Tölvumál - 01.03.1999, Page 7

Tölvumál - 01.03.1999, Page 7
Öryggismál Þó að hæffa af völdum náttúruham- fara sé nokkur hér á landi má telja að hegðun starfsmanna og aðgangur óviðkomandi aðila að upplýsingakerfum séu stærsfu áhættuþættirnir með tilliti til rekstraröryggis Langmikilvægasta atriðið til jbess að tryggja rekstraröryggi upplýsingakerfa er að ætíð séu til staðar fullnægjandi afrit afgögnum og hugbúnaði stjórnenda þeirra sé að taka endanlegar ákvarðanir um umfang þeirra öryggis- ráðstafana, sem beita á, til þess að vernda eigið upplýsingakerfi ásamt þeim gögnum og upplýsingum, sem það geymir. Þetta þýðir með öðrum orðum að stjórnendur bera ábyrgð á rekstraröryggi upplýsinga- kerfa á sama hátt og þeir bera ábyrgð á öðrum þáttum rekstrarins. Því er eðlilegt að þeir meti hvaða gögn og upplýsingar eru nauðsynlegar til þess að reksturinn gangi sem eðlilegast fyrir sig, hverjar afleiðingarnar verða ef gögn eru ekki í lagi, gagnaleynd er rofin eða gögn eru ekki aðgengileg. Huga þarf vandlega að því að samræmi sé á milli öryggis- ráðstafana í upplýsingakerfum og þeirra hagsmuna, sem þær eiga að gæta. Helstu öryggisráðstafanir, eftirlit og endurmat öryggismála Helstu öryggisráðstafanir í greinargerðinni er fjallað um fjöl- margar tegundir öryggisráðstafana. Lang mikilvægasta atriðið til þess að tryggja rekstraröryggi upplýsingakerfa er að ætíð séu til staðar fullnægjandi afrit af gögnum og hugbúnaði og er því nauðsynlegt að setja skýrar verklagsreglur um afritatöku, meðferð, prófun, geymslu og eyðingu afrita. Ríkisaðilum er bent á að hafa reglur Skýrr hf. til viðmiðunar þegar þeir gera kröfur vegna aðgangs- og lykilorða í upplýsingakerfum sínum. Tölvuveirur geta valdið verulegum rekstrartruflunum í upplýsingakerfum. Mikilvægt er því að gripið sé til viðeigandi ráðstafana gegn þeim bæði með notkun veiruvarnarforrita og verklagsreglum um meðhöndlun þeirra ski'áa og forrita, sem tekin eru inn í upplýsingakerfi viðkomandi. Hér getur og skipt höfuðmáli að lil séu afrit af hugbúnaði og gögnum aftur í tímann. Mikilvægt er að haldin sé víðtæk dag- bók, (,,log-skrá“) yfir það sem gerist í tölvukerfinu, m.a. um óreglulega atburði og aðgangsmál. Nauðsynlegt er að dag- bókarfærslurnar nái til tölvukerfisins alls, þ.e. einnig til beina, gátta og annars tengibúnaðar. Ef slíkar dagbækur eru ekki haldnar og skoðaðar reglulega geta menn t.d. ekki gert sér grein fyrir hvort brotist hefur verið inn í tölvukerfi þeirra. Tölvudagbók gegnir t.d. mikilvægu hlutverki við rannsókn á slíkum brotum. Mælt er með því að fyrirtæki og stofnanir ríkisins útbúi skriflegar neyðar áætlanir vegna náttúruhamfara, bruna og annarra óhappa. Sérstakur hluti neyðar- áætlunar á að vera vegna upplýsingakerfa viðkomandi. Hér skal bent á að ríkisaðilar halda í flestum tilvikum áfram starfsemi þó til meiriháttar náttúruhamfara komi og neyðaráætlun sé ekki til staðar. Einkafyrirtæki gæti hins vegar orðið að hætta starfsemi við þessar aðstæður. Mörg fyrirtæki þola t.d. illa að tapa sölu eins mánaðar og þeirri viðskiptavild sem tapast þegar fyrirtæki getur ekki starfað eðlilega. Sem dæmi má nefna að sjö mánuðum eftir jarðskjálftann í Kobe í Japan árið 1995 höfðu 40% af smærri fyrirtækjum í borginni enn ekki hafið rekstur á ný. Eftirlit og endurmat öryggismála Leggja verður áherslu á að mat á því hvort starfsmenn virða þær öryggisráðstafanir sem stjómendur hafa ákveðið. Vegna ön-ar þróunar tölvutækninnar kunna öryggis- ráðstafanir sem þykja góðar í dag að vera úreltar á morgun. Því þarf reglulega að endurmeta öryggisráðstafanir á sama hátt og áhættu og öryggisstefnu. Lokaorð Þeim sem áhuga hafa á að kynna sér nánar efni greinargerðarinnar um rekstraröryggi upplýsingakerfa er bent á heimasíðu Ríkisendurskoðunar www.rikisend.althingi.is. Þar er m.a. einnig að finna greinargerð um innra eftir- lit almennt en í henni er rekstraröryggi upplýsingakerfa sett í samhengi við almennt innra eftirlit stofnana og fyrir- tækja. Báðar þessar greinargerðir eru og fáanlegar hjá stofnuninni ásamt skýrslu hennar um vandamál tengd tölvuvinnslu ártalsins 2000. Albert Olafsson og Guðríður Jóhannesdóttir eru starfsmenn Ríkisendurskoðunar Tölvumál 7

x

Tölvumál

Direct Links

If you want to link to this newspaper/magazine, please use these links:

Link to this newspaper/magazine: Tölvumál
https://timarit.is/publication/239

Link to this issue:

Link to this page:

Link to this article:

Please do not link directly to images or PDFs on Timarit.is as such URLs may change without warning. Please use the URLs provided above for linking to the website.