Az információbiztonság kérdése – az informatika rohamos előretörésével – minden vállalatnál egyre  égetőbb kérdéssé válik. Mindenki tud róla, viszont senki sem veszi addig komolyan, amíg először  „meg nem égette magát” vele. Elvárások felhasználói oldalról:
- A hatékony munkavégzéshez elvárás, hogy a szükséges információk a kellő időben és sértetlenül  álljanak a rendelkezésre.
- Minden szervezetnél – akár tudomásul vesszük, akár nem, – van "információ-szivárgás".

Megnyilvánulási formái széles spektrumban jelentkeznek. (Pl. ipari kémkedés, munkaerő átcsábítás,  adatok és adatbázisok, vagy az azokat tartalmazó hardverek, adathordozók ellopása, social  engineering, stb.) Az információk jogosulatlan kézbe kerülése jelentős erkölcsi és anyagi károkat  okoz(hat) a szervezetnek.
Mennyire függ vállalatunk eredménye, sikere, léte az információink biztonságától, az informatikai /  információs rendszer működésétől? Gondoljunk csak mindenki bele, hogy a következő – példaként  kiemelt esetek – mekkora károkat okozhatnak, és hogy a mi saját cégünk mennyire van „bebiztosítva” az  ilyen fajta vagy hasonló incidensekkel szemben:
Mi történik, ha például…
- a konkurencia hozzájut bizalmas üzleti, fejlesztési információinkhoz?
- a médiákban (rosszindulatúan) jelennek meg olyan adatok, amelyeket nem a nyilvánosságnak  szántunk?
- az ügyfelek személyes adatait tartalmazó adatbázis nyilvánosságra vagy illetéktelenek kezébe kerül?
- megsemmisül, vagy megsérül a fontos üzleti, termelési vagy személyi adatokat tartalmazó  számítógépes adatbázis?
- leáll hosszabb időre az elektronikus levelezés? És ha az üzleti folyamatot támogató informatikai  rendszer áll le, és ezzel együtt a teljes üzleti működés is?
- vírus vagy egyéb kémprogram kerül a számítógépes hálózatunkba?
- a rendszergazda (vagy egy informatikus kollega) sértődötten és bosszúéhesen távozik a cégtől?
- stb…

Ezek a tények, és sokszor maguk az elszenvedett károk, vezetnek arra a felismerésre, hogy az  INFORMÁCIÓ ÉRTÉK -> VÉDENI KELL! Az ilyen jellegű incidensek és esetek (ebből már a sajtóban is  egyre több köszön vissza) vezettek oda, hogy a legutolsó felmérések szerint az elmúlt évben – még a  válság megszorításai ellenére is – az információbiztonsági / informatikai biztonsági kiadások növekedtek a  vállalatoknál.
Ott, ahol felismerték a védekezés fontosságát, azzal is szembesülnek, hogy az önállóan (tehát nem  rendszerben) alkalmazott védelmi elemek kiépítése, fenntartása rendkívül drága. – Ebben a  helyzetben segít rendet teremteni az információbiztonsági irányítási rendszer! Ennek kiépítésének (és  tanúsításának) több előnye is van:
· Mindenképpen csökkenti a védekezés költségeit. Az elemeiben önálló védekezéshez képest - a  rendszerszemlélet miatt - összehangolható az egyes elemek elégséges védelmi szintje, illetve  megszünteti a fölösleges átfedéseket. Hatékonyság növelő mellékhatásként felfedi az önálló  elemek közötti biztonsági réseket.
· Menedzsment eszköz volta miatt a felső vezetés kézben tudja tartani az összehangolt védelmi  folyamatokat anélkül, hogy a speciális területeken (pl. őrzés-védelem, informatikai hálózat, stb.)  mélyebb szakmai ismeretekkel rendelkezne.
· Biztonságot (önbizalmat) ad az alkalmazó szervezetnek.
· Tanúsíthatósága révén bizalmat ébreszt a partnerekben.

Az információ-biztonsági irányítási rendszer szabványa (ISO/IEC 27001:2005 - MSZ ISO/IEC  27001:2006) hasonlóan a minőségirányítási szabványhoz egy szervezet vezetésének munkáját segítő  menedzsment eszköz, és hasonlóan pl. a környezetközpontú irányítási szabványhoz, kockázatértékelésen alapuló szabvány.
Az információbiztonsági "szakmában" a kezdetektől fogva sajátos nézeteket vallottunk. A szabvány  követelményeinek megfelelően mi nem szűkítettük le az információbiztonság kérdését pusztán informatikai  eszközök (számítógépek) biztonságának problémájára. (Az élet bennünket igazolt.) Egy, a gyakorlatban  használható információbiztonsági rendszer eredményességéhez több szakmai terület összehangolt  munkája szükséges, úgymint:
- objektum, terület védelem,
- személy védelem (rendszerben a személy védelme, és / vagy a rendszer védelme személyektől),
- hagyományos (pl. papíralapú) adatok, módszerek, eszközök védelme,
- informatikai védelem,
- elemi károk, természeti csapások elleni védelem (az információ-biztonság szemszögéből).
 

Szerző: zippogyújtó  2009.10.11. 16:58 Szólj hozzá!

A bejegyzés trackback címe:

https://minosegugy.blog.hu/api/trackback/id/tr11442889

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.