Az információbiztonság és a rend II/I

2005.01.07. 14:34
A Rákóczi Gimnáziumban Póka tanár úr, a maga kétméteres méretével, birkózó alkatával és mély baritonjával hitelesnek tűnően hangoztatta, hogy " Fiaim, a rendet nem csinálni, hanem fenntartani kell!", majd a nyomaték kedvéért még halkan hozzáfűzte: "Eddig két vásott kölök nem fogadta meg e tanácsomat. Ezeknek az obeliszkjei láthatók a Farkasrétiben a bejárat mellett."
"Ha egy szokásos dolgot szokatlanul jól hajtasz végre, azt sikernek nevezik."

A "rend fenntartása" az információbiztonság területén többlépcsős és visszacsatolásos folyamat. A sarokköveket, az információbiztonság nemzetközi előírásait, szabványait korábban már bemutattuk. Most kísérletet teszünk a többlépcsős folyamat felvázolására:

Az informatikai rendszer felmérése

A folyamat első - és egyben folyamatosan visszatérő - eleme az informatikai rendszer és a cég vagy intézmény (továbbiakban szervezet) informatikai- és egyéb hozzá kapcsolódó rendszereinek felülvizsgálata, átvilágítása. Itt kell felmérni, illetve pontosítani az informatikai rendszer iránt támasztott biztonsági igényeket és az informatikai rendszerről rendelkezésre álló információkat. E felmérés eredményeként meghatározásra kerül a tényleges állapot és az elvárt igények közötti különbség, az úgynevezett biztonsági rés.

A biztonságos informatikai rendszer kialakításánál már a jövő kihívásaira is fel kell készülni, ezért nélkülözhetetlen a fejlesztési tervek és a célkitűzések figyelembe vétele. Ennek megfelelően a felmérést ki kell terjeszteni minden érintett infrastruktúra területre is. Az egyes komponenseket pedig nemcsak önmagukban kell vizsgálni, hanem rendszerelméleti szinten, egymásra gyakorolt kölcsönhatásukat is figyelembe kell venni.

E felméréshez tartozik a szervezet informatikai rendszerének törvényességi/jogi vizsgálata is.

A szervezet informatikai rendszerének felmérése és felülvizsgálata, a szabályzatok kapcsolódási pontjainak meghatározása és a kockázati tényezők feltárása helyszíni szemlék, interjúk és számítógépes elemző eszközök segítségével, az informatikai rendszerek felmérésére és kiértékelésére vonatkozó hazai és nemzetközi szabványok (ITB 8. és 12. ajánlás, ISO 15408, ISO 17799, COBIT) alapján zajlik.

A felmérés végrehajtásának magas színvonalára a különböző nemzetközi (CISA, BS illetve ISO belső auditori) vizsgákkal rendelkező szakemberek részvétele jelenti a garanciát.

Az informatikai rendszer és a kapcsolódó informatikai infrastruktúra felmérése és kockázatelemzése után részletes jelentés készül, amely bemutatja az informatikai rendszerhez kapcsolódóan feltárt gyenge pontokat, hiányosságokat és kockázati tényezőket.

A megfelelő elfogadás és támogatottság biztosítása érdekében a felmérés és a kockázatelemzés eredményeit a jelentés elkészülte és elfogadtatása után célszerű egy prezentáció keretében is ismertetni az illetékes felső szintű és ágazati vezetőkkel. Itt kell lehetőséget teremteni a jelentés eredményeinek részletes megvitatására, a további teendők meghatározására, pontosítására és a szervezet stratégiai terveihez való egyértelmű igazítására.

A javaslatok kidolgozásakor - a felülvizsgálat eredményeinek figyelembevételével - szükséges a felmért informatikai rendszer összehasonlítása az elvárt rendelkezésre-állási és biztonsági szempontokkal. Mindezek alapján részletes javaslatot lehet kidolgozni a megfelelő informatikai biztonsági rendszer kialakítására és a feltárt hiányosságok megszüntetésére.

A felmérés eredményei biztosíthatják a megoldások körének egyértelmű és pontos meghatározását, megmutatva, hogy melyek az átveendő, az átalakítandó és a kialakítandó rendszerelemek.

A biztonsági felülvizsgálat nem csak az informatikai biztonsági rendszer kialakításakor játszik fontos szerepet. Minden szervezet a tökéletes biztonságra és a tökéletes védelemre törekszik. De napjaink rohamosan fejlődő és változó informatikai világában nincs esély száz százalékos megbízhatóságot garantáló rendszereket tervezni és készíteni. Ezért még a legkörültekintőbben tervezett és védett informatikai rendszernél is szükség van a rendszeres biztonsági felülvizsgálatra.

A cikk második részében a legális hackelés és a független informatikai audit kerül terítékre.  • Tippek
  • Hírek