In the information society the secure handling of business information determines the successful implementing of a company's strategy and is a part of the social and economic emviroment as well. For adequate answering this two challenge from the leadership to the operation levels we need an information security management system which integrates the aspect of information security into the business operation.
2009. január 6-án Christopher Mattheisen, a Magyar Telekom elnök-vezérigazgatója átvette az SGS (a világ legnagyobb független minőségellenőrző és tanúsító testülete) tanúsítványait az új integrált irányítási rendszerre vonatkozóan (ISO 9001, ISO 14001, ISO 27001). (Forrás: https://hu.wikipedia.org/wiki/Magyar_Telekom#2001)
Este poema expresa el anhelo del autor por encontrar un sueño profundo y sin fin para escapar de sus penas y problemas de la vida adulta, así como su deseo de regresar a la inocencia y tranquilidad de la infancia. El análisis biográfico indica que Juan Ramón era una persona melancólica y triste que buscaba descanso de la dureza de la vida a través del sueño y el olvido.
Este poema expresa el anhelo del autor por encontrar un sueño profundo y sin fin para escapar de sus penas y problemas de la vida adulta, así como su deseo de regresar a la inocencia y tranquilidad de la infancia. El análisis biográfico indica que Juan Ramón era una persona melancólica y triste que buscaba descanso de la dureza de la vida a través del sueño y el olvido.
KOMMUNIKÁCIÓ 2016 – Új trendek az infokommunikáció világában
Nemzetközi tudományos-szakmai konferencia
2016. november 15.
Honvéd Kulturális Központ, STEFÁNIA PALOTA
Budapest
Igény van a EUCIP Core végzettségű szakemberekre.
Az EUCIP Core képzési program bevezetése és honosítása csak akkor lehet hasznos és eredményes, ha képzésből kikerülő fiatal szakemberek foglalkoztatására igény mutatkozik nemcsak az európai, hanem a hazai munkaerő-piacon is. Az I-TShape projekt keretében a Pest Megyei Vállalkozásfejlesztési Alapítvány (PMVA) vállalta, hogy felmérést végez a magyar gazdaság szereplői körében azzal a céllal, hogy képet kapjunk a különböző gazdálkodó szervezetek informatikai infrastrukturális ellátottságáról, annak jelenlegi állapotáról, a működtetési feltételekről és az alkalmazott infokommunikációs eszközök és technológiák működtetéséhez, fejlesztéséhez szükséges szakemberekkel szembeni elvárásokról. A felmérés eredményei és tapasztalatai azért fontosak számunkra, mert így a hazai piaci igényekhez igazodó képzési program alakítható ki és vezethető be a magyar szakképzésbe.
A Spark Institute Jövőkutatás programja felráz, kiszakít a mókuskerékből, és lehetőséget ad, hogy a jövőbe tekints és átlásd a legfontosabb technológia és társadalmi és piaci trendeket, amiket egy felelős vezetőnek ismernie kell. Olyan trendekkel foglalkozunk, mint például Z generációs munkavégzés, értékek változása, fogyasztói trendek, 3D nyomtatás, biotechnológiai fejlesztések: génmanipuláció (next-generation genomics), személyre szabott gyógyítás, egészségügy változása ezzel összefüggésben, okostechnológiák (wearables), kvantum számítástechnika, intelligens nyomonkövetés -IoT-, érzelmi analízis (sentiment analytics), nagy nyelvi modellek (large language models), algoritmusok, újgenerációs robotok (advanced robotics), felhő (Cloud), virtuális-kiterjesztett valóság (AR, VR) bioszenzorok, big data elemzés és előrejelzés.
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Csaba KOLLAR (Dr. PhD.)
Dr. Kollár Csaba PhD.: Az információbiztonság-tudatosság fejlesztése a vezetők körében a GDPR fókuszában
Megújulás és fenntarthatóság - VIII. Országos Tanácsadói Konferencia
2016. október 26.
Budapesti Kereskedelmi és Iparkamara
Budapest
Czafik Zoltan szakdolgozat issue managementCzafik Zoltán
Az issue menedzsment eszközeinek használata egy Magyarországon működő multinacionális vállalatnál
Issue management szakdolgozat 2014
Issue menedzsment szakdolgozat
A hazai gépipar aknái - Gépipari problémakutatásChemplex
Mennyivel lennél előrébb, ha ismernéd a hozzád hasonló vállalatvezetők, ipari döntéshozók, mérnökök mindennapos gondjait? Vajon te hogyan profitálnál belőle? Mit tennél, hogy elkerüld a nehéz helyzeteket, és megspórold magadnak a felesleges köröket? Az okos ember más kárán tanul, a másik a sajátján se.
IIR Digitális Call Center 2021. február 23-24-i online konferenciáján a pandémia alatt "újratervezett" home office-ről, a munkaszervezési és vezetői kihívásokról beszéltem az előadásom során.
Kollár Csaba: Lehetőségek és veszélyek a mesterséges intelligencia korában
A Józsefvárosi Információbiztonsági Esték keretében az Európai Kiberbiztonsági Hónap alkalmából tartott előadás prezentációja.
időpont: 2022. október 12.
helyszín: Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar, Budapest
KOMMUNIKÁCIÓ 2016 – Új trendek az infokommunikáció világában
Nemzetközi tudományos-szakmai konferencia
2016. november 15.
Honvéd Kulturális Központ, STEFÁNIA PALOTA
Budapest
Igény van a EUCIP Core végzettségű szakemberekre.
Az EUCIP Core képzési program bevezetése és honosítása csak akkor lehet hasznos és eredményes, ha képzésből kikerülő fiatal szakemberek foglalkoztatására igény mutatkozik nemcsak az európai, hanem a hazai munkaerő-piacon is. Az I-TShape projekt keretében a Pest Megyei Vállalkozásfejlesztési Alapítvány (PMVA) vállalta, hogy felmérést végez a magyar gazdaság szereplői körében azzal a céllal, hogy képet kapjunk a különböző gazdálkodó szervezetek informatikai infrastrukturális ellátottságáról, annak jelenlegi állapotáról, a működtetési feltételekről és az alkalmazott infokommunikációs eszközök és technológiák működtetéséhez, fejlesztéséhez szükséges szakemberekkel szembeni elvárásokról. A felmérés eredményei és tapasztalatai azért fontosak számunkra, mert így a hazai piaci igényekhez igazodó képzési program alakítható ki és vezethető be a magyar szakképzésbe.
A Spark Institute Jövőkutatás programja felráz, kiszakít a mókuskerékből, és lehetőséget ad, hogy a jövőbe tekints és átlásd a legfontosabb technológia és társadalmi és piaci trendeket, amiket egy felelős vezetőnek ismernie kell. Olyan trendekkel foglalkozunk, mint például Z generációs munkavégzés, értékek változása, fogyasztói trendek, 3D nyomtatás, biotechnológiai fejlesztések: génmanipuláció (next-generation genomics), személyre szabott gyógyítás, egészségügy változása ezzel összefüggésben, okostechnológiák (wearables), kvantum számítástechnika, intelligens nyomonkövetés -IoT-, érzelmi analízis (sentiment analytics), nagy nyelvi modellek (large language models), algoritmusok, újgenerációs robotok (advanced robotics), felhő (Cloud), virtuális-kiterjesztett valóság (AR, VR) bioszenzorok, big data elemzés és előrejelzés.
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Csaba KOLLAR (Dr. PhD.)
Dr. Kollár Csaba PhD.: Az információbiztonság-tudatosság fejlesztése a vezetők körében a GDPR fókuszában
Megújulás és fenntarthatóság - VIII. Országos Tanácsadói Konferencia
2016. október 26.
Budapesti Kereskedelmi és Iparkamara
Budapest
Czafik Zoltan szakdolgozat issue managementCzafik Zoltán
Az issue menedzsment eszközeinek használata egy Magyarországon működő multinacionális vállalatnál
Issue management szakdolgozat 2014
Issue menedzsment szakdolgozat
A hazai gépipar aknái - Gépipari problémakutatásChemplex
Mennyivel lennél előrébb, ha ismernéd a hozzád hasonló vállalatvezetők, ipari döntéshozók, mérnökök mindennapos gondjait? Vajon te hogyan profitálnál belőle? Mit tennél, hogy elkerüld a nehéz helyzeteket, és megspórold magadnak a felesleges köröket? Az okos ember más kárán tanul, a másik a sajátján se.
IIR Digitális Call Center 2021. február 23-24-i online konferenciáján a pandémia alatt "újratervezett" home office-ről, a munkaszervezési és vezetői kihívásokról beszéltem az előadásom során.
Kollár Csaba: Lehetőségek és veszélyek a mesterséges intelligencia korában
A Józsefvárosi Információbiztonsági Esték keretében az Európai Kiberbiztonsági Hónap alkalmából tartott előadás prezentációja.
időpont: 2022. október 12.
helyszín: Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar, Budapest
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
Szoke_Tamas_TelekomMBA_Szakdolgozat
1. Budapesti Közgazdaságtudományi és Államigazgatási Egyetem
Gazdálkodástudományi Kar
Budapesti Vezetõképzõ Központ
Információbiztonság a Matávnál
Egy átfogó információ biztonság irányítási rendszer
bevezethetõségének vizsgálata
MBA szakdolgozat
Készítette: Szõke Tamás
Telekommunikációs szakosítású MBA program
Budapest, 2004.
2. 2
Vezetõi összefoglaló
Szakdolgozatom témája a Matáv Rt. információi biztonságos kezelésének
megvalósításáról szól. Az információs társadalom korában az üzleti
válalkozások információ menedzsmentje éppúgy része a vállalkozás
társadalmi és gazdasági környezete biztonsági problémáinak, mint üzleti
stratégiája megvalósítási eszköztárának. E két nézõpont együttes
kezelése nélkül az információk biztonsága terén jelentkezõ problémákra a
vállalkozás képtelen adekvát válaszokat adni.
A dolgozat céljaként tehát e két szempont közelítését tûztem ki egy olyan
irányítási rendszer eszközével, mely az információk biztonságos
kezelésének szempontját integrálni képes a Matáv Rt. üzleti mûködésébe
a stratégiaalkotástól az elemi tevékenységek szintjéig.
Témaválasztásomat az indokolta, hogy a Matáv Rt. hagyományos
gyakorlatot követõ biztonságkezelését üzleti alapokra kell helyezni, s erre
semmilyen követendõ irány nem látszott kirajzolódni.
A dolgozat javaslatai egy olyan nemzetközi szabványok eszközbázisán
megvalósuló irányítási rendszer kiépítését tartalmazzák, amely a Matáv
Rt. meglévõ stratégiaalkotási és minõségirányítási rendszerébe illeszkedõ
módon teszi mérhetõvé és mérlegelhetõvé az információk biztonságának
üzleti értékét.
A dolgozat legfontosabb eredménye, hogy kimutatja a jelenlegi és várható
biztonságérvényesítési problémák megoldásának valós lehetõségét e
szabványok Balance Scorecard alapú kombinált alkalmazásának
eszközével. Ennek megfelelõen javaslatot tesz a Matáv Rt. biztonsági
vezetõi számára az információ biztonság irányítás rendszerének Matáv
Rt.-n belüli bevezetésére és mûködtetésére egy változási program
keretében.
3. 3
Köszönetnyilvánítás
Köszönetemet fejezem ki mindenek elõtt családomnak azért a
szabadidõért amit e dolgozat megírásához számomra biztosított, valamint
mindazért a türelemért és bíztatásért amely nélkül e munka alapötletének
- néha reménytelennek tûnõ - megoldássá formálása nem lett volna
lehetséges.
Köszönettel tartozom fõnökeimnek, Kozma Imrének és Lanczkor Attilának,
akik türelemmel és támogatással segítették tanulmányaimat és azok
gyakorlati alkalmazására irányuló elsõ kísérleteimet.
Köszönet illeti továbbá a Matáv azon vezetõit akik véleményükkel járultak
hozzá elképzeléseim gyakorlati szempontú vizsgálatához.
4. 4
Tartalomjegyzék
1. A szakdolgozat célja .............................................................................. 7
2. Bevezetés .............................................................................................. 8
3. Elméleti háttér...................................................................................... 10
3.1 Alkalmazott fogalmak ..................................................................... 11
3.2 Alkalmazott modellek .................................................................... 12
4. Kutatási módszerek ............................................................................. 19
4.1 A kontrollmódszerek vizsgálata...................................................... 19
4.2 A biztonsági szakterület vizsgálata................................................. 21
4.3 A Matáv adaptációs készségének vizsgálata ................................. 23
4.4 A megkérdezettek száma............................................................... 24
4.5 A megkérdezettek köre .................................................................. 25
5. Elemzés ............................................................................................... 27
5.1 Biztonsági követelmények.............................................................. 27
5.1.1 Európai Uniós jogforrások ....................................................... 28
5.1.2 Magyar jogi környezet.............................................................. 29
5.1.3 Egyéb információ biztonsági elvárások.................................... 33
5.2 Biztonsági kontroll a Matávnál........................................................ 35
5.2.1 Normatív elõírások................................................................... 36
5.2.2 Biztonság érvényesítési folyamatok......................................... 39
5.3 Nemzetközi szabványok................................................................. 41
5.3.1 Az ISO 15408:1999-es (Common Criteria) szabvány.............. 42
5.3.2 Az ISO/IEC 17799:2000-es szabvány ..................................... 45
5.3.3 A BS 7799-2:2002-es szabvány .............................................. 47
5.3.4 Alkalmazási lehetõségek ......................................................... 49
5. 5
5.4 A bevezetés lehetõségei ................................................................ 52
5.4.1 Kritikus sikertényezõk és bevezetési lépések.......................... 52
5.4.2 A Matáv vezetési rendszere..................................................... 54
5.4.3 A biztonsági szakterület képességei....................................... 55
5.4.4 A Matáv adaptációs készsége ................................................. 59
6. Következtetések, javaslatok, megvalósítás.......................................... 64
6.1 A megvalósítandó irányítási rendszer ............................................ 64
6.2 Változtatási stratégia...................................................................... 65
6.3 Változtatási program ...................................................................... 66
7. Összefoglalás ...................................................................................... 69
8. Hivatkozások jegyzéke......................................................................... 70
9. Függelék .............................................................................................. 73
6. 6
Táblázatok, ábrák jegyzéke
1. ábra Az információ biztonság irányítási rendszer átfogó
kontroll modellje
15
1. táblázat A Magyar jogszabályok vizsgálata 32
2. táblázat A Matáv Rt. Biztonság érvényesítési normatívái 38
3. táblázat A Matáv Rt. Biztonság érvényesítési folyamatai 40
4. táblázat Az ISO 15408:1999 vizsgálata 44
5. táblázat A ISO 17799:2000 vizsgálata 46
6. táblázat A BS 7799-2:2002 vizsgálata 48
7. táblázat A biztonsági szabványok áttekintése 50
2. ábra A biztonsági szervezet összesített képességtérképe 56
3. ábra Irányítási és végrehajtási képességtérkép 57
4. ábra az egyes képességek megítélése 58
5. ábra A szervezeti befogadókészség összesített értékelése 60
6. ábra Szervezeti kezdeményezõkészség 61
7. ábra Irányítás preferált helye 63
7. 7
1. A szakdolgozat célja
Szakdolgozatom megírásának célja, hogy kiutat mutassak a Matáv
számára az információk kezelésének veszélyeivel és biztonsági
követelményeivel kapcsolatos gyakorlati problémák megoldásában, egy a
vállalati mûködésbe integrált információ biztonsági irányítási rendszer
kialakításának és bevezetésének eszközével.
E cél érdekében a dolgozatban az alábbi elemzéseket végeztem el.
Elméleti modelleket és lehetõségeket kerestem az információ
biztonsági szempontok üzleti mûködésbe történõ integrálására.
Áttekintettem a Matáv számára releváns információ biztonsági
követelményeket.
Megoldási eszözöket kerestem az átfogó információ biztonság
irányítási rendszer kiépítésésére.
Megvizsgáltam az információ biztonsági irányítási rendszer
integrálhatóságát a Matáv Rt. üzleti mûködésébe.
Programjavaslatot készítettem az információ biztonság érvényesítési
rendszerének bevezetésére.
A megértést segítendõ, az információbiztonság társadalmi
vonatkozásainak felvillantásával igyekeztem munkámat szélesebb
kontextusba helyezni.
Vizsgálataim során nem tértem ki a témához szorosan kapcsolódó alábbi
tárgyterületekre.
A vonatkozó jogi környezet összefüggéseinek részletes elemzésére.
A katasztrófavédelem, a bûnüldözés és a nemzetvédelem
szempontjainak specifikus érvényesítési módszereire.
Az információbiztonság technológiai megoldásaira és eszközeire.
8. 8
2. Bevezetés
Vajon hogyan vélekedünk ma - az információs társadalom küszöbén - az
információk kezelésérõl és annak biztonságáról? Áttekinthetõ-e a
menedzserek számára a biztonságos információkezelés teljes
kiterjedtségében és mélységeiben? Vannak-e átfogó elméletek és
gyakorlati módszerek a problémák kezelésére? Egyáltalán: ismerjük,
felismerjük-e a gyakorlati problémákat?
E kérdéseket az információs technológiák elmúlt két évtizedben
bekövetkezett robbanásszerû fejlõdése vetette fel, egyre sürgetõbb
problémák formájában. Az új technológiák új veszélyeket hoznak,
melyekre a társadalom - a tapasztalatok hiánya folytán - mindig csak
késve tud reagálni. Ahogyan a gépkocsi elterjedése forradalmasította a
bûnözést, a maghasadás felfedezése lehetõvé tette a nukleáris
katasztrófákat, a genetika forradalma az emberi klónozást, úgy az
információtechnológia elterjedése is új, naponta szaporodó veszélyeket
hoz magával.
Új értelmezéssel bõvülnek az emberi jogok, növekszik az egyének és
szervezetek társadalmi felelõssége, a vállalatok vezetõi ügyfeleik,
parnereik, tulajdonosaik új elvárásaival szembesülnek.
Az információkezelés biztonsági kérdései csak napjainkban tûntek fel a
menedzsment területek horizontján. /Lásd például Tim Zoltán
cégbiztonságról (Tim, 2001.), vagy O. Gábor László ipari kémkedésrõl (O.
Gábor, 2002.) írott cikkeit./ Bár a hazai és nemzetközi gyakorlatban
vannak különbségek, átfogóan megállapítható, hogy a válaszok mind
társadalmi, mind üzleti téren messze elmaradtak a technológiai fejlõdés
mögött.
9. 9
Szakdolgozatom a Matáv mûködési gyakorlatának szemszögébõl tekint e
problémákra. Áttekinti, hogy a telekommunikációs iparág milyen
információ biztonsági követelmények között kell működjék, és szereplői
milyen elméleti kapaszkodókat találnak e követelmények kielégítésére.
Majd a Matáv példáján keresztül megvizsgálja, hogy az információ
biztonsági szempontok hogyan illeszthetők be a vállalat kontroll
rendszerébe.
Hazánk 2004. évi Európai Uniós csatlakozása, a megújuló adatvédelmi és
távközlési törvények, valamint a Matáv átdolgozás alatt lévõ biztonsági
stratégiája különös aktualitást ad számomra e témának.
Ezért szakdolgozatom végsõ célja programjavaslatot adni a Matáv Rt.
biztonsági vezetõi számára egy átfogó, társasági szintû információ
biztonsági irányítási rendszer bevezetésére.
Munkám egyben igyekszik újszerû, a szokásos biztonsági megközelítésnél
szélesebb kontextusba helyezni az információ biztonság
megvalósításának problémáját, ezáltal is elõsegítve a biztonsági és üzleti
területek közötti jobb interdiszciplináris kommunikációt.
Bízom benne, hogy dolgozatomat haszonnal forgatják azok a hallgatók is,
akik számára kihívást, felfedezést jelent az információ biztonsági
szempontoknak a menedzsment területén történõ egyre erõteljesebb
megjelenése.
10. 10
3. Elméleti háttér
Az információtechnológia biztonságához kötõdõ kutatások az 1980-as
évek elején indultak az Egyesült Államokból. E kutatások eredményei
kézzelfoghatóan a különbözõ védelmi célú állami és nemzetközi
szabványokban öltöttek testet. A legismertebbek: (TCSEC, 1985; ITSEC,
1991; FC, 1993). A szélesebb társadalmi értelemben vett információ
biztonság témaköre elsõsorban a világpolitikai erõegyensúly felbomlása,
másodsorban az információs társadalom formálódása következtében
kialakuló aszimmetrikus társadalmi erõviszonyok és bizalomhiány
problémái miatt került elõtérbe. A World Trade Center ellen elkövetett
merénylet, az Európai Unió emberi jogi törekvései nyomán az
ezredfordulóra már nemzetközi erõfeszítések és uniós programok is
indultak az információk biztonságos kezelési problémáinak megoldására.
Mindezidáig azonban sem a társadalmi, sem az üzleti szférában nem
alakult ki egységes fogalmi keret, és elméleti megközelítés.
Kutatásom során áttekintettem a hazai oktatási gyakorlatot is. Örvendetes
tény, hogy a Gábor Dénes Fõiskolán, a Kandó Kálmán Mûszaki Fõiskolán,
a Budapesti Mûszaki Egyetem Villamosmérnöki és Informatikai Karán
valamint a Pécsi Tudományegyetem Állam- és Jogtudományi karán
kutatják illetve oktatják az információbiztonság társadalmi, mûszaki és jogi
kérdéseit.
A menedzsment vonatkozásokra viszont csak a Zrínyi Miklós
Nemzetvédelmi Egyetem tematikái tének ki hangsúlyosan, bár az üzleti
gyakorlat számára idegen, katonai kontextusban. A Haditechnikai
Tanszék oktatói szerint (Turcsányi-Vasvári, 1999.): "Az Európai Unió és a
világ más régióinak fejlett országaiban a menedzsment minden területén
és szintjén ma már kiemelt feladat a minõségi szemlélet, a preventív
gondolkodás és a biztonságos munkakörnyezet összhangjának
megteremtése."
11. 11
Mint a bevezetõben említettem, az információ biztonság viszonylag új
szempont a vállalatok vezetésében. Ezért az információk biztonságával
kapcsolatos elveket és gyakorlatot az üzleti szférában - az ipari kémkedés
problémakörének hagyományos mintájára - általában üzleti titokként
kezelik. Így legális és megbízható benchmark illetve best practice
forrásokra nem támaszkodhattam. Elsõdlegesen tehát a megfelelõ
elméleti modell felállítását kellett elvégeznem.
3.1 Alkalmazott fogalmak
Az elméleti tárgyalás szempontjából nélkülözhetetlen néhány fogalom itt
alkalmazott jelentésének pontos értelmezése.
A biztonság legáltalánosabban a bizonytalanság elvárt szintre történõ
csökkentését jelenti. E dolgozatban olyan kívánatos állapotot jelent,
melynek elérése és fenntartása tudatosan, elõrelátás, prevenció és
kontroll által biztosított.
Egy üzleti vállakozás számára az információ stratégiája megalkotása,
üzleti céljai elérése, napi döntései meghozatala céljából felhasznált
erõforrás, gazdálkodási és mûködési bizonytalansága (kockázatai)
csökkentésének nélkülözhetetlen eszköze.
Az üzleti célból kezelt információ azonban egyidejûleg katonai (NATO)
titok, Nyugat Európai Uniós (NYEU) titok, államtitkok, magántitok
(személyes adat, orvosi titok, távközlési titok, stb.), szerzõi vagy
védjegyoltalomban részesülõ adat (licence, know-how), vagy más
gazdálkodó szervezet titka (banktitok, kereskedelmi titok, üzleti titok) is
lehet.
E különbözõ társadalmi és gazdasági célú információvédelmi jogi oltalmak
érvényesítésének védelmi eszközeit az adatbiztonság, informatikai
biztonság, iratvédelem többé-kevésbé átfedõ, vagy szinoním fogalmai
fedik.
12. 12
Dolgozatomban a világos, áttekinthetõ tárgyalás érdekében e védelmi
eszköztár gyûjtõfogalmaként az információ biztonságot alkalmazom,
melyen az információk
korlátozott elérhetõségének (bizalmasságának, piacképességének),
integritásának (azaz sértetlenségének és hitelességének),
felhasználhatóságának (rendelkezésre állásának és használatra való
alkalmasságának)
megõrzését értem. Implicit módon beleértve az információkat hordozó
adatokon végzett (gyûjtési, tárolási, betekintési, feldolgozási, továbbítási,
módosítási, törlési) mûveletek reprodukálhatóságának,
elszámoltathatóságának (azaz alanyi és tárgyi visszavezethetõségének és
letagadhatatlanságának) biztosítását.
A vizsgálatom középpontjában álló információ biztonság irányítási
rendszeren pedig a különbözõ üzleti, társadalmi, gazdasági eredetû
információvédelmi célok és az információ biztonsági eszközök
összehangolt, az üzleti célból kezelt információk teljes körére nézve
komplex módon megvalósított irányítási tevékenységeit értem.
3.2 Alkalmazott modellek
A bevezetõben vázolt célok elérése érdekében az információ biztonság
irányítási rendszer mibenlétére, majd bevezetésének módjára vonatkozó
elméleti hátteret kellett meghatározni.
Elsõként az információ biztonsági szempontok és az üzleti szempontok
integrálására alkalmas információ biztonság irányítási modellt kell
megalkotnom.
Ennek elvégzésére a biztonság fogalmi meghatározásából indulhatunk ki.
13. 13
A fent adott definíció alapján a biztonság gyakorlati megvalósítása az
alábbiakat jelenti:
1. Hiedelmek felülvizsgálata, megdöntése a kockázatok tudatos
kezelése érdekében.
2. Folyamatos információgyûjtés és helyzetértékelés a megfelelõ
elõrelátás és felkészülés céljából.
3. A nem vállalt kockázatok meghatározása és preventív
elkerülése.
4. A felvállalt helyzetek kockázatainak kontrollálása.
A fenti lépések az irányítási tevékenységek valamennyi szintjét érintik, és
lényegében a szervezet kontrolligényének és kontrolltevékenységének
meghatározott szempontú tudatos alakítását jelentik (miért; mit; hogyan;
mivel kontrolláljunk?).
Ehhez a megfelelõ kontrollmodelleket kellett megtalálni és alkalmas
módon implementálni az információ biztonság irányítási céljaira. E munka
során az alábbi modelleket illetve módszereket használtam fel.
Az irányítási rendszerek terén Robert N. Anthony fektette le a
háromlépcsõs piramis modellt (Anthony, 1965), mely a stratégiai,
menedzsment és operatív szintre bontja a kontroll feladatokat.
A kontrollmechanizmusok irányultságára William G. Ouchi a klán, a
piaci és a bürokratikus kontroll típusait vezette be, attól függõen, hogy
az irányítás az értékeken, az eredményeken vagy a szabályokon
keresztül valósul meg. (Ouchi, 1980).
A stratégiaközpontú irányítás rendszerét Kaplan és Norton a Balance
Scorecard rendszerben dolgozta ki, mely a hagyományos pénzügyi
irányultságú kontrolleszközöknek az immateriális javak
menedzsmentjével kiegészített eszköze (Kaplan - Norton, 1998).
A stratégiai térképkészítés módszerét szintén Kaplan és Norton
dolgozta ki, melyben az immateriális javak üzleti eredményekhez törénõ
ok-okozati hozzájárulását modellezik le (Kaplan - Norton, 2002).
14. 14
Az információs rendszerek kritikus sikertényezõk alapján történõ
elemzését Jack Rockart dolgozta ki, melyben a szervezeti mûködés
információs erõforrásokkal való ellátását az üzleti eredményességgel
kötötte össze (Rockart, 1982).
A stratégia implementálására alkalmas kontrollrendszert Robert
Simons dolgozta ki, melyben az alapvetõ értékek, stratégiai
bizonytalanság, elkerülendõ kockázati tényezõk, kulcs
teljesítményváltozók és beépített ellenõrzési módszerek öt területére
fókuszálta a kontroll tevékenységeket (Simons, 1995).
Fenti modellek információ biztonsági szempontból az alábbi kapcsolódási
pontok mentén foglalhatók egységes keretbe (lásd 1. ábra).
1. Az elemzéshez Anthony háromlépcsõs piramis modellje szolgál
keretül, Simons öttényezõs kontroll elemei szerint lebontva.
2. Az információbiztonság szakmai megvalósítási módszereinek tükrében
a stratégiai, menedzsment és operatív szintekhez rendre Ouchi klán,
output (piaci) és bürokratikus kontroll típusai társíthatók jellemzõen.
3. Stratégiai szinten a Balanced Scorecard modell és a stratégiai
térképalkotás harmonizált rendszere adja a kiindulási alapot. E
stratégiai térképen kell megjelenjen a szervezet biztonsági (és ezen
belül az információ biztonsági) szempontokhoz való viszonya, Kaplan
és Norton példáinak megfelelõen (Kaplan - Norton, 2002).
4. A menedzsment kontroll szintjén, a stratégiai térképalkotás a Balance
Scorecard stratégiai mutatószámrendszerén keresztül kapcsolható a
kritikus sikertényezõk módszeréhez. Azaz a stratégia megvalósításának
kulcstényezõit és kritikus üzleti folyamatait támogató lényeges ellátási
feltételeket tekintjük kritikus sikertényezõknek, mind az
információkezelés kockázatai, mind az információellátás biztonsága
terén.
5. Operatív szinten a kritikus sikertényezõk alapján határozható meg az
információ biztonság szempontjából elvárt magatartás és mûködés.
16. 16
6. A fent sorolt kontrolleszközök szervezeti implementálása Simons
modellje alapján történhet a következõ kapcsolódási pontok mentén.
A Balanced Scorecard eszközeivel meghatározott üzleti vízió az
alapvetõ értékeken keresztül;
az üzleti vízió stratégiai térképen lefektetett megvalósítási módja
a stratégiai bizonytalanságkezelés interaktív módszerein
keresztül;
a kulcs teljesítmény jelzõ és kritikus sikertényezõk kontrollja a
kulcs teljesítményváltozók diagnosztikai rendszerén keresztül;
az elvárt magatartás, az elkerülendõ kockázatokat kezelõ
korlátozó rendszereken keresztül;
az elvárt mûködés a beépített ellenõrzési rendszereken
keresztül.
A kontrolligények és megvalósítási lehetõségek vizsgálatában tehát e fenti
modell kereteire támaszkodom.
Második lépésben az információ biztonság irányítási rendszer
bevezetésének módjára vonatkozó elméleti keretet kell megválasztani.
E téren a változásmenedzsnment tanulmányok nyújtottak segítséget.
Bakacsi Gyula könyvében (Bakacsi, 2001) az alábbi három területet
tárgyalja.
1. Jelenlegi helyzet és problémák feltárása
probléma jelentõsége
a megoldás sürgõssége
a szükséges változás tartalma
2. Az implementációhoz szükséges tényezõk számba vétele
várható ellenállás mértéke (célok elfogadtathatósága)
lényeges információk elérése és együttmûködés
a változás kezdeményezõjének hatalmi pozíciója
17. 17
3. változási stratégia és taktika
mit kell tenni
kinek
milyen sorrendben
milyen határidõkkel
Az elsõ két pont értékelésére a megfelelõ elméleti modell kiválasztása az
alábbi szakmai tapasztalatok figyelembe vételével történt.
A biztonság kialakításának alapproblémája a bizalom megléte,
illetve ennek hiánya esetén az ellenérzések (idegenkedés,
felelõsség elutasítás) mérséklése, megszûntetése.
A biztonsági rendszerek kialakításának tapasztalatai alapján az
e téren bekövetkezõ változások három fõ szakaszra bonthatók.
A bizalom kiépítésére, a biztonsági szempontok megértésére,
internalizálása és a szükséges kontroll mechanizmusok
kiépítésére.
E jellegzetességek alapján a változások véghezvitele szempontjából a
szervezeti ellenállás kérdését célszerû középpontba helyezni.
Kotter és Schlesinger a változások sebessége kapcsán tárgyalja e kérdést
és az alábbi négy tényezõs értékelési szempontrendszert ajánlja (Kotter -
Schlesinger, 1992).
Az ellenállás elõre jelezhetõ mértéke
A kezdeményezõ és az ellenállók pozíciói, hatalmi viszonya
a kezdeményezõ információs kiszolgáltatottsága és
elkötelezettség igénye
A változás tétje (változatlanság kockázata)
18. 18
A harmadik pont részletesebb elemzése Dobák Miklós (Dobák, 2000) által
ismertetett változási folyamatmodell alábbi fázisainak vizsgálata alapján
végezhetõ el:
1. Változás szükségessége / változási ötlet
2. Elfogadás / Döntés
3. Megvalósítás (implementáció)
4. Értékelés
5. Lezárás
A változás érdemi lépéseinek meghatározására az Információ biztonság
irányítási rendszerek (ISMS) bevezetésére Fredrick Björck által kidolgozott
folyamatmodellt használtam fel (Björck, 2001).
E modellben Björck a Svédországi bevezetési tapasztalatok alapján az
alábbi lépéseket javasolja:
kiértékelési fázis (output: sebezhetõségek és hiányosságok)
alapítási fázis (output: testre szabott elvi ISMS megoldások)
implementációs fázis (output: konfigurált, bevezetett kontroll
mechanizmusok)
Modell választásomat az indokolta, hogy e modellek sokkal inkább
egymás hasznos kiegészítésének mintsem alternatíváinak tekinthetõk. Így
a kialakított változási programban mind a magatartási, mind a szervezési,
mind pedig a szakmai szempontok érvényre juthatnak.
19. 19
4. Kutatási módszerek
A szakdolgozat célkitûzéseinek teljesítéséhez az alábbi kérdésekre kellett
választ találni.
1. Milyen biztonsági követelmények érvényre juttatását kell
biztosítania az információ biztonsági irányítási rendszernek ?
2. Jelenleg milyen információ biztonsági kontrolleszközök
mûködnek a Matávban ?
3. Milyen megoldási eszözök közül választhatunk egy átfogó
információ biztonság irányítási rendszer kiépítéséséhez ?
4. Hogyan, milyen lépésekben célszerû bevezetni az információ
biztonsági irányítási rendszert ?
4.1 A kontrollmódszerek vizsgálata
Az elsõ három kutatási kérdés elemzési eszközeként az elméleti részben
leírt kontroll modellt alkamaztam azzal a céllal, hogy összevethetõk
legyenek a környezeti elvárások, a jelenlegi helyzet és a lehetséges
megoldási módok.
A modell alkalmazásának megfontolásai az alábbiak voltak:
A biztonsági elvárásokra, követelményekre:
Valamennyi környezeti elvárás érvényesítésének áttekinthetõ módon
kell megjelennie a közvetlenül elvárt kontrollfunkciók tekintetében.
Tehát az elemzésnek a kontroll tárgyától (üzleti adat, személyes adat,
államtitok, személyes viselkedés stb.) függetlenül kell megtörténnie.
(Ezt azért fontos hangsúlyozni, mert a Matáv mûködési gyakorlatában a
különbözõ titokkörökre, rendszerekre és veszélyekre vonatkozó
kontrollmechanizmusok egymástól jórészt függetlenül mûködnek.)
A közvetett megvalósítási követelmények (például biztonsági oktatások
szükségessége a személyes adatok kezelésének elvárásairól) nem
kerülnek feltüntetésre, ha ezek nincsenek explicit módon megkövetelve.
20. 20
A jelenleg mûködõ kontrolleszközökre:
A Matávban mûködõ kontrolleszközök közül csak az intézményesült
eljárások legyenek figyelembe véve. A nem formalizált eljárások
keretében folyó biztonságérvényesítési feladatok kontroll (szabályozási
kör) jellege és hasznosulása erõsen függ a szubjektív megítéléstõl.
A vizsgálat fókuszába az információk biztonságára vonatkozó társasági
eljárások kerüljenek. Így például az informatikai rendszerek fejlesztési
és üzemeltetési eljárásai is tartalmaznak az információk biztonságához
kötõdõ kontrollmechanizmusokat, de ezek az egyedi rendszerekhez
kötõdnek. A társasági biztonsági mûködés átfogó megítélését tehát
ezen folyamatok egyoldalúan befolyásolnák.
A vizsgálatnak a meglévõ információ biztonsági kontrollmechanizmusok
jellegét és nem tételes meglétét vagy irányultságát kell kimutatnia. Ez
utóbbiak ugyanis függenek a mûködõ rendszerek és folyamatok
számától és az azokban figyelembe vett védelmi szempontok
teljeskörûségétõl és relevanciájától.
A megoldás eszközeire:
A különbözõ eszközök egymással összehasonlítható módon legyenek
kiértékelve.
Az eszközök alkalmazásba vételi döntését támogassa a
követelményekkel és a jelenleg mûködõ mechanizmusokkal való
összevethetõség.
A környezeti elvárások, a jelenlegi helyzet és a lehetséges megoldási
módok elemzése után kerülhet sor a negyedik kutatási kérdés
megválaszolására, azaz:
Hogyan, milyen lépésekben célszerû bevezetni az információ biztonsági
irányítási rendszert ?
21. 21
Bakacsi Gyula fent említett modellje alapján a változás jellegét és
keresztül vihetõségét kell értékeni. A változás jellege analítikus
vizsgálattal elemezhetõ, a keresztül vihetõség elemzésére azonban meg
kell vizsgálni a biztonsági szakterület változtatási képességeit és a Matáv
adaptációs hajladóságát.
4.2 A biztonsági szakterület vizsgálata
A változtatási képességek terén Björck adaptációs kutatási eredményei jól
használhatók (Björck, 2001). Björck az alábbi kérdésre kereste a választ 8
auditor és 18 információ biztonsági szakértõ körében:
"Véleménye szerint melyek a kritikus sikertényezõi egy információ
biztonság irányítási rendszer sikeres bevezetésének?"
A válaszarányok az alábbiak voltak:
auditorok: 75% (6 / 8 * 100)
szakértõk: 72% (13/18 * 100)
Az auditori válaszok alapján a kritikus sikertényezõk:
felsõvezetõi elkötelezettség
biztonsági szükségletek tudatossága
átfogó (holisztikus) megközelítás
külsõ szakértelem elérhetõsége
jól struktúrált projekt
motivált alkalmazottak
22. 22
Az információ biztonsági szakértõk válaszai alapján a kritikus
sikertényezõk:
projekt menedzselési képesség
Lobbykészség
Kommunikációkészség
Finanszírozási készség
Analítikai képességek
Végrehajtási képesség
Tekintettel az implementációs téren elérhetõ adatok szûkösségére és a
svéd biztonsági kutatások vezetõ pozíciójára az eredmények alkalmazása
mellett döntöttem.
A két sikertényezõ csoport közül az alábbi megfontolások alapján
választottam:
A Matáv esetében az információ biztonság irányítás
gyakorlatának meghonosítása az elsõdleges cél. Auditálási
célkitûzésekrõl még nem lehet szó.
A megyarországi biztonsági szakértõk - bár hazánkban is
kevesen vannak - a Matáv, mint jelentõs referenciaértékû és jó
fizetõképességû ügyfél kérésére szívesen állnak rendelkezésre.
Így megszerzésük kevésbé kritikus.
A felsõvezetõi elkötelezettség és biztonság tudatosság a
biztonsági szakterület lobbyképességének és az
információbiztonsági szempontok üzleti integrációjának
függvénye.
E megfontolások alapján a biztonsági szakértõi szempontrendszert
választottam a változási készségek felmérésére.
23. 23
A biztonsági szakterület képességeinek vizsgálatára a 2001. évi EFQM
önértékelési jelentésen kívül nem voltak fellelhetõk adatok. E
dokumentum értékelési szempontjai azonban nem voltak közvetlenül
alkalmazhatók a vizsgálat céljaira. Ezért a kritikus sikertényezõk kérdõíves
önértékelés alapú felvétele mellett döntöttem.
A biztonsági szakterület képességeit felmérõ kérdõívet a 3. számú
melléklet tartalmazza.
4.3 A Matáv adaptációs készségének vizsgálata
E kérdés vizsgálata a változtatási stratégia és taktika kialakításához volt
szükséges. Erre az elméleti modelleknél leírt négy tényezõs modellt
alkalmaztam (Kotter - Schlesinger, 1992) az alábbi adaptációs
szempontokkal.
Az ellenállás elõre jelezhetõ mértékét a "kezdeményezési
hajlandósággal" mértem, feltételezve, hogy az esetleges
ellenérzések és elutasítás direkt felfedése nélkül kiválaszthatók
a változásra kevésbé hajlandó szervezetek.
A kezdeményezõ és az ellenállók hatalmi pozícióinak
megítélésére a központi és helyi irányítás közötti választás
segítségével közelítettem. A racionális indoklás lehetõségével
lehetõvé téve a hozzáállások felszínre hozását. (E két
megvalósítási mód mindkét oldalán egyformán lehet racionálisan
érvelni.)
az információ hozzáférése és az elkötelezettség iránti igényt a
szervezeti erõforrások potenciális rendelkezésre bocsátásával
közelítettem.
A változás tétje (változatlanság kockázata) tekintetében a
megkérdezettek aktualitásra vonatkozó megítélését vizsgáltam,
feltételezve, hogy az aktuálitás mellett voksolók nagyobbnak
tartják a változatlanság kockázatát, mint a jelenlegi helyzet
fenntartását.
24. 24
A kérdések sorrendjét úgy választottam meg, hogy a mit igényel ? és a mit
nyújt cserébe ? jellegû megfogalmazások egymást váltsák, ezáltal
elkerülve a "szókratészi" csapdát, azaz, hogy az elsõ válaszok
egyoldalúan befolyásolják a sorban következõket.
A Matáv adaptációs készségeit felmérõ kérdõívet a 4. számú melléklet
tartalmazza.
4.4 A megkérdezettek száma
A kérdõíves felmérés kapcsán az alábbi kérdés megválaszolása volt
kulcsfontosságú.
Széles körben kiküldött kérdésekkel, vagy szûkkörûen, egyedileg
választott alanyokra fókuszálva történjen a megkérdezés ?
A széles körû megkérdezés elõnyei:
az egyszerû lebonyolítás lehetõsége elektronikus levelezés
útján,
potenciálisan nagy statisztikai minta,
kellõen nagy kérdésszám esetén a több szempontból lehetséges
kiértékelés;
hátrányai:
alacsony várható válaszarány (újabb tucatkérdõív, nagyon
specifikus téma, sok kérdés);
potenciális félreéerthetõség (közérthetõ kérdésfeltevés
nehézsége és az alany hierarchiában elfoglalt szerepétõl függõ
értelmezés).
bár nagy a minta de a teljes létszámnak nagyon kis része, így az
eredmények nehezen ismételhetõek.
25. 25
A szûkkörû, célzott megkérdezés elõnyei:
testreszabás lehetõsége (azonos beosztás, ismert premisszák);
egyedi kérdéspontosítások lehetõsége;
másodlagos információk becsatolhatósága;
az eredmények ismételhetõbbek (ugyanazon alany véleménye
kevésbé változik)
hátrányai:
a kis statisztikai minta miatt viszonylag kevés levonható
következtetés,
több személyes idõráfordítás (átbeszélés, interjú),
Fenti tényezõket mérlegelve, figyelembe véve a Matávon belüli kérdõívek
számát, és a téma specifikus jellegét, a kisszámú célzott megkeresés
módszerét választottam.
4.5 A megkérdezettek köre
A biztonsági szakterület kérdõíves önértékeléséhez
a belsõ képességeket és erõforráshelyzetet együttesen jól látó
alanyokra volt szükség,
mind a változás megtervezése, mind a változás kivitelezése
oldaláról meg kellett ítélni a lehetõségeket (lehetõleg azonos
arányban).
E szempontok kielégítésére az irányításban dolgozó vezetõk és
információbiztonságban érintett szakértõk, valamint az
információbiztonság szakmai végrehajtási feladatait irányító vezetõk lettek
megkérdezve.
26. 26
A Matáv adaptációs készségének vizsgálatára
a változásban érintett stakeholderek meghatározására volt
szükség,
valamint az értékelés korábbi szempontjainak teljesítéséhez az
egyforma beosztásban illetve hasonló szervezeti mérettel és
feladatkörrel rendelkezõ vezetõk kiválasztására.
A kiválasztásban a Matáv ISO 9001:2000 minõségügyi keretrendszerének
és szigetrendszereinek struktúrája szolgált alapul. E megközelítést az
indokolta, hogy az információ biztonsági irányítási rendszer az ISO
14001:1996-os környezetirányítási rendszererhez hasonlóan e
struktúrában kezelhetõ célszerû módon, még ha a szervezeti felépítés
alapján ez nem is tûnik célravezetõnek.
A beosztások és feladatkörök összemérhetõségére a minõségügyi
krendszertõl három esetben tértem el.
A Lakossági és Kisvállalati Divízió és az Üzleti Megoldások
Üzletág esetében a marketing területek igazgatói kerültek
kiválasztásra, tekintettel az informatika alkalmazások súlyára
A teljes Matáv Rt. tekintetében a minõségügyi keretrendszer
vezetõje lett kiválasztva.
A megkérdezett szervezetek listája és rövidítésjegyzéke az 5. számú
mellékletben található.
27. 27
5. Elemzés
E fejezet célja, hogy áttekintse a Matáv Rt. mûködése tekintetetében
figyelembe veendõ biztonsági követelményeket, a Matáv Rt. jelenlegi
biztonság érvényesítési gyakorlatát, az információ biztonság irányítási
rendszer kiépítésének eszközeit és e rendszer bevezetési lehetõségeit.
E munkában az alábbi források kerültek felhasználásra:
MBA tanulmányok forrásanyagai,
a vonatkozó jogszabályok,
HISEC 2003. biztonsági konferencia anyagai,
a Matáv Rt. belsõ biztonsági normatívái,
a Matáv Rt. minõségirányítási rendszere.
a vonatkozó nemzetközi szabványok,
interneten elérhetõ biztonság szakmai források,
5.1 Biztonsági követelmények
A biztonsági követelmények áttekintése azért lényeges, mert a
bevezetendõ információ biztonsági irányítási rendszernek e
követelmények érvényrejutását kell garantálnia.
Az információ biztonsági követelmények két alapvetõ forrásból
táplálkoznak.
Egyik lényeges terület az általános jogi követelmények köre, melyek
törvényi alapon jutnak érvényre. E követelmények sok esetben
ellentétesek az üzleti érdekekkel, de minden iparági versenyzõre nézve
azonosan érvényesek így hatásuk elvileg versenysemleges.
28. 28
A követelmények másik területe az érintett szervezet mûködésében
érdekelt felek által támasztott elvárások köre. Ezen elvárások
jellemzõen a szervezet saját normatíváiban (magatartási normák,
stratégia, belsõ szabályozók) és a szervezettel kötött szolgáltatói,
szállítói, összekapcsolási és egyéb szerzõdésekben fogalmazódnak
meg. E követelmények kielégítése valójában az iparági versenyzõk
egyedi üzleti érdeke illetve stratégiája szempontjából lényeges.
5.1.1 Európai Uniós jogforrások
Az Európai Unió jogforrásait elsõsorban az információs társadalom
kérdéskörében felmerülõ társadalmi, gazdasági, fogyasztói érdekek
védelme és az e-Europe koncepció kapcsán érdemes megemlíteni. E
jogforrások az információkat érintõ - alább sorolt - alapvetõ emberi jogokra
épülnek (Kiss - Major - Valentiny 2000).
az információ tulajdonjoga (szellemi termék, szabadalom,
találmány, védjegyoltalom, kereskedelmi és üzleti titok)
az információhoz való hozzájutás joga (magán és közszféra)
az információ terjesztéséhez való jog
az információ használatához való jog
a magáninformáció megtartásához való jog
a választás szabadsága
a szólásszabadság
Az információ biztonsággal összefüggõ kiemelt uniós tárgykörök:
információs társadalmi szolgáltatások
távközlési piacliberalizáció ("Open Network Provision" elv)
2001. márciusi Biztonságpolitikai akcióprogram (terrorizmus,
katasztrófavédelem, cyber bûnözés)
29. 29
A telekommunikációs iparágat érintõ két legfontosabb vonatkozó irányelv:
Adatvédelmi direktíva (Telecoms data protection Directive
97/66/EC)
elektronikus kereskedelem (Electronic Comerce Directive
2000/31/EC)
A sorolt uniós jogforrások elsõsorban a tagállamok alkotmányán és
törvényalkotási gyakorlatán keresztül fejtenek ki joghatást. Így
követelmény szintû felhasználásukra közvetett módon, a magyar
törvényalkotás hiányosságai és értelmezési nehézségei kapcsán kerülhet
sor.
5.1.2 Magyar jogi környezet
A Magyar jogszabályok Európai Uniós jogharmonizációja átfogó reformot
igényel. E reform igénye sürgetõen jelentkezik az információkezelés
annak biztonsági vonatkozásai terén.
Jellemzõ értékelést adnak errõl a HISEC 2003. Nemzeti adatvédelmi és
adatbiztonsági konferencián elhangzott hivatalos és szakértõi
vélemények:
" a magyarországi helyzetre jelenleg az jellemzõ, hogy az elektronikus hírközlési
hálózatok és informatikai rendszerek biztonságával kapcsolatosan nem beszélhetünk egy
átfogó, egységes szemlélet alapján kialakított szabályozási, intézményi és technikai
környezetrõl, amely lefedné a területen felmerülõ kérdések teljes körét és megfelelõen
illeszkedne az Európai Unió és más nemzetközi szervezetek keretében formálódó
kezdeményezésekhez… a Magyar Információs Társadalom Stratégia így fogalmaz:
Hazánkban gyakorlatilag hiányoznak a mai technológiai rendszereknek, az informatika
szerepének, illetve az informatikai rendszerek veszélyeztettségének megfelelõ, az
informatikai biztonságra vonatkozó jogi keretek….
30. 30
A fejlett országok gyakorlatával ellentétben az informatikai biztonság helyzetére
hazánkban jellemzõ, hogy:
• súlya, kezelése nincs arányban a fontosságával;
• szétaprózódik a különböz részterületek irányítása alatt;
• jogszabályi és irányítási hiányosságok korlátozzák számos területen;
• nincs egységesen alkalmazott módszertana, szakmai elvárásrendszere;" (Rényi,
dr. - Ádám, dr; 2003.)
"Az Európai Unióhoz való csatlakozás során ezzel kapcsolatban már követelmények is
megjelennek hazánkkal szemben, de, mint NATO tagországgal szemben is vannak
elvárások. Ma hazánkban a közigazgatás, illetve a stratégiai fontosságú szervezetek
informatikai rendszereinek biztonsága a "szabad belátásra" van bízva… Az informatikai
rendszerek elõállítói, vagy árusítói garantálnak bizonyos biztonsági (védettségi) szintet,
illetve azokat a felhasználók részben maguk is megismerhetik, mégis célszerûbb
nemzetközileg elfogadott követelmények alapján lefolytatott vizsgálati eredményekre
támaszkodni. A rendszereknek vagy termékeknek az értékeléséhez objektív és jól
körülhatárolt biztonsági követelményrendszeren túl egy olyan testület létezésére is
szükség van, mely garantálja, hogy a vizsgálatot megfelel módon hajtották végre." (Muha
2003.)
"Egy 1997 õszén titokvédelmi témakörben folytatott felmérés a hatályos
joganyagban 377 jogszabályban, alkotmánybírósági határozatban és
versenyhivatali döntésben talált titokkal összefüggõ normát, illetve
értelmezést. Ezen belül 109 jogszabály tartalmazott üzleti titokra
vonatkozó szabályozást vagy utalást." (Matáv Rt. Információvédelem -
Biztonsági kódex, 1997.)
E dolgozat írásakor a telekommunikációs iparág információbiztonságát
érintõ leglényegesebb hatályos jogszabályok az 1. számú mellékletben
találhatók. A továbbiakban ezen jogszabályokat tekintjük értékelési
alapnak figyelembe véve, hogy a fenti idézetek alapján a magyar
jogszabályokban megjelenõ biztonsági jellegû követelmények változása
és gyarapodása várható a fent sorolt uniós témakörök szerint.
31. 31
A jogszabályi környezet által közvetlenül érintett kontrollmechanizmus
típusokat az 1. ábrán feltülntetett elvi modell alapján az 1. táblázat
tartalmazza. (A felsorolt jogszabályok sorszám alapján megfeleltethetõk
az A táblázatban alkalmazott sötétített jelölések az egyes jogszabályok
által érintett kontrollterületeket mutatják be:
az elsõ oszlop az általános felelõsségek megjelenítését,
a második oszlop a kockázati helyzetek önálló felelõs kezelését,
a harmadik oszlop a szükséges magatartási és mûködési
kontrollfeltételek önálló meghatározását és bevezetését,
a negyedik oszlop a személyzettel kapcsolatos alanyi és
magatartási elõírásokat,
az ötödik oszlop az információkezelés folyamatára és feltételeire
vonatkozó elõírásokat takarja.
A hangsúlyosan kezelt területek sötét, míg a kevésbé hangsúlyosak
világosabb árnyalásúak.
A táblázatból az alábbi következtetések vonhatók le.
1. A hazai jogszabályok elsõsorban a vállalat mûködési
folyamatainak kontrolljára helyezik a hangsúlyt.
2. A legteljesebb elõírásokat az állam- és szolgálati titkok
kezelése terén találunk, amely semmilyen mozgásteret nem
tesz lehetõvé a titokkezelõnek a feltételek alakítása terén.
3. E joggyakorlat "tükörképe" a személyes adatok, elektronikus
aláírás és információs társadalmi szolgáltatások témaköreit
szabályozó törvények. Fontos megjegyezni, hogy e szabályok
alapját az Európa Unió jogforrásai jelentették.
4. A papír alapú adatkezelésre épülõ és a gyakorlatban jól
megragadható adatszolgáltatási tágyköröknél szokásos
konkrét elõírások nem jellemzõek az elektronikus adatkezelés
területein. Így a szoftverek, személyes adatok, elektronikus
levelezés és kereskedelem, információs szolgáltatások terén.
32. 1. táblázat
ssz. Jogszabály megnevezése
Kockázatok
tudatos
kezelése
Helyzetérté-
kelés és
felkészülés
Taktikai
prevenciók
Humán
kontroll
Mûködés
kontroll
1
1978.évi IV. törvény a Büntetõ
Törvénykönyvrõl
2
1992. évi LXIII. Törvény a személyes
adatok védelmérõl és a közérdekû adatok
nyilvánosságáról
3
1992. évi LXVI. törvény a polgárok személyi
adatainak és lakcímének nyilvántartásáról
4
1994. évi XXXIV . törvény - a Rendõrségrõl
5
1995 évi LXV. Törvény az államtitokról és a
szolgálati titokról
6
1995. évi LXVI. törvény - a köziratokról, a
közlevéltárakról és a magánlevéltári anyag
védelmérõl
7
1995. évi CXIX. törvény a kutatás és a
közvetlen üzletszerzés célját szolgáló név-
és lakcímadatok kezelésérõl
8
1995. évi CXXV. törvény a
nemzetbiztonsági szolgálatokról
9
1996 évi LVII. Törvény a tisztességtelen
piaci magatartás és a versenykorlátozás
tilalmáról
10
1997. évi CXLIV. törvény - a gazdasági
társaságokról.
11
1998. évi VI. törvény - az egyének
védelmérõl a személyes adatok gépi
feldolgozása során, Strasbourgban, 1981.
január 28. napján kelt Egyezmény
kihirdetésérõl
12
1999. évi LXXVI. törvény - A szerzõi és
szomszédos jogokról
13
1999. évi I. törvény - a Magyar
Köztársaságnak az Észak - atlanti
Szerzõdéshez történõ csatlakozásáról
14
2000. évi IV. törvény - az információ
biztonságáról szóló, Brüsszelben, 1997.
március 6-án kelt NATO Megállapodás
megerõsítésérõl és kihirdetésérõl
15 2001. évi XL. törvény a hírközlésrõl
16
2001. évi XXXV. törvény az elektronikus
aláírásról
17
2001. évi CVIII. törvény az elektronikus
kereskedelemi szolgáltatások, valamint az
információs társadalommal összefüggõ
szolgáltatások egyes kérdéseirõl
18
2003. évi XLVIII. törvény a személyes
adatok védelmérõl és a közérdekû adatok
nyilvánosságáról szóló 1992. évi LXIII.
törvény módosításáról
19
43/1994.(III.29.) Korm. rendelet a
rejtjeltevékenységrõl
20
79/1995.(VI.30.) Korm. rendelet a
minõsített adat kezelésének rendjérõl
21
75/1998.(IV.24.) Korm. rendelet a
távközlési feladatokat ellátó szervezetek és
a titkos információgyûjtésre felhatalmazott
szervezetek együttmûködésének rendjérõl
és szabályairól
22
179/1999.(XII.10.) Korm. rendelet az 1999.
évi LXXIV. törvény végrehajtásáról
23
56/1999. (IV.2.) Korm. rendelet a
nemzetközi szerzõdés alapján átvett, vagy
nemzetközi kötelezettségvállalás alapján
készült minõsített, valamint a korlátozottan
megismerhetõ adat védelmének eljárási
szabályairól
24
253/2001.(XII.18.) Korm. rendelet a
hírközlési szolgáltató adatkezelésének
különös feltételeirõl, a hírközlési
szolgáltatások adatbiztonságáról, valamint
az azonosító kijelzés és hívásátirányítás
szabályairól
32
33. 33
E négy megállapítás a következõ tendenciát vetíti elõre. A titokkezelési
területek (államtitkok, NATO, uniós titkok) és a nyílt adatkezelési területek
(személyes, üzleti, távközlési, kereskedelmi adatok) kontrollja eltérõ
irányba mozdul el. Ez utóbbi területen hazai joggyakorlatban új tendenciát
jelentõ önálló adatkezelési felelõsség jelenik meg. Vagyis az
adatkezelõnek magának kell értékelnie a kockázatokat, gondoskodnia a
megfelelõ védelem kialakításáról, feltételeinek megszervezésérõl és
folyamatos fenntartásáról. Ide értve a jogértelmezés, a technológia és a
megfelelõségi garancia kockázatának kezelését is.
5.1.3 Egyéb információ biztonsági elvárások
A követelmények másik területe a tulajdonosok, felsõvezetõk, ügyfelek,
beszállítók, társszolgáltatók, üzleti partnerek elvárásaiból származik.
A tulajdonosi elvárásokat a felügyelõbizottság, a belsõ ellenõrzés és a
könyvvizsgálók közvetítik és alapvetõen az adatok hitelességét, az
elszámoltathatóságot érintik.
A vállalat felsõvezetõinek elvárásai elsõsorban a tõzsdei jelenlét és a
stratégiai vezetés igényeibõl származnak és fõként az információk
bizalmasságát érintik.
Az ügyfelek elvárásai a személyes adatok védelme, a kapcsolat
(szolgáltatások, tranzakciók) bizalmassága és a jogbiztonság terén
elvárható gondosság (csalásveszély, zaklatás, bizonyíték biztosítás)
köré összpontosul.
A beszállítók és partnerek jellemzõ elvárásai a szerzõdéses
kapcsolatban megismert üzleti titkok védelme és az infokommunikációs
rendszerek biztonságos igénybevétele illetve összekapcsolhatósága.
A társszolgáltatók az elszámolási adatok hitelességét, etikus kezelését
és a visszaélések megelõzésében való együttmûködést várják el.
Az alkalmazottak elvárásai személyes adataik védelmét és
adatkezelési tevékenységük jogbiztonságát érintik.
34. 34
Ezen elvárások tételes számbavételére e dolgozat nem vállakozhat.
Felsorolásuk azonban lényeges következtetések levonását teszi lehetõvé.
1. A vállakozás üzleti érdekében szükséges információbiztonság nem
kezelhetõ tételes, explicit követelmények módjára. (Bizonyos
esetekben az elvárások eleve téves premisszákon nyugszanak.)
2. Az elvárások tartalma és teljesítési garanciaszintje nem kezelhetõ
egységesen. (Mást igényel egy bank és mást egy kisvállalkozó.)
Amiben ezen elvárások közösek, az a polgári jog "elvárható gondosság"
fogalomkörével ragadható meg, és az alábbi tevékenységekkel írhatók le.
bizalom és kapcsolat építés
veszélyek és kockázatok mérséklése
veszteséget okozó események kezelése
tájékoztatás, segítségnyújtás
felelõsségmegállapítás és elszámoltathatóság
jogérvényesítés (bizonyítás)
3. A felsorolt tevékenységek összességében az információk
biztonságára vonatkozó információk felelõs gyûjtésére,
megosztására, valamint a problémák megelõzésére és kezelésére
vonatkozó beavatkozási igény megnyilvánulásai.
E három következtetés összegzéseként megállapítható, hogy az üzleti
mûködésében érdekeltek elvárásai az egyedi helyzetekhez igazodó
kontrollfolyamatok mûködtetésével teljesíthetõk. Ez az 1. ábrán felvázolt
modell szerinti információkezelési folyamatokra épülõ menedzsment
kontroll kialakítását jelenti.
35. 35
5.2 Biztonsági kontroll a Matávnál
Államigazgatási múltjából eredõen a Matáv mûködésébe korábban
beépültek azok a mechanizmusok, amelyek az állami- és szolgálati titkok
kezelésére alkalmasak. 1997-tõl az üzlet titkok védelmére, 1999-tõl a
személyes adatok védelmére vonatkozó elõírásokkal is rendelkezik. Az
információ biztonsági szempontok azonban eddig nem emelkedtek a
mûködési folyamatok szintjérõl a lényeges vezetési szempontok körébe.
Bár a Matáv biztonsági szakterülete 1996-tól mind a titokvédelem, mind az
informatikai biztonság tárgykörében átfogó koncepciókon alapuló
megoldásokat dolgozott ki, napjainkra az információk biztonságával
kapcsolatos szempontok súlyuknak megfelelõ gyakorlati érvényesítése
egyre nagyobb nehézségekbe ütközik.
E nehézségek elsõsorban az alábbi területeken jelentkeznek:
Az információk biztonságával kapcsolatos követelmények száma
és elvárt garanciaszintje folyamatosan növekszik, mely - a
biztonság menedzsment módszerek változatlansága esetén -
csak növekvõ ráfordításokkal teljesíthetõ.
Az információtechnológiai alkalmazások számának
gyarapodásával és komplexitásának növekedésével a
változatlan biztonságú információkezelés ráfordításigénye
(információigény, szakértelem, szervezeti tapasztalat, költség)
folyamatosan emelkedik.
A profitorientált mûködés következtében az információ
biztonságra fordítandó beruházási keretek, létszám és költségek
erõteljesen csökkentek. Ezért a biztonsági ráfordítások üzleti
sikerekhez történõ hozzájárulásának mérése és
mérlegelhetõsége egyre inkább sürgetõvé válik.
36. 36
A Matáv folyamatos mûködésfejlesztése következtében az üzleti
folyamatok változása felgyorsult, az információkat kezelõ
alkalmazottak szerepe (és kockázati súlya) pedig jelentõsen
megnövekedett. E tendencia szükségessé teszi az információ
biztonság kezelésének helyi sajátosságokhoz illeszkedõ
kezelését.
A felsorolt nehézségek orvoslásának elengedhetetlen feltétele, hogy az
információ biztonsági szempontok szervesen beépüljenek a
stratégiaalkotásba, az üzleti mûködés irányításába és a vállalat
mûködésfejesztési és innovációs folyamataiba.
A Matáv Rt. irányításában jelenleg mûködõ információ biztonsági
kontrollmechanizmusok az alábbiak:
normatív elõírások rendszere,
biztonságérvényesítési folyamatok,
technológiai szintû kontroll.
az 1. ábrán feltüntetett elvi modell alapján a normatív elõírásokat és a
biztonságérvényesítési folyamatokat célszerû részletesebben
megvizsgálni.
5.2.1 Normatív elõírások
A Matáv Rt. információ biztonsággal összefüggõ normatíváinak listáját a
2. számú melléklet tartalmazza. E normatíváknak az 1. ábra szerinti elvi
modellel történõ összevetése után a 2. táblázatban látható súlyarányokat
kapjuk. (A felsorolt normatívák sorszám alapján feleltethetõk meg a 2.
számú mellékletnek.)
37. 37
A táblázatban a korábbiakhoz illeszkedõen alkalmazott sötétített jelölések
az egyes jogszabályok által érintett kontrollterületeket mutatják be:
az elsõ oszlop az általános kockázati felelõsségek
megjelenítését,
a második oszlop a kockázati helyzetek önálló felelõs kezelését,
a harmadik oszlop a szükséges magatartási és mûködési
kontrollfeltételek önálló meghatározását és a kritikus biztonsági
tényezõk mérését,
a negyedik oszlop az alkalmazottakkal kapcsolatos alanyi és
magatartási elõírásokat,
az ötödik oszlop az információkezelés folyamatára és feltételeire
vonatkozó elõírásokat takarja.
A táblázat oszlopai szerint áttekintve látható, hogy a kontrollterületek közül
elsõsorban a mûködés és a magatartás szabályozás van fókuszba állítva.
A kockázatok tudatosítása és helyzethez igazodó kezelése jóval
kevesebb területen szerepel. (Jellemzõen a törvényi környezet mintái
szerint: titokvédelmi felügyelõ, adatvédelmi felelõs.)
Végül a legszembetûnõbb sajátosság, hogy éppen a törvényi környezet új
területeit jelentõ önálló menedzsment kontroll területen (3. oszlop) van a
legkevesebb normatív kapaszkodó. E téren az indokolatlan jogi
kockázatok elkerülése érdekében gyors változtatás indokolt.
38. 2. táblázat
ssz. Normatíva
Kockázatok
tudatos
kezelése
Helyzetérté-
kelés és
felkészülés
Taktikai
prevenciók
Humán
kontroll
Mûködés
kontroll
1
Üzletszabályzat
2
Etikai Kódex
3
Biztonsági Kódex - Információvédelem
4
Biztonsági Kódex – PC felhasználóknak
5
Matáv Rt. vezérigazgatójának 2/1992 sz. utasítása
6
Matáv Rt. vezérigazgatójának 102/1997. sz. utasítása
7
Matáv Rt. vezérigazgatójának 105/1997. sz. utasítása
8
Matáv Rt. vezérigazgatójának 141/1997. sz. utasítása
9
Matáv Rt. vezérigazgatójának 3/1999. sz. utasítása
10
Matáv Rt. vezérigazgatójának 104/2002. sz. utasítása
11
Matáv Rt. vezérigazgatójának 47/1999. Vig. utasítása
12
Matáv Rt. vezérigazgatójának 130/1999. sz. utasítása
13
Matáv Rt. vezérigazgatójának 87/2001. sz. utasítása
14
Matáv Rt. vezérigazgatójának 127/2001. sz. utasítása
15
Matáv Rt. vezérigazgatójának 48/2002. sz. utasítása
16
Matáv Rt. vezérigazgatójának 86/2002. sz. utasítása
17
Matáv Rt. Emberi erõforrás és jogi
vezérigazgatóhelyettesének 28/2000. sz. utasítása
18
Matáv Rt. Gazdasági vezérigazgatóhelyettesének 22/2001
sz. utasítása
19
Matáv Rt. Biztonsági igazgatójának 20.101 - 12/1998 sz,
utasítása
20
Matáv Rt. Fejlesztési igazgatójának 10/1999. sz. utasítása
21
Matáv Rt. Biztonsági igazgatójának 14-03/1999 sz.
utasítása
22
Matáv Rt. Biztonsági igazgatójának 14-05/1999. sz.
utasítása
23
Matáv Rt. Biztonsági igazgatójának 14-03/2000. sz.
utasítása
24
Matáv Rt. Biztonsági igazgatójának 14001-0077/2/1999
sz. körlevele
25
Matáv Rt. Biztonsági és Informatikai igazgatójának
5015/1998. sz. közös utasítása
26
Matáv Rt. Biztonsági igazgatójának 14-05/2000. sz.
utasítása
27
Matáv Rt. Biztonsági és Emberi erõforrás igazgatójának
14-06/2000. sz. együttes utasítása
28
Matáv Rt. Biztonsági igazgatójának 14-07/2000.
sz.utasítása
29
Matáv Rt. Informatikai és Biztonsági igazgatójának 43-
04/2001. sz. utasítása
30
Matáv Rt. Biztonsági igazgatójának 14001-0006/16/2001.
körlevele
31
Matáv Rt. Biztonsági, Emberi erõforrás és Oktatási
igazgatójának 14001 - 0006/26/2001. sz. körlevele
38
39. 39
5.2.2 Biztonság érvényesítési folyamatok
A Matáv Rt. mûködési folyamatait az ISO 9001:2000 szabvány szerinti
minõségirányítási rendszer tartalmazza. E rendszer biztonság
érvényesítésre vonatkozó dokumentumai a 6. számú mellékletben
kerültek felsorolásra.
Az 1. ábra szerinti modellel vizsgálva, a biztonságérvényesítési
folyamatok kontrollterületei a 3. táblázatban lettek összesítve. A
hangsúlyos területek árnyalásából látható, hogy a normatívák
vizsgálatánál leírt tendenciák a mûködés folyamataiban is felismerhetõk.
A két táblázat együttes vizsgálatából az alábbi következtetések vonhatók
le.
1. A biztonsági kontroll mechanizmusok jellemzõen a törvényi
szabályozások struktúráját és hagyományos módszereit követik.
2. Az üzleti mûködéstõl független kezelés miatt, az operatív kontroll
jelentõs túlsúlyban van.
3. A menedzsment kontroll szintjén nincsenek biztonsági
mérõszámok és diagnosztikai rendszerek.
4. Az információs erõforrások törvényi és üzleti érdekeket szem
elõtt tartó biztonságos kezelésére kevés törekvés van.
5. A folyamatok és normatívák a szabályozás és ellenõrzés
elkülönült tevékenységeit tartalmazzák, a kontroll folyamat
zártságára utaló jelek nincsenek.
6. A biztonság - és ezen belül az információ biztonság -
menedzsmentjének stratégiai, menedzsment, és operatív
kontrollterületeit átfogó folyamata nincs. Az e téren fellelehtõ
dokumentum (a MATMF-29 folyamatleírás) csak a biztonsági
szakterület saját tevékenységeit rendezi körfolyamatba.
40. 3. táblázat
ssz. Folyamat
Kockázatok
tudatos
kezelése
Helyzetérté-
kelés és
felkészülés
Taktikai
prevenciók
Humán
kontroll
Mûködés
kontroll
1
Nemzetbiztonsági ellenõrzés
2
Eseménykezelés
3
Személyazonosítás és
beléptetés
4
IT biztonsági rendszerek
fejlesztése
5
IT biztonsági követelmények
érvényesülésének ellenõrzése
6
Kriptográfiai kulcsgenerálás
7
Információvédelmi
követelménytámasztás
8
Információvédelmi célú
biztonsági ellenõrzések
9
Információvédelmi
szaktanácsadás
10
Információvédelmi vizsgálatok
11
Titkos ügykezelés biztosítása
12
Átfogó biztonsági ellenõrzések
40
41. 41
E megállapítások alapján egy átfogó szemléletû információ biztonság
irányítási rendszernek jelentõs hatékonyságnövelõ hatása lehet, lehetõvé
téve emellett az üzleti szempontoktól való elkülönült kezelés korábban
említett problémáinak megoldását is.
5.3 Nemzetközi szabványok
A következõ lépésben az információ biztonság irányítási rendszer
kiépítésének eszközeit elemeztem. Amint azt az elméleti háttér
vizsgálatánál írtam, e téren alapvetõen a nemzetközi szabványokra lehet
támaszkodni.
Annak ellenére, hogy a nemzetközi szabványok tárgykörei és
követelményei konvergens, fokozatosan tisztuló képet mutatnak, így is
tetemes forrásanyagot képviselnek (több ezer oldal). E dologzatban csak
a választott téma szempontjából fontos tételek kerültek feldolgozásra.
Az informatikai biztonság technológiai szabányai fokozatos fejlõdésen
mentek keresztül. A kiindulási alapot jelentõ amerikai szabványt (TCSEC,
1985.) követõ német, angol, francia és kanadai nemzeti szabványok
elsõként az Európai Közösségen belül (ITSEC, 1991.), majd a
tengerentúlon - USA és Kanada - (FC, 1993.) lettek egységesítve. E
szabványok jórészt az informatikai eszközökre és eljárásokra fókuszálnak.
Gyakorlati üzleti alkalmazhatóságuk erõsen korlátozott. Ennek jellemzõen
az az oka, hogy olyan teljeskörû és merev követelményekre épülnek,
melyek csak nagyon áttételesen illeszthetõk az üzleti (fejlesztõi,
alkalmazói) célokhoz.
Az elsõ, üzleti gyakorlatban is jól alkalmazható rugalmas szabványok
az ISO 15408 jelzetû "Common Criteria" információ technológia
biztonsági tárgyú szabvány (ISO/IEC 15408, 1999),
az ISO/IEC 17799:2000 jelzetû információbiztonság
menedzsment tárgyú szabvány (ISO 17799, 2000), és
a BS 7799-2:2002 jelzetû információbiztonság menedzsment
specifikációs szabvány (BS 7799-2, 2002).
42. 42
Az elsõ két szabvány kiemelését az is indokolja, hogy mindkettõ központi
szerepet kezd betölteni az uniós joggyakorlatban, valamint magyar
szabványként is honosításra került.
Az ISO/IEC 17799:2000 jelzetû szabvány az alapjául szolgáló brit BS
7799 szabványpár elsõ elemének (a volt BS 7799-1-nek) nemzetközi
változata. A harmadikként vizsgált szabvány (BS 7799-2, 2002) az
információ biztonság menedzsment rendszer auditálási
követelményrendszere. Az Európai Unió akkreditálási és tanúsítási
rendszere különbözik a brit modelltõl, és jelenleg az ISO szabványosítási
bizottsága (ISO/IEC JTC1) nem tervezi az ISO/IEC 17799:2000 szabvány
tanúsítási részének kidolgozását (NIST - ISO/IEC 17799 FAQ, 2001.). E
probléma megkerülésére több nemzetállam közvetlenül is átvette a
BS7799 szabvány második részét.
A továbbiakban tehát e szabványokat vizsgáltam meg részletesen az 1.
ábrán látható kontrollmodell szempontjai alapján.
5.3.1 Az ISO 15408:1999-es (Common Criteria) szabvány
A Common Criteria szabványt közelebbrõl elemezve látható, hogy
lényegében nem információ technológiai követelményeket, hanem a
követelménytámasztás általános keretrendszerét (típusait és
osztályozását) tartalmazza. A technológiai szintû funkcionális- és garancia
követelmények meghatározását további opcionálisan kidolgozandó
szabványelemek (ún. védelmi profilok) tárgykörébe utalja.
A korábbi technológiai szintû szabványokhoz képest az alábbi elõnyei
sorolhatók fel:
Az üzleti igényeket támasztó alkalmazók, az informatikai
fejlesztõk és az értékelést végzõk auditorok számára egységes
hivatkozási alapot (közös nyelvet) biztosít .
Hatékonyan kezeli a biztonsági igényeket, azaz csak azt
valósíttatja meg amire az üzleti igények alapján valóban szükség
van.
43. 43
Technológia-független célokat, funkciókat és kritériumokat
tartalmaz (rendszerelemek és megoldások helyett).
Rugalmasan fejleszthetõ, konzisztens keretrendszert biztosít a
biztonsági igények és az implementációfüggõ védelmi
követelmények fejlesztésére és kiértékelésére.
Az elméleti modell tükrében lefedett területeket a 4. táblázat mutatja be. A
táblázat elsõ sorában az egyes oszlopok besötétítése a lefedett területek
hangsúlyosságát mutatja, az egyes részterületek a szabvány
terminológiájában vannak feltüntetve.
Látható, hogy bár a Common Criteria az információtechnológiát állítja az
elõírások középpontjába, viszonylag széles kontextusba helyezi annak
megvalósítását. Meghatározza a szervezet biztonságpolitikájának,
(security context), a helyzetfüggõ kockázati megfontolásoknak
(assumpions) és a kialakítás környezeti feltételeinek (protection profiles)
és garanciaelvárásainak (evaluation) érvényesítési módszereit.
45. 45
5.3.2 Az ISO/IEC 17799:2000-es szabvány
az ISO/IEC 17799:2000 - az információ biztonsági szabványok
történetében elsõként - a menedzsment vonatkozásokat és a szervezeti
folyamatok kontrollját állítja középpontba (ISO 17799, 2000). Célja szerint
a szervezet információ biztonság menedzsmentjének egységes
keretrendszereként és az egymással kapcsolatba kerülõ szervezetek
közötti bizalom hivatkozási alapjaként szolgál. Eszközeit tekintve, az
ajánlott kontrolleszközök készletét tartalmazza (10 kategóriában összesen
127 kontrolliípust), melyet a mindenkori jogi és üzleti követelmények
szerint javasol alkalmazásba venni.
A Common Criteria szabvánnyal összehasonlítva elõnye, hogy sokkal
közérthetõbben, kevésbé szisztematizált terminológiával fogalmaz.
Ugyanakkor a megvalósítási eszközök terén túl általános és garancia
értelmezéseket sem tartalmaz.
Az 1. ábra kontrollmodelljével vizsgálva az elõzõhöz hasonló relevancia
táblát vehetünk fel, mely a 5. táblázatban látható.
A táblázat elsõ sorában az egyes oszlopok besötétítése itt is a lefedett
kontroll területek hangsúlyosságát mutatja, az egyes részterületek szintén
a szabvány terminológiája szerint kerültek megnevezésre.
46. 5. táblázat
Kockázatok
tudatos kezelése
Helyzetértékelés
és felkészülés
Taktikai
prevenciók
Humán kontroll
Mûködés
kontroll
ISO 17799
Information
security policy
Organizational
security
Organizational
security
Personnel
security
Physical and
encironmental
security
Compliance Compliance
Asset
classification and
control
Asset
classification and
control
Communication
and operations
management
Access control Access control Access control
Business
continuity
management
Business
continuity
management
System
development and
maintenance
46
47. 47
5.3.3 A BS 7799-2:2002-es szabvány
E szabvány célját tekintve az információ biztonság menedzsment
rendszerek kialakításának, bevezetésének és folyamatos javításának
követelményeit tartalmazza. Az alkalmazott megközelítési modell, a
minõségirányítási és környezetirányítási szabványokból ismert PDCA elv.
(GAMMA, 2003)
E modell alapján került felvételre a 6. táblázat, melyben a szabvány által
elõírt tevékenységek és kiértékelési kortériumok szerepelnek az 1. ábra
kontroll-kategóriái szerint.
Az elsõ sorban az egyes oszlopok besötétítése azt mutatja, hogy a
szervezet üzleti felfogásában, stratégia alkotásában és a menedzsment
kontroll szintjén mûködõ információ biztonsági elemek szerepelnek
hangsúlyosan.
E pontok kiértékelésébõl látható, hogy e szabvány már az információ
biztonság irányítási rendszer kialakítási keretét definiálja, túllépve a
technológia, az adminisztráció és a folyamat- kontroll szintjein.
48. 6. táblázat
Kockázatok
tudatos kezelése
Helyzetértékelés
és felkészülés
Taktikai
prevenciók
Humán kontroll
Mûködés
kontroll
BS 7799-2
1
Scope of ISMS
(Information Security
Management System)
Management
commitment
(resources and
improvement)
Risk treatment
(Corrective /
preventive actions)
Implementation of
security controls
Implementation of
security controls
2
Information
security policy
Risk assesment
(expenditures vs.
business harms)
Selecting controls Training Document control
3 Awareness
Organizational
security
Statement of
applicability
Record control Record control
4
Independent
ISMS audit
Management
review
Internal ISMS
audit
Routine checks Routine checks
48
49. 49
5.3.4 Alkalmazási lehetõségek
A vizsgált szabványok elemzése alapján látható, hogy a szervezet minden
szintjén megjelenõ kontroll mechanizmusokra van kidolgozott modell.
Ezen felül e mechanizmusok egy valódi irányítási rendszerbe
integrálhatóak és auditálhatóak. Ennek megvilágítására az 7. táblázatban
együttesen is feltüntettem a három szabvány által lefedett
kontrollterületeket, a korábbi táblázatokban szereplõ relevancia
árnyalással.
Az elméleti modellalkotás során felvázolt információ biztonsági modellnek
az alábbi lépéseket kell támogatnia:
1. Hiedelmek felülvizsgálata, megdöntése a kockázatok tudatos
kezelése érdekében.
2. Folyamatos információgyûjtés és helyzetértékelés a megfelelõ
elõrelátás és felkészülés céljából.
3. A nem vállalt kockázatok meghatározása és preventív
elkerülése.
4. A felvállalt helyzetek kockázatainak kontrollálása.
Kaplan és Norton stratégiai irányítási modelljét felhasználva (Kaplan-
Norton, 2002) e lépések összvállalati szinten egy olyan tanulási körbe
rendezhetõk, amely stratégiai szinten átfogja a vállalat információ
biztonsággal kapcsolatos felfogását, annak megvalósítását, tesztelését és
esetenként szükséges korrekcióját.
Ugyanakkor az információs erõforrások tényleges kontrolljára egy olyan
operatív irányítási kör építhetõ ki, amellyel biztosítható a mindenkori
mûködési kockázatok menedzsmentje.
51. 51
A táblázaton e két folymatot szemléltetik a piros körök. Látható, hogy
körök által lefedett területen mely szabványok ra lehet építkezni.
A tanulási kör az BS 7799:2002-es szabvány irányítási modelljével
valósítható meg. Ebben a körben a fejlesztés tárgya a vállalat információ
biztonság politikája.
Az operatív irányítási kör a BS 7799:2002-es szabvány PDCA
tevékenységsorával valósítható meg. E körfolyamat fejlesztési tárgyát a
szervezeti mûködésben alkalmazott, az ISO/IEC 17799:2000 szabványból
választott kontroll mechanizmusok jelentik.
Az információkezelés technnológiai szintjén a szükséges kontrollokat az
ISO/IEC 15408:1999 szabvány alapján kiválasztott védelmi profilok
(protection profiles) által meghatározott védelmi funkciók (functional
requirements) valósítják meg a kívánt garancia szinten (assurance
requirements). A kiértékeléshez és az esetleges korrekcióhoz szükséges
kapcsolat e területen is megvan (product / system evaluation). A fejlesztés
tárgyát ez esetben nem csak a kontroll mechanizmusok (protection
profile), hanem maga a kiértékelés tárgyát képezõ információs technológia
(target of evaluation) is képezheti.
E három vizsgált szabvány megfelelõ alkalmazásával tehát elvileg
lefedhetõ az információbiztonság általános üzleti elvárásoktól az
információs társadalmi szolgáltatások technológiai szintjéig terjedõ
skálájának valamennyi területe.
A vizsgált szabványok gyakorlati alkalmazásának útjában még vannak
akadályok. Így például a magyarországi auditálás intézményrendszerének
- jogi környezetelemzésnél említett - hiánya, a Common Criteria védelmi
profiljainak korlátozott száma és a hazai tapasztalatok hiánya. E
nehézségek azonban nem teszik lehetetlenné az információ biztonság
irányítási rendszerek kiépítését.
52. 52
5.4 A bevezetés lehetõségei
az információ biztonság irányítási rendszer bevezetési lehetõségeinek
vizsgálatához az alábbi kérdésekre kellett választ keresni.
1. Melyek az információ biztonság irányítási rendszer kiépítésének
kritikus sikertényezõi és fõ lépései?
2. Hogyan lehet integrálni a rendszert a Matáv Rt. vezetési
rendszerébe ?
3. Milyen mértékben vannak meg a biztonsági szakterület részérõl
a rendszer bevezetéséhez szükséges képességek ?
4. Milyen a szervezeti ellenállás várható mértéke ?
A következõ pontokban leírt elemzés e kérdésekre fókuszált.
5.4.1 Kritikus sikertényezõk és bevezetési lépések
A hazai gyakorlatban az információ biztonság irányítási rendszerek
bevezetése úttörõfázisban van. A HM EI Rt. Elektronikai Igazgatóságának
auditálásra történõ felkészülési tapasztalatai a HISEC 2003 konferencia
elõadása alapján az alábbiakban összegezhetõk (Markó Imre, 2003).
A szükséges biztonsági szint és dokumentálási feltételek,
valamint a viszonylag erõs biztonsági kultúra ellenére a 130 fõs
igazgatóságnak a fél éves felkészülési idõ is kevésnek
bizonyult..
Kritikus a megvalósítást irányító munkacsoport tagjainak jó
kiválasztás.
A szigetszerû (egy szervezeti egységet érintõ) tanúsítás a belsõ
szervezetközi kapcsolatok és korlátozások jelentõs szigorítását
követeli meg (a kimaradó részt külsõ partnerként kell kezelni).
A tanúsítandó szervezettel kapcsolatba lévõ más szervezetek
felé jelentõs propagandát kell kifejteni.
Az információ biztonság irányítási rendszer a minõségirányítási
rendszerrel integrált módon érdemes kialakítani.
53. 53
A Matáv Rt. minõségirányítási auditjának felkészítésében tanácsot adó
SZENZOR Gazdaságmérnöki kft.. az alábbi sikertényezõkre hívja fel a
figyelmet (SZENZOR, 2003).
A biztonságpolitika, a célok és a tevékenységek az üzleti célokon
alapuljanak.
A megközelítés összhangban legyen a szervezet kultúrájával.
A vezetés elkötelezettsége és támogatása.
A védelmi követelmények, a kockázatelemzés és menedzselés
jó megértése.
Minden vezetõ és alkalmazott bevonása.
Az útmutatók eljuttatása minden alkalmazotthoz és partnerhez,
alvállalkozóhoz.
Megfelelõ képzés és oktatás.
Átfogó és kiegyensúlyozott mérési rendszer a végrehajtás
kiértékelésére és a fejlesztési javaslatok jelzésére.
A nemzetközi gyakorlatot tekintve a kutatási részben említettek (Björck,
2001) szerint a szervezeti szintû kritikus sikertényezõk a következõk:
felsõvezetõi elkötelezettség,
biztonsági szükségletek tudatossága,
átfogó (holisztikus) megközelítás,
külsõ szakértelem elérhetõsége,
jól struktúrált projekt,
motivált alkalmazottak.
E tényezõket áttekintve megállapítható, hogy egy információ biztonság
irányítási rendszer bevezetése a szervezet teljes egészét átfogja annak
partnerkapcsolataival együtt. E tekintetben tehát a bevezetés
legalapvetõbb kritériuma a projekt mérete.
54. 54
A bevezetés lépéseire az elméleti részben említett folyamatmodell (Björck,
2001) ajánlásait célszerû figyelembe venni. Björck arra hívja fel a
figyelmet, hogy a bevezetés, az auditálás és a folyamatos javítás
fázisainak a BS 7799:2002 szabványtól eltérõ elkülönítése megfontolandó
a kiépítés sikere érdekében.
E három szakasz elkülönítése a sikertényezõk természete alapján is
indokoltnak látszik (Jelentõs elõkészítési és kommunikációs igény, erõs
projekt koordináció). Ugyanakkor a Matáv Rt. szervezeti méretét és
kiterjedt fizikai adottságait tekintve, az egyes mûködési fázisok (például az
auditálási célkitúzések, PDCA ciklusidõk) tervezése csak a korábbi fázisok
tapasztalatai alapján, gördülõ tervezéssel ütemezhetõk.
5.4.2 A Matáv vezetési rendszere
A Matáv vezetési gyakorlatában jelenleg az alábbi - vizsgálatunk
szempontjából lényeges - elemek mûködnek
ISO 9001:2000 szabvány szerinti minõségirányítási rendszer,
ISO 14001:1996 szabvány szerinti környezetközpontú irányítási
rendszer,
Balanced Scorecard alapú stratégiai tervezési rendszer.
Célszerû tehát e mûködõ modellekkel integrált módon kidolgozni a az
információ biztonsági irányítási rendszert.
A mûködés másik lényeges sajátossága a kutatási megfontolásoknál
elmlített szigetrendszerû minõségirányítási rendszer. E szegmentált
felépítés az egységes bevezetés mellett lehetõvé teszi az információ
biztonság irányítás szigetszerû bevezetését is. Ennek megfontolása az
alábbi tényezõk alapján történhet.
55. 55
Az egységes rendszer megközelítés elõnyei:
Felsõvezetõi elkötelezettség könnyebben megszerezhetõ.
Egységes és költséghatékonyabb hozzáférés a szakértõi
erõforrásokhoz.
Motivációs környezet könnyebb kialakítatósága.
A szigetrendszerek elszigetelõdési, majd integrációs problémái
elmaradnak.
A szigetrendszerû megközelítés elõnyei:
Kisebb projektméret jobb struktúrálhatóság.
Fokozatos tapasztalatgyûjtés lehetõsége, kisebb kockázat.
Holisztikus megközelítés jobb esélye (kisebb szervezetek
átlátása szükséges).
Tartós elkötelezettség, és biztonságtudat kialakulása. (Önálló
indíttatás, jobb testreszabási lehetõségek miatt.)
5.4.3 A biztonsági szakterület képességei
A bevezetés lényeges feltétele, hogy a biztonsági szakterület a
változásokat keresztül tudja vinni a szervezetben.
Az e téren végzett vizsgálat a kutatási fejezetben specifikált kérdõíves
felmérés (lásd 3. sz. melléklet) alapján történt, melynek eredményei az
alábbiakban foglalhatók össze.
A 12 megkérdezett közül 7 az irányítási, 5 a végrehajtási
területrõl került kiválasztásra. A válaszadási arány 67 %-os volt a
két területrõl egyenlõ számmal (4 - 4 fõ).
A kiértékelés az egyes képességek megítélése szerint történt
egyrészt a válaszok átlagolásával, másrészt a
véleményeltérések vizsgálatával.
56. 56
A biztonsági szervezet összesített önértékelésen alapuló képességtérképe
a 2. ábrán látható.
2. ábra
A hat képesség összesített átlagban 4,74 pontot kapott. Az ábrán jól
látható, hogy az egyes képességek megítélése átlagosan egyetlen
területen sem haladta meg a 6 pontot, azaz az önértékelés valamennyi
területen a megkérdezettek fejlesztési elvárását mutatja.
A diagram alakja arra enged következtetni, hogy a végrehajtási és a
kommunikációs készségekhez képest a projektmenedzsment elmarad.
A további vizsgálat az irányítási és végrehajtási területek megítélési
különbségeire fókuszált. A két terület ítélete alapján alkotott
képességtérkép - pár a 3. ábrán látható.
Implementációs képességek térképe
0,00
2,00
4,00
6,00
Projekt mgmt.
Kommunikáció
Finanszírozás
Analízis
Lobby
Végrehajtás
57. 57
3. ábra
Véleményeltérés az irányítói és végrehajtói
megítélésben
0
2
4
6
8
Projekt mgmt.
Kommunikáció
Finanszírozás
Analízis
Lobby
Végrehajtás Irányítási
terület
Végrehajtási
terület
Az ábra alapján levonható egyik lehetséges következtetés, hogy a
kérdésekre adott válaszokban az identitástudat szubjektív hatása is
közrejátszott. Azaz mindkét szervezet inkább magáról alkotott véleményt,
annak ellenére, hogy a feltett kérdés a biztonsági szakterületre
vonatkozott, elkerülve a szervezeti megnevezéseket. A másik lehetséges
következtetés, hogy az irányítás inkább végrehajtásban, a végrehajtás
pedig inkább az irányításban (projektmenedzsment, finanszírozás) látja a
problémákat.
A további vizsgálat az egyes képességek megítélésének
ellentmondásosságára vonatkozott, azzal a feltételezéssel, hogy a
problémák többnyire a ellentmondásos megítélést mutatnak. A
véleményeltérések oszlopdiagramja a 4. ábrán látható.
58. 58
4. ábra
Vélemények eltérése
0%
10%
20%
30%
40%
50%
60%
Projekt mgmt.
Végrehajtás
Finanszírozás
Lobby
Kommunikáció
Analízis
Az ábrából látható, hogy a legellentmondásosabb megítélést a projekt
menedzsment kapta. Ez önmagában még adódhat a fent említett
szubjektivitásból. Ennek azonban ellent mond a kommunikáció hasonlóan
vitatott képessége, mely a 3. ábrán még együtt mozogni látszott. Szintén
mind az irányítói, mind a végrehajtói terület részérõl azonos (5 pont körüli)
megítélést kaptak az analítikai képességek itt azonban viszonylag nagy az
egyetértés.
A három ábra alapján együttesen levonható következtetések az alábbiak.
1. A projektmenedzsment terén problémákra utaló jelek vannak. E
képesség megítélése gyengébb a tényleges végrehajtásnál
(analízis és végrehajtás képessége).
2. A kommunikáció és a végrehajtás terén kialakult ellentmondásos
megítélés okait érdemes lenne felszínre hozni egy kötetlen
fórum keretében, megelõzve az esetleges problémák projekt
közbeni felmerülését.
59. 59
A szükséges fejlesztési igények meghatározása természetesen csak az
egyéni kompetenciák részletes vizsgálata alapján történhet meg. (E
munka jelenleg tervezési fázisban van.)
5.4.4 A Matáv adaptációs készsége
Az információ bizrtonsági irányítási rendszer bevezetésének
elõkészítéséhez szükséges ismerni a változás elfogadásával kapcsolatos
véleményeket annak megítélésére, hogy milyen
1. a változás szükségességének, indokoltságának megítélése,
2. a várható ellenállás mértéke (a célok elfogadtathatósága),
3. a változás kezdeményezõjének hatalmi elfogadottsága,
4. az együttmûködés és a lényeges információk elérési lehetõsége.
A vizsgálat a kutatási fejezetben specifikált kérdõíves felmérés (lásd 4.
sz. melléklet) alapján történt, melynek eredményei az alábbiakban
foglalhatók össze.
A válaszadási arány 56 %-os volt. (A 16 megkérdezett közül 9
válaszolt a megkeresésre.)
A kiértékelés az egyes kérdésekre adott IGEN / NEM válaszok
számával történt, azzal a kiegészítéssel, hogy a 3. kérdésre
adott választ aszerint értelmeztem, hogy a válaszadó hajlandó -e
a helyi irányítást kézbe venni. (Ez a helyi irányítás
helyénvalóságától függetlenül mindenképpen kezdeményezésre
utal.)
A kiértékelés másik szempontja az volt, hogy hogyan alakulnak a
vélemények a központi illetve helyi irányítás kérdésében.
60. 60
A szervezeti befogadókészség összesített értékelése az 5. ábrán látható.
5. ábra
Matáv befogadókészség
0 5 10
irányítja
kezdeményezi
támogatja
elfogadja
Az ábra az egyes kérdésekre adott kezdeményezésre utaló válaszok
számát összesíti olymódon, hogy - a fenti értlemezés szerinti- "IGEN"
válaszok számából levonásra került a "NEM" válaszok száma.
Az ábrából az alábbi következtetések vonhatók le.
1. A válaszadók mindegyike reálisnak és indokoltnak tartja az
információ biztonság terén történõ elõrelépést.
2. A válaszadók kb. fele biztosítaná a szükséges információkat és
erõforrásokat a munkához.
3. A válaszadók egyharmada kezdeményezné szervezetében a
változást.
4. Az irányítás terén megoszló véleményekbõl arra lehet
következtetni, hogy összességében nincs kimutatható ellenállás
a biztonsági terület elfogadottságának terén.
A bevezetési fázis szempontjából e vélemények mindenképpen jó kiinduló
alapot jelentenek.
Az egyes szervezetek szerinti kezdeményezõkészséget a fenti
szempontokkal összhangban a 6. ábra mutatja (az egyes hasábok hiánya
a válasz hiányát jelöli). Az ábrán alkalmazott szervezeti rövidítések
jelentése az 5. sz. mellékletben található.
62. 62
Az ábra elsõ sorában található BPM ágazat a minõségirányítási
keretrendszer összehangolása terén tekinthetõ pozitív elõjelnek.
A további kiugró területek kiértékeléséhez fontos hozzá tenni, hogy e
szervezetek mûszaki vagy informatikai jellegû tevékenységet végeznek,
így intenzív adatfeldolgozási feladataik vannak. A válaszok szöveges
indoklását is figyelembe véve ez azt jelzi, hogy e területek vezetõi már
felismerték az információ biztonság menedzsmentjének jelentõségét.
A központi illetve helyi irányítás kérdésében tett állásfoglalásokat a 7. ábra
mutatja. E megosztottság a bevezetési stratégia kialakításánál jelenthet
segítséget.
64. 64
6. Következtetések, javaslatok, megvalósítás
E fejezetben javaslatot teszek az információ biztonsági irányítási rendszer
kialakítására és bevezetésére, a szükséges korrekciók és gyakorlati
lehetõségek alapján.
6.1 A megvalósítandó irányítási rendszer
A bevezetés korrekt megalapozásához a bevezetendõ információ
biztonság irányítási rendszer pontos meghatározására és a fenti
integrációs feladatok (például dokumentumkezelés) elvégzési módjára
egy megvalósíthatósági tanulmányban kell részletes válaszokat
kidolgozni.
E dolgozat elemzései alapján a rendszerrel szemben támasztandó
alapvetõ követelmények az alábbi szempontokban foglalhatók össze.
1. Az információ biztonsági irányítási rendszer három szintû kontroll
tevékenység kiépítését jelenti. A Stratégiai kontroll szintjén a BS
7799:2002 szabvány által elõírt tudatosítási és politika lebontási
folyamatot kell bevezetni. A menedzsment kontroll szintjén az
ISO 17799:2000 szabvány szerinti kontroll típusokat kell
alkalmazásba venni. Az operatív kontroll szintjén az ISO
15408:1999 szabványt kell alkalmazásba venni.
2. Az összvállalati biztonságkezelést a kapcsolódó stratégiai szintû
tevékenységek tanulási körbe szervezésével kell megoldani.
Ennek eszköze a BS 7799:2002 szabvány eszköztára kell
legyen.
3. Az üzleti célokhoz történõ kapcsolódást a Balance Scorecard
rendszer stratégiai térkép rendszerén keresztül kell
megvalósítani, olymódon, hogy a kulcs teljesítmény tényezõk
alapján egyértelmûen meghatározhatókká váljanak az
üzletkritikus folyamtok és az egyéb törvényi és üzleti elvárások
követelményei.
65. 65
4. A menedzsment szintû irányításban hangsúlyossá kell tennie a
törvényi és üzleti biztonsági érdekek és az információs
erõforrások biztosításának összefüggéseit. Ennek érdekében a
menedzsment kontroll folyamatainak záródó operatív irányítási
kört kell képezniük mind a humán, mind a mûködési kontroll
terén. Továbbá meg kell teremteni a biztonsági mérõszámok és
diagnosztikai rendszerek alapjait.
5. Az üzletkritikus folyamatok és a kapcsolódó biztonsági
követelmények alapján határozandó meg a szükséges
kontrollmechanizmusok rendszere az ISO 17799:2000 szabvány
szerint.
6. A rendszernek a meglévõ minõség irányítási rendszerbe integrált
módon, és azonos PDCA ciklus-ütemezéssel kell mûködnie.
6.2 Változtatási stratégia
Tekintettel arra, hogy az információ biztonság irányítási rendszer
bevezetése nem közvetlen külsõ kényszer hatására történik, megfelelõ
elõkészítésre van szükség a rendszer bevezetésérõl szóló döntés
meghozatalához. Ezen elõkészítési fázis célja a megfelelõ felsõvezetõi
tájékozottság és elkötelezettség kialakítása.
Mivel a rendszer bevezetésének kritikus pontja a projekt által átfogott
terület, a bevezetés megindítása elõtt döntést kell hozni a bevezetés
stratégiáját illetõen.
E tekintetben alapvetõen két alternatíva kínálkozik. A vállalati szintû
egységes rendszer kiépítése egyetlen hosszan elhúzódó lépésben illetve
a szigetrendszerû kiépítés több lépcsõs bevezetési és harmonizálási
módszerrel. E megoldások elõnyeii és hátrányai az elemzés során
feltárásra kerültek.
Az elfogadásról szóló döntés alapján kell
megtervezni és elõterjeszteni a megvalósítás részletes
implementációs tervét,
66. 66
a külsõ és belsõ kommunikációs stratégiát,
a tudatosítási és oktatási tervet.
Az implementációs fázis végén értékelni kell a bevezetési tapasztalatokat
és ennek alapján döntést kell hozni a rendszer további mûködtetésének
felelõsségi és elszámolási kérdéseirõl.
Az implementációs fázis során kell meghozni a döntést a tanúsítási
felkészülésrõl és a PDCA ciklusok bevezetésérõl.
A projekt sikere érdekében elkerülhetetlen a holisztikus megközelítés. Ez
azt jelenti, hogy a bevezetésben az üzleti mûködést irányító területek
szakértõinek széleskörû bevonása szükséges.
E szakmai területek:
BPM Folyamat- minõség- és szervezetfeljesztési ágazat
Belsõ ellenõrzési ágazat
Csoport informatikai stratégiai osztály
Csoport jogi ágazat
Csoport kommunikációs ágazat
Csoport környezetvédelmi koordinációs osztály
Csoport stratégiai tervezési ágazat
Csoportszintû emberi erõforrás menedzsment és képzési ágazat
Csoport tervezés és kontrolling ágazat
Informatikai igazgatóság
6.3 Változtatási program
A bevezetés program fõ lépései a fenti stratégia alapján a következõk.
Elõkészítési fázis
1. Lobby-stratégia kialakítása.
2. Döntés a megvalósítási lehetõségek felmérésérõl.
67. 67
3. Megvalósíthatósági tanulmány a kiépítendõ rendszerre.
4. Döntés a bevezetésrõl.
5. Implementációs projekt megalapítása.
6. Szakértõi szerzõdések megkötése.
7. Bevezetési stratégia elkészítése.
8. Döntés a bevezetés módjáról.
9. Implementációs terv elkészítése.
10.Erõforrás allokációs terv elkészítése.
11.Oktatási és kommunikációs terv elkészítése
12.Döntés az implementációról
Implementációs fázis
1. Az információ biztonsági politika elkészítése
2. Tudatosítási és kommunikációs program beindítása
3. Vezetõi irányítási testület(ek) felállítása
4. Szervezeti tagok bevonása
5. Kockázatok kiértékelése
6. Kockázatkezelési megoldások kidolgozása
7. Kontrollmechanizmusok implementálása
8. Dokumentálási feladatok elvégzése
9. Kiegyensúlyozott mérési rendszer kialakítása
10.Rutinellenõrzések beindítása
11.Belsõ auditok rendszerének beindítása
12.Vezetõi átvizsgálások elvégzése
13.Mûködtetési terv elkészítése
14.Döntés a továbbmûködtetés módjáról
69. 69
7. Összefoglalás
Szakdolgozatomban célkitûzésében arra vállalkoztam, hogy az
információbiztonság Matáv Rt.-n belüli érvényesítési nehézségeire
megoldást keressek. E cél eszközeként megvizsgáltam egy olyan
információ biztonsági irányítási rendszer alkalmazási lehetõségét, mely a
vállalati mûködésbe szervesen beépülve, az üzleti célokkal összhangban
képes a veszélyek kezelésére és az információ biztonsági követelmények
elvárt szintû érvényesítésére.
E munka során sikerült egy olyan elméleti modellt alkotnom, mely
egyrészt alkalmas az információs vagyon biztonságának értékét stratégiai
szintû összefüggéseken keresztül kimutatni.
Feltételezve, hogy e modell alkalmazásával sikerül feltárni a probléma
valós okait, segítségével elvégeztem az aktuális információ biztonsági
követelmények vizsgálatát, elemeztem a Matáv Rt. biztonság
érvényesítési gyakorlatát és az információ biztonság érvényesítésére
ajánlott szabvány alapú megoldásokat.
Elemzéseim során arra a következtetésre jutottam, hogy e szabványok
helyénvaló alkalmazásával kiépíthetõ egy hatékony információbiztonsági
rendszer, mely kezelni képes a fennálló gyakorlati problémákat.
További vizsgálataim e rendszer bevezetési lehetõségeit tekintették át,
melynek eredményeként született meg a rendszer bevezetésére
vonatkozó elképzelés, és programjavaslat.
Bár a gyakorlati megvalósítás még sok kérdést tartogat, ezen elemzés
nélkül nem váltak volna nyilvánvalóvá a probléma tényleges okai és a
kellõ elõkészítés nélküli próbálkozások kockázatai.
70. 70
8. Hivatkozások jegyzéke
Anthony, Robert N. (1965): Planning and controlling systems - A
framework for analysis. Harvard University Graduate School of
Business Administration, Boston.
Bakacsi Gyula (2001): Szervezeti magatartás és vezetés. KJK - Kerszöv
Jogi és üzleti kiadó, Budapest.
Björck, Fredrik (2001.): Security Scandinavian Style - Interpreting the
Practice of Managing Information Security in Organisations -
Licenciate Thesis. Stockholm University Royal Institute of
Technology, ISRN SU-KTH/DSV/R--01/17--SE,
http://www.bjorck.com/isms-process.htm, Letöltés 2003.10.27-
én.
BS 7799-2 (2002): Information Security Management – Part 2:
Specification for an ISMS, (British Standard: BS 7799-2:2002
September 2002) British Standards Institute, London.
Dobák Miklós (2000): Szervezeti formás és vezetés. KJK - Kerszöv Jogi
és üzleti kiadó, Budapest.
FC (1993): Federal Criteria for Information Technology Security, Draft
Version 1.0, Volumes I and II, (US standard FC:1993 January
1993), the National Institute of Standards and Technology and
the National Security Agency - US Government, Washington.
GAMMA Secure Systems Limited (2003): - How 7799 Works.
http://www.gammassl.co.uk/bs7799/works.html,
Letöltés 2003.10.27-én.
ISO/IEC 15408 (1999): Common Criteria for Information Technology
Security Evaluation Version 2.1 CCIMB-99-031, (International
standard ISO/IEC 15408:1999(E) August 1999), International
Organization for Standards, Geneva.
71. 71
ISO/IEC 17799 (2000): Information technology - Code of practice for
information security management, (International standard
ISO/IEC 17799:2000(E) December 2000) International
Organization for Standards, Geneva.
ITSEC (1991): Information Technology Security Evaluation Criteria -
Harmonised Criteria of France, Germany, the Netherlands, and
the United Kingdom, Version 1.2, CD-71-91-502-EN-C,
(European standard ITSEC:1991 June 1991) Office for Official
Publications of the European Communities, Brussels
Kaplan, Robert S - Norton, David P. (1988): Balanced Scorecard.
Közgazdasági és Jogi Könyvkiadó, Budapest.
Kaplan, Robert S - Norton, David P. (2002): A stratégiaközpontú szervezet
- Hogyan lesznek sikeresek a Balance Scorecard vállalatok az
új üzleti környezetben?. Panem - IFUA Horváth Partner,
Budapest.
Kiss Ferenc - Major Iván - Valentiny Pál (2000): Információgazdaság és
piacszabályozás. Akadémia, Budapest..
Kotter, J. P. - Schlesinger, L. A. (1992): Choosing Strategies for Change.
In: Gabarro J. J. (ed): Managing People and Organization.
Harvard Business School Press, Boston MA.
Matáv Rt. Információvédelem - biztonsági kódex (1997.) Belsõ kiadvány.
Muha Lajos (2003): Az informatikai biztonság felügyeleti és tanúsító
intézményrendszere. HISEC 2003. konferencia kiadvány,
Budapest.
Markó Imre (2003): A BS 7799 szerinti tanúsításra való felkészülés
nehézségei és tapasztalatai a HM EI Rt. Elektronikai
Igazgatóságán. HISEC 2003. konferencia kiadvány, Budapest.
NIST - ISO/IEC 17799 FAQ (2001): National Institute of Standards and
Technology's Frequently Asked Questions page. http://
sbc.nist.gov/PDF/ISO_IEC_17799_2000_Inf_Sec_Mgmt_FAQ.
pdf, Letöltés 2003.10.27-én.