Връзката между информационната сигурност и целите на организацията

Nacorp

Един от основополагащите елементи на архивната дейност е защитата на поверената информация. Информацията, която е най-ценният актив на бизнеса.

Неслучайно все повече компании включват задължителни обучения за повишаване на нивата си на сигурност. Заплахи и нарушения в сигурността могат да засегнат способността на вашата компания да:

  1. Защитава безопасността и неприкосновеността на личната информация
  2. Защитава инфраструктурата
  3. Спазва законови и други задължения


Всичко това влияе на репутацията, конкурентните предимства и може да се окаже причина за прекратяването на дейността.


Информационна сигурност е задача, която да бъде разглеждана многостранно


Заедно с обема на обработваната и съхраняваната информация расте и отговорността по опазването й.  Тук влизат всички ваши документи, папки, файлове, USB флаш памет, твърди дискове, мрежови ресурси и облачни услуги, компютри, мобилни устройства, домашни устройства (Bring Your Own Device политика), рутери, firewalls и Wi-Fi мрежи и др.


По данни на Canon.

  • 67% от компаниите е много вероятно да актуализират методите си за сигурност на документи през следващата година или две
  • 72% от компаниите са запознати със случаите, когато документите са изчезнали или от офисите им, или от други компании.


С правилните техники и механизми, сигурността на информацията може лесно да бъде подсигурена. Всичко е постижимо и в следващите редове ще покажем как.


Какво представлява информационната сигурност

Проблемите често започват твърде просто: забравяте да вземете поверителен документ, който сте отпечатали преди броени минути. Оставяте го върху принтера, където всеки може да го види и неоторизирани лица могат да получат достъп до съдържанието му. По този начин обикновен отпечатан документ може да доведе до разкриване на чувствителна бизнес информация.

Определението за информационната сигурност гласи: “Информационната сигурност е запазване на поверителност, цялост и достъпност на информацията“.


Поверителността
 включва гарантиране, че информацията е достъпна само за онези, които имат право да я преглеждат (оторизирани лица).


Целостта
 включва защита и запазване на точността, пълнотата и достоверността на информацията и методите за обработка.


Наличността 
включва гарантиране, че упълномощените потребители имат достъп до търсената информация и свързани с нея активи, когато се нуждаят от тях.


Кой стандарт определя правилното съхранение и защита на информацията?


Това е водещият международен стандарт ISO 27001. Пълното наименование на ISO 27001 е „ISO / IEC 27001 – Информационни технологии – Техники за сигурност – Системи за управление на информационната сигурност – Изисквания“.


Стандартът е разработен, за да помогне на организации от всякакъв размер и от всяка индустрия, както и на частни лица, да защитават информацията си системно и икономически ефективно чрез възприемането на система за управление на информационната сигурност (ISMS).


Стандартът предоставя на бизнеса необходимите добри практики и ноу-хау за защита на информация от всякакъв тип. Компаниите могат да получат сертификат по ISO 27001 и по този начин да докажат на своите клиенти и партньори, че защитават своите данни. Хора също могат да се сертифицират, като посещават курс и издържат изпит.


Съществува ли разлика между информационната сигурност и киберсигурността


Информационната сигурност е приложима за всички форми на информация – цифрова/дигитална, на хартиен носител, съхранена в преносими устройства. Този вид сигурност включва управлението на софтуерните и/или комуникационните технологични системи и мрежи за съхранение, обработка, комуникиране и унищожаване на информация.


Управлението на информационната сигурност включва защита на вашите информационни активи чрез прилагане на контроли и регулатори, включващи:

  • Политики
  • Процедури
  • Организационни структури
  • Инфраструктура
  • Софтуерни и хардуерни функции
  • Редовни одити


Киберсигурността обхваща контролите, които трябва да се създадат и въведат за защита на информацията, съхранявана в компютърни мрежи и системи. Тя включва реагиране на развиващите се заплахи като вируси/зловреден софтуер, кибер атаки, хакери, опити за фишинг и други.


Кой отговаря за информационната сигурност и киберсигурността?


Информационната сигурност не е само „проблем на ИТ отдела“. Техническите мерки трябва да бъдат проектирани така, че да отговарят на реалните бизнес изисквания – тези на фирмата, сектори и тенденциите в индустрията и развитието на пазара


Бизнес функции и заинтересовани страни


Информационната сигурност по необходимост изисква ангажираност от страна на заинтересованите страни. Добре е да се създаде рамка за управление, за да се инициира и контролира прилагането на информационната сигурност. Тя се съставя в синхрон с целите и се взимат под внимание връзките с клиентите, контрагентите и вличнието на служители. Следва прцес за установяване на отговорности за управление и възлагането им по роли в организацията.


Йерархия в организацията


Йерархията в една организация комбинира разпределението на отговорностите по оперативната част от дейностите и управлението на рискове, грижата за осведоменост на служителите и имплементирането на подходящи процеси, политики, технически мерки и контроли, които да улесняват работата и намаляват рисковете.


Възлагане на роли и примери за отчетност


Висшето ръководство взима решения за организацията, определящи посоката на развитие.


Ръководства по структури и дейности планират и провеждат обучения. Имплементират процедури, процеси, механизми и контроли, които да покриват изискванията към качеството и сигурността.


Техническият персонал се грижи за правилната работа, планирането на капацитета на обслужващи системи, комуникации и оборудване и правилната конфигурация, която да сведе до минимум  обхватите на атака.


Служителите имат основна задача да бъдат добре осведомени как правилно да експлоатират системите, така че да не компрометират сигурността на информацията. Също и как да процедират и при установяване на потенциална заплаха или пробив в информационна система, оборудване или какъвто и да е ресурс.


В следващата статия разглеждаме какво превърна информационната сигурноста във водещ приоритет в дигиталната ера.


Авторски права © National Archives 2020

Other related posts