Két dolog, amelyet gyakran összekeverünk egymással: az információtechnológiai (IT) biztonság és az információbiztonság. A digitalizáció korában az információk feldolgozása, tárolása vagy szállítása általában az IT segítségével történik - de gyakran az információbiztonság még mindig analógabb, mint gondolnánk! Alapvetően az IT-biztonság és az információbiztonság meglehetősen szorosan összefügg. Ezért a bizalmas információk, valamint magának az IT-nek a hatékony védelméhez szisztematikus megközelítésre van szükség.

Loading...

IT-biztonság vs. információbiztonság

Az információbiztonság több mint egyszerű IT-biztonság. Az egész vállalatra összpontosít. Hiszen a bizalmas információk biztonsága nem csak az elektronikus rendszerek által feldolgozott adatokra irányul. Az információbiztonság magában foglalja az összes védendő vállalati vagyontárgyat, beleértve az analóg adathordozókon, például papíron tároltakat is.

"Az IT-biztonság és az információbiztonság két olyan fogalom, amelyek (még) nem felcserélhetők egymással."

Az információbiztonság védelmi céljai

Az információbiztonság három alapvető védelmi célja - bizalmasság, rendelkezésre állás és sértetlenség - tehát egy fontos szerződéses dokumentumokat tartalmazó levélre is vonatkozik, amelynek időben, megbízhatóan és sértetlenül, futárral szállítva, de teljesen analóg módon kell megérkeznie a címzetthez. És ezek a védelmi célok ugyanúgy vonatkoznak egy olyan papírlapra is, amely bizalmas információkat tartalmaz, de egy őrizetlen íróasztalon hever, hogy bárki láthassa, vagy a fénymásolóban, szabadon hozzáférhetően várja az illetéktelen hozzáférést.

Az információbiztonság tehát szélesebb körű, mint az IT-biztonság. Az IT-biztonság ezzel szemben "csak" az IT-rendszerekben lévő információk védelmére vonatkozik.

Az IT-biztonság a meghatározás szerint

Mit mondanak a hivatalos szervek? Az IT-biztonság "olyan állapot, amelyben az informatika használata során a fenyegetések és sebezhetőségek miatt fennálló kockázatokat megfelelő intézkedésekkel elfogadható szintre csökkentik. Az informatikai biztonság tehát az az állapot, amelyben az információk és az informatika bizalmassága, sértetlensége és rendelkezésre állása megfelelő intézkedésekkel védett". A német Szövetségi Információbiztonsági Hivatal (BSI) szerint.

Információbiztonság = IT-biztonság plusz x

A gyakorlatban néha ettől eltérő megközelítést alkalmaznak, és az "információbiztonság = IT-biztonság + adatvédelem" ökölszabályt használják. Ez a kijelentés azonban egyenletként leírva eléggé szembetűnő. Igaz, az európai GDPR szerinti adatvédelem kérdése a magánélet védelméről szól, ami megköveteli, hogy a személyes adatok feldolgozói mind biztonságos informatikával, mind pedig például biztonságos épületkörnyezettel rendelkezzenek - így kizárva az ügyféladat-nyilvántartásokhoz való fizikai hozzáférést. Ez azonban kihagyja a fontos analóg adatokat, amelyek nem igényelnek személyes adatvédelmet. Például a vállalati építési tervek és még sok más.

Az információbiztonság kifejezés olyan alapvető kritériumokat tartalmaz, amelyek túlmutatnak a tisztán informatikai szempontokon, de mindig tartalmazzák azokat. Így az informatikai biztonság körébe tartozó, viszonylag egyszerű technikai vagy szervezési intézkedések is mindig a megfelelő információbiztonság hátterében történnek. Példák lehetnek erre:

  • A hardver áramellátásának biztosítása
  • A hardver túlmelegedése elleni intézkedések
  • Víruskeresés és biztonságos programok
  • A mappastruktúrák szervezése
  • Tűzfalak beállítása és frissítése
  • Az alkalmazottak képzése stb.

Nyilvánvaló, hogy a számítógépeket és a teljes informatikai rendszereket önmagukban nem kellene védeni. Végül is a digitálisan feldolgozandó vagy továbbítandó információk nélkül a hardverek és szoftverek használhatatlanná válnak.

IT-biztonság törvényi úton, németországi példa

A CRITIS témájáról: Ez az IT-biztonsági törvény a különböző ágazatok kritikus infrastruktúráira összpontosít, mint például a villamosenergia-, gáz- és vízellátás, a közlekedés, a pénzügyek, az élelmiszeripar és az egészségügy. Itt a fő hangsúly az IT-infrastruktúra kiberbűnözés elleni védelmén van, az IT-rendszerek rendelkezésre állásának és biztonságának fenntartása érdekében. Különösen a mai digitálisan vezérelt távfelügyeleti rendszereket kell védeni.

Ezek a védelmi célok állnak az előtérben (részlet):

  • Az informatikai biztonsági kockázatok figyelembevétele
  • Informatikai biztonsági koncepciók létrehozása
  • Vészhelyzeti tervek készítése
  • Általános biztonsági óvintézkedések megtétele
  • Az internet biztonságának ellenőrzése
  • Kriptográfiai módszerek alkalmazása stb.

ISO 27001 - Az információbiztonság szabványa

Mit jelent ISO 27001 mondja ki? Az információbiztonsági irányítási rendszer (ISMS) világszerte elismert szabványa, annak származékaival, az ISO 27019, ISO 27017 és ISO 27701, az ún:

ISO/IEC 27001:2022 - Információbiztonság, kiberbiztonság és adatvédelem - Információbiztonsági irányítási rendszerek - Követelmények.

A felülvizsgált változat 2022. október 25-én jelent meg. A jelenlegi változat (ISO/IEC 27001:2013) 2025 októberéig marad érvényben.

E fontos szabvány címe egyértelművé teszi, hogy az informatikai biztonság ma is fontos szerepet játszik az információbiztonságban, és a jövőben is egyre nagyobb jelentőséggel bír. Az ISO 27001 szabványban meghatározott követelmények azonban nem csak a digitális IT-rendszerekre vonatkoznak. Éppen ellenkezőleg:

"Az ISO/IEC 27001 egészén az "információra" kivétel nélkül mindenütt az "információ" kifejezés szerepel."

Elvileg nem tesznek különbséget aszerint, hogy ezen információk feldolgozása vagy védelme analóg vagy digitális módon történik.

Az információbiztonsággal és az értékelés lehetőségével kapcsolatos további értékes ismeretekért látogasson el az ISO 27001 tanúsítás oldalra.

A sikeresen bevezetett ISMS támogatja a holisztikus biztonsági stratégiát: magában foglalja a szervezeti intézkedéseket, a biztonságtudatos személyzeti irányítást, a telepített IT-struktúrák biztonságát és a jogi követelményeknek való megfelelést.

Loading...

Valuable know-how: The DQS Audit Guide

Auditálási útmutatónk ISO 27001 - A melléklet vezető szakemberek készítették gyakorlati megvalósítási segédletként, és ideális a kiválasztott szabványkövetelmények jobb megértéséhez. Az útmutató az ISO/IEC 27001:2017 szabványon alapul. Mivel a felülvizsgált változat 2022. október 25-én jelent meg, amint rendelkezésre állnak, a változásokról szóló információkat is hozzáadjuk.

Információbiztonság: gyakran analógabb, mint gondolnánk

Bárki, aki akarná, alkalmazhatná az ISO 27001 szabvány követelményeit egy teljesen analóg rendszerre, és ugyanúgy véget érne, mint az, aki egy alaposan digitális rendszerre alkalmazná a követelményeket. Csak a A. melléklet ISMS-szabványnak, amely a felhasználókra vonatkozó mérési célokat és intézkedéseket tartalmazza, csak az utolsó fejezetében jelennek meg olyan kifejezések, mint a távmunka vagy a mobil eszközök. De még a szabvány A. mellékletében szereplő intézkedések is emlékeztetnek arra, hogy minden vállalatnál vannak még analóg folyamatok és helyzetek, amelyeket figyelembe kell venni az információbiztonság tekintetében.

Aki nyilvánosan, például a vonaton okostelefonon keresztül hangosan beszél kényes témákról, az lehet, hogy digitális kommunikációs csatornákat használ, de a helytelen viselkedése valójában analóg. Aki pedig nem teszi rendbe az íróasztalát, jobb, ha a titoktartás érdekében bezárja az irodáját. Legalábbis az előbbit, mint az információk biztonságos védelmének egyik leghatékonyabb egyetlen intézkedését, általában még mindig kézzel végzik, eddig...

IT-biztonság vs. információbiztonság - következtetés

Az IT-biztonság és az információbiztonság két olyan fogalom, amelyek (még) nem felcserélhetők egymással. Az IT-biztonság inkább az információbiztonság egyik összetevője, amely viszont magában foglalja az analóg tényeket, folyamatokat és a kommunikációt is - ami egyébként ma is sok esetben mindennapos. A növekvő digitalizáció azonban egyre közelebb hozza egymáshoz ezeket a fogalmakat, így a jelentésbeli különbség hosszú távon valószínűleg egyre marginálisabbá válik.

Mit várhat tőlünk

ADQS az Ön szakértője az auditok és tanúsítások terén - irányítási rendszerek és folyamatok tekintetében. 35 éves tapasztalatunkkal és világszerte 2500 auditor know-how-jával az információbiztonság és az adatvédelem minden területén kompetens tanúsítási partnere vagyunk.

gerber-hermsdorf-werner-korall-audit dqs
Loading...

Kérdése van?

Vegye fel velünk a kapcsolatot!
Kötelezettség nélkül és díjmentesen.

Mi nem csak beszélünk a szakmai kompetenciáról, hanem rendelkezünk is vele: Minden DQS-ellenőrünktől sokéves gyakorlati szakmai tapasztalatra számíthat. Minden méretű és minden iparágban tevékenykedő szervezetnél összegyűlt. Ezzel a sokszínűséggel garantált, hogy az Ön DQS vezető auditora átérzi az Ön egyedi vállalati helyzetét és vezetési kultúráját. Auditoraink saját tapasztalatukból ismerik az irányítási rendszereket, azaz maguk is létrehozták, irányították és továbbfejlesztették az ISMS-t - és saját tapasztalatukból ismerik a napi kihívásokat. Várjuk, hogy a beszélgetést Önnel.

Szerző
André Saeckel

Termékmenedzser a DQS-nél az információbiztonsági menedzsment területén. André Säckel az információbiztonság és az IT-biztonsági katalógus (kritikus infrastruktúrák) területének szabványügyi szakértőjeként többek között a következő szabványokért és iparág-specifikus szabványokért felelős: ISO 27001, ISIS12, ISO 20000-1, KRITIS és TISAX (információbiztonság az autóiparban). A DIN német szabványügyi intézet nemzeti delegáltjaként tagja az ISO/IEC JTC 1/SC 27/WG 1 munkacsoportnak is.

Loading...