Információbiztonsági Irányítási Rendszerek MSZ ISO/IEC 27001, COBIT szerinti kiépítése
A gazdasági és társadalmi élet egyik legfontosabb értéke az információ. Az információ a szervezetek számára erőforrás, a hatékony működés alapja, a szervezet vagyona és gyakran termék, áru is. Az információ megbízhatósága, biztonsága alapvetően befolyásolja a szervezet működését.
Az informatikai biztonság megfelelő kialakításával lehet védeni a különféle veszélyforrásokkal szemben az információ:
- bizalmasságát, hogy az információ csak az arra felhatalmazottak számára legyen elérhető
- sértetlenségét, azaz gondoskodni az információk és a feldolgozási módszerek teljességének és pontosságának megőrzéséről
- rendelkezésre állását, hogy a felhatalmazott felhasználók hozzáférjenek az információkhoz és a kapcsolódó értékekhez, amikor szükséges.
Veszélyforrások
A veszélyforrások az alkalmazások bővülésével, a rendszerek bonyolultságának növekedésével folyamatosan bővülnek. Az információs rendszerektől és szolgáltatásoktól való függőség növekedésével a szervezetek sebezhetősége is nő. Már nem csak természeti katasztrófák (pl. földrengés, tűzvész), vandalizmus, szabotázs, kémkedés, hanem számítógéppel támogatott csalás, számítógépes betörések, vírusok is veszélyeztethetik a működést. Ugyancsak növeli a kockázatokat - megnehezítve a hozzáférés ellenőrzését - a magán és nyílt hálózatok összekapcsolódása, az információs erőforrások megosztása.
Információbiztonsági irányítási rendszer
Korábban az informatikai biztonság technikai, technológiai védelmet jelentett. Technikai eszközökkel viszont csak korlátozott biztonság érhető el, ezért szükséges különféle irányítási és szabályozási funkciók beépítése, valamint megfelelően kapcsolódó eljárások alkalmazása a szervezet működése és az információs rendszerek üzemeltetése során. Az információ biztonsága, azaz a védelem megteremtése, megőrzése egy olyan szabályozással teremthető meg, mely kiterjed a célok, politikák, eljárások, gyakorlat, szervezet, szoftver funkciók kialakítására illetve működtetésére.
Számos nemzetközi és hazai módszertan létezik a veszélyforrások, valamint az informatikai biztonsági kontrollok azonosítására, kezelésére. Ezen módszerek alkalmazásával létrehozott információbiztonági irányítási rendszerek segítségével a szervezetek hatékonyan csökkenthetik a fenti alapfenyegetettségek által jelentett biztonsági kockázatot.
Az információbiztonsági irányítási rendszerek kiépítését segítik:
MSZ ISO/IEC 27001 Az információbiztonság irányítási rendszereElőnyei:
- a készítés alatti EU biztonsági szabvány munkaanyaga
- magyar szabvány, és a magyar kormányzat által is támogatott
- tanúsítás megszerzésére van mód.
Előnyei:
- az informatikai auditorok nemzetközi szervezetének (ISACA) ajánlása
- IT irányítási módszertan
- hazai ISACA tagozat.
- a Pénzügyi Szervezetek Állami Felügyelete által is támogatott
Az információbiztonsági irányítási rendszer
Az információbiztonságii irányítási rendszer egy olyan integrált megoldás-csomag, amely a cégre vonatkozóan teljeskörű informatikai kockázatelemzést és kockázatkezelést tartalmaz, átfogja és szabályozza a szervezet teljes informatikai tevékenységét, kiemelve az adatvédelmi és adatbiztonsági szempontokat. Tartalmazza továbbá az informatikai rendszerek biztonságos működtetéséhez szükséges tervezési, technikai, és szabályozási és dokumentációs elemeket.
Az MSZ ISO/IEC 27001 szerinti információbiztonsági irányítási rendszereket akkreditált tanúsító szervezetek minősítik és az ajánlásoknak való megfelelőséget tanúsítvány kiállításával igazolják.
A HOPET Kft. vállalja ügyfelei információbiztonsági irányítási rendszerének kiépítését, igény szerint az MSZ ISO 9001 minőségirányítási rendszerbe való beintegrálását, a bevezetését és a tanúsításra való felkészítést.
Az irányítási rendszer projekt kezdetén tanácsadóink, mint független auditorok átvilágítják a terület működését, "gap analízist" végeznek, majd kidolgozzák a kiépítés konkrét feladatait.
A leendő ügyfeleinknek elsősorban az - EU biztonsági munkaanyagként is használt – MSZ ISO/IEC 27001 magyar szabvány szerinti információbiztonsági irányítási rendszerek megvalósítását ajánljuk, amelyet az alábbi szakaszokban valósítunk meg:
- Az ügyfél üzleti folyamatainak, informatikai vagyonelemeinek, vagyis az adatcsoportoknak, az informatikai rendszereknek és az infrastruktúrának felmérése, az ezekhez rendelt védelmi szintek rögzítése.
- Informatikai kockázat-elemzés készítése, a fenyegetettségek, az informatikai működés sérülékenységeinek a feltárása, az ebben rejlő kockázatok értékelése.
- Informatikai biztonsági politika dokumentum elkészítése, melyben meghatározásra kerül a társasági informatikai biztonsági tevékenység alapvető iránya.
- Informatikai biztonsági kézikönyv készítése, amely teljes körűen meghatározza az információbiztonsági rendszer tartalmát.
- Az információbiztonsági irányítási rendszer megvalósítása, mely során elkészülnek a technikai megoldások, szabályzatok, eljárások és utasítások, valamint a kapcsolódó alacsonyabb szintű dokumentumok.
- Oktatás szervezése az információbiztonsági irányítási rendszer működési szabályainak ismertetésére a vezetők, az informatikai munkatársak és a felhasználók részére.
- Az információbiztonsági irányítási, és az ISO 9001:2001 minőségirányítási dokumentum rendszerek összedolgozása (opció).
- Az információbiztonsági irányítási rendszer bevezetése, mely után lehetővé válik a tanúsítás megszerzése.
A vállalatok a tanúsítvány megszerzésével komoly versenyelőnyre tehetnek szert. A potenciális megrendelők üzleti adatainak, belső információinak a védelme ugyanis számos esetben megköveteli, hogy szállítói csak olyan szervezetek lehessenek, akik igazolni tudják informatikai biztonságuk megfelelőségét.
Az informatikai biztonságot érintő káreseményeket, az informatikai biztonsági beruházásokra fordított összegeket elemezve, a nemzetközi tanácsadó cégek adatai szerint az informatikai biztonsági rendszerek megtérülése 2-3 évre tehető. Ezért egyre több vállalatnál kerül be az információbiztonsági rendszerek bevezetésére indított projekt a vállalatok rövid- és középtávú terveibe.
Projektjeinket nemzetközi informatikai auditori oklevéllel (CISA) rendelkező szakmai projekt vezetők irányítják, a kapcsolódó minőségbiztosítási feladatokat TÜV és BVQI ISO 9001 vezető auditor minősítéssel rendelkező minőségirányítási szakértőink végzik.
Kinek ajánljuk?
Minden vállalkozásnak akinek
- adatai bizalmasak, nagy értékű üzleti titkokat tartalmaznak,
- egy esetleges adatvesztés jelentős anyagi veszteséget okozhat,
- az informatikai szolgáltatás kiesése komoly anyagi veszteséget jelenthet.