Дві речі, які часто плутають одна з одною: безпека інформаційних технологій (ІТ) та інформаційна безпека. У епоху цифровізації (діджіталізації) інформація зазвичай обробляється, зберігається або транспортується за допомогою ІТ але часто інформаційна безпека все ще є більш аналоговою, ніж ми думаемо! В основному ІТ-безпека та інформаційна безпека досить тісно пов'язані. Тому для ефективного захисту конфіденційної інформації, а також самих ІТ потрібен системний підхід.
Loading...
ЗМІСТ
ІТ-безпека проти інформаційної безпеки
Інформаційна безпека – це більше, ніж просто ІТ-безпека. Вона орієнтована на всю компанію. Адже безпека конфіденційної інформації спрямована не тільки на дані, що обробляються електронними системами. Інформаційна безпека охоплює всі корпоративні активи, які потребують захисту, в тому числі на аналогових носіях даних, таких як папір.
«ІТ-безпека та інформаційна безпека — це два терміни, які (поки що) не є взаємозамінними».
Захисні цілі інформаційної безпеки
Тому три основні цілі захисту інформації – конфіденційність, доступність та цілісність – також стосуються листа, що містить важливі договірні документи, який має надійти до дверей одержувача вчасно, надійно та неушкодженим, доставлений кур’єром, але є повністю "аналоговий". І ці цілі захисту однаково стосуються аркуша паперу, який містить конфіденційну інформацію, але лежить на безнаглядному столі, щоб хтось побачив або чекає у вільному доступі для несанкціонованого доступу.
Таким чином, інформаційна безпека має ширшу сферу застосування, ніж ІТ-безпека. ІТ-безпека, з іншого боку, відноситься «тільки» до захисту інформації в ІТ-системах.
ІТ-безпека за визначенням
Що кажуть офіційні органи? ІТ-безпека — це «стан, у якому ризики, наявні під час використання інформаційних технологій через загрози та вразливості, знижені до прийнятного рівня за допомогою відповідних заходів. Отже, ІТ-безпека — це стан, у якому конфіденційність, цілісність та доступність інформації та інформаціні технології захищені відповідними заходами». За даними Федерального управління інформаційної безпеки Німеччини (BSI).
Інформаційна безпека= ІТ-безпека плюс X
На практиці іноді застосовують інший підхід, використовуючи практичне правило «інформаційна безпека = ІТ-безпека + захист даних». Однак це твердження, записане у вигляді рівняння, досить вражає. Правда, питання захисту даних відповідно до Європейського GDPR стосується захисту конфіденційності, яка вимагає, щоб обробники персональних даних мали як безпечні ІТ, так і, наприклад, безпечне будівельне середовище, що виключає фізичний доступ до записів даних клієнтів. Однак при цьому залишаються важливі аналогові дані, які не потребують особистої конфіденційності. Наприклад, плани будівництва компанії та багато іншого.
Термін інформаційна безпека містить фундаментальні критерії, які виходять за рамки чистих ІТ-аспектів, але завжди включають їх. Таким чином, порівняно навіть прості технічні чи організаційні заходи в рамках ІТ-безпеки завжди вживаються на фоні відповідної інформаційної безпеки. Прикладами цього можуть бути:
- Закріплення джерела живлення до обладнання
- Заходи проти перегріву обладнання
- Сканування на віруси та захист програм
- Організація структур папок
- Налаштування та оновлення брандмауерів
- Навчання працівників тощо.
Очевидно, що самі по собі комп’ютери та цілісні ІТ-системи не потребують захисту. Зрештою, без інформації, яка підлягає цифровій обробці чи транспортуванню, апаратне та програмне забезпечення стають марними.
ІТ-безпека за законом, приклад з Німеччини
Тема CRITIS: Закон про ІТ-безпеку зосереджується на критичних інфраструктурах з різних секторів, таких як постачання електроенергії, газу та води, транспорт, фінанси, харчування та охорона здоров’я. Тут основна увага приділяється захисту ІТ-інфраструктури від кіберзлочинності, щоб підтримувати доступність та безпеку ІТ-систем. Зокрема, сучасні системи телеуправління з цифровим керуванням мають бути захищені.
Ці цілі захисту знаходяться на першому плані (уривок):
- Розгляд ризиків ІТ-безпеки
- Створення концепцій ІТ-безпеки
- Створення аварійних планів
- Дотримання загальних заходів безпеки
- Контроль безпеки в Інтернеті
- Використання криптографічних методів тощо.
ISO 27001 - Стандарт інформаційної безпеки
Що говорить ISO 27001? Всесвітньо визнаний стандарт системи управління інформаційною безпекою (ISMS - information security management system) з його похідними ISO 27019, ISO 27017 і ISO 27701 називається:
ISO/IEC 27001:2017 – Інформаційні технології – Методи безпеки – Системи управління інформаційною безпекою – Вимоги (ISO/IEC 27001:2013, включаючи Cor 1:2014 та Cor 2:2015).
The title of this important standard makes it clear that IT security plays a major role in information security today and will continue to grow in importance in the future. However, the requirements set out in ISO 27001 are not directly aimed at digital IT systems only. On the contrary:
«У всьому стандарті ISO/IEC 27001 «інформація» згадується повсюдно, без винятку»
У принципі не робиться ніякої різниці щодо аналогового чи цифрового способу, яким ця інформація обробляється або має бути захищена.
Успішно впроваджена СУІБ підтримує цілісну стратегію безпеки: вона включає організаційні заходи, управління персоналом із турботою про безпеку, безпеку розгорнутих ІТ-структур та відповідність вимогам законодавства.
Інформаційна безпека часто аналогічніша, ніж ми думаємо
Будь-хто, хто хотів, міг застосувати стандартні вимоги ISO 27001 до повністю аналогової системи і отримати стільки ж, скільки той, хто застосував вимоги до повністю цифрової системи. Лише в Додатку А відомого стандарту СУІБ, який містить цілі та заходи для користувачів, з’являються такі терміни, як дистанційна робота або мобільні пристрої. Але навіть заходи в додатку А стандарту нагадують нам, що в кожній компанії все ще існують аналогові процеси та ситуації, які необхідно враховувати щодо інформаційної безпеки.
Будь-хто, хто голосно говорить на гострі теми через смартфон у громадських місцях, наприклад, у поїзді, може використовувати цифрові канали зв'язку, але їх неправомірні дії насправді аналогові. І тому, хто не прибирає за своїм столом, краще зачинити свій кабінет, щоб зберегти конфіденційність. Принаймні це один із найефективніших засобів надійного захисту інформації, який зазвичай все ще виконується вручну...
ІТ-безпека проти інформаційної безпеки – Висновок
ІТ-безпека та інформаційна безпека – це два терміни, які (поки що) не є взаємозамінними. Швидше, ІТ-безпека є складовою інформаційної безпеки, яка, у свою чергу, також включає аналогові факти, процеси та комунікації, що, до речі, є звичайним явищем у багатьох випадках сьогодні. Однак зростаюча оцифровка все більше зближує ці терміни, тому різниця у значенні, ймовірно, стане більш незначною в довгостроковій перспективі.
Що ви можете очікувати від нас
DQS – це ваш спеціаліст з аудиту та сертифікації для систем манеджменту та процесів. Маючи 35-річний досвід і навички 2500 аудиторів по всьому світу, ми є вашим компетентним партнером із сертифікації для всіх аспектів інформаційної безпеки та захисту даних.
Є питання?
Зв'яжіться з нами! Без зобов'язань і безкоштовно.
Ми не просто говоримо про професійну компетентність, у нас вона є: ви можете очікувати багаторічного практичного професійного досвіду від усіх наших аудиторів DQS, який збирається в організаціях будь-якого розміру та будь-якої галузі. Завдяки такому різноманіттю гарантується, що ваш провідний аудитор DQS буде розумітися і співпереживати вашій індивідуальній ситуації в компанії та культурі управління. Наші аудитори знають системи менеджменту з власного досвіду, тобто вони самі створили, керували та розвивали СУІБ – і вони знають щоденні виклики з інформаційної безпеки з власного досвіду. Ми з нетерпінням чекаємо розмови з вами.
Інформаційний бюлетень DQS
Будьте в курсі та підпишіться на нашу розсилку!
Автор
Герт Крюгер
Експерт і менеджер проектів з інформаційної безпеки, BSI-KrititisV та захисту даних у DQS. Крім того, багаторічний аудитор з управління якістю та навколишнім середовищем.
Loading...