datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Цілі інформаційної безпеки та їх значення

Андре Секель

Експерт DQS з стандартів інформаційної безпеки
лист. 11 , 2022
# Інформаційна безпека проти ІТ-безпеки

Цілі інформаційної безпеки - це елементарні ключові моменти захисту інформації. Інформація є значною економічною цінністю для кожної компанії, і не тільки з сьогоднішнього дня. Вона є основою їхнього існування і, отже, необхідною умовою успішного ведення бізнесу. Тому очевидно – чи, принаймні, бажано – що інформація має бути захищена. Однак між бажанням та реальністю все ще існує великий розрив.

ЗМІСТ

Якими є цілі інформаційної безпеки?

Через неадекватний захист при обробці інформації щороку завдають збитків на мільярди доларів. Але як можна досягти адекватного захисту активів організації? І як компанії найкраще розпочати роботу над темою інформаційної безпеки?

Добре структурована система управління інформаційною безпекою (ISMS) відповідно до ISO/IEC 27001 забезпечує оптимальну основу ефективної реалізації цілісної стратегії безпеки. Стандарт надає модель для впровадження, реалізації, моніторингу та покращення рівня захисту. Для досягнення цієї мети компанії та організації мають насамперед вирішити три фундаментальні завдання захисту інформаційної безпеки:

  • Конфіденційність
  • Цілісність
  • Доступність

Цілі інформаційної безпеки: Конфіденційність інформації

Метою є захист конфіденційних даних від несанкціонованого доступу, будь то через закони про захист даних або на основі комерційної таємниці, що підпадає, наприклад, під дію Закону про комерційну таємницю . Тому конфіденційність інформації та конфіденційних даних забезпечується, якщо доступ до них мають лише ті особи, які мають на це повноваження (авторизацію). Доступ означає, наприклад, читання, редагування або навіть видалення.

Тому вжиті заходи повинні гарантувати, що доступ до конфіденційної інформації мають лише уповноважені особи – неуповноважені особи в жодному разі. Це також стосується інформації на папері, яка може лежати без захисту на столі та запрошувати до читання або передачі даних, до яких не можна отримати доступ у процесі їх обробки.

Реалізація та ефективність заходів, які компанія застосовує для досягнення цієї мети захисту, є ключовою характеристикою рівня її інформаційної безпеки.

Дуже корисним для користувачів (або тих, хто цікавиться) міжнародно визнаного стандарту інформаційної безпеки ISO 27001 є його додаток А. У цьому додатку представлені цілі та еталонні заходи для найважливіших ситуацій, пов'язаних з інформаційною безпекою.

Для уповноважених осіб також необхідно визначити тип доступу, який вони повинні мати, що їм дозволено чи потрібно робити, та що їм заборонено робити. Необхідно забезпечити, щоб вони не могли робити те, що їм не дозволено. Методи та прийоми, що використовуються в цьому процесі, різноманітні та в деяких випадках залежать від конкретної компанії.

Якщо йдеться лише про несанкціонований перегляд або розкриття інформації (також під час передачі, класика: трафік електронної пошти!), можна використовувати криптографічні заходи, наприклад, для захисту конфіденційності. Якщо метою є запобігання несанкціонованій модифікації інформації, у гру входить мета захисту "цілісність".

ISO/IEC 27001:2013- Інформаційні технології - Методи забезпечення безпеки - Системи менеджменту інформаційної безпеки - Вимоги
Стандартний доступний на сайті ISO.

Цілі інформаційної безпеки: Цілісність інформації

Технічний термін цілісність пов'язаний одразу з кількома вимогами:

  • Ненавмисні зміни інформації повинні бути неможливими або, принаймні, виявленими та відстежуваними. На практиці застосовується така градація:- Висока (сильна) цілісність запобігає небажаним змінам.
    - Низька (слабка) цілісність може не запобігати змінам, але гарантує, що (ненавмисні) зміни можуть бути виявлені і, при необхідності, відстежені (простежуваність).
  • Надійність даних та систем має бути гарантована.
  • Повнота інформації має бути гарантованою.

Тому заходи, спрямовані на підвищення цілісності інформації, також спрямовані на вирішення питання авторизації доступу у поєднанні із захистом від зовнішніх та внутрішніх атак.

Якщо слова "конфіденційність" і "доступність" легко зрозумілі, майже самоочевидні, з точки зору класичних цілей захисту інформаційної безпеки, то технічний термін "цілісність" вимагає деяких пояснень. )."

Цілі інформаційної безпеки: Доступність інформації

Доступність інформації означає, що ця інформація, включаючи необхідні ІТ-системи, має бути доступна будь-якій уповноваженій особі у будь-який час і придатна для використання (функціональна) у необхідному обсязі. Якщо система виходить з ладу або будівля недоступна, інформація недоступна. У деяких випадках це може призвести до збоїв з далекосяжними наслідками, наприклад, в обслуговуванні процесів.

Тому має сенс провести аналіз ризиків з метою визначення ймовірності збою системи, його можливої ​​тривалості та будь-якої шкоди, спричиненої відсутністю ІТ-безпеки. На основі отриманих результатів можна розробити ефективні контрзаходи та застосувати їх у разі настання найгіршого.

Що таке "розширені" цілі ?

На додаток до цілей безпеки, таких як конфіденційність, цілісність та доступність, існують три додаткові цілі захисту. До них відносяться два аспекти "зобов'язання" та "підзвітність", які доповнюють один одного. Перший означає гарантію того, що суб'єкт не зможе заперечувати свою дію, другий – що ця дія може бути надійно приписана йому. Обидві ці цілі зводяться до унікальної ідентифікованості суб'єктів, і видача унікальних паролів є мінімальною вимогою для цього.

Третьою метою розширеного захисту є "автентичність", тобто справжність. Просте питання у цьому контексті таке: Чи є інформація справжньою - чи справді вона отримана із зазначеного джерела? Ця мета захисту є важливою для оцінки надійності джерела.

Man and a woman with a laptop in a server room

Цінна інформація – це золото сьогоднішнього дня, а також актив, який необхідно захистити для вашої компанії. Відповіді на найважливіші питання щодо ISO 27001 читайте тут.

Цілі інформаційної безпеки: Висновок

Три найважливіші цілі інформаційної безпеки - це "конфіденційність", "цілісність" і "доступність".

Конфіденційність: Щоб гарантувати її, необхідно чітко визначити, хто і яким чином має право доступу до конфіденційних даних. Це пов'язано з відповідними дозволами на доступ та використанням, наприклад, криптографічних методів.

Цілісність означає захист від несанкціонованих змін та видалення інформації, а також достовірність та повноту інформації. Тому для вашої компанії важливо вжити запобіжних заходів, щоб швидко виявити зміни даних або запобігти несанкціонованим маніпуляціям із самого початку.

Доступність означає, що інформація, системи та будівлі мають бути доступними для уповноважених осіб у будь-який час. Оскільки збої у роботі систем, наприклад, пов'язані з серйозними ризиками, необхідно провести аналіз ризиків цього комплексу тем. Запишіть тут ймовірність відмови, час простою та потенціал шкоди найбільш необхідних систем.

Прихильність, підзвітність та автентичність - це "розширені" цілі захисту.

Зобов'язання розуміються як гарантія того, що суб'єкт не зможе заперечувати свої дії. Підзвітність доповнює цю розширену мету захисту шляхом чіткої ідентифікації такого суб'єкта. Справжність ставить запитання: Чи є частина інформації справжньої чи заслуговує на довіру?

DQS - Що ви можете очікувати від нас

Інформаційна безпека – це складна тема, яка виходить далеко за межі ІТ-безпеки. Вона включає технічні, організаційні та інфраструктурні аспекти. Міжнародний стандарт ISO/IEC 27001 підходить для ефективних захисних заходів як системи управління інформаційною безпекою (ISMS).

DQS - ваш фахівець з аудиту та сертифікації систем управління та процесів. Завдяки 35-річному досвіду та ноу-хау 2 500 аудиторів по всьому світу ми є вашим компетентним партнером із сертифікації та надаємо відповіді на всі питання щодо ISO 27001 та систем управління інформаційною безпекою.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Ми раді відповісти на ваші запитання

Каких усилий вам стоит ожидать, чтобы ваша система управления информационной безопасностью была сертифицирована в соответствии с ISO 27001? Узнайте. Без обязательств и бесплатно.

Зв'яжіться з нами

Довіра та компетентність

Наші тексти та брошури написані виключно нашими експертами за стандартами чи аудиторами з багаторічним досвідом роботи. Якщо у вас виникли питання щодо змісту тексту або наших послуг до автора, будь ласка, не соромтеся надіслати нам електронного листа.

Автор
Андре Секель

Менеджер з продуктів у DQS з управління інформаційною безпекою. Як експерт із стандартів у сфері інформаційної безпеки та каталогу ІТ-безпеки (критичні інфраструктури), Андре Секель відповідає за такі стандарти та галузеві стандарти, серед іншого: ISO 27001, ISIS12, ISO 20000-1, KRITIS та TISAX (інформаційна безпека в автомобільній промисловості). Він також є членом робочої групи ISO/IEC JTC 1/SC 27/WG 1 як національний делегат Німецького інституту стандартизації DIN.

Є питання?

Ми до ваших послуг.
Зв'яжіться з нами