Безбедност информација

С Википедије, слободне енциклопедије

Овај чланак је део серије чланака о
Информатичкој безбедности
Сличне категорије безбедности
Претње
Одбрана

Безбедност информација, понекад скраћена на infosec,[1] јесте пракса заштите информација ублажавањем информационих ризика.[2][3] То је део информационог управљања ризиком. Тиме је обично обухваћено спречавање или барем смањење вероватноће неовлашћеног/неприкладног приступа, употребе, откривања, ометања, брисања/уништавања, корупције, модификације, инспекције, евидентирања или девалвације, мада то може укључивати и смањење штетних утицаја инцидената.[4][5][6]

Информације могу попримити било који облик, нпр. електронски или физички,[7] опипљиви (нпр. папирни документи) или нематеријални (нпр. знање). Основни фокус информационе безбедности је на балансираној заштити поверљивости, интегритета и доступности података (што је познато и као ЦИА тријада), уз истовремено одржвање фокуса на ефикасној имплементацији смерница, без ометања продуктивности организације.[8][9] То се углавном постиже структурираним процесом управљања ризиком који обухвата:

  • Идентификација информација и сродних средстава, плус потенцијалне претње, рањивости и утицаји;
  • Процена ризика;
  • Доношење одлука о начину третирања ризика, тј. њиховог избегавања, ублажавања, расподеле или прихватања;
  • Ако је неопходно ублажавање ризика, врши се избор или дизајн одговарајућих безбедносних контрола и њихово спровођење;
  • Надгледање активности, и према потреби прилагођавање ради решавања проблематичних ситуација, прилагођавања променама и спровођења могућих побољшања.[10]

Да би стандардизовали ову дисциплину, академици и професионалци сарађују на изради смерница, препорука и индустријских стандарда везаних за лозинке, антивирусни софтвер, заштитне зидове, софтвер за шифровање, правну одговорност, сигурносну свест и обуку итд.[11][12] Овој стандардизацији могу да допринесу разни закони и прописи који утичу на приступ подацима, обради, складиштењу, преносу и уништавању података.[13] Међутим, примена каквих стандарда и смерница унутар датог ентитета може имати ограничен ефекат ако се не усвоји култура процеса континуираног унапређивања.[14][15]

Дефиниција[уреди | уреди извор]

вецториал версион
Атрибути безбедности информација: или квалитети, и.е. поверљивост, интегритет и доступност (ЦИА). Информациони системи се састоје од три главна дела, хардвера, софтвера и комуникација са сврхом да помогну у идентификацији и примени индустријских стандарда безбедности информација, као механизама заштите и превенције, на три нивоа или слоја: физичком, личном и организационом. У суштини, процедуре или политике се спроводе како би се администраторима, корисницима и оператерима објаснило како да користе производе како би осигурали безбедност информација унутар организација.[16]

У наставку су предложене различите дефиниције информационе безбедности, сажете из различитих извора:

  1. „Очување поверљивости, интегритета и доступности информација. Напомена: Осим тога, могу бити укључена и друга својства, као што су аутентичност, одговорност, непорицање и поузданост.“ (ИСО/ИЕЦ 27000:2009)[17]
  2. „Заштита информација и информационих система од неовлашћеног приступа, коришћења, откривања, ометања, модификације или уништења у циљу обезбеђивања поверљивости, интегритета и доступности.“ (ЦНСС, 2010)[18]
  3. „Осигурава да само овлашћени корисници (поверљивост) имају приступ тачним и потпуним информацијама (интегритет) када је то потребно (доступност).“ (ИСАЦА, 2008)[19]
  4. „Информациона безбедност је процес заштите интелектуалне својине организације.“ (Пипкин, 2000)[20]
  5. „...безбедност информација је дисциплина управљања ризицима, чији је посао да управља трошковима информационог ризика за пословање. (МцДермотт анд Геер, 2001)[21]
  6. „Добро информисан осећај сигурности да су информациони ризици и контроле у равнотежи. (Андерсон, Ј., 2003)[22]
  7. „Информациона безбедност је заштита информација и минимизира ризик од излагања информација неовлашћеним странама.(Вентер анд Елофф, 2003)[23]
  8. „Информациона безбедност је мултидисциплинарна област студија и професионалне делатности која се бави развојем и имплементацијом безбедносних механизама свих расположивих врста (техничких, организационих, људски оријентисаних и правних) у циљу чувања информација на свим својим локацијама (унутар и ван периметра организације) и, сходно томе, информациони системи, где се информације креирају, обрађују, чувају, преносе и уништавају, без претњи.[24] Претње информацијама и информационим системима могу се категорисати и дефинисати одговарајући безбедносни циљ за њих, за сваку категорију претњи.[25] Скуп безбедносних циљева, идентификованих као резултат анализе претњи, треба периодично ревидирати како би се обезбедила његова адекватност и усклађеност са окружењем које се развија.[26] Тренутно релевантни скуп безбедносних циљева може укључивати такође: поверљивост, интегритет, доступност, приватност, аутентичност и поузданост, непорицање, одговорност и могућност ревизије."(Цхердантсева анд Хилтон, 2013)[16]
  9. Безбедност информација и информационих ресурса коришћењем телекомуникационих система или уређаја значи заштиту информација, информационих система или књига од неовлашћеног приступа, оштећења, крађе или уништења. (Куросе анд Росс, 2010).[27]

Преглед[уреди | уреди извор]

У основи информационе сигурности је осигурање информација, чин одржавања поверљивости, интегритета и доступности информација (енгл. confidentiality, integrity and availability - CIA), чиме се осигурава да информације не буду угрожене на било који начин када се појаве критична питања.[28] Ови проблеми укључују, али нису ограничени на природне катастрофе, неисправност рачунара/сервера и физичке крађе. Иако је пословање на папиру још увек преовлађујуће и захтева свој сопствени скуп безбедносних пракси, дигиталне иницијативе предузећа постају све наглашеније,[29][30] при чему се са сигурношћу информација обично баве стручњаци за безбедност информационих технологија (ИТ). Ови стручњаци примењују информатичку сигурност на технологију (најчешће неки облик рачунарског система). Вреди напоменути да рачунар нужно не подразумева кућни десктоп. Рачунар је било који уређај са процесором и нешто меморије. Такви уређаји могу бити у распону од самосталних уређаја као што су једноставни калкулатори, до умрежених рачунарских уређаја попут паметних телефона и таблет рачунара. Стручњаци за ИТ сигурност готово се увек налазе у великим предузећима/установама због природе и вредности података унутар већих бизниса. Они су одговорни су за чување целокупне технологије унутар компаније од злонамерних сајбер напада који често покушавају да стекну критичне приватне информације или добију контролу над унутрашњим системима.

Референце[уреди | уреди извор]

  1. ^ Цуррy, Мицхаел; Марсхалл, Бyрон; Цросслер, Роберт Е.; Цорреиа, Јохн (2018-04-25). „ИнфоСец Процесс Ацтион Модел (ИПАМ): Сyстематицаллy Аддрессинг Индивидуал Сецуритy Бехавиор”. АЦМ СИГМИС Датабасе: Тхе ДАТАБАСЕ фор Адванцес ин Информатион Сyстемс (на језику: енглески). 49 (СИ): 49—66. ИССН 0095-0033. С2ЦИД 14003960. дои:10.1145/3210530.3210535. 
  2. ^ Јосхи, Цханцхала; Сингх, Умесх Кумар (август 2017). „Информатион сецуритy рискс манагемент фрамеwорк – А степ тоwардс митигатинг сецуритy рискс ин университy нетwорк”. Јоурнал оф Информатион Сецуритy анд Апплицатионс. 35: 128—137. ИССН 2214-2126. дои:10.1016/ј.јиса.2017.06.006. 
  3. ^ Флетцхер, Мартин (14. 12. 2016). „Ан интродуцтион то информатион риск”. Тхе Натионал Арцхивес. Приступљено 23. 2. 2022. 
  4. ^ „САНС Институте: Информатион Сецуритy Ресоурцес”. www.санс.орг (на језику: енглески). Приступљено 2020-10-31. Шаблон:Цирцулар
  5. ^ Даниел, Кент D.; Титман, Схеридан (2001). „Маркет Реацтионс то Тангибле анд Интангибле Информатион”. ССРН Елецтрониц Јоурнал. ИССН 1556-5068. С2ЦИД 154366253. дои:10.2139/ссрн.274204. 
  6. ^ Финк, Керстин (2004). Кноwледге Потентиал Меасуремент анд Унцертаинтy. Деутсцхер Университäтсверлаг. ИСБН 978-3-322-81240-7. ОЦЛЦ 851734708. 
  7. ^ 44 У.С.C. § 3542(б)(1)
  8. ^ Андресс, Ј. (2014). Тхе Басицс оф Информатион Сецуритy: Ундерстандинг тхе Фундаменталс оф ИнфоСец ин Тхеорy анд Працтице. Сyнгресс. стр. 240. ИСБН 9780128008126. 
  9. ^ Кеyсер, Тобиас (2018-04-19), „Сецуритy полицy”, Тхе Информатион Говернанце Тоолкит, ЦРЦ Пресс, стр. 57—62, ИСБН 978-1-315-38548-8, дои:10.1201/9781315385488-13, Приступљено 2021-05-28 
  10. ^ Данзиг, Рицхард (1995-06-01). „Тхе Биг Тхрее: Оур Греатест Сецуритy Рискс анд Хоw то Аддресс Тхем”. Форт Белвоир, ВА. Архивирано из оригинала 19. 1. 2022. г. Приступљено 18. 1. 2022. 
  11. ^ Лyу, M.Р.; Лау, L.К.Y. (2000). „Фиреwалл сецуритy: полициес, тестинг анд перформанце евалуатион”. Процеедингс 24тх Аннуал Интернатионал Цомпутер Софтwаре анд Апплицатионс Цонференце. ЦОМПСАЦ2000. ИЕЕЕ Цомпут. Соц: 116—121. ИСБН 0-7695-0792-1. С2ЦИД 11202223. дои:10.1109/цмпсац.2000.884700. 
  12. ^ „Wхат ис Информатион Сецуритy? (wитх пицтурес)”. wисеГЕЕК. Приступљено 6. 10. 2017. 
  13. ^ „Хоw тхе Лацк оф Дата Стандардизатион Импедес Дата-Дривен Хеалтхцаре”, Дата-Дривен Хеалтхцаре, Хобокен, Њ, УСА: Јохн Wилеy & Сонс, Инц., стр. 29, 2015-10-17, ИСБН 978-1-119-20501-2, дои:10.1002/9781119205012.цх3, Приступљено 2021-05-28 
  14. ^ Сцхлиенгер, Тхомас; Теуфел, Степхание (децембар 2003). „Информатион сецуритy цултуре - фром аналyсис то цханге”. Соутх Африцан Цомпутер Социетy (САИЦСИТ). 2003 (31): 46—52. хдл:10520/ЕЈЦ27949. 
  15. ^ Лент, Том; Wалсх, Билл (2009), „Ретхинкинг Греен Буилдинг Стандардс фор Цомпрехенсиве Цонтинуоус Импровемент”, Цоммон Гроунд, Цонсенсус Буилдинг анд Цонтинуал Импровемент: Интернатионал Стандардс анд Сустаинабле Буилдинг, Wест Цонсхохоцкен, ПА: АСТМ Интернатионал, стр. 1—1—10, ИСБН 978-0-8031-4507-8, дои:10.1520/стп47516с, Приступљено 2021-05-28 
  16. ^ а б Цхердантсева Y. анд Хилтон Ј.: "Информатион Сецуритy анд Информатион Ассуранце. Тхе Дисцуссион абоут тхе Меанинг, Сцопе анд Гоалс". Ин: Организатионал, Легал, анд Тецхнологицал Дименсионс оф Информатион Сyстем Администратор. Алмеида Ф., Портела, I. (едс.). ИГИ Глобал Публисхинг. (2013)
  17. ^ ИСО/ИЕЦ 27000:2009 (Е). (2009). Информатион тецхнологy – Сецуритy тецхниqуес – Информатион сецуритy манагемент сyстемс – Овервиеw анд воцабуларy. ИСО/ИЕЦ.
  18. ^ Цоммиттее он Натионал Сецуритy Сyстемс: Натионал Информатион Ассуранце (ИА) Глоссарy, ЦНСС Инструцтион Но. 4009, 26 Април 2010.
  19. ^ ИСАЦА. (2008). Глоссарy оф термс, 2008. Ретриевед фром http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf
  20. ^ Pipkin, D. (2000). Information security: Protecting the global enterprise. New York: Hewlett-Packard Company.
  21. ^ B., McDermott, E., & Geer, D. (2001). Information security is information risk management. In Proceedings of the 2001 Workshop on New Security Paradigms NSPW ‘01, (pp. 97 – 104). ACM. . doi:10.1145/508171.508187.  Недостаје или је празан параметар |title= (помоћ)
  22. ^ Anderson, J. M. (2003). „Why we need a new definition of information security”. Computers & Security. 22 (4): 308—313. doi:10.1016/S0167-4048(03)00407-3. 
  23. ^ Venter, H. S.; Eloff, J. H. P. (2003). „A taxonomy for information security technologies”. Computers & Security. 22 (4): 299—307. doi:10.1016/S0167-4048(03)00406-1. 
  24. ^ Gold, S (децембар 2004). „Threats looming beyond the perimeter”. Information Security Technical Report. 9 (4): 12—14. ISSN 1363-4127. doi:10.1016/s1363-4127(04)00047-0. 
  25. ^ Parker, Donn B. (јануар 1993). „A Comprehensive List of Threats To Information”. Information Systems Security. 2 (2): 10—14. ISSN 1065-898X. doi:10.1080/19393559308551348. 
  26. ^ Sullivant, John (2016), „The Evolving Threat Environment”, Building a Corporate Culture of Security, Elsevier, стр. 33—50, ISBN 978-0-12-802019-7, doi:10.1016/b978-0-12-802019-7.00004-3, Приступљено 2021-05-28 
  27. ^ Бучик, С. С.; Юдін, О. К.; Нетребко, Р. В. (2016-12-21). „The analysis of methods of determination of functional types of security of the information-telecommunication system from an unauthorized access”. Problems of Informatization and Management. 4 (56). ISSN 2073-4751. doi:10.18372/2073-4751.4.13135Слободан приступ. 
  28. ^ Samonas, S.; Coss, D. (2014). „The CIA Strikes Back: Redefining Confidentiality, Integrity and Availability in Security”. Journal of Information System Security. 10 (3): 21—45. Архивирано из оригинала 22. 09. 2018. г. Приступљено 10. 11. 2019. 
  29. ^ „Gartner Says Digital Disruptors Are Impacting All Industries; Digital KPIs Are Crucial to Measuring Success”. Gartner. 2. 10. 2017. Приступљено 25. 1. 2018. 
  30. ^ „Gartner Survey Shows 42 Percent of CEOs Have Begun Digital Business Transformation”. Gartner. 24. 4. 2017. Приступљено 25. 1. 2018. 

Literatura[уреди | уреди извор]

Spoljašnje veze[уреди | уреди извор]

Bezbednost informacija на Викимедијиној остави.
Преузето из „https://sr.wikipedia.org/w/index.php?title=Bezbednost_informacija&oldid=27676029