Две вещи, которые часто путают друг с другом: безопасность информационных технологий (ИТ) и информационная безопасность. В эпоху цифровизации информация обычно обрабатывается, хранится или транспортируется с помощью ИТ - Во времена цифровизации информация в основном обрабатывается, хранится или транспортируется с помощью ИТ - но часто информационная безопасность все еще является более аналоговой, чем мы думаем! В принципе, ИТ-безопасность и информационная безопасность очень тесно связаны. Поэтому для эффективной защиты конфиденциальной информации, а также самих ИТ необходим системный подход.

Loading...

ИТ-безопасность против информационной безопасности

Информационная безопасность - это больше, чем просто ИТ-безопасность. Она направлена на всю компанию. Ведь безопасность конфиденциальной информации направлена не только на данные, обрабатываемые электронными системами. Информационная безопасность охватывает все корпоративные активы, которые нуждаются в защите, включая те, которые находятся на аналоговых носителях информации, таких как бумага.

"ИТ-безопасность и информационная безопасность - два термина, которые (пока) не являются взаимозаменяемыми".

Цели защиты информационной безопасности

Три основные цели защиты информационной безопасности - конфиденциальность, доступность и целостность - поэтому применимы и к письму с важными договорными документами, которое должно вовремя, надежно и в целости прибыть к получателю, доставленное курьером, но полностью аналоговое. И эти цели защиты в равной степени применимы к листу бумаги, который содержит конфиденциальную информацию, но лежит на столе без присмотра, чтобы любой мог его увидеть, или ждет в копировальном аппарате в свободном доступе для несанкционированного доступа.

Таким образом, информационная безопасность имеет более широкую сферу применения, чем ИТ-безопасность. ИТ-безопасность, с другой стороны, относится "только" к защите информации на ИТ-системах.

ИТ-безопасность согласно определению

Что говорят официальные органы? ИТ-безопасность - это "состояние, при котором риски, существующие при использовании информационных технологий из-за угроз и уязвимостей, снижены до приемлемого уровня с помощью соответствующих мер". Поэтому ИТ-безопасность - это состояние, при котором конфиденциальность, целостность и доступность информации и информационных технологий защищены соответствующими мерами". По данным Федерального ведомства по информационной безопасности Германии (BSI).

Информационная безопасность = ИТ-безопасность плюс X

На практике иногда применяют другой подход, используя эмпирическое правило "информационная безопасность = ИТ-безопасность + защита данных". Однако это утверждение, записанное в виде уравнения, поражает воображение. Следует признать, что вопрос защиты данных в соответствии с европейским GDPR касается защиты частной жизни, что требует от обработчиков персональных данных наличия как безопасных ИТ, так и, например, безопасной среды в здании - таким образом, исключается физический доступ к записям данных клиентов. Однако это оставляет без внимания важные аналоговые данные, которые не требуют конфиденциальности. Например, строительные планы компании и многое другое.

Термин "информационная безопасность" содержит фундаментальные критерии, которые выходят за рамки чисто ИТ-аспектов, но всегда включают их. Так, сравнительно простые технические или организационные меры в рамках IT-безопасности всегда принимаются на фоне соответствующей информационной безопасности. Примерами этого могут быть:

  • обеспечение безопасности электропитания оборудования
  • Меры против перегрева оборудования
  • Проверка на вирусы и безопасные программы
  • Организация структуры папок
  • Настройка и обновление межсетевых экранов
  • Обучение сотрудников и т.д.

Очевидно, что компьютеры и целые ИТ-системы сами по себе не нуждаются в защите. В конце концов, без информации, которую необходимо обрабатывать или транспортировать в цифровом виде, аппаратное и программное обеспечение становится бесполезным.

Безопасность ИТ на законодательном уровне, пример из Германии

Тема CRITIS: Закон об ИТ-безопасности фокусируется на критических инфраструктурах различных секторов, таких как электро-, газо- и водоснабжение, транспорт, финансы, продовольствие и здравоохранение. Здесь основное внимание уделяется защите ИТ-инфраструктуры от киберпреступлений с целью поддержания доступности и безопасности ИТ-систем. В частности, необходимо защитить современные системы телеуправления с цифровым управлением.

Эти цели защиты находятся на переднем плане (выдержка):

  • Рассмотрение рисков безопасности ИТ
  • Создание концепций безопасности ИТ
  • Создание планов действий в чрезвычайных ситуациях
  • Принятие общих мер предосторожности
  • Контроль безопасности Интернета
  • Использование криптографических методов и т.д.

ISO 27001 - стандарт информационной безопасности

Что говорит стандарт ISO 27001? Всемирно признанный стандарт для системы управления информационной безопасностью (ISMS) с его производными ISO 27019, ISO 27017 и ISO 27701 называется:

ISO/IEC 27001:2017 - Информационные технологии - Методы обеспечения безопасности - Системы менеджмента информационной безопасности - Требования (ISO/IEC 27001:2013, включая Cor 1:2014 и Cor 2:2015).

Из названия этого важного стандарта становится ясно, что безопасность ИТ играет важную роль в информационной безопасности сегодня и будет продолжать расти в будущем. Однако требования, изложенные в ISO 27001, не направлены непосредственно только на цифровые ИТ-системы. Напротив:

"Во всем ISO/IEC 27001 "информация" упоминается повсеместно, без исключения".

В принципе, не делается различия между аналоговым или цифровым способом обработки или защиты этой информации.

Успешно внедренная СУИБ поддерживает целостную стратегию безопасности: она включает организационные меры, управление персоналом с учетом требований безопасности, безопасность развернутых ИТ-структур и соответствие законодательным требованиям.

Информационная безопасность часто является более аналоговой, чем мы думаем

Любой, кто захочет, может применить требования стандарта ISO 27001 к полностью аналоговой системе и получить в итоге столько же, сколько и тот, кто применит эти требования к полностью цифровой системе. Только в Приложении А известного стандарта ISMS, содержащем цели и меры для пользователей, появляются такие термины, как телеработа или мобильные устройства. Но даже меры в Приложении А стандарта напоминают нам о том, что в каждой компании все еще существуют аналоговые процессы и ситуации, которые должны быть приняты во внимание в отношении информационной безопасности.

Тот, кто громко говорит о деликатных темах через смартфон на публике, например, в поезде, возможно, использует цифровые каналы связи, но его проступок на самом деле является аналоговым. А тому, кто не убирает за собой на столе, лучше запереть свой кабинет, чтобы сохранить конфиденциальность. По крайней мере, первое, как одна из самых эффективных мер по надежной защите информации, обычно до сих пор делается вручную...

ИТ-безопасность против информационной безопасности - Заключение

ИТ-безопасность и информационная безопасность - два термина, которые (пока) не являются взаимозаменяемыми. Скорее, ИТ-безопасность является компонентом информационной безопасности, которая, в свою очередь, также включает в себя аналоговые факты, процессы и коммуникации - что, кстати, во многих случаях сегодня все еще является обычным делом. Однако растущая цифровизация все больше сближает эти термины, так что в долгосрочной перспективе разница в значении, вероятно, станет более незначительной.

Что вы можете ожидать от нас

DQS - ваш специалист по аудиту и сертификации - для систем менеджмента и процессов. Благодаря 35-летнему опыту и ноу-хау 2500 аудиторов по всему миру мы являемся вашим компетентным партнером по сертификации по всем аспектам информационной безопасности и защиты данных.

У вас есть вопросы?

Свяжитесь с нами! Без обязательств и бесплатно.

Мы не просто говорим о профессиональной компетентности, мы ею обладаем: Вы можете рассчитывать на многолетний практический профессиональный опыт всех наших аудиторов DQS. Они работали в организациях любого размера и в любой отрасли. Такое разнообразие гарантирует, что ваш ведущий аудитор DQS проникнется ситуацией в вашей компании и культурой управления. Наши аудиторы знают системы менеджмента на собственном опыте, т.е. они сами создавали, управляли и развивали ISMS - и они знают ежедневные проблемы на собственном опыте. Мы с нетерпением ждем возможности пообщаться с вами.

Автор
Gert Krueger

Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.

Loading...