Piroska
-1 °C
5 °C

Miért kellenek a szabályzatok - II.

2001.11.26. 11:12
Az informatikai biztonság mérhető és meghatározható fogalom. Az informatikai biztonság célja az informatikai rendszer azon állapotának elérése, amelyben a kockázatok elfogadható intézkedésekkel elviselhető mértékűre csökkenthetők, és ez által a vállalat üzleti folyamatainak folytonossága a lehetséges mértékben biztosított. Ez az állapot olyan nemzetközi szabványokon alapuló előírások és megelőző biztonsági intézkedések betartásának eredménye, amelyek az információk elérhetőségét, sérthetetlenségét és megbízhatóságát érintik.
A szabályzatrendszer bevezetése biztosítja a tervezett karbantartások költségének, a rendszerkiesések számának és idejének csökkenését, javítja a teljes informatikai rendszer rendelkezésre állását, a szolgáltatási folyamatok zökkenőmentes kiszolgálását. Az informatikai biztonsági szabályzatok a szervezet szabályzati rendszerének integráns részévé kell válniuk, fel kell használniuk a már meglévő szabályozásokat, deklarált kapcsolatrendszereket. A szabályozások kidolgozása során figyelembe kell venni a meglévő szervezeti kultúrát, szokás- és előírásrendszereket.

A megfelelő szabályzatrendszer kialakításánál igen lényeges szempont, hogy minél szélesebb körben elfogadott szabványi háttérrel rendelkezzen. Ehhez a háttérhez tartoznak a British Standards BS 7799 szabványai, az ISACA (Information Systems Audit and Control Association) által kidolgozott COBIT (Control Objectives for Information and Related Technology) ajánlása, egy olyan IT szabályozási szabvány és cél gyűjteményt, amely az IT területén általánosan alkalmazható és elfogadott. Ezeken felül célszerű még figyelembe venni például a Common Criteria irányelveit és hazai oldalról az Informatikai Tárcaközi Bizottság ajánlásait.

A szabályzatrendszer különbözői moduljai le kell hogy fedjék a vállalat teljes informatikai rendszerét, sőt néhány olyan területet is, amelyek nincsenek közvetlen összefüggésben az informatikával. Ilyenek például a szervezeti kérdések.

Különleges helyet foglal el a szabályzatrendszerekben a katasztrófa elhárítási terv. A kockázat-menedzsment során meghatároztuk azt a biztonsági szintet, amely alatti kockázatokat érdemes/megéri megfelelő eszközökkel (infrastruktúra, szabályzatok, stb.) megszüntetni. Üzletmenet folytonossági szempontból nézve a szabályzatrendszer olyan határértékeket állapít meg erőforrások és helyreállítási időtartamok tekintetében, amelyeken belül egy felmerülő problémát meg kell tudni oldani.

A biztonsági szint feletti kockázatok azonban kilógnak ebből a rendszerből, ezek bekövetkezése esetén beszélünk informatikai katasztrófahelyzetről. A katasztrófa elhárítási terv az ilyen esetek szabályozott kezelését biztosítja, ezáltal minimalizálja a károkat és a helyreállítás idejét.

Nagyon fontos megemlíteni az oktatás és képzés kérdését. Az emberi tényező által okozott hibák nagy százaléka vezethető vissza a hiányos képzettségre. Egy jól működő szabályzatrendszerben külön hangsúlyt kell hogy kapjon a megfelelően kialakított, visszacsatolt oktatási rendszer.

Korábban már említettük, hogy a biztonság folyamatosan karbantartott technológia kell hogy legyen. Ez azt jelenti, hogy a kialakításra kerülő rendszer a visszacsatolások révén valamilyen mértékig követni képes a bekövetkező változásokat, de elengedhetetlen a rendszeres külső felülvizsgálat, amely kimutatja a rendszerben esetleg mégis megjelenő hiányosságokat.