Ciele ochrany informačnej bezpečnosti sú základnými kľúčovými bodmi ochrany informácií. Informácie predstavujú významnú ekonomickú hodnotu pre každú spoločnosť, a to nielen od dnešného dňa. Sú základom ich existencie, a preto sú nevyhnutným predpokladom úspešného podnikania. Je preto zrejmé - alebo prinajmenšom žiaduce - že informácie musia byť chránené. Medzi želaním a skutočnosťou však stále existuje veľká priepasť.
V dôsledku nedostatočného zabezpečenia pri spracovaní informácií vznikajú ročne škody za miliardy dolárov. Ako však možno dosiahnuť primeranú ochranu aktív organizácie? A aký je najlepší spôsob, ako môže spoločnosť začať s témou informačnej bezpečnosti?
Dobre štruktúrovaný systém riadenia informačnej bezpečnosti (ISMS) podľa normy ISO/IEC 27001 poskytuje optimálny základ pre efektívnu implementáciu komplexnej bezpečnostnej stratégie. Norma poskytuje model na zavedenie, implementáciu, monitorovanie a zlepšovanie úrovne ochrany. Na dosiahnutie tohto cieľa by sa spoločnosti a organizácie mali najprv zaoberať tromi základnými cieľmi ochrany informačnej bezpečnosti:
Cieľom je chrániť dôverné údaje pred neoprávneným prístupom, či už z dôvodov zákonov o ochrane údajov alebo na základe obchodného tajomstva, na ktoré sa vzťahuje napr. zákon o obchodnom tajomstve . Dôvernosť informácií a citlivých údajov je preto zabezpečená, ak k nim majú prístup len tie osoby, ktoré sú na to oprávnené (autorizované). Prístup znamená napríklad čítanie, úpravu (zmenu) alebo dokonca vymazanie.
Prijaté opatrenia preto musia zabezpečiť, aby k dôverným informáciám mali prístup len oprávnené osoby - neoprávnené osoby v žiadnom prípade. To platí aj pre informácie na papieri, ktoré môžu ležať nechránené na stole a vyzývať k čítaniu, alebo pre prenos údajov, ku ktorým nie je možné pristupovať v priebehu ich spracovania.
Náš sprievodca auditom ISO 27001 - Príloha A bol vytvorený poprednými odborníkmi ako praktická pomôcka pri implementácii a je ideálny na lepšie pochopenie vybraných požiadaviek normy. Príručka vychádza z normy ISO/IEC 27001:2017, pričom revízia normy ISO sa očakáva do konca roka 2022.
Pre oprávnené osoby je tiež potrebné špecifikovať typ prístupu, ktorý by mali mať, čo môžu alebo musia robiť a čo robiť nesmú. Musí sa zabezpečiť, aby nemohli robiť to, čo nemajú povolené. Metódy a techniky používané v tomto procese sú rôzne a v niektorých prípadoch špecifické pre jednotlivé spoločnosti.
Ak ide "len" o neoprávnené zobrazenie alebo zverejnenie informácií (aj počas prenosu, klasika: e-mailová prevádzka!), môžu sa použiť napríklad kryptografické opatrenia na ochranu dôvernosti. Ak je cieľom zabrániť neoprávnenej modifikácii informácií, prichádza do úvahy cieľ ochrany "integrita".
ISO/IEC 27001:2022-10 - Bezpečnosť informácií, kybernetická bezpečnosť a ochrana súkromia - Systémy riadenia bezpečnosti informácií - Požiadavky
Revidovaná norma ISO bola zverejnená 25.10.2022. Norma ISO/IEC 27001:2013 je stále platná počas prechodného obdobia troch rokov do októbra 2025.
Norma je k dispozícii na webovej stránke ISO.
Technický termín integrita sa spája hneď s niekoľkými požiadavkami:
Opatrenia zamerané na zvýšenie integrity informácií sa preto zameriavajú aj na problematiku autorizácie prístupu v spojení s ochranou proti vonkajším a vnútorným útokom.
"Zatiaľ čo slová " dôvernosť" a "dostupnosť" sú z hľadiska klasických cieľov ochrany informačnej bezpečnosti ľahko pochopiteľné, takmer samovysvetliteľné, technický pojem"integrita" si vyžaduje určité vysvetlenie. Myslí sa tým správnosť (údajov a systémov), úplnosť alebo sledovateľnosť (zmien)."
Dostupnosť informácií znamená, že tieto informácie vrátane požadovaných informačných systémov musia byť kedykoľvek prístupné každej oprávnenej osobe a použiteľné (funkčné) v požadovanom rozsahu. Ak systém zlyhá alebo budova nie je prístupná, požadované informácie nie sú k dispozícii. V určitých prípadoch to môže viesť k poruchám s ďalekosiahlymi dôsledkami, napríklad pri údržbe procesov.
Preto má zmysel vykonať analýzu rizík so zreteľom na pravdepodobnosť zlyhania systému, jeho možné trvanie a prípadné škody spôsobené nedostatočným zabezpečením IT. Z výsledkov možno odvodiť účinné protiopatrenia a vykonať ich, ak dôjde k najhoršiemu.
Okrem bezpečnostných cieľov dôvernosti, integrity a dostupnosti existujú tri ďalšie bezpečnostné ciele. Patria k nim dva aspekty "záväznosť" a "zodpovednosť", ktoré sa navzájom dopĺňajú. Prvý z nich znamená zabezpečenie toho, aby aktér nemohol poprieť svoju činnosť, druhý, aby sa mu táto činnosť dala spoľahlivo pripísať. Oba sa zužujú na jedinečnú identifikovateľnosť aktérov a vydávanie jedinečných hesiel je na to minimálnou požiadavkou.
Tretím rozšíreným cieľom ochrany je "autenticita", t. j. pravosť. V tejto súvislosti je jednoduchá otázka: Je informácia pravá - pochádza skutočne z uvedeného zdroja? Tento cieľ ochrany je dôležitý na posúdenie dôveryhodnosti zdroja.
Hodnotné informácie sú dnešným zlatom - a tiež aktívom, ktoré treba pre vašu spoločnosť chrániť. Prečítajte si odpovede na najdôležitejšie otázky týkajúce sa normy ISO 27001 tu.
Tri najdôležitejšie ciele ochrany bezpečnosti informácií sú "dôvernosť", "integrita" a "dostupnosť".
Dôvernosť: Aby ste ju mohli zaručiť, musíte jasne definovať, kto a akým spôsobom je oprávnený pristupovať k týmto citlivým údajom. Súvisí to napríklad s príslušnými oprávneniami na prístup a používaním kryptografických techník.
Integrita znamená ochranu pred neoprávnenými zmenami a vymazaním informácií, plus spoľahlivosť a úplnosť informácií. Preto je dôležité, aby vaša spoločnosť prijala opatrenia na rýchle odhalenie zmien údajov alebo na zabránenie neoprávnenej manipulácii s údajmi od základu.
Dostupnosť znamená, že informácie, systémy a budovy musia byť vždy k dispozícii oprávneným osobám. Keďže napríklad zlyhanie systému je spojené s veľkými rizikami, mala by sa pre tento komplex tém vykonať analýza rizík. Zaznamenajte tu pravdepodobnosť zlyhania, čas výpadku a potenciál poškodenia najpotrebnejších systémov.
Záväzok, zodpovednosť a autentickosť sú "rozšírené" ciele ochrany.
Záväzkom sa rozumie zabezpečenie toho, aby aktér nemohol poprieť svoje konanie. Zodpovednosť dopĺňa tento rozšírený cieľ ochrany tým, že jasne identifikuje takéhoto aktéra. Autenticita kladie otázku: Je daná informácia pravá alebo dôveryhodná?
Informačná bezpečnosť je komplexná téma, ktorá ďaleko presahuje rámec IT bezpečnosti. Zahŕňa technické, organizačné a infraštruktúrne aspekty. Medzinárodná norma ISO/IEC 27001 je vhodná na účinné ochranné opatrenia v podobe systému riadenia informačnej bezpečnosti (ISMS).
Spoločnosť DQS je vaším špecialistom na audity a certifikácie systémov riadenia a procesov. Vďaka 35 rokom skúseností a know-how 2 500 audítorov po celom svete sme vaším kompetentným certifikačným partnerom a poskytujeme odpovede na všetky otázky týkajúce sa normy ISO 27001 a systémov riadenia informačnej bezpečnosti.
S akým úsilím treba počítať, aby bol váš systém riadenia informačnej bezpečnosti certifikovaný podľa normy ISO 27001? Zistite to. Nezáväzne a bezplatne.
Naše texty a brožúry píšu výlučne naši odborníci na normy alebo audítori s dlhoročnými skúsenosťami. Ak máte akékoľvek otázky týkajúce sa obsahu textu alebo našich služieb pre nášho autora, neváhajte nám poslať e-mail.
Produktový manažér spoločnosti DQS pre riadenie informačnej bezpečnosti. Ako expert na štandardy pre oblasť informačnej bezpečnosti a katalóg IT bezpečnosti (kritické infraštruktúry) je André Säckel zodpovedný okrem iného za nasledujúce štandardy a odvetvové štandardy: ISO 27001, ISIS12, ISO 20000-1, KRITIS a TISAX (bezpečnosť informácií v automobilovom priemysle). Je tiež členom pracovnej skupiny ISO/IEC JTC 1/SC 27/WG 1 ako národný delegát Nemeckého inštitútu pre normalizáciu DIN.
