Az információbiztonság és az informatikai biztonság meghatározása

Disszertációmban az „információbiztonság” szóösszetétel igen sokszor szerepel. Az információbiztonság tartalmazza az információ minden megjelenési formáját, az információs szolgáltatásokat és az ezeket biztosító információs rendszerek védelmét. A mindennapi életben azonban igen gyakran azonosítják az információbiztonságot az informatikai biztonsággal.

„Az információbiztonság a biztonságtudomány részterülete, amely „az információ bizalmasságának, sértetlenségének és rendelkezésre állásának megőrzése; továbbá, egyéb

14 Magyar Villamos Művek

17

tulajdonságok, mint a hitelesség, a számon kérhetőség, a letagadhatatlanság és a megbízhatóság szintén ide tartozhatnak.” [10]

Az információbiztonság és az informatikai biztonság közötti különbséget a következő ábra szemlélteti:

2. sz. ábra: A biztonság különböző szintjei – saját szerkesztés

Az információ védelmének területe kihat egy szervezet minden erőforrásának, az embereknek, az eszközöknek, az információs rendszereknek, és más vagyontárgyaknak a szabályozására, használatára, és egyben annak az ellenőrzését is jelenti.

Az informatikai biztonság pedig az elektronikus információs rendszer olyan állapota, amelyben annak védelme az elektronikus információs rendszerben kezelt adatok bizalmassága,¹⁵ sértetlensége¹⁶ és rendelkezésre állása,¹⁷ valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. [11 Ezt az összetett védelmet CIA elvnek¹⁸ nevezzük.

„Az informatikai biztonság alapvetően függ az információs rendszerek elemeiből integrált komplex rendszerek biztonsági megfelelőségétől, és az információs rendszereket működtető szervezet folyamatainak érettségétől, a szakemberek, és az irányítást végzők szakképzettségétől, és a belső kontroll rendszer minőségétől. Az információbiztonságot a tágabb és szűkebb környezetre szabva kell kialakítani, megvalósítani, működtetni és fejleszteni.” [12]

15 Confidentiality

16 Integrity

17 Availability

18 Confidentiality, Integrity és Availability együttes megvalósulása

18

Napjainkban folyamatos a verseny a hackerek és a biztonságot védő szervezetek, csoportok, személyek között. A támadó sokszor egy lépéssel előbbre jár, ugyanis neki van ideje felkészülni, míg az áldozatot váratlanul éri a hacker támadás.

Az informatikai biztonság megteremtésére való törekvés terén a leghatékonyabb fegyver a tudás, vagyis tudni azt, hogy milyen veszélyek leselkednek ránk a világhálón, tudni azt, vajon hogyan előzhetjük meg az információs rendszerünk elleni támadást. Fontos tisztában lenni azzal is, hogy mit tehetünk az ellen, hogy károsultak legyünk, és mit kell tennünk, ha mégis bekövetkezik egy incidens.

Sajnos az elmúlt másfél évtizedben egyre nőtt az informatika és a világháló veszélyeinek mennyisége és összetettsége, valamint nőtt az általuk okozott kár mértéke. Ezért fontos fokozott figyelmet fordítani a károk megelőzésére.

Az informatikai biztonságot meghatározó összetevők jelentésének lényege a következő:

A bizalmasság azt jelenti, hogy csak az arra jogosultak ismerhetik meg az információt.

Az informatikai rendszer sértetlensége akkor valósul meg, ha az információ tartalma és formája az elvárttal megegyezik, megfelelő forrásból származik, hiteles, igazolható, hogy megtörtént, vagyis letagadhatatlan, valamint egyértelműen azonosítható, elszámoltatható az a személy, aki az információval kapcsolatos műveleteket végzi.

Rendelkezésre állás alatt azt a tényleges állapotot értjük, amikor egy informatikai rendszer szolgáltatásai az arra jogosultak számára rendelkezésre állnak, és a rendszer működőképessége sem átmenetileg, sem pedig tartósan nincs akadályozva.

A rendszer zártságáról akkor beszélhetünk, ha a védelem az összes releváns veszélyt, fenyegetést figyelembe veszi.

A teljes körűség a rendszer minden elemére kiterjedő védelmet biztosítja.

A folytonosság azt jelenti, hogy időben folyamatosan megvalósul a védelem.

A kockázatokkal arányos védelem akkor valósul meg, ha a rendszer várható működésének időtartamában a védelem költsége arányban van a lehetséges kárral, vagyis a kockázatmenedzsmentet úgy kell kialakítani, hogy a bekövetkezendő kár mértéke és a védekezésre költött befektetés egyenesen arányos legyen.

Ehhez ad segítséget a COBIT¹⁹ 5-ös verziója, [13] amely több mint 15 év fejlesztési tapasztalataira épít. Kialakításának egyik legfontosabb célja az volt, hogy az üzleti és az informatikai oldalt közelebb hozzák egymáshoz a hatékonyabb együttműködés érdekében.

Többek között olyan fontos kérdésekre keresi a választ, hogy milyen hasznot eredményez az

19 Controll Objectives for Information and Related Technology

19

információ és a technológia használata a vállalatoknál. A COBIT 5 támogatja a vállalatokat az IT optimális értékének előállításában a hasznok realizálásán, a kockázatok kézbentartásán és az erőforrások megfelelő használatán keresztül.

A COBIT 5 olyan átfogó keretrendszert biztosít, amely támogatja a vállalatokat céljaik elérésében, valamint értéket közvetít az IT eredményes irányításán és menedzsmentjén keresztül.

Lehetővé teszi az IT irányítását és menedzsmentjét a teljes vállalatra vonatkozóan.

A COBIT 5 keretrendszer 5 irányelvre épül:

 Az érintettek igényeinek kielégítése.

 Integrált keretrendszert biztosítása.

 A teljes vállalatot lefedő end – to end megoldások adása.

 Irányítás és menedzsment folyamat elkülönítése.

 Holisztikus²⁰ szemlélet követése.

A COBIT 5 holisztikus szemlélete alapján hét nagyobb kategóriát ad meg azokra a tényezőkre, amelyek a vállalati informatika irányításában és menedzsmentjében meghatározóak.

Ezek a kategóriák:

 a folyamatok;

 a szervezeti struktúra;

 a vállalati kultúra, etika és magatartás;

 az irányelvek, szabályzatok, keretrendszerek;

 az információ;

 a szolgáltatások, infrastruktúra és alkalmazások;

 a humán erőforrás, kompetenciák és a szakértelem.