datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Bezpečnost IT vs. bezpečnost informací - jaký je mezi nimi rozdíl?

André Saeckel

Expert DQS pro standard informační bezpečnosti
lis 12 , 2022
# Bezpečnost informací versus bezpečnost IT

Dvě věci, které se často zaměňují: bezpečnost informačních technologií (IT) a bezpečnost informací. V době digitalizace se informace většinou zpracovávají, ukládají nebo přenášejí pomocí IT. Bezpečnost IT a bezpečnost informací jsou v zásadě poměrně úzce propojeny. Pro účinnou ochranu důvěrných informací i samotných IT je proto nutný systematický přístup.

OBSAH

Bezpečnost IT vs. bezpečnost informací

Bezpečnost informací je více než jen zabezpečení IT. Zaměřuje se na celou společnost. Bezpečnost důvěrných informací přece není zaměřena pouze na data zpracovávaná elektronickými systémy. Zabezpečení informací zahrnuje všechna firemní aktiva, která je třeba chránit, včetně těch na analogových nosičích dat, jako je papír.

"Bezpečnost IT a bezpečnost informací jsou dva pojmy, které (zatím) nelze zaměňovat."

Cíle ochrany bezpečnosti informací

Tři základní cíle ochrany bezpečnosti informací - důvěrnost, dostupnost a integrita - se tedy vztahují i na dopis obsahující důležité smluvní dokumenty, který musí včas, spolehlivě a neporušený dorazit ke dveřím příjemce, přepravovaný kurýrem, ale zcela analogově. A tyto cíle ochrany platí stejně tak pro list papíru, který obsahuje důvěrné informace, ale který leží na stole bez dozoru, aby ho mohl kdokoli vidět, nebo čeká v kopírce, volně přístupný, na neoprávněný přístup.

Bezpečnost informací má tedy širší rozsah než bezpečnost IT. Naproti tomu bezpečnost IT se týká "pouze" ochrany informací v systémech IT.

Bezpečnost IT podle definice

Co říkají oficiální orgány? Bezpečnost IT je "stav, kdy jsou rizika přítomná při používání informačních technologií v důsledku hrozeb a zranitelností snížena vhodnými opatřeními na přijatelnou úroveň. Bezpečnost IT je tedy stav, kdy jsou důvěrnost, integrita a dostupnost informací a informačních technologií chráněny vhodnými opatřeními." Podle německého Spolkového úřadu pro bezpečnost informací (BSI).

Bezpečnost informací = bezpečnost IT plus X

V praxi se někdy používá jiný přístup, a to pravidlo "bezpečnost informací = bezpečnost IT + ochrana dat". Toto tvrzení zapsané jako rovnice je však poměrně zarážející. Je sice pravda, že problematika ochrany údajů podle evropského nařízení GDPR se týká ochrany soukromí, což vyžaduje, aby zpracovatelé osobních údajů měli jak zabezpečené IT, tak například zabezpečené prostředí budov - tedy vyloučení fyzického přístupu k záznamům o údajích zákazníků. To však vynechává důležité analogové údaje, které nevyžadují ochranu osobních údajů. Například stavební plány společnosti a mnoho dalšího.

Pojem informační bezpečnost obsahuje základní kritéria, která přesahují čistě IT aspekty, ale vždy je zahrnují. Proto se srovnatelně i jednoduchá technická nebo organizační opatření v rámci IT bezpečnosti vždy přijímají na pozadí odpovídající informační bezpečnosti. Příkladem může být např:

  • Zajištění napájení hardwaru
  • opatření proti přehřátí hardwaru
  • antivirové kontroly a bezpečné programy
  • Organizace struktury složek
  • Nastavení a aktualizace brány firewall
  • Školení zaměstnanců atd.

Je zřejmé, že počítače a kompletní IT systémy by samy o sobě nemusely být chráněny. Koneckonců bez informací, které mají být digitálně zpracovány nebo přenášeny, se hardware a software stávají zbytečnými.

Bezpečnost IT podle zákona, příklad z Německa

Téma CRITIS: Zákon o bezpečnosti IT se zaměřuje na kritické infrastruktury z různých odvětví, jako jsou například dodávky elektřiny, plynu a vody, doprava, finance, potraviny a zdravotnictví. Zde se klade důraz především na ochranu IT infrastruktury před kybernetickou kriminalitou, aby byla zachována dostupnost a bezpečnost IT systémů. Zejména je třeba chránit dnešní digitálně řízené systémy dálkového ovládání.

Tyto cíle ochrany jsou v popředí zájmu (výňatek):

  • Zohlednění bezpečnostních rizik IT
  • Vytvoření koncepce bezpečnosti IT
  • Vytvoření havarijních plánů
  • Přijetí obecných bezpečnostních opatření
  • Kontrola internetové bezpečnosti
  • Používání kryptografických metod atd.

ISO 27001 - norma pro bezpečnost informací

Co říká norma ISO 27001? Celosvětově uznávaná norma pro systém řízení bezpečnosti informací (ISMS) se svými odvozeninami ISO 27019, ISO 27017 a ISO 27701 se nazývá:

ISO/IEC 27001:2022 - Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí - Systémy řízení bezpečnosti informací - Požadavky

Revidovaná verze byla zveřejněna 25. října 2022.  Současná verze (ISO/IEC 27001:2013) zůstává v platnosti do října 2025.

Z názvu této důležité normy je zřejmé, že bezpečnost IT hraje v současné době významnou roli v oblasti informační bezpečnosti a její význam bude v budoucnu dále narůstat. Požadavky stanovené v normě ISO 27001 však nejsou přímo zaměřeny pouze na digitální IT systémy. Naopak:

"V celé normě ISO/IEC 27001 se bez výjimky hovoří o "informacích"."

V zásadě se nerozlišuje, zda jsou tyto informace zpracovávány analogovým nebo digitálním způsobem nebo zda mají být chráněny.

 

Další cenné poznatky o bezpečnosti informací a možnostech hodnocení naleznete na stránkách certifikace  ISO 27001.

Úspěšně zavedený ISMS podporuje komplexní bezpečnostní strategii: zahrnuje organizační opatření, řízení personálu s ohledem na bezpečnost, bezpečnost nasazených IT struktur a soulad s právními požadavky.

Cenné know-how: Průvodce auditem DQS

Náš průvodce auditem ISO 27001 - příloha A byl vytvořen předními odborníky jako praktická pomůcka pro implementaci a je ideální pro lepší pochopení vybraných požadavků normy. Průvodce vychází z normy ISO/IEC 27001:2017. Vzhledem k tomu, že revidovaná verze byla zveřejněna 25. října 2022, doplníme informace o změnách, jakmile budou k dispozici. 

Stáhněte si Průvodce auditem zdarma

Bezpečnost informací je často analogičtější, než si myslíme

Kdo by chtěl, mohl by aplikovat požadavky normy ISO 27001 na zcela analogový systém a skončil by stejně jako ten, kdo by požadavky aplikoval na důsledně digitální systém. Teprve v příloze A známé normy ISMS, která obsahuje cíle opatření a opatření pro uživatele, se objevují pojmy jako teleworking nebo mobilní zařízení. Ale i opatření v příloze A normy připomínají, že v každé firmě stále existují analogové procesy a situace, které je třeba s ohledem na bezpečnost informací zohlednit.

Každý, kdo na veřejnosti, například ve vlaku, hlasitě hovoří o citlivých tématech prostřednictvím chytrého telefonu, sice používá digitální komunikační kanály, ale jeho pochybení je ve skutečnosti analogové. A každý, kdo si neuklidí na svém pracovním stole, by měl raději zamknout svou kancelář, aby zachoval důvěrnost. Přinejmenším to první, jakožto jedno z nejúčinnějších jednorázových opatření pro bezpečnou ochranu informací, se zatím obvykle stále provádí ručně...

Bezpečnost IT vs. bezpečnost informací - závěr

Bezpečnost IT a bezpečnost informací jsou dva pojmy, které (zatím) nelze zaměňovat. Bezpečnost IT je spíše součástí bezpečnosti informací, která zase zahrnuje i analogová fakta, procesy a komunikaci - což je mimochodem v mnoha případech běžné i dnes. Postupující digitalizace však tyto pojmy stále více sbližuje, takže rozdíl ve významu bude v dlouhodobém horizontu pravděpodobně spíše marginální.

Co od nás můžete očekávat

DQS je váš specialista na audity a certifikace - pro systémy řízení a procesy. Díky 35 letům zkušeností a know-how 2 500 auditorů po celém světě jsme vaším kompetentním certifikačním partnerem pro všechny aspekty bezpečnosti informací a ochrany dat.

gerber-hermsdorf-werner-korall-audit dqs

Máte nějaké dotazy?

Kontaktujte nás!
Nezávazně a zdarma.

Spojte se s DQS

O odborné způsobilosti nejen mluvíme, ale také ji máme: Od všech našich auditorů DQS můžete očekávat dlouholeté praktické odborné zkušenosti. Nasbírané v organizacích všech velikostí a v každém odvětví. Díky této rozmanitosti je zaručeno, že se váš hlavní auditor DQS vcítí do individuální situace vaší společnosti a kultury řízení. Naši auditoři znají systémy řízení z vlastní zkušenosti, tj. sami zavedli, řídili a dále rozvíjeli ISMS - a z vlastní zkušenosti znají každodenní výzvy. Těšíme se na rozhovor s vámi.

Autor
André Saeckel

Produktový manažer společnosti DQS pro řízení bezpečnosti informací. Jako odborník na normy pro oblast informační bezpečnosti a bezpečnostního katalogu IT (kritické infrastruktury) je André Säckel zodpovědný mimo jiné za následující normy a oborové normy: ISO 27001, ISIS12, ISO 20000-1, KRITIS a TISAX (bezpečnost informací v automobilovém průmyslu). Je také členem pracovní skupiny ISO/IEC JTC 1/SC 27/WG 1 jako národní delegát Německého institutu pro normalizaci DIN.

Jakékoli dotazy?

Jsme tu pro vás.
Kontaktujte nás