Állítsd be, hogy az Economx az elsők között legyen a Google-találatokban!
Ha egy átfogó védelmi szabályzat hatálybaléptetésének szükségességét illetően nem lennének eléggé meggyőzőek az internetes vagy belső veszélyforrások, a kormányok újabban megjelenő előírásai azok lesznek. A pénzügyi szolgáltatások területét a Gramm–Leach–Bliley törvény (GLBA) és annak védelmi szabályzata érinti az USA-ban, amely előírja, hogy ezek az intézetek az ügyfeleik információinak védelmére tervezzenek, alkalmazzanak és tartsanak fenn óvintézkedéseket. A 2002-es Sarbanes–Oxley törvény (SOX) a tőzsdén jelen levő vállalatoktól követeli meg, hogy mérlegüket hitelesíttessék és bizonyítsák, hogy a mérlegük összeállításához használt adatok és eljárások ellenállnak a csalási kísérleteknek. Annak kijelentéséhez, hogy a vállalat mérlege pontos, a vezetőknek biztosnak kell lenniük abban, hogy digitálisan tárolt adataik biztonságban vannak.
Ha eddig még nem történt volna meg, a vállalkozásoknak most már rá kell ébredniük arra, hogy a vállalati adatok védelme és a veszélyforrások leküzdése, valamint az állami szabályozásnak való megfelelés és a szakmai követelmények terén fennálló aggodalmak lecsillapítása érdekében mennyire fontos a teljes körű védelmi szabályzat megléte.
A védelem váza
A betartatható vállalati védelmi szabályzatok számos előnnyel járnak. A sérülékenységek felismerésének és a velük való foglalkozásnak a biztosításán keresztül erősítik az informatikai infrastruktúrát, ami viszont védi az üzletmenet folytonosságát. A védelmi szabályzatok segítenek a vállalati kockázatok csökkentésében az információ szervezeten belüli, az ügyfelekkel, partnerekkel és szállítókkal történő biztonságos megosztásában, valamint abban, hogy a szervezet megfeleljen a szakmai és kormányzati követelményeknek és előírásoknak. A vállalat alkalmazottai körében is megnövelik a védelem iránti elkötelezettséget, amely fokozza az egyének együttműködési készségét.
A szabályzat felépítése
Az eredményes védelmi szabályzatnak a védelem kialakításának és irányításának az adott vállalati környezetre vonatkozó eljárásait, irányelveit és gyakorlatát egyértelműen le kell írnia – figyelmeztet a Symantec szakértője. Az adott informatikavédelmi szabályzat egymásra épülő dokumentumok összessége. A legfelső szint a szervezet információvédelmi filozófiáját és elvárásait leíró, rövid, általában kétoldalnyi dokumentum. Ez maga a tulajdonképpeni információvédelmi szabályzat. Világos, általános szakkifejezésekkel íródott, és négy fő témát érint: kire és mire vonatkozik a szabályzat, a szabályzat betartásának szükségessége, a szabályzat általános leírása és a szabályzat be nem tartásának következményei. Ezek az alapvető témák adják a további dokumentumok keretét. A védelmi szabályzat elkészültét követően azt jóvá kell hagyatni, és alá kell íratni a vállalkozás legfőbb vezetőjével, majd valamennyi alkalmazott számára elérhetővé kell tenni.
A tulajdonképpeni védelmi szabályzatot leíró dokumentum alatt egy szinttel a szabványokat leíró dokumentum található. Ez olyan részletes eljárásiszabály-gyűjtemény, amelynek minden alkalmazott aláveti magát. A szabványokat taglaló dokumentum alatt a védelmi felügyelet alkalmazásának és kezelésének pontos részletezését tartalmazó üzemeltetési útmutató található. Az általában az információvédelmi eljárások dokumentumgyűjteményeként említett utasításokat valamennyi alkalmazottnak be kell tartania, hogy megfeleljen a cég információvédelmi szabályainak. Mivel az eljárások leírását széles körben használják, ezért formájának és beosztásának egységesnek, nyelvezetének egyszerűnek, magának a dokumentumnak nyomtatott és elektronikus formában egyaránt elérhetőnek kell lennie.
A szabályzat betartása
Fontos, hogy a védelmi szabályzat könnyen végrehajtható és ellenőrizhető legyen. Ennek ellenére általában kevés szervezet rendelkezik olyan eszközökkel, hogy saját megfelelését ellenőrizni tudja. Ennek következtében egyes cégek ezen és más védelmi szolgáltatások külső kézbe adását választják. Mások olyan műszaki megoldások bevezetése mellett döntenek, amelyek kifejezetten a szabályzat vállalati szintű betartásának felmérésére készültek.
A szabályzat betartását vizsgáló szoftver szabályok alapján méri fel a hálózati erőforrások védettségét. Ezek a programok gyakorta tartalmaznak olyan mintaszabályzatokat, amelyeket fel lehet használni a telepítési problémák felleléséhez és kijavításához, majd alapul szolgálhatnak a vállalat saját szabályzataihoz.
Egyes esetekben ez a szoftver a legjobban bevált szabályzatokat is tartalmazza, amely elősegíti, hogy a vállalatok meg tudjanak felelni az ISO 17799-nek, a HIPAA-nak, a NERC-nek és egyéb olyan szabványoknak és előírásoknak, amelyek a rendszerek konkrét sérülékenységeivel foglalkoznak. Minták biztosítják az alapokat azon feltételeknek a meghatározásához, amelyeknek a konkrét számítógépeken teljesülniük kell. A tényleges védelmi vizsgálatot különböző modulok végzik el. Ha nincs szükség a teljes szabályzat ellenőrzésére, például csak a jelszavak hosszát kívánják ellenőrizni, az egyes modulok a kényelem és az időmegtakarítás érdekében gyakran önállóan is futtathatók.
Ahhoz, hogy a vállalkozások egyszerűbben megfelelhessenek az e téren kitűzött céljaiknak, önműködő eszközök állnak rendelkezésre a sérülékenységek felfedezésére és jelzésére, valamint a védelmi személyzetnek szóló, tömör és fontossági sorrendbe állított információ létrehozására. Ezekkel az eszközökkel a vállalatok a védelmi problémák megoldására, a fontos javak megvédésére és a vállalkozás zavartalan menetének a fenntartására összpontosíthatnak.
A működőképesség biztosítása
Az egyre bonyolultabbá váló, gyarapodó és gyorsuló veszélyforrások közepette a vállalati információvédelmi szabályzatok létrehozása, karbantartása és betartatása az üzletmenet hosszú távú folyamatosságának biztosítását szolgálja. Az időálló védelmi szabályzat csökkenti a védelem meghiúsulásának valószínűségét, és ezzel a vállalkozásoknak előnyt biztosít napjaink komoly erőpróbát jelentő, de határozottan ígéretes digitális korszakában – jósolja a Symantec szakembere.
Napi Informatika
