„Információbiztonság” változatai közötti eltérés

A lap 2013. november 12., 16:25-kori változata

Az információbiztonság szóösszetétel az információ és a biztonság közös eredetét hivatott vizsgálni.

Információ

• Általános értelemben: Az információ minden olyan jel, szimbólum vagy jelzés, amellyel az ember képes más emberre hatni oly módon, hogy ettől annak viselkedése megváltozzék.
• Kommunikáció-elméleti szempontból: Az információ kölcsönösen egymásra ható objektumok kommunikációjának objektív tartalma, amely ezen objektumok állapotának megváltozásában nyilvánul meg.
• Informatikai szempontból: Információnak nevezünk mindent, amit a rendelkezésünkre álló adatokból nyerünk. Az információ olyan tény, amelynek megismerésekor olyan tudásra teszünk szert, ami addig nem volt a birtokunkban.

Az információ hasonlóan fontos szerepet játszik a világban, mint az anyag és az energia. A világot alkotó rendszerek információs kapcsolatok révén szerveződnek egésszé. Az anyagi világ jelenségeihez képest alapvető különbség viszont, hogy az információra nem érvényesek a megmaradási törvények; az információ megsemmisíthető és létrehozható.

Információbiztonság

• Elsődleges célja az információ bizalmasságának, sértetlenségének és rendelkezésre állásának megőrzése.
• Másodlagos célja olyan tulajdonságok megőrzése, mint a hitelesség, a számon kérhetőség, a letagadhatatlanság és a megbízhatóság [MSZ ISO/IEC 27001:2006].

Alapelv, hogy mindig az információt védjük.

Az információ réteges szerkezete.

Az információ védendő tulajdonságai

• Bizalmasság (confidentality), annak biztosítása, hogy az információhoz csak az arra jogosultak és csak az előírt módokon férhetnek hozzá. Biztosítani kell tárolt információ esetében, illetve kommunikációs átvitel során egyaránt. Átvitelnél nehezebb a kivitelezés, hiszen sokféle kommunikációs médium használható. Általánosan bevált módszer a kommunikáció során valamely titkosítás alkalmazása.
• Sértetlenség (integritás, integrity), ami azt jelenti, hogy az információt csak az arra jogosultak, és csak szabályozott módon változtathatják meg. Az információ teljességét és pontosságát garantálja. Az egész kommunikáció értelmét vesztené, ha az eredeti üzenet nem az eredeti formájában jutna el a címzetthez. Két dolgot kell megvalósítani: az első, hogy az információt el kell juttatni a küldőtől a fogadóig, a második, hogy az információ sértetlenül jusson el a célállomásra.
• Rendelkezésre állás (availability), az a tényleges állapot, amikor egy informatikai rendszer szolgáltatásai permanensen, illetve egy meghatározott időben rendelkezésre állnak, és a rendszer működőképessége sem átmenetileg, sem tartósan nincs akadályozva. A rendelkezésre állást legtöbbször valamilyen rendszerhiba veszélyezteti, de léteznek kifejezetten erre a célra szánt támadások is.
• Hitelesség (authenticity), az információ azon jellemzője, amely az eredetiséget reprezentálja.
• Letagadhatatlanság (non-repudiation) azt jelenti, hogy egy objektum létrehozója ne tagadhassa le az objektum létrehozásának tényét; más megközelítésben valamilyen esemény, tipikusan a kommunikáció során garantálni kell a származás eredetét, a kézbesítés megtörténtét.
• Funkcionalitás biztosítása, ami a rendszer funkcionalitásának stabil, megbízható szolgáltatását jelenti.

Információbiztonsági intézkedések

Az információbiztonsági intézkedések alatt az információs vagyon sérülése, megsemmisülése, jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttesét értjük. Az információbiztonsági intézkedések meghatározása a védendő információs vagyon felmérésén, annak érzékenységén, fenyegetettségeire épülő részletes kockázatelemzésén és kockázatkezelésén alapul.

A védelmi intézkedéseket az adatok szempontjából két nagy területre lehet bontani:

• Adatvédelem: Az informatikai/információs rendszerek adatvesztés elleni védelmét, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások.
• Adatbiztonság: Az informatikai/információs rendszerek adataihoz való illetéktelen hozzáférést meggátló szabályozások, folyamatok és megoldások.

Megvalósításának területei

Az információbiztonság és az informatikai biztonság kapcsolata.

Az információbiztonság megvalósításakor mindig a következő kérdéseket kell feltenni, és az azokra adott válaszok segítenek a gyakorlati megvalósításban:

• Mit kell megvédeni? Ezalatt nemcsak a védendő adatokra, információkra kell gondolni, hanem azok előfordulási helyére és formáira, azok információhordozó és feldolgozó eszközeire, berendezéseire is. Az adatok / információk nagyon eltérő jellegű adathordozókon lehetnek jelen. Így megkülönböztethetünk pl. papíralapú információkat, elektronikusan tárolt információkat vagy pl. az emberi fejekben tárolt információkat.
• Mitől kell megvédeni? Itt a védendő információ bizalmasságát, integritását vagy rendelkezésre állását fenyegető veszélyeket kell számba venni a védendő információk minden előfordulása, felhasználása illetve adathordozója esetén.
• Hogyan kell megvédeni? Miután már ismert, hogy mit és mitől (mi ellen) kell megvédeni, azután lehet a megfelelő védelmi stratégiát összeállítani. A lehetséges védelmi intézkedések széles palettát mutatnak, és az egyes védelmi intézkedések egymással is szoros kapcsolatban állnak, megvalósításuk eszköz- illetve módszertára egyszerre több különálló szakmának a tudását és tapasztalatát igényli.

Az információvédelmi intézkedések a következő szakmai területek munkáját foglalják magukba:

• objektum, terület védelem,
• személy védelem (rendszerben a személy védelme, vagy a rendszer védelme személyektől),
• hagyományos (pl. papíralapú) adatok, eszközök védelme,
• elektronikusan tárolt adatok védelme,
• elemi károk, természeti csapások elleni védelem (az információ-biztonság szemszögéből).

Az egyes területek egymás mellett vannak jelen, és sokszor egymásra is hatnak, illetve egymással szoros kölcsönhatásban vannak.

Források

• ISO 27001:2006