Informacijska sigurnost: Uvod

Što je informacijska sigurnost?

Informacijska sigurnost odnosi se na skup mjera i postupaka osmišljenih za zaštitu informacija od neovlaštenog pristupa, upotrebe, otkrivanja, izmjene ili uništavanja. Cilj informacijske sigurnosti je zaštititi informacije i ostale oblike imovine.

U kontekstu informacijske sigurnosti, izraz "oblici imovine" odnosi se na sve što ima vrijednost za organizaciju i što treba zaštititi. Ovo uključuje:

  1. Materijalna imovina: Fizički objekti i oprema (npr. poslovni prostori, postrojenja, računala, serveri, mrežna oprema, podatkovni centar), kao i fizički sigurnosni uređaji (npr. brave na vratima, sef, sigurnosna kamera itd.). Ova imovina je opipljiva i može se fizički zaštititi kontrolama fizičkog pristupa, poput sustava video nadzora, alarmnog sustava itd.
  2. Nematerijalna imovina: Ovo su ne-fizičke stvari koje također imaju vrijednost. To uključuje podatke i informacije (npr. baze podataka, intelektualno vlasništvo, poslovne tajne), digitalne komponente (npr. softver, aplikacije), i reputaciju organizacije. Takvu imovinu štitimo kroz mjere informacijske sigurnosti poput enkripcije, kontrolama logičkog pristupa, sigurnosnim politikama itd.

Obje vrste imovine su ključne za organizaciju i njihovo ugrožavanje može prouzročiti veliku financijsku štetu, narušiti ugled organizacije, ili dovesti do zakonskih i regulatornih problema i kazni.

Kako bi poslovanje teklo neometano i podaci bili pravilno zaštićeni, ključna zadaća u poslovanju je zaštititi organizaciju od različitih prijetnji i rizika. Ovo postaje posebno važno kada su u pitanju osjetljive informacije, kao što su financijski podaci, medicinski zapisi, osobni podaci i poslovne tajne. Pravilna implementacija informacijske sigurnosti omogućava organizacijama da upravljaju svojim podacima na siguran način, smanjujući rizik od potencijalnih sigurnosnih incidenata.

Podrazumijeva li informacijska sigurnost i kibernetička sigurnost isto?

Informacijska sigurnost i kibernetička sigurnost su sinonimi, ali se u stvarnosti odnose na različite aspekte zaštite informacija. Jednoj je fokus na zaštiti svih informacija, a drugoj je fokus na zaštiti digitalnih informacija. Tako onda informacijska sigurnost podrazumijeva zaštitu informacija u svim oblicima, bilo da su one fizičke, digitalne ili verbalne, dok je kibernetička sigurnost usmjerena isključivo na zaštitu digitalnih informacija i sustava.

  • Informacijska sigurnost (uključuje kibernetičku sigurnost):
    • Fokusira se na zaštitu informacija, bez obzira na oblik koji one mogu imati (digitalni, fizički, verbalni)
    • Obuhvaća širi spektar sigurnosnih mjera koje uključuju fizičke sigurnosne mjere (videonadzor, alarmni sustav...), administrativne sigurnosne mjere (sigurnosne politike i procedure, trening osoblja...), kao i tehničke sigurnosne mjere (enkripcija, vatrozid, antivirus...)
    • Bavi se svim vrstama prijetnji koje dolaze iz fizičkog i virtualnog okruženja, uključujući prirodne katastrofe, vandalizam, socijalni inženjering, nesukladnost, neovlašteno otkrivanje informacija, kibernetičke prijetnje...
  • Kibernetička sigurnost (podskup informacijske sigurnosti):
    • Fokusira se na zaštitu računalnih sustava, mreža i digitalnih podataka.
    • Obuhvaća tehničke sigurnosne mjere (enkripcija, vatrozid, antivirus...)
    • Bavi se kibernetičkim prijetnjama (hakiranje, malware, phishing, DDoS napadi itd.)

Međutim, u svakodnevici se takva podjela najčešće ignorira. Na primjer Zakon o kibernetičkoj sigurnosti koji uz mjere kibernetičke sigurnosti navodi i mjere informacijske sigurnosti poput treninga osoblja i izrade sigurnosnih politika i procedura. Važno je zapamtiti da se pojmovi mogu različito tumačiti pa to imajte u vidu kako ne bi došlo do pogrešnog razumijevanja.

U praksi, organizacije trebaju implementirati strategije koje obuhvaćaju informacijsku sigurnost i kibernetičku sigurnost, kako bi učinkovito zaštitile svoje resurse.

Tri stupa informacijske sigurnosti

Kada se definira informacijska sigurnost, često se koristi engleski pojam “CIA Triad” pod kojim se podrazumijevaju tri stupa informacijske sigurnosti:

  • Povjerljivost (Confidentiality)
  • Integritet (Integrity)
  • Dostupnost (Availability)

Ovi pojmovi pomažu bolje razumjeti informacijsku sigurnost i njezine ciljeve osobama koje nisu stručne po pitanju informacijske sigurnosti. Većina ljudi pod informacijskom sigurnošću podrazumijeva isključivo zaštitu povjerljivosti informacija, zanemarujući da je jednako tako važno osigurati njihov integritet i dostupnost. Najbolje je to objasniti kroz kratku priču.

Godina je 45. pr. Kr., a rimski legionar Marcus dobio je zadatak prenijeti tajnu vojnu poruku od vojnog zapovjednika u Rimu do generala u udaljenom garnizonu. Kako bi se osiguralo da nitko osim generala ne pročita poruku, poruka je kodirana Cezarovom šifrom, tehnikom zamjene slova koja pomiče svako slovo za određeni broj mjesta u abecedi. Tako, ako netko presretne svitak, neće moći razumjeti sadržaj bez ključa za dešifriranje (Povjerljivost). Da bi se osigurao integritet poruke, odabran je pouzdan i lojalan kurir Marcus, te je svitak zapečaćen voštanim pečatom koji bi otkrio bilo kakvo otvaranje (Integritet). Kako bi se osiguralo da poruka stigne na vrijeme unatoč potencijalnim opasnostima i preprekama na putu, Marcus putuje poznatom rutom koja ima osigurane postaje za odmor. Ako na putu naiđe na nepredviđene prepreke, Marcus ima alternativne rute i resurse osigurane od strane legije, kako bi obavijest stigla do generala unutar planiranog vremena (Dostupnost). Ova Marcusova misija je primjer kako povjerljivost, integritet i dostupnost čine jednu cjelinu. Ako samo jedan od elemenata izostane - ako, na primjer, poruka nije šifrirana i neprijatelj je pročita (povjerljivost) ili je izmijeni kako bi generalu dostavio pogrešne informacije (integritet) ili spriječi dostavu poruke na vrijeme (dostupnost) - to će rezultirati vrlo ozbiljnim ili katastrofalnim posljedicama po generala i njegove vojnike u udaljenom garnizonu.

Razmotrimo sada ova tri stupa informacijske sigurnosti malo detaljnije, u današnjem kontekstu poslovanja.

Povjerljivost ili tajnost

Povjerljivost se odnosi na zaštitu od neautoriziranog pristupa ili otkrivanja.

Najčešće metode zaštite povjerljivosti su:

  • Kontrola pristupa (Svaki zaposlenik može ostvariti pristup samo sustavima i informacijama koje su mu potrebne za rad, niti više niti manje)
  • Klasifikacija informacija (Označavanje informacija prema razinama povjerljivosti, npr. "povjerljivo", "interno", "javno")
  • Kriptografija (Korištenje enkripcije za zaštitu povjerljivosti podataka tijekom pohrane i prijenosa)

Postizanje povjerljivosti u informatičkim sustavima može biti izazovan zadatak, posebno kada korisnici sustava nisu stalni zaposlenici nego gosti ili kupci. Problem se dodatno komplicira jer često ne znamo koriste li korisnici siguran uređaj ili aplikaciju, što može povećati rizik od kompromitacije sustava. Zadaća stručnjaka za informacijsku sigurnost je stoga balansirati između zaštite osjetljivih podataka i omogućavanja pristupa onima koji imaju pravo na to.

Drugi pojam koji se povezuje s povjerljivošću je "osjetljivost", a odnosi se na važnost koju vlasnik informacije dodjeljuje podacima i potrebu za njihovom zaštitom. Osjetljive informacije su one koje, ako bi bile nepropisno otkrivene ili modificirane, mogu nanijeti štetu organizaciji ili pojedincu. Osjetljivost je često povezana s potencijalnom štetom za vanjske sudionike – dakle, za ljude ili organizacije koje možda nisu dio organizacije koja obrađuje ili koristi te informacije. Primjer bi bio bankarski sustav koji pohranjuje financijske podatke svojih klijenata. Financijski podaci su izrazito osjetljivi jer njihovo neovlašteno otkrivanje može dovesti do financijskih prijevara i gubitka povjerenja klijenata.

Kako bi se postigla povjerljivost, potrebno je primjenjivati razne sigurnosne mjere, poput enkripcije podataka i autentikacije korisnika, kako bismo osigurali da samo autorizirani korisnici mogu pristupiti određenim informacijama. Povrh toga, potrebno je konstantno balansirati između sigurnosti i pristupačnosti, kako bi sustavi bili sigurni, ali i korisni za one kojima su namijenjeni.

Integritet ili cjelovitost

Integritet se odnosi na zaštitu od neautoriziranih izmjena.

Najčešće metode zaštite integriteta su:

  • Backup podataka (Redovita izrada sigurnosnih kopija podataka kako bi se omogućilo vraćanje u slučaju gubitka ili neautorizirane izmjene radne verzije podataka)
  • Hashiranje (Korištenje matematičkog algoritma za provjeru autentičnosti i integriteta podataka)
  • Antivirusna zaštita (Instalacija antivirusnog softvera za zaštitu od zloćudnog koda)

Integritet je koncept koji mjeri koliko je nešto cjelovito, dosljedno i ispravno. Ova se ideja može primijeniti na različita područja: informacije i podatke, poslovne sustave i procese, organizacije, pa čak i na ljude i njihove radnje.

Kada govorimo o integritetu podataka, mislimo na to da podaci nisu mijenjani na neovlašten način. To znači da podaci moraju biti zaštićeni unutar sustava i tijekom obrade kako bi se osiguralo da su slobodni od nepravilnih promjena, pogrešaka ili gubitka informacija.

Integritet sustava odnosi se na zadržavanje poznate dobre konfiguracije i očekivanu funkcionalnost sustava. Da bi se održao integritet, prvo je važno razumjeti trenutačno stanje sustava (eng. Baseline). Ova referentna točka omogućava da se u svakom trenutku može provjeriti je li integritet očuvan. Na primjer, ako se podaci o prometu na web stranici redovito prate, normalno stanje ili opterećenje sustava može poslužiti kao baza za usporedbu kako bi se uočile eventualne anomalije, poput kibernetičkih napada.

Konačno, integritet je ključan za pouzdanost informacija i sustava. Na njega se možemo osloniti kad trebamo donijeti odluke temeljem točnih i dosljednih podataka. Bez integriteta, sustavi i podaci postaju nepouzdani, što može dovesti do pogrešaka i ozbiljnih posljedica, posebno u osjetljivim sektorima poput zdravstva, financija i sigurnosti.

Dostupnost ili raspoloživost

Dostupnost se odnosi na raspoloživost informacija i sustava ovlaštenim korisnicima.

Najčešće metode kojima možemo osigurati dostupnost su:

  • Redundancija (Implementacija dupliciranih sustava ili komponenti, npr. dvostruki serveri, kako bi se osigurala kontinuirana dostupnost podataka)
  • Plan kontinuiteta poslovanja (Razvoj strategija koje omogućavaju nastavak poslovanja i pristup ključnim informacijama u slučaju incidenta ili katastrofe)
  • Upravljanje promjenama (Uvođenje procedura za upravljanje promjenama, poput planiranja nadogradnji izvan radnog vremena, kako bi se minimizirali rizici za dostupnost)

Raspoloživost u kontekstu informacijske sigurnosti podrazumijeva pravovremen i pouzdan pristup informacijama i mogućnost njihove upotrebe. Za ovlaštene korisnike, to znači da trebaju imati pristup podacima i informacijskim uslugama kad im je to potrebno.

Osnovna ideja raspoloživosti jest da su podaci dostupni ovlaštenim korisnicima tada kad su im potrebni, tamo gdje ih trebaju i u obliku koji zadovoljava njihove potrebe. To, međutim, ne znači da podaci ili sustavi moraju biti dostupni 24 sata dnevno. Cilj je da sustavi i podaci zadovolje poslovne potrebe za pravovremenim i pouzdanim pristupom.

Neki sustavi i podaci su od kritične važnosti za poslovanje, stoga stručnjak za informacijsku sigurnost treba osigurati da njima pripadajuća razina raspoloživosti uistinu odgovara tim potrebama. To zahtijeva suradnju s poslovnim sektorima organizacije kako bi se identificirali kritični sustavi i osiguralo da budu dostupni kad su potrebni. U ovom kontekstu se često koristi termin "kritičnost", jer on označava važnost koju organizacija pridaje podacima ili informacijskom sustavu u izvršavanju svojih zadataka ili postizanju svojih ciljeva. Na primjer, u bolnici će sustavi koji pohranjuju medicinske podatke pacijenata biti izuzetno kritični, jer liječnici moraju imati konstantan pristup tim podacima kako bi pružili pravodobnu i učinkovitu zdravstvenu skrb. Ako ti sustavi padnu, to bi moglo ozbiljno ugroziti liječenje pacijenata. Drugi primjer može biti internetska trgovina, gdje je ključno osigurati dostupnost web stranice i baze podataka s informacijama o proizvodima i skladištu. Ako sustav postane nedostupan, kupci ne mogu izvršiti narudžbe, što će rezultirati gubitkom prihoda i povjerenja kupaca.

Kako bi se osigurala dostupnost, implementiraju se razne strategije, poput redundancije sustava, distribucije opterećenja i održavanja sustava. Sve te mjere pomažu u izbjegavanju ili minimiziranju vremena zastoja. Kroz sve to, stručnjak za informacijsku sigurnost gleda postići optimalnu ravnotežu između raspoloživosti, sigurnosti i ekonomičnosti.

Provjera znanja

Ako želite provjeriti jeste li usvojili gradivo iz ove edukacije možete pristupiti online provjeri znanja na poveznici Provjera znanja: Osnove informacijske sigurnosti. Provjera znanja je besplatna i možete je ponavljati više puta. Prag za prolaznost je 80% i po uspješnom prolasku na vašu e-mail adresu doći će certifikat o uspješnom prolasku. Ostale edukacije i provjere znanja iz područja informacijske sigurnosti dostupne su našim klijentima u sklopu programa osvješćivanja zaposlenika.

Napisao: Dragan Podvorec
Datum: 27.02.2024
DPA - vaši podaci zaslužuju najbolju zaštitu