КОНФІДЕНЦІЙНІСТЬ, КІБЕРБЕЗПЕКА ТА ISO 27001

Конфіденційність залежить від трьох критичних факторів.

По-перше, хоча люди прагнуть захистити свою конфіденційність. Вони воліють жертвувати нею в обмін на передбачувані вигоди, такі як гроші, престиж або зручність, ігноруючи потенційні небезпеки та збитки.

По-друге, бажання уряду/організацій приймати закони про конфіденційність не завжди відповідає інтересам окремих осіб. Іноді це робиться в ім’я “великого блага”.

І нарешті технології. Як ключовий момент у боротьбі з конфіденційністю технології все частіше надають людям, організаціям та урядам кошти для більш швидкого збору, агрегування та аналізу дедалі більшої та більшої кількості інформації. Випадкові або навмисні порушення конфіденційності, стаючи все більш серйозними та всеосяжними.

З іншого боку, таке ж технологічне середовище, відоме як кіберпростір, може надати рішення, які допоможуть належним чином захистити конфіденційність приватних осіб, бізнесу організацій та урядів. У той же час дозволити їм повністю безпечно насолоджуватися сучасним життям. Ці рішення разом із іншими нетехнологічними заходами відомі як кібербезпека. Мета цієї статті — розглянути концепції конфіденційності в діяльності кіберпростору, і як стандарти, зокрема ISO 27001 і структури, вже доступні на ринку, можуть допомогти в комплексному управлінні, впровадженні, експлуатації та покращенні кібербезпеки.

Що слід вважати конфіденційністю?

Хоча деякі значення конфіденційності можуть бути простими: «знаходитись подалі від інших людей» або «знаходитись подалі від суспільної уваги», межі та зміст того, що вважається приватним, і того, що є вторгненням у приватне життя, різняться між культурами та людьми ( деякі мови навіть не мають спеціального слова для позначення «конфіденційність»). Однак часто виникають такі загальні теми:

Право бути залишеним у спокої: коли людина вибирає усамітнення від уваги інших, якщо вона бажає це зробити, включаючи стан імунітету від перевірки або спостереження в приватній обстановці.

Обмежений доступ: можливість брати участь у групі, незалежно від розміру, без того, щоб інші збирали інформацію про них.

Контроль за інформацією: ступінь, у якому людина може впливати на інформацію про себе.

Стан конфіденційності: конфіденційність — це не бінарна річ, ступінь якої залежить від того, скільки людей ізольовані від самого себе. Розглянуто деякі загальні рівні:

самотність (повне відділення від інших),

близькість (тільки пара чи невелика група людей поділяють стосунки),

анонімність (коли хтось хоче бути на публіці, щоб його не впізнали),

резерв (коли хтось вимагає від інших поважати його/її потребу обмежити передачу інформації, що стосується себе).

Секретність: відноситься до будь-якої інформації, яку людина бажає приховати, тому що, на її думку, вона може бути використана на шкоду їй. Важливо відзначити, що, хоча ці концепції в основному орієнтовані на людей, вони певною мірою застосовні також до організацій та урядів (наприклад, організації та уряди також прагнуть приховати інформацію, яку вони вважають, що може бути використана ним на шкоду).Крім того, важливо враховувати, що конфіденційність може розглядатися як щось абсолютне, оскільки зловмисники часто використовують аспекти конфіденційності для приховування своєї діяльності (що є одним із головних аргументів для тих, хто хоче обмежити права на конфіденційність).

Конфіденційність за стандартом ISO 27001

Конфіденційність є одним із ключових принципів інформаційної безпеки, поряд із цілісністю та доступністю. У стандарті ISO 27001 конфіденційність означає забезпечення доступу до інформації тільки уповноваженим особам, що запобігає її розголошенню, втраті чи несанкціонованому використанню.

Що таке конфіденційність в контексті ISO 27001?

Конфіденційність – це забезпечення того, що інформація:

• доступна лише тим особам чи організаціям, які мають на це право;
• захищена від несанкціонованого доступу чи розголошення.

ISO 27001 пропонує системний підхід до управління конфіденційністю через розробку та впровадження Системи управління інформаційною безпекою (СУІБ).

Як забезпечується конфіденційність за стандартом ISO 27001?

1. – Ідентифікація активів
   У рамках СУІБ всі активи (документи, бази даних, ІТ-системи) класифікуються за рівнем їхньої важливості та чутливості.
2. – Оцінка ризиків
   Визначаються ризики, пов’язані з розголошенням або втратою конфіденційної інформації, наприклад:
   • Несанкціонований доступ до даних.
   • Розголошення даних через людську помилку.
   • Кібератаки, шкідливе програмне забезпечення.
3. – Політика конфіденційності
   Розробляються політики, які визначають правила доступу до інформації, її обробки, зберігання та передачі.
4. – Контроль доступу
   • Встановлення чітких правил щодо доступу до інформації (наприклад, надання прав лише працівникам, які їх потребують).
   • Використання таких засобів, як паролі, багатофакторна аутентифікація, шифрування даних.
5. – Шифрування інформації
   Захист інформації за допомогою шифрування гарантує, що навіть у разі доступу до даних сторонні особи не зможуть її прочитати.
6. – Навчання персоналу
   Працівники проходять регулярні тренінги з інформаційної безпеки, щоб розуміти важливість конфіденційності та дотримуватися встановлених правил.
7. – Регулярний моніторинг і аудит
   • Постійне відстеження системи на наявність порушень конфіденційності.
   • Проведення внутрішніх та зовнішніх аудитів відповідності стандарту ISO 27001.
8. – Управління інцидентами
   Розробка процедур реагування на інциденти, які можуть загрожувати конфіденційності, таких як витоки даних або кібератаки.

Переваги забезпечення конфіденційності за ISO 27001

1. – Захист даних клієнтів і партнерів
   Запобігання несанкціонованому доступу до конфіденційної інформації підвищує довіру до компанії.
2. – Відповідність законодавству
   ISO 27001 допомагає виконувати вимоги законів про захист даних (наприклад, GDPR в ЄС).
3. – Мінімізація ризиків
   Впровадження стандарту знижує ймовірність витоку інформації та пов’язаних з цим фінансових і репутаційних втрат.
4. – Підвищення конкурентоспроможності
   Компанії з сертифікатом ISO 27001 демонструють надійність у захисті інформації, що приваблює клієнтів та інвесторів.

Приклад заходів для захисту конфіденційності:

• – Використання VPN для захищеного з’єднання.
• – Заборона використання особистих пристроїв для роботи з корпоративною інформацією.
• – Встановлення програмного забезпечення для моніторингу дій працівників з інформацією.
• – Впровадження політики «чистого столу» для захисту паперових документів.

Ризики для конфіденційності в кіберпросторі

Коли ми розглядаємо «кіберпростір» як «електронний світ, створений взаємопов’язаними мережами інформаційних технологій та інформацією в цих мережах», причому Інтернет є його найбільш яскравим прикладом, а також поточними та очікуваними рівнями обчислювальної потужності, ми можемо припустити таке ризик-простір:

Блог

Гаряче цинкування за EN ISO 1461:2022. Що потрібно знати?

Гаряче цинкування є одним із найефективніших методів антикорозійного захисту металоконструкцій. Стандарт EN ISO 1461:2022 встановлює вимоги до цього процесу, забезпечуючи…

Детальніше

10.12.2024

Блог

Вимоги EN 1090 до зварювальних процесів: інтеграція з ISO 3834

Зварювальні процеси є критично важливими для виготовлення металоконструкцій, особливо в будівельній галузі. Стандарти EN 1090 та ISO 3834 забезпечують системний…

Детальніше

10.12.2024

Блог

Як підготуватися до сертифікації EN 10219: покроковий гайд для підприємств

Стандарт EN 10219 регулює виробництво холодноформованих сталевих труб і профілів, які широко застосовуються в будівництві та інженерії. Сертифікація за цим…

Детальніше

10.12.2024