INFORMÁCIÓVÉDELMI IRÁNYÍTÁSI RENDSZEREK
BS 7799 és ISO 17799
A BS 7799/ISO 17799 szabványok korszerű irányítási eszközt adnak az információ, mint érték védelmére, a külső-belső kihívások, veszélyek azonosítására, kezelésére,
a folyamatos továbbfejlődésre
Bevezetés
A gazdasági és társadalmi élet egyik legfontosabb értéke az információ. Az információ a szervezetek számára erőforrás, a hatékony működés alapja, a szervezet vagyona és gyakran termék, áru is.
Az információ megbízhatósága, biztonsága alapvetően befolyásolja a szervezet működését, a működési, logisztikai, pénzügyi és más folyamatokat, emellett az eredményességet, a jogi megfelelőséget, a profittermelő képességet, a piaci képet, és sok minden mást. Az értékekre, így az információra is féltétlenül vigyázni kell.
Az információ biztonsága a következőket jelenti:
Bizalmasságot, és annak biztosítását, hogy az információ csak az arra felhatalmazottak számára legyen elérhető.
Sértetlenséget (integritás), az információk és a feldolgozási módszerek teljességének és pontosságának megőrzését.
Rendelkezésre állást, annak biztosítását, hogy a felhatalmazott felhasználók hozzáférjenek az információkhoz és a kapcsolódó értékekhez, amikor szükséges.
Az információ sokféle formában létezhet, lehet papíron (nyomtatásban, kézírással), tárolható elektronikusan, filmen, átadható postázva, elektronikus eszközökön, filmen, megbeszéléseken. A védelemnek minden formára ki kell terjednie.
Miért kell védeni az információt?
A szervezetek, az információs rendszerek biztonsága fenyegetések széles körének (erőszakos, véletlen, külső, belső stb.) van kitéve, példaként említve számítógépes csalás, kémkedés, szabotázs, vandalizmus, tűz, víz, és egyéb katasztrófák, vagy például szoftver, hardver, kezelési hibák, meghibásodások, számítógépes vírusok, behatolások, szerviz nélkül maradás.
A veszélyforrások az alkalmazások bővülésével, a rendszerek bonyolultságának növekedésével folyamatosan bővülnek. Az információs rendszerektől és szolgáltatásoktól való függőség növekedésével a szervezetek sebezhetősége is nő. Ugyancsak növeli a kockázatokat a magán és nyílt hálózatok összekapcsolódása, az információs erőforrások megosztása. Ezek csökkentik a központi szakembergárda általi felügyelet hatásosságát is.
A közvetlen károk mellett jelentősek lehetnek a közvetett károk is, például a rendszer helyreállítás költségei, az esemény kivizsgálás költségei, bírságok, bírósági eljárások, alkalmazotti morálra hatás, a cégimázs romlása miatti üzletek vesztése, és így tovább.
Miért kell információvédelmi irányítási rendszer?
Ma a legtöbb információs rendszer nincs megfelelően megtervezve a biztonság szempontjából. A biztonság megvalósítása technikai eszközökkel csak korlátozott, szükséges mellette a irányítás funkciók és a kapcsolódó eljárások megfelelő működése.
Az információ biztonsága, védelme megteremtése, megőrzése egy olyan szabályozással teremthető meg, mely kiterjed például a célok, politikák, eljárások, gyakorlat, szervezet, szoftver funkciók kialakítására illetve működtetésére.
Hogyan hozható létre egy ilyen rendszer?
A szabályozás kialakítása gondos és a részletekre is kiterjedő tervezést igényel. A rendszernek vonatkoznia kell a szervezet minden alkalmazottjára, de igény lehet a szállítók, vevők, tulajdonosok, részvényesek részvételére is. A szabályozási költségek lényegesen alacsonyabbak, ha a védelmi lépések a követelmény meghatározás és a tervezés fázisába épülnek bele.
A rendszer kiépítésénél a szabványt kiinduló alapként célszerű használni. Előfordulhatnak egy adott szervezetnél nem értelmezhető követelmények, és lehetnek további, a szabványban nem rögzített, de a megfelelő védelemhez szükséges szabályozandó elemek.
Az információvédelmi rendszer kialakítás fő lépései
Védelmi követelmények meghatározása
Biztonsági kockázatok vizsgálata
Információ biztonsági kiindulási helyzet értékelése, rögzítése
Célok kitűzése
Megvalósítási eszközök, felelősségek, feladatok meghatározása, szabályozás kialakítása
Folyamatos figyelés, továbbfejlesztés
A sikeres megvalósítás kritikus tényezői általában a következők
A biztonságpolitika, a célok és a tevékenységek az üzleti célokon alapuljanak,
A megközelítés összhangja a szervezeti kultúrával
A vezetés elkötelezettsége és támogatása
A védelmi követelmények, a kockázatelemzés és menedzselés jó megértése,
Minden vezető és alkalmazott bevonása
Az útmutatók eljuttatása minden alkalmazotthoz és partnerhez, alvállalkozóhoz
Megfelelő képzés és oktatás
Átfogó és kiegyensúlyozott mérési rendszer a végrehajtás kiértékelésére és a fejlesztési javaslatok jelzésére
Tanúsítási lehetőség
Jelenleg tanúsítás csak nemzeti szabvány, mint például BS 7799, vagy ennek svédre fordított változata, az SS 627799 szerint lehetséges.
A tanúsítás 3 évre szól, rendszeres éves felügyeleti látogatásokkal, mely leteltével érvényességét meg kell újítani.
ISO 9001 és BS 7799
mindkettő menedzsment rendszer, technológia független
hasonló (és így közösen kezelhető) követelmények (pl. dokumentum és feljegyzés kezelés, felelősségek, folya- mat kiértékelés, megújítás, audit, vezetőségi átvizsgálás)
irányítási és szakmai folyamatokba (folyamatleírásba, kapcsolódó utasításokba) beépíthetők a biztonsági követelmények, szabályozások)
Tanácsadás az információvédelmi irányítási rendszer kiépítéséhez
közreműködés az információvédelmi követelmények meghatározásában
közreműködés a kockázatok elemzésében, értékelésében
tanácsadás a rendszer kialakítása során (szabályozandó területek, szabályozási módszerek, az elemek összhangja, teljessége, illesztés az irányítás többi elemeihez, minőségügyi és egyéb rendszerekhez stb.)
tanácsadás a működés során (tapasztalatok értékelése, a rendszer fejlesztése)
rendszer felülvizsgálat
tanúsításra felkészítés
képzések a különböző vezetési szintek és a rendszer kialakításában, működtetésében résztvevők számára.