Sécurité de l'information

Sécurité de l'information

Quelle est la différence entre la sécurité de l'information et la sécurité informatique ?

Qu'est-ce que la sécurité de l'information - Définition

Qu'est-ce que la sécurité de l'information d'ailleurs ?

En bref, la définition de la sécurité de l'information est la protection des informations d'une entreprise, quelle que soit leur nature ou leur origine. Cela inclut les informations de nature technique et non technique. Cela signifie que la sécurité de l'information se concentre sur les informations sur papier, celles qui se trouvent dans les poches des gens, mais bien sûr aussi sur l'informatique. La sécurité de l'information s'efforce de respecter les objectifs de sécurité établis.

Sécurité de l'information - Objectifs

La sécurité de l'information vise donc à protéger toutes les informations sensibles d'une entreprise, d'une part contre les actes intentionnels non autorisés, tels que l'accès ou la manipulation, et d'autre part contre les cas de force majeure, tels que l'incendie, l'eau, etc. et donc finalement contre les éventuels dommages économiques ou de réputation importants.

Pour garantir une protection efficace de l'information, la sécurité de l'information doit être organisée dans le cadre d'un système de gestion avec des processus définis en conséquence.

Quelle est la différence entre la sécurité de l'information et la sécurité informatique ?

Aujourd'hui, la simple protection technique par des systèmes de pare-feu, par exemple, ne suffit plus à protéger les entreprises et doit être accompagnée de mesures organisationnelles complètes. Les mesures correspondantes comprennent la mise en place d'une structure organisationnelle, la détermination du niveau de sécurité souhaité et des objectifs de sécurité. En outre, d'autres mesures comprennent la création d'une stratégie de sécurité et du concept de sécurité, ainsi que la définition de processus pour l'analyse des menaces, pour les tests et la surveillance, pour l'audit, pour l'amélioration continue, etc.

.
Distinction entre sécurité de l'information et sécurité informatique.

Dans de nombreuses entreprises, une distinction est faite entre la sécurité de l'information et la sécurité informatique (également cybersécurité, cyber-résilience). Cela s'explique en partie par les exigences techniques imposées aux employés. La sécurité informatique se concentre sur la protection de toutes les infrastructures informatiques, des systèmes informatiques et des applications qui traitent les informations. Le traitement de l'information se fait ici à un niveau purement technique. La sécurité informatique doit donc être considérée comme un sous-domaine de la sécurité de l'information. La sécurité de l'information, en revanche, übergeordneter, par définition, travaille avec des informations à la fois techniques et non techniques et s'intéresse également à l'organisation.

Que signifie réellement technique/non technique ?

Bien que cela semble compliqué à première vue, la définition qui se cache derrière est simple :
De nos jours, l'information peut exister sous des formes très différentes. L'information peut exister sous forme de fichier numérique sur un ordinateur ou servir, par exemple, à la sécurité des réseaux ou des ordinateurs. C'est le domaine technique ou informatique. La sécurité de l'information et la protection des données sont également un sujet ici.

Mais en même temps, l'information peut aussi exister sous une autre forme. Par exemple, sous la forme d'une archive papier dans laquelle des données importantes sont enregistrées. En outre, les informations importantes peuvent également être transmises verbalement, de personne à personne. Les locaux d'une entreprise constituent également un tel système non technique ou non numérique et font partie de la sécurité de l'information.

Les objectifs de protection de la sécurité de l'information ne se limitent donc pas aux systèmes informatiques et aux données numériques. Au contraire, la sécurité de l'information sert à sécuriser toutes les données pertinentes dans les domaines techniques et non techniques.

Objectifs de la sécurité de l'information - définition des objectifs de protection.

Les objectifs classiques de sécurité/protection de la sécurité de l'information sont:

  • La confidentialité - protection des informations contre une connaissance non autorisée.
  • La intégrité - prévention de la modification non autorisée des données, ou du moins il doit être possible de détecter que des modifications ont été apportées.
  • La disponibilité - concerne à la fois les systèmes de technologies de l'information et les données qui y sont traitées et consiste à s'assurer que les systèmes sont opérationnels à tout moment et que les données sont accessibles comme prévu.
  • La authenticité - les données doivent pouvoir être identifiées de manière unique à un expéditeur. Il faut veiller à ce que les informations soient authentiques et crédibles (reconnaissance de la source) ou que les systèmes et applications informatiques soient inviolables et inviolés. L'expéditeur peut être une personne, un système ou une application d'information.
Les autres objectifs de sécurité/objectifs de protection possibles de la sécurité de l'information sont.
  • La non traçabilité,
  • Non traçable,
  • Pseudonymat (protection contre l'identification par le nom, par exemple selon &sect ; 3 para 6a BDSG), imperceptibilité (garantit qu'il est impossible de déterminer qui envoie ou reçoit les données),
  • Confidentialité (personne, à l'exception des partenaires de communication, ne sait qu'une communication a lieu),
  • Anonymat (protection contre l'identification. C'est aussi une conséquence de l'absence de lien),
  • Auditabilité (vérifiabilité et traçabilité par l'enregistrement et la documentation des actions),
  • Continuité (capacité à établir que „quelque chose pourrait être différent de ce qu'il apparaît&ldquo ;. En revanche, l'objectif de protection „Integrität&ldquo ; ne permet que de déterminer que „quelque chose est tel qu'il est&ldquo ;),
  • Reliabilité (empêcher les systèmes d'assumer des états inadmissibles ou indéfinis et garantir que la fonction spécifiée est exécutée de manière fiable),
  • Contrôlabilité,
  • non-reproductibilité,
  • déniabilité crédible.
Pour atteindre ces objectifs, des mesures de gestion de la sécurité de l'information sont prises.

Protection des données et sécurité de l'information - inextricablement liées !.

Les thèmes de la protection des données et de la sécurité de l'information sont indissociables. Étant donné qu'une grande partie des données se présente aujourd'hui sous forme numérique, la sécurité informatique revient également dans le coin, car elle assure la protection des données sensibles. Ce n'est que par la sécurité informatique, en tant que sous-domaine de la sécurité de l'information, que la protection des données überhaupt est possible. La protection des données et la sécurité de l'information sont donc étroitement liées.

Simplifié, ce lien peut également être exprimé comme suit : La protection des données d'une entreprise combinée à la sécurité informatique aboutit à une sécurité de l'information holistique. L'interaction entre la protection des données et la sécurité de l'information ne fonctionne que de cette manière - mais elle n'en est que meilleure pour cela.

Mes menaces comme ligne directrice pour la sécurité de l'information.

Parce que l'information peut exister de différentes manières, les menaces possibles de perte ou de dommage aux données sont également multiformes. Donc, là encore, les menaces opèrent naturellement à la fois sur des niveaux techniques et non techniques, et la ligne directrice suivante en matière de sécurité de l'information a du sens :

  • Les menaces au niveau technique comprennent les attaques de pirates informatiques, l'espionnage, ainsi que les virus informatiques ou la modification ou le décryptage de données par des personnes non autorisées.
  • Les menaces possibles au niveau non technique comprennent le vandalisme, mais aussi les catastrophes naturelles dues aux inondations, aux incendies ou aux tempêtes.

Mesures de sécurité de l'information

Toutes ces menaces possibles doivent être prévenues et les informations de toute nature doivent être protégées de cette manière.
Les mesures sont organisées dans le cadre d'un concept de sécurité et - comme l'information elle-même - se situent au niveau technique et organisationnel. La direction respective est responsable de la planification et de l'organisation de toutes les mesures.

Ainsi, la gestion de la sécurité de l'information est prise en main, à l'aide du système de gestion de la sécurité de l'information (SGSI). Si nous examinons maintenant les mesures prises dans les domaines techniques et non techniques respectifs, la distinction entre les domaines techniques et non techniques devient encore plus claire:

Les mesures techniques de la sécurité de l'information sont, par exemple:Assurer que les logiciels, les programmes de protection contre les virus, les systèmes de sauvegarde et les pare-feu sont disponibles et à jour. En outre, il s'agit de s'assurer que les procédures de cryptage et d'authentification fonctionnent toujours correctement. Les composants informatiques tels que les ordinateurs et toutes les données importantes sont stockés et conservés en sécurité grâce à des mesures techniques.

En revanche, les exemples de mesures organisationnelles sont :Il s'agit ici d'organisation. Selon la définition, ces mesures de sécurité de l'information sont, par exemple : la formation continue thématique des employés, qui sert également à les sensibiliser à la question de la sécurité de l'information. En outre, les employés peuvent être formés à la documentation correcte ou recevoir des directives sur la manière de traiter les mots de passe et les données sensibles similaires de manière responsable.

>