Biztonság a cégeknél

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (2001. március 1.) vegye figyelembe!

Megjelent a Cégvezetés (archív) 35. számában (2001. március 1.)

 

A menedzsment fontos feladata megteremteni a cég adat- és vagyonbiztonságát. Cikkünk lépésről lépésre vezet be a biztonságszervezés alapvető ismereteibe, a biztonsági szabályzat elkészítéséhez szükséges tudnivalókba.

 

A gazdasági szervezetek vezetőinek, a menedzsmentnek elsődleges feladata és felelőssége, hogy a rá bízott erőforrásokkal hatékony módon gazdálkodjon a szervezet céljainak megvalósítása érdekében. Ahhoz, hogy a menedzsment ennek az elsődleges elvárásnak megfeleljen, egyebek mellett figyelmet kell fordítania a kezelésében lévő erőforrások biztonságára is, hiszen csak így kerülhető el, hogy vagyoni vagy nem vagyoni károk érjék az általuk irányított gazdasági szervezetet. Biztonság alatt a továbbiakban adat- és vagyonbiztonságot kell érteni. A magyar cégeknél a biztonság legfőbb eszközének rendszerint a biztonsági szabályzat elkészítését tekintik.

A cégek menedzsmentje rendszerint csak a feltétlenül szükséges mértékben, illetve a kockázatvállaló készségének megfelelően költ a biztonságra, mivel az ilyen összegek megtérülését az elmaradt kár jelenti, és ez nehezen mérhető.

A szükséges biztonság mértékét külső és belső kényszerítő tényezők határozzák meg. A külső tényezőket elsősorban a jogszabályok, valamint a tulajdonosi elvárások, a belső tényezőket pedig a minőségi munkavégzés iránti igény, a szervezet mérete és az ügyfelek és partnerek elvárásai jelentik.

Külső igények

Jogszabályok

Minden gazdasági (és nem gazdasági) szervezet menedzsmentje számára kötelező a törvényi előírások betartása.

A törvények csak azt határozzák meg, hogy mit kell védeni (pl. üzleti titok), de nem határozzák meg, hogyan kell ezt tenni, illetve dokumentálni. Kivételt képez a 3/1994. (PK 13) BAF rendelkezés, amely kötelező módon előírja a bankok számára, hogy készítsenek biztonsági szabályzatot.

Üzleti titok

A tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról szóló 1996. évi LVII. törvény 4. §-a (3) bekezdésének a) pontja definiálja az üzleti titkot, amely "a gazdasági tevékenységhez kapcsolódó minden olyan tény, információ, megoldás vagy adat, amelynek titokban maradásához a jogosultnak méltányolható érdeke fűződik, és amelynek titokban tartása érdekében a jogosult a szükséges intézkedéseket megtette".

Ezt erősíti meg a Btk. 300. §-a, amely az üzleti titok védelméről rendelkezik. A Btk. "a büntetőjogi védelmet kizárólag azokra az üzleti titkokra terjesztette ki, amelyeknek titokban maradásához a jogosultnak nemcsak hogy méltányolható érdeke fűződik, hanem a szükséges intézkedéseket meg is tette az üzleti titok titokban tartása érdekében. Az intézkedések körében a legkézenfekvőbb az üzleti titokká minősítés, de e körbe tartozik minden olyan ésszerű és szükséges intézkedés, amely az üzleti titok megőrzése érdekében indokolt".

Tehát a menedzsment csak akkor bízhat joggal abban, hogy az üzleti tikok megsértőivel szemben védelemben részesül, ha bizonyítani tudja, hogy minden ésszerű intézkedést megtett az üzleti titkok titokban maradásához.

Adatbiztonság

A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény 10. §-ának (1)–(2) bekezdése szerint "az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat – kiemelten az államtitokká és a szolgálati titokká minősített személyes adatot – védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetőleg sérülés vagy a megsemmisülés ellen."

Üzleti titok és személyes adat minden gazdasági társaságnál megtalálható, és a fent említett törvény szerint ezek védelméről gondoskodni kell.

Vagyonvédelem

A tűz elleni védekezésről, a műszaki mentésről szóló 1996. évi XXXI. törvény 19. §-ának (1) bekezdése szerint "a gazdálkodótevékenységet folytató magánszemélyeknek, a jogi személyeknek, a jogi és a magánszemélyek jogi személyiséggel nem rendelkező szervezeteinek, ha a munkavégzésben részt vevő családtagokkal együtt ötnél több munkavállalót foglalkoztatnak, vagy ha ötvennél több személy befogadására alkalmas létesítményt működtetnek, illetve a fokozottan tűz- és robbanásveszélyes besorolás esetén és kereskedelmi szálláshelyeken tűzvédelmi szabályzatot kell készíteniük".

További előírásokat a Magyar Biztosítók Szövetsége (MABISZ) által kiadott biztosítási feltételek tartalmaznak, amelynek a nem biztosítottak részére ajánlás (iránymutató) jellege van.

Tulajdonosi elvárások

A tulajdonosi elvárások arra kényszerítik a menedzsmentet, hogy minden szükséges intézkedést megtegyen annak érdekében, hogy vagyoni és nem vagyoni károk ne érjék a céget. A tulajdonosok rendszerint nem határozzák meg, hogy milyen mértékű biztonságot várnak el, de ha valamilyen nem kívánt esemény bekövetkezett, akkor a menedzsmenttől számon kérik, hogy megtett-e minden ésszerű lépést a problémák elkerülése érdekében. Hogy kinek mi számít ésszerűnek, az nem triviális, mindenkinek a kockázatvállaló készségétől függ. Aki kevesebb kockázatot hajlandó vállalni, az többet fog költeni majd a biztonságra.

Belső igények

Az informatika térhódításával a gazdasági szervezetek informatikai függősége rendkívüli mértékben megnőtt (ez igaz a közintézményekre is), és az új technológiák átrajzolták a belső folyamatokat. Megjelentek a vállalatirányítási rendszerek, amelyek meghatározzák, bizonyos esetekben irányítják a folyamatokat. A szervezetek megnyitották belső információ-rendszerüket (pl. internet, e-mail), ezzel új veszélyforrások jelentek meg.

Ahhoz, hogy a menedzsment az informatika teremtette új kihívásoknak megfeleljen, a biztonság kérdése kulcsfontosságúvá vált számára.

Minőség

Azoknál a cégeknél, ahol igény van a minőségi munkavégzésre (például ISO minőségbiztosítási rendszert működtetnek), ott szükség van a biztonsági folyamatok szabályozására (biztonsági szabályzatra). A szabályozottság és az ellenőrzés fogja biztosítani, hogy a szükséges védelmi intézkedések megtörténtek, és azokat rendben végre is hajtják. Szintén a minőségbiztosítási rendszerek követelik meg a folyamatok (védelmi intézkedések) rendszeres felülvizsgálatát, javítását, ami a biztonság szintjének a növekedésével jár.

A cég mérete

A kisebb cégeknél a biztonsági tevékenységek ad hoc jellegűek, az irányítás és ellenőrzés közvetlen. A cég méretének növekedésével együtt szükség van a biztonsági tevékenységek formalizálására, a folyamatok szabályozására, dokumentálására. Nagyobb méretű (létszámú) cég esetében a menedzsment már nem látja át megfelelően a hierarchia alsóbb szintjein folyó tevékenységet, ezért szabályzatok alapján biztosítja, hogy mindenki számára világos legyen, kinek mi a feladata, mit várnak el tőle.

Minél nagyobb egy cég, annál több és bonyolultabb védelmi intézkedésekre van szükség, annál inkább szabályozni kell a folyamatokat.

Ügyfelek, partnerek, dolgozók

Minden cégnél találhatók személyes adatok, fellelhetők a partnerek és az ügyfelek adatai, a szerződések, amelyek biztonsága és ezen belül leginkább bizalmassága már nem csak a cég számára fontos. A cég ügyfelei, partnerei és saját dolgozói is elvárják, hogy a velük kapcsolatos adatok biztonságban legyenek. Ez arra kényszeríti a cégek vezetőit, hogy megtegyék a szükséges biztonsági intézkedéseket. A biztonsági hiányosságok az ügyfelek és a partnerek elvesztését jelenthetik.

Adat- és titokvédelmi jogszabályok További alapvető törvények, amelyek adat- és titokvédelmi előírásokat tartalmaznak, az alábbi szabályok, amelyek azonban nem vonatkoznak minden gazdálkodóra: az államtitokról és a szolgálati titokról szóló 1995. évi LXV. törvény, a rejtjettevékenységről szóló 43/1994. (III. 29.) Korm. rendelet, a távközlésről szóló 1992. évi LXXII. törvény, a hitelintézetekről és a pénzintézeti vállalkozásokról szóló 1996. évi CXII. törvény (a banktitok maghatározása), az értékpapírok forgalomba hozataláról szóló 1996. évi CXI, törvény (az értékpapírok meghatározása), az 1995. évi XCVI. törvény (a biztosítási titok meghatározása), a 3/1994. (PK 13) BAF rendelkezés az egyes bankbiztonsági követelmények meghatározásáról, az egyes értékpapírok előállításának, kezelésének és fizikai megsemmisítésének biztonsági szabályairól szóló 98/1995. (VII. 24.) Korm. rendelet

Biztonsági szabályzat

Az informatika jelentette kockázatok kezelése olyan szabályozási környezet megteremtését igényli, amely megteremti a kezelt adatok biztonságát, az informatikai rendszer folyamatos és rendeltetésszerű működését. Az egyik ilyen eszköz a biztonsági szabályzat, amely rögzíti a biztonsági (védelmi) intézkedésekkel kapcsolatos feladatokat és felelősségeket.

A legfontosabb elvárás a szabályzattal szemben, hogy mind az információ-rendszerre, mind az értékrendszerre ki kell terjednie. Az értékrendszer elemei például az épületek, felügyeleti rendszerek, klíma, áramellátó berendezések stb., az információ-rendszer elemei, a COBIT3 (Control Objectives for Information Related Technology: az ISACA [Information System Audit and Control Association] által kiadott, de facto szabvány az információ-rendszer ellenőrzés módszertanát illetően [www.isaca.org]. szerint, az emberek, alkalmazások, a technológia, a kisegítő berendezések, adatok.

A biztonsági szabályzat az egész vállalatot érintő biztonsági alapdokumentum (biztonsági alapdokumentumok: biztonsági átvilágítási jelentés vagy biztonsági audit jelentés, biztonsági politika, katasztrófaterv, biztonsági szabályzat), ennek megfelelően a legfelső vezetés jóváhagyását igényli.

Kinek van szüksége biztonsági szabályzatra?

Hivatalos szervek (jelenleg) csak a bankokon kérik számon a biztonsági szabályzatot, azonban több külső és belső tényező arra készteti a cégvezetőket – elsősorban a nagyobb szervezetek vezetőit –, hogy biztonsági szabályzatot készítsenek.

Ma a vezetőknek (informatikai vezetőknek) szembe kell nézniük azzal a ténnyel, hogy az általuk irányított informatika egyre nagyobb és egyre komplexebb, lassan fogalmuk sincs, hogy milyen rendszereket üzemeltetnek, és aki üzemelteti, az pontosan mit is csinál. Egy kisebb cégnél a folyamatok még áttekinthetők. Az informatikusok szem előtt vannak, a vezető még személyesen adja ki a feladatokat, és ellenőrzi azok végrehajtását. Nagy létszámú informatikai szervezetnél azonban bonyolult rendszereket üzemeltetnek és nagyszámú felhasználót szolgálnak ki, s így szükség van ellenőrző, szabályozó mechanizmusokra. Ezek egyike a biztonsági szabályzat.

A biztonsági szabályzat szerepe

A biztonságos környezet megteremtése megkívánja, hogy a menedzsment, illetve az informatikai vezetés olyan intézkedéseket hozzon, amelyek csökkentik a szervezet erőforrásait (információ-rendszer és értékrendszer elemeit) fenyegető veszélyforrások kockázatát.

A biztonsági szabályzat szabályozza a védelmi intézkedések üzemeltetésével kapcsolatos feladatokat és felelősségeket azáltal, hogy előírja, kinek, mikor és mi a feladata a védelmi intézkedéssel kapcsolatban. A szabályzat alapján egyrészt mindenki tudni fogja, hogy mikor mit kell tennie, mit várnak el tőle, hogyan hajtsa végre az adott feladatot, másrészt a menedzsment tudja, hogy kitől mit vár el. A biztonsági szabályzat lehetővé teszi a feladatok számonkérhetőségét. Szabályzat hiányában rendszerint a szokásjog alapján végzik a tevékenységeket, ami egyrészt arra utal, hogy nincs tudatos biztonsági tevékenység, másrészt egyes feladatok végrehajtása elmaradhat.

A biztonsági szabályzat helye a biztonságszervezésben

Biztonság csak tudatos biztonságszervezési munka eredményeképpen érhető el. A biztonságszervezés olyan folyamat, melynek fel nem cserélhető, jól meghatározott lépései vannak.

A biztonsági alrendszert úgy kell kialakítani, hogy teljesüljön az "egyenszilárdság" elve, mely szerint a biztonsági szabályzat a szervezet egészét átfogja, és annak minden pontján azonos erősségű.

A biztonsági szabályzat készítése a biztonságirendszer-szervezési folyamat egyik lépése. A lépések sorrendben:

  1. Biztonsági átvilágítás, amelyben megtörténik a szervezet biztonsági átvilágítása, és minden veszélyforrást feltárnak. (Veszélyforrás mindaz, aminek bekövetkezésekor a rendszer működésében nem kívánt állapot jön létre, az erőforrások biztonsága sérül.)
  2. Biztonsági politika, amely tartalmazza a (magas szintű) biztonsági követelményeket, az azokat kielégítő védelmi intézkedések részletes specifikációit, amelyek csökkentik a veszélyforrások képezte fenyegetés kockázatát.
  3. Katasztrófaterv készítése, amely az erőforrások átfogó sérülése esetére határoz meg védelmi intézkedéseket.
  4. Biztonsági szabályzat, amely a biztonsági politika és a katasztrófaterv védelmi intézkedéseinek üzemeltetési feladatait tartalmazza.

A biztonsági szabályzat korrekt módon nem végezhető el a fenti lépések nélkül úgy, hogy ne sérüljön az egyenszilárdság elve, ugyanis a legalapvetőbb feltétel, hogy minden biztonsági (védelmi) intézkedés megjelenjen a biztonsági szabályzatban.

A biztonsági szabályzat készítését tehát feltételezi, hogy megtörtént, illetve megtörténik a veszélyforrások feltárása, védelmi intézkedések meghatározása, specifikálása.

Gyakori hiba, hogy a vállalatok úgy kezdenek biztonsági szabályzat készítésébe, hogy a megelőző lépéseket nem végezték el. Ennek okai lehetnek szakmai hiányosságok (nem ismerik fel a megelőző lépések fontosságát és szerepét) vagy külső tényezők (gyorsan fel kell mutatni valakinek a vállalat biztonsági szabályzatát). Ilyenkor készül egy általános biztonsági szabályzat, vagy a meglévő gyakorlatot foglalják írásba. Ennek a következményei a következők lehetnek:

  • a biztonsági szabályzat nem a szervezet igényeinek és helyzetének megfelelő,
  • nem minden veszélyforrásra készül védelmi intézkedés,
  • rossz védelmi intézkedéseket szabályoznak,
  • jó védelmi intézkedések rossz végrehajtási gyakorlata kerül a szabályzatba.

Az utóbbi kettő konzerválja a rossz gyakorlatot, de ezentúl szabályosan lehet majd végrehajtani a "védelmi intézkedéseket". Ennek legnagyobb veszélye, hogy a biztonság hamis érzetét nyújtja a menedzsmentnek.

A biztonsági rendszerszervezési folyamat betartandó lépései tehát a következők:

  1. biztonsági átvilágítás (Mi a helyzet?),
  2. biztonsági politika (Mit kell tenni?),
  3. katasztrófaterv (Mit kell tenni?),
  4. biztonsági szabályzat (Hogyan kell végrehajtani?).

A biztonsági szabályzat készítésének feltételei

A biztonsági szabályzat készítésének szervezési és szakmai feltételei vannak. Szervezési oldalról szükség van a menedzsment (a felső vezetés) megfelelő támogatására, mivel az egész szervezetet érintő dokumentumról van szó. A gyakorlatban sokszor az informatikai vezetés kezdeményezésére és annak irányításával kezdik el a biztonsági szabályzat készítését, de ennek hátránya, hogy szüksége van más szervezeti egységek közreműködésére, és a vagyonvédelem hátrányba szorul (a biztonsági alrendszer nem lesz egyenszilárdságú).

Szükség van megfelelő szakmai ismeretekre, módszertanra. Azok a szervezetek, amelyeknél először készül biztonsági szabályzat, rendszerint külső erőforrások igénybevételével szerzik meg a szükséges know-how-t. Biztonsági szabályzat formai és tartalmi követelményeire vonatkozó szabvány nincs, a nyilvánosan hozzáférhető módszertan kevés. (Ez igaz az összes többi dokumentumra – biztonsági átvilágítás, politika, katasztrófaterv –, a szakemberek között megoszlanak a vélemények, hogy melyiknek mi a tartalma, részletezettsége stb.)

További fontos feltétel a szükséges tapasztalatokkal és idővel rendelkező humán erőforrás. Korlátozott személyi lehetőségek esetén külső tanácsadókat érdemes igénybe venni.

Szakmai oldalról a feltételeket az határozza meg, hogy a biztonsági rendszerszervezési folyamatban a megelőző lépéseket elvégezték-e, azaz ismert-e minden szükséges védelmi intézkedés (aminek a végrehajtását le kell szabályozni).

Milyen védelmi intézkedéseket kell tenni?

Mivel a védelmi intézkedések szervezetspecifikusak, ezért csak védelmiintézkedés-csoportok határozhatók meg. A biztonsági szabályzatok "hagyományosan" csak olyan technikai (logikai) jellegű védelmi intézkedéseket ölelnek fel, mint a hozzáférés-védelem, a mentés, a vírusvédelem stb. Az egyenszilárdság elve alapján azonban a logikai védelmi intézkedéseken kívül meg kell határozni és szabályozni kell a szervezési és a fizikai jellegű védelmi intézkedéseket is.

Szervezési jellegű intézkedések

A szervezési jellegű intézkedések között kiemelt helyet foglal el az informatikai és a biztonsági szervezet felépítése és helye a cégen belül. A szervezeti hierarchiában elfoglalt pozíció alapvetően meghatározza a szervezet védelmi képességeit, valamint jelzi, mennyire tekinti fontosnak a biztonságot a szervezet vezetése.

További fontos intézkedéscsoportot alkotnak a humánpolitikai intézkedések. A humán biztonság kérdése kiemelt kezelést igényel, lévén hogy a technikai eszközök hibás működése mellett az ember (a belső munkatársak) jelentik a legnagyobb veszélyforrást. Az, hogy egy szervezetben mit tesznek új munkatárs felvételekor, a munkaviszony alatt, illetve a munkaviszony megszűnésekor, nagymértékben befolyásolja a technikai intézkedések hatékonyságát. A legjobb védelmi rendszer is könnyen kijátszható egy belső munkatárs segítségével.

Szintén a szervezési intézkedések csoportjába tartozik annak a meghatározása, hogy milyen szabályzatok és biztonsági dokumentumok meglétét tartja kívánatosnak a menedzsment. Biztonsági rendszerszervezési szempontból a biztonsági alapdokumentumok megléte, azok rendszeres karbantartása, frissítése a legfontosabb. Fontos szabályzatok, dokumentumok, amelyek azonban nem kizárólag csak biztonsággal foglalkoznak: a szervezeti és működési szabályzat, a tűzvédelmi szabályzat, az iratkezelési szabályzat, a titok(adat)védelmi szabályzat, a munkaköri leírás stb.

Fizikai biztonsági jellegű védelmi intézkedések

A vagyonvédelem szempontjából egyértelmű, hogy a védelmi intézkedések között fizikai biztonsági jellegű védelmi intézkedésekre is szükség van. Az adatvédelem szempontjából nem mindenki (főleg az informatikusok) számára egyértelmű, hogy miért kell fizikai biztonsággal foglalkozni. Azonban az, hogy például fizikailag ki férhet hozzá azokhoz az adathordozókhoz, számítógépekhez, amelyeken minősített adatok vannak, az egyértelműen fizikai biztonsági kérdés.

A fizikai biztonsági intézkedések egyik csoportja a fizikaihozzáférés-védelem, amely olyan intézkedéseket takar, amelyek meghatározzák az információ-rendszer, illetve az értékrendszer erőforrásaihoz történő fizikai hozzáférés feltételeit (pl. hogyan történik a belépés az épületbe, hogyan lehet mozogni az épületben, milyen betörésvédelmi eszközök vannak stb.).

Egy másik csoportot alkotnak azok a védelmi intézkedések, amelyek azt a célt szolgálják, hogy az erőforrások működőképesek legyenek ott és amikor szükség van rájuk. Ezek közül a legfontosabbak az energiaellátási (szünetmentes áramforrások, többirányú betáplálás stb.), tűzvédelmi intézkedések (tűz- és füstérzékelés, riasztás, oltás), a klimatizálás, az eszközök dokumentáltsága (ez befolyásolja az eszközök karbantarthatóságát és üzemeltethetőségét).

Logikai jellegű védelmi intézkedések

A logikai jellegű védelmi intézkedések célja az adathordozókon elektronikus formában tárolt adatok bizalmasságának sértetlenségének és rendelkezésre állásának biztosítása. Ezen belül a következő fő intézkedéscsoportokat kell megemlíteni:

  • a hozzáférés-védelmi rendszerrel kapcsolatos intézkedések (jogosultságok kiadásának és visszavonásának módja vagy az alkalmazandó jelszópolitika stb.),
  • a vírusvédelemmel kapcsolatos intézkedések (vírusfertőzés megelőzése, vírusok felderítése, mentesítése stb.),
  • a mentés/újraindítás rendszere (mit, milyen gyakran, mire kell menteni stb.),
  • a rejtjelezéssel/tartalomhitelesítéssel kapcsolatos intézkedések (kulcsképzési algoritmus, kulcselosztás stb.).

Hálózati jellegű védelmi intézkedések

Mivel ma az informatikai eszközök rendszerint hálózatokba vannak kötve, és nyilvános, külső hálózatokhoz is kapcsolódnak, külön fejezetként kell tárgyalni a hálózati jellegű védelmi intézkedések csoportját, amelybe olyan intézkedések tartoznak, mint például az internet, az e-mail használata, a tűzfalas védelem, a külső betörés detektálása, a hálózatihozzáférés-védelem, a hálózat rendelkezésre állása stb.

A rendszerek életciklusához kapcsolódó védelmi intézkedések

Az utolsó védelmiintézkedés-csoportot a rendszerek életciklusához kapcsolódó védelmi intézkedések alkotják. Az információ-rendszer minden eleme valamilyen módon (fejlesztés vagy beszerzés révén) bekerül a rendszerbe, üzemeltetik, majd az életciklusa végén selejtezik. Az életciklus mindegyik szakaszához sajátos intézkedések tartoznak.

A fejlesztés, beszerzés során a biztonsági követelmények meghatározása, azok érvényesítése, majd ellenőrzése a fejlesztett, beszerzett rendszerben rendkívül fontos, mivel a biztonság utólagos beépítése sokkal költségesebb vagy nem is lehetséges.

A rendszerek üzemeltetése kapcsán a legfontosabb intézkedések a programcsere-menedzsmenthez, illetve a biztonsági eseményekhez (felderítés, értékelés, intézkedés) kapcsolódik. Biztonsági esemény minden olyan esemény, amely a biztonságra nézve fenyegetést jelent vagy jelenthet.

A szabályozott selejtezési folyamat azért fontos, mert a selejtezésre szánt adathordozók is tartalmazhatnak bizalmas adatokat, üzleti titkokat (használhatatlannak tűnő adathordozók is olvashatók speciális technikákkal).

Számonkérés

A számonkérhetőség annak a biztosítása, hogy a rendszerben végrehajtott tevékenységeket ellenőrzés céljára rögzítsék.

Mivel 100 százalékos biztonság nincs, mindig van maradék kockázat, ezért számolni kell azzal, hogy problémák, károk előfordulhatnak, ezeket biztonsági eseményeknek nevezzük. Egy részüket feltárják, más részüket nem. A feltárt biztonsági események kezelésének módja a biztonsági politika készítése során eldöntendő kérdés. A feltáratlan biztonsági események növelik annak a kockázatát, hogy a műszaki hiba, vagy emberi tévedés okozta károkozások megismétlődnek.

A számonkérés a biztonsági események kezelésének része. Számonkérés alatt azt kell érteni, hogy a menedzsment fellép a biztonsági események elkövetőivel szemben. A számonkérés nem cél, hanem eszköz a biztonsági események megelőzése, a károk csökkentése, a károkozók felelősségre vonása érdekében, illetve annak a megakadályozására, hogy az megismétlődjön.

Elrettentés

Amennyiben ilyen intézkedéseket hoz a menedzsment (pl. a szabálysértőkkel szemben előre definiálja a válaszlépést), akkor a támadó tudja, hogy amennyiben visszaél jogosultságaival (pl. üzleti tikokat fed fel) és azt felfedezik, akkor annak következményei lesznek (pl. feljelentik a rendőrségen). Ha nem élnek az elrettentés eszközével, hanem eltussolják az ügyet és csendben megválnak a munkatárstól, megteremtik a lehetőségét annak, hogy a dolgozó új munkahelyén újra visszaéljen a jogosultságaival.

Alkalom

A biztonsági alrendszert úgy kell felépíteni, hogy minél kevesebb alkalmat teremtsen a visszaélésekre. A jogosultságok korlátozása (a szükséges tudás elve szerint) például kizárja annak a lehetőségét, hogy mindenki mindenhez hozzáférhessen. A szükséges tudás elve azt jelenti, hogy mindenki csak a feladatainak elvégzéséhez szükséges jogosultságokkal rendelkezik.

Rögzítés

A számonkérés akkor lehetséges, ha rendelkezésre állnak azok az adatok, amelyekkel bizonyítható a visszaélés ténye, és azonosítható a visszaélő személye. Ezért nagyon fontos annak eldöntése, hogy milyen adatokat rögzítenek. Ezek az adatok különböző naplófájlokban gyűlnek. A naplók lehetnek a belépés és mozgásellenőrzés naplói (ki, mikor, hova lépett be), rendszerszintű naplók (ki és milyen informatikai erőforrást használt) és alkalmazásszintű naplók (ki és milyen tevékenységet végzett egy adott alkalmazáson belül).

A rögzített adatoknak biztosítaniuk kell a jogosulatlan felhasználók által kezdeményezett akciók és a jogosult felhasználók által végzett nem engedélyezett tranzakciók feltárását.

Feltárás és értékelés

A naplókban rendszerint nagy mennyiségű adat keletkezik, kiértékelésük által lehet felderíteni, hogy történtek-e biztonsági események. A napló adatainak kellő mennyiségű információt kell szolgáltatniuk annak a megállapítására, hogy melyik biztonsági esemény igényel intézkedést.

Intézkedés

Ha a feltárt biztonsági eseményeket nem követi intézkedés, akkor az újra megismétlődhet. Az intézkedés lehet a meglévő védelmi intézkedések módosítása, de lehet új védelmi intézkedés kidolgozása. Az érintett biztonsági dokumentumokat ilyenkor szükség szerint módosítani kell.

A biztonsági esemény elkövetőivel szemben, az intézkedések alapját az érvényben lévő szervezeti szabályzatok képezik, ezek közül is elsősorban a biztonsági szabályzat. Ahhoz, hogy egy cég biztonságban legyen, végig kell haladnia a biztonsági rendszerszervezési folyamat minden lépésén, és meg kell tennie a szükséges védelmi intézkedéseket. Ha ezeket megfelelően üzemelteti és rendszeresen felülvizsgálja, akkor joggal bízhat abban, hogy értékei védve vannak, amennyiben kár éri, rendelkezésre állnak azok az (adminisztratív és jogi) eszközök, amelyekkel felléphet a jogsértőkkel szemben.

Tim Zoltán
Védelmi intézkedések az egyenszilárdság elvének figyelembevétele mellett minden területre védelmi intézkedéseket kell meghatározni. A javasolt csoportosítás: szervezési védelmi intézkedések, fizikai védelmi intézkedések, logikai védelmi intézkedések, hálózati védelmi intézkedések, életciklus-védelmi intézkedések. Az egyenszilárdság elve megkívánja azt is, hogy a védelmi intézkedések egyenlő erősségűek legyenek, ugyanis a támadó a leggyengébb pontot keresi meg. Tehát adataink védelmében nem érdemes sok pénzt elkölteni a fizikai biztonságra akkor, ha hálózatunk megfelelő védelem nélkül kapcsolódik az internethez. Hiába költünk a legmodernebb tűzfalszoftverre, ha a belső hálózaton lévő modemeken keresztül az kikerülhető. Nem érdemes drága hozzáférés-védelmi szoftver vásárolni, ha könnyű, rövid, egyszerű vagy közismert jelszavakat használnak, és a sor folytatható.

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (2001. március 1.) vegye figyelembe!