datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Információbiztonsági védelmi célok és jelentőségük

André Saeckel

DQS Információbiztonsági szabványszakértő.
nov. 11 , 2022
# Információbiztonság kontra IT-biztonság

Az információbiztonság védelmi céljai az információk védelmének elemi kulcspontjai. Az információ minden vállalat számára jelentős gazdasági értéket képvisel, és nem csak napjaink óta. Létezésük alapja, és ezért a sikeres üzletmenet elengedhetetlen feltétele. Ezért nyilvánvaló - vagy legalábbis kívánatos -, hogy az információkat védeni kell. A vágy és a valóság között azonban még mindig nagy a szakadék.

TARTALOM

Mik az információbiztonság védelmi céljai?

Az információfeldolgozás nem megfelelő biztonsága miatt évente több milliárd dolláros kár keletkezik. De hogyan érhető el a szervezeti eszközök megfelelő védelme? És mi a legjobb módja annak, hogy egy vállalat belevágjon az információbiztonság témájába?

Az ISO/IEC 27001 szabványnak megfelelő, jól felépített információbiztonsági irányítási rendszer (ISMS) optimális alapot biztosít a holisztikus biztonsági stratégia hatékony végrehajtásához. A szabvány modellt nyújt a védelmi szint bevezetéséhez, végrehajtásához, ellenőrzéséhez és javításához. Ennek érdekében a vállalatoknak és szervezeteknek először az információbiztonság három alapvető védelmi céljával kell foglalkozniuk:

  • Bizalmasság
  • Integritás
  • Elérhetőség

Az információ titkossága

A cél a bizalmas adatok védelme a jogosulatlan hozzáféréstől, akár az adatvédelmi törvények, akár az üzleti titkok alapján, amelyekre például a üzleti titokról szóló törvény vonatkozik. Az információk és érzékeny adatok bizalmas kezelése tehát akkor biztosított, ha csak olyan személyek férhetnek hozzá, akik erre felhatalmazással (jogosultsággal) rendelkeznek. A hozzáférés például az olvasást, a szerkesztést (módosítást) vagy akár a törlést is jelenti.

A megtett intézkedéseknek tehát biztosítaniuk kell, hogy a bizalmas információkhoz csak az arra jogosult személyek férjenek hozzá - a nem jogosultak semmilyen körülmények között. Ez vonatkozik a papíron tárolt információkra is, amelyek védtelenül hevernek az íróasztalon és olvasásra invitálnak, vagy az adatok továbbítására, amelyekhez a feldolgozás során nem lehet hozzáférni.

Az ISO 27001 - A melléklet című auditálási útmutatót vezető szakértők készítették gyakorlati megvalósítási segédletként, és ideális a kiválasztott szabványkövetelmények jobb megértéséhez. Az útmutató az ISO/IEC 27001:2017 szabványon alapul, az ISO-szabvány felülvizsgálata 2022 végére várható.

Downlad the Audit Guide for free

A felhatalmazott személyek esetében azt is meg kell határozni, hogy milyen típusú hozzáféréssel kell rendelkezniük, mit szabad vagy kell megtenniük, és mit nem szabad megtenniük. Biztosítani kell, hogy ne tehessék meg azt, amit nem tehetnek meg. Az ebben a folyamatban alkalmazott módszerek és technikák sokfélék, és egyes esetekben vállalatspecifikusak.

Ha "csak" az információk jogosulatlan megtekintéséről vagy nyilvánosságra hozataláról van szó (az átvitel során is, klasszikus: e-mail forgalom!), akkor például a titkosság védelmére kriptográfiai intézkedéseket lehet alkalmazni. Ha az információ jogosulatlan módosításának megakadályozása a cél, akkor az "integritás" védelmi cél kerül előtérbe.

ISO/IEC 27001:2022 - Információbiztonság, kiberbiztonság és a magánélet védelme. Információbiztonsági irányítási rendszerek.

A felülvizsgált ISO-szabványt 2022.10.25-én tették közzé. Az ISO/IEC 27001:2013 továbbra is érvényes egy hároméves átmeneti időszakra, 2025 októberéig.

A szabvány elérhető az ISO honlapján.

Az információk sértetlensége

Az integritás szakkifejezéshez egyszerre több követelmény is kapcsolódik:

  • Az információ nem szándékos megváltoztatásának lehetetlennek, vagy legalábbis kimutathatónak és nyomon követhetőnek kell lennie. A gyakorlatban a következő fokozatok érvényesek:
    - Magas (erős) integritás megakadályozza a nem kívánt változtatásokat.
    - Alacsony (gyenge) integritás nem feltétlenül akadályozza meg a változtatásokat, de biztosítja, hogy a (nem szándékos) változtatások felismerhetők és szükség esetén nyomon követhetők legyenek (nyomon követhetőség).
  • Az adatok és rendszerek megbízhatóságát garantálni kell.
  • Garantálni kell az információk teljességét.

Az információk integritásának növelését célzó intézkedések ezért a külső és belső támadások elleni védelemmel együtt a hozzáférési jogosultság kérdésére is irányulnak.

"Míg a " bizalmasság" és a "rendelkezésre állás" szavak az információbiztonság klasszikus védelmi céljait tekintve könnyen érthetőek, szinte maguktól értetődőek, addig az"integritás" szakkifejezés némi magyarázatra szorul. Ez alatt a (az adatok és rendszerek) helyességét, teljességét vagy (a változások) nyomon követhetőségét értjük."

Az információ rendelkezésre állása

Az információ rendelkezésre állása azt jelenti, hogy az információnak, beleértve a szükséges informatikai rendszereket is, bármikor hozzáférhetőnek kell lennie bármely jogosult személy számára, és a szükséges mértékben használhatónak (működőképesnek) kell lennie. Ha egy rendszer meghibásodik vagy egy épület nem hozzáférhető, akkor a szükséges információ nem áll rendelkezésre. Ez bizonyos esetekben messzemenő következményekkel járó zavarokhoz vezethet, például a folyamatok karbantartásában.

Ezért érdemes kockázatelemzést végezni a rendszer meghibásodásának valószínűségére, lehetséges időtartamára és az informatikai biztonság hiánya által okozott esetleges károkra tekintettel. Az eredményekből hatékony ellenintézkedéseket lehet levezetni és végrehajtani, ha a legrosszabb bekövetkezik.

Mik a "kiterjesztett" védelmi célok?

A bizalmasság, sértetlenség és rendelkezésre állás biztonsági céljain kívül három további biztonsági cél is létezik. Ezek közé tartozik az "elkötelezettség" és az "elszámoltathatóság" két szempontja, amelyek kiegészítik egymást. Az előbbi annak biztosítását jelenti, hogy egy szereplő nem tudja letagadni a cselekedetét, az utóbbi pedig azt, hogy ez a cselekedet megbízhatóan neki tulajdonítható. Mindkettő a szereplők egyedi azonosíthatóságára vezethető vissza, és ennek minimális követelménye az egyedi jelszavak kiadása.

A harmadik kiterjesztett védelmi cél a "hitelesség", azaz a valódiság. Egy egyszerű kérdés ebben az összefüggésben a következő: Valódi-e az információ - valóban a megadott forrásból származik-e? Ez a védelmi cél fontos a forrás megbízhatóságának megítéléséhez.

Man and a woman with a laptop in a server room

Az értékes információ napjaink aranya - és egyben a vállalat számára is védendő érték. Az információbiztonsággal kapcsolatos legfontosabb kérdésekre adott válaszokat itt olvashatja.

Az információbiztonság védelmi céljai: Következtetés

Az információbiztonság három legfontosabb védelmi célja a "bizalmasság", az "integritás" és a "rendelkezésre állás".

Bizalmasság: Ahhoz, hogy ezt garantálni lehessen, világosan meg kell határozni, hogy ki és milyen módon jogosult hozzáférni az érzékeny adatokhoz. Ez megfelelő hozzáférési jogosultságokhoz és például kriptográfiai technikák alkalmazásához kapcsolódik.

A sértetlenség az információk jogosulatlan megváltoztatása és törlése elleni védelmet, valamint az információk megbízhatóságát és teljességét jelenti. Ezért fontos, hogy vállalata óvintézkedéseket tegyen az adatokban bekövetkezett változások gyors észlelésére vagy a jogosulatlan manipuláció megakadályozására a kezdetektől fogva.

Arendelkezésre állás azt jelenti, hogy az információknak, rendszereknek és épületeknek mindenkor elérhetőnek kell lenniük az arra jogosult személyek számára. Mivel például a rendszerhibák jelentős kockázatokkal járnak, ezért erre a témakomplexumra vonatkozóan kockázatelemzést kell végezni. Itt rögzítse a legszükségesebb rendszerek meghibásodásának valószínűségét, a leállási időt és a kárpotenciált.

Az elkötelezettség, az elszámoltathatóság és a hitelesség "kiterjesztett" védelmi célok.

Az elkötelezettség alatt azt értjük, hogy a szereplő nem tudja letagadni a cselekedeteit. Az elszámoltathatóság kiegészíti ezt a kiterjesztett védelmi célt azáltal, hogy egyértelműen azonosítja az ilyen szereplőt. A hitelesség a kérdést teszi fel: Valódi vagy megbízható-e egy információ?

DQS - Amire számíthat tőlünk

Az információbiztonság összetett téma, amely messze túlmutat az IT-biztonságon. Magában foglalja a technikai, szervezeti és infrastrukturális szempontokat. Az ISO/IEC 27001 nemzetközi szabvány alkalmas az információbiztonsági irányítási rendszer (ISMS) formájában történő hatékony védelmi intézkedésekre.

A DQS az Ön szakembere az irányítási rendszerek és folyamatok auditálásához és tanúsításához. 35 éves tapasztalatunkkal és világszerte 2500 auditor know-how-jával az Ön kompetens tanúsítási partnere vagyunk, és választ adunk az ISO 27001 és az információbiztonsági irányítási rendszerekkel kapcsolatos minden kérdésre.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Szívesen válaszolunk kérdéseire

Mekkora erőfeszítéssel kell számolnia ahhoz, hogy információbiztonsági irányítási rendszerét a következő szabvány szerint tanúsíttassa ISO 27001 SZERINT? Tudja meg! Kötelezettség nélkül és ingyenesen.

Contact us

Bizalom és szakértelem

Szövegeinket és brosúráinkat kizárólag sokéves tapasztalattal rendelkező szabványügyi szakértőink vagy auditoraink írják. Ha bármilyen kérdése van a szöveg tartalmával vagy a szerzőnknek nyújtott szolgáltatásainkkal kapcsolatban, kérjük, küldjön nekünk egy e-mailt.

Szerző
André Saeckel

Termékmenedzser a DQS-nél az információbiztonsági menedzsment területén. André Säckel az információbiztonság és az IT-biztonsági katalógus (kritikus infrastruktúrák) területének szabványügyi szakértőjeként többek között a következő szabványokért és iparág-specifikus szabványokért felelős: ISO 27001, ISIS12, ISO 20000-1, KRITIS és TISAX (információbiztonság az autóiparban). A DIN német szabványügyi intézet nemzeti delegáltjaként tagja az ISO/IEC JTC 1/SC 27/WG 1 munkacsoportnak is.

Kérdése van?

Szívesen segítünk!
Lépjen velünk kapcsolatba!