datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Målen för skydd av informationssäkerheten och deras betydelse.

André Saeckel

DQS Standard Expert for Information Security
nov. 11 , 2022
# Informationssäkerhet kontra IT-säkerhet

Skyddsmålen för informationssäkerheten är de grundläggande nyckelpunkterna för informationsskyddet. Information utgör ett betydande ekonomiskt värde för varje företag, och inte bara sedan i dag. Den är grunden för deras existens och därför en viktig förutsättning för framgångsrika affärer. Det är därför uppenbart - eller åtminstone önskvärt - att informationen måste skyddas. Det finns dock fortfarande en stor klyfta mellan önskan och verklighet.

INNEHÅLL

Vad är skyddsmålen för informationssäkerhet?

På grund av otillräcklig säkerhet vid informationsbehandling orsakas årligen skador för miljarder dollar. Men hur kan ett adekvat skydd av organisationens tillgångar uppnås? Och vad är det bästa sättet för ett företag att komma igång med ämnet informationssäkerhet?

Ett välstrukturerat ledningssystem för informationssäkerhet (ISMS) enligt ISO/IEC 27001 utgör en optimal grund för ett effektivt genomförande av en holistisk säkerhetsstrategi. Standarden tillhandahåller en modell för införande, genomförande, övervakning och förbättring av skyddsnivån. För att uppnå detta bör företag och organisationer först ta itu med de tre grundläggande skyddsmålen för informationssäkerhet:

  • Konfidentialitet
  • Integritet
  • Tillgänglighet

Skyddsmålen för informationssäkerhet: Informationens konfidentialitet

Målet är att skydda konfidentiella uppgifter från obehörig åtkomst, antingen på grund av dataskyddslagar eller på grund av affärshemligheter som t.ex. omfattas av lagen om affärshemligheter . Konfidentialiteten för information och känsliga uppgifter säkerställs därför om endast de personer har tillgång till dem som har befogenhet (auktorisation) att göra det. Med tillgång menas till exempel läsning, redigering (ändring) eller till och med radering.

De åtgärder som vidtas måste därför säkerställa att endast behöriga personer har tillgång till den konfidentiella informationen - icke-behöriga personer under inga omständigheter. Detta gäller även information på papper, som kan ligga oskyddad på ett skrivbord och inbjuda till läsning, eller överföring av uppgifter som inte kan nås under behandlingen.

Genomförandet och effektiviteten av de åtgärder som ett företag vidtar för att uppnå dessa skyddsmål är en viktig egenskap för dess informationssäkerhetsnivå.

Mycket användbar för användare av (eller intresserade av) den internationellt erkända informationssäkerhetsstandarden ISO 27001 är dess bilaga A. Denna bilaga innehåller mål och referensåtgärder för de viktigaste informationssäkerhetsrelaterade situationerna.

För behöriga personer är det också nödvändigt att specificera vilken typ av tillgång de ska ha, vad de får eller måste göra och vad de inte får göra. Det måste säkerställas att de inte kan göra det som de inte får göra. De metoder och tekniker som används i denna process är olika och i vissa fall företagsspecifika.

Om det "bara" handlar om obehörig visning eller avslöjande av information (även under överföringen, klassiker: e-posttrafik!) kan kryptografiska åtgärder användas för att skydda t.ex. konfidentialiteten. Om målet är att förhindra obehörig ändring av information kommer skyddsmålet "integritet" in i bilden.

ISO/IEC 27001:2013- Informationsteknik - Säkerhetsteknik - Ledningssystem för informationssäkerhet - Krav
Standarden finns tillgänglig på ISO:s webbplats.

Skyddsmål för informationssäkerhet: Integritet av information

Den tekniska termen integritet är kopplad till flera krav samtidigt:

  • Oavsiktliga förändringar av information måste vara omöjliga, eller åtminstone upptäckbara och spårbara. I praktiken gäller följande gradering:
    - Hög (stark) integritet förhindrar oönskade förändringar.
    - Låg (svag) integritet förhindrar kanske inte förändringar, men säkerställer att (oavsiktliga) förändringar kan upptäckas och vid behov spåras (spårbarhet).
  • Uppgifternas och systemens tillförlitlighet måste garanteras.
  • Informationens fullständighet måste garanteras.

Åtgärder som syftar till att öka informationens integritet är därför också inriktade på frågan om åtkomstbehörighet i samband med skydd mot externa och interna angrepp.

"Medan orden " konfidentialitet" och "tillgänglighet" är lättförståeliga, nästan självförklarande, när det gäller de klassiska skyddsmålen för informationssäkerhet, kräver den tekniska termen"integritet" en viss förklaring. Vad som menas är korrekthet (av data och system), fullständighet eller spårbarhet (av ändringar)."

Skyddsmål för informationssäkerhet: Tillgänglighet till information

Tillgänglighet till information innebär att denna information, inklusive de nödvändiga IT-systemen, måste vara tillgänglig för alla behöriga personer när som helst och vara användbar (funktionell) i den utsträckning som krävs. Om ett system går sönder eller en byggnad inte är tillgänglig är den nödvändiga informationen inte tillgänglig. I vissa fall kan detta leda till störningar med långtgående konsekvenser, till exempel när det gäller underhåll av processer.

Det är därför meningsfullt att göra en riskanalys med tanke på sannolikheten för ett systemfel, dess eventuella varaktighet och eventuella skador som orsakas av bristande IT-säkerhet. Effektiva motåtgärder kan härledas från resultaten och genomföras om det värsta skulle inträffa.

Vad är "utökade" skyddsmål?

Utöver säkerhetsmålen konfidentialitet, integritet och tillgänglighet finns det tre ytterligare säkerhetsmål. Dessa omfattar de två aspekterna "åtagande" och "ansvarighet", som kompletterar varandra. Det förstnämnda innebär att se till att en aktör inte kan förneka sin handling och det sistnämnda att denna handling på ett tillförlitligt sätt kan tillskrivas honom eller henne. Båda dessa aspekter innebär att aktörerna måste kunna identifieras på ett unikt sätt, och utfärdandet av unika lösenord är ett minimikrav för detta.

Det tredje utvidgade skyddsmålet är "äkthet", dvs. äkthet. En enkel fråga i detta sammanhang är: Är informationen äkta - kommer den verkligen från den angivna källan? Detta skyddsmål är viktigt för att bedöma källans pålitlighet.

Man and a woman with a laptop in a server room

Information av värde är dagens guld - och även en tillgång som måste skyddas för ditt företag. Läs svaren på följande frågor De viktigaste frågorna om ISO 27001 här.

Skyddsmål för informationssäkerhet: Slutsats

De tre viktigaste målen för skydd av informationssäkerheten är "konfidentialitet", "integritet" och "tillgänglighet".

Konfidentialitet: För att kunna garantera den måste man tydligt definiera vem som har rätt att få tillgång till dessa känsliga uppgifter och på vilket sätt. Detta är kopplat till lämpliga åtkomstbehörigheter och användning av t.ex. kryptografiska tekniker.

Integritet: Skydd mot obehöriga ändringar och radering av information samt informationens tillförlitlighet och fullständighet. Det är därför viktigt att ditt företag vidtar försiktighetsåtgärder för att snabbt upptäcka ändringar av uppgifter eller för att förhindra obehörig manipulation från grunden.

Tillgänglighet innebär att information, system och byggnader alltid måste vara tillgängliga för behöriga personer. Eftersom exempelvis systemfel är förknippade med stora risker bör en riskanalys genomföras för detta komplex av ämnen. Anteckna här sannolikheten för fel, stilleståndstiden och skadepotentialen för de mest nödvändiga systemen.

Engagemang, ansvarsskyldighet och äkthet är "utvidgade" skyddsmål.

Medengagemang avses att en aktör inte kan förneka sina handlingar. Ansvarsskyldighet kompletterar detta utvidgade skyddsmål genom att tydligt identifiera en sådan aktör. Äkthet ställer frågan: Är en uppgift äkta eller trovärdig?

DQS - Vad du kan förvänta dig av oss

Informationssäkerhet är ett komplext ämne som sträcker sig långt bortom IT-säkerhet. Det omfattar tekniska, organisatoriska och infrastrukturella aspekter. Den internationella standarden ISO/IEC 27001 är lämplig för effektiva skyddsåtgärder i form av ett ledningssystem för informationssäkerhet (ISMS).

DQS är din specialist på revisioner och certifieringar av ledningssystem och processer. Med 35 års erfarenhet och 2 500 revisorer över hela världen är vi din kompetenta certifieringspartner och ger dig svar på alla frågor om ISO 27001 och ledningssystem för informationssäkerhet.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Vi svarar gärna på dina frågor

Hur mycket ansträngning måste man räkna med för att få sitt ledningssystem för informationssäkerhet certifierat enligt ISO 27001? Ta reda på det. Utan förpliktelser och utan kostnad.

Contact us

Förtroende och expertis

Våra texter och broschyrer skrivs uteslutande av våra standardexperter eller revisorer med många års erfarenhet. Om du har några frågor om textens innehåll eller våra tjänster till vår författare är du välkommen att skicka oss ett e-postmeddelande.

Författare
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Några frågor?

Vi finns här för dig.
Kontakta oss