BUX 140740.46 0,61 %
OTP 46190 0,52 %
Promo app

Töltse le az Economx appot!

Letöltés

Hatékonyabb védekezés it-biztonsági auditálással

Az informatikai biztonságot a szakértők az egyik legnagyobb kihívást jelentő területként tartják számon napjainkban. Ma már nemcsak a nagyvállalatoknak és intézményeknek, de a kis- és középvállalkozásoknak is számolniuk kell a külső és belső biztonsági fenyegetésekkel, melyek ellen a leghatékonyabb védekezési módszert a megelőzés jellegű intézkedések jelentik. De hogyan dönthetjük el, hogy vállalatunknak milyen biztonsági szintre van szüksége, melyek azok az intézkedések, termékek és szolgáltatások, amelyeket feltétlenül igénybe kell vennünk ahhoz, hogy biztonságban tudjuk bizalmas adatainkat, és melyek azok, amelyek csak a költségeinket növelik? Ezt egy informatikai felmérés, úgynevezett audit során érdemes felmérni egy it-biztonsági szakértő segítségével. Ennek részleteiről kérdeztük az információbiztonsági technológiák és szolgáltatások egyik hazai szakértőjét, Kőrös Zsoltot, a Noreg Kft. ügyvezető igazgatóját.

2006. szeptember 18. hétfő, 23:59

Google Állítsd be, hogy az Economx az elsők között legyen a Google-találatokban!

– Milyen múltja és jövője van hazánkban az informatikai biztonsági felméréseknek, úgynevezett auditoknak? – Informatikai auditot eddig leginkább azok a vállalatok végeztek, amelyek az előírt törvényi kötelezettségnek szerettek volna megfelelni ezáltal. Jellemzően a nagyobb ipari vállalatok és a pénzintézetek jártak élen ebben, utóbbiaknál például a PSZÁF rendszeresen ellenőrzi is a tanúsítványok érvényességét. Az államigazgatás egyes területein találunk még erre élő példát, például maga a PSZÁF is rendelkezik többek között a brit információvédelmi tanúsítvánnyal, a BS 7799-cel. A jövőre nézve – it-biztonsági szakértőként – az a meglátásom, hogy egyre több olyan terület van, ahol egy szakértő által végzett audittal jól megteremthető vagy tovább növelhető a biztonság. – Egy audit során hogyan mérik fel, hogy milyen az elvárt és a tényleges biztonsági szint? – Egy-egy auditnak – legyen az egy szolgáltatások minőségére vonatkozó audit vagy egy it-biztonsági felmérés – az a célja, hogy teljes mértékben feltárjuk a tényleges szintet, és lássuk, mi mindennek kell még megvalósulnia az elvárt szint teljesítéséhez. Az informatikában az elvárások alapvetően a folyamatos működést, a megfelelő rendelkezésre állást, a feldolgozott információk védelmét, illetve az informatikai erőforrások jogosulatlan használatának megakadályozását célozzák. A vállalat profiljától, működésétől, létszámától, informatikai rendszerének bonyolultságától függően kell ezeket a tényezőket különböző súllyal figyelembe venni, így biztosítjuk az üzemeltetők és felhasználók számára az informatikai rendszer minél hatékonyabb felhasználhatóságát. – Milyen módszerrel tárják fel a biztonsági réseket és dolgozzák ki a megoldási javaslatot annak megszüntetésére? – Alapvető fontosságú, hogy minél teljesebb körben és a szükséges mélységben áttekintsük az informatikai rendszert érintő kérdéseket. A józan ésszel átgondolt szempontokon túl jóval hatékonyabb módszer, ha ezt egy már meglévő, jól átgondolt szabványra építve tesszük meg. Ilyen például az ISO 9000-es minőségirányítási szabvány és a BS 7799 utódja, az ISO 27000 szabvány. Ezek a szabványok az Európai Unióban is elfogadottak, így, ha erre építve auditálunk, akkor az eredményeink széles körben, nemzetközi szinten is elfogadottak lesznek, akár nemzetközi partnereink bizalmát is növelhetjük ezzel. – Milyen előnye van egy ilyen, szabvány szerint végzett auditnak? – Kettős előnyről beszélhetünk, ha egy elfogadott szabvány szerint végeztetünk auditot cégünknél. Az első, közvetlen előny az, hogy viszonylag nagy objektivitással feltárhatók az informatikai rendszerünk (és a hozzá kapcsolódó folyamatok) kritikus pontjai, azok a pontok, amelyek kockázatokat hordozhatnak. Ezek feltárása után már jóval egyszerűbb feladat az elhárításukhoz szükséges döntések meghozatala, vagy éppen az adott kockázati tényezők tudomásulvétele. Ez az út vezethet el minket a lehető leggazdaságosabb megoldások kiválasztására, amikor is biztosítani tudjuk, hogy a fenyegetettség mértékével arányos védelmi lépéseket tudunk végrehajtani, nem lövünk túl a célon felesleges kiadásokkal terhelve a költségeket, de nem is lesz az elfogadhatónál gyengébb a védelmi rendszerünk. A második, közvetett előny a partnereinkkel történő kapcsolattartás során jelentkezik: egy partner szempontjából mindenképpen megkülönböztető értékű lehet, ha látja, hogy – például szemben a konkurenseinkkel – mi komolyan vesszük az üzleti folyamataink megbízhatóságát, nálunk a partner adatai (is) megfelelően védettek, s ezt a tényt egy független, nemzetközileg elismert auditor is igazolja.

Girnt József (admin)
Girnt József (admin)

Ez is érdekelhet