Цели защиты информационной безопасности - это элементарные ключевые моменты для защиты информации. Информация представляет собой значительную экономическую ценность для каждой компании, и не только с сегодняшнего дня. Она является основой их существования и, следовательно, необходимым условием успешного ведения бизнеса. Поэтому очевидно - или, по крайней мере, желательно - что информация должна быть защищена. Однако между желанием и реальностью все еще существует большой разрыв.
Каковы цели защиты информационной безопасности?
Из-за неадекватной защиты при обработке информации ежегодно наносится ущерб на миллиарды долларов. Но как можно добиться адекватной защиты активов организации? И как компании лучше всего начать работу над темой информационной безопасности?
Хорошо структурированная система управления информационной безопасностью (ISMS) в соответствии с ISO/IEC 27001 обеспечивает оптимальную основу для эффективной реализации целостной стратегии безопасности. Стандарт предоставляет модель для внедрения, реализации, мониторинга и улучшения уровня защиты. Для достижения этой цели компании и организации должны в первую очередь решить три фундаментальные задачи защиты информационной безопасности:
- Конфиденциальность
- Целостность
- Доступность
Цели защиты информационной безопасности: Конфиденциальность информации
Целью является защита конфиденциальных данных от несанкционированного доступа, будь то по причинам законов о защите данных или на основе коммерческой тайны, подпадающей, например, под действие Закона о коммерческой тайне . Поэтому конфиденциальность информации и конфиденциальных данных обеспечивается, если доступ к ним имеют только те лица, которые имеют на это полномочия (авторизацию). Доступ означает, например, чтение, редактирование (изменение) или даже удаление.
Поэтому принятые меры должны гарантировать, что доступ к конфиденциальной информации имеют только уполномоченные лица - неуполномоченные лица ни в коем случае. Это также относится к информации на бумаге, которая может лежать без защиты на столе и приглашать к чтению, или к передаче данных, к которым нельзя получить доступ в процессе их обработки.
Реализация и эффективность мер, которые компания применяет для достижения этих целей защиты, являются ключевой характеристикой уровня ее информационной безопасности.
Очень полезным для пользователей (или интересующихся) международно признанного стандарта информационной безопасности ISO 27001 является его приложение А. В этом приложении представлены цели и эталонные меры для наиболее важных ситуаций, связанных с информационной безопасностью.
Для уполномоченных лиц также необходимо определить тип доступа, который они должны иметь, что им разрешено или требуется делать, и что им запрещено делать. Необходимо обеспечить, чтобы они не могли делать то, что им не разрешено. Методы и приемы, используемые в этом процессе, разнообразны и в некоторых случаях зависят от конкретной компании.
Если речь идет "только" о несанкционированном просмотре или раскрытии информации (также во время передачи, классика: трафик электронной почты!), можно использовать криптографические меры, например, для защиты конфиденциальности. Если целью является предотвращение несанкционированной модификации информации, в игру вступает цель защиты "целостность".
ISO/IEC 27001:2013- Информационные технологии - Методы обеспечения безопасности - Системы менеджмента информационной безопасности - ТребованияСтандарт доступен на сайте ISO.
Цели защиты информационной безопасности: Целостность информации
Технический термин целостность связан сразу с несколькими требованиями:
- Непреднамеренные изменения информации должны быть невозможными или, по крайней мере, обнаруживаемыми и отслеживаемыми. На практике применяется следующая градация:
- Высокая (сильная) целостность предотвращает нежелательные изменения.
- Низкая (слабая) целостность может не предотвращать изменения, но гарантирует, что (непреднамеренные) изменения могут быть обнаружены и, при необходимости, отслежены (прослеживаемость). - Надежность данных и систем должна быть гарантирована.
- Полнота информации должна быть гарантирована.
Поэтому меры, направленные на повышение целостности информации, также направлены на решение вопроса авторизации доступа в сочетании с защитой от внешних и внутренних атак.
"Если слова " конфиденциальность" и "доступность" легко понятны, почти самоочевидны, с точки зрения классических целей защиты информационной безопасности, то технический термин"целостность" требует некоторых пояснений. Имеется в виду корректность (данных и систем), полнота или прослеживаемость (изменений)."
Цели защиты информационной безопасности: Доступность информации
Доступность информации означает, что эта информация, включая необходимые ИТ-системы, должна быть доступна любому уполномоченному лицу в любое время и пригодна для использования (функциональна) в требуемом объеме. Если система выходит из строя или здание недоступно, необходимая информация недоступна. В некоторых случаях это может привести к сбоям с далеко идущими последствиями, например, в обслуживании процессов.
Поэтому имеет смысл провести анализ рисков с целью определения вероятности сбоя системы, его возможной продолжительности и любого ущерба, вызванного отсутствием ИТ-безопасности. На основе полученных результатов можно разработать эффективные контрмеры и применить их в случае наступления худшего.
Что такое "расширенные" цели защиты?
В дополнение к целям безопасности, таким как конфиденциальность, целостность и доступность, существуют три дополнительные цели защиты. К ним относятся два аспекта "обязательства" и "подотчетность", которые дополняют друг друга. Первый означает гарантию того, что субъект не сможет отрицать свое действие, второй - что это действие может быть надежно приписано ему. Обе эти цели сводятся к уникальной идентифицируемости субъектов, и выдача уникальных паролей является минимальным требованием для этого.
Третьей целью расширенной защиты является "аутентичность", то есть подлинность. Простой вопрос в этом контексте таков: Является ли информация подлинной - действительно ли она получена из указанного источника? Эта цель защиты важна для оценки надежности источника.
Ценная информация - это золото сегодняшнего дня, а также актив, который необходимо защитить для вашей компании. Ответы на самые важные вопросы об ISO 27001 читайте здесь.
Цели защиты информационной безопасности: Заключение
Три наиболее важные цели защиты информационной безопасности - это "конфиденциальность", "целостность" и "доступность".
Конфиденциальность: Чтобы гарантировать ее, необходимо четко определить, кто и каким образом имеет право доступа к конфиденциальным данным. Это связано с соответствующими разрешениями на доступ и использованием, например, криптографических методов.
Целостность означает защиту от несанкционированных изменений и удаления информации, а также достоверность и полноту информации. Поэтому для вашей компании важно принять меры предосторожности, чтобы быстро обнаружить изменения данных или предотвратить несанкционированные манипуляции с самого начала.
Доступность означает, что информация, системы и здания должны быть доступны для уполномоченных лиц в любое время. Поскольку сбои в работе систем, например, связаны с серьезными рисками, необходимо провести анализ рисков для этого комплекса тем. Запишите здесь вероятность отказа, время простоя и потенциал ущерба наиболее необходимых систем.
Приверженность, подотчетность и аутентичность - это "расширенные" цели защиты.
Обязательства понимаются как гарантия того, что субъект не сможет отрицать свои действия. Подотчетность дополняет эту расширенную цель защиты путем четкой идентификации такого субъекта. Подлинность задает вопрос: Является ли часть информации подлинной или заслуживающей доверия?
DQS - Что вы можете от нас ожидать
Информационная безопасность - это сложная тема, которая выходит далеко за рамки ИТ-безопасности. Она включает в себя технические, организационные и инфраструктурные аспекты. Международный стандарт ISO/IEC 27001 подходит для эффективных защитных мер в виде системы управления информационной безопасностью (ISMS).
DQS - ваш специалист по аудиту и сертификации систем управления и процессов. Благодаря 35-летнему опыту и ноу-хау 2 500 аудиторов по всему миру мы являемся вашим компетентным партнером по сертификации и даем ответы на все вопросы, касающиеся ISO 27001 и систем управления информационной безопасностью.
Мы рады ответить на ваши вопросы
Каких усилий вам стоит ожидать, чтобы ваша система управления информационной безопасностью была сертифицирована в соответствии с ISO 27001? Узнайте. Без обязательств и бесплатно.
Доверие и компетентность
Наши тексты и брошюры написаны исключительно нашими экспертами по стандартам или аудиторами с многолетним опытом работы. Если у вас возникли вопросы по содержанию текста или нашим услугам к автору, пожалуйста, не стесняйтесь отправить нам электронное письмо.
Рассылка DQS
André Saeckel
Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.