Dwie rzeczy, które często są ze sobą mylone: bezpieczeństwo informatyczne (IT) i bezpieczeństwo informacji. W dobie cyfryzacji informacje są najczęściej przetwarzane, przechowywane lub transportowane z pomocą IT - W czasach cyfryzacji informacje są najczęściej przetwarzane, przechowywane lub transportowane z pomocą IT - ale często bezpieczeństwo informacji jest nadal bardziej analogowe niż mogłoby się nam wydawać! Zasadniczo, bezpieczeństwo IT i bezpieczeństwo informacji są dość ściśle powiązane. Dlatego do skutecznej ochrony poufnych informacji, jak również samego IT, wymagane jest systematyczne podejście.

Loading...

Bezpieczeństwo IT a bezpieczeństwo informacji

Bezpieczeństwo informacji jest czymś więcej niż tylko bezpieczeństwem informatycznym. Skupia się ono na całej firmie. W końcu bezpieczeństwo poufnych informacji nie jest ukierunkowane wyłącznie na dane przetwarzane przez systemy elektroniczne. Bezpieczeństwo informacji obejmuje wszystkie aktywa firmy, które muszą być chronione, również te, które znajdują się na analogowych nośnikach danych, takich jak papier.

"Bezpieczeństwo IT i bezpieczeństwo informacji to dwa pojęcia, które nie są (jeszcze) wymienne".

Cele ochrony bezpieczeństwa informacji

Trzy podstawowe cele ochrony bezpieczeństwa informacji - poufność, dostępność i integralność - odnoszą się zatem również do listu zawierającego ważne dokumenty umowne, który musi dotrzeć do drzwi odbiorcy na czas, niezawodnie i w nienaruszonym stanie, transportowany przez kuriera, ale całkowicie analogowo. I te cele ochrony odnoszą się również do kartki papieru, która zawiera poufne informacje, ale leży na biurku bez nadzoru i każdy może ją zobaczyć lub czeka w kopiarce, swobodnie dostępna, na nieautoryzowany dostęp.

Dlatego bezpieczeństwo informacji ma szerszy zakres niż bezpieczeństwo IT. Z drugiej strony, bezpieczeństwo informatyczne odnosi się "tylko" do ochrony informacji w systemach informatycznych.

Bezpieczeństwo IT według definicji

Co mówią oficjalne instytucje? Bezpieczeństwo IT to "stan, w którym ryzyko występujące przy korzystaniu z technologii informacyjnej, wynikające z zagrożeń i podatności, jest zredukowane do akceptowalnego poziomu poprzez zastosowanie odpowiednich środków. Bezpieczeństwo IT jest więc stanem, w którym poufność, integralność i dostępność informacji i technologii informacyjnej są chronione za pomocą odpowiednich środków." Według niemieckiego Federalnego Urzędu ds. Bezpieczeństwa Informacji (BSI).

Bezpieczeństwo informacji= bezpieczeństwo IT plus X

W praktyce stosuje się czasami inne podejście, wykorzystując zasadę "bezpieczeństwo informacji = bezpieczeństwo IT + ochrona danych". Jednak to stwierdzenie zapisane w postaci równania jest dość uderzające. Co prawda w kwestii ochrony danych osobowych zgodnie z europejskim GDPR chodzi o ochronę prywatności, co wymaga od podmiotów przetwarzających dane osobowe posiadania zarówno bezpiecznego IT, jak i np. bezpiecznego otoczenia budynku - a więc wyklucza fizyczny dostęp do zapisów danych klienta. Pomija to jednak ważne dane analogowe, które nie wymagają ochrony prywatności. Na przykład, plany budowlane firmy i wiele innych.

Pojęcie bezpieczeństwa informacji zawiera podstawowe kryteria, które wykraczają poza aspekty czysto informatyczne, ale zawsze je obejmują. Tak więc, porównywalnie, nawet proste środki techniczne lub organizacyjne w ramach bezpieczeństwa informatycznego są zawsze podejmowane na tle właściwego bezpieczeństwa informacji. Przykładami tego mogą być:

  • Zabezpieczenie zasilania sprzętu komputerowego
  • Środki zapobiegające przegrzaniu sprzętu
  • Skanowanie antywirusowe i bezpieczne programy
  • Organizacja struktury folderów
  • Konfiguracja i aktualizacja firewalli
  • Szkolenie pracowników, itp.

Oczywiste jest, że komputery i kompletne systemy informatyczne same w sobie nie wymagają ochrony. W końcu bez informacji, które mają być cyfrowo przetwarzane lub transportowane, sprzęt i oprogramowanie stają się bezużyteczne.

Bezpieczeństwo IT z mocy prawa, przykład z Niemiec

Temat CRITIS: Ustawa o bezpieczeństwie IT koncentruje się na infrastrukturze krytycznej z różnych sektorów, takich jak elektryczność, zaopatrzenie w gaz i wodę, transport, finanse, żywność i zdrowie. W tym przypadku główny nacisk kładzie się na ochronę infrastruktury IT przed cyberprzestępczością w celu utrzymania dostępności i bezpieczeństwa systemów informatycznych. W szczególności należy chronić dzisiejsze systemy telesterowania sterowane cyfrowo.

Te cele ochrony znajdują się na pierwszym planie (fragment):

  • Uwzględnienie zagrożeń dla bezpieczeństwa IT
  • Tworzenie koncepcji bezpieczeństwa IT
  • Tworzenie planów awaryjnych
  • Podejmowanie ogólnych środków ostrożności w zakresie bezpieczeństwa
  • Kontrola bezpieczeństwa w Internecie
  • Stosowanie metod kryptograficznych itp.

ISO/IEC 27001:2022 - Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności - Systemy zarządzania bezpieczeństwem informacji - Wymagania

Znowelizowana wersja została opublikowana 25 października 2022 roku.  Obecna wersja (ISO/IEC 27001:2013) pozostanie ważna do października 2025 roku.

Tytuł tej ważnej normy jasno wskazuje, że bezpieczeństwo informatyczne odgrywa dziś istotną rolę w bezpieczeństwie informacji, a w przyszłości jego znaczenie będzie nadal rosło. Jednak wymagania określone w normie ISO 27001 nie są bezpośrednio skierowane wyłącznie do cyfrowych systemów informatycznych. Wręcz przeciwnie:

"W całej normie ISO/IEC 27001 "informacja" jest odnoszona do wszystkich, bez wyjątku".

W zasadzie nie ma rozróżnienia na analogowy lub cyfrowy sposób, w jaki ta informacja jest przetwarzana lub ma być chroniona.

Wdrożony z sukcesem ISMS wspiera holistyczną strategię bezpieczeństwa: obejmuje środki organizacyjne, zarządzanie personelem ze świadomością bezpieczeństwa, bezpieczeństwo wdrożonych struktur IT oraz zgodność z wymogami prawnymi.

Bezpieczeństwo informacji jest często bardziej analogowe niż nam się wydaje

Każdy, kto chciałby, mógłby zastosować wymagania normy ISO 27001 do całkowicie analogowego systemu i skończyć tak samo, jak ktoś, kto zastosował te wymagania do systemu całkowicie cyfrowego. Jedynie w Załączniku A znanej normy ISMS, który zawiera cele i miary dla użytkowników, pojawiają się takie pojęcia jak telepraca czy urządzenia mobilne. Ale nawet środki zawarte w załączniku A do normy przypominają nam, że w każdej firmie istnieją jeszcze analogowe procesy i sytuacje, które muszą być brane pod uwagę w odniesieniu do bezpieczeństwa informacji.

Każdy, kto publicznie, np. w pociągu, głośno rozmawia na drażliwe tematy za pośrednictwem smartfona, być może korzysta z cyfrowych kanałów komunikacji, ale jego niewłaściwe postępowanie jest w rzeczywistości analogowe. A kto nie sprząta na biurku, niech lepiej zamknie swoje biuro, aby zachować poufność. Przynajmniej to pierwsze, jako jeden z najskuteczniejszych pojedynczych środków bezpiecznej ochrony informacji, jest zwykle nadal wykonywane ręcznie, jak dotąd...

Bezpieczeństwo IT a bezpieczeństwo informacji - podsumowanie

Bezpieczeństwo IT i bezpieczeństwo informacji to dwa terminy, których (jeszcze) nie można stosować zamiennie. Bezpieczeństwo IT jest raczej elementem składowym bezpieczeństwa informacji, które z kolei obejmuje również analogowe fakty, procesy i komunikację - co, nawiasem mówiąc, jest dziś jeszcze w wielu przypadkach powszechne. Jednak postępująca cyfryzacja zbliża te pojęcia do siebie, tak że w dłuższej perspektywie różnica znaczeniowa stanie się prawdopodobnie coraz bardziej marginalna.

Czego mogą Państwo od nas oczekiwać

DQS jest Państwa specjalistą w zakresie audytów i certyfikacji - dla systemów zarządzania i procesów. Dzięki 35-letniemu doświadczeniu i know-how 2.500 audytorów na całym świecie jesteśmy Państwa kompetentnym partnerem w zakresie certyfikacji wszystkich aspektów bezpieczeństwa informacji i ochrony danych.

Mają Państwo pytania?

Skontaktuj się z nami!
Bez zobowiązań i bezpłatnie.

My nie tylko mówimy o kompetencjach zawodowych, my je posiadamy: Od wszystkich naszych audytorów DQS mogą Państwo oczekiwać wieloletniego, praktycznego doświadczenia zawodowego. Zebrane w organizacjach każdej wielkości i z każdej branży. Dzięki tej różnorodności gwarantujemy, że Państwa auditor wiodący DQS wczuje się w indywidualną sytuację firmy i kulturę zarządzania. Nasi audytorzy znają systemy zarządzania z własnego doświadczenia, tzn. sami tworzyli, zarządzali i dalej rozwijali ISMS - i znają codzienne wyzwania z własnego doświadczenia. Cieszymy się na rozmowę z Państwem.

Autor
André Saeckel

Menedżer produktu w DQS ds. zarządzania bezpieczeństwem informacji. Jako ekspert ds. norm w dziedzinie bezpieczeństwa informacji i katalogu bezpieczeństwa IT (infrastruktury krytyczne) André Säckel jest odpowiedzialny m.in. za następujące normy i standardy branżowe: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (bezpieczeństwo informacji w przemyśle motoryzacyjnym). Jest również członkiem grupy roboczej ISO/IEC JTC 1/SC 27/WG 1 jako delegat krajowy Niemieckiego Instytutu Normalizacyjnego DIN.

Loading...