← Vsi blog prispevki
Informacijska varnost
Splošno o informacijski varnosti
Univerzalna in klasična definicija informacijske varnosti je zelo jedrnata in enostavna. Po NISTu (National Institute of Standards and Technology, ZDA, 2013) »informacijska varnost pomeni zaščito informacij in informacijskih sistemov pred neavtoriziranim dostopom, uporabo, razkritjem, onemogočanjem ali uničenjem, z namenom zagotoviti njihovo zaupnost, celovitost in dostopnost«. V zelo širokem pomenu besede se besedna zveza informacijski sistemi nanaša na interakcijo med ljudmi, procesi, podatki in tehnologijo. Gre za samostojen sistem, katerega funkcije lahko v naprej določimo, prav tako pa lahko predvidimo pravila njegovega obnašanja.
Ker se na informacijskih sistemih shranjujejo zaupni, osebni in za organizacijo pomembni podatki oz. informacijski viri je njihova varnost ključna za splošen organizacijski uspeh. Sestavni deli informacijskega sistema so strojna oprema, programska oprema, dokumenti in podatkovne baze, uporabniki, postopki in procesi, standardi in politika.
Komponente informacijske varnosti oz. njeni principi so zaupnost, celovitost/neokrnjenost in dostopnost/razpoložljivost - poznamo jo kot CIA triado (ang. confidentiality, integrity and availability).
Izmed naštetih kriterijev varnih informacijskih sistemov je zaupnost najpomembnejši element informacijske varnosti, saj lahko nedovoljeno razkritje zaupnih informacij ogrozi nacionalno, gospodarsko, poslovno oz. organizacijsko in/ali osebno varnost. Zaupnost informacij se nanaša na zahtevo, da informacije ostajajo nerazkrite, vanje pa imajo vpogled samo pooblaščene osebe z avtoriziranim dostopom in upravičenim namenom.
Poleg zaupnosti je pomemben element informacijske varnosti tudi celovitost, ki jo je potrebno upoštevati pri izvajanju poslovnih procesov, saj je uspeh organizacij odvisen od kvalitete in kvantitete razpoložljivih informacij. Netočne in napačne informacije namreč lahko vodijo v nepravilne odločitve oz. ogrozijo njihovo racionalnost in učinkovitost. Celovitost se nanaša na zahtevo po verodostojnosti, točnosti in zaščito informacij pred nedovoljenimi spremembami ter njihovo integriteto med shranjevanjem, prenašanjem in obdelovanjem; zajema pa tudi integriteto in verodostojnost vira, od katerega izvirajo informacije.
V procesu izpolnjevanja kriterijev zaupnosti in celovitosti pa je potrebno upoštevati tudi potrebo po dostopnosti informacij, ki je hkrati pogoj varnih, hitrih in enostavnih poslovnih procesov. Dostopnost se nanaša na zahtevo po tem, da so informacije na voljo kadarkoli jih avtorizirana oseba potrebuje. Nedostopnost informacij pa je lahko indikator visoke ogroženosti zaupnih informacij, hkrati pa onemogoča kontinuirano in nemoteno poslovanje.
Glavni namen informacijsko varnostnega programa v organizaciji je torej opredeliti postopke, s katerimi se zavarujejo ključni informacijski viri. Tako kot varnostna funkcija nasploh je tudi informacijska varnost zelo obsežno in abstraktno področje, ki za zagotovitev učinkovitosti zahteva interdisciplinaren in timski pristop ter različne sposobnosti varnostnih strokovnjakov. Vsakdo, ki je odgovoren in pristojen za zagotavljanje informacijske varnosti v organizacijskem okolju se mora zavedati, da informacijska varnosti ni zgolj stvar kupljenega tehničnega izdelka ali izključna odgovornost IT oddelka (informatikov), temveč je stvar celotne organizacije in vsakega zaposlenega, saj le-ti poskrbijo, da definirana pravila zaživijo tudi v praksi.
Informacijska varnost mora torej temeljiti na premišljenem, analitičnem oz. sistematičnem in CELOVITEM procesu.
Povzeto po:
Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL: Auerbach publications.
Projekt vzpostavljanja SUVI v organizaciji: Priročnik za študente. (2013). Fakulteta za varnostne vede.