Tisztelt Partnerünk!
Az Információ biztonság szabványnak való megfelelést a Nemzeti Akkreditáló Hatóság akkreditálásával az MSZ EN ISO/IEC 27001:2023 -as szabvány szerint tanúsítjuk.
1, INFORMÁCIÓ- ÉS ADATBIZTONSÁGI AUDIT – GDPR MEGFELELŐSÉG
Az információ-biztonság kérdése – az informatika rohamos előretörésével – minden vállalatnál egyre égetőbb kérdéssé válik. Mindenki tud róla, viszont senki sem veszi addig komolyan, amíg először "meg nem égette magát" vele. A felhasználó szemszögéből, az egyik oldalról közelítve: a hatékony munkavégzéshez elvárás, hogy a szükséges információk a kellő időben és sértetlenül álljanak a rendelkezésre. A másik oldalról: minden szervezetnél – akár tudomásul vesszük, akár nem, – van "információ-szivárgás". Megnyilvánulási formái széles spektrumban jelentkeznek. Pl.:Saját magunknak, vevőinknek, hatóságoknak stb. sok adatot gyűjtünk, szolgáltatunk melyek biztonsága, időbeli megérkezése alapvető követelmény.
- Ipari kémkedés.
- Miért ment át a legjobb dolgozónk a konkurenciához?
- Miért veszett el az adatbázisunk, fizetési listánk, laptopunk, stb.?
- Miért a konkurencia nyert a pályázaton?
- Stb. stb. stb.
Az információk jogosulatlan kézbe kerülése jelentős erkölcsi és anyagi károkat okoz(hat) a szervezetnek.
Ott, ahol felismerték a védekezés fontosságát, azzal is szembesülnek, hogy az önállóan (tehát nem rendszerben) alkalmazott védelmi elemek kiépítése, fenntartása rendkívül drága. Ebben a helyzetben segít rendet teremteni az információ-biztonsági auditunk:
Az információ-biztonsági "szakmában" a kezdetektől fogva sajátos nézeteket vallottunk, mi nem szűkítettük le az információ-biztonság kérdését pusztán informatikai eszközök (számítógépek) biztonságának problémájára. (Az élet bennünket igazolt.) Egy, a gyakorlatban használható információ-biztonsági rendszer eredményességéhez több szakmai terület összehangolt munkája szükséges, úgymint:
Szakmai előnyünket azzal is fokoztuk, hogy munkatársainkat tudatosan ezen területek jó ismerőiből válogattuk, akiknek gyakorlatuk van vállalatirányítás-minőségirányítás és egyes gazdasági ágazatok (elektronika, híradástechnika, pénzügyi szervezetek, környezeti iparág /hulladék gazdálkodás/, gépipar, gyógyszergyártás, élelmiszeripar, mérnöki tevékenységek, kutatás fejlesztés stb.) területeken.
A fentieknek az Információbiztonsági Irányítási Rendszer (IBIR – MSZ ISO/IEC 27001:2014) szabvány kiváló keretet ad.
Az Infobiz szabványnak való megfelelést az EUROCERT Kft nemzetközileg elismert NAH akkreditálással tanúsítja.
Szakmai érdeklődésükre szívesen állok rendelkezésükre:
Oláh Péter
06-30-9320-694
Oláh Tamás: BCP-DRP felfogás a gyakorlatban – gyakorlati BCP-DRP felfogás (2019.02.)
BCP-DRP felfogás a gyakorlatban – gyakorlati BCP-DRP felfogás
(Business Continuity Plan – üzletmenet-folytonossági terv
Disaster Recovery Plan – katasztrófa helyreállítási terv)
BCP-DRP felfogás a gyakorlatban
Mi található az interneten? (négy, kiragadott példa)
1.)
http://www.ant.hu/termek/uzletmenet-folytonossag-tervezes-bcp-drp
ANT (Advanced Network Technologies) Kft.
jell.:
Példásan tudományos honlapszöveg.
Csak IT-ra koncentrál (a cég is IT szolgáltató).
2.)
Humansoft Kft.
jell.:
IT (szolgáltató) cég.
DE! Lehet, hogy már láttak gyakorlatot?
„Előfordult már Önöknél, hogy a mindennapi munkát
nem tervezett rendszerleállás,
be nem jelentett áramszünet,
távközlési hálózat hibája,
áradás, heves vihar,
tűzeset, csőtörés,
a beszállító, külső szolgáltató késlekedése,
a dolgozók tömeges késése, megbetegedése zavarta meg?”
3.)
ELTE Gazdasági és Műszaki Főigazgatóság Informatikai Igazgatóság
jell.:
Szépen, szisztematikusan összeállított keretszabályozás (a konkrétumok a továbbiakban - hivatkozva).
4.)
https://www.tmsi.hu/uzletfolytonossagi-bcp-terv/
Tőzsér és Máriás Szoftver Iroda (TMSI) Kft.
jell.:
IT szolgáltató, IT biztonságot szolgáltató cég.
Szimpatikus a gyakorlat szerinti megközelítés.
„A gyakorlat, szakkönyvek, nemzetközi keretrendszerek alapján az informatikai üzletfolytonossági és katasztrófalehárítási terveket alapvetően a lehetséges kockázatok (és még sok más szempont, pl. az adatvagyon) alapján kell kialakítani. Ez a gyakorlatban a villámcsapás-, tűz-, árvíz- és hasonló kockázatok mérlegelésével történik. Ahol egyáltalán foglalkoznak ilyennel, ott a terveket a szabványok alapján elkészítik, “polcra teszik” a feladatot kipipálják.
És ha nem az árvíz okozza a fennakadást? Mert például lehet hatósági ellenőrzés, ami akár a számítógépek/szerverek lefoglalásával is járhat. Vagy például olyan nyári hőség, ahol kiderül hogy a szerverszoba klímája rosszul van bekötve és a szerverek felforrnak.”
Ami látszik (az interneten tovább keresve).
Ami nem jó:
(Más megközelítésben. Ha egy szervezetnél egy darab számítógép sincs, akkor ott a BCP-DRP nem is értelmezhető?)
Ami jó:
A tudományos szó azért került idézőjelbe, mert:
- Ha csak a felhasználó elvarázslása a cél (mert pl. áltudományos, sok idegen szó egymásután, logikai kapcsolat nélkül), akkor az a vevő becsapása és látszatbiztonságot eredményez.
- Ha valóban tudományos a megközelítés, de megreked az elvi szinten, abból a felhasználó még nem tudja, hogy konkrét esetben mit is kéne csinálnia. Tehát jó, de gyakorlati haszon nélküli, így szintén látszatbiztonság lesz a végeredmény.
Nézzük a „közvélekedést”
A felhasználók mondták:
A katasztrófa: valamilyen működési anomália. Bekövetkezésével több-kevesebb valószínűséggel számolhatunk (ebben benne van a nulla is, tehát potenciális). Hatásának elkerülésére (minimalizálására) intézkedéseket hozunk – ennek a logikai sornak lesz a BCP-DRP a végső eleme.
Egy szervezetnél minden lehetséges katasztrófát vegyünk fel, értékeljünk, súlyozzuk (kockázatértékelés) és intézkedjünk rá (BCP-DRP-ban).
Mit mond egy szabvány
A 27001 szerint követelmény:
- A11.1.4. Külső és környezeti fenyegetésekkel szembeni védelem:
A természeti katasztrófák, a rosszindulatú támadás vagy a balesetek elleni fizikai védelmet meg kell tervezni, és azt alkalmazni kell.
- A17.1.1. Az információbiztonság folytonosságának tervezése:
A szervezetnek meg kell határoznia az információbiztonsági követelményeit, valamint az információbiztonság irányításának folytonossági követelményeit olyan kedvezőtlen helyzetekben, mint pl. egy válság vagy katasztrófa során.
(A szabvány több követelményt határoz meg, de a „vezérgondolathoz” ez a kettő elég lesz.)
Ezek szerint a tanácsadóknak nem sikerült egészen pontosan sem a katasztrófa, sem a BCP-DRP kérdést tisztázni a felhasználókkal.
Pontosítsunk tovább
A katasztrófák fogalmát szűkítsük, kategorizáljuk (a bármiféle működési anomáliákról).
A katasztrófák körébe értendőek:
- elemi károk,
- természeti csapások,
- társadalmi katasztrófák
A szűkítéssel nem veszítettünk, mert pl.…
- a felhasználó képzetlen (nem ismeri a szabályokat),
- a felhasználó nem akarja tartani a szabályokat,
- a vincseszter tönkrement,
- a bejárati ajtó nyitva maradt,
- stb.
…ezeket a „hétköznapi” problémákat áttoltuk az incidensek témakörébe és ott szabályozhatjuk (hogy ne következzen be – megelőzés; ha bekövetkezett - incidenskezelés).
A katasztrófák és kategóriáik részletes kifejtése nem ennek az írásnak a tárgya.
A további rendezéshez vegyünk figyelembe olyan tényezőket, mint pl.:
- a bekövetkezés gyakorisága (potenciális lehetőség, vagy volt is rá példa),
- az okozott/okozható kár mértéke (anyagi, presztízs, stb.),
- el lehet kerülni, vagy a bekövetkezés a szervezettől független (csőtörés, árvíz).
Gyakorlati BCP-DRP felfogás
Minek, hol a helye?
A felhasználónak nem az a fő tevékenysége, hogy ISO rendszereket üzemeltessen. A felkészítő (tanácsadó) segítsége rendkívül hasznos. Feltételezzük, hogy mindkettő a saját szakmai területén otthon van. A felkészítő felelősége olyan megoldások kialakítása, ami a szakmaterületek hatékony együttműködését eredményezi.
Következik egy olyan lehetséges „értelmezési sor”, amit a nem túl hozzáértő felhasználó képes megérteni, megvalósítani és – akár külső segítség nélkül – kézbentartani.
Továbbá, rendkívül fontos, hogy mindezek közben a felhasználóban alakuljon ki meggyőződöttség a tevékenység gyakorlati hasznosságáról.
(Nem elfogadható az a mondat, hogy: majd jön a tanácsadó, rendbe teszi az ISO-nkat, az auditor kicsit morgolódik, de a nap végén hazamegy, mi a papírokat feltesszük a polcra és egy évig békén hagynak.)
Ezek nem mindegyike tekintendő potenciális katasztrófának. Az egyszerűbb, napi, általános kérdéseket a Rendszer kézikönyvben, Utasításokban szabályozzuk.
Pl.
- a felhasználó a monitorán kiragasztva tárolja a jelszavait,
- a biztonsági zóna ajtaját mindig nyitva hagyják,
- a számzáras ajtó billentyűzete olyan koszos, hogy 1-2 találgatással ki lehet találni a kódot,
- a biztonsági területek dolgozói - „csak egy kávéra” – átjárnak egymáshoz,
- az irattár – törött – ablakán bejön a madár, az egér,
- a kitöltött nyomtatványok hátsó oldala jó lesz a gyereknek rajzolni.
Jellemző, hogy utasításban, oktatással – egyszeri alkalommal – rendezhetőek.
Kapcsolódó kérdések:
- az ellenőrzés fontossága,
- mi az a szabályszegési szint, amit már incidensnek nevezek, és van-e incidenskezelési elképzelésem, a retorziókkal együtt
- egyáltalán, jó-e a szabályozásom (betartható-e?).
Ezekre egyre inkább jellemző lesz, hogy a bekövetkezésük esetleges (potenciális).
Kockázatértékelésre bármelyik módszer megfelelő, amelyik tudja kezelni a „bekövetkezés valószínűsége” és az „okozott kár nagysága” kérdéseket (legalább).
A kockázatértékelés végén három eredményre juthatunk:
- Visszacsatolunk a szabályozáshoz.
Jó példa:
Szabályoztam (és oktattam) a titoktartás fontosságát, de a szervezetemnél – a konkurencia harc kiélezettsége miatt – fontos a dolgozók alaposabb és rendszeres felkészítése. Ez lehet pl. social engineering képzés.
Rossz példa:
Internet felhasználásával szolgáltatok. Társadalmi katasztrófa bekövetkezését valószínűsítem (pl. országos sztrájk). Jelmondatom: Mert mi minden időpillanatban szolgáltatunk!
Intézkedés. UPS minden géphez, legalább 2 hálózati betáplálás, aggregátor a telephely sarkában. Élelmiszer- és vízkészlet felhalmozása. Dolgozók vészhelyzeti bejuttatásának és elszállásolásának megszervezése. Mert mi minden időpillanatban szolgáltatunk!
(De kinek? Ill. minek?)
Egyszerűbb a szerződésben kitérni, hogy „vis maior” esetén milyen kieséssel vagy korlátozással.
- Felvállalom (de nem csak a kockázatot, hanem a hatásait is!).
Kockázatos az ide tartozó kockázatokkal nem – helyesen – foglalkozni.
Lehetőségek
A veszélye annak van, ha szerencsejátéknak tekintjük.
- További tervezést igényel. (Ezek lesznek a BCP-DRP hatókörébe tartozók.)
Azokban az esetekben, amikor a bekövetkezés esélye nem egyértelmű, viszont az okozott kár jelentős.
Hozok egy példát, ami élő, de pont az aktuális jellege miatt mára már kikerült a BCP-DRP hatóköréből és átkerült a napi szabályozásba:
10 évvel ezelőtt nem volt napi probléma (nyáron), hogy a hőmérséklet eléri a 40 fokot és „megfőnek” a dolgozók és a szerverek.
BCP-DRP tervezés
Az ide tartozókra jellemző, hogy nem egyértelműen behatárolható a bekövetkezés esélye, viszont a kárérték jelentős.
Elvi megközelítés szerint az előzőekben tárgyalt működési anomáliák, incidensek, katasztrófák hatásait van esélyünk megelőzni.
A BCP-DRP témakörébe tartozó katasztrófákat tekinthetjük bekövetkezettnek. Valójában még nem azok, de megelőzni sem tudjuk.
Amit viszont tudunk: gondos tervezéssel előre felkészülni, hogy bekövetkezés esetén hogyan minimalizáljuk a hatásokat.
Oláh Tamás (EUROCERT, információbiztonsági auditor):
Katasztrófák
(Az információbiztonság gyakorlati területei: Katasztrófák – kategóriák, főbb jellemzők)
Az információbiztonsági szabvány (általában ISO 27001, ill. az ez idő szerint aktuális változat: az MSZ ISO/IEC 27001:2014) megértésében, alkalmazásában segítséget jelentett az „információbiztonság gyakorlati területei” fogalom létrehozása. (lásd jegyzet 1)
A gyakorlati területeket (lásd jegyzet 2) – több-kevesebb részletességgel – a szabványváltozatok is érintik. Pontosabban, jelzik a követelménytámasztás igényét az adott területeken, de – természetesen, mivel minden szervezet/információbiztonsági rendszer más és más – a szabvány a területeket nem tematizálja és nem határoz meg konkrét intézkedéseket.
Viszont az információbiztonsági rendszereket üzemeltetők számára fontos az ismeretük, hogy ne hozzanak létre redundáns, drága, túlszabályozott rendszereket, ill. ennek ellentéteként, hogy ne maradjanak ki szabályozandó területek.
Rövidebben: a rendszer komplex és hatékony szemléletmódjához.
A területek közül az első négyre jellemző, hogy vannak a gyakorlatban bevált szabályozások és ezen szabályozásoknak szakemberei (akikre az információbiztonsági vezető tud támaszkodni). (lásd jegyzet 3)
Az ötödik területre (katasztrófák) a szervezetek (és ennek megfelelően az információbiztonsági rendszereik sem) rendelkeznek kialakított posztokkal, beosztásokkal és így kialakult szabályozási eljárásokkal, szakmai hagyományokkal. (lásd jegyzet 4)
Kategóriák
Tehát, a katasztrófák elemzésének és kockázatuk kiértékelésének egy szervezetben nincs hagyománya és szakembere. Ez érthető, mert a közelmúltig a „gyakorisága” is kevés volt a katasztrófáknak. Az relatív, hogy mit nevezünk közelmúltnak és kevésnek, de megfigyelhető, hogy egyre több olyan „dolog” fordul elő, ami „régen” nem volt.
Mivel a szervezetek nagy részében továbbra sem lesz lehetőség főállású meteorológus vagy politológus, stb. alkalmazására, a katasztrófákkal kapcsolatos kérdéseket az információbiztonsági vezető fogja koordinálni. Természetesen ezen a (gyakorlati)területen is lehetősége van (szükséges is!) segítség igénybevételére. Tűzvédelmi felelős, munkavédelmi felelős minden szervezetnél van. Már ma sem ritka, hogy szervezetek meteorológiai előrejelzéseket, szociológiai értékeléseket rendelnek meg (bár, inkább csak üzleti célból). A politológusoknak és további speciális szakembereknek – a szervezetre kialakított – tanulmányai a közeljövőben tagozódnak be ebbe a sorba. Az üzleti indokok kiegészülnek az információbiztonsági indokokkal is. (lásd jegyzet 5)
Amennyiben haladni akarunk a korral szükséges tematikus rendbe gyűjteni, hogy milyen eseményeket/behatásokat sorolunk a katasztrófák körébe (ezzel segítve az információbiztonsági vezető munkáját).
Elemi károk
- Tűz
- Víz (páratartalom, korrózió)
- Szennyvíz (fertőzés is)
- Levegő (szél, szennyezettség)
- Sugárzás (nap, hő, ill. egyéb sugárzás – beleértve az elektromágneses (EMC) ki-, és besugárzásokat)
- Talaj (szerkezete, szennyezettsége)
- Betegségek (fertőzések)
Természeti csapások
- Tűzvész
- Áradás
- Légszennyezés
- Extrém időjárási viszonyok (viharok, kánikula, fagyok hatásai)
- Földrengés
- ABV expozíciók (lásd jegyzet 6)
Társadalmi katasztrófák
- A szervezeten belüli elégedetlenség (eltérő politikai, vallási, kulturális nézetek; nemek közötti feszültségek; eltérő nemi identitásból eredő feszültségek; az erős-gyenge problémája; stb.)
- Általános társadalmi elégedetlenség (sztrájk, blokád, szabotázs vagy terror (lásd jegyzet 7) cselekmények).
- Erőszakos cselekmények (forradalom, háború és ide értve az állam megtorló intézkedéseit is, pl.: kijárási tilalom, rendkívüli állapot, stb.)
(új kategóriák – a társadalmi katasztrófákon belül)
- Az állam működéséből eredő esetleges „anomáliák” (pl. a gyors, az eddigi szokásokkal ellentétes szabályalkotás). (lásd jegyzet 8)
- A globalizáció és az ökoszisztéma változás nem kívánt hatásai (pl. zsaroló vírusok).
Csoport/kategória jellemzők
I.
Az elemi károknál és a természeti csapásoknál megfigyelhető, hogy a behatások – tulajdonképpen – azonosak, csak a mértékükben van különbség (nem mindegy, hogy csőtörés vagy árvíz).
Az elemi károk hatásai lokális jellegűek. Alapvetően csak a szervezetre hatnak és a szervezet felelősége a megfelelő szabályozás kialakítása (megelőzésükre, elhárításukra és az – üzleti, információbiztonsági, stb. – károk minimalizálására).
A természeti csapások esetén a szervezetnek ugyanazokat a védelmi intézkedéseket meg kell hozniuk, mint az elemi károknál. Különbség, hogy nagyobb az „elkerülhetetlenségi tényező” és nagyobb segítséget kaphat a társadalom részéről.
Az „elkerülhetetlenségi tényező”: a kockázatértékelésben a kárminimalizálás lehetőségeire van hatással. A segítség a társadalom részéről pl. hőségriadó kihirdetése.
A példánál maradva (hőségriadó):
10-15 évvel ezelőtt kicsi volt a gyakorisága (és a hatása is), ma már „mindennapos”.
10-15 évvel ezelőtt „szokássá vált” a szervertermek, szerverszobák klimatizálása (előzőleg célszerű volt, de nem volt direkt követelmény).
Ma – a technika hűtésén túl – elengedhetetlen a munkatermek klimatizálása is.
Következtetés 1: A kategóriák (tűz, víz, stb.) viszonylag statikusak, de a jellemzőik változhatnak (sőt, a példának hozott időjárás területén nagyon gyors a változás). Tehát, nem követhető az a módszer, hogy egyszer kiértékelem és a következő 10 évre jó lesz.
Következtetés 2: A példából (is) jól látszik, hogy az információbiztonságot csak „komplex szemléletmóddal” szabad megközelíteni. A katasztrófák területén a kockázatértékelés indukál egy intézkedési igényt és hatása lesz a személyvédelem területére is (munkatermek klimatizálása).
II.
A társadalmi katasztrófák első csoportjának megértése, feldolgozása (a szervezeten belüli elégedetlenségtől a háborúig) viszonylag egyszerű. A kategóriák és jellemzőik állandóak, a kockázatok előre számolhatóak, a hozott intézkedések kielégítik az információbiztonsági (és üzleti) követelményeket.
Ez azt is jelenti, hogy van/volt rá példa. Kialakult valamilyen – a gyakorlat igazolta, hatékony – szabályozás. Társadalomtudományi elemzések alapján nagy pontossággal prognosztizálható – a bekövetkezés gyakorisága.
Példa rá:
Taxis blokád, sztrájkok (idáig inkább csak lokálisak fordultak elő), tömegrendezvények.
Következtetés 1: Fejlődés, változás ezekben a kategóriákban is kimutatható. Pl. 30-40 évvel ezelőtt (általában) a munkahelyeken a vallási, vagy politikai, stb. hovatartozás nem merült fel potenciális feszültségforrásként. (Vallási egyáltalán nem, politikai előfordult, de a „problémát” a szervezeten belül elnyomtuk – helyesen -, mondván: a munkahely munkára van.)
Következtetés 2: A szervezeten belüli elégedetlenségek kezelésére kialakult és a gyakorlatban kipróbált eszköztára van a vezetésnek.
Következtetés 3: Az említett kategóriáknál megfigyelhető pozitív változás. Jellemző, hogy az erőszak visszaszorult. (pl. egy sztrájk és a válasz rendőrattak esetén csak azzal számolhatok, hogy a munkatársam késni fog és nem azzal, hogy meghal, súlyosan sérül.) Figyelem! A pozitív tendencia a napi politika hatására gyorsan megváltozhat, ill. forradalmat, háborút régen „próbáltunk”.
Következtetés 4: A szervezeten belüli elégedetlenségnek van egy eleme, ahol nagyon lassú a (pozitív irányú) változás. Ez a „munkahelyi erőszak” (inkább a „férfi-nő”, „nő-férfi” viszonylatban, de ide érthető az „erős-gyenge” viszonylat is).
Következtetés 5:
Pl.: szexuális zaklatás-e – a mi kultúrkörünkben -, ha felsegítem a nő (esetleg férfi) kabátját, vagy magam előtt kiengedem egy ajtón?
Pl.: A könyvelő cégemnél (a 100%-os) rendelkezésre állás követelményének a szellemében:
- rendelkezem UPS-sel, aggregátorral, többszörös betáplálással,
- megoldottam a személyzet minden körülmények közötti beszállítását,
- víz és élelmiszer készletet halmoztam föl,
- stb. (áram a kerítésbe, géppuskafészek a sarkokra),
mert minden körülmények között meg akarok felelni a rendelkezésre állás követelményének (forradalom, háború, UFO támadás esetén is).
A kérdés: Bár példásan kielégítettem egy szabványkövetelményt, de kinek is fogok a rendelkezésére állni (amennyiben a megrendelőim nem rendelkeznek hasonló kiépítettséggel)?
A különös „érdekességek” a további kategóriákban találhatók (az új kategóriák).
III.
Az állam működéséből eredő esetleges „anomáliák”. (lásd jegyzet 8)
Normális működési rendben az állam szakmai és politikai, ill. egyéb érdekegyeztetés után meghozza a szükséges (elégséges) szabályozókat (törvények, rendeletek, stb.). Azokat megfelelő átmeneti időt alkalmazva (véletlenül sem visszamenőleges hatállyal) bevezeti. Végrehajtásukat objektíven és széleskörűen ellenőrzi.
Normális működési rendben ezzel a kérdéssel és kockázataival az információbiztonsági vezetőnek (és a szervezet vezetésének) nem kell foglalkozni.
IV.
A globalizáció és az ökoszisztéma változás nem kívánt hatásai. (lásd jegyzet 10)
A címben jelzett fogalmakat, összefüggéseket, hatásaikat a társadalomtudósok jelenleg is kutatják.
Tehát, az információbiztonsági vezetők számára még nem áll rendelkezésre egy jól tematizált, gyakorlati tapasztalatokon alapuló szabálygyűjtemény (intézkedési javaslatokkal).
De! A kutatott kérdések hatásait már érzik.
Pl.:
- 2006. november 4-én az európai villamosenergia-rendszerben súlyos zavar (lásd jegyzet 11) (Figyelem! ez csak technikai probléma volt, a rosszindulat itt még nem játszott szerepet.)
vagy
- zsarolóvírus támadás ért több szervezetet.
vagy
- hackerek árulják az ügyféladatbázist.
vagy
- az oroszok manipulálhatták az amerikai választást (esetleg a kínaiak).
Következtetés 1:
- A károk (főleg össztársadalmi szinten) nagyságrendekkel nagyobbak lehetnek, mint a „megszokott” incidenseink által okozott károk.
- Szükséges figyelemmel kísérni a kutatások eredményeit.
- Szükséges a „világ történéseit” információbiztonsági szemszögből vizsgálni (lehet-e ránk hatással?)
- A helyileg bevezethető intézkedéseket azonnal meg kell hozni (ez jelenleg nagyrészt az oktatásban kimerül – nagyon leegyszerűsítve: a szervezetem tagjainak tudomására hozom, hogy pl. a zsaroló vírust tartalmazó leveleket ne nyissák meg).
- Ösztönözni kell (pl. szakmai fórumokon keresztül) az illetékeseket (hatóság, államvezetés) a hatékony reagáló szervezetek és eljárások létrehozására, működtetésére.
Egy lehetséges séma szerint:
- Legyen kit riasztani (központ, szerv, bizottság), ami statisztikai elemzések alapján megállapítja a kockázat nagyságát és elsődleges védelmi intézkedéseket rendel el, vagy ajánl.
- Ennek a szervnek legyen illetékessége a kockázat elhárítása érdekében egyéb szervek segítségét kérni, tevékenységüket koordinálni (rendőrség, titkosszolgálatok, hatóságok, szakmai szervezetek, nemzetközi együttműködésben hasonló szervek, stb.)
Leegyszerűsített példa: a zsaroló vírust útjára bocsátó jópofa ukrán diákot már aznap délután kérdezze meg egy ukrán rendőr, hogy komolyan gondolta-e.
- Alakítson ki olyan védelmi rendszert amely a hasonló támadások lehetőségét minimalizálja (ezek a másodlagos védelmi intézkedések – amelyek egyébként a bejelentő szervezet bárminemű védelmi lehetőségeit meghaladnák)
- Végül egy „tanács”: az információbiztonsági vezető olvasson fantasztikus irodalmat. (lásd jegyzet 12)
A társadalomtudósukhoz képest az írók szabadabban elengedhetik a fantáziájukat az információbiztonság témakörébe eső problémákról. Viszont tagadhatatlan, hogy a jegyzetben említett írónak elég nagy számban beigazolódtak a 2012-es felvetései?!
Összegzés
Az információbiztonsági szabvány követelménye az alkalmazhatósági nyilatkozat elkészítése (a szabvány „A” melléklete szerint).
Ebben lesznek kérdések, amik a szervezetemben nem értelmezhetőek (kizárom) és lesznek kérdések, amelyekkel kiegészítem (speciálisan a szervezetemre vonatkozó, az információbiztonságot befolyásoló kérdések – a mi esetünkben a katasztrófák releváns kategóriáira hozott intézkedések). (lásd jegyzet 13)
Az információbiztonsági rendszer helyes, hatékony működtetéséhez ezek szerint már a kockázatértékelésbe is be kell vonni a katasztrófák kategóriáit.
Az első négy gyakorlati terület csoportjai, kategóriái statikusak, illetve a szervezetben vagy a „közel környezetében” van hozzá szakember, aki segít az intézkedések – szakszerű - kidolgozásában (közel környezet: pl. a kiszervezett őrzés-védelem, vagy a kiszervezett informatika).
A katasztrófáknál (az ötödik terület) csak a csoportok, kategóriák felállításában tudunk segíteni, meghagyva, hogy a tartalmuk, jellemzőik nagyon gyorsan változhatnak (főleg a társadalmi katasztrófák területe). Továbbá a szervezetben (közelében) nincs szakember, akiknek a segítségére támaszkodhatunk (máshol van, csak nem a szervezetben – a már említett meteorológus, politológus, stb.), illetve itt a „józan ész faktor” szerepe jelentős (az információbiztonsági vezetőnek önállóan kell eldöntenie, hogy jelent-e – valamilyen információbiztonságot érintő kérdés - kockázatot és milyen súllyal).
Jegyzet
(1)
Az oktatásban való megjelenése:
2006 EOQ ISMS Manager tanfolyam
2008 MSZT Információbiztonsági menedzser (képzés) 2. modul
(2)
Az információbiztonság gyakorlati területei:
- terület-, objektumvédelem,
- személyvédelem (rendszerben a személy védelme, vagy a rendszer védelme személyektől),
- hagyományos „alapú” adatok, módszerek, eszközök védelme (pl. papíralapú, film, rajz, stb.),
- informatikai védelem,
- katasztrófák elleni védelem (elemi károk, természeti csapások, társadalmi katasztrófák elleni védelem).
(3)
pl.:
terület-, objektumvédelem: őrző-, védő (cég); biztonságtechnika; gondnok, stb.
személyvédelem: személyügy (HR), testőr
hagyományos „alapú”: ügyiratkezelés
informatikai védelem: informatikus, rendszergazda
(4)
Leszámítva a tűzvédelem és munkavédelem „részeket”.
(5)
Tévedés ne essék! A politológus nem azt fogja megmondani, hogy a következő választásokon ki fog biztosan nyerni, hanem milyen tendenciák érvényesülnek, az üzleti (információbiztonsági) tervezésemkor milyen környezettel, külső behatásokkal kell számolnom.
Az „-ológusok” közül (a bekövetkezés szakmai előrejelezhetősége szerint) a meteorológus van a legjobb helyzetben, de ő sem jelenti ki kategorikusan, hogy pl. „esni fog az eső”. Viszont, a prognózisára majd én eldöntöm, hogy pl. termény szállításnál felvállalom-e a nyitott szállítóeszköz kockázatát.
Más kérdés, hogy az „-ológusok” tudományai is fejlődnek és egyre pontosabbak a prognózisaik.
(6)
Atom, biológiai, vegyi.
(7)
A terror klasszikus értelmezésében: nyílt erőszak alkalmazása rémület, rettegés kiváltása céljából.
Mára bővült az értelmezése, mert lokális erőszakkal is lehet nagy terjedelmű rettegést kiváltani:
pl.
- 1-2 – meghatározó kapacitású – erőmű rombolása (lokális erőszak) – áramkimaradások - megrendíti az ország vezetésében a bizalmat.
- Internet gerincvezeték (tudatos) elvágása fennakadásokat okoz az üzleti adatforgalomban.
- A hálózatosodás következményeként:
- adatok megmásítása (pl. választási rendszer manipulációja),
- informatikai rendszerek manipulálása (hacker támadások),
- manipulált információk közvetítése (232 millió bevándorló közeleg),
- stb.
(Amennyiben kielégítik a nyílt erőszak és a rettegés kiváltása feltételeket.)
(8)
Tulajdonképpen ez a napi politika – aminek nem szabadna, hogy hatása legyen egy szervezet életére és információbiztonságára de…
Hogyan érintené, ha:
1., A NAV lefoglalná az összes számítógépét és dokumentációját?
2., Törvény kötelezné, hogy az eddig védeni gondolt összes információját adja át a konkurenciának? (Welt 2000 – 2014)
3., A szakhatóságokon kívül (ill. a szükséges mértéken túl) minden hatóság; terrorelhárításra, vagy nemzetbiztonságra hivatkozó szervezet az üzleti titkaihoz és minden adatához korlátlanul hozzájut – esetleg bírói jóváhagyás nélkül is?
(9)
A „molesztáló” szót használom, amibe beleérthető a szexuális zaklatás és az „erős-gyenge” viszony is.
Erős-gyenge: Az erősebb hatalmat gyakorol a gyenge felett. Az erő lehet vélt vagy valós is, de a cél, hogy valakin uralkodni lehessen.
- autokratikus vezetési stílus,
- az idősebb (tapasztaltabb) túlzottan érezteti „fölényét” a fiatalabbal szemben,
- a szervezetben elfoglalható jobb (presztízs) pozícióért kigúnyolnak másokat.
(Egyébként az autokratikus, hatalmaskodó vezetési stílus sem erősíti az információbiztonságot – miért várom el a „jobbágyként” kezelt beosztottól a lojalitást?)
(10)
Marosán György: A Murphy- és a Moore-törvény között; Népszava 2017. aug 26.
„Az idők múlásával – épp az ember által mozgásba hozott erők hatására - a világ egyre bonyolultabb lett.”
„A 21. századba átlépve - a minden ember és minden eszköz között szoros kapcsolatot létesítő internet létrejöttével – azonban még a hagyományos rendszerdinamika is megbicsaklott. A világ leírására - a gépezet, az organizmus, majd a rendszer-metafora után – ökoszisztéma hasonlat vált elfogadottá. Az ökoszisztéma - eredetileg - az élőlények és az élettelen természet valamennyi apró részletét összefűző, minden viszonyát átszövő, elszakíthatatlan kapcsolatok rendszerét fejezte ki. Világunk ökoszisztémaként való jellemzése arra utal: minden elemi rész szorosan összefügg az áttekinthetetlen bonyolultságú rendszer távoli elemeivel, és viselkedését olyan funkciók is befolyásolják, amelyektől addig nem függött. Ennek hatására a mind bonyolultabbá váló rendszerek optimális állapotát fenntartani rendeltetett eszközök és mechanizmusok szabályozóképessége rendre elmaradt a válságok mértékétől. Ez pedig a zavarok növekedésére, végül pedig rendszerválságok kirobbanására vezetett.”
„Napjaink problémáit tehát - bár keletkezésükben közrejátszik a rosszindulat és az ostobaság is - az áttekinthetetlen komplexitású rendszer maga kelti. Így, még jószándék esetén is nehezen kezelhető krízisek keletkezhetnek.”
teljes cikk: http://nepszava.hu/cikk/1138642-marosan-gyorgy-a-murphy--es-a-moore-torveny-kozott
(11)
Hadmérnök III. Évfolyam 3. szám - 2008. szeptember
Körmendi Krisztina, Solymosi József:
AZ EURÓPAI ÖSSZEKAPCSOLT VILLAMOSENERGIA-RENDSZER 2006. NOVEMBER 4-I ÜZEMZAVARÁNAK ÁTTEKINTŐ ÉRTÉKELÉSE
„2006. november 4-én éjszaka az európai UCTE villamosenergia-rendszeren súlyos zavar lépett fel. A zavar az észak-német átviteli hálózatban keletkezett, ahol egy 318 kV-os távvezeték túlterhelődés következtében kikapcsolódott, ami további vezetékek kaszkádbomlását indította el, az UCTE rendszer három részre szakadt.”
„ az üzemzavar következtében több mint 15 millió európai háztartás villamosenergia-ellátása szűnt meg időlegesen, a zavarok a legtöbb európai országot érintették. Az érintett rendszerirányítók azonnali intézkedéseinek köszönhetően azonban a zavar nem nőhetett európai méretű áramszünetté, a normál rendszerüzemet kevesebb, mint két óra alatt helyreállították valamennyi érintett területen.”
teljes cikk: http://hadmernok.hu/archivum/2008/3/2008_3_kormendi.pdf
(12)
Marc Elsberg: Blackout (Holnap már túl késő)
Blanvalet Verlag, 2012
Animus Kiadó, 2016
„Februári fagyok söpörnek végig Európán, amikor a kontinens szinte teljes elektromos hálózata összeomlik. A következmények katasztrofálisak. A sötétbe borult utakon egymást követik a karambolok, leáll a fűtés, a vízszolgáltatás, a mobilok feltölthetetlenek, az internet elérhetetlen. Piero Manzano, az olasz informatikus hackertámadást vél felfedezni a háttérben, de gyanúja a hatóságoknál süket fülekre talál. Az Europol terrorelhárító szakértője, François Bollard végül meghallgatja, ám ekkor olyan e-maileket fedeznek fel Manzano laptopján, amelyek rá terelik a gyanút. A támadók agyafúrtak és kíméletlenek. Európában atomkatasztrófák fenyegetnek, az emberek elegendő élelem, víz, üzemanyag és orvosi ellátás nélkül vegetálnak sötét, fűtetlen lakásaikban. A túlélésért folytatott küzdelem hamarosan oda vezet, hogy a rend már csak a katonaság bevetésével tartható fenn…
Napjaink egyik legnagyobb német regénysikere olyan kérdéseket vet fel, melyekre az emberiségnek mielőbb választ kell találnia. Mert holnap talán már túl késő lesz…”
(13)
Alkalmazhatósági nyilatkozat az „A” melléklet szerint.
Ez egy logikai hiba a szabványban (lehet, hogy fordítási hiba?).
Az alkalmazhatósági nyilatkozattal bizonyítom magam előtt és a külső szemlélő előtt, hogy minden, a szervezetemet érintő információbiztonsági kérdéssel foglalkoztam és hoztam rá intézkedést.
Tehát, logikus lenne, hogy az „A” mellékletet példának tekintem. A példa irreleváns kérdéseit egyszerűen elhagyom, a speciálisan a szervezetre vonatkozó kérdésekkel pedig kiegészítem.
Helyette, jelenleg – a szabvány szövege szerint - az „A” melléklet kérdéseit vizsgálni kell és az irrelevánsak kizárhatóak, illetve újak vehetők fel.
- a szervezetek nagy része mechanikusan kitölti az „A” mellékletet.
- nem szeretünk kizárni, ezért – az egyébként irreleváns kérdésekben – az indoklások, intézkedések semmitmondóak lesznek.
- nem szeretünk kiegészíteni, mert azok a kérdések nincsenek benne a „hivatalos” mellékletben.
Tehát, az alkalmazhatósági nyilatkozatot, mint a rendszer egy fontos funkcionális elemét nagyrészt elveszítettük.
(Egyébként, képzeljünk el egy olyan szervezetet, ahol nincs számítógép – azaz az informatika területe teljesen hiányzik. Ilyenkor a mostani „A” melléklet szerinti alkalmazhatósági nyilatkozatban a kérdések „felét” ki kell zárni (indoklással) és „még egyszer annyi” valós kérdéssel kéne kiegészíteni.)
2017.09.
Oláh Tamás 2019.04.
A szakértelem
(illetve, annak hiánya – mint társadalmi jelenség, amivel az üzleti életben számolnom kell)
Mi határozza meg az elképzelésünket a szakértelemről?
- a képzettség (egyénhez köthető),
- a tapasztalat (egyénhez köthető),
- a társadalmi elvárások (kultúra, üzleti igények, megszokások, stb.).
Egy érzékeltető hasonlattal mondhatjuk, hogy az elvárásunk: a szakértelem legyen „egy arasz”.
(Arasz: régi, nem egzakt mértékegység. A kinyújtott tenyér hüvelykujjának és kisujjának távolsága – 20-22 cm.)
Jelenlegi társadalmi tendenciák.
- Politikai nézetek alapján,
- rokoni/ismerősi kapcsolatok alapján,
- rosszul értelmezett bizalmi viszony alapján (tudom, hogy alkalmatlan, de bízom benne),
kicserélődnek a személyek a meghatározó pozíciókban (ahol idáig „egy arasz” – volt – az elvárásom).
Hogy világos legyen: nem szakmai ismeretek alapján.
Hol találhatók ezek a meghatározó pozíciók?
- Tudományos és társadalmi szervezetek. Ezek – normál esetben - a hatalomtól független, elmélet és követelmény alkotó szervezetek.
- Minisztériumok. Az elmélet alapján gyakorlati koncepció alkotó (ide értve a törvényeket is) és vezető szervek.
- Hatóságok. A végrehajtást ellenőrző szervek.
- Iskolák. A szakmai elmélettől (egyetemek) a gyakorlati végrehajtásig ismeretek átadása a „következő generációnak” – beleértve a társadalmi elvárásokat is.
Hogyan változik a szakmaiság szintje jelenleg?
A tendenciákból következik a szakértelem igényszintjének a csökkenése, kihatással az egyén képzettségére és (később) tapasztalatára.
Azaz (társadalmilag) rövid idő múlva a szakértelem: „egy hüvelyk” lesz és ez lesz a szakértelem normális/elfogadott (új) szintje.
(Hüvelyk: régi, nem egzakt mértékegység. Az emberi hüvelykujj hosszából ered – 2.0-3.1 cm. Ma is gyakran használt fajtája a német zoll (col) vagy az angol inch (incs), ami 2.54 cm.)
Mi a változás gyorsasága (a társadalmilag rövid idő)?
Az az időtartam ami alatt az „öregek” (akiknek egy arasz…) kikerülnek a rendszerből.
- kihalnak,
- nyugdíjba mennek,
- őket cserélték le,
- nem hajlandó felvállalni az igénytelenséget (más munkát választ, kikerül a pozícióból),
- a helyén (pozícióban) marad, de nem hajlandó felvállalni a konfliktusokat.
Itt is érvényesül – a társadalomtudományokban – ismert jelenség:
- folyamatot leépíteni azonnal (vagy éveken belül) lehetséges (olcsón),
- folyamatot felépíteni évtizedekbe kerül (drágán).
Mit kezdhet a kérdéssel (problémával) egy üzleti alapokon működő szervezet menedzsmentje?
1., Figyelembe veszi – kiértékeli - a stratégiai (és napi praktikus) döntéseiben:
- Van-e a szakmaterületén elfogadható, üzletileg (nyereségesen, hatékonyan) működtethető koncepció?
- A törvényi szabályozás megfelelő-e? (Alul-, túlszabályozott; szakmai követelményeknek, társadalmi elvárásoknak nem felel meg; hatóság bizonytalan vagy nem következetes.)
- Talál-e a működéséhez megfelelő munkaerőt?
2., Szakmai (esetleg társadalmi) szervezetekben lobbi tevékenységet folytat a káros tendenciák megváltoztatására. (Más kérdés, hogy nálunk a lobbizás eszköztárában – ha egyáltalán felmerül a lobbizás kérdése - inkább csak a korrupció közeli elemek az ismertek, használatosak.)
3., Belső képzésekkel (iskolák dotálásával) szinten tartja dolgozói szakmai ismereteit – ez csak átmenetileg lehetséges!
Az időtényező.
A generációváltással (tehát az „őregek” eltűnésével és az iskolákból frissen kikerülők pozícióba kerülésével) mindenki Hüvelyk Matyi lesz.
(Menedzser, koncepció/szabály alkotó, ellenőrző, végrehajtó, stb. – egyiknek sem lesz emléke, hogy „régen” magasabb volt a tudás szintje, a követelmény, a szakértelem.)
De, addig…
Látszik, hogy mindenképpen extra erő és anyagi ráfordításokkal járnak a megoldások.
Amit nem tehet meg a piaci alapon működő szervezet, hogy betagozódik a Hüvelyk Matyik táborába. A piaci mutatóik (bevétel, hatékonyság, stb.) rövidesen jeleznek.
Utolsó frissítés: 2023-11-06 19:35:29
Copyright © 2018 EUROCERT Kft. | NAH által akkreditált tanúsító!
