Barbara, Borbála
-6 °C
3 °C

Az információ biztonsága, avagy milyen projektben gondolkodjak? II. rész

2004.01.09. 10:51
Az előző részben elkezdtük annak taglalását, hogy milyen lépések vezetnek egy megfelelő információbiztonsági rendszer megvalósításához. Most folytatjuk a gondolatmenetet a második lépéssel.
2. Kockázatkezelés

A kockázatkezelés célja a feltárt kockázatok felszámolásának, csökkentésének lehetőségét, módját és várható költségét meghatározni. Természetszerűleg olyan védelmi intézkedést nem érdemes alkalmazni, amely többe kerül, mint az általa elhárított kár mértéke. Ugyanakkor minden olyan lépést célszerű megtenni, amely költségénél lényegesen nagyobb kárt háríthat el.

A tervezést, illetve a döntéshozatalt megkönnyítendő, egy ún. kockázati mátrix készül:

A fenti sematikus ábra részletes változata tartalmazza a kockázatokhoz tartozó kárértékeket, illetve a megszüntetésükhöz szükséges költségeket is. E mátrix segítségével fontossági és időrendi sorrendbe állíthatók a szükséges lépések, amelyek végrehajtására még ebben a szakaszban kidolgozásra kerülnek a konkrét javaslatok is.

3. Rendszerterv készítés

A rendszerterv tartalmazza a kívánt biztonsági szint eléréséhez szükséges - és a javaslatokban leírt - rendszerbővítések részletes műszaki paramétereit, és az ezekhez tartozó becsült költségeket. A kockázati mátrix segítségével ezek a rendszerbővítési lépések beilleszthetők a szervezet rövid, közép és hosszú távú stratégiájába, hiszen a biztonsági szint növelése mellett még két további célt is szolgálhatnak. Az egyik a meglévő infrastruktúra fenntartása. (Például adott alkalmazások és azt kiszolgáló eszközpark mellett várható a kezelt adatok mennyiségének növekedése és emiatt a tárolókapacitás növelésének szükségessége). A másik cél, amely rendszerbővítést igényelhet, a tervezett jövőbeli üzleti és működési folyamatok kiszolgálása.

4. Eszközpark kiválasztás

A rendszertervben szereplő műszaki paramétereknek megfelelő eszközpark kiválasztásának három módja lehetséges: kiválaszthatja a szükséges eszközöket egy független szervezet, a megrendelő megbízhatja az informatikai eszközbeszállítóját, illetve pályázatot írhat ki az eszközök szállítására.

5. Implementációs terv

Az implementációs tervet természetszerűleg a kiválasztott szállító készíti el. Nagyon jó megoldás az, ha az információbiztonsági projekt végrehajtója itt minőségbiztosítási feladatot kap. Ugyanis a következő lépésben már neki kell ezen eszközökre a biztonsági szabályozást elkészítenie. Ezért hasznos, ha jó előre felkészül arra a traumára, amikor egy sereg arra alkalmatlan eszköz működését kell megfelelő módon szabályoznia.

6. A műszaki rendszer implementálása és a szabályzatrendszer kialakítása

A műszaki rendszer szállítója - a megfelelő minőségbiztosítási felügyelet mellett - elkezdi az eszközök implementálását, és ezzel egyidejűleg az információbiztonsági projekt megvalósítója hozzálát a projekt korábbi szakaszában rögzített elvárásoknak megfelelő, egységes szabályzatrendszer kialakításához, ami az egyik legfontosabb lépés az informatikai biztonság megteremtése terén.

7. Az információbiztonsági projekt bevezetése / Képzés, oktatás

Természetesen az információbiztonsági rendszer bevezetése és használatba vétele jelenti minden cég és intézmény esetében a projekt legjobban várt pillanatát. Ehhez - a megelőző lépések sikerén túl - biztosítani kell, hogy minden felhasználó megfelelő ismeretekkel rendelkezzen a bevezetendő rendszerrel kapcsolatban, valamint pontosan ismerje a hozzá kapcsolódó feladatait, lehetőségeit és felelősségét. Ennek eléréséhez elengedhetetlen a felhasználóknak és az informatikai dolgozóknak a biztonsági rendszerre vonatkozó általános és speciális oktatása. A megvalósításhoz külön oktatási rendszer is kapcsolható, amely lehetővé teszi a megszerzett tudás szinten tartását és rendszeres frissítését is.