Tölvumál - 01.03.1999, Qupperneq 7
Öryggismál
Þó að hæffa af
völdum náttúruham-
fara sé nokkur hér á
landi má telja að
hegðun starfsmanna
og aðgangur
óviðkomandi aðila
að upplýsingakerfum
séu stærsfu
áhættuþættirnir með
tilliti til rekstraröryggis
Langmikilvægasta
atriðið til jbess að
tryggja rekstraröryggi
upplýsingakerfa er að
ætíð séu til staðar
fullnægjandi afrit
afgögnum og
hugbúnaði
stjórnenda þeirra sé að taka endanlegar
ákvarðanir um umfang þeirra öryggis-
ráðstafana, sem beita á, til þess að vernda
eigið upplýsingakerfi ásamt þeim gögnum
og upplýsingum, sem það geymir. Þetta
þýðir með öðrum orðum að stjórnendur
bera ábyrgð á rekstraröryggi upplýsinga-
kerfa á sama hátt og þeir bera ábyrgð á
öðrum þáttum rekstrarins. Því er eðlilegt
að þeir meti hvaða gögn og upplýsingar
eru nauðsynlegar til þess að reksturinn
gangi sem eðlilegast fyrir sig, hverjar
afleiðingarnar verða ef gögn eru ekki í
lagi, gagnaleynd er rofin eða gögn eru
ekki aðgengileg. Huga þarf vandlega að
því að samræmi sé á milli öryggis-
ráðstafana í upplýsingakerfum og þeirra
hagsmuna, sem þær eiga að gæta.
Helstu öryggisráðstafanir, eftirlit
og endurmat öryggismála
Helstu öryggisráðstafanir
í greinargerðinni er fjallað um fjöl-
margar tegundir öryggisráðstafana. Lang
mikilvægasta atriðið til þess að tryggja
rekstraröryggi upplýsingakerfa er að ætíð
séu til staðar fullnægjandi afrit af gögnum
og hugbúnaði og er því nauðsynlegt að
setja skýrar verklagsreglur um afritatöku,
meðferð, prófun, geymslu og eyðingu
afrita.
Ríkisaðilum er bent á að hafa reglur
Skýrr hf. til viðmiðunar þegar þeir gera
kröfur vegna aðgangs- og lykilorða í
upplýsingakerfum sínum.
Tölvuveirur geta valdið verulegum
rekstrartruflunum í upplýsingakerfum.
Mikilvægt er því að gripið sé til viðeigandi
ráðstafana gegn þeim bæði með notkun
veiruvarnarforrita og verklagsreglum um
meðhöndlun þeirra ski'áa og forrita, sem
tekin eru inn í upplýsingakerfi viðkomandi.
Hér getur og skipt höfuðmáli að lil séu afrit
af hugbúnaði og gögnum aftur í tímann.
Mikilvægt er að haldin sé víðtæk dag-
bók, (,,log-skrá“) yfir það sem gerist í
tölvukerfinu, m.a. um óreglulega atburði
og aðgangsmál. Nauðsynlegt er að dag-
bókarfærslurnar nái til tölvukerfisins alls,
þ.e. einnig til beina, gátta og annars
tengibúnaðar. Ef slíkar dagbækur eru ekki
haldnar og skoðaðar reglulega geta menn
t.d. ekki gert sér grein fyrir hvort brotist
hefur verið inn í tölvukerfi þeirra.
Tölvudagbók gegnir t.d. mikilvægu
hlutverki við rannsókn á slíkum brotum.
Mælt er með því að fyrirtæki og
stofnanir ríkisins útbúi skriflegar neyðar
áætlanir vegna náttúruhamfara, bruna og
annarra óhappa. Sérstakur hluti neyðar-
áætlunar á að vera vegna upplýsingakerfa
viðkomandi. Hér skal bent á að ríkisaðilar
halda í flestum tilvikum áfram starfsemi
þó til meiriháttar náttúruhamfara komi og
neyðaráætlun sé ekki til staðar.
Einkafyrirtæki gæti hins vegar orðið að
hætta starfsemi við þessar aðstæður. Mörg
fyrirtæki þola t.d. illa að tapa sölu eins
mánaðar og þeirri viðskiptavild sem tapast
þegar fyrirtæki getur ekki starfað eðlilega.
Sem dæmi má nefna að sjö mánuðum eftir
jarðskjálftann í Kobe í Japan árið 1995
höfðu 40% af smærri fyrirtækjum í
borginni enn ekki hafið rekstur á ný.
Eftirlit og endurmat öryggismála
Leggja verður áherslu á að mat á því hvort
starfsmenn virða þær öryggisráðstafanir
sem stjómendur hafa ákveðið. Vegna ön-ar
þróunar tölvutækninnar kunna öryggis-
ráðstafanir sem þykja góðar í dag að vera
úreltar á morgun. Því þarf reglulega að
endurmeta öryggisráðstafanir á sama hátt
og áhættu og öryggisstefnu.
Lokaorð
Þeim sem áhuga hafa á að kynna sér
nánar efni greinargerðarinnar um
rekstraröryggi upplýsingakerfa er bent á
heimasíðu Ríkisendurskoðunar
www.rikisend.althingi.is. Þar er m.a.
einnig að finna greinargerð um innra eftir-
lit almennt en í henni er rekstraröryggi
upplýsingakerfa sett í samhengi við
almennt innra eftirlit stofnana og fyrir-
tækja. Báðar þessar greinargerðir eru og
fáanlegar hjá stofnuninni ásamt skýrslu
hennar um vandamál tengd tölvuvinnslu
ártalsins 2000.
Albert Olafsson og Guðríður Jóhannesdóttir
eru starfsmenn Ríkisendurskoðunar
Tölvumál
7