Sakaru Pasaule - Žurnāls par
modernām komunikācijām

  
  


Atpakaļ Jaunais numurs Arhīvs Par mums Meklēšana

Kas ir informācijas drošības kultūra?

   

Informacijas drošibas kultura

 

Informācijas tehnoloģijas (IT), neraugoties uz dažiem krīzes periodiem, turpina attīstīties aizvien straujāk. Katra diena nāk ar ziņām par jaunām tehnoloģijām, programmatūrām un informācijas drošības draudu prognozēm.

 

Ko sargāja Cēzars?

Informācijas drošības vēstures pirmsākumi ir meklējami tālā pagātnē, pat pirms Jūlija Cēzara rakstītās šifrētās vēstules Ciceronam. Tātad var teikt, ka informācijas drošības pirmsākumi meklējami vairāk nekā pirms 2000 gadu. Tomēr, neraugoties uz tik senu un bagātu vēsturi, informācijas drošības uzturēšana ir viena no visgrūtāk risināmām problēmām vairumā uzņēmumu un organizāciju. Var izdot visai iespaidīgas summas modernāko tehnoloģiju iegādei, bet vēlāk konstatēt, ka pat izcilie tehniskie risinājumi nespēj glābt aizsargājamo informāciju no nokļūšanas nevēlamās rokās. Turklāt tās pieejamības un uzticamības parametri vadībai liek justies kā militārai vienībai naidnieku aplenkumā. Problēmas būtība ir vienkārša – tehnoloģiju un informācijas lietotāji ir cilvēki (darbinieki, kalpotāji, klienti utt.) – katrs ar savu izpratni par prioritātēm, profesionālo ētiku un nepieciešamo zināšanu apjomu.

Uz informācijas drošības jautājumiem nevar raudzīties tikai caur tehnoloģisko risinājumu prizmu. Drošības risinājumu primārā daļa ir organizatorisko pasākumu komplekss, kas nosaka darbinieku pienākumus, tiesības un atbildību informācijas sistēmā (IS). Sakārtojot informācijas drošības organizatoriskos jautājumus, tiek radīti priekšnosacījumi tehnisko risinājumu efektīvākai izmantošanai un IT risinājumu ieviešanas izdevumi kļūst mērķtiecīgāki un prognozējamāki. Vai var uzskatīt, ka nauda ir drošībā, ja tā atstāta modernā, dārgā seifā uz ielas? Atbilde ir – var, ja ir pienācīgi organizēti seifa izmantošanas, apsardzes un citi nepieciešamie pasākumi. Līdzīgi ir ar informācijas aizsardzības (drošības) tehnoloģijām – lai cik dārgi būtu izmaksājusi to ieviešana, maksimāla efektivitāte būs sasniedzama tikai pienācīgi sakārtotā informācijas sistēmā.

 

Normatīvie akti – drošības vadlīnijas?

Latvijā spēkā ir virkne normatīvo aktu, kas nosaka prasības informācijas sistēmu drošībai, it īpaši attiecībā uz personu datiem un elektronisko parakstu sertifikācijas pakalpojumu sniedzējiem. Virkne dokumentu atrodas izstrādes un apstiprināšanas stadijā. Visai plaši tiek lietots viens no pazīstamākajiem informācijas drošības starptautiskajiem standartiem, kas reglamentē informācijas drošības pasākumus, - ISO17799 (Latvijā LVS ISO/IEC17799 Informācijas tehnoloģija. Prakses kodekss informācijas drošības pārvaldībai). Tas ietver drošas informācijas sistēmas deviņas vadlīnijas:

·       IS drošības politikas dokumentēšana;

·       tiesību, pienākumu un atbildību dalījums saskaņā ar IS drošības nostādnēm;

·       personāla apmācīšana;

·       ziņošana par IS drošības incidentiem;

·       IS drošības pasākumu plānošana;

·       informācijas kopēšanas procesu kontrole;

·       informācijas drošības notikumu reģistrācijas ierakstu aizsardzība;

·       sistēmas datņu aizsardzība;

·       IS drošības politikas prasību ievērošana.

Šie un daudzi citi normatīvie dokumenti nosaka informācijas sistēmu drošības prasības, ietverot gan tehniskos, gan organizatoriskos aspektus.

 

 Kā apvienot tiesības, ētiku un tehnoloģijas?

Normatīvo dokumentu prasības informācijas sistēmu drošībai bieži tiek uztvertas formāli - kā ne visai vajadzīgi, bet obligāti pasākumi. Šāda attieksme norāda uz neizpratni par informācijas aizsardzības nepieciešamību un iespējamiem draudiem drošībai. Maldīgs ir plaši izplatītais uzskats, ka ugunsmūra iekārtas un antivīrusu programmatūras lietošana tiešām garantē drošību. Statistika norāda, ka aptuveni 70-80 procentos gadījumu drošības incidentu avots ir informācijas sistēmas lietotāji vai apkalpojošais personāls. Tātad, lai risinātu informācijas drošības jautājumus, nedrīkst ignorēt dalībnieku (informācijas sistēmu turētāju, lietotāju, apkalpojošā personāla, vadības) ietekmi uz šo sistēmu drošību.

Informācijas sistēmu drošības kultūras jēdzienā ir ietverta tehnoloģisko un organizatorisko pasākumu savstarpējā atbilstība un mijiedarbība, raksturojot ētisko un tiesisko normu uzturēšanu saskaņā ar sistēmas dalībnieku pienākumiem un tiesībām. Lai informācijas sistēmu drošība atbilstu noteiktajām normām, sistēmas dalībniekiem jāzina un jāizprot pastāvošās drošības prasības. Dokumentiem, kuri reglamentē sistēmas drošības pamatprincipus (informācijas drošības politika, noteikumi), jābūt pieejamiem visiem, kas darbojas šīs sistēmas ietvaros. Informācijas drošības kultūru raksturo deviņas pamatnostādnes:

·      izpratne

Informācijas sistēmu dalībniekiem jābūt informētiem par informācijas drošības prasībām, jāizprot, kāpēc nepieciešams tās ievērot un kādas būs to neievērošanas sekas;

·      saistības

Tiesībām, pienākumiem un atbildībai jābūt precīzi definētai un noteiktai atbilstoši informācijas sistēmas drošības nosacījumiem;

·       reaģēšana

Dalībniekiem jāsadarbojas, lai laikus brīdinātu par iespējamiem informācijas drošības apdraudējumiem, piedalītos to atklāšanā un aizsardzībā;

·       tiesiskums

Informācijas sistēmas drošības nostādnēm jābūt demokrātiskām, ievērojot gan tiesības brīvi apmainīties ar informāciju, gan tiesības uz informācijas konfidencialitāti un privātumu, gan tiesības uz personu datu atbilstošu aizsardzību un tiesības uz atklātumu;

·      ētika

Dalībniekiem jāņem vērā citu dalībnieku, kā arī informācijas sistēmu īpašnieku intereses un nepieciešamība;

·      risku novērtēšana

Jāapzinās un jānovērtē informācijas drošības riski un tos ietekmējošie faktori;

·      kompleksums

Informācijas sistēmas drošības elementiem (tehnoloģiskajiem risinājumiem, reglamentējošiem dokumentiem, organizatoriskajiem pasākumiem) jābūt savstarpēji saskaņotiem;

·      pārvaldība

Informācijas sistēmu drošības pārvaldībai jābūt dinamiskai, jābalstās uz drošības risku vērtējumiem un jāaptver visas dalībnieku aktivitātes;

·      pārskatīšana

Jānodrošina informācijas sistēmas drošības komponentu savlaicīga modifikācija, dokumentācija pastāvīgi aktualizējama, ieviešot nepieciešamos labojumus un papildinājumus, kā arī nodrošinot informācijas drošības attīstību saskaņā ar informācijas drošības risku izmaiņām.

 

Cik maksāt par drošību?

Varētu šķist, ka viss iepriekš minētais ir attiecināms vienīgi uz lielām organizācijām vai uzņēmumiem, kuros darbinieki skaitāmi simtos vai tūkstošos un informācijas sistēma ietver teju vai visu Latviju. Šāds viedoklis nebūs pareizs.

Ar ko gan atšķiras bankas naudas glabātavas drošības noteikumi no personiskā naudas maka glabāšanas drošības noteikumiem! Ja nu vienīgi ar normatīvo punktu daudzumu, tomēr gan vienas, gan otras normas ir noteiktas, vadoties pēc pastāvošajiem riskiem (ardievu, naudiņa, ja tas tā nav).

Lai sekmīgi risinātu informācijas drošības jautājumus, jāsāk ar problēmu apzināšanu – IS drošības stāvokļa vai drošības risku analīzi. Jānosaka, cik vērta ir aizsargājamā informācija un kādas varētu būt drošības apdraudējumu realizēšanās sekas. Jāsamēro informācijas drošībā ieguldāmie līdzekļi ar aizsargājamām vērtībām (aizsargājamās informācijas vērtību), jānodrošina atbilstoša organizatoriskā struktūra un reglamentējošo dokumentu bāze, kā arī jāpanāk saskaņa starp drošības nosacījumiem, ētiskajām un tiesiskajām normām, faktiskajām vajadzībām un tehnoloģiskajiem risinājumiem.

Vienīgi informācijas sistēmās ar augstu informācijas drošības kultūru tehnoloģijas būs lielisks palīglīdzeklis informācijas drošības uzturēšanai nepieciešamajā līmenī.

 

Dainis RUMENTS,

IS drošības konsultants

 dainis.ruments@e-protect.lv

 

 

Rakstā izmantoti materiāli no OECD Guidelines for the Security of Information Systems and Networks.

 

 

 

Droša informācija – informācija, kas ir aizsargāta no nesankcionētas iznīcināšanas, koriģēšanas vai viltošanas un pieejama noteiktajā laikā un vietā personām, kurām tā ir paredzēta.

 

 

Informācijas sistēma – resursu, procedūru un personāla kopums, kas ir izveidots, strādā un tiek uzturēts, lai ievadītu, uzglabātu, apstrādātu un citādi izmantotu informāciju, paredzot lietotāju piekļūšanu šai informācijai.

 

Risku pārvaldība – preventīvs aizsardzības pasākumu un potenciālo zaudējumu savstarpējas līdzsvarošanas process.

 

 
Design and programming by Anton Alexandrov - 2001