A megfelelő szabályozási környezet kialakítása ("Utazás az IT biztonság világában" blogsorozat 3. rész)

A biztonsági rendszerek tervezésekor a védendő adatoknak megfelelő szabályozási és ellenőrzési rendszert kell kialakítani, amivel biztosítani tudjuk a megfelelő védelmi szintet. Fontos rögtön az elején megjegyezni, hogy a hatékony és biztonságos informatikai működés egyik alappillére, hogy az adott szervezeten belül mindenki folyamatos oktatásban részesüljön a rendszerek használatára és működésére vonatkozóan.

Az adminisztratív védelmi intézkedések

Szabályzat: Tartalmazza a vezetőség jóváhagyását, a célokat, a mértékeket és a felelősségeket. Magasszintű leírás az információvédelmi filozófiáról. Technológia- és megoldásfüggetlen leírás.

Szabványok: Kötelező tevékenységek, szabályok vagy szabályozások a szabályzatok támogatására. Univerzálisan használatos szabályokat fektet le.

Alapbeállítások: A biztonsági megoldások megvalósításának kötelező leírásai. Biztosítja az egyenszilárdságú védelmet a szervezetben.

Eljárások: Kimondják, hogy hogyan kell lépésről lépésre végrehajtani a működési környezetben a szabályzatokat, szabványokat és alapbeállításokat.

Útmutatók: Olyan általános leírások, melyek a szabályzatok azon céljainak megvalósításához adnak keretrendszert, melyeket az eljárások nem fednek le. Nem kötelező, hanem szabadon választható ajánlásokat tartalmaz.  

Szabályzatok

A teljesség igénye nélkül nézzük meg a szabályzatokat részletesebben!

Az informatikai biztonsági szabályzat (IBSZ) célja, hogy a vonatkozó jogszabályokkal, szabványokkal, és a szervezet belső rendelkezéseivel összhangban meghatározza a szervezet informatikai rendszerei által kezelt információvagyon bizalmassága, hitelessége, sértetlensége, valamint rendelkezésre állásának biztosítása, funkcionalitása és üzembiztonsága megőrzése érdekében betartandó elveket. Az IBSZ meghatározza a szervezet vezetője és a biztonságért felelős személy feladatait, valamint az informatikai rendszer működtetői és felhasználói számára kötelező szabályokat. AZ IBSZ biztosítja az adatvédelem elveinek, az adatbiztonság követelményeinek érvényesülését, illetve megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását, és jogosulatlan nyilvánosságra hozatalát. Az IBSZ kiemelt célja, hogy a szervezet informatikai rendszereinek zavartalan működése biztosítva legyen.

Az adatkezelési utasítás célja annak biztosítása, hogy az adatkezelő megfeleljen az adatvédelemmel kapcsolatos hatályos nemzetközi és hazai jogszabályi előírásoknak. Az adatkezelő valamennyi adatkezelése során az adatkezelési utasítás, továbbá egyéb belső szabályzatai, utasításai, rendelkezései szerint jár el. A szervezet az adatkezelési utasításban rögzített szabályzatok alkalmazása és betartása/betartatása útján tudja biztosítani a vonatkozó jogszabályokban, így különösen a GDPR-ban rögzített előírások gyakorlatban való érvényesülését.

A munkavállalói adatkezelési szabályzat célja annak biztosítása, hogy a szervezet tevékenysége során a személyes adatok kezelésére és védelmére vonatkozó jogszabályoknak maradéktalanul megfeleljen. A munkavállalói adatkezelési szabályzat tartalmazza a munkatársak adatkezeléssel összefüggő jogait.

A kameraszabályzat célja, hogy útmutatást adjon a szervezet valamennyi vezetőjének és munkavállalójának a szervezet üzemi területén belül az objektumaiban elhelyezett belső kamerák működésének szabályairól, folyamatáról, és ennek során kezelt személyes adatok védelme érdekében alkalmazott szervezeti és technikai biztonsági intézkedésekről.   

Szabványok

A szabványosítás végső soron az egységesítésre való törekvés, amely általános és ismételten alkalmazható megoldásokat biztosít a meglévő vagy várható problémákra azért, hogy rendező hatása az adott feltételek között a legkedvezőbb legyen.

A Nemzetközi Szabályügyi Szervezet (International Organization for Standardization, ISO), illetve a Nemzetközi Elektrotechnikai Bizottság (International Electrotechnical Commission, IEC) közös információbiztonsági szabványsorozata az ISO 27000. A szabványsorozatból az ISO 27001 szabvány azért készült, hogy modellként szolgáljon az információbiztonsági irányítási rendszerek megtervezésénél, kialakításnál, működtetésénél, illetve folyamatos fejlesztésénél.

Az Informatikai Biztonsági Irányítási Rendszer (IBIR) az irányítási rendszerek közül az elsődleges, ami az ISO/IEC 27001:2013 szabvány alapvető fogalma. Üzleti kockázat elemzésen alapul, amely összességében megállapítja, megvalósítja, üzemelteti, ellenőrzi, karbantartja és javítja az információbiztonságot. Az irányítási rendszer magában foglalja a szervezetet, a struktúrát, a szabályzatokat, a tervezési tevékenységeket, a felelősségeket, a gyakorlatokat, az eljárásokat, a folyamatokat és az erőforrásokat.   

Összegzés

A legjobb biztonsági szoftverek vagy hardverek használata sem tudja önmagában biztosítani a megfelelő védelmet, amennyiben hiányoznak a megfelelő szabályozások. A szervezet vezetőinek kell megfogalmazniuk és kihirdetniük az informatikai biztonsági stratégiát, ami tartalmazza a célok megvalósításának a módszerét, eszközrendszerét, illetve az ütemezését. Az adminisztratív védelmi intézkedéseken belül kerül meghatározásra az üzletmenetfolytonosság fenntartásának a megtervezése is, amit a következő részben fogok részletesen bemutatni.

Vissza