Tölvumál - 01.07.2002, Blaðsíða 12
Öryggismál
um leið og þær gerast og geta metið um-
fang skemmda og breytinga sem hafa orð-
ið á kerfmu. Það sem síðan mestu máli
skiptir er bati kerfisins, en það er sá hæfi-
leiki að geta viðhaldið nauðsynlegum
þjónustum og verndað búnað og rafrænar
eignir meðan á árás stendur, takmarkað
umfang skemmda og komið fullri þjón-
ustu í gang í lok árásar.
verks, þegar tryggja á öryggi eða lífvæn-
leika kerfa? Ymsar leiðir er hægt að fara,
en allar byggja þær í grófum dráttum á
sömu þáttum. Algengt er að nýta aðferða-
fræði sem byggir á hugmyndafræði frá
viðurkenndum aðilum, eða nýta sér t.d.
BS 7799 öryggisstaðalinn, að hluta eða
öllu leyti, til að leiða sig í gegnum þau
verkefni sem nauðsynleg eru.
Sú tilhneiging er ráð-
andi hér á landi sem
annars staðar, að
æða af stað og ætla
að finna töfralausn á
þessum málum í líki
einhvers hugbúnaðar
Til þess að tryggja
öryggi og lífvænleika
kerfis er nauðsynlegt
að byggja upp ferli
sem tekur á því, að
umhverfið okkar er lif-
andi og breytingum
undirorpið
Er ekki bara hægt að fara til læknis og
fó einhverjar „pillur" við því?
Það sem helst stendur upp úr þegar leitað
er leiða við að tryggja öryggi eða lífvæn-
leika kerfa, er nauðsyn þess að ganga
skipulega til verks. Sú tilhneiging er ráð-
andi hér á landi sem annars staðar, að æða
af stað og ætla að finna töfralausn á þess-
um málum í líki einhvers hugbúnaðar.
Farið er af stað og jafnvel tekin ákvörðun
um hugbúnaðarsamstæðu (e. suite) sem á
að ná yfir allt kerfið og leysa öll vanda-
mál. Margir þekkja dæmi þess að innleið-
ing slíkra lausna hefur tekið of langan
tíma, eða ákvörðun tekin um að hætta við
verkefnið áður en því er lokið.
Þó að upplýsinga- og samskiptakerfi
hafi þróast mikið síðastliðin 5-10 ár, eru
þau enn í stöðugri framþróun og breyting-
um undirorpin vegna uppbyggingar sem
byggir á lagsskiptingu og opnun stöðlum
og blönduðu umhverfi í vél- og hugbún-
aði. A sama tíma og sveigjanleg upp-
bygging hvetur til þróunar, þá býður hún
upp á stöðugt nýjar öryggisáhættur með
hverri uppfærslu af vél- og hugbúnaði.
Þannig bætast stöðugt við nýjar öryggis-
holur við þær sem fyrir eru og aldrei voru
fylltar.
Af þessu leiðir, að til þess að tryggja ör-
yggi og lífvænleika kerfis er nauðsynlegt
að byggja upp ferli sem tekur á því, að
umhverfið okkar er lifandi og breytingum
undirorpið. Reynslan sýnir að til að taka á
þessum málum af trúverðuleika og til
framtíðar er að nauðsynlegt að fara í gegn-
um ferli þar sem fengin er heildaryfirsýn
yfir kerfið og skilgreind eru m.a. þau
markmið sem fyrirtækið setur sér um ör-
yggi og lífvænleika þess.
Regluleg líkamsrækt er það sem byggir
upp hraustlegt og gott útlit
En hvemig er þá gengið skipulega til
Myndin sýnir það ferli sem nauðsynlegt er til að
tryggja framgang og viðhald öryggismála.
Hafa þarf í huga að þarna er verið að tala um
iifandi ferii - stöðuga hringrás.
Byrjað er að að skilgreina sýn fyrirtæk-
isins, er tengist öryggi og lífvænleika upp-
lýsingakerfisins. Þá er mikilvægt að hafa í
huga hvaða kröfur og væntingar eru gerð-
ar til upplýsingatæknideildarinnar og
hvaðan þær koma. Mikilvægustu kröfurn-
ar koma frá fyrirtækinu sjálfu, aðallega frá
stjómendum sem þurfa að skilgreina
hvaða kröfur fyrirtækið gerir til upplýs-
ingakerfisins. Aðrar kröfur geta komið til
vegna reglugerða frá yfirvöldum eða við-
skiptavinum fyrirtækisins.
Öryggisstefna fyrirtækisins, er síðan
unnin út frá sýninni og öryggismörkum
sem aðilar hafa sett fyrir kerfið. Úrvinnsla
öryggisstefnu og þar með talið ákvörðun
um öryggismörk, er gerð út frá greiningu,
sem gefur heildaryfirsýn yfir kerfið og
dregur fram áhættuþætti í; fyrirtækjaum-
hverfinu, kerfum og gögnum. Öryggis-
stefna í upplýsingakerfum ákvarðar
áherslur þegar settar eru reglur um stjórn-
un, réttindi, skilgreininga (e. policies),
ferla og aðferðir, sem taka á þeim áhættu-
þáttum sem í ljós koma við öryggisúttekt.
Eftir innleiðingu á öryggisstefnu og
reglum er mikilvægt á að vakta upplýs-
ingakerfið, þannig að öryggisbrot og önn-
12
Tölvumál