Az IT biztonsági szabályozottság fontossága…

Bevezetés

A legnagyobb gondossággal megtervezett és bevezetett fizikai és logikai védelem sem képes megvalósítani maradéktalanul a teljes védelmi rendszert, ha – a tervezést megelőzően – nem kerültek elkészítésre, vagy azok megléte esetén nem lettek hatályba léptetve azok az elkötelezettségek, amelyek képesek érvényre juttatni a szervezet tulajdonosainak és menedzsmentjének akaratát az informatikai biztonság vonatkozásában. Ezen elkötelezettségek és iránymutatások meghatározására szolgálnak azon szabályzatok, eljárásrendek, amelyek gyakorlati szinten érvényesítik a szervezet politikájában kifejtett vezetői akaratot. A politikák, stratégiák és szabályzatok optimális esetben egyértelművé teszik, hogy mit szabad tenni és mit nem, valamint azt is, hogy a szabályok megsértése milyen következményekkel jár vagy járhat. Ezért szükséges a fikai és logikai védelmen túl a szabályzatok hierarchikus rendszerének kialakítása, mint a szervezet adminisztratív védelmi területe.

Informatikai biztonságpolitika

Az informatikai biztonságpolitika feladata megfogalmazni a szervezet teljes egészére vonatkozóan, egységes szemlélettel azon vezetői akaratot, amely meghatározza minden munkatárs viszonyát az informatikai rendszerek által kezelt adatok bizalmasságának, hitelességének, sértetlenségének, rendelkezésre állásának és funkcionalitásának megőrzéséhez, annak érdekében, hogy a sokszor nehezen kiszámítható politikai és gazdasági környezeti változások közben is a szervezet védelmi és túlélő képességei stabilak maradjanak.

Informatikai biztonsági stratégia

Az Informatikai biztonsági stratégia célja meghatározni mindazon rövid-, közép-, és hosszútávra vonatkozó kiberbiztonsági stratégiai célokat, eredményeket és ezek megvalósításához szükséges főbb stratégiai elemeket, melyek egy szervezet Informatikai biztonságpolitikája által elvi szinten meghatározott, és hosszútávra megfogalmazott elvárások, iránymutatások és alapelvek gyakorlati megvalósítását, teljesítését támogatják.

Informatikai Biztonsági Szabályzat

A biztonságpolitika elveit követő biztonsági stratégia érvényesítésének első szakasza a szabályozás, amely nem más, mint a politikában elfogadott elvek, valamint a stratégiában elfogadott célok alapján történő működési rendjének és módjának meghatározása. Ennek első lépése az Informatikai Biztonsági Szabályzat (röviden: IBSZ) elkészítése.

Az Informatikai Biztonsági Szabályzat egy szervezet minden szervezeti egységére általános érvénnyel kell, hogy meghatározza az informatikai rendszerekkel és azok környezetével kapcsolatos biztonsági szabályokat és intézkedéseket, szervesen illeszkedve a szervezet egyéb működési, ügyrendi és biztonsági előírásaihoz. Az IBSZ feladata továbbá, hogy meghatározza az egyes eljárások rendjét, azok felelőseit, az ellenőrzés rendjét, valamint a szankcionálás módját.

Alapvető elvárás az, hogy az IBSZ ún. ernyő szabályzatként kerül kialakításra, és ezen szabályzat alá kerülnek kialakításra a részletes biztonsági követelményeket leíró eljárásrendek (pl.: vírusvédelmi, jogosultságkezelési, naplózási eljárások).