Felkészülés egy auditra ̶ a Sealog digitális nyomelemző rendszer audittámogató eszközként történő felhasználása
Tapasztaljuk, hogy nem egyszerű dolog az Ötvenes törvény hatálya alá tartozó szervezeteknek egy auditra történő felkészülés. Aki vett már részt akár egy kis, vagy esetleg egy kicsit nagyobb szervezet információrendszer-auditjának előkészítésében, valószínűleg egyetért velünk abban, hogy az előkészítő munka az informatikai rendszerekből az auditorok számára a szükséges adatok, információk kigyűjtésére önmagában IS hatalmas munkát jelent. Ennek a munkának a folyamatos, és hatékony elvégzését a Seacon Europe Sealog rendszere képes segíteni. Nézzük, hogyan!
Mielőtt a Sealog digitális nyomelemző rendszer alkalmazhatóságával foglalkoznánk, nézzük meg, hogy milyen jogi környezetben milyen üzleti igényt lehet/kell kiszolgálni:
A 41/2015. (VII. 15.) BM rendelet a biztonsági osztályokra vonatkozóan a következőket írja le:
Az elektronikus információs rendszerek biztonsági osztályba sorolását az elektronikus információs rendszerben kezelt adatok és az adott elektronikus információs rendszer funkciói határozzák meg.
A szervezet információs rendszereinek biztonsági osztályba sorolása az érintett szervezet felelőssége. A következő felsorolás a döntéshez csak iránymutatást ad:
Az 1. biztonsági osztály esetében csak jelentéktelen káresemény következhet be, mivel
- az elektronikus információs rendszer nem kezel jogszabályok által védett (pl.: személyes) adatot;
- nincs bizalomvesztés, a probléma az érintett szervezeten belül marad, és azon belül meg is oldható;
- a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez képest jelentéktelen;
A 2. biztonsági osztály esetében csekély káresemény következhet be, mivel
- személyes adat sérülhet;
- az érintett szervezet üzlet-, vagy ügymenete szempontjából csekély értékű, és/vagy csak belső (intézményi) szabályzóval védett adat vagy elektronikus információs rendszer sérülhet;
- a lehetséges társadalmi-politikai hatás az érintett szervezeten belül kezelhető;
- a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 1%-át.
A 3. biztonsági osztály esetében közepes káresemény következhet be, mivel
- különleges személyes adat sérülhet, személyes adatok nagy mennyiségben sérülhetnek;
- az érintett szervezet üzlet-, vagy ügymenete szempontjából érzékeny folyamatokat kezelő elektronikus információs rendszer, információt képező adat, vagy egyéb, jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok, stb.) védett adat sérülhet;
- a lehetséges társadalmi-politikai hatás: bizalomvesztés állhat elő az érintett szervezeten belül, vagy szervezeti szabályokban foglalt kötelezettségek sérülhetnek;
- a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 5%-át.
A 4. biztonsági osztály esetében nagy káresemény következhet be, mivel
- különleges személyes adat nagy mennyiségben sérülhet;
- személyi sérülések esélye megnőhet (ideértve például a káresemény miatti ellátás elmaradását, a rendszer irányítatlansága miatti veszélyeket);
- az érintett szervezet üzlet-, vagy ügymenete szempontjából nagy értékű, üzleti titkot, vagy különösen érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen, vagy jelentősen sérülhet;
- a káresemény lehetséges társadalmi-politikai hatásaként a jogszabályok betartása, vagy végrehajtása elmaradhat, bekövetkezhet a bizalomvesztés a szervezeten belül, az érintett szervezet felső vezetésében, vagy vezetésében személyi felelősségre vonást kell alkalmazni;
- a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 10%-át.
Az 5. biztonsági osztály esetében kiemelkedően nagy káresemény következhet be, mivel
- különleges személyes adat kiemelten nagy mennyiségben sérülhet;
- emberi életek kerülnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be;
- a nemzeti adatvagyon helyreállíthatatlanul megsérülhet;
- az ország, a társadalom működőképességének fenntartását biztosító létfontosságú információs rendszer rendelkezésre állása nem biztosított;
- a lehetséges társadalmi-politikai hatás: súlyos bizalomvesztés az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek;
- az érintett szervezet üzlet- vagy ügymenete szempontjából nagy értékű üzleti titkot, vagy kiemelten érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen vagy jelentősen sérülhet;
- a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 15%-át.
A 41/2015. (VII. 15.) BM rendelet a biztonsági szintekre vonatkozóan a következőket írja le (részletek):
- Az érintett szervezet biztonsági szintje 3., ha a szervezet vagy szervezeti egység a 2. szinthez rendelt jellemzőkön túl szakfeladatait támogató elektronikus információs rendszert használ, de nem üzemelteti azt. A szervezet kritikus adatot, nem minősített, de nem közérdekű, vagy közérdekből nyilvános adatot kezel, központi üzemeltetésű, és több szervezetre érvényes biztonsági megoldásokkal védett elektronikus információs rendszerek vagy zárt célú elektronikus információs rendszer felhasználója, illetve feladatai támogatására más külső szolgáltatót vesz igénybe.
- Az érintett szervezet biztonsági szintje 4., ha a szervezet vagy szervezeti egység a 3. szinthez rendelt jellemzőkön túl elektronikus információs rendszert vagy zárt célú elektronikus információs rendszert üzemeltet vagy fejleszt.
Egy, a 2013. évi L. törvény végrehajtási rendelete alapján folytatott biztonsági tanúsítás vizsgálati szakaszában az auditban részt vevő szakértők a következő megállapítást tették:
(az audit) „ … a vizsgált rendszerek túlnyomó többségénél olyan kritikus maradvány kockázatokat tárt fel, melyek alapján
- mind a belső rendszerből (pl. egy rosszindulatú belső felhasználó által),
- mind kívülről (pl. egy hacker által)
a rendszer a siker esélyével támadható volt: lehetőség volt a rendszer teljesítményének, rendelkezésre állásának lerontására, vagy bizalmas adatokhoz való hozzáférésre, módosításra.”
A vizsgálatok az audit során a rendszerek pillanatnyi állapotát mutatták, a múltbeli eseményekre bizonyítékok valószínűleg nem álltak rendelkezésre.
Egyértelműen látszik, hogy az audit nem csak a folyamatos felügyeletre/monitoringra, hanem a működés során gyűjtött visszamenőleges bizonyítékokra is koncentrál. Ennek a feladatnak a teljesítésében képes támogatást nyújtani a Sealog digitális nyomelemző rendszer – olvassa el esettanulmányunkat!