Ma: 27°CVihar
Sales tudásháló
Darwin és a szabályzatok
Kmetty József, 2010. 01. 19. kedd

Legyen szó akár jogosultságkezelés folyamatáról, akár az adatosztályozás alapján meghatározott védelmi intézkedésekről, ha azt akarjuk, hogy szabályzataink ne csak a polcon (merevlemezen) porosodjanak, fontos, hogy azokat az érintettekhez juttassuk el - célzottan.

Igen, a biztonsági szabályzatok evolúciójáról lesz szó.  A fent leírtak alapján mindez azt jelenti, hogy szabályozásunkat a célcsoportok szerint kellene tagolnunk, nem pedig szigorúan biztonsági témakörök szerint.

Tapasztalataink szerint az informatikai biztonsági szabályzás evolúción megy keresztül, amelynek az alábbi fázisai különíthetők el.

1. Egyetlen hatalmas, százoldalas IBSZ, amelyben mindent lefedünk. Ennek is két válfaja van, a folyószöveges verzió, amely skizofrén módon csapong az oktatóanyag és a szabályzat szerepköre között. Szerencsére ez már tényleg a múlt. A másik a jól strukturált, ám mégis monolitikus, vaskos szabályzat. Ennél csak az a gond, hogy ki-ki hogyan találja meg a rá vonatkozó részeket. Ahhoz pedig ugyebár, hogy betarthassuk, minden érintettnek ismerni kellene a megfelelő tartalmat.

2. Több kisebb, IT biztonsági terület szerinti szabályzat, amelyek összességükben lefedik a teljes követelményrendszert.

  • Jogosultságkezelési szabályzat
  • Vírusvédelmi szabályzat
  • Fizikai biztonsági szabályzat
  • Mentési szabályzat
  • stb.…

Ebben az esetben már könnyebb megtalálni az adott felelősöknek a nekik betartandó regulákat, ám itt is létrejön némi keveredés, hiszen fizikai vagy jogosultságkezelési felelősségi köre mind a felhasználóknak, mind a rendszergazdáknak van. Így a szabályzat nyelvezetét nehéz eltalálni.

3. Célcsoportonként megírt szabályzatok, amelyekben az adott célcsoport minden feladata fel van tüntetve. Egy-egy ilyen dokumentum fő referenciaként szolgál az adott csoportnak, akiknek más dokumentumra az informatikai biztonsági követelményeknek való megfeleléshez nincs is szükségük. Egy ilyen struktúra így nézhet ki:

  • Felhasználói kézikönyv
  • Rendszergazdai kézikönyv (IT szolgáltatások biztonságáról szóló szabályzat)
  • Alkalmazásgazdai szabályzat
  • Adatgazdai (adatosztályozási) szabályzat

A szabályozási rendszer struktúrájától függetlenül az egyes szabályzatok koherens rendszert kell, hogy alkossanak. Az egybefüggő szabályozási rendszer kialakításának legbiztosabb módja, ha valamilyen kiforrott ajánlást vagy szabványt alkalmazunk sorvezetőként.

Ilyen például az ISO 27001 szabvány. Egy ISO 27001-es tanúsításhoz szükséges egy ún. „alkalmazhatósági nyilatkozat” elkészítése, amely a szabvány pontjait tartalmazva lefedi kvázi a teljes információbiztonsági területet, kimondatva a szervezettel, hogy mely biztonsági területek értelmezhetőek saját működésében, és hogy azokat mely szabályzatokban, folyamatokban fedi le. Ez a megközelítés biztosítja a teljes körűséget, ugyanakkor segít megelőzni a redundanciát.

Bookmark and ShareCikk nyomtatása
Üzenőfal elrejtése
Név:
E-mail:
Hozzászólás:

Biztonság-blog
Kmetty József tollából:
Kmetty József
Kmetty József
Személyes lapja
Céges lapja
Levél a blognak
Címkefelhő
it-biztonság(1) Log(1) Informatika(1) adatvédelem(1) Kmetty_József(7) PSZÁF(1) biztonság(4) kockázat(1) Kürt(1) Kirner_Attila(1)
Legfrissebb hozzászólások
Pósz Márton (a KÜRT információbiztonsági szakértője)
Tisztelt Nagy Tibor! Nagyon jó a megérzése, és osztozom az aggodalmában is. Öt éve még vezető hír volt, ha valakik megtévesztő külföldi weboldalakkal online banki adatokhoz igyekeztek hozzájutni
Tovább a cikkhez
Nagy Tibor
A véleményére volnék kíváncsi: az utóbbi években számos infotechnológiai újdonság vált mindennapos használatúvá (a netbookok és a Facebook elterjedése legyen a hardver és szoftver ágazat példája), s e
Tovább a cikkhez
Kmetty József
Tisztelt Tóbiás Péter! A biztonság elsősorban bizalmi kérdés. Tekintettel arra, hogy a legtöbb alkalmazás esetében a forráskód nem áll rendelkezésre, így csak a múltbeli tapasztalatokra és a gyártó
Tovább a cikkhez
Tóbiás Péter
Érdekelne, hogy mi a véleménye arról, amikor informatikai rendszerek működéséért és biztonságáért felelős rendszergazdák (legyenek egy újságnál vagy akár egy könyvtárnál alkalmazásban) hitvitákra emlé
Tovább a cikkhez
Kmetty József
Tisztelt Kracson Péter! Feltételezem, hogy kérdése az IT kockázatelemzés elkészítésére vonatkozott. Információbiztonsági kockázatelemzést lehet vállalati (azaz saját) erőforrásból készíteni. Egy
Tovább a cikkhez
Impresszum | Médiaajánlat | Szerzői jogok | Előfizetés | Digitális előfizetés
©2009 - IT-BUSINESS
Powered by: Ponte.hu Kft.