Tölvumál - 01.09.2003, Side 30

Tölvumál - 01.09.2003, Side 30
BS-7799-staðallinn Leiðir til að auka upplýsingaöryggi - BS 7799-staðallinn Magnús Einarsson Auðvelt aðgengi al- mennings að Internet- inu hefur leitt af sér auknar hættur, eins og útbreiðslu vírusa, sem síðan leiða til aukinna varúðarráð- stafana. S Ognir af ýmsum toga hafa ætíð steðjað að upplýsingum fyrir- tækja. Margt hefur verið reynt til að mæta þessum ógnum: læsingar hafa verið settar á skjalaskápa, skilaboð af öll- um gerðum og tegundum dulrituð og ýms- ar aðrar varúðarráðstafanir gerðar. Með tilkomu tölvunnar hafa upplýsingar verið gerðar ósýnilegar og hægt er að vinna úr þeim á nær óskiljanlegum hraða, en jafn- hliða því, hefur tölvutæknin verið notuð til að vemda þær. Nú hafa gagnasambönd, og þá sérstak- lega Intemetið, skapað tölvuvætt samfélag fyrirtækja, sem veita hvert öðm aðgang að ýmsum upplýsingum. Auðvelt aðgengi al- mennings að Internetinu hefur leitt af sér auknar hættur, eins og útbreiðslu vímsa, sem síðan leiða til aukinna varúðarráðstaf- ana. Allt þetta hefur orðið til þess að í dag eru þær ógnir, sem steðja að upplýsingum, margfalt fleiri og fjölbreyttari en nokkm sinni fym BS 7799 staðallinn var hugsaður sem úrræði við þessari þróun. Meginhugmynd- ir hans varða vemdun og afritun upplýs- inga og það að fyrirbyggja óhöpp, og tek- ur hann til allra tegunda upplýsinga á hvaða formi sem er. Staðallinn var þróað- ur út frá kröfum verslunar- og iðnfyrir- tækja, sem og opinberra stofnana, og á hann að gera slíkum aðilum kleift að taka í notkun viðurkenndar og reyndar aðferðir er fjalla sérstaklega um stjórnun upplýs- ingaöryggis. Einnig gerir hann kleift að mæla árangur af innleiðingu, jafnframt því að veita fyrirtækjum aukið öryggi í við- skiptum sín á milli. Upplýsingar og upplýsingaöryggi Flest fyrirtæki reiða sig á upplýsingar á rafrænu formi í daglegum rekstri sínum og má þar nefna gögn er varða viðskiptavini, vörur, samninga og fjármál. Ef þessar upplýsingar yrðu skyndilega aðgengilegar hverjum sem er, þeim breytt eða einfald- lega eytt, hvað þá? Hverjar yrðu afleiðing- amar? Gæti fyrirtækið haldið áfram eðli- legri starfsemi eða þyrfti það jafnvel að hætta rekstri? Upplýsingaöryggi snýr að vemdun allra upplýsinga, sem hafa eitthvað gildi fyrir fyrirtækið og hefðu neikvæð áhrif á rekst- ur þess yrði þeim stofnað í hættu. Þær upplýsingar, sem leitast er við að vernda, eru allar skrár, skýrslur og færslur fyrir- tækisins, hvort sem þær eru á pappír, í tölvum eða jafnvel í höfði starfsmanna, en líta ber á upplýsingar sem eign fyrir- tækisins, sem nauðsynlegar eru fyrir áframhaldandi tilveru og rekstur þess. Tilgangurinn með upplýsingaöryggi er sá, að tryggja samfelldan rekstur fyrirtæk- isins með því að lágmarka þá áhættu og áhrif sem hvers konar öryggisfrávik gætu haft á rekstur þess. Stjórnkerfi upplýsingaöryggis Stjórnkerfið samanstendur af mörgum þáttum sem vinna saman til að ná ásættan- legum markmiðum. Við uppbyggingu þess er nauðsynlegt að skilgreina fyrst umfang- ið, svo mögulegt sé að setja því takmörk. Þegar takmörkin eru ljós, eru þær eignir, sem þarf að gera öruggar til að tryggja upplýsingaöryggi, skilgreindar. Til að fyr- irhöfnin leiði af sér sem mestan árangur, þarf að skilgreina þær ógnir sem gætu steðjað að þessum eignum, þá veikleika sem eignirnar gætu haft ef ógnimar næðu fram að ganga, og þau áhrif sem það hefði á rekstur fyrirtækisins. Með því að áætla líkumar á hverju tilviki fyrir sig, er hægt að setja raunhæft gildi á hvert og eitt og einbeita sér síðan að þeim, sem eru efnis- lega mikilvæg. Þetta er það sem áhættu- mat gengur út á, þ.e. að bera kennsl á hugsanlegar ógnir, meta þær og forgangs- raða m.t.t. mikilvægis. Að þessu loknu er hægt að finna samsvörun í staðlinum, þ.e. hvaða stýrimarkmið er hægt að nota til að áhrifin, sem hugsanlegur tjónvaldandi at- 30 Tölvumál

x

Tölvumál

Direkte link

Hvis du vil linke til denne avis/magasin, skal du bruge disse links:

Link til denne avis/magasin: Tölvumál
https://timarit.is/publication/239

Link til dette eksemplar:

Link til denne side:

Link til denne artikel:

Venligst ikke link direkte til billeder eller PDfs på Timarit.is, da sådanne webadresser kan ændres uden advarsel. Brug venligst de angivne webadresser for at linke til sitet.