Öryggismál Rekstraröryggi upplýsingakerfa Albert Ólafsson og Guðríður Jóhannesdóttir Tölvuöryggismál teljast því ekki lengur einkamál tölvudeilda, heldur meðal brýnustu viðfangsefna stjórnenda S síðasta ári tók Ríkisendurskoðun saman greinargerð um rekstrar- öryggi upplýsingakerfa. Greinargerðin, sem var skrifuð í for- varnarskyni, var send öllum stofnunum og fyrirtækjum ríkisins. Þar sem líklegt er að fleiri geti haft gagn af efni greinargerðar- innar verður hér á eftir í stuttu máli fjallað um tilgang og helstu efnisþætti hennar. Tilgangur greinargerðarinnar var sá að aðstoða forstöðumenn ríkisaðila við að efla þann hluta innra eftirlits, sem snýr að upplýsingakerfum þeirra, og draga þar með úr lrkum á verulegri röskun á starf- semi ef rekstrartruflanir verða í kerfunum. Greinargerðin var tekin saman í framhaldi af greinargerð stofnunarinnar um ártalið 2000, sem kom út á árinu 1997. Þar sem þessi tímamót nálgast nú óðfluga er nauðsynlegt að stofnanir og fyrirtæki séu vel undir það búin að takast á við óvæntar rekstrartruflanir vegna þeima. Jafnframt var ætlunin að vekja forstöðumenn rikis- aðila til umhugsunar um mikilvægi upp- lýsingakerfa fyrir þann rekstur, sem þeir veita forstöðu og þá ábyrgð, sem á þeim hvílir við að tryggja öryggi þeirra. Lögð var áhersla á skilning á helstu áhættuþáttum, nauðsyn áhættumats, mótun öryggisstefnu, val á öryggisráð- stöfunum og stöðugt endurmat öryggis- mála. Allir þessir þættir eru í raun liðir í því innra eftirliti, sem til staðar ætti að vera hjá hverjum ríkisaðila. Starfsemi stofnana og fyrirtækja byggir nú að miklu leyti á notkun upplýsinga- kerfa. Oftast er ekki hægt eða óviðunandi að grípa til eldri vinnubragða ef truflanir verða í rekstri kerfanna. Tölvuöryggismál teljast því ekki lengur einkamál tölvu- deilda, heldur meðal brýnustu viðfangs- efna stjórnenda. Helstu óhættuþættir I greinargerðinni er fjallað þó nokkuð um helstu áhættuþætti, sem til staðar eru almennt í rekstri upplýsingakerfa í dag. Þó að hætta af völdum náttúruhamfara sé nokkur hér á landi má telja að hegðun starfsmanna og aðgangur óviðkomandi aðila að upplýsingakerfum séu stærstu áhættuþættirnir með tilliti til rekstrar- öryggis. Því er lögð áhersla á að í öryggis- málum upplýsingakerfa þurfi ráðstafanir bæði að beinast að starfsmönnum og utanaðkomandi aðilum. Auk framan- greindra áhættuþátta er einnig fjallað um Netið, tölvuveirur, rafræn viðskipti, eldsvoða, vatnsskemmdir, náttúruham- farir, ártalið 2000 o.fl. Nokkuð er fjallað um tölvuinnbrot og eru stofnanir og fyrirtæki ríkisins ein- dregið hvött til þess að tilkynna um þau til lögreglu þó að ekki sé tilefni til kæru. Astæðan er sú að lögreglan býr e.t.v. yfir vitneskju um að sami aðili hafi brotist annars staðar inn án þess að kæra hafi komið fram. Tilkynningar geta þar með aukið líkur á því að tölvuþrjótar náist. Gerð áhættumats Nokkuð ítarlega er fjallað um gerð áhættumats, sem felst í því að meta mikil- vægi upplýsingakerfa og gagna fyrir viðkomandi rekstraraðila og hvaða áhættuþættir það eru, sem haft geta áhrif á öryggi kerfanna. Meta þarf hvaða líkur eru á því að áhætta verði að raunveruleika og valdi truflun eða stöðvun á rekstri við- komandi og hverjar verði líklegar afleið- ingar hennar. Lögð er áhersla á að áhættu- matið þurfi stöðugt að vera í endurskoðun m.a. vegna örra tæknibreytinga. Fjallað er um nauðsyn þess að ákveðnum aðilum sé falin yfirumsjón með öryggismálum á hverjum stað og um þau verkefni, sem vera ættu í verkahring slíkra aðila. Mótun öryggisstefnu og ábyrgð stjórnenda Stofnanir og fyrirtæki ríkisins þurfa að móta sérstaka öryggisstefnu vegna upplýsinga- kerfa sinna. I öryggisstefnu eiga að birtast þau meginmarkmið, sem viðkomandi stefnir að með öryggisráðstöfunum sínum. Telja verður vegna mikilvægis upplýsingakerfa fyrir rekstur stofnana og fyrirtækja ríkisins að eitt af hlutverkum 6 Tölvumál

Síða 1
Síða 2
Síða 3
Síða 4
Síða 5
Síða 6
Síða 7
Síða 8
Síða 9
Síða 10
Síða 11
Síða 12
Síða 13
Síða 14
Síða 15
Síða 16
Síða 17
Síða 18
Síða 19
Síða 20
Síða 21
Síða 22
Síða 23
Síða 24
Síða 25
Síða 26
Síða 27
Síða 28
Síða 29
Síða 30
Síða 31
Síða 32