Bezbednost informacija

Informacija u današnjim uslovima poslovanja predstavlja najvredniji kapital organizacije, jer je vezivni element pojedinačnih znanja, sposobnosti, veština, raspoloživih resursa i tehnologija, putem koga kreiramo sopstveni know-how. Upravo iz tog razloga, veliki broj različito motivisanih pretnji ugrožava informacije koje za organizaciji imaju veliku vrednost.

 

Svaka organizacija koja želi zaštiti svoj kapital postavlja sebi pitanje – kako se najefikasnije zaštiti. Tipična pojedinačna rešenja ne mogu biti efikasna, jer svaka organizacija ima svoje segmente, svaki od tih segmenata komunicira sa okruženjem (klijenti, šira zajednica, konkurencija, zakonodavstvo) kao i međusobno. Svaka od tih interakcija sadrži mnoštvo informacija i podataka, poverljivih i onih sa manjim stepenom poverljivosti, čime izazovi za njihovo diferenciranje i očuvanje nivoa bezbednosti postaju jako veliki i kompleksni. Jasno je da sve izazove i rizike ne možemo potpuno anulirati, ali ih možemo predviđati, planirati naše akcije i preventivno delovati. Mora se stvoriti sistem zaštite koji će upravljati njima kroz aktivan odgovor na pretnje, a ne samo preduzimanjem defanzivnih strategija. Okvir za formiranje jednog takvog sistema zaštite, pruža nam ISO 27001čiji zahtevi nas vode ka formiranju Sistema menadžmenta bezbednošću informacija (ISMS) u organizaciji, a time i bezbednošću čitave organizacije.

 

Najpre definišimo pojam informacije i njene bezbednosti. Podatak koji je ažuran – pravoremeno dostavljen – na pravo mesto (do korisnika), postaje informacija. Sa pozicije bezbednosti informacije, uočavamo 3 dimenzije: bezbednost podatka (inputi koji kreiraju podatak, proces obrade inputa i forma prezentacije podatka), bezbednost kanala distribucije podataka (kuda, kako i na koji način putuju podaci) i bezbednost upotrebe tj. korišćenja informacije (identifikacija prijema, pristupi za korišćenje i ovlašćenja za korišćenje).

 

Zaključak je da bezbednost imformacija čine sledeći elementi:

 

  • Integritet:Zaštita tačnosti i kompletnosti informacija i definisanje načina ko, kako, gde i na koji način generiše i obrađuje informaciju, sa pozicije bezbednosti.
  • Poverljivost:Definisanje načina nivoa pristupa informacijama, putem strukturisanih i zaštićenih ovlašćenja.
  • Pristupačnost:Omogućavanje pravovremene dostupnosti informacijama, osobama sa ovlašćenjima, u vremenu kada je to potrebno i na mestu gde je to predviđeno.

Pretnje po bezbednost informacija organizacije dolaze i spolja i iznutra. Napade na informacija možemo podeliti u dve grupe: zlonamerne (osmišljene akcije spolja I iznutra fokusirane na informacije) i slučajne (neplanirani upadi u sistem spolja i neadekvatno rukovanje informacijama od strane zaposlenih). U današnje vreme informatičke isprepletenosti sistema, brzina i učestalost napada je tolika da nije moguće u svakom trenutku efektivno I efikasno odgovoriti na napade. Jasno je da samo planski i sistemski pristup bezbednosti informacija, zasnovan na po principu prevencije i/ili otklanjanja pretnji po bezbednost informacija, može pružiti organizaciji efikasnu zaštitu. Upravljanjem rizicima, upravljamo bezbednosti informacija. Prvi korak ka tom cilju je razumevanje modela rizika koji je naveden na slici ispod.