Túl Keveset, Vagy Túl Sokat Kockáztatnak A Vállalatok?

Magyarországon jelenleg összesen mintegy 10 IT-biztonsági szakértő rendelkezik az informatikai kockázatelemzői tapasztalatokat magas fokon elismerő CRISC minősítéssel. Közülük az egyik szakember a Noreg Kft. csapatát erősíti.

A Noreg Kft. Stratégiai Biztonsági Tanácsadó csapatának egyik tagja Magyarországon az elsők között szerezte meg a CRISC (Certified in Risk and Information Systems Control) minősítést. Az ISACA független nemzetközi IT-biztonsági szervezet tavalyi évben bevezetett új minősítése azt a növekvő piaci igényt szolgálja ki, amelyet az egyre szigorúbb törvényi és iparági szabályozások teremtenek az érzékeny adatok módszeres felügyeletével kapcsolatban. A pénzügyi, telekommunikációs, egészségügyi és egyéb személyes vagy bizalmas információkat kezelő vállalatoknak évente megújított, minden részletre kiterjedő kockázatelemzést kell végezniük – ennek hiányában akár a szervezet tevékenysége is felfüggeszthető. Éppen ezért a Noreg tapasztalatai szerint, a vállalatok sokszor felülértékelik kockázataikat, és a szükségesnél jelentősebb összeget költenek el kockázatelemzésre. A kockázatok alapos és pontos felmérése azonban nem az erre költött összegtől függ: az optimális arányokat kell megtalálni, hogy a szervezet az informatikai vagyonát kellőképpen védje – ennek meghatározásában segítenek a CRISC minősítéssel rendelkező szakértők.

„Tapasztalataik szerint a vállalatok vagy alul- vagy felülbecsülik a kockázati tényezőket, mivel az arany középút csak egy minden részletre kiterjedő, rendszeresen ismételt kockázati felméréssel érhető el. Egy átlagos honlapot például nem kell úgy védeni, mint a személyes adatok kezelésével járó folyamatokat. Ez utóbbi esetben azonban a törvényi és iparági előírásoknak megfelelő szintű biztonságot kell kialakítani, ahol az adatok bizalmassága még katasztrófa helyzetben sem sérülhet" – mondta Dr. Kőrös Zsolt, a Noreg Kft. ügyvezető igazgatója. „Büszkék vagyunk arra, hogy a hazai IT-szakértők közül az elsők között kapta meg munkatársunk az ISACA CRISC minősítését, amelyet kizárólag a széles körű informatikai és üzleti tapasztalatokkal rendelkező, teljes körű vállalati kockázatelemzés (kockázatelemzési rendszerek tervezése, kiépítése és üzemeltetése) terén jelentős gyakorlattal bíró szakértők kaphatják meg" - tette hozzá Dr. Kőrös Zsolt.

A kockázati felmérés menete

Az üzletbiztonsági technológiák és szolgáltatások hazai szakértő vállalata több mint 11 éves fennállása óta számos hazai nagyvállalatnál, pénzintézetnél, telekommunikációs vállalatnál és ipari vállatoknál végzett audit felméréseket, melyeknek szerves részét képezi a kockázatok elemezése is. A felmérés során megvizsgálják az adatokat bizalmasságuk, sértetlenségük és rendelkezésre állásuk szempontjából, illetve, hogy a fenyegetettségek tükrében mely esemény bekövetkezése milyen valószínűséggel várható, és a szervezet ennek kivédésére milyen kontrollt alkalmaz. Kiszámítják a kárértéket, hogy egy-egy bekövetkező esemény mekkora kárt okozhat, ehhez igazítják a kockázati tényezőket. Majd a megállapított kockázathoz hozzárendelik, hogy egy adott informatikai vagyonelemnél milyen további védelmi megoldást javasolt alkalmazni – ezt a vállalatvezetéssel és a gazdasági vezetőkkel közösen véglegesítik, határozzák meg.

További információ a CRISC minősítésről:

http://www.isaca.org/Certification/CRISC-Certified-in-Risk-and-Information-Systems-Control/Pages/What-is-CRISC.aspx

A hazai vállalatokra vonatkozó törvényi szabályozás

A Pénzügyi Szervezetek Állami Felügyeletének 1/2007. számú módszertani útmutatójából: a pénzügyi szervezetek informatikai rendszerének védelméről, Mpt. 77/A. § (2) bekezdés, Öpt. 40/C. § (2) bekezdés, Tpt. 101/A. § (2) bekezdés, Hpt. 13/B. § (2) bekezdés.

A pénzügyi szervezet köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni.

Az informatika biztonsági kockázatok kezelése érdekében javasolt egy olyan kockázatelemzési módszertan kiválasztása, amely az informatikai biztonsági kockázatok szisztematikus felmérését és menedzselését teszi lehetővé. A kockázatfelmérésnek, elemzésnek és menedzselésnek igazodnia kell a pénzügyi intézmény legkritikusabb üzleti folyamataihoz és ki kell terjednie a tervezés, a fejlesztés, a beszerzés, az üzemeltetés, a kiszervezés és az ellenőrzés területére is. A munkadokumentumok elkészítése és a menedzselt kockázatonként a védelmi intézkedések bemutatása fontos a kockázatfelmérés és elemzés megfelelőségének megítéléséhez. Kiszervezés esetén a kockázatelemzésnek minden olyan rendszerelemre ki kell terjedni a kiszervezési szolgáltatónál is, amely a szolgáltatáshoz kapcsolódik és e nélkül a szolgáltatás megfelelősége nem biztosítható.

A kockázatelemzési módszertan rendszeres elvégzését belső szabályozás szintjén fogalmazza meg és annak megfelelően járjon el (szabályzataiban dokumentálja a módszertant a megismerhetőség az ellenőrizhetőség és az újbóli végrehajthatóság miatt). A kockázatok felmérését és elemzését új rendszerek üzembe helyezését követően, a környezeti változásokat figyelembe véve, illetve előre meghatározott rendszerességgel (lehetőleg évente) hajtsa végre. A kockázatelemzést minden rend-szerre (szoftver és hardver) el kell végezni.

A jogszabály ezen pontjának értelmezéséhez a Felügyelet célszerűnek tartja a COBIT „PO9 – Kockázatok értékelése" fejezetének alkalmazását.

Az ISACA Magyarországi Egyesület a nemzetközi ISACA (Information Systems Audit and Control Association) magyarországi szakmai szervezete. Az Egyesület 1991-ben alakult, jelenleg 456 kizárólag természetes személy tagja van. Az egyesült államokbeli anyaszervezet több mint négy évtizedes múltra tekint vissza és világszerte 160 országban körülbelül 95.000 tagot számlál. Az Egyesület alapvető céljai közé tartozik: a tagok számára szakmai fórumot nyújtani a hazai és nemzetközi szakmai tapasztalatok kicserélésére és hasznosítására, az információs rendszerek kontroll környezetének kialakítási, irányítási és ellenőrzési módszereinek területén. Továbbá az ISACA által kiadott minősítések (CISA, CISM, CRISC, CGEIT) szakmai és hivatalos elismertetése, és az információs rendszerek irányításának, biztonságának és ellenőrzésének fontosságának tudatosítása mind a szűkebb szakmai közvélemény, mind pedig társadalom egésze számára.