Informatikai biztonság és folyamatos ügymenet 2007/4

A közigazgatás szakmai fóruma

Cikkek / E-közigazgatás

Informatikai biztonság és folyamatos ügymenet 2007/4

IX. évfolyam, 4. lapszám
Szerző(k):
Kormos Attila informatikai biztonsági szakértő



Napjainkban – köszönhetően a GVOP-s pályázati forrásoknak (mindenekelőtt a GVOP 2004 – 4.3 e-közigazgatás fejlesztése pályázatnak) – egyre több önkormányzat rendelkezik korszerű, integrált e-önkormányzati rendszerrel. Ezek a rendszerek nagymértékben hozzájárulnak ahhoz, hogy az önkormányzatok működése kellően magas színvonalú és hatékony legyen, és ezzel elősegítik a szolgáltató, állampolgárbarát önkormányzat létrejöttét.

 

 

Az informatikai rendszerek beépülése a napi munkába ugyanakkor felveti a folyamatos mûködés, rendelkezésre állás és adatbiztonság kérdését is. Mi történik akkor, ha részlegesen vagy teljes mértékben üzemképtelenné válik és leáll a rendszer? Mi történik az önkormányzat, a vállalkozások és a polgárok adataira, ügyeire vonatkozó bizalmas információkkal, ha nem megfelelõ az informatikai biztonság? Gondoljunk csak bele, milyen következményei lehetnek az olyan jogosulatlan hozzáféréseknek, adathalászati támadásnak, amelyek például az utóbbi idõben egyes bankokat érintettek!

 

Az önkormányzatok tevékenységét, az ott kezelt és tárolt adatok biztonságát szigorú törvényi elõírások szabályozzák, és ezek értelmében a folyamatos mûködés, illetve az informatikai biztonság megteremtése az önkormányzatok feladata.

 

Hogyan tudjuk biztosítani az ügyintézés, a mûködés folyamatosságát? A válasz röviden: fel kell készülnünk a váratlan eseményekre, például ha csõtörés miatt nem használható az épület egy része, vagy nem mûködik az iratkezelési alkalmazás, az internetszolgáltató hibájából nem látható a honlap stb.! El kell készíteni az intézmény ún. üzletmenet-folytonossági és katasztrófaelhárítási terveit, amelyek egyértelmûen meghatározzák, hogy a váratlan esemény fellépésekor kinek mi a feladata, annak hatásainak csökkentése, kiküszöbölése érdekében.

 

A terveknek egy alapos ügyvitelifolyamat- felmérésen, illetve hatáselemzésen (mi az egyes események bekövetkezésének kockázata, illetve hatása) kell alapulnia. Ekkor minden ügyviteli folyamatot elemezve értékelni kell, mi történik akkor, ha az adott folyamat valamilyen oknál fogva nem fenntartható, vagy korlátozni szükséges. A feladat természetébõl adódik, hogy e tervek elkészítése nem, vagy nem csak az informatikai szervezet feladata, hanem jelentõs közremûködést igényel az önkormányzat minden területérõl. Mivel az ilyen dokumentumok elkészítése speciális informatikai és ügyviteli szaktudást is igényel, ezért célszerû a fenti tervek kidolgozásában nagy tapasztalattal rendelkezõ felkészült, lehetõleg CISA vagy CISM (Certified Information System Auditor/Manager) minõsítéssel rendelkezõ tanácsadókat foglalkoztató céget felkérni.

 

Rendkívül fontos, hogy az érintett munkatársak ismerjék és tisztában legyenek a feladataikkal. Ezekre az ismeretekre oktatással, illetve az elkészült tervek tesztelése során – amikor is mesterségesen idézünk elõ rendkívüli eseményt – tehetnek szert. Rendkívül fontos az elkészült dokumentumok folyamatos karbantartása, az esetlegesen változó folyamatoknak való naprakész megfelelése is, amely feltételezi a vezetõi elkötelezettség meglétét is.

 

A folyamatos mûködést biztosító ÜMF (üzletmenet-folytonossági terv) elkészítése rendszerint egy projekt keretében valósul meg, amelynek folyamata a mellékelt ábrán látható.

 

Feltételezve, hogy a folyamatos mûködés érdekében mindent megtettünk, nézzük meg, hogy mit kell tennünk az adataink biztonsága érdekében.

 

ÜMF projekt

 

Az informatikai biztonság tervezése

 

Az informatikai biztonság tervezése elõtt szükséges az informatikai biztonsági koncepció, a biztonsági politika kialakítása, amelynek során meg kell határozni azokat az alapelveket, amelyeket feltétlenül be kell tartani a biztonsági rendszer tervezése és kialakítása során. Az alapelvek a hatályos jogszabályokra, a kialakítandó belsõ szabályzatokra, alkalmazások és adatcsoporttípusok veszélyeztetettségi- és védelmiigény- szintjeire, fizikai és a logikai biztonsági tartományokra terjednek ki. Szintén ki kell terjedniük az informatikai biztonsággal kapcsolatos menedzselési, tervezési, beruházási, üzemeltetési és ellenõrzési funkciókra a vész-, illetve katasztrófamegelõzési és elhárítási koncepciókra is.

 

Az alapelvek meghatározása és a tervezés befejezése után létre kell hozni az informatikai biztonsági stratégiát (IBS).

 

Az informatikai biztonsági stratégia

 

Az IBS keretén belül be kell mutatni a jelenlegi informatikai rendszert, és fel kell vázolni a teljes informatikai rendszerre vonatkozó biztonsági jövõképet. Az IBS egyértelmûen meghatározza azokat a területeket, rendszereket, amelyekre a biztonsági rendszer kiterjed, és az érvényesítendõ intézkedéseket. A cél az, hogy a jövõképben megfogalmazott informatikai rendszer zárt és teljes körû védelmi rendszert alkosson, a rendelkezésre álló pénzügyi és humán erõforrások figyelembe vételével.

 

Az IT-biztonsági rendszer kialakítása csak akkor lehet sikeres, ha megfelelõ együttmûködés van az informatikusok és a nemzetközileg elfogadott módszertanokat (ISO/IEC17799, ITSEC, COBIT, ITIL) jól ismerõ és azokat alkalmazni is tudó külsõ tanácsadók között.

 

Kellõ vezetõi akarat és példamutatás megléte esetén mindezek betartása és betartatása hatékonyan hozzájárulhat ahhoz, hogy az önkormányzatok mûködése a törvényi elõírásoknak megfelelõen, az adataink biztonságának megõrzésével valósuljon meg.

 

Információ biztonság

Kategória

Könyvajánló

Facebook Pagelike Widget

 

1037 Budapest, Montevideo utca 14.
Tel.: +36 1 340 2304
Fax: +36 1 349 7600
E-mail: info@orac.hu

Weboldal: orac.hu

Szakmai partnerek

Jegyzők Országos Szövetsége (JOSZ) – www.josz.eu

Közszolgálati Tisztviselők Szakmai Szervezeteinek Szövetsége – www.kozszov.org.hu