Információbiztonság ISO 27001 szabvány alapján
Az információ minden vállalat életében kulcsszerepet játszik, védelme kiemelt fontossággal bír. Az informatikai rendszerek elterjedése óta ez különösen kényes terület. Az ISO 27001 szabvány segít eligazodni az információbiztonság témájában, követelményei alapján jól működő IBIR (információbiztonsági irányítási rendszer) építhető ki, mellyel a manapság egyik legértékesebb megszerezhető tanúsítvány szerezhető meg. A fenyegetésekkel szembeni védelem érdekében az ISO 27001 többek között szabályozza az információ kezelésére és felhasználására vonatkozó folyamatokat.
Hogy az információ biztonságáról beszélhessünk, biztosítani kell annak bizalmasságát, sértetlenségét és rendelkezésre állását. Ez a három pillér minden szervezet és vállalat esetében fontos. Egyes gazdasági területeken azonban már szinte kötelezőnek mondható ezek megteremtése és az ISO 27001 használata. Ilyen terület például a telekommunikáció, az informatika, a pénzügy, a logisztika, de vagyon- vagy személyvédelmi cégek, egészségügyi szolgáltatók biztonságos működéséhez is szükséges az ISO 27001 szabvány követelményeinek betartása. A versenyszféra mellett a közigazgatásban és a nonprofit szektorban is hasznosíthatók a rendszerek. A vállalat, szervezet vagy intézmény mérete és tevékenységi köre nem meghatározó az ISO 27001 szabvány szempontjából.
Szinte kivétel nélkül minden cég használ valamilyen protokollt az információk kezelésére. Ezek felülvizsgálata és fejlesztése mindig időszerű. Hogy biztonságban tudhassa a cége működéséhez szükséges információkat, érdemes betartania az ISO 27001 szabvány előírásait, ahonnan már csak egy lépés az ISO tanúsítvány megszerzése.
Az ISO 27001 szabvány kitér többek között az információbiztonsági politika és célok meghatározására, a szabályzatok és az IBID dokumentum elkészítésére, az Információbiztonsági Irányítási Kézkönyv összeállítására, a katasztrófa tervre, az IT Akcióterv részleteire, valamint a kockázati mátrixra.
Az ISO 27001 használata a gyakorlatban
Az ISO 27001 szabvány felhasználásával olyan információbiztonsági irányítási rendszer alakítható ki, amellyel csökkenthető a vállalat által kezelt információval való visszaélések kockázata. Az IBIR lehetővé teszi az információbiztonsági veszélyhelyzetek elhárítását, valamint támpontokat adhat az ezek esetleges bekövetkeztekor szükséges teendőkhöz. Mint a szabványok legtöbbje, az ISO 27001 is hatékony eszközt ad a menedzsment kezébe, amellyel mélyreható szakmai ismeretek hiányában is képesek átlátni és koordinálni az információbiztonsági folyamatokat.
A rendszer kialakítása során meg kell szabni az IBIR alkalmazási területeit, a célokat és a kockázatfelmérés módját. Szükséges a kockázatok azonosítása, illetve ezek kiértékelése, valamint a fejlesztési lehetőségek számbavétele. Az ISO 27001 segítséget nyújt az IBIR szabályzat megalkotásában. A rendszer sikeréhez elengedhetetlen a szabályozási célokhoz kapcsolódó konkrét intézkedések meghatározása. Utolsó lépésként a vezetőségnek életbe kell léptetnie az új rendszert.
ISO 27001 szerinti IBIR felülvizsgálata és fejlesztése
A rendszer sikeres bevezetéséhez szükség lesz a kockázatjavítási terv és az ehhez kapcsolódó intézkedések bevezetésére, valamint a tudatosítási és képzési program elindítására. Az irányítási rendszer bevezetése azonban csak az első lépés a tökéletes információbiztonság felé. Az ISO 27001 kitér a rendszer működtetésére és felülvizsgálatára is, valamint a folyamatos fejlesztés fontosságára. A rendszeres belső auditok éppen ezt a célt szolgálják. Az auditok alkalmával vizsgálandó a jogszabályoknak, az információvédelmi követelményeknek és az ISO 27001 szabványnak való megfelelés. Az elemzésnek természetesen ki kell térnie a működés eredményességére is.
Minden auditot követően érdemes megvizsgálni a fejlesztési lehetőségeket is, amelyekkel javítható az irányítási rendszer hatékonysága. Ez számos módon elérhető, amire az ISO 27001 szabvány útmutatással is szolgálhat. Az eredményesség növelhető többek között a védelmi célok újrameghatározásával, az információbiztonsági politika finomhangolásával, a megfigyelt események elemzésével és felülvizsgálatokon keresztül is.
Az ISO 27001 szabvány felépítése
A szabvány 10 fejezetből áll, amelyek felölelik és alaposan körüljárják a témát az ISO 27001 alkalmazási területének meghatározásától a használt fogalmak deklarálásán át egészen a követelményrendszer részleteiig. A legérdekesebb részt azonban az ISO 27001 szabvány „A” jelű melléklete tartalmazza. Ez a melléklet taglalja többek között a biztonsági szabályzat jellemzőit, a vagyontárgyak kezelésére, a hozzáférés-ellenőrzésre vonatkozó előírásokat. Foglalkozik továbbá az emberi erőforrás biztonságával, valamint a fizikai védelemmel. A melléklet tartalmazza az ISO 27001 szabvány információbiztonsági incidensek kezeléséről és a folytonos működésről szóló alfejezeteit.
Az információbiztonsági, technikai követelményekről szóló részek végigvezetnek az egyes szabályozási célokon, és az ezekhez felhasználható eszközökön. Az ISO 27001 egyaránt foglalkozik a szervezeten belüli információbiztonsággal, valamint azzal a helyzettel, ha az információfeldolgozás eszközeihez harmadik fél is hozzáfér. Az illetéktelen fizikai hozzáférés megakadályozása szintén szerepel a szabvány követelményei között, ahogyan a hálózatbiztonság is nagy szerephez jut. A fenti példák csak nagyvonalakban vázolják fel a szabvány tartalmát: a teljes körű védelem érdekében az ISO 27001 természetesen számos egyéb is követelményt is állít a szervezettel szemben.