Dve stvari koje se često međusobno zbunjuju: bezbednost informacionih tehnologija (IT) i bezbednost informacija. U vremenima digitalizacije, informacije se uglavnom obrađuju, skladište ili transportuju uz pomoć IT-ja - ali često je bezbednost informacija i dalje analognija nego što bismo mislili! U osnovi, IT bezbednost i bezbednost informacija su prilično blisko povezani. Stoga je potreban sistemski pristup za efikasnu zaštitu poverljivih informacija, kao i samog IT-ja.
SADRŽAJ
- IT bezbednost naspram bezbednost informacija
- Ciljevi zaštite bezbednosti informacija
- IT bezbednost prema definiciji
- Bezbednost informacija = IT bezbednost plus X
- IT bezbednost po zakonu, primer iz Nemačke
- ISO 27001 - Standard za bezbednost informacija
- Bezbednost informacija je često analognija nego što mislimo
- IT bezbednost naspram bezbednosti informacija – zaključak
- Šta možete očekivati od nas
IT bezbednost naspram bezbednosti informacija
Bezbednost informacija je više od samo IT bezbednosti. Fokusira se na celu kompaniju. Bezbednost poverljivih informacija nije usmerena samo na podatke koje obrađuju elektronski sistemi. Bezbednost informacija obuhvata svu korporativnu imovinu koju treba zaštititi, uključujući i one dokumentovane informacije koje se čuvaju na papiru.
„IT bezbednost i bezbednost informacija su dva pojma koja (još) nisu zamenljiva.
Zaštitni ciljevi bezbednosti informacija
Tri osnovna zaštitna cilja bezbednosti informacija – poverljivost, dostupnost i integritet – stoga se odnose i na pismo koje sadrži važne ugovorne dokumente, koje mora stići na vrata primaoca na vreme, pouzdano i netaknuto, preneto kurirskom službom, ali potpuno analogno. I ovi ciljevi zaštite se podjednako odnose na list papira koji sadrži poverljive informacije, a koji se nalazi dostupno svima bez nadzora, radi zaštite od neovlašćenog pristupa.
Dakle, bezbednost informacija ima širi obim od IT bezbednosti. IT bezbednost se, s druge strane, odnosi „samo“ na zaštitu informacija na IT sistemima.
IT bezbednost prema definiciji
Šta kažu zvanični organi? IT bezbednost je „stanje u kome su rizici prisutni u korišćenju informacionih tehnologija usled pretnji i ranjivosti odgovarajućim merama svedeni na prihvatljiv nivo. IT bezbednost je dakle stanje u kojem se čuvaju poverljivost, integritet i dostupnost informacija. Tehnologije su zaštićene odgovarajućim merama“. Prema kancelariji za bezbednost informacija (BSI).
Bezbednost informacija= IT bezbednost plus X
U praksi se ponekad koristi drugačiji pristup, koristeći pravilo „bezbednost informacija = IT bezbednost + zaštita podataka“. Međutim, ova izjava, zapisana kao jednačina, prilično je upečatljiva. Doduše, pitanje zaštite podataka prema evropskom GDPR-u odnosi se na zaštitu privatnosti, koja zahteva od odgovornog lica za obradu ličnih podataka da ima i bezbedan IT i, na primer, bezbedno okruženje zgrade – čime se isključuje fizički pristup evidenciji podataka o klijentima. Međutim, ovo izostavlja važne analogne podatke koji ne zahtevaju ličnu privatnost. Na primer, planovi izgradnje preduzeća i još mnogo toga.
Termin bezbednost informacija sadrži osnovne kriterijume koji prevazilaze čiste IT aspekte, ali ih uvek uključuju. Dakle, komparativno, čak i jednostavne tehničke ili organizacione mere u okviru IT bezbednosti uvek se preduzimaju u pozadini odgovarajuće bezbednosti informacija. Primeri ovoga mogu biti:
- Obezbeđivanje napajanja za hardver
- Mere protiv pregrevanja hardvera
- Skeniranje virusa i bezbedni programi
- Organizacija fascikli
- Podešavanje i ažuriranje zaštitnih zidova
- Obuka zaposlenih i dr.
Očigledno je da računari i kompletni IT sistemi sami po sebi ne bi morali biti zaštićeni. Na kraju krajeva, bez informacija koje treba digitalno obraditi ili transportovati, hardver i softver postaju beskorisni.
IT bezbednost po zakonu, primer iz Nemačke
Tema CRITIS-a: Zakon o IT bezbednosti se fokusira na kritične infrastrukture iz različitih sektora, kao što su snabdevanje električnom energijom, gasom i vodom, transport, finansije, hrana i zdravstvo. Ovde je glavni fokus na zaštiti IT infrastrukture od sajber kriminala u cilju održavanja dostupnosti i bezbednosti IT sistema. Posebno se moraju zaštititi današnji digitalno kontrolisani sistemi za upravljanje na daljinu.
Ovi ciljevi zaštite su u prvom planu (izvod):
- Razmatranje IT bezbednosnih rizika
- Kreiranje koncepta IT bezbednosti
- Izrada planova za vanredne situacije
- Preduzimanje opštih mera bezbednosti
- Kontrola internet bezbednosti
- Korišćenjem kriptografskih metoda itd.
ISO/IEC 27001:2022 – Bezbednost informacija, sajber bezbednost i zaštita privatnosti – Sistemi upravljanja bezbednošću informacija – Zahtevi
Revidirana verzija je objavljena 25. oktobra 2022. Trenutna verzija (ISO/IEC 27001:2013) će ostati važeća do oktobra 2025. godine.
Naziv ovog važnog standarda jasno pokazuje da IT bezbednost danas igra glavnu ulogu u bezbednosti informacija i da će nastaviti da raste na važnosti u budućnosti. Međutim, zahtevi postavljeni u ISO 27001 nisu direktno usmereni samo na digitalne IT sisteme. Naprotiv:
„U ISO/IEC 27001, "informacije“ se pominju u celosti, bez izuzetka.“
U principu, ne pravi se razlika u pogledu analognog ili digitalnog načina na koji se ove informacije obrađuju ili treba da budu zaštićene.
Za vrednija znanja o bezbednosti informacija i mogućnosti procene, posetite ISO 27001 sertifikat.
Uspešno primenjen ISMS podržava holističku bezbednosnu strategiju: uključuje organizacione mere, bezbednosno svesno upravljanje osobljem, bezbednost raspoređenih IT struktura i usaglašenost sa zakonskim zahtevima.
DQS vodič za proveru
Naš vodič za proveru ISO 27001 – Aneks A kreirali su vodeći stručnjaci kao praktičnu pomoć u implementaciji i idealan je za bolje razumevanje izabranih standardnih zahteva. Smernica je zasnovana na ISO/IEC 27001:2017. Pošto je revidirana verzija objavljena 25. oktobra 2022., dodaćemo informacije o izmenama čim budu dostupne.
Bezbednost informacija: često analognija nego što mislimo
Svako ko je želeo mogao je da primeni zahteve standarda ISO 27001 na potpuno analogni sistem i na kraju dobije isto koliko i neko ko je primenio zahteve na potpuno digitalni sistem. Tek u Aneksu A poznatog ISMS standarda, koji sadrži ciljeve mere i mere za korisnike, pojavljuju se termini kao što su rad na daljinu ili mobilni uređaji. Ali čak i mere u Aneksu A standarda podsećaju da i dalje postoje analogni procesi i situacije u svakoj kompaniji koje se moraju uzeti u obzir u pogledu bezbednosti informacija.
Svako ko javno govori o osetljivim temama putem pametnog telefona, na primer u vozu, možda koristi digitalne komunikacione kanale, ali njihovo loše ponašanje je zapravo analogno. A svako ko ih drži na stolu, bolje je da zaključa svoju kancelariju kako bi održao poverljivost. Bar se prvo, kao jedna od najefikasnijih pojedinačnih mera za sigurnu zaštitu informacija, do sada uglavnom i dalje radi ručno...
IT bezbednost naspram bezbednosti informacija – zaključak
IT bezbednost i bezbednost informacija su dva pojma koja (još) nisu zamenljiva. Umesto toga, IT bezbednost je komponenta bezebdnosti informacija, koja zauzvrat uključuje i analogne činjenice, procese i komunikaciju – što je, uzgred, i danas u mnogim slučajevima uobičajeno. Međutim, sve veća digitalizacija sve više približava ove pojmove, tako da će razlika u značenju verovatno postati marginalnija na duži rok.
Šta možete očekivati od nas
DQS je vaš specijalista za provere i sertifikaciju – za sisteme upravljanja i procese. Sa 35 godina iskustva i znanjem 2.500 ocenjivača širom sveta, mi smo vaš kompetentni partner za sertifikaciju za sve aspekte bezbednosti informacija i zaštite podataka.
Da li imate pitanja?
Kontaktirajte nas!
Bez obaveza i besplatno.
Ne govorimo samo o profesionalnoj kompetenciji, mi je imamo: možete očekivati mnogo godina praktičnog profesionalnog iskustva od svih naših DQS ocenjivača. Primenljiva je u organizacijama bez obzira na veličinu ili vrstu poslovanja. Sa ovom raznolikošću je zagarantovano da će vaš DQS auditor razumeti situaciju u vašoj kompaniji i kulturom upravljanja. Naši auditori poznaju sisteme menadžmenta iz sopstvenog iskustva, tj. sami su uspostavili, upravljali i dalje razvijali ISMS – i znaju svakodnevne izazove iz sopstvenog iskustva. Radujemo se razgovoru sa vama.
DQS Bilten
Gert Krueger
Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.