Tölvumál - 01.12.1994, Qupperneq 7
Desember 1994
Aðgangs- og rekstraröryggi tölvukerfa
Grein þessi er byggð á erindi sem flutt var á Öryggisráðstefnu SI í október 1994.
Eftir Ingvar Ólafsson
Á undanförnum árum hafa
miklar breytingar átt sér stað í
starfsháttum stofnana og fyrir-
tækja. Tölvubúnaður hefur rutt
sér til rúms og tekið yfir seinleg-
ustu og erfiðustu störfm. Með
breyttum vinnubrögðum hefur
vægi tölvubúnaðarins aukist til
muna. Mörg fyrirtæki verða
óstarfhæf ef tölvubúnaðurinn er í
lamasessi. Vottorð eru ekki gefin
út, reikningar hvorki borgaðir né
innheimtir, launagreiðslur, lager-
bókhald og fleiri atriði bíða þess
að tölvukerfið verði aftur starf-
hæft.
Þessi þróun verður oft án þess
að stj ómendur fyrirtækj a og stofn-
ana geri sérfullagrein fyrirhenni.
Neyðaráætlanir eru ýmist ekki til
eða mjög ófullkomnar og önnur
öryggismál látin reka á reiðanum.
Spurningum eins og "Hvernig
starfar fyrirtæki þitt eða stofnun
ef tölvubúnaðurinn hverfur einn
góðan veðurdag?" hefur ekki verið
svarað. Oft gleymist einnig að
upplýsingar eru verðmætar. Þær
geta verið verðmætar sem versl-
unarvara, verðmætar fyrir sam-
keppnisaðila eða kostað fyrirtæki
trúnaðartraust ef þær leka út.
Síðast en ekki sístermanntími dýr
og hverri stundu eða krónu sem
varið er til að taka til eftir slys eða
áfall er varið of seint. Aðgerðir
þurfa að vera fyrirbyggjandi til að
koma að fullum notum.
Fyrstu aðgerðir í öryggis-
málum ættu að vera mörkun
öryggisstefnu.
Öryggisstefnan ákveður
hverj ir, hvenær og hvemig hægt er
unum, nota gögnin cða fjármagna
fyrrnefnda vinnu. Leggja verður
áherslu á að stefnumótun af þessu
tagi flokkast ekki undir tæknimál,
heldur heilbrigða skynsemi og eðli-
lega viðskiptahætti. Skilgreining
öryggisstefnu ætti ekki að tak-
markast eða mótast af þeim
tæknibúnaði sem viðkomandi
fyrirtæki eða stofnun hefur yfír að
ráða á þeim tímapunkti þegar
öryggisstefnan verðurtil. Efbún-
aðurinn getur ekki uppfyllt kröfur
öryggisstefnunnar þarf að bæta
við búnaði. Stefnan á að endur-
spegla eðli gagnanna og þau um-
svif sem þeim tengjast. Þannig má
tryggja að áherslur séu réttar og i
samræmi við verðmæti gagnanna.
Notamá margar mismun-
andi aðferðirtil að skilgreina
og lýsa öryggisstefnu, en
allar eiga þær sameiginlega
þætti, sem fella má í eina
setningu, "Réttir hlutir á
réttum stað á réttum tíma
fyrir rétta aðila". Þettakann
að virðast almennt, en ef
grannt er skoðað uppfyllir
þessi setningallarkröfur sem
gera þarf til öryggisstefnu.
Rétt er að ganga út frá þeirri
forsendu að allt sem ekki er
Til hvers tekur öryggisstefnan?
-*■ Húsnæðis
^Miðlægs búnaðar
* Samskiptabúnaðar
Endabúnaðar
Úttakstækja
heimilað í öiyggisstefnunni,
að nálgast gögn eða vélbúnað sébannað. Auðvitaðgeturöryggis-
fyrirtækis eða stofnunar. Þeir stefnaverið skilgreindnákvæmar
aðilar sem marka eiga stefnuna ogæskilegtaðsvosé.Mikilvægast
eru eigendur gagnanna. Eigend- er þó að kynna og framfylgja
umir em þeir sem safna gögn- öryggisstefnunni.Öryggisstefnan
7 - Tölvumál