Svatko tko na mobitel glasno razgovara o osjetljivim temama u javnosti, ili na primjer u vlaku, možda koristi digitalne komunikacijske kanale, ali njegovo je ponašanje zapravo analogno. I svatko tko ne pospremi svoj stol trebao bi zaključati svoj ured da zadrži povjerljivost. Barem se ovo zadnje, kao jedna od najučinkovitijih pojedinačnih mjera za sigurnu zaštitu podataka, još uvijek obično radi ručno, do sada...
Sigurnost informacijske tehnologije vs. Informacijska sigurnost - Zaključak
Sigurnost informacijske tehnologije i informacijska sigurnost su dva pojma koja (još) nisu zamjenjiva. Sigurnost informacijske tehnologije je zapravo dio informacijske sigurnosti, koja uključuje i analogne podatke, procese i komunikaciju - koji su danas, usput rečeno, i dalje uobičajeni u mnogim slučajevima. Međutim, sve veća digitalizacija sve više zbližava ova dva pojma, pa će razlika u značenju s vremenom postati marginalna.
Što možete očekivati od nas
DQS je vaš stručnjak za audite i certifikacije - za sustave upravljanja i procese. S 35 godina iskustva i stručnim znanjem 25 000 auditora u cijelom svijetu, mi smo pouzdan certifikacijski partner za sve aspekte informacijske sigurnosti i zaštite podataka.
Imate li pitanja?
Obratite nam se!
Bez obaveza i besplatno.
Stručne kompetencije kod nas nisu samo tema razgovora: od svih DQS auditora možete očekivati dugogodišnje praktično profesionalno iskustvo prikupljeno u organizacijama svih veličina i iz svih industrija. Zbog te raznolikosti zajamčeno je da će vaš DQS auditor suosjećati s individualnom situacijom u vašoj organizaciji i vašom kulturom upravljanja. Naši auditori sustave upravljanja poznaju iz vlastitog iskustva, jer su i sami uspostavljali, vodili i razvijali sustave upravljanja informacijskom sigurnošću. Zato iz vlastitog iskustva znaju svakodnevne izazove. Veselimo se razgovoru s vama.
DQS newsletter
Ostanite u toku i prijavite se na naš newsletter!
Autor
André Saeckel
Voditelj proizvoda u DQS-u za upravljanje informacijskom sigurnošću. Kao stručnjak za standarde za područje informacijske sigurnosti i kataloga IT sigurnosti (kritične infrastrukture), André Säckel je odgovoran za sljedeće opće standarde i standarde specifične za industriju, između ostalog: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (informacijska sigurnost u automobilskoj industriji). Također je član radne skupine ISO/IEC JTC 1/SC 27/WG 1 kao nacionalni delegat Njemačkog instituta za normiranje (DIN).
Loading...