menu
Tölvumál
An error has occurred.
1. árgangur 19762. árgangur 19773. árgangur 19784. árgangur 19795. árgangur 19806. árgangur 19817. árgangur 19828. árgangur 19839. árgangur 198410. árgangur 198511. árgangur 198612. árgangur 198713. árgangur 198814. árgangur 198915. árgangur 199016. árgangur 199117. árgangur 199218. árgangur 199319. árgangur 199420. árgangur 199521. árgangur 199622. árgangur 199723. árgangur 199824. árgangur 199925. árgangur 200026. árgangur 200127. árgangur 200228. árgangur 200329. árgangur 200430. árgangur 200531. árgangur 200632. árgangur 200733. árgangur 200834. árgangur 200935. árgangur 201036. árgangur 201137. árgangur 201238. árgangur 201339. árgangur 201440. árgangur 201541. árgangur 201642. árgangur 201743. árgangur 201844. árgangur 2019
Tölvumál - 01.03.1999, Qupperneq 6
Öryggismál
Rekstraröryggi upplýsingakerfa
Albert Ólafsson og Guðríður Jóhannesdóttir
Tölvuöryggismál
teljast því ekki lengur
einkamál tölvudeilda,
heldur meðal
brýnustu viðfangsefna
stjórnenda
S
síðasta ári tók Ríkisendurskoðun
saman greinargerð um rekstrar-
öryggi upplýsingakerfa.
Greinargerðin, sem var skrifuð í for-
varnarskyni, var send öllum stofnunum og
fyrirtækjum ríkisins. Þar sem líklegt er að
fleiri geti haft gagn af efni greinargerðar-
innar verður hér á eftir í stuttu máli fjallað
um tilgang og helstu efnisþætti hennar.
Tilgangur greinargerðarinnar var sá að
aðstoða forstöðumenn ríkisaðila við að
efla þann hluta innra eftirlits, sem snýr að
upplýsingakerfum þeirra, og draga þar
með úr lrkum á verulegri röskun á starf-
semi ef rekstrartruflanir verða í kerfunum.
Greinargerðin var tekin saman í framhaldi
af greinargerð stofnunarinnar um ártalið
2000, sem kom út á árinu 1997. Þar sem
þessi tímamót nálgast nú óðfluga er
nauðsynlegt að stofnanir og fyrirtæki séu
vel undir það búin að takast á við óvæntar
rekstrartruflanir vegna þeima. Jafnframt
var ætlunin að vekja forstöðumenn rikis-
aðila til umhugsunar um mikilvægi upp-
lýsingakerfa fyrir þann rekstur, sem þeir
veita forstöðu og þá ábyrgð, sem á þeim
hvílir við að tryggja öryggi þeirra.
Lögð var áhersla á skilning á helstu
áhættuþáttum, nauðsyn áhættumats,
mótun öryggisstefnu, val á öryggisráð-
stöfunum og stöðugt endurmat öryggis-
mála. Allir þessir þættir eru í raun liðir í
því innra eftirliti, sem til staðar ætti að
vera hjá hverjum ríkisaðila.
Starfsemi stofnana og fyrirtækja byggir
nú að miklu leyti á notkun upplýsinga-
kerfa. Oftast er ekki hægt eða óviðunandi
að grípa til eldri vinnubragða ef truflanir
verða í rekstri kerfanna. Tölvuöryggismál
teljast því ekki lengur einkamál tölvu-
deilda, heldur meðal brýnustu viðfangs-
efna stjórnenda.
Helstu óhættuþættir
I greinargerðinni er fjallað þó nokkuð um
helstu áhættuþætti, sem til staðar eru
almennt í rekstri upplýsingakerfa í dag. Þó
að hætta af völdum náttúruhamfara sé
nokkur hér á landi má telja að hegðun
starfsmanna og aðgangur óviðkomandi
aðila að upplýsingakerfum séu stærstu
áhættuþættirnir með tilliti til rekstrar-
öryggis. Því er lögð áhersla á að í öryggis-
málum upplýsingakerfa þurfi ráðstafanir
bæði að beinast að starfsmönnum og
utanaðkomandi aðilum. Auk framan-
greindra áhættuþátta er einnig fjallað um
Netið, tölvuveirur, rafræn viðskipti,
eldsvoða, vatnsskemmdir, náttúruham-
farir, ártalið 2000 o.fl.
Nokkuð er fjallað um tölvuinnbrot og
eru stofnanir og fyrirtæki ríkisins ein-
dregið hvött til þess að tilkynna um þau til
lögreglu þó að ekki sé tilefni til kæru.
Astæðan er sú að lögreglan býr e.t.v. yfir
vitneskju um að sami aðili hafi brotist
annars staðar inn án þess að kæra hafi
komið fram. Tilkynningar geta þar með
aukið líkur á því að tölvuþrjótar náist.
Gerð áhættumats
Nokkuð ítarlega er fjallað um gerð
áhættumats, sem felst í því að meta mikil-
vægi upplýsingakerfa og gagna fyrir
viðkomandi rekstraraðila og hvaða
áhættuþættir það eru, sem haft geta áhrif á
öryggi kerfanna. Meta þarf hvaða líkur eru
á því að áhætta verði að raunveruleika og
valdi truflun eða stöðvun á rekstri við-
komandi og hverjar verði líklegar afleið-
ingar hennar. Lögð er áhersla á að áhættu-
matið þurfi stöðugt að vera í endurskoðun
m.a. vegna örra tæknibreytinga. Fjallað er
um nauðsyn þess að ákveðnum aðilum sé
falin yfirumsjón með öryggismálum á
hverjum stað og um þau verkefni, sem vera
ættu í verkahring slíkra aðila.
Mótun öryggisstefnu og ábyrgð
stjórnenda
Stofnanir og fyrirtæki ríkisins þurfa að móta
sérstaka öryggisstefnu vegna upplýsinga-
kerfa sinna. I öryggisstefnu eiga að
birtast þau meginmarkmið, sem viðkomandi
stefnir að með öryggisráðstöfunum sínum.
Telja verður vegna mikilvægis
upplýsingakerfa fyrir rekstur stofnana og
fyrirtækja ríkisins að eitt af hlutverkum
6
Tölvumál
Qupperneq 1
Qupperneq 2
Qupperneq 3
Qupperneq 4
Qupperneq 5
Qupperneq 6
Qupperneq 7
Qupperneq 8
Qupperneq 9
Qupperneq 10
Qupperneq 11
Qupperneq 12
Qupperneq 13
Qupperneq 14
Qupperneq 15
Qupperneq 16
Qupperneq 17
Qupperneq 18
Qupperneq 19
Qupperneq 20
Qupperneq 21
Qupperneq 22
Qupperneq 23
Qupperneq 24
Qupperneq 25
Qupperneq 26
Qupperneq 27
Qupperneq 28
Qupperneq 29
Qupperneq 30
Qupperneq 31
Qupperneq 32
Qupperneq 2
Qupperneq 3
Qupperneq 4
Qupperneq 5
Qupperneq 6
Qupperneq 7
Qupperneq 8
Qupperneq 9
Qupperneq 10
Qupperneq 11
Qupperneq 12
Qupperneq 13
Qupperneq 14
Qupperneq 15
Qupperneq 16
Qupperneq 17
Qupperneq 18
Qupperneq 19
Qupperneq 20
Qupperneq 21
Qupperneq 22
Qupperneq 23
Qupperneq 24
Qupperneq 25
Qupperneq 26
Qupperneq 27
Qupperneq 28
Qupperneq 29
Qupperneq 30
Qupperneq 31
Qupperneq 32
x
Tölvumál
Direct Links
Hvis du vil linke til denne avis/magasin, skal du bruge disse links:
Link til denne avis/magasin: Tölvumál
https://timarit.is/publication/239
Venligst ikke link direkte til billeder eller PDfs på Timarit.is, da sådanne webadresser kan ændres uden advarsel. Brug venligst de angivne webadresser for at linke til sitet.
Iliuutsit: