Tölvumál - 01.06.1997, Side 18
TOLVUMAL
söguleg gögn þurfi að vera
tiltæk í ákveðinn árafjölda aftur
í tímann.
• Afritun, geymsla
• Gagnagrunnur, skrár, aðrir
miðlar
3. Rekstrarörvggi. sem felur í sér
skipulag, eftirlit og umsjón með
gervöllu tölvuumhverfinu.
Rekstur tölvukerfa byggir á
fyrirfram skilgreindum öguð-
um reglum og vinnubrögðum
og öryggið er fólgið í að öll
tannhjólin snúist á samræmdan
máta, þar sem t.d. þessi atriði
eru mikilvæg:
• Varabúnaður: tölvur, netbúnað-
ur, varalínur, varaleiðir
• Uppitími, svartími
• Varaafl, rafaflstöð
• Traust og aðgengileg þjónusta
birgja og umboðsaðila
4. Umhverfisörvggi snýr að þátt-
um í umhverfi sem hafa áhrif á
forsendur fyrir öðrum öryggis-
þáttum, en eru í sjálfu sér ekki
tölvutæknilegs eðlis. Þar er um
að ræða atriði eins og:
• Aðgengi að húsnæði, vélbúnaði
• Eldvarnir, rakavarnir o.s.frv.
■ Fræðsla, siðareglur
Hvaðan stafar hættan
Allir geta orðið fyrir skakka-
föllum vegna ónógra öryggisráð-
stafana. Sérhver notandi tölva þarf
að vera meðvitaður um hættur sem
þar geta leynst og ógnað þeim
verðmætum sem í þessum búnaði
liggja bæði í formi gagna, hug- og
vélbúnaðar. Hjá fyrirtækjum verða
flest skakkaföll af völdum notenda
innan fyrirtækjanna sjálfra, oftast
vegna handvammar eða fikts, en
líka vegna mis alvarlegra afbrota
eða afbrotatilrauna. Það er því
réttmætt að segja að öryggisvanda-
mál séu frekar vandamál vegna
fólks en tölva, því þótt tölvur geti
vissulega bilað gera þær ekki
mistök eða fremja afbrot, þó þeim
sé stundum beitt til slíkra verka.
Orsakir öryggisvandamála eru því
oftast mannlegur breyskleiki, mis-
tök, vanræksla eða vanþekking.
Astæður fyrir slíkum vanda-
málum liggja oft í því að tækninni
fleygir fram úr þekkingunni.
Starfsfólk getur ekki sinnt sem
skyldi þekkingaröflun og
fyrirbyggjandi aðgerðum. Algeng-
asta ástæðan er þó sú að í mörgum
fyrirtækjum er verulegur skortur
á mannafla til að skipuleggja og
annast slík fyrirbyggjandi verk
vegna þess að stjórnendur skynja
ekki mikilvægi þessarar undirliggj-
andi vinnu, þar sem hún er ekki
sýnileg ef allt er með felldu. Það
er ekki fyrr en skaðinn er skeður
að ástandið verður öllum of ljóst.
Öryggisstefna,
öryggismarkmið
Öryggisvitund er mikilvæg í
menningu hvers fyrirtækis og
verður eingöngu náð með mark-
vissri upplýsingu og fræðslu til
allra starfsmanna. Hjá tækni-
hneigðu fólki gleymist oft að upp-
lýsingaleynd og gagnaöryggi á
ekki síður við um gögn á öðru
formi en tölvutæku. Til að koma
formlegu skipulagi á tölvuöryggis-
mál fyrirtækja og öryggismál
almennt er alger forsenda að fyrir
liggi skráð öryggisstefna og skýrar
öryggisreglur. Þessar reglur þurfa
að spanna allan vettvang tölvu- og
upplýsingamála og vera studdar og
fylgt eftir af æðstu stjórnendum
hvers fyrirtækis. I öryggisreglum
þarf að kveða skýrt á um hvað
skuli verja, hvers vegna, fyrir
hverjum og með hvaða hætti eigi
að bregðast við þegar út af bregð-
ur. Viðbrögð þurfa að vera ljós
fyrirfram áður en áföll verða, svo
ekki þurfi að taka skyndiákvarð-
anir undir þrýstingi.
Öryggisstefna lýsir hins vegar
ekki á tæknilegum nótum hvernig
skuli framkvæma hlutina.
Áhættumat
Þegar öryggisstefna er undir-
búin er nauðsynlegt að meta alla
viðeigandi þætti í verðmæti eign-
anna (t.d. upplýsinga, ímyndar
fyrirtækisins o.s.frv.) annars vegar
og hins vegar áhættuna sem tekin
er með óbreyttu ástandi. Þessar
tvær hliðar verður að setja á vogar-
skálar hagkvæmnimats og setja
öryggismarkmið sem eru innan
skynsamlegra marka. Þau mark-
mið þarf svo að endurskoða með
reglulegu millibili til að halda jafn-
væginu.
Við þetta mat þarf að tína til
öll aðföng sem geta orðið fyrir
skakkaföllum ef öryggismál
bregðast. Þar eru atriði eins og
1. Vélbúnaður (t.d. tölvur og
tölvuhlutar, prentarar, netbún-
aður, gagnalínur)
2. Hugbúnaður (t.d. stýrikerfi,
forritakóði, samskiptabúnaður,
grei n i ngarbúnaður)
3. Gögn (t.d. í gagnagrunnum,
geymd áböndum, gisladiskum,
prentuð)
4. Fólk (t.d. almennir notendur,
þeir sem halda upplýsingakerf-
um í gangi)
5. Heimildaskrár (t.d. um vélbún-
að, lýsingar á forritum, um-
18 - JÚNÍ1997