1.2.2008 | 15:54
Stjórnun upplýsingaöryggis - námskeið hjá Staðlaráði Íslands
Dagana 7. og 8. febrúar nk. verður haldið hjá Staðlaráði Íslands námskeið þar sem kynntir verða alþjóðastaðlarnir ÍST ISO/IEC 17799 Starfsvenjur fyrir stjórnun upplýsingaöryggis og ÍST ISO/IEC 27001 Stjórnkerfi upplýsingaöryggis - Kröfur. Námskeiðið er haldið að Laugavegi 178 og er hægt að skrá sig með því að smella hér. Fyrirlesari er Marinó G. Njálsson, sérfræðingur í stjórnun upplýsingaöryggis.
Mjög mörg fyrirtæki eru að íhuga innleiðingu þessara staðla eða standa frammi fyrir kröfum aðila á borð við Persónuvernd, Fjármálaeftirlit og Póst- og fjarskiptastofnunar um innleiðingu stjórnkerfa sem auka eiga öryggi upplýsinga. Nýlega hafa greiðslukortafyrirtækin bæst í þennan hóp, en þeir sem taka á móti greiðslukortum þurfa að uppfylla kröfur staðalsins PCI: Data Security Standard og er m.a. hægt að nota aðferðafræði ISO 27001 og ISO 17799 við það. Þó svo að fyrirtæki og stofnanir hafi ekki kröfur framangreindaraðila til að reka á eftir sér, þá er full ástæða fyrir alla sem safna, vinna með og varðveita upplýsingar að kynna sér innihald þessara staðla.
Tekið skal fram að upplýsingaöryggi og upplýsingatækniöryggi er ekki eitt og það sama. Upplýsingaöryggi er mun víðfeðmara hugtak og nær til upplýsinga á hvaða formi sem er, utan upplýsingakerfa sem innan. Námskeiðið, sem minnst er á að ofan, fjallar því nær ekkert um tækni og tæknilegar lausnir heldur fyrst og fremst um aðferðafræði og helling af heilbrigðri skynsemi.
Hér fyrir neðan er stutt kynning á stöðlunum:
ÞAÐ er oft sagt, að næst á eftir starfsfólki séu upplýsingar dýrmætasta eign hvers fyrirtækis eða stofnunar. Þau treysta mjög mikið á upplýsingar á hvaða formi sem þær eru. Skiptir þá ekki máli hvort upplýsingar eru á rafrænu formi, skráðar á pappír eða annan áþreifanlegan hátt eða búa í þekkingu fólks. Upplýsingakerfi veita, t.d., stjórnendum mikilvægar upplýsingar um reksturinn, þar sem þau varðveita bókhaldsgögn, sölutölur, rannsóknaniðurstöður, markaðsáætlanir og önnur trúnaðargögn, sem notuð eru við úrvinnslu, stefnumótun, markaðssetningu og almenna ákvörðunartöku.
Mikilvægi upplýsingakerfa fyrirtækja er það mikið, að kerfisbilanir hafa áhrif á starfsgetu fyrirtækjanna. Að missa út tölvukerfið er eitt alvarlegasta áfall sem getur hent. Rannsóknir í Bandaríkjunum sýna að æ fleiri fyrirtæki komast í þrot og hætta rekstri hafi þau orðið fyrir alvarlegu tjóni í tölvumiðstöðvum og ekki haft trygga neyðaráætlun. Á 8. áratugnum var þetta hlutskipti um 75% fyrirtækja, 10 árum síðar var þetta hlutfall komið í 82% og hefur síðan hækkað í 90 af hundraði. Því má segja að öryggi upplýsingakerfa sé orðinn einn mikilvægasti þátturinn í rekstraröryggi fyrirtækja. En öryggi upplýsinga snýst einnig um að koma í veg fyrir að mikilvæg pappírsgögn glatist í bruna og að mikilvæg sérþekking hætti að vera aðgengileg við það að starfsmaður hætti störfum eða lendi í slysi.
Allar upplýsingar, sem fela í sér verðmæti, þarf að vernda fyrir þeim ógnunum sem að þeim steðjar, hvort heldur þær stafa af umhverfinu (t.d. náttúruhamfarir), tækninni (t.d. rafmagnsbilun) eða mannfólkinu (t.d. starfsmönnum). Verndin felst stundum í því að losna við ógnunina, en oftast er það ekki hægt. Þá er gripið til þess að styrkja varnir upplýsingaeignanna til að draga úr áhættunni, færa áhættuna til (t.d. með því að kaupa tryggingar) eða maður einfaldlega viðurkennir að ekki borgar sig að verjast tiltekinni ógnun.
Staðlar um upplýsingaöryggi
Upplýsingavernd hefur verið umhugsunarefni fjölmargra aðila. Þannig var á 8. áratugnum unnin mikil vinna í Bandaríkjunum, en í lok þess níunda höfðu evrópsk samtök tölvunotenda frumkvæði að því að taka saman skjal með svo kölluðum bestu starfsreglum um stjórnun upplýsingaöryggis. Þetta skjal varð síðar að breska staðlinum BS 7799 og síðar að tveimur alþjóðlegum stöðlum ISO/IEC 27001 og ISO/IEC 17799 (sem mun breytast í 27002 á næstu misserum).
Staðlarnir urðu fljótlega mjög vinsæll, enda byggðir á áratuga reynslu þeirra sem hafa komið að öryggi upplýsinga og upplýsingakerfa. Er svo komið að víða er gerð krafa um að til staðar sé vottað stjórnkerfi samkvæmt þessum stöðlum til þess að tryggt sé að öryggi viðkvæmra fjármála- eða persónuupplýsinga sé eins og best verður kosið. Hér á landi hafa Persónuvernd, Fjármálaeftirlit og Póst- og fjarskiptastofnun mælt með að þessir staðlar séu notaðir við uppbyggingu og innleiðingu ráðstafana sem uppfylla kröfur stofnananna til öryggis upplýsinga.
Staðallinn kemur í tveimur hlutum:
- ÍST ISO/IEC 17799:2005 Starfsvenjur fyrir stjórnun upplýsingaöryggis,
- ÍST ISO/IEC 27001:2005 Stjórnkerfi upplýsingaöryggis - Kröfur
ISO 17799 inniheldur leiðbeiningar um þau atriði sem gott er að skoða þegar hugað er að öryggi upplýsinga, en ISO 27001 setur fram leiðbeiningar um uppbyggingu, innleiðingu, rekstur og viðhald stjórnkerfis upplýsingaöryggis. Sækist fyrirtæki eftir vottun samkvæmt þessum stöðlum, þá nær vottunin í raun til ISO 27001.
Hlutverk staðlanna
Staðlarnir leggja til stjórnunaraðferðir sem fyrirtæki geta notað til að meta og styrkja stöðu öryggismála. Í sumum tilfellum er nauðsynlegt að beita tæknilegum lausnum, en stjórnunarhættir eru ekki síður mikilvægir og oftast skipta þeir meira máli. Nokkur mikilvæg atriði sem leiða til góðrar stöðu öryggismála og eru dekkuð í staðlinum:
- Stjórnunaraðferðir sem leggja áherslu á öryggi
- Vel skilgreind ábyrgðarsvið varðandi öryggisþætti innan fyrirtækis
- Vel skilgreint hlutverk eftirlitsaðila (endurskoðanda) sem nær til upplýsingaöryggis í víðustu merkingu, en ekki eingöngu tæknilegra þátta
- Góður skilningur á því hve nauðsynlegt er að deildir, stjórnendur, tæknifólk, notendur, viðskiptavinir og samstarfsaðilar fái vitneskju um öryggiskröfur og að skipting ábyrgða þarf að koma fram í samningum, starfslýsingu, skriflegum leiðbeiningum og á öðrum formi, sem þörf er á
- Mikilvægi þess að skilja og viðurkenna gildi upplýsinga fyrir rekstur fyrirtækisins
- Mikilvægi öryggisvitundar, þjálfunar og stöðugrar endurskoðunar á öryggismálum sem grundvallarþáttar í starfsemi fyrirtækis
Hagur af stöðlunum
Staðlarnir samanstanda af viðamiklu safni öryggisreglna sem miða að því að auka kröfur til öryggis. Þó svo að ekki sé stefnt að formlegri vottun, er margs konar hagur af því að uppfylla grunnreglur staðlanna og fara eftir leiðsögn í ISO 17799:
- Dregið er úr líkum á tjóni vegna ógnana, svo sem hakkara, þjófnaðar, náttúruhamfara og tæknilegra bilana
- Rekstrarumhverfi verður almennt öruggara
- Staðfesting á að notast er við viðurkenndar öryggisreglur
- Bætt öryggisvitund í öllu fyrirtækinu
- Skilvirkari stjórnun og starfsreglur
- Betri skilningur á því hvar úrbætur á öryggi eru nauðsynlegar
- Betri nýting á fjármunum sem varið er til að bæta öryggi upplýsinga
Heimsóknir
Flettingar
- Í dag (22.12.): 0
- Sl. sólarhring: 87
- Sl. viku: 275
- Frá upphafi: 0
Annað
- Innlit í dag: 0
- Innlit sl. viku: 34
- Gestir í dag: 0
- IP-tölur í dag: 0
Uppfært á 3 mín. fresti.
Skýringar
Eldri færslur
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
Tenglar
Upplýsingaöryggi og persónuvernd
- Betri ákvörðun ráðgjafarþjónusta Marinós G. Njálssonar
- CISA, CISM, COBIT, Val IT
- Staðlaráð Íslands
- Heimasíða Persónuverndar
Hagsmunabarátta
- Hagsmunasamtök heimilanna
- Hugmyndir að úrræðum fyrir almenning
- Færa þarf höfuðstól lánanna niður
- Fólk þarf leið út úr fjárhagsvandanum
- Innlegg í naflaskoðun og endurreisn
- Er raunhæft að afnema verðtrygginguna eða setja henni skorður?
- Aðgerðaráætlun fyrir Ísland
- Hinn almenni borgari á að blæða
- Leið ríkisstjórnarinnar er röng
- Innantómar aðgerðir til stuðnings heimilunum
- Tillögur talsmanns neytenda
- Á hverju munu Íslendingar lifa?
- Verðbólga sem hefði geta orðið
- Aðgerða þörf strax - Tillaga að aðgerðahópum
- Mikilvægast að varðveita störfin
- Hvar setjum við varnarlínuna?
- 385 milljarða til bankanna og reikningurinn til heimilanna
- 2009 gengið í garð, ár endurreisnar, en hvernig endurreisn viljum við?
- Jöklabréf, erlend lán og vaxtaskiptasamningar
Færsluflokkar
- Áhættustjórnun
- Bloggar
- Dægurmál
- Efnahagsmál
- Endurreisn
- Ferðalög
- Ferðaþjónusta
- Heimspeki
- HRUNIÐ
- Icesave
- Íbúðalánasjóður
- Íþróttir
- Lánamál
- Leiðsögn
- Lífeyrissjóðir
- Lífspeki
- Menning og listir
- Menntun og skóli
- Neytendavernd
- Persónuvernd
- Skuldamál heimilanna
- Snjóhengjur
- Stjórnmál og samfélag
- Trúmál og siðferði
- Tölvur og tækni
- Umhverfismál
- Upplýsingaöryggi
- Utanríkismál/alþjóðamál
- Viðskipti og fjármál
- Vinir og fjölskylda
- Vísindi og fræði
Athugasemdir
Hvað með upplýsingaöryggi gagnvart þegnunum? Umræður um heilbrigðisvöktun einkafyrirtækis vegna veikinda starfsmanna, og sjúkrasögu nánustu aðstandenda?
Hvað með nýja viðskiptahugmynd fjármálafyrirtækis um að skrá niður greiðslusögu hvers einasta Íslendings frá því hann verður fjárráða og þar til hann yfirgefur þessa jarðvist - hvenær hann greiði reikninga sína alla jafna, fyrir eða eftir gjalddaga, á gjalddaga og væntanlegar líkur á að viðkomandi verði skilvís greiðandi eða greiði eftir fallna gjalddaga? Hvernig er kröfum á fyrirtæki sem hafa það af starfsemi að selja slíkar upplýsingar um þegnana, án þess að þeir hafi sjálfir nokkuð um það að segja.
Hvaða eftirlitsaðilar þar. Starfsfólk skrifar undir trúnaðarsamninga, en ekki víst að ráðningarsamningar fylgi slíkum trúnaðarsamningum. Er þá forsenda þess að fá gæðastöðlun í gildi?
Spennandi viðfangsefni og mjög mörgu ósvarað í þeim efnum - eða eftirliti?
Alma Guðmundsdóttir (IP-tala skráð) 2.2.2008 kl. 14:54
Upplýsingaöryggi er ekki einskorðað við tryggja öryggi upplýsinga og upplýsingavinnslu þar sem vinnsla þeirra og varsla fer fram. Það snýst ekki síður um að tryggja að með upplýsingarnar sé farið í samræmi við bestur vinnsluhætti, að gætt sé þess að vinnslan sé í samræmi við ákvæði laga (þar á meðal persónuverndarlaga, laga um réttindi sjúklinga, fjarskiptalaga og hinna fjölmörgu laga um fjármálamarkaðinn) og þess gætt að eingöngu þeir hafi aðgang sem þurfa þess starfs síns vegna, svo eitthvað sé nefnt.
Samkvæmt lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga er meginreglan um meðferð upplýsinga:
Það sem þú nefnir, Alma, að ofan eru allt atriði sem falla undir persónuverndarlög og það er því Persónuverndar að leyfa eða hafna slíkri vinnslu. Leyfi Persónuvernd vinnsluna, þá þurfa viðkomandi aðilar að koma á öryggiskerfi persónuupplýsinga þar sem sérstaklega er tekið á öryggisþáttum vegna vinnslunnar. (Raunar þurfa allir sem vinna með persónuupplýsingar að koma á fót slíku öryggiskerfi, þó ekki séu allir metvitaðir um þá skyldu.) Vangaveltur um svona atriði eru meðal þess sem rætt er á námskeiðinu hjá Staðlaráði, þó að sjálfsögðu sé ekki tekin afstaða til mála sem Persónuvernd hefur ekki úrskurðað um.
Marinó G. Njálsson, 2.2.2008 kl. 16:08
Bæta við athugasemd [Innskráning]
Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.