datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Cele ochrony bezpieczeństwa informacji i ich znaczenie

André Saeckel

Ekspert ds. standardów DQS w zakresie bezpieczeństwa informacji
lis 11 , 2022
# Bezpieczeństwo informacji a bezpieczeństwo IT

Cele ochrony bezpieczeństwa informacji to elementarne punkty kluczowe dla ochrony informacji. Informacja stanowi istotną wartość ekonomiczną dla każdej firmy, i to nie tylko od dziś. Jest ona podstawą ich istnienia, a zatem niezbędnym warunkiem powodzenia działalności. Jest zatem oczywiste - a przynajmniej pożądane - że informacje muszą być chronione. Wciąż jednak istnieje duża przepaść między pragnieniami a rzeczywistością.

CONTENT

Jakie są cele ochrony w bezpieczeństwie informacji?

Z powodu nieodpowiedniego zabezpieczenia przetwarzania informacji co roku powstają szkody o wartości miliardów dolarów. Ale jak można osiągnąć odpowiednią ochronę zasobów organizacyjnych? I jaki jest najlepszy sposób, aby firma zaczęła zajmować się tematem bezpieczeństwa informacji?

Dobrze zorganizowany system zarządzania bezpieczeństwem informacji (ISMS) zgodny z normą ISO/IEC 27001 stanowi optymalną podstawę do skutecznego wdrożenia holistycznej strategii bezpieczeństwa. Norma ta stanowi model wprowadzania, wdrażania, monitorowania i doskonalenia poziomu ochrony. Aby to osiągnąć, firmy i organizacje powinny w pierwszej kolejności zająć się trzema podstawowymi celami ochrony bezpieczeństwa informacji:

  • Poufność
  • Integralność
  • Dostępność

Cele ochrony bezpieczeństwa informacji: Poufność informacji

Celem jest ochrona poufnych danych przed nieuprawnionym dostępem, czy to ze względu na przepisy o ochronie danych osobowych, czy też na podstawie tajemnic handlowych objętych np. ustawą o tajemnicach handlowych . Poufność informacji i danych wrażliwych jest zatem zapewniona, jeśli dostęp do nich mają tylko te osoby, które są do tego upoważnione (autoryzowane). Dostęp oznacza na przykład czytanie, edytowanie (zmienianie) lub nawet usuwanie.

Podjęte środki muszą zatem zapewniać, że dostęp do informacji poufnych mają tylko osoby upoważnione - osoby nieupoważnione w żadnym wypadku. Dotyczy to również informacji na papierze, które mogą leżeć niezabezpieczone na biurku i zachęcać do czytania, oraz przekazywania danych, do których nie można uzyskać dostępu w trakcie ich przetwarzania.

Wdrożenie i skuteczność środków wprowadzonych przez firmę w celu osiągnięcia tych celów ochrony jest kluczową cechą określającą poziom bezpieczeństwa informacji.

Bardzo pomocny dla użytkowników (lub zainteresowanych) uznanej na całym świecie normy bezpieczeństwa informacji ISO 27001 jest jej Załącznik A. Załącznik ten zawiera cele i środki odniesienia dla najważniejszych sytuacji związanych z bezpieczeństwem informacji.

W przypadku osób upoważnionych konieczne jest także określenie rodzaju dostępu, jaki powinny mieć, co im wolno lub co muszą robić, a czego nie wolno. Należy dopilnować, aby osoby te nie mogły robić tego, na co nie mają pozwolenia. Metody i techniki stosowane w tym procesie są różnorodne, a w niektórych przypadkach specyficzne dla danej firmy.

Jeśli chodzi "tylko" o nieuprawnione przeglądanie lub ujawnianie informacji (także podczas transmisji, klasyka: poczta elektroniczna!), można zastosować środki kryptograficzne, np. w celu ochrony poufności. Jeśli celem jest zapobieganie nieautoryzowanej modyfikacji informacji, w grę wchodzi ochrona integralności.

ISO/IEC 27001:2013- Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania
Norma jest dostępna na stronie internetowej ISO.

Cele ochrony w bezpieczeństwie informacji: Integralność informacji

Techniczny termin integralność wiąże się z kilkoma wymaganiami jednocześnie:

  • Niezamierzone zmiany w informacji muszą być niemożliwe, a przynajmniej wykrywalne i możliwe do prześledzenia. W praktyce stosuje się następującą gradację:
    - Wysoka (silna) integralność zapobiega niepożądanym zmianom.
    - Niska (słaba) integralność może nie zapobiegać zmianom, ale zapewnia możliwość wykrycia (niezamierzonych) zmian oraz, w razie potrzeby, ich śledzenia (traceability).
  • Należy zagwarantować wiarygodność danych i systemów.
  • Należy zagwarantować kompletność informacji.

Środki mające na celu zwiększenie integralności informacji dotyczą zatem także kwestii autoryzacji dostępu w połączeniu z ochroną przed atakami zewnętrznymi i wewnętrznymi.

"O ile słowa " poufność" i "dostępność" są łatwo zrozumiałe, niemal samoistnie wyjaśniają się, jeśli chodzi o klasyczne cele ochrony bezpieczeństwa informacji, o tyle techniczny termin "integralność" wymaga pewnego wyjaśnienia. Chodzi tu o poprawność (danych i systemów), kompletność lub identyfikowalność (zmian)."

Cele ochrony bezpieczeństwa informacji: Dostępność informacji

Dostępność informacji oznacza, że informacje te, w tym wymagane systemy informatyczne, muszą być dostępne dla każdej upoważnionej osoby w dowolnym czasie i możliwe do wykorzystania (funkcjonalne) w wymaganym zakresie. Jeśli system ulegnie awarii lub budynek nie jest dostępny, wymagane informacje nie są dostępne. W niektórych przypadkach może to prowadzić do zakłóceń o daleko idących konsekwencjach, na przykład w utrzymaniu procesów.

Dlatego zasadne jest przeprowadzenie analizy ryzyka pod kątem prawdopodobieństwa wystąpienia awarii systemu, możliwego czasu jej trwania oraz ewentualnych szkód spowodowanych brakiem bezpieczeństwa informatycznego. Na podstawie wyników można opracować skuteczne środki zaradcze i zastosować je, jeśli dojdzie do najgorszego.

Czym są "rozszerzone" cele ochrony?

Oprócz celów bezpieczeństwa, jakimi są poufność, integralność i dostępność, istnieją trzy dodatkowe cele bezpieczeństwa. Są to dwa aspekty "zaangażowania" i "rozliczalności", które wzajemnie się uzupełniają. Pierwszy z nich oznacza zapewnienie, że uczestnik nie może zaprzeczyć swojemu działaniu, a drugi, że to działanie można mu w sposób wiarygodny przypisać. Oba cele sprowadzają się do możliwości jednoznacznej identyfikacji uczestników, a wydawanie unikalnych haseł jest minimalnym wymogiem w tym zakresie.

Trzecim rozszerzonym celem ochrony jest "autentyczność", czyli prawdziwość. Proste pytanie w tym kontekście brzmi: Czy informacja jest prawdziwa - czy rzeczywiście pochodzi z określonego źródła? Ten cel ochrony jest ważny dla oceny wiarygodności źródła.

Man and a woman with a laptop in a server room

Wartościowe informacje to dzisiejsze złoto - a także zasób, który należy chronić w firmie. Przeczytaj tutaj odpowiedzi na najważniejsze pytania dotyczące ISO 27001.

Cele ochrony w zakresie bezpieczeństwa informacji: Wnioski

Trzy najważniejsze cele ochrony bezpieczeństwa informacji to "poufność", "integralność" i "dostępność".

Poufność: Aby móc ją zagwarantować, należy jasno określić, kto jest upoważniony do dostępu do danych wrażliwych i w jaki sposób. Wiąże się to z odpowiednimi uprawnieniami dostępu oraz stosowaniem np. technik kryptograficznych.

Integralność oznacza ochronę przed nieuprawnionymi zmianami i usuwaniem informacji, a także wiarygodność i kompletność informacji. Dlatego ważne jest, aby firma podejmowała środki ostrożności w celu szybkiego wykrywania zmian w danych lub zapobiegania nieautoryzowanej manipulacji od podstaw.

Dostępność oznacza, że informacje, systemy i budynki muszą być przez cały czas dostępne dla upoważnionych osób. Ponieważ na przykład awarie systemów wiążą się z dużym ryzykiem, należy przeprowadzić analizę ryzyka dla tego kompleksu zagadnień. Należy w niej zapisać prawdopodobieństwo wystąpienia awarii, czas przestoju i możliwości uszkodzenia najbardziej potrzebnych systemów.

Zaangażowanie, rozliczalność i autentyczność to "rozszerzone" cele ochrony.

Zobowiązanie jest rozumiane jako zapewnienie, że osoba działająca nie może zaprzeczyć swoim działaniom. Rozliczalność uzupełnia ten rozszerzony cel ochrony poprzez wyraźne zidentyfikowanie takiego uczestnika. Autentyczność stawia pytanie: Czy dana informacja jest prawdziwa lub godna zaufania?

DQS - Czego możesz od nas oczekiwać

Bezpieczeństwo informacji to złożony temat, który wykracza daleko poza bezpieczeństwo informatyczne. Obejmuje ono aspekty techniczne, organizacyjne i infrastrukturalne. Międzynarodowa norma ISO/IEC 27001 jest odpowiednia dla skutecznych środków ochronnych w postaci systemu zarządzania bezpieczeństwem informacji (ISMS).

DQS jest Państwa specjalistą w zakresie audytów i certyfikacji systemów i procesów zarządzania. Dzięki 35-letniemu doświadczeniu i wiedzy 2500 audytorów na całym świecie, jesteśmy kompetentnym partnerem w zakresie certyfikacji i zapewniamy odpowiedzi na wszystkie pytania dotyczące ISO 27001 i systemów zarządzania bezpieczeństwem informacji.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Chętnie odpowiemy na Państwa pytania

Jakiego nakładu pracy należy się spodziewać, aby system zarządzania bezpieczeństwem informacji uzyskał certyfikat zgodności z normą ISO 27001? Dowiedz się. Bez zobowiązań i bezpłatnie.

Contact us

Zaufanie i fachowość

Nasze teksty i broszury są pisane wyłącznie przez naszych ekspertów ds. norm lub audytorów z wieloletnim doświadczeniem. Jeśli masz jakiekolwiek pytania dotyczące treści tekstu lub naszych usług dla naszych autorów, prosimy o przesłanie nam wiadomości e-mail.

Autor
André Saeckel

Menedżer produktu w DQS ds. zarządzania bezpieczeństwem informacji. Jako ekspert ds. norm w dziedzinie bezpieczeństwa informacji i katalogu bezpieczeństwa IT (infrastruktury krytyczne) André Säckel jest odpowiedzialny m.in. za następujące normy i standardy branżowe: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (bezpieczeństwo informacji w przemyśle motoryzacyjnym). Jest również członkiem grupy roboczej ISO/IEC JTC 1/SC 27/WG 1 jako delegat krajowy Niemieckiego Instytutu Normalizacyjnego DIN.

Masz pytania?

Jesteśmy do Państwa dyspozycji.
Skontaktuj się