Az Információbiztonsági minősítés szempontjai

2009.09.11
2009.09.11
Az elektronikus kereskedelmi szolgáltató információbiztonsági minősítése az alábbi hat területre terjed ki:

1.
Szervezetbiztonság, felelősség.
2.
A digitális adatvagyon osztályozása.
3.
Számítógépes alkalmazások biztonságára vonatkozó előírások.
4.
Fizikai- és környezetbiztonság.
5.
Védekezés rosszindulatú szoftverek ellen.
6.
Üzletmenet-folytonoság tervezése.



A minősítés követelményrendszere az alábbi hazai- és nemzetközi szabványokra és ajánlásokra támaszkodik:


COBIT 4.1.
Az Információtechnológia irányításához, kontrolljához és ellenőrzéséhez.
MSZ ISO/IEC 27001:2006
Az Információbiztonság irányítási rendszerei. Követelmények.
Informatikai rendszerek biztonsági követelményei.
ISO/IEC 20000:2008
IT Szolgáltatásmenedzsment.
(ITILv3)

Követelmények:


1.Szervezetbiztonság, felelősség.

A Szervezeti és Működési Szabályzatok tekintetében követelmény, hogy a szervezeten belül a feladatkörök, a felelősség és kompetencia összhangjukat megtartva az egyes szervezeti egységek, illetve személyek között jól elkülönüljenek, biztosítva ezzel a szervezet céljainak hatékony elérését, a felesleges "keresztbeszervezések" csökkentését és nem utolsó sorban a felelősségre vonhatóságot.

2.A digitális adatvagyon osztályozása.

Minden fontosabb digitális adatvagyontárgyat számba kell venni.
Minden digitális adatvagyontárgynak legyen azonosított tulajdonosa, aki meghatározza azokat az adatkezelőket (személyeket és posztokat), akik az adatvagyontárgyat kezelik, feldogozzák.
Az informatikai rendszerek biztonsági osztályainak meghatározása előtt a kézikönyvben szereplő kártípusokat bizonyos mértékben összevonva, azok közül a nem relevánsakat kihagyva, vagy azokat célszerűen kibővítve kell figyelembe venni.

3.Számítógépes alkalmazások biztonságára vonatkozó előírások.


A minősítéskor vizsgált területek:

Tranzakció-kezelés
Hozzáférés-menedzsment
Konfigurációmenedzsment
Változáskezelés
Incidensmenedzsment

A fenti területek irányításának a szervezet nagyságával arányosan kell megvalósulnia.

4.Fizikai- és környezetbiztonság.

Biztosítani kell, hogy az üzleti adatfeldolgozó eszközök biztonságos körletekben legyenek elhelyezve.
Ahol célszerű, ott meghatározott biztonsági zónákat kell kialakítani, melyeket a megfelelő biztonsági akadályokkal (portaszolgálat, éjjeli őr, riasztó stb.) kell védeni.

5.Védekezés rosszindulatú szoftverek ellen.


A vizsgálat elsősorban az elektronikus vírus és határvédelmi rendszer hatékonyságára terjed ki.

6.Üzletmenet-folytonoság tervezése.

Még a legkifinomultabb biztonsági intézkedésekkel sem zárható ki teljesen egy szervezet informatikai szolgáltatásainak kiesése. A szervezetnek képesnek kell lennie az IT szolgáltatások folytonosságának biztosítására, s helyreállítására egy katasztrófa bekövetkezte után, hogy a szervezeti alaptevékenységek folytatását, s a digitális adatvagyon reprodukálását garantálni lehessen.


normál szövegméret
nagy szövegméret