ManagementMania AppMania EduMania JobMania BusinessPages


  Citovat
Co je Bezpečnost a ochrana informací (Security and Protection of Information)
Informační bezpečnost je souhrnné označení pro všechny aktivity směřující k ochraně informací. Jejich cílem je zejména zabránění negativním událostem, jako je jejich ztráta, odcizení, únik, zneužití, zničení, narušení či změny.

Information threats and information security Důležitost bezpečnosti a ochrany informací roste zároveň s jejich důležitostí. Informace mají cenu jen pokud se dají použít. To platí jak z pohledu firmy, která chce své informace chránit, tak ale i z pohledu útočníka.
Informace jsou jeden z klíčových zdrojů organizace. Bezcenná informace ale nikoho nezajímá, bezcennou informaci nemusíme chránit.

  • Aby mohly být informace využité, musí být k dispozici dostupným způsobem těm správným lidem.
  • Aby informace mohly být chráněné, musí být zabráněno tomu, abychom o ně nějakým způsob přišli nebo aby neskončily v nesprávných rukách.

Informace mohou existovat v různé podobě. Nejčastěji jsou v nějaké podobě dat (souborů, obrázků, videa a podobně) ale také informace může být obsah toho, co říkáte jinému člověku, co předáváte ústně. Pokud je to něco důležitého a cenného, chráníte takto sdělovanou informaci stejně důsledně jako byla někde zapsaná. Pokud o ně přijdeme nebo naše klíčové informace získá konkurence, může to také znamenat konec naše podnikání nebo fungování. Můžeme o ně přijít v místě uložení (na svém počítači, na serveru nebo v šanonu) nebo někde po cestě k nám (na počítačové síti nebo také když někdo nese kus papíru k nám).

Co se může s informacemi stát? Co znamená o ně přijít? Jaké problémové situace mohou nastat?

S informacemi se vám může přihodit celá řada nepříjemností. Začněme těmi, kterým se dá snadněji předcházet a které jsou způsobeny často jen nepozorností či nedbalostí.

  • ztráta informací je nejběžnější - o informace můžete přijít při celé řadě situací - smažete si disk, disk přestane fungovat, utopíte svůj telefon, vyhodíte důležitý papír nebo zapomenete kam jste si ho uložili, nebo zapomenete své heslo. Znamená, že informaci nemáte vy ani nikdo jiný. Prostě přestala existovat. Od takové situace vás zachrání to, že informace existuje na více místech. Jinými slovy existuje její záloha. Ztráta nemusí být úplná, ale může být jen částečná. To znamená, že přijdeme jen o část informace nebo dat (dojde k porušení tzv. celistvosti).
  • nedostupnost informací znamená, že k datům nemáme přístup, není vám dostupné místo jejich uložení (např. nefunguje síť, ztratili jsme klíč nebo někdo jiný přístup zamkl) - pomoci vám může více cest ke zdroji informací nebo opět zálohování to pomůže například i v situaci, když je nedostupnost způsobená vydíráním (tzv. ransomware)

To jsou situace, kde až na výjimku s ransomware o informace přijdeme, ale nemá je nikdo jiný. Tím se dostáváme k situacím, které jsou z pohledu ochrany informací ještě citlivější a jsou způsobeny aktivitami někoho dalšího - útočníka nebo zloděje.

  • odcizení dat nebo informací - znamená, že data má někdo jiný - v lepším případě, pokud máme data zálohována, nám zůstanou. V horším případě o informace přijdeme, a ještě navíc je má někdo jiný. K takové situaci může dojít, pokud nám někdo počítač nebo telefon s daty ukradne. Otázkou zůstává, zdali zloděj data zneužije a jak.
  • zneužití dat nebo informací - může k němu dojít v případě odcizení nebo aktivního napadení. To bývá nejnebezpečnější, protože útočník nebo pracovník, který informace zneužívá to dělá úmyslně a zpravidla dobře ví, jaké informace a jak chce zneužít. V takové situaci sice o informace nepřijdeme, ale jejich hodnota se ve chvíli odcizení může zcela ztratit, neboť cennou informaci má někdo jiný. Tu pak může využít ve svůj obchodní prospěch (například když se konkurenční firma dozví naši cenou nabídku) nebo dokonce proti naší firmě či osobě (útočník může vydírat).

Co tedy dělat pro bezpečnost a ochranu informací a dat?

Všechny důležité informace by měly být v rámci firmy ukládány a přenášeny tak, abychom zabránili všem možným negativním událostem a situacím, jako jsou ztráta informací, jejich odcizení, únik, zneužití, zničení, narušení nebo nechtěné změny.
Všechny informace ve firmě ale nelze chránit stejným způsobem a ani by to nemělo význam. Abychom odlišili které informace chránit a jak silně, je možné rozlišovat různě stupně důvěrnosti - od veřejně dostupných až po ty důvěrné. K tomu se v praxi používají různé klasifikace důvěrnosti informací.

Informace, které firma označí jako chráněné či důvěrné pak chrání a ukládá přiměřeně bezpečným způsobem - tedy tak, aby nemohlo dojít k jejich ztrátě, nedostupnosti, odcizení nebo zneužití. Je jedno jestli jsou uložené v elektronické podobě, v papírech nebo v hlavách lidí. Firma musí zajistit, aby zajistila ochranu všech jejich forem. Rizika úniku či zneužití informací hrozí nejen z okolního prostředí ale zejména zevnitř organizace samotné. Je tedy třeba myslet i na to, aby v organizaci samotné existovala pravidla kdo může k jakým datům přistupovat a proč. (viz řízení oprávnění)

Informační bezpečnost pokrývá kompletně všechny oblasti ukládání či přenosu informací, ať jsou v psané, mluvené či digitální podobě. Tedy včetně ochrany proti odposlechu či desinformacím. Lidé a metodiky z oblasti řízení bezpečnosti hovoří o ochraně informací a dat jako o zabránění jakékoholiv porušení celistvosti, důvěrnosti nebo dostupnosti které může mít pro organizaci nějaké negativní důsledky.

Ochrana informací a dat musí probíhat jak úrovni organizační i na úrovni technologické.

Ochrana informací na organizační úrovni

Organizační opatření jsou určitě základem ochrany informací. Je to jednak již zmiňované řízení oprávnění - tedy definice toho kdo má k čemu přístup a proč. To je součástí pracovních náplní, oprávnění a pravomocí jednotlivých pracovníků. Mezi další organizační opatření patří zavázání mlčenlivosti lidí, kteří důvěrné informace mají, znají nebo s nimi mohou přijít do styku. Mohou to být pracovníci firmy nebo jiní obchodní partneři. Organizační metody spočívají především ve smlouvách - smluvním zavázání mlčenlivosti (např. v pracovní smlouvě, pomocí konkurenční doložky nebo pomocí NDA). Dalším významným nástrojem organizační ochrany dat je vzdělávání. Zvyšování gramotnosti v oblasti bezpečnosti informací lze zabránit mnoha nepříjemným situacím a únikům informací nebo dat, které jsou způsobené prostou neznalostí.

Ochrana informací na technologické úrovni

Technologicky lze chránit jak důležité informaci, které jsou někde ukládány (v počítači nebo ve skříni) ale také například lidskou komunikaci (například sdělování důvěrných informací po telefonu lze technologicky chránit proti odposlechu). V praxi se ochrana informací a dat rozděluje na tzv fyzickou bezpečnost (zjednodušeně ochrana budov a zařízení, zámky ve dveřích, kamerový systém a podobně) a na počítačovou bezpečnost, která má na starosti ochranu informačních technologií a IT infrastruktury.

Související pojmy a metody:

Související profese:

Související standardy:

Související oblasti řízení:

Související software:

předchozí další
Další informace a zdroje (Mezinárodní)
Pomohl Vám tento článek?
Hodnocení:
Poslední aktualizace: 08.01.2018

Komentáře



Do diskuze nelze přispívat, protože je uzamčená