Szabványok, ajánlások

„A szabvány elismert szervezet által alkotott vagy jóváhagyott, közmegegyezéssel elfogadott olyan műszaki (technikai) dokumentum, amely tevékenységre vagy azok eredményére vonatkozik, és olyan általános és ismételten alkalmazható szabályokat, útmutatókat vagy jellemzőket tartalmaz, amelyek alkalmazásával a rendező hatás az adott feltételek között a legkedvezőbb.”

Forrás: [60] 4. § (1) Az ajánlások már egy kidolgozott, szakmai közösségek által elfogadott és jóváhagyott folyamatosan átdolgozott keretrendszert biztosítanak. Az ajánlásokra mint egy vázra ráültetve szabályrendszert hozhatunk létre, mely a saját szervezetünkre alkalmazható.

A szabvány nem minden esetben egy kötelezően betartandó utasítás. Betartása azonban erősen ajánlott, mert egyrészt a törvényben említett szakmai közösségek által kidolgozott dokumentum, így megbízhatunk benne, hogy a legmagasabb szintű tudással találkozhatunk, amivel saját szervezetünk nem minden esetben rendelkezik. Másrészről az együttműködés, beszerzések majdnem csak kizárólag így lehetségesek, mert a különböző szervezetek így egy „nyelvet” beszélnek. Harmadrészt pedig a rendszerek közötti átjárhatóság, kompatibilitás, átadási felület így biztosítható. A hátránya talán az, hogy rá vagyunk kényszerítve a globalizáció miatt is, hogy a nagyhatalmak által preferált szabványokat használjuk, amik nem minden esetben szolgálják a nemzeti érdekeket is.

Az alábbi szinteket különböztethetjük meg:

 nemzetközi szabványok

o Nemzetközi Szabványügyi Szervezet (International Organization for Standardization, ISO);

o Nemzetközi Elektrotechnikai Bizottság (International Electrotechnical Commission, IEC);

o Nemzetközi Távközlési Unió (International Telecommunication Union, ITU)

 regionális szabványok

o Európai Szabványügyi Bizottság (Comité Européen de Normalisation, CEN);

o Európai Elektrotechnikai Szabványügyi Bizottság (Comité Européen de Normalisation Electrotechnique, CENELEC);

o Európai Távközlési Szabványügyi Intézet (European Telecommunications Standards Institute, ETSI);

 nemzeti szabványok⁷¹

o Magyar Szabványügyi Testület (MSZT);

 vállalati szabványok. [52]

Míg a szabványok használatát előírhatják nemzeti, vagy akár nemzetközi szinten is az ajánlás már nem kötelező jellegű, inkább a legjobb gyakorlatot jelenti. Az ajánlásokat lehet vegyesen alkalmazni, amellyel kialakíthatjuk a szervezetünk leghatékonyabb szabályozását.

Mint a jogszabályokat, a szabványokat és az ajánlatokat is folyamatosan nyomon kell követni, azok elavulhatnak, megjelenhetnek újabbak, vagy a frissítéseket kell alkalmazni.

Néhány informatikával foglalkozó szabvány, követelmény:

 ISO/IEC 14764-es⁷² szabványa foglalja össze a szoftvertervezés és – üzemeltetés stratégiáit. [61]

 ISO/IEC/IEEE 29119 szoftverek tesztelésére létrehozott szabvány. [62]

 ISO/IEC 330xx:2015 ⁷³ Átfogó információt nyújt a vállalatok folyamatainak méréséről, értékeléséről, minősítéséről és a

71 A magyar szabványok megtalálhatóak a http://www.mszt.hu/ oldalon.

folyamatértékelés eredményeinek alkalmazásával segíti a folyamatmenedzsment munkáját. [63] [64] [65] [66] [67]

 IT4IT az Open Group által 2014-ben bevezetett szabvány, egy újfajta megközelítéssel kíván támpontot adni az IT vezetők számára, új szolgáltatások bevezetése és integrálása során. Az új szabvány csak akkor lehet sikeres, ha nem vezet be a korábbinál összetettebb, bonyolultabb eljárásrendeket. [68]

 COBIT⁷⁴ ISACA⁷⁵ által kidolgozott informatikai irányítási módszertan.

„Átfogó, nemzetközileg elfogadott keretrendszer a vállalati információ és technológia (IT) irányítására és vezetésére, amely segíti a vállalat

 Közigazgatási Informatikai Bizottság ajánlásai.

 ITIL⁷⁶ A legfrissebb, 2011-ben bevezetett harmadik kiadásában jelent meg. Az IT szolgáltatásmenedzsment bevált gyakorlatait (best practices) összefoglaló ajánlásgyűjtemény, ami az IT üzemeltetéshez szükséges.

Tehát nem szabvány, hanem a legjobb gyakorlatot mutatja be, amelyet az elméleti kidolgozást követően a tapasztalatokra építve rendeztek strukturált dokumentumba. A már kidolgozott ajánlásokat könnyebb alkalmazni a vállalatoknál és jobb az átjárhatóság a szintén hasonló ajánlásokkal dolgozók között. Az IT szolgáltatások nyújtása során szerzett tapasztalatokat összegző kiadványok öt alappillérre épülnek, amelyek a következők:

73 Első rész, amely leírja a terminológiákat és a szabványcsaládot: ISO/IEC 33001:2015 ISO/IEC 33001:2015.

74 COBIT (Control Objectives for Information and Related Technology) Vállalati információtechnológia irányításának és menedzsmentjének átfogó üzleti és vezetési keretrendszere.

75 ISACA (Information Systems Audit and Control Association) Információs rendszerek (technológiák) auditálásával kontrollálásával foglalkozó társaság.

76 ITIL (Information Technology Infrastructure Library) Informatikai rendszerek üzemeltetésére és fejlesztésére szolgáló módszertan, legjobb gyakorlat.

o szolgáltatásstratégia (Service Strategy);

o szolgáltatástervezés (Service Design);

o szolgáltatás átadás (Service Transition);

o szolgáltatás üzemeltetés (Service Operation);

o állandó szolgáltatásfejlesztés (Continual Service Improvement).

[20] [70] [71]

 MSZ ISO/IEC 20000-1 Informatika. Szolgáltatásirányítás. 1. rész:⁷⁷ A szabvány alapja az ITIL.

„Az irányítási rendszer követelményeivel, a szolgáltatásirányítás tervezésével és végrehajtásával, (beleértve a változtatásokat is) a rendszerek kapacitásával, a változtatások alkalmával szükséges szolgáltatási szintekkel, a pénzügyi költségtervezéssel, az információvédelem irányításával, az üzleti kapcsolatok és a szállítók kezelésével, a váratlan események és a problémák kezelésével, továbbá a szoftverek kezelésével és elosztásával foglalkozik.”

Forrás: [72]

 Az ISO/IEC 27000-s szabványcsalád. [73]

Az Informatika. Biztonságtechnika. Információbiztonság-irányítási rendszerek követelményeit írja le.

o MSZ ISO/IEC 27001 Az információbiztonság irányítási rendszerei. Követelmények. [74]

o MSZ ISO/IEC 27002 Informatika. Biztonságtechnika. Az információbiztonság irányítási gyakorlatának kézikönyve. [75]

 ISO/IEC27005 Információbiztonsági kockázatmenedzsment. [76]

Az EU és NATO előírásokat a szövetséges tagságunkból adódóan jellemzően adaptálni kell a magyar jogrendszerbe. A NATO szabványok azonban elsősorban a szervezetben alkalmazandó szabályokat írja le az üzemeltetéssel kapcsolatban. Az informatikai biztonsági dokumentációk terjednek ki jellemzően nemzetekre. Persze az üzemeltetés és informatikai biztonság közt itt is vannak átfedések. [77] [78] [79] [80]

Az EU, NATO szabványok mellett a német nemzeti, brit nemzeti és katonai szabványokat tanulmányoztam részletesen. A létrehozandó nemzeti kritikus információs infrastruktúra üzemeltetéséről szóló törvény és szabályok kidolgozásakor javaslom a brit és a német szabványrendszer bedolgozását vagy

ezek (pl. AJP-3.10, AJP-6 stb.) honosítását követően a betartásukat kötelezővé kell tenni. Ezek részletes iránymutatást adnak az adatközpontok kiépítésével és üzemeltetésével kapcsolatban. A brit hadsereg az újonnan kiépítendő rendszerek vonatkozásában kötelezően előírja a szabványok betartását. A 2. számú mellékletben megtalálható szabványok szinte minden részletre kitérnek, mint például rack szekrények paraméterei, berendezések rögzítése, hálózat kiépítése, külső vezetékek elhelyezése, kommunikációs infrastruktúra kiépítése és elhelyezése, kábelek kritériumai és elhelyezése, elszigetelések fizikailag, elektronikusan, logikailag és elektronikus kisugárzás tekintetében, légtechnika, hűtéstechnika, földelés, tápellátás, vészhelyzeti kikapcsolás, szigetelések, részletes leírás szerverszoba kiépítés beleértve a hőmérséklet, világítás stb., tűzoltó és jelző berendezések, tűz elleni védelem (pl. tűzálló elemek), TEMPEST, kockázatkezelés, konfiguráció kezelés, szolgáltatási szintek, adatközpont osztályozása, jelentési rendszer, BASELINE létesítése, változáskövetés, információ biztonság stb. [77] [81] [82] [83]

A nemzeti szabványosításról szóló 1995. évi XXVIII. törvény szerint a szabványok alkalmazása önkéntes alapon történik. Ezért is tartom fontosnak, hogy az üzemeltetéssel kapcsolatban a jogszabályozás megtörténjen. A fenti technikai részleteken kívül a szabályozásnak ki kell térni a szervezeti felépítésre és munkafolyamatokra, amelyet a 3.3 fejezetben részletesen tárgyalok.