Tölvumál - 01.03.1999, Page 6
Öryggismál
Rekstraröryggi upplýsingakerfa
Albert Ólafsson og Guðríður Jóhannesdóttir
Tölvuöryggismál
teljast því ekki lengur
einkamál tölvudeilda,
heldur meðal
brýnustu viðfangsefna
stjórnenda
S
síðasta ári tók Ríkisendurskoðun
saman greinargerð um rekstrar-
öryggi upplýsingakerfa.
Greinargerðin, sem var skrifuð í for-
varnarskyni, var send öllum stofnunum og
fyrirtækjum ríkisins. Þar sem líklegt er að
fleiri geti haft gagn af efni greinargerðar-
innar verður hér á eftir í stuttu máli fjallað
um tilgang og helstu efnisþætti hennar.
Tilgangur greinargerðarinnar var sá að
aðstoða forstöðumenn ríkisaðila við að
efla þann hluta innra eftirlits, sem snýr að
upplýsingakerfum þeirra, og draga þar
með úr lrkum á verulegri röskun á starf-
semi ef rekstrartruflanir verða í kerfunum.
Greinargerðin var tekin saman í framhaldi
af greinargerð stofnunarinnar um ártalið
2000, sem kom út á árinu 1997. Þar sem
þessi tímamót nálgast nú óðfluga er
nauðsynlegt að stofnanir og fyrirtæki séu
vel undir það búin að takast á við óvæntar
rekstrartruflanir vegna þeima. Jafnframt
var ætlunin að vekja forstöðumenn rikis-
aðila til umhugsunar um mikilvægi upp-
lýsingakerfa fyrir þann rekstur, sem þeir
veita forstöðu og þá ábyrgð, sem á þeim
hvílir við að tryggja öryggi þeirra.
Lögð var áhersla á skilning á helstu
áhættuþáttum, nauðsyn áhættumats,
mótun öryggisstefnu, val á öryggisráð-
stöfunum og stöðugt endurmat öryggis-
mála. Allir þessir þættir eru í raun liðir í
því innra eftirliti, sem til staðar ætti að
vera hjá hverjum ríkisaðila.
Starfsemi stofnana og fyrirtækja byggir
nú að miklu leyti á notkun upplýsinga-
kerfa. Oftast er ekki hægt eða óviðunandi
að grípa til eldri vinnubragða ef truflanir
verða í rekstri kerfanna. Tölvuöryggismál
teljast því ekki lengur einkamál tölvu-
deilda, heldur meðal brýnustu viðfangs-
efna stjórnenda.
Helstu óhættuþættir
I greinargerðinni er fjallað þó nokkuð um
helstu áhættuþætti, sem til staðar eru
almennt í rekstri upplýsingakerfa í dag. Þó
að hætta af völdum náttúruhamfara sé
nokkur hér á landi má telja að hegðun
starfsmanna og aðgangur óviðkomandi
aðila að upplýsingakerfum séu stærstu
áhættuþættirnir með tilliti til rekstrar-
öryggis. Því er lögð áhersla á að í öryggis-
málum upplýsingakerfa þurfi ráðstafanir
bæði að beinast að starfsmönnum og
utanaðkomandi aðilum. Auk framan-
greindra áhættuþátta er einnig fjallað um
Netið, tölvuveirur, rafræn viðskipti,
eldsvoða, vatnsskemmdir, náttúruham-
farir, ártalið 2000 o.fl.
Nokkuð er fjallað um tölvuinnbrot og
eru stofnanir og fyrirtæki ríkisins ein-
dregið hvött til þess að tilkynna um þau til
lögreglu þó að ekki sé tilefni til kæru.
Astæðan er sú að lögreglan býr e.t.v. yfir
vitneskju um að sami aðili hafi brotist
annars staðar inn án þess að kæra hafi
komið fram. Tilkynningar geta þar með
aukið líkur á því að tölvuþrjótar náist.
Gerð áhættumats
Nokkuð ítarlega er fjallað um gerð
áhættumats, sem felst í því að meta mikil-
vægi upplýsingakerfa og gagna fyrir
viðkomandi rekstraraðila og hvaða
áhættuþættir það eru, sem haft geta áhrif á
öryggi kerfanna. Meta þarf hvaða líkur eru
á því að áhætta verði að raunveruleika og
valdi truflun eða stöðvun á rekstri við-
komandi og hverjar verði líklegar afleið-
ingar hennar. Lögð er áhersla á að áhættu-
matið þurfi stöðugt að vera í endurskoðun
m.a. vegna örra tæknibreytinga. Fjallað er
um nauðsyn þess að ákveðnum aðilum sé
falin yfirumsjón með öryggismálum á
hverjum stað og um þau verkefni, sem vera
ættu í verkahring slíkra aðila.
Mótun öryggisstefnu og ábyrgð
stjórnenda
Stofnanir og fyrirtæki ríkisins þurfa að móta
sérstaka öryggisstefnu vegna upplýsinga-
kerfa sinna. I öryggisstefnu eiga að
birtast þau meginmarkmið, sem viðkomandi
stefnir að með öryggisráðstöfunum sínum.
Telja verður vegna mikilvægis
upplýsingakerfa fyrir rekstur stofnana og
fyrirtækja ríkisins að eitt af hlutverkum
6
Tölvumál