| dbo:abstract
|
- Az információbiztonsági irányítási rendszer az átfogó irányítási rendszernek (vállalatirányítási rendszernek) az a része, amely egy, a működési kockázatokat figyelembe vevő megközelítésen alapulva kialakítja, bevezeti, működteti, figyeli, átvizsgálja, fenntartja és fejleszti az információvédelmet. MEGJEGYZÉS: Az irányítási rendszer magában foglalja a szervezeti felépítést, a szabályzatot, a tervezési tevékenységeket, a felelősségi köröket, a gyakorlatot, az eljárásokat, a folyamatokat és az erőforrásokat. [MSZ ISO/IEC 27001:2006] Az információbiztonsági irányítási rendszer tanúsítható rendszer. A tanúsítás alapján az ISO/IEC 27001:2005 (magyar fordításban: MSZ ISO/IEC 27001:2006) szabvány alkotja. Az információbiztonsági irányítási rendszer szabványa hasonlóan a minőségirányítási rendszer szabványához (EN ISO 9001:2008 - MSZ EN ISO 9001:2009) egy szervezet vezetésének munkáját segítő menedzsment eszköz, és hasonlóan pl. a szabványához (ISO EN 14001:2004 - MSZ EN ISO 14001:2005) kockázat-értékelésen alapuló szabvány. Az információbiztonsági irányítási rendszer alapja, hogy az információbiztonság szemszögéből a kockázatértékelésének módszerével felülvizsgálja a vállalat működési kockázatait, majd a számára túl nagy kockázatot jelentő területeken (megengedhető v. elviselhető kockázati határ feletti) kockázatos esetén új biztonsági intézkedéseket vezet be. Végül mind a kockázatkezelés alkalmazását, mind a bevezetett védelmi intézkedéseket bevonja a vállalatirányítási rendszere működésébe, azaz menedzseli: működésüket megtervezi, ellenőrzötten működteti, folyamatosan figyeli eredményeiket és hatékonyságukat, majd dönt a javításról, fejlesztésről. A kiindulási pont a vállalat tevékenységének, folyamatainak, kapcsolódó adatainak és adatbázisainak (információinak) átvilágítása során a védendő információk felmérése, majd azok alapján az ún. "információs vagyon" meghatározása. Az információs vagyon jelenti mind a védendő információkat, mind azokat az adathordozókat és eszközöket, ahol azok előfordulnak illetve amelyeken keresztül azok hozzáférhetők. Ennek az információs vagyonnak a fenyegetettségeit méri fel a kockázatelemzés módszere, becsülve minden egyes lehetséges fenyegetettségre a bekövetkező kár nagyságát és annak bekövetkezési valószínűségét. Ily módon összevethető minden egyes fenyegetettség általi lehetséges káresemény információbiztonsági kockázata a vállalat működése számára. Ezek alapján - az elviselhető kockázati szint feletti kockázatok esetére - határoz meg a vállalat védelmi intézkedéseket. A kockázatkezelés alkalmazásának legfontosabb előnyei:
* A teljesség (minden "információs vagyontárgy") vizsgálata miatt nem maradhat ki gyengepont.
* Egyenszilárdságú védelem kialakítása.
* A védelmere fordított erőforrások leghatékonyabb felhasználása. A bevezetett intézkedéseket két nagy területre lehet bontani:
* Adatvédelem: Az informatikai/információs rendszerek adatvesztés elleni védelmét, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások.
* Adatbiztonság: Az informatikai/információs rendszerek adataihoz való illetéktelen hozzáférést meggátló szabályozások, folyamatok és megoldások. Az információbiztonsági irányítási rendszert kiépíteni szándékozó vállalatok nagy része nem rendelkezik a szükséges biztonsági elemekkel, illetve a meglévők nagyrészt alkalmatlanok a feladatuk ellátására. A kiépítendő rendszerelemek létrehozása - a rendszer összetettségénél fogva - egyszerre sok szakma ismeretét, tudását igényel(het)i (pl. őrzés védelem, személyi biztonság, informatikai védelem, folyamatok és eszközök védelme, katasztrófa-elhárítás, ...). Ezért is, valamint a kockázatelemzés szakszerű és érdemi lefolytatása miatt célszerű hozzáértő és (ezeken a területeken) tapasztalt tanácsadók segítségét igénybe venni. A rendszer kiépítésekor sokszor azok a tanácsadó vállalkozások tudnak érdemben és hatékonyan segítenni, amelyeknek az információbiztonság különbözö területein már jelentős működtetési tapasztalataik vannak. Érdemes arra is odafigyelni, hogy - a minőségirányítási rendszerek felkészítésénél általánosan alkalmazott - "egy személy a felkészítő" modell itt általában nem hatékony, mert kevés az olyan tanácsadó, aki egyszemélyben mind az irányítási rendszerekhez, mind a bevezetendő eljárások mindegyik kapcsolódó szakmai területén egyidejűleg szakértő lenne. (Hiába, a polihisztorok kora lejárt.) (hu)
- Az információbiztonsági irányítási rendszer az átfogó irányítási rendszernek (vállalatirányítási rendszernek) az a része, amely egy, a működési kockázatokat figyelembe vevő megközelítésen alapulva kialakítja, bevezeti, működteti, figyeli, átvizsgálja, fenntartja és fejleszti az információvédelmet. MEGJEGYZÉS: Az irányítási rendszer magában foglalja a szervezeti felépítést, a szabályzatot, a tervezési tevékenységeket, a felelősségi köröket, a gyakorlatot, az eljárásokat, a folyamatokat és az erőforrásokat. [MSZ ISO/IEC 27001:2006] Az információbiztonsági irányítási rendszer tanúsítható rendszer. A tanúsítás alapján az ISO/IEC 27001:2005 (magyar fordításban: MSZ ISO/IEC 27001:2006) szabvány alkotja. Az információbiztonsági irányítási rendszer szabványa hasonlóan a minőségirányítási rendszer szabványához (EN ISO 9001:2008 - MSZ EN ISO 9001:2009) egy szervezet vezetésének munkáját segítő menedzsment eszköz, és hasonlóan pl. a szabványához (ISO EN 14001:2004 - MSZ EN ISO 14001:2005) kockázat-értékelésen alapuló szabvány. Az információbiztonsági irányítási rendszer alapja, hogy az információbiztonság szemszögéből a kockázatértékelésének módszerével felülvizsgálja a vállalat működési kockázatait, majd a számára túl nagy kockázatot jelentő területeken (megengedhető v. elviselhető kockázati határ feletti) kockázatos esetén új biztonsági intézkedéseket vezet be. Végül mind a kockázatkezelés alkalmazását, mind a bevezetett védelmi intézkedéseket bevonja a vállalatirányítási rendszere működésébe, azaz menedzseli: működésüket megtervezi, ellenőrzötten működteti, folyamatosan figyeli eredményeiket és hatékonyságukat, majd dönt a javításról, fejlesztésről. A kiindulási pont a vállalat tevékenységének, folyamatainak, kapcsolódó adatainak és adatbázisainak (információinak) átvilágítása során a védendő információk felmérése, majd azok alapján az ún. "információs vagyon" meghatározása. Az információs vagyon jelenti mind a védendő információkat, mind azokat az adathordozókat és eszközöket, ahol azok előfordulnak illetve amelyeken keresztül azok hozzáférhetők. Ennek az információs vagyonnak a fenyegetettségeit méri fel a kockázatelemzés módszere, becsülve minden egyes lehetséges fenyegetettségre a bekövetkező kár nagyságát és annak bekövetkezési valószínűségét. Ily módon összevethető minden egyes fenyegetettség általi lehetséges káresemény információbiztonsági kockázata a vállalat működése számára. Ezek alapján - az elviselhető kockázati szint feletti kockázatok esetére - határoz meg a vállalat védelmi intézkedéseket. A kockázatkezelés alkalmazásának legfontosabb előnyei:
* A teljesség (minden "információs vagyontárgy") vizsgálata miatt nem maradhat ki gyengepont.
* Egyenszilárdságú védelem kialakítása.
* A védelmere fordított erőforrások leghatékonyabb felhasználása. A bevezetett intézkedéseket két nagy területre lehet bontani:
* Adatvédelem: Az informatikai/információs rendszerek adatvesztés elleni védelmét, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások.
* Adatbiztonság: Az informatikai/információs rendszerek adataihoz való illetéktelen hozzáférést meggátló szabályozások, folyamatok és megoldások. Az információbiztonsági irányítási rendszert kiépíteni szándékozó vállalatok nagy része nem rendelkezik a szükséges biztonsági elemekkel, illetve a meglévők nagyrészt alkalmatlanok a feladatuk ellátására. A kiépítendő rendszerelemek létrehozása - a rendszer összetettségénél fogva - egyszerre sok szakma ismeretét, tudását igényel(het)i (pl. őrzés védelem, személyi biztonság, informatikai védelem, folyamatok és eszközök védelme, katasztrófa-elhárítás, ...). Ezért is, valamint a kockázatelemzés szakszerű és érdemi lefolytatása miatt célszerű hozzáértő és (ezeken a területeken) tapasztalt tanácsadók segítségét igénybe venni. A rendszer kiépítésekor sokszor azok a tanácsadó vállalkozások tudnak érdemben és hatékonyan segítenni, amelyeknek az információbiztonság különbözö területein már jelentős működtetési tapasztalataik vannak. Érdemes arra is odafigyelni, hogy - a minőségirányítási rendszerek felkészítésénél általánosan alkalmazott - "egy személy a felkészítő" modell itt általában nem hatékony, mert kevés az olyan tanácsadó, aki egyszemélyben mind az irányítási rendszerekhez, mind a bevezetendő eljárások mindegyik kapcsolódó szakmai területén egyidejűleg szakértő lenne. (Hiába, a polihisztorok kora lejárt.) (hu)
|
