• Magyar
  • English
Sajtóközlemények RSS feed

IT biztonsági tanácsadás

IT biztonsági audit

Az informatikai biztonságot a szakértők az egyik legnagyobb kihívást jelentő területként tartják számon. Ma már nem csak a nagyvállalatoknak és intézményeknek, de a kis- és középvállalkozásoknak is számolniuk kell a külső és belső biztonsági fenyegetésekkel, melyek ellen a leghatékonyabb védekezés  a megelőzés. De hogyan dönthetjük el, hogy vállalatunknak milyen biztonsági szintre van szüksége? Ezt egy informatikai biztonsági helyzetfelmérés ún. informatikai biztonsági audit során érdemes meghatározni egy – lehetőleg külsős – elfogulatlan IT biztonsági szakértő segítségével.

Egy-egy audit során az a cél, hogy teljes mértékben feltárásra kerüljön, hogy mi mindennek kell még megvalósulnia az elvárt szint teljesítéséhez. Az informatikában az elvárások alapvetően a folyamatos működést, a megfelelő rendelkezésre állást, a feldolgozott információk védelmét, illetve az informatikai erőforrások jogosulatlan használatának megakadályozását célozzák. A vállalat profiljától, működésétől, létszámától, informatikai rendszerének bonyolultságától függően kell ezeket a tényezőket különböző súllyal figyelembe venni.

Az audit során alapvető fontosságú, hogy minél teljesebb körben és a szükséges mélységben tekintsük át az informatikai biztonságot érintő kérdéseket. A józan ésszel átgondolt szempontoknál jóval hatékonyabb módszer, ha ezt egy már meglévő, jól átgondolt szabványra építve tesszük meg. (Ilyen például az ISO/IEC27001 szabvány, ami az Európai Unióban is elfogadott, vagy a COBIT, ami az informatikai auditorok nemzetközi szervezetének (ISACA) ajánlása, így, ha ezekre építve auditálunk, akkor az eredményeink széles körben, nemzetközi szinten is elfogadottak lesznek). De ahogy léteznek átfogó – a teljes szervezetre, fizikai környezetre, szabályozásra és informatikai környezetre – vonatkozó auditok, úgy léteznek speciális célvizsgálatok, melyek a szervezet egy részére, adott alkalmazásra vonatkoznak, vagy lehet egy speciális követelménynek (pl. PCI DSS) való megfelelés a vizsgálat célja.

Az audit közvetlen előnye, hogy viszonylag nagy objektivitással tárhatók fel az informatikai rendszerünk (és a hozzákapcsolódó folyamatok) kritikus pontjai, azok a pontok, amelyek kockázatokat hordozhatnak. Közvetett előnyt pedig a partnereinkkel történő kapcsolattartás során jelent: egy partner szempontjából mindenképpen megkülönböztető értékű, ha látja, hogy – például szemben a konkurenseinkkel – mi komolyan vesszük az üzleti folyamataink megbízhatóságát.

Az audit során a vezetőkkel és informatikai szakértőkkel végzett konzultációk, helyszíni bejárások és dokumentumok tanulmányozása mellett a biztonsági hiányosságok feltárásához célszerűen technikai vizsgálatokat is végzünk.

Informatikai Biztonság Szabályzó dokumentumok

Az informatikai audit áltál feltárt kockázatok egy része a menedzsment által felvállalhatók, míg a többi kezelésére különböző kontrollokat kell bevezetni, amelyek számos területet érinthetnek. Ezek megvalósítására akciótervet kell kidolgozni feladatokkal, határidőkkel és felelősökkel. A kontrollok lehetnek informatikai megoldások, fizikai és humán intézkedések, illetve a meglévő szabályozó környezet módosítása. Ezen szabályozó környezet alapdokumentumai (Informatikai Biztonsági Politika, Informatikai Biztonsági Stratégia, Informatikai Biztonsági Szabályzat) meghatározzák az informatikai biztonság keretét, a stratégiában meghatározott célok a következő évek IT biztonsági fejlesztési irányelveit, míg az utasítások és eljárások az informatikai biztonsági üzemeltetés és a biztonságos felhasználás szabályait, követelményeit, felelősségeket.

Üzletmenet folytonossági és katasztrófa elhárítási terv

A sorozatos katasztrófákból – 9/11, terrortámadások, cunami, árvizek – nyert tapasztalatok nagy lökést adtak az üzletmenet-folytonossági tervezés fontosságának felismeréséhez. Nem kell azonban katasztrófának bekövetkezni ahhoz, hogy egyes vállalatok tönkremenjenek. Egy felmérés kimutatta, hogy komolyabb tűzeset következtében a vizsgált vállalatok 44%-a nem tudta folytatni a tevékenységét, és ezek közül 33% három éven belül megszűnt.

A menedzselt üzletmenet-folytonossági eljárás kialakításának alapvető célja, hogy növelje a vállalat túlélési esélyeit. Első lépésként a vállalatnak át kell tekintenie a jelen és a jövőbeli üzleti céljait, majd az ezek eléréséhez szükséges üzleti folyamatait, szolgáltatatásait. Meg kell vizsgálni azt is, hogy az egyes üzleti folyamatok megszakadása milyen törvényi, szabályozási és szerződési követelményeknek való megfelelést sérthet meg. Ezt követően meg kell határozni – a felső vezetéssel egyetértésben – azt a legnagyobb kiesési időt, amelyet a vállalat még tolerálhat, az üzletmenet-folytonosság menedzsment legfontosabb irányelveit pedig rögzíteni kell egy, a felső vezetés által jóváhagyott dokumentumban.

Az üzletmenet-folytonosságra vonatkozó kockázatelemzés során számba kell venni a különböző típusú fenyegetéseket, és a meglévő védelmi intézkedések figyelembe vételével meg kell határozni ezek hatásait az üzletmenet folytonosságára – azaz, hogy mennyire sérülékenyek a rendszerek a különböző fenyegetésekkel szemben. Ezt követően meg kell vizsgálni azokat a lehetséges intézkedéseket, amelyek végrehajtása által a tolerálható kiesési idő tartható.

Az üzletmenet-folytonossági stratégiát a működéshez szükséges minden erőforrásra ki kell alakítani. Ilyenek például a személyzet, a helyszín, az IT rendszer, a dokumentáció és a szolgáltatók. A stratégia kialakítása után el kell készíteni az üzletmenet-folytonossági és katasztrófakezelési tervet, amelyek rögzítik a felelősségeket, részletes cselekvési tervet tartalmaznak az incidens esetére, felsorolják az erőforrásokat, és tartalmaznak minden olyan gyakorlati információt, amelyre a kritikus helyzetben szükség lehet, beleértve még a médiával való kapcsolattartást is.

Informatikai Biztonsági oktatás

A számítógéppel dolgozó alkalmazottak nem ismerik jól az informatikai biztonsági szabályokat és azok be nem tartásának törvényi következményeit, viszont közvetlenül érintik őket a biztonsági intézkedések – egy informatikai biztonsági szabályzat elolvasási kötelezettsége, az internetes forgalom korlátozása, egyes weblapok letiltása, vagy a beléptetési szabályok bevezetése –, és az ok-okozati összefüggések tudatosításának hiányában ezeket frusztrációként élik meg.

Az oktatás célja a biztonsági tudatosság elérése, fenntartása és növelése minden egyes felhasználó esetében, amely csak rendszeres oktatással érhető el. Az informatikai biztonsági oktatás során a felhasználók olyan ismereteket sajátíthatnak el, amit mind a mindennapos munkavégzés, mind az otthoni számítógép használat során jól tudnak alkalmazni – elméletben és gyakorlatban egyaránt. Első lépésként egy felhasználói kézikönyvet kell összeállítani és oktatni, amely az adott vállalatra szabottan határozza meg a munkatársakra vonatkozó – informatikai biztonság szempontjából releváns - felelősségeket és követelményeket, valamint segítséget nyújt a követelmények betartásához.

Noreg tanácsadás

A Noreg Kft. számos vállalatot készített fel sikeresen az elmúlt években a különböző követelményrendszerek, jogszabályok, szabványok, ajánlások szerinti vizsgálatokra (SOX, PCI DSS, Bazel II., HPT), felkészítettünk ISO 27001 szerinti tanúsíttatásra, végeztünk célauditokat, Common Criteria megfelelés vizsgálatot, kidolgoztunk informatikai szabályzó környezetet és üzletmenet folytonossági és katasztrófa elhárítási terveket. Az elvégzett munka magas színvonalát a számos informatikai biztonsági minősítéssel (CISA, CISM, CRISC, CISSP, CBCI) rendelkező tanácsadóink naprakész tudása szavatolja.