Az Állami Számvevőszéknél informatikai biztonsági szabályrendszerük felülvizsgálata és aktualizálása volt a feladatunk.
A feladat az Állami Számvevőszék meglévő informatikai biztonsági szabályozásának felmérése volt az általánosan elfogadott információbiztonsági szabványok (BS7799) és ajánlások (ITIL, COBIT) alapján, majd a szabályozás frissítése, ugyanezen irányelveket figyelembe véve. A feladat végrehajtásához meg kellett ismerni az Állami Számvevőszék informatikai biztonsági szabályozási rendszerét és szabályozási környezetét, de ezen túlmenően szükség volt annak meghatározására is, hogy az informatikai infrastruktúrát használóknak milyen elvárásai vannak az informatikai rendszerrel szemben.
Az Állami Számvevőszék a projekt végrehajtása előtt elavult Informatikai Biztonsági Szabályzattal (IBSz) rendelkezett, amely számos biztonsági kérdést nem, vagy nem megfelelően tárgyalt, illetve kezelt. Ugyancsak nagy problémát jelentett, hogy az ÁSZ nem rendelkezett Informatikai katasztrófa elhárítási tervvel, továbbá nem volt meghatározva az informatikai modulok elvárt rendelkezésre állási ideje. Nem állt rendelkezésre ”akcióterv” sem az informatikai kockázatok enyhítésére.
A projekt két fő szakaszból állt: felmérés és szabályozás.
1. Felmérés:
- Az informatikai és telekommunikációs rendszer jelenlegi állapotának felmérése és a rendszer javítási lehetőségeinek felderítése;
- Az informatikai és telekommunikációs rendszerben rejlő kockázati tényezők feltárása;
- A kockázati tényezők hatásainak meghatározása;
- Rendszerenként annak a maximális kiesési időnek a meghatározása, amelyet az ÁSZ normál működési rendje elvisel;
- Az Állami Számvevőszéknél működő rendszerek IT biztonsági besorolásának meghatározása.
2. Szabályozás:
- Megoldási javaslatok kidolgozása a felderített kockázati tényezők csökkentésére;
- Segítség nyújtása a javaslatok optimális, költség-hatékony megvalósításához;
- A megfelelő szabályozási rendszer kialakításával optimalizálni az informatikai és telekommunikációs rendszerek rendelkezésre állásának és funkcionalitásának biztonsági szabályozását.
Kihívások
Napjaink vonatkozó szabványai már nem elégednek meg az informatikai védelem fogalmával. A BS7799 az információ biztonságát, valamint fejlett InformációBiztonsági Menedzsment Rendszer kialakítását tűzi ki célul. Ez – bár magában foglalja a digitálisan tárolt információk, adatok biztonságát – sokkal több ennél: a papíron, a folyamatokban, a humán erőforrásban rejlő információk védelmével is foglalkozik. Az igazi kihívást elsősorban ezen új szemléletmód bevezetése és elfogadtatása jelentette a KÜRT tanácsadói számára, mivel a korábbi hasonló projektjeink során kialakított szabályozási módszertanba integrálni kellett az új megközelítés követelményrendszerét. az információbiztonsági szabályozás vonatkozásait az adatosztályozásra alapozva kellett levezetni, és a szabályozási rendszert ennek megfelelően kellett újra felépíteni.
További szakmai kihívást jelentett, hogy az Állami Számvevőszék részéről CISA (Certified Information Systems Auditor) vizsgával rendelkező, az informatikai felmérésekre, vizsgálatokra szakosodott auditor (számvevő) értékelte az elvégzett munkát, az átadott anyagok szakmai megalapozottságát.
Eredmények
A projekt elsődleges eredményei a következőképpen foglalhatók össze:
- az informatikai kockázatok és hiányosságok enyhítésére és kiküszöbölésére hivatott ”akcióterv” elkészítése.
- az Informatikai Biztonsági Szabályzat elkészítése
- az Informatikai üzemmenet-folytonossági és katasztrófa elhárítási tervek elkészítése
A projekt másodlagos, de az ÁSZ szempontjából nem kevésbé fontos eredménye az volt, hogy az informatikai auditálással foglalkozó számvevők munkáját segítendő átadásra került egy részletes, kockázatelemzésre és felmérésre vonatkozó módszertan.
A KÜRT tanácsadói a projekt végrehajtása során egyrészt értékes tapasztalatokkal gazdagodtak, másrészt az új igények szerinti továbbfejlesztették, kibővítették az információbiztonsági felmérési és kockázatkezelési módszertan és eszközöket.
Nyomtatható oldal
