Emőke
-4 °C
9 °C

Miért kellenek szabályzatok - I.

2001.11.26. 11:08
Az informatikai biztonság mai helyzetét nagyjából úgy jellemezhetnénk, hogy a cégek, intézmények felbecsülhetetlen értékű adatokkal, adatbázisokkal rendelkeznek, és igen nagy részük használ is különféle eszközöket, megoldásokat adatvédelmi, megelőzési céllal, de csak viszonylag kevésre tehető azoknak a száma, akik ezeket megfelelően, rendszerbe foglalva, a működést/működtetést szabályozva alkalmazzák.
Sok esetben a milliós, esetenként milliárdos értékeket kezelő, azokhoz hozzáférést biztosító számítógépeken nincs szabályozva a belépés és a használat módja, az, hogy milyen programokat tárolhatnak, futtathatnak a gépen, a határtalanul nagy veszélyt jelentő elektronikus levelezés mikéntje, stb. Ezeken a gépeken játékok, Internetről letöltött, bizonytalan eredetű programok, képernyővédők, különböző jópofaságok vannak felügyelet nélkül használatban, kockára téve a gép biztonságos működését. Nincs alaposan átgondolva azon adatok köre és prioritása, amelyek fontosak és kiemelten védendők. Nincsenek szabályozva az adatvédelmi feladatokkal kapcsolatos felelősségi szintek, nem megoldott a dokumentálás. Előfordul, hogy a vállalat IT stratégiájában nincs benne az adatvédelem, az adatbiztonság, sokszor pedig még IT stratégia sincs.

Mit szűrhetünk le a fenti eszmefuttatásból, mi az, ami a vállalatoknál, de például a nehéz helyzetben lévő hazai intézmények mai helyzetében is megvalósítható az informatikai biztonság elfogadható szintjének megteremtése érdekében?

Általános szabályként fogalmazható meg, hogy nem elegendő pusztán termékek és szolgáltatások megvásárlása, a biztonság a szervezet életébe beépülő, folyamatosan karbantartott technológia kell hogy legyen.

A KÜRT 12 éves adatmentési múltjából származó statisztikai adatai is megerősítik azt a nemzetközi felméréseken alapuló tényt, miszerint az informatikai biztonság egyik legnagyobb kockázatát az emberi tényező jelenti, ezen belül is a szervezet saját dolgozói. Ez a megállapítás igaz mind az adatvédelem, mind az adatbiztonság területén.

E kockázati tényezők hatását a megfelelő szabályzat-rendszerek használatával lehet a hatékonyan csökkenteni. A szabályzat-rendszerek kialakítása nem igényel nagy IT beruházásokat, viszonylag kis költséggel megoldható. Természetesen a megfelelő kockázatelemzés és felmérés elvégzése után határozható meg az, hogy egy adott szervezet esetében a minimálisan szükséges biztonsági szint eléréséhez pontosan mire van szükség. A tapasztalataink azonban azt mutatják, hogy sok esetben nagyon komoly előrelépést jelent a meglévő vagy csak kismértékben fejlesztett IT infrastruktúra használatának, karbantartásának, ellenőrzésének szabályozása, szigorú keretek közé szorítása.