Официальное представительство концерна TÜV Austria на территории Украины.

icon
04053, Киев,
ул. Сечевых Стрельцов, 50, оф. 2Б
смотреть на карте

Конфиденциальность, кибербезопасность и ISO 27001. Как они связаны?

Заботы о конфиденциальности стары как человечество. Из-за защиты своего тела и собственности в древние времена она стала тесной связью с тем, когда, как и в какой степени данные и информация о человеке передаются другим. И независимо от тела, собственности или информации, конфиденциальность зависит от трех критических факторов.

Во-первых, хотя люди стремятся защитить свою конфиденциальность. Они неизменно предпочитают жертвовать ею в обмен на предполагаемые выгоды, такие как деньги, престиж или удобство, игнорируя потенциальные опасности и убытки.

Во-вторых, желание правительства/организаций принимать законы о конфиденциальности не всегда отвечает интересам отдельных лиц. Иногда это делается во имя «большего блага».

И, наконец, технологии. В качестве ключевого момента в борьбе с конфиденциальностью технологии все чаще предоставляют людям, организациям и правительствам средства для более быстрого сбора, агрегирования и анализа все большего и большего количества информации. Случайные или преднамеренные нарушения конфиденциальности, становясь все более серьезными и всеобъемлющими.

С другой стороны, та же технологическая среда, известная как киберпространство, может предоставить решения, которые помогут должным образом защитить конфиденциальность частных лиц, бизнеса организаций и правительств. В то же время позволить им в полной мере безопасно наслаждаться современной жизнью.

Эти решения вместе с другими нетехнологическими мерами известны как кибербезопасность. Цель этой статьи — представить взгляд на то, как концепции конфиденциальности следует рассматривать в деятельности киберпространства, и как стандарты, в частности ISO 27001 и структуры, уже доступные на рынке, могут помочь в комплексном управлении, внедрении, эксплуатации и улучшении кибербезопасности.

Что следует считать конфиденциальностью?

Хотя некоторые значения конфиденциальности могут быть простыми: «нахождение вдали от других людей» или «нахождение вдали от общественного внимания», границы и содержание того, что считается частным, и того, что представляет собой вторжение в частную жизнь, различаются между культурами и людьми (в некоторых языках даже нет специального слова для обозначения «конфиденциальность»). Однако часто возникают следующие общие темы:

Право быть оставленным в покое: когда человек выбирает уединение от внимания других, если он / она желает это сделать, включая состояние иммунитета от проверки или наблюдения в частной обстановке.

Ограниченный доступ: возможность участвовать в группе, независимо от ее размера, без того, чтобы другие собирали информацию о них.

Контроль над информацией: степень, в которой человек может влиять на информацию о себе.

Состояния конфиденциальности: конфиденциальность — это не бинарная вещь, степень которой зависит от того, сколько людей «изолированы» от самого себя. Рассмотрены некоторые общие уровни:

одиночество (полное отделение от других),

близость (только пара или небольшая группа людей разделяют отношения),

анонимность (когда кто-то желает быть на публике, чтобы его не узнали),

резерв (когда кто-то требует от других уважать его / ее потребность ограничить передачу информации, касающейся себя).

Секретность: относится к любой информации, которую человек желает скрыть, потому что, по его / ее мнению, она может быть использована во вред ему. Важно отметить, что, хотя эти концепции в основном ориентированы на людей, они в некоторой степени применимы также к организациям и правительствам (например, организации и правительства также стремятся скрыть информацию, которую они считают, что может быть использована им в ущерб).

Кроме того, важно учитывать, что конфиденциальность может рассматриваться как нечто абсолютное, поскольку злоумышленники часто используют аспекты конфиденциальности для сокрытия своей деятельности (что является одним из главных аргументов для тех, кто хочет ограничить права на конфиденциальность).

Риски для конфиденциальности в киберпространстве

Когда мы рассматриваем «киберпространство» как «электронный мир, созданный взаимосвязанными сетями информационных технологий и информацией в этих сетях», причем Интернет является его наиболее ярким примером, а также текущими и ожидаемыми уровнями вычислительной мощности, мы можем предположить следующее риск-пространство:

Сценарии угрозУязвимостиРиски
Мощные и портативные вычислительные устройства (например, смартфоны, планшеты и ноутбуки) чаще облегчены для сбора, агрегирования и распространения информацииУвеличение количества людей, выполняющих деятельность в киберпространствеСбор информации, не по основному назначению
Увеличение числа сторонних отношений (например, поставщиков соединений и приложений)Увеличение количества источников для сбора данных (например, IP-камеры, биометрические данные, GPS, RFID и т. Д.)Сохранение информации сверх установленного срока использования
Повышение концентрации инфраструктуры киберпространства (например, центров обработки данных и коммуникационных магистралей)Необразованные/неосведомленные пользователи о конфиденциальности в киберпространствеРаскрытие конфиденциальной информации о своей жизни или бизнесе
Законы и постановления, нарушающие конфиденциальностьОтсутствие проблем с защитой конфиденциальности при разработке приложений/системПродвижение неверной информации, ставящей под угрозу репутацию
Профессионализация злоумышленников (например, отдельных взломщиков)Более ценные данные хранятся в электронном виде и обрабатываются в массовом и централизованном масштабе (например, хранилища данных)Кража личных данных
Информация обменивается, объединяется и связывается вместе с большей частотойПриложения/системы без надлежащей защиты конфиденциальности функции/элементы управления
Использование общих учетных данных для доступа к нескольким системам