|
Informacijska sigurnost nije isto što i informatička sigurnost – naime, informacijska sigurnost se bavi zaštitom informacija bez obzira u kojem obliku one postojale, dakle to uključuje informacije i u digitalnom i u papirnatom obliku (vrlo često upravo u papirnatom obliku postoje vrlo osjetljivi dokumenti).
Od čega štitimo informacije? – ne samo od neovlaštenog dostupa (dakle, štitimo povjerljivost), nego isto tako i od uništenja (dakle, štitimo dostupnost), te od neovlaštene promjene (dakle, štitimo i integritet).
Od koga štitimo informacije? Ne tako davno govorilo se o „unutrašnjem i vanjskom neprijatelju“, a nažalost i u slučaju informacijske sigurnosti možemo govoriti o takvoj podjeli. Zapravo, većina napadača će doći izvana, a nove komunikacijske tehnologije (Internet) im omogućavaju da to učine kako iz Zagreba, tako i iz Kine. Međutim, najteži napadi dolaze iznutra – to će biti djelatnici ili dobavljači koji jako dobro poznaju situaciju, i u pravilu takvi napadači mogu prouzročiti puno težu štetu. Postoje i slučajevi više sile (razne havarije kao što su potresi, poplave, kvarovi na informatičkoj opremi i sl.) koji također mogu prouzročiti gubitak informacija.
Kako zaštititi informacije, odnosno kako provesti informacijsku sigurnost? Većina će reći da je to nemoguće, da ima previše načina gdje informacija može „pobjeći“, i da uvijek sve pada na ljudima. Međutim, i tome je moguće doskočiti – naime, potrebno je dosjetiti se svega što se može desiti, i onda sustavno promisliti kako to spriječiti.
Dakle, da biste nešto zaštitili, morate znati od čega se štitite, odnosno morate prvo „snimiti“ koji rizici postoje. Taj proces se zove procjena rizika, i unutar njega je potrebno uzeti u obzir sve informacije koje posjedujete, sve ostale resurse koji omogućavaju skladištenje, procesiranje i prenošenje informacija, prijetnje (vanjski faktori koji mogu prouzročiti štetu) kao i ranjivosti (karakteristike resursa koje omogućavaju da se prijetnje realiziraju).
Kada posložite informacijske resurse, prijetnje i ranjivosti, onda ste zapravo dobili popis informacijskih rizika. Konačni korak je da se identificiraju i provedu primjeren mjere zaštite kako bi se dotični rizici umanjili, odnosno da bi se njihove posljedice ublažile.
Da se vratimo na gornji primjer rizika da djelatnici mogu kompromitirati informaciju, evo mjera zaštite koje bi se mogle primijeniti u takvom slučaju: jasno ograničavanje prava pristupa, odnosno da svaki djelatnik može pristupati samo onim informacijama koje su mu stvarno potrebne; da se cirkulacija informacija strogo kontrolira, odnosno da se u svakom trenutku zna tko posjeduje koju informaciju bez obzira u kojem obliku je zapisana; da je nivo tajnosti svake informacije jasno obilježen; da postoje procedure kojima se rukovanje informacija sa određenim stupnjem tajnosti jasno definira i ograničava; da svaki djelatnik potpisuje izjavu u kojoj potvrđuje da je upoznat sa svim procedurama vezanima za informacijsku sigurnost, te da je svjestan da će materijalno i kazneno odgovarati u slučaju kršenja istih; da se provode disciplinski postupci nad djelatnicima koji su prekršili pravila informacijske sigurnosti kako bi se poslala poruka ostalim djelatnicima; itd.
Kao što je vidljivo iz gore navedenog primjera, moguće je bitno umanjiti informacijske rizike, samo je potrebno biti svjestan svih potencijalnih opasnosti.
Informacijsku sigurnost možda najbolje opisuje norma ISO 27001, koja propisuje sustave upravljanja informacijskom sigurnošću – detalje pogledajte ovdje
Trackback(0)
 |
TrackBack URI for this entry
