Az információbiztonság irányítása

A Hétpecsét Információbiztonsági Egyesület 2014. januári ülésén folytatódott az egyesület érdeklődési körébe tartozó nemzetközi szabványcsalád újdonságainak ismertetése, ezúttal az információbiztonság irányítása (GIS, Governance of information security) került sorra Móricz Pál ügyvezető igazgató (Szenzor Gazdaságmérnöki Kft.) előadásában. www.szenzor-gm.hu  

A Hétpecsét Információbiztonsági Egyesület 2014. januári ülésén folytatódott az egyesület érdeklődési körébe tartozó nemzetközi szabványcsalád újdonságainak ismertetése, ezúttal az információbiztonság irányítása (GIS, Governance of information security) került sorra Móricz Pál ügyvezető igazgató (Szenzor Gazdaságmérnöki Kft.) előadásában. www.szenzor-gm.hu  

A GIS, a megfogalmazók szerint, nem csak menedzsmentről szól az információ biztonságban, hanem a téma  egyfajta általánosabb megközelítését adja.

Leszármaztatása:

Információtechnológia – Biztonságtechnikák – Az információbiztonság irányítása (GIS)

Information technology – Security techniques – Governance of information security

Az ISO 27000 szabványcsalád elemei:

ISO/IEC 27014:2013

ITU-T Recommendation X.1054 & ISO/IEC 27014:2013 – Information technology – Security techniques – Governance of information security  http://www.iso27001security.com/html/27014.html  

Ezt a szabványt, a vonatkozó társ-szabványoktól eltérően, két különböző szabványosítási rendszer is magáénak érzi; az ISO-n kívül az ITU, az ENSZ távközléssel foglalkozó szervezete is, rengeteg ajánlása létezik a témában. http://en.wikipedia.org/wiki/International_Telecommunication_Union   

A párhuzamos rendszerben ITU-T-vel jelzik a távközlési szabványokat. A most tárgyalt szabvány az ITU-T Recommendation X.1054 jelet viseli.

A szabványleírás tartalma:

Indító összefoglaló – útmutató az információbiztonság (IS) irányításhoz:

az információ biztonság (IS) kulcselemmé vált

a jogszabályi követelmények bővülnek

bármely IS hiba közvetlen hatással van a vállalat reputációjára

az irányító testülettől növekvő követelmény az IS felügyelete a szervezeti célok (az üzleti siker) elérésére

erős kapcsolatra van szükség az irányító testület, a végrehajtó menedzsment és ezek felelősségei között az ISMS vonatkozásában,

a szabvány gyakorlati útmutatót ad az IS kezdeményezésekre

Az IS hatékony irányítása biztosítja, hogy:

az irányító testület lényegi jelentéseket kapjon az IS-el összefüggő tevékenységekről, legyen képben ezekkel kapcsolatban,

helyes és időbeni döntések szülessenek az IS eseményekről a szervezet stratégiai céljai támogatása során.

Alkalmazási terület

Útmutató azon, az információbiztonság irányításához szükséges koncepciókhoz, alapelvekhez, melyek által a szervezet képes az információbiztonsághoz kapcsolódó tevékenységeket a szervezeten belül

értékelni,

irányítani,

figyelemmel kísérni és

kommunikálni.

(minden típusú és méretű szervezetre alkalmazható)

Fogalmak

Az irányítással foglalkozó csapat két része:

a végrehajtó menedzsment (executive management):

ők üzemeltetik a céget, az a dolguk, hogy minden működjön, méghozzá jól  

az irányító testülettől felelősséget kaptak a stratégiák és irányelvek bevezetésére, amit a célok megvalósítására használják,(a felső vezetésből áll fel, benne a CEO, CFO, COO, CIO, CISO)

az irányító testület (governing body):

a szervezet teljesítményéért és megfelelőségéért felelős személy /csoport (a felső vezetés; pl. az igazgatótanács, amely a felelős döntéseket meghozza), nekik folyamatosan képben kell lenniük, hogy jó döntéseket hozhassanak,

az információbiztonság irányítás (governance of IS):

a szervezet információbiztonságát irányító és felügyeletét ellátó rendszer,

érdekelt fél (stakeholder) lehet:

minden személy/ szervezet, aki hatással van, vagy akire hat (vagy úgy érzi, hogy hat) a szervezet tevékenysége.

Célok, elvárt eredmények

Alapvetően:  a biztonság fenntartása

időben szülessen döntés az egész rendszerről, kifelé a megfelelő működés felmutatása,

a megfelelő szereplők képbe kerüljenek, 

IS célok és stratégiák összehangolása az üzleti célokkal és stratégiákkal

értékadás az irányító testület és az érdekelt felek számára

az információs kockázatok megfelelő kézben tartásának lehetővé tétele

Elvárt eredmények:

az irányító testület lássa az IS állapotát

információs kockázati döntések gyors meghozatala

hatékony és eredményes IS befektetések

megfelelés a külső követelményeknek (jog, szabályozó, szerződéses)

Az irányítás-elemek kapcsolatai

Szervezet irányítás:

IT irányítás

IS irányítás

Az IS és IT irányítás kapcsolata

(más a scope, de mindkettő értékel, irányít, figyelemmel kísér, + az IS kommunikál is)

Alapelvek

az információbiztonságot a teljes szervezetre ki kell alakítani, rész-területekre nem elegendő

tökéletes biztonság nem létezik; a kockázat-alapú megközelítést kell alkalmazni

az információ biztonsággal kapcsolatos beruházási döntések időben szülessenek meg, az irányítás döntsön róla, hogy mit fejlesszünk, ne a végrehajtói oldalon próbálják kierőszakolni,

megfelelés biztosítása a külső és belső követelményeknek

biztonság-tudatos környezet elősegítése (a fejekben is…)

a cég nem a biztonság fenntartásáért létezik, hanem a céges eredményekért; a biztonsági eredményeket össze kell vetni az üzleti eredményekkel

AZ IS irányítási modell

Az érdekelt felek oldalán fel kell mérni a követelményeket, ezek értékelése és az elvárások megfogalmazása az irányító testület feladata.  

Az ellátásra váró tevékenység csoportok megfogalmazásakor

értékelni kell, hogy hol vagyunk 

mire kell jó választ adni

Ennek alapján kell döntenie a testületnek a követendő stratégiáról, politikáról.

A végrehajtóknak ezt kell megvalósítaniuk. Erről a visszajelzés kétféle lehet; hol tartunk, milyen a teljesítmény értékelése, mennyire vagyunk biztonságosak, mennyire vagyunk jók. A másik visszajelzés; javaslatok, hogy mit kéne másképp csinálni, másképpen fejleszteni.

Fontos, hogy a cégen kívül bevonjunk olyan szereplőket is, akik segítenek felmérni, hogy milyen állapotban vagyunk. A kapott eredmény alapján, az idevágó döntés az irányító testület dolga, neki kell ezt kommunikálnia a végrehajtó szervezet felé, a megoldás érdekében.

Az egyes feladattípusok hovatartozását is meghatározza a szabvány.  

Az értékelés tekintetében   

az irányító testület a követelményeket tudja megfogalmazni, ill. ha az értékelésben valamilyen döntés szükséges, akkor neki kell a döntést meghozni. Az irányító testület ügyel rá, hogy az üzleti javaslatokban legyenek számba véve az IS elemek

a végrehajtó oldalon arra kell törekedni, hogy ez a döntés az üzleti érdekekkel összhangban történjen, ne mondjon ellent semmiféle üzleti elemnek, az IS támogassa megfelelően és tartsa az érdeklődés előterében az üzleti célokat

erre javaslatokat is tegyen, terjesszen az irányító testület elé jelentős hatású új IS projekteket

Az irányítás  

Az irányító oldalon is az elvárás-követelmény összefüggés jelenik meg, a szervezet kockázati szintje elvárásának meghatározása, az IS stratégia és politika jóváhagyása, ehhez megfelelő befektetések és erőforrások hozzárendelése.

A végrehajtó oldalon itt is a végrehajtás-visszacsatolás, a belső üzemeltetés, s a belső kultúra kialakítása szerepel,

az IS stratégia és politika kifejlesztése és bevezetése, az IS és üzleti célok összehangolása, az IS-tudatos kultúra támogatása.

Figyelemmel kísérés (monitoring)

Itt is az elvárás követelménye jelenik meg, ezt kell megfogalmazni üzleti oldalon, érdekelt fél oldalon. Az irányító testület a gyakorlatban törekszik rá, hogy külső kontroll is legyen benne. Lényege; az IS vezetőség tevékenységének eredményesség-felmérése, külső/belső követelményeknek való megfelelés biztosítása, az

üzleti, jogi, és szabályozói környezet-változások figyelése, az információs kockázatokra való hatásuk felmérése.

A végrehajtási oldalon fontos megadni, hogy pontosan mit mér, hogyan mér (ez a megfelelő teljesítmény metrikák megválasztását jelenti), milyen jelentéseket, javaslatokat készít. A végrehajtó menedzsment jelzi az irányító testületnek az IS teljesítmény-eredményeket, közte a testület által azonosított akciók eredményét, és ezek szervezetre való hatását, az irányító testület tájékoztatja az információs kockázatok és az IS-t érintő új fejlesztésekről. 

Nem könnyű feladat a döntéshozó menedzsment befolyásolása az IS értékek képviseletére! 

Kommunikálás

A külső kommunikáció, akár a hatóságokkal, akár az érdekelt felekkel kapcsolatban, döntően az irányító testületi funkciók közé tartozik. A külső érdekelt feleknek szóló közzététel a szervezet, s az üzlet jellegének megfelelő IS szinten működik, Az irányító testület értesíti a végrehajtó menedzsmentet a külső átvizsgálások eredményeiről, az IS elemek azonosításához, a helyesbítő tevékenység igényeihez. Felméri a szabályozói kötelezettségeket, az érdekelt felek elvárásait, és felismerni hivatott az üzleti igényeket az IS-re tekintettel.

A végrehajtó menedzsment a kommunikáció által megkapja az elvárásokat, ill. visszajelzi az eredményeket, de 

döntően ő az üzemeltetésben van benn, nem pedig a külső kommunikációban.  

Felmérés

A megrendelés az irányító oldalon van, a végrehajtó oldal pedig csak közreműködik, hogy a felmérő érdemben tudja vizsgálni a dolgokat. 

A mellékletek

Kidolgozott példákkal segítik az alkalmazásokat.  

www.hetpecset.hu

Harmat Lajos