Öryggismál Sú tilhneiging er ráð- andi hér á landi sem annars staðar, að æða af stað og ætla að finna töfralausn á þessum málum í líki einhvers hugbúnaðar Til þess að tryggja öryggi og lifvænleika kerfis er nauðsynlegt að byggja upp ferli sem tekur á því, að umhverfið okkar er lif- andi og breytingum undirorpið um leið og þær gerast og geta metið um- fang skemmda og breytinga sem hafa orð- ið á kerfinu. Það sem síðan mestu máli skiptir er bati kerfisins, en það er sá hæfi- leiki að geta viðhaldið nauðsynlegum þjónustum og verndað búnað og rafrænar eignir meðan á árás stendur, takmarkað umfang skemmda og komið fullri þjón- ustu í gang í lok árásar. Er elcki bara hægt að fara til læknis og fá einhverjar „pillur" við því? Það sem helst stendur upp úr þegar leitað er leiða við að tryggja öryggi eða lífvæn- leika kerfa, er nauðsyn þess að ganga skipulega til verks. Sú tilhneiging er ráð- andi hér á landi sem annars staðar, að æða af stað og ætla að finna tófralausn á þess- um málum í líki einhvers hugbúnaðar. Farið er af stað og jafnvel tekin ákvörðun um hugbúnaðarsamstæðu (e. suite) sem á að ná yfir allt kerfið og leysa öll vanda- mál. Margir þekkja dæmi þess að innleið- ing slíkra lausna hefur tekið of langan tíma, eða ákvörðun tekin um að hætta við verkefnið áður en því er lokið. Þó að upplýsinga- og samskiptakerfi hafi þróast mikið síðastliðin 5-10 ár, eru þau enn í stöðugri framþróun og breyting- um undirorpin vegna uppbyggingar sem byggir á lagsskiptingu og opnun stöðlum og blönduðu umhverfi í vél- og hugbún- aði. Á sama tíma og sveigjanleg upp- bygging hvetur til þróunar, þá býður hún upp á stöðugt nýjar öryggisáhættur með hverri uppfærslu af vél- og hugbúnaði. Þannig bætast stöðugt við nýjar öryggis- holur við þær sem fyrir eru og aldrei voru fylltar. Af þessu leiðir, að til þess að tryggja ör- yggi og lífvænleika kerfis er nauðsynlegt að byggja upp ferli sem tekur á því, að umhverfið okkar er lifandi og breytingum undirorpið. Reynslan sýnir að til að taka á þessum málum af trúverðuleika og til framtíðar er að nauðsynlegt að fara í gegn- um ferli þar sem fengin er heildaryfirsýn yfir kerfið og skilgreind eru m.a. þau markmið sem fyrirtækið setur sér um ör- yggi og lífvænleika þess. Regluleg líkamsrækt er það sem byggir upp hraustlegt og gott útlit En hvernig er þá gengið skipulega til verks, þegar tryggja á öryggi eða lífvæn- leika kerfa? Ýmsar leiðir er hægt að fara, en allar byggja þær í grófum dráttum á sömu þáttum. Algengt er að nýta aðferða- fræði sem byggir á hugmyndafræði frá viðurkenndum aðilum, eða nýta sér t.d. BS 7799 öryggisstaðalinn, að hluta eða öllu leyti, til að leiða sig í gegnum þau verkefni sem nauðsynleg eru. Myndin sýnir það ferli sem nauðsynlegt er til að tryggja framgang og viðhald öryggismála. Hafa þarf í huga að þarna er verið að tala um lifandi ferli - slöðuga hringrás. Byrjað er að að skilgreina sýn fyrirtæk- isins, er tengist öryggi og lífvænleika upp- lýsingakerfisins. Þá er mikilvægt að hafa í huga hvaða kröfur og væntingar eru gerð- ar til upplýsingatæknideildarinnar og hvaðan þær koma. Mikilvægustu kröfurn- ar koma frá fyrirtækinu sjálfu, aðallega frá stjórnendum sem þurfa að skilgreina hvaða kröfur fyrirtækið gerir til upplýs- ingakerfisins. Aðrar kröfur geta komið til vegna reglugerða frá yfirvöldum eða við- skiptavinum fyrirtækisins. Öryggisstefna fyrirtækisins, er síðan unnin út frá sýninni og öryggismörkum sem aðilar hafa sett fyrir kerfið. Úrvinnsla öryggisstefnu og þar með talið ákvörðun um öryggismörk, er gerð út frá greiningu, sem gefur heildaryfirsýn yfir kerfið og dregur fram áhættuþætti í; fyrirtækjaum- hverfinu, kerfum og gögnum. Öryggis- stefna í upplýsingakerfum ákvarðar áherslur þegar settar eru reglur um stjórn- un, réttindi, skilgreininga (e. policies), ferla og aðferðir, sem taka á þeim áhættu- þáttum sem í ljós koma við öryggisúttekt. Eftir innleiðingu á öryggisstefnu og reglum er mikilvægt á að vakta upplýs- ingakerfið, þannig að öryggisbrot og önn- 12 Tölvumál
Beinir tenglar
