Ciljevi zaštite bezbednosti informacija su elementarne ključne tačke za zaštitu informacija. Informacije predstavljaju značajnu ekonomsku vrednost za svaku kompaniju, i to ne samo od danas. To je temelj njihovog postojanja i samim tim suštinski preduslov za uspešno poslovanje. Stoga je očigledno - ili bar poželjno - da informacije  budu zaštićene. Međutim, i dalje postoji širok jaz između želje i stvarnosti.

Loading...

Koji su ciljevi zaštite bezbednosti informacija?

Zbog neadekvatne bezbednosti u obradi informacija godišnje se dogodi milijarde dolara štete. Ali kako se može postići adekvatna zaštita organizacione imovine? Koji je najbolji način da organizacija počne sa temom bezbednosti informacija?

Dobro struktuiran sistem menadžmenta bezbednošću informacija (ISMS) prema ISO/IEC 27001 pruža optimalnu osnovu za efektivnu primenu holističke strategije bezbednosti. Standard daje model za uvođenje, implementaciju, praćenje i unapređenje nivoa zaštite. Da bi se ovo postiglo, kompanije i organizacije prvo treba da se pozabave sa tri osnovna cilja zaštite informacija:

  • Poverljivost 
  • Integritet
  • Dostupnost 

Ciljevi zaštite bezbednosti informacija: Poverljivost informacija

Cilj je zaštititi poverljive podatke od neovlašćenog pristupa, bilo iz razloga zakona o zaštiti podataka ili na osnovu poslovnih tajni koje su pokrivene npr.  Zakonom o poslovnoj tajni. Poverljivost informacija i osetljivih podataka je obezbeđena ako im pristup imaju samo ona lica koja imaju ovlašćenje. Pristup znači čitanje, uređivanje (promena) ili čak brisanje.

Preduzete mere moraju obezbediti da samo ovlašćena lica imaju pristup poverljivim informacijama – neovlašćena lica ni pod kojim uslovima. Ovo se odnosi i na informacije na papiru, koje mogu da stoje nezaštićene na radnom stolu i pozivaju na čitanje, ili na prenos podataka kojima nije moguće pristupiti u toku njihove obrade.

Loading...

Naš Vodič za proveru ISO 27001 – Aneks A kreirali su vodeći stručnjaci kao praktičnu pomoć u implementaciji i idealan je za bolje razumevanje izabranih standardnih zahteva. Smernica je zasnovana na ISO/IEC 27001:2017, a revizija ISO standarda se očekuje do kraja 2022. godine.

Za ovlašćena lica je potrebno navesti i vrstu pristupa koja treba da imaju, šta smeju ili obavezni da rade, a šta ne smeju. Mora se osigurati da ne mogu da rade ono što im nije dozvoljeno. Metode i tehnike koje se koriste u ovom procesu su različite i u nekim slučajevima specifične za organizaciju.

Ako je u pitanju „samo“ neovlašćeno gledanje ili otkrivanje informacija (takođe prilikom prenosa putem e-pošte!), mogu se koristiti kriptografske mere za zaštitu poverljivosti, npr. ako je cilj da se spreči neovlašćena modifikacija informacija, u igru dolazi cilj zaštite „integritet“.

ISO/IEC 27001:2013 – Informaciona tehnologija – Tehnike bezbednosti – Sistemi menadžmenta bezbednošću informacija – Zahtevi
Standard je dostupan na ISO veb lokaciji.

Ciljevi zaštite bezbednosti informacija: Integritet informacija.

Tehnički termin integritet povezan je sa nekoliko zahteva odjednom:

  • Nenamerne promene informacija moraju biti nemoguće, ili barem uočljive i sledljive. U praksi se primenjuje sledeća gradacija:
    - Visok (jak) integritet sprečava neželjene promene.
    - Nizak (slab) integritet možda neće sprečiti promene, ali obezbeđuje da (nenamerne) promene mogu biti otkrivene i, ako je potrebno, praćene (sledljivost).
  • Pouzdanost podataka i sistema mora biti zagarantovana.
  • Potpunost informacija mora biti zagarantovana.

Mere koje imaju za cilj povećanje integriteta informacija stoga su usmerene i na pitanje autorizacije pristupa u vezi sa zaštitom od spoljnih i unutrašnjih napada.

„Dok su reči „poverljivost“ i „dostupnost“ lako razumljive, u smislu klasičnih ciljeva zaštite bezbednosti informacija, tehnički termin „integritet“ zahteva neko objašnjenje. Ono što se misli je na ispravnost podataka sistema, tačnost ili sledljivost .“

Ciljevi zaštite bezebednosti informacija: Dostupnost informacija

Dostupnost informacija znači da ove informacije, uključujući potrebne IT sisteme, moraju biti dostupne svakom ovlašćenom licu u bilo koje vreme i upotrebljive (funkcionalne) u potrebnoj meri. Ako sistem pokvari ili zgrada nije dostupna, potrebne informacije nisu dostupne. U određenim slučajevima to može dovesti do poremećaja sa dalekosežnim posledicama, na primer u održavanju procesa.

Stoga ima smisla sprovesti analizu rizika u pogledu verovatnoće kvara sistema, njegovog mogućeg trajanja i bilo kakve štete uzrokovane nedostatkom IT bezbednosti. Efikasne protivmere se mogu izvesti iz rezultata i sprovesti ako dođe do najgoreg.

Šta su „prošireni“ ciljevi zaštite?

Pored bezbednosnih ciljeva poverljivosti, integriteta i dostupnosti, postoje tri dodatna bezbednosna cilja. Ovo uključuje dva aspekta „posvećenosti“ i „odgovornosti“, koji se međusobno dopunjuju. Prvo znači da se osigura da akter ne može da poriče svoju radnju, a drugo da se ta radnja može pouzdano pripisati njemu. Oba se svode na jedinstvenu identifikaciju aktera, a izdavanje jedinstvenih lozinki je minimalni uslov za ovo.

Treći prošireni cilj zaštite je „autentičnost“, tj.jednostavno pitanje u ovom kontekstu je: da li su informacije originalne – da li zaista potiču iz navedenog izvora? Ovaj cilj zaštite je važan za ocenu verodostojnosti izvora.

Man and a woman with a laptop in a server room
Loading...

Informacije od vrednosti su današnje zlato - i takođe imovina koju treba zaštititi za vašu kompaniju. Odgovore na najvažnija pitanja o bezbednosti informacija pročitajte ovde.

Ciljevi zaštite bezbednosti informacija: Zaključak

Tri najvažnija zaštitna cilja bezbednosti informacija su „poverljivost“, „integritet“ i „dostupnost“.

Poverljivost: Da biste to mogli da garantujete, morate jasno definisati ko je ovlašćen da pristupi ovim osetljivim podacima i na koji način. Ovo je povezano sa odgovarajućim autorizacijama pristupa i upotrebom kriptografskih tehnika, na primer.

Integritet znači zaštitu od neovlašćenih promena i brisanja informacija, plus pouzdanost i potpunost informacija. Zbog toga je važno da vaša kompanija preduzme mere predostrožnosti kako bi brzo otkrila promene podataka ili sprečila neovlašćenu manipulaciju iz temelja.

Dostupnost znači da informacije, sistemi i zgrade moraju biti dostupni ovlašćenim licima u svakom trenutku. Pošto su sistemski kvarovi, na primer, povezani sa velikim rizicima, za ovaj kompleks tema treba izvršiti analizu rizika. Ovde zabeležite verovatnoću kvara, zastoje i potencijal oštećenja najneophodnijih sistema.

Posvećenost, odgovornost i autentičnost su „prošireni“ ciljevi zaštite.

Posvećenost se podrazumeva da se osigura da akter ne može da poriče svoje radnje. Odgovornost dopunjuje ovaj prošireni cilj zaštite tako što jasno identifikuje takvog aktera. Autentičnost postavlja pitanje: Da li je informacija originalna ili pouzdana?

DQS - Šta možete očekivati od nas

Bezbednost informacija je složena tema koja prevazilazi IT bezbednost. Uključuje tehničke, organizacione i infrastrukturne aspekte. Međunarodni standard ISO/IEC 27001 je pogodan za efikasne zaštitne mere u vidu sistema menadžmenta bezbednošću informacija (ISMS).

DQS je vaš specijalista za provere i sertifikaciju sistema menadžmenta i procesa. Sa 35 godina iskustva i znanja 2.500 auditora širom sveta, mi smo vaš kompetentni partner za sertifikaciju i pružamo odgovore na sva pitanja u vezi sa ISO 27001 i sistemima menadžmenta bezbednošću informacija.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Rado ćemo odgovoriti na vaša pitanja

Šta je potrebno da vaš sistem menadžmenta bezbednošću informacija bude sertifikovan prema ISO 27001? Saznajte. Bez obaveza i besplatno.

Poverenje i stručnost

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili ocenjivači sa dugogodišnjim iskustvom. Ako imate bilo kakvih pitanja o tekstualnom sadržaju ili našim uslugama ili našem autoru, slobodno nam pošaljite e-mail.

Autor
Andre Sekel

Menadžer proizvoda u DQS-u za upravljanje bezbednošću informacija.

Loading...