Az információbiztonsági rendszerszabvány (jelenleg MSZ ISO/IEC 27001:2006) „kissé félresikerült” szabvány. Története során megért fordítási és értelmezési eltéréseket is. (Pl. politika vagy szabályzat, informatikai-biztonság vagy információbiztonság, stb. A jelenlegi értelmezési gyakorlatában kicsit „informatikai túlsúlyos”. Figyelem! Nem a követelményeiben, hanem az értelmezésében.)
A piac hamar felismerte az információbiztonság jelentőségét, és az információbiztonsági rendszer bevezetésével megoldható problémák fontosságát. Ennek ellenére azonban azt még ma sem tolerálja, hogy bár a többi szabványhoz képest nagyságrendekkel több pénzt meg lehet az alkalmazásával takarítani, de a kiépítése is többe kerül.
Információbiztonsági rendszer kiépítésekor sokkal többre van szükséged, mint egy formális kézikönyvre a tanúsításhoz! Ez a rendszer átszövi egész céged működését, és információid, információs rendszereid biztonságos működtetésével az üzleti stabilitás elérésében és fenntartásában segít neked.
Hogyan kell ezt elérni?
Hogyan kell akkor helyesen értelmezni a szabványt?
Mit tegyél, hogy hatékonyan használd ki a lehetőségeket?
A jobb gyakorlati alkalmazhatóság miatt az utóbbi években egyre erősödik az a szemlélet, hogy az információs vagyon védelmét több védelmi terület komplex viszonyában szabad csak értelmezni. Az egyes (gyakorlatban megvalósítandó) védelmi intézkedések egymással szoros összhangban vannak, és alapvetően a következő szakmai területek együttműködését fedik le:
- Terület, objektum védelem.
- Személy védelem. (a rendszerben lévő személy védelme, és a rendszer védelme személyektől.)
- „Hagyományos” adatok, munkamódszerek, munkaeszközök védelme.
- Informatikai védelem.
- Elemi károk, természeti csapások, társadalmi környezetből adódó veszélyek elleni védelem.
Innen is láthatod, hogy az információk biztonsága, védelme mennyire összetett, és mennyi különböző szakmai terület tudását igényli – igényelheti!
Azért ne ijedj meg azonnal, mert ez nem jelenti azt, hogy ezekhez a területekhez neked mind értened kell, vagy fel kell venned legalább 5-10 olyan szakembert, akik tudása és tapasztalata lefedi ezeket a területeket. Minden vállalkozás más és más, mindenhol más és más területek módszereire van szükség, ráadásul különböző mértékben!
Ki mondja meg, hogy Nálad melyik terület intézkedéseire van szükség, és milyen mértékben?
Amíg más szabványoknál van olyan (egy) személy, aki a követelményeket „átfordítja” a gyakorlatban végrehajtható intézkedésekké, az információbiztonságnál ez sok, különböző területen dolgozó személy (szakember) közös, összehangolt tevékenységeként jelenhet meg eredményesen.
Másként közelítve. Egy minőségirányítási rendszer nem más, mint a menedzsment elemek „helyes összerendezése”. A vezetők (és a vezetettek is, azaz minden résztvevő) tisztában van a menedzsment elemek működésével, tulajdonságaival.
Ezekből a menedzsment elemekből (tulajdonképpen a meglévő munka rendszerből) lesz minőségirányítási rendszer, a „helyes összerendezéstől” (azaz a szabványnak megfelelő gondolatmenet/követelményrendszer érvényesítésétől), amit viszont a minőségirányítási vezető ismer/felügyel.
Az információbiztonsági szabványnál felborult a „kialakult rend”. Az információbiztonsági vezető képtelen az említett gyakorlati területek mindegyikén szakemberként otthonosan mozogni (a polihisztorok kora lejárt).
Mit tegyünk hát akkor?
Az információbiztonsági vezetőt
- „felvértezzük” olyan tudással, hogy az információbiztonság feladatait (vagy a szabvány követelményeit) képes legyen megfogalmazni, és az említett öt terület megfelelő szakembereinek végrehajtható feladattá alakítani. A másik oldalról közelítve: az információbiztonság speciális kérdéseit a vezetés számára „emészthető” menedzsment elemekké transzformálja.
- olyan menedzsment módszerek alkalmazására megtanítani, ami (nem ismeretlen, de) a mi kulturális közegünkben nem elterjedt. Gondolok itt a csapatmunkának arra a válfajára, amikor a vezetőnek csak áttekintő képe van, és a csapat minden tagja „okosabb” nála.(Ilyenkor a vezető feladata, hogy a csapat tagjainak tevékenységét koordinálja, és nem az, hogy a „fölényét” bármely esetben bizonyítsa.)
Óhatatlanul felmerülő kérdés: honnan tesz szert az információbiztonsági vezető az öt terület koordinációjához szükséges tudásra?
- Olyan információbiztonsággal foglalkozó tanfolyamokon (továbbá konferenciákon, stb.), ahol ezekre a kérdésekre kitérnek. (A tanfolyamokon lehetséges elsajátítani az információbiztonság gyakorlati területeiről az átfogó képet, a területek főbb sajátosságait, az egymáshoz való viszonyrendszerüket.)
- Külső tanácsadóktól, szakértőktől: a rendszerek kiépítőitől, felkészítőitől. (A felkészítés során kapja meg az információbiztonsági vezető a területek koordinálásához szükséges „konkrétabb” tudásanyagot.)
A rendszerkiépítő / felkészítő feladata, hogy az információbiztonsági rendszert a vállalkozásod „személyére szabja”. Minden szervezet eltérő, mások az információbiztonság keretében megoldandó céljaik, és a célok megvalósításának leghatékonyabb lehetőségei. A felkészítőnek szükséges tehát átlátnia mind az öt területet, a Te vállalkozásod működését, hogy a követelményeket személyre szabva az optimális megoldást tudja Neked bevezetni, alkalmazva mindegyik szakterület intézkedései közül a számodra legmegfelelőbbeket! Ez természetesen azt feltételezi, hogy a felkészítő mögött is csapat legyen!
Az információbiztonsági szabványnál végképp nem elfogadható az a felkészítői „módszer”, hogy: kapsz egy „szabvány” kézikönyvet, a „többit meg szerencsétlenkedd össze magad”.
Itt természetesen nagyon oda kell figyelni, hogy megfelelő felkészítőt, tanácsadót válassz! Ehhez már több megelőző írásunkban is adtunk tanácsokat!
Oláh Tamás