datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

IT bezbednost u odnosu na bezbednost informacija - u čemu je razlika?

Gert Krueger

DQS Expert for Information Security and Data Protection
нов 12 , 2022
# Bezbednost informacija i IT bezbednost

Dve stvari koje se često međusobno zbunjuju: bezbednost informacionih tehnologija (IT) i bezbednost informacija. U vremenima digitalizacije, informacije se uglavnom obrađuju, skladište ili transportuju uz pomoć IT-ja - ali često je bezbednost informacija i dalje analognija nego što bismo mislili! U osnovi, IT bezbednost i bezbednost informacija su prilično blisko povezani. Stoga je potreban sistemski pristup za efikasnu zaštitu poverljivih informacija, kao i samog IT-ja.

SADRŽAJ

IT bezbednost naspram bezbednosti informacija

Bezbednost informacija je više od samo IT bezbednosti. Fokusira se na celu kompaniju. Bezbednost poverljivih informacija nije usmerena samo na podatke koje obrađuju elektronski sistemi. Bezbednost informacija obuhvata svu korporativnu imovinu koju treba zaštititi, uključujući i one dokumentovane informacije koje se čuvaju na papiru.

„IT bezbednost i bezbednost informacija su dva pojma koja (još) nisu zamenljiva.

Zaštitni ciljevi bezbednosti informacija

Tri osnovna zaštitna cilja bezbednosti informacija – poverljivost, dostupnost i integritet – stoga se odnose i na pismo koje sadrži važne ugovorne dokumente, koje mora stići na vrata primaoca na vreme, pouzdano i netaknuto, preneto kurirskom službom, ali potpuno analogno. I ovi ciljevi zaštite se podjednako odnose na list papira koji sadrži poverljive informacije, a koji se nalazi dostupno svima bez nadzora, radi zaštite od neovlašćenog pristupa.

Dakle, bezbednost informacija ima širi obim od IT bezbednosti. IT bezbednost se, s druge strane, odnosi „samo“ na zaštitu informacija na IT sistemima.

IT bezbednost prema definiciji

Šta kažu zvanični organi? IT bezbednost je „stanje u kome su rizici prisutni u korišćenju informacionih tehnologija usled pretnji i ranjivosti odgovarajućim merama svedeni na prihvatljiv nivo. IT bezbednost je dakle stanje u kojem se čuvaju poverljivost, integritet i dostupnost informacija. Tehnologije su zaštićene odgovarajućim merama“. Prema kancelariji za bezbednost informacija (BSI).

Bezbednost informacija= IT bezbednost plus X

U praksi se ponekad koristi drugačiji pristup, koristeći pravilo „bezbednost informacija = IT bezbednost + zaštita podataka“. Međutim, ova izjava, zapisana kao jednačina, prilično je upečatljiva. Doduše, pitanje zaštite podataka prema evropskom GDPR-u odnosi se na zaštitu privatnosti, koja zahteva od odgovornog lica za obradu ličnih podataka da ima i bezbedan IT i, na primer, bezbedno okruženje zgrade – čime se isključuje fizički pristup evidenciji podataka o klijentima. Međutim, ovo izostavlja važne analogne podatke koji ne zahtevaju ličnu privatnost. Na primer, planovi izgradnje preduzeća i još mnogo toga.

Termin bezbednost informacija sadrži osnovne kriterijume koji prevazilaze čiste IT aspekte, ali ih uvek uključuju. Dakle, komparativno, čak i jednostavne tehničke ili organizacione mere u okviru IT bezbednosti uvek se preduzimaju u pozadini odgovarajuće bezbednosti informacija. Primeri ovoga mogu biti:

  • Obezbeđivanje napajanja za hardver
  • Mere protiv pregrevanja hardvera
  • Skeniranje virusa i bezbedni programi
  • Organizacija fascikli
  • Podešavanje i ažuriranje zaštitnih zidova
  • Obuka zaposlenih i dr.

Očigledno je da računari i kompletni IT sistemi sami po sebi ne bi morali biti zaštićeni. Na kraju krajeva, bez informacija koje treba digitalno obraditi ili transportovati, hardver i softver postaju beskorisni.

IT bezbednost po zakonu, primer iz Nemačke

Tema CRITIS-a: Zakon o IT bezbednosti se fokusira na kritične infrastrukture iz različitih sektora, kao što su snabdevanje električnom energijom, gasom i vodom, transport, finansije, hrana i zdravstvo. Ovde je glavni fokus na zaštiti IT infrastrukture od sajber kriminala u cilju održavanja dostupnosti i bezbednosti IT sistema. Posebno se moraju zaštititi današnji digitalno kontrolisani sistemi za upravljanje na daljinu.

Ovi ciljevi zaštite su u prvom planu (izvod):

  • Razmatranje IT bezbednosnih rizika
  • Kreiranje koncepta IT bezbednosti
  • Izrada planova za vanredne situacije
  • Preduzimanje opštih mera bezbednosti
  • Kontrola internet bezbednosti
  • Korišćenjem kriptografskih metoda itd.

ISO 27001 - Standard za bezbednost informacija

Šta kaže ISO 27001? Globalno priznati standard za sistem upravljanja bezbednošću informacija (ISMS), sa svojim derivatima ISO 27019, ISO 27017 ISO 27701, naziva se:

ISO/IEC 27001:2022 – Bezbednost informacija, sajber bezbednost i zaštita privatnosti – Sistemi upravljanja bezbednošću informacija – Zahtevi 

Revidirana verzija je objavljena 25. oktobra 2022. Trenutna verzija (ISO/IEC 27001:2013) će ostati važeća do oktobra 2025. godine. 

Naziv ovog važnog standarda jasno pokazuje da IT bezbednost danas igra glavnu ulogu u bezbednosti informacija i da će nastaviti da raste na važnosti u budućnosti. Međutim, zahtevi postavljeni u ISO 27001 nisu direktno usmereni samo na digitalne IT sisteme. Naprotiv:

„U ISO/IEC 27001, "informacije“ se pominju u celosti, bez izuzetka.“

U principu, ne pravi se razlika u pogledu analognog ili digitalnog načina na koji se ove informacije obrađuju ili treba da budu zaštićene.

Za vrednija znanja o bezbednosti informacija i mogućnosti procene, posetite ISO 27001 sertifikat.

Uspešno primenjen ISMS podržava holističku bezbednosnu strategiju: uključuje organizacione mere, bezbednosno svesno upravljanje osobljem, bezbednost raspoređenih IT struktura i usaglašenost sa zakonskim zahtevima.

DQS vodič za proveru

Naš vodič za proveru ISO 27001 – Aneks A kreirali su vodeći stručnjaci kao praktičnu pomoć u implementaciji i idealan je za bolje razumevanje izabranih standardnih zahteva. Smernica je zasnovana na ISO/IEC 27001:2017. Pošto je revidirana verzija objavljena 25. oktobra 2022., dodaćemo informacije o izmenama čim budu dostupne.

Besplatno preuzmite smernice

Bezbednost informacija: često analognija nego što mislimo

Svako ko je želeo mogao je da primeni zahteve standarda ISO 27001 na potpuno analogni sistem i na kraju dobije isto koliko i neko ko je primenio zahteve na potpuno digitalni sistem. Tek u Aneksu A poznatog ISMS standarda, koji sadrži ciljeve mere i mere za korisnike, pojavljuju se termini kao što su rad na daljinu ili mobilni uređaji. Ali čak i mere u Aneksu A standarda podsećaju da i dalje postoje analogni procesi i situacije u svakoj kompaniji koje se moraju uzeti u obzir u pogledu bezbednosti informacija.

Svako ko javno govori o osetljivim temama putem pametnog telefona, na primer u vozu, možda koristi digitalne komunikacione kanale, ali njihovo loše ponašanje je zapravo analogno. A svako ko ih drži na stolu, bolje je da zaključa svoju kancelariju kako bi održao poverljivost. Bar se prvo, kao jedna od najefikasnijih pojedinačnih mera za sigurnu zaštitu informacija, do sada uglavnom i dalje radi ručno...

IT bezbednost naspram bezbednosti informacija – zaključak

IT bezbednost i bezbednost informacija su dva pojma koja (još) nisu zamenljiva. Umesto toga, IT bezbednost je komponenta bezebdnosti informacija, koja zauzvrat uključuje i analogne činjenice, procese i komunikaciju – što je, uzgred, i danas u mnogim slučajevima uobičajeno. Međutim, sve veća digitalizacija sve više približava ove pojmove, tako da će razlika u značenju verovatno postati marginalnija na duži rok.

Šta možete očekivati od nas

DQS je vaš specijalista za provere i sertifikaciju – za sisteme upravljanja i procese. Sa 35 godina iskustva i znanjem 2.500 ocenjivača širom sveta, mi smo vaš kompetentni partner za sertifikaciju za sve aspekte bezbednosti informacija i zaštite podataka.

Da li imate pitanja?

Kontaktirajte nas!

Bez obaveza i besplatno.

Kontaktirajte nas

Ne govorimo samo o profesionalnoj kompetenciji, mi je imamo: možete očekivati mnogo godina praktičnog profesionalnog iskustva od svih naših DQS ocenjivača. Primenljiva je u organizacijama bez obzira na veličinu ili vrstu poslovanja. Sa ovom raznolikošću je zagarantovano da će vaš DQS auditor  razumeti situaciju u vašoj kompaniji i kulturom upravljanja. Naši auditori poznaju sisteme menadžmenta iz sopstvenog iskustva, tj. sami su uspostavili, upravljali i dalje razvijali ISMS – i znaju svakodnevne izazove iz sopstvenog iskustva. Radujemo se razgovoru sa vama.

Autor
Gert Krueger

Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.

Pitanja?

Tu smo za vas.
Kontaktirajte nas.