Bezbednost informacija

Bezbednost informacija, ponekad skraćena na infosec,^[1] jeste praksa zaštite informacija ublažavanjem informacionih rizika.^[2][3] To je deo informacionog upravljanja rizikom. Time je obično obuhvaćeno sprečavanje ili barem smanjenje verovatnoće neovlašćenog/neprikladnog pristupa, upotrebe, otkrivanja, ometanja, brisanja/uništavanja, korupcije, modifikacije, inspekcije, evidentiranja ili devalvacije, mada to može uključivati i smanjenje štetnih uticaja incidenata.^[4][5][6]

Informacije mogu poprimiti bilo koji oblik, npr. elektronski ili fizički,^[7] opipljivi (npr. papirni dokumenti) ili nematerijalni (npr. znanje). Osnovni fokus informacione bezbednosti je na balansiranoj zaštiti poverljivosti, integriteta i dostupnosti podataka (što je poznato i kao CIA trijada), uz istovremeno održvanje fokusa na efikasnoj implementaciji smernica, bez ometanja produktivnosti organizacije.^[8][9] To se uglavnom postiže strukturiranim procesom upravljanja rizikom koji obuhvata:

• Identifikacija informacija i srodnih sredstava, plus potencijalne pretnje, ranjivosti i uticaji;
• Procena rizika;
• Donošenje odluka o načinu tretiranja rizika, tj. njihovog izbegavanja, ublažavanja, raspodele ili prihvatanja;
• Ako je neophodno ublažavanje rizika, vrši se izbor ili dizajn odgovarajućih bezbednosnih kontrola i njihovo sprovođenje;
• Nadgledanje aktivnosti, i prema potrebi prilagođavanje radi rešavanja problematičnih situacija, prilagođavanja promenama i sprovođenja mogućih poboljšanja.^[10]

Da bi standardizovali ovu disciplinu, akademici i profesionalci sarađuju na izradi smernica, preporuka i industrijskih standarda vezanih za lozinke, antivirusni softver, zaštitne zidove, softver za šifrovanje, pravnu odgovornost, sigurnosnu svest i obuku itd.^[11][12] Ovoj standardizaciji mogu da doprinesu razni zakoni i propisi koji utiču na pristup podacima, obradi, skladištenju, prenosu i uništavanju podataka.^[13] Međutim, primena kakvih standarda i smernica unutar datog entiteta može imati ograničen efekat ako se ne usvoji kultura procesa kontinuiranog unapređivanja.^[14][15]

Definicija

 

Atributi bezbednosti informacija: ili kvaliteti, i.e. poverljivost, integritet i dostupnost (CIA). Informacioni sistemi se sastoje od tri glavna dela, hardvera, softvera i komunikacija sa svrhom da pomognu u identifikaciji i primeni industrijskih standarda bezbednosti informacija, kao mehanizama zaštite i prevencije, na tri nivoa ili sloja: fizičkom, ličnom i organizacionom. U suštini, procedure ili politike se sprovode kako bi se administratorima, korisnicima i operaterima objasnilo kako da koriste proizvode kako bi osigurali bezbednost informacija unutar organizacija.^[16]

U nastavku su predložene različite definicije informacione bezbednosti, sažete iz različitih izvora:

1. „Očuvanje poverljivosti, integriteta i dostupnosti informacija. Napomena: Osim toga, mogu biti uključena i druga svojstva, kao što su autentičnost, odgovornost, neporicanje i pouzdanost.“ (ISO/IEC 27000:2009)^[17]
2. „Zaštita informacija i informacionih sistema od neovlašćenog pristupa, korišćenja, otkrivanja, ometanja, modifikacije ili uništenja u cilju obezbeđivanja poverljivosti, integriteta i dostupnosti.“ (CNSS, 2010)^[18]
3. „Osigurava da samo ovlašćeni korisnici (poverljivost) imaju pristup tačnim i potpunim informacijama (integritet) kada je to potrebno (dostupnost).“ (ISACA, 2008)^[19]
4. „Informaciona bezbednost je proces zaštite intelektualne svojine organizacije.“ (Pipkin, 2000)^[20]
5. „...bezbednost informacija je disciplina upravljanja rizicima, čiji je posao da upravlja troškovima informacionog rizika za poslovanje. (McDermott and Geer, 2001)^[21]
6. „Dobro informisan osećaj sigurnosti da su informacioni rizici i kontrole u ravnoteži. (Anderson, J., 2003)^[22]
7. „Informaciona bezbednost je zaštita informacija i minimizira rizik od izlaganja informacija neovlašćenim stranama.(Venter and Eloff, 2003)^[23]
8. „Informaciona bezbednost je multidisciplinarna oblast studija i profesionalne delatnosti koja se bavi razvojem i implementacijom bezbednosnih mehanizama svih raspoloživih vrsta (tehničkih, organizacionih, ljudski orijentisanih i pravnih) u cilju čuvanja informacija na svim svojim lokacijama (unutar i van perimetra organizacije) i, shodno tome, informacioni sistemi, gde se informacije kreiraju, obrađuju, čuvaju, prenose i uništavaju, bez pretnji.^[24] Pretnje informacijama i informacionim sistemima mogu se kategorisati i definisati odgovarajući bezbednosni cilj za njih, za svaku kategoriju pretnji.^[25] Skup bezbednosnih ciljeva, identifikovanih kao rezultat analize pretnji, treba periodično revidirati kako bi se obezbedila njegova adekvatnost i usklađenost sa okruženjem koje se razvija.^[26] Trenutno relevantni skup bezbednosnih ciljeva može uključivati takođe: poverljivost, integritet, dostupnost, privatnost, autentičnost i pouzdanost, neporicanje, odgovornost i mogućnost revizije."(Cherdantseva and Hilton, 2013)^[16]
9. Bezbednost informacija i informacionih resursa korišćenjem telekomunikacionih sistema ili uređaja znači zaštitu informacija, informacionih sistema ili knjiga od neovlašćenog pristupa, oštećenja, krađe ili uništenja. (Kurose and Ross, 2010).^[27]

Pregled

U osnovi informacione sigurnosti je osiguranje informacija, čin održavanja poverljivosti, integriteta i dostupnosti informacija (engl. confidentiality, integrity and availability - CIA), čime se osigurava da informacije ne budu ugrožene na bilo koji način kada se pojave kritična pitanja.^[28] Ovi problemi uključuju, ali nisu ograničeni na prirodne katastrofe, neispravnost računara/servera i fizičke krađe. Iako je poslovanje na papiru još uvek preovlađujuće i zahteva svoj sopstveni skup bezbednosnih praksi, digitalne inicijative preduzeća postaju sve naglašenije,^[29][30] pri čemu se sa sigurnošću informacija obično bave stručnjaci za bezbednost informacionih tehnologija (IT). Ovi stručnjaci primenjuju informatičku sigurnost na tehnologiju (najčešće neki oblik računarskog sistema). Vredi napomenuti da računar nužno ne podrazumeva kućni desktop. Računar je bilo koji uređaj sa procesorom i nešto memorije. Takvi uređaji mogu biti u rasponu od samostalnih uređaja kao što su jednostavni kalkulatori, do umreženih računarskih uređaja poput pametnih telefona i tablet računara. Stručnjaci za IT sigurnost gotovo se uvek nalaze u velikim preduzećima/ustanovama zbog prirode i vrednosti podataka unutar većih biznisa. Oni su odgovorni su za čuvanje celokupne tehnologije unutar kompanije od zlonamernih sajber napada koji često pokušavaju da steknu kritične privatne informacije ili dobiju kontrolu nad unutrašnjim sistemima.

Reference

1. Curry, Michael; Marshall, Byron; Crossler, Robert E.; Correia, John (2018-04-25). „InfoSec Process Action Model (IPAM): Systematically Addressing Individual Security Behavior”. ACM SIGMIS Database: The DATABASE for Advances in Information Systems (на језику: енглески). 49 (SI): 49—66. ISSN 0095-0033. S2CID 14003960. doi:10.1145/3210530.3210535. 
2. Joshi, Chanchala; Singh, Umesh Kumar (август 2017). „Information security risks management framework – A step towards mitigating security risks in university network”. Journal of Information Security and Applications. 35: 128—137. ISSN 2214-2126. doi:10.1016/j.jisa.2017.06.006. CS1 одржавање: Формат датума (веза)
3. Fletcher, Martin (14. 12. 2016). „An introduction to information risk”. The National Archives. Приступљено 23. 2. 2022. CS1 одржавање: Формат датума (веза)
4. „SANS Institute: Information Security Resources”. www.sans.org (на језику: енглески). Приступљено 2020-10-31. Шаблон:Circular
5. Daniel, Kent D.; Titman, Sheridan (2001). „Market Reactions to Tangible and Intangible Information”. SSRN Electronic Journal. ISSN 1556-5068. S2CID 154366253. doi:10.2139/ssrn.274204. 
6. Fink, Kerstin (2004). Knowledge Potential Measurement and Uncertainty. Deutscher Universitätsverlag. ISBN 978-3-322-81240-7. OCLC 851734708. 
7. 44 U.S.C. § 3542(b)(1)
8. Andress, J. (2014). The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice. Syngress. стр. 240. ISBN 9780128008126. 
9. Keyser, Tobias (2018-04-19), „Security policy”, The Information Governance Toolkit, CRC Press, стр. 57—62, ISBN 978-1-315-38548-8, doi:10.1201/9781315385488-13, Приступљено 2021-05-28 
10. Danzig, Richard (1995-06-01). „The Big Three: Our Greatest Security Risks and How to Address Them”. Fort Belvoir, VA. Архивирано из оригинала 19. 1. 2022. г. Приступљено 18. 1. 2022. CS1 одржавање: Формат датума (веза)
11. Lyu, M.R.; Lau, L.K.Y. (2000). „Firewall security: policies, testing and performance evaluation”. Proceedings 24th Annual International Computer Software and Applications Conference. COMPSAC2000. IEEE Comput. Soc: 116—121. ISBN 0-7695-0792-1. S2CID 11202223. doi:10.1109/cmpsac.2000.884700. 
12. „What is Information Security? (with pictures)”. wiseGEEK. Приступљено 6. 10. 2017. 
13. „How the Lack of Data Standardization Impedes Data-Driven Healthcare”, Data-Driven Healthcare, Hoboken, NJ, USA: John Wiley & Sons, Inc., стр. 29, 2015-10-17, ISBN 978-1-119-20501-2, doi:10.1002/9781119205012.ch3, Приступљено 2021-05-28 
14. Schlienger, Thomas; Teufel, Stephanie (decembar 2003). „Information security culture - from analysis to change”. South African Computer Society (SAICSIT). 2003 (31): 46—52. hdl:10520/EJC27949. 
15. Lent, Tom; Walsh, Bill (2009), „Rethinking Green Building Standards for Comprehensive Continuous Improvement”, Common Ground, Consensus Building and Continual Improvement: International Standards and Sustainable Building, West Conshohocken, PA: ASTM International, стр. 1—1—10, ISBN 978-0-8031-4507-8, doi:10.1520/stp47516s, Приступљено 2021-05-28 
16. Cherdantseva Y. and Hilton J.: "Information Security and Information Assurance. The Discussion about the Meaning, Scope and Goals". In: Organizational, Legal, and Technological Dimensions of Information System Administrator. Almeida F., Portela, I. (eds.). IGI Global Publishing. (2013)
17. ISO/IEC 27000:2009 (E). (2009). Information technology – Security techniques – Information security management systems – Overview and vocabulary. ISO/IEC.
18. Committee on National Security Systems: National Information Assurance (IA) Glossary, CNSS Instruction No. 4009, 26 April 2010.
19. ISACA. (2008). Glossary of terms, 2008. Retrieved from http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf
20. Pipkin, D. (2000). Information security: Protecting the global enterprise. New York: Hewlett-Packard Company.
21. B., McDermott, E., & Geer, D. (2001). Information security is information risk management. In Proceedings of the 2001 Workshop on New Security Paradigms NSPW ‘01, (pp. 97 – 104). ACM. . doi:10.1145/508171.508187.  Недостаје или је празан параметар |title= (помоћ)
22. Anderson, J. M. (2003). „Why we need a new definition of information security”. Computers & Security. 22 (4): 308—313. doi:10.1016/S0167-4048(03)00407-3. 
23. Venter, H. S.; Eloff, J. H. P. (2003). „A taxonomy for information security technologies”. Computers & Security. 22 (4): 299—307. doi:10.1016/S0167-4048(03)00406-1. 
24. Gold, S (децембар 2004). „Threats looming beyond the perimeter”. Information Security Technical Report. 9 (4): 12—14. ISSN 1363-4127. doi:10.1016/s1363-4127(04)00047-0. CS1 одржавање: Формат датума (веза)
25. Parker, Donn B. (јануар 1993). „A Comprehensive List of Threats To Information”. Information Systems Security. 2 (2): 10—14. ISSN 1065-898X. doi:10.1080/19393559308551348. CS1 одржавање: Формат датума (веза)
26. Sullivant, John (2016), „The Evolving Threat Environment”, Building a Corporate Culture of Security, Elsevier, стр. 33—50, ISBN 978-0-12-802019-7, doi:10.1016/b978-0-12-802019-7.00004-3, Приступљено 2021-05-28 
27. Бучик, С. С.; Юдін, О. К.; Нетребко, Р. В. (2016-12-21). „The analysis of methods of determination of functional types of security of the information-telecommunication system from an unauthorized access”. Problems of Informatization and Management. 4 (56). ISSN 2073-4751. doi:10.18372/2073-4751.4.13135  . 
28. Samonas, S.; Coss, D. (2014). „The CIA Strikes Back: Redefining Confidentiality, Integrity and Availability in Security”. Journal of Information System Security. 10 (3): 21—45. Архивирано из оригинала 22. 09. 2018. г. Приступљено 10. 11. 2019. 
29. „Gartner Says Digital Disruptors Are Impacting All Industries; Digital KPIs Are Crucial to Measuring Success”. Gartner. 2. 10. 2017. Приступљено 25. 1. 2018. 
30. „Gartner Survey Shows 42 Percent of CEOs Have Begun Digital Business Transformation”. Gartner. 24. 4. 2017. Приступљено 25. 1. 2018. 

Literatura

• Anderson, K., "IT Security Professionals Must Evolve for Changing Market", SC Magazine, October 12, 2006.
• Aceituno, V., "On Information Security Paradigms", ISSA Journal, September 2005.
• Dhillon, G., Principles of Information Systems Security: text and cases, John Wiley & Sons, 2007.
• Easttom, C., Computer Security Fundamentals (2nd Edition) Pearson Education, 2011.
• Lambo, T., "ISO/IEC 27001: The future of infosec certification", ISSA Journal, November 2006.
• Dustin, D., " Awareness of How Your Data is Being Used and What to Do About It", "CDR Blog", May 2017.
• Allen, Julia H. (2001). The CERT Guide to System and Network Security Practices. Boston, MA: Addison-Wesley. ISBN 978-0-201-73723-3. 
• Krutz, Ronald L.; Russell Dean Vines (2003). The CISSP Prep Guide (Gold изд.). Indianapolis, IN: Wiley. ISBN 978-0-471-26802-4. 
• Layton, Timothy P. Information Security: Design, Implementation, Measurement, and kvhmCompliance. Boca Raton, FL: Auerbach publications. ISBN 978-0-8493-7087-8. 
• McNab, Chris (2004). Network Security Assessment. Sebastopol, CA: O'Reilly. ISBN 978-0-596-00611-2. 
• Peltier, Thomas R. (2001). Information Security Risk Analysis. Boca Raton, FL: Auerbach publications. ISBN 978-0-8493-0880-2. 
• Peltier, Thomas R. (2002). Information Security Policies, Procedures, and Standards: guidelines for effective information security management. Boca Raton, FL: Auerbach publications. ISBN 978-0-8493-1137-6. 
• White, Gregory (2003). All-in-one Security+ Certification Exam Guide. Emeryville, CA: McGraw-Hill/Osborne. ISBN 978-0-07-222633-1. 
• Dhillon, Gurpreet (2007). Principles of Information Systems Security: text and cases. NY: John Wiley & Sons. ISBN 978-0-471-45056-6. 

Spoljašnje veze

 

Bezbednost informacija на Викимедијиној остави.

• DoD IA Policy Chart on the DoD Information Assurance Technology Analysis Center web site.
• patterns & practices Security Engineering Explained
• Open Security Architecture- Controls and patterns to secure IT systems
• IWS – Information Security Chapter Архивирано на сајту Wayback Machine (8. новембар 2019)
• Ross Anderson's book "Security Engineering"