– Milyen múltja és jövője van hazánkban az informatikai biztonsági felméréseknek, úgynevezett auditoknak? – Informatikai auditot eddig leginkább azok a vállalatok végeztek, amelyek az előírt törvényi kötelezettségnek szerettek volna megfelelni ezáltal. Jellemzően a nagyobb ipari vállalatok és a pénzintézetek jártak élen ebben, utóbbiaknál például a PSZÁF rendszeresen ellenőrzi is a tanúsítványok érvényességét. Az államigazgatás egyes területein találunk még erre élő példát, például maga a PSZÁF is rendelkezik többek között a brit információvédelmi tanúsítvánnyal, a BS 7799-cel. A jövőre nézve – it-biztonsági szakértőként – az a meglátásom, hogy egyre több olyan terület van, ahol egy szakértő által végzett audittal jól megteremthető vagy tovább növelhető a biztonság. – Egy audit során hogyan mérik fel, hogy milyen az elvárt és a tényleges biztonsági szint? – Egy-egy auditnak – legyen az egy szolgáltatások minőségére vonatkozó audit vagy egy it-biztonsági felmérés – az a célja, hogy teljes mértékben feltárjuk a tényleges szintet, és lássuk, mi mindennek kell még megvalósulnia az elvárt szint teljesítéséhez. Az informatikában az elvárások alapvetően a folyamatos működést, a megfelelő rendelkezésre állást, a feldolgozott információk védelmét, illetve az informatikai erőforrások jogosulatlan használatának megakadályozását célozzák. A vállalat profiljától, működésétől, létszámától, informatikai rendszerének bonyolultságától függően kell ezeket a tényezőket különböző súllyal figyelembe venni, így biztosítjuk az üzemeltetők és felhasználók számára az informatikai rendszer minél hatékonyabb felhasználhatóságát. – Milyen módszerrel tárják fel a biztonsági réseket és dolgozzák ki a megoldási javaslatot annak megszüntetésére? – Alapvető fontosságú, hogy minél teljesebb körben és a szükséges mélységben áttekintsük az informatikai rendszert érintő kérdéseket. A józan ésszel átgondolt szempontokon túl jóval hatékonyabb módszer, ha ezt egy már meglévő, jól átgondolt szabványra építve tesszük meg. Ilyen például az ISO 9000-es minőségirányítási szabvány és a BS 7799 utódja, az ISO 27000 szabvány. Ezek a szabványok az Európai Unióban is elfogadottak, így, ha erre építve auditálunk, akkor az eredményeink széles körben, nemzetközi szinten is elfogadottak lesznek, akár nemzetközi partnereink bizalmát is növelhetjük ezzel. – Milyen előnye van egy ilyen, szabvány szerint végzett auditnak? – Kettős előnyről beszélhetünk, ha egy elfogadott szabvány szerint végeztetünk auditot cégünknél. Az első, közvetlen előny az, hogy viszonylag nagy objektivitással feltárhatók az informatikai rendszerünk (és a hozzá kapcsolódó folyamatok) kritikus pontjai, azok a pontok, amelyek kockázatokat hordozhatnak. Ezek feltárása után már jóval egyszerűbb feladat az elhárításukhoz szükséges döntések meghozatala, vagy éppen az adott kockázati tényezők tudomásulvétele. Ez az út vezethet el minket a lehető leggazdaságosabb megoldások kiválasztására, amikor is biztosítani tudjuk, hogy a fenyegetettség mértékével arányos védelmi lépéseket tudunk végrehajtani, nem lövünk túl a célon felesleges kiadásokkal terhelve a költségeket, de nem is lesz az elfogadhatónál gyengébb a védelmi rendszerünk. A második, közvetett előny a partnereinkkel történő kapcsolattartás során jelentkezik: egy partner szempontjából mindenképpen megkülönböztető értékű lehet, ha látja, hogy – például szemben a konkurenseinkkel – mi komolyan vesszük az üzleti folyamataink megbízhatóságát, nálunk a partner adatai (is) megfelelően védettek, s ezt a tényt egy független, nemzetközileg elismert auditor is igazolja.
