Az ISO/IEC 27001 szerinti információbiztonsági rendszer arról szól, hogy az azt alkalmazó vállalkozás bizonyos információit biztonságban akarja tudni, vagyis valamilyen veszély ellen védeni akarja. Egyszerű: az információbiztonsági rendszer információt véd. Ennek tudatában megdöbbenek, amikor sok cég úgy akarja információbiztonsági rendszerét tanúsíttatni, hogy azok tárgya nem is információ védelméről szól. Mit is kell itt akkor ott auditálni?

A védelmi (biztonsági) rendszerek érvényességi területe azt jelenti, hogy minek a védelméről gondoskodik az adott rendszer. Információbiztonsági rendszer esetén ez valamilyen információ. Ezek alapján határozza meg a rendszer – a konkrét védendő információkra vonatkoztatva – a fenyegetettségeket, veszélyeket, azok kockázatát, és azokon keresztül a hatékony védelmi intézkedéseket. Nehéz, sőt szinte lehetetlen azonban hatékony intézkedéseket úgy bevezetni, ha nem tudjuk, hogy mit is kell védenünk! Fogadjuk el: mindent védeni nem lehet! Kicsit leegyszerűsítve: egy ISO/IEC 27001 szerinti auditnak azt kell megállapítania, hogy a vállalat vezetése által irányított és felügyelt információbiztonsági rendszer milyen szinten és mennyire hatékonyan garantálja az érvényességi területként megadott információk biztonságát, védelmét.

A vállalkozások nagy része nincs tisztában azzal, hogy mit jelent és mire való az információbiztonsági (irányítási) rendszer. Sokszor nem is érdekli őket, egyszerűen csak „kellett nekik a papír”! „ Mottó: A konkurenciának van, legyen nekem is! Ne kerüljek emiatt hátrányba!” Közben nem is tudják, hogy mi az. Egyszerűen megveszik, amit a már „bevált” tanácsadójuk ad, vagy aki ilyen címen a legolcsóbb ajánlatot adja. Más szempont nem számít! Így nem meglepő, hogy az így „elnyert felkészítők” maguk sem tudják (többnyire), mi is az az információbiztonság, vagy információbiztonsági irányítási rendszer! ISO/IEC 27001-es szabványt (sokszor) még maga az ilyen felkészítő sem látott. Nem csoda hát, hogy ezeknek a rendszereknek (többnyire) közük sincs az információbiztonsághoz (Természetesen nem állítom, hogy minden cég és minden felkészítő ilyen, de sajnos találkoztam már ilyenekkel is.)

Az első intő jel, ahol az auditornak (vagy tanúsítónak) ez a helyzet szemet szúr, az már a tanúsítási kérelem során a tanúsítás tárgyának megadása. Ha nem azt adja meg az ISO/IEC 27001 szerinti tanúsítást kérő ügyfél, hogy milyen információnak a biztonságát hivatott védeni az információbiztonsági rendszere, akkor joggal merül fel a kérdés, hogy „miről is beszélünk”?

Ezek után egyértelmű, hogy az ügyfél meg sem határozta, hogy igazából milyen információt véd és mitől. Akkor hogyan kell megítélni, hogy a bevezetett védelmi intézkedések és szabályok (ha vannak?), mennyire hatékonyak? A menedzser tankönyvek a stratégia alkotás kapcsán azt szokták mondani példaként, hogy „Soha nem érhet célba az a hajó, amelyiknek nincs célja!” A helyzet itt is hasonló. „Soha nem működhet hatékonyan (és eredményesen) az a védelmi rendszer, amely nem tudja, hogy mit kell védenie!”

A helyzet sajnos gyakori, és több oldalról jelent komoly veszélyt:

• Először is nincs garancia arra, hogy jó nevű, szakmailag magára adó tanúsítónál megszerezhető így a papír. (Sajnos láttam már ellenpéldát is, de az nem általánosítható.)
• Kifizette (még ha olcsón is) egy információbiztonsági rendszer árát, és biztonság / biztonsági rendszer helyett csak egy papírt kapott. A papír nem védi meg sem az információszivárgástól, sem az adatvesztéstől, sem más veszélytől. Ilyen szemmel nézve az információbiztonsági rendszerért kifizetett olcsó ár egy önmagában lévő papírért már drága!
• A tanúsítvány birtokában az ügyfél abban a tudatban van, hogy neki egy jól működő információbiztonsági irányítási rendszere van. Olyan jó, hogy ezt még külső független szakértők is igazolták neki. Teljes biztonságban hiszi magát, és még a szükséges óvintézkedéseket és védelmet is elhanyagolja. Ez a hamis biztonságérzet a legveszélyesebb, mert ilyenkor a legsebezhetőbb minden. Ilyenkor sebezhetővé válnak a saját, és az ügyfelei adatai is. Különösen, ha ezzel a tanúsítvánnyal tudta egyik ügyfele kimondottan érzékeny adatai kezelésének jogát megszerezni. Ugyanis itt – a tanúsítvány megléte ellenére is – bárminemű információbiztonsági incidens esetén súlyos árat kell fizetni a valódi információbiztonsági irányítási rendszer hiányáért.

Mit lehet akkor már az indulásban tenni, hogy ne legyenek ilyen problémák?

1. Először is nem mindegy, hogy milyen szakembert válasszon az információbiztonsági rendszer kiépítéséhez. Itt is sokszor igaz az a régi, már-már közhelynek tűnő mondás: „Az fizeti a legnagyobb árat, aki a legolcsóbbat veszi!”
2. A rendszer kialakítása kezdetén mindig gondolja végig, és tartsa szem előtt a következőket:
   1. Milyen információt akar védeni?
   2. Mitől kell védeni azokat az információkat?
   3. Milyen egyéb kapcsolódó külső (pl. jogi) előírásnak kell még megfelelni?
   4. Miért fontos mindez nekem?

Az a vezető, aki a saját cégében az információbiztonsági rendszer kiépítése és bevezetése során ezekre a kérdésekre megnyugtató választ tud adni magának, az már a fenti veszélyeket nagy valószínűséggel jól elkerülte.

Dr. Horváth Zsolt