Tanácsadói tevékenységünk keretében a hatályos és releváns jogszabályi környezet (2013. évi L. tv. - Ibtv., 41/2015. (VII.15.) BM rendelet, GDPR, 2011. évi CXII. tv. - Infotv.), valamint a nemzetközi szabványok (ISO/IEC 27001) előírásait figyelembe véve vizsgáljuk a megfelelősséget, és ajánlásokat, értékeléseket, megoldási módszereket adunk.

Az érintett szervezet az elektronikus információs rendszere biztonsági osztályba sorolásakor az elektronikus információs rendszerben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának követelményeit a rendszer funkcióira tekintettel, és azokhoz igazodó súllyal érvényesíti;

Az elektronikus információs rendszerek biztonsági osztályba sorolását az elektronikus információs rendszerben kezelt adatok és az adott elektronikus információs rendszer funkciói határozzák meg. A besorolást, amelyet az érintett szervezet vezetője hagy jóvá, kockázatelemzés alapján kell elvégezni.

Az Ibtv. végrehajtási rendelete (továbbiakban: vhr) meghatározza az információbiztonsági kockázatkezelési szabályzat tartalmát, hiszen a jogszabályi megfelelés minden esetben elsődleges szempont. Ugyanakkor azt is fontos megemlíteni, hogy a jogszabály sok kérdés esetében a döntést (vagy a pontosítást, vagy a konkrét megoldást) a szervezetre bízza. A biztonsági osztályok meghatározásánál is így járt el, ahhoz csak irányelveket fogalmaz meg, így lehetővé teszi a szervezet számára fontos szempontok alkalmazását is.

Az osztályba sorolás szempontjai elsődlegesen az Ibtv. vhr. és a szervezet kockázatkezelési szabályzata alapján kerülhetnek kialakításra. Mindkét forrásból figyelembevételre kerülhetnek a lényeges szempontok, célszerű összerendelni az egyes kárérték-kategóriákat az egyes biztonsági osztályok összeghatáraival.

A káresemények mértékének meghatározása során az adattípusokhoz és adatmennyiségekhez elsődlegesen a jogszabály, míg az összeghatárokhoz elsődlegesen a vállalati kockázatkezelési szabályzat szolgálhat forrásként.

A szervezeti keretek definiálása után következő lépésként azonosítani kell azon adatforrásokat, melyek alkalmazhatók az információs vagyonelemek felmérése során. A szervezetek (tevékenységükből és méretükből adódóan is) számtalan nyilvántartással rendelkeznek, melyek általában sajnos nincsenek összekötve, integrálva, nem egységesek és csak manuálisan hozhatók kapcsolatba egymással.

Nagyon fontos szempont, hogy a vagyonelemek felmérését rendszeresen el kell végezni, annak kellően pontosnak, részletesnek kell lennie, hogy elősegítse a kockázatmenedzsment feladatának elvégzését.

A vhr alapján a B/S/R értékeket ötfokozatú skálán kell meghatározni, valamint a veszélyeztetettségnek a bekövetkezés valószínűségének megfelelő kárértékszinteknek megfelelő biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás követelménye külön-külön értékelendő. Az elsődleges információs vagyonelemek B/S/R értékeinek meghatározásában kompetenciával elsődlegesen a folyamat üzemeltetője, az adott üzleti terület rendelkezik. Az egyes folyamatok elvárt R értékeit a szervezet üzletmenet-folytonossági terve (BCP, ÜFT) rögzíti. Az S és R értékek tekintetében pedig célszerű interjúk lefolytatása.

Kidolgozunk egy stabil alapokon nyugvó biztonsági stratégiát – értékeléseket, ajánlásokat és megoldási módszereket kínálunk számodra.
Fordulj hozzánk bizalommal!