Információbiztonsági irányítási rendszer

A Wikipédiából, a szabad enciklopédiából

Az információbiztonsági irányítási rendszer az átfogó irányítási rendszernek (vállalatirányítási rendszernek) az a része, amely egy, a működési kockázatokat figyelembe vevő megközelítésen alapulva kialakítja, bevezeti, működteti, figyeli, átvizsgálja, fenntartja és fejleszti az információvédelmet. MEGJEGYZÉS: Az irányítási rendszer magában foglalja a szervezeti felépítést, a szabályzatot, a tervezési tevékenységeket, a felelősségi köröket, a gyakorlatot, az eljárásokat, a folyamatokat és az erőforrásokat. [MSZ ISO/IEC 27001:2006]

Az információbiztonsági irányítási rendszer tanúsítható rendszer. A tanúsítás alapján az ISO/IEC 27001:2005 (magyar fordításban: MSZ ISO/IEC 27001:2006) szabvány alkotja. Az információbiztonsági irányítási rendszer szabványa hasonlóan a minőségirányítási rendszer szabványához (EN ISO 9001:2008 - MSZ EN ISO 9001:2009) egy szervezet vezetésének munkáját segítő menedzsment eszköz, és hasonlóan pl. a környezetközpontú irányítási rendszer szabványához (ISO EN 14001:2004 - MSZ EN ISO 14001:2005) kockázat-értékelésen alapuló szabvány.

Az információbiztonsági irányítási rendszer alapja, hogy az információbiztonság szemszögéből a kockázatértékelésének módszerével felülvizsgálja a vállalat működési kockázatait, majd a számára túl nagy kockázatot jelentő területeken (megengedhető v. elviselhető kockázati határ feletti) kockázatos esetén új biztonsági intézkedéseket vezet be. Végül mind a kockázatkezelés alkalmazását, mind a bevezetett védelmi intézkedéseket bevonja a vállalatirányítási rendszere működésébe, azaz menedzseli: működésüket megtervezi, ellenőrzötten működteti, folyamatosan figyeli eredményeiket és hatékonyságukat, majd dönt a javításról, fejlesztésről.

A kiindulási pont a vállalat tevékenységének, folyamatainak, kapcsolódó adatainak és adatbázisainak (információinak) átvilágítása során a védendő információk felmérése, majd azok alapján az ún. "információs vagyon" meghatározása. Az információs vagyon jelenti mind a védendő információkat, mind azokat az adathordozókat és eszközöket, ahol azok előfordulnak illetve amelyeken keresztül azok hozzáférhetők. Ennek az információs vagyonnak a fenyegetettségeit méri fel a kockázatelemzés módszere, becsülve minden egyes lehetséges fenyegetettségre a bekövetkező kár nagyságát és annak bekövetkezési valószínűségét. Ily módon összevethető minden egyes fenyegetettség általi lehetséges káresemény információbiztonsági kockázata a vállalat működése számára. Ezek alapján - az elviselhető kockázati szint feletti kockázatok esetére - határoz meg a vállalat védelmi intézkedéseket. A kockázatkezelés alkalmazásának legfontosabb előnyei:

  • A teljesség (minden "információs vagyontárgy") vizsgálata miatt nem maradhat ki gyengepont.
  • Egyenszilárdságú védelem kialakítása.
  • A védelmere fordított erőforrások leghatékonyabb felhasználása.

A bevezetett intézkedéseket két nagy területre lehet bontani:

  • Adatvédelem: Az informatikai/információs rendszerek adatvesztés elleni védelmét, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások.
  • Adatbiztonság: Az informatikai/információs rendszerek adataihoz való illetéktelen hozzáférést meggátló szabályozások, folyamatok és megoldások.

Az információbiztonsági irányítási rendszert kiépíteni szándékozó vállalatok nagy része nem rendelkezik a szükséges biztonsági elemekkel, illetve a meglévők nagyrészt alkalmatlanok a feladatuk ellátására. A kiépítendő rendszerelemek létrehozása - a rendszer összetettségénél fogva - egyszerre sok szakma ismeretét, tudását igényel(het)i (pl. őrzés védelem, személyi biztonság, informatikai védelem, folyamatok és eszközök védelme, katasztrófa-elhárítás, ...). Ezért is, valamint a kockázatelemzés szakszerű és érdemi lefolytatása miatt célszerű hozzáértő és (ezeken a területeken) tapasztalt tanácsadók segítségét igénybe venni. A rendszer kiépítésekor sokszor azok a tanácsadó vállalkozások tudnak érdemben és hatékonyan segítenni, amelyeknek az információbiztonság különbözö területein már jelentős működtetési tapasztalataik vannak. Érdemes arra is odafigyelni, hogy - a minőségirányítási rendszerek felkészítésénél általánosan alkalmazott - "egy személy a felkészítő" modell itt általában nem hatékony, mert kevés az olyan tanácsadó, aki egyszemélyben mind az irányítási rendszerekhez, mind a bevezetendő eljárások mindegyik kapcsolódó szakmai területén egyidejűleg szakértő lenne. (Hiába, a polihisztorok kora lejárt.)

Az információbiztonsággal kapcsolatos egyéb (magyar) szabványok[szerkesztés]

Az információbiztonság menedzselésével (irányítási rendszerével) kapcsolatos szabványok:

  • MSZ ISO/IEC 13335-1:2005. Informatika. Biztonságtechnika. Az informatikai és távközlési biztonság menedzselése, 1. rész: Az informatikai és távközlési biztonság menedzselésének fogalmai és modelljei
  • MSZ ISO/IEC TR 13335-2:2004. Informatika. Biztonságtechnika. Az informatikai és távközlési biztonság menedzselése, 2. rész: Az informatikai biztonság menedzselése és tervezése
  • MSZ ISO/IEC TR 13335-3:2004. Informatika. Biztonságtechnika. Az informatikai és távközlési biztonság menedzselése, 3. rész: Az informatikai biztonság menedzselésének technikái
  • MSZ ISO/IEC TR 13335-4:2004. Informatika. Biztonságtechnika. Az informatikai és távközlési biztonság menedzselése, 4. rész: A biztonsági ellenintézkedések megválasztása
  • MSZ ISO/IEC TR 13335-5:2004. Informatika. Biztonságtechnika. Az informatikai és távközlési biztonság menedzselése, 5. rész: A hálózatbiztonság menedzselési útmutatója
  • MSZ ISO/IEC 15408-1:2002. Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai, 1. rész: Bevezetés és általános modell
  • MSZ ISO/IEC 15408-2:2003. Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai, 2. rész: A biztonság funkcionális követelményei
  • MSZ ISO/IEC 15408-3:2003. Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai, 3. rész: A biztonság garanciális követelményei
  • MSZ ISO/IEC TR 15443-1:2006. Informatika. Biztonságtechnika. Az informatikai biztonság szavatolási rendszere, 1. rész: Áttekintés és keretrendszer
  • MSZ ISO/IEC 17799:2006. Informatika. Biztonságtechnika. Az információbiztonság irányítási gyakorlatának kézikönyve
  • MSZ ISO/IEC TR 18044:2006. Informatika. Biztonságtechnika. Az információbiztonsági incidensek kezelése
  • MSZ ISO/IEC 27001:2006. Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények

Az egyes információbiztonsági / informatikai biztonsági technikai elemekkel, módszerekkel kapcsolatos szabványok:

  • MSZ ISO/IEC 11770-1:2005. Informatika. Biztonságtechnika. Kulcsgondozás, 1. rész: Keretrendszer
  • MSZ ISO/IEC 11770-2:2005. Informatika. Biztonságtechnika. Kulcsgondozás, 2. rész: Szimmetrikus technikákat alkalmazó mechanizmusok
  • MSZ ISO/IEC 11770-3:2005. Informatika. Biztonságtechnika. Kulcsgondozás, 3. rész: Aszimmetrikus technikákat alkalmazó mechanizmusok
  • MSZ ISO/IEC 11770-4:2008. Informatika. Biztonságtechnika. Kulcsgondozás, 4. rész: Gyenge titkosságon alapuló mechanizmusok
  • MSZ ISO/IEC 13888-1:2005. Informatika. Biztonságtechnika. Letagadhatatlanság, 1. rész: Általános ismertetés
  • MSZ ISO/IEC 13888-2:2001. Informatika. Biztonságtechnika. Letagadhatatlanság, 2. rész: Szimmetrikus technikákon alapuló módszerek
  • MSZ ISO/IEC 13888-3:2001. Informatika. Biztonságtechnika. Letagadhatatlanság, 3. rész: Aszimmetrikus technikákon alapuló módszerek
  • MSZ ISO/IEC 14888-1:2001. Informatika. Biztonságtechnika. Digitális aláírások függelékkel, 1. rész: Általános ismertetés
  • MSZ ISO/IEC 14888-2:2001. Informatika. Biztonságtechnika. Digitális aláírások függelékkel, 2. rész: Azonosítás alapú módszerek
  • MSZ ISO/IEC 14888-3:2001. Informatika. Biztonságtechnika. Digitális aláírások függelékkel, 3. rész: Tanúsítvány alapú módszerek
  • MSZ ISO/IEC 15292:2005. Informatika. Biztonságtechnika. A védelmi profil regisztrációs eljárásai
  • MSZ ISO/IEC 15816:2005. Informatika. Biztonságtechnika. A hozzáférés-ellenőrzés biztonsági információobjektumai
  • MSZ ISO/IEC 15945:2002. Informatika. Biztonságtechnika. Ajánlás/nemzetközi szabvány bizalmi harmadik fél (TTP) digitális aláírások alkalmazását támogató szolgáltatásaira
  • MSZ ISO/IEC TR 15947:2004. Informatika. Biztonságtechnika. Az informatikai behatolás érzékelésének keretszabálya
  • MSZ ISO/IEC 18014-1:2004. Informatika. Biztonságtechnika. Időbélyegzési szolgáltatások. 1. rész: Keretszabály
  • MSZ ISO/IEC 18014-2:2004. Informatika. Biztonságtechnika. Időbélyegzési szolgáltatások. 2. rész: Független adattokokat előállító mechanizmusok
  • MSZ ISO/IEC 18014-3:2005. Informatika. Biztonságtechnika. Időbélyegzési szolgáltatások. 3. rész: Összerendelt adattokokat előállító mechanizmusok
  • MSZ ISO/IEC 18028-3:2009. Informatika. Biztonságtechnika. IT-hálózatbiztonság. 3. rész: Hálózatok közötti biztonságos kommunikáció biztonsági átjárók alkalmazásával
  • MSZ ISO/IEC 18028-4:2005. Informatika. Biztonságtechnika. IT-hálózatbiztonság, 4. rész: Biztonságos távoli hozzáférés

Források[szerkesztés]

  • MSZ ISO/IEC 27001:2006 szabvány