Dve veci, ktoré sa často navzájom zamieňajú: bezpečnosť informačných technológií (IT) a informačná bezpečnosť. V dobe digitalizácie sa informácie väčšinou spracúvajú, uchovávajú alebo prenášajú pomocou IT. Bezpečnosť IT a bezpečnosť informácií sú v podstate pomerne úzko prepojené. Na účinnú ochranu dôverných informácií, ako aj samotných IT je preto potrebný systematický prístup.

Loading...

Bezpečnosť IT vs. informačná bezpečnosť

Informačná bezpečnosť je viac ako len bezpečnosť IT. Zameriava sa na celú spoločnosť. Bezpečnosť dôverných informácií totiž nie je zameraná len na údaje spracúvané elektronickými systémami. Informačná bezpečnosť zahŕňa všetky podnikové aktíva, ktoré je potrebné chrániť, vrátane tých na analógových nosičoch údajov, ako je papier.

"Bezpečnosť IT a bezpečnosť informácií sú dva pojmy, ktoré (zatiaľ) nie sú zameniteľné."

Ciele ochrany informačnej bezpečnosti

Tri základné ciele ochrany informačnej bezpečnosti - dôvernosť, dostupnosť a integrita - sa teda vzťahujú aj na list s dôležitými zmluvnými dokumentmi, ktorý musí byť doručený k dverám príjemcu včas, spoľahlivo a neporušený, prepravovaný kuriérom, ale úplne analógovo. A tieto ciele ochrany sa rovnako vzťahujú aj na list papiera, ktorý obsahuje dôverné informácie, ale ktorý leží na stole bez dozoru, aby ho mohol ktokoľvek vidieť, alebo čaká v kopírke, voľne prístupný, na neoprávnený prístup.

Informačná bezpečnosť má teda širší rozsah ako bezpečnosť IT. Na druhej strane bezpečnosť IT sa vzťahuje "len" na ochranu informácií v systémoch IT.

Bezpečnosť IT podľa definície

Čo hovoria oficiálne orgány? Bezpečnosť IT je "stav, v ktorom sú riziká prítomné pri používaní informačných technológií v dôsledku hrozieb a zraniteľností znížené na prijateľnú úroveň pomocou vhodných opatrení. Bezpečnosť IT je teda stav, v ktorom sú dôvernosť, integrita a dostupnosť informácií a informačných technológií chránené vhodnými opatreniami." Podľa nemeckého Spolkového úradu pre informačnú bezpečnosť (BSI).

Informačná bezpečnosť = bezpečnosť IT plus X

V praxi sa niekedy používa iný prístup, a to pravidlo "informačná bezpečnosť = bezpečnosť IT + ochrana údajov". Toto tvrdenie zapísané ako rovnica je však dosť zarážajúce. Je síce pravda, že otázka ochrany údajov podľa európskeho nariadenia GDPR sa týka ochrany súkromia, ktorá vyžaduje, aby spracovatelia osobných údajov mali zabezpečené IT aj napríklad bezpečné prostredie v budove - teda vylúčenie fyzického prístupu k záznamom údajov o zákazníkoch. Tým sa však vynechávajú dôležité analógové údaje, ktoré si nevyžadujú ochranu osobných údajov. Napríklad stavebné plány spoločnosti a mnohé ďalšie.

Pojem informačná bezpečnosť obsahuje základné kritériá, ktoré presahujú čisto IT aspekty, ale vždy ich zahŕňajú. Preto sa porovnateľne aj jednoduché technické alebo organizačné opatrenia v rámci IT bezpečnosti vždy prijímajú na pozadí primeranej informačnej bezpečnosti. Príkladmi môžu byť napr:

  • Zabezpečenie napájania hardvéru
  • Opatrenia proti prehriatiu hardvéru
  • Antivírusové kontroly a bezpečné programy
  • Organizácia štruktúry priečinkov
  • Nastavenie a aktualizácia firewallov
  • Školenie zamestnancov atď.

Je zrejmé, že počítače a kompletné IT systémy by samy o sebe nebolo potrebné chrániť. Koniec koncov, bez informácií, ktoré sa majú digitálne spracovať alebo prenášať, sa hardvér a softvér stávajú zbytočnými.

Bezpečnosť IT podľa zákona, príklad z Nemecka

Téma CRITIS: Zákon o bezpečnosti IT sa zameriava na kritické infraštruktúry z rôznych sektorov, ako sú napríklad dodávky elektriny, plynu a vody, doprava, financie, potraviny a zdravotníctvo. Tu sa hlavný dôraz kladie na ochranu IT infraštruktúry pred počítačovou kriminalitou s cieľom zachovať dostupnosť a bezpečnosť IT systémov. Chrániť sa musia najmä dnešné digitálne riadené systémy telekontroly.

Tieto ciele ochrany sú v popredí (výňatok):

  • Zohľadnenie bezpečnostných rizík IT
  • Vytvorenie koncepcií bezpečnosti IT
  • Vytvorenie havarijných plánov
  • Prijatie všeobecných bezpečnostných opatrení
  • Kontrola internetovej bezpečnosti
  • Používanie kryptografických metód atď.

ISO 27001 - norma pre bezpečnosť informácií

Čo hovorí norma ISO 27001? Celosvetovo uznávaná norma pre systém riadenia informačnej bezpečnosti (ISMS) spolu s jej odvodeninami ISO 27019, ISO 27017 a ISO 27701 sa nazýva:

ISO/IEC 27001:2022 - Bezpečnosť informácií, kybernetická bezpečnosť a ochrana súkromia - Systémy riadenia bezpečnosti informácií - Požiadavky

Revidovaná verzia bola uverejnená 25. októbra 2022.  Súčasná verzia (ISO/IEC 27001:2013) zostáva v platnosti do októbra 2025.

Už z názvu tejto dôležitej normy je zrejmé, že bezpečnosť IT zohráva v súčasnosti významnú úlohu v oblasti informačnej bezpečnosti a jej význam bude v budúcnosti naďalej narastať. Požiadavky stanovené v norme ISO 27001 však nie sú priamo zamerané len na digitálne IT systémy. Práve naopak:

"V celej norme ISO/IEC 27001 sa na "informácie" odkazuje bez výnimky."

V zásade sa nerozlišuje, či ide o analógový alebo digitálny spôsob, akým sa tieto informácie spracúvajú alebo majú byť chránené.

Ďalšie cenné poznatky o informačnej bezpečnosti a možnosti hodnotenia nájdete na stránke certifikácie ISO 27001.

Úspešne zavedený ISMS podporuje komplexnú bezpečnostnú stratégiu: zahŕňa organizačné opatrenia, riadenie personálu s ohľadom na bezpečnosť, bezpečnosť nasadených štruktúr IT a súlad s právnymi požiadavkami.

Loading...

Cenné know-how: Sprievodca auditom DQS

Náš sprievodca auditom ISO 27001 - Príloha A bol vytvorený poprednými odborníkmi ako praktická pomôcka pri implementácii a je ideálny na lepšie pochopenie vybraných požiadaviek normy. Príručka vychádza z normy ISO/IEC 27001:2017. Keďže revidovaná verzia bola uverejnená 25. októbra 2022, informácie o zmenách pridáme hneď, ako budú k dispozícii.

Informačná bezpečnosť je často analogickejšia, ako si myslíme

Kto by chcel, mohol by aplikovať požiadavky normy ISO 27001 na úplne analógový systém a skončil by rovnako ako ten, kto by požiadavky aplikoval na úplne digitálny systém. Až v prílohe A známej normy ISMS, ktorá obsahuje ciele opatrení a opatrenia pre používateľov, sa objavujú pojmy ako teleworking alebo mobilné zariadenia. Ale aj opatrenia v prílohe A normy pripomínajú, že v každej spoločnosti stále existujú analogické procesy a situácie, ktoré treba zohľadniť v súvislosti s bezpečnosťou informácií.

Každý, kto na verejnosti, napríklad vo vlaku, hlasno hovorí o citlivých témach prostredníctvom smartfónu, síce používa digitálne komunikačné kanály, ale jeho nesprávne konanie je v skutočnosti analógové. A každý, kto si neuklídza svoj stôl, by mal radšej zamknúť svoju kanceláriu, aby sa zachovala dôvernosť informácií. Prinajmenšom to prvé, ako jedno z najúčinnejších jednorazových opatrení na bezpečnú ochranu informácií, sa zatiaľ zvyčajne stále robí ručne...

Bezpečnosť informačných technológií verzus informačná bezpečnosť - záver

Bezpečnosť IT a informačná bezpečnosť sú dva pojmy, ktoré (zatiaľ) nie sú zameniteľné. IT bezpečnosť je skôr súčasťou informačnej bezpečnosti, ktorá zasa zahŕňa aj analógové fakty, procesy a komunikáciu - čo je mimochodom v mnohých prípadoch bežné aj dnes. Postupujúca digitalizácia však tieto pojmy stále viac zbližuje, takže rozdiel vo význame bude zrejme z dlhodobého hľadiska marginálnejší.

Čo od nás môžete očakávať

DQS je váš špecialista na audity a certifikácie - pre systémy riadenia a procesy. Vďaka 35 rokom skúseností a know-how 2 500 audítorov po celom svete sme vaším kompetentným partnerom pre certifikáciu všetkých aspektov bezpečnosti informácií a ochrany údajov.

gerber-hermsdorf-werner-korall-audit dqs
Loading...

Máte nejaké otázky?

Kontaktujte nás!
Bez záväzkov a bezplatne.

O odbornej spôsobilosti nielen hovoríme, ale ju aj máme: Od všetkých našich audítorov DQS môžete očakávať dlhoročné praktické odborné skúsenosti. Zozbierané v organizáciách každej veľkosti a v každom odvetví. Vďaka tejto rozmanitosti je zaručené, že sa váš hlavný audítor DQS vcíti do individuálnej situácie vašej spoločnosti a kultúry riadenia. Naši audítori poznajú systémy riadenia z vlastnej skúsenosti, t. j. sami zaviedli, riadili a ďalej rozvíjali ISMS - a z vlastnej skúsenosti poznajú každodenné výzvy. Tešíme sa na rozhovor s vami.

Autor
André Saeckel

Produktový manažér spoločnosti DQS pre riadenie informačnej bezpečnosti. Ako expert na štandardy pre oblasť informačnej bezpečnosti a katalóg IT bezpečnosti (kritické infraštruktúry) je André Säckel zodpovedný okrem iného za nasledujúce štandardy a odvetvové štandardy: ISO 27001, ISIS12, ISO 20000-1, KRITIS a TISAX (bezpečnosť informácií v automobilovom priemysle). Je tiež členom pracovnej skupiny ISO/IEC JTC 1/SC 27/WG 1 ako národný delegát Nemeckého inštitútu pre normalizáciu DIN.

Loading...