Címlap » Blog » MinőségDoktorok.Hu's blog

Információbiztonsági rendszerek kiépítésének tendenciái Magyarországon

2010, március 23 - 00:00 - MinőségDoktorok.Hu

(és gyakorlati tanácsok)

Az alábbi gondolatokat és tanácsokat vitaindítónak szánom. Meggyőződésem, hogy az itt bemutatott tapasztalatok, no és persze a hozzászólások észrevételei és tapasztalatai mindenkinek tanulságosak lesznek. Ajánlom továbbá mindazoknak, akik érdeklődnek az információbiztonsági rendszer kiépítése iránt, és ajánlom azoknak is, akiknek már van kiépített rendszerük (esetleg valami hasonló).

A minap kezembe került egy sajtóközlemény, "Némi megtorpanás a magyarországi információbiztonsági auditok számában" címmel. Egy sajtóközleményből sok mindent "kiolvashat" az ember - néha még a sorok közül is.
A kiadó a Hétpecsét Információbiztonsági Egyesület (www.hetpecset.hu - és a közlemény is itt található). Az Egyesületről - a téma szempontjából - annyit érdemes kiemelni, hogy az információbiztonság kérdését szívükön viselő szervezetekből és szakemberekből áll, illetve - a közleményben szereplő - számadatok változásának követését és bizonyos tendencia- elemzéseket rendszeresen végez.

Nézzük a számokat.

2010 januárjában - az Egyesület tudomása szerint - 138 sikeresen tanúsított információbiztonsági rendszerrel rendelkező szervezet volt Magyarországon. 2009 hasonló időszakához képest (amikor ez a szám 131 volt) 5%-os a növekedés. A megelőző évek "megszokott" növekedési ütemétől ez az 5% elmarad. Talán ezért az a közlemény címe, hogy "Némi megtorpanás a..."?

Miután a számok (138, 131) önmagukban nem sokat mondanak, hozzá kell tenni, hogy a megkérdezettek "óvatos optimizmussal", de a tanúsítások számának meglódulását várják 2010-ben.

Egy másik - az Egyesület által hivatkozott (http://www.iso27001certificates.com/Register%20Search.htm) - nemzetközi összesítés szerint Magyarország 66 tanúsított információbiztonsági rendszerrel rendelkezik.
A számok között (138 és 66) az eltérés ellenére nem feltétlenül kell ellentmondást felfedezni. Sem a tanúsított szervezetek, sem a tanúsító szervezetek nem "kötelesek" a tanúsításokat valamiféle statisztikai hivatalnak bejelenteni, tehát pontos adatokkal sem rendelkezhetünk. A helyes tendencia adatokhoz elegendő, ha a megkérdezettek (a mintavétel körülményei) rendre ugyanazok.

Az említett nemzetközi összesítés (tendencia adatai) szerint Magyarország világviszonylatban a 10. helyet foglalja el (megelőzve olyan országokat, mint pl. Franciaország, Norvégia, Svédország, Olaszország vagy Ausztrália).

Érdemes megnézni az első tíz listáját.

  • Japan 3378,
  • India 484,
  • UK 407,
  • Taiwan 386,
  • China 251,
  • Germany 135,
  • Korea 106,
  • USA 95,
  • Czech Republic 85,
  • Hungary 66

Ez a 10. hely amennyiben az országok területi nagyságát és pl. a világgazdaságban elfoglalt szerepüket is figyelembe vesszük - akárhogy is nézzük - jelentős úttörő szerepet biztosít nekünk.

(Az elért helyünket az is alátámasztja, hogy e cikk íróját is kereste már meg "nagy nevű", nemzetközi tanúsító cég képviselője, hogy mi hogyan is csináljuk, mert a tapasztalatainkat felhasználva ők is szeretnének terjeszkedni az információbiztonsági tanúsítások felé.)

A továbbiakban nézzük meg, hogy ennek a szerepnek a kivívása, megtartása milyen buktatókkal (volt/van/lesz) terhelt.

Magyarországon az információbiztonsági rendszer "fogalma" kb. 20 éve jelent meg a köztudatban és kb. 10 évvel ezelőttre datálható a rendszerek "széleskörű" kiépítésének elkezdése. Az időrendi adatok - természetesen - csak hozzávetőlegesek, mert ez egy lassan, de biztosan változó folyamat.

(A folyamat népszerűsítésében, elterjesztésében az említett Egyesület oroszlánrészt vállalt és vállal ma is.)

A beidegződések és szokások

A folyamatban mára eljutottunk odáig, hogy a szervezetek már tisztában vannak vele, hogy létezik olyan "dolog", hogy információbiztonság. Tessék csak utána gondolni, nap mint nap emlegetett, divatos szó. De még működnek a régi beidegződések, azaz a biztonsághoz mindenki ért (hasonlóképpen, mint a focihoz és a számítógéphez). Olyan snassz szakembert hívni biztonsági kérdések megoldására. Közben pedig nem veszi észre, hogy már a számítógépet (informatikát) sem "uralja", hiszen azért alkalmazza a rendszergazdát, az objektuma őrzését is kiszervezte, stb. (és valljuk be férfiasan, a focihoz sem ért), de még a látszatot fenn kell tartani. ("Ha itt megjelennek mindenféle biztonsági mókusok, a partnerek azt hiszik, hogy a cégemnél nincs rendben a biztonság!')

A szokások alakításának terén jelentős változások várhatók.

Idáig elhivatott szakemberek "népszerűsítették" az információbiztonságot. Manapság - már egyre többen - belépnek a sorba az olyan szervezetek közül is, amelyek felismerik saját biztonsági fenyegetettségeiket és hajlandók is ellene tenni.

Ezek együttvéve csak a szokásos tendencia-emelkedést indokolják, viszont belépett a szereplők közé a "törvényalkotás".

Néhány éve - és a továbbiakban fokozottabban - kerülnek megalkotásra az információbiztonság területét érintő (vagy lefedő) törvények, rendeletek, ajánlások.

Lehet vitatkozni, hogy ez a "szelíd presszió" a gazdasági szervezeteknek tetszik-e vagy sem. Ami biztos, az a szervezet jár jól (és "ússza" meg olcsóbban), amelyik időben szerez magának felkészítőt és épít ki magánál információbiztonsági rendszert. (Az információbiztonsági rendszer követelményei - nagyjából - lefedik a törvények előírásait.)

Lehet vitatkozni, hogy a már meglévő és az előkészületben lévő törvények jók-e. Sőt! Ezen kell is! Ugyanis nem biztos, hogy az a helyes megoldás, ha egy törvény - majdnem szó szerint - beemeli a most éppen aktuális szabvány szövegét. A szabvány egy "élő, változó valami", ami a kor, a technika, a társadalmi, stb. elvárásoknak, megfelelően módosul. A törvények hosszabb életűek, ritkábban módosulnak. 2-3 év múlva egy szervezet vezetője gondolkodhat, hogy mit is csináljon. Kockáztassa meg, hogy a partnerei nem állnak vele szóba, mert lemaradt a szabványok követésében, vagy kövesse a szabványváltozásokat, de akkor meg felvállalja a törvénysértést.

Az ár

Fontos (ellen)érv, hogy az információbiztonsági rendszer kiépítése drága.

Hát, valóban drágább, mint egy minőségirányítási rendszeré (ISO 9001).

A minőségirányítási rendszer "menedzsment elemek helyes egymáshoz illesztése" a szervezet napi tevékenységének megfelelően és egy szabvány szellemében. Az alkalmazott menedzsment elemeket mindenki ismeri, a felkészítő (rendszerkiépítő) szerepe csak az elemek helyes és szabvány szellemű egymáshoz illesztése.

Az információbiztonság szélesebb "szakmaterületeket" ölel fel. Amennyiben egy szervezet szeretné magát biztonságban tudni és megfelelni a szabvány (ISO/IEC 27001) követelményeinek (is, mert azért a szabvány "erősen" megköveteli), a következő szakmaterületek helyzetét kell elemezni és egymással is összefüggésben lévő intézkedéseket hozni:

  • objektum, területvédelem,
  • személy védelem (rendszerben a személy védelme, vagy a rendszer védelme személyektől),
  • papíralapú adatok, módszerek, eszközök védelme,
  • informatikai védelem,
  • katasztrófák elleni védelem (elemi károk, társadalmi katasztrófák).

 

(A felsorolásból az is kitűnik, hogy a kategóriák további önálló szakmaterületekre oszthatók, oszlanak.)

Ezek után valakinek még elvárása, hogy egy "valóban" információbiztonsági rendszer kiépítése olcsóbb legyen, mint egy menedzsment rendszeré? (Még egyszer hangsúlyoznám: valódi információbiztonsági rendszer!)

Más megközelítésben. A területek sokféleségéből adódik, hogy nem született meg még az az ember, aki egyedül képes az összes szakmaterület tudását birtokolni. Hétköznapi nyelvre lefordítva, ha egy felkészítő (de vonatkozik az auditorra is!) egyedül jelenik meg (pontosabban, nem tudja bizonyítani, hogy csapat van mögötte), azt el kell zavarni. (Így!)

Furcsa szokásaink

Az információbiztonság "elindulása" óta időnként szakmai berkekben látszólagos vita tárgya, hogy csak a számítógépeket értelmezzük az információbiztonság hatálya alá esőként. Látszólagos a vita, mert ebben az esetben a mondat úgy folytatódna: ...és a papíron levő, az emberi fejekben lévő, stb. információkat pedig nem.

Létezik az a fogalom is, hogy informatikai biztonság (védelem), de mint láttuk, az az információbiztonság része (és hozzá kell tenni, hogy nem elhanyagolható és nem is másodlagos része).

A vitát az generálta, hogy a "szűk értelmezés" esetén egy informatikusi vénával megáldott felkészítő is (de vonatkozik az auditorra is!) oda mehet a céghez és nem kell csapatot felmutatnia. Tehát, a háttérben pusztán üzleti megfontolás munkált. A megrendelővel még el lehetett hitetni, hogy jó neki az informatikai biztonság, illetve csak "külföldiül" hívják információbiztonságnak, egyébként meg egy és ugyanaz. (Kevés megrendelő olvassa a szabványt.)
A gyakorlat tovább színesítette a képet, mert nem mindegyik megrendelő volt olyan buta, hogy ne tudta volna, hogy ráadásul az informatika is több, jelentős tudást igénylő részre osztható.

(Ha ritkán is, de elhangzott az a mondat, hogy: Amennyiben egyedül jött és nem hazánk nagy informatikusa felkészítői bőrbe bújva, akkor fordulhat is vissza.)

A látszólagos szakmai vitát egy váratlan fordulat hosszú időre eldöntötte.

2002 novemberében az MSZ ISO/IEC 17799 "Az informatikai biztonság menedzselésének eljárásrendje" címmel jelent meg. Hogy tudatos, vagy véletlen félrefordítás történt... ezt ma már senki sem tudja eldönteni.

Jó hír, hogy a szakma nagyobbik része továbbra is (valóban) információbiztonsági rendszert épített ki a megbízóinál.

Manapság komoly rendszerkiépítő nem próbálkozik ilyen trükkel.

Gyakorlati tanács az információbiztonsági rendszer iránt érdeklődőknek. Ha a felkészítő a honlapján az információbiztonság címszó alatt csak számítógépekről és informatikai biztonságról beszél..., illik a komolyságukban kételkedni.

Látszatbiztonság

Mit nyer a szervezet egy "olcsó" rendszerrel? Látszatbiztonságot. Ez még veszélyesebb, mint ha tudatában vagyok a biztonsági hiányosságaimnak.

Kiváló példa a látszatbiztonságra a repülőterek ellenőrzési rendszere. Az utasokat már kiválóan zavarja, de védelmet nem nyújt. Azért van haszna, mert az utasok - a látszatbiztonság miatt - nyugodtabban szállnak fel a gépre, a többi meg legyen a szerencse dolga. (Az is igaz, hogy fenn még senki nem maradt.)

A bankjaink sem maradnak le a látszatbiztonság megteremtésében. Észrevették már, hogy egyik banknak sincs információbiztonsági rendszere? Pontosabban mindenkinek van saját, belső biztonsági rendszere, amiről (bank-, vagy egyéb titokra hivatkozva) nem ad felvilágosítást (ez azért érthető), de véletlenül sem tanúsíttatja (ez már kevésbé érthető). Nem a titkaikra vagyok kíváncsi, csak egy auditor által "üzenjék meg" nekem, az ügyfélnek, hogy odabenn jól csinálják a dolgukat. A biztonság területén kicsit is járatos személyeknek nem újdonság, ha azt mondom, hogy amikor valaki egy bankba belép, most csak a pénze és az élete van veszélyben.

(Elnézést kérek azoktól, akikben felmerült, hogy ezekben a példákban jobbára csak állítok, de nem bizonyítok, de a "Kis terrorista képzésnek" nem ez a helye.)

Még egy példa, ahol számszerű adatok is szerepelnek. Jó nevű cég boldogan dicsekedett (jó értelemben) az új beléptető rendszerével. Tehát, nem az információbiztonsági rendszerével, hanem csak a majdani rendszernek egy elemével. Maga a beléptető rendszer tényleg a repülőtereket is megszégyenítő modern felszerelésű volt. (A feladatának is hasonló funkciókat gondoltak, bár ez nem volt pontosan megfogalmazva?! és én sem értettem, hogy pl. egy fegyveres támadás szempontjából érdektelen hivatalnak miért fontos az ilyen irányú ellenőrzés.) Mondták, hogy "csak" 300 (háromszáz) millióba került. A körülményekről még annyit, hogy kértek ajánlatot egy felkészítőtől az információbiztonsági rendszer kiépítésére (tehát nem csak a beléptető rendszer kiépítésére), de túl soknak találták a "tiszteletdíját" (3 milliót gondolt) és úgy döntöttek, hogy takarékosan (önállóan) oldják meg a rendszerkiépítést.

Amikor mondtam, hogy magam is járatos vagyok biztonsági kérdésekben (más ügyek miatt jártam hozzájuk egy hónapon keresztül) és talán a felkészítőnek igaza volt. 30 millióba nem csak a rendszerkiépítés (3 millió), de a szervezet céljainak megfelelő eszközök beszerzése is belefért volna. A vezetők ingatták a fejüket és mosolyogtak, mondhatok amit akarok, az eredmények őket igazolják. A beléptető rendszer működése óta nem érte őket fegyveres támadás (az is igaz, hogy előtte sem). Nem volt "jobb érvem", kitettem a fegyveremet az asztalra, hogy én egy hónapja ezzel járok ki és be.

Egy savanyú mosoly kíséretében kaptam egy sokatmondó reflexiót: "Utólag könnyű okosnak lenni". Önkéntelenül szakadt ki belőlem: "előtte meg olcsóbb."

Később jöttem rá, hogy sikerült megalkotnunk az információbiztonság egyik fontos "jelmondatát": Utólag könnyű okosnak lenni, előtte meg olcsóbb.

(Ez a mondás 300 millióba került.)

Referencia

Partnerekről referencia beszerzése az üzleti kapcsolatokban fontos és bevett szokás. Ez az információbiztonsági rendszerkiépítés esetén egy furcsa kérdés. Mindjárt meglátjuk, hogy miért.

Arról már volt szó, hogy pl. nézzük meg a honlapját, vagy a kiadványait, hogy mit hirdet magáról. Valóban információbiztonsági rendszert kínál, vagy csak valami "Tesco gazdaságos változatot". (Elnézést kérek a Tescotól.)

Arról is volt szó, hogy tudakoljuk meg a munkamódszereit, elképzelését a rendszerkiépítésről. A csapat nem azt jelenti, hogy nap mint nap 100-an fognak megjelenni a megbízónál, hanem azt, hogy bizonyos kérdésekben van-e szakértői segítsége a felkészítőnek.

Fontos rendező elv, ha a "mennyiért?" kérdésünkre kapásból mond egy összeget, akkor keressünk tovább. A lelkiismeretes felkészítő legalább megtudakolja, hogy mekkora a cégünk, mit csinál, milyen területeken (információs vagyontárgyakra) gondoljuk kiépíteni a rendszert, és a lehetőségekhez mérten még nagyon sok mindent kérdez(het). Csak az ilyen típusú adatok tudatában tudja megtervezni, hogy milyen munkamódszerekkel, hány szakértő igénybevételével, mennyi idő alatt lehetséges a rendszer kiépítése. Természetesen a folyamat a gyakorlatban egy kicsit másképp történik.

Rendszerint a kapcsolatfelvétel telefonon zajlik, ahol a téma teljes kibontására nincs idő. A megrendelő viszonylag gyorsan felteszi a "mennyiért?" kérdését. A felkészítő feltesz néhányat az előzőekben említett kérdésekből és mond egy tól-ig árat.

A megbízó ebből a tól-ig árból igazából nem sokat tud meg a felkészítő komolyságáról. (Rendszerint ha nem is érdekli a felkészítő komolysága, csak a legalacsonyabb ár a választási szempont, akkor a felkészítő sem bánkódik sokat az üzlet meghiúsulásán.)

A továbbiakban személyes találkozókon, feladategyeztetés után alakul ki a végleges ár. Megvalósulási formája az írásos árajánlat, benne részletezve a feladatok és a végrehajtásukhoz szükséges erő, eszköz, idő ráfordítás. "Becsületes" felkészítő a végleges áron már nem változtat (kivéve, ha valami rendkívüli momentum merül fel).

Amennyiben a kalkulációban tévedett, ez az ő vesztesége.

A baj csak az, hogy ebbe a gyakorlati változatba nem illik bele a felkészítők versenyeztetése.

A megbízó a telefon után szeretne dönteni. Tud egy árat, de nem tudja, hogy azért mit kap. Kézenfekvő, hogy a legalacsonyabb árat választja (és nem valószínű, hogy boldog lesz az új rendszerével).

Az információbiztonsági rendszer kiépítése komoly dolog és nem is olcsó. Ajánlatos minden jelentkezővel a folyamatot elvinni az írásos ajánlatadásig. Viszont az ajánlattevő ekkorra már munkával eltöltött egy napot, amiről benyújtja a számlát (találkozó, felmérés, egyeztetés, kalkuláció).

Megoldás? Mint mindig, most is a kompromisszum. A telefonáláskor szánjunk több időt az információ cserére, azaz mi is tudjunk meg többet a felkészítőről. Ez ad egy előszelektálási lehetőséget. Csak a "szimpatikus" 1-2-3-at kérjük fel az ajánlatadási folyamat további részére.

Az alkalmatlan rendszer kiépítésekor többet veszítünk, mint 1-2 ajánlatadási számla kifizetésével.

Referenciát kereshetünk a felkészítők pl. honlapján. De tessék figyelembe venni, hogy az együttműködő partnereink listája az információbiztonsági rendszerek esetében nem ad információt. Több okból. Az információ biztonsági rendszer nem bicikli, ami ott működik, az itt nem biztos. És az sem biztos, hogy a referencia listán szereplőknél egyáltalán működik.

Célszerű elmenni a szervezetekhez (a listán) és "megérdeklődni", hogy mi a véleményük. Felhívnám a figyelmet arra, hogy még nem találkozott senki olyan vezetővel, aki azzal dicsekedett volna, hogy egy "rakás" pénzért kiépítettek neki egy használhatatlan rendszert és évek óta "tologatják" maguk előtt, auditról auditra. Azaz mindenki dicsérni fogja a saját rendszerét. Bizalmas beszélgetésekkor kiderülhet, hogy kényelmetlenséget okoz nekik a rendszer fenntartása (az indokolttól nagyobb kényelmetlenséget), a rendszer ellenére anyagi veszteséggel is járó biztonsági rések is keletkeznek, túlzottan sok papírmunkával jár a rendszer fenntartása (ez egyébként nem szabvány követelmény, hanem a hozzá nem értő auditori tevékenység eredménye - ha nem értesz a szakmához, turkálj a papírokban), stb.

Tulajdonképpen ugyanezek az elvek, módszerek alkalmazhatóak a tanúsító szervezet kiválasztásakor is (sőt, kell is), néhány eltéréssel.

(A tanúsító szervezet az, ami kiküldi az auditort, hogy ellenőrizze le, hogy a rendszer a szabvány előírásainak megfelelően működik, és erről tanúsítványt állít ki.)

Egy tanúsító szervezetnél (nem szabványban előírt, de gyakorlati haszonnal bíró) alapkövetelmény, hogy akkreditált legyen. (A folyamatban egy "felsőbb szerv", amely az akkreditálással ellenőrzi és bizonyítja, hogy a tanúsító szervezet jól végzi a munkáját.)

A tanúsító szervezetek jó része nem rendelkezik akkreditációval. Munkájuk lehet értékes és hasznos, de a tanúsítványuk csak a papír árának megfelelő értékű.

Érdemes azt is ellenőrizni, hogy az akkreditáló szervezetnek milyen a nemzetközi elfogadottsága (a sorban a következő ellenőrző szerv, amelyik az akkreditáló testület munkáját minősíti). (Ne járjunk úgy, mint a kamionos, akit a holland határőr visszafordított, mondván, ilyen akkreditálási logoval ellátott tanúsítvánnyal ide be nem teszi a lábát.

Bár az is igaz, hogy nem információbiztonsági tanúsítványról volt szó.)

Sarkalatos pont, hogy a tanúsító szervezet milyen auditort küld ki. A tanúsítók jó része kis számú, állandó állománnyal dolgozik. Rögtön fölmerül a szakmai hozzáértés kérdése. Nem az auditori szakmához, hanem a szervezet(em) munkaterületéhez való szakmai hozzáértés. És mint láttuk, az információbiztonsági rendszer esetén ez kritikusabb kérdés, mint más rendszerek esetén.

Amennyiben érkezik "egy darab" auditor (azaz az auditori tudását nem megkérdőjelezve, de a rendszeremhez szükséges szakmaterületek tudását nem birtokolva), akkor kiválóan le tudja ellenőrizni, hogy a szabvány keretrendszere létezi-e, de hogy a keret helyes tartalommal van-e megtöltve azt nem (pedig a szabvány előírása szerint ez is feladata lenne, nekem meg érdekem, hogy a rendszerben fellelhető hibákra és javítási lehetőségekre rámutasson). Viszont "áthidaló megoldásként" a szervezetben előforduló összes papírt feltúrja és a következő auditra "előírja" még legalább ötven dokumentum elkészítését.

A tanúsító szervezet és az auditor nem hatóság, de a jó tanúsító szervezet és auditor segít elkerülni a hatóságot (pontosabban annak büntetését).

Végül

A tendenciákat tekintve várható az információbiztonsági rendszerkiépítési igények felfutása.
A meglévő felkészítői és tanúsítói apparátus kérdéses, hogy ki tudja-e elégíteni (főleg rövid idő alatt) az igényeket.

Felmegy a rendszerkiépítés és tanúsítás ára.

Előjönnek az "egy emberes - egy sablon kézikönyves - egy(en) rendszerek" kiépítői és tanúsítói.
Már nem csak a holland határőr fogja azt mondani, hogy hozzájuk nem tehetjük be a lábunkat.

A nemzetközi összesítésben említett 10. hely felelősséggel is jár.

Mindenkinek kívánok kellemes rendszerüzemeltetést.

Oláh Tamás