Öryggismál n I j. •• • 1/ • ¦ r Rekstrar oryggi upplysmi gakerfa Albert Ólafsson og Guðríður Jóhannesdóttir s A síðasta ári tók Ríkisendurskoðun starfsmanna og aðgangur óviðkomandi /\ saman greinargerð um rekstrar- aðila að upplýsingakerfum séu stærstu X. \. öryggi upplýsingakerfa. áhættuþættirnir með tilliti til rekstrar- Greinargerðin, sem var skrifuð í for- óryggis. Því er lögð áhersla á að í öryggis- varnarskyni, var send öllum stofnunum og málum upplýsingakerfa þurfí ráðstafanir fyrirtækjum ríkisins. Þar sem líklegt er að jæði að beinast að starfsmönnum og fleiri geti haft gagn af efni greinargerðar- utanaðkomandi aðilum. Auk framan- innar verður hér á eftir í stuttu máli fjallað greindra áhættuþátta er einnig fjallað um um tilgang og helstu efnisþætti hennar. Níetið, tölvuveirur, rafræn viðskipti, Tilgangur greinargerðarinnar var sá að eldsvoða, vatnsskemmdir, náttúruham- aðstoða forstöðumenn ríkisaðila við að farir, ártalið 2000 o.fl. efla þann hluta innra eftirlits, sem snýr að Nokkuð er fjallað um tölvuinnbrot og upplýsingakerfum þeirra, og draga þar eru stofnanir og fyrirtæki ríkisins ein- með úr líkum á verulegri röskun á starf- dregið hvött til þess að tilkynna um þau til semi ef rekstrartruflanir verða í kerfunum. lögreglu þó að ekki sé tilefni til kæru. Greinargerðin var tekin saman í framhaldi Astæðan er sú að lögreglan býr e.t.v. yfir af greinargerð stofnunarinnar um ártalið vitneskju um að sami aðili hafi brotist 2000, sem kom út á árinu 1997. Þar sem annars staðar inn án þess að kæra hafi þessi tímamót nálgast nú óðfluga er somið fram. Tilkynningar geta þar með nauðsynlegt að stofnanir og fyrirtæki séu aukið líkur á því að tölvuþrjótar náist. vel undir það búin að takast á við óvæntar rekstrartruflanir vegna þeirra. Jafnframt Gerð áhættumats var ætlunin að vekja forstöðumenn ríkis- Nokkuð ítarlega er fjallað um gerð aðila til umhugsunar um mikilvægi upp- áhættumats, sem felst í því að meta mikil- lýsingakerfa fyrir þann rekstur, sem þeir vægi upplýsingakerfa og gagna fyrir veita forstöðu og þá ábyrgð, sem á þeim viðkomandi rekstraraðila og hvaða hvílir við að tryggja öryggi þeirra. áhættuþættir það eru, sem haft geta áhrif á Lögð var áhersla á skilning á helstu öryggi kerfanna. Meta þarf hvaða líkur eru áhættuþáttum, nauðsyn áhættumats, á því að áhætta verði að raunveruleika og mótun öryggisstefnu, val á öryggisráð- valdi truflun eða stöðvun á rekstri við- stöfunum og stöðugt endurmat öryggis- komandi og hverjar verði líklegar afleið- mála. Allir þessir þættir eru í raun liðir í ingar hennar. Lögð er áhersla á að áhættu- því innra eftirliti, sem til staðar ætti að matið þurfi stöðugt að vera í endurskoðun vera hjá hverjum ríkisaðila. m.a. vegna örra tæknibreytinga. Fjallað er Starfsemi stofnana og fyrirtækja byggir um nauðsyn þess að ákveðnum aðilum sé nú að miklu leyti á notkun upplýsinga- falin yfirumsjón með öryggismálum á kerfa. Oftast er ekki hægt eða óviðunandi hverjum stað og um þau verkefni, sem vera Tölvuöryggismál að grípa til eldri vinnubragða ef truflanir ættu í verkahring slíkra aðila. teljast því ekki lengur verða í rekstri kerfanna. Tölvuöryggismál einkamál tölvudeilda, teljast því ekki lengur einkamál tölvu- Mótun öryggisstefnu og ábyrgð heldur meðal deilda, heldur meðal brýnustu viðfangs- stjórnenda brýnustu viðfangsefna efna stjórnenda. Stofnanir og fyrirtæki ríkisins þurfa að móta stjórnenda sérstaka öryggisstefnu vegna upplýsinga- Helstu áhættuþættir kerfa sinna. I óryggisstefnu eiga að I greinargerðinni er fjallað þó nokkuð um birtast þau meginmarkmið, sem viðkomandi helstu áhættuþætti, sem til staðar eru stefnir að með öryggisráðstöfunum sínum. almennt í rekstri upplýsingakerfa í dag. Þó Telja verður vegna mikilvægis að hætta af völdum náttúruhamfara sé upplýsingakerfa fyrir rekstur stofnana og nokkur hér á landi má telja að hegðun fyrirtækja ríkisins að eitt af hlutverkum Tölvumál
Beinir tenglar
