A biztonság nem csak informatika

Az információtechnológia töretlen fejlődésével párhuzamosan az információkat, az adatvagyont fenyegető veszélyforrások köre is egyre bővül. Ha egy szervezet sikerrel kíván megfelelni e kihívásoknak, akkor tudatos tervezésre és átgondolt működésre van szüksége, ami nem merülhet ki informatikai megoldások telepítésében.

Az információk megfelelő védelme érdekében biztosítani kell azok bizalmasságát (az információ csak a felhatalmazottak számára legyen elérhető), sértetlenségét (kerüljön megőrzésre az információk pontossága), valamint rendelkezésre állását (a felhatalmazott felhasználók férjenek is hozzá a működéshez szükséges információkhoz).

Fontos kiemelni, hogy a fentiek biztosítása nem csupán a technológiai rendszerekben tárolt információk esetében szükséges, hanem az információ összes – az adott szervezet esetében értelmezésre került – megjelenési formájánál, így például a kinyomtatott dokumentumok, a kézi jegyzetek, a videó anyagok, a mikrofilmek, vagy a hanganyagok esetében is. A British Standards Institiute (BSI) által kiadott BS7799 információbiztonsági szabvány ezért olyan információvédelmi irányítási rendszert határoz meg, mely mindezen kérdéseket egységesen kezeli egy adott szervezet esetében.

„Az AAM Vezetői Informatikai Tanácsadó Rt. a hazai piac egyik maghatározó vállalataként ügyfelei számos bizalmas anyagát, dokumentumát kezeli, így működésünk első percétől kezdve kiemelten fontos számunkra az információbiztonság.” – nyilatkozta Horváth László, az AAM vezető tanácsadója. A szakember elmondta, hogy a vállalat a hazai tanácsadó cégek között elsőként 1996-ban megszerezte az ISO9001:1994, és 2002-ben az ISO9001:2000 tanúsítást, majd 2004-ben döntött a BS7799 szerinti működésmód kialakításáról. Ez utóbbi folyamat 2004. januárjától 2005. májusáig tartott, a kialakításban külső szakértők mellett három AAM-es szakértő vett részt, de több munkatárs is közreműködött egyes kisebb feladatok elvégzésében. A rendszer kialakításának és tanúsításának költségeihez hozzájárult egy GVOP pályázaton elnyert támogatás is.

A munka hosszú átfutási idejét főképp az okozta, hogy az AAM időközben egy új vállalatirányítási rendszer bevezetését is megkezdte, így az információvédelmi irányítási rendszer kialakításának hatóköre is megváltozott.

„Nagyon fontos hangsúlyozni, hogy a BS7799 az információ minden formájára vonatkozik, függetlenül attól, hogy az hol található, milyen formában kezelik, tárolják és továbbítják. A rendszer így segítséget nyújt a cégeknek, szervezeteknek és ezeken belül az egyéneknek az információval összefüggő kockázatok szervezetten történő kezeléséhez. A rendszeres ellenőrzések ezen kívül fenntartják az éberséget és növelik az érintettek biztonsági tudatosságának szintjét is.” – tette hozzá a szakember.

Az információvédelmi irányítási rendszer kialakítása során az AAM-nek elsősorban az ISO folyamatok kiegészítését kellett elvégeznie: az új folyamatokat integrálnia kellett a meglevő folyamatokhoz, valamint a korábban különféle belső utasításokban megjelenő eljárásokat kellett egységesíteni és megfeleltetni a szabvány követelményeinek.

A folyamat végén a vállalat sikeres tanúsító auditon esett át, és 2005. augusztus végén megkapta a BS 7799-2 szabványnak való megfelelést igazoló információbiztonsági tanúsítványt, a tanúsítást végző SGS Hungary Kft-től.

Az információvédelmi irányítási rendszer működtetését és fejlesztését alapvetően az AAM Minőségirányítási csoportja végzi, az Információbiztonsági felelős közreműködésével. Az összetettebb, nagyobb horderejű kérdések kezelésére menedzsment fórumként az AAM létrehozta a Minőségirányítási bizottságot, mely a minőségirányítási vezetőből, az információbiztonsági felelősből és a működési igazgatóból áll. „A rendszer működtetése során tapasztaljuk, hogy a BS7799 követelményeinek érvényesítésével a folyamataink jobban követhetők, a korábbi informálisan működő megoldásaink szabályozottan, olajozottan és az érintettek dokumentált tájékoztatása mellett zajlanak. Könnyebbé vált ezen kívül az egyes információbiztonsági események kezelése, és a tapasztalatok feldolgozása is.” – összegezte a tapasztalatokat Horváth László.